機能安全、パート6/7。機能安全と信頼性の指標の評価

出所



機能安全に関する一連の出版物を続けて、今日の記事では、ランダムなハードウェア障害に関する統計に基づいて機能安全を定量化する方法を検討します。 このために、あなたが知っているように、確率論の応用の一つである信頼性の理論の数学的装置が使用されます。 したがって、信頼性の理論から知られている規定を定期的に参照します。



次の問題を検討します。



-信頼性、情報、機能セキュリティの属性の接続。

-リスク分析から機能安全指標の測定への移行。

-信頼性と機能安全の指標を計算する例。

信頼性、情報、機能セキュリティの属性

どのプロパティを評価するかを正確に理解するために、信頼性属性、情報セキュリティ、および財務セキュリティの構造と関係を考慮します。



信頼性を定義することから始めましょう。 信頼性は、特定のモードおよび使用、メンテナンス、保管、輸送の条件で必要な機能を実行する能力を特徴付けるすべてのパラメーターの値を、設定された制限内に保つオブジェクトのプロパティです。 これは、簡単な図に示されています。 システムは、パラメータの耐用年数と制限値を設定します。 パラメータが指定された制限内にある間、システムは動作可能です。パラメータが制限外である場合、その逆も同様です。

（図1）。









図1.信頼性の定義のグラフィカルな解釈



信頼性と信頼性の特性の相関関係は、この特性の標準化の分野では、西洋科学とソビエト科学が一度にいくつかの異なる方法で進んだため、別々に言う必要があります。 信頼性と信頼性の両方が複雑な特性と見なされるため、信頼性という用語の正しい翻訳は信頼性です。 信頼性は、信頼性という用語の正しい翻訳です。これは重要ですが、それでも信頼性のコンポーネントの1つにすぎません。 信頼性は、一定の時間または動作時間にわたって継続的に健全な状態を維持するオブジェクトの特性です。 信頼性は、メンテナンスフリーシステムの信頼性のみで一般化できます。



信頼性に加えて、信頼性のコンポーネントには、保守性、耐久性、および保存性が含まれます。 可用性は、稼働時間と保守性の組み合わせです。



これらのすべての規定は、私がこれまでに手にしていた標準の提示の調和という点で最高の1つであるGOST 27.002-89に記載されていました 。 「技術の信頼性。 基本的な概念。 用語と定義。」 残念なことに、GOST Rとしての西部標準の「非選択的」な適応は、ソビエトの信頼性の学校の業績が現在忘れられているという事実につながっています（少なくとも正式な標準化の分野では）。 2009年に、標準のGOST R 27.002-2009が発行されました （何らかの理由で元の番号はGOST R 53480-2009でしたが、その後歴史的正義が優勢になりました）。 1990。 進歩は常に進歩的であるとは限らず、主要な用語のプレゼンテーションを比較することで、プレゼンテーションの品質を自分で判断できます（図2）。 ウクライナでは、GOST 27.002-89に対応するDSTU 2860-94が現在稼働しています。









図2. GOST 27.002のバージョンによる信頼性属性の比較分析

1989年と2009年から



確率論の数学的装置を適用できる、正確にランダムなハードウェア障害を検討していることを強調します。 信頼性理論は、非常に信頼性の低いコンポーネントから信頼性の高いシステムを構築できる世界の実用的な状況を示しています（原則として、バックアップおよび診断方法によって）。 状況は系統的故障とは異なりますが、これは明らかに信頼性の理論の枠組みでは説明できません。 これらの障害は予測不可能であるため、最大の問題を構成します。 1980年代および90年代には、確率モデルを適用して、ソフトウェアの信頼性、オペレーターのエラー、情報セキュリティ指標を評価する試みがありました。 これまで、このパスは実際に適用可能な結果を​​もたらしていませんでした。



信頼性属性の分析に対する別のアプローチは、いわゆるRAMSアプローチです。これは、信頼性（可用性）、可用性（保守性）、および安全性（安全性）の略です。 時には、この4つの属性に整合性、統合、または完全性も追加されます。これは、IEC 61508のロシア語版でこの単語がどのように翻訳されるかによるものです。これらのプロパティの最も簡単な定義は次のとおりです：



