ГОСТ Р 27.011-2019
(IEC/TR 63039:2016)
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Надежность в технике
ВЕРОЯТНОСТНЫЙ АНАЛИЗ РИСКА ТЕХНИЧЕСКИХ СИСТЕМ
Оценка интенсивности конечного события для заданного исходного состояния
Dependability in technics. Probablistic risk analysis of technological systems. Estimation of final event rate at a given initial state
ОКС 03.120.01, 03.120.30
Дата введения 2020-07-01
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 октября 2019 г. N 1226-ст
4 Настоящий стандарт является модифицированным по отношению к международному документу IEC/TR 63039:2016* "Вероятностный анализ риска технических систем. Оценка интенсивности конечного события для заданного начального состояния" (IEC/TR 63039:2016 "Probablistic risk analysis of technological systems - Estimation of final event rate at a given initial state", MOD) путем внесения технических отклонений, объяснение которых приведено во введении к настоящему стандарту.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном документе, приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Настоящий стандарт определяет основные свойства событий с точки зрения вероятностного анализа риска и использования связанных с надежностью методов анализа возникновения конечного события, переводящего объект в конечное состояние, в котором могут появиться конечные последствия риска (см. 3.1.1, 3.1.10 и 3.1.17).
Методы, применяемые для анализа риска, такие как контрольные перечни, анализ что/если, исследование опасности и работоспособность (HAZOP), анализ дерева событий (ЕТА), анализ дерева неисправностей (FTA) первоначально были разработаны для анализа безопасности систем и затем были глубоко проработаны для анализа надежности и безопасности систем [1], [2], ГОСТ Р 27.012, ГОСТ Р МЭК 61165, ГОСТ Р 27.302, ГОСТ Р МЭК 62502. Аналитические методы, описанные в ГОСТ Р 27.302, ГОСТ Р МЭК 61165, ГОСТ Р МЭК 62502 четко установлены и систематизированы применительно к анализу надежности. Однако необходимо учитывать, что существуют значительные различия между анализом надежности и вероятностным анализом риска.
Во-первых, такие состояния объекта как работоспособное и неработоспособное, рабочее и нерабочее, а также события отказа и восстановления, как правило, рассматривают с позиции анализа надежности [1], ГОСТ Р 27.010. Вероятностный анализ риска часто связан не только с аспектами состояний и событий, которые влияют на работоспособное и неработоспособное состояния, но также с состояниями наличия запроса и его отсутствия, с начальными, промежуточными и конечными состояниями, а также с такими дополнительными событиями как запрос, завершение, окончание и возобновление запроса (см. 3.1.3, 3.1.8, 3.1.10, 3.1.11, 3.1.17 и 3.1.20).
Во-вторых, при вероятностном анализе риска учитывают тип конечного события, поскольку существующие в системе зависимости часто определяют появление конечного события. А именно, в вероятностном анализе риска конечные события делят на повторяемые и неповторяемые (см. 3.1.18 и 3.1.19). Кроме того, часто необходимо учитывать последовательность появления событий, поскольку часто появление конечного события является следствием определенной последовательности событий (см. 7.2, 9.2, 9.3 и 9.4).
Количественными показателями, применяемыми при анализе надежности, обычно являются интенсивность отказов, частота отказов, интенсивность восстановлений и другие показатели безотказности, готовности и ремонтопригодности объекта. При анализе риска должны быть проанализированы не только эти показатели, но и дополнительные показатели, такие как интенсивность и частота таких событий как запрос, завершение и возобновление запроса, а также время воздействия или экспозиция риска (см. 3.1.30).
При проведении количественного анализа риска интенсивность и частоту событий обычно используют в качестве целевых показателей появления конечного события (см., например, приложение В). В настоящем стандарте в качестве целевых показателей появления конечного события рассмотрены частота конечного события (FEF), средняя FEF, интенсивность конечного события (FER) для заданного начального состояния и FEF для заданного начального состояния (см. 3.1.21, 3.1.22, 3.1.25 и 3.1.26).
Такие показатели как FEF для заданного начального состояния являются новыми для вероятностного анализа риска и значительно отличаются от показателей традиционного анализа надежности, упомянутых выше, поскольку такие переменные, как интенсивность запросов и завершения запросов и их частота, а также экспозиция риска, которую не рассматривают в традиционном анализе надежности, обычно не являются целевыми показателями надежности. Поэтому эти новые показатели должны быть определены, а соответствующие методы модифицированы применительно к вероятностному анализу риска.
Кроме того, при анализе риска сложных систем часто дополнительно применяют такие аналитические методы как HAZOP, FMEA, RBD, FTA и марковских методов. В настоящем стандарте показано, как сформировать эти модифицированные методы, чтобы извлечь максимальную пользу при их применении в вероятностном анализе риска.
Таким образом в настоящем стандарте определены целевые показатели появления конечного события в виде FER для заданного начального состояния, FER для заданного состояния и FER для заданной группы состояний при проведении вероятностного анализа риска и даны рекомендации по применению модифицированных методов в дополнение к анализу этих целевых показателей на примере анализа риска атомной электростанции, подушек безопасности автомобиля, систем автоматического торможения и рулевого управления в автомобиле, систем с распознаванием отказа только при запросе, а также рекомендации по применению настоящего стандарта в области функциональной безопасности.
Считается, что вероятностный анализ риска является более сложным, чем анализ надежности. Однако в настоящем стандарте приведен более простой и реалистичный подход проведения вероятностного анализа риска (по сравнению с традиционными подходами), что позволяет более просто проводить анализ риска сложных систем (см. таблицу 1; раздел 6; 9.1, 9.2, 9.5, А.5 и В.3).
В настоящем стандарте ссылки на международные стандарты заменены ссылками на национальные стандарты.
1 Область применения
В настоящем стандарте приведены рекомендации по вероятностному анализу риска (далее - анализ риска) систем, состоящих из электротехнических объектов, применимых на производстве, где предусмотрено проведение анализа риска.
Настоящий стандарт включает следующие аспекты анализа риска:
- определение основных терминов и понятий;
- установление типов событий;
- классификация возникновения событий;
- описание использования модифицированных обозначений и методов графического представления для ETA, FTA и марковских методов при применении модифицированных методов к сложным системам;
- предполагаемые способы обработки частоты/интенсивности событий для сложных систем;
- предполагаемые способы определения оценок частоты/интенсивности событий на основе мониторинга риска;
- иллюстративные и практические примеры.
Взаимосвязь событий, рассматриваемых в настоящем стандарте с соответствующими рисками, описана в таблице 1. Риск определяют как влияние неопределенности на достижение цели (см. 3.1.1). Здесь предполагается, что неопределенность состоит из двух составляющих: эпистемической и случайной. Эпистемическая составляющая может быть известной и неизвестной, а влияние случайной составляющей может быть контролируемым и неконтролируемым соответственно. Таким образом, риск, соответствующий известному событию, влияние которого является контролируемым, представляет собой контролируемый риск, а риск, соответствующий известному событию, влияние которого является не контролируемым, представляет собой неконтролируемый риск определенной последовательности событий. Контролируемый мета-риск соответствует неизвестному событию, влияние которого может быть случайным контролируемым (если это событие возникает), а неконтролируемый мета-риск соответствует неизвестному событию, влияние которого не является контролируемым.
Например, риски, возникающие в результате случайных отказов аппаратных средств электротехнических объектов, могут быть отнесены к контролируемым или неконтролируемым рискам, в то же время риски, связанные с программными ошибками, могут быть отнесены к контролируемым или неконтролируемым мета-рискам. В настоящем стандарте рассмотрены контролируемые и неконтролируемые риски, возникающие в результате событий, появление которых предполагается случайным и не зависящими от времени (см. раздел 6; 9.1, 9.2, 9.5 и В.3).
Таблица 1 - События и соответствующие им риски
Событие | ||
Случайное | Эпистемологическое | |
Известное | Неизвестное | |
Контролируемое | Контролируемый риск события | Контролируемый мета-риск |
Неконтролируемое | Неконтролируемый риск события | Неконтролируемый мета-риск |
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 27.002 Надежность в технике. Термины и определения
ГОСТ Р 27.010 Надежность в технике. Математические выражения для показателей безотказности, готовности, ремонтопригодности
ГОСТ Р 27.12* Анализ опасности и работоспособности (HAZOP)
________________
* Вероятно, ошибка оригинала. Следует читать: ГОСТ Р 27.012, здесь и далее по тексту. - .
ГОСТ Р 27.302 Надежность в технике. Анализ дерева неисправностей
ГОСТ Р 51897-2011 Менеджмент риска. Термины и определения
ГОСТ Р 51901.12 Менеджмент риска. Метод анализа видов и последствий отказов
ГОСТ Р 51901.14 Менеджмент риска. Структурная схема надежности и булевы методы
ГОСТ Р 57149-2016 Аспекты безопасности. Руководящие указания по включению их в стандарты
ГОСТ Р ИСО 9000-2015 Системы менеджмента качества. Основные положения и словарь
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска
ГОСТ Р МЭК 61165-2019 Надежность в технике. Применение марковских методов
ГОСТ Р МЭК 61508-1 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования
ГОСТ Р МЭК 61508-2 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам
ГОСТ Р МЭК 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению
ГОСТ Р МЭК 61508-4-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения
ГОСТ Р МЭК 61508-5 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности
ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3
ГОСТ Р МЭК 61508-7 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства
ГОСТ Р МЭК 61511-1 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования
ГОСТ Р МЭК 61511-2 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1
ГОСТ Р МЭК 61511-3 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности
ГОСТ Р МЭК 62502 Менеджмент риска. Анализ дерева событий
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины, определения и сокращения
3.1 В настоящем стандарте приведены термины по ГОСТ 27.002, ГОСТ Р 27.010, [1], а также следующие термины с соответствующими определениями:
3.1.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
Примечание 1 - Риск часто представляют в виде сочетания последствий события (включая изменения обстоятельств) и соответствующей вероятности реализации события (см. ГОСТ Р 51897-2011, статья 1.1, примечание 4).
Примечание 2 - Риск, связанный с безопасностью, часто определяют как сочетание вероятности нанесения ущерба и тяжести этого ущерба (см. п.3.9 в ГОСТ Р 57149-2016).
Примечание 3 - Остаточный риск представляет собой риск, оставшийся после обработки риска. Обработка риска включает в себя процесс изменения риска путем применения уровней защиты, установленных в настоящем стандарте (см. п.3.8.1.6 в ГОСТ Р 51897-2011, пункты 7.2.1, 9.1 и В.6).
[ГОСТ Р 51897-2011, статья 1.1, изменение - примечания к исходному определению заменены новыми]
3.1.2 состояние
3.1.2.1 состояние (state): Математическое выражение, описывающее определенные условия, в которых рассматриваемый объект находится в течение установленного периода времени.
Примечание 1 - Ошибка является примером состояния, в то время как отказ является событием. Диаграмма состояний описывает состояния и переходы состояний системы (см. [1] и 3.1.4 и 3.1.5, 3.1.7).
3.1.2.2 состояние (state): Для идентификации, анализа и контроля риска свойства системы в течение определенного периода времени.
Примечание 1 - Состояния подразделяют на активные и неактивные в соответствии со степенью исправности объекта. Активному состоянию соответствует более высокая степень исправности объекта, а неактивному - более высокая степень неисправности. Мерой состояния системы является энтропия, которая также является мерой многообразия состояний системы (см. 3.1.2.2, примечание 4; 3.1.3, примечание 2 и В.2).
Примечание 2 - Если объекты взаимодействуют друг с другом, активное действие может быть выполнено в активном состоянии, неактивном состоянии, активное действие не может быть выполнено и вместо активного действия генерируется неактивное действие.
Примечание 3 - Активные действия подразделяют на типы, например: а) передача энергии; б) распространение информации; в) перенос агента; г) затруднение снабжения и д) остальные [2].
Примечание 4 - Функция представляет собой способность объекта производить активные и/или неактивные действия (см. 3.1.3, 3.1.13, 3.1.32, 3.1.33, 3.1.34, 7.2, 9.1, В.1, В.4, В.5 и В.6), [2].
3.1.3 состояние запроса (demand state): Состояние, в котором у системы запрашивают выполнение определенной функции.
Примечание 1 - В состоянии запроса объект должен функционировать для демонстрации своих установленных функций, т.е. выполнять активные и неактивные действия или те и другие при необходимости (см. 3.1.2.2, примечание 4).
Примечание 2 - Состояние отсутствия запроса - это состояние, в котором у системы не запрашивают функций, т.е. объект должен находиться в нерабочем состоянии относительно установленных функций (см. [1], статья 192-02-06).
Примечание 3 - Например, состояние, в котором водитель автомобиля активирует компьютерную систему управления тормозами для остановки автомобиля, является состоянием запроса этой функции системы, а состояние, в котором водитель не активирует эту систему управления, является состоянием отсутствия запроса этой функции системы управления. Состояние, в котором водитель не активирует систему управления тормозами, является состоянием запроса для дополнительной функции этой системы управления (предотвращение ошибочной активации функции управления тормозами для остановки автомобиля), а состояние, в котором водитель активирует систему управления, - это состояние отсутствия запроса дополнительной функции (см. 9.3.1, b) и В.2).
Примечание 4 - Запрос является началом состояния запроса, а завершением запроса является прекращение состояния запроса. Запрос и его завершение являются событиями (см. 3.1.4).
Примечание 5 - Непрерывный режим выполнения функции представляет собой режим функционирования, в котором состояние запроса функции продолжается. Режим запроса выполнения функции охватывает состояния запроса и отсутствия запроса, т.е. при использовании системы запросы и завершения запросов появляются поочередно (см. 7.2, 9.3, А.1 и В.1, В.4, В.5, В.7).
Примечание 6 - Состояния запроса и функционирования не эквивалентны из-за возможности двух следующих режимов: объект функционирует в состоянии отсутствия запроса и объект не функционирует в состоянии запроса (см. 3.1.3, примечания 1 и 2 и 9.3).
3.1.4 переход события (event transition): Изменение одного состояния на другое.
Примечание 1 - Событие - это прекращение состояния или начало следующего состояния.
Примечание 2 - В контексте анализа риска риск часто представляют не только с помощью словесного описания, но также в виде состояний и их переходов с использованием дерева отказов (FT), диаграммы состояний и переходов (далее - диаграммы состояний) и т.п.
