ГОСТ Р 59773-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Порядок применения комплекса стандартов ГОСТ 34332. Примеры расчетов.

ГОСТ Р 59773-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Порядок применения комплекса стандартов ГОСТ 34332. Примеры расчетов.

Теги документа

гост безопасность гост безопасность зданий гост безопасность сооружений гост безопасность функциональных систем гост снос зданий гост функциональная безопасность

ГОСТ Р 59773-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ СИСТЕМ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ ЗДАНИЙ И СООРУЖЕНИЙ

Порядок применения комплекса стандартов ГОСТ 34332. Примеры расчетов

Functional safety of building/construction safety-related systems. Procedure for application of GOST 34332 set of standards. Examples of calculations

ОКС 13.200;

13.220;

13.310;

13.320;

91.120.99

Дата введения 2021-12-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "РСТ") совместно с Международной ассоциацией "Системсервис" (МА "Системсервис")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 439 "Средства автоматизации и системы управления"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 20 октября 2021 г. N 1184-ст

4 В настоящем стандарте учтены основные нормативные положения следующих международных документов:

МЭК 61508-6:2010* "Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью. Часть 6. Руководство по применению МЭК 61508-2:2010 и МЭК 61508-3:2010" (IEC 61508-6:2010 "Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3", NEQ);

ISO/IEC Guide 51:2014 "Аспекты безопасности. Руководящие указания по включению их в стандарты" (ISO/IEC Guide 51:2014 "Safety aspects - Guidelines for their inclusion in standards", NEQ)

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Современные здания и сооружения (объекты капитального строительства) представляют собой сложные системы, включающие в свой состав систему строительных конструкций и ряд инженерных систем в разных сочетаниях, в том числе для жизнеобеспечения, реализации технологических процессов, энерго- и ресурсосбережения, обеспечения безопасности и другие системы. Эти системы взаимодействуют друг с другом, с внешней и внутренней средами, образуя единое целое и выполняя свои функции назначения.

Объекты капитального строительства жестко привязаны к местности. Рабочие характеристики зданий, сооружений и входящих в них систем могут быть реализованы, проверены и использованы только в том месте, в котором объекты построены и системы установлены.

Безопасность зданий и сооружений обеспечивается применением совокупности мер, мероприятий и средств снижения риска причинения вреда до приемлемого уровня риска и его поддержания в течение периода эксплуатации или использования этих объектов. К средствам снижения риска относятся системы, связанные с безопасностью зданий и сооружений (СБЗС системы), и системы, неполный перечень которых представлен в ГОСТ 34332.1-2017 (приложение А, раздел А.3). Среди СБЗС систем наиболее распространенными являются системы, содержащие электрические и/или электронные и/или программируемые электронные (Э/Э/ПЭ) компоненты. Такие системы, именуемые Э/Э/ПЭ СБЗС системами, в течение многих лет применяют для выполнения функций безопасности. Кроме них и вместе с ними используют системы, основанные на неэлектрических (гидравлических, пневматических) технологиях, а также прочие средства уменьшения риска. Для решения задач безопасности зданий и сооружений во всех больших объемах применяют программируемые электронные (ПЭ) СБЗС системы.

Следующими по важности характеристиками систем после характеристик назначения являются характеристики безопасности. Важнейшей характеристикой безопасности систем признана их функциональная безопасность.

В настоящем стандарте представлен порядок применения требований комплекса стандартов ГОСТ 34332 к Э/Э/ПЭ СБЗС системам на стадиях их жизненного цикла и приведены примеры расчетов.

Комплекс стандартов ГОСТ 34332 ориентирован на обеспечение соблюдения требований безопасности зданий и сооружений, в том числе объектов транспортных инфраструктур, установленных техническими регламентами Таможенного союза [1]-[3].

Настоящий стандарт распространяется на Э/Э/ПЭ СБЗС системы, подсистемы и составляющие этих систем, включая сенсоры, исполнительные устройства и интерфейс человек-машина, рассчитан на любой диапазон сложности СБЗС систем и ориентирован на комплексное обеспечение безопасности и антитеррористической защищенности объектов защиты - зданий и сооружений.

1 Область применения

1.1 Настоящий стандарт содержит информацию и руководящие указания по применению требований, рекомендаций и справочных материалов к электрическим, электронным, программируемым электронным (Э/Э/ПЭ) системам, связанным с безопасностью зданий и сооружений (Э/Э/ПЭ СБЗС системам) и к программному обеспечению этих систем, установленных и представленных в комплексе стандартов ГОСТ 34332, а также примеры расчетов.

Примечания

1 К Э/Э/ПЭ СБЗС системам относятся системы, неполный перечень которых перечислен в ГОСТ 34332.1-2017 (пункт 5.3.3 и раздел А.3).

2 Э/Э/ПЭ СБЗС системы ориентированы на комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений.

1.2 Настоящий стандарт применяют совместно со стандартами комплекса ГОСТ 34332.

1.3 Настоящий стандарт не распространяется на Э/Э/ПЭ СБЗС систему, которая является единственной одиночной системой, способной осуществить необходимое снижение риска на объекте, и требуемая полнота безопасности этой системы ниже, чем определено уровнем полноты безопасности (УПБ) 1 - самым низким уровнем, приведенным в ГОСТ 34332.2-2017 (таблицы 1 и 2).

1.4 Настоящий стандарт рекомендуется для применения пользователями стандартов комплекса ГОСТ 34332 (юридическими и физическими лицами, чьи действия влияют на обеспечение функциональной безопасности Э/Э/ПЭ СБЗС систем и обеспечение безопасности и антитеррористической защищенности объектов на стадиях их жизненных циклов).

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34332.1-2017 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 1. Основные положения

ГОСТ 34332.2-2017 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 2. Общие требования

ГОСТ 34332.3-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 3. Требования к системам

ГОСТ 34332.4-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 4. Требования к программному обеспечению

ГОСТ 34332.5-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 5. Меры по снижению риска, методы оценки

ГОСТ 34100.3.1-2017/ISO/IEC Guide 98-3/Suppl 1:2008 Неопределенность измерения. Часть 3. Руководство по выражению неопределенности измерения. Дополнение 1. Трансформирование распределений с использованием метода Монте-Карло

ГОСТ МЭК 61508-3-2018* Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 51901.12-2007 (МЭК 60812:2006) Менеджмент риска. Метод анализа видов и последствий отказов

ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам электрическим/электронным/программируемым электронным, связанным с безопасностью

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины, определения и сокращения

3.1 В настоящем стандарте применены термины по ГОСТ 34332.1, ГОСТ 34332.2, ГОСТ 34332.3, ГОСТ 34332.4, ГОСТ 34332.5.

3.2 В настоящем стандарте применены следующие сокращения:

АС - аппаратное(ые) средство(а);

ЖЦ - жизненный(ые) цикл(ы);

ИЭ - исполнительный элемент;

КСБ - комплексная система безопасности;

ПЛК - программируемый логический контроллер;

ПО - программное обеспечение;

ПЭ - программируемая(ое) электронная(ое) (система или средство);

СБ система - связанная с безопасностью система;

СБЗС система - связанная с безопасностью зданий и сооружений система;

ТР - технический регламент;

ТР ТС - технический регламент Таможенного союза;

ТС - Таможенный союз;

УО - управляемое оборудование;

УПБ - уровень полноты безопасности;

УПБ ПО - уровень полноты безопасности программного обеспечения;

ФБ - функциональная безопасность;

Э/Э/ПЭ - электрическая(ое), электронная(ое), программируемая электронная(ое) (по отношению к системе, подсистеме, оборудованию или компоненту);

Э/Э/ПЭ СБЗС система - электрическая и/или электронная, и/или программируемая система, связанная с безопасностью здания или сооружения;

MUT - среднее значение времени работы (Mean Up Time);

MDT - среднее значение времени простоя (Mean Down Time);

MTBF - среднее время между отказами (Mean Time Between Failure);

MTTF - среднее время до отказа (Mean Time To Failure);

- средняя вероятность отказа по запросу ФБ для Э/Э/ПЭ СБЗС системы;

- средняя вероятность отказа по запросу для подсистемы датчиков;

- средняя вероятность отказа по запросу для логической подсистемы;

- средняя вероятность отказа по запросу для подсистемы исполнительных элементов;

- средняя частота опасного отказа для ФБ Э/Э/ПЭ системы, связанной с безопасностью;

- средняя частота опасного отказа для подсистемы датчиков;

- средняя частота опасного отказа для логической подсистемы;

- средняя частота опасного отказа для подсистемы исполнительных элементов.

4 Порядок применения требований комплекса стандартов ГОСТ 34332

4.1 Пользователи стандартов

4.1.1 Пользователями настоящего стандарта и стандартов всего комплекса ГОСТ 34332 являются лица (подразделения, организации), влияющие на обеспечение функциональной безопасности Э/Э/ПЭ СБЗС систем и безопасности объектов защиты на стадиях ЖЦ систем и объектов.

Примечание - К пользователям стандартов относятся:

- инвесторы, заказчики, исполнители реализации проектов объектов защиты (зданий и сооружений) и входящих в их состав Э/Э/ПЭ СБЗС систем, владельцы, эксплуатанты, пользователи объектов защиты и лица, осуществляющие техническое обслуживание и ремонт Э/Э/ПЭ СБЗС систем;

- лица, осуществляющие на стадиях ЖЦ Э/Э/ПЭ СБЗС систем верификацию, аудит или оценку соответствия требованиям ФБ;

- лица, осуществляющие страхование объектов защиты от природных и/или техногенных, или антропогенных опасностей и угроз.

4.1.2 Пользователям стандартов ГОСТ 34332 следует ознакомиться со всеми действующими стандартами комплекса ГОСТ 34332 и/ими должны быть тщательно изучены настоящий стандарт и разделы стандартов, связанные с теми стадиями ЖЦ Э/ЭПЭ СБЗС систем, которые относятся к ответственности конкретных лиц (подразделений, организаций) по созданию и применению Э/Э/ПЭ СБЗС систем в части обеспечения достижения и поддержания требуемой ФБ.

4.2 Полный жизненный цикл Э/Э/ПЭ СБЗС систем

4.2.1 Базовая структура полного ЖЦ Э/Э/ПЭ СБЗС систем установлена в ГОСТ 34332.2-2017 (раздел 7) и включает в себя в общем случае следующие стадии и этапы:

- разработка концепции;

- определение области применения;

- анализ опасностей и рисков;

- определение требований к ФБ;

- распределение требований безопасности;

- разработка проектной документации на СБЗС системы;

- разработка рабочей документации;

- планирование полной установки, интеграции и ввода в действие;

- планирование оценки и подтверждения соответствия;

- планирование эксплуатации и технического обслуживания систем;

- реализация Э/Э/ПЭ СБЗС систем;

- реализация СБЗС систем, основанных на неэлектрических технологиях (в случае их применения);

- реализация прочих средств уменьшения риска;

- оценка и подтверждение соответствия;

- эксплуатация, техническое обслуживание, ремонт, периодический контроль;

- видоизменение и модификация систем;

- вывод из эксплуатации и утилизация.

4.2.2 Структура полного ЖЦ Э/Э/ПЭ СБЗС систем конкретного объекта защиты (здания и сооружения) может быть дополнена, сокращена или изменена по отношению к базовой структуре при условии обоснования новой структуры и обеспечения выполнения целей и требований ГОСТ 34332.2.

4.2.3 Действия участников создания и применения Э/Э/ПЭ СБЗС систем на стадиях и этапах их ЖЦ синхронизируют с действиями участников создания и использования зданий и сооружений на соответствующих стадиях и этапах их ЖЦ.

4.2.4 Для эффективного взаимодействия участников создания и применения Э/Э/ПЭ СБЗС систем между собой и с участниками создания и использования зданий и сооружений на соответствующих стадиях ЖЦ организуют совместные рабочие группы специалистов различных профилей.

4.2.5 Верификацию, аудит и оценку соответствия Э/Э/ПЭ СБЗС систем и их составляющих следует осуществлять на всех стадиях и этапах ЖЦ систем.

4.3 Менеджмент функциональной безопасности

4.3.1 Всем организациям, вовлеченным в действия по созданию и применению Э/Э/ПЭ СБЗС систем по 4.1, рекомендуется осуществлять менеджмент ФБ на всех стадиях ЖЦ систем.

4.3.2 Менеджмент ФБ охватывает аспекты:

- полномочий и ответственности высшего руководства организации в отношении менеджмента ФБ;

- политики менеджмента ФБ;

- обеспечения руководства организации по менеджменту ФБ;

- обеспечения компетентности лиц, вовлеченных в действия по менеджменту ФБ;

- ответственности лиц и подразделений, вовлеченных в действия по менеджменту ФБ;

- выполнения процедур по менеджменту ФБ;

- контроля выполнения действий и процедур по менеджменту ФБ.

4.4 Порядок применения требований ГОСТ 34332.3 и ГОСТ 34332.4 представлен в приложении А.

5 Примеры расчетов

5.1 Методы оценки вероятностей отказа АС представлены в приложении Б.

5.2 Примеры расчета охвата диагностикой и доли безопасных отказов представлены в приложении В.

5.3 Методика и примеры количественного определения влияния отказов аппаратных средств по общей причине в Э/Э/ПЭ СБЗС системах представлены в приложении Г.

5.4 Применение таблиц полноты безопасности ПО в соответствии с ГОСТ 34332.4.

Приложение А

(справочное)

Порядок применения требований ГОСТ 34332.3 и ГОСТ 34332.4

А.1 Общие положения

Инженерная система здания или сооружения в случае неправильной работы может представлять опасность для людей, имущества и окружающей среды из-за возникновения опасных событий (например, пожара, взрыва, выброса токсичных веществ, попадания в механизмы и т.д.). Отказы оборудования могут возникать из-за физических отказов устройств (случайные отказы оборудования), либо систематических отказов (ошибки человека, допущенные в технических условиях и конструкции конкретной системы, при определенной комбинации входов систем приводят к систематическим отказам), либо некоторых внешних условий.

Общий подход, основанный на оценке рисков, для предотвращения и/или управления отказами в Э/Э/ПЭ СБЗС системах представлен в ГОСТ 34332.2.

