Рисунок С.1 - Примеры распределения функций систем контроля и управления комплекса безопасности
С.1 Пример распределения функций комплекса безопасности между системами
Рисунок С.1 приведен в соответствии с таблицами 4 и 5 подраздела 6.5 и показывает связь с соответствующими разделами настоящего стандарта. Таблица 4 отражает требования к характеристикам и квалификации комплекса оборудования, предназначенного для построения систем контроля и управления различных классов. Таблица 5 содержит требования к системам контроля и управления, которые предназначены для выполнения функций, классифицированных по категориям в соответствии с настоящим стандартом. Требования к характеристикам оборудования, такие, например, как требования по устойчивости к воздействию окружающей среды, надежности программного обеспечения, могут быть удовлетворены за счет выбора подходящего семейства технических средств. Требования к системам в первую очередь относятся к таким проектным характеристикам, как, например, устойчивость архитектуры системы к отказам и адекватность проектных методов верификации и валидации, принятым для подтверждения правильности функционирования.
Примеры распределения функций комплекса безопасности по системам контроля и управления, отражающие различные проектные подходы, соответствующие требованиям к надежности, представлены на рисунке С.1. Выбранные подходы основаны на анализе эффективности различных мер обеспечения устойчивости к отказам по общей причине (см. 5.3.3.1).
: комплекс безопасности должен выполнять две разные функции категории 
и 
.Проведение анализа на устойчивость к отказам по общей причине необходимо для того, чтобы показать, что в данном случае использование функционального разнообразия (см. 5.3.1.5.5, перечисление b) способствует эффективной защите от отказов по общей причине. Затем обе функции вводятся в независимые системы класса 1, выполненные на том же самом типе оборудования.
: комплекс безопасности должен выполнять основную функцию 
категории А и дополнительную функцию категории В или С, как средство дублирования. Анализ устойчивости к отказам по общей причине должен в этом случае показать, что применение разнообразия технических средств (см. 5.3.1.5.5) обеспечивает достаточную защиту от отказа системы по общей причине. Функция 
назначается одной системе класса 1, а функция передается системе класса 2, выполненной на другом семействе технических средств с тем, чтобы обеспечить разнообразие аппаратуры.
: комплекс безопасности должен выполнять две разные функции категории 
и 
. Анализ устойчивости к отказу по общей причине должен показать, что применение разнообразия оборудования и функционального разнообразия обеспечивает достаточную защиту от отказа по общей причине. Функцию 
назначают одной системе класса 1, а функцию размещают в системе класса 2, выполненной на других технических средствах для того, чтобы обеспечить дублирование по аппаратуре.Случай с функциями 
и 
аналогичен предыдущему случаю.
и аналогичен предыдущему случаю.С.2 Примеры чувствительности к отказам по общей причине в комплексе безопасности
Могут возникнуть следующие типичные ситуации.
Пример 1 | |||||||
Комплекс безопасности, содержащий систему с тремя идентичными резервированными каналами, выполняющими единственную защитную функцию А |
| ||||||
Защитное действие | |||||||
Возможный случай отказа по общей причине | Возможная защита | ||||||
Вероятность: | (Н) = высокая; | Эффективность: | (Н) = высокая; | ||||
(М) = средняя; | (М) = средняя; | ||||||
(L) = низкая | (L) = низкая | ||||||
Ошибка при спецификации требований к прикладной функции А (Н) | Независимая верификация спецификации (М) | ||||||
Дефект в спецификации или при разработке прикладного программного обеспечения или дефект в модуле системного программного обеспечения (М). Отказ может возникнуть как следствие прохождения одинаковых сигналов по трем каналам [(L) - для систем класса А)] | Разработка системы, соответствующей классу 1 (Н) | ||||||
Одновременный отказ технических средств трех каналов вследствие опасного воздействии | Физическая и электрическая независимость (Н) | ||||||
Отказ при голосовании двух из трех (или при других действиях каналов) | Разработка системы класса 1 (Н). Применение надежных проверенных на практике решений (стандартный модуль) (Н) | ||||||
Пример 2 | |||||||
