Приложение В (справочное). Охват диагностикой и доля безопасных отказов. Национальный стандарт РФ ГОСТ Р 53195.3-2009 "Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 13.08.2009 N 293-ст) (утратил силу)

Приложение В
(справочное)

Охват диагностикой и доля безопасных отказов

В.1 Расчет охвата диагностикой и доли безопасных отказов

Охват диагностикой и долю безопасных отказов следует рассчитывать следующим образом:

а) реализовать режим отказа и провести анализ влияния для определения влияния отказов каждого вида каждого компонента или группы компонентов в подсистеме на действие Е/Е/РЕ СБЗС-системы в отсутствие диагностических проверок. Для проведения анализа влияния в наличии должна быть информация (см. примечания 1 и 2), достаточная для того, чтобы убедиться, что влияние видов отказов и результаты анализа этих влияний с достаточной степенью доверия соизмеримы с требованиями полноты безопасности.

Примечания

1 Для проведения анализа требуется следующая информация:

- подробная блок-схема Е/Е/РЕ СБЗС-системы, описывающая подсистемы с взаимосвязями для той части Е/Е/РЕ СБЗС-системы, которая затрагивает рассматриваемую(ые) функцию(ии) безопасности;

- схемные решения подсистем АС, описывающие каждый компонент или группу компонентов и взаимосвязи между компонентами;

- виды отказов и значения частоты (интенсивности) отказов для каждого компонента или группы компонентов и связанных с ними процентных отношений безопасных и опасных отказов к полной средней интенсивности отказов.

2 Требуемая строгость анализа влияния изменяется в зависимости от ряда факторов. При выборе строгости анализа должен быть принят во внимание уровень полноты безопасности рассматриваемых функций безопасности. Для более высоких уровней полноты безопасности предполагается, что виды отказов и анализ влияний будут очень специфичны в соответствии с конкретными типами компонентов и применяемым окружением системы. Очень важен полный и подробный анализ для подсистемы, которая должна использоваться в структуре АС, имеющей нулевую устойчивость к отказам АС;

б) категорировать каждый вид отказа по признаку, приводит ли он (в отсутствие диагностических испытаний):

- к безопасному отказу (т.е. не приводящему к снижению полноты безопасности Е/Е/РЕ СБЗС-системы, например, приводящий к безопасному отключению дополнительного источника света или не влияющий на полноту безопасности Е/Е/РЕ СБЗС-системы); или

- к опасному отказу (т.е. отказу, приводящему к отказу выполнения функции безопасности Е/Е/РЕ СБЗС-системой или ее частью, либо к невыполнению полноты безопасности Е/Е/РЕ СБЗС-системы);

в) вычислить вероятность безопасных отказов и вероятность опасных отказов , используя оценку вероятности отказов каждого компонента или группы компонентов (см. примечание 2 перечисления а) и примечание 1 настоящего перечисления) и результаты режимов отказов и анализа влияния для каждого компонента или группы компонентов.

Примечания

1 Вероятность отказов каждого из компонентов или группы компонентов - это вероятность отказов , которые происходят в течение относительно небольшого промежутка времени t, в случаях, когда значительно меньше 1.

2 Интенсивность отказов каждого компонента или группы компонентов может быть оценена с использованием данных от признанного промышленного источника с учетом окружающей среды применения. Однако применение точных данных предпочтительнее, особенно в случаях, когда подсистема состоит из небольшого числа компонентов и когда любая ошибка в оценке вероятности безопасных и опасных отказов отдельного компонента могла бы иметь существенное влияние на оценку безопасной составляющей отказа;

г) для каждого компонента или группы компонентов оценить долю опасных отказов, которые могут быть обнаружены диагностическими тестами (см. приложение В.2) и, следовательно, частоту опасных отказов, обнаруженных диагностическими тестами ;

д) для подсистемы вычислить полную вероятность опасных отказов , полную вероятность опасных отказов, обнаруженных диагностическими тестами , и полную вероятность безопасных отказов ;

е) вычислить охват подсистемы диагностикой как ;

ж) вычислить долю безопасных отказов подсистемы как .

Примечание - Охват диагностикой каждой подсистемы в Е/Е/РЕ СБЗС-системе должен учитываться в вычислении случайных отказов АС. Доля безопасных отказов должна приниматься во внимание при определении структурных ограничений на полноту безопасности аппаратных средств.

