3 Терміни та визначення

У цьому стандарті використовуються терміни та визначення МЕК 61508-4.

Ризик та повнота безпеки. Основні концепції

А.1 Загальні положення

Даний додаток надає інформацію про концепції, що лежать в основі поняття ризику, а також про зв'язок між ризиком та повнотою безпеки.

А.2 Необхідне зменшення ризику

Необхідне зменшення ризику [МЕК 61508-4 (пункт 3.5.14)] являє собою зменшення ризику, необхідне для того, щоб ризик у конкретній ситуації став допустимим (що може бути встановлене за допомогою якісних* чи кількісних методів**). Поняття необхідного зменшення ризику має фундаментальне значення для розробки специфікацій вимог до Е/Е/РЕ систем, пов'язаних з безпекою (зокрема тієї частини специфікації, яка присвячена вимогам до повноти безпеки). Мета визначення допустимого ризику для конкретної небезпечної події полягає в тому, щоб сформулювати розумні критерії для частоти (або ймовірності) небезпечної події та її наслідків. Системи, пов'язані з безпекою, призначені для того, щоб зменшити частоту (або ймовірність) небезпечних подій та/або наслідки небезпечних подій.

* При досягненні прийнятного ризику необхідно встановити необхідне зменшення ризику. У додатках D та Е описуються якісні методи, хоча у наведених прикладах необхідне зменшення ризику міститься у неявному вигляді і не формулюється явно.

** Наприклад, що небезпечна подія, що веде до конкретного наслідку, не повинна відбуватися з частотою, що перевищує один раз за 10÷àñ.

Допустимий ризик залежить від багатьох факторів (наприклад, від тяжкості травм, кількості людей, що наражаються на небезпеку, від того, наскільки часто людина чи люди наражаються на небезпеку, а також відперіоду часу, протягом якого люди наражаються на небезпеку). До важливих факторів належать усвідомлення небезпеки і ставлення до неї тих, хто піддається дії небезпечної події. При виробленні думки про те, що є допустимим ризиком для конкретного додатка, враховуються:

- керівні вказівки органів влади, які здійснюють регулювання у сфері безпеки;

- обговорення та угоди між різними сторонами, що беруть участь у конкретній галузі застосування;

- промислові стандарти та керівництва;

- міжнародні обговорення та угоди; роль національних і міжнародних стандартів у виробленні критеріїв визначення допустимого ризику стає дедалі важливішою;

- найкращі незалежні промислові, експертні та наукові рекомендації консультативних органів;

- законодавчі вимоги як загальні, і ті, які безпосередньо ставляться до конкретної сфери застосування.

А.3 Роль Е/Е/РЕ систем безпеки

Е/Е/РЕ системи, пов'язані з безпекою, сприяють досягненню необхідного зменшення ризику, що робить його допустимим. Системи, пов'язані з безпекою:

- реалізують функції безпеки, необхідні для досягнення або підтримання безпечного стану керованого обладнання;

- використовуючи власні кошти, або разом з іншими Е/Е/РЕ системами, пов'язаними з безпекою, з системами, пов'язаними з безпекою, заснованими на інших технологіях, або із зовнішніми засобами зменшення ризику, досягають необхідної повноти безпеки для необхідних функцій [МЕК 61508- 4 (пункт 3.4.1)].

1 У першому перерахунку зазначається, що система, пов'язана з безпекою, повинна виконувати функції, які можуть бути визначені у специфікаціяхвимог до функцій безпеки. Наприклад, специфікація вимог до функцій безпеки може містити вимогу про те, що коли температура досягає значення , повинен відкриватися клапан, який дозволяє воді надходити в посудину.

2 У другому перерахунку зазначається, що функції безпеки повинні виконуватися системами, пов'язаними з безпекою, зі ступенем надійності, достатнім для досягнення в конкретній галузі застосування допустимого ризику.

До складу Е/Е/РЕ системи, пов'язані з безпекою, можуть входити люди. Наприклад, людина може отримувати інформацію про стан EUC з екрана дисплея і виконувати дії, ґрунтуючись на цій інформації. Е/Е/РЕ системи, пов'язані з безпекою, можуть працювати в режимі низької інтенсивності запитів або в режимі високої інтенсивності або безперервних запитів [МЕК 61508-4 (пункт 3.5.12)].

