ГОСТ Р МЭК 61069-5-2017. Национальный стандарт РФ: "Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 07.11.2017 N 1653-ст)

Национальный стандарт РФ ГОСТ Р МЭК 61069-5-2017
"Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы"
(утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 7 ноября 2017 г. N 1653-ст)

Industrial-process measurement, control and automation. Evaluation of system properties for the purpose of system assessment. Part 5. Assessment of system dependability

ОКС 25.040.40
IDT

Дата введения - 1 сентября 2018 г.
Взамен ГОСТ Р МЭК 61069-5-2012

Предисловие

1 Подготовлен Негосударственным образовательным частным учреждением дополнительного профессионального образования "Новая Инженерная Школа" (НОЧУ "НИШ") на основе собственного перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен Российской комиссией экспертов МЭК/ТК 65 и Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации (ВНИИНМАШ)

2 Внесен Техническим комитетом по стандартизации ТК 306 "Измерения и управление в промышленных процессах"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 7 ноября 2017 г. N 1653-ст

4 Настоящий стандарт идентичен международному стандарту МЭК 61069-5:2016 "Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы" (IEC 61069-5:2016 "lndustrial-process measurement, control and automation - Evaluation of system properties for the purpose of system assessment - Part 5: Assessment of system dependability", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 Взамен ГОСТ Р МЭК 61069-5-2012

Введение

В МЭК 61069 рассматривается метод, который следует использовать для оценки системных свойств основной системы управления (ОСУ). МЭК 61069 состоит из следующих частей:

часть 1. Терминология и основные концепции;

часть 2. Методология оценки;

часть 3. Оценка функциональности системы;

часть 4. Оценка производительности системы;

часть 5. Оценка надежности системы;

часть 6. Оценка эксплуатабельности системы;

часть 7. Оценка безопасности системы;

часть 8. Оценка других свойств системы.

Оценка системы - основанное на доказательстве суждение о пригодности системы для определенного целевого назначения или класса целевых назначений.

Для получения полного итогового доказательства потребовалось бы полное (т.е. при всех влияющих факторах) определение пригодности всех свойств системы для конкретного целевого назначения или класса целевых назначений.

Так как на практике это требуется редко, для оценки системы более рациональным будет:

- определить критичность соответствующих свойств системы;

- спланировать определение (оценку) соответствующих свойств системы на основе экономического принципа "цена - целесообразность" для усилий по реализации этих свойств.

При проведении оценки системы следует стремиться к получению максимальной обоснованности пригодности системы с учетом целесообразной стоимости и ограничений по времени.

Оценка может быть выполнена только в том случае, если целевое назначение (миссия) сформулировано (или задано), или если оно может быть представлено гипотетически. В случае отсутствия миссии оценка не может быть выполнена. Тем не менее, возможно определение свойств системы в части сбора и систематизации данных для последующей оценки, проводимой другими лицами. В таком случае настоящий стандарт может применяться как руководство для планирования, а также устанавливает процедуры определения свойств системы, являющиеся неотъемлемой частью оценки системы.

При подготовке к оценке может быть установлено, что определение границ системы является слишком узким. Например, для средства с двумя или более версиями совместного пользования системы управления, например сети, необходимо учитывать вопросы сосуществования и функциональной совместимости. В этом случае система, подлежащая оценке, не должна ограничиваться "новыми" ОСУ. Такая система должна включать в себя как "новые", так и "старые" системы. То есть, система должна изменять свои границы, чтобы включать в себя достаточный объем другой системы для решения требуемых от нее задач.

Структура настоящей части и ее взаимосвязь с другими частями МЭК 61069 показаны на рисунке 1.

Рисунок 1 - Общий состав МЭК 61069

1 Область применения

Настоящий стандарт:

- устанавливает детальный метод оценки надежности основной системы управления (ОСУ) на основании общих концепций, данных в МЭК 61069-1, и методологии оценки, приведенной МЭК 61069-2;

- устанавливает основную классификацию свойств надежности;

- описывает факторы, влияющие на надежность, и которые необходимо учитывать при оценке надежности; и

- предоставляет руководство по выбору методов из набора вариантов (с нормативными ссылками) для определения надежности.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая все изменения к нему).