Примечание 3 - События подразделяют на промежуточные и конечные события с точки зрения диаграммы состояний для представления риска (см. 3.1.16 и 3.1.17).
[ГОСТ Р МЭК 61165-2019, статья 3.9, изменение - примечания из исходного определения были заменены новыми]
3.1.5 система (system): Совокупность взаимосвязанных и (или) взаимодействующих элементов.
Примечание 1 - Структура системы может быть иерархической. Система состоит из нескольких подсистем.
Примечание 2 - Для удобства термин "состояние системы" использован для обозначения состояния, в котором находится система (см. 3.1.7).
[ГОСТ Р ИСО 9000-2015, статья 3.5.1, добавлены примечания]
3.1.6 элемент (element): Компонент или набор компонентов, который рассматривают как единое целое
_______________
3.1.7 состояние системы (system state): Конкретная комбинация состояний элементов, составляющих систему.
Примечание 1 - Состояния системы часто охватывают работоспособное и неработоспособное состояния, рабочее и нерабочее состояния, состояния запроса и отсутствия запроса и другие внешние условия, не зависящие от элементов системы (см. 3.1.5, примечание 2).
3.1.8 начальное состояние (initial state): Состояние системы, из которой система совершает первый переход в другое состояние на диаграмме состояний, представляющей риск.
Примечание 1 - Если риск идентифицирован, он может быть охарактеризован не только с помощью словесного описания, но и с использованием таких диаграмм, как дерево событий, FT и так далее для качественного или количественного вероятностного анализа риска (см., например, рисунки 3, 9 и 10).
Примечание 2 - Если состояние системы X является начальным состоянием, это состояние называется также начальным состоянием X.
3.1.9 виртуальное начальное состояние (virtual initial state): Состояние системы, в котором предполагается виртуальный переход из конечного состояния, используемое для вычисления MTFE в выявленном состоянии и FER в выявленном состоянии.
Примечание 1 - См. 3.1.11, 3.1.24, 3.1.25, 3.1.27 и 3.1.28.
Примечание 2 - См. для примера рисунок 17.
Примечание 3 - Если состояние системы Х является виртуальным начальным состоянием, его называют виртуальным начальным состоянием X.
3.1.10 конечное состояние (final state): Состояние системы, в котором могут появиться конечные последствия риска.
Примечание 1 - Конечные последствия не всегда появляются в конечном состоянии, поскольку они могут зависеть от последовательности появления промежуточных состояний (см. 3.1.12, 7.2, 9.2 и 9.3).
Примечание 2 - Система переходит в конечное состояние при возникновении конечного события (см. 3.1.17).
3.1.11 промежуточное состояние (intermediate state): Состояние системы на диаграмме состояний, представляющей риск, которое не является начальным или конечным состоянием.
3.1.12 предшествующее состояние (antecedent state): Начальное состояние или, если оно существует, любое промежуточное состояние на диаграмме состояний, представляющей риск.
Примечание 1 - См. 3.1.8 и 3.1.11.
Примечание 2 - Предшествующее состояние может быть определено при использовании набора состояний, таких как работоспособное и неработоспособное, рабочее и нерабочее, состояния запроса и отсутствия запроса, состояния отключения и других внешних условий (см. например, рисунок 3).
3.1.13 выявленное состояние (recognised state): Предшествующее состояние, которое обнаружено и/или выявлено в установленное время.
Примечание 1 - Предшествующие состояния часто (но не всегда) выявляют путем использования таких средств, как функции самодиагностики продукции, периодические проверки компонентов, выявление человеком некоторых обстоятельств, особенностей функционирования и так далее в установленное время.
Примечание 2 - Если предшествующее состояние системы является выявленным состоянием, то может быть обнаружено, что состоянием системы является или не является ее предшествующее состояние в установленное время и наоборот.
Примечание 3 - В настоящем стандарте предполагается, что конечное состояние является выявленным в любое время (см. 9.3 и 9.4).
Примечание 4 - Поскольку не все предшествующие состояния охвачены мониторингом и распознаванием, предшествующие состояния не всегда являются выявленными и поэтому их подразделяют на выявленные и не выявленные состояния (см. 3.1.16, примечание 1).
3.1.14 группа состояний (group state): Набор из двух или более предшествующих состояний, которые не могут быть распознаны как отдельные предшествующие состояния.
Примечание 1 - См. 3.1.13, примечание 4.
3.1.15 выявленная группа состояний (recognised group state): Группа состояний, выявленная в установленное время.
Примечание - Предположим, например, что предшествующими состояниями являются состояния системы А, В и С, а выявленным состоянием является только состояние системы С, тогда группа состояний А и В является выявленной группой состояний, поскольку можно признать, что система находится в состояниях этой группы, если в установленное время она не находится ни в состоянии С, ни в конечном состоянии и наоборот (см. 3.1.13, примечания 3 и 4).
3.1.16 промежуточное событие (intermediate event): Переход в состояние, которое не является конечным событием или событием восстановления.
Примечание 1 - См. 3.1.5, 3.1.18 и 3.1.21.
Примечание 2 - Переход из одного предшествующего состояния в другое промежуточное состояние является промежуточным событием, но не наоборот (см. 3.1.19).
3.1.17 конечное событие (final event): Начало конечного состояния, т.е. состояние перехода из любого предшествующего состояния (или критического состояния) в конечное состояние.
Примечание 1 - См. 3.1.10 и 3.1.12.
Примечание 2 - Конечное событие также называют критическим событием, но не наоборот (см. ГОСТ Р 27.010).
Примечание 3 - Данный термин может относиться к опасным событиям или событиям, приносящим вред в области функциональной безопасности (ГОСТ Р МЭК 61508, все части).
3.1.18 повторяемое конечное событие (repeatable final event): Конечное событие, которое может повторяться.
Примечание 1 - Например, см. рисунок 3.
Примечание 2 - Для повторяемого конечного события характерно, что это событие не влияет на способ появления и исчезновения промежуточных состояний, потому что, если конечное событие изменяет способ появления и исчезновения промежуточных состояний, исходное состояние системы и соответствующий ему риск не сохраняются после завершения конечного события.
Примечание 3 - Конечное состояние, возникающее в результате повторяемого конечного события, может привести к переходу системы в промежуточное состояние, и конечное событие может повториться (см. 3.1.17, примечание 2).
3.1.19 неповторяемое конечное событие (unrepeatable final event): Конечное событие, которое не является повторяемым.
Примечание 1 - Например, см. рисунок 3.
Примечание 2 - Если конечное событие постоянно изменяет способ появления и исчезновения промежуточных состояний, то конечное событие не может быть повторяемым, поскольку исходное состояние системы и риск, соответствующий исходному состоянию системы, не сохраняются (см. 3.1.19, примечание 2).
Примечание 3 - Если конечное состояние переходит в исходное состояние и система является восстановленной, конечное событие является неповторяемым конечным событием, поскольку восстановленное состояние системы отличается от исходного состояния системы (восстановленное состояние системы не совпадает с исходным состоянием системы).
3.1.20 восстановление (renewal event): Прекращение конечного состояния, которое происходит в результате неповторяемого конечного события, вызывающее переход в начальное состояние или виртуальное начальное состояние системы.
Примечание 1 - Конечное состояние, обусловленное повторяемым конечным событием, может вызвать переход в промежуточное состояние (см. 3.1.19, примечание 3).
3.1.21 частота события (event frequency): Предел, если он существует, отношения среднего числа событий в течение интервала времени
Примечание 1 - Для частоты событий
где N(t) - количество событий в интервале времени [0, t], E - знак математического ожидания.
Примечание 2 - Единицей измерения частоты событий является единица времени в степени минус 1.
3.1.22 средняя частота событий (average event frequency): Частота событий, усредненная по периоду времени Н.
Примечание 1 - Средняя частота событий
где
3.1.23 интенсивность перехода состояний, условный параметр потока событий (state transition rate, conditional event intensity): Предел, если он существует, отношения условной вероятности того, что событие, т.е. переход системы из состояния X в состояние Y, происходит в течение интервала времени
Примечание 1 - Если появление события подчиняется экспоненциальному распределению, т.е. появление события является случайным и не зависит от времени, то условный параметр потока событий является постоянным, его называют постоянной интенсивностью события или постоянной интенсивностью перехода (см. разделы 1, 5, 7, 9, А.1 и В.1).
Примечание 2 - Единицей измерения параметра потока событий и интенсивности перехода состояний является единица времени в степени минус 1.
3.1.24 среднее время до конечного события (MTEF) для заданного начального состояния (MTFE at a given initial state mean time to final event at a given initial state): Среднее время от начального состояния или виртуального начального состояния до первого конечного события.
Примечание 1 - Заданное начальное состояние означает любое предшествующее состояние (см. 3.1.8, 3.1.9, 3.1.12 и 3.1.20).
Примечание 2 - MTFE для заданного начального состояния аналогично среднему времени работоспособного состояния (MUT), а не средней наработке до отказа (MTTF), однако предшествующие состояния включают не только работоспособное и неработоспособное, рабочее и нерабочее состояния, а также состояния запроса, отсутствия запроса и отключение и другие внешние условия окружающей среды (см. [1]).
3.1.25 интенсивность конечного события (FER) для заданного начального состояния (final event rate (FER) at a given initial state): Предел, если он существует, отношения условной вероятности того, что конечное событие произойдет в течение интервала времени
Примечание 1 - Для восстанавливаемой системы с постоянными интенсивностями перехода FER для заданного начального состояния становится постоянной и равна величине, обратной MTFE для заданного начального состояния (см. [3]-[6]).
Примечание 2 - В области функциональной безопасности FER для заданного начального состояния представляет собой интенсивность причиняющих вред или опасных событий (HER) (см. 3.1.17, примечание; 3, 7.2, 9.3.2, В.1 и В.4).
Примечание 3 - Стационарное состояние - это состояние системы через бесконечное время, при этом вероятности всех состояний системы на диаграмме состояний, представляющей риск, сходятся к постоянным значениям, если время стремится к бесконечности.
3.1.26 частота конечного события (FEF) для заданного начального состояния (final event frequency (FEF) at a given initial state): Частота конечного события при условии, что система, у которой интенсивность перехода является постоянной, а конечное состояние вызывает переход только в начальное состояние или виртуальное начальное состояние, находится в стационарном состоянии.
Примечание 1 - См. 3.1.17, 3.1.21 и 3.1.25, примечание 3.
Примечание 2 - Для восстанавливаемой системы с постоянными интенсивностями перехода FEF для данного начального состояния становится постоянной и равна величине, обратной среднему времени от начального состояния до появления первого восстановления (см. [3]-[6]).
Примечание 3 - Для FER для заданного начального состояния
где
Р{Х} - вероятность того, что система находится в конечном состоянии, и это состояние является стационарным состоянием.
3.1.27 среднее время до конечного события (MTFE) для выявленного состояния (mean time to final event (MTFE) at a recognised state): MTFE для заданного начального состояния, когда заданным начальным состоянием является выявленное состояние.
Примечание - См. 3.1.25.
3.1.28 интенсивность конечного события (FER) для выявленного состояния (final event rate FER at a recognised state): FER для заданного начального состояния, когда заданным начальным состоянием является выявленное состояние.
Примечание 1 - См. 3.1.25.
Примечание 2 - Соотношение между FER для выявленного состояния и FEF для выявленного состояния такое же, как соотношение между FER для заданного начального состояния и FEF для заданного начального состояния (см. 3.1.26, примечание 3, 8.2 и 9.3.3).
3.1.29 интенсивность конечного события (FER) для выявленной группы состояний (final event rate (FER) at a recognised group state): Взвешенное среднее всех FER для заданного начального состояния по группе состояний.
Примечание - См.: 8.2, 9.3.4 и 9.4.5.
3.1.30 экспозиция риска T (risk exposure time T): Математич еское ожидание продолжительности времени, в течение которого система подвергается конкретной опасности в процессе ее срока службы.
Примечание 1 - См. 5.2, 7.2.2, 7.2.3, А.3 и А.4.
Примечание 2 - Экспозиция риска T часто связана с такими понятиями, как срок службы (см. [1]), ресурс и время выполнения задания. Однако эти понятия не обязательно эквивалентны применительно к экспозиции риска, поскольку риск может быть заменен на несколько трансформированных рисков в течение срока службы, эксплуатации, или времени выполнения задания системы, и только конкретный риск из этих рисков может представлять интерес по отношению к экспозиции риска. В таком случае экспозиция риска не эквивалентна времени, установленному этими терминами.
3.1.31 приближенная вероятность опасного отказа во время состояния запроса (
Примечание 1 - Необходимым условием аппроксимации является то, что вероятность возникновения двух или более опасных отказов в интервале времени [0,
Примечание 2 - Данный термин применяют только для анализа риска в области безопасности (см. приложение Б).
3.1.32 средняя вероятность опасного отказа при запросе PFDavg,
Примечание 1 - Данный термин используют только применительно к функциональной безопасности (см. ГОСТ Р МЭК 61508-4-2012, пункт 3.6.18).
Примечание 2 - Для данного термина предполагается, что состояние объекта изменяется с состояния простоя на состояние функционирования при запросе, и объект может отказать в состоянии простоя (см. 7.2.3; 9.3.1, b), 9.3.2, приложение В).
3.1.33 средняя частота опасного отказа в час PFH,
Примечание 1 - Независимый канал по отношению к выполняемой функции представляет собой последовательную систему, т.е. отказ одного из компонентов канала приводит к отказу канала в целом.
Примечание 2 - PFH является приближением величины, обратной средней наработке до первого отказа в случае, когда опасный отказ является неповторяемым конечным событием несмотря на то, что он является приближением величины, обратной средней наработке между отказами в случае, когда опасный отказ является повторяемым событием. Обычно предполагается, что объект может отказать в состоянии простоя (см. ГОСТ Р МЭК 61508-4-2012, пункт 3.6.19, примечание 4, а также ГОСТ Р МЭК 61508-6-2012, В.2.3.2 и В.2.3.3 и 3.1.32, примечание 2, 7.2.3, 9.3.1 b), 9.3.2 и приложение В в настоящем стандарте).
3.1.34 канал, Ch (channel, Ch): Компонент или группа компонентов, независимо выполняющих функцию объекта.
Примечание 1 - Данный термин применяют только по отношению к функциональной безопасности (см. ГОСТ Р МЭК 61508-4-2012, пункт 3.6.19) (см. 3.1.5, примечание 2).
3.1.35 базовый элемент MCS (basic element, MCS element): Элемент, который входит в состав MCS, полученного посредством анализа FTA или RBD, или обоих методов.
