Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизации в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН обществом с ограниченной ответственностью «Корпоративные электронные системы» и Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков» на основе собственного аутентичного перевода стандарта, указанного в пункте 4

2    ВНЕСЕН Управлением развития, информационного обеспечения и аккредитации Федерального агентства по техническому регулированию и метрологии

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 27 декабря 2007 г. № 581-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61508-6:2000 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению МЭК 61508-2:2000 и МЭК 61508-3:1998» (IEC 61508-6:2000 «Functional safety of electrical / electronic / programmable electronic safety-related systems — Part 6: Guidelines on the application of IEC 61508-2 and IEC61508-3).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении F

5    ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок— в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования— на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2008

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Примечание — На этой стадии необходимо рассмотреть возможность одновременных отказов в системе управления EUC и Е/Е/РЕ системе (системах), связанной с безопасностью, (см. МЭК 61508-1, подпункт 7.5.2.4). Такие отказы могут быть результатом отказов компонентов по общей причине, например, из-за влияния окружающей среды. Наличие подобных отказов может привести к большим по сравнению с ожидаемым значениям остаточного риска.

c)    Начинают планирование подтверждения соответствия безопасности E/E/PES (см. МЭК 61508-2, подраздел 7.3).

d)    Задают архитектуру (конфигурацию) логической подсистемы, датчиков и оконечных элементов. Вместе с поставщиком/разработчиком программного обеспечения анализируют архитектуру аппаратных средств, программного обеспечения и влияние на безопасность компромиссов между аппаратными средствами и программным обеспечением (см. МЭК 61508-2, рисунок 4). При необходимости анализ повторяют.

e)    Разрабатывают модель архитектуры аппаратных средств для Е/Е/РЕ системы, связанной с безопасностью. Эту модель разрабатывают, проверяя отдельно каждую функцию безопасности, и определяют подсистему (компонент), используемую для реализации этой функции.

f)    Устанавливают параметры для каждой подсистемы (компонента), используемой в Е/Е/РЕ системе, связанной с безопасностью. Для каждой подсистемы (компонента) определяют:

-    временной интервал проведения процедур тестирования для отказов, которые не обнаруживаются автоматически;

-    среднее время восстановления;

-    диагностический охват (см. МЭК 61508-2, приложение С);

-    вероятность отказа и

-    долю безопасных отказов (см. МЭК 61508-2, приложение С).

д) Определяют архитектурные ограничения (см. МЭК 61508-2, таблицы 2 и 3).

h)    Создают модель расчета надежности для каждой функции безопасности, которую должна реализовать Е/Е/РЕ система, связанную с безопасностью.

Примечание — Модель расчета надежности представляет собой математическую формулу, показывающую взаимосвязь между надежностью и соответствующими параметрами, связанными с оборудованием и условиями его использования.

i)    Рассчитывают прогнозируемую надежность для каждой функции безопасности, используя соответствующую методику. Сравнивают результат с заданными характеристиками отказов, определенными в перечислении

Ь), и требованиями в соответствии с МЭК 61508-2, подпункт 7.4.3.1, таблицы 2 и 3. Если прогнозируемая надежность не соответствует заданным характеристикам отказов и/или требованиям МЭК 61508-2, таблицы 2 и 3, то изменяют:

-    если возможно, один или несколько параметров подсистемы [возвращаются к перечислению f)] и/или

-    архитектуру аппаратных средств [возвращаются к перечислению d)].

Примечание — Существует множество методов моделирования, и аналитик должен выбрать наиболее соответствующий (перечень некоторых методов, которые могут быть использованы, приведен в МЭК 61508-2, подпункт 7.4.3.2.2, перечисление h), примечание 4).

j)    Реализуют проект Е/Е/РЕ системы, связанной с безопасностью. Выбирают средства и методы для управления систематическими отказами аппаратных средств, отказами, вызванными влиянием окружающей среды, и эксплуатационными отказами (см. МЭК 61508-2, приложение А).

k)    Загружают проверенное программное обеспечение (см. МЭК 61508-3) в соответствующие аппаратные средства (см. МЭК 61508-2, подраздел 7.5 и приложение В) и параллельно разрабатывают рабочие инструкции для пользователей и документацию для обслуживающего персонала по эксплуатации системы (см. МЭК 61508-2, подраздел 7.6 и приложение В). Учитывают аспекты, связанные с программным обеспечением (см. пункт А.З, перечисление f)).

l)    Вместе с разработчиком программного обеспечения (см. МЭК 61508-3, подраздел 7.7) проводят подтверждение соответствия E/E/PES (см. МЭК 61508-2, подраздел 7.7 и приложение В).

т) Передают аппаратные средства и результаты подтверждения соответствия безопасности E/E/PES системным инженерам для дальнейшей интеграции в комплексную систему.

п) Если в процессе эксплуатации E/E/PES требуется модернизация/обслуживание, то при необходимости снова обращаются к МЭК 61508-2, подраздел 7.8.

В процессе жизненного цикла безопасности E/E/PES выполняется множество различных действий. Среди них верификация (см. МЭК 61508-2, подраздел 7.9) и оценка функциональной безопасности (см. МЭК 61508-1, раздел 8).

В процессе выполнения приведенных выше действий выбирают методы и средства для обеспечения безопасности E/E/PES, соответствующие требуемому уровню полноты безопасности. Для помощи с выбором таких методов и средств составлены таблицы, упорядочивающие различные методы/средства в соответствии с четырьмя уровнями полноты безопасности (см. МЭК 61508-2, приложение В). Краткий обзор каждого из методов и средств со ссылками на источники информации о них, включая перекрестные ссылки на эти таблицы, представлен в МЭК 61508-7, приложения А и В.

Один из возможных методов расчета вероятностей отказа аппаратных средств для Е/Е/РЕ систем, связанных с безопасностью, представлен в приложении В.

ГОСТ Р МЭК 61508-6-2007

Примечание — При выполнении приведенных выше действий допускается применять средства, альтернативные указанным в настоящем стандарте при условии, что оправдывающие обстоятельства документируются в процессе планирования безопасности (см. МЭК 61508-1, раздел 6).

