Адрес: Отдел электрических систем и систем управления, руководитель по охране труда и технике безопасности, Merseyside L20 3QZ
Страна: Великобритания
Телефон: 44 151 951 4788
Факс: 44 151 951 4630
Прошлые должности: Председатель рабочей группы IEC по функциональной безопасности
Образование: бакалавр естественных наук
Области, представляющие интерес: Системы управления, связанные с безопасностью
Машины, технологические установки и другое оборудование, если они неисправны, могут представлять опасность в результате опасных событий, таких как пожары, взрывы, передозировки радиации и движущиеся части. Один из способов выхода из строя таких установок, оборудования и машин — это отказы электромеханических, электронных и программируемых электронных (E/E/PE) устройств, используемых в конструкции их систем управления или безопасности. Эти сбои могут возникать либо из-за физических сбоев в устройстве (например, из-за случайного износа во времени (случайные отказы оборудования)); или из-за систематических ошибок (например, ошибок, допущенных в спецификации и конструкции системы, которые приводят к ее отказу из-за (1) определенной комбинации входных данных, (2) некоторых условий окружающей среды, (3) неправильных или неполных входных данных от датчиков, ( 4) неполный или ошибочный ввод данных операторами и (5) потенциальные систематические ошибки из-за плохого дизайна интерфейса).
Отказы систем безопасности
В этой статье рассматривается функциональная безопасность систем управления, связанных с безопасностью, и рассматриваются технические требования к аппаратному и программному обеспечению, необходимые для достижения требуемой полноты безопасности. Общий подход соответствует предложенному Международной электротехнической комиссией стандарту IEC 1508, части 2 и 3 (IEC 1993). Общая цель проекта международного стандарта IEC 1508, Функциональная безопасность: системы безопасности, заключается в том, чтобы обеспечить безопасность установок и оборудования. Ключевой целью разработки предлагаемого международного стандарта является предотвращение или минимизация частоты:
В статье «Электрические, электронные и программируемые электронные системы, связанные с безопасностью» изложен общий подход к управлению безопасностью, воплощенный в части 1 IEC 1508 для обеспечения безопасности систем управления и защиты, важных для безопасности. В этой статье описывается общий концептуальный инженерный проект, необходимый для снижения риска аварии до приемлемого уровня, включая роль любых систем управления или защиты, основанных на технологии E/E/PE.
На рисунке 1 риск от оборудования, технологической установки или машины (обычно называемой оборудование под контролем (EUC) без защитных устройств) отмечен на одном конце Шкалы рисков EUC, а целевой уровень риска, который необходим для обеспечения требуемого уровня безопасности, находится на другом конце. Между ними показано сочетание систем, связанных с безопасностью, и внешних средств снижения риска, необходимых для достижения требуемого снижения риска. Они могут быть различных типов: механические (например, предохранительные клапаны), гидравлические, пневматические, физические, а также системы E/E/PE. На рис. 2 подчеркивается роль каждого уровня безопасности в защите EUC по мере развития аварии.
Рисунок 1. Снижение риска: общие понятия
Рисунок 2. Общая модель: уровни защиты
При условии, что анализ опасностей и рисков был выполнен для EUC в соответствии с требованиями части 1 стандарта IEC 1508, был разработан общий концептуальный проект безопасности и, следовательно, установлены требуемые функции и целевой уровень полноты безопасности (SIL) для любого E/E/ Определена система управления или защиты PE. Целевой уровень полноты безопасности определяется относительно целевого показателя отказа (см. таблицу 1).
Таблица 1. Уровни полноты безопасности для систем защиты: целевые меры по отказу
Полнота безопасности Уровень Режим работы по требованию (вероятность невыполнения своей проектной функции по требованию)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Системы защиты
В этом документе излагаются технические требования, которые должен учитывать разработчик E/E/PE системы, связанной с безопасностью, для достижения требуемого целевого уровня полноты безопасности. Основное внимание уделяется типовой системе защиты, использующей программируемую электронику, чтобы обеспечить более глубокое обсуждение ключевых вопросов с небольшой потерей общности. Типичная система защиты показана на рис. 3, где изображена одноканальная система безопасности с вторичным отключением, активированным с помощью диагностического устройства. При нормальной работе небезопасное состояние EUC (например, превышение скорости в машине, высокая температура на химическом заводе) будет обнаружено датчиком и передано в программируемую электронику, которая даст команду исполнительным механизмам (через выходные реле) включить перевести систему в безопасное состояние (например, отключить питание электродвигателя машины, открыть клапан для сброса давления).
