ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Часть 2

Требования к системам

IEC 61508-2:2000
Functional safety ofelectrical/electronic/programmable electronic safety-related systems - Part 2:Requirements for electrical/electronic/programmable electronic safety-relatedsystems
(IDT)

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальныхстандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1. ПОДГОТОВЛЕН обществомс ограниченной ответственностью «Корпоративные электронные системы» иТехническим комитетом по стандартизации ТК 10 «Перспективные производственныетехнологии, менеджмент и оценка рисков» на основе собственного аутентичногоперевода стандарта, указанного в пункте 4

2. ВНЕСЕН Управлениемразвития, информационного обеспечения и аккредитации Федерального агентства потехническому регулированию и метрологии

3. УТВЕРЖДЕН И ВВЕДЕН ВДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию иметрологии России от 27 декабря 2007 г. № 581-ст

4.Настоящий стандарт идентичен международному стандарту МЭК 61508-2:2000«Функциональная безопасность систем электрических, электронных, программируемыхэлектронных, связанных с безопасностью, Часть 2. Требованияксистемам» (IEC 61508-2:2000 «Functional safety Ofelectrical/electronic/programmable electronic safety-related systems - Part 2:Requirements for electrical/electronic/programmable electronic safety-relatedsystems»).

Наименованиенастоящего стандарта изменено относительно наименования указанногомеждународного стандарта для приведения в соответствие с ГОСТР 1.5 (подраздел 3.5).

Приприменении настоящего стандарта рекомендуется использовать вместо ссылочныхмеждународных стандартов соответствующие им национальные стандарты, сведения окоторых приведены в дополнительном приложении D

5. ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуетсяв ежегодно издаваемом информационном указателе «Национальные стандарты», атекст изменений и поправок - в ежемесячно издаваемых информационных указателях«Национальные стандарты». В случае пересмотра (замены) или отмены настоящегостандарта соответствующее уведомление будет опубликовано в ежемесячноиздаваемом информационном указателе «Национальные стандарты». Соответствующаяинформация, уведомление и тексты размещаются также в информационной системеобщего пользования - на официальном сайте Федерального агентства потехническому регулированию и метрологии в сети Интернет

Содержание

Введение

Системы, состоящие из электрических и/или электронных компонентов, в течение многих летиспользуются для выполнения функций безопасности в большинстве областей применения. Компьютерные системы [обычно называемые программируемыми электронными системами (PES)], использующиеся во всех областях применения для выполнения задач, не связанных с безопасностью, во всевозрастающих масштабах используются для решения задач обеспечения безопасности. Для эффективной и безопасной эксплуатации технологий, основанных на использовании компьютерных систем, чрезвычайно важно, чтобы лица, ответственные за принятие решений, имели в своем распоряжениируководство по вопросам безопасности, которое они могли бы использовать в своей работе.

Настоящийстандарт устанавливает общий подход к вопросам обеспечения безопасности всегожизненного цикла систем, состоящих из электрических и/или электронных, и/илипрограммируемых электронных компонентов[электрических/электронных/программируемых электронных систем (E/E/PES)],которые используются для выполнения функций безопасности. Этот общий подход былпринят для того, чтобы разработать рациональную и последовательную техническуюконцепцию для всех электрических систем, связанных с безопасностью. Основнойцелью настоящего стандарта является содействие разработке стандартов для ихприменения в различных предметных областях.

Обычнобезопасность систем достигается за счет использования в них нескольких системзащиты, в которых используются различные технологии (например, механические,гидравлические, пневматические, электрические, электронные, программируемыеэлектронные). Следовательно, любая стратегия безопасности должна учитывать нетолько все элементы, входящие в состав отдельных систем (например, датчики,управляющие устройства и исполнительные механизмы), но также и все подсистемы,связанные с безопасностью, входящие в состав комбинированной системы, связаннойс безопасностью. Таким образом, хотя настоящий стандарт в основномраспространяется на электрические/электронные/программируемые электронные(Е/Е/РЕ) системы, связанные с безопасностью, он может также дать представление обобщей структуре, в рамках которой рассматриваются системы, связанные сбезопасностью, основанные на других технологиях.

Признаннымфактом является существование огромного разнообразия применений E/E/PES вразличных предметных областях, отличающихся разной степенью сложности,опасностями и возможными рисками. В каждом конкретном применении использованиенеобходимых мер безопасности будет зависеть от многочисленных факторов,специфичных для этого конкретного применения. Настоящий стандарт, являясьбазовым, позволяет формулировать такие меры для вновь разрабатываемыхмеждународных стандартов для различных предметных областей.

Настоящийстандарт:

-рассматривает все соответствующие этапы жизненного цикла систем безопасности вцелом, а также подсистем E/E/PES и программного обеспечения (начиная с исходнойконцепции, включая проектирование, разработку, эксплуатацию, техническоеобслуживание и вывод из эксплуатации), в ходе которых E/E/PES используются длявыполнения функций безопасности;

-разработан с учетом быстрого развития технологий; его структура являетсядостаточно устойчивой и полной для удовлетворения потребностей разработок,которые могут появиться в будущем;

- делаетвозможной разработку стандартов областей применения, в которых используютсясистемы E/E/PES; разработка стандартов для областей применения в рамках общейструктуры, вводимой настоящим стандартом, должна приводить к более высокомууровню согласованности (например, основные принципы, терминология и т.п.) какдля отдельных областей применения, так и для их совокупности; это даетпреимущества как для безопасности, так и в сфере экономики;

-предоставляет метод разработки спецификаций для требований безопасности,необходимых для достижения требуемой функциональной безопасности Е/Е/РЕ систем,связанных с безопасностью;

-использует уровни полноты безопасности для задания планируемого уровня полнотыбезопасности функций, которые должны быть реализованы Е/Е/РЕ системами,связанными с безопасностью;

-использует для определения уровней полноты безопасности подход, основанный наоценке рисков;

-устанавливает количественные значения отказов Е/Е/РЕ систем, связанных сбезопасностью, которые связаны с уровнями полноты безопасности;

-устанавливает нижний предел планируемых значений отказов в режиме опасныхотказов, который может быть задан для отдельной Е/Е/РЕ системы, связанной сбезопасностью; для Е/Е/РЕ систем, связанных с безопасностью работающих:

- в режимес низкой интенсивностью запросов нижний предел для выполнения планируемойфункции по запросу устанавливают на средней вероятности отказов 10^-5;

- в режимес высокой интенсивностью запросов нижний предел устанавливают на вероятностиопасных отказов 10^-9 в час.

Примечание - Конкретная Е/Е/РЕ система, связанная сбезопасностью, не обязательно предполагает одноканальную архитектуру;

- применяетширокий набор принципов, методов и мер для достижения функциональнойбезопасности Е/Е/РЕ систем, связанных с безопасностью, но не используетконцепцию безаварийности, которая может иметь важное значение в случае, есливиды отказов хорошо определены, а уровень сложности является относительноневысоким. Концепция безаварийности признана неподходящей из-за широкогодиапазона сложности Е/Е/РЕ систем, связанных с безопасностью и подпадающих подобласть применения настоящего стандарта.

НАЦИОНАЛЬНЫЙСТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Дата введения - 2008-09-01

1. Область применения

1.1.Настоящий стандарт:

a) применяют только совместно с МЭК 61508-1, описывающимобщий подход для достижения функциональной безопасности;

b) применяется (как определено в МЭК 61508-1) к любойсистеме, связанной с безопасностью, которая содержит хотя бы одинэлектрический, электронный или программируемый электронный компонент;

c) применяется ко всем подсистемам и их компонентам внутриЕ/Е/РЕ систем, связанных с безопасностью (включая сенсоры, исполнительныеустройства и интерфейс человек-машина);

d) определяет способ использования информации, полученной всоответствии с МЭК 61508-1, описывающей полные требования к безопасности и их распределениепо Е/Е/РЕ системам, связанным с безопасностью, а также определяет, как полныетребования к безопасности преобразуются в требования к функциям безопасностиE/E/PES и в требования к полноте безопасности E/E/PES;

e) устанавливает требования к действиям, которые должны бытьреализованы на стадиях разработки и изготовления Е/Е/РЕ систем, связанных сбезопасностью (то есть формирует модель жизненного цикла безопасности E/E/PES),за исключением требований к программному обеспечению, которые рассмотрены в МЭК61508-3 (см. рисунки 2и 3):эти требования включают в себя указания по применению ранжированных по уровнямполноты безопасности методов и средств для предотвращения ошибок и отказов идля управления ошибками и отказами;

f) определяет информацию, необходимую для установки, ввода вэксплуатацию и заключительного подтверждения соответствия безопасности Е/Е/РЕсистем, связанных с безопасностью;

g) не определяет стадии эксплуатации и техническогообслуживания (см. МЭК 61508-1), но содержит требования для подготовкиинформации и процедур, необходимых пользователям для эксплуатации итехнического обслуживания Е/Е/РЕ систем, связанных с безопасностью;

h)определяет требования, предъявляемые к организациям, осуществляющим модификациюЕ/Е/РЕ систем, связанных с безопасностью.

Примечания

1. Настоящий стандарт главнымобразом предназначен для поставщиков и/или технических департаментов внутрикомпаний, отвечающих за формирование и реализацию требований по модификацииЕ/Е/РЕ систем, связанных с безопасностью.

2.Взаимосвязь между настоящим стандартом и МЭК 61508-3 показана на рисунке 3.

1.2. МЭК 61508-1 - МЭК 61508-4 являютсяосновополагающими стандартами по безопасности, хотя это не применяется вконтексте Е/Е/РЕ систем, связанных безопасностью, имеющих небольшую сложность(см. МЭК 61508-4, пункт 3.4.4). В качестве основополагающих стандартов побезопасности данные стандарты предназначены для использования техническимикомитетами при подготовке стандартов в соответствии с Руководствами МЭК104:1997 и ИСО/МЭК Руководство 51:1999. Стандарты серии МЭК 61508 предназначенытакже для использования в качестве самостоятельных стандартов.

Рисунок 1 - Общая структура настоящего стандарта

Вобязанности технического комитета входит использование (где возможно) базовыхстандартов по безопасности при подготовке собственных стандартов. В этом случаетребования, методы или условия проверки настоящего базового стандарта побезопасности не будут применяться, если это не указано специально, или будутвключаться в стандарты, подготовленные этими техническими комитетами.

