Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р МЭК 61800-5-2-2015 "Системы силовых электроприводов с регулируемой скоростью. Часть 5-2. Требования функциональной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2221-ст)
- Приложение В (справочное). Пример определения PFH
Приложение В (справочное). Пример определения PFH
Приложение В
(справочное)
Пример определения PFH
В.1 Общие положения
Данное приложение описывает определение PFH примера СЭРС (СБ) с функцией безопасности - безопасное отключение крутящего момента (STO). Чтобы подробно показать, как может быть вычислено значение PFH, представлены все необходимые требования для СЭРС (СБ) и ее внутренних структурных частей.
В.2 Структура СЭРС (СБ), рассматриваемого примера
В.2.1 Общие положения
СЭРС (СБ), описанная в настоящем пункте, реализует функцию безопасности STO, которая запускается через два дублирующих входных цифровых интерфейса и выдает сигнал обратной связи через один выходной цифровой интерфейс (см. рисунок В.1).
STO-A - входной канал А сигнала запуска STO;
STO-B - входной канал В сигнала запуска STO;
STO-FB - выходной сигнал обратной связи STO
Рисунок В.1 - Пример СЭРС (СБ)
Требования:
- УПБ 2;
- непрерывный режим работы.
В СЭРС (СБ) функция безопасности STO реализована вместе со стандартной функциональностью СЭРС (СБ), использующей только некоторые отдельные компоненты функции безопасности.
Так как канал подачи питания один, то СЭРС (СБ) разделена на две независимые подсистемы: двухканальная подсистема А/В и подсистема электропитания/контроля напряжения (PS/VM). См. рисунок В.2.
Рисунок В.2 - Подсистемы СЭРС (СБ)
Значение PFH функции безопасности STO рассматриваемого примера СЭРС (СБ) вычисляется следующим образом:
,
где и
- значения PFH подсистем А/В и PS/VM соответственно.
В.2.2 Подсистема А/В
Функция безопасности STO реализована двумя каналами, чтобы достигнуть отказоустойчивости аппаратных средств, равной 1, и ее моделирует подсистема А/В, для которой вычисляется независимое значение PFH. Реализация этой подсистемы обеспечивает следующие системные свойства, связанные с функцией безопасности:
- тип В (сложные аппаратные средства);
- отказоустойчивость аппаратных средств равна 1 (двухканальная реализация).
Архитектурные ограничения подсистемы типа В (см. 6.2.2.3) показывают, что для УПБ 2 и отказоустойчивости аппаратных средств, равной 1, доля безопасных отказов (ДБО) должна составить, по крайней мере, 60 %.
В.2.3 Подсистема PS/VM
Поскольку внутренний источник электропитания выполнен по одноканальной схеме, то реализован монитор напряжения (VM). Внутренний источник электропитания и монитор напряжения моделируются отдельной подсистемой PS/VM, для которой вычисляется независимое значение PFH. Реализация этой подсистемы обеспечивает следующие системные свойства, связанные с функцией безопасности:
- тип В (сложные аппаратные средства);
- отказоустойчивость аппаратных средств равна 0 (одноканальная реализация).
Архитектурные ограничения подсистемы типа В (см. 6.2.2.3) показывают, что для УПБ 2 и отказоустойчивости аппаратных средств, равной 0, доля безопасных отказов (ДБО) должна составить, по крайней мере, 90 %.
В.3 Пример определения величины PFH для СЭРС (СБ)
В.3.1 Подсистема А/В (главная подсистема)
В.3.1.1 Деление на функциональные блоки
Подсистема А/В в СЭРС (СБ) является частью реализации функции безопасности STO и состоит из двух каналов, что необходимо для отказоустойчивости аппаратных средств, равной 1. На рисунке В.3 схематически представлена блок-схема СЭРС (СБ), на которой выделены части, выполняющие функцию безопасности STO.
Для вычисления значения PFH подсистема А/В далее декомпозируется на функциональные блоки и для каждого из них определяется интенсивность отказов. Из-за малого числа компонентов в цифровых триггерах на входе схемы и в схемах отключения, достаточно рассмотреть только два функциональных блока.