Рисунок 3. Типовая система защиты
Но что делать, если в компонентах системы защиты есть сбои? Это функция вторичного отключения, которая активируется функцией диагностики (самопроверки) данной конструкции. Однако система не является полностью безотказной, так как проект имеет лишь определенную вероятность быть доступным при запросе на выполнение своей функции безопасности (у него есть определенная вероятность отказа по запросу или определенный уровень полноты безопасности). Например, описанная выше конструкция может обнаруживать и допускать определенные типы отказов выходной платы, но не способна противостоять отказу входной платы. Следовательно, его полнота безопасности будет намного ниже, чем у конструкции с более надежной входной платой, или улучшенной диагностикой, или какой-либо их комбинацией.
Существуют и другие возможные причины отказов карт, в том числе «традиционные» физические сбои в оборудовании, систематические сбои, в том числе ошибки в спецификации требований, сбои реализации в программном обеспечении и неадекватная защита от условий окружающей среды (например, влажности). Диагностика в этой одноканальной конструкции может не охватывать все эти типы отказов, и, следовательно, это ограничит уровень полноты безопасности, достигаемый на практике. (Покрытие — это мера процента ошибок, которые проект может обнаружить и безопасно обработать.)
Технические требования
Части 2 и 3 проекта IEC 1508 обеспечивают основу для определения различных потенциальных причин отказа в аппаратном и программном обеспечении и для выбора конструктивных особенностей, которые устраняют эти потенциальные причины отказа в соответствии с требуемым уровнем полноты безопасности системы, связанной с безопасностью. Например, общий технический подход к системе защиты на рисунке 3 показан на рисунке 4. На рисунке показаны две основные стратегии устранения неисправностей и отказов: (1) предотвращение ошибок, когда принимаются меры для предотвращения возникновения неисправностей; и (2) Отказоустойчивость, где конструкция создается специально для того, чтобы допускать указанные неисправности. Упомянутая выше одноканальная система является примером (ограниченно) отказоустойчивой конструкции, в которой диагностика используется для обнаружения определенных сбоев и перевода системы в безопасное состояние до того, как может произойти опасный сбой.
Рис. 4. Спецификация проекта: проектное решение
Предотвращение ошибок
Предотвращение ошибок пытается предотвратить появление ошибок в системе. Основной подход заключается в использовании систематического метода управления проектом, при котором безопасность рассматривается как определяемое и управляемое качество системы во время проектирования, а затем во время эксплуатации и технического обслуживания. Подход, аналогичный обеспечению качества, основан на концепции обратной связи и включает: (1) планирование (определение целей безопасности, определение путей и средств достижения целей); (2) измерение достижения по сравнению с планом во время реализации и (3) применение Обратная связь исправить любые отклонения. Обзоры проектов — хороший пример техники предотвращения ошибок. В МЭК 1508 этому «качественному» подходу к предотвращению отказов способствуют требования по использованию жизненного цикла безопасности и использованию процедур управления безопасностью как для аппаратного, так и для программного обеспечения. Для последних они часто проявляются в виде процедур обеспечения качества программного обеспечения, таких как описанные в ISO 9000-3 (1990).
Кроме того, части 2 и 3 стандарта IEC 1508 (касающиеся аппаратного и программного обеспечения соответственно) классифицируют определенные методы или меры, которые считаются полезными для предотвращения отказов на различных этапах жизненного цикла безопасности. В таблице 2 приведен пример из части 3 для этапа проектирования и разработки программного обеспечения. Разработчик может использовать эту таблицу для помощи в выборе методов предотвращения отказов в зависимости от требуемого уровня полноты безопасности. Для каждого метода или меры в таблицах есть рекомендации для каждого Уровня Полноты Безопасности, от 1 до 4. Диапазон рекомендаций включает Настоятельно Рекомендовано (HR), Рекомендовано (R), Нейтрально — ни за, ни против (—) и Не рекомендуется (НР).
