Загрузил ditinsn

15 02 2021 МЭК 61508

реклама
Структура и содержание
стандартов серии
ГОСТ Р МЭК 61508
СанктПетербург
15 февраля
2021г.
2
Международная
электротехническая комиссия
– МЭК (International
Electrotechnical Commission IEC)
Международная организация
по стандартизации (ISO International Organization for
Standardization)
Качество (ГОСТ 15467-79) – совокупность
свойств продукции, обуславливающих ее
пригодность удовлетворять
определенные потребности в
соответствии с ее назначением.
МЭК 61508
МЭК 61511
Аппаратные средства
Разработка новых устройств
Применение устройств,
разработанных по МЭК 61508
Сертификация аппаратных
средств
Применение устройств,
проверенных на практике
Программные средства
Разработка системного
(встроенного) ПО
Разработка прикладных
программ на языках с
ограниченной изменчивостью
Разработка прикладных
программ на языках с полной
изменчивостью
Разработка прикладных
программ на фиксированных
языках программирования
(конфигурирование устройств)
Пользователи стандартов
серии
«Функциональная безопасность»
МЭК 61508
МЭК 61511
Элементы ПСБ (SIS)
Применение ПСБ (SIS)
Разработка и
производство:
•Разработчики
технологического процесса
•Инженеры АСУ
•Разработчики АСУ
•Системные интеграторы
•Операторы
•Регулятор
•Менеджеры безопасности
процесса
•Аппаратная часть Safety
PLC
•Встроенное ПО
•Сенсоры и конечные
элементы
ANSI/ISA
S84.00.01-2004
(IEC 61511 Mod)
DIN V 19250 "Фундаментальные аспекты безопасности, рассматриваемые для
связанного с безопасностью оборудования измерения и управления» (Германия)
DIN V VDE 0801 "Принципы для компьютеров в системах, связанных с безопасностью".
DIN V 19251-1995 «Устройства защитные контрольно-измерительной аппаратуры.
Технические требования и меры для безопасного функционирования»
NFPA -международная некоммерческая организация по обеспечению пожарной,
электрической безопасности и безопасности строительства
ANSI/ISA s84.01 - «Application of Safety Instrumented Systems for the Process
Industries»
MЭК 61508 – Базовый стандарт по
ФБ
нефтегазовая, химическая промышленность – IEC 61511 – 5 частей;
машины, оборудование – IEC 62061, ISO 13849, ISO/TR 23849…
автомобилестроение – ISO 26262-12 частей , …
ЖД-транспорт – IEC 62278 (CENELEC 50126), IEC 62279 (CENELEC 50128),
IEC 62425 (CENELEC 50129), IEC 62280 (CENELEC 50159), …
медицинские приборы – IEC62304, ISO 14971, …
атомная энергетика – IEC 61513, IEC 63046, …
строительство – EN 50491-4-1, ….
промышленные сети связи – МЭК 61784-3, ….
электромагнитная совместимость – IEC TS 61000-1-2, IEC 61326-3-x , …
Стандарты в области функциональной
безопасности
ГОСТ Р МЭК 61511
ФБ для перерабатывающих отраслей
автомобилестроение –
ISO 26262-12 частей
ГОСТ Р МЭК 61513
Атомные станции
ГОСТ Р 53195, ГОСТ 34332
ФБ систем безопасности
зданий и сооружений
ГОСТ Р МЭК 61508
Функциональная безопасность систем
E/E/PES, связанных с безопасностью
ГОСТ IEC 60079-29
Функциональная безопасность
стационарных газоаналитических
систем
медицинские приборы –
IEC62304
ЖД-транспорт –
IEC 62278, 62279
ГОСТ Р МЭК 62061,
ГОСТ Р ИСО 13849-2, ГОСТ Р 55743
Функциональная безопасность систем
управления оборудованием
промышленные сети
связи – МЭК 61784-3
Функциональная безопасность
Концепция
Жизненного
Цикла
Безопасности
Концепция
Уровня
полноты
безопасности
Согласно СТО РЖД 02.044 – 2011 (УРРАН) жизненный цикл безопасности дополнительный перечень мероприятий, осуществляемых в сочетании с
жизненным циклом объекта для объектов, связанных с безопасностью.
Другими словами, процессы, связанные с ФБ дополняют процессы ЖЦИ,
не заменяя их.
ГОСТ Р МЭК 61508-1 определяет 16 стадий жизненного цикла
всей системы безопасности (СБ)
1. Концепция
2. Определение области применения всей
СБ
3. Анализ опасностей и риска (АОР, HAZOP)
4. Требования ко всей СБ
5. Распределение требований по всей СБ
6. Планирование эксплуатации и
технического обслуживания
7. Планирование подтверждения
соответствия всей СБ
8. Планирование установки и пуска в
действие все СБ
9. Спецификация требования к Э/Э/ПЭ СБ
10. Реализация Э/Э/ПЭ СБ
11. Спецификация и реализация прочих
средств снижения риска
12. Установка и ввод в эксплуатацию всей
СБ
13. Подтверждение соответствия всей СБ
14. Эксплуатация, техническое
обслуживание и ремонт всей СБ
15. Реконструкция и модификация всей
системы СБ
16. Вывод из эксплуатации или
утилизация
Общие сведения о МЭК 61508
Электрическая/электронная/ программируемая электронная система
(E/E/PE - Э/Э/ПЭ)
- система управления, защиты или мониторинга, основанная на использовании
одного или нескольких Э/Э/ПЭ устройств, включая все элементы системы,
такие как источники питания, датчики и другие устройства ввода, магистрали
данных и другие коммутационные магистрали, исполнительные устройства и
другие устройства вывода.
