Вы находитесь на странице: 1из 74

Структура и содержание

Санкт-
стандартов серии ГОСТ Р МЭК Петербург
20 ноября
61508 2020г.
2

Международная
электротехническая комиссия
– МЭК (International
Electrotechnical Commission -
Качество (ГОСТ 15467-79) – совокупность
IEC)
свойств продукции, обуславливающих ее
пригодность удовлетворять
Международная организация
определенные потребности в
по стандартизации (ISO -
соответствии с ее назначением.
International Organization for
Standardization)
СПАЗ не требуется
Типовая модель слоев защиты (ГОСТ Р МЭК 61511)

Реакция общества на аварию


Аварийное оповещение населения

ОСЛАБЛЕНИЕ
Реакция персонала на аварию
Процедура эвакуации персонала

Смягчение последствий
- Механические системы ослабления последствий
(активные и пассивные)
- Приборная система ослабления опасности (F&G)
- Реакция оператора на аварию

Предотвращение
- Реакция оператора на аварийную сигнализацию

ПРЕДОТВРАЩЕНИЕ
- Приборные системы защиты
- Механические системы защиты

Управление и мониторинг
Система управления, система сигнализации,
надзор оператора
Процесс
Конструкция технологической установки

4 szma.com
СПАЗ требуется
МЭК 61508 МЭК 61511

Аппаратные средства
Разработка новых устройств Применение устройств,
разработанных по МЭК 61508
Сертификация аппаратных Применение устройств,
средств проверенных на практике

Программные средства
Разработка системного Разработка прикладных
(встроенного) ПО программ на языках с
ограниченной изменчивостью
Разработка прикладных Разработка прикладных
программ на языках с полной программ на фиксированных
изменчивостью языках программирования
(конфигурирование устройств)
Пользователи стандартов
серии
«Функциональная безопасность»
МЭК 61511
МЭК 61508
Элементы ПСБ (SIS) Применение ПСБ (SIS)

Разработка и •Разработчики
производство: технологического процесса
•Инженеры АСУ
•Аппаратная часть Safety •Разработчики АСУ
PLC •Системные интеграторы
•Встроенное ПО •Операторы
•Сенсоры и конечные •Регулятор
элементы •Менеджеры безопасности
процесса
ANSI/ISA
S84.00.01-2004
(IEC 61511 Mod)

DIN V 19250 "Фундаментальные аспекты безопасности, рассматриваемые для


связанного с безопасностью оборудования измерения и управления» (Германия)

DIN V VDE 0801 "Принципы для компьютеров в системах, связанных с безопасностью".

DIN V 19251-1995 «Устройства защитные контрольно-измерительной аппаратуры.


Технические требования и меры для безопасного функционирования»

NFPA -международная некоммерческая организация по обеспечению пожарной,


электрической безопасности и безопасности строительства
ANSI/ISA s84.01  - «Application of Safety Instrumented Systems for the Process
Industries»
MЭК 61508 – Базовый стандарт по ФБ

нефтегазовая, химическая промышленность – IEC 61511 – 5 частей;


машины, оборудование – IEC 62061, ISO 13849, ISO/TR 23849…
автомобилестроение – ISO 26262-12 частей , …
ЖД-транспорт – IEC 62278 (CENELEC 50126), IEC 62279 (CENELEC
50128), IEC 62425 (CENELEC 50129), IEC 62280 (CENELEC 50159), …
медицинские приборы – IEC62304, ISO 14971, …
атомная энергетика – IEC 61513, IEC 63046, …
строительство – EN 50491-4-1, ….
промышленные сети связи – МЭК 61784-3, ….
электромагнитная совместимость – IEC TS 61000-1-2, IEC 61326-3-x , …
Стандарты в области функциональной
безопасности

ГОСТ Р 53195, ГОСТ 34332


ГОСТ Р МЭК 61513
ФБ систем безопасности
ГОСТ Р МЭК 61511 Атомные станции
зданий и сооружений
ФБ для перерабатывающих отраслей

автомобилестроение – ЖД-транспорт –
ISO 26262-12 частей ГОСТ Р МЭК 61508 IEC 62278, 62279
Функциональная безопасность систем
E/E/PES, связанных с безопасностью

ГОСТ Р МЭК 62061,


ГОСТ IEC 60079-29 ГОСТ Р ИСО 13849-2, ГОСТ Р 55743
Функциональная безопасность Функциональная безопасность систем
стационарных газоаналитических управления оборудованием
систем
медицинские приборы – промышленные сети
IEC62304 связи – МЭК 61784-3
Функциональная безопасность

Концепция Концепция
Жизненного Уровня
Цикла полноты
Безопасности безопасности
Согласно СТО РЖД 02.044 – 2011 (УРРАН) жизненный цикл безопасности -
дополнительный перечень мероприятий, осуществляемых в сочетании с
жизненным циклом объекта для объектов, связанных с безопасностью.
Другими словами, процессы, связанные с ФБ дополняют процессы ЖЦИ,
не заменяя их.

ГОСТ Р МЭК 61508-1 определяет 16 стадий жизненного цикла


всей системы безопасности (СБ)
1. Концепция 9. Спецификация требования к Э/Э/ПЭ СБ
2. Определение области применения всей 10. Реализация Э/Э/ПЭ СБ
СБ 11. Спецификация и реализация прочих
3. Анализ опасностей и риска (АОР, HAZOP) средств снижения риска
4. Требования ко всей СБ 12. Установка и ввод в эксплуатацию всей
5. Распределение требований по всей СБ СБ
6. Планирование эксплуатации и 13. Подтверждение соответствия всей СБ
технического обслуживания 14. Эксплуатация, техническое
7. Планирование подтверждения обслуживание и ремонт всей СБ
соответствия всей СБ 15. Реконструкция и модификация всей
8. Планирование установки и пуска в системы СБ
действие все СБ 16. Вывод из эксплуатации или
утилизация
Общие сведения о МЭК 61508

Электрическая/электронная/ программируемая электронная система


(E/E/PE - Э/Э/ПЭ)
- система управления, защиты или мониторинга, основанная на использовании
одного или нескольких Э/Э/ПЭ устройств, включая все элементы системы,
такие как источники питания, датчики и другие устройства ввода, магистрали
данных и другие коммутационные магистрали, исполнительные устройства и
другие устройства вывода.
Система, связанная с безопасностью:
-реализует необходимые функции безопасности, требующиеся для достижения и
поддержки безопасного состояния УО;
- предназначена
 для достижения необходимой полноты безопасности:
 для предотвращения опасного события;
 для ослабления последствий вредного события, снижая риск путем
уменьшения последствий.