Группа безопасности, содержащая систему с резервированными каналами, выполняющими одиночную функцию защиты А и отвечающими общим требованиям, но использующим разное программное обеспечение для обработки информации (устройства обработки Р, Q, R) |
| ||||||
Возможный случай отказа по общей причине | Возможная защита | ||||||
Вероятность: | (Н) = высокая; | Эффективность: | (Н) = высокая; | ||||
(М) = средняя; | (М) = средняя; | ||||||
(L) = низкая | (L) = низкая | ||||||
Ошибка при спецификации требований к прикладной функции А (Н) | То же, что в примере 1 | ||||||
Дефект в спецификации или при разработке прикладного обеспечения или дефект в модуле системного программного обеспечения (М). Отказ может произойти вследствие особенности прохождения одинаковых сигналов в каждом из трех каналов (L) | Разработка системы класса 1 (Н). Меры противодействия: резервирование программного обеспечения | ||||||
Одновременный отказ оборудования трех каналов вследствие опасного воздействия | То же, что в примере 1 | ||||||
Отказ при голосовании двух из трех каналов (или при других действиях каналов) | То же, что в примере 1 | ||||||
Пример 3 | |||||||
Комплекс безопасности, содержащий систему с двумя каналами, выполняющими независимо одну и ту же защитную операцию* _______________ * Предполагается, что оператор имеет достаточное время и информацию для реагирования |
| ||||||
Возможный случай отказа по общей причине | Возможная защита | ||||||
Вероятность: | (Н) = высокая; | Эффективность: | (Н)= высокая; | ||||
(М)= средняя; | (М) = средняя; | ||||||
(L) = низкая | (L) = низкая | ||||||
Дефект в спецификации или при разработке прикладных программ или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе] | Разработка системы класса 1 (Н) | ||||||
Ошибка при спецификации требования к обеим функциям (L) | Защита обеспечивается функциональным разнообразием (автоматически; вручную) (Н) | ||||||
Одновременный отказ оборудования каналов системы вследствие опасного воздействия | То же, что в примере 1 | ||||||
Ошибка при голосовании "два из трех" (или при других действиях каналов) | Ручное управляющее действие по направлению основного трафика голосования (Н) | ||||||
Пример 4 | |||||||
Комплекс безопасности, содержащий распределенные дублированные функции Р, Q, R, использующие различные датчики и исполнительные устройства и одинаковое оборудование в каждом канале управления | Три канала датчиков
| ||||||
Возможный случай отказа по общей причине | Возможная защита | ||||||
Вероятность: | (Н) = высокая; | Эффективность: | (Н) = высокая; | ||||
(М) = средняя; | (М) = средняя; | ||||||
(L) = низкая | (L) = низкая | ||||||
Ошибка в спецификации требований к трем функциям | Защита обеспечивается функциональным разнообразием (Р, Q, R) (Н) | ||||||
Дефект при определении требований или при разработке прикладного программного обеспечения или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]. Различные траектории сигнала | Полностью независимое оборудование Система класса 1 (Н) | ||||||
Одновременный отказ оборудования каналов системы вследствие опасного воздействия | То же, что в примере 1 | ||||||
Отказ в двух из трех каналов (или другие события в каналах) | Ручное управляющее действие по направлению основного трафика голосования (Н) | ||||||
Пример 5 | |||||||
Комплекс безопасности, содержащий дублированные защитные функции W и Y, распределенные в двух различных системах (разнообразие оборудования и системного программного обеспечения при возможном сходстве, например, алгоритмов, синхронизации операций, документации и общим персоналом) |
| ||||||
Возможный случай отказа по общей причине | Возможная защита | ||||||
Вероятность: | (Н) = высокая; | Эффективность: | (Н) = высокая; | ||||
(М)= средняя; | (М) = средняя; | ||||||
(L) = низкая | (L) = низкая | ||||||
Ошибка при спецификации требований к обеим функциям (L) | Защита обеспечивается за счет функционального разнообразия (W и Y) (Н) | ||||||
Дефект спецификации требований или при разработке прикладных программ или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]. Различные траектории сигнала (L). Вероятность некоторого подобия траекторий сигнала | Полностью независимое оборудование. Разработка системы класса 1 | ||||||
Ошибка в обоих исполнительных действиях по обеспечению безопасности (L) | Различные (дублированные) системы исполнительных устройств (Н) | ||||||
Приложение D (справочное). Связь МЭК 61508 с МЭК 61513 и стандартами атомной отрасли
В настоящем приложении сравниваются положения МЭК 61508 (части 1, 2 и 4) и МЭК 61513.