1

Точки входа для требований к обслуживанию или модификации (см. МЭК 61508-2, подраздел 7.8 и МЭК 61508-3)

Получить или разработать описание распределения безопасности Разработать спецификацию требований безопасности E/E/PES ’ Начать планирование подтверждения соответствия безопасности E/E/PES Разработать модель архитектуры аппаратных средств ’ Определить параметры Е/Е/РЕ системы, связанной с безопасностью Определить ограничения архитектуры ’ Для каждой функции безопасности создать модель надежности 1 Для каждой функции безопасности определить вероятность отказа, которая может быть получена благодаря использованию Е/Е/РЕ системы, связанной с безопасностью

От

МЭК 61508-1, подраздел 7.6 j _______________I

j Включить уровень полноты I безопасности для каждой функции

безопасности. Просмотреть с разработчиком/ поставщиком программного обеспечения баланс аппаратуры/ программного обеспечения (см. МЭК 61508-2, подраздел 7.2)

См. МЭК 61508-2, подраздел 7.3

® на^йсунке А.2

См. МЭК 61508-2, подпункт 7.4.3.1

См. МЭК 61508-2, подпункт 7.4.3.2.2

Реализовать проект, выбрать методы и мероприятия для управления систематическими отказами

I___________

на рисунке А.2

См. МЭК 61508-2, пункты 7.4.4 - 7.4.8.

Управление отказами и предположения об отказах описаны в МЭК 61508-2, приложение А. Методы предотвращения отказов и мероприятия по подтверждению соответствия описаны в МЭК 61508-2, приложение В

Примечание — В системах РЕ для программного обеспечения выполняются аналогичные действия (см. рисунок А.З).

Рисунок А.1 — Функциональные этапы применения МЭК 61508-2

4—1557

7

ГОСТ Р МЭК 61508-6-2007

I

I

I

См. МЭК 61508-2, подраздел 7.5 и приложение В

I

I

I

I    См. МЭК 61508-3, подраздел 7.5 I

j    и    приложение    В    j

l._____________________I

i-----------------------

j    Подтверждение соответствия E/E/PES

описано в МЭК 61508-2, подраздел 7.7 I    и    приложение    В.

I    Подтверждение    соответствия

I    программного обеспечения описано

!    в МЭК 61508-3

I------------

| См. МЭК 61508-1 I

I

I

I

J

Примечание — В системах РЕ для программного обеспечения выполняются аналогичные действия (см. рисунокА.З).

Рисунок А.2 — Функциональные этапы применения МЭК 61508-2 (продолжение)

8

ГОСТ Р МЭК 61508-6-2007

А.З Функциональные этапы применения МЭК 61508-3

Можно выделить следующие функциональные этапы применения МЭК 61508-3 (см. рисунок А.З):

a)    Определяют требования для систем Е/Е/РЕ, связанных с безопасностью, и соответствующих компонент планирования безопасности (см. МЭК 61508-2, подраздел 7.3). При необходимости модернизируют планирование безопасности в процессе разработки программного обеспечения.

Примечание — На предыдущих стадиях жизненного цикла были:

-    определены требуемые функции безопасности и соответствующие им уровни полноты безопасности (см. МЭК 61508-1, подразделы 7.4 и 7.5);

-    распределены функции безопасности для назначенных систем Е/Е/РЕ, связанных с безопасностью (см. МЭК 61508-1, подраздел 7.6) и

-    распределены реализуемые программно функции внутри каждой системы Е/Е/РЕ, связанной с безопасностью (см. МЭК 61508-2, подраздел 7.2).

b)    Определяют архитектуру программного обеспечения для всех реализуемых программно функций безопасности (см. МЭК 61508-3, подраздел 7.4 и приложение А).

c)    Вместе с поставщиком/разработчиком E/E/PES анализируют архитектуру аппаратных средств и программного обеспечения и влияние на безопасность компромиссов между аппаратными средствами и программным обеспечением (см. МЭК 61508-2, рисунок 4). При необходимости анализ повторяют.

d)    Приступают к планированию проверки и подтверждения соответствия безопасности программного обеспечения (см. МЭК 61508-3, подразделы 7.3 и 7.9).

e)    Проектируют, разрабатывают и проверяют/тестируют программное обеспечение в соответствии с:

-    планированием безопасности программного обеспечения;

-    уровнем полноты безопасности программного обеспечения;

-    жизненным циклом безопасности программного обеспечения.

f)    Завершают действия по окончательной проверке программного обеспечения и интегрируют проверенное программное обеспечение в соответствующие аппаратные средства (см. МЭК 61508-3, подраздел 7.5) и параллельно разрабатывают рабочие инструкции для пользователей и инструкции по эксплуатации для обслуживающего персонала системы программного обеспечения (см. МЭК 61508-3, подраздел 7.6 и приложение А, подраздел А.2, а также перечисление к) настоящего стандарта).

д) Вместе с разработчиком аппаратных средств (см. МЭК 61508-2, подраздел 7.7) проводят подтверждение соответствия безопасности программного обеспечения в интегрированных системах Е/Е/РЕ, связанных с безопасностью (см. МЭК 61508-3, подраздел 7.7).

h)    Передают результаты подтверждения соответствия безопасности программного обеспечения системным инженерам для дальнейшей интеграции в комплексную систему.

i)    Если в процессе эксплуатации потребуется модернизация программного обеспечения E/E/PES, то при необходимости снова возвращаются к соответствующей стадии, как описано в МЭК 61508-3, подраздел 7.8.

В процессе жизненного цикла безопасности программного обеспечения выполняют множество различных действий. В том числе проверку (см. МЭК 61508-3, подраздел 7.9) и оценку функциональной безопасности (см. МЭК 61508-3, раздел 8).

В процессе выполнения приведенных выше этапов выбирают средства и методы обеспечения безопасности программного обеспечения, соответствующие требуемой полноте безопасности. Для помощи в выборе таких методов и средств составлены таблицы, упорядочивающие различные методы/средства в соответствии с четырьмя уровнями полноты безопасности (см. МЭК 61508-3, приложение А). Обзор каждого из методов и средств со ссылками на источники информации о них, включая перекрестные ссылки на эти таблицы, представлен в МЭК 61508-7, приложение С.

Примеры применения таблиц полноты безопасности приведены в приложении Е настоящего стандарта, а МЭК 61508-7 включает в себя описание вероятностного подхода к определению полноты безопасности программного обеспечения для уже разработанного программного обеспечения (см. МЭК 61508-7, приложение D).

