機能安全、パート2の7。IEC61508：シャーロックホームズとデートツタシキアのどちらになりますか？

ソース＃1 ; ソース＃2



ハブ全体がハブのセキュリティに専念しており、おそらく、「セキュリティ」の概念に正確に何が投資されているのか誰も考えていないため、情報セキュリティ（セキュリティ）はすべて明確です。 しかし、安全性、安全性、人間の健康と生命、環境へのリスクに関連する別の側面があります。 情報技術自体は危険ではないため、通常は機能コンポーネント、つまりコンピューターシステムの適切な機能に関連するセキュリティについて話します。 インターネットの出現により情報セキュリティが重要になった場合、事故が常に発生するため、機能制御はデジタル制御の出現前に検討されました。



この記事では、 機能安全に関する一連の出版物を続けています。



別のステップを踏むためには、標準IEC 61508「電気、電子、プログラマブル電子安全関連システムの機能安全」 （IEC 61508電気/電子/プログラマブル電子安全関連システムの機能安全）を引き続き検討する必要があります。 実際のところ、安全性にとって重要なシステムはすべての国で州の免許の対象となるため、機能安全はかなり形式化された財産です。



規格とそれに埋め込まれた用語を勉強することは、世界で最も楽しい活動ではありませんが、実用的なアプローチにより、専門家の技術レベルはこれから向上できます。 用語の解釈は一種の「技術的法学」であり、探偵の著者は誰でも、要件の記述にあるストーリーの複雑さをうらやむことができます。

標準を勉強することで、誰もがすぐに技術的なシャーロックホームズになることを保証しません。 標準化の基礎（つまり、技術立法）の知識は、 探偵の技術専門家の仕事の根底にあります。 基準を研究することは、 チャブアアミレジビの半分忘れられた小説からのデートツタシキアの道である可能性が高く（「ショアーズ」の改作もあります）、道はそれほど前進していませんが、深みがあり、反省するほど活動していません。

IEC 61508に関する一般情報

この規格では、電気/電子/プログラマブル電子（E / E / PE）システム（電気/電子/プログラマブル電子）という用語を使用しています。



標準の機能は、リスクベースのアプローチです。 人工物が環境、生命、および人間の健康に及ぼすリスクに応じて、制御システムの障害に対するリスクが確立されます。



たとえば、原子炉の保護システムに注意してください。 連続運用の場合、障害は1000年の運用（MTBF 1000万時間）ごとに1回しか発生しません。 そのようなインジケータは、単一のオブジェクトではなく、「フリート」、つまり 多くの同様のオブジェクト。 失敗は非常にまれな出来事であると思われます。なぜなら、単一の原子力発電所が千年もの間機能しないからです。 しかし、世界で400基以上の原子炉が運転されていることを考慮すると、「艦隊」については、2.5年ですでに1つの故障の数字を受け取ることになります。 チェルノブイリと福島の原子力災害の間、緊急保護システムは設計者の期待どおりに機能しませんでした。 これは、機能安全を考慮することの重要性を支持するもう1つの議論です。



リスク値を指定された指標よりも低くするために、一連の組織的および技術的対策が実装されています。これは、障害リスクの許容値に応じて、IEC 61508でも規制されています。



さらに、IEC 61508は、医療機器、道路および鉄道輸送、プロセス制御システムなどの制御システムの機能安全要件を詳述する業界標準ファミリ全体のトップレベルを表しています。



IEC 61508の初版は1998年から2000年にかけて開発されました。 ロシア連邦では、2007年に第1版が州の標準GOST R IEC 61508として採用されました。 現在、2010年に発行されたIEC 61508の第2版は世界中で運用されていますが、ロシア連邦では、IEC 61508の第2版も2012年以降関連しています（GOST R IEC 61508-2012）。



IEC 61508シリーズの標準には7つのパートが含まれており、合計で約600ページのテキストが含まれています。 名前からパーツの目的を推測するのは簡単です。







もちろん、IEC 61508シリーズの全体的なフレームワーク（IEC 61508、図1）に示されているように、IEC 61508の部品間にはかなり複雑な関係があります。

IEC 61508の用語：基本的な安全条件

機能安全の概念に対処するためには、最初からではなく、最後からではなく、中央から、つまり主要な用語を定めている第4部（ IEC 61508-4 ）から始める必要があるかもしれません。 ご覧のとおり、用語は8つのグループ（3.1〜3.8）に分かれています。 これらのグループは論理的に相互接続されています。 私の意見では、最も重要なのはグループ3.1（安全用語）および3.5（安全機能と安全性整合性）です。







