Приложение А (справочное). Риск, обусловленный отказом, выявленным только при запросе. Национальный стандарт РФ ГОСТ Р 27.011-2019 (IEC/TR 63039:2016) "Надежность в технике. Вероятностный анализ риска технических систем. Оценка интенсивности конечного события для заданного исходного состояния" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.10.2019 N 1226-ст)

Приложение А
(справочное)

Риск, обусловленный отказом, выявленным только при запросе

А.1 Запрос, обнаружение и логика отказов

Если отказ объекта не обнаружен при диагностике или контрольной проверке, он может быть выявлен другими методами, в том числе на этапе такого промежуточного события, как запрос, который активирует функции, приводящие объект в рабочее состояние (см. 9.3). Однако, если отказ не выявлен такими методами, включая капитальный ремонт, он останется в объекте на весь срок службы объекта. В этом приложении приведен пример анализа риска конечного уровня защиты с отказами, выявленными только по запросу (далее - DU-отказами).

Рассмотрим DU-отказы в конечном уровне защиты, которые могут быть обнаружены только по запросу конечного уровня защиты. Предположим, что время до запроса и его завершения подчиняется экспоненциальному распределению с интенсивностью запросов [1/ч] и интенсивностью завершения запроса [1/ч], соответственно. Предположим, что конечный уровень защиты входит в структуру системы "1 из 2" с независимыми отказами блоков Ch 1 и Ch 2, а также блока отказов по общей причине, как показано на рисунке А.1 (см. 9.4). Предположим также, что, если запрос произошел в состоянии DU-отказа или если конечный уровень защиты отказывает в состоянии запроса, возникает неповторяемое конечное событие. Это конечное событие анализируют с использованием дерева неисправностей, как показано на рисунке А.2 [18].

Высшее событие дерева неисправностей возникает, если происходят невыявленные отказы (DU-отказы) по общей причине и запрос (т.е. логика отказа 1) или если возникают независимые DU-отказы по запросу (логика отказа 2). Отказы в соответствии с логикой 1 и логикой 2 получили дальнейшее развитие в виде логики последовательности отказов 1-1 и логики последовательности отказов 1-2, а также логики последовательности отказов с 2-1 до 2-6 соответственно. Их можно уточнить с помощью FTA, где такие логики отказов могут привести или не привести к конечному состоянию, в котором появляются конечные последствия риска.

a) Логика 1-1: DU-отказы по общей причине происходят в состоянии запроса.

Логика 1-2: Запрос возникает в случае DU-отказов по общей причине. Высшее событие происходит, если логика последовательности отказов 1-1 либо логика последовательности отказов 1-2.

b) Логика 2-1: сначала появляется запрос, затем происходит независимый DU-отказ канала Ch 1, независимый DU-отказ канала Ch 2 происходит по запросу в состоянии независимого DU-отказа канала Ch 1.

Логика 2-2: сначала появляется запрос, затем происходит независимый DU-отказ канала Ch 2, а независимый DU-отказ канала Ch 1 происходит по запросу в состоянии независимого DU-отказа канала Ch 2.

Другие логики последовательности отказов с 2-3 до 2-6 анализируют таким же способом, высшее событие происходит, если одна из шести логик последовательности отказов 2-1 через 2-6 становится истинной.

Рисунок А.1 - Блок-схема надежности с независимыми отказами и отказами по общей причине

Каналам соответствуют идентичные интенсивности DU-отказов, которые выявляют только при запросе, и идентичные интенсивности восстановлений. Времена до DU-отказа и восстановления подчиняются экспоненциальному распределению с постоянной интенсивностью DU-отказов [1/ч] и интенсивностью восстановлений [1/ч]. Интенсивность отказов независимых DU-отказов каналов составляет (1 - ) , а интенсивность DU-отказов по общей причине составляет [1/ч]. Здесь - бета-фактор каналов при условии 0   < 1, 0 < , 0 < , 0 <  и 0 < .

