ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 5 Рекомендации по применению методов определения уровней полноты безопасности IEC 61508-5:1998
Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря Сведения о стандарте 1 ПОДГОТОВЛЕН обществом с ограниченной ответственностью «Корпоративные электронные системы» и Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков» на основе собственного аутентичного перевода стандарта, указанного в пункте 4 2 ВНЕСЕН Управлением развития, информационного обеспечения и аккредитации Федерального агентства по техническому регулированию и метрологии 3
УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 4 Настоящий стандарт идентичен международному стандарту МЭК 61508-5:1998 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Примеры методов определения уровней полноты безопасности» (IEC 61508-5:1998 «Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 5. Examples of methods for the determination of safety integrity levels», IDT). Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5). При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении F 5 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет Введение Системы, состоящие из электрических и/или электронных компонентов, в течение многих лет используются для выполнения функций безопасности в большинстве областей применения. Компьютерные системы [обычно называемые программируемыми электронными системами (PES)], использующиеся во всех областях применения для выполнения задач, не связанных с безопасностью, во все более увеличивающихся объемах используются для решения задач обеспечения безопасности. Для эффективной и безопасной эксплуатации технологий, основанных на использовании компьютерных систем, чрезвычайно важно, чтобы лица, ответственные за принятие решений, имели в своем распоряжении руководства по вопросам безопасности, которые они могли бы использовать в своей работе. Настоящий стандарт устанавливает общий подход к вопросам обеспечения безопасности для всего жизненного цикла систем, состоящих из электрических и/или электронных и/или программируемых электронных компонентов [электрических/электронных/ программируемых электронных систем (E/E/PES)], которые используются для выполнения функций безопасности. Этот унифицированный подход был принят для того, чтобы разработать рациональную и последовательную техническую концепцию для всех электрических систем, связанных с безопасностью. Основной целью при этом является содействие разработке стандартов. В большинстве ситуаций безопасность достигается за счет использования нескольких систем защиты, в которых используются различные технологии (например, механические, гидравлические, пневматические, электрические, электронные, программируемые электронные). Любая стратегия безопасности должна, следовательно, учитывать не только все элементы, входящие в состав отдельных систем (например, датчики, управляющие устройства и исполнительные механизмы), но также и все подсистемы, связанные с безопасностью, входящие в состав комбинированной системы, связанной с безопасностью. Таким образом, хотя данный стандарт посвящен в основном электрическим/электронным/программируемым электронным (Е/Е/РЕ) системам, связанным с безопасностью, он может также предоставлять общую структуру, в рамках которой рассматриваются системы, связанные с безопасностью, основанные на других технологиях. Признанным фактом является существование огромного разнообразия использования E/E/PES в различных областях применения, отличающихся различной степенью сложности, опасностями и возможными рисками. В каждом конкретном применении необходимые меры безопасности будут зависеть от многочисленных факторов, которые являются специфичными для этого применения. Настоящий стандарт, являясь базовым стандартом, позволит формулировать такие меры в стандартах для областей применения. Настоящий стандарт: - рассматривает все соответствующие этапы жизненного цикла систем безопасности в целом, а также подсистем E/E/PES и программного обеспечения (например, начиная с исходной концепции, далее проектирование, разработку, эксплуатация, сопровождение и вывод из эксплуатации), в ходе которых E/E/PES используются для выполнения функций безопасности; - был задуман с учетом быстрого развития технологий; его структура является достаточно устойчивой и полной для того, чтобы удовлетворять потребностям разработок, которые могут появиться в дальнейшем; - делает возможной разработку стандартов областей применения, где используются системы E/E/PES; разработка стандартов для областей применения в рамках общей структуры, вводимой настоящим стандартом, должна приводить к более высокому уровню согласованности (например, основных принципов, терминологии и т.