IEC 60300-3-2, Dependability management - Part 3-2: Application guide - Collection of dependability data from the field (Управление надежностью. Часть 3-2. Руководство по применению. Сбор данных по надежности с места эксплуатации)

IEC 60319, Presentation and specification of reliability data for electronic components (Представление и спецификация данных о надежности электронных компонентов)

IEC 61069-1:2016, Industrial-process measurement, control and automation - Evaluation of system properties for the purpose of system assessment - Part 1: Terminology and basic concepts (Измерение и управление промышленным процессом. Определение свойств системы с целью ее оценки. Часть 1. Общие подходы и терминология)

IEC 61069-2:2016, Industrial-process measurement, control and automation - Evaluation of system properties for the purpose of system assessment - Part 2: Assessment methodology (Измерение и управление промышленным процессом. Определение свойств системы с целью ее оценки. Часть 2. Методология оценки)

IEC 61070, Compliance test procedures tor steady-state availability (Сравнение процедур проверки на установленную готовность)

IEC 61709:2011, Electric components - Reliability - Reference conditions for failure rates and stress models for conversion (Компоненты электронные. Надежность. Стандартные условия для интенсивности отказов и нагрузочные модели для преобразования)

ISO IEC 25010, Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models [Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Модели качества систем и программных продуктов]

ISO IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

ISO IEC 27002, Information technology - Security techniques - Code of practice for information security controls (Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности)

3 Термины, определения, обозначения и сокращения

3.1 Термины и определения

В настоящем стандарте применены термины по МЭК 61069-1.

3.2 Обозначения и сокращения

В настоящем стандарте применены обозначения и сокращения по МЭК 61069-1.

4 Основы оценки, связанные с надежностью

4.1 Свойства надежности

4.1.1 Общие положения

Для обеспечения полной оценки надежности системы системные свойства необходимо, прежде всего, классифицировать в иерархическом порядке.

Для того чтобы система была надежной, необходимо, чтобы она была готова выполнить свои функции. Однако на практике это не означает, что, если система готова выполнить свою функцию, то, функция будет выполнена правильно.

Для того чтобы раскрыть эти два аспекта, свойства надежности подразделены на группы и подгруппы, приведенные на рисунке 2.

Рисунок 2 - Составляющие свойства надежности

Надежность системы не может быть оценена непосредственно и определена по одному свойству. Надежность системы может быть определена только при помощи анализа и испытания каждого ее свойства по отдельности.

Взаимосвязь между свойствами надежности системы и ее модулями иногда бывает очень сложной.

Например:

- если конфигурация системы включает резервирование, готовность системы зависит от свойства целостности избыточных модулей;

- если конфигурация системы содержит механизмы защищенности системы, свойство защищенности системы зависит от свойства готовности модулей, которые реализуют механизм защиты;

- если конфигурация системы содержит модули, которые проверяют данные, передаваемые от других частей системы, то целостность системы зависит от свойств защищенности этих модулей.

Если система выполняет несколько системных задач, ее надежность может очень сильно влиять на эти задачи. Поэтому для каждой из этих задач требуется проведение отдельного анализа.

4.1.2 Готовность

Готовность системы зависит от готовности отдельных модулей системы и способа, которым эти модули взаимодействуют при выполнении задач системы. Способ, которым обеспечивается взаимодействие модулей, может включать функциональное резервирование (однородное или разнообразное), функциональный возврат и деградацию. Готовность, как правило, зависит от применяемых процедур и ресурсов, доступных для поддержания системы. Готовность системы может отличаться для каждой из ее задач.

Готовность системы может отличаться в отношении каждой из ее задач.

Готовность системы для каждой задачи может быть определена количественно двумя способами.

Прогнозируемое значение готовности системы, может быть рассчитано по формуле:

,

где: - "готовность" - означает готовность системы к выполнению данной задачи;

- "среднее время до отказа" - означает среднее время с момента восстановления системы в состояние готовности выполнения данной задачи до момента времени, когда система будет не в состоянии ее выполнять (до отказа);

- "среднее время восстановления" - среднее время, необходимое для восстановления системы в состояние готовности выполнения заданной задачи с момента времени, когда система не смогла выполнить задачу.

Для системы, находящейся в эксплуатации, готовность может быть рассчитана по формуле:

.

4.1.3 Безотказность

Безотказность системы зависит от безотказности отдельных модулей системы и способа, которым эти модули взаимодействуют при выполнении задачи системы. Способом, взаимодействия модулей может быть функциональное резервирование (однородное или многообразное), функциональный возврат и ухудшение функционирования.