Система, связанная с безопасностью:
-реализует необходимые функции безопасности, требующиеся для достижения и
поддержки безопасного состояния УО;
- предназначена
 для достижения необходимой полноты безопасности:
 для предотвращения опасного события;
 для ослабления последствий вредного события, снижая риск путем
уменьшения последствий.
Другие средства снижения риска – средства снижения и ослабления риска, отдельное
и отличное от Э/Э/ПЭ систем, связанных с безопасностью, и не использующие Э/Э/ПЭ
системы, связанные с безопасностью.
(Пример – предохранительный клапан является другим средством снижения риска)
ПАЗ
(РСУ)
Сенсоры ПАЗ и РСУ
Исполнительные
механизмы
ПАЗ и РСУ
ГОСТ Р МЭК 61508-4
Термины и определения
ГОСТ Р МЭК 61508-1
Общие требования
ГОСТ Р МЭК 61508-2
Требования к системам
ГОСТ Р МЭК 61508-3
Требования к
программному
обеспечению
ГОСТ Р МЭК 61508
Функциональная
безопасность Э/Э/ПЭ
систем, связанных с
безопасностью
ГОСТ Р МЭК 61508-5
Рекомендации по
применению методов
определения УПБ
ГОСТ Р МЭК 61508-6
Руководство по
применению частей 2 и 3
ГОСТ Р МЭК 61508-7
Методы и средства
3.1 Термины,
связанные с
безопасностью
3.5 Функции
безопасности и
полнота
безопасности
3.2 Оборудования
и устройства
3.6 Сбой, отказ и
ошибка
ГОСТ Р МЭК 61508-4
Термины и
определения
3.3 Системы:
общие аспекты
3.7 Процессы
жизненного
цикла
3.4 Системы:
аспекты,
связанные с
безопасностью
3.8
Подтверждение
мер по
обеспечению
безопасности
3.1 Термины, связанные с
безопасностью
R(t)=Pr(t)C
3.1.1 Вред (harm): Физическое повреждение или ущерб, причиняемый
здоровью людей, имуществу или окружающей среде.
3.1.2 Опасность (hazard): Потенциальный источник причинения вреда
3.1.6 Риск (risk): Сочетание вероятности события причинения вреда P(t) и
тяжести этого вреда C.
3.1.7 Допустимый риск (tolerable risk): Риск, который приемлем при данных
обстоятельствах на основании существующих в обществе ценностей.
3.1.8 Остаточный риск – Риск остающийся после принятия защитных мер.
3.1.11 Безопасность (safety): Отсутствие неприемлемого риска.
3.1.13 Безопасное состояние (safe state): Состояние УО, в котором
достигается безопасность.
3.2 Оборудование и устройства
3.1.12 Функциональная безопасность (functional safety): Часть общей безопасности,
обусловленная применением управляемого оборудования (УО) и системы управления
УО, и зависящая от правильности функционирования систем, связанных с
безопасностью, и других средств по снижению риска.
3.2.1 управляемое оборудование (УО - EUC) – оборудование, машины,
аппараты или установки, используемые для производства, обработки,
транспортирования, в медицине или других процессах.
3.3.3 система управления управляемым оборудованием – система,
реагирующая на входные сигналы, поступающие от процесса и/или от
оператора, и генерирующая выходные сигналы, которые заставляют
управляемое оборудование работать в необходимом режиме.
3.2.7 прикладное программное обеспечение – часть программного
обеспечения программируемой электроники, которая по
специфицированным функциям выполняет задачу, связанную с
безопасностью УО, но не обеспечивает функционирование и не
предоставляет сервисы для самого программируемого устройства.
3.3 Системы: Общие аспекты
3 . 3 . 4 архитектура (architecture): Конкретная конфигурация
элементов аппаратного и программного обеспечения системы.
3 . 3 . 7 разнообразие (diversity): Признак, относящийся к
средствам и характеризующий различие методов, применяемых
для получения требуемой функции.
3.3.6 канал (channel): Элемент или группа элементов, которые
независимо реализуют часть функции безопасности.
Пример - Двухканальная (или дуальная) конфигурация конфигурация, в которой два канала независимо выполняют ту же
часть функции безопасности.
Примечание - Данный термин может применяться для описания полных систем или
частей системы (например, датчиков или исполнительных
элементов).
3.5 Функции безопасности и
полнота безопасности
3.5.1 функция безопасности (safety function): Функция, реализуемая Э/Э/ПЭ системой,
связанной с безопасностью, или другими мерами по снижению риска,
предназначенная для достижения или поддержания безопасного состояния УО по
отношению к конкретному опасному событию
3.5.4 полнота безопасности (safety integrity): Вероятность того, что система, связанная с
безопасностью, будет удовлетворительно выполнять требуемые функции безопасности
при всех оговоренных условиях в течении заданного интервала времени.
3.5.5 полнота безопасности программного обеспечения …
3.5.6 полнота безопасности, касающаяся систематических отказов …
3.5.7 полнота безопасности аппаратных ...
3.5.8 уровень полноты безопасности; УПБ [safety integrity level (SIL)]: Дискретный
уровень (принимающий одно из четырех возможных значений), соответствующий
диапазону значений полноты безопасности, при котором уровень полноты
безопасности, равный 4, является наивысшим уровнем полноты безопасности, а
уровень полноты безопасности, равный 1, соответствует наименьшей полноте
безопасности.