Таблица 2. Проектирование и разработка программного обеспечения
Техника/мера |
Уровень безопасности 1 |
Уровень безопасности 2 |
Уровень безопасности 3 |
Уровень безопасности 4 |
1. Формальные методы, включая, например, CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Полуформальные методы |
HR |
HR |
HR |
HR |
3. Структурированный. Методология, включая, например, JSD, MASCOT, SADT, SSADM и YOURDON |
HR |
HR |
HR |
HR |
4. Модульный подход |
HR |
HR |
HR |
HR |
5. Стандарты дизайна и кодирования |
R |
HR |
HR |
HR |
HR = настоятельно рекомендуется; R = рекомендуется; NR = не рекомендуется; — = нейтрально: метод/мера не за или против SIL.
Примечание: пронумерованный метод/меру следует выбирать в соответствии с уровнем полноты безопасности.
Отказоустойчивость
IEC 1508 требует повышения уровня отказоустойчивости по мере увеличения целевого показателя полноты безопасности. Однако стандарт признает, что отказоустойчивость более важна, когда системы (и компоненты, составляющие эти системы) являются сложными (обозначаются как тип B в IEC 1508). Для менее сложных, «хорошо зарекомендовавших себя» систем степень отказоустойчивости может быть снижена.
Устойчивость к случайным аппаратным сбоям
В таблице 3 приведены требования к отказоустойчивости при случайных аппаратных отказах в сложных аппаратных компонентах (например, микропроцессорах) при использовании в системе защиты, такой как показана на рис. 3. Разработчику может потребоваться рассмотреть подходящее сочетание диагностики, отказоустойчивости и ручные контрольные проверки для преодоления этого класса ошибок, в зависимости от требуемого уровня полноты безопасности.
Таблица 3. Уровень полноты безопасности — требования к отказам для компонентов типа B1
1 Связанные с безопасностью необнаруженные неисправности должны быть обнаружены посредством контрольной проверки.
2 Для компонентов, не имеющих диагностического покрытия в режиме онлайн, система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.
3 Для компонентов с высоким оперативным охватом диагностикой система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Для компонентов, не имеющих расширенного оперативного диагностического охвата, система должна быть способна выполнять функцию безопасности при наличии двух отказов. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.
4 Компоненты должны быть способны выполнять функцию безопасности при наличии двух неисправностей. Неисправности должны быть обнаружены с высоким диагностическим охватом в режиме онлайн. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой. Количественный анализ оборудования должен основываться на предположениях о наихудшем случае.
1Компоненты, режимы отказов которых не определены или не поддаются тестированию, или для которых имеются плохие данные об отказах из практического опыта (например, программируемые электронные компоненты).
IEC 1508 помогает разработчику, предоставляя таблицы проектных спецификаций (см. таблицу 4) с проектными параметрами, проиндексированными относительно уровня полноты безопасности для ряда широко используемых архитектур систем защиты.
Таблица 4. Требования к уровню полноты безопасности 2 — Архитектура программируемых электронных систем для систем защиты
Конфигурация системы РЕ |
Диагностическое покрытие на канал |
Интервал проверки в автономном режиме (TI) |
Среднее время до ложной поездки |
Одиночное защитное заземление, одиночный ввод/вывод, внешн. ВД |
High |
6 месяцев |
1.6 лет |
Двойное защитное заземление, одиночный ввод/вывод |
High |
6 месяцев |
10 лет |
Двойной PE, двойной ввод/вывод, 2oo2 |
High |
3 месяцев |
1,281 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Ничто |
2 месяцев |
1.4 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Низкий |
5 месяцев |
1.0 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Medium |
18 месяцев |
0.8 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
High |
36 месяцев |
0.8 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Ничто |
2 месяцев |
1.9 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Низкий |
4 месяцев |
4.7 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Medium |
18 месяцев |
18 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
High |
48 + месяцы |
168 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Ничто |
1 месяц |
20 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Низкий |
3 месяцев |
25 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Medium |
12 месяцев |
30 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
High |
48 + месяцы |
168 лет |
В первом столбце таблицы представлены архитектуры с различной степенью отказоустойчивости. Как правило, архитектуры, расположенные в нижней части таблицы, имеют более высокую степень отказоустойчивости, чем архитектуры, расположенные в верхней части. Система 1oo2 (один из двух) способна выдержать любой один сбой, как и 2oo3.
Во втором столбце описывается процентное покрытие любой внутренней диагностики. Чем выше уровень диагностики, тем больше неисправностей будет отловлено. В системе защиты это важно, потому что при ремонте неисправного компонента (например, карты ввода) в разумные сроки (часто 8 часов) функциональная безопасность практически не снижается. (Примечание: это не относится к системе непрерывного управления, поскольку любая неисправность может привести к немедленному возникновению небезопасного состояния и возможности возникновения инцидента.)