Основная задача настоящего стандарта заключается в обеспечении оснащения объекта и его составляющих такими автоматическими Э/Э/ПЭ СБЗС системами, которые обеспечивают предотвращение:

- отказов систем управления, инициирующих другие события, которые, в свою очередь, могут привести к опасному событию;

- необнаруженных отказов СБЗС систем (например, в системах аварийного останова), делающих эти системы недоступными в момент необходимых действий, связанных с безопасностью.

Требование проведения анализа опасностей и рисков на уровне процесса/системы для определения суммарного снижения риска, необходимого для достижения соответствия критериям риска для данного применения, установлены в ГОСТ 34332.1-2017 (разделы 7 и 8) и ГОСТ 34332.2-2017 (раздел 7). Оценка риска основана на оценке как последствий (или серьезности), так и частоты (или вероятности) опасного события.

Требование использования степени снижения риска, установленной в процессе анализа, для необходимости определения одной или нескольких СБ систем и конкретных функций безопасности (каждая с заданной полнотой безопасности), для выполнения которых нужны эти системы, содержится в ГОСТ 34332.2.

Примечания

1 СБ система включает в себя АС, ПО и дополнительные средства (например, источники питания, датчики, устройства ввода/ввода, исполнительные элементы и др.) [см. ГОСТ 34332.1-2017 (пункт 3.44)].

2 УПБ определяется как один из четырех дискретных уровней. УПБ 4 является наивысшим, а УПБ 1 - низшим уровнем [см. ГОСТ 34332.1-2017 (пункт 3.52)].

В ГОСТ 34332.2-2017 (раздел 7) установлено, что величина уменьшения риска, определенная в результате анализа рисков, далее должна быть использована для определения следующего: сколько требуется СБЗС систем (одна или несколько); каким должен быть УПБ функции(ий) безопасности системы, для которой они необходимы (каждая из функций безопасности имеет определенный УПБ).

В ГОСТ 34332.3 и ГОСТ 34332.4 представлены требования к функциям безопасности и полноте безопасности, установленные в ГОСТ 34332.2 для любой Э/Э/ПЭ СБЗС системы, включая КСБ, а также действия на стадиях ЖЦ системы, которые:

- применяют при разработке технического задания, проектировании и внесении изменений в АС и ПО,

- сфокусированы на средствах предотвращения случайных отказов и/или управления случайными отказами АС и систематическими отказами (на ЖЦ Э/Э/ПЭ СБЗС системы и ПО этой системы).

Примечание - Для четкого структурирования требований настоящего стандарта применена модель процесса разработки, в которой каждый этап ЖЦ следует в определенном порядке с небольшим шагом. Однако может быть использован иной подход к ЖЦ, если планируется выполнение целей и требований, установленных в ГОСТ 34332.2-2017 (раздел 7).

ГОСТ 34332.3 и ГОСТ 34332.4 не содержат указаний, какой УПБ соответствует заданному требуемому приемлемому риску. Это решение зависит от многих факторов, включая характер применения, степень выполнения функций безопасности другими системами, а также социальные и экономические факторы (см. ГОСТ 34332.1 и ГОСТ 34332.2).

Требования ГОСТ 34332.3 и ГОСТ 34332.4 включают в себя:

- методы и средства, классифицированные в соответствии с УПБ, для избегания систематических отказов с применением превентивных мер.

Примечание - Требуемые методы и средства для каждого УПБ представлены в ГОСТ 34332.3-2017 (таблицы приложений А и В) и ГОСТ 34332.4;

- управление систематическими отказами (включая отказы ПО) и случайными отказами АС с применением конструктивных решений, таких как использование встроенных средств обнаружения неисправностей, введение избыточности, а также дополнительных конструкторских и архитектурных решений (например, пространственное разнесение).

В ГОСТ 34332.3 гарантирование того, что цель обеспечения УПБ удовлетворена для опасных случайных отказов АС, основано:

- на требованиях к отказоустойчивости оборудования [см. ГОСТ 34332.3-2021 (таблицы 1 и 2)];

- охвате диагностикой и частоте проверочных испытаний подсистем и компонентов с помощью проведения анализа надежности с использованием соответствующих данных.

По ГОСТ 34332.3 и ГОСТ 34332.4 гарантирование того, что цель полноты безопасности удовлетворена для систематических сбоев, достигается:

- правильным применением процедур управления безопасностью;

- использованием компетентного персонала;

- применением указанных видов ЖЦ систем безопасности, включая указанные методы и средства.

Примечание - Могут быть использованы средства, альтернативные описанным в настоящем стандарте, при условии, что при планировании обеспечения безопасности документально оформляется обоснование применения альтернативных средств (см. ГОСТ 34332.2);

- выполнением предусмотренных действий по реализации стадий ЖЦ системы безопасности, включая предусмотренные методы и средства;

- применением независимой оценки функциональной безопасности.

Примечание - Независимая оценка не всегда подразумевает проведение оценки третьей стороной [см. ГОСТ 34332.2-2017 (раздел 8)].

В ГОСТ 34332.3 формализованы требования к обеспечению полноты безопасности АС Э/Э/ПЭ СБЗС систем, включая датчики и исполнительные устройства. Методы и средства, направленные против систематических отказов АС, включают в себя соответствующую комбинацию средств по предотвращению неисправностей и управлению отказами. Если для обеспечения ФБ необходимы действия оператора, то должны быть приведены требования к интерфейсу оператора. В ГОСТ 34332.3 для обнаружения случайных отказов АС также определены методы и средства диагностического тестирования, реализуемые на уровне АС и ПО (например, диверсификация).

В ГОСТ 34332.4 формализованы требования к обеспечению полноты безопасности как встроенного ПО (включая диагностические средства обнаружения неисправностей), так и прикладного ПО. В ГОСТ 34332.4 предусмотрено использование комбинированного подхода, ориентированного на предотвращение ошибок (обеспечение качества) и устойчивость к ошибкам (за счет архитектуры ПО), так как не существует способа проверки отсутствия отказов в достаточно сложном СБ ПО и особенно предотвращения ошибок в технических условиях и в проекте. ГОСТ 34332.4 требует принятия таких принципов разработки ПО, как проектирование сверху вниз, модульность, проверка на каждой стадии ЖЦ, проверка программных модулей и библиотек программных модулей, а также четкое документирование для облегчения проверки и подтверждения соответствия. Для различных уровней ПО требуются различные уровни гарантии того, что эти и связанные с ними принципы были правильно реализованы.

Разработчик(ки) ПО всей Э/Э/ПЭ СБЗС системы, включая КСБ объекта, должен (должны) четко представлять себе архитектуру применяемой программируемой электроники, когда требуется нахождение компромиссов между архитектурами АС и ПО при оценке их вклада в обеспечение безопасности [см. ГОСТ 34332.3-2021 (рисунки 4 и 5)].

А.2 Функциональные шаги применения ГОСТ 34332.3

Функциональные шаги применения ГОСТ 34332.3 представлены в настоящем приложении на рисунках А.1 и А.2. Функциональные шаги применения ГОСТ 34332.4 представлены на рисунке А.3.

Функциональные шаги применения ГОСТ 34332.3 следующие:

- определение распределения требований к системе безопасности (ГОСТ 34332.2). При необходимости выполняют обновление планирования подтверждения соответствия системе безопасности в процессе разработки Э/Э/ПЭ СБЗС системы;

- определение требований к Э/Э/ПЭ СБЗС системам, включая требования к полноте безопасности для каждой функции безопасности [ГОСТ 34332.2-2017 (подраздел 8.2)];

- определение требований к ПО и передача их поставщику и/или разработчику ПО для применения в соответствии с ГОСТ 34332.4.

Примечание - На данной стадии необходимо рассмотреть возможность одновременных отказов в системе управления УО и Э/Э/ПЭ СБЗС системе(ах) [см. ГОСТ 34332.1-2017 (пункт Д.3.6.5 приложения Д)]. Такие отказы могут быть результатом отказов компонентов по общей причине, например из-за влияния окружающей среды. Наличие подобных отказов может привести к большим по сравнению с ожидаемым значением остаточного риска;

- начало планирования подтверждения соответствия требованиям ФБ для Э/Э/ПЭ СБЗС системы [см. ГОСТ 34332.3-2021 (пункт 8.3.11)].

Примечание - В ПЭ СБЗС системах для ПО выполняют аналогичные действия (см. рисунок А.3).

Рисунок А.1 - Функциональные шаги применения ГОСТ 34332.3 (лист 1)

Примечание - В ПЭ СБЗС системах для ПО выполняют аналогичные действия (см. рисунок А.3).

Рисунок А.2 - Функциональные шаги применения ГОСТ 34332.3 (лист 2)

Рисунок А.3 - Функциональные шаги применения ГОСТ 34332.4

- задание архитектуры (конфигурации) логической подсистемы, датчиков и исполнительных устройств. Вместе с поставщиком/разработчиком ПО проведение анализа архитектуры АС, ПО и влияния на безопасность компромиссов между АС и ПО (см. ГОСТ МЭК 61508-3-2018, рисунок 4). При необходимости повторение анализа;

- разработка модели архитектуры АС для Э/Э/ПЭ СБЗС системы. Эту модель разрабатывают, проверяя отдельно каждую ФБ, и определяют подсистему (компонент), используемую(ый) для реализации этой функции;

- установление параметров для каждой подсистемы (компонента), используемой(го) в Э/Э/ПЭ СБЗС системе. Для каждой подсистемы (компонента) определяют:

а) временной интервал между тестовыми испытаниями для отказов, которые не обнаруживаются автоматически,

б) среднее время восстановления,

в) охват диагностикой [см. ГОСТ 34332.3-2021 (приложение В)],

г) вероятность отказа,

д) долю безопасных отказов [см. ГОСТ 34332.3-2021 (приложение В)];

е) требуемые архитектурные ограничения: для способа

[см. ГОСТ 34332.3-2021 (пункт 8.3.4.1, 1-е перечисление)] и приложение В, для способа

(см. ГОСТ 34332.3-2021, пункт 8.3.4.1, 2-е перечисление)];

- создание модели расчета безотказности для каждой ФБ, которая должна быть реализована Э/Э/ПЭ СБЗС системой.

Примечание - Модель расчета безотказности представляет собой математическую формулу, показывающую взаимосвязь между безотказностью и соответствующими параметрами, связанными с оборудованием и условиями его использования;

расчет прогнозируемой безотказности для каждой ФБ с использованием соответствующей методики. Сравнение результата с заданными характеристиками отказов, определенными во 2-м перечислении данного пункта, и требованиями для способа

[см. ГОСТ 34332.3-2021 (пункт 8.3.4.1, 1-е перечисление)] или способа

[см. ГОСТ 34332.3-2021 (пункт 8.3.4.1, 2-е перечисление)]. Если прогнозируемая безотказность не соответствует заданным характеристикам отказов и/или требованиям способа

или способа

, то изменяют:

а) если возможно, один или несколько параметров подсистемы [возвращаются к 6-му перечислению данного пункта], и/или

б) архитектуру АС [возвращаются к 4-му перечислению данного пункта].

Примечание - Существует множество методов моделирования, и аналитик должен выбрать наиболее соответствующий (перечень тех методов, которые могут быть использованы, приведен в приложении В);

- реализация проекта Э/Э/ПЭ СБЗС системы. Выбирают методы и средства для управления систематическими отказами АС, отказами, вызванными влиянием окружающей среды, и эксплуатационными отказами [см. ГОСТ 34332.3-2021 (приложение А)];

- загрузка проверенного ПО (см. ГОСТ 34332.4) в соответствующие АС [см. ГОСТ 34332.3-2021 (подраздел 8.4 и приложение Б)], параллельная разработка рабочих инструкций для пользователей и документации для обслуживающего персонала по техническому обслуживанию системы (см. ГОСТ Р МЭК 61508-2 и ГОСТ 34332.3-2021 (подраздел 8.7 и приложение Б)]. Учет аспектов, связанных с ПО (см. А.3 и 6-е перечисление данного пункта);

- проведение подтверждения соответствия ФБ Э/Э/ПЭ СБЗС системы [см. ГОСТ 34332.3-2021 (подраздел 8.6) и приложение Б] вместе с разработчиком(ами) ПО [см. ГОСТ 34332.4-2021 (подраздел 7.7)];

- передача АС и результатов подтверждения соответствия Э/Э/ПЭ СБЗС системы системным инженерам для дальнейшей интеграции всей системы;

- если в процессе эксплуатации Э/Э/ПЭ СБЗС системы требуется модернизация/видоизменение, то при необходимости - повторное возвращение к ГОСТ 34332.3-2021 (подраздел 8.6).

В течение ЖЦ системы безопасности объекта для Э/Э/ПЭ СБЗС систем выполняют множество различных действий. Среди них верификация [см. ГОСТ 34332.3-2021 (подраздел 8.8)] и оценка ФБ (см. ГОСТ Р МЭК 61508-1-2012, раздел 8).

При выполнении приведенных выше действий для Э/Э/ПЭ СБЗС системы выбирают методы и средства обеспечения безопасности, соответствующие требуемому УПБ. Для помощи в выборе таких методов и средств составлены таблицы, упорядочивающие различные методы/средства в соответствии с четырьмя УПБ (см. ГОСТ Р МЭК 61508-2-2012, приложение В). Краткий обзор каждого из методов и средств со ссылками на источники информации о них, включая перекрестные ссылки на эти таблицы, представлены в ГОСТ 34332.5-2021 (приложения А и Б).

Один из возможных методов расчета вероятностей отказа АС для Э/Э/ПЭ СБЗС систем представлен в приложении Б.

Примечание - При выполнении приведенных выше действий допускается применять средства, альтернативные указанным в настоящем стандарте, при условии, что оправдывающие обстоятельства документально оформлены в процессе планирования подтверждения соответствия системе безопасности [см. ГОСТ 34332.2-2017 (раздел 6)].

А.3 Функциональные шаги применения ГОСТ 34332.4

Можно выделить следующие функциональные шаги применения ГОСТ 34332.4 (см. рисунок А.3):

- определение требований для Э/Э/ПЭ СБЗС систем и соответствующих компонентов планирования подтверждения соответствия системе безопасности [см. ГОСТ 34332.2-2017 (подраздел 7.10)]; при необходимости - выполнение обновления планирования подтверждения соответствия системе безопасности в процессе разработки ПО.