9

Примечание — При выполнении приведенных выше действий допускается применять средства, альтернативные указанным в настоящем стандарте при условии, что оправдывающие обстоятельства документируются в процессе планирования безопасности (см. МЭК 61508-1, раздел 6).

4*

ГОСТ Р МЭК 61508-6-2007

Рисунок А.З — Функциональные этапы применения МЭК 61508-3

10

ГОСТ Р МЭК 61508-6-2007

Приложение В (справочное)

Метод оценки вероятностей отказа аппаратных средств

В.1 Общие положения

Настоящее приложение содержит один из методов расчета вероятностей отказа для Е/Е/РЕ систем, связанных с безопасностью, установленных в соответствии с МЭК 61508-1 — МЭК 61508-3. Метод не должен рассматриваться в качестве единственно возможного. Однако в данном методе реализуется относительно простой подход к оценке характеристик Е/Е/РЕ систем, связанных с безопасностью.

Существуют различные методы анализа уровня безопасности аппаратных средств Е/Е/РЕ систем, связанных с безопасностью. Наиболее распространенными методами являются метод блок-схем надежности (см. МЭК 61508-7, приложение С, пункт С.6.5) и метод, основанный на марковских моделях (см. МЭК 61508-7, приложение С, пункт С.6.4). Оба метода при правильном применении дают аналогичные результаты, но в случае сложных программируемых электронных подсистем (например, при перекрестном голосовании по нескольким каналам и автоматическом тестировании) метод блок-схем надежности дает некоторую потерю точности по сравнению с методом, основанным на марковских моделях.

При рассмотрении Е/Е/РЕ системы, связанной с безопасностью, в целом эта потеря точности может быть незначительной, если учитывается точность данных о надежности, используемых при анализе. Например, основная потеря точности при анализе уровня безопасности аппаратных средств для Е/Е/РЕ систем, связанных с безопасностью, зависит от приборов для измерения полей. Имеет ли значение потеря точности, можно определить только для конкретных условий. В случае сложных программируемых электронных подсистем результаты оценки полноты безопасности аппаратуры методом блок-схем надежности более пессимистичны, чем методом, основанным на марковских моделях (т.е. метод блок-схем надежности дает большую вероятность отказа). В настоящем приложении применяется метод блок-схем надежности.

Если отказ системы управления EUC инициирует обращение к Е/Е/РЕ системе, связанной с безопасностью, то вероятность возникновения опасного события зависит также и от вероятности отказа системы управления EUC. В этой ситуации необходимо рассмотреть возможность одновременного отказа компонентов системы управления EUC и Е/Е/РЕ системы, связанной с безопасностью, из-за механизмов отказа по общей причине. При неправильном анализе наличие подобных отказов может привести к большим, по сравнению с ожидаемым, значениям остаточного риска.

Расчеты вероятностей отказа аппаратных средств Е/Е/РЕ систем, связанных с безопасностью, основываются на следующих предположениях:

-    значение результирующей средней вероятности отказа выполнения функции безопасности для подсистемы меньше 10^-1 или значение результирующей вероятности отказа в час для подсистемы меньше 10^-5;

-    частота отказов компонент постоянна в течение стадий жизни системы;

-    подсистема датчиков (подсистема ввода) состоит из реального датчика(ов) и любых других компонент и соединительных проводов, вплоть до компоненты (компонент), но ее (их) не включая, где сигналы впервые объединяются с помощью процедуры голосования или другой процедуры (например, конфигурация каналов из двух датчиков, представленная на рисунке В.1 настоящего приложения);

-    логическая подсистема включает в себя компоненту (компоненты), в которой(ых) сигналы вначале объединяются, и все другие компоненты, вплоть до тех компонент включительно, откуда результирующий ситал(ы) пере-дается(ются) подсистеме оконечных элементов;

-    подсистема оконечных элементов (подсистема вывода) включает в себя компоненты и соединения, которые обрабатывают конечный сигнал(ы), получаемый(ые) от логической подсистемы, включая оконечный исполнительный компонент(ы);

-    частоты отказов аппаратных средств, используемые в качестве входных данных для расчетов и таблиц, задаются для одного канала подсистемы (например, при использовании датчиков в виде архитектуры 2ооЗ частота отказов задается для одного датчика, а влияние архитектуры 2ооЗ рассчитывается дополнительно);

-    частоты отказов и диагностический охват одинаковы для всех каналов в архитектуре подсистемы;

-    общая частота отказов аппаратных средств канала подсистемы является суммой частоты опасных и частоты безопасных отказов для данного канала, которые полагают равными.

Примечание — Это предположение влияет на долю безопасных отказов (см. МЭК 61508-2, приложение С), но доля безопасных отказов не влияет на рассчитанные значения вероятности отказа, приведенные в настоящем приложении.

11

-    для каждой функции безопасности существуют идеальные средства тестирования и устранения отказов (т.е. все отказы, оставшиеся необнаруженными, обнаруживаются при тестировании), влияние неидеального тестирования в соответствии с приложением В, пункт В.2.5;

5—1557

-    интервал времени между тестовыми испытаниями должен быть, по крайней мере, на порядок больше, чем продолжительность диагностического тестирования;

-    для каждой подсистемы существует единый интервал времени между тестовыми испытаниями и среднее время восстановления.

Примечание — Среднее время восстановления включает в себя время, необходимое для обнаружения отказа в соответствии с МЭК 61508-2, подпункт 7.4.3.2.2, перечисление д), примечание. В настоящем приложении предполагаемое значение среднего времени восстановления одинаковое как для обнаруженных, так и необнаруженных отказов и включает в себя длительность диагностического тестирования, а не интервал между тестовыми испытаниями. Для необнаруженных отказов среднее время восстановления, используемое в расчетах, не должно включать в себя длительность диагностического тестирования, а так как среднее время восстановления всегда добавляется к временному интервалу между тестовыми испытаниями, который, по крайней мере, на порядок больше длительности диагностического тестирования, то ошибка будет незначительной;

-    восстановить работоспособное состояние системы, нарушенное после возникновения всех известных отказов, могут несколько ремонтных команд;

-    ожидаемый интервал между запросами на выполнение функции безопасности должен быть, по крайней мере, на порядок больше среднего времени восстановления;

-    для всех подсистем, работающих в режиме низкой интенсивности запросов, и для архитектур 1оо2, 1oo2D и 2ооЗ, работающих в режиме высокой интенсивности запросов и непрерывном режиме, доля отказов, заданная диагностическим охватом, обнаруживается и устраняется за среднее время восстановления, приведенное в требованиях к полноте безопасности аппаратных средств.

