3 Термини и определения

Този стандарт използва термините и определенията на IEC 61508-4.

Целостта на риска и безопасността. Основни понятия

A.1 Общи

Това приложение предоставя информация относно концепциите, лежащи в основата на понятието риск, и относно връзката между риска и целостта на безопасността.

A.2 Изисквано намаляване на риска

Изискваното намаляване на риска [IEC 61508-4, точка 3.5.14)] е намаляването на риска, необходимо, за да направи риска в конкретна ситуация приемлив (което може да се определи с помощта на качествени* или количествени методи**). Концепцията за изисквано намаляване на риска е от фундаментално значение при разработването на спецификации на изискванията за свързани с безопасността E/E/PE системи (по-специално частта от спецификацията за пълнота на безопасността). Целта на определянето на допустимия риск за конкретно опасно събитие е да се формулират разумни критерии за честотата (или вероятността) на опасно събитие и последиците от него. Системите, свързани с безопасността, са предназначени да намалят честотата (или вероятността) от опасни събития и/или последствията от опасни събития.

* Когато се достигне приемлив риск, трябва да се установи необходимото намаляване на риска. Приложения D и E описват качествени методи, въпреки че в дадените примери необходимото намаляване на риска е имплицитно и не е заявено изрично.

** Например, че опасно събитие, водещо до конкретни последствия, не трябва да се случва с честота, превишаваща веднъж на всеки 10 часа.

Допустимият риск зависи от много фактори (например тежестта на нараняванията, броят на хората, изложени на опасност, колко често човек или хора са изложени на опасност ипериод от време, през който хората са изложени на опасност). Важни фактори включват осъзнаването на опасността и отношението на тези, които са изложени на опасността. При разработването на становище относно това какво представлява приемлив риск за конкретно приложение се обръща внимание на:

- насоки от регулаторните органи в областта на безопасността;

— дискусии и споразумения между различните страни, участващи в конкретна област на приложение;

- индустриални стандарти и насоки;

- международни дискусии и споразумения; ролята на националните и международни стандарти при разработването на критерии за определяне на приемлив риск става все по-важна;

- най-добрите независими индустриални, експертни и научни съвети от консултативни органи;

- правни изисквания, както общи, така и такива, които са пряко свързани с определена област на приложение.

A.3 Роля на E/E/PE системи за безопасност

E/E/PE системите, свързани с безопасността, допринасят за постигане на необходимото намаляване на риска, за да го направят приемлив. Системи, свързани със сигурността:

- изпълнява функциите за безопасност, необходими за постигане или поддържане на безопасно състояние на контролираното оборудване, и

– като използват собствени средства или в комбинация с други E/E/PE системи, свързани с безопасността, със системи, свързани с безопасността, базирани на други технологии, или с външни инструменти за намаляване на риска, постигат необходимата цялост на безопасност за изискваните функции [IEC 61508-4, точка 3.4.1)].

1 Първият списък показва, че системата, свързана с безопасността, трябва да изпълнява функциите, които могат да бъдат посочени в спецификациите.изисквания за функцията за безопасност. Например, спецификация на изискване за функция за безопасност може да изисква, когато температурата достигне стойност от , клапанът да се отвори, за да позволи на водата да потече в съда.

Бележка 2 към записа: Вторият списък гласи, че функциите за безопасност трябва да се изпълняват от системи, свързани с безопасността, със степен на надеждност, достатъчна за постигане на приемлив риск в конкретно приложение.

E/E/PE системите, свързани с безопасността, може да включват хора. Например, човек може да получи информация за състоянието на EUC от екрана на дисплея и да извърши действия въз основа на тази информация. E/E/PE системите, свързани с безопасността, могат да работят в режим на ниско търсене или в режим на голямо търсене или режим на непрекъснато търсене [IEC 61508-4, точка 3.5.12)].