Безотказность системы может быть различной для каждой из ее задач. Безотказность может быть определена количественно для отдельных задач с различными степенями предсказуемой доверительности.

Безотказность отдельных элементов системы может быть предсказана методом расчета безотказности составных частей данной системы (см. МЭК 62380 и МЭК 61069-6). В этом случае, безотказность системы может быть предсказана синтезом. Следует отметить, что для модулей программного обеспечения систем нет доступных методов предсказания безотказности, которые обеспечивают высокий уровень доверительности.

Механизмы анализа безотказности программного обеспечения описаны в ИСО МЭК 25010.

Безотказность может быть выражена средним временем до отказа или интенсивностью отказов.

4.1.4 Ремонтопригодность

Ремонтопригодность системы зависит от ремонтопригодности отдельных элементов, структуры элементов и модулей системы. Физическая структура устанавливает легкость доступа, заменяемость и т.д. Функциональная структура устанавливает простоту диагностики и т.д.

При количественном определении ремонтопригодности системы, должны быть учтены все действия, требуемые для восстановления состояния системы, в котором она способна полностью выполнять задачи. Также должны быть учтены затраты времени, которые необходимы для обнаружения ошибки, подготовки к техобслуживанию и ремонту, проведения диагностики и исправления причины отказа, настройки и проверки, и т.д.

Количественное определение ремонтопригодности следует дополнять качественными путем проверки обеспечения и учета следующих моментов:

- оповещение о возникновении отказов: световая сигнализация, аварийные сообщения, отчеты и т.д.;

- доступ: простота доступа для персонала и для подключения измерительных приборов, модулей и т.д.;

- диагностика: прямая идентификация ошибки, диагностические инструменты, которые не оказывают никакого влияния на систему, удаленные средства поддержки обслуживания, статистическая ошибка проверки и передачи сообщений;

- ремонтопригодность/заменяемость: несколько ограничений на замену модулей во время эксплуатации (поддержка "горячей" замены), модульный принцип, однозначная идентификация модулей и элементов, минимальная потребность в специальных инструментах, минимальные последствия для других элементов или модулей, при замене элементов или модулей;

- контроль: инструкции по процедурам обслуживания, минимальные требования контроля.

Ремонтопригодность может быть представлена посредством среднего времени восстановления.

4.1.5 Достоверность

Достоверность системы зависит от целостности и механизмов защищенности, реализуемых как функции, выполняемые модулями системы.

Механизмы достоверности включают:

- проверку:

- правильности выполнения функций (например, устройством обеспечения безопасности с использованием известных данных); и/или

- корректности данных (например, проверка правильности, контроль по четности, обратное считывание, проверка вводимых значений и т.д.);

- операции типа:

- самонастройка;

- защита данных;

- извещение об операции и т.д.

Данные и механизмы могут быть использованы для обеспечения целостности и/или защищенности.

Для анализа механизмов достоверности могут использоваться методы внесения ошибки, приведенные в подразделе 6.1.

Достоверность детерминирована, и поэтому некоторые аспекты могут быть определены количественно.

4.1.6 Защищенность

Защищенность системы зависит от механизмов, применяемых на границе системы, чтобы обнаружить и предотвратить некорректные входные сигналы и несанкционированный доступ. Такие границы могут быть физическими или виртуальными. Смотреть:

- приложение F для получения дополнительных рекомендаций по вопросам безопасности;

- стандарты МЭК серии 62443.

Механизм защищенности может быть реализован путем проверки элементом вводимых значений в другие элементы.

4.1.7 Целостность

Целостность зависит от механизмов, применяемых в выходных элементах системы для проверки корректности выходных сигналов. Целостность также зависит от механизмов, действующих в пределах системы для обнаружения и предотвращения некорректных передач сигналов или данных между частями системы.

Целостность детерминирована, и поэтому некоторые аспекты могут быть определены количественно.

Механизм целостности реализуется путем проверки элементом выводимых значений других элементов.

4.2 Факторы, влияющие на надежность

На надежность системы могут оказать воздействие влияющие факторы, перечисленные в подразделе 5.3 МЭК 61069-1:2016.