А.4 Повнота безпеки

Повнота безпеки визначається як ймовірність того, що система, пов'язана з безпекою, задовільно виконуватиме необхідні функції безпеки за всіх встановлених умов протягом встановленого періоду часу [МЕК 61508-4 (пункт 3.5.2)]. Повнота безпеки відноситься до характеристик, що описують здатність систем, пов'язаних з безпекою, виконувати функції безпеки, які мають бути визначені у специфікації вимог до функцій безпеки.

Вважається, що повнота безпеки повинна розглядатися як така, що складається з двох елементів:

- Повноти безпеки апаратури; ця частина повноти безпеки пов'язана з випадковими відмовими апаратури, що виявляються у небезпечному режимі [МЕК 61508-4 (пункт 3.5.5)]. Досягнення заданого рівня повноти безпеки апаратури, призначеної для забезпечення безпеки,може бути оцінено з розумним ступенем точності, отже, вимоги можуть бути розподілені між підсистемами відповідно до нормальних законів для ймовірностей спільних подій. Для досягнення адекватної повноти безпеки апаратури може знадобитися використання надмірної архітектури;

- Повноти безпеки, пов'язаної з систематичними відмовими; ця частина повноти безпеки обумовлена ​​систематичними відмовими, що виявляються у небезпечному режимі [МЕК 61508-4 (пункт 3.5.4)]. Хоча середня інтенсивність систематичних відмов може бути оцінена, дані, отримані з аналізу конструктивних відмов і відмов із загальною причиною, свідчать про те, що розподіл відмов спрогнозувати важко. Це призводить до збільшення невизначеності розрахунків ймовірності відмов для конкретної ситуації (наприклад, ймовірності відмови системи захисту). Тому необхідно вибирати методи, що мінімізують цю невизначеність. Слід зважати на те, що заходи щодо зменшення ймовірності випадкових відмов апаратури не завжди призводять до зменшення ймовірності систематичних відмов. Такі методи, як надлишкові канали ідентичної апаратури, дуже ефективні регулювання випадкових відмов апаратури, мало впливають зменшення систематичних відмов.

Рівень повноти безпеки Е/Е/РЕ систем, пов'язаних з безпекою, систем, пов'язаних з безпекою, що ґрунтуються на інших технологіях, та зовнішніх засобів зменшення ризику повинен гарантувати, що:

- частота відмов систем, пов'язаних з безпекою, буде достатньо низькою, щоб запобігти перевищенню частоти небезпечних подій, що відповідає допустимому ризику та/або, що

- системи, пов'язані з безпекою, змінюють наслідки відмов настільки, що ризикстає допустимим.

На малюнку А.1 подано основні концепції, пов'язані зі зменшенням ризику. У загальній моделі передбачається, що:

- Є EUC та система управління EUC;

- Є фактори, пов'язані з людиною;

- засоби захисту включають:

зовнішні засоби зменшення ризику,

Е/Е/РЕ системи, пов'язані з безпекою,

системи, пов'язані з безпекою, що ґрунтуються на інших технологіях.

визначення

Рисунок А.1 – Зменшення ризику: основні поняття

На малюнку А.1 представлена ​​узагальнена модель ризику, призначена для демонстрації основних принципів. Модель ризику для конкретної програми повинна розроблятися з урахуванням конкретного способу, яким буде досягатися необхідне зменшення ризику Е/Е/РЕ системами, пов'язаними з безпекою, системами, пов'язаними з безпекою, що ґрунтуються на інших технологіях, та зовнішніми засобами зменшення ризику. Тому підсумкова модель ризику може відрізнятиметься від моделі, представленої малюнку А.1.

До ризиків, представлених малюнку А.1, входят:

- ризик EUC: ризик певних небезпечних подій, пов'язаних з EUC, з системами управління EUC та з людським фактором;

- допустимий ризик: ризик, який допустимо у заданому контексті відповідно до існуючих у суспільстві цінностей [МЕК 61508-4 (пункт 3.1.6)];

- залишковий ризик: ризик небезпечних подій, пов'язаних з EUC, системою управління EUC, факторами, що залежать від людини, яка зберігається після додавання зовнішніх засобів зменшення ризику, Е/Е/РЕ систем, пов'язаних з безпекою, та систем, пов'язаних з безпекою, заснованих на іншихтехнологіях [МЕК 61508-4 (пункт 3.1.7)].