-準備とは、適切な操作に対する適合性です。

-信頼性は、適切なメンテナンスの継続性です。

-保守性とは、変更や修復を行う能力です。

-セキュリティは、ユーザーと環境に壊滅的な影響がないことです。

-統合とは、不適切なシステム変更がないことです。



セキュリティ（IS）は、機密性、統合、および準備の属性のコレクションです（いわゆるCIAトライアド）。 情報にアクセスするための承認されたアクションについては準備またはアクセシビリティが考慮され、データの正しい作業については、許可されていない変更を除いて統合が考慮されます。 機密性は、信頼性と比較して追加の属性であり、これは情報の不正開示が存在しないことを意味します。 したがって、信頼性（つまり、信頼性）とセキュリティ（つまり、情報セキュリティ）を記述する最も単純なモデルは、6つの属性だけで表されます（図3）。







図3. RAMSおよびCIAの属性



次に、別の反復処理を行い、既知のすべての属性を単一の図の形式で表示しようとします（図4）。







図4.信頼性、情報、機能セキュリティの属性の一般的な分類



通常の行は、6つの属性の考慮されたばかりのモデルに対応する属性と関係を示しています。 点線は追加の属性を追加します。 属性グループの1つは、ディペンダビリティコンポーネントに関連しています。 IEC（61508）に基づくFB（安全性）には、安全機能と整合性が含まれており、安全機能を通じて、FBは信頼性、可用性、信頼性に関連付けられています。 したがって、信頼性、情報セキュリティ、およびセキュリティの属性の間には、相互の影響と定量的な評価で考慮する特定の関係があります。

リスク分析と機能安全指標

それでは、安全インジケータに目を向けましょう。 FBの基本的な概念と指標はリスクです。これは、望ましくないイベントの確率とその結果の組み合わせです。



リスク評価は定量的および定性的である場合がありますが、定性的ではありますが、「高」、「中」、「低」などのカテゴリで動作します。



望ましくないイベントとそれによる損害が記録されている場合、リスクは固定損害の発生確率P（t）と数値的に等しくなります。 たとえば、放射性物質が今日大気中に放出される原子力発電所での事故のリスクは、10 ^-7 1 /年以下で確立されています。



いわゆるALARA（ALARP）原則（合理的に適用可能/実行可能な限り低い）、リスク管理へのアプローチは、実際に利用可能な（限られた）リソースによって達成される最大限の削減を意味し、リスク評価とリスク管理に広く使用されています（図5） 。







図5. ALARP法に基づくリスク削減（合理的に実行可能な限り低い）、IEC 61508-5



便利なモデルはリスクグラフです（図6）。 例は、産業機器の安全性に関する規格から取得されています（EN ISO 13849-1機械の安全性-制御システムの安全関連部分-パート1：設計の一般原則）。 イベントの可能性と結果に加えて、危険と損害を回避する可能性も考慮されました。 これらの3つのカテゴリには高い値と低い値があります。その結果、6つの組み合わせが得られ、それぞれが安全度レベル（SIL）のアナログであるaからeまでの1つまたは別のパフォーマンスレベル（PL）に対応します。







図6.リスクグラフ、EN ISO 13849-1



これはリスク評価の定性的アプローチです。次に、IEC 61508で安全性指標の定量的値がどのように標準化されるかを検討します。 制御システムを考慮すると、リスクに関連するイベントは安全機能の故障であるため、安全機能の故障確率が安全インジケータとして選択されるのは論理的です。



信頼性理論の基本概念に戻りましょう。 信頼性理論は、確率論の応用分野であり、システムの故障までの時間はランダム変数と見なされます。



最も重要な指標の1つは、障害のない動作の確率です。これは、MTBFと呼ばれる設定されたMTTF時間内に障害が発生しない確率として理解されます。P（t）= P {MTTF> t}。 あらゆる確率と同様に、故障のない動作の確率は1から0までの値を取ります。さらに、初期の時点では1に等しく、無限に向かう時間ではゼロに等しくなります。



故障の確率は、設定時間T内に故障が発生する確率です。 障害の確率は、障害のない操作が単一になる確率を補完します（障害が発生するかどうか、つまり、イベントの完全なグループがある）：F（t）= 1-P（t）