Примечания

1. Функциональнаябезопасность систем Е/Е/РЕ, связанных с безопасностью, может достигаться тольков случае, если удовлетворены все установленные для них требования. Поэтомуважно, чтобы все эти требования были тщательно проанализированы и обоснованы.

2. В США иКанаде до тех пор, пока стандарты для конкретного сектора применения стандартовМЭК 61508 (например, МЭК 61511 [1])не будут опубликованы в качестве международных стандартов США и Канады,существующие там национальные стандарты по безопасности в обрабатывающихсекторах, основанные на МЭК 61508 могут быть применены вместо МЭК 61508.

1.3.Структура серии стандартов МЭК 61508-1 - МЭК 61508-7 показана на рисунке 1, атакже указана роль МЭК 61508-2 в достижении функциональной безопасности Е/Е/РЕсистем, связанных с безопасностью. МЭК 61508-6 (приложение А) содержит описаниеприменения МЭК 61508-2 и МЭК 61508-3.

2. Нормативные ссылки

В настоящемстандарте использованы нормативные ссылки на следующие стандарты:

МЭК60050-371:1984 Международный электротехнический словарь, Глава 371. Телеуправление

МЭК60300-3-2:2004 Управление общей надежностью, Часть 3. Руководство поприменению. Полевой сбор данных по общей надежности

МЭК61000-1-1:1992 Электромагнитная совместимость (ЭМС). Часть 1. Общие положения -Раздел 1: Применение и интерпретация фундаментальных определений и терминов

МЭК61000-2-5:1995 Электромагнитная совместимость (ЭМС). Часть 2. Окружение. Раздел5. Классификация электромагнитного окружения

МЭК61508-1:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью, Часть 1. Общиетребования

МЭК61508-3:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 3. Требования кпрограммному обеспечению

МЭК61508-4:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 4. Термины иопределения

МЭК61508-5:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 5. Примерыметодов для определения уровней полноты безопасности

МЭК61508-6:2000 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 6. Руководство поприменению МЭК 61508-2:2000 и МЭК 61508-3:1998

МЭК61508-7:2000 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 7. Анализ методови средств

ИСО/МЭК51:1999 Руководство по включению в стандарты аспектов, связанных сбезопасностью

МЭКРуководство 104:1997 Руководство по подготовке стандартов, связанных сбезопасностью, и по роли комитетов с функциями определения направлений иразработки стандартов в области безопасности

IEEE352:1987 Руководство IEEE по основным принципам анализа надежности систембезопасности атомных энергетических станций

3. Термины и определения

В настоящемстандарте применены термины по МЭК 61508-4.

4. Соответствиенастоящему стандарту

Требования соответствиянастоящему стандарту - по МЭК 61508-1 (см. раздел 4).

5. Документация

Требованияк документации - по МЭК 61508-1 (см. раздел 5).

6. Управление функциональной безопасностью

Требованияпо управлению функциональной безопасностью по МЭК 61508-1 (см. раздел 6).

7. Требования кжизненному циклу безопасности E/E/PES

7.1. Общие положения

7.1.1. Цели и требования. Общие положения

7.1.1.1.Настоящий подпункт устанавливает цели и требования для стадий жизненного циклабезопасности E/E/PES.

Примечание - Цели и требования для полногожизненного цикла безопасности, вместе с общим введением в структуру настоящегостандарта, приведены в МЭК 61508-1.

7.1.1.2.Для каждой стадии жизненного цикла безопасности E/E/PES (см. таблицу 1)указаны:

- цели,которые должны быть достигнуты;

- областьприменения стадии;

- ссылка напункт, содержащий требования;

- входыстадии;

- выходыстадии.

Таблица 1 - Обзор стадииреализации жизненного цикла безопасности E/E/PES

7.1.2. Цели

7.1.2.1.Первая цель настоящего подраздела состоит в структурировании на систематическойоснове стадий полного жизненного цикла безопасности E/E/PES, которые должныбыть рассмотрены для достижения требуемой функциональной безопасности Е/Е/РЕсистем, связанных с безопасностью.

7.1.2.2.Вторая цель настоящего подраздела заключается в документировании всейинформации, относящейся к функциональной безопасности Е/Е/РЕ систем, связанныхс безопасностью, на протяжении всего жизненного цикла E/E/PES.

7.1.3. Требования

7.1.3.1.Жизненный цикл безопасности E/E/PES, используемый в качестве требованиясоответствия настоящему стандарту, представлен на рисунке 2. В случаеиспользования другого жизненного цикла E/E/PES он должен быть определен наэтапе планирования функциональной безопасности E/E/PES (см. МЭК 61508-1, раздел6), а также должны быть достигнуты все цели и требования каждого подразделанастоящего стандарта.

Примечание -Взаимосвязь и области применения настоящего стандарта и МЭК 61508-3 показаны нарисунке 3.

Примечание - См. также МЭК 61508-6, раздел А.2, перечисление b).

Рисунок 2 - Жизненный цикл безопасности E/E/PES (стадия реализации)

Рисунок 3 - Взаимосвязь и областиприменения МЭК 61508-2 и МЭК 61508-3

7.1.3.2.Процедуры управления функциональной безопасностью (см. МЭК61508-1, раздел 6)должны осуществляться параллельно стадиям жизненного цикла безопасностиE/E/PES.

7.1.3.3.Каждую стадию жизненного цикла безопасности E/E/PES подразделяют наэлементарные действия с определением для каждой стадии области применения,входов и выходов (см. таблицу1).

7.1.3.4.Выходы каждой стадии жизненного цикла E/E/PES должны быть документированы (еслииное не будет обосновано на стадии планирования функциональной безопасности, см.МЭК 61508-1, раздел 5).

7.1.3.5.Выходы каждой стадии жизненного цикла E/E/PES должны отвечать определенным дляэтой стадии целям и требованиям (см. 7.2 - 7.9).

7.2. Спецификациятребований безопасности E/E/PES

Примечание - Эта стадия представлена на рисунке 2(блок 9.1).

7.2.1. Цель

Цельнастоящего пункта состоит в задании требований к каждой Е/Е/РЕ системе,связанной с безопасностью, в терминах требований к функциям безопасности и кполноте безопасности для достижения требуемой функциональной безопасности.

Примечание - Например, для функций безопасностиможет потребоваться приведение управляемого оборудования в безопасное состояниеили в состояние технического обслуживания.

7.2.2. Общие требования

7.2.2.1.Спецификация требований безопасности E/E/PES должна формироваться исходя израспределения требований безопасности, как определено в МЭК 61508-1 (подраздел7.6), а также учитывать требования, определенные входе планированияфункциональной безопасности (см. МЭК 61508-1, раздел 6). Эта информации должнабыть доступна разработчику E/E/PES.

Примечание - Не рекомендуется, чтобы одна и та жеЕ/Е/РЕ система, связанная с безопасностью, выполняла функции безопасности ифункций, не относящихся к безопасности. Хотя это допускается настоящимстандартом, такое объединение приводит к большим сложностям при выполненииработ в процессе жизненного цикла Е/Е/РЕ системы (например, при проектировании,подтверждении соответствия, оценке функциональной безопасности и техническомобслуживании).

7.2.2.2.Требования к функциональной безопасности E/E/PES должны быть выражены иструктурированы, чтобы они были:

a) ясными, точными, недвусмысленными, поддающимися проверке,пригодными для тестирования, поддерживаемыми и реализуемыми;

b) оформлены в письменном виде для того, чтобы их лучшепонимали те, кто использует эти требования на любой из стадий жизненного циклабезопасности E/E/PES.

7.2.2.3.Спецификация требований безопасности E/E/PES должна содержать требования кфункциям безопасности E/E/PES (см. 7.2.3.1) и требования к полноте безопасностиE/E/PES (см. 7.2.3.2).

7.2.3. Требования кбезопасности E/E/PES

7.2.3.1.Спецификация требований к функциям безопасности должна содержать:

a) описание всех функций безопасности, необходимых длядостижения функциональной безопасности, которое для каждой функции безопасностидолжно:

-обеспечивать всесторонние подробные требования, достаточные для проектированияи разработки Е/Е/РЕ систем, связанных с безопасностью,

- включатьв себя методы, с помощью которых Е/Е/РЕ системы, связанные с безопасностью,достигают или поддерживают безопасное состояние управляемого оборудования,

-определять, требуется ли непрерывное управление, и что приводит к достижениюили поддержанию безопасного состояния управляемого оборудования,

-определять, к какому режиму применима функция безопасности Е/Е/РЕ системы,связанной с безопасностью, - к режиму с низкой частотой обращения или к режимус высокой частотой обращения, или к режиму с непрерывным обращением;

b) характеристики производительности и времени реакциисистемы;

c) сведения об интерфейсах Е/Е/РЕ системы, связанной сбезопасностью, с обслуживающим персоналом, необходимые для достижения требуемойфункциональной безопасности;

d) информацию, относящуюся к функциональной безопасности,которая может повлиять на проектирование Е/Е/РЕ системы, связанной сбезопасностью;

e) сведения об интерфейсах Е/Е/РЕ систем, связанных с безопасностьюс любыми другими системами (внутренними, внешними, управляемым оборудованием);

f) описание всех используемых режимов работы управляемогооборудования, в том числе:

-подготовки к эксплуатации, включая монтаж и наладку;

- запуска вэксплуатацию, обучения, автоматический, ручной, полуавтоматический,стационарный рабочий режимы работы;

-стационарного нерабочего режима работы, переустановки, останова, техническогообслуживания;

- режимаработы при разумно предсказуемых ненормальных условиях.

Примечания

1. Разумно предсказуемыененормальные условия работы управляемого оборудования являются разумнопредсказуемыми для разработчиков или пользователей.

2. Дляконкретных режимов работы управляемого оборудования могут потребоватьсядополнительные функции безопасности (например, монтаж, настройка илитехническое обслуживание), чтобы безопасно выполнить эти работы;

g) подробное описание всех требуемых режимов поведения Е/Е/РЕсистем, связанных с безопасностью, в частности, их поведение при отказе инеобходимая реакция на него (например аварийные сигналы, автоматический останови т.д.);

h)значимость всех взаимодействий аппаратных средств/программного обеспечения (принеобходимости); любые необходимые ограничения между аппаратными средствами ипрограммным обеспечением должны быть идентифицированы и документированы.