п.) как для отдельных областей применения, так и для их совокупности; это приносит преимущества, как в плане безопасности, так и в плане экономики; - предоставляет метод разработки спецификаций для требований к безопасности, необходимых для достижения требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью; - использует уровни полноты безопасности для задания планируемого уровня полноты безопасности для функций, которые должны быть реализованы Е/Е/РЕ системами, связанными с безопасностью; - использует для определения уровней полноты безопасности подход, основанный на оценке рисков; - устанавливает количественные величины отказов Е/Е/РЕ систем, связанных с безопасностью, которые связаны с уровнями полноты безопасности; - устанавливает нижний предел для планируемой величины отказов, в режиме опасных отказов, который может быть задан для отдельной Е/Е/РЕ системы, связанной с безопасностью; для Е/Е/РЕ систем, связанных с безопасностью, работающих в: режиме с низкой интенсивностью запросов, нижний предел для выполнения планируемой функции по запросу устанавливается на средней вероятности отказов 10-5; режиме с высокой интенсивностью запросов нижний предел устанавливается на вероятности опасных отказов 10-9 в час. Примечание - Отдельная Е/Е/РЕ система, связанная с безопасностью, необязательно предполагает одноканальную архитектуру - применяет широкий набор принципов, методов и мер для достижения функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью, но не использует концепцию безаварийности, которая может иметь важное значение, когда виды отказов хорошо определены, а уровень сложности является относительно невысоким. Концепция безаварийности признана неподходящей из-за широкого перечня сложности Е/Е/РЕ систем, связанных с безопасностью, которые находятся в области применения настоящего стандарта. Содержание НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Дата введения - 2008-06-01 1 Область применения1.1 Настоящий стандарт предоставляет информацию: - о концепциях, лежащих в основе понятия риска, а также о связи риска и полноты безопасности (приложение А); - о ряде методов, позволяющих определить уровни полноты безопасности для Е/Е/РЕ систем, связанных с безопасностью, основанных на других технологиях, и для внешних средств снижения риска (приложения В, С, D и Е). 1.2 Выбор метода зависит от области применения и от конкретных обстоятельств. Приложения В, С, D и Е иллюстрируют количественный и качественный подходы с некоторыми упрощениями, позволяющими продемонстрировать основные принципы. Эти приложения были включены для того, чтобы продемонстрировать общие принципы нескольких методов, они не дают полного описания этих методов. Те, кто собирается использовать методы, указанные в приложениях, должны обратиться к рекомендуемым источникам. Примечание - Более подробная информация, описанная в приложениях В, D и Е, приведена соответственно в [4], [2] и [3]. Еще один подход описан в [5]. 1.3 МЭК 61508-1 - МЭК 61508-4 являются основополагающими стандартами по безопасности, хотя этот статус не применим в контексте Е/Е/РЕ систем, связанных с безопасностью, имеющих низкую сложность [МЭК 61508-4 (пункт 3.4.4)]. В качестве основных стандартов по безопасности они предназначены для использования техническими комитетами при подготовке стандартов в соответствии с требованиями МЭК Руководство 104 и ИСО/МЭК Руководство 51. Одной из обязанностей технического комитета является использование, где это возможно, основных стандартов по безопасности при подготовке своих собственных стандартов. МЭК 61508 предназначен также и для использования в качестве отдельного стандарта. Примечание - В США и Канаде до тех пор пока там не будет опубликована в качестве международного стандарта предлагаемая реализация МЭК 61508 для обрабатывающих отраслей (т.е. МЭК 61511), в этих отраслях вместо МЭК 61508 может использоваться национальный стандарт, базирующийся на МЭК 61508 (т.е. ANSI/ISA S 84.01-1996). 1.4 На рисунке 1 показана общая структура частей МЭК 61508-1 - МЭК 61508-7 и указана роль, которую играет МЭК 61508-5 в достижении функциональной безопасности Е/Е/РЕ систем.