Примечание - Элемент MCS всегда является основным событием FT, но не наоборот. Таким образом, для удобства далее для элемента MCS использован термин "базовый элемент".
3.2 Сокращения
В настоящем стандарте применены следующие сокращения:
- приближенная вероятность опасного отказа во время запроса; | |
CCF | - отказы по общей причине; |
Ch | - канал; |
D | - обнаруженный; |
DU | - обнаруженный только при запросе; |
E/E/PE | - электрические/электронные/программируемые электронные; |
ETA | - анализ дерева событий; |
FEF | - частота конечного события; |
FER | - интенсивность конечного события; |
FMEA | - анализ видов и последствий отказов; |
FPL | - конечный уровень защиты; |
FT | - дерево неисправностей; |
FTA | - анализ дерева неисправностей; |
HAZOP | - исследование опасности и работоспособности; |
HER | - интенсивность наносящих вред (опасных) событий; |
Int. | - промежуточный; |
MCS | - набор минимальных сечений; |
MTFE | - среднее время до конечного события; |
MTRE | - среднее время восстановления события; |
MTTF | - средняя наработка до отказа; |
MUT | - средняя продолжительность работоспособного состояния; |
PAND | - вентиль "И"; |
- средняя вероятность опасного отказа по запросу; | |
PFH | - средняя частота опасного отказа в час; |
PL | - уровень защиты; |
RBD | - структурная схема надежности; |
SIL | - уровень полноты безопасности; |
TTFE | - время до конечного события; |
TTRE | - время для события восстановления; |
UD | - необнаруженный. |
4 Различия терминов частоты и интенсивности конечного события
Термин "частота" может быть использован как по отношению к количеству возникновений событий данного вида, так и по отношению к количеству событий за заданный период времени. В настоящем стандарте использован последний вариант, что соответствует определению в 3.1.21.
Термин "интенсивность" обычно означает скорость, с которой что-то движется или происходит, а в области надежности интенсивность событий, таких как отказы, определяют как предел, если он существует, отношения условной вероятности того, что событие происходит в течение интервала времени
Определения интенсивности события и частоты события кажутся довольно различными. Однако в области оценки риска частоту события и интенсивность события часто путают. На рисунке 1 показаны изменения состояний системы в целом, в которой появления конечного события и события восстановления подчиняются экспоненциальному распределению, т.е. интенсивность конечного события (FER) и интенсивность восстановления событий являются постоянными (см. 3.1.17, 3.1.20 и 3.1.23). На рисунке 1 приведены два состояния системы, конечное и предшествующее (см. 3.1.10 и 3.1.12).
На рисунке 2 показан процесс появления конечных событий и событий восстановления, в которых TTFE и TTRE эквивалентны по величине продолжительности предшествующего состояния и продолжительности конечного состояния соответственно. Здесь предполагается, что стохастический процесс появления конечных событий и событий восстановления может быть смоделирован с помощью диаграммы Маркова, а MTFE и MTRE равны
где
Интенсивность конечного события (FER)
Рисунок 1 - Предшествующее состояние, конечное событие, конечное состояние и событие восстановления
Частоту конечного события (FEF) можно записать с использованием
Если
Рисунок 2 - Время до конечного состояния (TTFE), время до состояния восстановления ((TTRE)
Однако FEF не обязательно равна FER и возможны следующие ситуации:
a) например, в области оценки риска атомных электростанций допустимый риск серьезных аварий, таких как расплавление реактора, определяют путем использования частоты событий в год. Здесь конечным событием является расплавление реактора;
b) если допустимая частота конечного события равна 10
c) несмотря на то, что частоты событий в этих случаях равны, вероятности того, что событие произойдет в течение срока службы объекта или времени воздействия (эксплуатации) риска (50 лет), различны. А именно, эти вероятности могут составлять 60% или более в первом случае и 0,5% или ниже во втором случае. Это означает, что уровень риска в первом случае намного выше, чем во втором случае.
Таким образом, желательно использовать не частоту события, а интенсивность события в качестве целевого показателя появления редкого конечного события.
5 Частота конечного события и интенсивность конечного события для заданного начального состояния
5.1 Общие положения
В данном разделе приведены разъяснения FEF и FER для заданного начального состояния и определены способы их адаптации к целевым показателям появления конечного события.
5.2 Классификация конечных событий
На рисунке 3, а), 3, б), 3, в) приведены диаграммы состояний, представляющие риск, когда состояния системы А, В и С являются начальным, промежуточным и конечным соответственно (см. 3.1.4, примечание 2).
Если на рисунке 3 риски связаны с некоторой деятельностью человека, то, например, состояние В может соответствовать состоянию системы, при котором человек работает, а состояние А - состоянию системы, при котором человек не работает, а отдыхает, а состояние С - состоянию системы, при котором с человеком происходят неблагоприятные события от легких происшествий до катастроф.
Если происходит конечное событие, существуют две возможные последующие ситуации:
a) конечное событие не зависит от способа возникновения промежуточного события, конечное состояние может вызвать переход в промежуточное состояние и конечное событие может повториться (см. рисунок 3, а). Данное конечное событие далее рассматривают как повторяемое конечное событие (см. 3.1.19);
b) конечное событие не повторяется, потому что постоянно изменяется способ появления конечного события и исчезновения промежуточных состояний и поэтому риск идентичен риску, когда начальное состояние системы больше не поддерживается (см. рисунок 3, b) и 3, с)). Данное конечное событие далее рассматривают как неповторяемое конечное событие (см. 3.1.19).
T - экспозиции риска;
а) модель повторяемого конечного события
b) модель неповторяемого конечного события
с) модель конечного события с восстановлением
Состояние системы А: начальное состояние (предшествующее состояние);
состояние системы В: промежуточное состояние (предшествующее состояние);
состояние системы С: конечное состояние
Рисунок 3 - Модели перехода с различными конечными состояниями
На рисунке 3, а) показана модель перехода состояний системы, в которой происходит переход из конечного состояния С в промежуточное состояние В и конечное событие может повторяться. В этой модели постоянные интенсивности событий
Предположим, что некоторой деятельности человека соответствует риск.
1)
2)
3) T - период занятости работника (однако переходами в течение периода занятости, т.е. периода экспозиции риска, можно пренебречь, если справедливы неравенства
На рисунке 3, b) конечное состояние является невосстанавливаемым, т.е. конечное событие не повторяется. На рисунке 3, b) постоянные интенсивности событий
На рисунке 3, с) происходит переход из конечного состояния С в начальное состояние А и постоянная интенсивность появления события m является постоянной интенсивностью восстановления события (см. 3.1.20 и 3.1.23). Здесь конечное состояние также означает, например, что человеческий фактор исключен.
5.3 Частота конечного события в стационарном состоянии
На рисунке 3, a) FEF в стационарном состоянии
где Pr{В} - вероятность того, что система находится в состоянии В, в стационарном состоянии (см. рисунок 3, а)).
На рисунке 3, с) (схематично) FEF в начальном состоянии А,
где Pr{В} - вероятность того, что система находится в состоянии В, в стационарном состоянии (см. рисунок 3, с)).
5.4 Интенсивность конечного состояния для заданного начального состояния и выявленного состояния
На рисунке 3, в) FEF в начальном состоянии А,
MTFE в начальном состоянии А,
На рисунке 3, с) FER в выявленном состоянии В,
Таким образом MTFE в выявленном состоянии В,
5.5 Соотношение между интенсивностью и частотой конечного события для заданного начального состояния
Если время пребывания в состоянии С на рисунке 3, с) является бесконечным, т.е.
Таким образом, в отношении FER для заданного начального состояния и FER в выявленном состоянии система с невосстанавливаемым конечным состоянием эквивалентна восстанавливаемой системе при условии, что переходы системы в точности совпадают между такими же переходами системы, за исключением восстанавливаемых отказов.
Для любой восстанавливаемой системы с интенсивностью восстановления m предположим, что
где Р{Х} - вероятность того, что система находится в конечном состоянии X в стационарном состоянии.
6 Процедура вероятностного анализа риска и составление профиля риска
Контрольные перечни анализа "что, если", исследование HAZOP (ГОСТ Р 27.12), FMEA (ГОСТ Р 51901.12) и так далее, как правило, применяют для идентификации рисков, которые используют в начале исследования системы (ГОСТ Р ИСО/МЭК 31010). Исследуемая система может включать в себя технические объекты, каждый из которых часто состоит из тысячи или более компонентов, которые пребывают в работоспособном и неработоспособном состояниях. Риск сложных систем с такими состояниями анализируют количественно и качественно с использованием таких методов как FMEA, RBD (ГОСТ Р 51901.14), FTA и ЕТА; основные способы исследования причин конечного состояния приведены в (9.1, 9.5 и В.2). Эти методы часто используют MCS, определенные при выполнении FTA.
Набор MCS для конечного события системы обычно состоит из нескольких MCS элементов, т.е. нескольких основных элементов (см. 3.1.35). Обычно влияние набора MCS, составленного для большего количества основных элементов, часто является незначительным по сравнению с набором MCS, составленным для меньшего числа базовых элементов, с количественной точки зрения. К примеру, отказы по общей причине часто (но не всегда) доминируют среди причин конечных событий с этой точки зрения (см. приложение А). Количественный анализ риска выполняют в строгом соответствии с набором MCS для меньшего количества базовых элементов с использованием, например, диаграмм состояний, в то время как состояние каждого базового элемента, такого как канал (Ch), может охватывать работоспособное и неработоспособное состояния сотен или более компонентов (см. 3.1.34 и 3.1.35). Таким образом, оценка FER для заданного начального состояния сложных систем может быть определена на основе скрининга таких MCS.
Процедура анализа риска сложных технических систем, включающая определение оценки FER для заданного начального состояния (см. таблицу 1; 9.1, 9.5, А.5 и В.3), включает в себя следующие этапы:
- идентификацию риска и качественный анализ риска для поиска, например, наборов MCS, состоящих из меньшего количества базовых элементов, доминирующих среди причин конечного события, путем использования таких методов, как контрольные перечни, анализ "что, если", исследование HAZOP, FMEA, RBD, ЕТА и FTA (детали не рассмотрены в настоящем стандарте);
- создание аналитических моделей для определения количественной оценки с должным вниманием к основным элементам в качестве доминирующих причин возникновения конечного события с количественной точки зрения путем использования таких методов, как ЕТА, FTA и марковских методов;
- определение FEF, FER, FEF для заданного начального состояния, FER для заданного начального состояния, FER в выявленном состоянии и FER в выявленной группе состояний для всех состояний системы, а также модели перехода, т.е. аналитической модели, состоящей из набора базовых элементов;
- валидацию моделирования и анализа с точки зрения типов, показателей, полноты и последовательности причинной связи событий, аппроксимации, источников данных о частоте/интенсивности событий и так далее (детали не рассмотрены в настоящем стандарте);
- повторение анализа, если он не является удовлетворительным;
- документирование данных и результатов анализа (детали не рассмотрены в настоящем стандарте);
- передачу результатов анализа для дальнейшей оценки риска.
Процедура анализа возникновения конечного события приведена на рисунке 4.
Рисунок 4 - Процедура анализа повторяемого/неповторяемого конечного события
7 Методы количественного анализа появления конечного события
7.1 Графическое обозначение трех типов конечных событий
7.1.1 Общие положения
При анализе риска сложных систем важно дополнительно использовать такие аналитические методы как HAZOP, FMEA, RBD, FTA и марковский метод. При проведении количественного анализа для выявления причин конечного события обычно используют методы ETA, FTA и марковский метод. Однако обычные методы ЕТА и FTA не используют символы для обозначения таких типов конечных событий, как повторяемые, восстанавливаемые, неповторяемые, которые необходимы для получения максимальной результативности этих методов. Поэтому в настоящем стандарте введены символы для использования в методах ETA, FTA и марковском методе, приведенные в таблицах 2-5, где показан способ использования этих символов и эффективность модифицированных методов анализа риска (см. 7.2).
Основные символы для ЕТА и FTA приведены в таблице 2 и позволяют разделить конечные события на тип 1 (повторяемые), тип 2 (неповторяемые и восстановленные) и тип 3 (неповторяемые и невосстанавливаемые).
7.1.2 Повторяемые конечные события
В таблице 3 приведены обозначения и графические представления для оценки FEF повторяемых промежуточных и конечных событий при дополнительном использовании методов ЕТА, FTA и марковского метода. Риск представлен начальным состоянием 1, промежуточными состояниями 2 и 3 и конечным состоянием 4, а также событиями 1
Конкретные выражения для состояний и событий системы показаны в 7.2. Здесь конечными событиями являются события 2
Ветвь дерева событий, которая имеет стрелки на обоих концах, означает, что это событие может повторяться. Эта ветвь является повторяемой ветвью типа 1. Вентиль "И" с треугольником для FT означает, что выход вентиля является повторяемым событием. Вентиль "И" является вентилем типа 1.
Таблица 2 - Графические символы для анализа дерева событий и дерева неисправностей
Символ | Наименование | Описание |
Повторяемая ветвь типа 1 | Событие на этой ветви дерева событий (ЕТ) является повторяемым | |
Неповторяемая ветвь типа 2 | Событие на этой ветви ЕТ является неповторяемым и приводит к восстановлению конечного состояния, если это событие является конечным | |
Неповторяемая ветвь типа 3 | Конечное событие этой ветви ЕТ является неповторяемым и приводит к невосстанавливаемому конечному состоянию | |
Вентиль "И" типа 1 | Выходное событие вентиля является повторяемым (комбинация вентиля блокировки и вентиля "И" может быть применена для невосстанавливаемого промежуточного события) | |
Вентиль "И" типа 2 | Выходное событие вентиля является повторяемым и приводит к восстанавливаемому конечному состоянию | |
Вентиль "И" типа 3 | Выходное событие является повторяемым и приводит к невосстанавливаемому конечному состоянию |
Таблица 3 - Графические символы и представления для повторяемого (конечного) события
Метод | Схема |
ЕТА | |
FTA | |
Марковская диаграмма состояний |
Таблица 4 - Графические символы и представления для восстанавливаемого конечного состояния
Метод | Схема |
ЕТА | |
FTA | |
Марковская диаграмма состояний |
Таблица 5 - Символы и графическое представление для невосстанавливаемого конечного состояния
Метод | Схема |
ЕТА | |
FTA | |
Марковская диаграмма состояний |
7.1.3 Неповторяемое конечное событие, приводящее к восстанавливаемому конечному состоянию
В таблице 4 приведены символы и графические представления для определения оценки FER в начальном состоянии 1 для неповторяемого конечного события, которое приводит к восстанавливаемому конечному состоянию путем использования методов ETA, FTA и марковского метода. Риск представлен аналогичным образом в таблице 3 с начальным состоянием 1, промежуточными состояниями 2 и 3, и конечным состоянием 4 и событиями 1
Здесь события 2
Ветвь дерева событий в таблице 4, которая имеет стрелку на правом конце, означает, что это событие приводит к восстанавливаемому конечному состоянию. Эту ветвь классифицируют как неповторяемую типа 2. Вентиль "И" с горизонтальной линией на диаграмме FT означает, что выход из вентиля приводит к восстанавливаемому конечному состоянию, и вентиль "И" классифицируют как вентиль "И" типа 2.