Другие средства снижения риска – средства снижения и ослабления риска, отдельное


и отличное от Э/Э/ПЭ систем, связанных с безопасностью, и не использующие Э/Э/ПЭ
системы, связанные с безопасностью.

(Пример – предохранительный клапан является другим средством снижения риска)


ПАЗ

(РСУ)

Сенсоры ПАЗ и РСУ Исполнительные


механизмы
ПАЗ и РСУ
ГОСТ Р МЭК 61508-4
Термины и определения
ГОСТ Р МЭК 61508-5
ГОСТ Р МЭК 61508-1
Рекомендации по
Общие требования
применению методов
определения УПБ
ГОСТ Р МЭК 61508
Функциональная ГОСТ Р МЭК 61508-6
ГОСТ Р МЭК 61508-2
безопасность Э/Э/ПЭ Руководство по
Требования к системам
систем, связанных с применению частей 2 и 3
безопасностью
ГОСТ Р МЭК 61508-3
Требования к ГОСТ Р МЭК 61508-7
программному Методы и средства
обеспечению
3.5 Функции
3.1 Термины,
безопасности и
связанные с
полнота
безопасностью
безопасности

3.2 Оборудования 3.6 Сбой, отказ и


и устройства ГОСТ Р МЭК 61508-4 ошибка
Термины и
определения

3.3 Системы: 3.7 Процессы


общие аспекты жизненного цикла

3.8
3.4 Системы:
Подтверждение
аспекты,
мер по
связанные с
обеспечению
безопасностью
безопасности
3.1 Термины, связанные с
R(t)=Pr(t)C
безопасностью

3.1.1 Вред (harm): Физическое повреждение или ущерб, причиняемый


здоровью людей, имуществу или окружающей среде.
3.1.2 Опасность (hazard): Потенциальный источник причинения вреда
3.1.6 Риск (risk): Сочетание вероятности события причинения вреда P(t) и
тяжести этого вреда C.
3.1.7 Допустимый риск (tolerable risk): Риск, который приемлем при данных
обстоятельствах на основании существующих в обществе ценностей.
3.1.8 Остаточный риск – Риск остающийся после принятия защитных мер.

3.1.11 Безопасность (safety): Отсутствие неприемлемого риска.

3.1.13 Безопасное состояние (safe state): Состояние УО, в котором


достигается безопасность.
3.2 Оборудование и устройства
3.1.12 Функциональная безопасность (functional safety): Часть общей безопасности,
обусловленная применением управляемого оборудования (УО) и системы управления
УО, и зависящая от правильности функционирования систем, связанных с
безопасностью, и других средств по снижению риска.

3.2.1 управляемое оборудование (УО - EUC) – оборудование,


машины, аппараты или установки, используемые для производства,
обработки, транспортирования, в медицине или других процессах.

3.3.3 система управления управляемым оборудованием – система,


реагирующая на входные сигналы, поступающие от процесса и/или от
оператора, и генерирующая выходные сигналы, которые заставляют
управляемое оборудование работать в необходимом режиме.

3.2.7 прикладное программное обеспечение – часть программного


обеспечения программируемой электроники, которая по
специфицированным функциям выполняет задачу, связанную с
безопасностью УО, но не обеспечивает функционирование и не
предоставляет сервисы для самого программируемого устройства.
3.3 Системы: Общие аспекты

3 . 3 . 4 архитектура (architecture): Конкретная конфигурация


элементов аппаратного и программного обеспечения системы.

3 . 3 . 7 разнообразие (diversity): Признак, относящийся к


средствам и характеризующий различие методов, применяемых
для получения требуемой функции.

3.3.6 канал (channel): Элемент или группа элементов, которые


независимо реализуют часть функции безопасности.
Пример - Двухканальная (или дуальная) конфигурация -
конфигурация, в которой два канала независимо выполняют ту же
часть функции безопасности.

Примечание - Данный термин может применяться для описания полных систем или
частей системы (например, датчиков или исполнительных
элементов).
3.5 Функции безопасности и
полнота безопасности

3.5.1 функция безопасности (safety function): Функция, реализуемая Э/Э/ПЭ системой,


связанной с безопасностью, или другими мерами по снижению риска, предназначенная
для достижения или поддержания безопасного состояния УО по отношению к
конкретному опасному событию

3.5.4 полнота безопасности (safety integrity): Вероятность того, что система, связанная с
безопасностью, будет удовлетворительно выполнять требуемые функции безопасности
при всех оговоренных условиях в течении заданного интервала времени.
3.5.5 полнота безопасности программного обеспечения …
3.5.6 полнота безопасности, касающаяся систематических отказов …
3.5.7 полнота безопасности аппаратных ...

3.5.8 уровень полноты безопасности; УПБ [safety integrity level (SIL)]: Дискретный
уровень (принимающий одно из четырех возможных значений), соответствующий
диапазону значений полноты безопасности, при котором уровень полноты
безопасности, равный 4, является наивысшим уровнем полноты безопасности, а
уровень полноты безопасности, равный 1, соответствует наименьшей полноте
безопасности.
3.5 Функции безопасности и
полнота безопасности

3.5.9 стойкость к систематическим отказам – ( ССО, SC – Systematic Capability) - Мера


уверенности в том, что систематическая полнота безопасности элемента соответствует
требованиям заданного значения УПБ для определенной функции безопасности
элемента, если этот элемент применен в соответствии с указаниями, определенными
для этого элемента в соответствующем руководстве по безопасности.
Диапазон показателя SC1SC4.