Рисунок 1 - Общая структура настоящего стандарта 2 Нормативные ссылкиВ настоящем стандарте использованы нормативные ссылки на следующие стандарты: МЭК 61508-1:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования МЭК 61508-2:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам электрическим/ электронным/ программируемым электронным, связанным с безопасностью МЭК 61508-3:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению МЭК 61508-4:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения МЭК 61508-6:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению МЭК 61508-2 и МЭК 61508-3 МЭК 61508-7:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Анализ методов и средств ИСО/МЭК Руководство 51:1999 Руководящие указания по включению в стандарты аспектов, связанных с безопасностью МЭК Руководство 104:1997 Подготовка публикаций по безопасности и использование основополагающих и групповых публикаций по безопасности 3 Термины и определенияВ настоящем стандарте используются термины и определения по МЭК 61508-4. Приложение А
|
Частота |
Последствия |
|||
катастрофические |
критические |
граничные |
незначительные |
|
Частые |
I |
I |
I |
II |
Вероятные |
I |
I |
II |
III |
Случайные |
I |
II |
III |
III |
Редкие |
II |
III |
IV |
IV |
Невероятные |
III |
III |
IV |
IV |
Неправдоподобные |
IV |
IV |
IV |
IV |
Примечания 1 Фактическое содержание I, II, III и IV классов рисков зависит от отрасли, а также от реальных частот для таких категорий, как «частые», «вероятные» и т.д. Данная таблица должна, следовательно, рассматриваться как пример содержания подобных таблиц, а не как руководство для будущего использования. 2 Определение уровней полноты безопасности по частотам, приведенным в настоящей таблице, описано в приложении С. |
Таблица В.2 - Интерпретация классов
Класс риска |
Интерпретация |
Класс I |
Недопустимый риск |
Класс II |
Нежелательный риск может быть допустим, только если снижение риска невозможно или если затраты на снижение существенно непропорциональны достигаемому улучшению |
Класс III |
Риск допустим, если цена уменьшения риска превосходит достигаемый выигрыш |
Класс IV |
Незначительный риск |
С.1 Общие положения
В настоящем приложении описывается, как могут быть определены уровни полноты безопасности с использованием количественного подхода, и показывается, как может быть использована информация, содержащаяся в таблице В.1 и подобных ей таблицах. Количественный подход приобретает особое значение, когда:
- допустимый риск описан на количественном уровне (например, что конкретное последствие не должно происходить с частотой, превышающей один случай на 104 лет);
- для уровней полноты безопасности в системах безопасности определены количественные ориентиры. Такие ориентиры определены в настоящем стандарте [МЭК 61508-1 (таблицы 2 и 3)].
Настоящее приложение не представляет собой систематического описания метода, оно предназначено для того, чтобы проиллюстрировать основные принципы. Данный метод применим, в частности, когда используется модель риска, показанная на рисунках А.1 и А.2.
С.2 Общее описание метода
Данная модель используется для того, чтобы проиллюстрировать основные принципы, показанные на рисунке А.1. Основные шаги при использовании метода перечислены ниже, они должны выполняться для каждой функции безопасности, которая должна быть реализована Е/Е/РЕ системой, связанной с безопасностью:
- определить допустимый риск из таблицы, подобной таблице В.1;
- определить риск EUC;
- определить уменьшение риска, необходимое для того, чтобы сделать его допустимым;
- распределить требуемое уменьшение риска между Е/Е/РЕ системами, связанными с безопасностью, системами, связанными с безопасностью, основанными на других технологиях, и внешними средствами уменьшения риска [МЭК 61508-1 (пункт 7.6)].
Таблица В.1 содержит частоты рисков и позволяет определить числовое значение планируемого допустимого риска (Ft).
Частота, связанная с риском, создаваемым EUC, включая систему управления EUC и вопросы, связанные с человеческим фактором (риск EUC), но без учета каких-либо мер защиты, может быть определена с использованием количественных методов оценки риска. Частота возникновения опасного события в отсутствие средств защиты Fпр представляет собой один из двух компонентов риска EUC; другим компонентом является последствие опасного события.
Fпр может быть определена с помощью:
- анализа интенсивности отказов в схожих ситуациях;
- данных из соответствующих баз данных;
- расчетов с применением соответствующих методов прогноза.
Настоящий стандарт накладывает ограничения на минимальную интенсивность отказов, которая может быть предъявлена для системы управления EUC [МЭК 61508-1 (пункт 7.5.2.5)]. Если задано, что система управления EUC имеет интенсивность отказов меньше минимальной, то система управления EUC должна рассматриваться как система, связанная с безопасностью, и должна быть объектом всех требований к системам, связанным с безопасностью, содержащихся в настоящем стандарте.