Примечание - Если эти взаимодействия не известны дозавершения разработки, устанавливают только общие ограничения;

i)предельные и ограничивающие условия для Е/Е/РЕ систем, связанных сбезопасностью, и связанных с ними подсистем, например временные ограничения;

j) любыеспецифические требования, относящиеся к процедурам запуска и повторного запускаЕ/Е/РЕ систем, связанных с безопасностью.

7.2.3.2.Спецификация требований к полноте безопасности должна включать в себя:

а) уровеньполноты безопасности для каждой функции безопасности и, при необходимости (см.примечание 2), требуемую целевую меру отказов функции безопасности.

Примечания

1. Уровень полнотыбезопасности функции безопасности задает целевую меру отказов в соответствии сМЭК 61508-1 (см. таблицы2 и 3).

2. Целевуюмеру отказов функции безопасности определяют, если требуемое снижение риска дляфункции безопасности получено с использованием количественного метода (см. МЭК61508-1, подпункт 7.5.2.2);

b) режим работы (с низкой частотой запросов или с высокойчастотой запросов/с непрерывными запросами) каждой функции безопасности;

c) требования, ограничения, функции и доступность проведенияконтрольных испытаний Е/Е/РЕ систем, связанных с безопасностью;

d) экстремальные значения всех условий окружающей среды втечение жизненного цикла безопасности E/E/PES, включая производство, хранение,транспортировку, испытание, установку, ввод в эксплуатацию, эксплуатацию итехническое обслуживание;

e) пределы электромагнитной устойчивости (см. МЭК 61000-1-1),необходимые для достижения электромагнитной совместимости; пределыэлектромагнитной устойчивости формируются с учетом как электромагнитнойокружающей обстановки (см. МЭК 61000-2-5), так и уровней требуемой полнотыбезопасности.

Примечания

1. Важно отметить, чтоуровень полноты безопасности учитывается при определении пределовэлектромагнитной устойчивости, тем более, что электромагнитные возмущения вокружающей среде распределяются случайно. На практике невозможно определитьабсолютный уровень электромагнитного возмущения, а определяют только уровень,который предположительно не будет превышен (уровень электромагнитнойсовместимости). К сожалению, на практике вероятность, связанную с этимпредположением, очень трудно определить. Поэтому предел электромагнитнойустойчивости не гарантирует, что Е/Е/РЕ система, связанная с безопасностью, неоткажет из-за электромагнитного возмущения; он гарантирует лишь некоторый уровеньдоверия того, что такой отказ не произойдет. Фактический уровень доверия - этофункция предела электромагнитной устойчивости по отношению к статистическомураспределению уровней электромагнитного возмущения в окружающей среде. Дляболее высоких уровней полноты безопасности может оказаться необходимым болеевысокий уровень доверия, что означает, что его нижняя граница, из-за которойпредел электромагнитной устойчивости выходит за пределы уровня электромагнитнойсовместимости, должна быть выше для более высоких уровней полноты безопасности.

2. Руководящие указаниятакже могут быть указаны в отдельных стандартах по электромагнитнойсовместимости на продукцию, но следует помнить, что для специфических условийразмещения системы или если оборудование используется в более жесткихэлектромагнитных условиях, могут потребоваться более высокие уровниэлектромагнитной устойчивости, чем заданы в таких стандартах.

3. Приразработке спецификации на требования безопасности E/E/PES должны быть учтеныусловия использования Е/Е/РЕ систем, связанных с безопасностью. Это особенноважно для технического обслуживания, при котором интервал между контрольнымииспытаниями должен быть не менее предсказуемого интервала для конкретногоприменения. Например, интервалы между обслуживаниями, которые могут бытьреально достигнуты для продукции массового производства, используемойнаселением, вероятно, будут больше интервалов для контролируемых применений.

7.2.3.3. Воизбежание ошибок во время составления спецификации требований безопасностиE/E/PES используют группу методов и средств в соответствии с таблицей В.1(приложение В).

7.3. Планирование подтверждения соответствиябезопасности E/E/PES

Примечание - Данная стадия представлена на рисунке 2(см. блок 9.2). Она обычно выполняется параллельно с проектированием иразработкой E/E/PES (см. 7.4).

7.3.1. Цель

Цельюнастоящего пункта является планирование подтверждения соответствия безопасностиЕ/Е/РЕ систем, связанных с безопасностью.

7.3.2. Требования

7.3.2.1.Планирование для определения шагов (процедурных и технических) должноосуществляться для демонстрации соответствия Е/Е/РЕ систем, связанных сбезопасностью, спецификациям требований к безопасности E/E/PES (см. 7.2).

Примечание - Планирование подтверждениясоответствия программного обеспечения - в соответствии с МЭК 61508-3.

7.3.2.2.При планировании подтверждения соответствия Е/Е/РЕ систем, связанных сбезопасностью, должны быть использованы:

а)требования, определенные в спецификации требований безопасности E/E/PES;

b)процедуры, применяемые для подтверждения соответствия тому, что каждая функциябезопасности правильно выполняется по критериям «прошла/не прошла испытания»;

c) процедуры, применяемые для подтверждения соответствияполноте безопасности каждой функции безопасности по критериям «прошла/не прошлаиспытания»;

d) условия окружающей среды, при которых проводят испытания,включая необходимые инструменты и оборудование (в том числе план, всоответствии с которым эти инструменты и оборудование должны быть калиброваны);

e) процедуры оценочных испытаний (с обоснованиями);

f) процедуры испытаний и критерии, применяемые дляподтверждения соответствия заданных в спецификации пределов электромагнитнойустойчивости.

Примечание - Руководство по спецификации испытанийпределов электромагнитной устойчивости в соответствии с МЭК 61000-2-5 и МЭК61000-4 [2];

g) стратегии по устранению подтвержденного отказа.

7.4. Проектирование иразработка E/E/PES

Примечание - Данная стадия представлена на рисунке 2(см. блок 9.3). Она обычно выполняется параллельно с планированиемподтверждения соответствия безопасности E/E/PES (см. 7.3).

7.4.1. Цель

Цельтребований настоящего подраздела состоит в гарантировании соответствияпроектирования и разработки Е/Е/РЕ систем, связанных с безопасностью, заданнымтребованиям функций безопасности и требованиям полноты безопасности (см. 7.2).

7.4.2. Общие требования

7.4.2.1.Проектирование Е/Е/РЕ систем, связанных с безопасностью, должно быть выполненов соответствии со спецификацией требований безопасности (см. 7.2) сучетом требований настоящего подраздела.

7.4.2.2.Проектирование Е/Е/РЕ систем (см. рисунок 4), связанных с безопасностью(включая полную архитектуру аппаратных средств и программного обеспечения;сенсоры; исполнительные устройства; программируемую электронику; встроенноепрограммное обеспечение, «зашитое» в ПЗУ; прикладное программное обеспечение ит.п.), должно быть таким, чтобы отвечать перечисленным ниже требованиям к:

a) полноте безопасности аппаратных средств:

-требованияк архитектурным ограничениям на полноту безопасности аппаратных средств (см. 7.4.3.1)и

-требования к вероятности опасных случайных отказов аппаратных средств (см. 7.4.3.2);

b)систематической полноте безопасности:

-требования по предотвращению отказов (см. 7.4.4)и требования по управлению систематическими отказами (см. 7.4.5)или

-требования к подтверждению того, что оборудование «проверено в эксплуатации»(см. 7.4.7.6- 7.4.7.12);

c)поведению системы при обнаружении ошибок (см. 7.4.6).

Примечания

1. Общий подход к полнотебезопасности E/E/PES основан на общем методе выбора проектного подхода,обеспечивающего достижение уровня полноты безопасности (как для полнотыбезопасности аппаратных средств, так и для систематической полнотыбезопасности) в Е/Е/РЕ системах, связанных с безопасностью, в ходе которого:

- определяют требуемыйуровень полноты безопасности функций безопасности (см. МЭК 61508-1);

- устанавливают, что полнотабезопасности аппаратных средств равна систематической полноте безопасности иравна уровню полноты безопасности (см. 7.4.3.2.1);

- для полноты безопасностиаппаратных средств определяют архитектуру, соответствующую ограничениям на нее(см. 7.4.3.1), и демонстрируют соответствиевероятности отказа функций безопасности из-за случайных отказов аппаратныхсредств требуемым целевым значениям (см. 7.4.3.2);

- для систематическойполноты безопасности выделяют особенности проектирования, которые приводят ксистематическим сбоям в реальной работе (см. 7.4.5) или подтверждаютсоответствие требованиям «проверено при эксплуатации» (см. 7.4.7.6 - 7.4.7.12)и

для систематической полнотыбезопасности выделяют методы и средства, исключающие (не допускающие)систематические сбои в процессе проектирования и разработки (см. 7.4.4) илиподтверждают соответствие требованиям «проверено при эксплуатации» (см. 7.4.7.6 - 7.4.7.12).

2. МЭК 61508-3 содержит:

- требования к архитектурепрограммного обеспечения (см. 7.4.2.2);

- требования к производствупрограммируемой электроники и спецификации тестирования интеграции программногообеспечения (см. 7.5) и

- требования к интеграциипрограммируемой электроники и программного обеспечения в соответствии соспецификацией тестирования интеграции программного обеспечения (см. 7.5).

Во всехслучаях требуется тесная кооперация между производителем Е/Е/РЕ систем, связанныхс безопасностью, и производителем программного обеспечения.

РЕ - программируемая электроника; NP - непрограммируемые устройства; АС - аппаратные средства; ПО - программное обеспечение; ПЗУ - программируемое запоминающее устройство; MooN - М из N (например, 1оо2 означает один из двух)

Рисунок 4 - Соотношение между архитектурами аппаратных средств и программного обеспечения программируемой электроники

7.4.2.3. Когда Е/Е/РЕ система, связанная сбезопасностью, осуществляет функции безопасности и функции, не относящиеся кбезопасности, все аппаратные средства и программное обеспечение должнырассматриваться как связанные с безопасностью до тех пор, пока не будетустановлено, что эти функции реализуются достаточно независимо (т.е. отказкакой-либо функции, не относящейся к безопасности, не станет причиной отказафункций, связанных с безопасностью). Функции, связанные с безопасностью, везде,где практически возможно, должны быть отделены от функций, не относящихся кбезопасности.

Примечания

1. Достаточную независимостьэтих функций устанавливают демонстрацией того, что вероятность зависимогоотказа между компонентами, не относящимися к безопасности и связанными сбезопасностью, достаточно низка по сравнению с самым высоким уровнем полнотыбезопасности, связанным с используемыми функциями безопасности.