3.5.11 Спецификация требований к Э/Э/ПЭ системам безопасности – SRS –


спецификация, содержащая требования к функциям безопасности и связанными с ними
УПБ.

3.5.16 режим работы — с низкой частотой запросов,


в котором ФБ выполняется только по запросу и переводит УО в определенное
безопасное состоянии , а частота запросов не превышает один в год
с высокой частотой запросов, в котором ФБ выполняется только по запросу и
переводит УО в определенное безопасное состоянии , а частота запросов превышает
один в год
непрерывный режим – ФБ поддерживает УО в безопасном состоянии, как и при
нормальном функционировании.
3.6 Сбой, отказ и ошибка

3.6.1 сбой (fault): Ненормальный режим, который может вызвать снижение или
потерю способности функционального блока выполнять требуемую функцию.

3.6.4 отказ (failure): Прекращение способности функционального блока


выполнять необходимую функцию либо функционирование этого блока любым
способом, отличным от требуемого.

3.6.5 случайный отказ аппаратуры (random hardware failure): Отказ,


возникающий в случайный момент времени, который является результатом
одного или нескольких возможных механизмов ухудшения характеристик
аппаратных средств.

3.6.6 систематический отказ (systematic failure): Отказ, связанный


детерминированным образом с некоторой причиной, который может быть
исключен только путем модификации проекта, либо производственного
процесса, операций, документации, либо других факторов.
3.6 Сбой, отказ и ошибка

3.6.7 опасный отказ (dangerous failure): Отказ элемента и/или подсистем и/или системы,
которые принимают участие в реализации функций безопасности, в результате чего:
а) функция безопасности не выполняется, когда это требуется (для режимов с низкой или
высокой частотой запросов) либо отказывает (для непрерывного режима), что приводит к
переводу УО в опасное или потенциально опасное состояние;
б) снижается вероятность того, что функция безопасности при необходимости будет
корректно выполнена.

3.6.8 безопасный отказ (safe failure): Отказ элемента и/или подсистем и/или системы,
которые принимают участие в реализации функций безопасности, в результате чего:
а) функция безопасности не выполняется, когда это требуется (для режимов с низкой или
высокой частотой запросов) либо отказывает (для непрерывного режима), что приводит к
переводу УО в опасное или потенциально опасное состояние;
б) снижается вероятность того, что функция безопасности при необходимости будет
корректно выполнена.

3.6.9 отказ по общей причине – (common cause failure - CCF) отказ, являющийся
результатом одного или несколько событий, вызвавших одновременные отказы двух или
более отдельных каналов в многоканальной системе, ведущих к отказу системы.
3.8 Подтверждение мер по обеспечению
безопасности
3.8.1 верификация (verification): Подтверждение выполнения
требований путем исследования и сбора объективных
свидетельств.
(На основе п.2.17 стандарта ISO 8402. Управление качеством и
обеспечение качества –Словарь)
{путем анализа, математических обоснований и/или
тестирования…

для используемых входных данных выходные данные


соответствуют набору задач и требований для
рассматриваемой стадии ЖЦ безопасности
3.8 Подтверждение мер по обеспечению безопасности

3.8.2 подтверждение соответствия (validation): Подтверждение,


путем испытаний и представления объективных свидетельств,
выполнения конкретных требований к предусмотренному
конкретному использованию.
(На основе стандарта п.2.18 ISO 8402. Управление качеством и
обеспечение качества –Словарь)

3 стадии подтверждение соответствия:


1. подтверждение соответствия всей системы безопасности;
2. подтверждение соответствия Э/Э/ПЭ системы (стадия 10 ЖЦ
– реализация Э/Э/ПЭ системы);
3. Э/Э/ПЭ системы программного обеспечения (стадия 10 ЖЦ
программного обеспечения).
3.8 Подтверждение мер по обеспечению
безопасности

3.8.3 Оценка функциональной безопасности (functional safety


assessment - FSA) – Исследование, основанное на фактах,
предназначенное для оценки функциональной безопасности,
достигаемой одной или несколькими Э/Э/ПЭ системами,
связанными с безопасностью и/или другими средствами
снижения риска
3.8.4 Аудит функциональной безопасности – систематическое и
независимое исследование, проводящее с тем, чтобы
определить, насколько эффективно реализованы процедуры,
предназначенные для согласования требований к ФБ с
запланированными мероприятиями и определения, насколько
они пригодны для достижения поставленных целей.
3.8 Подтверждение мер по обеспечению безопасности

3.8.5 Контрольная проверка (proof test) – периодическая


проверка, проводимая для того, чтобы обнаружить опасные
скрытые отказы в системе, связанной с безопасностью, с тем,
чтобы при необходимости система могла быть восстановлена
настолько близко к «исходному» состоянию, насколько это
возможно в данных условиях.