Части 3, 5, 6 и 7 МЭК 61508 не рассматриваются, т.к. они не входят в область применения настоящего стандарта. Например, область применения части 3 МЭК 61508 относительно программного обеспечения частично охватывается МЭК 60880.
Настоящее приложение состоит из четырех разделов:
- в разделе D.1 рассматриваются основные отличия в областях действия и концептуальных основах двух стандартов;
- в разделе D.2 МЭК 61513 сравнивается с МЭК 61508-1 (основные требования);
- в разделе D.3 МЭК 61513 сравнивается с МЭК 61508-2 (системные вопросы);
- в разделе D.4 МЭК 61513 сравнивается с МЭК 61508-4 (определения).
D.1 Область действия и концептуальные основы
При сопоставлении прежде всего рассматриваются некоторые важные отличия областей применения двух стандартов.
Рассматриваемые в МЭК 61508 системы могут быть любыми - электрическими, электронными или основываться на применении технологии программируемой электроники, и, хотя настоящий стандарт содержит основные требования к архитектуре для всех этих технологий, его основная направленность - компьютерные системы.
МЭК 61508 относится к "системам, связанным с безопасностью", тогда как настоящий стандарт следует положениям МАГАТЭ и распространяется на "системы, важные для безопасности".
a) Границы полного жизненного цикла безопасности.
Полный жизненный цикл по МЭК 61508 включает в себя все системы, предусмотренные проектом безопасности оборудования, находящегося под контролем, включая системы контроля и управления - электрические, электронные, выполненные с применением программируемой электроники или на основе других технологий, а также устройства, снижающие риск внешнего воздействия.
Настоящий стандарт специально не рассматривает ни анализ безопасности АС, ни средства оценки соответствия требованиям к характеристикам и надежности, возникающие при анализе. В проекте безопасности АС, который выполняют в соответствии с определенными принципами МАГАТЭ, в правилах МЭК и требованиях национальных регулирующих органов, используется опыт, накопленный в области атомной техники, который в настоящем стандарте не рассматривается. Проектные основы АС определяют постулированные исходные события, их последствия, концепцию глубокоэшелонированной защиты АС, категории функций, необходимых для обеспечения защиты. Однако настоящий стандарт определяет исходную информацию, требуемую для формирования основ проекта и анализа безопасности, которая передается разработчикам контроля и управления в качестве руководства для последующей работы над проектом систем контроля и управления.
b) Общая валидация/оценка безопасности.
В соответствии с требованиями настоящего стандарта общая верификация и валидация каждой распределенной функции, важной для безопасности, описываются в отчете о полной интеграции и приемке системы.
В области атомной техники оценка соответствия этого отчета требованиям безопасности рассматривается в рамках процедуры лицензирования.
c) Системы контроля и управления и архитектура контроля и управления.
Системы контроля и управления, рассматриваемые в настоящем стандарте, эквивалентны электрическим, электронным системам и системам программируемой электроники по МЭК 61508. В настоящем стандарте архитектура системы (см. раздел 5) определяет набор отдельных систем определенных классов, соответствующих требованиям независимости, которые выполняют функции, важные для безопасности. Для каждой из этих систем разделом 6 настоящего стандарта установлен индивидуальный жизненный цикл безопасности. В МЭК 61508 любое разбиение на несколько систем рассмотрено в части 2.
Это различие во избежание недоразумений следует иметь в виду.
d) Уровень значимости функциональной безопасности и классификация.
МЭК 61508 устанавливает уровень значимости функциональной безопасности, требующийся для компьютерной системы, в соответствии со степенью снижения риска, которую система должна обеспечить. Это достигается установлением жесткой связи между риском, обусловленным некими опасностями, прогнозируемой частотой опасных событий, с защитой, которую должна обеспечить система с целью снижения риска до допустимого уровня.