Значение FER в начальном состоянии 1 рассчитывают, используя эти диаграммы.
7.1.4 Неповторяемое конечное событие, приводящее к невосстанавливаемому конечному состоянию
В таблице 5 приведены символы и графические представления для анализа неповторяемого конечного события, приводящего к невосстанавливаемому конечному состоянию с помощью использования дерева событий (FT) и марковской диаграммы состояний. Риск представлен аналогично представлению, приведенному в таблице 3 для начального состояния 1, промежуточных состояний 2 и 3 и конечного состояния 4, а также событий 1
Ветвь дерева событий в таблице 5, которая имеет две стрелки и вертикальную линию в правом конце, означает, что событие, соответствующее этой ветви, приводит к невосстанавливаемому конечному состоянию, эту ветвь классифицируют как неповторяемую ветвь типа 3. Вентиль "И" с двумя горизонтальными линиями в FT в таблице 5 означает, что выход такого вентиля приводит к невосстанавливаемому конечному состоянию, его классифицируют как вентиль "И" типа 3.
Здесь FER в начальном состоянии 1 идентичен FER в начальном состоянии 1, полученной в соответствии с 7.1.3 для восстанавливаемой системы с восстанавливаемым конечным состоянием (см. 5.5).
7.2 Аналитический пример неповторяемого конечного события
7.2.1 Общие положения
Предположим, что риск представлен начальным состоянием A, промежуточными состояниями B и D и конечным состоянием C, а также двумя путями из начального состояния в конечное состояние, A
По крайней мере, два риска, связанных с отказом системы управления подушками безопасности автомобиля, выявлены в [7]: 1) система управления подушками безопасности ошибочно наполняет подушку, когда автомобиль движется в нормальном режиме; 2) система управления подушками безопасности не наполняет подушку безопасности при аварии. Система управления подушками безопасности обычно состоит из электротехнических элементов, таких как датчики, контроллеры и приводы. Риск ошибочного наполнения подушек безопасности можно считать реальным примером модели перехода состояния, приведенной на рисунке 6. В этом случае риск представляют состояния системы A-D на рисунках 5 и 6.
A - автомобиль стоит, система управления подушками безопасности находится в работоспособном состоянии;
B - автомобиль движется, система управления подушками безопасности находится в работоспособном состоянии;
C - автомобиль движется в нормальном режиме, подушки безопасности ошибочно наполнены;
D - автомобиль стоит, подушки безопасности ошибочно наполнены.
Примечание - Состояние системы D на рисунке не приведено.
Рисунок 5 - FT для неповторяемого конечного события, которое приводит к невосстанавливаемому конечному состоянию
Состояние системы A: начальное состояние (предшествующее состояние);
Состояние системы B: промежуточное состояние (предшествующее состояние);
Состояние системы C: конечное состояние
Рисунок 6 - Модель состояний с невосстанавливаемым конечным состоянием
Если система управления подушками безопасности наполняет подушки безопасности в состоянии системы B, происходит переход из состояния B в состояние C, и это может привести к дорожно-транспортному происшествию для системы в целом, включающей в себя водителя и дорожные условия. Переход из состояния A в состояние C осуществляется по пути A
Если ошибочное наполнение подушек безопасности происходит в состоянии системы A, происходит переход из состояния A в состояние D. Однако аварии не произойдет, даже если возникнет переход из состояния D в состояние C, потому что подушки безопасности не могут быть наполнены при движении автомобиля, т.е. когда рабочий аварийной бригады транспортирует поврежденный автомобиль в автомастерскую. Последовательность таких событий представляет путь A
Здесь начало состояния движения автомобиля является запросом к активации функции системы управления подушками безопасности для предотвращения их ошибочного наполнения, поскольку ошибочное наполнение подушек может привести к дорожно-транспортному происшествию. Таким образом, состояние системы B можно рассматривать как состояние запроса функции системы управления подушками безопасности для предотвращения ошибочного их наполнения.
В соответствии с рисунком 6, если предполагается, что запросы и отказы системы управления подушками безопасности происходят случайно и не зависят от времени, в качестве интенсивностей запросов и отказов функции системы управления подушками безопасности могут быть назначены постоянные величины
7.2.2 Средняя частота конечного события
Предположим, что общая система, в которой риск представлен на рисунках 5 и 6, находится в начальном состоянии A в момент времени 0 и
где t - время;
Частота конечного события, которое приводит к конечным последствиям риска,
_______________
* Текст документа соответствует оригиналу. - .
где
Частота конечного события, возникающего в результате переходов А
Средняя FEF, полученная из уравнения (14),
где
Т - экспозиция риска [ч] (см. 3.1.30).
Приведенные ниже соотношения могут быть распространены на средние FEF, т.е. в соответствии с (14) и (15), если
a) если
Если
Если
Если
b) если
c) если 1
Стандарты серии ГОСТ Р МЭК 61508 (все части) представляют собой комплекс стандартов в области функциональной безопасности, определяемой на основе риска, и устанавливают полноту безопасности, в том числе среднюю частоту отказов (PFH) объекта, связанного с безопасностью, в качестве целевого показателя отказов объекта для контроля и/или снижения риска в режиме большого количества запросов или непрерывной работы, на основе этой приближенной формулы для средней FEF,
d) если 0<T<T*, то стремится к своему максимальному значению
e) если T*<Т, то
7.2.3 Интенсивность конечного события для заданного начального состояния
Если система в целом находится под воздействием риска, как показано на рисунках 5 и 6 с экспозицией риска Т, то необходимо определить оценку FER для начального состояния А, т.е. величину обратную среднему времени от начального состояния А до конечного состояния С (т.е. величину, обратную среднему времени от t=0 до появления неповторяемого конечного события).
Модель причин конечного события для системы с восстановлением показана на рисунках 7 и 8, на которых состояния системы А, В, С и D (опущенное) имеют те же особенности, что и на рисунке 6, соответственно. Если средняя продолжительность состояния запроса составляет
Предположим, что
Если экспозиция риска равна T (см. 3.1.30 и 5.3), то FEF для начального состояния А, в котором появляются конечные последствия риска
где
Аналогично FEF для начального состояния А, когда конечное событие возникает в результате переходов А
Рисунок 7 - FT для неповторяемого конечного события, приводящего к восстанавливаемому конечному состоянию
Если T - экспозиция риска, то в соответствии с (20) FER для начального состояния А,
где
Аналогично FER для начального состояния А, если конечное событие возникает в результате переходов А
Рисунок 8 - Переходы, приводящие к восстановлению конечного состояния
На основе (21) можно заключить следующее.
a) Если
В случае системы управления подушками безопасности для переходов А
Однако в стандартах серии ГОСТ Р МЭК 61508 (все части) предполагается, что переходы А
Если конечное событие вызвано только запросом, который возникает в результате отказа объекта, т.е. конечное событие возникает только в результате перехода А
Эта приближенная средняя вероятность
b) если 1
c) если 1
В случае системы управления подушками безопасности, упомянутой выше, состояние системы В на рисунках 5-8, в котором автомобиль передвигается, является состоянием запроса функции системы управления подушками безопасности, предотвращающей ошибочное наполнение подушек безопасности. Таким образом промежуточные события перехода системы А
Если система управления подушками безопасности проанализирована в соответствии со стандартами серии ГОСТ Р МЭК 61508 (все части), для контроля и/или снижения риска должны быть рассмотрены (как описано выше) два экстремальных целевых показателя объекта. Например, приближенными значениями HER являются:
Однако приближенное значение HER равно
FER для заданного начального состояния представляет решение проблемы для
1) Предположим, что водитель управляет личным автомобилем, когда интенсивность перехода состояний составляет
2) Другим примером является такси, которое находится в движении более часто.
Система управления подушками безопасности, рассмотренная выше, представляет собой последовательную систему. Однако реальные системы управления подушками безопасности могут включать резервирование и иметь более сложную структуру. Неисправные части системы могут быть обнаружены автоматически и система может перейти в состояние отключения для ремонта. Кроме того, процесс изучения причин ошибочного наполнения подушек безопасности может быть рассмотрен для анализа реального риска. Дерево FT и модели состояний, приведенные на рисунках 5 и 8, должны быть изменены на более реалистичные для такого анализа.
На рисунках 9 и 10 показан практический пример опасности, т.е. процесс ошибочного наполнения подушек безопасности в результате неисправности системы управления подушками безопасности [7]. Здесь предполагается, что система управления подушками безопасности представляет собой систему с архитектурой 1 из 2, т.е. система состоит из двух независимых каналов Ch1 и Ch2. В каждом канале происходят как обнаруженные (D), так и необнаруженные (UD) отказы, и оба канала имеют одинаковую интенсивность отказов D,
Рисунок 9 - FT для ошибочного наполнения подушек безопасности из-за отказа системы управления
Состояния системы
А: Оба канала находятся в работоспособном состоянии, когда автомобиль стоит;
В: Оба канала находятся в работоспособном состоянии, когда автомобиль движется;
С: В одном из каналов имеется невыявленный отказ (UD) при движении автомобиля;
D: система управления подушками безопасности отключена из-за обнаруженного отказа (D);
Е: В одном из каналов имеется невыявленный отказ (UD), когда автомобиль стоит;
F: Ошибочное наполнение подушек безопасности при остановке автомобиля;
G: Ошибочное наполнение подушек безопасности, когда автомобиль движется.
Интенсивности переходов
m' - интенсивность ремонта при ошибочном наполнении подушек безопасности в состоянии остановки автомобиля;
m - интенсивность восстановления;
Т - экспозиция риска (
Рисунок 10 - Модель состояний непреднамеренного наполнения подушек безопасности
Если отказ одного из каналов обнаружен функцией самодиагностики системы, датчик и блок управления системой управления подушками безопасности переводят систему в безопасное состояние и подают сигнал водителю, в этом случае ошибочное наполнение подушки не может произойти. Однако, если во время движения автомобиля в обоих каналах имеются невыявленные отказы (UD), то датчик и блок управления не могут предотвратить ошибочное наполнение подушки безопасности и может произойти дорожно-транспортное происшествие.
Отказы каналов по общей причине не представлены на рисунках 9 и 10, поскольку эти отказы следует анализировать отдельно от независимых отказов (для простоты анализа). Экспозицией риска в данном случае является период контрольной проверки, если она предусмотрена, или срок службы системы управления подушками безопасности, если проверка отсутствует. Вероятности состояний системы от А до G на рисунке 10,
Таким образом, аналитический метод оценки FER для данного начального состояния X,
В общем случае, например, если экспозиция риска T не слишком велика и интенсивность перехода не слишком высока, т.е. если выполняются неравенства
Таким образом, риск ошибочного наполнения подушек безопасности, когда автомобиль движется в нормальном режиме, и риск ненаполнения подушек безопасности при столкновении (анализ которого опущен в настоящем стандарте) из-за отказа системы управления подушками безопасности можно анализировать отдельно для формирования профиля риска, данные которого необходимы на следующем этапе оценки риска [7].
8 Интенсивность конечного события для выявленного состояния и выявленной группы состояний
8.1 Общие положения
Необходимо непрерывно проводить мониторинг предыдущих состояний системы в целом в соответствии с ГОСТ Р ИСО 31000. Если предшествующее состояние или группа предшествующих состояний выявлены и обозначены для любого заданного времени, FER для выявленного состояния или FER для выявленной группы состояний следует анализировать на основе информации о мониторинге риска (см. 3.1.28 и 3.1.29). Например, при выявлении и мониторинге состояния 3 на диаграмме состояний системы в таблице 6 или группы состояний G, которая состоит из состояний системы 1 и 2 на диаграмме состояний в таблице 7, возможны следующие описания при определении оценки FER для выявленного состояния 3 и FER для группы состояний G.
Если предшествующее состояние 3 выявлено в момент времени t, то FER выявленного состояния 3 анализируют для неповторяемого конечного события с использованием таблицы 6. FER для выявленного состояния 3 определяют как целевой показатель появления конечного события в момент времени t. В таблице 6 показаны обозначения и графическое представление, используемые при анализе FER для выявленного состояния 3 и неповторяемого конечного события с использованием методов ETA, FTA и марковского метода. Здесь предшествующее состояние 3 является виртуальным начальным состоянием, в которое конечное состояние 4 возвращается при восстановлении. Оценку FER для выявленного состояния 3 определяют с помощью этих диаграмм (см. 9.3.3). В таблице 7 приведены обозначения и графическое представление, используемые при анализе FER для выявленной группы состояний G и неповторяемого конечного события с использованием ETA, FTA и марковского метода. Если группа состояний G распознана и проводится ее мониторинг в каждый момент времени t, то FER для выявленной группы состояний G определяют как целевой показатель появления конечного события в момент времени t. Оценку FER для выявленной группы состояний G определяют с помощью этих диаграмм (см. 9.3.4).
8.2 Пример выявленной группы состояний
На рисунке 10 начальное состояние А является выявленным состоянием в момент времени t=0 сразу после контрольной проверки при условии, что контрольная проверка выполнена отлично. Если отказы по общей причине не учитывают, то состояния системы D и F являются выявленными в любое время, состояние системы G является конечным состоянием, состояния системы А и Е составляют группу выявленных состояний G1, а состояния системы В и С - группу выявленных состояний G2 в любое время, кроме момента сразу после контрольной проверки (см. 9.4.6).