В третьем столбце указан интервал между проверочными испытаниями. Это специальные тесты, которые необходимо провести для тщательной проверки системы защиты, чтобы убедиться в отсутствии скрытых неисправностей. Обычно они выполняются поставщиком оборудования в периоды остановки предприятия.
В четвертом столбце показана частота ложных отключений. Ложное отключение — это такое отключение, которое приводит к остановке установки или оборудования при отсутствии отклонений в технологическом процессе. Платой за безопасность часто является более высокая частота ложных срабатываний. Простая система защиты с резервированием — 1oo2 — имеет, при неизменности всех других конструктивных факторов, более высокий уровень полноты безопасности, но также более высокую частоту ложных срабатываний, чем одноканальная (1oo1) система.
Если одна из архитектур в таблице не используется или если разработчик хочет провести более фундаментальный анализ, то МЭК 1508 допускает эту альтернативу. Затем можно использовать методы проектирования надежности, такие как марковское моделирование, для расчета аппаратного элемента уровня полноты безопасности (Johnson 1989; Goble 1992).
Устойчивость к систематическим отказам и отказам по общей причине
Этот класс отказов очень важен для систем безопасности и является ограничивающим фактором для достижения полноты безопасности. В системе с резервированием компонент или подсистема или даже вся система дублируются для достижения высокой надежности за счет менее надежных частей. Повышение надежности происходит потому, что статистически вероятность одновременного отказа двух систем из-за случайных сбоев будет произведением надежности отдельных систем и, следовательно, будет намного ниже. С другой стороны, систематические отказы и отказы по общей причине приводят к случайному отказу резервированных систем, когда, например, ошибка спецификации в программном обеспечении приводит к одновременному отказу дублированных частей. Другим примером может быть отказ общего источника питания в резервной системе.
IEC 1508 содержит таблицы технических методов, ранжированных по уровню полноты безопасности, которые считаются эффективными для обеспечения защиты от систематических отказов и отказов по общей причине.
Примерами методов, обеспечивающих защиту от систематических сбоев, являются разнообразие и аналитическая избыточность. Основой разнообразия является то, что если разработчик реализует второй канал в резервированной системе, используя другую технологию или язык программного обеспечения, то отказы в резервных каналах можно рассматривать как независимые (т. е. низкая вероятность случайного отказа). Однако, особенно в области программных систем, есть некоторые предположения, что этот метод может быть неэффективным, поскольку большинство ошибок содержится в спецификации. Аналитическая избыточность пытается использовать избыточную информацию на заводе или машине для выявления неисправностей. Для других причин систематических отказов — например, внешних нагрузок — в стандарте приведены таблицы с рекомендациями по надлежащей инженерной практике (например, разделение сигнальных и силовых кабелей), индексированные по уровню полноты безопасности.
Выводы
Компьютерные системы предлагают множество преимуществ — не только экономических, но и потенциальных для повышения безопасности. Однако для реализации этого потенциала требуется гораздо больше внимания к деталям, чем при использовании обычных системных компонентов. В этой статье изложены основные технические требования, которые необходимо учитывать разработчику для успешного использования этой технологии.
В этой статье обсуждается проектирование и внедрение систем управления, связанных с безопасностью, которые имеют дело со всеми типами электрических, электронных и программно-электронных систем (включая компьютерные системы). Общий подход соответствует предложенному Международной электротехнической комиссией (МЭК) стандарту 1508 (Функциональная безопасность: связанная с безопасностью
системы) (МЭК 1993).
проверка данных
В 1980-х годах компьютерные системы, обычно называемые программируемыми электронными системами (ПЭС), все чаще использовались для выполнения функций безопасности. Основными движущими силами этой тенденции были (1) улучшенная функциональность и экономические преимущества (особенно с учетом общего жизненного цикла устройства или системы) и (2) особое преимущество определенных конструкций, которое можно было реализовать только при использовании компьютерных технологий. . Во время раннего внедрения компьютерных систем был сделан ряд выводов:
Чтобы решить эти проблемы, несколько органов опубликовали или начали разрабатывать руководства, обеспечивающие безопасное использование технологии PES. В Соединенном Королевстве Управление по охране труда и технике безопасности (HSE) разработало руководство для программируемых электронных систем, используемых для приложений, связанных с безопасностью, а в Германии был опубликован проект стандарта (DIN 1990). В Европейском сообществе в связи с требованиями Директивы по машинному оборудованию был начат важный элемент работы над гармонизированными европейскими стандартами, касающимися систем управления, связанных с безопасностью (включая те, которые используют ПЭС). В Соединенных Штатах Американское общество приборостроения (ISA) разработало стандарт на PES для использования в обрабатывающей промышленности, а Центр безопасности химических процессов (CCPS), управление Американского института инженеров-химиков, разработал руководящие принципы. для сектора химических процессов.