2. Следуетпредостеречь от совмещения функций безопасности и функций, не относящихся кбезопасности, в одной и той же Е/Е/РЕ системе, связанной с безопасностью. Такоеобъединение, допускаемое настоящим стандартом, может привести к большимсложностям при выполнении работ в процессе жизненного цикла Е/Е/РЕ системы(например, при проектировании, подтверждении соответствия, оценкефункциональной безопасности и техническом обслуживании).

7.4.2.4.Требования к аппаратным средствам и программному обеспечению должныопределяться уровнем полноты безопасности функций безопасности, имеющих самыйвысокий уровень полноты безопасности, если не будет доказано, что выполнениефункций безопасности различных уровней полноты безопасности достаточнонезависимо.

Примечания

1. Достаточная независимостьвыполнения функций безопасности устанавливается демонстрацией вероятностизависимого отказа между компонентами выполняемых функций безопасности различныхуровней полноты безопасности, достаточно низкой по сравнению с самым высокимуровнем полноты безопасности, связанным с рассматриваемыми функциямибезопасности.

2. Если вЕ/Е/РЕ системе, связанной с безопасностью, выполняется несколько функцийбезопасности, то необходимо рассмотреть возможность возникновения отказа ввыполнении нескольких функций безопасности от единственной ошибки. В такойситуации требования к аппаратным средствам и программному обеспечениюдопускается задавать на основе уровня полноты безопасности более высокого, чемсвязанный с любой из функций безопасности, в зависимости от риска, связанного стаким отказом.

7.4.2.5.Если требуется независимость функций безопасности (см. 7.4.2.3 и 7.4.2.4), то впроцессе проектирования должны быть задокументированы:

a) метод достижения независимости;

b) обоснование метода.

7.4.2.6.Требования к программному обеспечению (см. МЭК 61508-3) должны быть доступныразработчику Е/Е/РЕ системы, связанной с безопасностью.

7.4.2.7.Разработчик Е/Е/РЕ системы, связанной с безопасностью, должен еще раз пересмотретьтребования к программному обеспечению и аппаратным средствам с тем, чтобыубедиться, что они корректно специфицированы. В частности, разработчик E/E/PESдолжен рассмотреть:

a) функции безопасности;

b) требования к полноте безопасности Е/Е/РЕ системы,связанной с безопасностью;

c) интерфейсы между оборудованием и обслуживающим персоналом.

7.4.2.8.Проектная документация на Е/Е/РЕ систему, связанную с безопасностью, должнаопределять методы и средства, необходимые для достижения уровня полноты безопасностив течение стадий жизненного цикла безопасности E/E/PES.

7.4.2.9.Проектная документация на Е/Е/РЕ систему, связанную с безопасностью, должнаобосновывать методы и средства, выбранные для формирования их интегрированногонабора, обеспечивающего требуемый уровень полноты безопасности.

Примечание - Выбор общего подхода, использующегонезависимое письменное одобрение E/E/PES, связанных с безопасностью (включаясенсоры, датчики и т.д.), для технических средств и программного обеспечения,диагностических тестов и инструментов программирования и использование (где этовозможно) подходящих языков программирования позволяет сократить сложностьинженерного применения E/E/PES.

7.4.2.10. Впроцессе проектирования и разработки Е/Е/РЕ системы, связанной с безопасностью,все значимые (допустимые) взаимодействия аппаратных средств и программногообеспечения должны быть идентифицированы, оценены и документированы.

7.4.2.11.Проект Е/Е/РЕ системы, связанной с безопасностью, должен быть основан надекомпозиции на подсистемы, каждая из которых имеет специфицированный проект инабор тестов интеграции (см. 7.4.7).

Примечания

1. Конкретная подсистемаможет состоять из единственного компонента или группы компонентов. ПолнаяЕ/Е/РЕ система, связанная с безопасностью, может состоять из множестваидентифицируемых и отдельных подсистем, которые при их объединении обеспечиваютвыполнение рассмотренной функции безопасности. Подсистема может иметь более чемодин канал (см. 7.4.7.3).

2. Везде,где это практически возможно, должны быть использованы существующие проверенныеподсистемы. Это положение является в общем случае верным, только еслисуществует почти 100 %-ное совпадение функциональных возможностей, пропускнойспособности и производительности существующей подсистемы с новыми требованиямиили верифицированная (проверенная) подсистема структурирована таким образом,что пользователь может выбрать лишь требуемые функции, пропускную способность ипроизводительность для специфического применения. Избыточные функциональныевозможности, пропускная способность или производительность могут быть вреднымидля безопасности системы, если существующие подсистемы чрезмерно усложнены илиимеют неиспользуемые возможности и если не может быть обеспечена защита отнепреднамеренных функций.

7.4.2.12.Если подсистема имеет многоканальный выход, необходимо определить наличиекакой-либо комбинации выходных состояний, которые могут быть вызваны отказомсамой Е/Е/РЕ системы, связанной с безопасностью, способной непосредственновызвать событие опасного отказа (см. анализ опасностей и рисков в МЭК 61508-1,подпункт 7.4.2.10). Если это определено, то предотвращение такой комбинациивыходных состояний должно быть расценено как функция безопасности, работающая врежиме с высокой частотой обращения или с непрерывными обращениями (см. 7.4.6.3 и 7.4.3.2.5).

7.4.2.13.Для любых компонентов Е/Е/РЕ системы, связанной с безопасностью, в максимальнойстепени должно использоваться ограничение допустимых значений (см. МЭК 61508-7,подраздел 2.8). Обоснование работы на пределах любых компонентов должно бытьдокументировано (см. МЭК 61508-1, раздел 5).

Примечание - При ограничении допустимых значенийдолжен использоваться коэффициент ограничения, равный 0,67.

7.4.3. Требования к полноте безопасностиаппаратных средств

Примечание - Обзор необходимых шагов для достижениятребуемой полноты безопасности приведен в МЭК 61508-6 (пункт А.2, приложение 2)и там же показано, как этот пункт соотносится с другими требованиями настоящегостандарта.

7.4.3.1.Архитектурные ограничения полноты безопасности аппаратных средств

7.4.3.1.1.В контексте полноты безопасности аппаратных средств наиболее высокий уровеньполноты безопасности, который может потребоваться для функции безопасности,ограничивается отказоустойчивостью аппаратных средств и составляющей безопасныхотказов подсистем, которые выполняют эту функцию безопасности (см. приложение С). Наибольший уровень полноты безопасности, который можетпотребоваться для функции безопасности, использующей подсистему, с учетомотказоустойчивости аппаратных средств и составляющей безопасных отказов этойподсистемы представлен в таблицах 2 и 3 (см. также приложение С). Требования таблиц 2 и 3 должны применяться к каждой подсистеме, выполняющей функциюбезопасности, и, следовательно, к каждой части Е/Е/РЕ системы, связанной сбезопасностью. Подпункты 7.4.3.1.2 - 7.4.3.1.4 определяют, какая из таблиц 2 или 3 применяется к конкретной подсистеме. Подпункты 7.4.3.1.5 и 7.4.3.1.6 определяют самый высокий уровень полноты безопасности,который может быть применен к функции безопасности по запросу. В соответствии сэтими требованиями:

a) отказоустойчивость аппаратных средств N означает, что отказ N + 1 может привести кпотере функции безопасности. В определении отказоустойчивости не должныучитываться средства, которые могли бы управлять влиянием ошибок, напримердиагностика, и

b) если одна ошибка непосредственно приводит к одной илиболее последующим ошибкам, их рассматривают как одиночную ошибку;

c) в определении отказоустойчивости некоторые ошибки могутбыть исключены при условии, что вероятность их возникновения очень мала поотношению к требованиям полноты безопасности подсистемы. Любые исключенияошибок должны быть обоснованы и документированы (см. примечание 3);

d) долю безопасных отказов подсистемы определяют какотношение суммы средних частот безопасных отказов и опасных отказов,обнаруженных тестами, к полной средней частоте отказов подсистемы (см. приложениеС).

Примечания

1. Для получения достаточноотказоустойчивой архитектуры с учетом уровня сложности подсистемы используютсяархитектурные ограничения. Уровень полноты безопасности Е/Е/РЕ системы,связанной с безопасностью, полученный в результате применения требованийнастоящего подпункта, является максимальным из заявленных, хотя в некоторыхслучаях математически может быть определен более высокий уровень полнотыбезопасности, если для Е/Е/РЕ системы, связанной с безопасностью, принятьисключительно математический подход.

2. Архитектура и подсистема,сформированные для соответствия требованиям отказоустойчивости аппаратныхсредств, должны быть такими, какие обычно используются в режиме эксплуатации.Требования отказоустойчивости могут быть снижены, если Е/Е/РЕ система,связанная с безопасностью, восстанавливается, находясь под управлениемосновного оборудования (on-line). Однако ключевые параметры, связанные с любымослаблением, должны быть предварительно оценены (например, среднее времявосстановления по сравнению с вероятностью запроса).

3. Еслинекоторый компонент системы имеет очень низкую вероятность отказа благодаряприсущим ему свойствам (например, механический соединитель привода), торассматривать ограничение (на основе отказоустойчивости аппаратных средств)полноты безопасности любой функции безопасности, для реализации которойиспользуется этот компонент, нет необходимости.

7.4.3.1.2.Конкретная подсистема (см. 7.4.2.11, примечание 1) может быть отнесена к типу А, если для еекомпонентов, необходимых для реализации функции безопасности:

a) виды отказов всех составляющих компонентов определены, и

b) поведение системы в условиях отказа может быть полностьюопределено, и

c) имеются достоверные эксплуатационные данные, показывающие,что частоты, требуемые для обнаруженных отказов и необнаруженных опасныхотказов, реализованы (см. 7.4.7.3и 7.4.7.4).

7.4.3.1.3.Конкретная подсистема (см. 7.4.2.11, примечание 1) должна быть отнесена к типу В, если для еекомпонентов, необходимых для реализации функции безопасности:

a) вид отказа, по крайней мере, одного составляющегокомпонента не определен, или

b) поведение подсистемы в условиях отказа не может бытьполностью определено, или

c) нет достоверных эксплуатационных данных по подтверждениютребований для частот обнаруженных отказов и необнаруженных опасных отказов(см. 7.4.7.3и 7.4.7.4).