Примечание:
1. Термин «Контрольная проверка» является синонимом термина «периодическая
проверка».
2. Эффективность контрольной проверки зависит от глубины и достоверности
диагностирования (тестирования). На практике 100% обнаружение скрытых
отказов возможно только для изделий, имеющих низкую сложность.
3. На время контрольной проверки система ПАЗ может быть частично или
полностью недоступна для выполнения запроса.
ГОСТ Р МЭК 61508-1
Общие требования
раздел 5 –
требования к документации;
раздел 6 –
ГОСТ Р МЭК 61508-2 требования к управлению ФБ;
Требования к системам
раздел 7 –
ГОСТ Р МЭК 61508-3 требования к жизненному
Требования к
программному циклу;
обеспечению
раздел 8 –
требования к оцениванию ФБ.
7.1 Общие положения ГОСТ Р МЭК 61508-1
7.2 Концепция Общие требования
7.3 Область применения
7.4 Анализ опасностей и рисков
7.5 Требования ко всей системе
безопасности раздел 5 – требования к документации;
7.6 Распределение требований раздел 6 – требования к управлению ФБ;
безопасности раздел 7 – требования к жизненному
7.7 Планирование эксплуатации и циклу всей системы безопасности;
ТО всей системы раздел 8 –требования к оцениванию ФБ.
7.8 Планирование подтверждения
соответствия системы безопасности
7.9 Планирование ввода в
Табл.1 Полный ЖЦБ: обзор
эксплуатацию Табл.2 УПБ (низкая частота запросов)
7.10 Спецификация требований Табл.3 УПБ (высокая частота запросов)
7.11 Реализация системы
безопасности
7.12 Другие меры по снижению Рис.1 Общая структура стандарта
риска Рис.2 Полный ЖЦБ
7.13 Установка и ввод в действие Рис.3 ЖЦБ Э/Э/ПЭ
7.14. Подтверждение соответствия Рис.4 ЖЦБ ПО
безопасности
Рис.6 Распределение требований безопасности
7.15 Эксплуатация, ТОиР
7.16 Модификация и изменение
7.17. Вывод из эксплуатации Приложение А
7.18 Верификация
Пример структуры документации
раздел 5 – требования к документации
Приложение А
Пример структуры документации
ГОСТ Р МЭК 61508-1
Общие требования
7 Требования к жизненному
циклу всей системы
безопасности

7.1 Общие положения

Для того, чтобы на


систематической основе
выполнить все действия,
необходимые для достижения
требуемой полноты
безопасности для функций
безопасности ПАЗ в стандарте в
качестве технического подхода
принят жизненный цикл всей
системы безопасности

Рисунок 2 – Структура
жизненного цикла всей системы
безопасности
Термины 33

ГОСТ Р МЭК 61508-4-2012 (п.3.7.1)


жизненный цикл
систем безопасности: СТО РЖД (УРРАН):

Необходимые процессы, жизненный цикл


относящиеся к реализации систем, безопасности -
связанных с безопасностью,
проходящие в течение периода
дополнительный
времени, начиная со стадии перечень мероприятий,
разработки концепции проекта и осуществляемых в
заканчивая стадией, когда все Э/Э/ПЭ сочетании с жизненным
системы, связанные с безопасностью циклом объекта для
и другие средства снижения риска
объектов, связанных с
уже не используются.
безопасностью.
Жизненный цикл системы ФБ (ГОСТ Р МЭК 61508-1 п.7)
1 КОНЦЕПЦИЯ

2 ОПРЕДЕЛЕНИЕ ПОЛНОЙ ОБЛАСТИ ПРИМЕНЕНИЯ

3 АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ


Управление функциональной безопасностью

АНАЛИЗ 4 ПОЛНЫЕ ТЕРБОВАНИЯ К БЕЗОПАСНОСТИ

5 РАСПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ К БЕЗОПАСНОСТИ


Документирование

ПЛАНИРОВАНИЕ СПЕЦИФИКАЦИЯ ТРЕБОВАНИЙ ПРОЧИЕ


9 СРЕДСТВА

Верификация
ЭКСПЛУАТАЦИЯ И К E/E/PE СИСТЕМЕ БЕЗОП.
СНИЖЕНИЕ
6 ТЕХНИЧЕСКОЕ 11 РИСКОВ
ОБСЛУЖИВАНИЕ 10 РЕАЛИЗАЦИЯ

ПОДТВЕРЖДЕНИЕ РЕАЛИЗАЦИЯ
7 СООТВЕТСТВИЯ 12 ПЛАНОВАЯ УСТАНОВКА И ВВОД
(8) В ДЕЙСТВИЕ
УСТАНОВКА И ВВОД
8 13 ПОЛНОЕ ПОДТВЕРЖДЕНИЕ
В ЭКСПЛУАТАЦИЮ
(7) СООТВЕТСТВИЯ РЕАЛИЗАЦИЯ

14 ЭКСПЛУАТАЦИЯ,
15 МОДИФИКАЦИЯ
(6) ОБСЛУЖИВАНИЕ И РЕМОНТ

ВЫВОД ИЗ ЭКСПЛУАТАЦИИ ИЛИ


16
ЛИКВИДАЦИЯ

ЭКСПЛУАТАЦИЯ
34
Жизненный цикл системы ФБ. Анализ. (МЭК 61508-1 п.7.1.2.2)
АНАЛИЗ

Вся необходимая Информация об УО, его


1 КОНЦЕПЦИЯ
информация окружении и опасностях

Информация об УО, его Область анализа


2 ОПРЕДЕЛЕНИЕ ОБЛАСТИ ПРИМЕНЕНИЯ
окружении и опасностях опасностей и риска

Область анализа Результаты анализа


опасностей и риска 3 АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ
опасностей и риска

Спецификация
Результаты анализа
4 ПОЛНЫЕ ТЕРБОВАНИЯ К БЕЗОПАСНОСТИ требований для всей
опасностей и риска
СБ

Спецификация
требований для всей РАСПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ К Распределение
5
БЕЗОПАСНОСТИ требований для всех ФБ
СБ

36
Жизненный цикл ФБ ПСБ (ГОСТ Р МЭК 61511-2018 п.5)
1 АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ (раздел 8)

11.Структура и планироваие жизненного цикла ПСБ (6.2)


РАСПРЕДЕЛЕНИЕ ФУНКЦИЙ
2
БЕЗОПАСНОСТИ ПО СЛОЯМ ЗАЩИТЫ (Раздел 9)
10.Управление функциональной безопасностью,

АНАЛИЗ

СПЕЦИФИКАЦИЯ ТРЕБОВАНИЙ ПРОЕКТИРОВАНИЕ И


ее оценка (ОФБ) и аудит (раздел 5)

3 БЕЗОПАСНОСТИ ПСБ 3 РАЗРАБОТКА ДРУГИХ СРЕДСТВ


(раздел 10) СНИЖЕНИЯ РИСКА (Раздел 9)

9. Верификация
1

(раздел 7 и п.р. 12.5)


