Приложение D (справочное). Связь МЭК 61508 с МЭК 61513 и стандартами атомной отрасли. Национальный стандарт РФ ГОСТ Р МЭК 61513-2011 "Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.09.2011 N 377-ст) (утратил силу)

Приложение D
(справочное)

Связь МЭК 61508 с МЭК 61513 и стандартами атомной отрасли

В настоящем приложении сравниваются положения МЭК 61508 (части 1, 2 и 4) и МЭК 61513.

Части 3, 5, 6 и 7 МЭК 61508 не рассматриваются, т.к. они не входят в область применения настоящего стандарта. Например, область применения части 3 МЭК 61508 относительно программного обеспечения частично охватывается МЭК 60880.

Настоящее приложение состоит из четырех разделов:

- в разделе D.1 рассматриваются основные отличия в областях действия и концептуальных основах двух стандартов;

- в разделе D.2 МЭК 61513 сравнивается с МЭК 61508-1 (основные требования);

- в разделе D.3 МЭК 61513 сравнивается с МЭК 61508-2 (системные вопросы);

- в разделе D.4 МЭК 61513 сравнивается с МЭК 61508-4 (определения).

D.1 Область действия и концептуальные основы

При сопоставлении прежде всего рассматриваются некоторые важные отличия областей применения двух стандартов.

Рассматриваемые в МЭК 61508 системы могут быть любыми - электрическими, электронными или основываться на применении технологии программируемой электроники, и, хотя настоящий стандарт содержит основные требования к архитектуре для всех этих технологий, его основная направленность - компьютерные системы.

МЭК 61508 относится к "системам, связанным с безопасностью", тогда как настоящий стандарт следует положениям МАГАТЭ и распространяется на "системы, важные для безопасности".

a) Границы полного жизненного цикла безопасности.

Полный жизненный цикл по МЭК 61508 включает в себя все системы, предусмотренные проектом безопасности оборудования, находящегося под контролем, включая системы контроля и управления - электрические, электронные, выполненные с применением программируемой электроники или на основе других технологий, а также устройства, снижающие риск внешнего воздействия.

Настоящий стандарт специально не рассматривает ни анализ безопасности АС, ни средства оценки соответствия требованиям к характеристикам и надежности, возникающие при анализе. В проекте безопасности АС, который выполняют в соответствии с определенными принципами МАГАТЭ, в правилах МЭК и требованиях национальных регулирующих органов, используется опыт, накопленный в области атомной техники, который в настоящем стандарте не рассматривается. Проектные основы АС определяют постулированные исходные события, их последствия, концепцию глубокоэшелонированной защиты АС, категории функций, необходимых для обеспечения защиты. Однако настоящий стандарт определяет исходную информацию, требуемую для формирования основ проекта и анализа безопасности, которая передается разработчикам контроля и управления в качестве руководства для последующей работы над проектом систем контроля и управления.

b) Общая валидация/оценка безопасности.

В соответствии с требованиями настоящего стандарта общая верификация и валидация каждой распределенной функции, важной для безопасности, описываются в отчете о полной интеграции и приемке системы.

В области атомной техники оценка соответствия этого отчета требованиям безопасности рассматривается в рамках процедуры лицензирования.

c) Системы контроля и управления и архитектура контроля и управления.

Системы контроля и управления, рассматриваемые в настоящем стандарте, эквивалентны электрическим, электронным системам и системам программируемой электроники по МЭК 61508. В настоящем стандарте архитектура системы (см. раздел 5) определяет набор отдельных систем определенных классов, соответствующих требованиям независимости, которые выполняют функции, важные для безопасности. Для каждой из этих систем разделом 6 настоящего стандарта установлен индивидуальный жизненный цикл безопасности. В МЭК 61508 любое разбиение на несколько систем рассмотрено в части 2.

Это различие во избежание недоразумений следует иметь в виду.

d) Уровень значимости функциональной безопасности и классификация.

МЭК 61508 устанавливает уровень значимости функциональной безопасности, требующийся для компьютерной системы, в соответствии со степенью снижения риска, которую система должна обеспечить. Это достигается установлением жесткой связи между риском, обусловленным некими опасностями, прогнозируемой частотой опасных событий, с защитой, которую должна обеспечить система с целью снижения риска до допустимого уровня.