Пример — Если предполагаемое среднее время восстановления равно 8 ч, то оно включает в себя длительность диагностического тестирования, которое обычно не превышает 1ч, а оставшаяся часть среднего времени восстановления—это действительное время ремонта.

Примечание — Для канальных архитектур 1оо2, 1oo2D и 2ооЗ предполагается выполнение любого ремонта в оперативном режиме. Если конфигурация Е/Е/РЕ системы, связанной с безопасностью, при любом обнаруживаемом отказе обеспечивает переход EUC в безопасное состояние, то это уменьшает среднюю вероятность отказа в обслуживании. Степень уменьшения вероятности зависит от диагностического покрытия;

-    для канальных архитектур 1оо1 и 2оо2, работающих в режиме высокой интенсивности запросов или непрерывном режиме, система Е/Е/РЕ, связанная с безопасностью, всегда переходит в безопасное состояние после обнаружения опасного отказа; для этого ожидаемый интервал времени между запросами, по крайней мере, должен быть на порядок больше временного интервала диагностического тестирования или сумма временных интервалов диагностического тестирования и временных интервалов перехода в безопасное состояние должна быть меньше, чем время безопасной работы.

Примечание — Время безопасной работы определяется в МЭК 61508-2, подпункт 7.4.3.2.5 как интервал времени между отказом EUC или системы управления EUC (с потенциальной возможностью вызвать опасное событие) и возникновением опасного события, если функция безопасности не выполнена;

-    если отказ источника питания приводит к обесточиванию Е/Е/РЕ системы, связанной с безопасностью, и инициирует переход системы в безопасное состояние, то источник питания не влияет на среднюю вероятность отказа по запросу для Е/Е/РЕ системы, связанной с безопасностью; если для перехода в безопасное состояние на систему подается питание или у источника питания существуют режимы отказов, которые могут приводить к небезопасной работе Е/Е/РЕ системы, связанной с безопасностью, то оценка должна учитывать источник питания;

-    если используется терминальный канал, то он ограничивается только той частью рассматриваемой системы, которой обычно являются либо датчик, либо логическая подсистема, либо подсистема оконечных элементов;

-    параметры и их обозначения представлены в таблице В.1.

Рисунок В.1 — Пример конфигурации для двух каналов датчиков

ГОСТ Р МЭК 61508-6-2007

Таблица В.1 — Параметры, используемые в настоящем приложении, и диапазоны их значений (применяется к архитектурам lool, 1оо2, 2оо2, 1oo2D и 2ооЗ)

Обозна чение Параметр, единица измерения Диапазон параметров в соответствии с таблицами В.2 —В.биВ.Ю —В.13 т Интервал времени между процедурами тестирования, ч Один месяц (730 ч)1). Три месяца (2190 ч)1) . Шесть месяцев (4380 ч). Один год (8760 ч). Два года (17520 ч)2). 10 лет (87600 ч)2> MTTR Среднее время восстановления, ч 8 DC Диагностическое покрытие, дробь (в формулах), % (в остальных слу- 0%; чаях) 60 %; 90 %; 99 % р Доля необнаруженных отказов по общей причине (в таблицах В.2 — В.5 2%; и В. 10 — В.13 предполагается |3 = 2 х PD), дробь (в формулах), % (в осталь- 10%; ных случаях) 20 % Pd Доля отказов, обнаруженных диагностическими тестами и имеющих 1 %; общую причину (в таблицах В.2 — В.5 и В.10 — В.13 предполагается 5%; Р = 2 х ро), дробь (в формулах), % (в остальных случаях) 10 % X Интенсивность отказов для канала подсистемы, отказ/ч O.lxlO-6; 0,5x10-6; 1x10-6; 5x10-6; 10x10-6; 50x10-6 pfdg Средняя вероятность отказа по запросу для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFDg эквивалентна PFDS, PFDL или PFDfe соответственно) PFDS Средняя вероятность отказа по запросу для подсистемы датчиков — pfdl Средняя вероятность отказа по запросу для логической подсистемы — pfdfe Средняя вероятность отказа по запросу для подсистемы оконечных элементов — PFDSYs Средняя вероятность отказа по запросу для функции безопасности Е/Е/РЕ системы, связанной с безопасностью — pfhg Вероятность отказа для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема оконечных элементов входит в состав только одной голосующей группы, то PFHG эквивалентна PFHS, PFHl или PFHfe соответственно), отказ/ч PFHS Вероятность отказа для подсистемы датчиков, отказ/ч — pfhl Вероятность отказа для логической подсистемы, отказ/ч — pfhfe Вероятность отказа для подсистемы оконечных элементов, отказ/ч — PFHsys Вероятность отказа для функции безопасности Е/Е/РЕ системы, связанной с безопасностью, отказ/ч — XD Интенсивность опасных отказов для канала подсистемы, равная 0,5 х X (в предположении 50 % опасных отказов и 50 % безопасных отказов), отказ/ч — ^DD Интенсивность обнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных опасных отказов для канала подсистемы), отказ/ч — ^DU Интенсивность необнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей необнаруженных опасных отказов для канала подсистемы), отказ/ч —

13

Окончание таблицы В.1

Обозна чение Параметр, единица измерения Диапазон параметров в соответствии с таблицами В.2 —В.биВ.Ю —В.13 ^SD Интенсивность обнаруженных безопасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных безопасных отказов для канала подсистемы), отказ/ч — *СЕ Эквивалентное среднее время простоя канала для архитектур lool, 1оо2, 2оо2 и 2ооЗ (это объединенное время простоя для всех компонентов канала подсистемы), ч fGE Эквивалентное среднее время простоя голосующей группы для архитектур lool, 1оо2, 2оо2 и 2ооЗ (это объединенное время простоя для всех каналов в голосующей группе), ч *СЕ Эквивалентное среднее время простоя канала для архитектуры 1oo2D (это объединенное время простоя для всех компонентов канала подсистемы), ч *GE Эквивалентное среднее время простоя голосующей группы для архитектуры 1oo2D (это суммарное время простоя для всех каналов в голосующей группе), ч — Т2 Интервал времени между запросами, ч — ^ Только режим высокой интенсивности запросов и непрерывный режим. 2) Только режим низкой интенсивности запросов.