С.3 Пример расчетов
На рисунке С.1 представлен пример того, как может быть рассчитана необходимая полнота безопасности для единичной системы безопасности. Для этого примера
PFDavg ≤ Ft/Fпр,
где PFDavg - средняя вероятность отказа при выполнении системой, связанной с безопасностью, операции по запросу. Эта величина представляет собой меру полноты безопасности по отношению к отказам для системы, связанной с безопасностью, работающей в режиме низкой интенсивности запросов [МЭК 61508-1 (таблица 2) и МЭК 61508-4 (пункт 3.5.12)];
Ft - частота для допустимого риска;
Fпр - интенсивность запросов к системе, связанной с безопасностью.
Определение Fпр для EUC является важным благодаря связи с PFDavg и, следовательно, с уровнем полноты безопасности системы, связанной с безопасностью.
С - последствие опасного события;
Fр - частота для риска при установленных средствах защиты.
Рисунок С.1 - Назначение полноты безопасности: пример для системы, связанной с безопасностью
Шаги, которые должны быть выполнены при определении уровня полноты безопасности (когда последствие С остается неизменным), приведены ниже (они также показаны на рисунке С.1):
- определить частотную составляющую риска EUC без учета каких-либо средств защиты Fпр
- определить последствие С без учета каких-либо средств защиты;
- определить, используя таблицу В.1, достигается ли для частоты Fпр и последствия С допустимый уровень риска. Если при использовании таблицы В.1 получен I класс риска, то требуется дальнейшее снижение риска. Риски IV или III классов могут быть допустимыми рисками. Риск II класса требует дальнейших исследований.
Примечание - Таблица В.1используется для того, чтобы проверить, нужны ли меры по дальнейшему снижению риска, поскольку может оказаться возможным достигнуть допустимого риска без применения каких-либо средств защиты;
- определить вероятность отказа системы, связанной с безопасностью, при работе по запросу PFDavg, состоящего в невозможности достичь требуемого снижения риска ∆R Для постоянных последствий в описанной конкретной ситуации
PFDavg = (Ft/Fпр) = ∆R;
- для PFDavg = (Ft/Fпр) уровень полноты безопасности может быть получен из таблицы 2 МЭК 61508-1 (например, для PFDavg = 10-2 - 10-3 уровень полноты безопасности равен 2).
Эти шаги соответствуют случаю, когда все требуемое снижение риска достигается за счет одной системы, связанной с безопасностью, которая должна уменьшить интенсивность возникновения опасностей, как минимум, с Fпр до Ft
D.1 Общие положения
Количественный метод, описанный в приложении С, не применим в тех ситуациях, где риск (или его частотная составляющая) не может быть охарактеризован количественно. В настоящем приложении описывается метод графов риска, представляющий собой качественный метод, позволяющий определять уровень полноты безопасности для систем, связанных с безопасностью, на основе знания факторов риска, связанных с EUC и системой управления EUC. Он применим, в частности, когда модель риска соответствует той, которая показана на рисунках А.1 и А.2.
При качественном подходе для упрощения вводится несколько параметров, описывающих природу опасной ситуации, возникающей при отказе или недоступности систем, связанных с безопасностью. Выбирается по одному параметру из каждого из четырех наборов; после этого выбранные параметры объединяются для определения уровня полноты безопасности, назначаемого системе, связанной с безопасностью. Эти параметры:
- позволяют произвести осмысленную классификацию рисков и
- содержат ключевые факторы для оценки рисков.
В приложении нет подробного описания метода, а даны его основные принципы. Тем, кто собирается применять методы, указанные в настоящем приложении, рекомендуется обратиться к [1] - [5].
D.2 Построение графа риска
Упрощенная процедура, описываемая ниже, основывается на следующем уравнении:
R = f∙C,
где R - риск при отсутствии системы, связанной с безопасностью;
f - частота опасного события при отсутствии системы, связанной с безопасностью;
С - последствие опасного события (последствия должны быть связаны с причинением вреда здоровью и безопасности или с причинением вреда из-за нанесения ущерба окружающей среде).
