Приложение С (справочное). Качественное рассмотрение защиты от отказов по общей причине. Национальный стандарт РФ ГОСТ Р МЭК 61513-2011 "Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.09.2011 N 377-ст) (утратил силу)

Приложение С
(справочное)

Качественное рассмотрение защиты от отказов по общей причине

Рисунок С.1 - Примеры распределения функций систем контроля и управления комплекса безопасности

С.1 Пример распределения функций комплекса безопасности между системами

Рисунок С.1 приведен в соответствии с таблицами 4 и 5 подраздела 6.5 и показывает связь с соответствующими разделами настоящего стандарта. Таблица 4 отражает требования к характеристикам и квалификации комплекса оборудования, предназначенного для построения систем контроля и управления различных классов. Таблица 5 содержит требования к системам контроля и управления, которые предназначены для выполнения функций, классифицированных по категориям в соответствии с настоящим стандартом. Требования к характеристикам оборудования, такие, например, как требования по устойчивости к воздействию окружающей среды, надежности программного обеспечения, могут быть удовлетворены за счет выбора подходящего семейства технических средств. Требования к системам в первую очередь относятся к таким проектным характеристикам, как, например, устойчивость архитектуры системы к отказам и адекватность проектных методов верификации и валидации, принятым для подтверждения правильности функционирования.

Примеры распределения функций комплекса безопасности по системам контроля и управления, отражающие различные проектные подходы, соответствующие требованиям к надежности, представлены на рисунке С.1. Выбранные подходы основаны на анализе эффективности различных мер обеспечения устойчивости к отказам по общей причине (см. 5.3.3.1).

: комплекс безопасности должен выполнять две разные функции категории А - и .

Проведение анализа на устойчивость к отказам по общей причине необходимо для того, чтобы показать, что в данном случае использование функционального разнообразия (см. 5.3.1.5.5, перечисление b) способствует эффективной защите от отказов по общей причине. Затем обе функции вводятся в независимые системы класса 1, выполненные на том же самом типе оборудовании.

: комплекс безопасности должен выполнять основную функцию категории А и дополнительную функцию категории В или С, как средство дублирования. Анализ устойчивости к отказам по общей причине должен в этом случае показать, что применение разнообразия технических средств (см. 5.3.1.5.5) обеспечивает достаточную защиту от отказа системы по общей причине. Функция назначается одной системе класса 1, а функция передается системе класса 2, выполненной на другом семействе технических средств с тем, чтобы обеспечить разнообразие аппаратуры.

: комплекс безопасности должен выполнять две разные функции категории В - и . Анализ устойчивости к отказу по общей причине должен показать, что применение разнообразия оборудования и функционального разнообразия обеспечивает достаточную защиту от отказа по общей причине. Функцию назначают одной системе класса 1, а функцию размещают в системе класса 2, выполненной на других технических средствах для того, чтобы обеспечить дублирование по аппаратуре.

Случай с функциями и аналогичен предыдущему случаю.

С.2 Примеры чувствительности к отказам по общей причине в комплексе безопасности

Могут возникнуть следующие типичные ситуации.

