Приложение С (справочное). Пример перечня пунктов оценки (информация из МЭК ТС 62603-1). Национальный стандарт РФ ГОСТ Р МЭК 61069-5-2017 "Измерение, управление и автоматизация промышленного процесса. Определение свойств системы с целью ее оценки. Часть 5. Оценка надежности системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 07.11.2017 N 1653-ст)

Приложение С
(справочное)

Пример перечня пунктов оценки (информация из МЭК ТС 62603-1)

С.1 Общие положения

Настоящее приложение содержит несколько примеров влияющих факторов, имеющих отношение к данной части МЭК 61069, которые были взяты из МЭК ТС 62603-1.

Классификации значений свойств, описанных в данном документе, приведены только в качестве примеров.

С.2 Надежность

Надежность не может быть описана просто количественно (числом). Некоторые из ее свойств могут быть выражены как вероятности, другие свойства детерминированы; некоторые могут быть определены количественно, другие аспекты могут только быть описаны качественным способом.

Когда система выполняет несколько системных задач, ее надежность может очень сильно влиять на эти задачи. Поэтому для каждой из этих задач требуется отдельный анализ.

С.3 Готовность

С.3.1 Самодиагностика системы

Самодиагностика системы позволяет быстро выявить ошибку и тем самым сократить среднюю продолжительность ремонта. По этой причине, оценщик должен учесть возможности самодиагностики системы на всех ее уровнях.

Может понадобиться выполнить процедуры самодиагностики основных компонентов ОСУ, таких как платы ввода/вывода или модули, процессорная плата, карты памяти и линии связи.

Самодиагностика полевых устройств должна выполняться в логике управления для активации функций безопасности или восстановления действия в случае возникновения полевых ошибок. Самодиагностика других компонентов ОСУ является частью системы управления аварийными сигналами.

С.3.2 Устойчивость к отказам и резервирование дискретного компонента

С.3.2.1 Общие положения

Устойчивость к отказам представляет собой встроенную способность системы обеспечивать длительное и правильное выполнение заданных функций при наличии аппаратного или программного сбоя дискретного компонента. Другими словами, система способна выполнять свое целевое назначение (миссию) даже после первого сбоя (аппаратного или программного).

С.3.2.2 Критерии резервирования

При определении системы управления, должны быть оценены влияния отказа компонента по отношению к контролируемому процессу, а также резервирование должно быть запрошено соответствующим образом.

Резервирование должно охватывать компоненты, которые являются критичными или важными для правильной и безопасной работы всей системы. При определении критериев резервирования должны быть учтены следующие требования, если это применимо, в соответствии с типом компонента:

- тип режима ожидания, при наличии;

- управление программным обеспечением и резервное копирование данных между резервными компонентами;

- политика резервирования (1 из 2, 2 из 3, k из m);

- синхронизация данных между активными и резервными машинами;

- конфигурация активной и резервной машины.

Это особенно целесообразно для определения наличия устойчивости к отказам и/или резервирования в:

- источнике питания, включая резервный источник бесперебойного питания (ИБП);

- модулях ввода/вывода;

- сетях ввода/вывода между модулями ввода/вывода и контроллерами;

- контроллерах;

- управляющих сетях, соединяющих элементы управления, рабочие станции и другие компоненты;

- рабочих местах операторов, которые, например, могут заменить любую рабочую станцию;

- серверах.

Характеристики важности включают:

- плавное восстановление после отказа;

- время восстановления после отказа (время, когда услуга не доступна);

- режимы отказа (несколько режимов отказа могут вызвать потерю первичного и вторичного отказа).

С.3.3 Методы резервирования

С.3.3.1 Общие положения

Готовность системы зависит от готовности отдельных частей системы и способа, которым эти части взаимодействуют при выполнении задач системы. Способ, которым обеспечивается взаимодействие частей, может включать:

- функциональное резервирование (однородное или многообразное): резервирование конкретной функции можно получить при использовании одинаковых аппаратных средств как для основных, так и резервных (однородных) или независимых аппаратных средств (многообразных). Если функциональное резервирование доступно, первый отказ не приводит к снижению функциональных возможностей и производительности системы;

- функциональный возврат: это способность возврата к известному функциональному уровню или режиму в случае отказа или ненормальной работы;

- ухудшение функционирования: в случае отказа части ОСУ, снижаются производительность и функциональность системы. При ухудшенном рабочем состоянии все критические функции работают правильно.

Готовность зависит от используемых методик и имеющихся ресурсов для поддержания системы. Требования к готовности, как правило, выражаются в виде суммарного времени простоя, возникающего в течение определенного периода времени. Для различных задач ОСУ возможны различные значения готовности.