Таблица 6 - Обозначения и графическое представление FER в выявленном состоянии 3
Метод | Диаграмма |
ЕТА | |
FTA | |
Марковский метод (диаграмма состояний) |
Таблица 7 - Обозначения и графическое представление FER для распознанной группы состояний G
Метод | Диаграмма |
ЕТА | |
FTA | |
Марковский метод (диаграмма состояний) |
9 Анализ нескольких уровней защиты
9.1 Общие положения
Многоуровневая защита - это иерархическая система, которая активирует свои функции для предотвращения конечного события, которое может привести к возникновению конечного состояния риска. Если одному или нескольким уровням защиты PL не удается активировать свою функцию, этот отказ приводит к запросу на активацию функции следующего уровня защиты (см. рисунок 11). Уровень защиты, отказ которого может активировать следующий уровень защиты, классифицируют как промежуточный, а уровень защиты, который приводит к конечному состоянию системы в целом, классифицируют как конечный отказ (при анализе риска).
w,
Рисунок 11 - Дерево событий источника запросов, промежуточный и конечный уровни защиты при анализе риска
На рисунке 11 показано дерево событий для системы в целом с источником запросов, промежуточным и конечным уровнями защиты для контроля и/или снижения риска. Например, находящийся в эксплуатации автомобиль с водителем, его системы контроля движения и предаварийного контроля относятся к источнику запросов, предварительному и конечному уровням защиты от опасности столкновения, соответственно (см. В.2) [8], [9]. Эти системы контролируют и снижают риск аварии и делают FER для начального состояния соответствующей допустимому уровню (см. 3.1.1, примечание 3).
Если происходит отказ конечного уровня защиты в состоянии запроса (т.е. FPL отказывает в рабочем состоянии) или если запрос появляется, когда FPL отказал, обычно происходит конечное событие. Даже если конечное событие является неповторяемым, отказы промежуточных уровней защиты могут быть повторяемыми. Это означает, что запрос уровней защиты может быть повторяемым. Для таких повторяющихся событий, как отказы и запросы при составлении FTA уровней защиты (см. 9.2), полезно использовать вентиль "И" типа 1.
Если анализ риска выполняют с использованием методов RBD и FTA, для промежуточных уровней защиты могут быть выделены MCS (см. раздел 6). Здесь MCS представляет собой набор, состоящий из взаимно независимых основных элементов 1, 2, ... и n (см. 3.1.35). Основными элементами являются события, такие как "отказ объекта", "отказ канала", "запрос объекта", "запрос канала" и т.д. Таким образом, основной элемент, например "отказ канала", может включать значительное количество отказов, вызванных состоянием сотен или более компонентов, составляющих канал. Восстановление нескольких каналов, которые составляют уровень защиты, часто может означать восстановление тысячи или более компонентов. Такой уровень защиты называют крупномасштабным. Анализ риска системы в целом, состоящей из крупномасштабных уровней защиты и поэтому обладающей несколькими рисками, часто называют анализом риска сложной системы (см. таблицу 1, раздел 6, 9.5, А.5, В.2 и В.3).
Риски, связанные с отказами уровней защиты, количественно рассмотрены в разделе 9. Как отказ промежуточного уровня защиты вызывает запрос следующего уровня защиты, показано для сложных систем с последовательной логикой отказов в 9.2. Затем анализ конечного уровня защиты показан в 9.3 и 9.4.
Обозначения
(0,0) конечный уровень защиты находится в работоспособном состоянии;
(0,1) конечный уровень защиты находится в состоянии UP (невыявленного отказа (UD) в состоянии запроса, т.е. конечный уровень защиты работы в обычном режиме;
(1,1) конечное состояние, т.е. состояние, в котором могут появиться конечные последствия риска;
m - постоянная интенсивность восстановления [1/ч];
Т - экспозиция риска для конечного уровня защиты [ч];
- FEF в начальном (или выявленном) состоянии (х, у) [1/ч]; | |
- FER в начальном (или выявленном) состоянии (х, у) [1/ч]; | |
- MTFE в начальном (или выявленном) состоянии (х, у) [h]; | |
- FER группы состояний | |
- MTFE группы состояний | |
- центрированная по (х, у) FER группы состояний | |
- центрированная по (х, у) MTFE группы состояний |
9.2 Частота и интенсивность повторяемых событий
9.2.1 Общие положения
Промежуточные уровни защиты организованы в виде систем произвольной структуры. Предполагается, что MCS
Для всех базовых элементов, которые не повторяются, т.е. i=0 (i=1, 2, ..., n), Фассель и другие количественно определили логику последовательного отказа вентиля "И" для таких базовых элементов [13]. Тем не менее, если повторяющиеся и неповторяющиеся базовые элементы входят в минимальное сечение, то FEF для заданного начального состояния можно применять для количественного анализа вентиля "И", как показано в 9.3 и 9.4 [3], [5], [6].
9.2.2 Независимость от последовательности событий
Если повторные отказы промежуточного уровня защиты происходят независимо от последовательности базовых элементов, 1, 2,..., n, составляющих минимальное сечение
Высшее событие становится истинным, если все входные события
Высшее событие, описанное на рисунке 12, приводит к запросу следующего уровня защиты или конечного уровня защиты (см. рисунок 11). Таким образом, вероятность того, что следующий уровень защиты или конечный уровень защиты находятся в состоянии запроса
Рисунок 12 - Отказ промежуточного уровня защиты, не зависящий от последовательности событий
Для
Следовательно, верхний предел вероятности состояния запроса
Для
Если неравенство
a) Вероятность и частота запроса должны быть определены в соответствии с точной процедурой количественной оценки минимальных сечений, однако это выходит за рамки настоящего стандарта (см., например, [11]).
b) Предположение о том, что главное событие "отказ промежуточного уровня защиты" может быть повторяемым неуместно. Например, если запрос промежуточного уровня защиты является непрерывным, то
Поскольку отказ промежуточного уровня защиты активирует проактивную функцию следующего уровня защиты или конечного уровня защиты (см. рисунок 11), справедливы следующие соотношения для
Таким образом
9.2.3 Зависимость от последовательности событий
9.2.3.1 Общие положения
Если отказ промежуточного уровня защиты повторяется и зависит от последовательности событий с базовыми элементами, т.е. последовательности базовых элементов S (S = 1, 2, ..., h), то логика отказов в последовательности базовых элементов S (S = 1, 2, ..., h), приводящая к вершине событий, может быть описана с помощью вентиля "И" типа 1. Эта логика отказа показана на рисунке 13, где выходное событие вентиля "И" типа 1 "отказ промежуточного уровня защиты (в соответствии с логикой отказов в последовательности базовых элементов S (S=1, 2,..., h) минимальных сечений
9.2.3.2 Формулы для стационарного состояния
Вероятность состояния запроса
Для
Для вероятности состояния запроса
Аналогично для верхних пределов вероятности состояния запроса
Рисунок 13 - FT для отказа промежуточного уровня защиты в соответствии с логикой последовательных отказов
Аналогичным образом, если отказ промежуточного уровня защиты активирует проактивную функцию следующего уровня защиты или конечного уровня защиты, могут быть полезны следующие соотношения для
9.2.3.3 Приближенные формулы в динамическом состоянии при условии
Если
Для
где
Аналогично
Аналогично приближенная вероятность запроса
Верхние границы приближенной вероятности состояния запроса,
9.2.3.4 Формула в динамическом состоянии для n=3
Предположим, например, что n=3 на рисунке 13 и входы в вентиль "И" типа 1:
9.3 Конечный уровень защиты в системе с последовательной структурой "1 из 1"
9.3.1 Общие положения
Возможность отказов по общей причине часто оценивают с помощью
a) параметр Т на рисунке 15 является экспозицией риска, а
b) если система в целом находится в состоянии запроса по отношению к функции объекта, необходимо, чтобы объект был в рабочем состоянии по отношению к запрашиваемым функциям, в то время как объект может быть в нерабочем состоянии при отсутствии запроса. Следовательно, необходимо рассмотреть два режима отказов, т.е. объект находится в нерабочем состоянии при наличии запроса, и объект находится в рабочем состоянии при отсутствии запроса (см. 3.1.3, примечание 6);
c) невыявленный отказ обнаруживают только при выполнении контрольной проверки. Контрольная проверка является видом периодического контроля, выполняемого специалистами по техническому обслуживанию и ремонту для обнаружения и восстановления отказавших частей промежуточного уровня защиты и конечного уровня защиты. Контрольную проверку обычно проводят каждый год или один раз в два года, при этом для технического обслуживания и ремонта требуется от нескольких часов до нескольких дней. Время, необходимое для проведения технического обслуживания и ремонта, является незначительным по сравнению с интервалом времени между контрольными проверками, и, следовательно, можно предположить, что неисправные части, выявленные при контрольной проверке, восстанавливают мгновенно и полностью (см. А.1 для примера неполной контрольной проверки);
d) невыявленный отказ не может быть обнаружен в течение интервала времени между проведением контрольных проверок, тогда как состояние запроса может быть выявлено, когда промежуточный уровень защиты или конечный уровень защиты работают нормально в состоянии запроса, конечное состояние также является выявленным, поскольку состояние системы в целом значительно ухудшилось в конечном состоянии (см. 3.1.13, примечание 3). Конечное событие является неповторяемым и восстанавливаемым; интенсивности переходов предполагаются постоянными в 9.3.2-9.4.
9.3.2 Интенсивность конечного события для начального состояния (0, 0) и неповторяемого конечного события
На рисунках 14 и 15 представлена причинно-следственная связь конечного события, обусловленного невыявленным отказом конечного уровня защиты и запросом конечного уровня защиты при условии, что
где
при условии, что
Если конечное состояние, в котором появляются окончательные последствия риска, возникает в обеих последовательностях событий (0,0)
где
Если окончательные последствия риска появляются только в соответствии с логикой N 1, то (39) можно переписать в виде
Если окончательные последствия риска появляются только в соответствии с логикой N 2, то (39) можно переписать в виде
Если
Однако в стандартах серии ГОСТ Р МЭК 61508 (все части) предполагается, что
Если
Рисунок 14 - FT неповторяемого конечного события для начального состояния (0,0)
Если окончательные последствия риска появляются только в соответствии с логикой N 1, второй член правой части (41)
Аналогично, если окончательные последствия риска проявляются только в соответствии с логикой N 2, первый член правой части (41)
Рисунок 15 - Модель состояний неповторяемого конечного события для начального состояния (0,0)
Если
9.3.3 Интенсивность конечного события для выявленного состояния (х, у)
Если выявлено, что в момент времени t конечный уровень защиты работает нормально, то система находится в предшествующем состоянии (0,1), показанном на рисунках 16 и 17. Из рисунков 16 и 17 видно, как смоделировать и проанализировать причины конечного события при определении оценки FEF
Рисунок 16 - FT для неповторяемого конечного события и выявленного состояния (0,1)
Рисунок 17 - Модель состояний для выявленного состояния (0,1)
На рисунке 17 переход из конечного состояния (1,1) в выявленное состояние (0,1) представляет собой нереальный переход, т.е. виртуальное событие восстановления для вычисления
9.3.4 Интенсивность конечного события для выявленной группы состояний
9.3.4.1 Общие положения
Если выявлено, что система в целом в момент времени t находится или в предшествующем состоянии (0,1), или в конечном состоянии (1,1), то система в целом находится в состоянии из группы состояний G1, как показано на рисунках 18 и 19. На рисунках показано, как моделировать и анализировать причины конечного события при определении оценок FER и MTFE выявленной группы состояний G1 при условии, что система в целом находится в одном из состояний этой группы с момента времени 0 до момента времени t и
Поскольку нельзя указать, в каком состоянии (0,0) или (1,0) система в целом пребывает в момент времени t, оценку FER для выявленной группы состояний G1 необходимо определять с использованием взвешенного среднего арифметического.
9.3.4.2 Динамическая оценка интенсивности конечных событий для выявленной группы состояний
В общем случае, если вероятность того, что система в целом находится в состоянии (X, Y) из выявленной группы состояний
Для состояний системы (0,0) и (1,0), которые составляют выявленную группу состояний G1 (см. рисунок 19), вероятности состояний системы (0,0) и (1,0) в момент времени t при условии, что система в целом пребывает в этих состояниях (группы G1) с момента времени 0 до момента времени t,
где
Рисунок 18 - FT неповторяемого конечного события для выявленной группы состояний G1
9.3.4.3 Центрированная по (х, у) частота конечного события в группе состояний
Если вероятность состояния системы из группы
a) FER, центрированная по (0,0), для группы состояний G1
Показанные на рисунках 18 и 19
b) интенсивность конечного события группы состояний G1, центрированная по (1,0).
Показанные на рисунках 18 и 19
9.3.4.4 Верхний и нижний пределы интенсивности конечного события для выявленной группы состояний
При определении оценки всех
Набор FER для выявленной группы состояний G1 представляет собой
Рисунок 19 - Модель состояний для выявленной группы состояний G1
9.4 Конечный уровень защиты в системе со структурой "1 из 2"
9.4.1 Общие положения
Предположим, что конечный уровень защиты состоит из двух каналов: Ch 1 и Ch 2, в которых происходят независимые (D) и невыявленные (UD) отказы, а также выявленные и невыявленные отказы по общей причине, этот уровень защиты необходим для работы в условиях реальной изменчивости состояний системы безопасности, например автоматическое рулевое управление автомобиля (см. В.2).
Здесь выявленный отказ определяется автоматически с помощью системы самодиагностики, а невыявленный отказ обнаруживают в процессе периодических контрольных проверок при проведении технического обслуживания и ремонта (см. 9.3).
Конечный уровень защиты может быть описан, например, с использованием RBD в виде системы со структурой "1 из 2" и отказами по общей причине, как показано на рисунке 20. На рисунке 20 независимые отказы обоих каналов расположены параллельно, а отказы по общей причине соединены с параллельным блоком последовательно (см. ГОСТ Р 51901.14, [17]).
9.4.2 Независимые отказы элементов системы со структурой "1 из 2"
Структурная схема надежности, состоящая из независимых составных частей, т.е. параллельных блоков (каналов), приведенная на рисунке 20, показана на рисунке 21. Блоки независимых отказов (выявленных и невыявленных) каждого канала соединены параллельно.
Приведенная на рисунке 21 RBD эквивалентна показанной на рисунке 22. Блоки "Выявленные отказы Ch 1 и Ch 2", "Выявленные отказы Ch 1 и невыявленные отказы Ch 2", "Невыявленные отказы Ch 1 и "Выявленные отказы Ch 2" и "Невыявленные отказы Ch 1 и Ch 2" соединены параллельно, а эти параллельные структуры соединены последовательно (см. ГОСТ Р 51901.14, [17]).