ПРОЕКТИРОВАНИЕ И
4 РАЗРАБОТКА ПСБ
(разделы 11,12 и 13) РЕАЛИЗАЦИЯ

2 5
УСТАНОВКА, ВВОД В ДЕЙСТВИЕ И
ПОДТВЕРЖДЕНИЕ СООТВЕТСТВИЯ
(разделы 14, 15)
ЭКСПЛУАТАЦИЯ
3 6
ЭКСПЛУАТАЦИЯ И ТЕХНИЧЕСКОЕ
ОБСЛУЖИВАНИЕ (раздел 16)

4
7 МОДИФИКАЦИЯ ПСБ (раздел 17)

5
8 СНЯТИЕ С ЭКСПЛУАТАЦИИ (раздел 18)
Стадии
ОФБ

37
16 этапов ЖЦ системы ФБ 11 этапов ПСБ и
5 стадий ОФБ
ОПРЕДЕЛЕНИЕ ОБЛАСТИ
2
ПРИМЕНЕНИЯ
Цель: расширение уровня
понимания УО и окружающей
среды (физической и
Требования: законодательной)
-Собрать подробную информацию об УО, требуемых
функциях управления и окружающей среде;
-Определить потенциальные источники опасностей, опасных
ситуациях и вредных событий;
-Получить информацию о текущем состоянии регулирования
в области безопасности;
-Определить опасности, опасные ситуации и вредные
события в связи с другим оборудованием или системами
вблизи рассматриваемого УО.

Требования и результаты их выполнения должны быть документально


оформлены
3 АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ

Цели:
1. Определение опасностей, опасных событий и опасных
ситуаций, относящихся к УО и системе управления для
всех обоснованных предсказуемых случаев , включая
условия появления отказов;
Разумно предсказуемое неправильное применение
аппаратных средств и ПО.
2. Определение последовательностей событий,
приводящим к опасным событиям.
3. Определение рисков УО.

П.3.2.4 (М ЭК 61508-4-2012): Разумно предсказуемое неправильное


применение - использование изделия, процесса или услуги в условиях или с
целью, не предусмотренными поставщиком, но которое может случиться в
результате легко предсказуемого поведения человека.
3 АНАЛИЗ ОПАСНОСТЕЙ И РИСКОВ

Требования:

Опасности, опасные ситуации и события,связанные с УО и


системой управления, должны быть определены для всех
разумно предсказуемых условий неправильное применение
аппаратных средств и ПО.
В этот круг входят все случаи, связанные с человеческим
фактором:
• ГОСТ Р 51901-5 – руководство по обнаружению опасностей,
включая проблемы, связанные с человеческим фактором;
•ГОСТ Р ИСО/МЭК 62443 – руководство по анализу угроз
безопасности ( кибербезопасность).

Требования и результаты их выполнения должны быть документально


оформлены
4 ПОЛНЫЕ ТЕРБОВАНИЯ К БЕЗОПАСНОСТИ

Цель:
Разработка спецификаций требований ко всей системе безопасности:
a. Требования к функциям безопасности;
b. Требования к полноте безопасности всей системы безопасности
1. к Э/Э/ПЭ системам
2.к другим мерам снижения риска.
1. Для каждого опасного события для всей системы
безопасности необходимо создать функцию безопасности
2. Для каждой функции безопасности всей системы
безопасности должны определяться целевые требования
полноты безопасности для достижения уровня допустимого
риска.

Каждое требование может определяться количественным и/или


качественным методом (МЭК 61508-5)
7.5.2.4
Когда отказы системы управления УО (управляемого оборудования)
относятся к одной или нескольким системам, связанным с
безопасностью, основанным на Э/Э/ПЭ и когда система управления
не позиционируется как система, связанная с безопасностью, то
должны применяться следующие требования:
а) интенсивность опасных отказов для системы управления УО
должна быть подтверждена:
-данными по фактической работе для системы управления УО в
схожем применении, или
- анализом надежности, выполненным с использованием
признанной процедуры, или
- данными по надежности из промышленной базы данных по
оборудованию;
-b) интенсивность опасных отказов D, объявленная для системы
управления УО, должна быть не ниже чем 10Е-05 отказов в час.

DU= D= 10Е-05  PFDavg (1 г) =4.38E-02  SIL1


5 РАСПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ К БЕЗОПАСНОСТИ

Цели:
1. Распределение ФБ всей системы безопасности,
содержащихся в спецификации требований по
назначенным Э/Э/ПЭ системам, связанным с
безопасностью, и другим средствам снижения риска.
2. Распределение целевых мер отказов и соответствующих
уровней полноты безопасности (УПБ-SIL) для каждой ФБ,
реализуемой ПАЗ.
П.7.6.2.5
Требования к полноте безопасности для каждой ФБ должны быть
сформулированы в терминах:
 средней вероятности опасных отказов функции безопасности по
запросу для режима с низкой частотой или
 средней частоты опасных отказов функции безопасности для режима
с высокой частотой запроса или режима с непрерывным запросом
3.5.16 режим работы — с низкой частотой запросов,
в котором ФБ выполняется только по запросу и
переводит УО в определенное безопасное состоянии , а
частота запросов не превышает один в год
с высокой частотой запросов, в котором ФБ
выполняется только по запросу и переводит УО в
определенное безопасное состоянии , а частота
запросов превышает один в год
непрерывный режим – ФБ поддерживает УО в
безопасном состоянии, как и при нормальном
функционировании.
Таблица 2 - Уровни полноты безопасности: целевая мера отказов для функции
безопасности в режиме с низкой интенсивностью запросов
Уровни полноты Средняя вероятность опасного отказа
безопасности функции безопасности по запросу (PFDavg)
4 > 10 E-05  < 10 E-04
3 > 10 E-04  < 10 E-03
2 > 10 E-03  < 10 E-02
1 > 10 E-02  < 10 E-01
Таблица 3 - Уровни полноты безопасности: целевая мера отказов для функции
безопасности в режиме с высокой интенсивностью запросов