Примечание - На предыдущих стадиях ЖЦ:

- определены требуемые ФБ и соответствующие им УПБ (см. [ГОСТ 34332.2-2017 (подразделы 7.8 и 7.9)];

- распределены функции безопасности для назначенных систем Э/Э/ПЭ, связанных с безопасностью (см. [ГОСТ 34332.2-2017 (подраздел 7.6)]);

- определение архитектуры ПО для всех ФБ, реализуемых программно [см. ГОСТ 34332.4-2021 (подраздел 7.4 и приложение А)];

- проведение вместе с поставщиком/разработчиком Э/Э/ПЭ СБЗС системы анализа архитектуры АС и ПО, а также влияния на безопасность компромиссов между АС и ПО [см. ГОСТ 34332.4-2021 (рисунок 3)]. При необходимости анализ повторяют;

- проведение планирования проверки и подтверждения соответствия безопасности для ПО [см. ГОСТ 34332.4-2021 (подразделы 7.3 и 7.9)];

- проведение проектирования, разработки, проверки и тестирования ПО в соответствии:

а) с планом подтверждения соответствия ФБ для ПО,

б) УПБ ПО,

в) ЖЦ СБ ПО;

- завершение действий по окончательной проверке ПО и интеграции проверенного ПО в соответствующие АС [см. ГОСТ 34332.4-2021 (подраздел 7.5)] и параллельная разработка процедур по аспектам ПО для пользователей и обслуживающего персонала системы, выполняемые при эксплуатации системы [см. ГОСТ 34332.4-2021 (подраздел 7.6)], а также 10-е перечисление пункта А.2;

- проведение вместе с разработчиком АС [см. ГОСТ 34332.4-2021 (подраздел 7.7)] подтверждения соответствия ПО в интегрированных Э/Э/ПЭ СБЗС системах [см. ГОСТ 34332.4-2021 (подраздел 7.7)];

- передача результатов подтверждения соответствия Э/Э/ПЭ системы системным инженерам для дальнейшей интеграции всей системы безопасности;

- если в процессе эксплуатации потребуется модернизация ПО Э/Э/ПЭ СБЗС системы, то выполняют возврат к соответствующей стадии, как описано в ГОСТ 34332.4-2021 (подраздел 7.8).

В процессе ЖЦ СБ ПО выполняют множество различных действий, среди них верификация [см. ГОСТ 34332.4-2021 (подраздел 7.9)] и оценка ФБ [см. ГОСТ 34332.2-2017 (раздел 8)].

В процессе выполнения приведенных выше действий выбирают методы и средства, обеспечивающие безопасность ПО, соответствующие требуемому УПБ. Для оказания помощи в выборе таких методов и средств составлены таблицы, упорядочивающие различные методы/средства в соответствии с четырьмя УПБ [см. ГОСТ 34332.4-2021 (приложение А)]. Краткое описание каждого из методов и средств со ссылками на источники информации о них, включая перекрестные ссылки на эти таблицы, представлено в ГОСТ 34332.5-2021 (приложение В).

Обработанные примеры применения таблиц полноты безопасности приведены в приложении Е, а в ГОСТ 34332.5 включено описание вероятностного подхода к определению полноты безопасности ПО для уже разработанного ПО [(см. ГОСТ 34332.5-2021 (приложение Г)].

Примечание - При выполнении приведенных выше действий допускается применять средства, альтернативные указанным в настоящем стандарте, при условии, что соответствующее обоснование документально оформлено в процессе планирования подтверждения соответствия системе безопасности [см. ГОСТ 34332.2-2017 (раздел 6)].

Приложение Б

(справочное)

Методы оценки вероятностей отказа аппаратных средств

Б.1 Общие положения

В настоящем приложении рассмотрены методы расчета вероятностей отказа АС Э/Э/ПЭ СБЗС систем, указанных в ГОСТ 34332.2-ГОСТ 34332.4. Данная информация носит справочный характер и не должна быть рассмотрена как единственно возможные методы оценки. Однако в настоящем приложении описан относительно простой подход к оценке характеристик Э/Э/ПЭ СБЗС систем и приведены руководящие указания по использованию альтернативных методов, взятых из классических методов расчета надежности.

Примечание - Архитектуры систем, представленные в настоящем стандарте, являются примерами и не должны быть рассмотрены как исчерпывающие, так как существует множество других архитектур, которые также могут быть использованы.

Существует значительное число методов, непосредственно применимых для анализа полноты безопасности АС Э/Э/ПЭ СБЗС систем. Как правило, их делят на группы в соответствии со следующими характеристиками:

- статические (логические) и динамические (состояния/переходы) модели;

- аналитические модели и моделирование на основе метода Монте-Карло.

Логические модели включают в себя все модели, описывающие статические логические связи между элементарными отказами и полным отказом системы. Блок-схемы надежности [см. ГОСТ 34332.5-2021 (Б.6.4) и ГОСТ Р 51901.12] и дерево отказов [см. ГОСТ 34332.5-2021 (Б.6.5.5, Б.6.5.9 и Б.6.5.10)] относятся к логическим моделям.

Модели состояний-переходов включают в себя все модели, описывающие поведение системы (переход из состояния в состояние) в соответствии с произошедшими событиями (отказами, ремонтами, тестированием и т.д.). Модели Маркова [см. ГОСТ 34332.5-2021 (Б.6.5.6)], сети Петри [см. ГОСТ 34332.5-2021 (Б.2.3.3 и Б.6.5.10)] и формальные языки принадлежат к моделям состояний/переходов. Представлены два марковских подхода: упрощенный подход, основанный на специальной формуле приложения В, и общий подход, позволяющий провести непосредственный расчет графов Маркова (Б.5.2). Если для систем безопасности марковский подход не применим, то вместо него может быть использован метод Монте-Карло. На современных компьютерах расчет возможен даже для уровня УПБ 4. В подразделах Б.5.3 и Б.5.4 даны руководящие указания по применению метода Монте-Карло [см. ГОСТ 34332.5-2021 (Б.6.5.8)] для моделей поведения, использующих сети Петри и формальные языки моделирования.

Упрощенный подход, который представлен первым, основан на графическом представлении блок-схемы надежности и специальной формулы Маркова, выведенной из работ Тейлора с учетом относительно консервативных гипотез, описанных в Б.3.1.

Все эти методы могут быть использованы для большинства Э/Э/ПЭ СБЗС систем. При определении того, какой метод использовать для конкретного применения, очень важно, чтобы пользователь конкретного метода был компетентен в его применении, и это может оказаться более важным, чем непосредственно используемый метод. Аналитик отвечает за то, чтобы гипотеза, лежащая в основе любого конкретного метода, была выполнена корректно для рассматриваемого применения либо была внесена какая-либо необходимая корректировка для достижения соответствующего реалистичного консервативного результата. В случае недостаточной надежности данных или превалирующего числа отказов по общей причине может быть достаточным использование простейшей(го) модели/метода. Важна возможная потеря точности, которую определяют в каждом конкретном случае.

Если для проведения расчетов используют ПО, то специалист, выполняющий расчет, должен понимать формулы/методы, используемые в программном пакете, чтобы быть уверенным в том, что они применимы в каждом конкретном случае.

Специалист также должен проверить программный пакет путем сравнения результатов расчета нескольких тестовых примеров, полученных с помощью программного пакета и ручным способом.

Если отказ системы управления УО инициирует обращение к Э/Э/ПЭ СБЗС системе, то вероятность возникновения опасного события зависит также от вероятности отказа системы управления УО. В этой ситуации необходимо рассмотреть возможность одновременного отказа компонентов системы управления УО и Э/Э/ПЭ СБЗС системы из-за механизмов отказа по общей причине. При неправильном анализе наличие подобных отказов может привести к большим по сравнению с ожидаемым значениям остаточного риска.

Б.2 Основные вероятностные расчеты

Б.2.1 Введение

Блок-схема надежности, показанная на рисунке Б.1, представляет систему (контур) безопасности, состоящую из трех датчиков (A, B, C), одного логического решающего устройства (D), двух исполнительных элементов (E, F) и демонстрирующую наличие в ней отказов по общей причине (CCF).

Рисунок Б.1 - Блок-схема надежности полного контура безопасности

Эта блок-схема облегчает выявление пяти комбинаций отказов, ведущих к отказу Э/Э/ПЭ СБЗС системы. Каждую из них именуют минимальным сечением:

- (A, B, C) - тройной отказ;

- (E, F) - двойной отказ;

- (D), (CCF1), (CCF2) - одинарные отказы.

Б.2.2 Э/Э/ПЭ СБЗС система с низкой интенсивностью запросов

Когда Э/Э/ПЭ СБЗС система используется в режиме с низкой интенсивностью запросов согласно настоящему стандарту требуется, чтобы была дана оценка средней вероятности опасных отказов по запросу (т.е. средней неготовности)

. Это просто отношение MDT(

, где MDT(

) означает время простоя Э/Э/ПЭ СБЗС системы на отрезке времени [0,

Для систем безопасности вероятность отказа, как правило, крайне низка и вероятность одновременного наличия двух минимальных сечений ничтожна. Поэтому суммарное значение средних периодов простоя всех минимальных сечений дает консервативную оценку среднего времени простоя всей системы. Исходя из блок-схемы на рисунке Б.1 имеем:

. (Б.1)

Деление на T дает:

. (Б.2)

Таким образом, для последовательно соединенных компонентов вычисления

похожи на вычисления, которые выполняют с обычными вероятностями, очень малыми по сравнению с 1.

Однако для параллельно соединенных компонентов, где потеря функциональности возможна только при множественном отказе, таком как (

), очевидно, что

не представляется возможным вычислить непосредственно из

системы

(

) следует вычислять, используя выражение:

. (Б.3)

Поэтому обычные вероятностные вычисления (посредством сложения и умножения) не действительны для

вычислений (посредством интегрирования) параллельных компонентов.

не обладает такими же свойствами, как истинная вероятность, и его ассимиляция с реальной вероятностью может привести к неадекватным результатам. В частности, невозможно получить

Э/Э/ПЭ СБЗС системы, комбинируя традиционным способом

его компонентов. Поскольку это иногда поощряется коммерческими поставщиками булевых программных пакетов, аналитики должны быть предельно внимательными для того, чтобы избежать таких неадекватных вычислений, которые нежелательны при работе с безопасностью.

Пример - Для канала с избыточностью (1оо2) с интенсивностью опасных необнаруженных отказов

и интервалом между контрольными испытаниями

расчет по некорректной вероятностной модели может дать

/4, когда в действительности она должна быть равна

Вычисления могут быть выполнены аналитически или с использованием метода Монте-Карло. В настоящем приложении описано, каким образом выполнить эти вычисления, используя общепринятые модели надежности, основанные на логических подходах (блок-схемы надежности или дерево отказов) или на моделях состояний-переходов (сети Маркова, сети Петри и т.д.).

Б.2.3 Режим работы Э/Э/ПЭ СБЗС системы с высокой интенсивностью запросов или с непрерывным запросом

Б.2.3.1 Общая формула PFH

Когда Э/Э/ПЭ СБЗС систему используют в режиме с высокой интенсивностью запросов или с непрерывным запросом, согласно настоящему стандарту необходимы вычисления значения средней частоты опасных отказов PFH. Это среднее значение так называемой безусловной интенсивности отказов (также именуемое частотой отказов)

за интересующий период вычисляют по формуле

. (Б.4)

Если Э/Э/ПЭ СБЗС система работает в режиме с непрерывным запросом и является основным средством обеспечения безопасности, то отказ всей СБЗС системы ведет непосредственно к потенциально опасной ситуации. Следовательно, при вычислениях можно считать, что отказы, приводящие к отказу ФБ всей системы, СБЗС система отказ не исправляет. Однако если отказ всей СБЗС системы не ведет непосредственно к потенциальной опасности при наличии других средств безопасности или к отказу оборудования, то возможно рассмотреть обнаружение отказа в СБЗС системе и ее ремонт при расчете снижения риска этой системой.

Б.2.3.2 Вероятность появления отказа (например, в случае единственного средства, работающего в режиме с непрерывным запросом)

Данный случай используют, когда Э/Э/ПЭ СБЗС система работает в режиме с непрерывным запросом и является основным средством обеспечения безопасности. Таким образом, непосредственно после ее отказа может возникнуть потенциально опасная ситуация. Ни один отказ всей системы не допустим в рассматриваемом периоде.

В этом случае средняя частота опасных отказов PFH может быть рассчитана с использованием вероятности появления отказа, деленной на величину рассматриваемого периода времени:

. (Б.5)

Интенсивность полного отказа системы

может зависеть от времени или быть константой.

Если она зависит от времени, то среднюю частоту опасных отказов

вычисляют по формуле

. (Б.6)

Если система выполнена из компонентов, полностью и быстро восстанавливаемых, с постоянными интенсивностями отказов и ремонта (например, в случае обнаруживаемых опасных отказов), то

быстро достигает своего постоянного асимптотического значения

. Когда

<<1, значение

вычисляют по формуле

. (Б.7)

Асимптотическое значение

существует только тогда, когда Э/Э/ПЭ СБЗС система, работающая в непрерывном режиме, включает в себя только безопасные и

-отказы (например, быстро обнаруживаемые и исправимые). Не рассматривают ремонт тех отказов, которые могут привести к полному отказу ФБ. Для конфигурации с резервированием, где применимы контрольные проверки, асимптотическая интенсивность отказов не применима, и должны быть использованы формулы (Б.4)-(Б.6). Выбор конкретного случая выполняет аналитик.

Б.2.3.3 Неготовность (например, при наличии нескольких средств обеспечения безопасности)

Когда Э/Э/ПЭ СБЗС система работает в режиме с непрерывным запросом и не является единственным средством обеспечения безопасности, отказы лишь увеличивают частоту запросов к другим средствам обеспечения безопасности, также как и тогда, когда она работает в режиме высокой интенсивности запросов и при этом в период ожидания запроса существует возможность выявить (автоматически или вручную) и устранить отказ, который может привести к непосредственному отказу ФБ. В этом случае отказы всей системы могут быть исправлены, и PFH может быть рассчитана исходя из значений готовности

и условной интенсивности отказа системы

Если система создана из компонентов, которые могут быть полностью и быстро исправлены (например, когда в любой ситуации, ведущей к ухудшению работы, существует большая вероятность быстро вернуть все в нормальное рабочее состояние), то ее

быстро достигает асимптотического значения

, которое в дополнение ко всему является неплохим приближением к действительной асимптоте интенсивности отказа всей системы

, введенной в Б.2.3.2.