A.4 Целостта на безопасността

Целостта на безопасността се определя като вероятността свързана с безопасността система да изпълнява задоволително необходимите функции за безопасност при всички определени условия за определен период от време [IEC 61508-4, точка 3.5.2)]. Целостта на безопасността се отнася до характеристиките, описващи способността на системите, свързани с безопасността, да изпълняват функции за безопасност, които трябва да бъдат определени в спецификацията на изискванията за функцията за безопасност.

Смята се, че целостта на безопасността трябва да се разглежда като състояща се от два елемента:

- безопасността на оборудването; тази част от целостта на безопасността е свързана със случайни хардуерни повреди, проявени в опасен режим [IEC 61508-4, точка 3.5.5)]. Постигане на дадено ниво на цялостна безопасност на оборудването, предназначено да гарантира безопасност,могат да бъдат оценени с разумна степен на точност, следователно изискванията могат да бъдат разпределени между подсистемите в съответствие с нормалните закони за вероятностите от съвместни събития. Може да е необходима излишна архитектура за постигане на адекватна цялост на безопасност на хардуера;

- цялостта на безопасността, свързана със системни повреди; тази част от целостта на безопасността се дължи на системни повреди, проявяващи се в опасен режим [IEC 61508-4, точка 3.5.4)]. Въпреки че средната честота на системните повреди може да бъде оценена, данните, получени от анализа на проектни грешки и повреди с обща причина, показват, че разпределението на отказите е трудно да се предвиди. Това води до увеличаване на несигурността при изчисляването на вероятността от откази за конкретна ситуация (например вероятността от отказ на системата за защита). Следователно е необходимо да се изберат методи, които минимизират тази несигурност. Трябва да се има предвид, че мерките за намаляване на вероятността от случайни повреди на оборудването не винаги водят до намаляване на вероятността от системни повреди. Техники като идентични хардуерни излишни канали, които са много ефективни при контролиране на произволни хардуерни повреди, имат малък ефект върху намаляването на системните повреди.

Нивото на интегритет на безопасността E/E/PE на системите, свързани с безопасността, системите, свързани с безопасността, базирани на други технологии, и външните средства за намаляване на риска гарантират, че:

- степента на повреда на системите, свързани с безопасността, ще бъде достатъчно ниска, за да предотврати честотата на опасните събития да превиши приемливия риск и/или че

- системите, свързани с безопасността, променят последствията от отказите до такава степен, че рискътстава приемливо.

Фигура A.1 представя основните концепции, свързани с намаляването на риска. Общият модел предполага, че:

- има EUC и система за управление на EUC;

- има човешки фактори;

- защитното оборудване включва:

външни средства за намаляване на риска,

E/E/PE системи, свързани с безопасността,

системи, свързани със сигурността, базирани на други технологии.

свързани

Фигура A.1 — Намаляване на риска: основни понятия

ЗАБЕЛЕЖКА: Фигура A.1 е обобщен модел на риска, предназначен да демонстрира основните принципи. Моделът на риска, специфичен за приложението, трябва да бъде разработен, като се има предвид конкретният начин, по който ще бъде постигнато необходимото намаляване на риска E/E/PE от системи, свързани с безопасността, системи, свързани с безопасността, базирани на други технологии, и външни инструменти за намаляване на риска. Следователно полученият модел на риска може да се различава от модела, показан на фигура A.1.

Рисковете, показани на фигура A.1, включват:

- EUC риск: рискът от определени опасни събития, свързани с EUC, със системите за контрол на EUC и с човешкия фактор - планираните мерки за защита [IEC 61508-4, точка 3.2.4)] не се вземат предвид при определянето на този риск;

- допустим риск: риск, който е приемлив в даден контекст в съответствие с ценностите на обществото [IEC 61508-4, точка 3.1.6)];

- остатъчен риск: рискът от специфични опасни събития, свързани с EUC, системата за контрол на EUC, човешките фактори, които остават след добавянето на външно намаляване на риска, E/E/PE системи, свързани с безопасността, и системи, свързани с безопасността, базирани на другитехнологии [IEC 61508-4, точка 3.1.7)].