Уровни полноты Средняя частота опасных отказов функции


безопасности безопасности (PFH)
4 > 10 E- 09  < 10 E-08
3 > 10 E-08  < 10 E-07
2 > 10 E-07  < 10 E-06
1 > 10 E-06  < 10 E-05
П.7.6.2.7
Распределение следует проводить с учетом вероятности отказов
по общим причинам (ООП).
УО, системы управления УО и другие меры по снижению риска
рассматриваются независимыми, если
 Вероятность одновременного отказа двух или более систем
или мер достаточно мала по сравнению с требуемой полнотой
безопасности;
 Системы функционально различны и используют совершенно
различные подходы для достижения одних и тех же
результатов;
 Системы основаны на различных технологиях и используют
оборудование различных видов;
 Нет общих частей, систем сервиса или поддержки (например,
источников питания, отказ которых может привести к отказу
систем в опасном режиме;
 Не имеют общих процедур эксплуатации, технического
обслуживания или тестирования.
7.1 Общие требования ГОСТ Р МЭК 61508-2
7.2 Спецификация требований к
проектированию Э/Э/ПЭ системы Требования к системам
7.3 Планирование подтверждения
соответствия безопасности Э/Э/ПЭ раздел 5 – требования к документации;
системы раздел 6 – требования к управлению ФБ;
7.4 Проектирование и разработка
Э/Э/ПЭ системы
раздел 7 – требования к жизненному циклу;
7.5 Интеграция Э/Э/ПЭ системы раздел 8 –требования к оцениванию ФБ.
7.6 Процедуры эксплуатации и
технического обслуживания Э/Э/ПЭ
системы Табл.1 Обзор стадии 10 реализации ЖЦБ
7.7 Подтверждение соответствия Табл.2, 3 Максимально допустимый УПБ
безопасности для элементов типа А и Б
7.8 Модификация Э/Э/ПЭ системы
7.9 Верификация Э/Э/ПЭ системы

Приложение А (обязательное) Методы и средства для Э/Э/ПЭ систем.


Управление отказами в процессе эксплуатации
Приложение В (обязательное) Методы и средства для Э/Э/ПЭ систем.
Предотвращение систематических отказов в течение различных стадий ЖЦБ
Приложение С (обязательное)
Охват диагностикой и доля безопасных отказов
Приложение D (обязательное)
Руководство по безопасности для применяемых изделий
ЖЦБ Э/Э/ПЭ систем: Стадия реализации
10.1 Спецификация требований
проектирования ПАЗ

10.2 Планирование подтверждения 10.3 Проектирование и


соответствия безопасности ПАЗ разработка ПАЗ

10.5 Установка, ввод в


10.4 Интеграция действие,
ПАЗ эксплуатация ТО и Р

10.6 Подтверждение соответствия


безопасности ПАЗ
Общие требования к
проектированию Э/Э/ПЭ систем
ГОСТ Р МЭК 61508-2-2012, п.7.4.2
Проектирование Э/Э/ПЭ системы, связанной с безопасностью,
должно соответствовать требованиям:

а) к полноте безопасности аппаратных средств (УПБ, SIL),


включая:
- требования к архитектурным ограничениям
(способ 1Н, способ 2Н;
- требования к выполнению количественной оценки
случайных отказов (PFDavg, PFH);
б) к стойкости к систематическим отказам (SC);
в) поведению системы при обнаружении отказов;
г) процессам передачи данных.
7.4 Проектирование и разработка
7.4.2 Общие требования
7.4.3 Синтез элементов для обеспечения требуемой стойкости
к систематическим отказам
7.4.4 Архитектурные ограничения полноты безопасности
аппаратных средств
7.4.5 Требования к количественной оценке случайных
отказов аппаратных средств
7.4.6 Требования по предотвращению систематических
ошибок
7.4.7 Требования по управлению систематическими сбоями
7.4.8 Требования к поведению системы при обнаружении
отказов
7.4.9 Требования к реализации Э/Э/ПЭ системы
7.4.10 Требования к проверенным в эксплуатации элементам
7.4.11 Дополнительные требования к передаче данных
7.10.2.6.
Спецификация для каждой функции безопасности должна
содержать:
а) требования к подсистемам и элементам их аппаратных
средств и ПО;
в) требования к интеграции подсистем и их элементам
аппаратных средств и ПО, соответствующие спецификации
требований к функциям безопасности Э/Э/ПЭ системы;
с) характеристики производительности, соответствующие
требованиям к времени реакции системы;
d) Требования к точности и стабильности измерений и
управления;
е) сведения об интерфейсах Э/Э/ПЭ системы, связанной с
безопасностью;
f) Описание всех режимов поведения Э/Э/ПЭ систем, в
частности, при отказе и необходимая реакция на него;
Архитектурные ограничения
ГОСТ Р МЭК 61508-2 – 2012
Способ 1Н Способ 2Н
П.7.4.4.2, табл.2 и 3 П.7.4.4.3.1

ДБО (SSF) ДБО (SSF) Мин. допустимое


УПБ число отказов (HFT)
Тип А Тип В

1 < 60% 60% - 90% 0


2 (редкие
60% - 90% 90% - 99% 0
запросы)
2 (частые или
непрерывные 60% - 90% 90% - 99% 1
запросы)

3 90% - 99% > 99% 1

4 > 99% > 99% 2

Элемент может быть отнесен к типу А если:


Виды отказов всех составляющих компонентов определены (sd, su, dd, du);
Поведение элемента в условиях отказа полностью определено;
Данные об интенсивностях отказов достаточно надежны (п.7.4.8.3-7.4.9.5).
В противном случае элемент должен относится к типу В.
ГОСТ Р МЭК 61508-2-2012, с.18.
Таблица 2 – Максимальный УПБ, реализуемый элементом или подсистемой типа А
Доля безопасных Отказоустойчивость аппаратных средств
отказов
N=0 N=1 N=2