В.2 Средняя вероятность отказа по запросу (для режима низкой интенсивности запросов)

В.2.1 Процедура расчета

Среднюю вероятность отказа в обслуживании функции безопасности для Е/Е/РЕ системы, связанной с безопасностью, определяют вычислением и суммированием средней вероятности отказа в обслуживании для всех подсистем, совокупность которых обеспечивает функцию безопасности. Так как рассматриваемые в настоящем приложении вероятности невелики, то средняя вероятность отказа по запросу для функции безопасности Е/Е/РЕ системы (см. рисунок В.2), связанной с безопасностью, PFD_SYS может быть вычислена по формуле

PFD_sys = PFD_S + PFD_l + PFD_fe ,

где PFD_S — средняя вероятность отказа по запросу для подсистемы датчиков;

PFD_l — средняя вероятность отказа по запросу для логической подсистемы;

PFD_fe — средняя вероятность отказа по запросу для подсистемы оконечных элементов.

Рисунок В.2 — Структура подсистем Е/Е/РЕ системы, связанной с безопасностью

Для определения средней вероятности отказа по запросу для каждой из подсистем необходимо строго придерживаться следующей процедуры для каждой подсистемы:

a)    Рисуют структурную схему, изображающую компоненты подсистемы датчиков (подсистемы ввода), компоненты логической подсистемы или компоненты подсистемы оконечных элементов (подсистемы вывода). Компонентами подсистемы датчиков, например, могут быть датчики, защитные экраны, входные согласующие цепи; компонентами логической подсистемы — процессоры и сканеры; а компонентами подсистемы оконечных элементов — выходные согласующие цепи, экраны и исполнительные механизмы. Представляют каждую подсистему как одну либо более голосующих групп lool, 1оо2, 2оо2, 1oo2D или 2ооЗ.

b)    Применяют соответствующие таблицы В.2 — В.5, в которых приведены шестимесячные, годовые, двухлетние и 10-летние интервалы между процедурами тестирования. Данные таблицы предполагают, что среднее время восстановления для любого отказа после его обнаружения равно 8 ч.

c)    Для каждой голосующей группы в подсистеме выбирают из таблиц В.2 — В.5:

- архитектуру (например 2ооЗ);

ГОСТ Р МЭК 61508-6-2007

-    диагностический охват для каждого канала (например 60 %);

-    интенсивность отказов (в час) X для каждого канала (например 5.0Е-06);

-    |3-факторы отказа с общей причиной (3 и P_D для взаимосвязи между каналами в рассматриваемой архитектуре (например 2 % и 1 % соответственно).

Примечания

1    Предполагается, что все каналы в голосующей группе имеют одинаковые диагностические покрытия и интенсивности отказов (см. подраздел В.1).

2    В таблицах В.2 — В.5 (см. также таблицы В.10 — В.13) предполагается, что p-фактор в отсутствие диагностических тестов (также применяемый для необнаруженных опасных отказов при использовании диагностических тестов) р в 2 раза больше p-фактора для отказов, обнаруживаемых диагностическими тестами, P_D.

d)    Получают из таблиц В.2 — В.5 среднюю вероятность отказа в обслуживании для голосующей группы.

e)    Если функция безопасности зависит от нескольких голосующих групп датчиков или исполнительных механизмов, то совокупную среднюю вероятность отказа в обслуживании для подсистемы датчиков или подсистемы оконечных элементов PFD_S или PFD_fe задают следующими формулами:

PFD_S = X PFD_Gi;

/

PFD_fe = X PFD_Gi.

i

где PFD_Gj и PFD_Gj— средние вероятности отказа в обслуживании для каждого из голосующей группы датчика или оконечного элемента, соответственно.

В.2.2 Архитектуры для режима низкой интенсивности запросов

Примечания

1    В настоящем пункте справедливые для нескольких архитектур формулы выводят там, где они встречаются впервые.

2    Формулы настоящего пункта справедливы для предположений, перечисленных в В.1.

В.2.2.1 Архитектура 1оо1

Данная архитектура предполагает использование одного канала, и любой опасный отказ приводит к нарушению функции безопасности при возникновении запроса на ее выполнение.

На рисунках В.З и В.4 представлены структурная схема и схема расчета надежности. Интенсивность для канала X_D задается формулой

Xq

- x_DU

Канал

I I

| Диагностика

Рисунок В.З — Структурная схема архитектуры 1оо1

I 1_____________

Рисунок В.4 — Схема расчета надежности архитектуры 1оо1

На рисунке В.4 показано, что канал можно рассматривать как состоящий из двух компонентов, одного с интенсивностью опасных отказов X_DU., обусловленной необнаруженными отказами, а другого с интенсивностью опасных отказов X_DD, обусловленной обнаруженными отказами. Эквивалентное среднее время простоя канала t_CE можно рассчитать, суммируя времена простоя для двух компонентов, f_ci и f^, прямо пропорционально вкладу каждого компонента в вероятность отказа канала:

6—1557

15

ГОСТ Р МЭК 61508-6-2007

Содержание

1    Область применения........................................ 1

2    Нормативные ссылки........................................ 3

3    Термины, определения и сокращения................................ 3

Приложение А (справочное) Применение МЭК 61508-2 и МЭК 61508-3 ................ 4

Приложение В (справочное) Метод оценки вероятностей отказа аппаратных средств......... 11

Приложение С (справочное) Расчет диагностического охвата и доли безопасных отказов...... 36

Приложение D (справочное) Методика количественного определения влияния отказов аппаратных

средств с общей причиной в Е/Е/РЕ системах.................... 39

Приложение Е (справочное) Применение таблиц полноты безопасности программного обеспечения в

соответствии с МЭК 61508-3 ............................. 49

Приложение F (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации..................... 60

Библиография............................................ 61

tcE =    (-W + MTTr)^B- MTTR .

A_D У ^    J    Ко

Для каждой архитектуры интенсивность необнаруженных опасных отказов X_DU и интенсивность необнаруженных опасных отказов X_DD задаются как

Xои = ^ (1 -DC); X_DD = ^ DC.