3.5 Функции безопасности и
полнота безопасности
3.5.9 стойкость к систематическим отказам – ( ССО, SC – Systematic Capability) - Мера
уверенности в том, что систематическая полнота безопасности элемента соответствует
требованиям заданного значения УПБ для определенной функции безопасности
элемента, если этот элемент применен в соответствии с указаниями, определенными
для этого элемента в соответствующем руководстве по безопасности.
Диапазон показателя SC1SC4.
3.5.11 Спецификация требований к Э/Э/ПЭ системам безопасности – SRS –
спецификация, содержащая требования к функциям безопасности и связанными с ними
УПБ.
3.5.16 режим работы — с низкой частотой запросов,
в котором ФБ выполняется только по запросу и переводит УО в определенное
безопасное состоянии , а частота запросов не превышает один в год
с высокой частотой запросов, в котором ФБ выполняется только по запросу и
переводит УО в определенное безопасное состоянии , а частота запросов превышает
один в год
непрерывный режим – ФБ поддерживает УО в безопасном состоянии, как и при
нормальном функционировании.
3.6 Сбой, отказ и ошибка
3.6.1 сбой (fault): Ненормальный режим, который может вызвать снижение или
потерю способности функционального блока выполнять требуемую функцию.
3.6.4 отказ (failure): Прекращение способности функционального блока
выполнять необходимую функцию либо функционирование этого блока любым
способом, отличным от требуемого.
3.6.5 случайный отказ аппаратуры (random hardware failure): Отказ,
возникающий в случайный момент времени, который является результатом
одного или нескольких возможных механизмов ухудшения характеристик
аппаратных средств.
3.6.6 систематический отказ (systematic failure): Отказ, связанный
детерминированным образом с некоторой причиной, который может быть
исключен только путем модификации проекта, либо производственного
процесса, операций, документации, либо других факторов.
3.6 Сбой, отказ и ошибка
3.6.7 опасный отказ (dangerous failure): Отказ элемента и/или подсистем и/или системы,
которые принимают участие в реализации функций безопасности, в результате чего:
а) функция безопасности не выполняется, когда это требуется (для режимов с низкой или
высокой частотой запросов) либо отказывает (для непрерывного режима), что приводит к
переводу УО в опасное или потенциально опасное состояние;
б) снижается вероятность того, что функция безопасности при необходимости будет
корректно выполнена.
3.6.8 безопасный отказ (safe failure): Отказ элемента и/или подсистем и/или системы,
которые принимают участие в реализации функций безопасности, в результате чего:
а) функция безопасности не выполняется, когда это требуется (для режимов с низкой или
высокой частотой запросов) либо отказывает (для непрерывного режима), что приводит к
переводу УО в опасное или потенциально опасное состояние;
б) снижается вероятность того, что функция безопасности при необходимости будет
корректно выполнена.
3.6.9 отказ по общей причине – (common cause failure - CCF) отказ, являющийся
результатом одного или несколько событий, вызвавших одновременные отказы двух или
более отдельных каналов в многоканальной системе, ведущих к отказу системы.
3.8 Подтверждение мер по обеспечению
безопасности
3.8.1 верификация (verification): Подтверждение выполнения
требований путем исследования и сбора объективных
свидетельств.
(На основе п.2.17 стандарта ISO 8402. Управление качеством и
обеспечение качества –Словарь)
{путем анализа, математических обоснований и/или
тестирования…
для используемых входных данных выходные данные
соответствуют набору задач и требований для
рассматриваемой стадии ЖЦ безопасности
3.8 Подтверждение мер по обеспечению безопасности
3.8.2 подтверждение соответствия (validation): Подтверждение,
путем испытаний и представления объективных свидетельств,
выполнения конкретных требований к предусмотренному
конкретному использованию.
(На основе стандарта п.2.18 ISO 8402. Управление качеством и
обеспечение качества –Словарь)
3 стадии подтверждение соответствия:
1. подтверждение соответствия всей системы безопасности;
2. подтверждение соответствия Э/Э/ПЭ системы (стадия 10 ЖЦ
– реализация Э/Э/ПЭ системы);
3. Э/Э/ПЭ системы программного обеспечения (стадия 10 ЖЦ
программного обеспечения).
3.8 Подтверждение мер по обеспечению
безопасности
3.8.3 Оценка функциональной безопасности (functional safety
assessment - FSA) – Исследование, основанное на фактах,
предназначенное для оценки функциональной безопасности,
достигаемой одной или несколькими Э/Э/ПЭ системами,
связанными с безопасностью и/или другими средствами
снижения риска
3.8.4 Аудит функциональной безопасности – систематическое и
независимое исследование, проводящее с тем, чтобы
определить, насколько эффективно реализованы процедуры,
предназначенные для согласования требований к ФБ с
запланированными мероприятиями и определения, насколько
они пригодны для достижения поставленных целей.
3.8 Подтверждение мер по обеспечению безопасности
3.8.5 Контрольная проверка (proof test) – периодическая
проверка, проводимая для того, чтобы обнаружить опасные
скрытые отказы в системе, связанной с безопасностью, с тем,
чтобы при необходимости система могла быть восстановлена
настолько близко к «исходному» состоянию, насколько это
возможно в данных условиях.
Примечание:
1. Термин «Контрольная проверка» является синонимом термина «периодическая
проверка».
2. Эффективность контрольной проверки зависит от глубины и достоверности
диагностирования (тестирования). На практике 100% обнаружение скрытых
отказов возможно только для изделий, имеющих низкую сложность.
3. На время контрольной проверки система ПАЗ может быть частично или
полностью недоступна для выполнения запроса.