故障率-故障が発生していない場合、故障間の時間の条件付き分布密度（つまり、時間微分）の次元は1時間です：



$$$\ラムダ$ （t）= f（t）/ P（t）=-[1 / P（t）]•[dP（t）/ dt] =-[1 /（1-F（t）]•[dF（t / dt]。統計的評価では、故障率は、同じタイプの故障した製品の数と、これらの故障が観察された時間間隔の長さの比率として定義されます（たとえば、1000時間で10個の製品が故障した場合、 $$$\ラムダ$ = 10/1000 = 0.01 1 /時間）。



信頼性の理論の重要な仮定は、故障率が時間的に一定であると見なされる場合、故障までの時間のいわゆる指数分布の使用です。



MTTF MTBFは、稼働時間の確率について、ゼロから無限の範囲の定積分として計算されます。







MTTFはシステムの平均または保証動作時間として解釈される場合がありますが、MTTFの時点での障害のない動作の確率は1 / eであり、約0.37であるため、これはそうではありません。 つまり、単一のデバイスの場合、MTTFの有効期限が切れた後でもデバイスが動作し続ける可能性は0.37だけです。 同じタイプのデバイスのグループの場合、MTTFの有効期限が切れた後でも動作し続けるのは37％だけです。



可用性係数は、オブジェクトの意図された使用が提供されない計画期間を除き、オブジェクトが任意の時点で稼働状態になる確率です。 可用性係数は、障害間の合計時間から障害までの時間（MTTF）および障害後の平均復旧時間（MTTR）として計算されます。



A = MTTF /（MTTF + MTTR）。



信頼性と安全性の関係を理解するために、IEC 61508で検討されている障害の分類に移りましょう（図7）。 失敗は危険で安全であり、診断されたものや診断されていないものもあります。 信頼性のフレームワークでは、あらゆる種類の障害が考慮されます。 安全性の観点から、私たちは危険な故障にのみ関心があり、そのような故障を診断することが重要であり、それらが検出された場合、システムは安全な状態になる可能性があります。







図7. IEC 61508に準拠した故障分類と安全性インジケータ



IEC 61508は、次の安全性インジケータを提供します。



まず、これはいわゆるハードウェアフォールトトレランス（HFT）です。 これは、システムで障害が発生する前にシステムで発生する可能性があるハードウェア障害の数を示す非常に単純なインジケータです。 基本的に、これは追加のバックアップチャネルの数に相当します。 つまり、システムが予約されていない場合、障害が発生するとHFT = 0になります。システムに2つのバックアップチャネルがある場合、そのうちの1つは追加の冗長です。 単一の障害の後、システムは稼働したままになります。 HFT = 1など



第二に、安全破損率（SFF）を決定する必要があります。 IEC 61508の観点では、これは安全で危険な診断された故障の強度と全故障率の比率です（図7を参照）。 IEC 61508の条件では、まず、危険な未診断障害、および安全な障害に属する危険な診断済み障害が考慮されていることがわかります。



したがって、危険な故障の割合（危険な故障の割合、DFF）を決定し、安全な故障の割合を1つに補充し、危険な診断されていない故障の強度と全故障率の比率として計算できます（図7を参照）。



IEC 61508の診断カバレッジ（診断カバレッジ、DC _D ）は、危険な故障の強度にのみ基づいて決定されます。これは、危険な故障の強度に対する危険な故障の強度の比率です（図7を参照）。



技術診断では、より一般的なアプローチは、診断カバレッジ（DC）が診断された故障率と全故障率の比として定義される場合です（図7を参照）。 ただし、IEC 61508は、統合診断による危険な故障の可能性の低下の割合に基づいて診断カバレッジを宣言しています。



取得した安全故障率の値に基づいて、冗長構成または非冗長構成に応じて、達成可能な最大のSIL安全整合性レベルを決定できます（図8）。







図8.安全故障率（SFF）およびハードウェアフォールトトレランス（HFT）、IEC 61508-2に基づく達成可能な最大SIL



たとえば、非冗長構成（HFT = 0）の90％〜99％の安全障害率の場合、SIL2の最大安全整合性レベルを達成できます。 複製システム（HFT = 1）ではSIL3を実現でき、3成分システムではSIL4（HFT = 2）を実現できます。 通常、このようなアプローチは、PLCおよびその他の制御安全システム用機器の開発者によって使用されます。 偶発的なハードウェア障害に対する耐性は、非冗長構成の場合はSIL2レベル、重複構成の場合はSIL3レベルに対応します。 ただし、この場合、ライフサイクルプロセスの実装に起因する体系的な障害に対する耐性もSIL3レベルに対応している必要があることに注意してください。