Атомная отрасль традиционно использовала детерминистический метод определения значимости системы для безопасности и ее влияние на величину риска, связанного с выходом радиоактивных веществ (см. IAEA Safety Guides и МЭК 61226).
Для любой системы, предназначенной для предотвращения или ограничения последствий радиоактивного выброса, в основном, предполагается необходимое обеспечение наибольшей реально достижимой степени защиты. Низкий уровень значимости безопасности может быть приемлемым лишь для вспомогательных систем, которые непосредственно не решают задачи предотвращения или ограничения выбросов. Поэтому не существует эквивалентной схемы для снижения с позиций надежности или риска уровней значимости функциональной безопасности, предложенных в МЭК 61508, для широкого применения в атомной технике. Такой детерминистический подход в атомной отрасли признается, в общем, достаточным и приводит на практике к установлению высоких требований ко всем защитным функциям. Однако атомная отрасль признает также и количественный подход, а методы вероятностного анализа безопасности могут ставить более четкие задачи по обеспечению необходимой надежности компьютерных систем.
Установление уровней значимости функциональной безопасности по МЭК 61508 почти полностью соответствует категоризации в атомной отрасли. Однако имеются существенные различия в процедурных вопросах:
- в МЭК 61508 установление уровней значимости функциональной безопасности основано на анализе возможных опасностей и вероятностной оценке риска;
- в МЭК 61226 установление категорий основано на детерминистическом критерии и инженерном опыте оценки последствий в случае отказа.
D.2 Сопоставление МЭК 61508-1 и МЭК 61513
МЭК 61508-1 | МЭК 61513 |
5 Документация | 5.5 Выходная документация |
6 Управление функциональной безопасностью | 5.4.1 В соответствии с МАГАТЭ 50-C-QA (Редакция 1) вся деятельность на АС регламентируется программой обеспечения качества |
7 Требования к полному жизненному циклу функциональной безопасности | 5 Структура жизненного цикла безопасности контроля и управления |
7.1 Основные положения | |
Полный жизненный цикл функциональной безопасности охватывает системы контроля и управления электрической, электронной технологий, технологии программируемой электроники и др. технологий, внешние меры по сокращению риска | Полный жизненный цикл безопасности охватывает функции контроля и управления и связанные с ними системы и оборудование, важные для безопасности, и общую архитектуру систем контроля и управления [см. пункт а) в разделе D.1] |
7.2 Концепция | |
Описание объектов, находящихся под контролем, требуемых функций управления и физической среды | Рассмотрение основ проекта безопасности АС (5.1): - установление условий окружающей среды (5.1.3); - функции контроля и управления, важные для безопасности; - взаимодействие автоматики и оператора |
Определение источников опасности | Внутренние и внешние источники опасности устанавливаются при разработке основ проекта безопасности АС и являются объектами контроля и управления (5.1.3) [см. пункт а) раздела D.1] |
7.3 Определение области действия | |
Определение границ объекта контроля | Выявление ограничений (требований) со стороны проекта АС или границ области действия контроля и управления |
Определение объема анализа источников опасности и риска, а также событий, приводящих к аварии | Постулированные исходные события определяются основами проекта обеспечения безопасности АС и представляют собой исходные данные для разработки контроля и управления |
7.4 Анализ источников опасности и риска | |
Установление опасности объекта контроля... | Не рассматривается настоящим стандартом, является частью основ проекта АС [см. пункт а) раздела D.1] |
... и системы управления объектом контроля | Детерминированные ограничения контроля и управления, например, критерий единичного отказа для функций категории А, функциональное разделение, накладываются основами проекта АС |
Определение последовательности следствий опасных событий | Последовательности постулируемых исходных событий определяются в основах проекта обеспечения безопасности АС и являются исходными для контроля и управления (см. 5.1) [см пункт а) раздела D.1] |