Атомная отрасль традиционно использовала детерминистический метод определения значимости системы для безопасности и ее влияние на величину риска, связанного с выходом радиоактивных веществ (см. IAEA Safety Guides и МЭК 61226).

Для любой системы, предназначенной для предотвращения или ограничения последствий радиоактивного выброса, в основном, предполагается необходимое обеспечение наибольшей реально достижимой степени защиты. Низкий уровень значимости безопасности может быть приемлемым лишь для вспомогательных систем, которые непосредственно не решают задачи предотвращения или ограничения выбросов. Поэтому не существует эквивалентной схемы для снижения с позиций надежности или риска уровней значимости функциональной безопасности, предложенных в МЭК 61508, для широкого применения в атомной технике. Такой детерминистический подход в атомной отрасли признается, в общем, достаточным и приводит на практике к установлению высоких требований ко всем защитным функциям. Однако атомная отрасль признает также и количественный подход, а методы вероятностного анализа безопасности могут ставить более четкие задачи по обеспечению необходимой надежности компьютерных систем.

Установление уровней значимости функциональной безопасности по МЭК 61508 почти полностью соответствует категоризации в атомной отрасли. Однако имеются существенные различия в процедурных вопросах:

- в МЭК 61508 установление уровней значимости функциональной безопасности основано на анализе возможных опасностей и вероятностной оценке риска;

- в МЭК 61226 установление категорий основано на детерминистическом критерии и инженерном опыте оценки последствий в случае отказа.