IEC 61508で指定されている別のグラデーションは、機器をタイプAとタイプB（タイプAとタイプB）に分離することです。 タイプAには、最も単純な、主に機械的および電気的コンポーネントが含まれます。 プログラム可能な電子部品はすべてタイプBです。



考慮される要件に加えて、安全性インジケータの数値に関する要件がまだあります。



IEC 61508の基本的な定義から、機器の操作には3つのモードがあることを思い出してください：セキュリティ機能に対する要求の頻度が1年に1回を超えない低需要（低需要モード）と、高需要（高需要モード）セキュリティ機能を実行するリクエストの頻度が1年に1回を超え、連続モードです。 IEC 61508は、これらのモードに対してさまざまな信頼性インジケータを推奨していることがわかりました。



リクエストの頻度が低いシステムでは、リクエスト時にセキュリティ機能を実行できない危険な平均確率をターゲット指標として決定する必要があります（図9）。 安全度レベルSIL1の場合、この値は0.1を超えてはなりません。 SILが増加すると、そのたびに危険な障害の確率が10倍減少します。 したがって、SIL4の安全性整合性レベルでは、危険な故障の確率は10 -5〜10 ^-4の間である必要があります。



すでに調べた指標と平行線を引くと、この指標は利用不能係数と同等になります。 可用性係数を1に補います。 ただし、これはすべての障害に関するものではなく、診断されていない危険な障害のみであることに注意してください。







図9. SILレベルの、オンデマンドで安全機能を実行する危険な失敗の平均確率の値への依存性（低需要モード）、IEC 61508-1



高頻度の要求または連続モードで動作するシステムの場合、セキュリティ機能の危険な障害の平均頻度（または強度）が決定されます（図10）。 SIL1の安全性整合性レベルでは、このインジケータは1時間あたり10 ^-5 1を超えてはなりません。これは、11.4年で1つの障害に相当します。 SILが増加すると、そのたびに危険な障害の強度が10倍減少します。 SIL4の安全性整合性レベルでは、危険な故障の強度は10 -9〜10 ^-8 1 /時間、つまり、11,400年に1回以下の故障である必要があります。 もちろん、単一のシステムの場合、これはいくぶん馬鹿げているように聞こえますが、世界中で同様のシステムが何千台も運用されていることを考慮すると、このような低い故障率であっても、現実には危険な故障が発生する可能性が非常に高くなります。



このインジケータは、診断されていない危険な障害の強度に相当します。







図10. SILレベルの安全機能の危険な故障の平均強度の値への依存性（高周波モードおよび連続モード）、IEC 61508-1



安全性指標を計算するすべてのタスクは、障害の種類、結果、および重大度を分析するための方法論のフレームワーク内で一緒にリンクされています（障害モード、影響および重大度分析、FMECA）。 この手法の主なポイントは、IEC 60812：2006、システムの信頼性の解析手法-故障モードおよび影響解析の手順（FMEA）に記載されています。 ロシア連邦では、 GOST R 51901.12-2007「リスク管理。 障害の種類と結果の分析方法” 、これはIEC 60812の適応です。



FMECAの初期データは、信頼性の構造図、フォールトツリー分析、マルコフ分析などの方法を適用することで取得できます。

機能安全と信頼性の指標の計算例

ここで、安全インジケータを定義するためのいくつかの例を見ていきます。私は、Yu.N。 フェドロバ。



単純なプロセス制御システムの安全性を計算する必要があります。 圧力センサーを備えたタンク（ボイラーなど）があり、そこにパイプを通して液体が供給されます（図11）。 プリセット圧力レベルを超えた場合、シャットオフバルブを作動させ、タンクへの液体供給を遮断する必要があります。 センサーからの信号を処理し、バルブに応答信号を発行するには、プログラマブルロジックコントローラー（PLC）が使用されます。 具体的には、故障の確率を設定します。センサーとバルブの故障の確率は10 ^-3です。 冗長フィールド機器へのアプローチを調査しやすくするために、PLCを「ブラケット」から外します。 PLCは完全に信頼性が高く、その影響を考慮に入れないものと想定します。