В результате получают:

. (Б.8)

Б.2.3.4 Обсуждение интенсивности отказов

В формулах Б.6 и Б.8 используют интенсивность отказов всей системы

, вычисление которой не очень простое, поэтому необходимо отметить нижеприведенные положения.

Для вычисления интенсивности отказов структуры, состоящей из последовательно соединенных компонентов, следует сложить интенсивности отказов каждого из компонентов. Исходя из блок-схемы, показанной на рисунке Б.1, интенсивность полного отказа Э/Э/ПЭ СБЗС системы можно вычислить по формуле

, (Б.9)*

где

- интенсивность полного отказа Э/Э/ПЭ СБЗС системы.

- интенсивность отказов пяти минимальных сечений для Э/Э/ПЭ СБЗС системы.

Для параллельных структур все сложнее, так как в этом случае отсутствуют простые соотношения с интенсивностями отказов отдельных компонентов. Например, рассмотрим сечение (

- если

не могут быть мгновенно восстановлены (например, в случае

-отказов),

изменяется непрерывно от 0 до

(интенсивность отказов

или

. Асимптотическое значение достигается, когда один из двух компонентов откажет. Это довольно длительный процесс, т.к. это проявляется, когда

становится более 1/

. Данное значение не будет достигнуто, если

периодически проверяют с периодом

;

- если

могут быть восстановлены в относительно короткий период времени (например, в случае

-отказов),

очень быстро достигает асимптотического значения

, которое может быть использовано как эквивалент постоянной интенсивности отказов. Это значение достигается, когда

становится в два-три раза больше, чем значения компонентов MTTR. Данный случай полностью и быстро восстанавливаемых систем описан в Б.2.3.2 и Б.2.3.3.

Таким образом, в общем случае оценка интенсивностей отказов всей системы требует более сложных вычислений, чем для более простой последовательной структуры.

Б.3 Метод блок-схемы надежности при постоянной интенсивности отказов

Б.3.1 Основная гипотеза

Расчеты основаны на следующих предположениях:

- значение результирующей средней вероятности отказа выполнения функции безопасности по запросу для системы менее 10

или значение результирующей средней частоты опасного отказа для системы менее 10

в час.

Примечание - Предположение означает, что такая Э/Э/ПЭ СБЗС система удовлетворяет требованиям ГОСТ 34332.2-2017 (см. таблицы 2 и 3) и УПБ 1;

- частота отказов компонентов постоянна в течение срока службы системы;

- подсистема датчиков (подсистема ввода) состоит из реального(ых) датчика(ов) и других компонентов и соединительных проводов вплоть до компонента(ов), но не включая его (их), где сигналы впервые объединяются с помощью процедуры голосования или другой процедуры (например, при конфигурации каналов из двух датчиков, представленной на рисунке Б.2).

Рисунок Б.2 - Пример конфигурации для двух каналов датчиков

- логическая подсистема включает в себя компонент(ы), в котором(ых) сигналы вначале объединяются, и все другие компоненты вплоть до тех компонентов включительно, откуда результирующий(ие) сигнал(ы) передается(ются) подсистеме исполнительных элементов;

- подсистема исполнительных элементов (подсистема вывода) включает в себя компоненты и соединения, которые обрабатывают исполнительный(ые) сигнал(ы), получаемый(ые) от логической подсистемы, а также исполнительный(ые) компонент(ы);

- значения частот отказов АС, применяемых в качестве исходных данных для расчетов и таблиц, задаются для одного канала подсистемы (например, при использовании датчиков в виде архитектуры 2оо3 частота отказов задается для одного датчика, а влияние архитектуры 2оо3 рассчитывается дополнительно);

- значения частот отказов и охват диагностикой одинаковы для всех каналов в голосующей группе;

- общая частота отказов АС канала подсистемы является суммой значений частоты опасных и частоты безопасных отказов для данного канала, которые полагают равными.

Примечание - Это предположение влияет на долю безопасных отказов [см. ГОСТ 34332.3-2021 (приложение В)], но доля безопасных отказов не влияет на рассчитанные значения вероятности отказа, приведенные в данном приложении;

- для каждой ФБ существуют эффективные средства тестирования и устранения отказов (т.е. все отказы, оставшиеся невыявленными, обнаруживаются при тестировании), влияние неидеального тестирования в соответствии с Б.3.2.2.5;

- интервал времени между тестовыми испытаниями должен быть, по крайней мере, на порядок больше, чем MRT;

- для каждой подсистемы существует единый интервал времени между тестовыми испытаниями и MRT;

- ожидаемый интервал времени между запросами на выполнение ФБ должен быть, по крайней мере, на порядок больше интервала времени между тестовыми испытаниями;

- для всех подсистем, работающих в режиме с низкой интенсивностью запросов, и для архитектур 1оо2, 1oo2D и 1оо3, функционирующих в режиме с высокой интенсивностью запросов или с непрерывным запросом, доля отказов, заданная охватом диагностикой, обнаруживается и устраняется за MTTR, приведенное в требованиях к полноте безопасности АС.

Пример - Если предполагаемое MTTR равно 8 ч, то оно включает в себя продолжительность диагностического тестирования, которое обычно не превышает 1 ч, а оставшаяся часть среднего времени восстановления - это MRT.

Примечание - Для канальных архитектур 1оо2, 1oo2D и 1оо3 предполагается выполнение любого ремонта в оперативном режиме. Если конфигурация Э/Э/ПЭ СБЗС системы при любом обнаруживаемом отказе обеспечивает переход УО в безопасное состояние, то это уменьшает среднюю вероятность отказа при запросе. Степень уменьшения вероятности зависит от охвата диагностикой;

- для канальных архитектур 1оо1 и 2оо2, работающих в режиме с высокой интенсивностью запросов или с непрерывным запросом, Э/Э/ПЭ СБЗС система всегда переходит в безопасное состояние после обнаружения опасного отказа. Для этого ожидаемый интервал времени между запросами должен быть, по крайней мере, на порядок больше временного интервала диагностического тестирования или сумма временных интервалов диагностического тестирования и временных интервалов перехода УО в безопасное состояние должна быть меньше, чем время безопасной работы;

- если отказ источника питания приводит к обесточиванию Э/Э/ПЭ СБЗС системы и инициирует переход в безопасное состояние, то источник питания не влияет на среднюю вероятность отказа по запросу системы; если для перехода в безопасное состояние на систему подается питание или у источника питания существуют режимы отказов, которые могут приводить к небезопасной работе Э/Э/ПЭ СБЗС системы, то при оценке следует учитывать источник питания;

- если используется терминальный канал, то он ограничивается лишь той частью рассматриваемой системы, которой обычно является либо датчик, либо логическая подсистема, либо подсистема логических элементов;

- параметры и их обозначения представлены в таблице Б.1.

Таблица Б.1 - Параметры, используемые в настоящем приложении, и диапазоны их значений (применяются к архитектурам 1оо1, 1оо2, 2оо2, 1oo2D и 2оо3)


Обозначение	Параметр, единица измерения	Диапазон параметров в соответствии с таблицами Б.2-Б.5 и Б.10-Б.13
	Интервал времени между контрольными проверками, ч	1 мес (730 ч) . 3 мес (2190 ч) . 6 мес (4380 ч). 1 год (8760 ч). 2 года (17520 ч) . 10 лет (87600 ч)
MRT	Среднее время ремонта, ч	8 Примечание - MTTR=MRT=8 ч основано на предположении, что время на обнаружение опасного отказа, основанное на автоматическом обнаружении, <<MRT
MTTR	Среднее время восстановления, ч	8 Примечание - MTTR=MRT=8 ч основано на предположении, что время на обнаружение опасного отказа, основанное на автоматическом обнаружении, << MRT
DC	Охват диагностикой, дробь (в формулах), % (в остальных случаях)	0%; 60%; 90%; 99%
	Доля необнаруженных отказов по общей причине (в таблицах Б.2-Б.5 и Б.10-Б.13 предполагается ), дробь (в формулах), % (в остальных случаях)	2%; 10%; 20%
	Доля отказов, обнаруженных диагностическими тестами и имеющих общую причину (в таблицах Б.2-Б.5 и Б.10-Б.13 предполагается ), дробь (в формулах), % (в остальных случаях)	1%; 5%; 10%
	Интенсивность опасных отказов для канала подсистемы, отказ/ч	0,05·10 ; 0,25·10 ; 0,5·10 ; 2,5·10 ; 5·10 ; 25·10
	Средняя вероятность отказа по запросу для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входит в состав только одной голосующей группы, то эквивалентна , или соответственно)	-
	Средняя вероятность отказа по запросу для подсистемы датчиков	-
	Средняя вероятность отказа по запросу для логической подсистемы	-
	Средняя вероятность отказа по запросу для подсистемы исполнительных элементов	-
	Средняя вероятность отказа по запросу для функции безопасности Э/Э/ПЭ СБЗС системы	-
	Средняя частота опасных отказов для группы голосующих каналов (если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входит в состав только одной голосующей группы, то эквивалентна , или соответственно), отказ/ч	-
	Средняя частота опасных отказов для подсистемы датчиков, отказ/ч	-
	Средняя частота опасных отказов для логической подсистемы, отказ/ч	-
	Средняя частота опасных отказов для подсистемы исполнительных элементов, отказ/ч	-
	Средняя частота опасных отказов для функции безопасности Э/Э/ПЭ СБЗС системы, отказ/ч	-
	Общая интенсивность отказов для канала подсистемы, отказ/ч	-
	Интенсивность опасных отказов для канала подсистемы, равная 0,5 (в предположении 50% опасных отказов и 50% безопасных отказов), отказ/ч	-
	Интенсивность обнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных опасных отказов для канала подсистемы), отказ/ч	-
	Интенсивность необнаруженных опасных отказов для канала подсистемы (это сумма всех интенсивностей необнаруженных опасных отказов для канала подсистемы), отказ/ч	-
	Интенсивность обнаруженных безопасных отказов для канала подсистемы (это сумма всех интенсивностей обнаруженных безопасных отказов для канала подсистемы), отказ/ч	--
	Эквивалентное среднее время простоя канала для архитектур 1оо1, 1оо2, 2оо2 и 2оо3 (это объединенное время простоя для всех компонентов канала подсистемы), ч	-
	Эквивалентное среднее время простоя голосующей группы для архитектур 1оо1, 1оо2, 2оо2 и 2оо3 (это объединенное время простоя для всех каналов в голосующей группе), ч	-
	Эквивалентное среднее время простоя канала для архитектуры 1oo2D (это объединенное время простоя для всех компонентов канала подсистемы), ч	-
	Эквивалентное среднее время простоя голосующей группы для архитектуры 1oo2D (это суммарное время простоя для всех каналов в голосующей группе), ч	-
	Интервал времени между запросами, ч	-
K	Доля успеха при автоматическом тестировании схемы в 1oo2D системе	-
PTC	Охват контрольными проверками	-
Только режим высокой интенсивности запросов и режим с непрерывным запросом. Только режим низкой интенсивности запросов.

Б.3.2 Средняя вероятность отказа по запросу (для режима с низкой интенсивностью запросов)

Б.3.2.1 Процедура расчета

Среднюю вероятность отказа ФБ для Э/Э/ПЭ СБЗС системы определяют посредством вычисления и объединения средних вероятностей отказов по запросу для всех подсистем, совокупность которых обеспечивает ФБ. Так как рассматриваемые в настоящем приложении вероятности невелики, то средняя вероятность отказа по запросу для ФБ Э/Э/ПЭ СБЗС системы (см. рисунок Б.3)

может быть вычислена по формуле

. (Б.10)

Рисунок Б.3 - Структура подсистем Э/Э/ПЭ СБЗС системы

Для определения средней вероятности отказа по запросу для каждой из подсистем необходимо строго придерживаться следующей процедуры для каждой подсистемы:

- разработка структурной схемы, изображающей компоненты подсистемы датчиков (подсистемы ввода), компоненты логической подсистемы или компоненты подсистемы исполнительных элементов (подсистемы вывода). Компонентами подсистемы датчиков, например, могут быть датчики, защитные экраны, входные согласующие цепи; компонентами логической подсистемы - процессоры и сканеры, а компонентами подсистемы исполнительных элементов - выходные согласующие цепи, экраны и исполнительные механизмы. Каждую подсистему представляют как одну либо более голосующих групп 1оо1, 1оо2, 2оо2, 1оо2D или 2оо3;

- применение соответствующих таблиц Б.2-Б.5, в которых приведены шестимесячные, годовые, двухлетние и 10-летние интервалы между процедурами тестирования. Данные таблицы предполагают, что среднее время восстановления для любого отказа после его обнаружения равно 8;

- для каждой голосующей группы в подсистеме осуществление выбора из таблиц Б.2-Б.5:

а) архитектуры (например, 2оо3),

б) охвата диагностикой для каждого канала (например, 60%),

в) интенсивности опасных отказов в час,

для каждого канала (например, 2,5·10

г) факторов отказа по общей причине

-факторов (

) для взаимосвязи между каналами в рассматриваемой архитектуре (например, 2% и 1% соответственно).

Примечания

1 Предполагается, что все каналы в голосующей группе имеют одинаковые охват диагностикой и интенсивность отказов (см. Б.1).

2 В таблицах Б.2-Б.5 (см. также таблицы Б.10-Б.13) предполагается, что

-фактор в отсутствие диагностических тестов (также применяемый для необнаруженных опасных отказов при использовании диагностических тестов) в два раза больше

-фактора для отказов, обнаруживаемых диагностическими тестами

;

- получение исходя из данных таблиц Б.2-Б.5 средней вероятности отказа для голосующей группы;

- если функция безопасности зависит от нескольких голосующих групп датчиков или исполнительных элементов, то совокупную среднюю вероятность отказа для подсистемы датчиков или подсистемы исполнительных элементов

или

вычисляют по следующим формулам:

; и

, (Б.11)

где

- средние вероятности отказа для каждого из голосующей группы датчиков или исполнительных элементов, соответственно.