ГОСТ Р МЭК 61508-1
Общие требования
ГОСТ Р МЭК 61508-2
Требования к системам
ГОСТ Р МЭК 61508-3
Требования к
программному
обеспечению
раздел 5 –
требования к документации;
раздел 6 –
требования к управлению ФБ;
раздел 7 –
требования к жизненному
циклу;
раздел 8 –
требования к оцениванию ФБ.
7.1 Общие положения
7.2 Концепция
7.3 Область применения
7.4 Анализ опасностей и рисков
7.5 Требования ко всей системе
безопасности
7.6 Распределение требований
безопасности
7.7 Планирование эксплуатации и
ТО всей системы
7.8 Планирование подтверждения
соответствия системы безопасности
7.9 Планирование ввода в
эксплуатацию
7.10 Спецификация требований
7.11 Реализация системы
безопасности
7.12 Другие меры по снижению
риска
7.13 Установка и ввод в действие
7.14. Подтверждение соответствия
безопасности
7.15 Эксплуатация, ТОиР
7.16 Модификация и изменение
7.17. Вывод из эксплуатации
7.18 Верификация
ГОСТ Р МЭК 61508-1
Общие требования
раздел 5 – требования к документации;
раздел 6 – требования к управлению ФБ;
раздел 7 – требования к жизненному
циклу всей системы безопасности;
раздел 8 –требования к оцениванию ФБ.
Табл.1 Полный ЖЦБ: обзор
Табл.2 УПБ (низкая частота запросов)
Табл.3 УПБ (высокая частота запросов)
Рис.1 Общая структура стандарта
Рис.2 Полный ЖЦБ
Рис.3 ЖЦБ Э/Э/ПЭ
Рис.4 ЖЦБ ПО
Рис.6 Распределение требований безопасности
Приложение А
Пример структуры документации
раздел 5 – требования к документации
Приложение А
Пример структуры документации
ГОСТ Р МЭК 61508-1
Общие требования
7 Требования к жизненному
циклу всей системы
безопасности
7.1 Общие положения
Для того, чтобы на
систематической основе
выполнить все действия,
необходимые для достижения
требуемой полноты
безопасности для функций
безопасности ПАЗ в стандарте в
качестве технического подхода
принят жизненный цикл всей
системы безопасности
Рисунок 2 – Структура
жизненного цикла всей системы
безопасности
Термины
3
0
ГОСТ Р МЭК 61508-4-2012 (п.3.7.1)
жизненный цикл
систем безопасности:
Необходимые процессы,
относящиеся к реализации систем,
связанных с безопасностью,
проходящие в течение периода
времени, начиная со стадии
разработки концепции проекта и
заканчивая стадией, когда все Э/Э/ПЭ
системы, связанные с безопасностью и
другие средства снижения риска уже
не используются.
СТО РЖД (УРРАН):
жизненный цикл
безопасности -
дополнительный
перечень мероприятий,
осуществляемых в
сочетании с жизненным
циклом объекта для
объектов, связанных с
безопасностью.
Жизненный цикл системы ФБ (ГОСТ Р МЭК 61508-1 п.7)
АНАЛИЗ
Документирование
Управление функциональной безопасностью
2
ПЛАНИРОВАНИЕ
6
ЭКСПЛУАТАЦИЯ И
ТЕХНИЧЕСКОЕ
ОБСЛУЖИВАНИЕ
7
ПОДТВЕРЖДЕНИЕ
СООТВЕТСТВИЯ
8
УСТАНОВКА И
ВВОД В
ЭКСПЛУАТАЦИЮ
ЭКСПЛУАТАЦИЯ
31
КОНЦЕПЦИЯ
ОПРЕДЕЛЕНИЕ ПОЛНОЙ ОБЛАСТИ ПРИМЕНЕНИЯ
3
АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ
4
ПОЛНЫЕ ТЕРБОВАНИЯ К БЕЗОПАСНОСТИ
5
РАСПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ К БЕЗОПАСНОСТИ
9
СПЕЦИФИКАЦИЯ ТРЕБОВАНИЙ
К E/E/PE СИСТЕМЕ БЕЗОП.
10
РЕАЛИЗАЦИЯ
12
(8)
ПЛАНОВАЯ УСТАНОВКА И
ВВОД В ДЕЙСТВИЕ
13
(7)
ПОЛНОЕ ПОДТВЕРЖДЕНИЕ
СООТВЕТСТВИЯ
РЕАЛИЗАЦИЯ
14
(6)
ЭКСПЛУАТАЦИЯ,
ОБСЛУЖИВАНИЕ И РЕМОНТ
15
16
ВЫВОД ИЗ ЭКСПЛУАТАЦИИ
ИЛИ ЛИКВИДАЦИЯ
11
ПРОЧИЕ
СРЕДСТВА
СНИЖЕНИЕ
РИСКОВ
РЕАЛИЗАЦИЯ
МОДИФИКАЦИЯ
Верификация
1
2
ОПРЕДЕЛЕНИЕ ОБЛАСТИ
ПРИМЕНЕНИЯ
Требования:
Цель: расширение уровня
понимания УО и окружающей
среды (физической и
законодательной)
-Собрать подробную информацию об УО, требуемых
функциях управления и окружающей среде;
-Определить потенциальные источники опасностей, опасных
ситуациях и вредных событий;
-Получить информацию о текущем состоянии регулирования
в области безопасности;
-Определить опасности, опасные ситуации и вредные
события в связи с другим оборудованием или системами
вблизи рассматриваемого УО.
Требования и результаты их выполнения должны быть документально
оформлены
3
АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ
Цели:
1. Определение опасностей, опасных событий и опасных
ситуаций, относящихся к УО и системе управления для
всех обоснованных предсказуемых случаев , включая
условия появления отказов;
Разумно предсказуемое неправильное применение
аппаратных средств и ПО.