Считается, что на частоту опасного события f в данном случае влияют три фактора:
- частота и время нахождения в опасной зоне;
- возможность избежать опасного события;
- вероятность возникновения опасного события при отсутствии систем, связанных с безопасностью (но при наличии внешних средств уменьшения риска), эта вероятность называется вероятностью нежелательного события.
Из этих факторов следуют четыре параметра, характеризующих риск:
С - последствие опасного события;
F - частота и время нахождения в опасной зоне;
Р - вероятность того, что не удастся избежать опасного события;
W - вероятность нежелательного события.
D.3 Другие возможные параметры риска
Описанные выше параметры риска достаточно общие, с широким диапазоном применений. Однако могут существовать приложения, характеризующиеся аспектами, требующими введения дополнительных параметров риска. В качестве примера можно привести использование новых технологий в EUC и в системах управления EUC. Целью новых параметров может быть более точная оценка требуемого уменьшения риска (рисунок А.1).
D.4 Построение графа риска: общая схема
Объединение параметров риска, описанных выше, позволяет построить граф риска, подобный тому, который показан на рисунке D.1. Для этого графа справедливы следующие соотношения: СA < СB < СC < CD; FA < FB; РА < РB; W1 < W2 < W3. Граф рисков можно пояснить следующим образом.
Использование параметров риска С, F и Р приводит к появлению выходных параметровX1, X2,..., XN (точное число зависит от конкретной прикладной области, для которой строится граф риска). На рисунке D.1 показана ситуация, когда для более серьезных последствий не используются дополнительные весовые коэффициенты. Каждый из этих выходных параметров отображается на одну из трех шкал (W1, W2 или W3). Каждая точка на этих шкалах указывает на требуемую полноту безопасности, которая должна быть достигнута рассматриваемой Е/Е/РЕ системой, связанной с безопасностью. На практике могут встречаться ситуации, когда одна Е/Е/РЕ система, связанная с безопасностью, не может обеспечить требуемого уменьшения риска.
Рисунок D.1 - Граф риска: общая схема
Отображение на W1, W2 или W3 позволяет учесть вклад других мер по снижению риска. Смещение шкал W1, W2 и W3 позволяет учесть три различных уровня уменьшения риска, обеспечиваемого другими мерами. Так шкала W3 дает минимальное уменьшение риска за счет других мер (т.е. наибольшую вероятность того, что произойдет нежелательное событие), шкала W2 соответствует промежуточному по величине вкладу других мер, а шкала W1 - наибольшему вкладу. Для конкретных промежуточных выходных значений графа рисков (т.e. X1, X2,... или Х6) и для конкретной шкалы W (т.е. W1, W2 или W3) конечные значения графа рисков являются уровнями полноты безопасности Е/Е/РЕ систем, связанных с безопасностью, (т.е. 1, 2, 3 или 4), они представляют собой оценку требуемого уменьшения риска для данной системы. Это уменьшение риска вместе с уменьшением риска, достигаемым другими средствами (например, с помощью систем, связанных с безопасностью, основанных на других технологиях и внешних средств уменьшения риска) и учитываемым с помощью механизма шкалы W, дает требуемое уменьшение риска для конкретной ситуации.
Параметры, указанные на рисунке D.1 (СА, СB, СC, CD, FA, FB, PA, PB, W1, W2, W3), и соответствующие им веса должны быть точно определены для каждой конкретной ситуации или для сравнимых отраслей. Может также потребоваться их определение в международных стандартах для прикладных отраслей.
D.5 Пример графа рисков
Пример графа рисков, основанный на данных, приведенных в таблице D.1, показан на рисунке D.2. Использование параметров риска С, F и Р приводит к одному из восьми выходных параметров. Каждый из этих параметров отображается на одну из трех шкал (W1, W2 и W3). Каждая точка на этих шкалах (а, b, с, d, e, f, g и h) указывает на требуемое снижение риска, которое должно быть обеспечено системой, связанной с безопасностью.
Примечание - Дополнительная информация по использованию графов риска содержится в [2].