Р5 - напряжение питания 5 В;
PI-А(В) - импульс блокирования канала А(В);
DIAG-A(B) - диагностический сигнал канала А(В);
RC - резисторно-емкостной фильтр;
DRV - выходное задающее устройство
Рисунок В.3 - Функциональные блоки подсистемы А/В
Примечание - Отказы компонентов в самом модуле питания не вызывают потерю функции безопасности. Поэтому модуль питания не должен быть включен в какую-либо подсистему, вносящую вклад в значение PFH.
В.3.1.2 Определение интенсивности отказов функциональных блоков
В.3.1.2.1 Анализ функционального блока
Для каждого функционального блока необходимо определить, какие отказы должны рассматриваться как опасные отказы. Это позволяет далее применить анализ вида и последствий отказов (FMEA) для компонентов функционального блока.
В.3.1.2.2 FMEA компонентов
FMEA компонентов схемы функционального блока определяет, какие компоненты связаны с реализацией функции безопасности, а затем распределяет каждому виду отказов каждого компонента, связанного с реализацией функции безопасности, атрибут безопасности или опасности, используя критерии, определенные в процессе анализа функционального блока, упомянутого в В.3.1.2.1. Для простых компонентов, если надежные данные о соотношении безопасных и опасных видов отказа не доступны, то одиночный опасный отказ, приводящий к полному отказу компонента, рассматривают как опасный отказ. Для сложных компонентов в соответствии с приложением С МЭК 61508-6:2000 принимают, что такие компоненты имеют 50 % безопасных и 50 % опасных отказов.
Кроме того, FMEA определяет долю интенсивности опасного отказа каждого компонента, который обнаружен доступной диагностической функциональностью. Для сложных компонентов доля обнаруживаемых опасных отказов должна быть определена с помощью таблиц в МЭК 61508-2. Это позволяет определить интенсивность (опасных обнаруживаемых) и
(опасных необнаруживаемых) отказов компонента.
Общие интенсивности отказов функционального блока (,
,
) вычисляются сложением значений интенсивностей безопасных отказов, значений интенсивностей обнаруживаемых опасных отказов и значений интенсивностей необнаруживаемых опасных отказов всех связанных с безопасностью компонентов функционального блока.
В.3.1.2.3 Упрощенный метод определения различающихся интенсивностей отказов
Для сложных схем аппаратных средств с большим количеством компонентов покомпонентный анализ с помощью FMEA не всегда возможен практически. Поэтому обычно выбирают упрощенный метод, представленный в приложении С МЭК 61508-6:2000.
Общая интенсивность отказов функционального блока со сложной схемой, вычисляемая как сумма интенсивностей отказов всех компонентов, определяется при условии, что суммы значений интенсивностей опасных и интенсивностей безопасных отказов для данного функционального блока являются равными. Доля обнаруживаемых отказов определяется при помощи таблиц МЭК 61508-2.
Данный метод также позволит получить интенсивности отказов ,
,
функционального блока.
В.3.1.3 Доля безопасных отказов
Используя упрощенный метод, упомянутый в В.3.1.2.3, интенсивность отказов функциональных блоков определяется следующим образом:
- доля безопасных отказов среди отказов схем печатной платы составляет 50 % (см. примечание).
Примечание - Доля опасных отказов схем печатной платы в таком случае также составляет 50 %.
Охват диагностикой (ОД) оценивается при помощи таблиц МЭК 61508-2.
Таблица В.1 - Определение значения ОД для подсистемы А/В
|
Метод (МЭК 61598-2) |
Уровень ОД |
Реализация диагностического теста |
|
Таблица А.3. Обнаружение отказов путем мониторинга в неавтономном режиме |
90 % |
Циклический тест проверяет избыточные каналы |
|
Таблица А.3. Контролируемая избыточность |
99 %/90 % |
Циклический тест проверяет избыточные каналы |
|
Таблица А.4. Самотестирование с помощью программного обеспечения: "блуждающий бит" (один канал) |
90 % |
Самотестирование микропроцессора |
|
Таблица А.6. Тест ОЗУ "GALPAT" |
90 % |
Выполняется микропроцессором |
|
Таблица А.10. Контрольный датчик времени с отдельной временной базой и временным окном |
90 % |
При проектировании контрольного датчика времени |
|
Таблица А.8. Анализ с использованием тестирующих комбинаций |
99 % |
Выполняется при тестировании RAM |
|
Таблица А.15. Перекрестный контроль нескольких исполнительных устройств |
99 % |
Циклический тест контролирует отключение у обоих исполнительных устройств |
- ОДА для функционального блока А = 90 % (см. таблицу В.1);
- ОДВ для функционального блока В = 90 % (см. таблицу В.1).