Для каждого свойства системы, указанного в подразделе 4.1, основными влияющими факторами являются:

- надежность: может быть подвержена воздействию влияющих факторов, исходящих из:

- средств обеспечения, влияние частично предсказуемо при применении МЭК 61709,

- окружающей среды, влияние частично предсказуемо, при применении МЭК 61709,

- услуг, связанных с техническим обслуживанием, хранением частей и т.д.;

- ремонтопригодность: для целей настоящего стандарта, ремонтопригодностью считается внутреннее свойство самой системы, на которую оказывается непрямое воздействие, например, ограниченный доступ в результате воздействия опасных условий;

- готовность: принимая во внимание деятельность человека, необходимую для поддержания или восстановления системы в состоянии, в котором система способна выполнять требуемую задачу. Находится под влиянием поведения человека и условий обслуживания (задержка поставки запасных частей, обучение, документирование и т.д.);

- достоверность: на такие механизмы как защищенность и целостность могут воздействовать преднамеренные или непреднамеренные действия человека, нашествие вредителей. Если при этом используются обычные средства обслуживания типа шин или многозадачных процессоров, то эти механизмы могут находиться под влиянием задач системы, из-за внезапного возрастания активности промышленного процесса (например, при аварийной ситуации) и т.д., а также внешних систем.

В целом, любые отклонения от рекомендованных состояний, в которых система, как предполагается, будет работать, могут оказать влияние на правильность функционирования системы.

При проведении конкретных испытаний для определения результатов воздействия влияющих условий следует применять следующие стандарты:

- МЭК 60068;

- МЭК 60801;

- МЭК 61000;

- МЭК 61326.

5 Процедура оценки

5.1 Общие положения

Оценку следует проводить в соответствии с методологией, приведенной разделе 5 МЭК 61069-2:2016.

5.2 Определение целей оценки

Определение цели оценки следует проводить в соответствии с процедурами, приведенными в 5.2 МЭК 61069-2:2016.

5.3 Проектирование и схема оценки

Проектирование и схему оценки следует выполнять в соответствии с процедурами, приведенными в подразделе 5.3 МЭК 61069-2:2016.

Определение объема оценки следует проводить в соответствии с 5.3.1 МЭК 61069-2:2016.

Сопоставление документированной информации следует проводить в соответствии с 5.3.3 МЭК 61069-2:2016.

Заключения, сформулированные в соответствии с 5.3.3 МЭК 61069-2, должны содержать следующую информацию в дополнение к пунктам, перечисленным в 5.3.3 МЭК 61069-2:2016:

- дополнительные пункты не отмечены.

Документирование информации для сопоставления следует проводить в соответствии с 5.3.4 МЭК 61069-2.

Выбор элементов оценки должен производиться в соответствии с 5.3.5 МЭК 61069-2:2016.

Спецификация оценки должна быть разработана в соответствии с 5.3.6 МЭК 61069-2:2016.

Сравнение ДТС и ДСС следует проводить в соответствии с подразделом 5.3 МЭК 61069-2.

Примечание 1 - Контрольный перечень ДТС для определения надежности системы приведен в приложении А.

Примечание 2 - Контрольный перечень ДСС для определения надежности системы приведен в приложении В.

5.4 Планирование программы проведения оценки

Планирование программы проведения оценки следует выполнять в соответствии с методом, изложенном в подразделе 5.4 МЭК 61069-2:2016.

Действия по оценке должны быть разработаны в соответствии с 5.4.2 МЭК 61069-2:2016.

Итоговая программа проведения оценки должна определять пункты, перечисленные в 5.4.3 МЭК 61069-2:2016.

5.5 Проведение оценки

Оценки следует проводить в соответствии с подразделом 5.5 МЭК 61069-2:2016.

5.6 Отчет об оценке

Отчет об оценке следует оформлять в соответствии с подразделом 5.6 МЭК 61069-2:2016.

Отчет должен содержать информацию, приведенную в подразделе 5.6 МЭК 61069-2:2016. Дополнительно отчет по оценке должен включать в себя следующие пункты:

- дополнительные пункты не отмечены.

6 Методы определения свойств

6.1 Общие положения

В настоящем стандарте приведено несколько методов определения свойств. Могут применяться и другие методы, однако в этом случае в отчете об оценке следует указывать ссылки на документы, в которых описано применение таких методов.

Данные методы определения свойств сгруппированы согласно требованиям, установленным в разделе 6 МЭК 61069-2:2016.

Следует учитывать факторы, влияющие на свойства надежности системы, в соответствии с 4.2.

Методы, указанные в подразделах 6.2, 6.3 и 6.4, рекомендованы для оценки свойств надежности системы.