Среднюю вероятность отказа выполнения функции безопасности канала PFD в течение времени простоя t_CE определяют из выражения

PFD = 1-е^о'сЕ =X_Dt_CE

так как '^KD *СЕ « 1.

Следовательно, средняя вероятность отказа по запросу для архитектуры lool PFD_G равна

PFD_g ⁼ O^DU ⁺ ^DD^CE •

В.2.2.2 Архитектура 1оо2

Данная архитектура представляет собой два канала, соединенных параллельно, так что любой из каналов может выполнить функцию безопасности. Следовательно, для нарушения функции безопасности опасные отказы должны возникнуть в обоих каналах. Предполагается, что любое диагностическое тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования.

Рисунок В.5 — Структурная схема архитектуры 1оо2

Рисунок В.6 — Схема расчета надежности архитектуры 1оо2

Структурная схема и схема расчета надежности архитектуры 1оо2 приведены на рисунках В.5 и В.6. Значение t_CE вычисляют в соответствии с В.2.2.1, но необходимо вычислить также и эквивалентное время простоя системы *GE по формуле

₊ MTTRMTTR.

Для данной архитектуры lool средняя вероятность отказа по запросу PFD_G равна

PFD_g=2[(1-P_d)X_dd+(1-P)^du] ^ce^ge +Рd^-dd MTTR+fiX_DU    + /W7~77-?j.

Введение

Системы, состоящие из электрических и/или электронных компонентов, в течение многих лет используются для выполнения функций безопасности в большинстве областей применения. Компьютерные системы [обычно называемые программируемыми электронными системами (PES)], используемые во всех областях применения для выполнения задач, не связанных с безопасностью, во все возрастающих масштабах используются для решения задач обеспечения безопасности. Для эффективной и безопасной эксплуатации технологий, основанных на использовании компьютерных систем, важно, чтобы лица, ответственные за принятие решений, имели в своем распоряжении практические руководства по вопросам безопасности.

Настоящий стандарт устанавливает общий подход к вопросам обеспечения безопасности всего жизненного цикла систем, состоящих из электрических и/или электронных, и/или программируемых электронных компонентов [электрических/ электронных/ программируемых электронных систем (E/E/PES)], используемых для выполнения функций безопасности. Этот унифицированный подход был принят для разработки рациональной и последовательной технической концепции для всех электрических систем, связанных с безопасностью. Основной целью настоящего стандарта является содействие разработке стандартов для их применения в различных предметных областях.

Обычно безопасность систем достигается использованием в них нескольких систем защиты, в которых используются различные (например механические, гидравлические, пневматические, электрические, электронные, программируемые электронные) технологии. Следовательно, любая стратегия безопасности должна учитывать не только элементы, входящие в состав отдельных систем (например датчики, управляющие устройства и исполнительные механизмы), но также и подсистемы, связанные с безопасностью, входящие в состав комбинированной системы, связанной с безопасностью. Таким образом, хотя настоящий стандарт в основном распространяется на электрические / электронные / программируемые электронные (Е/Е/РЕ) системы, связанные с безопасностью, он может также дать представление об общей структуре, в рамках которой рассматриваются системы, связанные с безопасностью, основанные на других технологиях.

Признанным фактом является существование огромного разнообразия применений E/E/PES в различных предметных областях, отличающихся разной степенью сложности, опасностями и возможными рисками. В каждом конкретном применении использование необходимых мер безопасности будет зависеть от многочисленных факторов, специфичных для этого конкретного применения. Настоящий стандарт, являясь базовым, позволяет формулировать такие меры для вновь разрабатываемых международных стандартов для различных предметных областей.

Настоящий стандарт:

-    рассматривает все соответствующие этапы жизненного цикла систем безопасности в целом, а также подсистем E/E/PES и программного обеспечения (начиная с исходной концепции, включая проектирование, разработку, эксплуатацию, техническое обслуживание и вывод из эксплуатации), в ходе которых E/E/PES используются для выполнения функций безопасности;

-    разработан с учетом быстрого развития технологий; его структура является достаточно устойчивой и полной для удовлетворения потребностей разработок, которые могут появиться в будущем;

-делает возможной разработку стандартов областей применения, в которых используются системы E/E/PES; разработка стандартов для областей применения в рамках общей структуры, вводимой настоящим стандартом, должна приводить к более высокому уровню согласованности (например основные принципы, терминология и т. п.) какдля отдельных областей применения, таки для их совокупности; это дает преимущества, какдля безопасности, так и в сфере экономики;

-    предоставляет метод разработки спецификаций для требований безопасности, необходимых для достижения требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью;

-    использует уровни полноты безопасности для задания планируемого уровня полноты безопасности функций, которые должны быть реализованы Е/Е/РЕ системами, связанными с безопасностью;

-    использует для определения уровней полноты безопасности подход, основанный на оценке рисков;

-    устанавливает количественные значения отказов Е/Е/РЕ систем, связанных с безопасностью, которые связаны с уровнями полноты безопасности;

-    устанавливает нижний предел планируемых значений отказов в режиме опасных отказов, который может быть задан для отдельной Е/Е/РЕ системы, связанной с безопасностью; для Е/Е/РЕ систем, связанных с безопасностью работающих:

ГОСТ Р МЭК 61508-6-2007

-    в режиме с низкой интенсивностью запросов, нижний предел для выполнения планируемой функции по запросу устанавливают на средней вероятности отказов10^-5,

-    в режиме с высокой интенсивностью запросов нижний предел устанавливают на вероятности опасных отказов 10”⁹ в час.

Примечание — Конкретная Е/Е/РЕ система, связанная с безопасностью, не обязательно предполагает одноканальную архитектуру;

-    применяет широкий набор принципов, методов и мер для достижения функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью, но не использует концепцию безаварийности, которая может иметь важное значение в случае, если виды отказов хорошо определены, а уровень сложности является относительно невысоким. Концепция безаварийности признана неподходящей из-за широкого диапазона сложности Е/Е/РЕ систем, связанных с безопасностью и подпадающих под область применения настоящего стандарта.

2—1557

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ

С БЕЗОПАСНОСТЬЮ

Часть 6

Руководство по применению ГОСТ Р МЭК 61508-2-2007 и ГОСТ Р МЭК 61508-3-2007

Functional safety of electrical, electronic, programmable electronic safety-related systems.