Интенсивность отказов схемы функциональных блоков А и В (реальные значения примера, выраженные как число отказов в единицу времени (FIT) в единицах 10-9/ч):
Блок А
|
|
|
450 FIT |
|
|
|
225 FIT |
|
|
|
225 FIT |
|
|
|
202,5 FIT |
|
|
|
22,5 FIT |
Блок В
|
|
|
70 FIT |
||
|
|
|
35 FIT |
||
|
|
|
35 FIT |
||
|
|
|
31,5 FIT |
||
|
|
|
3,5 FIT |
||
Доля безопасных отказов (ДБО) подсистемы А/В вычисляется согласно МЭК 61508-2:2000, подраздел С.1, перечисление g).
.
ДБОА/В = 95 %.
В.3.1.4 фактор отказа по общей причине
фактор отказа по общей причине оценивается с помощью таблицы D.4 приложения D МЭК 61508-6:2000.
= 2 %.
В.3.1.5 Модель надежности (Маркова)
Модель надежности подсистемы А/В реализована как модель Маркова в виде графа состояний и показана на рисунке В.4.
Рисунок В.4 - Модель надежности (Маркова) подсистемы А/В
Примечания
1 Вышеупомянутая модель Маркова должна рассматриваться как приближение, поскольку процессы перехода, соответствующие диагностическим тестам, и событие, инициирующее восстановления вследствие их природы, строго математически не соответствуют необходимым условиям для метода Маркова.
2 Модель, представленная на рисунке В.4, достаточно подробно показывает включение диагностических тестов. Так как величины интенсивностей отказов и частоты тестирования известны, модель может быть упрощена. Обычно не так важно, равен период тестирования 1/8 ч или 1/168 ч (см. таблицу В.2).
3 На рисунке В.4 min(;
) означает наименьшее значение из
и
.
Модель не учитывает "безопасные" отказы, потому что они не оказывают существенного влияния на значение PFH. Модель предполагает, что СЭРС (СБ) отключается и восстанавливается после обнаружения отказа.
Интенсивность отказов по общей причине определяется фактором и минимальным значением среди интенсивностей опасных отказов функциональных блоков А и В (см. примечание 3).
Примечание - Интенсивность одновременных отказов обоих блоков никогда не может быть больше, чем наименьшая интенсивность отказов среди обоих блоков.
В состоянии S2 функциональный блок А перестал работать, и возникла опасная ситуация. В результате работы диагностического теста может быть выполнен переход в одно из следующих трех состояний.
- В состояние S5, если диагностический тест обнаруживает отказ, и функциональный блок восстанавливается.
- В состояние S6, если диагностический тест не обнаруживает отказ.
- В состояние S8, если функциональный блок В перестал работать, прежде чем диагностический тест обнаруживает отказ в функциональном блоке А.
В состоянии S6 функциональный блок А перестал работать из-за не обнаруживаемого опасного отказа. В состоянии S8 блок В опасно отказал.
Состояние S8 представляет опасную ситуацию, где функция безопасности больше недоступна, и никакой тест больше неэффективен. Вследствие непрерывного режима работы, принятого для СЭРС (СБ), состояние S8 также является "опасным событием", так как запрос на функцию безопасности выполняется к опасно отказавшей СЭРС (СБ).
В.3.1.6 Вычисление значения PFH
Значения , ОД и
-факторов получены в В.3.1.3 и В.3.1.4.
Дополнительные определения:
rTest = 1/8 ч, 1/24 ч, 1/168 ч (частота диагностического теста);
rRep = 1/8 h (частота ремонтов);
ТМ = 10 лет или 20 лет (заданная продолжительность работы).