D.2 Сопоставление МЭК 61508-1 и МЭК 61513

МЭК 61508-1	МЭК 61513
5 Документация	5.5 Выходная документация
6 Управление функциональной безопасностью	5.4.1 В соответствии с МАГАТЭ 50-C-QA (Редакция 1) вся деятельность на АС регламентируется программой обеспечения качества
7 Требования к полному жизненному циклу функциональной безопасности	5 Структура жизненного цикла безопасности контроля и управления
7.1 Основные положения
Полный жизненный цикл функциональной безопасности охватывает системы контроля и управления электрической, электронной технологий, технологии программируемой электроники и др. технологий, внешние меры по сокращению риска	Полный жизненный цикл безопасности охватывает функции контроля и управления и связанные с ними системы и оборудование, важные для безопасности, и общую архитектуру систем контроля и управления [см. пункт а) в разделе D.1]
7.2 Концепция
Описание объектов, находящихся под контролем, требуемых функций управления и физической среды	Рассмотрение основ проекта безопасности АС (5.1): - установление условий окружающей среды (5.1.3); - функции контроля и управления, важные для безопасности; - взаимодействие автоматики и оператора
Определение источников опасности	Внутренние и внешние источники опасности устанавливаются при разработке основ проекта безопасности АС и являются объектами контроля и управления (5.1.3) [см. пункт а) раздела D.1]
7.3 Определение области действия
Определение границ объекта контроля	Выявление ограничений (требований) со стороны проекта АС или границ области действия контроля и управления
Определение объема анализа источников опасности и риска, а также событий, приводящих к аварии	Постулированные исходные события определяются основами проекта обеспечения безопасности АС и представляют собой исходные данные для разработки контроля и управления
7.4 Анализ источников опасности и риска
Установление опасности объекта контроля..	Не рассматривается настоящим стандартом, является частью основ проекта АС [см. пункт а) раздела D.1]
... и системы управления объектом контроля	Детерминированные ограничения контроля и управления, например, критерий единичного отказа для функций категории А, функциональное разделение, накладываются основами проекта АС
Определение последовательности следствий опасных событий	Последовательности постулируемых исходных событий определяются в основах проекта обеспечения безопасности АС и являются исходными для контроля и управления (см. 5.1) [см пункт а) раздела D.1]
Определение риска объекта контроля	Категоризация ФСО (см 5.1.2) является исходной для контроля и управления [см. пункт а) раздела D.1]
7.5 Общие требования безопасности	5.2 Общие требования к ФСО
Необходимо специфицировать функции безопасности. Они включают в себя:	Общие спецификации требований к функциям, важным для безопасности, вытекают из основ проекта АС. Они включают в себя:
Спецификации требований к функциям безопасности	Спецификации требований к функциональности и характеристикам [пункт 1) перечисления а) из 5.2]
Спецификация требований к значимости функциональной безопасности	Категоризация функций контроля и управления и связанного с ними оборудования [пункт 3) перечисления а) из 5.2]. Спецификация требований независимости [пункт 3) перечисления а) из 5.2]
Общая спецификация требований безопасности к системам контроля и управления (с использованием электрической, электронной технологий и технологии программируемой электроники), системам с использованием других технологий, а также к устройствам снижения риска	Альтернативная технология и меры по снижению риска определяются в основах проекта безопасности АС в соответствии с принципами глубокоэшелонированной защиты. Настоящим стандартом не рассматриваются [см. пункт а) раздела D.1]
7.6 Распределение требований безопасности	5.3.1 Проект архитектуры контроля и управления 5.3.2 Назначение функций
Распределение функций безопасности по системам и присвоение уровня значимости безопасности каждой функции. Рассматривается возможность отказа по общей причине (см. 7.6.2.7) и задача обеспечения безопасности ограничивается значимостью для отдельной системы, выполненной с применением электрической, электронной технологий или технологии на основе программируемой электроники (см. 7.6.2.11)	Разделение полного контроля и управления на отдельные системы соответствующего класса. Распределение функций контроля и управления по системам контроля и управления в соответствии с классификацией, глубокоэшелонированной защитой, принимая во внимание возможность отказа по общей причине
Общее планирование	5.4 Общее планирование
6 Управление функциональной безопасностью	5.4.1 Общая программа обеспечения качества
7.8 Общее планирование валидации безопасности	5.4.3 Общие планы интеграции и приемки
	5.4.2 Общий план обеспечения защищенности
7.7 Общее планирование эксплуатации и обслуживания	5.4.4 Общий план эксплуатации
	5.4.5 Общий план обслуживания
7.10 Реализация: системы, выполненные с использованием электрической, электронной технологий или технологии с применением программируемой электроники	6 Жизненный цикл безопасности системы
См. МЭК 61508-2 (системные аспекты)	См. раздел 6 (жизненный цикл безопасности системы)
См. МЭК 61508-3 (требования к программному обеспечению)	Программное обеспечение в настоящем стандарте не рассматривается
7.11 Реализация: другая технология	Не входит в область распространения настоящего стандарта [см. пункт а) раздела D.1]
7.12 Реализация: внешние устройства снижения риска	Не входит в область распространения настоящего стандарта [см. пункт а) раздела D.1]
7.13 Общие внедрение и приемка системы	7 Общие интеграция и приемка системы
7.14 Общая валидация безопасности Валидация того, что системы, выполненные с использованием электрической, электронной технологий или технологии с применением программируемой электроники, соответствуют общим требованиям в соответствии с распределением функций	7.1 Общая приемка Верификация и валидация функций, важных для безопасности, распределенных более чем по одной системе 6.4 Квалификация системы
7.15 Общие эксплуатация, обслуживание и ремонт	6 Общие эксплуатация и обслуживание
7.16 Общие модификация и модернизация	1 Область применения Настоящий стандарт (или его часть) применим к системам контроля и управления на новых атомных станциях, так же как и к реконструируемым и модернизируемым системам на существующих АС
7.17 Снятие с эксплуатации или утилизация	Настоящим стандартом не рассматривается
7.18 Верификация	5.4.1 Общие программы обеспечения качества
7 Оценка функциональной безопасности Получение подтверждения о достижении функциональной безопасности системами, выполненными с применением электрической или электронной технологии или технологии программируемой электроники	В атомной отрасли эта оценка связывается с лицензированием и зависит от национальных регулирующих органов