機器の故障に関しては、危険な故障、つまり機器が機能するはずの故障と、誤った故障、つまり機器が機能しないはずの動作の2種類があります。 どちらのタイプの故障でも、同じ確率があります。



ここで、IEC 61508のギャップの1つについて簡単に説明します。IEC61508では、制御システムの信頼性と可用性に関する要件は提示されておらず、安全性に関する要件のみが含まれています。 これはまったく同じように思えますが、システムの信頼性が高いほど、安全です。 ただし、これは完全に真実ではなく、常に安全な状態にある、つまり機能しないシステムは完全に安全です。 セキュリティシステムの開発のためのエンジニアリングタスクには、安全インジケータ（危険な障害の確率）と可用性（誤検知の確率）の最適化が含まれます。 この例では、制御システムの最も単純なアーキテクチャを、危険な故障と誤警報の確率の観点から検討します。









図11.例1：未予約システム

危険な故障の確率と誤検知の確率を決定します（ネタバレの下で答えます）





次に、さまざまなタイプの予約の確率を定義します。 まず、センサーの冗長性を導入します（図12）。 冗長コンポーネントは同一である、つまり、それらの故障の確率は等しいと仮定します。 この場合の危険な失敗と誤検知の可能性を判断してみてください。









図12.例2：センサーの冗長性

危険な故障の確率と誤検知の確率を決定します（ネタバレの下で答えます）





では、バルブがセンサー用ではなく、バルブ用に予約されている場合にどうなるか見てみましょう（図13）。 等しい確率は何ですか？









図13.例3：バルブの冗長性

危険な故障の確率と誤検知の確率を決定します（ネタバレの下で答えます）





次に、センサーとバルブの両方が予約されているスキームを検討します。 各センサーのデータに従って、各バルブの制御信号が生成されると仮定します（図14）。 何が得られますか？









図14.例4：センサーとバルブの冗長性（第1の方法）

危険な故障の確率と誤検知の確率を決定します（ネタバレの下で答えます）







シャットオフバルブの場合、別の種類の冗長性を並列に設置すると可能になり、両方のバルブが作動すると製品がタンクに流れ込みます（図15）。 危険な故障と誤検知の確率をどのように判断するのですか？









図15.例5：センサーとバルブの冗長性（2番目の方法）

危険な故障の確率と誤検知の確率を決定します（ネタバレの下で回答）





したがって、セキュリティシステムでは、安全性指標だけでなく、信頼性指標も分析し、利用可能な情報全体を考慮して構造を選択する必要があります。そうでない場合、システムは安全になりますが、その操作は経済的に実行できない場合があります。

結論

今日は、FB指標の定量的評価がどのように実行されるかを調べました。



セキュリティ機能とセキュリティ整合性を含む機能的セキュリティ属性は、情報セキュリティと信頼性を含むより大きな属性システムの一部です。



機能的セキュリティ指標は、情報セキュリティおよび信頼性指標にも関連しています。セキュリティシステムを開発する場合、測定可能な指標の包括的な分析を実施し、最適化が必要で妥協が見つかったプロパティ間の矛盾を特定する必要があります。



情報セキュリティの評価と保証では、まず、特定の物理デバイスの可用性（準備状況）を分析するために確率的インジケーターを使用できます。



リスクは、機能安全の普遍的な指標です。システムのタイプに応じて、リスクは可用性係数と故障率の目標値に変換できます。これは、SIL安全性整合性レベルによって異なります。



故障モード、影響、および重大度分析（FMECA）は、安全性を定量化および定性的に評価するための最も効果的なアプローチです。



PS機能安全の主な側面を説明するために、次の一連の記事が開発されています。



- 機能安全のトピックの紹介 。

-IEC 61508規格：用語 。

-IEC 61508規格：要件構造 。

- 情報と産業用制御システムの機能安全との関係 。

- 機能安全の管理と評価のプロセス ;

- 情報と機能セキュリティのライフサイクル 。

- 信頼性と機能安全の理論：基本的な用語と指標 。

- 機能安全を確保する方法 。



ここでは、出版のトピックに関するビデオ講義を見ることができます。