Разве ЖД не IEC 61800?sirrosh писал(а):Сбой выполнения программы (именно сбой, а не систематическая ошибка) не должен приводить к непредсказуемым последствиям, иначе это не система обеспечения безопасности, или она не отвечает 61508, куда входят в т.ч. ж/д системы блокировок
Ну а атомная точно IEC 61513.
И три замечания:
1. Кто сказал, что новые системы соответствуют 61508?
2. Стандарт 61508 содержит достаточно грубые ошибки в формулах расчета надежности, это было показано Федоровым еще в 2007 году кажется.
3. Изначально 61508 не требует обеспечения надежности, соответствующей ранним более надежным схемам.
Постулат 61508:
EC 61508 has the following views on risks:
zero risk can never be reached
safety must be considered from the beginning
non-tolerable risks must be reduced
Ну если кому от этого легче - пусть будет так.sirrosh писал(а): И, пожалуйста, смягчай категоричность высказываний: "на всех объектах..., жесткая логика..." и вставляй фразы вроде "которые мне доводилось видеть".
IEC 61508-5 SIL3?sirrosh писал(а): некоторые мои проекты как раз заключались в проектировании и внедрении сертифицированных по процедурам IEC SIS на базе контроллеров на химических и горно-металлургических предприятиях.
Хочу обратить внимание, что упомянутый Ebilok 950 сертифицирован для ЖД. Как раз тот случай, когда "бьют не по паспорту, а по морде".
И можно я процитирую Федорова (много, но я думаю простят):
"оговаривается, что при определении интегральной безопасности ВСЕ причины отказов, – и случайные отказы оборудования, и систематические отказы, которые ведут к небезопасному состоянию, – должны быть учтены. Например, отказы оборудования, отказы, наведенные программным обеспечением, отказы вследствие электромагнитного воздействия.
Однако все понимают, что невозможно дать количественные оценки вероятности и частоты систематических отказов. В стандартах МЭК и не делается никакой попытки дать для них хотя бы концептуальное описание. У меня совсем недавно была заочная дискуссия с американскими коллегами по ISA, где я наглядно показывал, что случайные и систематические ошибки могут перетекать друг в друга самым причудливым образом. Например, случайная ошибка, допущенная при проектировании, превращается уже в систематическую на этапе реализации проектных решений.
...
за интегральной безопасностью ничего внятного, кроме удовлетворительного выполнения функций, не стоит. И уж никак за ней не стоит строго определенная в математическом смысле общая надежность системы как единого целого. Ибо всегда найдется система такого объема, для которой вероятность отказа на более-менее приличном временном интервале, рассчитанная по методикам IEC 61508 и IEC 61511, просто-напросто превысит единицу."
"сущность и основу интегральной безопасности составляет совокупность контуров защиты по каждому из параметров, определяющих ...опасность процесса, с уровнем функциональной безопасности SIL3.
Именно простая совокупность, группа, набор независимых контуров, работающих как бы на своем автономном канале оборудования, а вовсе не суперпозиция функций, размещенная в одном контроллере.
...
Допустим, что для каждого контура защиты вам удалось достичь фантастически низкой вероятности опасного отказа, равной 0,0001 1/год (десять в минус четвертой степени в год).
Тогда уже при 100 (ста) контурах вероятность того, что в течение 1 (одного) года хотя бы один из контуров откажет, составит 0,0001*100=0.01 1/год (одна сотая в год).
А это уже вполне пограничное состояние на границе самых темных сил – SIL1 и SIL2."
), кто 61508 читал, понял и по сумме баллов доказал, что понял