D.3 Сопоставление МЭК 61508-2 и МЭК 61513

МЭК 61508-2	МЭК 61513
5 Документация	6.3 Выходная документация
6 Управление функциональной безопасностью	5.4.1 Общая программа обеспечения качества
7 Требования к жизненному циклу безопасности Э/Э/ЭП-систем, выполненных с применением различных технологий (электрической или электронной или технологии на основе программируемой электроники)	5 Жизненный цикл безопасности системы Жизненный цикл безопасности системы включает цели и требования к отдельным системам контроля и управления, входящим в архитектуру контроля и управления [см. пункт с) раздела D.1]
7.1 Общие положения В таблице 1 для каждой фазы приведены цели и требования области действия, требуемые входная информация и результаты	В таблице 3 для каждой фазы приведены цели и требования, требуемые входная информация и результаты
Требования безопасности к Э/Э/ЭП-системам включают в себя: - требования к функциям безопасности	6.1.1 Спецификация требований системе включает в себя: требования к прикладным функциям; требования к сервисным функциям; условиям окружающей среды (см. 6.1.1.5)
- требования к значимости функциональной безопасности	категоризацию функций контроля и управления (входные данные из 5.2); требования к ограничениям при проектировании системы (см. 6.1.1.2); классификацию системы
Примечание - Указанные выше разделы МЭК 61508 и МЭК 61513 охватывают основные положения, но в МЭК 61513 делается различие между требованиями к функциям контроля и управления и требованиями к системам контроля и управления, осуществляющим эти функции.
7.3 Планирование валидации безопасности Э/Э/ЭП-систем	Планирование систем
	План валидации системы (см. 6.2.4). Функциональная валидация требований к прикладным функциям (см. 6.1.3.1.1). Квалификация системы (см. 6.4)
7.4 Проектирование и разработка Э/Э/ЭП-системы	6.1.2 Спецификация системы 6.1.3 Детальное проектирование и внедрение системы
7.4.2 Общие требования	Ограничивающие требования для проектирования (см. 6.1.1.2). Архитектура системы
7.4.3 Требования к значимости функциональной безопасности технических средств системы	Требования, связанные с ограничениями проекта. Приложение С. Требования по способности к тестированию (см. 6.1.1.2.4)
7.4.4 Требования к исключению отказов	Цикл безопасности системы (см. раздел 6)
7.4.5 Требования к контролю систематических сбоев	Защита от развития и побочных эффектов отказов (см. 6.1.2.2.3)
7.4.6 Требования к поведению системы по выявлению дефекта	Архитектура системы (см. 6.1.1.2.1). Самотестирование и устойчивость к отказам (см. 6.1.1.2.3)
7.4.7 Требования при внедрении Э/Э/ЭП-систем	Выбор оборудования (см. 6.1.2.1)
7.4.8 Требования к передаче информации	Внутреннее поведение системы (см. 6.1.2.2.2)
7.5 Интеграция Э/Э/ЭП-системы	6.1.4 Интеграция системы
7.6 Эксплуатационные процедуры и процедуры обслуживания Э/Э/ЭП-системы	6.2.6 План эксплуатации системы
7.7 Валидация функциональной безопасности Э/Э/ЭП-системы	6.1.5 Валидация системы
7.8 Модификация Э/Э/ЭП-системы	6.1.7 Модификация системы
7.9 Верификация Э/Э/ЭП-системы	6.2.1.1 План верификации системы
8 Оценка функциональной безопасности (см. МЭК 61508-1)	См. раздел D.2

D.4 Сопоставление наиболее важных терминов и определений МЭК 61508-4 и МЭК 61513 и в области применения ядерных технологий

Тема: анализ риска
МЭК 61508-4	МЭК 61513
3.1.2 Опасность Потенциальный источник разрушения (ИСО/МЭК Руководство 51*. Примечание - Термин включает в себя понятие опасности для людей, возникающей за счет быстропротекающих процессов (например, пожар и взрыв), а также медленных процессов, влияющих на здоровье людей (например, выделение токсических веществ).	3.27 Опасность