SFF < 60% УПБ 1 УПБ 2 УПБ 3


60% ≤ SFF < 90% УПБ 2 УПБ 3 УПБ 4
90% ≤ SFF < 99% УПБ 3 УПБ 4 УПБ 4
SFF  99% УПБ 3 УПБ 4 УПБ 4
Таблица 3 – Максимальный УПБ, реализуемый элементом или подсистемой типа B
Доля безопасных отказов Отказоустойчивость аппаратных средств
N=0 N=1 N=2
SFF < 60% - УПБ 1 УПБ 2
60% ≤ SFF < 90% УПБ 1 УПБ 2 УПБ 3
90% ≤ SFF < 99% УПБ 2 УПБ 3 УПБ 4
SFF  99% УПБ 2 УПБ 4 УПБ 4
ГОСТ Р МЭК 61508-6-2012
Приложение С :

ДБО= SFF = ( S+ dd)/ total =


= ( S+ dd)/(Sd+ Su + dd + du )=
= (  - du)/(Sd+Su+dd+ du)=1-du/ total.

SSF (ДБО),% =(2-(1- DC/100))/2=(1+DC/100)/2 DC,% 0 60 90 99


SSF (ДБО),% =1-du/ 
DC – диагностическое покрытие SSF, % 50 80 95 99.5
ГОСТ Р МЭК 61508-2-2012
Приложение А (обязательное) Методы и средства для Э/Э/ПЭ систем.
Управление отказами в процессе эксплуатации.

Таблица А1 – Определение требований к DC и SFF


Таблицы А2-А14 поддерживают требования таблицы А1 методами и средствами
диагностического тестирования

ГОСТ Р МЭК 61508-7-2012


Архитектурные ограничения
ГОСТ Р МЭК 61508-2 – 2012
Способ 1Н Способ 2Н
П.7.4.4.2, табл.2 и 3 П.7.4.4.3.1

ДБО (SSF) ДБО (SSF) Мин. допустимое


УПБ число отказов (HFT)
Тип А Тип В

1 < 60% 60% - 90% 0


2 (редкие
60% - 90% 90% - 99% 0
запросы)
2 (частые или
непрерывные 60% - 90% 90% - 99% 1
запросы)

3 90% - 99% > 99% 1

4 > 99% > 99% 2

Если выбран способ 2Н, то данные о надежности аппаратных средств должны быть:
Основаны на данных эксплуатации элементов…
Основаны на данных, собранных в соответствии с требованиями стандартов…
Оценены в соответствии с количеством данных об эксплуатации…
ГОСТ Р МЭК 61508-2-2012, п.7.4.9.6
Для каждого применяемого изделия, для которых требуется соответствие стандартам
серии МЭК 61508, поставщики должны обеспечить руководство по безопасности в
соответствии с приложением D.

ГОСТ Р МЭК 61508-2-2012. Приложение D.


Руководство по безопасности для применяемых изделий
Цель руководства по безопасности
состоит в документальном оформлении информации, которая
необходима для обеспечении интеграции применяемого
изделия в связанную с безопасностью систему.
РБ должно содержать:
-спецификацию функций, интерфейсы схода и выхода;
- идентификацию конфигурации аппаратных средств и/или ПО;
- ограничения на использование и/или предположения, на
которых основан анализ поведения или интенсивности отказов
применяемого изделия.
Для каждой ФБ РБ должно содержать:

1 Виды отказов, приводящих к отказу ФБ обнаруженных и не обнаруженных


внутренней диагностикой
2 Предполагаемую интенсивность отказов для каждого вида отказов
(s, d, sd, su, dd, du)
3 Виды отказов диагностики из-за случайных отказов аппаратных средств
4 Диагностический испытательный интервал (TI)
5 Требования к любому периодическому испытанию и/или техническому
обслуживанию
6 Отказоустойчивость аппаратных средства (HFT)*
7 Классификация типа А или В той части применяемого изделия, которая
обеспечивает выполнение ФБ.

*) требования к HFT и SFF могут включаться в том случае, если ясно


определены основные предположения о соотношении безопасных и
опасных видов отказов для применяемого изделия
Пример: Руководство по безопасности для применяемых изделий компании GMI
1. Общие сведения
Фрагмент таблицы 1: - Модель- Выходные каналы - Функции безопасности

Обозначения Описание состояния изделия

NE Нормально включенное состояние (в нормальном режиме работы)


ND Нормально включенное состояние (в нормальном режиме работы)
NO Нормально разомкнутый контакт (реле)
NС Нормально замкнутый контакт (реле)
2. Показатели функциональной безопасности
№ Наименование показателя ФБ Примеры
1 Модель, функция безопасности D1004S, релейный
выход
2 SFF 85.9%
3 PFD avg (за год) 1.66 Е-04
4 Межтестовый интервал для определенного TI=1 SIL 3, TI=10 SIL 2
SIL
5 Устойчивость к отказам аппаратной части 0-1
6 Источник данных о надежности TUV, Exida, Oreda, RAC…
7 Безопасное состояние выхода при отказе Реле с NO выключено,
< 4 mA, >20 mA,…
8 s, d, sd, su, dd, du FIT
9 MTBF (лет) 420
3.Категории отказов
Категория отказов (фрагмент) Определение
Опасный отказ Отказ, при котором система не отвечает на запрос со
(Dangerous ) стороны контролируемого процесса (т. е. не
способна перейти в заданное безопасное
состояние).
Опасный необнаруживаемый Опасный отказ, который не обнаруживается
отказ (Dangerous Undetected) средствами внутренней диагностики.
Отказ компонента, не Отказ компонента, который не является частью
являющегося частью функции функции безопасности, но в то же время является
безопасности частью электрической схемы и изображен для ее
(Fail Not Part): полноты. При расчете SFF эта категория отказов не
учитывается.