Определение риска объекта контроля | Категоризация ФСО (см 5.1.2) является исходной для контроля и управления [см. пункт а) раздела D.1] |
7.5 Общие требования безопасности | 5.2 Общие требования к ФСО |
Необходимо специфицировать функции безопасности. Они включают в себя: | Общие спецификации требований к функциям, важным для безопасности, вытекают из основ проекта АС. Они включают в себя: |
Спецификации требований к функциям безопасности | Спецификации требований к функциональности и характеристикам [пункт 1) перечисления а) из 5.2] |
Спецификация требований к значимости функциональной безопасности | Категоризация функций контроля и управления и связанного с ними оборудования [пункт 3) перечисления а) из 5.2]. Спецификация требований независимости [пункт 3) перечисления а) из 5.2] |
Общая спецификация требований безопасности к системам контроля и управления (с использованием электрической, электронной технологий и технологии программируемой электроники), системам с использованием других технологий, а также к устройствам снижения риска | Альтернативная технология и меры по снижению риска определяются в основах проекта безопасности АС в соответствии с принципами глубокоэшелонированной защиты. Настоящим стандартом не рассматриваются [см. пункт а) раздела D.1] |
7.6 Распределение требований безопасности | 5.3.1 Проект архитектуры контроля и управления 5.3.2 Назначение функций |
Распределение функций безопасности по системам и присвоение уровня значимости безопасности каждой функции. Рассматривается возможность отказа по общей причине (см. 7.6.2.7) и задача обеспечения безопасности ограничивается значимостью для отдельной системы, выполненной с применением электрической, электронной технологий или технологии на основе программируемой электроники (см. 7.6.2.11) | Разделение полного контроля и управления на отдельные системы соответствующего класса. Распределение функций контроля и управления по системам контроля и управления в соответствии с классификацией, глубокоэшелонированной защитой, принимая во внимание возможность отказа по общей причине |
Общее планирование | 5.4 Общее планирование |
6 Управление функциональной безопасностью | 5.4.1 Общая программа обеспечения качества |
7.8 Общее планирование валидации безопасности | 5.4.3 Общие планы интеграции и приемки |
5.4.2 Общий план обеспечения защищенности | |
7.7 Общее планирование эксплуатации и обслуживания | 5.4.4 Общий план эксплуатации |
5.4.5 Общий план обслуживания | |
7.10 Реализация: системы, выполненные с использованием электрической, электронной технологий или технологии с применением программируемой электроники | 6 Жизненный цикл безопасности системы |
См. МЭК 61508-2 (системные аспекты) | См. раздел 6 (жизненный цикл безопасности системы) |
См. МЭК 61508-3 (требования к программному обеспечению) | Программное обеспечение в настоящем стандарте не рассматривается |
7.11 Реализация: другая технология | Не входит в область распространения настоящего стандарта [см. пункт а) раздела D.1] |
7.12 Реализация: внешние устройства снижения риска | Не входит в область распространения настоящего стандарта [см. пункт а) раздела D.1] |
7.13 Общие внедрение и приемка системы | 7 Общие интеграция и приемка системы |
7.14 Общая валидация безопасности Валидация того, что системы, выполненные с использованием электрической, электронной технологий или технологии с применением программируемой электроники, соответствуют общим требованиям в соответствии с распределением функций | 7.1 Общая приемка Верификация и валидация функций, важных для безопасности, распределенных более чем по одной системе 6.4 Квалификация системы |
7.15 Общие эксплуатация, обслуживание и ремонт | 6 Общие эксплуатация и обслуживание |
7.16 Общие модификация и модернизация | 1 Область применения Настоящий стандарт (или его часть) применим к системам контроля и управления на новых атомных станциях, так же как и к реконструируемым и модернизируемым системам на существующих АС |
7.17 Снятие с эксплуатации или утилизация | Настоящим стандартом не рассматривается |