Эти формулы используют во всех уравнениях как для PFD, так и для интенсивности отказов системы, которые являются функцией интенсивности отказов компонентов и среднего времени простоя MDT. Если система состоит из нескольких элементов и требуется определить общую PFD комбинации всех элементов или интенсивность отказов системы, то при вычислениях обычно применяют единое значение MDT. Однако каждый элемент может иметь различные механизмы обнаружения отказов с разными MDT, и разные элементы могут иметь разные MDT для одних и тех же механизмов обнаружения отказов. В этом случае необходимо вычислить единое значение MDT, которое отражает все элементы в цепочке. Это можно выполнить, рассматривая полные цепочки интенсивности отказов всей системы и пропорционально распределяя индивидуальные значения MDT для элементов в соответствии с вкладом их интенсивностей отказов в общую интенсивность отказов.

Например, при наличии двух элементов в последовательности, один с интервалом между контрольными проверками

, а другой с интервалом между контрольными проверками

, эквивалентное единое значение для

вычисляют по формулам:

; (Б.12)

. (Б.13)

Б.3.2.2 Архитектуры для режима с низкой интенсивностью запросов

Примечания

1 В настоящем пункте справедливые для нескольких архитектур формулы приводят в том случае, если их используют впервые.

2 Формулы настоящего пункта справедливы для предположений, перечисленных в Б.3.1.

3 Приведенные примеры являются типичными конфигурациями и не являются исчерпывающими.

Б.3.2.2.1 Архитектура 1оо1

Данная архитектура предполагает использование одного канала, и любой опасный отказ приводит к нарушению ФБ при возникновении запроса на ее выполнение.

На рисунках Б.4 и Б.5 представлены соответствующие структурные схемы. Интенсивность опасного отказа для канала

вычисляют по формуле

. (Б.14)

Рисунок Б.4 - Структурная схема архитектуры 1оо1

Рисунок Б.5 - Структурная схема надежности для архитектуры 1оо1

На рисунке Б.5 показано, что канал можно рассматривать как состоящий из двух компонентов: один - с интенсивностью опасных отказов

, обусловленной необнаруженными отказами, а другой - с интенсивностью опасных отказов

, обусловленной обнаруженными отказами. Эквивалентное среднее время простоя канала

можно рассчитать, суммируя времена простоя для двух компонентов

, прямо пропорционально вкладу каждого компонента в вероятность отказа канала, по формуле

. (Б.15)

Для каждой архитектуры интенсивность необнаруженных опасных отказов

и интенсивность обнаруженных опасных отказов

определяют следующим образом:

; (Б.16)

. (Б.17)

Среднюю вероятность отказа выполнения функции безопасности канала

в течение времени простоя

определяют исходя из выражения:

. (Б.18)

Следовательно, среднюю вероятность отказа по запросу для архитектуры 1оо1

вычисляют по формуле

. (Б.19)

Б.3.2.2.2 Архитектура 1оо2

Данная архитектура представляет собой два канала, соединенных параллельно, где любой из каналов может выполнить ФБ. Следовательно, для нарушения ФБ опасные отказы должны возникнуть в обоих каналах. Предполагается, что любое диагностическое тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования.

На рисунках Б.6 и Б.7 представлены соответствующие структурные схемы. Значение

вычисляют в соответствии с Б.3.2.2.1, но необходимо вычислить также и эквивалентное время простоя системы

по формуле

. (Б.20)

Рисунок Б.6 - Структурная схема архитектуры 1оо2

Рисунок Б.7 - Структурная схема надежности для архитектуры 1оо2

Для данной архитектуры средняя вероятность отказа по запросу

равна:

. (Б.21)

Б.3.2.2.3 Архитектура 2оо2

Данная архитектура представляет собой два канала, соединенных параллельно, и для выполнения функции безопасности необходима работа обоих каналов. Предполагается, что любое диагностическое тестирование только сообщает об обнаруженных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования.

На рисунках Б.8 и Б.9 представлены соответствующие структурные схемы. Значение

вычисляют в соответствии с Б.3.2.2.1, а среднюю вероятность отказа по запросу

для данной архитектуры определяют как:

. (Б.22)

Рисунок Б.8 - Структурная схема архитектуры 2оо2

Рисунок Б.9 - Структурная схема надежности для архитектуры 2оо2

Б.3.2.2.4 Архитектура 1oo2D

Данная архитектура представляет собой два канала, соединенных параллельно. При нормальной работе для выполнения функции безопасности по запросу необходимы оба канала. Кроме того, если диагностическое тестирование обнаруживает отказ в любом канале, то результаты анализа устанавливаются таким образом, чтобы общее выходное состояние совпадало с результатом, выдаваемым другим каналом. Если диагностическое тестирование обнаруживает отказы в обоих каналах или несоответствие между ними, причина которого не может быть идентифицирована, то выходной сигнал переводит систему в безопасное состояние. Для обнаружения несоответствия между каналами каждый канал может определять состояние другого канала не зависящим от другого канала способом. Сравнение канала/механизма переключения не может быть эффективным на 100%, поэтому параметр K представляет собой эффективность межканального сравнения/механизма переключения, т.е. выход может оставаться таким же, как и для архитектуры 2оо2, даже если в одном из каналов обнаружен отказ.

Примечание - Параметр K следует определить с помощью анализа причин и последствий отказов FMEA (от английского "failure modes and effects analysis").

Для каждого канала интенсивность обнаруженных безопасных отказов

определяют как:

. (Б.23)

На рисунках Б.10 и Б.11 представлены соответствующие структурные схемы. Значения эквивалентного среднего времени простоя отличаются от значений, приведенных для других архитектур в Б.3.2.2, поэтому их обозначают как

и вычисляют по следующим формулам:

; (Б.24)

. (Б.25)

Рисунок Б.10 - Структурная схема архитектуры 1oo2D

Рисунок Б.11 - Структурная схема надежности для архитектуры 1oo2D

Среднюю вероятность отказа по запросу

для данной архитектуры вычисляют по формуле

(Б.26).

Б.3.2.2.5 Архитектура 2оо3

Данная архитектура состоит из трех каналов, соединенных параллельно с мажорированием выходных сигналов таким образом, что выходное состояние не меняется, если результат, выдаваемый одним из каналов, отличается от результата, выдаваемого двумя другими каналами.

Предполагается, что любое диагностическое тестирование только фиксирует найденные сбои и не может изменить ни выходные состояния каналов, ни результат голосования.

На рисунках Б.12 и Б.13 представлены соответствующие структурные схемы. Значение

вычисляют по Б.3.2.2.1, а значение

- по Б.3.2.2.2. Среднюю вероятность отказа по запросу

для данной архитектуры вычисляют по формуле

. (Б.27)

Рисунок Б.12 - Структурная схема архитектуры 2оо3

Рисунок Б.13 - Структурная схема надежности для архитектуры 2оо3

Б.3.2.2.6 Архитектура 1оо3

Данная архитектура состоит из трех каналов, соединенных параллельно со схемой голосования для выходных сигналов, так что выходной сигнал соответствует схеме голосования 1оо3.

Предполагается, что любая диагностическая проверка только сообщает о найденных отказах и не меняет выходных состояний или выхода схемы голосования.

Значение

вычисляют по Б.3.2.2.1, а значение

- по Б.3.2.2.2. Средняя вероятность отказа по запросу

для данной архитектуры равна

где

Б.3.2.3 Подробные таблицы для режима с низкой интенсивностью запросов

Значения средних вероятностей отказов по запросу для различных интервалов между контрольными испытаниями при среднем времени ремонта 8 ч представлены в таблицах Б.2-Б.5.

Примечание - В таблицах Б.2-Б.5 "Е" означает основание степенной функции (число 10), а последующие знаки и числа (например, "-06", "00", "02") - показатели степени. Таким образом, "Е-06" означает "10

", "Е-00" - "10

", а "Е02" - "10

Таблица Б.2 - Средняя вероятность отказа по запросу для шестимесячного интервала между контрольными проверками при среднем времени ремонта 8 ч


Архитектура	DC, %	=0,5Е-07			=2,5Е-07			=0,5Е-06
		=2%	=10%	=20%	=2%	=10%	=20%	=2%	=10%	=20%
		=1%	=5%	=10%	=1%	=5%	=10%	=1%	=5%	=10%
1оо1 (см.	0	1,1Е-04			5,5Е-04			1,1Е-03
примечание 2)	60	4,4Е-05			2,2Е-04			4,4Е-04
	90	1,1Е-05			5,7Е-05			1,1Е-04
	99	1,5Е-06			7,5Е-06			1,5Е-05
1оо2	0	2,2Е-06	1,1Е-05	2,2Е-05	1,1Е-05	5,5Е-05	1,1Е-04	2,4Е-05	1,1Е-04	2,2Е-04
	60	8,8Е-07	4,4Е-06	8,8Е-06	4,5Е-06	2,2Е-05	4,4Е-05	9,1Е-06	4,4Е-05	8,8Е-05
	90	2,2Е-07	1,1Е-06	2,2Е-06	1,1Е-06	5,6Е-06	1,1Е-05	2,3Е-06	1,1Е-05	2,2Е-05
	99	2,6Е-08	1,3Е-07	2,6Е-07	1,3Е-07	6,5Е-07	1,3Е-06	2,6Е-07	1,3Е-06	2,6Е-06
2оо2 (см.	0	2,2Е-04			1,1Е-03			2,2Е-03
примечание 2)	60	8,8Е-05			4,4Е-04			8,8Е-04
	90	2,3Е-05			1,1Е-04			2,3Е-04
	99	3,0Е-06			1,5Е-05			3,0Е-05
1oo2D (см.	0	2,2Е-06	1,1Е-05	2,2Е-05	1,1Е-05	5,5Е-05	1,1Е-04	2,4Е-05	1,1Е-04	2,2Е-04
примечание 3)	60	1,4Е-06	4,9Е-06	9,3Е-06	7,1Е-06	2,5Е-05	4,7Е-05	1,4Е-05	5,0Е-05	9,3Е-05
	90	4,3Е-07	1,3Е-06	2,4Е-06	2,2Е-06	6,6Е-06	1,2Е-05	4,3Е-06	1,3Е-05	2,4Е-05
	99	6,0Е-08	1,5Е-07	2,6Е-07	3,0Е-07	7,4Е-07	1,3Е-06	6,0Е-07	1,5Е-06	2,6Е-06
2оо3	0	2,2Е-06	1,1Е-05	2,2Е-05	1,2Е-05	5,6Е-05	1,1Е-04	2,7Е-05	1,1Е-04	2,2Е-04
	60	8,9Е-07	4,4Е-06	8,8Е-06	4,6Е-06	2,2Е-05	4,4Е-05	9,6Е-06	4,5Е-05	8,9Е-05
	90	2,2Е-07	1,1Е-06	2,2Е-06	1,1Е-06	5,6Е-06	1,1Е-05	2,3Е-06	1,1Е-05	2,2Е-05
	99	2,6Е-08	1,3Е-07	2,6Е-07	1,3Е-07	6,5Е-07	1,3Е-06	2,6Е-07	1,3Е-06	2,6Е-06
1оо3	0	2,2Е-06	1,1Е-05	2,2Е-05	1,1Е-05	5,5Е-05	1,1Е-04	2,2Е-05	1,1Е-04	2,2Е-04
	60	8,8Е-07	4,4Е-06	8,8Е-06	4,4Е-06	2,2Е-05	4,4Е-05	8,8Е-06	4,4Е-05	8,8Е-05
	90	2,2Е-07	1,1Е-06	2,2Е-06	1,1Е-06	5,6Е-06	1,1Е-05	2,2Е-06	1,1Е-05	2,2Е-05
	99	2,6Е-08	1,3Е-07	2,6Е-07	1,3Е-07	6,5Е-07	1,3Е-06	2,6Е-07	1,3Е-06	2,6Е-06
1оо1 (см.	0	5,5Е-03			1,1Е-02			5,5Е-02
примечание 2)	60	2,2Е-03			4,4Е-03			2,2Е-02
	90	5,7Е-04			1,1Е-03			5,7Е-03
	99	7,5Е-05			1,5Е-04			7,5Е-04
1оо2	0	1,5Е-04	5,8Е-04	1,1Е-03	3,7Е-04	1,2Е-03	2,3Е-03	5,0Е-03	8,8Е-03	1,4Е-02
	60	5,0Е-05	2,3Е-04	4,5Е-04	1,1Е-04	4,6Е-04	9,0Е-04	1,1Е-03	2,8Е-03	4,9Е-03
	90	1,2Е-05	5,6Е-05	1,1Е-04	2,4Е-05	1,1Е-04	2,2Е-04	1,5Е-04	6,0Е-04	1,2Е-03
	99	1,3Е-06	6,5Е-06	1,3Е-05	2,6Е-06	1,3Е-05	2,6Е-05	1,4Е-05	6,6Е-05	1,3Е-04
2оо2 (см.	0	1,1Е-02			2,2Е-02			> 1Е-01
примечание 2)	60	4,4Е-03			8,8Е-03			4,4Е-02
	90	1,1Е-03			2,3Е-03			1,1Е-02
	99	1,5Е-04			3,0Е-04			1,5Е-03
1oo2D (см.	0	1,5Е-04	5,8Е-04	1,1Е-03	3,8Е-04	1,2Е-03	2,3Е-03	5,0Е-03	9,0Е-03	1,4Е-02
примечание 3)	60	7,7Е-05	2,5Е-04	4,7Е-04	1,7Е-04	5,2Е-04	9,5Е-04	1,3Е-03	3,0Е-03	5,1Е-03
	90	2,2Е-05	6,6Е-05	1,2Е-04	4,5Е-05	1,3Е-04	2,4Е-04	2,6Е-04	6,9Е-04	1,2Е-03
	99	3,0Е-06	7,4Е-06	1,3Е-05	6,0Е-06	1,5Е-05	2,6Е-05	3,0Е-05	7,4Е-05	1,3Е-04
2оо3	0	2,3Е-04	6,5Е-04	1,2Е-03	6,8Е-04	1,5Е-03	2,5Е-03	1,3E-02	1,5E-02	1,9E-02
	60	6,3Е-05	2,4Е-04	4,6Е-04	1,6Е-04	5,1Е-04	9,4Е-04	2,3E-03	3,9E-03	5,9E-03
	90	1,2Е-05	5,7Е-05	1,1Е-04	2,7Е-05	1,2Е-04	2,3Е-04	2,4E-04	6,8E-04	1,2E-03
	99	1,3Е-06	6,5Е-06	1,3Е-05	2,7Е-06	1,3Е-05	2,6Е-05	1,5E-05	6,7E-05	1,3E-04
1оо3	0	1,1Е-04	5,5Е-04	1,1Е-03	2,2Е-04	1,1Е-03	2,2Е-03	1,4E-03	5,7E-03	1,1E-02
	60	4,4Е-05	2,2Е-04	4,4Е-04	8,8Е-05	4,4Е-04	8,8Е-04	4,6E-04	2,2E-03	4,4E-03
	90	1,1Е-05	5,6Е-05	1,1Е-04	2,2Е-05	1,1Е-04	2,2Е-04	1,1E-04	5,6E-04	1,1E-03
	99	1,3Е-06	6,5Е-06	1,3Е-05	2,6Е-06	1,3Е-05	2,6Е-05	1,3E-05	6,5E-05	1,3E-04
Примечания 1 В настоящей таблице приведены примеры значений , рассчитанные по формулам (Б.9)-(Б.27) и с учетом предположений, перечисленных в Б.3.1. Если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входят в состав только одной группы голосующих каналов, то эквивалентна , или соответственно (см. Б.3.2.1). 2 В настоящей таблице предполагается, что . Для архитектур 1оо1 и 2оо2 значения и не влияют на среднюю вероятность отказа. 3 Интенсивность безопасных отказов принимают равной интенсивности опасных отказов и K=0,98.