В дополнение к необходимому времени простоя, дополнительные конкретные требования, в соответствующих случаях, должны быть определены для увеличения готовности некоторых важных функций в отношении резервирования компонента.

С.3.3.2 Допустимые условия ухудшения качества функционирования

Из-за ошибок в системе вся система не может достигнуть выполнения всех функций, которые представляют ее целевое назначение (миссию). Если ухудшенные рабочие условия являются допустимыми, можно поддерживать процесс и систему в рабочем состоянии даже после прекращения работы одной или нескольких функций. Необходимо определить, какие функции не являются критическими для функционирования системы, и какие могут быть потеряны в ухудшенных условиях. Способность работать в ухудшенных условиях повышает готовность ОСУ.

С.3.3.3 Резервные конфигурации

Если некоторые критические компоненты являются резервными, необходимо определить резервные конфигурации.

В принципе, существует два возможных режима резервной конфигурации:

- горячее резервирование: основной и резервный компоненты или системы работают одновременно. Данные, если компонент должен их обрабатывать, воспроизводятся на резервном компоненте в режиме реального времени таким образом, что два компонента становятся идентичными. Система может выполнить горячую замену между первичным и резервным компонентом без потери данных;

- холодное резервирование: в этой конфигурации резервный компонент вызывается только тогда, когда первичный компонент не срабатывает. Данные, в случае необходимости, воспроизводятся в резервном компоненте с более низкой скоростью обновления, чем в случае горячего резервирования. Эта конфигурация используется для некритических применений.

Между горячим и холодным резервированием могут существовать промежуточные решения, которые иногда именуются как "теплое резервирование".

С.3.3.4 Защитное действие отказоустойчивого режима

Понятие "отказоустойчивый режим" означает защиту от воздействия отказа оборудования. Отказоустойчивый режим относится к способности переключения в заданное безопасное состояние при возникновении конкретного сбоя. Для выполнения отказоустойчивой защиты необходимо определить отказоустойчивые устройства (т.е. компоненты, системы, устройства управления и т.д.), которые разработаны с возможностью установления контролируемых параметров в заданном (безопасном) состоянии при обнаружении отказа.

Следует определить действия, которые отказоустойчивое устройство реализует при запросе срабатывания в качестве отказоустойчивого устройства. Например, для отказоустойчивого клапана, защитным действием может быть открытое или закрытое положение.

С.3.3.5 Компоненты, заменяемые в горячем режиме

Каждый компонент ОСУ считается заменяемым в горячем режиме, если он может быть удален и заменен во время работы ОСУ. ОСУ автоматически настраивает новый компонент, в соответствии с настройками удаленного компонента. Горячая замена возможна как с неисправными, так и с исправными компонентами. Возможность горячей замены часто требуется для критически важных компонентов, отказ которых может поставить под угрозу одну или несколько функций ОСУ. По этой причине компоненты с возможностью замены в горячем режиме, как правило, имеют установленные резервные компоненты. В технических условиях ОСУ должны быть указаны критические компоненты, для которых необходим режим горячей замены (при наличии).

С.4 Безотказность

Безотказность системы зависит от безотказности отдельных модулей системы и способа, которым эти модули взаимодействуют при выполнении задачи системы. Способом взаимодействия модулей может быть функциональное резервирование (однородное или многообразное), функциональный возврат и ухудшение функционирования. Безотказность системы может быть различной для каждой из ее задач. Безотказность может быть определена количественно для отдельных задач с различными степенями предсказуемой доверительности. Безотказность отдельных частей аппаратных средств системы может быть предсказана методом расчета безотказности составных частей данной системы (см. МЭК 62380). Безотказность всей системы может быть рассчитана при помощи аналитических средств и методов (см. МЭК 61078 и МЭК 61025). Следует отметить, что для модулей программного обеспечения систем нет доступных методов предсказания безотказности, которые обеспечивают высокий уровень доверительности.

С.5 Ремонтопригодность

С.5.1 Общие положения

Ремонтопригодность - это способность элемента сохранять или восстанавливать в заданных условиях эксплуатации такое состояние, в котором оно выполняет требуемую функцию, если в этих условиях проводится его техническое обслуживание с использованием установленных процедур и ресурсов.

С.5.2 Формирование запросов на сопровождение

Система может формировать запросы на сопровождение при изменении рабочего состояния компонента. Способность формирования запроса на сопровождение является способом проведения планово-предупредительного сопровождения. Устройства или подсистемы автономно определяют необходимость проведения ремонта до возникновения сбоев. Такая способность в основном связана с интеллектуальными полевыми устройствами, такими как аналитические инструменты, позиционеры клапанов и т.д.