Ризик EUC залежить від факторів ризику, створюваних безпосередньо EUC, а також від зниження ризику, що забезпечується системою управління EUC. Щоб запобігти появі необґрунтованих оцінок повноти безпеки для систем управління EUC, цей стандарт обмежує такі оцінки [МЕК 61508-1 (пункт 7.5.2.5)].

Необхідне зменшення ризику досягається об'єднанням усіх заходів підвищення безпеки. На малюнку А.1 показано зменшення ризику від вихідного рівня, що відповідає ризику EUC, до рівня, що відповідає заданому допустимому ризику.

А.5 Ризик та повнота безпеки

Примітка - Щоб отримати оптимальну систему, пов'язану з безпекою, що задовольняє різним вимогам, розподіл має бути ітеративним.

p align="justify"> Роль систем, пов'язаних з безпекою, в досягненні необхідного зменшення ризику показана на малюнках А.1 і А.2.

терміни

Рисунок А.2 - Поняття ризику та повноти безпеки

А.6 Рівні повноти безпеки та рівні повноти безпеки програмного забезпечення

Для задоволення широкого діапазону необхідних зниження ризику, які повинні забезпечувати системи, пов'язані з безпекою, доцільно мати в розпорядженні ряд рівнів безпеки як заходи для задоволення вимог повноти безпеки функцій безпеки, розподілених по системах, пов'язаних з безпекою. Рівні повноти безпеки програмного забезпечення використовуються як база для специфікації вимог до повноти безпеки функцій безпеки, що виконуються програмним забезпеченням, пов'язаним з безпекою. Специфікація вимог щодо повноти безпеки повинна визначати рівні повноти безпеки для Е/Е/РЕ систем, пов'язаних із безпекою.

У цьому стандарті визначено чотири рівні повноти безпеки, найвищим є рівень 4, найнижчим – рівень 1.

Кількісні характеристики інтенсивності відмов для чотирьох рівнів повноти безпеки наведені у МЕК 61508-1 (таблиці 2 та 3). Визначено два параметри, один – для систем, пов'язаних з безпекою, що працюють у режимі низької інтенсивності запитів, інший – для систем, пов'язаних із безпекою, що працюють у режимі високої інтенсивності запитів або у безперервному режимі.

Примітка - Для систем, пов'язаних з безпекою, що працюють у режимі низької інтенсивності запитів, як міра повноти безпеки цікавить ймовірність відмов виконання функцій безпеки за запитами. Для систем, що діють у режимі високої частоти запитів, або з безперервними запитами, як міра повноти безпеки представляє інтерес середня ймовірність відмов у годину [МЕК 61508-4 (пункти 3.5.12 та 3.5.13)].

А.7 Розподіл вимог безпеки

Розподіл вимог безпеки (як вимог до функцій безпеки, так і вимог до повноти безпеки), що пред'являються до Е/Е/РЕ систем, пов'язаних з безпекою, систем, пов'язаних з безпекою, заснованих на інших технологіях, та зовнішніх засобів зменшення ризику показано на малюнку А.3, який ідентичний малюнку 6 МЕК 61508-1. Вимоги щодо розподілу вимог безпеки по фазах наведені у МЕК 61508-1 (пункт 7.6).

безпеки

Малюнок А.3 - Розподіл вимог безпеки щодо Е/Е/РЕ систем,

пов'язаних з безпекою, систем, пов'язаних з безпекою, заснованих на інших технологіях,

та зовнішнім засобам зниження ризику

Методи, що використовуються для розподілу вимогповноти безпеки по Е/Е/РЕ системам, пов'язаним з безпекою, системам, пов'язаним з безпекою, заснованим на інших технологіях, та зовнішнім засобам зниження ризику, залежать, в першу чергу, від того, чи задається необхідне зниження ризику явно в кількісній чи якісну форму. Ці підходи отримали назви відповідно кількісного та якісного методів (додатки В-Е).

1 Вимоги до повноти безпеки зв'язуються з кожною функцією безпеки до розподілу [МЕК 61508-1 (пункт 7.5.2.6)].

2 Функція безпеки може бути розподілена за кількома системами, пов'язаними з безпекою.

3 ССБ - система(и), пов'язана(і) з безпекою.