Количественное определение свойств может быть основано на прогнозирующем анализе, расчетах или на испытаниях.

Для того, чтобы начать оценку необходимо проанализировать функциональную и физическую структуру системы. После этого необходимо провести анализ выполнения задач системой.

Структура системы может быть описана с использованием схем функциональных и физических блоков, схем маршрутов прохождения сигналов, графов состояний, таблиц и т.д.

Режимы отказа рассматриваются для всех элементов системы (технических средств и программного обеспечения) и определяется их влияние на надежность выполнения задач системы, а также на требования к ремонтопригодности.

Качественный анализ может быть выполнен с применением одного или комбинации методов, описанных в подразделах 6.2 и 6.3.

Анализ должен включать проверку способа, которым в системе инициируются альтернативные пути, то есть:

- статическим способом с изменением конфигурации системы; или

- динамическим или автоматическим, например, механизмами достоверности или вручную, например, через клавиатуру.

Перечень аспектов, которые должны быть учтены при оценке, приведен в МЭК 60319 и МЭК 61709. Аналитические методы, описанные ниже, основаны на моделях. Такие модели редко могут представлять реальную систему достаточно точно, и даже в этом случае, нельзя быть уверенным в том, что достигнуто 100 %-ное сходство. Поэтому результаты, основанные на аналитических методах, следует также дополнять данными о степени их достоверности.

Надежность системы зависит также от ошибок на стадиях проектирования, спецификации и производства системы. Это одинаково справедливо для технических средств и программного обеспечения системы. Данные ошибки могут быть обнаружены только при тщательной проверке и надлежащем выполнении каждой функции.

Кроме того, применяется внесение гипотетических отказов или ошибок в систему, которые являются методическими, для увеличения степени доверительности при окончательной оценке надежности готовой системы, которая достигается на протяжении всех этапов проектирования, спецификации и производства системы. Такие методы внесения ошибок могут быть выполнены с использованием средств автоматизации и/или специально разработанных программ. Они применяются для того, чтобы выявить, каковы могут быть последствия от гипотетических отказов или ошибок для задач системы.

Тем не менее, необходимо признать, что на практике увеличение степени достоверности ограничено, так как число испытаний, которые могут быть запланированы и выполнены, будет ограничено числом всех возможных отказов и ошибок, которые можно ожидать и, кроме того, ввести дополнительно.

Примечание - Пример перечня элементов приведен в приложении С.

6.2 Аналитические методы определения свойств

6.2.1 Общие положения

В данном подразделе обсуждается общая методика аналитической оценки: логический анализ (индуктивный и дедуктивный) и прогностическая оценка.

6.2.2 Индуктивный анализ

Режимы отказа идентифицируются на уровне компонента или элемента, и для каждого из этих режимов анализируется на более высоком уровне соответствующее влияние на надежность выполнения задач системы. Результирующее воздействие отказа приводит к режимам отказа на следующем более высоком уровне.

Этот подход "снизу-вверх" - трудоемкий метод, заканчивающийся идентификацией воздействий на всех уровнях системы для всех постулированных режимов отказов.

Соответствующий индуктивный метод анализа описан в МЭК 60812.

6.2.3 Дедуктивный анализ

При дедуктивном анализе рассматривается гипотетический отказ на самом высоком уровне системы, то есть отказ выполнения задачи с последовательным рассмотрением более низких уровней.

Следующий более низкий уровень анализируется для идентификации режимов отказа и связанных отказов, которые привели бы к идентифицированному отказу на самом высоком уровне, то есть на уровне задачи.

Анализ повторяется с прослеживанием обратного прохождения через функциональные и физические части системы до тех пор, пока анализ не приведет к получению достаточной информации для оценки в отношении надежности (включая ремонтопригодность).

Дедуктивный анализ не дает никакой информации относительно режимов отказа, которые не рассматриваются как события. Тем не менее, его применение очень эффективно по временным затратам для сложных систем, для которых более удобно описать то, что называется отказом системы или успешным выполнением задачи, чем рассматривать все возможные режимы отказов составляющих элементов системы.

Соответствующий дедуктивный метод анализа описан в МЭК 61025.

6.2.4 Прогнозируемое определение свойства

Прогнозируемое определение свойства основано на анализе качественных характеристик, дополненном определением количественной оценки безотказности (интенсивности отказов) элементов системы. Чтобы определить интенсивность отказов системы при выполнении задач, требуется применение прогнозирующего анализа. Соответствующий метод описан в МЭК 61078.