2. Определение
последовательностей
событий,
приводящим к опасным событиям.
3. Определение рисков УО.
П.3.2.4 (МЭК 61508-4-2012): Разумно предсказуемое неправильное
применение - использование изделия, процесса или услуги в условиях или с
целью, не предусмотренными поставщиком, но которое может случиться в
результате легко предсказуемого поведения человека.
3
АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ
Требования:
Опасности, опасные ситуации и события, связанные с УО и
системой управления, должны быть определены для всех
разумно предсказуемых условий неправильное применение
аппаратных средств и ПО.
В этот круг входят все случаи, связанные с человеческим
фактором:
• ГОСТ Р 51901-5 – руководство по обнаружению опасностей,
включая проблемы, связанные с человеческим фактором;
•ГОСТ Р ИСО/МЭК 62443 – руководство по анализу угроз
безопасности ( кибербезопасность).
Требования и результаты их выполнения должны быть документально
оформлены
4
ПОЛНЫЕ ТЕРБОВАНИЯ К БЕЗОПАСНОСТИ
Цель:
Разработка спецификаций требований ко всей системе безопасности:
a. Требования к функциям безопасности;
b. Требования к полноте безопасности всей системы безопасности
1.
к Э/Э/ПЭ системам
2.
к другим мерам снижения риска.
1. Для каждого опасного события для всей системы
безопасности необходимо создать функцию безопасности
2. Для каждой функции безопасности всей системы
безопасности должны определяться целевые требования
полноты безопасности для достижения уровня допустимого
риска.
Каждое требование может определяться количественным и/или
качественным методом (МЭК 61508-5)
7.5.2.4
Когда отказы системы управления УО (управляемого оборудования)
относятся к одной или нескольким системам, связанным с
безопасностью, основанным на Э/Э/ПЭ и когда система управления
не позиционируется как система, связанная с безопасностью, то
должны применяться следующие требования:
а) интенсивность опасных отказов для системы управления УО
должна быть подтверждена:
-данными по фактической работе для системы управления УО в
схожем применении, или
- анализом надежности, выполненным с использованием
признанной процедуры, или
- данными по надежности из промышленной базы данных по
оборудованию;
-b) интенсивность опасных отказов D, объявленная для системы
управления УО, должна быть не ниже чем 10Е-05 отказов в час.
DU= D= 10Е-05  PFDavg (1 г) =4.38E-02  SIL1
5
РАСПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ К БЕЗОПАСНОСТИ
Цели:
1. Распределение
ФБ
всей
системы
безопасности,
содержащихся
в
спецификации
требований
по
назначенным
Э/Э/ПЭ
системам,
связанным
с
безопасностью, и другим средствам снижения риска.
2. Распределение целевых мер отказов и соответствующих
уровней полноты безопасности (УПБ-SIL) для каждой ФБ,
реализуемой ПАЗ.
П.7.6.2.5
Требования к полноте безопасности для каждой ФБ должны быть
сформулированы в терминах:
 средней вероятности опасных отказов функции безопасности по
запросу для режима с низкой частотой или
 средней частоты опасных отказов функции безопасности для режима
с высокой частотой запроса или режима с непрерывным запросом
3.5.16 режим работы — с низкой частотой запросов,
в котором ФБ выполняется только по запросу и
переводит УО в определенное безопасное состоянии , а
частота запросов не превышает один в год
с высокой частотой запросов, в котором ФБ
выполняется только по запросу и переводит УО в
определенное безопасное состоянии , а частота
запросов превышает один в год
непрерывный режим – ФБ поддерживает УО в
безопасном состоянии, как и при нормальном
функционировании.
Таблица 2 - Уровни полноты безопасности: целевая мера отказов для функции
безопасности в режиме с низкой интенсивностью запросов
Уровни полноты
безопасности
Средняя вероятность опасного отказа
функции безопасности по запросу (PFDavg)
4
3
2
> 10 E-05  < 10 E-04
> 10 E-04  < 10 E-03
> 10 E-03  < 10 E-02
1
> 10 E-02  < 10 E-01
Таблица 3 - Уровни полноты безопасности: целевая мера отказов для функции
безопасности в режиме с высокой интенсивностью запросов
Уровни полноты
безопасности
Средняя частота опасных отказов функции
безопасности (PFH)
4
3
2
1
> 10 E- 09  < 10 E-08
> 10 E-08  < 10 E-07
> 10 E-07  < 10 E-06
> 10 E-06  < 10 E-05
П.7.6.2.7
Распределение следует проводить с учетом вероятности отказов
по общим причинам (ООП).
УО, системы управления УО и другие меры по снижению риска
рассматриваются независимыми, если
 Вероятность одновременного отказа двух или более систем
или мер достаточно мала по сравнению с требуемой полнотой
безопасности;
 Системы функционально различны и используют совершенно
различные подходы для достижения одних и тех же
результатов;
 Системы основаны на различных технологиях и используют
оборудование различных видов;
 Нет общих частей, систем сервиса или поддержки (например,
источников питания, отказ которых может привести к отказу
систем в опасном режиме;
 Не имеют общих процедур эксплуатации, технического
обслуживания или тестирования.
7.1 Общие требования
7.2 Спецификация требований к
проектированию Э/Э/ПЭ системы
7.3 Планирование подтверждения
соответствия безопасности Э/Э/ПЭ
системы
7.4 Проектирование и разработка
Э/Э/ПЭ системы
7.5 Интеграция Э/Э/ПЭ системы
7.6 Процедуры эксплуатации и
технического обслуживания Э/Э/ПЭ
системы
7.7 Подтверждение соответствия
безопасности
7.8 Модификация Э/Э/ПЭ системы
7.9 Верификация Э/Э/ПЭ системы
ГОСТ Р МЭК 61508-2
Требования к системам
раздел 5 – требования к документации;
раздел 6 – требования к управлению ФБ;
раздел 7 – требования к жизненному циклу;
раздел 8 –требования к оцениванию ФБ.