Пример: Опасный отказ для (Fail Dangerous) для D10, D14,…: Отказ, при котором
модуль не реагирует на запрос управляемого процесса (т.е. не способен перейти в
заданное безопасное состояние) или отклонение значения выходного тока от
истинного значения более:
• 5% от полной шкалы (± 0.8 мA) для D10, D1014;
• 3 % от полной шкалы (± 0.6 мA) для D53S,
Исходные предпосылки и допущения:

•Интенсивность отказов является постоянной величиной, механизмы естественного


износа не учитываются.
•Распространение отказов не рассматривается.
•Отказы, возникающие в процессе задания параметров не рассматриваются.
•HART протокол используется только для задания параметров, калибровки и
диагностики, но не для операций, критичных с точки зрения безопасности. Время
восстановления или ремонта после безопасного отказа (MTTR) составляет 8 часов.
•Все модули работают в режиме низкого уровня запросов.
•Интенсивность отказов внешних источников питания не учитывалась.
•Уровень внешних воздействий средний для условий промышленной среды и
может быть сопоставлен с классификацией, используемой в стандарте MIL-HNBK-
217F.
•Только один вход и один выход модуля являются составляющими функции
безопасности.

Фактор ООП β для двух параллельно включенных источников оценивается на


уровне 5 %.
 Уровень диагностики защиты от перенапряжения составляет 99 %.
Возможные проверочные тесты для выявления опасных
необнаруживаемых отказов
Пример 1
Этапы Действия
1 Включить обход ПЛК системы ПАЗ или принять другие приемлемые
меры для исключения ложных срабатываний.
2 Подать на повторитель HART команду для перевода токового выхода
в состояние, соответствующее максимальному значению при отказе
(high alarm current output), и проверить, что аналоговый токовый
выход достиг этого значения.
3 Подать на повторитель HART команду для перевода токового выхода
в состояние, соответствующее минимальному значению при отказе
(low alarm current output), и проверить, что аналоговый токовый
выход достиг этого значения.
4 Восстановить контур для нормального функционирования.
5 Отключить обход ПЛК системы противоаварийной защиты.

Этот тест выявляет приблизительно 50 % возможных опасных необнаруживаемых


(“du”) отказов в повторителе.
Пример 2
Этапы Действия
1 Включить обход ПЛК системы ПАЗ или принять другие приемлемые
меры для исключения ложных срабатываний.
2 Установить следующую конфигурацию:
 SW1 реключатель= выкл...
3 Подать на вход модуля управляющий сигнал, который может иметь
два состояния:
 ВЫКЛ=0 В пост.
 Вкл = 24 в пост….
4 Восстановить контур для нормального функционирования.
5 Отключить обход ПЛК системы противоаварийной защиты.

Этот тест выявляет приблизительно 100 % всех возможных опасных


необнаруживаемых (“du”) отказов в модулях.
Задание 2

Какому значению охвата диагностикой соответствует


ДБО (SSF), равная:

а) 50%?

б) 0%?
7.1 Общие требования Рис.4 Структура ЖЦ ПО
7.2 Спецификация требований к Рис.5 Взаимосвязи и область применения МЭК
ПО системы безопасности 61508-2 и МЭК 61508-3
7.3 Планирование Рис.6 Стойкость к систематическим отказам и
подтверждения безопасности ЖЦ ПО (V-модель)
соответствия безопасности для
аспектов ПО
7.4 Проектирование и ГОСТ Р МЭК 61508-3
разработка ПО Требования к
7.5 Интеграция Э/Э/ПЭ системы программному
7.6 Процедуры эксплуатации и обеспечению
модификации ПО
7.7 Подтверждение
соответствия безопасности раздел 5 – требования к документации;
аспектов ПО раздел 6 – требования к управлению
7.8 Модификация ПО ФБ;
7.9 Верификация ПО раздел 7 – структура жизненного цикла;
раздел 8 –требования к оцениванию
ФБ.

Табл.1 Обзор ЖЦ ПО
ГОСТ Р МЭК 61508-3
Требования к программному обеспечению

Приложение А (обязательное)
Руководство по выбору методов и средств
Приложение В (обязательное)
Подробные таблицы
Приложение С (обязательное)
Свойство стойкости к систематическим отказам ПО
Приложение D (обязательное)
Руководство по безопасности для применяемых
изделий. Дополнительные требования к элементам ПО
ГОСТ Р МЭК 61508-5
Рекомендации по
применению методов
определения УПБ

Приложение А (информационное) Приложение D (информационное)


Полнота безопасности и Определение УПБ.
оценка риска. Количественный метод
Основные концепции.
Приложение Е (информационное)
Определение УПБ.
Приложение В (информационное) Методы, основанные на графе рисков
Выбор методов для определения
требований к УПБ Приложение F (информационное)
Определение УПБ.
Полуколичественный метод
Приложение С (информационное) использующий анализ слоя защиты
ALARP и концепция допустимого риска
Приложение G (информационное)
Определение УПБ.
Количественный метод.
Матрица тяжести опасных событий
ГОСТ Р МЭК 61508-6
Руководство по
применению частей 2 и 3

Приложение А (справочное) Приложение D (справочное)


Применение МЭК 61508-2 и МЭК
Методика количественного
61508-3
определения влияния отказов
аппаратных средств по общей
Приложение В (справочное) причине
Метод оценки вероятностей отказов
аппаратных средств

Приложение Е (справочное)
Применение таблиц полноты
безопасности ПО в соответствии с
Приложение С (справочное)
МЭК 61508-3
Расчет охвата диагностикой и доли
безопасных отказов
ГОСТ Р МЭК 61508-7
Методы и средства

Приложение А (справочное)
Приложение С (справочное)
Анализ методов и средств для Э/Э/ПЭ
Анализ методов и средств достижения
систем, связанные с безопасностью.
полноты безопасности программных
Управление случайными отказами
средств
технических средств.

Приложение В (справочное) Приложение E (справочное)


Анализ методов и средств для Э/Э/ПЭ Краткий обзор методов и мер для
систем, связанные с безопасностью. проектирования СИС
Предотвращение систематических
отказов
Приложение F (справочное)
Определение свойств стадий
жизненного цикла ПО

Приложение G (справочное)
Руководство по разработке связанного
с безопасностью объектно-
ориентированного ПО

Оценить