Таблица Б.3 - Средняя вероятность отказа по запросу для одногодичного интервала между контрольными испытаниями и среднего времени ремонта 8 ч


Архитектура	DC, %	=0,5Е-07			=2,5Е-07			=0,5Е-06
		=2%	=10%	=20%	=2%	=10%	=20%	=2%	=10%	=20%
		=1%	=5%	=10%	=1%	=5%	=10%	=1%	=5%	=10%
1оо1 (см.	0	2,2Е-04			1,1E-03			2,2E-03
примечание 2)	60	8,8Е-05			4,4E-04			8,8E-04
	90	2,2Е-05			1,1E-04			2,2E-04
	99	2,6Е-06			1,3E-05			2,6E-05
1оо2	0	4,4Е-06	2,2Е-05	4,4Е-05	2,3Е-05	1,1Е-04	2,2Е-04	5,0Е-05	2,2Е-04	4,4Е-04
	60	1,8Е-06	8,8Е-06	1,8Е-05	9,0Е-06	4,4Е-05	8,8Е-05	1,9Е-05	8,9Е-05	1,8Е-04
	90	4,4Е-07	2,2Е-06	4,4Е-06	2,2Е-06	1,1Е-05	2,2Е-05	4,5Е-06	2,2Е-05	4,4Е-05
	99	4,8Е-08	2,4Е-07	4,8Е-07	2,4Е-07	1,2Е-06	2,4Е-06	4,8Е-07	2,4Е-06	4,8Е-06
2оо2 (см.	0	4,4Е-04			2,2E-03			4,4E-03
примечание 2)	60	1,8Е-04			8,8E-04			1,8E-03
	90	4,5Е-05			2,2E-04			4,5E-04
	99	5,2Е-06			2,6E-05			5,2E-05
1oo2D (см.	0	4,5Е-06	2,2Е-05	4,4Е-05	2,4Е-05	1,1Е-04	2,2Е-04	5,OЕ-05*	2,2Е-04	4,4Е-04
примечание 3)	60	2,8Е-06	9,8Е-06	1,9Е-05	1,4Е-05	4,9Е-05	9,3Е-05	2,9Е-05	9,9Е-05	1,9Е-04
	90	8,5Е-07	2,6Е-06	4,8Е-06	4,3Е-06	1,3Е-05	2,4Е-05	8,5Е-06	2,6Е-05	4,8Е-05
	99	1,0Е-07	2,8Е-07	5,0Е-07	5,2Е-07	1,4Е-06	2,5Е-06	1,OЕ-06*	2,8Е-06	5,OЕ-06*
2оо3	0	4,6Е-06	2,2Е-05	4,4Е-05	2,7Е-05	1,1Е-04	2,2Е-04	6,2Е-05	2,4Е-04	4,5Е-04
	60	1,8Е-06	8,8Е-06	1,8Е-05	9,5Е-06	4,5Е-05	8,8Е-05	2,1Е-05	9,1Е-05	1,8Е-04
	90	4,4Е-07	2,2Е-06	4,4Е-06	2,3Е-06	1,1Е-05	2,2Е-05	4,6Е-06	2,2Е-05	4,4Е-05
	99	4,8Е-08	2,4Е-07	4,8Е-07	2,4Е-07	1,2Е-06	2,4Е-06	4,8Е-07	2,4Е-06	4,8Е-06
1оо3	0	4,4Е-06	2,2Е-05	4,4Е-05	2,2Е-05	1,1Е-04	2,2Е-04	4,4Е-05	2,2Е-04	4,4Е-04
	60	1,8Е-06	8,8Е-06	1,8Е-05	8,8Е-06	4,4Е-05	8,8Е-05	1,8Е-05	8,8Е-05	1,8Е-04
	90	4,4Е-07	2,2Е-06	4,4Е-06	2,2Е-06	1,1Е-05	2,2Е-05	4,4Е-06	2,2Е-05	4,4Е-05
	99	4,8Е-08	2,4Е-07	4,8Е-07	2,4Е-07	1,2Е-06	2,4Е-06	4,8Е-07	2,4Е-06	4,8Е-06
1оо1 (см.	0	1,1Е-02			2,2Е-02			>1Е-01
примечание 2)	60	4,4Е-03			8,8Е-03			4,4Е-02
	90	1,1Е-03			2,2Е-03			1,1Е-02
	99	1,3Е-04			2,6Е-04			1,3Е-03
1оо2	0	3,7Е-04	1,2Е-03	2,3Е-03	1,1Е-03	2,7Е-03	4,8Е-03	1,8Е-02	2,4Е-02	3,2Е-02
	60	1,1Е-04	4,6Е-04	9,0Е-04	2,8Е-04	9,7Е-04	1,8Е-03	3,4Е-03	6,6Е-03	1,1Е-02
	90	2,4Е-05	1,1Е-04	2,2Е-04	5,1Е-05	2,3Е-04	4,5Е-04	3,8Е-04	1,3Е-03	2,3Е-03
	99	2,4Е-06	1,2Е-05	2,4Е-05	4,9Е-06	2,4Е-05	4,8Е-05	2,6Е-05	1,2Е-04	2,4Е-04
2оо (см.	0	2,2Е-02			4,4Е-02			>1Е-01
примечание 2)	60	8,8Е-03			1,8Е-02			8,8Е-02
	90	2,2Е-03			4,5Е-03			2,2Е-02
	99	2,6Е-04			5,2Е-04			2,6Е-03
1оо2D (см.	0	3,8Е-04	1,2Е-03	2,3Е-03	1,1Е-03	2,7Е-03	4,9Е-03	1,8Е-02	2,5Е-02	3,4Е-02
примечание 3)	60	1,7Е-04	5,1Е-04	9,5Е-04	3,8Е-04	1,1Е-03	1,9Е-03	3,9Е-03	7,1Е-03	1,1Е-02
	90	4,4Е-05	1,3Е-04	2,4Е-04	9,1Е-05	2,7Е-04	4,8Е-04	5,8Е-04	1,4Е-03	2,5Е-03
	99	5,2Е-06	1,4Е-05	2,5Е-05	1,0Е-05	2,8Е-05	5,0Е-05	5,4Е-05	1,4Е-04	2,5Е-04
2оо3	0	6,8Е-04	1,5Е-03	2,5Е-03	2,3Е-03	3,8Е-03	5,6Е-03	4,8Е-02	5,0Е-02	5,3Е-02
	60	1,6Е-04	5,1Е-04	9,4Е-04	4,8Е-04	1,1Е-03	2,0Е-03	8,4Е-03	1,1Е-02	1,5Е-02
	90	2,7Е-05	1,2Е-04	2,3Е-04	6,4Е-05	2,4Е-04	4,6Е-04	7,1Е-04	1,6Е-03	2,6Е-03
	99	2,5Е-06	1,2Е-05	2,4Е-05	5,1Е-06	2,4Е-05	4,8Е-05	3,1 Е-05	1,3Е-04	2,5Е-04
1оо3	0	2,2Е-04	1,1Е-03	2,2Е-03	4,6Е-04	2,2Е-03	4,4Е-03	4,7Е-02	1,3Е-02	2,3Е-02
	60	8,8Е-05	4,4Е-04	8,8Е-04	1,8Е-04	8,8Е-04	1,8Е-03	1,0Е-03	4,5Е-03	8,9Е-03
	90	2,2Е-05	1,1Е-04	2,2Е-04	4,4Е-05	2,2Е-04	4,4Е-04	2,2Е-04	1,1Е-03	2,2Е-03
	99	2,4Е-06	1,2Е-05	2,4Е-05	4,8Е-06	2,4Е-05	4,8Е-05	2,4Е-05	1,2Е-04	2,4Е-04
Примечания 1 В настоящей таблице приведены примеры значений , рассчитанные по формулам (Б.9)-(Б.27) и с учетом предположений, перечисленных в Б.3.1. Если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входят в состав только одной группы голосующих каналов, то эквивалентна , или соответственно (см. Б.3.2.1). 2 В настоящей таблице предполагается, что . Для архитектур 1оо1 и 2оо2 значения и не влияют на среднюю вероятность отказа. 3 Интенсивность безопасных отказов принимают равной интенсивности опасных отказов и K=0,98.

Таблица Б.4 - Средняя вероятность отказа по запросу для двухлетнего интервала между контрольными испытаниями и среднего времени ремонта 8 ч


Архитектура	DC, %	=0,5Е-07			=2,5Е-07			=0,5Е-06
		=2%	=10%	=20%	=2%	=10%	=20%	=2%	=10%	=20%
		=1%	=5%	=10%	=1%	=5%	=10%	=1%	=5%	=10%
1оо1 (см.	0	4,4Е-04			2,2E-03			4,4E-03
примечание 2)	60	1,8Е-04			8,8E-04			1,8E-03
	90	4,4Е-05			2,2Е-04			4,4Е-04
	99	4,8Е-06			2,4Е-05			4,8Е-05
1оо2	0	9,0Е-06	4,4Е-05	8,8Е-05	5,0Е-05	2,2Е-04	4,4Е-04	1,1Е-04	4,6Е-04	8,9Е-04
	60	3,5Е-06	1,8Е-05	3,5Е-05	1,9Е-05	8,9Е-05	1,8Е-04	3,9Е-05	1,8Е-04	3,5Е-04
	90	8,8Е-07	4,4Е-06	8,8Е-06	4,5Е-06	2,2Е-05	4,4Е-05	9,1Е-06	4,4Е-05	8,8Е-05
	99	9,2Е-08	4,6Е-07	9,2Е-07	4,6Е-07	2,3Е-06	4,6Е-06	9,2Е-07	4,6Е-06	9,2Е-06
2оо2 (см.	0	8,8Е-04			4,4Е-03			8,8Е-03
примечание 2)	60	3,5Е-04			1,8Е-03			3,5Е-03
	90	8,8Е-05			4,4Е-04			8,8Е-04
	99	9,6Е-06			4,8Е-05			9,6Е-05
1oo2D (см. примечание 3)	0	9,0Е-06	4,4Е-05	8,8Е-05	5,0Е-05	2,2Е-04	4,4Е-04	1,1Е-04	4,6Е-04	9,0Е-04
	60	5,7Е-06	2,0Е-05	3,7Е-05	2,9Е-05	9,9Е-05	1,9Е-04	6,0Е-05	2,0Е-04	3,7Е-04
	90	1,7Е-06	5,2Е-06	9,6Е-06	8,5Е-06	2,6Е-05	4,8Е-05	1,7Е-05	5,2Е-05	9,6Е-05
	99	1,9Е-07	5,4Е-07	9,8Е-07	9,5Е-07	2,7Е-06	4,9Е-06	1,9Е-06	5,4Е-06	9,8Е-06
2оо3	0	9,5Е-06	4,4Е-05	8,8Е-05	6,2Е-05	2,3Е-04	4,5Е-04	1,6Е-04	5,0Е-04	9,3Е-04
	60	3,6Е-06	1,8Е-05	3,5Е-05	2,1Е-05	9,0Е-05	1,8Е-04	4,?*Е-05	1,9Е-04	3,6Е-04