Рисунок D.2 - Граф риска: пример (показывает только общие принципы)
Таблица D.1 - Данные для графа рисков (рисунок D.2)
Параметр риска |
Классификация |
Комментарии |
|
Последствие С |
C1 |
Небольшая травма. |
Данная система классификации основана на травмах и смерти людей. Для случая ущерба окружающей среде или материального ущерба может потребоваться разработка других схем классификации. Для интерпретации параметров С1, С2, С3 и С4, необходимо принимать во внимание последствия несчастных случаев и обычное лечение |
|
C2 |
Серьезная постоянная травма у одного или нескольких человек. |
|
С3 |
Смерть нескольких человек. |
||
C4 |
Смерть очень многих людей |
||
Частота и продолжительность пребывания в опасной зоне F |
F1 |
От редкого до более частого пребывания в опасной зоне. |
Данная система классификации основана на травмах и смерти людей. Для случая ущерба окружающей среде или материального ущерба может потребоваться разработка других схем классификации |
F2 |
От частого до постоянного пребывания в опасной зоне |
||
Возможность избежать опасного события Р |
P1 |
Возможно при определенных обстоятельствах. |
Данный параметр учитывает: - тип операций процесса: контролируемых (т.е. управляемых подготовленным или неподготовленным персоналом) или неконтролируемых; - скорость развития опасного события (например, внезапное, быстрое или медленное); - легкость распознавания опасности (например, видна сразу, обнаруживается техническими средствами или обнаруживается без использования технических средств); - возможность избежать опасного события (например, возможно отступление, отступление невозможно либо отступление возможно при определенных обстоятельствах); - реальный опыт в области техники безопасности (такой опыт может быть для идентичного EUC, для сходного EUC либо отсутствовать) |
Р2 |
Почти невозможно |
||
Вероятность нежелательного события W |
W1 |
Весьма незначительная вероятность нежелательного события, возможно только небольшое число таких событий. |
Назначение параметра Wсостоит в том, чтобы оценить частоту нежелательных событий в условиях отсутствия каких-либо систем, связанных с безопасностью (Е/Е/РЕ систем или систем, основанных на других технологиях), но с учетом внешних средств уменьшения риска. При отсутствии или незначительности опыта использования EUC или систем управления EUC оценка параметра W может быть проведена с помощью расчетов, которые в таком случае должны представлять собой прогноз для наихудшего случая |
W2 |
Небольшая вероятность нежелательного события, возможно небольшое число таких событий. |
||
W3 |
Относительно высокая вероятность наступления нежелательного события, вероятны частые повторения нежелательного события |
Е.1 Общие положения
Количественный метод, описанный в приложении С, не применим в тех случаях, где риск (или его частотная составляющая) не может быть охарактеризован количественно. В настоящем приложении описывается метод матрицы тяжести опасных событий, представляющий собой количественный метод, позволяющий определить уровень полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, на базе знания факторов риска, связанных с EUC и системой управления EUC. Он применим, в частности, для модели риска, показанной на рисунках А.1 и А.2 (приложение А).
В схеме, описываемой в настоящем приложении, предполагается, что каждая система, связанная с безопасностью, и каждое внешнее средство уменьшения риска являются независимыми.
Настоящее приложение не представляет собой систематического описания метода, оно предназначено для того, чтобы продемонстрировать общие принципы формирования подобных матриц теми, кто обладает детальной информацией о конкретных параметрах, имеющих существенное значение для рассматриваемой конструкции. Тем, кто собирается использовать методы, рассматриваемые в настоящем приложении, следует обратиться к [1] - [5].
Примечание - Более подробная информация о матрице опасных событий содержится в [3].
Е.2 Матрица тяжести опасных событий
В основе матрицы лежат следующие требования, соблюдение каждого из которых необходимо для того, чтобы применение метода было корректным:
- системы, связанные с безопасностью (Е/Е/РЕ и основанные на других технологиях), а также внешние средства уменьшения риска являются независимыми;
- каждая система, связанная с безопасностью (Е/Е/РЕ и основанная на другой технологии), а также каждое внешнее средство уменьшения риска рассматривается как отдельный уровень защиты, обеспечивающий своими собственными средствами частичное уменьшение риска, как показано на рисунке А.1.