Рискът от EUC зависи от рисковите фактори, създадени директно от EUC, както и от намаляването на риска, осигурено от системата за управление на EUC. За да се предотвратят неоправдани оценки за пълнота на безопасността за EUC системи за управление, този стандарт ограничава такива оценки [IEC 61508-1, точка 7.5.2.5)].

Необходимото намаляване на риска се постига чрез комбиниране на всички мерки за подобряване на сигурността. Фигура A.1 показва намаляването на риска от базова линия, съответстваща на EUC риск до ниво, съответстващо на даден допустим риск.

A.5 Целостта на риска и безопасността

ЗАБЕЛЕЖКА: За да се получи оптимална система, свързана с безопасността, която отговаря на различните изисквания, разпределението трябва да бъде итеративно.

Ролята на свързаните с безопасността системи за постигане на необходимото намаляване на риска е илюстрирана на фигури A.1 и A.2.

термини

Фигура A.2 — Концепции за риск и пълнота на безопасността

A.6 Нива на интегритет на безопасност и нива на интегритет на безопасност на софтуера

За да се удовлетвори широкият диапазон от необходими намаления на риска, които системите, свързани с безопасността, трябва да осигурят, е полезно да има редица нива на безопасност, налични като мерки за изпълнение на изискванията за пълнота на безопасността на функциите, свързани с безопасността, разпределени в системите, свързани с безопасността. Нивата на интегритет на безопасността на софтуера се използват като основа за определяне на изискванията за интегритет на безопасността на функциите за безопасност, изпълнявани от софтуер, свързан с безопасността. Спецификацията на изискванията за пълнота на безопасността определя нивата на пълнота на безопасността за E/E/PE системи, свързани с безопасността.

Този стандарт определя четири нива на пълнота на безопасността, като най-високото е ниво 4, а най-ниското е ниво 1.

Количествените нива на отказ за четирите нива на пълнота на безопасност са дадени в IEC 61508-1 (таблици 2 и 3). Дефинират се два параметъра, единият за системи, свързани с безопасността, работещи в режим на ниско търсене, другият за системи, свързани с безопасността, работещи в режим на голямо търсене или в непрекъснат режим.

ЗАБЕЛЕЖКА: За системите, свързани с безопасността, работещи в режим на ниско търсене, вероятността от повреда на функциите за безопасност при поискване представлява интерес като мярка за пълнота на безопасността. За системи, работещи в режим на голямо търсене или с непрекъснато търсене, средната вероятност от откази на час [IEC 61508-4, клаузи 3.5.12 и 3.5.13)] представлява интерес като мярка за пълнота на безопасността.

A.7 Разпределение на изискванията за сигурност

Разпределението на изискванията за безопасност (както изисквания за функции за безопасност, така и изисквания за цялост на безопасност) за E/E/PE системи, свързани с безопасността, системи, свързани с безопасността, базирани на други технологии и външни инструменти за намаляване на риска, е показано на фигура A.3, която е идентична с фигура 6 в IEC 61508-1. Изискванията за разпределяне на изискванията за безопасност към фазите са дадени в IEC 61508-1, точка 7.6.

термини

Фигура A.3 - Разпределение на изискванията за безопасност по E/E/PE системи,

системи, свързани със сигурността, системи, свързани със сигурността, базирани на други технологии,

и външни инструменти за намаляване на риска

Методи, използвани за разпределяне на изискваниятаЦелостта на безопасността за E/E/PE системи, свързани с безопасността, системи, свързани с безопасността, базирани на други технологии и външно смекчаване на риска зависи основно от това дали необходимото намаляване на риска е изрично количествено или качествено. Тези подходи се наричат ​​съответно количествени и качествени методи (приложения B-E).

1 Изискванията за пълнота на безопасността са свързани с всяка функция за безопасност преди разпределението [IEC 61508-1, точка 7.5.2.6)].

ЗАБЕЛЕЖКА 2: Една функция за безопасност може да бъде разпределена в няколко системи, свързани с безопасността.

3 PRS - система(и), свързана с безопасността.