Примечание - Если, по крайней мере, один изкомпонентов конкретной подсистемы соответствует условиям для типа В, то такаяподсистема должна быть отнесена к типу В, а не к типу А (см. также 7.4.2.11,примечание 1).

7.4.3.1.4.Архитектурные ограничения по таблице 2 или таблице 3 должны применяться ккаждой подсистеме, выполняющей функцию безопасности так, чтобы:

a) требования отказоустойчивости аппаратных средствдостигались для полной Е/Е/РЕ системы, связанной с безопасностью;

b) требования таблицы 2 применялись для любой подсистемы типаА, составляющей часть Е/Е/РЕ системы, связанной с безопасностью.

Примечание - Если Е/Е/РЕ система, связанная сбезопасностью, содержит только подсистемы типа А, то требования, приведенные втаблице 2, следует применять к полной Е/Е/РЕ системе, связанной сбезопасностью;

c)требования таблицы 3 применялись для любой подсистемы типа В, составляющейчасть полной Е/Е/РЕ системы, связанной с безопасностью.

Примечание - Если Е/Е/РЕ система, связанная сбезопасностью, содержит только подсистемы типа В, то требования, приведенные втаблице 3, будут применяться для полной системы, связанной с безопасностью;

d)требования таблиц 2 и 3 применялись к Е/Е/РЕ системам, связанным сбезопасностью, содержащим оба типа подсистем А и В, поскольку требованиятаблицы 2 должны применяться к подсистемам типа А, а требования таблицы 3 - кподсистемам типа В.

Таблица 2 - Полнотабезопасности аппаратных средств: архитектурные ограничения подсистем, связанныхс безопасностью, типа А

Таблица 3 - Полнотабезопасности аппаратных средств: архитектурные ограничения подсистем, связанныхс безопасностью, типа В

7.4.3.1.5. ВЕ/Е/РЕ системах, связанных с безопасностью, в которых функция безопасности реализуется в одноканальной архитектуре (см. рисунок 5), максимальный уровень полноты безопасности аппаратных средств, который может быть достигнут для функции безопасности, определяется подсистемой аппаратных средств, отвечающей наименьшим требованиям полноты безопасности аппаратных средств (определяют по таблицам 2 и 3).

Примечание - Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой, связанной с безопасностью, включая все элементы - от сенсоров до исполнительных устройств.

Рисунок 5 - Пример ограничения полноты безопасностиаппаратных средств для одноканальной функции безопасности

Пример -Пусть система, в которой реализована конкретная функция безопасности, выполненапо одноканальной архитектуре, состоящей из подсистем 1, 2 и 3, типы которыхуказаны на рисунке 5, и эти подсистемы соответствуют требованиям таблиц 2 и 3следующим образом:

- дляподсистемы 1 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1;

- дляподсистемы 2 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 3 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.

Для этойархитектуры каждая из подсистем 1 и 3 имеет уровень полноты безопасности,соответствующий требованиям отказоустойчивости аппаратных средств, равный SIL1,в то время как подсистема 2 имеет уровень полноты безопасности, соответствующийтребованиям отказоустойчивости аппаратных средств, равный SIL2. Поэтому обеподсистемы 1 и 3 ограничивают уровень полноты безопасности, который можетпотребоваться для соблюдения отказоустойчивости аппаратных средств длярассматриваемой функции безопасности, до значения SIL1.

7.4.3.1.6.В Е/Е/РЕ системах, связанных с безопасностью, в которых функция безопасностиреализуется в многоканальной архитектуре (см. рисунок 6), максимальный уровеньполноты безопасности, который может быть достигнут для рассматриваемой функциибезопасности, должен быть определен путем:

a) оценивания каждой подсистемы в соответствии стребованиями, представленными в таблицах2 и 3(см. 7.4.3.1.2и 7.4.3.1.4);

b) группирования подсистем в комбинации и

c) анализа этих комбинаций для определения полного уровняполноты безопасности аппаратных средств.

Примечания

1. Подсистемы 1,2 иподсистемы 4,5 имеют одинаковые функциональные возможности в отношении функциибезопасности и обеспечивают раздельные входы в подсистему 3.

2.Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой,связанной с безопасностью, включая все элементы - от сенсоров до исполнительныхустройств.

Рисунок 6 -Пример ограничения полноты безопасности для многоканальной функции безопасности

Пример -Группирование и анализ этих комбинаций могут быть выполнены разными способами.Для иллюстрации одного из возможных методов примем архитектуру, в которойконкретная функция безопасности реализована либо комбинацией подсистем 1, 2 и3, либо комбинацией подсистем 4, 5 и 3, как показано на рисунке 6. В этомслучае комбинация подсистем 1 и 2 и комбинация подсистем 4 и 5 имеют одинаковыефункциональные возможности в отношении функции безопасности и имеют раздельныевходы в систему 3. В этом примере комбинация параллельных подсистемосновывается на каждой подсистеме, реализующей требуемую часть функциибезопасности, независимо от другой (параллельной) подсистемы. Функциюбезопасности считают выполненной:

- присобытии отказа в подсистеме 1 или подсистеме 2 (поскольку комбинация подсистем4 и 5 позволяет реализовать функцию безопасности) или

- присобытии отказа в подсистеме 4 или подсистеме 5 (поскольку комбинация подсистем1 и 2 позволяет реализовать функцию безопасности).

Каждаяподсистема удовлетворяет требованиям таблиц 2иЗ следующим образом:

- дляподсистемы 1 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL3;

- для подсистемы2 уровень полноты безопасности, соответствующий требованиям отказоустойчивостиаппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 3 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 4 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 5 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.

Далееболее подробно рассмотрим процедуру определения максимального уровня полнотыбезопасности аппаратных средств, который может потребоваться для рассматриваемойфункции безопасности:

a) Объединение подсистем 1 и 2

Отказоустойчивостьи доля безопасных отказов, обеспеченная комбинацией подсистем 1 и 2 (каждая вотдельности соответствует требованиям для SIL3 и SIL2), соответствуют требованиям SIL2 (определенным подсистемой 2).

b) Объединение подсистем 4 и 5

Отказоустойчивостьи доля безопасных отказов, обеспеченная комбинацией подсистем 4 и 5 (каждая вотдельности соответствует требованиям для SIL2 и SIL1), соответствуют требованиям SIL1 (определенным подсистемой 5).

c) Дальнейшее объединение комбинации подсистем 1 и 2 скомбинацией подсистем 4 и 5

Уровеньполноты безопасности аппаратных средств в отношении отказоустойчивостиаппаратных средств комбинации подсистем 1, 2, 4 и 5 определяется:

-решением, какая из комбинаций подсистем (т.е. комбинация подсистем 1 и 2 или 4и 5) достигла самого высокого возможного уровня полноты безопасности аппаратныхсредств (в показателях соответствия требованиям отказоустойчивости), и

- анализомвлияния другой комбинации подсистем на отказоустойчивость для комбинацийподсистем 1, 2, 4 и 5.

В данномпримере комбинация подсистем 1 и 2 имеет максимально допустимое требование SIL2 (см. перечисление а)), в то время как комбинация подсистем4и5 имеет максимально допустимое требование SIL1 (см. перечисление b)). Однако в случае отказа, встречающегося в комбинацииподсистем 1 и 2, функция безопасности могла бы быть выполнена комбинациейподсистем 4 и 5. С учетом этого отказоустойчивость аппаратных средств,достигнутая комбинацией подсистем 1 и 2, увеличивается на единицу. Увеличениеотказоустойчивости аппаратных средств на единицу приводит к увеличению наединицу уровня полноты безопасности аппаратных средств, которое можетпотребоваться (см. таблиц2 и 3).Поэтому комбинация подсистем 1, 2, 4 и 5 имеет максимально допустимый уровеньполноты безопасности в отношении отказоустойчивости и доли безопасных отказов,равный SIL3 (т.е. уровень полнотыбезопасности аппаратных средств, достигнутый комбинацией подсистем 1 и 2, SIL2 плюс единица).

d) Полная Е/Е/РЕ система, связанная с безопасностью

Уровеньполноты безопасности аппаратных средств в отношении отказоустойчивости, которыйможет потребоваться для рассматриваемой функции безопасности, определяютанализом комбинации подсистем 1, 2, 4 и 5 (которая достигает уровняотказоустойчивости, равного SIL3 (см. перечисление с))и подсистемы 3 (которая достигает уровня отказоустойчивости, равного SIL2). Подсистема, достигшая самого низкого уровня полноты безопасностиаппаратных средств (в данном случае подсистема 3), определяет максимальныйуровень полноты безопасности всей Е/Е/РЕ системы, связанной с безопасностью.Поэтому максимальный уровень полноты безопасности аппаратных средств вотношении отказоустойчивости аппаратных средств, который может быть достигнутдля функции безопасности в данном примере, - SIL2.

7.4.3.2.Требования к оценке вероятности отказа функций безопасности из-за случайныхотказов аппаратных средств

7.4.3.2.1.Вероятность отказа каждой функции безопасности из-за случайных отказоваппаратных средств по 7.4.3.2.2 и 7.4.3.2.3 будет равна или менее целевой мерыотказов, определенной в спецификации требований безопасности (см. 7.2.3.2).

Примечания

1. Для функции безопасности,выполняемой в режиме с низкой частотой запросов, целевая мера отказов будетвыражена в терминах средней вероятности отказа выполнения по запросупредусмотренной функции безопасности, как определено уровнем полнотыбезопасности (см. МЭК 61508-1, таблица 2), пока требования в спецификациитребований к полноте безопасности для функции безопасности E/E/PES (см. 7.2.3.2) не достигнут определеннойцелевой меры отказов, иной, чем конкретный SIL. Например, если целевая мера отказовравна 1,5  10^-6 (вероятность отказа позапросу), то есть заданному значению для удовлетворения требуемого сниженияриска, то вероятность отказа по запросу функции безопасности, вызванного случайнымиотказами аппаратных средств должна быть равна или менее 1,5  10^-6.

2. Для функции безопасности,выполняемой в режиме с высокой частотой запросов или с непрерывными запросами,целевая мера отказов будет выражена в терминах средней вероятности опасногоотказа в час, как определено уровнем полноты безопасности функции безопасности(см. МЭК 61508-1, таблица 3), пока требования в спецификации требований кполноте безопасности (см. 7.2.3.2) для функции безопасности E/E/PES не достигнут определенной целевой мерыотказов, иной, чем конкретный SIL.Например, если целевая мера отказов равна 1,5  10^-6 (вероятность опасного отказав час) и задана для выполнения требований по снижению риска, то вероятностьотказа функции безопасности, вызванного случайными отказами аппаратных средств,должна быть равна или менее 1,5  10^-6.