	90	8,9Е-07	4,4Е-06	8,8Е-06	4,6Е-06	2,2Е-05	4,4Е-05	9,6Е-06	4,5Е-05	8,9Е-05
	99	9,2Е-08	4,6Е-07	9,2Е-07	4,6Е-07	2,3Е-06	4,6Е-06	9,3Е-07	4,6Е-06	9,2Е-06
1оо3	0	8,8Е-06	4,4Е-05	8,8Е-05	4,4Е-05	2,2Е-04	4,4Е-04	8,8Е-05	4,4Е-04	8,8Е-04
	60	3,5Е-06	1,8Е-05	3,5Е-05	1,8Е-05	8,8Е-05	1,8Е-04	3,5Е-05	1,8Е-04	3,5Е-04
	90	8,8Е-07	4,4Е-06	8,8Е-06	4,4Е-06	2,2Е-05	4,4Е-05	8,8Е-06	4,4Е-05	8,8Е-05
	99	9,2Е-08	4,6Е-07	9,2Е-07	4,6Е-07	2,3Е-06	4,6Е-06	9,2Е-07	4,6Е-06	9,2Е-06
1оо1 (см.	0	2,2Е-02			4,4Е-02			>1Е-01
примечание 2)	60	8,8Е-03			1,8Е-02			8,8Е-02
	90	2,2Е-03			4,4Е-03			2,2Е-02
	99	2,4Е-04			4,8Е-04			2,4Е-03
1оо2	0	1,1Е-03	2,7Е-03	4,8Е-03	3,3Е-03	6,5Е-03	1,0Е-02	6,6Е-02	7,4Е-02	8,5Е-02
	60	2,8Е-04	9,7Е-04	1,8Е-03	7,5Е-04	2,1Е-03	3,8Е-03	1,2Е-02	1,8Е-02	2,5Е-02
	90	5,0Е-05	2,3Е-04	4,5Е-04	1,1Е-04	4,6Е-04	9,0Е-04	1,1Е-03	2,8Е-03	4,9Е-03
	99	4,7Е-06	2,3Е-05	4,6Е-05	9,5Е-06	4,6Е-05	9,2Е-05	5,4Е-05	2,4Е-04	4,6Е-04
2оо2 (см.	0	4,4E-02			8,8Е-02			>1Е-01
примечание 2)	60	1,8Е-02			3,5Е-02			>1Е-01
	90	4,4Е-03			8,8Е-03			4,4Е-02
	99	4,8Е-04			9,6Е-04			4,8Е-03
1oo2D (см.	0	1,1Е-03	2,7Е-03	4,8Е-03	3,4Е-03	6,6Е-03	1,1Е-02	6,7Е-02	7,7Е-02	9,0Е-02
примечание 3)	60	3,8Е-04	1,1Е-03	1,9Е-03	9,6Е-04	2,3Е-03	4,0Е-03	1,3Е-02	1,9Е-02	2,6Е-02
	90	9,0Е-05	2,6Е-04	4,8Е-04	1,9Е-04	5,4Е-04	9,8Е-04	1,5Е-03	3,2Е-03	5,3Е-03
	99	9,6Е-06	2,7Е-05	4,9Е-05	1,9Е-05	5,4Е-05	9,8Е-05	1,0Е-04	2,8Е-04	5,0Е-04
2оо3	0	2,3Е-03	3,7Е-03	5,6Е-03	8,3Е-03	1,1Е-02	1,4Е-02	1,9Е-01	1,8Е-01	1,7Е-01
	60	4,8Е-04	1,1Е-03	2,0Е-03	1,6Е-03	2,8Е-03	4,4Е-03	3,2Е-02	3,5Е-02	4,0Е-02
	90	6,3Е-05	2,4Е-04	4,6Е-04	1,6Е-04	5,1Е-04	9,4Е-04	2,4Е-03	4,0Е-03	6,0Е-03
	99	4,8Е-06	2,3Е-05	4,6Е-05	1,0Е-05	4,7Е-05	9,2Е-05	6,9Е-05	2,5Е-04	4,8Е-04
1оо3	0	4,6Е-04	2,2Е-03	4,4Е-03	1,0Е-03	4,5Е-03	8,9Е-03	2,4Е-02	3,7Е-02	5,5Е-02
	60	1,8Е-04	8,8Е-04	1,8Е-03	3,6Е-04	1,8Е-03	3,5Е-03	3,1Е-03	9,9Е-03	1,8Е-02
	90	4,4Е-05	2,2Е-04	4,4Е-04	8,8Е-05	4,4Е-04	8,8Е-04	4,6Е-04	2,2Е-03	4,4Е-03
	99	4,6Е-06	2,3Е-05	4,6Е-05	9,2Е-06	4,6Е-05	9,2Е-05	4,6Е-05	2,3Е-04	4,6Е-04
Примечания 1 В настоящей таблице приведены примеры значений , рассчитанные по формулам (Б.9)-(Б.27) и с учетом предположений, перечисленных в Б.3.1. Если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входят в состав только одной группы голосующих каналов, то эквивалентна , или соответственно (см. Б.3.2.1). 2 В настоящей таблице предполагается, что . Для архитектур 1оо1 и 2оо2 значения и не влияют на среднюю вероятность отказа. 3 Интенсивность безопасных отказов принимают равной интенсивности опасных отказов и K=0,98.

Таблица Б.5 - Средняя вероятность отказа по запросу для десятилетнего интервала между контрольными испытаниями и среднего времени ремонта 8 ч


Архитектура	DC, %	=0,5Е-07			=2,5Е-07			=0,5Е-06
		=2%	=10%	=20%	=2%	=10%	=20%	=2%	=10%	=20%
		=1%	=5%	=10%	=1%	=5%	=10%	=1%	=5%	=10%
1оо1 (см.	0	2,2Е-03			1,1Е-02			2,2Е-02
примечание 2)	60	8,8Е-04			4,4Е-03			8,8Е-03
	90	2,2Е-04			1,1Е-03			2,2Е-03
	99	2,2Е-05			1,1Е-04			2,2Е-04
1оо2	0	5,0Е-05	2,2Е-04	4,4Е-04	3,7Е-04	1,2Е-03	2,3Е-03	1,1Е-03	2,7Е-03	4,8Е-03
	60	1,9Е-05	8,9Е-05	1,8Е-04	1,1Е-04	4,6Е-04	9,0Е-04	2,7Е-04	9,6Е-04	1,8Е-03
	90	4,4Е-06	2,2Е-05	4,4Е-05	2,3Е-05	1,1Е-04	2,2Е-04	5,0Е-05	2,2Е-04	4,4Е-04
	99	4,4Е-07	2,2Е-06	4,4Е-06	2,2Е-06	1,1Е-05	2,2Е-05	4,5Е-06	2,2Е-05	4,4Е-05
2оо2 (см.	0	4,4Е-03			2,2Е-02			4,4Е-02
примечание 2)	60	1,8Е-03			8,8Е-03			1,8Е-02
	90	4,4Е-04			2,2Е-03			4,4Е-03
	99	4,5Е-05			2,2Е-04			4,5Е-04
1oo2D (см.	0	5,0Е-05	2,2Е-04	4,4Е-04	3,7Е-04	1,2Е-03	2,3Е-03	1,1Е-03	2,7Е-03	4,8Е-03
Примечание 3)	60	2,9Е-05	9,9Е-05	1,9Е-04	1,7Е-04	5,1Е-04	9,5Е-04	3,8Е-04	1,1Е-03	1,9Е-03
	90	8,4Е-06	2,6Е-05	4,8Е-05	4,3Е-05	1,3Е-04	2,4Е-04	9,0Е-05	2,6Е-04	4,8Е-04
	99	8,9Е-07	2,6Е-06	4,8Е-06	4,5Е-06	1,3Е-05	2,4Е-05	8,9Е-06	2,6Е-05	4,8Е-05
2оо3	0	6,2Е-05	2,3Е-04	4,5Е-04	6,8Е-04	1,5Е-03	2,5Е-03	2,3Е-03	3,7Е-03	5,6Е-03
	60	2,1Е-05	9,0Е-05	1,8Е-04	1,6Е-04	5,0Е-04	9,3Е-04	4,7Е-04	1,1Е-03	2,0Е-03
	90	4,6Е-06	2,2Е-05	4,4Е-05	2,7Е-05	1,1Е-04	2,2Е-04	6,3Е-05	2,4Е-04	4,5Е-04
	99	4,4Е-07	2,2Е-06	4,4Е-06	2,3Е-06	1,1Е-05	2,2Е-05	4,6Е-06	2,2Е-05	4,4Е-05
1оо3	0	4,4Е-05	2,2Е-04	4,4Е-04	2,2Е-04	1,1Е-03	2,2Е-03	4,6Е-04	2,2Е-03	4,4Е-03
	60	1,8Е-05	8,8Е-05	1,8Е-04	8,8Е-05	4,4Е-04	8,8Е-04	1,8Е-04	8,8Е-04	1,8Е-03
	90	4,4Е-06	2,2Е-05	4,4Е-05	2,2Е-05	1,1Е-04	2,2Е-04	4,4Е-05	2,2Е-04	4,4Е-04
	99	4,4Е-07	2,2Е-06	4,4Е-06	2,2Е-06	1,1Е-05	2,2Е-05	4,4Е-06	2,2Е-05	4,4Е-05
1оо1 (см.	0	>1Е-01			>1Е-01			>1Е-01
примечание 2)	60	4,4Е-02			8,8Е-02			>1Е-01
	90	1,1Е-02			2,2Е-02			>1Е-01
	99	1,1Е-03			2,2Е-03			1,1Е-02
1оо2	0	1,8Е-02	2,4Е-02	3,2Е-02	6,6Е-02	7,4Е-02	8,5Е-02	>1Е-01	>1Е-01	>1Е-01
	60	3,4Е-03	6,6Е-03	1,1Е-02	1,2Е-02	1,8Е-02	2,5Е-02	>1Е-01	>1Е-01	>1Е-01
	90	3,8Е-04	1,2Е-03	2,3Е-03	1,1Е-03	2,8Е-03	4,9Е-03	1,8Е-02	2,5Е-02	3,5Е-02
	99	2,4Е-05	1,1Е-04	2,2Е-04	5,1Е-05	2,3Е-04	4,5Е-04	3,8Е-04	1,3Е-03	2,3Е-03
2оо2 (см.	0	>1Е-01			>1Е-01			>1Е-01
примечание 2)	60	8,8Е-02			>1Е-01			>1Е-01
	90	2,2Е-02			4,4Е-02			>1Е-01
	99	2,2Е-03			4,5Е-03			2,2Е-02
1oo2D (см.	0	1,8Е-02	2,5Е-02	3,3Е-02	6,6Е-02	7,7Е-02	9,0Е-02	1,6E+00	1,5E+00	1,4E+00
примечание 3)	60	3,9Е-03	7,1Е-03	1,1Е-02	1,3Е-02	1,9Е-02	2,6Е-02	2,6Е-01	2,7Е-01	2,8Е-01
	90	5,7Е-04	1,4Е-03	2,5Е-03	1,5Е-03	3,1Е-03	5,2Е-03	2,0Е-02	2,7Е-02	3,5Е-02
	99	4,6Е-05	1,3Е-04	2,4Е-04	9,5Е-05	2,7Е-04	4,9Е-04	6,0Е-04	1,5Е-03	2,5Е-03
2оо3	0	4,8Е-02	5,0Е-02	5,3Е-02	1,9Е-01	1,8Е-01	1,7Е-01	4,6E+00	4,0E+00	3,3Е+00
	60	8,3Е-03	1,1Е-02	1,4Е-02	3,2Е-02	3,5Е-02	4,0Е-02	7,6Е-01	7,1Е-01	6,6Е-01
	90	6,9Е-04	1,5Е-03	2,6Е-03	2,3Е-03	3,9Е-03	5,9Е-03	4,9Е-02	5,4Е-02	6,0Е-02
	99	2,7Е-05	1,2Е-04	2,3Е-04	6,4Е-05	2,4Е-04	4,6Е-04	7,1Е-04	1,6Е-03	2,6Е-03
1оо3	0	4,7Е-02	1,3Е-02	2,3Е-02	2,4Е-02	3,7Е-02	5,5Е-02	2,5E+00	2,0E+00	1,6Е+00
	60	1,0Е-03	4,5Е-03	8,9Е-03	3,0Е-03	9,8Е-03	1,8Е-02	1,7Е-01	1,8Е-01	1,9Е-01
	90	2,2Е-04	1,1Е-03	2,2Е-03	4,6Е-04	2,2Е-03	4,4Е-03	4,8Е-03	1,3Е-02	2,4Е-02
	99	2,2Е-05	1,1Е-04	2,2Е-04	4,4Е-05	2,2Е-04	4,4Е-04	2,2Е-04	1,1Е-03	2,2Е-03
Примечания 1 В настоящей таблице приведены примеры значений , рассчитанные по формулам (Б.9)-(Б.27) и с учетом предположений, перечисленных в Б.3.1. Если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входят в состав только одной группы голосующих каналов, то эквивалентна , или соответственно (см. Б.3.2.1). 2 В настоящей таблице предполагается, что . Для архитектур 1оо1 и 2оо2 значения и не влияют на среднюю вероятность отказа. 3 Интенсивность безопасных отказов принимают равной интенсивности опасных отказов и K=0,98.

Б.3.2.4 Пример режима с низкой интенсивностью запросов

Рассматривают функцию безопасности, для реализации которой нужна система с УПБ 2. Построенный на основе предыдущего опыта первоначальный вариант архитектуры всей системы включает одну группу из трех аналоговых датчиков давления с архитектурой 2оо3 на входе. Логическая подсистема рассматриваемой системы представляет собой ПЭ систему с избыточностью с архитектурой 1oo2

и управляет одним закрывающим и одним дренажным клапанами, так как для обеспечения функции безопасности необходима работа как закрывающего, так и дренажного клапана. Архитектура всей системы представлена на рисунке Б.14. Для этой системы оценивают сначала функцию безопасности

при одногодичном периоде контрольных испытаний. Таблицы Б.6-Б.8 являются фрагментами таблицы Б.3 для соответствующих данных на рисунке Б.14.

Рисунок Б.14 - Архитектура системы рассматриваемого примера для режима с низкой интенсивностью запросов

Таблица Б.6 - Средняя вероятность отказа по запросу для подсистемы датчиков в рассматриваемом примере для режима с низкой интенсивностью запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта - 8 ч)

Таблица Б.7 - Средняя вероятность отказа по запросу для логической подсистемы в примере для режима с низкой интенсивностью запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта - 8 ч)

Таблица Б.8 - Средняя вероятность отказа по запросу для подсистемы исполнительных элементов в примере для режима с низкой интенсивностью запросов (интервал контрольных испытаний равен одному году, а среднее время ремонта - 8 ч)

Данные, представленные в таблицах Б.6-Б.8, позволяют получить следующие значения:

- для подсистемы датчиков

=2,3·10

;

- логической подсистемы

=4,8·10

;

- подсистемы исполнительных элементов

Следовательно, для функции безопасности

уровень полноты безопасности соответствует УПБ 1.

Для перевода системы на УПБ 2 выполняют одно из следующих действий:

- уменьшают интервал между контрольными проверками до 6 мес:

=1,1·10

;

=6,0·10

;

=2,2·10

+ 4,4·10

=6,6·10

;

=6,7·10

уровень полноты безопасности соответствует УПБ 2;

- заменяют архитектуру 1оо1 закрывающего клапана, представляющего собой выходное устройство с низкой надежностью, на 1оо2, предполагая, что

=10% и

=5%:

=2,3·10

;

=1,0·10

;

=4,4·10

+9,7·10

=5,4·10

;

=5,6·10

уровень полноты безопасности соответствует УПБ 2.