Если отказал один из четырех параллельных блоков на рисунке 22, например параллельный блок, состоящий из невыявленных отказов Ch 1 и выявленных отказов Ch 2, и появился запрос к конечному уровню защиты или если конечный уровень защиты находится в состоянии запроса и произошел отказ одного из четырех параллельных блоков, может произойти отказ конечного уровня защиты (в зависимости от логики отказов). Здесь сделаны предположения, что вероятность того, что два или более параллельных блока отказали одновременно, ничтожно мала по сравнению с вероятностью того, что отказал один из четырех параллельных блоков, и вероятность того, что отказ параллельного блока и отказ по общей причине произойдут одновременно, тоже незначительна.
Рисунок 20 - RBD конечного уровня защиты в виде системы со структурой "1 из 2"
Рисунок 21 - RBD независимых блоков Ch 1 и Ch 2
9.4.3 Дерево неисправностей для независимых выявленных и невыявленных отказов
Причина главного события, например "конечного события, вызванного отказом параллельного блока невыявленных отказов Ch 1 и выявленных отказов Ch 2", разработана как FT, приведенное на рисунке 23, при условии, что все логики последовательных отказов состоят из событий "Невыявленный отказ канала Ch 1", "Выявленный отказ канала Ch 2" и "запрос, вызывающий главное событие".
Главное событие FT является истинным, когда одна из шести перестановок появления трех базовых элементов (невыявленный отказ канала Ch 1, выявленный отказ канала Ch 2 и запрос) является истинной. Три базовых элемента, участвующих в шести перестановках, являются входами в вентиль "И" типа 2 на рисунке 23.
Рисунок 22 - RBD, эквивалентная приведенной на рисунке 21
9.4.4 Интенсивность конечного события для данного начального состояния при независимых отказах
Приближенная оценка FER для заданного начального состояния при независимых отказах каналов Ch 1 и Ch 2 представляет собой общую сумму FER для заданного начального состояния для отказа каждого из четырех параллельных блоков, показанных на рисунке 22, при условии, что вероятность того, что два или более параллельных блока откажут одновременно, ничтожно мала по сравнению с вероятностью того, что откажет один из параллельных блоков.
Рисунок 23 - FT для невыявленных отказов канала Ch1, выявленных отказов канала Ch2 и запроса
Оценку FER для начального состояния А, т.е. состояния системы (0,0,0), например из-за отказа параллельного блока невыявленных отказов Ch 1 и выявленных отказов Ch 2, рассчитывают с использованием модели состояний, приведенной на рисунке 24, где интенсивности переходов следующие:
1) Интенсивности невыявленных отказов и ремонтов:
2) Интенсивности выявленных отказов и ремонтов:
3) Интенсивности запросов и завершения запросов:
4) Интенсивность восстановления: m [1/ч].
Состояние (х, у, z): | |
x | 0: работоспособное состояние Ch 1 |
у | 0: работоспособное состояние Ch 2 |
z | 0: отсутствие запроса |
Рисунок 24 - Диаграмма состояний (х, у, z) для невыявленных отказов (UD) канала Ch 1, выявленных отказов (D) канала Ch 2 и запроса
Предположим, что
Выявленное состояние и выявленная группа состояний указаны в 9.4.5 и 9.4.6.
9.4.5 Выявленное состояние каждого блока
9.4.5.1 Общие положения
Предполагается, что вероятность одновременного возникновения двух или более отказов в одном канале и одновременного возникновения независимых отказов и отказов по общей причине в системе со структурой "1 из 2" незначительны (см. 9.4.2).
9.4.5.2 Выявленные отказы каналов Ch 1 и Ch 2
Ниже предполагается, что вся система находится в начальном состоянии (0,0,0) в момент времени t=0 и после этого может перейти в выявленное состояние, одно из состояний выявленной группы состояний или конечное состояние в данный момент времени (см. рисунок 24 для (х, у, z)).
Затем выявленное состояние (D, D, 0), (D, 0, d) и (0, D, d) и конечное состояние (D, D, d) находят на основе сделанного предположения. Любое предшествующее состояние (0,0,0), (D, 0, 0), (0, D, 0) или (0,0, d) не выявлено, как единичное состояние системы.
9.4.5.3 Выявленный отказ канала Ch 1 и невыявленный отказ канала Ch 2
Аналогично находят выявленное состояние (D, 0, d) и конечное состояние (D, u, d). Любое предыдущее состояние (0,0,0), (0, u, 0), (D, 0, 0), (D, u, 0), (0,0, d) или (0, u, d) не выявлено, как единичное состояние системы.
9.4.5.4 Невыявленный отказ канала Ch 1 и выявленный отказ канала Ch 2 D
Аналогично находят выявленное состояние (0, D, d) и конечное состояние (u, D, d). Любое предшествующее состояние (0,0,0), (u, 0,0), (0, D, 0), (u, D, 0), (0,0, d) или (u, 0, d) не выявлено, как единичное состояние системы.
9.4.5.5 Невыявленные отказы каналов Ch 1 и Ch 2
Аналогично находят конечное состояние (u, u, d), а любое предшествующее состояние (0,0,0), (u, 0,0), (0, u, 0), (u, u, 0), (0,0, d), (u, 0, d) или (0, u, d) не выявлено, как единичное состояние системы.
9.4.5.6 Отказы по общей причине, выявленные и невыявленные
Выявленные состояния (0, d) и (D, 0), а также конечные состояния (u, d) и (D, d) находят по аналогии с изложенным для независимых отказов. Предыдущие состояния (0,0) или (u, 0) не выявлены, как единичное состояние системы в соответствии с 9.4.5.1). Здесь
(0, d) - конечный уровень защиты не является отказом по общей причине в состоянии запроса;
(D, 0) - конечный уровень защиты является отказом по общей причине в состоянии отсутствия запроса;
(0,0) - конечный уровень защиты не является отказом по общей причине в состоянии отсутствия запроса;
(u, d) - конечный уровень защиты является невыявленным отказом по общей причине в состоянии запроса;
(D, d) - конечный уровень защиты является выявленным отказом по общей причине в состоянии запроса.
9.4.6 Выявленные группы состояний и конечные состояния системы в целом
Для системы в целом, рассмотренной в 9.4.5.2-9.4.5.6, полностью идентифицируют состояния (0, х, у, z), (D, х, у, z) и (u, х, у, z), это означает, что конечный уровень защиты не является отказом по общей причине (выявленным или невыявленным) при условии, что состояния независимых каналов Ch 1, Ch 2 и запроса указаны в состоянии системы (х, у, z) соответственно (см. рисунок 24). А именно х и у принимают значение "0", "D" или "и" для обозначения "работоспособного состояния", "выявленного отказа" или "невыявленного отказа" соответственно, a z равно "0" или "d" для обозначения состояния отсутствия запроса или наличия запроса соответственно.
Затем для системы в целом суммируют выявленные состояния, выявленные группы состояний G1, G2, G3 и G4, конечные состояния и рабочие состояния системы (см. 9.4.5):
1) выявленными состояниями являются (D, 0,0,0), (0, D, D, 0), (0, D, 0, d) и (0,0, D, d);
2) группа G1 включает в себя состояния системы (0,0,0,0), (u, 0,0,0), (0, u, 0,0), (0,0, u, 0) и (0, и, и, 0);
3) группа G2 включает в себя состояния системы (0,0,0, d), (0, u, 0, d) и (0,0, u, d);
4) группа G3 включает в себя состояния системы (0, D, 0,0) и (0, D, u, 0);
5) группа G4 включает в себя состояния системы (0,0, D, 0) и (0, u, D, 0);
6) конечными состояниями системы являются (u, 0,0, d), (D, 0,0, d), (0, u, u, d), (0,u, D, d), (0, D, u, d) и (0, D, D, d);
7) рабочими состояниями системы являются: (0,0,0, d), (0, D, 0, d), (0,0, D, d), (0, u, 0, d) и (0,0, и, г).
FER для выявленного состояния и FER для выявленной группы состояний могут быть проанализированы и получены оценки для этих выявленных состояний (D, 0,0,0), (0, D, D, 0), (0, D, 0, d) и (0, 0, D, d) и выявленных групп состояний G1, G2, G3 и G4 в соответствии с процедурой, приведенной в 9.3.2-9.4.4.
9.5 Отказы по общей причине уровней защиты и сложность системы
Возможность возникновения отказа по общей причине является фактором сложности для системы в целом. Необходимо рассмотреть отказы по общей причине не только нескольких каналов проактивных функций защиты одного уровня защиты, но также и нескольких уровней защиты, которые могут включать первоначальные источники запросов. Система в целом с отказами по общей причине нескольких уровней защиты является более сложной, чем система без таких отказов.
При наличии нескольких уровней защиты возможны два типа отказов по общей причине, т.е. прогнозируемый и непрогнозируемый. Риск, связанный с прогнозируемым или известным отказом по общей причине, подразделяют на риск контролируемого или неконтролируемого события, и, следовательно, такой риск должен быть включен в область применения настоящего стандарта (см. таблицу 1).
Риск, соответствующий непрогнозируемому или неизвестному отказу по общей причине, классифицируют как мета-риск, и поэтому он не рассмотрен в настоящем стандарте (см. таблицу 1). Система в целом, в которой может произойти неизвестный отказ по общей причине нескольких уровней защиты, является более сложной, чем система без таких отказов.
Прогнозируемый отказ по общей причине нескольких уровней защиты можно обрабатывать по аналогии с 9,3 и 9,4.
9.6 Выводы и замечания
Полный комплексный подход, включающий оценку FER для данного начального состояния, FER для заданного выявленного состояния и FER для выявленной группы состояний, приведенный в настоящем стандарте, является достаточно мощным методом количественного и вероятностного анализа риска сложных систем (в том числе электротехнических объектов), как показано в разделе 9.
Предполагается, что уровни защиты включены в системы произвольной структуры (см. 9.2), однако конечные уровни защиты включены в системы со структурой "1 из 1" или "1 из 2" (см. пример в 9.3 и 9.4). Конечный уровень защиты может иметь более сложную структуру с использованием резервирования. Тогда деревья отказов и модели состояний, описанные в примерах отказов уровней защиты, могут быть изменены для более реалистичного моделирования такой ситуации.
Разработка реалистичных моделей для анализа риска все еще относится больше к искусству, чем к строгим научным методикам. Насколько разработанная модель подходит для анализа риска, зависит от опыта аналитика. Статьи, приведенные в библиографии, могут помочь в повышении квалификации при анализе риска.
Приложение А
(справочное)
Риск, обусловленный отказом, выявленным только при запросе
А.1 Запрос, обнаружение и логика отказов
Если отказ объекта не обнаружен при диагностике или контрольной проверке, он может быть выявлен другими методами, в том числе на этапе такого промежуточного события, как запрос, который активирует функции, приводящие объект в рабочее состояние (см. 9.3). Однако, если отказ не выявлен такими методами, включая капитальный ремонт, он останется в объекте на весь срок службы объекта. В этом приложении приведен пример анализа риска конечного уровня защиты с отказами, выявленными только по запросу (далее - DU-отказами).
Рассмотрим DU-отказы в конечном уровне защиты, которые могут быть обнаружены только по запросу конечного уровня защиты. Предположим, что время до запроса и его завершения подчиняется экспоненциальному распределению с интенсивностью запросов
Высшее событие дерева неисправностей возникает, если происходят невыявленные отказы (DU-отказы) по общей причине и запрос (т.е. логика отказа 1) или если возникают независимые DU-отказы по запросу (логика отказа 2). Отказы в соответствии с логикой 1 и логикой 2 получили дальнейшее развитие в виде логики последовательности отказов 1-1 и логики последовательности отказов 1-2, а также логики последовательности отказов с 2-1 до 2-6 соответственно. Их можно уточнить с помощью FTA, где такие логики отказов могут привести или не привести к конечному состоянию, в котором появляются конечные последствия риска.
a) Логика 1-1: DU-отказы по общей причине происходят в состоянии запроса.
Логика 1-2: Запрос возникает в случае DU-отказов по общей причине. Высшее событие происходит, если логика последовательности отказов 1-1 либо логика последовательности отказов 1-2.
b) Логика 2-1: сначала появляется запрос, затем происходит независимый DU-отказ канала Ch 1, независимый DU-отказ канала Ch 2 происходит по запросу в состоянии независимого DU-отказа канала Ch 1.
Логика 2-2: сначала появляется запрос, затем происходит независимый DU-отказ канала Ch 2, а независимый DU-отказ канала Ch 1 происходит по запросу в состоянии независимого DU-отказа канала Ch 2.
Другие логики последовательности отказов с 2-3 до 2-6 анализируют таким же способом, высшее событие происходит, если одна из шести логик последовательности отказов 2-1 через 2-6 становится истинной.
Рисунок А.1 - Блок-схема надежности с независимыми отказами и отказами по общей причине
Каналам соответствуют идентичные интенсивности DU-отказов, которые выявляют только при запросе, и идентичные интенсивности восстановлений. Времена до DU-отказа и восстановления подчиняются экспоненциальному распределению с постоянной интенсивностью DU-отказов
Модель состояний, приведенная на рисунке А.3, разработана на основе анализа RBD (см. ГОСТ Р 51901.14) и FTA (см. таблицу 4) при условии, что вероятность одновременного появления независимого отказа и отказа по общей причине в течение рассматриваемого периода времени незначительна по сравнению с вероятностью возникновения только отказа по общей причине в течение того периода времени. Модель включает восемь логик последовательности отказов и двенадцать состояний системы от А до Н, обозначенных в виде (X, Y, Z) на рисунке А.3.
Рисунок А.2 - Дерево отказов неповторяемого конечного события по причине DU-отказов
Состояние (X, Y, Z): | |
X | 0: канал Ch 1 - находится в работоспособном состоянии |
1: в канале Ch 1 произошел DU-отказ, который не восстанавливается | |
1 *: в канале Ch 1 произошел DU-отказ, который восстанавливается | |
Y | 0: канал Ch 2 находится в работоспособном состоянии |
1: в канале Ch 2 произошел DU-отказ, который не восстанавливается | |
1 *: в канале Ch 2 произошел DU-отказ, который восстанавливается | |
Z | 0: система в целом находится в состоянии отсутствия запроса |
1: система в целом находится в состоянии запроса |
Рисунок А.3 - Модель состояний (X, Y, Z) для неповторяемого конечного события, вызванного DU-отказами
А.2 Интенсивность конечного события для заданного начального состояния
На рисунке А.3 состояние системы (0,0,0) является начальным состоянием А, а состояние системы (1,1,1) является неповторяемым конечным состоянием Н. Здесь
В соответствии с рисунком А.3 FEF для начального состояния A,
В соответствии с (А.1)
где
Таким образом, для FER для начального состояния A, r [1/h], справедлива формула
А.3 Сопоставление нового и традиционного анализа
На рисунке А.4 показана взаимосвязь между переменной интенсивности запроса
На рисунке А.4 функции, изображенные пунктирными линиями, рассчитаны по формулам, приведенным в А.2, а функции, изображенные прямыми линиями, рассчитаны на основе традиционного анализа, как показано ниже.
В ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-5 и ГОСТ Р МЭК 61508-6 HER,
где
О подходе ГОСТ Р МЭК 61508-6 можно заметить следующее:
a) во-первых, ГОСТ Р МЭК 61508-6 применим для режима работы с редкими запросами и
b) во-вторых, если значение
С другой стороны анализ, приведенный в настоящем стандарте, может быть применен ко всему диапазону значений интенсивности запросов, как показано на рисунке А.4.
Рисунок А.4 - Сопоставление
Анализ изложенного позволяет сделать следующие выводы [18]:
a) если интенсивность запросов становится достаточно низкой, то HER приближается к интенсивности запросов, т.е.
b) если интенсивность запросов достаточно высока, то справедлива формула
c) обычно считается, если при определении фактора
d) если допустимая HER для риска установлена равной 2·10
e) оказывается, что
А.4 Дальнейшие исследования
Экспозиция риска T предполагается бесконечной в приведенном выше анализе, соответствующем предположениям, используемым при определении оценки
Однако, если экспозиция риска существенно влияет на HER, диаграмма состояний на рисунке А.3 может быть изменена для более реалистичного представления ситуации. Если, например, 0
Таким образом, FER для начального состояния А может быть определена более реалистично на основе модифицированной диаграммы.
А.5 Выводы и замечания
Если отказ объекта обнаружен в результате диагностики или контрольной проверки и быстро восстановлен, влияние на HER запросов (по которым отказ выявлен и восстановлен) может быть незначительным по сравнению с влиянием диагностики на восстановление, выполняемое по результатам диагностики или контрольной проверки, особенно при низкой интенсивности запросов. В этом случае HER как функция интенсивности запросов
Тип системы выбора определяет выходы независимых каналов для генерирования нормального выхода системы в целом. Если выходы независимых каналов генерируют запросы, могут быть ситуации, когда влиянием запроса на HER вряд ли можно пренебречь в системе в целом [7]-[9].
a) Естественно предположить, что различные виды отказов, таких как D, UD и DU, обычно характерны для сложных объектов. Таким образом, функция HER,
b) Анализ сложности системы в целом должен включать в себя анализ сложности функции HER,
Таким образом, в приложении А показано, что подход, представленный в настоящем стандарте, может быть применен к сложным системам, у которых функция HER не обязательно монотонно возрастает и не является монотонно возрастающей по переменной
Приложение В
(справочное)
Применение в области функциональной безопасности
В.1 Целевые показатели в области функциональной безопасности, основанные на риске
Большая часть методов количественного анализа риска возникла в области анализа безопасности системы и разработана путем объединения методов в области безопасности и безотказности (или надежности) систем [11], [19].
Стандарты безопасности на основе риска серии ГОСТ Р МЭК 61508 широко применяют в различных сферах, таких как железнодорожный транспорт, машиностроение, медицинское электротехническое оборудование, автомобильная и робототехническая промышленность. В серии стандартов ГОСТ Р МЭК 61508 на основе риска установлена количественная мера эффективности объектов, связанных с безопасностью, называемая полной безопасностью. Целевыми показателями полной безопасности являются:
- средняя вероятность отказов по запросу (PFDavg),
- средняя частота опасных отказов в час (PFH)
Эти целевые показатели устанавливают эффективность объектов, связанных с безопасностью, которые называются связанными с безопасностью системами электрическими, электронными, программируемыми электронными (далее - системами Е/Е/РЕ) относительно контроля и/или снижения риска, связанного с безопасностью до допустимого или приемлемого уровня (см. 3.1.1, примечание 3, 3.1.32 и 3.1.33).
Одну из сторон риска, связанного с безопасностью, а именно вероятность нанесения вреда, характеризует HER,
-
-
Здесь
На самой ранней стадии разработки приведенных методов HER был рассчитан с использованием формулы
Затем было установлено следующее:
a) если система Е/Е/РЕ, связанная с безопасностью, постоянно работает или ее интенсивность запросов достаточно высока, HER
b) исходя из этого в начале разработки приведенных методов было принято три вида режимов работы, т.е. режима работы с редкими запросами (обычный режим), режима работы с большим количеством запросов и режима непрерывной работы;
c) формула
Таким образом, на ранней стадии разработки приведенных методов режим работы с редкими запросами был определен как "режим работы, при котором интенсивность запросов достаточно низка", а режим работы с большим количеством запросов как "режим работы, при котором интенсивность запросов достаточно высока", соответственно. В настоящем стандарте в случае применения к безопасности (см. В.2) отказ означает опасный отказ.
В средней области, когда интенсивность запросов не является ни слишком низкой, ни достаточно высокой, для решения проблемы необходимо:
- провести линии ограничения режима работы с редкими запросами и режима работы с большим количеством запросов;
- распространить зоны, соответствующие этим режимам работы, на новые области, соответствующие промежуточным режимам работы по обе стороны от линии соответственно.
Режим работы с редкими запросами определен в ГОСТ Р МЭК 61508-4 как режим работы, при котором частота запросов работы системы, связанной с безопасностью, не превышает одного раза в год, а частота проведения контрольных проверок не превышает двух в год. Частота запросов один раз в год приближенно равна
В настоящее время работа в режиме редких запросов определена как режим работы, "при котором функция безопасности выполняется только по запросу для перевода EUC в установленное безопасное состояние, а частота запросов составляет не более одного раза в год" (см. ГОСТ Р МЭК 61508-4).
Тогда понятны причины, по которым формулу
a) формула
b) формула вряд ли применима к такому конкретному случаю, как система контроля подушек безопасности автомобиля или система в целом, описанная в приложении А (см. 7.2.3, 9.3.2) [18], [7];
c) какой режим работы должен быть адаптирован к системе, зависит от соотношения между интенсивностью запросов и HER, и, следовательно, выбор режима работы должен основываться не только на интенсивности запросов, но также на интенсивностях завершения запроса, отказов, ремонтов объекта и экспозиции риска (см. 7.2.3 и В.4, В.8) [3], [4], [16], [17], [18];
d) события, связанные с нанесением вреда в машиностроительном секторе, где интенсивность запросов достаточно высока, можно считать неповторяемыми конечными событиями.
В.2 Безопасные/опасные состояния системы и отказы
Система Е/Е/РЕ, связанная с безопасностью, выполняет функции безопасности для поддержания безопасного состояния системы в целом и сохранения остаточного риска, связанного с безопасностью, на допустимом уровне (см. 3.1.1, примечание 3). Обычно, если объект, входящий в состав системы Е/Е/РЕ, отказал, отказ может выявить несколько режимов отказа. Эти режимы подразделяют на безопасные и опасные в соответствии с безопасным или опасным состоянием системы. Таким образом, отказ, приводящий к безопасному или опасному режиму называют безопасным или опасным отказом, соответственно (см. ГОСТ Р МЭК 61508-4);
a) безопасный отказ определяют как отказ, который приводит к необоснованному выполнению функций безопасности или увеличению вероятности необоснованного выполнения функций безопасности, или поддержанию безопасного состояния системы в целом, следовательно, безопасное состояние системы сохраняется (см. ГОСТ Р МЭК 61508-4);
b) опасный отказ определяют как отказ, препятствующий выполнению функций безопасности или снижающий вероятность корректного выполнения функций безопасности (см. ГОСТ Р МЭК 61508-4);
c) безопасное состояние определяют как состояние системы в целом, когда безопасность достигнута, т.е. когда риск, связанный с безопасностью, поддерживают на приемлемом уровне.
Например, промежуточное состояние D на рисунке 10 означает состояние, в котором система управления подушками безопасности отключена. Понятно, что FER в промежуточном состоянии D меньше, чем FER в начальном состоянии А, а именно отказ D, приводящий систему управления подушками безопасности в отключенное состояние, является безопасным отказом, учитывая, что начальное состояние А является безопасным состоянием системы. С другой стороны, если FER в промежуточном состоянии С больше, чем FER в начальном состоянии А, отказ UD может быть опасным отказом, приводящим систему в целом в состояние системы с более высоким риском, чем риск системы в начальном состоянии А.
Как правило, с точки зрения безопасных и опасных отказов объектов, связанных с безопасностью, которые составляют систему Е/Е/РЕ, связанную с безопасностью, безопасные состояния системы в целом разделяют на следующие три типа [5]:
- неизменное состояние;
- изменяющееся состояние;
- взаимно изменяющиеся состояния.
Предположим, что Е/Е/РЕ система, связанная с безопасностью, предназначена для защиты от одной или нескольких опасностей для достижения безопасных состояний системы в целом, тогда можно утверждать следующее:
1) Если безопасное состояние системы в отношении опасности (или риска) обеспечивает то, что Е/Е/РЕ система, связанная с безопасностью, находится только в активном или неактивном состоянии и эта особенность Е/Е/РЕ системы не изменяется, в то время как система в целом находится под воздействием опасности (или риска), тогда это безопасное состояние системы является неизменным в отношении опасности (или риска) и отказа системы Е/Е/РЕ, связанной с безопасностью (см. 3.1.2.2, примечания 1-3). Пока система безопасности Е/Е/РЕ, связанная с безопасностью, поддерживает неизменное безопасное состояние системы, у нее могут произойти как безопасные, так и опасные отказы. Некоторые химические технологические установки включают в себя технические системы безопасности (т.е. Е/Е/РЕ системы, связанные с безопасностью), что является примерами неизменного безопасного состояния системы [5].
2) Если безопасное состояние системы в отношении опасности (или риска) обеспечивает Е/Е/РЕ система, связанная с безопасностью, которая переходит из активного состояния в неактивное или из неактивного в активное состояние или в обоих направлениях, пока система в целом подвергается опасности (или риску), тогда безопасное состояние системы является изменяющимся в отношении опасности (или риска) и отказа системы Е/Е/РЕ, связанной с безопасностью. Пока Е/Е/РЕ система, связанная с безопасностью, поддерживает изменяющееся безопасное состояние системы, у нее не должны возникать безопасные отказы. Например, автоматизированная система рулевого управления автомобилем (т.е. типичная система Е/Е/РЕ, связанная с безопасностью) состоит из электротехнических элементов, таких как датчики, контроллеры и исполнительные механизмы (см. 9.1). Эта система управляет направлением движения автомобиля в соответствии с различными условиями для создания безопасных маршрутов, где безопасное состояние системы, т.е. безопасный маршрут, является изменяющимся. Поэтому любой отказ автоматизированной системы рулевого управления автомобиля может быть опасным, потому что безопасное состояние системы является изменяющимся [5], [8].
3) Предположим, что отказ системы Е/Е/РЕ, связанной с безопасностью, связан с безопасным состоянием системы S1 по отношению к опасности Н1 (или риску R1) и безопасным состоянием системы S2 по отношению к опасности Н2 (или риску R2) и S1 - неизменное безопасное состояние системы, достигнутое за счет того, что Е/Е/РЕ система, связанная с безопасностью, находится в активном или неактивном состоянии. Таким образом, если S2 является неизменным безопасным состоянием системы, которое обеспечено тем, что система Е/Е/РЕ, связанная с безопасностью, находится в неактивном или активном состоянии, или если S2 является изменяющимся состоянием, система в целом находится в изменяющемся состоянии по отношению к Н1 (или R1) и Н2 (или R2), а опасности Н1 и Н2 являются взаимно обратными опасностями по отношению к отказу Е/Е/РЕ системы, связанной с безопасностью. Безопасное состояние системы в целом должно быть изменено в зависимости от взаимообратных опасностей, т.е. безопасные состояния системы в зависимости от взаимообратных опасностей являются взаимно изменяющимися. Если Е/Е/РЕ система, связанная с безопасностью, должна поддерживать взаимно изменяющиеся безопасные состояния системы S1 и S2, тогда безопасный отказ для S1 является опасным для S2 (см., например, таблицу В.1) [5], [7]-[9].
Например, если автоматизированная система управления тормозами автомобиля, которая состоит из таких электротехнических элементов, как датчики, контроллеры и исполнительные механизмы, в результате отказа не может остановить автомобиль при опасном приближении к автомобилю, движущемуся впереди, в результате может произойти заднее столкновение, в то же время при отказе автоматизированной системы управления тормозами автомобиль может внезапно остановиться и его может ударить сзади другой автомобиль. Следовательно, обе опасности (столкновение с автомобилем впереди и удар сзади) являются взаимообратными опасностями в отношении отказа автоматизированной системы управления тормозами, и безопасные состояния системы по отношению к этим взаимным опасностям являются взаимно изменяющимися. Таким образом, система автоматизированного управления тормозами автомобиля должна управлять взаимно изменяющимися безопасными состояниями системы для таких взаимно обратных опасностей, как:
- первичная опасность, вызванная невозможностью остановить автомобиль;
- взаимная опасность, вызванная ошибочной остановкой автомобиля.
В таблице В.1 показана взаимосвязь между режимами отказа автоматической системы управления тормозами, взаимно обратными опасностями, а также безопасными и опасными отказами [9].
Таблица В.1 - Соотношение между режимами отказа, опасностями и безопасными/опасными отказами
Опасности, которые необходимо | Режим отказа для автоматической системы управления тормозами | |
контролировать | Режим отказа 1 (например, короткое замыкание) | Режим отказа 2 (например, нарушение контакта) |
Первичная опасность | Безопасный отказ | Опасный отказ |
Взаимообратная опасность | Опасный отказ | Безопасный отказ |
В целом для объекта, связанного с безопасностью, справедливо следующее [7], [9]:
- если объект входит в систему со структурой "1 из 2" для первичной опасности, то он входит в систему со структурой "2 из 2" для взаимно обратной опасности.
- если установлены допустимые уровни риска для соответствующих взаимно обратных опасностей, структура и параметры системы, в том числе интенсивности и режимы отказов элементов, связанных с безопасностью, должны быть разработаны так, чтобы система соответствовала этим допустимым уровням риска, установленным на основе анализа FER для заданного начального состояния.