Табл.1 Обзор стадии 10 реализации ЖЦБ
Табл.2, 3 Максимально допустимый УПБ
для элементов типа А и Б
Приложение А (обязательное) Методы и средства для Э/Э/ПЭ систем.
Управление отказами в процессе эксплуатации
Приложение В (обязательное)
Методы и средства для Э/Э/ПЭ систем.
Предотвращение систематических отказов в течение различных стадий ЖЦБ
Приложение С (обязательное)
Охват диагностикой и доля безопасных отказов
Приложение D (обязательное)
Руководство по безопасности для применяемых изделий
ЖЦБ Э/Э/ПЭ систем: Стадия реализации
10.1
10.2
Спецификация требований
проектирования ПАЗ
Планирование подтверждения
соответствия безопасности ПАЗ
10.4
10.6
Интеграция
ПАЗ
10.3
10.5
Проектирование и
разработка ПАЗ
Установка, ввод в
действие,
эксплуатация ТО и Р
Подтверждение соответствия
безопасности ПАЗ
Общие требования к проектированию
Э/Э/ПЭ систем
ГОСТ Р МЭК 61508-2-2012, п.7.4.2
Проектирование Э/Э/ПЭ системы, связанной с безопасностью,
должно соответствовать требованиям:
а) к полноте безопасности аппаратных средств (УПБ, SIL),
включая:
- требования к архитектурным ограничениям
(способ 1Н, способ 2Н;
- требования к выполнению количественной оценки
случайных отказов (PFDavg, PFH);
б) к стойкости к систематическим отказам (SC);
в) поведению системы при обнаружении отказов;
г) процессам передачи данных.
7.4 Проектирование и разработка
7.4.2 Общие требования
7.4.3 Синтез элементов для обеспечения требуемой стойкости
к систематическим отказам
7.4.4 Архитектурные ограничения полноты безопасности
аппаратных средств
7.4.5 Требования к количественной оценке случайных
отказов аппаратных средств
7.4.6 Требования по предотвращению систематических
ошибок
7.4.7 Требования по управлению систематическими сбоями
7.4.8 Требования к поведению системы при обнаружении
отказов
7.4.9 Требования к реализации Э/Э/ПЭ системы
7.4.10 Требования к проверенным в эксплуатации элементам
7.4.11 Дополнительные требования к передаче данных
7.10.2.6.
Спецификация для каждой функции безопасности должна
содержать:
а) требования к подсистемам и элементам их аппаратных
средств и ПО;
в) требования к интеграции подсистем и их элементам
аппаратных средств и ПО, соответствующие спецификации
требований к функциям безопасности Э/Э/ПЭ системы;
с) характеристики производительности, соответствующие
требованиям к времени реакции системы;
d) Требования к точности и стабильности измерений и
управления;
е) сведения об интерфейсах Э/Э/ПЭ системы, связанной с
безопасностью;
f) Описание всех режимов поведения Э/Э/ПЭ систем, в
частности, при отказе и необходимая реакция на него;
Архитектурные ограничения
ГОСТ Р МЭК 61508-2 – 2012
Способ 1Н
Способ 2Н
П.7.4.4.2, табл.2 и 3
П.7.4.4.3.1
УПБ
ДБО (SSF)
Тип А
ДБО (SSF)
Тип В
Мин. допустимое
число отказов (HFT)
1
< 60%
60% - 90%
0
60% - 90%
90% - 99%
0
60% - 90%
90% - 99%
1
3
90% - 99%
> 99%
1
4
> 99%
> 99%
2
2 (редкие
запросы)
2 (частые или
непрерывные
запросы)
Элемент может быть отнесен к типу А если:
Виды отказов всех составляющих компонентов определены (sd, su, dd, du);
Поведение элемента в условиях отказа полностью определено;
Данные об интенсивностях отказов достаточно надежны (п.7.4.8.3-7.4.9.5).
В противном случае элемент должен относится к типу В.
ГОСТ Р МЭК 61508-2-2012, с.18.
Таблица 2 – Максимальный УПБ, реализуемый элементом или подсистемой типа А
Доля безопасных
отказов
Отказоустойчивость аппаратных средств
N=0
N=1
N=2
SFF < 60%
УПБ 1
УПБ 2
УПБ 3
60% ≤ SFF < 90%
УПБ 2
УПБ 3
УПБ 4
90% ≤ SFF < 99%
УПБ 3
УПБ 4
УПБ 4
SFF  99%
УПБ 3
УПБ 4
УПБ 4
Таблица 3 – Максимальный УПБ, реализуемый элементом или подсистемой типа B
Доля безопасных отказов
Отказоустойчивость аппаратных средств
N=0
N=1
N=2
SFF < 60%
-
УПБ 1
УПБ 2
60% ≤ SFF < 90%
УПБ 1
УПБ 2
УПБ 3
90% ≤ SFF < 99%
УПБ 2
УПБ 3
УПБ 4
SFF  99%
УПБ 2
УПБ 4
УПБ 4
ГОСТ Р МЭК 61508-6-2012
Приложение С :
ДБО= SFF = ( S+ dd)/ total =
= ( S+ dd)/(Sd+ Su + dd + du )=
= (  - du)/(Sd+Su+dd+ du)=1-du/ total.