3. Длядемонстрации выполнения данного требования необходимо осуществить предсказаниенадежности для уместной функции безопасности, используя соответствующиесредства (см. 7.4.3.2.2), и сравнить полученный результат с целевой меройотказов конкретной полноты безопасности для уместной функции безопасности (см.МЭК 61508-1, таблицы 2 и 3).

7.4.3.2.2.Вероятность отказа каждой функции безопасности из-за случайных отказоваппаратных средств может быть оценена с учетом:

a) архитектуры Е/Е/РЕ системы, связанной с безопасностью,поскольку это касается каждой функции безопасности.

Примечание - При этом приходится решать, какие видыотказов подсистем находятся в последовательной связи (любой отказ вызываетотказ соответствующей функции безопасности, которая должна выполняться), акакие виды отказов находятся в параллельной связи (для сбоя соответствующейфункции безопасности необходимы совпадающие отказы);

b) оцененной частоты (коэффициента) отказов каждой подсистемыв любых режимах, которые могли бы вызвать опасный отказ Е/Е/РЕ системы,связанной с безопасностью, но обнаружены диагностической проверкой (см. 7.4.7.3и 7.4.7.4);

d) восприимчивости Е/Е/РЕ системы, связанной с безопасностью,к отказам по общей причине (см. примечание к настоящему перечислению ипримечание 6 к перечислению h)).

Примечание - Например, см. МЭК 61508-6, приложениеD;

e) охвата диагностическими тестами (по приложениюС) и связанного с ним диагностического испытательного интервала.

Примечания

1. Время диагностическогоиспытательного интервала вместе с последующим временем ремонта составляютсреднее время восстановления, которое должно быть рассмотрено в моделинадежности. Кроме того, для работы Е/Е/РЕ системы, связанной с безопасностью, врежиме высокой частоты запросов или с непрерывными запросами, где любые опасныеотказы каналов приводят к опасным отказам Е/Е/РЕ системы, связанной сбезопасностью, время диагностического испытательного интервала должно бытьрассмотрено непосредственно (то есть дополнительно к среднему временивосстановления) в модели надежности, если его величина не является значительноменьшей, чем ожидаемая частота запросов (см. 7.4.3.2.5).

2. Приустановлении времени диагностического испытательного интервала должны бытьрассмотрены интервалы между всеми испытаниями, которые вносят вклад вдиагностический охват;

f) интервалов времени, на которых реализуются испытательные(контрольные) интервалы для обнаружения опасных ошибок, не обнаруживаемыхдиагностическими тестами;

g) времени ремонта для обнаруженных отказов.

Примечание - Время ремонта составляет частьсреднего времени восстановления (см., МЭР 191-13-08 [3]),включающего в себя также время обнаружения отказа и период времени, в течениекоторого ремонт невозможен (пример использования среднего временивосстановления для вычисления вероятности отказа приведен в МЭК 61508-6(приложение В)). Для ситуаций, когда ремонт может быть выполнен в течениеконкретного периода времени, например, в то время как управляемое оборудованиеотключено или находится в надежном (закрытом) состоянии, особенно важно, чтобыпри полном расчете был учтен период времени, когда ремонт не может бытьпроизведен, особенно когда этот период является относительно большим;

h) вероятности необнаруженного отказа любого процессапередачи данных (см. примечание 6 и подпункт 7.4.8.1).

Примечания

1. Упрощенный подход,который может быть использован для оценки вероятности опасного отказа функциибезопасности из-за случайных отказов аппаратных средств для определения того,что аппаратура обеспечивает требуемую целевую меру отказов, представлен в МЭК61508-6, приложение В.

2. Краткий обзор шагов подостижению аппаратными средствами полноты безопасности и соотношения с другимитребованиями настоящего стандарта приведены в МЭК 61508-6, подраздел А.2.

3. Необходимо отдельно длякаждой функции безопасности количественно определять надежность Е/Е/РЕ системы,связанной с безопасностью, поскольку на нее будут оказывать влияние какразнообразие видов отказов компонентов, так и изменения архитектуры (прииспользовании избыточности) самих Е/Е/РЕ систем, связанных с безопасностью.

4. Среди множества возможныхметодов моделирования наиболее подходящий метод выбирает аналитик. Возможныеметоды моделирования включают в себя:

- анализ последствий причинотказа (см. МЭК 61508-7, пункт В.6.6.2, приложение В);

- анализ дерева ошибок (см.МЭК 61508-7, пункт С.6.6.5, приложение С);

- марковские модели (см. МЭК61508-7, подраздел С.6.4, приложение С);

- блок-диаграммы надежности(см. МЭК 61508-7, раздел С.5, приложение С).

5. Среднее времявосстановления (см. МЭС 191-13-08 [3]),рассматриваемое в модели надежности, нуждается в учете времени диагностическогоиспытательного интервала, времени восстановления и любых других задержек до(момента) восстановления.

6. Отказыиз-за влияния общей причины и процессов передачи данных могут быть результатомдругих влияний, отличных от реальных отказов компонентов аппаратных средств(например, электромагнитной интерференции, ошибок декодирования и т.п.). Однакотакие отказы рассматривают в настоящем стандарте как случайные отказыаппаратных средств.

7.4.3.2.3.Диагностический испытательный интервал любой подсистемы, обладающей величинойотказоустойчивости аппаратных средств, большей нуля, должен быть таким, чтобыобеспечить возможность Е/Е/РЕ системе, связанной с безопасностью, удовлетворитьтребования по вероятности случайных отказов аппаратных средств (см. 7.4.3.2.1).

7.4.3.2.4.Диагностический испытательный интервал любой подсистемы с величинойотказоустойчивости аппаратных средств, равной нулю, от которой полностьюзависит функция безопасности (см. примечание 1) и которая является лишьсредством реализации функции(й) безопасности, действующей(их) в режиме с низкойинтенсивностью запросов, должен быть таким, чтобы обеспечить возможность Е/Е/РЕсистеме, связанной с безопасностью, удовлетворить требования по вероятностислучайных отказов аппаратных средств (см. 7.4.3.2.1).

Примечания

1. Считают, что функциябезопасности полностью зависит от подсистемы, если отказ подсистемы вызываетотказ этой функции безопасности Е/Е/РЕ системы, связанной с безопасностью, иэта функция безопасности не относится к другой системе, связанной сбезопасностью (см. МЭК 61508-1, подраздел 7.6).

2. Еслисуществует вероятность, что некоторые комбинации выходных состояний подсистеммогут непосредственно привести к опасному событию (см. анализ опасностей ирисков в МЭК 61508-1, подпункт 7.4.2.10), и если комбинация выходных состоянийв присутствии ошибки в подсистеме не может быть определена (например, вподсистеме типа В), тогда необходимо рассматривать обнаружение опасных отказовв подсистеме как функцию безопасности, действующую в режиме с высокой частотойзапросов или с непрерывными запросами, и применять требования 7.4.6.3и 7.4.3.2.5.

7.4.3.2.5.Диагностический испытательный интервал любой подсистемы (со значением величиныотказоустойчивости аппаратных средств, равным нулю), от которой полностьюзависит функция безопасности (см. примечание 1) и которая является лишьсредством реализации функции безопасности, действующей в режиме высокой частотызапросов или с непрерывными запросами (см. примечание 2), должен быть таким,чтобы суммарное время диагностического испытательного интервала и времявыполнения определенного действия (реакции на отказ) для достижения илиподдержания безопасного состояния (см. 7.3.3.1, перечисление g)) было меньше времени безопасности процесса. Времябезопасности процесса определяется как период времени между отказом,возникающим в управляемом оборудовании или в системе управления управляемогооборудования (с потенциальной возможностью вызвать опасное событие) ивозникновением опасного события, если функция безопасности не выполнена.

Примечания

1. Считают, что функциябезопасности полностью зависит от подсистемы, если отказ подсистемы вызываетотказ этой функции безопасности Е/Е/РЕ системы, связанной с безопасностью, иэта функция безопасности не относится к другой системе, связанной сбезопасностью (см. МЭК 61508-1, подраздел 7.6).

2. Подсистему,осуществляющую конкретную функцию безопасности, для которой отношение частотыдиагностических испытаний к частоте запросов превышает 100, допускаетсярассматривать, как если бы она осуществляла функцию безопасности в режиме снизкой частотой запросов (см. 7.4.3.2.4)при условии, что функция безопасности не предотвращает комбинацию состоянийвыходов, которые могли бы привести к опасному событию (см. примечание 3).

3. Еслифункция безопасности служит для предотвращения специфической комбинациисостояний выходов, которые могут непосредственно вызвать опасное событие, тонеобходимо расценивать такую функцию безопасности как функцию, действующую врежиме с высокой частотой запросов или непрерывными запросами (см. 7.4.2.12).

7.4.3.2.6.Если для конкретного проекта целевая мера отказов требования полнотыбезопасности для выполняемой функции безопасности не достигается, то следует:

-определить критические компоненты, подсистемы и/или параметры;

- оценитьэффект возможных мер усовершенствования критических компонентов, подсистем илипараметров (например более надежные компоненты, дополнительные меры защиты от отказовпо общей причине, расширенный охват диагностикой, расширенная избыточность,уменьшение интервала контрольных испытаний и т.п.);

- выбрать иосуществить подходящие меры усовершенствования;

- повторитьвычисление нового значения вероятности отказов аппаратных средств.

7.4.4. Требования попредотвращению отказов

Примечание - Для подсистемы, отвечающейтребованиям, позволяющим рассматривать ее как «проверенную в эксплуатации» (см.7.4.7.6- 7.4.7.12), требования 7.4.4.1 - 7.4.4.6 не применяют

7.4.4.1.Должна быть использована соответствующая группа методов и средств,предназначенных для предотвращения внесения ошибок во время разработки исоздания аппаратных средств Е/Е/РЕ системы, связанной с безопасностью (см.таблицу В.2).

7.4.4.2. Всоответствии с требуемым уровнем полноты безопасности выбранный методпроектирования должен обладать возможностями, способствующими:

a) прозрачности, модульности и другим характеристикам,которые управляют сложностью проекта;

b) ясности и точности представления:

-функциональных возможностей,

-интерфейсов между подсистемами,

-информации, устанавливающей последовательность и время,

-параллелизма и синхронизации;

c) ясности и точности документирования и передачи информации;

d) проверке и подтверждению соответствия.