さらに、IEC 61508-4のロシア語のテキストに従って用語が選択的に引用された後、著者の解釈が示されます。



したがって、用語の最初のセクション3.1「セキュリティに関連する用語」。





すべてのエンティティを1つの全体に接続しようとしましたが、その結果、次のスキームが得られました（おそらく、オントロジーと呼ぶことができます）。 コンピューター制御システム（KSU）は、リスクを減らすための多くの手段の1つにすぎないことに注意することが重要です。 たとえば、自動車や飛行機のシートベルトなど、多くのいわゆる受動的な保護手段があります。







リスクは安全性の指標であり、リスクの概念上、これらの同じ指標を検討する際には、将来に注意を払う必要があります。 簡単な例を挙げましょう。 何らかの理由で、男が屋根の端に沿って歩いています。 屋根からの落下の可能性、セテリスパリバスは、建物の高さに依存しません。 しかし、損傷の程度は異なります。 その場合、10階建ての建物の屋根から落ちるリスクは、1階建ての建物の屋根から落ちるリスクよりも高くなります。 しかし、10階建ての建物の屋根から落下するリスクは、100階建ての建物の屋根から落下するリスクとほぼ同じです。なぜなら、落下の確率が同じであれば、残念ながらここでの落下の結果（損傷）も同じだからです。



興味深いのは、私の意見では、許容可能な（許容可能な）リスクの概念です。 それは歴史的および人道的状況に依存します。 現代社会の最高の価値は、人間の生命であり、この生命を形作り、支える環境への関心であることは本当ですか？ 技術的対象の実際の状態は、州と社会が宣言された価値をどのように実現するかを示しています。



もう1つの基本的な概念は、「安全な状態」です。 たとえば、最も重要な安全システムの1つである緊急保護システム（PAZ）は、管理対象施設の運転を停止する必要があります。 これはどうですか？ 原則として、電気回路を破壊することにより（これはすでに機器を制御するための技術的アルゴリズムに依存します）、これは出力離散信号を「論理0」状態に変換することにより発生します（いわゆるトリップへの非通電原理により、システムが電源の緊急事態でも動作できるようになります） ） 必要に応じて、中間リレーを介して「論理0」を「論理1」に反転できます。

用語IEC 61508：安全機能と安全性に関連する用語

一連の記事の最初の部分で、機能安全の概念には実装されたセキュリティ機能とこれらの機能を実行する完全性（統合）が含まれることを簡単に述べました。



IEC 61508-4の3.5項「安全機能と安全性の整合性」では、これらの用語を参照しています。





安全性の完全性に関する特定の定義の観点から、この特性は実際には安全機能の障害のない実現、つまり これは、信頼性の一部と見なされます。これは、従来の信頼性のコンポーネントです。 実際、IEC 61508の他の規定から、安全性の整合性は、保守性、可用性、耐久性、情報セキュリティなどの属性に関連付けられたより複雑なプロパティであることになります。 信頼性と安全性のコンポーネントの用語および分類学的側面は、関連する知識の分野です。 以降の出版物では、これをより詳細に理解することが理にかなっています。



IEC 61508のもう1つの中心的な概念は、安全度レベル（SIL）です。 SIL値は、制御された機器の影響が人と環境にどれだけのリスクをもたらすかに応じて設定されます。



これに基づいて、コンピューター制御システム自体の障害のリスクが確立されました。 たとえば、記事の冒頭で、原子炉の保護システムの場合、平均故障間隔は少なくとも1,000万時間であると述べました。 これはSIL3に対応します。 一般に、最も単純なデバイスのみがSIL4に一致することが一般に受け入れられています。 産業用制御システムで使用されるプログラマブルロジックコントローラー（PLC）の場合、SIL3が実現可能です。



また、定義の構造から、安全性の整合性は、体系的な障害に関する安全性の整合性（ソフトウェアの安全性の整合性がここに落ちる）とハードウェアの安全性の整合性という2つのコンポーネントに分かれます。



最初のコンポーネントでは、設計エラーに起因する体系的な障害に対する保護手段の使用が必要です。 そのためには、設計と開発、テスト、構成管理、プロジェクト管理などのプロセスを改善する必要があります。 これは、 Capability Maturity Model Integration（CMMI）レベルを漠然と連想させますが、直接トレースされるわけではありません。 SIL値ごとに、体系的な障害に対する一連の保護方法が定義されており、SILの増加とともにその数と「重大度」が増加します。