Чтобы определить значение PFH, должны быть вычислены зависимые от времени вероятности перехода [рi(t)] для каждого состояния [Ci] модели Маркова. Начальное значение вероятности всех состояний, кроме состояния S1, равно нулю. Начальное значение вероятности состояния S1 равно единице. Вычисления должны быть выполнены на заданной продолжительности работы ТМ.
.
Результаты вычислений для различных значений параметров , rRep, rTest и ТМ представлены в таблице В.2.
Таблица В.2 - Результаты вычислений значений PFH для подсистемы А/В
|
|
rRep |
rTest |
ТМ (годы) |
PFHA/B |
|
2 % |
1/8 ч |
1/8 ч |
10 |
|
|
2 % |
1/8 ч |
1/24 ч |
10 |
|
|
2 % |
1/8 ч |
1/168 ч |
10 |
|
|
2 % |
1/8 ч |
1/672 ч |
10 |
|
|
2 % |
1/8 ч |
1/8760 ч |
10 |
|
|
2 % |
1/8760 ч |
1/8 ч |
10 |
|
|
2 % |
1/8 ч |
1/8 ч |
20 |
|
|
2 % |
1/8 ч |
1/672 ч |
20 |
|
|
3 % |
1/8 ч |
1/8 ч |
20 |
|
|
5 % |
1/8 ч |
1/8 ч |
20 |
|
|
Примечание - Значения, выделенные полужирным текстом, дают значения, отличные от предыдущей строки. | ||||
Результаты в таблице В.2 показывают влияние частоты тестирования, заданной продолжительности работы и фактора, связанного с отказами по общей причине, на значение PFH. Чтобы показать влияние каждого параметра на значение PFH, даны различные значения параметров.
В.3.2 Подсистема PS/VM
В.3.2.1 Деление на функциональные блоки
Для реализации функции безопасности STO используется одноканальная подсистема PS/VM, включающая специально предназначенную для нее систему контроля. На рисунке В.5 представлена подсистема PS/VM, которая включает два функциональных блока: отдельный внутренний источник питания (PS) и схему контроля напряжения (VM).
Р5 - источник питания 5 В;
P3V3 - источник питания 3 В
Рисунок В.5 - Функциональные блоки подсистемы PS/VM
В.3.2.2 Интенсивность отказов функциональных блоков
Интенсивность отказов каждого функционального блока определяется с помощью метода, используемого в В.3.1.2.
В.3.2.3 Доля безопасных отказов
Используя упрощенный метод, используемый в В.3.1.2.3, интенсивности отказов функциональных блоков определены следующим образом:
часть безопасных отказов в схемах печатной платы составляет 50 % (см. примечание).
Примечание - В таком случае часть опасных отказов в схемах печатной платы также составляет 50 %.
Охват диагностической (ОД) может быть оценен при помощи таблиц МЭК 61508-2:2000, приложение А.
ОД для функционального блока PS равен 99 % (см. таблицу В.3).
Таблица В.3 - Определение значения ОД для подсистемы PS/VM
|
Метод (МЭК 61598-2) |
Уровень ОД |
Метод реализации |
|
Таблица А.9. Контроль напряжения (дополнительно) или отключение питания с системой аварийного отключения или с системой подключения ко второму источнику питания |
Высокий |
Блок контроля напряжения отключает питание PDS(SR) |
ОД для функционального блока VM равен 0 % (никакой контроль блока контроля напряжения не предусмотрен).
Интенсивность отказов схем функциональных блоков PS и VM (в примере используются реальные значения).
Блочная PS
|
|
|
250 FIT |
|
|
|
125 FIT |
|
|
|
125 FIT |
|
|
|
123,75 FIT |
|
|
|
1,25 FIT |
Блок VM
|
|
|
250 FIT |
|
|
|
125 FIT |
|
|
|
125 FIT |
Доля безопасных отказов (ДБО) подсистемы PS/VM вычисляется согласно МЭК 61508-2:2000, подраздел С.1, перечисление g). См. примечание.
ДБОPS/VM = [ + (
)]/
= [125 + (
)] FIT/250 FIT.
ДБОPS/VM = 99,5 %.
Примечание - Блок контроля напряжения не вносит вклад в ДБО.
В.3.2.4 фактор отказа по общей причине
фактор отказа по общей причине оценивается с помощью таблицы D.4 приложения D МЭК 61508-6:2000.