7.4.4.3.Требования к техническому обслуживанию для гарантированного поддержаниятребуемой полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, нанеобходимом уровне должны быть формализованы на стадии проектирования.

7.4.4.4.Следует использовать (если применимо) автоматические средства измерения иинтегрированные инструментальные средства разработки.

7.4.4.5. Впериод проектирования должны быть запланированы испытания интеграции E/E/PES.Документация по планированию испытаний должна включать в себя:

a) типы проводимых испытаний и сопровождающие их процедуры;

b) условия окружающей среды при испытаниях, испытательныесредства, схему испытаний и программы испытаний;

с) критерииоценки «выдержал»/«не выдержал» испытание.

7.4.4.6. Впериод проектирования действия, выполняемые на рабочем месте проектировщика,должны отличаться от действий, которые должны быть доступными на рабочем местепользователя.

7.4.5. Требования поуправлению систематическими сбоями

Примечание - Для подсистемы, отвечающейтребованиям, которые расцениваются как «проверено в эксплуатации» (см. 7.4.7.6- 7.4.7.12),требования 7.4.5.1 - 7.4.5.3 не применяют.

7.4.5.1.Для управления систематическими сбоями проектирование E/E/PES должно обладатьособенностями проектирования, которые делают Е/Е/РЕ системы, связанные сбезопасностью, устойчивыми к:

a) любым остаточным ошибкам проектирования аппаратныхсредств, если вероятность ошибок проектирования не может быть исключена (см.таблицу А.16);

b) внешним влияниям, включая электромагнитные воздействия(см. таблицу А. 17);

c) ошибкам оператора управляемого оборудования (см. таблицу А.18);

d) любым остаточным ошибкам в программном обеспечении (см.МЭК 61508-3, пункт 7.4.3, таблицы А.2 и В.7);

e) любым ошибкам, возникающим в результате выполнения любогопроцесса передачи данных (см. 7.4.8).

7.4.5.2.Для облегчения реализации свойств ремонтопригодности и тестируемости всозданных Е/Е/РЕ системах, связанных с безопасностью, эти свойства должны бытьучтены в процессе проектирования и создания E/E/PES.

7.4.5.3.При проектировании Е/Е/РЕ систем, связанных с безопасностью, должны быть учтеныспособности и возможности человека, а созданные E/E/PESдолжны бытьудобны для работы персонала по эксплуатации и технической поддержке. Разработкавсех интерфейсов должна следовать «положительному опыту» при учетечеловеческого фактора и учитывать возможный уровень подготовки илиосведомленности операторов, например для Е/Е/РЕ систем массового производства,где оператором является специально не подготовленный человек.

Примечания

1. Цель проектированиядолжна состоять в том, чтобы предсказуемые критические ошибки, допущенныеоператорами или персоналом технической поддержки, предотвращались илиустранялись проектом везде, где возможно, либо действия для их выполнениятребовали повторного подтверждения.

2.Некоторые ошибки, допущенные операторами или персоналом техническогообслуживания, могут быть не восстанавливаемыми Е/Е/РЕ системой, связанной сбезопасностью, например, если они являются необнаруживаемыми или реальновосстанавливаемыми исключительно при непосредственном доступе, напримернекоторые механические отказы в управляемом оборудовании.

7.4.6. Требования кповедению системы при обнаружении отказов

7.4.6.1.Обнаружение опасного отказа (с помощью диагностических тестов, контрольныхиспытаний или иным методом) в любой подсистеме с отказоустойчивостью аппаратныхсредств больше нуля должно завершаться:

a) конкретным действием для достижения или поддержаниябезопасного состояния (см. примечание к перечислению b)) или

b) изоляцией дефектной части подсистемы для обеспечениявозможности продолжения выполнения безопасного действия управляемымоборудованием, пока дефектная часть не будет отремонтирована. Если ремонт незавершен в пределах среднего времени восстановления (MTTR), принятого привычислении вероятности случайных отказов аппаратных средств (см. 7.4.3.2.2),то для достижения и поддержания их безопасного состояния должно быть выполненоконкретное действие.

Примечание - Конкретное действие (реакция наотказ), которое требуется для достижения или поддержания безопасного состояния E/E/PES, должно быть определено в требованияхбезопасности E/E/PES (см. 7.2.3.1).Оно может состоять, например, в отключении управляемого оборудования надефектной подсистеме или его части, относящейся к снижению риска.

7.4.6.2.Обнаружение опасного отказа (с помощью диагностических тестов, контрольныхиспытаний или иным способом) в любой подсистеме с отказоустойчивостьюаппаратных средств, равной нулю, функция безопасности которой являетсяполностью зависимой (см. примечание 1) в случае, если такая подсистемаиспользуется только функцией(ями) безопасности в режиме с низкой частотойзапросов, должно завершаться:

а)конкретным действием для достижения и поддержания безопасного состояния либо

b) восстановлением дефектной подсистемы в пределах периодасреднего времени восстановления (MTTR), полученного прирасчете вероятности случайных отказов аппаратных средств (см. 7.4.3.2.2).В течение этого времени безопасность управляемого оборудования должнаобеспечиваться дополнительными мерами и ограничениями. Снижение риска,обеспеченное этими мерами и ограничениями, должно, по крайней мере, равнятьсясокращению риска, обеспеченному Е/Е/РЕ системой, связанной с безопасностью, вотсутствие любых отказов. Дополнительные меры и ограничения должны бытьопределены в процедурах эксплуатации и технического обслуживания E/E/PES(см. 7.6).Если восстановление не предпринято в пределах заданного среднего временивосстановления (MTTR), то для достижения и поддержаниябезопасного состояния должны быть предприняты конкретные действия (см.примечание 2).

Примечания

1. Предполагается, чтофункция безопасности полностью зависит от подсистемы, если отказ подсистемыприводит к отказу функции безопасности рассматриваемой Е/Е/РЕ системы,связанной с безопасностью, и функция безопасности не предназначена для другойсистемы, связанной с безопасностью (см. МЭК 61508-1, подраздел 7.6).

2.Конкретное действие (реакция на отказ) требуется для достижения и поддержаниябезопасного состояния, которое должно быть определено в требованияхбезопасности E/E/PES (см. 7.2.3.1).Это действие может состоять, например, в безопасном отключении управляемогооборудования в дефектной подсистеме или его части, предназначенной для сниженияриска.

7.4.6.3.Обнаружение опасного отказа (путем диагностического тестирования, контрольныхиспытаний или иным способом) в любой подсистеме с отказоустойчивостью, равнойнулю, в которой функция безопасности является зависимой (см. примечание 1) вслучае подсистемы, выполняющей любую функцию(ии) безопасности, действующей(их)в режиме с высокой частотой запросов или непрерывными запросами (см. примечания2 и 3), для достижения и поддержания безопасного состояния должно завершатьсяконкретными действиями (см. примечание 3).

Примечания

1. Считается, что функциябезопасности полностью зависит от подсистемы, если отказ подсистемы служитпричиной отказа функции безопасности рассматриваемой Е/Е/РЕ системы, связаннойс безопасностью, а также функция безопасности не принадлежит другой системе,связанной с безопасностью (см. МЭК 61508-1, подраздел 7.6).

2. Если существуетвероятность, что некоторая комбинация состояний выходов подсистемы может статьнепосредственной причиной опасного события (см. анализ опасностей и рисков 7.4.2.12),и если комбинацию выходных состояний в случае отказа в подсистеме невозможноопределить (например, для подсистемы типа В), то детектирование опасных событийв подсистеме следует расценивать как для функции безопасности, действующей врежиме с высокой частотой запросов или непрерывными запросами, и применятьтребования 7.4.6.3и 7.4.2.5.

3. Длядостижения и поддержания состояния безопасности, которое должно быть определенов требованиях безопасности E/E/PES, необходимо выполнить конкретное действие(реакцию на отказ). Это действие может состоять, например, в безопасномотключении в дефектной подсистеме управляемого оборудования или его части,предназначенной для сокращения риска.

7.4.7. Требования кразвитию E/E/PES

7.4.7.1.Е/Е/РЕ системы, связанные с безопасностью, должны быть изготовлены всоответствии с проектом.

7.4.7.2.Подсистемы, используемые для одной или более функций безопасности, должны бытьидентифицированы и документированы как подсистемы, связанные с безопасностью.

7.4.7.3.Для каждой подсистемы, связанной с безопасностью, должна быть представленаследующая информация (см. также 7.4.7.4):

a) функциональная спецификация тех функций и интерфейсовподсистемы, которые могут быть использованы функциями безопасности;

b) оценочные частоты отказов (из-за случайных отказоваппаратных средств) в любых режимах, которые могли бы привести к отказу Е/Е/РЕсистемы, связанной с безопасностью, обнаруживаемые диагностическими тестами(см. 7.4.7.4);

c) оценочные частоты отказов (из-за случайных отказоваппаратных средств), которые могли бы привести к отказу Е/Е/РЕ системы,связанной с безопасностью, не обнаруживаемые диагностическими тестами (см. 7.4.7.4);

d) любые ограничения на окружающую среду подсистемы, которыедолжны быть соблюдены для обеспечения легитимности оценочных частот отказов из-заслучайных отказов аппаратных средств;

e) любое ограничение срока жизни подсистемы, который недолжен быть превышен для обеспечения легитимности оценочных частот отказовиз-за случайных отказов аппаратных средств;

f) требования к любым контрольным испытаниям и/илитехническому обслуживанию;

h) диагностический охват в соответствии с приложениемС (при необходимости).

Примечание - Испытания по перечислениям g) и h) относятся к диагностическим испытаниям,которые являются внутренними для подсистемы. Эта информация необходима, еслитребуется доверие к действиям по проведению диагностических тестов вподсистемах в модели надежности Е/Е/РЕ систем, связанных с безопасностью (см. 7.4.3.2.2);

i) любая дополнительная информация (например, времявосстановления), необходимая для обеспечения возможности получения среднеговремени восстановления (MTTR), после обнаруженияотказа с помощью диагностики.

Примечания

1. Испытания по требованиямперечислений b)и i) необходимы дляоценки функции безопасности вероятности отказов по запросу или вероятностиотказов в час (см. 7.4.3.2.2).