SSF (ДБО),% =(2-(1- DC/100))/2=(1+DC/100)/2
SSF (ДБО),% =1-du/ 
DC – диагностическое покрытие
DC,%
0
60
90
99
SSF, %
50
80
95
99.5
ГОСТ Р МЭК 61508-2-2012
Приложение А (обязательное) Методы и средства для Э/Э/ПЭ систем.
Управление отказами в процессе эксплуатации.
Таблица А1 – Определение требований к DC и SFF
Таблицы А2-А14 поддерживают требования таблицы А1 методами и средствами
диагностического тестирования
ГОСТ Р МЭК 61508-7-2012
Архитектурные ограничения
ГОСТ Р МЭК 61508-2 – 2012
Способ 1Н
Способ 2Н
П.7.4.4.2, табл.2 и 3
П.7.4.4.3.1
УПБ
ДБО (SSF)
Тип А
ДБО (SSF)
Тип В
Мин. допустимое
число отказов (HFT)
1
< 60%
60% - 90%
0
60% - 90%
90% - 99%
0
60% - 90%
90% - 99%
1
3
90% - 99%
> 99%
1
4
> 99%
> 99%
2
2 (редкие
запросы)
2 (частые или
непрерывные
запросы)
Если выбран способ 2Н, то данные о надежности аппаратных средств должны быть:
Основаны на данных эксплуатации элементов…
Основаны на данных, собранных в соответствии с требованиями стандартов…
Оценены в соответствии с количеством данных об эксплуатации…
ГОСТ Р МЭК 61508-2-2012, п.7.4.9.6
Для каждого применяемого изделия, для которых требуется соответствие стандартам
серии МЭК 61508, поставщики должны обеспечить руководство по безопасности в
соответствии с приложением D.
ГОСТ Р МЭК 61508-2-2012. Приложение D.
Руководство по безопасности для применяемых изделий
Цель руководства по безопасности
состоит в документальном оформлении информации, которая
необходима для обеспечении интеграции применяемого
изделия в связанную с безопасностью систему.
РБ должно содержать:
-спецификацию функций, интерфейсы схода и выхода;
- идентификацию конфигурации аппаратных средств и/или ПО;
- ограничения на использование и/или предположения, на
которых основан анализ поведения или интенсивности отказов
применяемого изделия.
Для каждой ФБ РБ должно содержать:
1
Виды отказов, приводящих к отказу ФБ обнаруженных и не обнаруженных
внутренней диагностикой
2
Предполагаемую интенсивность отказов для каждого вида отказов
(s, d, sd, su, dd, du)
3
Виды отказов диагностики из-за случайных отказов аппаратных средств
4
Диагностический испытательный интервал (TI)
5
Требования к любому периодическому испытанию и/или техническому
обслуживанию
6
Отказоустойчивость аппаратных средства (HFT)*
7
Классификация типа А или В той части применяемого изделия, которая
обеспечивает выполнение ФБ.
*) требования к HFT и SFF могут включаться в том случае, если ясно
определены основные предположения о соотношении безопасных и
опасных видов отказов для применяемого изделия
Пример: Руководство по безопасности для применяемых изделий компании GMI
1. Общие сведения
Фрагмент таблицы 1: - Модель- Выходные каналы - Функции безопасности
Обозначения
Описание состояния изделия
NE
Нормально включенное состояние (в нормальном режиме работы)
ND
Нормально включенное состояние (в нормальном режиме работы)
NO
Нормально разомкнутый контакт (реле)
NС
Нормально замкнутый контакт (реле)
2. Показатели функциональной безопасности
№
Наименование показателя ФБ
Примеры
1
Модель, функция безопасности
D1004S, релейный
выход
2
SFF
85.9%
3
PFD avg (за год)
1.66 Е-04
4
Межтестовый интервал для определенного
SIL
TI=1 SIL 3, TI=10 SIL 2
5
Устойчивость к отказам аппаратной части
0-1
6
Источник данных о надежности
TUV, Exida, Oreda, RAC…
7
Безопасное состояние выхода при отказе
Реле с NO выключено,
< 4 mA, >20 mA,…
8
s, d, sd, su, dd, du
FIT
9
MTBF (лет)
420
3.Категории отказов
Категория отказов (фрагмент)
Определение
Опасный отказ
(Dangerous )
Отказ, при котором система не отвечает на запрос со
стороны контролируемого процесса (т. е. не
способна перейти в заданное безопасное
состояние).
Опасный необнаруживаемый
отказ (Dangerous Undetected)
Опасный отказ, который не обнаруживается
средствами внутренней диагностики.
Отказ компонента, не
являющегося частью функции
безопасности
(Fail Not Part):
Отказ компонента, который не является частью
функции безопасности, но в то же время является
частью электрической схемы и изображен для ее
полноты. При расчете SFF эта категория отказов не
учитывается.
Пример: Опасный отказ для (Fail Dangerous) для D10, D14,…: Отказ, при котором
модуль не реагирует на запрос управляемого процесса (т.е. не способен перейти в
заданное безопасное состояние) или отклонение значения выходного тока от
истинного значения более:
• 5% от полной шкалы (± 0.8 мA) для D10, D1014;
• 3 % от полной шкалы (± 0.6 мA) для D53S,
Исходные предпосылки и допущения:
• Интенсивность отказов является постоянной величиной, механизмы естественного
износа не учитываются.
• Распространение отказов не рассматривается.
• Отказы, возникающие в процессе задания параметров не рассматриваются.
• HART протокол используется только для задания параметров, калибровки и
диагностики, но не для операций, критичных с точки зрения безопасности. Время
восстановления или ремонта после безопасного отказа (MTTR) составляет 8 часов.