ハードウェアセキュリティの完全性は、偶発的な障害に対する保護に関連付けられており、高レベルの信頼性と自己診断、そしてもちろん冗長性を備えたコンポーネントの使用によって保証されます。



多くのPLC開発者が使用する興味深いトリックがあります。 シングルチャンネルPLC構成でSIL2レベルを達成できます。 次に、冗長構成によりSIL3が提供されます。 同時に、開発プロセス（体系的な機能）はSIL3に準拠する必要があります。



ここで、前のセクションと同様に、コンピューター制御システム（KSU）の環境構造（危険、損傷、リスク、対策、制御機器）の適用を試みます。 ここでは、KSUの安全機能を果たすための危険性について説明しています。KSUの不履行はリスクに関連しているためです。 このリスクを軽減するために、さまざまな安全整合性対策が適用されます。 すでに知っているように、これらの対策は偶発的および体系的な障害からの保護を目的としています。







次に、結果のスキームを以前のサイズのスキームと組み合わせてみましょう。 機能的な安全性の用語環境を「指で」示す2つのレベルの構造であることがわかります。

IEC 61508の用語：より有用な用語

したがって、IEC 61508-4によると、8つの用語セクションのうち6つがまだあります。



次の用語セクション：3.2「機器とデバイス」。 安全性に重要なシステムで使用されるソフトウェアとハ​​ードウェアの種類に関連するかなり些細な定義を提供します。 上記の制御機器の定義のみを示します。





セクション3.3「システム：一般的な側面」には、技術者にとって明らかな定義も含まれています。



セクション3.4「システム：セキュリティの側面」には、「セキュリティシステムとは正確には何を意味するのか？」という質問に答える重要な定義が含まれています。





セクション3.6、失敗、失敗、およびエラーは、これらの迷惑なインシデントを定義します。 さらに、このセクションでは、危険で安全な障害だけでなく、既知の偶発的および体系的な障害の定義も示します。 以下は安全インジケータの定義であり、別の出版物で検討するのが理にかなっています。





セクション3.7、ライフサイクルプロセスの定義、およびライフサイクル自体は、別の出版物の主題です。





セクション3.8「セキュリティ対策の確認」では、検証と検証のために与えられた定義が重要です。 通常、ライフサイクルでは、検証と検証（V＆V）は単一のプロセスと見なされます。 検証とは、完全に統合されたシステムのテストを意味し、入力および出力信号の物理シミュレーション、および検証-その他すべてのレビュー、分析、テストを含みます。 しかし、IEC 61508の定義から、これはまったく従いません。

結論

IEC 61508は、かなり長く、複雑で、時には混乱を招き、矛盾する標準であり、7つの部分が含まれています。 それを「実行」するだけで「解く」ことができます。



IEC 61508は、リスクベースのアプローチに基づいています。 コンピューター制御システムのリスクレベルは、管理された技術対象が環境に及ぼす影響、および人間の健康と生活に応じて割り当てられます。



この目的のために、IEC 61508でSafety Integrity Level（SIL）の概念が導入されており、1から4まで順番にインストールされています。設計エラーが原因です。 したがって、SILのそれぞれについて、製品要件は、安全性指標の値およびライフサイクルプロセスの実装の「厳密な」要件の形式で設定されます。



機能安全の用語は、IEC 61508の第4部（IEC 61508-4）で説明されています。



用語を理解した後、本書の次の部分で、IEC 61508の残りの部分の構造と関係を検討することができます。



法律と基準はさまざまな方法で解釈できますが、いずれにしても、通訳者は、タイムリーに善と悪を区別するために、その内容を理解する必要があります。



PS機能安全の主な側面を説明するために、次の一連の記事が開発されています。

- 機能安全のトピックの紹介 。

-IEC 61508規格：用語 。

-IEC 61508規格：要件構造 。

- 情報と産業用制御システムの機能安全との関係 。

- 機能安全の管理と評価のプロセス ;

- 情報と機能セキュリティのライフサイクル 。

- 信頼性と機能安全の理論：基本的な用語と指標 。

- 機能安全を確保する方法 。



ここでは、出版のトピックに関するビデオ講義を見ることができます。