С.5.3 Стратегии сопровождения

Существуют следующие различные стратегии сопровождения:

- корректирующее сопровождение: реакция на существующий сбой и диагностические сообщения. В данном значении сопровождение означает ремонт или замену поврежденного элемента;

- профилактическое сопровождение: надлежащие меры по сопровождению инициируются до возникновения сбоя. В данном значении сопровождение означает выполнение зависящей от времени или состояния политики ремонта или замены;

- планово-предупредительное сопровождение: предупредительная диагностика для своевременного выявления потенциальных проблем и определения оставшегося срока службы. В данном значении сопровождение означает планирование соответствующего ремонта или замены на основании измеренных данных.

В определении требований должны быть определены требуемые стратегии обслуживания.

С.5.4 Сопровождение программного обеспечения системы

В соответствии с ИСО МЭК 14764 сопровождение программного обеспечения представляет собой модификацию программного продукта после устранения неисправностей с целью улучшения производительности и других свойств или адаптирования продукта к модифицированной среде.

Сопровождение программного обеспечения ОСУ включает в себя установку заплат, обновлений или новых версий программно-аппаратных средств.

Потребитель должен требовать от подрядчика услугу обновления программного обеспечения. Данная услуга включает в себя любые новые версии (основная или дополнительная, в зависимости от условий контракта) или заплату, разработанную подрядчиком в течение периода технического обслуживания.

Услуга обновления программного обеспечения может ограничиваться исключительно поставкой новых версий и заплат или может также включать в себя установку модернизированного программного обеспечения на саму систему.

Подрядчик должен уведомить пользователя о совместимости всех основных официальных заплат операционной системы или обновлений для системы безопасности в самой системе. При необходимости, потребитель должен также включить в услугу обновления программного обеспечения установку официальных заплат операционной системы и обновлений системы безопасности.

С.6 Достоверность

Достоверность зависит от:

- способности системы давать предупреждающий сигнал при возникновении состояния, в котором она не способна правильно (безошибочно) выполнять некоторые или все свои функции;

- способности системы отклонять любые неверные вводы или несанкционированный доступ к системе (безопасность).

С.7 Защищенность

См. приложение F.

С.8 Целостность

С.8.1 Общие положения

В подразделах С.8-С.8.10 обсуждаются некоторые из пунктов, которые необходимо изучить в отношении целостности данных, обрабатываемых системой.

С.8.2 Замена в горячем режиме

Замена в горячем режиме для плат ввода/вывода или модулей должна определяться отдельно, принимая во внимание более высокое напряжение и интенсивность отказов этих устройств.

С.8.3 Диагностика модуля

ОСУ контролирует рабочее состояние каждой платы ввода/вывода или модуля. На человеко-машинном интерфейсе отображается режим как нормальной, так и ненормальной работы, например, отказ или отмена действия.

С.8.4 Проверка вводимых значений

Когда однополюсный переключающий контакт используется в виде двух цифровых вводов, логика проверки осуществляется для выявления аномальных состояний. Аналогичным образом, значения вне предела диапазона аналогового сигнала обнаруживаются, когда сигнал поднимается выше или опускается ниже допустимого диапазона.

С.8.5 Функция повторного считывания

Аналоговые и цифровые выводы ОСУ посылаются обратно на входные платы для выполнения логики проверки. Например, эта функция может быть использована для проверки эмиссии команд открытия/закрытия или значения излучаемых уставок.

С.8.6 Принудительный вывод

В случае отказа или ненормальной работы каждый цифровой и/или аналоговый вывод принудительно устанавливается к предопределенному значению, устанавливаемому индивидуально.

С.8.7 Функции контроля

Входные платы предназначены для обнаружения наиболее распространенных ошибок в поле, то есть открытой или разомкнутой цепи.

С.8.8 Контроллеры

Оценка включает в себя:

- использование запоминающего устройства с произвольным доступом (RAM) с функцией коррекции ошибок;

- подход к устойчивости к отказам/резервированию и связанных с этим вопросами значимости данных, например, гарантии того, что никакие "неверные" данные не могут быть отправлены в поле в случае отказа основного контроллера.

С.8.9 Сети

Оценка включает в себя:

- проверка целостности сообщений, например, коды с коррекцией ошибок;

- временные прерывания на коммуникациях;

- биты состояния, автоматически связываемые со значением так, что приложение может оценивать качество данных.

С.8.10 Рабочие станции и серверы

Оценка включает в себя:

- запоминающее устройство с произвольным доступом (RAM) с функцией коррекции ошибок.