Анализ, используемый для вычисления охвата диагностикой и доли безопасных отказов, должен включать все компоненты, в том числе электрические, электронные, электромеханические, механические и т.п., которые используются в подсистеме для выполнения функции(ий) безопасности, реализуемых Е/Е/РЕ СБЗС-системой. Для каждого из компонентов должны быть рассмотрены все возможные виды опасных отказов, которые приводят к опасному состоянию, ограничивая диапазон безопасности, когда такой диапазон установлен или, иными словами, ставит под угрозу полноту безопасности Е/Е/РЕ СБЗС-системы.

В таблице А.1 приведены ошибки и отказы, которые как минимум должны быть обнаружены для достижения необходимого охвата диагностикой или которые как минимум должны быть включены в определение безопасной составляющей отказа.

Если для анализа видов отказов и анализа влияния используются эксплуатационные данные, то их должно быть достаточно для анализа требования полноты безопасности. При этом требуемый нижний предел статистической односторонней достоверности должен быть не менее 70%.

В.2 Определение факторов охвата диагностикой

При вычислении охвата диагностикой для подсистемы (см. приложение В.1) для каждого компонента или группы компонентов необходимо оценить долю опасных отказов, которые обнаруживаются диагностическими тестами. Диагностические тесты, которые могут внести вклад в диагностический охват, включают в себя, но не ограничиваются такими мерами как:

- осуществление сравнительных проверок, например, контроля и сравнения избыточных (резервных) сигналов;

- применение дополнительных встроенных тестовых программ, например, осуществляющих вычисление контрольных сумм в устройстве памяти;

- проведение контроля с использованием внешних воздействий, например, путем пропускания импульсного сигнала через контролируемые тракты;

- осуществление непрерывного контроля аналогового сигнала, например, для обнаружения выхода за допустимые пределы уровней показаний сенсора.

Для вычисления охвата диагностикой необходимо определить виды отказов, которые обнаруживаются диагностическими тестами. Для простейших компонентов (резисторов, конденсаторов, транзисторов) отказы, связанные с разомкнутыми или короткозамкнутыми цепями, могут быть с большой степенью вероятности обнаружены путем стопроцентного охвата диагностикой. Однако для более сложных компонентов типа Б (см. 5.18.1.3) должны быть учтены ограничения охвата диагностикой для различных компонентов, указанных в таблице А.1. Этот анализ должен быть выполнен для каждого компонента или группы компонентов каждой подсистемы и для каждой Е/Е/РЕ СБЗС-системы.

Примечания

1 В таблицах А.2 - А.15 приведены рекомендуемые методы/средства, применяемые для диагностических проверок, и рекомендуемые максимальные охваты диагностикой, которые могут потребоваться. Эти проверки могут проводиться непрерывно или периодически (в зависимости от интервала диагностических проверок). Таблицы не заменяют любое из требований приложения В.

2 Диагностическое тестирование может обеспечить значительные выгоды в достижении функциональной безопасности Е/Е/РЕ СБЗС-систем. Однако, следует избегать излишнего увеличения сложности, которое может привести к увеличению трудностей при осуществлении действий по проверке, подтверждению соответствия, оценке функциональной безопасности, технической поддержке и модификации. Увеличение сложности может также затруднить долгосрочное поддержание функциональной безопасности Е/Е/РЕ СБЗС-систем.

3 При расчетах для получения необходимого охвата диагностикой и путей его реализации предполагается, что Е/Е/РЕ СБЗС-системы нормально работают при наличии другого опасного дефекта, который обнаружен диагностическими тестами. Если это предположение неверно, то Е/Е/РЕ СБЗС-систему следует рассматривать как систему, действующую в режиме с высокой частотой запросов или с непрерывным запросом (см. 5.11.3 и 5.8.2.5).

4 Диагностическое тестирование, используемое для обнаружения опасных отказов внутри подсистемы, может быть осуществлено другой подсистемой внутри Е/Е/РЕ СБЗС-системы.

5 Диагностические тесты могут действовать непрерывно или периодически в зависимости от интервала диагностических проверок. Возможны случаи или интервалы времени, когда запуск диагностического теста невозможен из-за того, что тестируемая система находится в неблагоприятном состоянии. Для таких случаев результаты расчета охвата диагностикой не являются корректными.