Part 6. Guidelines on the application of GOST R IEC 61508-2—2007 and GOST R IEC 61508-3—2007

Дата введения — 2008 — 09 — 01

1 Область применения

1.1    Настоящий стандарт содержит информацию и руководящие указания по применению МЭК 61508-2 и МЭК 61508-3.

Краткий обзор требований МЭК 61508-2 и МЭК 61508-3 и определение функциональной последовательности их применения содержится в приложении А.

Пример методики расчета вероятности отказа аппаратных средств содержится в приложении В, которое следует применять совместно с МЭК 61508-2 (пункт 7.4.3 и приложение С) и приложением D настоящего стандарта.

Пример расчета диагностического охвата содержится в приложении С, которое следует применять совместно с МЭК 61508-2 (приложение С).

Метод количественной оценки влияния отказов аппаратных средств по общей причине на вероятность отказов — по приложению D.

Примеры применения таблиц полноты безопасности программного обеспечения, приведенных в МЭК 61508-3 (приложение А), для уровней полноты безопасности 2 и 3 — по приложению Е.

1.2    МЭК 61508-1 — МЭК 61508-4 являются основополагающими стандартами по безопасности, хотя они не применяются в контексте Е/Е/РЕ систем, связанных безопасностью, имеющих небольшую сложность (см. МЭК 61508-4, пункт 3.4.4). В качестве основополагающих стандартов по безопасности данные стандарты предназначены для использования техническими комитетами при подготовке стандартов в соответствии с Руководствами МЭК 104:1997 и ИСО/МЭК 51:1999. Стандарты МЭК 61508-1 — МЭК 61508-4 предназначены также для использования в качестве самостоятельных стандартов.

1.3    В обязанности технического комитета входит использование (где это возможно) основополагающих стандартов по безопасности при подготовке собственных стандартов. В этом случае требования, методы или условия проверки настоящего основополагающего стандарта по безопасности не будут применяться, если это не указано специально, или будут включаться в стандарты, подготовленные этими техническими комитетами.

Примечание — В США и Канаде до тех пор, пока стандарты для конкретного сектора применения стандартов МЭК 61508 (например МЭК 61511 [1]) не будут опубликованы в качестве международных стандартов США и Канады, существующие там национальные стандарты по безопасности в обрабатывающих секторах, основанные на МЭК 61508, могут быть применены вместо МЭК 61508.

1.4    Структура комплекса стандартов МЭК 61508-1 — МЭК 61508-7 с указанием роли МЭК 61508-6 в достижении функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью, показана на рисунке 1.

Издание официальное

ГОСТ Р МЭК 61508-6-2007

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты:

ИСО/МЭК Руководство 51:1999 Аспекты безопасности — руководство по включению в стандарты МЭК Руководство 104:1997 Руководство по подготовке стандартов по безопасности и использование базовых и групповых стандартов по безопасности

ИСО/МЭК 2382-14:1998 Обработка данных. Словарь. Часть 14. Надежность, удобство сопровождения и работоспособность

МЭК61508-1:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

МЭК 61508-2:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

МЭК 61508-3:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

МЭК 61508-4:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения

МЭК 61508-5:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Примеры методов для определения уровней полноты безопасности

МЭК 61508-7:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Анализ методов и средств

3 Термины, определения и сокращения

В настоящем стандарте используются термины, определения и сокращения по МЭК 61508-4.

3—1557

Приложение А (справочное)

Применение МЭК 61508-2 и МЭК 61508-3

А.1 Общие положения

Конкретные механизм, технологическая установка, а также другое оборудование могут в случае неправильной работы (например отказ электромеханических, электронных и/или программируемых электронных устройств) представлять опасность для людей и окружающей среды из-за возникновения опасных событий (например пожары, взрывы, избыточная радиация, попадание в механизмы и т. д.). Аварии оборудования могут возникать по причине физических отказов устройств (неожиданные аварии оборудования), либо систематических отказов (ошибки человека в технических условиях и конструкции конкретной системы при определенной комбинации причин приводят к систематическим отказам), либо некоторых внешних условий.

Общий подход, основанный на оценке рисков, для предотвращения и/или контроля отказов в электромеханических, электронных или программируемых электронных устройствах содержится в МЭК 61508-1.

Основная задача настоящего стандарта заключается в обеспечении безопасной автоматизации установок и оборудования, а его основная цель состоит в предотвращении:

-    отказов систем управления, инициирующих другие события, которые, в свою очередь, могут привести к опасности (например утечка токсичных материалов, повторяющиеся удары механизмов и т. д.) и

-    необнаруженных отказов систем защиты (например, в системах аварийной остановки), делающих эти системы недоступными в момент необходимости действий, связанных с безопасностью.

Требование проведения анализа опасности и риска для процесса/механизма, чтобы определить степень снижения риска, необходимую для удовлетворения критериям оценки риска для приложения, см. в МЭК 61508-1. Оценка риска основана на оценке как последствий (или серьезности), так и частоты (или вероятности) опасного события.

Требование использования степени снижения риска, определенной в процессе анализа, для решения о том, требуется ли одна или несколько систем, связанных с безопасностью¹), и для выполнения каких функций обеспечения безопасности (каждая с заданной полнотой безопасности²)) требуются эти системы, содержится в МЭК 61508-1.

В МЭК 61508-2 и МЭК 61508-3 рассматриваются требования к функциям безопасности и полноте безопасности, установленные в МЭК 61508-1, для любой Е/Е/РЕ системы, связанной с безопасностью, а также устанавливаются требования к жизненному циклу безопасности, которые:

-    применяются при разработке технического задания, проектировании и изменении аппаратных средств и программного обеспечения, а также

-    фокусируются на средствах предотвращения и/или контроля случайных отказов аппаратных средств и систематических отказов (жизненные циклы безопасности E/E/PES и программного обеспечения³)).

МЭК 61508-2 и МЭК 61508-3 не содержат указаний, какой уровень полноты безопасности соответствует заданному требуемому приемлемому риску. Это решение зависит от многих факторов, включая характер применения, степень выполнения функций безопасности другими системами, а также социальные и экономические факторы (см. МЭК 61508-1 и МЭК 61508-5).