7.18 Верификация | 5.4.1 Общие программы обеспечения качества |
7 Оценка функциональной безопасности Получение подтверждения о достижении функциональной безопасности системами, выполненными с применением электрической или электронной технологии или технологии программируемой электроники | В атомной отрасли эта оценка связывается с лицензированием и зависит от национальных регулирующих органов |
D.3 Сопоставление МЭК 61508-2 и МЭК 61513
МЭК 61508-2 | МЭК 61513 |
5 Документация | 6.3 Выходная документация |
6 Управление функциональной безопасностью | 5.4.1 Общая программа обеспечения качества |
7 Требования к жизненному циклу безопасности Э/Э/ЭП-систем, выполненных с применением различных технологий (электрической или электронной или технологии на основе программируемой электроники) | 5 Жизненный цикл безопасности системы Жизненный цикл безопасности системы включает цели и требования к отдельным системам контроля и управления, входящим в архитектуру контроля и управления [см. пункт с) раздела D.1] |
7.1 Общие положения В таблице 1 для каждой фазы приведены цели и требования области действия, требуемые входная информация и результаты | В таблице 3 для каждой фазы приведены цели и требования, требуемые входная информация и результаты |
Требования безопасности к Э/Э/ЭП-системам включают в себя: | 6.1.1 Спецификация требований системе включает в себя: |
- требования к функциям безопасности | требования к прикладным функциям; требования к сервисным функциям; условиям окружающей среды (см. 6.1.1.5) |
- требования к значимости функциональной безопасности | категоризацию функций контроля и управления (входные данные из 5.2); требования к ограничениям при проектировании системы (см. 6.1.1.2); классификацию системы |
Примечание - Указанные выше разделы МЭК 61508 и МЭК 61513 охватывают основные положения, но в МЭК 61513 делается различие между требованиями к функциям контроля и управления и требованиями к системам контроля и управления, осуществляющим эти функции. | |
7.3 Планирование валидации безопасности Э/Э/ЭП-систем | Планирование систем |
План валидации системы (см. 6.2.4). Функциональная валидация требований к прикладным функциям (см. 6.1.3.1.1). Квалификация системы (см. 6.4) | |
7.4 Проектирование и разработка Э/Э/ЭП-системы | 6.1.2 Спецификация системы 6.1.3 Детальное проектирование и внедрение системы |
7.4.2 Общие требования | Ограничивающие требования для проектирования (см. 6.1.1.2). Архитектура системы |
7.4.3 Требования к значимости функциональной безопасности технических средств системы | Требования, связанные с ограничениями проекта. Приложение С. Требования по способности к тестированию (см. 6.1.1.2.4) |
7.4.4 Требования к исключению отказов | Цикл безопасности системы (см. раздел 6) |
7.4.5 Требования к контролю систематических сбоев | Защита от развития и побочных эффектов отказов (см. 6.1.2.2.3) |
7.4.6 Требования к поведению системы по выявлению дефекта | Архитектура системы (см. 6.1.1.2.1). Самотестирование и устойчивость к отказам (см. 6.1.1.2.3) |
7.4.7 Требования при внедрении Э/Э/ЭП-систем | Выбор оборудования (см. 6.1.2.1) |
7.4.8 Требования к передаче информации | Внутреннее поведение системы (см. 6.1.2.2.2) |
7.5 Интеграция Э/Э/ЭП-системы | 6.1.4 Интеграция системы |
7.6 Эксплуатационные процедуры и процедуры обслуживания Э/Э/ЭП-системы | 6.2.6 План эксплуатации системы |
7.7 Валидация функциональной безопасности Э/Э/ЭП-системы | 6.1.5 Валидация системы |
7.8 Модификация Э/Э/ЭП-системы | 6.1.7 Модификация системы |
7.9 Верификация Э/Э/ЭП-системы | 6.2.1.1 План верификации системы |
8 Оценка функциональной безопасности (см. МЭК 61508-1) | См. раздел D.2 |
D.4 Сопоставление наиболее важных терминов и определений МЭК 61508-4 и МЭК 61513 и в области применения ядерных технологий
Тема: анализ риска | |
МЭК 61508-4 | МЭК 61513 |
3.1.2 Опасность Потенциальный источник разрушения (ИСО/МЭК Руководство 51  . Примечание - Термин включает в себя понятие опасности для людей, возникающей за счет быстропротекающих процессов (например, пожар и взрыв), а также медленных процессов, влияющих на здоровье людей (например, выделение токсических веществ). | 3.27 Опасность |