Пример 1 Комплекс безопасности, содержащий систему с тремя идентичными резервированными каналами, выполняющими единственную защитную функцию А
Возможный случай отказа по общей причине Вероятность: (Н) = высокая; (М) = средняя; (L) = низкая	Возможная защита Эффективность: (Н) = высокая; (М) = средняя; (L) = низкая
Ошибка при спецификации требований к прикладной функции А (Н)	Независимая верификация спецификации (М)
Дефект в спецификации или при разработке прикладного программного обеспечения или дефект в модуле системного программного обеспечения (М). Отказ может возникнуть как следствие прохождения одинаковых сигналов по трем каналам [(L) - для систем класса А)]	Разработка системы, соответствующей классу 1 (Н)
Одновременный отказ технических средств трех каналов вследствие опасного воздействия	Физическая и электрическая независимость (Н)
Отказ при голосовании двух из трех (или при других действиях каналов)	Разработка системы класса 1 (Н). Применение надежных проверенных на практике решений (стандартный модуль) (Н)
Пример 2 Группа безопасности, содержащая систему с резервированными каналами, выполняющими одиночную функцию защиты А и отвечающими общим требованиям, но использующим разное программное обеспечение для обработки информации (устройства обработки Р, Q, R)
Возможный случай отказа по общей причине Вероятность: (Н) = высокая; (М) = средняя; (L) = низкая	Возможная защита Эффективность: (Н) = высокая; (М) = средняя; (L) = низкая
Ошибка при спецификации требований к прикладной функции А (Н)	То же, что в примере 1
Дефект в спецификации или при разработке прикладного обеспечения или дефект в модуле системного программного обеспечения (М). Отказ может произойти вследствие особенности прохождения одинаковых сигналов в каждом из трех каналов (L)	Разработка системы класса 1 (Н). Меры противодействия: резервирование программного обеспечения
Одновременный отказ оборудования трех каналов вследствие опасного воздействия	То же, что в примере 1
Отказ при голосовании двух из трех каналов (или при других действиях каналов)	То же, что в примере 1

Пример 3 Комплекс безопасности, содержащий систему с двумя каналами, выполняющими независимо одну и ту же защитную операцию* ___________________ * Предполагается, что оператор имеет достаточное время и информацию для реагирования
Возможный случай отказа по общей причине Вероятность: (Н) = высокая; (М) = средняя; (L) = низкая	Возможная защита Эффективность: (Н) = высокая; (М) = средняя; (L) = низкая
Дефект в спецификации или при разработке прикладных программ или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]	Разработка системы класса 1 (Н)
Ошибка при спецификации требования к обеим функциям (L)	Защита обеспечивается функциональным разнообразием (автоматически; вручную) (Н)
Одновременный отказ оборудования каналов системы вследствие опасного воздействия	То же, что в примере 1
Ошибка при голосовании "два из трех" (или при других действиях каналов)	Ручное управляющее действие по направлению основного трафика голосования (Н)
Пример 4 Комплекс безопасности, содержащий распределенные дублированные функции Р, Q, R, использующие различные датчики и исполнительные устройства и одинаковое оборудование в каждом канале управления
Возможный случай отказа по общей причине Вероятность: (Н) = высокая; (М) = средняя; (L) = низкая	Возможная защита Эффективность: (Н) = высокая; (М) = средняя; (L) = низкая
Ошибка в спецификации требований к трем функциям	Защита обеспечивается функциональным разнообразием (Р, Q, R) (Н)
Дефект при определении требований или при разработке прикладного программного обеспечения или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]. Различные траектории сигнала	Полностью независимое оборудование Система класса 1 (Н)
Одновременный отказ оборудования каналов системы вследствие опасного воздействия	То же, что в примере 1
Отказ в двух из трех каналов (или другие события в каналах)	Ручное управляющее действие по направлению основного трафика голосования (Н)

Пример 5 Комплекс безопасности, содержащий дублированные защитные функции W и Y, распределенные в двух различных системах (разнообразие оборудования и системного программного обеспечения при возможном сходстве, например, алгоритмов, синхронизации операций, документации и общим персоналом)
Возможный случай отказа по общей причине Вероятность: (Н) = высокая; (М) = средняя; (L) = низкая	Возможная защита Эффективность: (Н) = высокая; (М) = средняя; (L) = низкая
Ошибка при спецификации требований к обеим функциям (L)	Защита обеспечивается за счет функционального разнообразия (W и Y) (Н)
Дефект спецификации требований или при разработке прикладных программ или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]. Различные траектории сигнала (L). Вероятность некоторого подобия траекторий сигнала	Полностью независимое оборудование. Разработка системы класса 1
Ошибка в обоих исполнительных действиях по обеспечению безопасности (L)	Различные (дублированные) системы исполнительных устройств (Н)