7.4.5 量化隨機硬體故障影響的要求
注:GB T 20438附錄A. 6-2017圖2概述了實現所需的硬體安全完整性所需的步驟,並解釋了本條款與GB T 20438的其他要求之間的關係。
7.4.5.1 對於各項安全功能,安全相關系統在隨機硬體故障(包括軟錯誤)和資料通訊過程中隨機故障的影響下可實現的安全完整性應符合 74.5.2 和 74.11.估計,結果應小於或等於《規範》中規定的E-e PE系統安全要求(見GB T 20438)中規定的目標故障量。1. 2017-710)。
注意:為了證明已滿足要求,應使用適當的技術(見 7。4.5.2)執行相關功能的可靠性**,並與相關安全功能的目標故障量進行比較(見GB T20438,1)。
7.4.5.2 至 74.5.1 對每個安全功能實現的故障量的估計應考慮以下因素:
a) E e PE安全相關系統及其子系統的架構及其與相關安全功能的關係;
注1:需要確定系統各元件串聯配置在哪種故障模式(即任何故障都會導致正在執行的相關安全功能失效),以及併聯配置為故障模式(即相關安全功能在同時發生多個故障時不會失效)。
b) E e PE安全相關系統的各個子系統的元件架構及其與所考慮的各個安全功能的關係;
c) 估計在任何模式下都可能導致 E e PE 安全相關系統出現危險故障,但將接受診斷測試(見 7。4.9.4~7.4.9.5)應根據資料來源及其精度或餘量來證明每個子系統及其元件的故障率。這可能包括考慮和比較不同的**資料,並選擇與所考慮的系統組合最匹配的故障率。 量化隨機硬體故障的影響與用於計算安全故障評分或診斷覆蓋率的故障率時,應考慮指定的操作條件
注 2:考慮工作條件意味著通常會調整資料庫中的故障率,例如觸點負載和溫度影響。
d) E e PE 安全相關系統及其子系統對常見原因故障的敏感性(見注釋 3 和 4)。應證明假設:
注3:常見原因故障可能是由硬體元件實際故障以外的因素(如電磁干擾和解碼錯誤)引起的。 但是,在計算GB T 20438中隨機硬體故障的影響時,需要考慮此類故障。 元件交叉測試可降低常見原因故障的可能性。
注4:如果 E e PE 安全相關系統與所需原因或其他保護層之間存在共同原因故障,則有必要證明在確定安全完整性等級和目標故障量要求時考慮了該因素。 確定共因的方法在GB T 20438中進行了說明附錄 62017 的 D。
e) 每個子系統的診斷測試的診斷覆蓋率(由附錄 C 確定)、相關的診斷測試間隔以及由於隨機硬體故障導致的未披露故障率。相關時,僅滿足 7,45.3 考慮了 3 中要求的診斷測試。 在可靠性模型中應考慮 MTTR 和 MRT(參見 GB T 20438)。4-2017 在 36.21 對 36.第 22 部分):
注5:在確定診斷測試間隔時,需要考慮與診斷覆蓋率相關的所有測試間隔。
f) 發現危險故障的檢查測試間隔: g) 檢查測試是否 100% 有效:
注6:如果由於檢驗測試不完善導致安全功能無法恢復到“完好如新”的狀態,則故障概率將相應增加。 應證明假設,特別是包括元件的可更新性周期或對安全功能生命週期內風險降低的影響。 如果測試處於離線狀態,則應考慮測試的持續時間。 h) 檢測到故障後的維修時間:
注7:平均修復時間(MRT)是平均恢復時間(MTTR)的一部分(見GB T 20438)。4-2017 在 36.22 對 36.21)。
MTTR 還包括檢測故障所需的時間和無法進行維修的時間(參見 GB T 20438)。6--2017 年附錄 B,如何使用 MTTR 和 MRT 計算故障概率),只有在 EUC 關閉或在安全狀態下修復時才能被視為立即修復。如果無法在EUC停止服務並在安全狀態下進行維修,則充分考慮無法進行維修的時間尤為重要,尤其是在時間相對較長的情況下。 應考慮與維護相關的所有因素。
i) 如果需要人工操作來實現安全功能,應考慮隨機人為錯誤的影響:
注8:如果乙個人收到有關不安全情況的警報並需要採取措施,建議考慮人為錯誤的隨機性,並且在整個計算中應包括人為錯誤的可能性。
j) 事實上,建模方法多種多樣,最合適的方法由分析師確定,並視情況而定。可能的方法包括:
因果分析(GB T 20438.)7--2017年B班6.6.2)故障樹分析(GB T 20438.)7--2017年B班6.6.5)、馬爾可夫模型(GB T 20438.)2017-20438 附錄 B 和 GB T 67--2017年B班6.6.6)可靠性框圖(GB T 20438.)2017-20438 附錄 B 和 GB T 67--2017年B班6.6.7)以及 Petri.com(GB T 20438。2017-20438 附錄 B 和 GB T 67--2017年B班2.3.3)。
注9:GB T 20438附錄 B6 中給出了一種簡單的方法,用於估計由於隨機硬體故障而需要安全功能時發生危險故障的平均概率,以確定架構滿足要求的目標故障數。
注10:GB T 204386-2017 在圖2給出了實現所需的硬體安全完整性的必要步驟,以及該條款與GB T20438的其他要求的關係。
注11:對於每個安全功能,安全相關系統的可靠性需要單獨計算。 由於元件的故障模式不同,E e PE安全相關系統的架構(在冗餘方面)也可能不同。
7.4.5.3 在量化子系統隨機硬體故障的影響時,如果該元件用於硬體故障容限為 0 的子系統,並且子系統的安全功能或部分安全功能需要以高要求或連續執行模式執行,則只有在滿足以下條件之一的情況下才能接受診斷
1.診斷測試間隔與執行特定功能以獲得或保持安全狀態所花費的時間之和小於過程安全時間; 1、在高要求執行模式下工作時,診斷測試率與所需率之比等於或大於100。
7.4.5.4 任何子系統的診斷測試間隔:
硬體故障容限大於 0以及在苛刻或連續執行模式下操作安全功能或部分安全功能; 或一種在低需求操作模式下執行安全功能或部分安全功能。
確保診斷測試間隔與維修檢測到故障所需的時間之和小於用於計算安全功能安全完整性的 MTTR。
7.4.5.5 如果用於特定設計。 相關安全功能的安全完整性要求未落實。 然後:
a) 確定對故障率影響最大的元件、子系統和/或引數;
b) 評估可行的改進措施對已確定的關鍵元件、子系統或引數的影響(例如,使用更可靠的元件、額外的常見原因故障預防措施)。提高診斷覆蓋率,增加冗餘,縮短檢查與測試之間的間隔,交叉測試等);
c) 選擇並實施可行的改進措施;
d) 重複必要的步驟以確定新的隨機硬體故障的概率。