Модель состояний, приведенная на рисунке А.3, разработана на основе анализа RBD (см. ГОСТ Р 51901.14) и FTA (см. таблицу 4) при условии, что вероятность одновременного появления независимого отказа и отказа по общей причине в течение рассматриваемого периода времени незначительна по сравнению с вероятностью возникновения только отказа по общей причине в течение того периода времени. Модель включает восемь логик последовательности отказов и двенадцать состояний системы от А до Н, обозначенных в виде (X, Y, Z) на рисунке А.3.

Рисунок А.2 - Дерево отказов неповторяемого конечного события по причине DU-отказов

Рисунок А.3 - Модель состояний (X, Y, Z) для неповторяемого конечного события, вызванного DU-отказами

А.2 Интенсивность конечного события для заданного начального состояния

На рисунке А.3 состояние системы (0,0,0) является начальным состоянием А, а состояние системы (1,1,1) является неповторяемым конечным состоянием Н. Здесь P_K - вероятность того, что система в целом находится в состоянии K (В, Е, F, G или Н) в стационарном состоянии.

В соответствии с рисунком А.3 FEF для начального состояния А, [1/h] с вероятностями состояний системы и интенсивностями событий можно представить следующим образом [18]:

.

(А.1)

В соответствии с (А.1) можно записать

,

(А.2)

где ,

,

,

,

,

,

.

Таким образом, для FER для начального состояния А, r [1/h], справедлива формула

.

(A.3)

А.3 Сопоставление нового и традиционного анализа

На рисунке А.4 показана взаимосвязь между переменной интенсивности запроса и FER для начального состояния А, r, в виде функции от , т.е. r(), когда  = 10^-6 [1/ч],  = 10^-1 [1/ч] и  = 10 [1/ч], а принимает значение 10 %, 1 % и 0 % соответственно.

На рисунке А.4 функции, изображенные пунктирными линиями, рассчитаны по формулам, приведенным в А.2, а функции, изображенные прямыми линиями, рассчитаны на основе традиционного анализа, как показано ниже.

В ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-5 и ГОСТ Р МЭК 61508-6 HER, [1/h], является целевым показателем конечного события (см. 3.1.25, примечание 2 и В.1). Таким образом, FER для заданного начального состояния относится к HER в указанных стандартах серии ГОСТ Р МЭК 61508. HER, , может быть записана с использованием PFD_avg, Р_а и интенсивности запросов [1/ч] для режима работы с редкими запросами (см. ГОСТ Р МЭК 61508-5). В соответствии с ГОСТ Р МЭК 61508-6-2012, пункт В.3.2.5, HER объекта, связанного с безопасностью, со структурой "1 из 2" и DU-отказами, приведенной на рисунке А.1, можно записать в виде (см. ГОСТ Р МЭК 61508-6):

,

(А.4)

где .

;

;

[ч] (среднее время до запроса);

[ч] (среднее время восстановления).

О подходе ГОСТ Р МЭК 61508-6 можно заметить следующее:

a) во-первых, ГОСТ Р МЭК 61508-6 применим для режима работы с редкими запросами и exp{-T₂}  1 - T₂ является ее первым приближением HER. Поэтому интенсивность запросов должна соответствовать обоим условиям: режим работы является режимом работы с редкими запросами, т.е.   10^-4 [1/ч] и приближение первого порядка имеет вид T₂ << 1 (т.е.  << );

b) во-вторых, если значение составляет, например, 10^-6 [1/ч], значение должно удовлетворять неравенству 10^-6 <<   10^-4 [1/ч], т.е. иметь значение 10^-5 и 10^-4 [1/ч]. Таким образом, оказывается, что формула ГОСТ Р МЭК 61508-6 может быть применена для очень ограниченного диапазона значений интенсивности запросов (см. рисунок А.4).

С другой стороны анализ, приведенный в настоящем стандарте, может быть применен ко всему диапазону значений интенсивности запросов, как показано на рисунке А.4.