В настоящее время в МЭК реализуется крупная инициатива по стандартизации для разработки общего международного стандарта для электрических, электронных и программируемых электронных (E/E/PES) систем, связанных с безопасностью, который можно было бы использовать во многих областях применения, включая процессы, медицинской, транспортной и машиностроительной отраслях. Предлагаемый международный стандарт МЭК состоит из семи частей под общим названием IEC 1508. Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью.. Различные части следующие:
После окончательной доработки этот общий международный стандарт станет базовой публикацией МЭК по безопасности, охватывающей функциональную безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью, и будет иметь значение для всех стандартов МЭК, охватывающих все области применения в отношении будущего проектирования и использования электрические/электронные/программируемые электронные системы безопасности. Основная цель предлагаемого стандарта — облегчить разработку стандартов для различных секторов (см. рис. 1).
Рисунок 1. Стандарты общего и прикладного секторов
Преимущества и проблемы PES
Принятие ПВУ для целей безопасности имело много потенциальных преимуществ, но было признано, что они могут быть достигнуты только при использовании соответствующих методологий проектирования и оценки, поскольку: (1) многие характеристики ПВУ не обеспечивают полноту безопасности (что то есть характеристики безопасности систем, выполняющих требуемые функции безопасности), должны быть предсказаны с той же степенью достоверности, которая традиционно была доступна для менее сложных аппаратных («жестких») систем; (2) было признано, что хотя тестирование и необходимо для сложных систем, его самого по себе недостаточно. Это означало, что даже если PES реализовывала относительно простые функции безопасности, уровень сложности программируемой электроники был значительно выше, чем у проводных систем, которые они заменяли; и (3) этот рост сложности означал, что методологии проектирования и оценки должны были уделять гораздо больше внимания, чем раньше, и что уровень личной компетентности, необходимый для достижения адекватных уровней производительности систем, связанных с безопасностью, впоследствии был выше.
Преимущества компьютеризированных ПЭС включают следующее:
Использование компьютерных систем в приложениях, связанных с безопасностью, создает ряд проблем, требующих адекватного решения, таких как следующие:
Рассматриваемые системы безопасности
Рассматриваемые типы систем, связанных с безопасностью, представляют собой электрические, электронные и программируемые электронные системы (E/E/PES). Система включает в себя все элементы, в частности сигналы, исходящие от датчиков или других устройств ввода на управляемом оборудовании и передаваемые по магистралям данных или другим каналам связи на исполнительные механизмы или другие устройства вывода (см. рис. 2).
Рисунок 2. Электрическая, электронная и программируемая электронная система (E/E/PES)
Термин электрические, электронные и программируемые электронные устройства использовался для охвата широкого спектра устройств и охватывает следующие три основных класса:
По определению система, связанная с безопасностью, служит двум целям:
Эта концепция проиллюстрирована на рисунке 3.
Рисунок 3. Основные характеристики систем, связанных с безопасностью
Системные сбои
Чтобы обеспечить безопасную работу E/E/PES систем, связанных с безопасностью, необходимо распознавать различные возможные причины отказов систем, связанных с безопасностью, и обеспечивать принятие адекватных мер предосторожности против каждой из них. Отказы подразделяются на две категории, как показано на рисунке 4.
Рисунок 4. Категории отказов
Защита систем безопасности
Термины, которые используются для обозначения мер предосторожности, требуемых системой, связанной с безопасностью, для защиты от случайных отказов оборудования и систематических отказов: аппаратные средства обеспечения безопасности и систематические меры обеспечения полноты безопасности соответственно. Меры предосторожности, которые система, связанная с безопасностью, может применять как против случайных отказов аппаратных средств, так и против систематических отказов, называются полнота безопасности. Эти концепции проиллюстрированы на рисунке 5.