= 2 %.
В.3.2.5 Модель надежности (Маркова)
Модель надежности подсистемы PS/VM реализована как модель Маркова в виде графа состояний и показана на рисунке В.6.
Рисунок В.6 - Модель надежности (Маркова) подсистемы PS/VM
Примечания
1 Вышеупомянутая модель Маркова должна рассматриваться как приближение, поскольку процессы перехода, соответствующие диагностическим тестам и событие, инициирующее восстановления, вследствие их природы, строго математически не соответствуют необходимым условиям для метода Маркова.
2 Блок контроля напряжения обеспечивает непрерывный контроль схемы источника питания. Поэтому частота тестирования в модели не появляется. Так как величины интенсивностей отказов и частоты тестирования известны, модель может быть упрощена. Изображенная версия предназначена для ясности.
В модели представлены возможные опасные состояния и не показаны безопасные состояния, которые не оказывают существенного влияния на значение PFH, но увеличили бы сложность модели. Модель предполагает, что СЭРС (СБ) отключается и восстанавливается после обнаружения отказа.
Интенсивность отказов по общей причине определяется фактором и минимальным значением среди интенсивностей опасных отказов функциональных блоков PS и VM (см. примечание).
Примечание - Так как отказ по общей причине представляет собой одновременный отказ блоков PS и VM, у которых различная интенсивность отказов, то интенсивность отказов по общей причине никогда не может быть больше, чем наименьшая интенсивность отказов среди обоих блоков.
В состоянии S2 функциональный блок PS перестал работать, и возникла опасная ситуация. Если функциональный блок VM перестал работать, прежде чем будет восстановлен блок PS, то выполняется переход в состояние S4.
В состоянии S3 функциональный блок VM отказал, но эта опасная ситуация не была замечена из-за отсутствия какого-либо контроля для этого функционального блока. И если функциональный блок PS опасно отказал, то выполняется переход в состояние S4.
Если функциональный блок PS перестал работать из-за необнаруживаемого опасного отказа или оба функциональных блока отказали одновременно, то выполняется переход в состояние S4 и функция безопасности более недоступна.
Состояние S4 представляет собой опасную ситуацию, где функция безопасности больше недоступна, и никакой тест больше неэффективен. Вследствие непрерывного режима работы, принятого для СЭРС (СБ), состояние S4 также является "опасным событием", так как запрос на функцию безопасности выполняется к опасно отказавшей СЭРС (СБ).
В.3.2.6 Вычисление значения PFH
Значения , ОД и
-факторов получены в В.3.2.3 и В.3.2.4.
Дополнительные определения:
rRep = 1/8 года (частота ремонтов);
ТM = 10 лет или 20 лет (заданная продолжительность работы).
Чтобы определить значение PFH, должны быть вычислены зависимые от времени вероятности перехода для каждого состояния модели Маркова. Начальное значение вероятности всех состояний, кроме состояния S1, равно нулю. Начальное значение вероятности состояния S1 равно единице. Вычисления должны быть выполнены на заданной продолжительности работы ТM.
.
Результаты вычислений для различных значений параметров , rRep и ТM представлены в таблице В.4.
Таблица В.4 - Результаты вычислений значений PFH для подсистемы PS/VM
|
|
rRep |
ТМ (годы) |
PFHPS/VM |
|
2 % |
1/8 ч |
10 |
|
|
2 % |
1/8 ч |
20 |
|
|
3 % |
1/8 ч |
20 |
|
|
5 % |
1/8 ч |
20 |
|
|
Примечание - Значения, выделенные полужирным текстом, дают значения, отличные от предыдущей строки. | |||
В.3.3 Значение PFH функции безопасности STO для СЭРС (СБ)
Значения PFH в примере для rRep = 1/8 h и различных значений параметра ТМ:
PFHSTO/СЭРС (СБ) = PFHA/B + PFHPS/VM (значения из таблицы В.2 и таблицы В.4);
PFHSTO/СЭРС (СБ) (ТМ = 10 лет) = (/год +
/год) =
/год;
PFHSTO/СЭРС (СБ) (ТM = 20 лет) = (/год +
/год) =
/год.