Примечание - Это предположение является справедливым только при условии выполнения систематических контрольных проверок уровней защиты;
- при добавлении одного уровня защиты (см. перечисление b)) полнота безопасности увеличивается на порядок.
Примечание - Это предположение является справедливым только в том случае, когда системы, связанные с безопасностью, и внешние средства уменьшения риска являются в достаточной степени независимыми;
- используется только одна Е/Е/РЕ система, связанная с безопасностью (однако она может применяться в сочетании с системами, связанными с безопасностью, основанными на других технологиях, и/или с внешними средствами уменьшения риска), для которой данный метод устанавливает необходимый уровень полноты безопасности.
Приведенный выше анализ приводит к матрице тяжести опасных событий, показанной на рисунке Е.1. Необходимо отметить, что данные, содержащиеся в матрице, представляют собой только пример, иллюстрирующий основные принципы. Для каждой конкретной ситуации или для близких промышленных приложений должна быть разработана своя матрица, аналогичная той, которая приведена на рисунке Е.1.
А - одна Е/Е/РЕ система, связанная с безопасностью, с уровнем полноты безопасности SIL = 3 не обеспечивает достаточного уменьшения риска для данного уровня риска. Требуются дополнительные меры по уменьшению риска.
В - одна Е/Е/РЕ система, связанная с безопасностью, с уровнем полноты безопасности SIL = 3 может не обеспечить достаточного уменьшения риска для данного уровня риска. Требуется провести анализ опасностей и рисков для того, чтобы определить, нужны ли дополнительные меры по уменьшению риска.
С - независимая Е/Е/РЕ система, связанная с безопасностью, по-видимому, не требуется.
D - вероятность события представляет собой вероятность того, что опасное событие произойдет в условиях отсутствия каких-либо систем, связанных с безопасностью, и внешних средств уменьшения риска.
SRS - система, связанная с безопасностью. Вероятность события и общее число независимых уровней защиты определяется в зависимости от конкретного приложения.
Рисунок Е.1 - Пример матрицы тяжести опасных событий (иллюстрирует только основные принципы)
Таблица F.1
Обозначение ссылочного международного стандарта |
Обозначение и наименование соответствующего национального стандарта Российской Федерации |
МЭК 61508-1:1998 |
ГОСТ Р МЭК 61508-1-2007 (МЭК 61508-1-1998) Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования |
МЭК 61508-2:2000 |
* |
МЭК 61508-3:1998 |
ГОСТ Р МЭК 61508-3-2007 (МЭК 61508-3-1998) Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению |
МЭК 61508-4:1998 |
ГОСТ Р МЭК 61508-4-2007 (МЭК 61508-4-1998) Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения |
МЭК 61508-6:2000 |
* |
МЭК 61508-7:2000 |
* |
ИСО/МЭК Руководство 51:1990 |
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты |
МЭК Руководство 104:1997 |
* |
* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. |
ANSI/ISA S84:1996 Применение систем, оснащенных средствами безопасности, в обрабатывающих отраслях |
|
Фундаментальные аспекты безопасности, которые должны учитываться при разработке средств защиты для систем измерения и управления. Schutzeinrichtungen DIN V 19250, Beuth Verlag,
|
|
Guidelines for safe automation of chemical process, published by the Center for Chemical Process safety of the American Institute of Chemical Engineering, ISBN 0-8969-0554-1, 1993 |
|
Tolerability of risk from nuclear power stations, Health and Safety Executive (UK) publication, ISBN 011 886368 1 |
|
Development guidelines for vehicle based software, The Motor Industry Reliability Association, Watling St, Nuneation, Warwickshire, CV10 OTU, United Kingdom, 1994, ISBN 09524156 0 7 |
Ключевые слова: безопасность функциональная; жизненный цикл систем; электрические компоненты; электронные компоненты; программируемые электронные компоненты и системы; системы, связанные с безопасностью; планирование функциональной безопасности; программное обеспечение; уровень полноты безопасности