Схема безотказности блока может быть построена, как правило, непосредственно исходя из функциональной и физической структур системы. Метод направлен, прежде всего, на анализ успешного выполнения задачи (с двумя устойчивыми состояниями) и не касается влияния ни сложного ремонта, ни стратегий обслуживания, ни других ситуаций с несколькими устойчивыми состояниями.

Различные математические инструменты пригодны для вычисления интенсивности отказов - типа булевой алгебры, таблиц истинности и/или траектории и анализа секущего множества. Для количественного прогноза интенсивности отказов системы при выполнении задачи в ситуации, характеризующейся большим числом состояний, может использоваться методика Маркова, описанная в МЭК 61165.

Тем не менее, применение методики Маркова становится очень сложным, если необходимо рассмотреть большое число состояний системы. В таких случаях более эффективно применить анализ Маркова для расчета данных по безотказности для подгрупп моделей анализа, полученных одним из других методов анализа, например, таким как "анализ дерева неисправностей".

Основные количественные данные по интенсивности отказов модулей и элементов, используемых в вышеупомянутых методах анализа, могут быть получены из опыта эксплуатации или методом "прогнозирования безотказности частей", используя общие данные для компонентов модулей и элементов. Метод прогнозирования безотказности частей описан в МЭК 61709.

Для учета уровня стресса в результате влияющих факторов необходимо использовать метод, описанный в МЭК 61709, а также информацию, указанную в приложении А.

Метод учета частей основан на предположении, что компоненты функционально связаны в последовательном порядке (худшая оценка события). Компоненты модулей и элементов системы внесены списком в модуль или элемент, установленный для каждого компонента этого типа, соответствующий ему поток отказов, факторы, влияющие на интенсивность отказов (качество части, окружающая среда и т.д.) и обычно порядковый номер.

В качестве альтернативы общие данные об отказах можно найти в ссылках, содержащихся в приложении Е.

Для сложных систем, таких как ОСУ, на практике невозможно сделать точный прогноз оценки свойств надежности.

Свойства системы - ремонтопригодность, защищенность, и целостность - зависят, главным образом, от особенностей проектируемой системы, и, следовательно, степень их осуществления не может быть рассчитана на основе вероятностного подхода. Должна быть рассмотрена безотказность элементов, используемых для оценки защищенности и целостности. Методы, которыми обычно оценивалась надежность этих элементов, могут быть теми же самыми, ввиду того, что они применялись для элементов и модулей, поддерживающих основные функции системы.

6.3 Эмпирические методы определения свойств

6.3.1 Общие положения

Полагаться исключительно на этап испытания системы, чтобы измерить безотказность и готовность сложной системы, не является ни практически реализуемым, ни рентабельным. В целом, сложные системы уникальны (особенно когда образец существует в единственном экземпляре). Кроме того, объем таких испытаний будет ограничен по обеспечению и строго ограничен по времени, отводимому для испытаний. Однако, для систем, которые уже эксплуатируются, такие испытания представляют ценную информацию.

Полученные при этом фактические данные полезны для:

- совершенствования будущих проектов, структуры системы, модернизации или замены устаревшего оборудования и программного обеспечения;

- сравнения с ожидаемыми или заданными характеристиками;

- использоваться для прогнозирования показателей надежности.

Руководство по процедурам, которым нужно следовать при определении испытаний, можно найти в МЭК 61070 и МЭК 60300-3-2.

Главная цель проведения испытаний систем состоит в том, чтобы определить поведение системы (технических средств и программного обеспечения) при возникновении ошибки или несанкционированного или неправильного доступа (защищенность и целостность).

Для того чтобы наблюдать поведение системы должна быть определена типовая задача или конкретный набор задач, и для каждой задачи установлены состояния системы, которые рассматриваются как отказ (например, состояние выходов). Руководство по проведению таких испытаний приведено в МЭК 60706-4.

6.3.2 Испытания методами внесения ошибки

Перед проведением испытания методом внесения ошибки, должна быть исследована спецификация системы, чтобы определить:

- мероприятия по обеспечению целостности, предотвращающие распространение ошибок внутри систем;

- мероприятия по защищенности, предотвращающие ошибочные или несанкционированные вхождения в систему;

- наличие диагностических возможностей.