Рисунок 5. Условия обеспечения безопасности
В предлагаемом международном стандарте IEC 1508 существует четыре уровня полноты безопасности, обозначенные как уровни полноты безопасности 1, 2, 3 и 4. Уровень полноты безопасности 1 — это самый низкий уровень полноты безопасности, а уровень полноты безопасности 4 — самый высокий. Уровень полноты безопасности (будь то 1, 2, 3 или 4) для системы, связанной с безопасностью, будет зависеть от важности роли, которую система, связанная с безопасностью, играет в достижении требуемого уровня безопасности для управляемого оборудования. Могут потребоваться несколько систем, связанных с безопасностью, некоторые из которых могут быть основаны на пневматической или гидравлической технологии.
Проектирование систем безопасности
Недавний анализ 34 инцидентов, связанных с системами управления (HSE), показал, что 60% всех случаев отказов были «встроены» до того, как система управления, связанная с безопасностью, была введена в действие (рис. 7). Рассмотрение всех фаз жизненного цикла безопасности необходимо, если необходимо производить адекватные системы, связанные с безопасностью.
Рисунок 7. Основная причина (по фазам) отказа системы управления
Функциональная безопасность систем, связанных с безопасностью, зависит не только от обеспечения надлежащего определения технических требований, но и от обеспечения эффективного выполнения технических требований и сохранения исходной проектной целостности в течение всего срока службы оборудования. Это может быть реализовано только в том случае, если существует эффективная система управления безопасностью, а люди, участвующие в любой деятельности, компетентны в отношении своих обязанностей. В частности, когда речь идет о сложных системах, связанных с безопасностью, важно наличие адекватной системы управления безопасностью. Это приводит к стратегии, которая обеспечивает следующее:
Для систематического удовлетворения всех соответствующих технических требований функциональной безопасности была разработана концепция жизненного цикла безопасности. Упрощенная версия жизненного цикла безопасности в новом международном стандарте IEC 1508 показана на рисунке 8. Ключевые этапы жизненного цикла безопасности:
Рисунок 8. Роль жизненного цикла безопасности в достижении функциональной безопасности
Уровень безопасности
Стратегия проектирования для достижения адекватных уровней полноты безопасности для систем, важных для безопасности, показана на рисунках 9 и 10. Уровень полноты безопасности основан на той роли, которую играет система, связанная с безопасностью, в достижении общего уровня. безопасности для управляемого оборудования. Уровень полноты безопасности определяет меры предосторожности, которые необходимо учитывать при проектировании как против случайных отказов оборудования, так и против систематических отказов.
Рисунок 9. Роль уровней полноты безопасности в процессе проектирования
Рисунок 10. Роль жизненного цикла безопасности в процессе спецификации и проектирования
Понятие безопасности и уровня безопасности относится к управляемому оборудованию. Концепция функциональной безопасности применяется к системам, связанным с безопасностью. Функциональная безопасность для систем, связанных с безопасностью, должна быть обеспечена, если необходимо обеспечить адекватный уровень безопасности для оборудования, создающего опасность. Заданный уровень безопасности для конкретной ситуации является ключевым фактором в спецификации требований полноты безопасности для систем, связанных с безопасностью.
Требуемый уровень безопасности будет зависеть от многих факторов, например от тяжести травм, количества людей, подвергающихся опасности, частоты, с которой люди подвергаются опасности, и продолжительности воздействия. Важными факторами будут восприятие и взгляды тех, кто подвергается опасному событию. При определении того, что представляет собой надлежащий уровень безопасности для конкретного применения, учитывается ряд исходных данных, в том числе следующие:
Выводы
При проектировании и использовании систем, связанных с безопасностью, необходимо помнить, что именно управляемое оборудование создает потенциальную опасность. Системы, связанные с безопасностью, предназначены для снижения частоты (или вероятности) опасного события и/или последствий опасного события. После того как уровень безопасности установлен для оборудования, можно определить уровень полноты безопасности для системы, связанной с безопасностью, и именно уровень полноты безопасности позволяет разработчику указать меры предосторожности, которые необходимо предусмотреть в проекте, чтобы быть развернуты как против случайных аппаратных, так и против систематических отказов.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: МОТ не несет ответственности за контент, представленный на этом веб-портале, который представлен на каком-либо языке, кроме английского, который является языком, используемым для первоначального производства и рецензирования оригинального контента. Некоторые статистические данные не обновлялись с тех пор. выпуск 4-го издания Энциклопедии (1998 г.)».