Требования МЭК 61508-2 и МЭК 61508-3 включают в себя:

-    применение методов⁴) и средств, классифицированных в соответствии с уровнем полноты безопасности, чтобы избежать систематических отказов⁵) с помощью планово-предупредительных мер, и

ГОСТ Р МЭК 61508-6-2007

-    управление систематическими отказами (включая отказы программного обеспечения) и случайными отказами аппаратных средств с помощью конструктивных особенностей, таких как встроенные средства обнаружения повреждений, избыточность и особенности архитектуры (например диверсификация).

В МЭК 61508-2 гарантия того, что нужный уровень полноты безопасности будет удовлетворительным для опасных случайных отказов аппаратных средств, основывается на:

-    требованиях к отказоустойчивости аппаратуры (см. МЭК 61508-2, таблицы 2 и 3) и

-    диагностическом охвате и частоте контрольных испытаний подсистем и компонент с проведением анализа надежности, использующего соответствующие данные.

В МЭК 61508-2 и МЭК 61508-3 гарантия того, что нужный уровень полноты безопасности будет удовлетворительным для систематических отказов, достигается путем:

-    правильного применения процедур управления безопасностью;

-    использования компетентного персонала;

-    выполнения предусмотренных действий по реализации жизненного цикла обеспечения безопасности, включая предусмотренные методы и средства⁶) и

-    независимой оценки функциональной безопасности⁷).

Главная цель состоит в обеспечении того, что оставшиеся систематические отказы, соответствующие уровню полноты безопасности, не приведут к отказу Е/Е/РЕ системы, связанной с безопасностью.

МЭК 61508-2 был разработан, чтобы формализовать требования к обеспечению полноты безопасности аппаратных средств⁸) Е/Е/РЕ систем, связанных с безопасностью, включая датчики и оконечные элементы. Необходимы методы и средства, направленные против как случайных, так и систематических отказов аппаратных средств. Они, как указано выше, включают в себя соответствующую комбинацию средств по предотвращению неисправностей и управлению отказами. Если для обеспечения функциональной безопасности необходимы действия оператора, то приводятся требования к интерфейсу оператора. В МЭК 61508-2 для обнаружения случайных отказов аппаратных средств также определяются методы и средства диагностического тестирования, реализуемые на уровне программного обеспечения и аппаратных средств (например диверсификация).

МЭК 61508-3 был разработан, чтобы формализовать требования обеспечения полноты безопасности для программного обеспечения, как встроенного (включая диагностические средства обнаружения неисправностей), так и прикладного. МЭК 61508-3 требует использовать комбинированный подход, включающий исключение ошибок (обеспечение качества) и устойчивость к ошибкам (за счет архитектуры программного обеспечения), так как не существует известного способа проверить отсутствие отказов в достаточно сложном программном обеспечении, связанном с безопасностью, и, особенно, избежать ошибок в технических условиях и в проекте. МЭК 61508-3 требует принятия таких принципов разработки программного обеспечения, как проектирование сверху вниз, модульность, проверку на каждой стадии жизненного цикла разработки, проверку программных модулей и библиотек программных модулей, а также четкое документирование для облегчения контроля и проверки. Для различных уровней программного обеспечения требуются различные уровни гарантии того, что эти и связанные с ними принципы были правильно реализованы.

Разработчик программного обеспечения может быть или не быть частью организации, создающей всю E/E/PES. В любом случае необходимо тесное сотрудничество, особенно при разработке архитектуры программируемой электроники, когда требуется анализировать компромиссы между архитектурами аппаратных средств и программного обеспечения на предмет их вклада в обеспечение безопасности (см. МЭК 61508-2, рисунок 4).

А.2 Функциональные этапы применения МЭК 61508-2

Функциональные этапы применения МЭК 61508-2 представлены в настоящем приложении, рисунки А.1 и А.2. Функциональные этапы применения МЭК 61508-3 представлены на рисунке А.З.

Для МЭК 61508-2 можно выделить следующие функциональные этапы (см. приложение А, рисунки А.1 и А.2):

a)    Определяют распределение требований безопасности (МЭК 61508-1). При необходимости модернизируют планирование безопасности в процессе разработки E/E/PES.

b)    Определяют требования безопасности для E/E/PES, включая требования к полноте безопасности, для каждой функции безопасности (МЭК 61508-2, подраздел 7.2). Определяют требования к программному обеспечению и передают их поставщику и/или разработчику программного обеспечения для применения МЭК 61508-3.

5

1

)    Системы, необходимые для обеспечения функциональной безопасности и содержащие одно или несколько электрических (электромеханических), электронных или программируемых электронных (Е/Е/РЕ) устройств, называются системами Е/Е/РЕ, связанными с безопасностью, и включают в себя все оборудование, необходимое для реализации требуемой функции безопасности (см. МЭК 61508-4, пункт 3.4.1).

2

)    Уровень полноты безопасности определяется как один из четырех дискретных уровней. Уровень полноты безопасности 4 является наивысшим, а уровень полноты безопасности 1 — самым низшим (см. МЭК 61508-1, подпункт 7.6.2.9).

3

)    Чтобы сделать возможной четкую структуризацию требований настоящего стандарта, было принято решение упорядочить требования с помощью модели процесса разработки, в которой все этапы следуют в четкой последовательности с небольшим шагом (ее иногда называют потоковой моделью). Однако следует подчеркнуть, что может быть использован любой эквивалентный подход к описанию жизненного цикла при условии, что в плане обеспечения безопасности проекта будут описаны эквивалентные положения (см. МЭК 61508-1, раздел 6).

4

)    Требуемые методы и средства для каждого уровня полноты безопасности представлены в МЭК 61508-2 (таблицы приложений А и В) и МЭК 61508-3.

5

)    Систематические отказы обычно нельзя определить количественно. Причинами отказов бывают: ошибки при спецификации и проектировании технических средств и программного обеспечения; ошибки при учете условий окружающей среды (например, температуры) и ошибки в процессе работы (например слабый интерфейс).

4

6

)    Средства, альтернативные описанным в настоящем стандарте, можно использовать при условии, что при планировании обеспечения безопасности документируются оправдывающие обстоятельства (см. МЭК 61508-1, раздел 6).

7

)    Независимая оценка не всегда подразумевает проведение оценки третьей стороной (см. МЭК 61508-1, раздел 8).

8

)    Включая постоянное встроенное программное обеспечение или эквиваленты программного обеспечения (также называемые программно-аппаратными средствами), например специализированные интегральные схемы.

з*