- FER для начального состояния А, r;

-  = P_a  w_MP_a

Рисунок А.4 - Сопоставление r () и

Анализ изложенного позволяет сделать следующие выводы [18]:

a) если интенсивность запросов становится достаточно низкой, то HER приближается к интенсивности запросов, т.е. r()  ;

b) если интенсивность запросов достаточно высока, то справедлива формула r()  2{(1 - ) } 2/{(1 - )  + } + , и это означает, что r()  2{(1 - )}2/ + , если  <<  или r()  (2-) и  << ;

c) обычно считается, если при определении фактора , как показателя наличия отказов по общей причине для системы с несколькими каналами, оценка составляет несколько процентов или более, то отказы по общей причине доминируют над отказами системы (т.е. HER) (см. 9.3 и В.4). Однако это не всегда так. Хотя отказы по общей причине всегда доминируют над HER в области высоких значений интенсивности запросов (т.е. когда интенсивность запросов более 10^-2 [1/ч]), HER почти не подвержена влиянию в области низких значений интенсивности запросов (т.е. когда интенсивность запросов менее 10^-6 [1/ч]), как показано на рисунке А.4;

d) если допустимая HER для риска установлена равной [1/ч], то допустимая HER не может быть удовлетворена при интенсивности запросов от [1/ч] до [1/ч], а также от [1/ч] до [1/ч] для объекта, у которого принимает значения от 0,1 до 0,01 соответственно;

e) оказывается, что ()  (1/2) (1/3) r() выполняется для значений от 10^-5 до 10^-4 [1/ч]. Рекомендуется удалять коэффициенты (1/2) и (1/3) перед Т₂ в формулах, приведенных в ГОСТ Р МЭК 61508-6:2012, пункт В.3.2.5.

А.4 Дальнейшие исследования

Экспозиция риска Т предполагается бесконечной в приведенном выше анализе, соответствующем предположениям, используемым при определении оценки PFD_G и в ГОСТ Р МЭК 61508-6.

Однако, если экспозиция риска существенно влияет на HER, диаграмма состояний на рисунке А.3 может быть изменена для более реалистичного представления ситуации. Если, например, 0   < 1,  << 1/Т, 1/Т <<  и 1/Т << , необходимо вставить в диаграмму переходы D  А и G  А с интенсивностью перехода, например, 2/T.

Таким образом, FER для начального состояния А может быть определена более реалистично на основе модифицированной диаграммы.

А.5 Выводы и замечания

Если отказ объекта обнаружен в результате диагностики или контрольной проверки и быстро восстановлен, влияние на HER запросов (по которым отказ выявлен и восстановлен) может быть незначительным по сравнению с влиянием диагностики на восстановление, выполняемое по результатам диагностики или контрольной проверки, особенно при низкой интенсивности запросов. В этом случае HER как функция интенсивности запросов , r(), является непрерывной и монотонно возрастающей по переменной (см. рисунок В.1).

Тип системы выбора определяет выходы независимых каналов для генерирования нормального выхода системы в целом. Если выходы независимых каналов генерируют запросы, могут быть ситуации, когда влиянием запроса на HER вряд ли можно пренебречь в системе в целом [7]-[9].

a) Естественно предположить, что различные виды отказов, таких как D, UD и DU, обычно характерны для сложных объектов. Таким образом, функция HER, r(), может иметь точку (точки) перегиба, т.е. r() уже не будет монотонно возрастающей по переменной для системы в целом (см. В.4 и В.5). Это означает, что HER в области промежуточной интенсивности запросов может быть выше, чем в области с более высокой и/или более низкой интенсивностями запросов (см. рисунок А.4).

b) Анализ сложности системы в целом должен включать в себя анализ сложности функции HER, r(). А именно с точки зрения анализа риска система в целом, у которой r() не является монотонно возрастающей функцией, является более сложной по сравнению с системой, у которой r() монотонно возрастает по переменной (см. раздел 6, 9.1, 9.2, 9.5 и В.3).

Таким образом, в приложении А показано, что подход, представленный в настоящем стандарте, может быть применен к сложным системам, у которых функция HER не обязательно монотонно возрастает и не является монотонно возрастающей по переменной .