• Все модули работают в режиме низкого уровня запросов.
• Интенсивность отказов внешних источников питания не учитывалась.
• Уровень внешних воздействий средний для условий промышленной среды и
может быть сопоставлен с классификацией, используемой в стандарте MIL-HNBK217F.
• Только один вход и один выход модуля являются составляющими функции
безопасности.
Фактор ООП β для двух параллельно включенных источников оценивается на
уровне 5 %.
 Уровень диагностики защиты от перенапряжения составляет 99 %.
Возможные проверочные тесты для выявления опасных
необнаруживаемых отказов
Пример 1
Этапы
Действия
1
Включить обход ПЛК системы ПАЗ или принять другие приемлемые
меры для исключения ложных срабатываний.
2
Подать на повторитель HART команду для перевода токового выхода
в состояние, соответствующее максимальному значению при отказе
(high alarm current output), и проверить, что аналоговый токовый
выход достиг этого значения.
3
Подать на повторитель HART команду для перевода токового выхода
в состояние, соответствующее минимальному значению при отказе
(low alarm current output), и проверить, что аналоговый токовый
выход достиг этого значения.
4
Восстановить контур для нормального функционирования.
5
Отключить обход ПЛК системы противоаварийной защиты.
Этот тест выявляет приблизительно 50 % возможных опасных необнаруживаемых
(“du”) отказов в повторителе.
Пример 2
Этапы
Действия
1
Включить обход ПЛК системы ПАЗ или принять другие приемлемые
меры для исключения ложных срабатываний.
2
Установить следующую конфигурацию:
 SW1 реключатель= выкл...
3
Подать на вход модуля управляющий сигнал, который может иметь
два состояния:
 ВЫКЛ=0 В пост.
 Вкл = 24 в пост….
4
Восстановить контур для нормального функционирования.
5
Отключить обход ПЛК системы противоаварийной защиты.
Этот тест выявляет приблизительно 100 % всех возможных опасных
необнаруживаемых (“du”) отказов в модулях.
Задание 2
Какому значению охвата диагностикой соответствует
ДБО (SSF), равная:
а) 50%?
б) 0%?
7.1 Общие требования
7.2 Спецификация требований к
ПО системы безопасности
7.3 Планирование
подтверждения безопасности
соответствия безопасности для
аспектов ПО
7.4 Проектирование и
разработка ПО
7.5 Интеграция Э/Э/ПЭ системы
7.6 Процедуры эксплуатации и
модификации ПО
7.7 Подтверждение
соответствия безопасности
аспектов ПО
7.8 Модификация ПО
7.9 Верификация ПО
Рис.4 Структура ЖЦ ПО
Рис.5 Взаимосвязи и область применения МЭК
61508-2 и МЭК 61508-3
Рис.6 Стойкость к систематическим отказам и
ЖЦ ПО (V-модель)
ГОСТ Р МЭК 61508-3
Требования к
программному
обеспечению
раздел 5 – требования к документации;
раздел 6 – требования к управлению
ФБ;
раздел 7 – структура жизненного цикла;
раздел 8 –требования к оцениванию ФБ.
Табл.1 Обзор ЖЦ ПО
ГОСТ Р МЭК 61508-3
Требования к программному обеспечению
Приложение А (обязательное)
Руководство по выбору методов и средств
Приложение В (обязательное)
Подробные таблицы
Приложение С (обязательное)
Свойство стойкости к систематическим отказам ПО
Приложение D (обязательное)
Руководство по безопасности для применяемых
изделий. Дополнительные требования к элементам ПО
ГОСТ Р МЭК 61508-5
Рекомендации по
применению методов
определения УПБ
Приложение А (информационное)
Полнота безопасности и
оценка риска.
Основные концепции.
Приложение В (информационное)
Выбор методов для определения
требований к УПБ
Приложение С (информационное)
ALARP и концепция допустимого риска
Приложение D (информационное)
Определение УПБ.
Количественный метод
Приложение Е (информационное)
Определение УПБ.
Методы, основанные на графе рисков
Приложение F (информационное)
Определение УПБ.
Полуколичественный метод
использующий анализ слоя защиты
Приложение G (информационное)
Определение УПБ.
Количественный метод.
Матрица тяжести опасных событий
ГОСТ Р МЭК 61508-6
Руководство по
применению частей 2 и 3
Приложение А (справочное)
Применение МЭК 61508-2 и МЭК
61508-3
Приложение В (справочное)
Метод оценки вероятностей отказов
аппаратных средств
Приложение С (справочное)
Расчет охвата диагностикой и доли
безопасных отказов
Приложение D (справочное)
Методика количественного
определения влияния отказов
аппаратных средств по общей
причине
Приложение Е (справочное)
Применение таблиц полноты
безопасности ПО в соответствии с
МЭК 61508-3
ГОСТ Р МЭК 61508-7
Методы и средства
Приложение А (справочное)
Анализ методов и средств для Э/Э/ПЭ
систем, связанные с безопасностью.
Управление случайными отказами
технических средств.
Приложение В (справочное)
Анализ методов и средств для Э/Э/ПЭ
систем, связанные с безопасностью.
Предотвращение систематических
отказов
Приложение С (справочное)
Анализ методов и средств достижения
полноты безопасности программных
средств
Приложение E (справочное)
Краткий обзор методов и мер для
проектирования СИС
Приложение F (справочное)
Определение свойств стадий
жизненного цикла ПО
Приложение G (справочное)
Руководство по разработке связанного
с безопасностью объектноориентированного ПО
Скачать