Б.3.2.5 Влияние неидеальных контрольных проверок

Отказы в системе безопасности, которые не обнаружены ни диагностическими тестами, ни контрольными проверками, могут быть выявлены другими методами, реализуемыми в таких ситуациях, как появление опасного события, требующего вмешательства ФБ, или во время капитального ремонта оборудования. Если отказы не будут обнаружены при помощи таких методов, следует предположить, что они останутся на весь срок службы оборудования. Обозначают обычный период между контрольными проверками

; долю отказов, обнаруженных контрольными проверками [охват контрольными проверками - PTS (от английского "proof test coverage" - охват контрольными проверками)], - как

, а часть отказов, не обнаруженных контрольными проверками, как 1 - PTS. Эти последние отказы, которые не могут быть выявлены в ходе контрольных проверок, будут обнаружены только при запросах к СБЗС системе, выполняемых с интервалом

. Таким образом, период контрольных проверок

и время между запросами

определяют эффективное время простоя.

Пример такой зависимости приведен для архитектуры 1оо2 (где

- время между запросами к системе), определяемой по формулам:

; (Б.28)

; (Б.29)

(Б.30)

Результаты расчетов для системы с архитектурой 1оо2 со 100%-ным охватом одногодичными (

=1 год) контрольными проверками в сравнении с 90%-ным охватом контрольными проверками, где период запросов

предполагается равным 10 годам, приведены в таблице Б.9. В рассматриваемом примере расчеты проводились при следующих предположениях: интенсивность отказов 0,5·10 в час;

=10%;

=5%.

Таблица Б.9 - Результаты расчетов (неидеальные контрольные испытания)


Архитектура	DC, %	=0,5Е-05
		Охват диагностикой 100%	Охват диагностикой 90%
		=10%	=10%
		=5%	=5%
1оо2	0	2,7Е-03	6,0Е-03
	60	9,7Е-04	2,0Е-03
	90	2,3Е-04	4,4Е-04
	99	2,4Е-05	4,4Е-05

Б.3.3 Средняя интенсивность опасных отказов (для режима работы с высокой интенсивностью запросов или с непрерывным запросом)

Б.3.3.1 Метод определения вероятности отказа функции безопасности для Э/Э/ПЭ системы, работающей в режиме с высокой интенсивностью запросов или с непрерывным запросом, аналогичен методу вычисления для режима с низкой интенсивностью запросов (см. Б.2.1), за исключением того, что среднюю вероятность отказа по запросу

заменяют на среднюю частоту опасного отказа в час

Общую вероятность опасного отказа функции безопасности для Э/Э/ПЭ СБЗС системы

определяют вычислением интенсивностей опасных отказов для всех подсистем, совокупность которых обеспечивает ФБ, и суммированием полученных значений. Так как рассматриваемые в настоящем приложении вероятности малы, то используют формулу

. (Б.31)

Б.3.3.2 Архитектуры для режима работы с высокой интенсивностью запросов или с непрерывным запросом

Примечания

1 В настоящем пункте справедливые для нескольких архитектур формулы приводят в том случае, если их используют впервые (см. также Б.3.2.2).

2 Формулы настоящего пункта справедливы для предположений, перечисленных в Б.3.1.

Б.3.3.2.1 Архитектура 1оо1

На рисунках Б.4 и Б.5 представлены соответствующие структурные схемы, представленные в Б.3.2.2.1. Значения

вычисляют по формулам (Б.14), (Б.15), (Б.16) и (Б.17) соответственно.

Если предполагается, что СБЗС система переводит УО в безопасное состояние при обнаружении любого сбоя, то для архитектуры 1оо1 справедливо следующее

Б.3.3.2.2 Архитектура 1оо2

На рисунках Б.6 и Б.7 представлены соответствующие структурные схемы. Значение

вычисляют по формуле (Б.15), приведенной в Б.3.2.2.1. Если подразумевается, что СБЗС система переводит УО в безопасное состояние непосредственно после обнаружения отказа в обоих каналах и принимают консервативный подход, то

вычисляют по формуле

. (Б.32)

Б.3.3.2.3 Архитектура 2оо2

Соответствующие структурные схемы представлены на рисунках Б.8 и Б.9. Если предполагается, что при обнаружении любого отказа каждый канал переводится в безопасное состояние, то для архитектуры 2оо2 применяют выражение

. (Б.33)

Б.3.3.2.4 Архитектура 1oo2D

Соответствующие структурные схемы представлены на рисунках Б.10 и Б.11. Для расчетов применяют выражения

; (Б.34)

; (Б.35)

. (Б.36)

Б.3.3.2.5 Архитектура 2оо3

Соответствующие структурные схемы представлены на рисунках Б.12 и Б.13. Значение

вычисляют по формуле (Б.15), приведенной в Б.3.2.2.1. Если предполагается, что СБЗС система переводит УО в безопасное состояние непосредственно после обнаружения отказа в любом из каналов и принимается консервативный подход, то

вычисляют по формуле

. (Б.37)

Б.3.3.2.6 Архитектура 1оо3

Соответствующие структурные схемы представлены на рисунках Б.12 и Б.13.

Значение

вычисляют по формуле (Б.15), приведенной в Б.3.2.2.1. Если предполагается, что СБЗС система переводит УО в безопасное состояние непосредственно после обнаружения отказа в трех каналах и принимается консервативный подход, то

вычисляют по формуле

. (Б.38)

Б.3.3.3 Подробные таблицы для режима работы с высокой интенсивностью запросов или с непрерывным запросом

Значения средних вероятностей отказов по запросу систем в режиме с высокой интенсивностью запросов или с непрерывным запросом для различных интервалов между контрольными испытаниями при среднем времени ремонта 8 ч представлены в таблицах Б.10-Б.13.

Таблица Б.10 - Средняя частота опасных отказов (в режиме работы с высокой интенсивностью запросов или с непрерывным запросом) для одномесячного интервала между контрольными проверками и среднего времени ремонта 8 ч


Архитектура	DC, %	=0,5Е-07			=2,5Е-07			=0,5Е-06
		=2%	=10%	=20%	=2%	=10%	=20%	=2%	=10%	=20%
		=1%	=5%	=10%	=1%	=5%	=10%	=1%	=5%	=10%
1оо1 (см.	0	5,0Е-08			2,5Е-07			5,0Е-07
примечание 2)	60	2,0Е-08			1,0Е-07			2,0Е-07
	90	5,0Е-09			2,5Е-08			5,0Е-08
	99	5,0Е-10			2,5Е-09			5,0Е-09
1оо2	0	1,0Е-09	5,0Е-09	1,0Е-08	5,0Е-09	2,5Е-08	5,0Е-08	1,0Е-08	5,0Е-08	1,0Е-07
	60	4,0Е-10	2,0Е-09	4,0Е-09	2,0Е-09	1,0Е-08	2,0Е-08	4,0Е-09	2,0Е-08	4,0Е-08
	90	1,0Е-10	5,0Е-10	1,0Е-09	5,0Е-10	2,5Е-09	5,0Е-09	1,0Е-09	5,0Е-09	1,0Е-08
	99	1,0Е-11	5,0Е-11	1,0Е-10	5,0Е-11	2,5Е-10	5,0Е-10	1,0Е-10	5,0Е-10	1,0Е-09
2оо2 (см.	0	1,0Е-07			5,0Е-07			1,0Е-06
примечание 2)	60	4,0Е-08			2,0Е-07			4,0Е-07
	90	1,0Е-08			5,0Е-08			1,0Е-07
	99	1,0Е-09			5,0Е-09			1,0Е-08
1oo2D (см.	0	1,0Е-09	5,0Е-09	1,0Е-08	5,0Е-09	2,5Е-08	5,0Е-08	1,0Е-08	5,0Е-08	1,0Е-07
примечание 3)	60	1,6Е-09	3,2Е-09	5,2Е-09	8,0Е-09	1,6Е-08	2,6Е-08	1,6Е-08	3,2Е-08	5,2Е-08
	90	1,9Е-09	2,3Е-09	2,8Е-09	9,5Е-09	1,2Е-08	1,4Е-08	1,9Е-08	2,3Е-08	2,8Е-08
	99	2,0Е-09	2,0Е-09	2,1Е-09	1,0Е-08	1,0Е-08	1,0Е-08	2,0Е-08	2,0Е-08	2,1Е-08
2оо3	0	1,0Е-09	5,0Е-09	1,0Е-08	5,1Е-09	2,5Е-08	5,0Е-08	1,1Е-08	5,0Е-08	1,0Е-07
	60	4,0Е-10	2,0Е-09	4,0Е-09	2,0Е-09	1,0Е-08	2,0Е-08	4,1Е-09	2,0Е-08	4,0Е-08
	90	1,0Е-10	5,0Е-10	1,0Е-09	5,0Е-10	2,5Е-09	5,0Е-09	1,0Е-09	5,0Е-09	1,0Е-08
	99	1,0Е-11	5,0Е-11	1,0Е-10	5,0Е-11	2,5Е-10	5,0Е-10	1,0Е-10	5,0Е-10	1,0Е-09
1оо3	0	1,0Е-09	5,0Е-09	1,0Е-08	5,0Е-09	2,5Е-08	5,0Е-08	1,0Е-08	5,0Е-08	1,0Е-07
	60	4,0Е-10	2,0Е-09	4,0Е-09	2,0Е-09	1,0Е-08	2,0Е-08	4,0Е-09	2,0Е-08	4,0Е-08
	90	1,0Е-10	5,0Е-10	1,0Е-09	5,0Е-10	2,5Е-09	5,0Е-09	1,0Е-09	5,0Е-09	1,0Е-08
	99	1,0Е-11	5,0Е-11	1,0Е-10	5,0Е-11	2,5Е-10	5,0Е-10	1,0Е-10	5,0Е-10	1,0Е-09
1оо1 (см.	0	2,5Е-06			5,0Е-06			2,5Е-05
примечание 2)	60	1,0Е-06			2,0Е-06			1,0Е-05
	90	2,5Е-07			5,0Е-07			2,5Е-06
	99	2,5Е-08			5,0Е-08			2,5Е-07
1оо2	0	5,4Е-08	2,5Е-07	5,0Е-07	1,2Е-07	5,2Е-07	1,0Е-06	9,5Е-07	2,9Е-06	5,3Е-06
	60	2,1Е-08	1,0Е-07	2,0Е-07	4,3Е-08	2,0Е-07	4,0Е-07	2,7Е-07	1,1Е-06	2,1Е-06
	90	5,1Е-09	2,5Е-08	5,0Е-08	1,0Е-08	5,0Е-08	1,0Е-07	5,5Е-08	2,5Е-07	5,0Е-07
	99	5,0Е-10	2,5Е-09	5,0Е-09	1,0Е-09	5,0Е-09	1,0Е-08	5,1Е-09	2,5Е-08	5,0Е-08
2оо2 (см.	0	5,0Е-06			1,0Е-05			5,0Е-05
примечание 2)	60	2,0Е-06			4,0Е-06			2,0Е-05
	90	5,0Е-07			1,0Е-06			5,0Е-06
	99	5,0Е-08			1,0Е-07			5,0Е-07
1oo2D (см.	0	5,4Е-08	2,5Е-07	5,0Е-07	1,2Е-07	5,2Е-07	1,0Е-06	9,5Е-07	2,9Е-06	5,3Е-06
примечание 3)	60	8,1Е-08	1,6Е-07	2,6Е-07	1,6Е-07	3,2Е-07	5,2Е-07	8,7Е-07	1,7Е-06	2,7Е-06
	90	9,5Е-08	1,2Е-07	1,4Е-07	1,9Е-07	2,3Е-07	2,8Е-07	9,6Е-07	1,2Е-06	1,4Е-06
	99	1,0Е-07	1,0Е-07	1,0Е-07	2,0Е-07	2,0Е-07	2,1Е-07	1,0Е-06	1,0Е-06	1,0Е-06
2оо3	0	6,3Е-08	2,6Е-07	5,1Е-07	1,5Е-07	5,5Е-07	1,0Е-06	1,8Е-06	3,6Е-06	5,9Е-06
	60	2,2Е-08	1,0Е-07	2,0Е-07	4,9Е-08	2,1Е-07	4,1Е-07	4,2Е-07	1,2Е-06	2,2Е-06
	90	5,2Е-09	2,5Е-08	5,0Е-08	1,1Е-08	5,1Е-08	1,0Е-07	6,6Е-08	2,6Е-07	5,1Е-07
	99	5,0Е-10	2,5Е-09	5,0Е-09	1,0Е-09	5,0Е-09	1,0Е-08	5,4Е-09	2,5Е-08	5,0Е-08
1оо3	0	5,0Е-08	2,5Е-07	5,0Е-07	1,0Е-07	5,0Е-07	1,0Е-06	5,1Е-07	2,5Е-06	5,0Е-06
	60	2,0Е-08	1,0Е-07	2,0Е-07	4,0Е-08	2,0Е-07	4,0Е-07	2,0Е-07	1,0Е-06	2,0Е-06
	90	5,0Е-09	2,5Е-08	5,0Е-08	1,0Е-08	5,0Е-08	1,0Е-07	5,0Е-08	2,5Е-07	5,0Е-07
	99	5,0Е-10	2,5Е-09	5,0Е-09	1,0Е-09	5,0Е-09	1,0Е-08	5,0Е-09	2,5Е-08	5,0Е-08
Примечания 1 В настоящей таблице приведены примеры значений , рассчитанные по формулам (Б.9)-(Б.27) и с учетом предположений, перечисленных в Б.3.1. Если подсистема датчиков, логическая подсистема или подсистема исполнительных элементов входят в состав только одной группы голосующих каналов, то эквивалентна , или соответственно (см. Б.3.2.1). 2 В настоящей таблице предполагается, что . Для архитектур 1оо1 и 2оо2 значения и не влияют на среднюю вероятность отказа. 3 Интенсивность безопасных отказов принимают равной интенсивности опасных отказов и K=0,98.

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.