В.3 Сложность системы, связанной с безопасностью
Сложность системы, связанной с безопасностью, зависит не только от размера системы в целом (т.е. количества компонентов системы), опасностей, создаваемых системой в целом и отказами по общей причине уровней защиты (включая исходные источники запросов), а также от сложности логики развития отказов, такой как логика последовательности отказов, которая определяет возникновение конечного события и появление конечных последствий риска (см. раздел 6, 9.1, 9.2, 9.5 и А.5). Кроме того, при обсуждении сложности систем, связанных с безопасностью, необходимо учитывать сложность безопасных состояний системы. Относительно сложности справедливо следующее:
a) система в целом с изменяющимися и/или взаимно изменяющимися безопасными состояниями системы является более сложной, чем система только с неизменными безопасными состояниями системы;
b) система, связанная с безопасностью со всеми видами отказов, такими как отказы D, UD и DU, имеет более высокий уровень сложности, чем система только с ограниченным количеством типов отказов (см. А.5);
c) система, связанная с безопасностью, включающая элементы, интенсивность отказов которых различна в рабочем и нерабочим состояниях, является более сложной, чем система, включающая элементы, интенсивности отказов которых являются постоянными, однако рассмотрение этих ситуаций выходит за рамки настоящего стандарта (см. рис.15 и 9.3.1) [14], [15];
d) возможность того, что системе в целом присущ мета-риск, также является фактором сложности системы в целом, однако рассмотрение этой ситуации выходит за рамки настоящего стандарта (см. таблицу 1, раздел 6, 9.1, 9.5 и А.5).
В.4 Сопоставление традиционного и нового анализа
На рисунке В.1 показана типовая взаимосвязь между переменной интенсивностью запросов
На рисунке горизонтальная и вертикальная оси показывают интенсивность запросов
a) наклонная сплошная прямая линия и горизонтальная прямая линия показывают, что HER можно рассчитать по формулам
b) искривленные области в случаях 1-3 указывают на то, что HER
Поскольку HER анализируют отдельно с использованием двух формул в соответствии с ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-5 и ГОСТ Р МЭК 61508-6,
Использование FER для заданного начального состояния обеспечивает получение непрерывной линии и более реалистичного анализа независимо от режима работы для HER, показанной на рисунке (новый анализ), поскольку не только интенсивности отказов и ремонтов системы, но и все параметры, включая интенсивность запросов и их завершений, значимо влияют на HER. Это позволяет выполнить анализ в соответствии с новым подходом. Таким образом:
- формула
- на рисунке В.1 искривленные области (случаи 1-3) обычно формируются монотонно возрастающими функциями.
Примечание - В соответствии со стандартами серии ГОСТ Р МЭК 61508
Рисунок В.1 - Сопоставление традиционного и нового анализа
Однако формула
1) Если оба целевых показателя отказов
2) Однако если только один из целевых показателей
3) Если интенсивность запросов является достаточно низкой и если только целевой показатель
4) Однако если оба целевых показателя
В.5 Разделение режима работы
Как правило, HER,
a) если функция HER,
b) однако
c) в связи с этим необходимо установить процедуру выбора подходящего режима работы для того, чтобы требования, относящиеся к уровню полноты безопасности, полностью соответствовали таблице В.2.
В.6 Допустимая интенсивность опасных (наносящих вред) событий и остаточный риск
Если Е/Е/РЕ система, связанная с безопасностью, выполняет функции безопасности конечного уровня защиты для обеспечения безопасного состояния системы в целом, остаточный риск в результате контроля/снижения риска должен быть ниже допустимого уровня риска, т.е. HER, соответствующая отказам Е/Е/РЕ системы, связанной с безопасностью, должна быть ниже допустимого уровня:
a) предположим, например, что для снижения риска системы в целом систему Е/Е/РЕ, связанную с безопасностью, эксплуатируют в соответствии со случаем 2 на рисунке В.1. Таким образом, три точки функционирования А, В и С могут быть представлены комбинацией
b) если допустимая HER остаточного риска, например установлена равной 10
В.7 Процедура определения уровня полноты безопасности (SIL) объекта
Преодолеть трудности, связанные с разделением режимов, соответствующих целевым показателям отказов и определения уровня полноты безопасности SIL, упомянутого выше, позволяет определить подход настоящего стандарта:
a) сначала целевой показатель снижения риска
b) исходя из вышеизложенного, процедура выбора режимов работы и определения SIL объекта состоит в следующем [20]:
- устанавливают
- выбирают SIL X (X=1, 2, 3 или 4) и SIL Y (Y=1, 2, 3 или 4), используя
- выбирают более низкий SIL из выбранных SIL X и SIL Y объекта, если
- выбирают SIL Y объекта, если X=Y (поскольку стандарты по функциональной безопасности, такие как ГОСТ Р МЭК 61508 (все части) и ГОСТ Р МЭК 61511 (все части), обычно требуют назначения SIL Y объекта с более высокими требованиями по сравнению с назначенным SIL X при условии Х=Y).
Таблица В.2 - Уровни полноты безопасности (SIL) в соответствии с ГОСТ Р МЭК 61508 (все части)
SIL | Целевые показатели отказов | |
Режим работы с редкими запросами | Режим работы с частыми запросами или режим непрерывной работы PFH, или интенсивность опасных/вредных событий | |
4 | ||
3 | ||
2 | ||
1 |
Предположим, например, что комбинацию
1) "1,3·10
2) "7,5·10
3) "6,6·10
Таким образом, для объекта выбирают SIL из SIL X и SIL Y, а именно из SIL 2 (SIL X), SIL 2 (SIL Y) и SIL 1 (SIL Y) в точках А, В и С соответственно. В соответствии с В.6 известно, что если объект находится в точке С (SIL 1) для соответствия системы в целом допустимому остаточному риску, объекту должен быть назначен более высокий SIL (возможно, SIL 2).
В.8 Выводы и замечания
Настоящий стандарт помогает рационально определить уровень полноты безопасности (SIL) системы в целом, где соответствующие HER представлены не только монотонно возрастающими функциями переменной
Таким образом, настоящий стандарт обеспечивает:
- теоретические основы взаимосвязи целевых показателей отказов объекта (например, Е/Е/РЕ системы, связанной с безопасностью) и HER;
- способ целостного и простого анализа HER для оценки производительности объекта для контроля за риском и/или снижением риска;
- руководство по правильной оценке и анализу риска и выводу соответствующей оценки функциональной безопасности.
Приложение ДА
(справочное)
Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном документе
Таблица ДА.1
Обозначение ссылочного национального стандарта | Степень соответствия | Обозначение и наименование ссылочного международного стандарта |
ГОСТ Р ИСО 9000-2015 | IDT | ISO 9000:2015 "Системы менеджмента качества. Основные положения и словарь" |
ГОСТ Р 51901.12-2007 | MOD | IEC 60812:2006 "Техника анализа надежности систем. Метод анализа вида и последствий отказа" |
ГОСТ Р 27.12-2019 | MOD | IEC 61882:2016 "Исследования опасности и работоспособности (HAZOP). Руководство по применению" |
ГОСТ Р 51897-2011 | IDT | ISO Guide 73:2009 "Менеджмент рисков. Словарь" |
ГОСТ Р ИСО 31000-2010 | IDT | ISO 31000:2009 "Менеджмент риска. Принципы и руководство" |
ГОСТ Р ИСО/МЭК 31010-2011 | IDT | IEC/ISO 31010:2009 "Менеджмент риска. Методы оценки риска" |
ГОСТ Р МЭК 62502-2014 | IDT | IEC 62502:2010 "Менеджмент риска. Анализ дерева событий" |
ГОСТ Р 27.010-2019 | MOD | IEC 61703:2016 "Математические выражения для показателей безотказности, готовности, ремонтопригодности и обеспеченности технического обслуживания и ремонта" |
ГОСТ Р 51901.14-2007 | IDT | IEC 61078:2006 "Менеджмент риска. Структурная схема надежности и булевы методы" |
ГОСТ Р 27.302-2009 | IDT | IEC 61025:2006 "Надежность в технике. Анализ дерева неисправностей" |
ГОСТ Р МЭК 61165-2019 | IDT | IEC 61165:2016 "Надежность в технике. Применение марковских методов" |
ГОСТ Р МЭК 61508-1-2012 | IDT | IEC 61508-1:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования" |
ГОСТ Р МЭК 61508-2-2012 | IDT | IEC 61508-2:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам" |
ГОСТ Р МЭК 61508-3-2012 | IDT | IEC 61508-3:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению" |
ГОСТ Р МЭК 61508-4-2012 | IDT | IEC 61508-4:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения" |
ГОСТ Р МЭК 61508-5-2012 | IDT | IEC 61508-5:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности" |
ГОСТ Р МЭК 61508-6-2012 | IDT | IEC 61508-6:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3" |
ГОСТ Р МЭК 61508-7-2012 | IDT | IEC 61508-7:2010 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства" |
ГОСТ Р МЭК 61511-1-2018 | IDT | IEC 61511-1:2016 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования" |
ГОСТ Р МЭК 61511-2-2018 | IDT | IEC 61511-2:2016 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1" |
ГОСТ Р МЭК 61511-3-2018 | IDT | IEC 61511-3:2016 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" |
ГОСТ Р 57149-2016 | IDT | ISO/IEC Guide 51:2014 "Аспекты безопасности. Руководящие указания по включению их в стандарты" |
Примечание - В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов: |
Библиография
[1] | МЭК 60050-192:2015 Международный электротехнический словарь. Часть 192. Надежность (International electrotechnical vocabulary - Part 192: Dependability) |
[2] | Sato Y., Henley E.J., Inoue K. An action-chain model for the design of hazard-control systems, IEEE Trans., on Reliability- Vol.-39. - No.2. - p.151-159 - 1990 |
[3] | Kawahara Т., Ichitsuka A., Sato Y. State transition Model of Safety-Related Systems with Automatic Diagnosis and its Formulation for Functional Safety Assessment. - IEICE Trans. - Vol.J86-A- No.3. - 241-249. - March 2003 |
[4] | Yoshimura I., Sato Y.: Safety-Integrity Levels Model for Safety-Related Systems in Dynamic Demand State IEICE Trans. - Vol. J86-A - No. 11. - 1188-1196. - Nov. 2003 |
[5] | Yoshimura I., Sato Y. Safety Achieved by the Safe Failure Fraction (SFF) inlEC 61508, IEEE Trans, on Reliability. - Vol.57. - No.4. - 662-669. - Dec. 2008 |
[6] | Yoshimura I., Sato Y. Estimation of Calendar-Time- and Process-Operative-TimeHazardous-Event Rates for the Assessment of Fatal Risk Int. Jour, of Performability Engineering Vol.5 No. 4 July 2009. - 377-386 |
[7] | Takeichi M., Suyama K., Sato Y. Functional Safety Assessment of Air Bag Systemsfor Automobiles Trans. Soc. of Automotive Engs. of Japan. - Vol.44. - No.2. - 627-633. - March 2013 |
[8] | Kushibiki T., Sato. Y. Functional Safety Assessment of the Motor Vehicles Steer-byWire Systems with both Faults Detectable only by Demands and Commission FaultsJSMETrans.(C). - Vol.76. - No.762. - 388-396. - Feb. 2010 |
[9] | Takeichi M., Suyama K., Sato Y. Functional Safety Assessment of Pre-CrashSystems for Reciprocal Hazards, JSME Trans. (C), - Vol.79. - No.806. - 3839-3853. - Oct. 2013 |
[10] | Vesely W.E., Narumu R.E. PREP and KITT - Computer cords for automatic evaluation of fault trees. - IN-1349. - 1970 |
[11] | Henley E.J., Kumamoto H. Reliability Engineering and Risk Assessment.- EnglewoodCliffs. - Prentice Hall. - 1981 |
[12] | Sato Y., Inoue K., Kumamoto H., The safety assessment of human-robot systems (3rd Report). On the quantification of consecutive failure logic. - Bulletin of JSME. - Vol.29, No.257. - Nov., 3945-3951. - 1986 |
[13] | Fussell J.B., Aber E.F., Rahl R.G. On the quantitative analysis of priority AND failurelogic. - IEEE Trans. Reliability. - Vol.R-25 - No.5 - 324-326, 1976 |
[14] | Yoshimura I., Sato Y. Safety-Integrity Levels of Safety-Related System with Selfdiagnosis Functions in Dynamic Demand State. - Jour. Reliability Engineering Association of Japan. -Vol.151. - No.3. - 219-227. - May 2006 |
[15] | Yoshimura I., Sato Y. Estimation of Hazardous Event Rate for Safety-Related Systems with Self-diagnosis Function. - Jour. Japan Society for Safety Engineering. - Vol.46. - No.1. - 16-23. - Jan. 2007 |
[16] | Yoshimura I., Sato Y., Suyama K. Safety Integrity Level Model for Safety-related Systems in Dynamic Demand State, Proceedings of the 2004 Asian International Workshop on Advanced Reliability Modelling (AIWARM 2004). - Hiroshima. - 577-584. - 2004 |
[17] | Shimodaira T., Sato Y., Suyama K. Estimation of Hazardous Event Rate for Repairable 1-out-of-2 Safety-Related Systems Based on State transition Models. - IEICE Trans. - Vol.J88 - A. - No.8. - 962-973. - Aug. 2005 |
[18] | Muta H., Sato Y. Functional Safety Assessment of Safety-related Systems with Nonperfect Proof-tests. - IEICE Trans, on Fundamentals of Electronics, Communications and Computer Sciences. - Vol. E97-A. - No. 8. - 1739-1746 - Aug. 2014 |
[19] | Misumi Y, Sato Y., Estimation of average hazardous-event-frequency for allocation of safety-integrity, Reliability Engineering & System Safety. - 66(1999). - 135-144. - 1999 |
[20] | Shimodaira T, Sato Y., Suyama K. Estimation of Average Hazardous-Event Rate for Steady-State Demands and Determination of SIL, JSME Trans. (C). - Vol.72. - No.715. - 953-959. - March 2006 |
УДК 62-192:658.51.011:658.562:623:006.354 | ОКС 03.120.01, 03.120.30 |
Ключевые слова: надежность в технике, состояние, событие, частота события, интенсивность события, вероятностный анализ риска |
Электронный текст документа
и сверен по:
, 2020