Тема: глубокоэшелонированная защита
МЭК 61508-4	МЭК 61513
3.4.3 Устройства снижения риска Меры по снижению или ограничению рисков, которые реализуются без использования Э/Э/ЭП-систем и систем на основе других технологий	Концепция глубокоэшелонированной защиты (см. раздел А.3) Концепция снижения риска обязательно реализуется при анализе безопасности АС с использованием концепции глубокоэшелонированной защиты и линий (барьеров) защиты

Тема: системы, важные для безопасности
МЭК 61508-4	МЭК 61513
3.4.1 Система, связанная с безопасностью Проектируемая система, которая: - выполняет требуемые функции безопасности, необходимые для достижения и поддержания безопасного состояния контролируемого объекта, и - предназначается для достижения с ее помощью или совместно с другими системами, связанными с безопасностью, или внешними устройствами снижения риска, необходимого уровня значимости (надежности) для требуемых функций безопасности	3.37 Системы, важные для безопасности

Тема: системы контроля и управления
МЭК 61508-4	МЭК 61513
3.2.6 Электрическая/электронная/использующая программируемую электронику система (Э/Э/ПЭ) Система, основанная на применении электрической (Э) и/или электронной (Э) и/или основанной на применении программируемой электроники (ПЭ) технологии	3.35 Система контроля и управления

Тема: надежность
МЭК 61508-4	МЭК 61513
3.5.2 Значимость функциональной безопасности Вероятность удовлетворительного выполнения системой, связанной с безопасностью, требуемых функций безопасности при всех определенных условиях в течение определенного периода времени.	Надежность В настоящем стандарте надежность оценивается обычно на основе качественных представлений (см. 6.1.1.1.1)
Примечание - При определении значимости функциональной безопасности все случаи отказов (как случайных отказов оборудования, так и систематических отказов), которые приводят к опасным состояниям, должны быть рассмотрены, например, отказы оборудования, отказы, связанные с программным обеспечением, и отказы в результате электрических помех. Некоторые из указанных типов отказов, в частности случайные отказы оборудования, могут быть охарактеризованы количественно, используя такие средства, как определение частоты опасных отказов или вероятности отказа связанной с безопасностью системы защиты выполнить необходимую функцию по требованию. Однако значимость функциональной безопасности системы зависит также от множества факторов, которые не могут быть аккуратно учтены количественно и должны оцениваться качественно.	(См. 6.1.1.1 и 6.1.3.1.1)

Тема: классификация систем, важных для безопасности
МЭК 61508-4	МЭК 61513
3.5.6 Уровень значимости безопасности Дискретный уровень (один из четырех возможных) для определения требований значимости функциональной безопасности тех функций, которые должны выполняться Э/Э/ЭП-системами, связанными с безопасностью. 4-й уровень соответствует высшему уровню значимости функциональной безопасности, 1-й уровень - низшему уровню	3.4 Класс системы контроля и управления Все компоненты, сборки и системы, связанные с безопасностью, классифицируются на основе их функций и значимости для безопасности и проектируются, изготавливаются и устанавливаются в соответствии с этой классификацией (см. раздел 68 МАГАТЭ 75-INSAG-3). Подраздел 8.2.2 МЭК 61226 устанавливает предельное значение для надежности (), которое может быть принято для систем, имеющих программное обеспечение. Для некоторых систем необходимая надежность может превышать реально достижимую. Если необходимо обеспечить такую высокую функциональную надежность, то используют дополнительные, независимые системы. каждая из которых способна выполнять назначенную функцию безопасности. Разнообразие и физическое разделение таких систем снизит вероятность отказа по общей причине (о надежности см. 4.2.2.3.132 МАГАТЭ 75-INSAG-3)

Тема: отказ по общей причине
МЭК 61508-4	МЭК 61513
3.6.10 Отказ по общей причине Отказ, который является результатом одного или более событий, вызывающих одновременный отказ двух или более отдельных каналов многоканальной системы, приводящий к отказу системы. Примечание - В 7.6.2.7 МЭК 61508-1 приводятся требования к независимости двух систем. В подразделе 7.6.2.7 указывается, что при анализе можно получить удовлетворительную независимость, даже если не все указанные требования могут быть удовлетворены.	3.37 Отказ по общей причине См. 5.3.1.5