Для эффективного по времени проведения испытаний проект испытаний системы должен быть основан на анализе качественных характеристик и, насколько возможно, должен использовать диагностические возможности, предусмотренные в самой системе и пригодные для системы. Когда диагностические возможности необходимы для обеспечения надежности системы, должна быть проявлена осторожность, и сами эти возможности должны пройти отдельную проверку.

Для проверки целостности ошибки могут быть внесены в модули, элементы и/или компоненты, и проведены наблюдения за тем действительно ли:

- отказывают выходы системы; и/или

- имеется сообщение об ошибке.

Чтобы проверить защищенность, в систему могут быть внесены ошибки или несанкционированная информация, то есть поступили некорректные входные данные, совершена ошибка в действиях человека при эксплуатации и/или обслуживании.

При проверке целостности и защищенности должна быть проявлена осторожность при проведении некоторых одновременных испытаний. Результатом некоторых отказов могут стать отсутствие обнаружения отказов, то есть, неопределяемый отказ. Поэтому необходимо проявлять осторожность при включении одновременных испытаний целостности и защищенности. В приложении D приведен ряд ошибок, которые могут быть обнаружены при проведении этих испытаний.

6.3.3 Испытания влияния окружающей среды

Некоторые воздействия влияющих условий могут вызывать срабатывание механизмов обеспечения защищенности.

Поэтому выбранные влияющие факторы должны быть различными относительно их нормальных значений для того, чтобы проверить механизмы защищенности.

Для выбора влияющих факторов следует обратиться к подразделу 4.2.

6.4 Дополнительные вопросы методов определения свойств

Дополнительные пункты не отмечены.

Библиография

IEC 60300-3-1:2003, Dependability management - Part 3-1: Application guide - Analysis techniques for dependability - Guide on methodology

IEC 60050 (all parts), International Electrotechnical Vocabulary (available at http://www.electropedia.org)

IEC 60050-192:2015, International Electrotechnical Vocabulary - Part 192: Dependability

IEC 60068 (all parts), Environmental testing

IEC 60605-1:1978, Equipment reliability testing - Part 1: General requirements 1)

IEC 60605-2:1994, Equipment reliability testing - Part 2: Design of test cycles

IEC 60605-3 (all parts), Equipment reliability testing - Part 3: Preferred test conditions 2)

IEC 60605-4:2001, Equipment reliability testing - Part 4: Statistical procedures for exponential distribution - Point estimates, confidence intervals, prediction intervals and tolerance intervals

IEC 60605-6:2007, Equipment reliability testing - Part 6: Tests for the validity and estimation of the constant failure rate and constant failure intensity

IEC 60605-7:1978, Equipment reliability testing - Part 7: Compliance test plans for failure rate and mean time between failures assuming constant failure rate 3)'

IEC 60706-4, Guide on maintainability of equipment - Part 4: Section 8: Maintenance and maintenance support planning 4)

IEC 60801 (all parts), Electromagnetic compatibility for industrial-process measurement and control equipment 5)

IEC 60812:2006, Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA)

IEC 61000 (all parts), Electromagnetic compatibility (EMC)

IEC 61025:2006, Fault tree analysis (FTA)

IEC 61069-6, Industrial-process, control measurement and automation - Evaluation of system properties for the purpose of system assessment - Part 6: Assessment of system operability

IEC 61078, Analysis techniques for dependability - Reliability block diagram and boolean methods

IEC 61123, Reliability testing - Compliance test plans for success ratio

IEC 61165, Application of Markov techniques

IEC 61326 (all parts), Electrical equipment for measurement, control and laboratory use - EMC requirements

IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-related systems

IEC 62443 (all parts), Industrial communication networks - Network and system security

IEC TS 62603-1, Industrial process control systems - Guideline for evaluating process control systems - Part 1: Specifications

ISO IEC 14764, Software Engineering - Software Life Cycle Processes - Maintenance USA Military Standardization Handbook MIL-HDBK-217 issues A through F, Reliability prediction of electronic equipment

------------------------------

¹⁾_{Данная публикация отменена и заменена на IEC 60300-3-5:2001.}

²⁾_{Стандарты данной серии отменены.}

³⁾_{Данная публикация отменена и заменена на IEC 61124:1978.}

⁴⁾_{Данная публикация отменена и заменена на IEC 60300-3-14.}

⁵⁾_{Стандарты данной серии отменены.}