2.Требования перечислений b), с), g), h) и i) нужны лишь для оценки отдельныхпараметров подсистем, таких как сенсорные устройства и приводы, которые могутбыть объединены в избыточные архитектуры для улучшения полноты безопасностиаппаратных средств. Для логических решающих устройств, которые сами необъединяются в избыточные архитектуры в Е/Е/РЕ системе, связанной сбезопасностью, с учетом требований перечислений b), с), g), h) и i) допускаетсяопределять характеристики в терминах вероятности отказов по запросам иливероятности отказов в час. Для таких устройств необходимо также устанавливатьинтервал контрольных испытаний для необнаруженных отказов;

j) информация, необходимая для обеспечения выделениясоставляющей безопасных отказов (SFF) подсистемы, какпринято в Е/Е/РЕ системе, связанной с безопасностью, в соответствии с приложениемС;

k) отказоустойчивость подсистемы.

Примечание - Требования перечисленийj) и k) необходимы для определения самоговысокого уровня полноты безопасности, который может потребоваться для функциибезопасности в соответствии с архитектурными ограничениями (см. 7.4.3.1);

l) любые ограничения по применению подсистемы, которые должныбыть рассмотрены во избежание систематических отказов;

m) самый высокий уровень полноты безопасности, который можетпотребоваться для функции безопасности в подсистеме, на основе:

- методов исредств, используемых для предотвращения систематических ошибок, которые вносятсяв период проектирования и изготовления аппаратных средств и программногообеспечения (см. МЭК 61508, подпункт 7.4.4.1 и подраздел 7.4),

-особенностей проекта, которые делают подсистему устойчивой к систематическимотказам (см. 7.4.5.1).

Примечание - Не требуется в случаях, если этиподсистемы расцениваются как «проверенные в эксплуатации» (см. 7.4.7.5);

n) любая информация, необходимая для идентификацииконфигурации аппаратных средств и программного обеспечения подсистемы дляобеспечения возможности управления конфигурацией Е/Е/РЕ системы, связанной сбезопасностью, в соответствии с МЭК 61508-1, пункт 6.2.1.

7.4.7.4Оценочные частоты отказов подсистем из-за случайных отказов аппаратных средств(см. 7.4.7.3, перечисления b)и с)) могут быть определены:

а) методомотказов и анализом влияния проекта с использованием данных по отказамкомпонентов из признанного промышленного источника.

Примечания

1. Уровень доверия любыхиспользуемых данных о частоте отказов должен быть, по крайней мере, равен 70 %.Статистическое определение уровня доверия приведено в IEEE 352. Эквивалентный термин «уровеньзначимости» используется в МЭК 61164 [4].

2. Предпочтительно, чтобыместо размещения данных об отказах было доступным. Если это требование невыполняется, может потребоваться использование исходных данных.

3. Хотяпонятие «постоянная частота отказов» подсистемы принято большинствомвероятностных оценочных методов, оно применимо лишь при условии, что непревышен срок жизни компонентов подсистемы. Вне их полезного срока жизни (таккак вероятность отказов значительно увеличивается со временем) результатыбольшинства вероятностных расчетных методов бесполезны. Таким образом, любаявероятностная оценка должна включать в себя спецификацию полезного срока жизникомпонентов. Полезный срок жизни компонентов подсистем в значительной степенизависит от самого компонента и условий его эксплуатации, особенно температурыокружающей среды компонента (например, могут быть очень чувствительны ктемпературе электролитические конденсаторы). Опыт показывает, что полезный срокжизни компонентов часто находится в пределах 8-12 лет. Однако эти сроки могутбыть значительно меньшими, если компоненты работают в заданных пределах ихиспользования. Компоненты с более длительным полезным сроком жизни стоятзначительно дороже;

b) либо из предыдущего опыта использования подсистемы впохожих условиях окружающей среды (см. 7.4.7.9).

7.4.7.5.Для подсистем, проверенных в эксплуатации (см. 7.4.7.6), информация о методах исредствах предотвращения и управления систематическими ошибками (см. 7.4.7.3,перечисление m)) не требуется.

7.4.7.6.Ранее разработанная подсистема должна рассматриваться только как проверенная вэксплуатации, если она имеет явно ограниченные функциональные возможности иимеется соответствующее документальное свидетельство, основанное на предыдущейэксплуатации конкретной конфигурации этой подсистемы (в течение, которого всеотказы были формально зарегистрированы (см. 7.4.7.10)) и учитывающее любыетребующиеся (см. 4.4.7.8) дополнительные анализы и тесты. Документальноеподтверждение должно продемонстрировать, что вероятность любого отказаподсистемы (из-за случайных и систематических отказов аппаратных средств) вЕ/Е/РЕ системе, связанной с безопасностью, настолько низка, чтодостигается(ются) требуемый(ые) уровень(ни) полноты безопасности функции(ий)безопасности.

7.4.7.7.Документальное свидетельство в соответствии с 7.4.7.6 должнопродемонстрировать, что предыдущие условия эксплуатации конкретной подсистемыявляются такими же или достаточно близкими к тем, в которых будетэксплуатироваться подсистема в Е/Е/РЕ системе, связанной с безопасностью, и установить,что вероятность любых необнаруженных систематических отказов настолько низка,что достигается требуемый уровень(ни) полноты безопасности функции(ий)безопасности для подсистемы.

Примечание - Условия эксплуатации (эксплуатационныйпрофиль) включают в себя все факторы, которые могут повлиять на вероятностьсистематических ошибок аппаратных средств и программного обеспечения подсистемы(например, окружающую среду, виды использования, выполняемые функции,конфигурацию, связи с другими системами, операционную систему, тип транслятора,человеческий фактор).

7.4.7.8.Если имеются различия между предыдущими условиями эксплуатации подсистемы иусловиями, в которых будет эксплуатироваться Е/Е/РЕ система, связанная сбезопасностью, то такие различия должны быть идентифицированы и с помощьюкомбинации соответствующих аналитических методов и испытаний должно быть явнопоказано, что вероятность любой необнаруженной систематической ошибки настольконизка, что достигается требуемый уровень(ни) полноты безопасности дляфункции(ий) безопасности подсистемы.

7.4.7.9.Документальное свидетельство по 7.4.7.6 должно установить, что мера предыдущегоиспользования конкретной конфигурации подсистемы (в часах эксплуатации)является достаточной, чтобы статистически рассматривать заявленные частотыотказов. Как минимум, требуется достаточное время эксплуатации для установленияданных заявленной частоты отказов в одностороннем нижнем пределе доверия, покрайней мере, 70 % (см. МЭК 61508-7, приложение D,а также IEEE352). В статистическом анализе время эксплуатации любой индивидуальнойподсистемы меньше одного года не рассматривается как часть полного времениэксплуатации.

Примечание - Требуемое время часов эксплуатации дляустановления заявляемой частоты отказов может быть получено по результатамэксплуатации нескольких идентичных подсистем при условии, что отказы всехподсистем были эффективно обнаружены и документированы (см. 7.4.7.10).Например, если имеется 100 подсистем, каждая из которых проработала без отказов10000 ч, то полное время эксплуатации без отказов можно считать равным 1000000ч. В этом случае каждая подсистема должна эксплуатироваться более одного года,и действия при расчетах относят к полученному выше полному числу часовэксплуатации.

7.4.7.10.При проверке выполнения требований по 7.4.7.6 и 7.4.6.9 принимают вовнимание только предыдущую эксплуатацию, при которой все отказы подсистем былиэффективно обнаружены и документированы (например, если информация об отказахбыла собрана в соответствии с рекомендациями МЭК 60300-3-2).

7.4.7.11.При проверке выполнения или невыполнения требований по 7.4.7.6и 7.4.6.9 учитывают как охват, так и уровень детализации имеющейся информации(см. также МЭК 61508-1, подраздел 4.1) для следующих факторов:

a) сложности подсистемы;

b) вклада, внесенного конкретной подсистемой в сокращениериска;

c) последствий, связанных с отказом системы;

d) новизну проекта.

7.4.7.12.Термин «проверено в эксплуатации» применяют к подсистеме, связанной сбезопасностью, в Е/Е/РЕ системе, связанной с безопасностью, и ограничивают егорассмотрение функциями и интерфейсами подсистемы, соответствующими требованиямпо 7.4.7.6 и 7.4.7.10.

Примечание - Требования 7.4.7.4- 7.4.7.12 также применимы для подсистем, содержащих программное обеспечение. Вэтом случае должна быть уверенность в том, что конкретная подсистема выполняетв системе, связанной с безопасностью, только те функции, для которых заданатребуемая полнота безопасности (см. также МЭК 61508-3, подпункт 7.4.2.11).

7.4.8. Требования кпередаче данных

7.4.8.1.При любой форме передачи данных, используемой при выполнении функциибезопасности, оценивается вероятность необнаруженного отказа процесса связи сучетом ошибок передачи, повторов, удалений, вставок, повторного упорядочения,искажения, задержки и ошибок идентификации (см. 7.4.8.2). Эта вероятностьдолжна быть принята во внимание при оценке вероятности опасного отказа функциибезопасности из-за случайных отказов аппаратных средств (см. 7.4.3.2.2).

Примечание - Ошибка идентификации означает, чтоистинное содержание сообщения не идентифицировано правильно (например,сообщение от компонента, не связанного с безопасностью, идентифицировано каксообщение от компонента, связанного с безопасностью).

7.4.8.2.При оценке вероятности отказа функции безопасности из-за процесса передачиданных, в частности, должны быть учтены:

a) остаточный коэффициент ошибок (см. МЭК 60050-371);

b) остаточный коэффициент потери информации (см. МЭК60050-371);

c) пределы и непостоянство скорости передачи информации(битовая скорость);

d) пределы и непостоянство задержки распространенияинформации.

Примечания

1. Можно показать, чтовероятность опасного отказа в час равна частному от деления вероятностиостаточных ошибок на длину сообщения (в битах) и умноженному на скоростьпередачи в шине сообщений, относящихся к безопасности, и на коэффициент 3600.

2. Болееподробную информацию см. в МЭК 60870-5-1 [5],ЕН 50159-1 [7]и ЕН 50159-2 [8].

7.5. Интеграция E/E/PES

Примечание - Эта стадия показана как блок 9.4 нарисунке 2.

7.5.1. Цель

Цельюнастоящего подраздела является формирование требований к интеграции и испытаниюЕ/Е/РЕ систем, связанных с безопасностью.

7.5.2. Требования

7.5.2.1.Е/Е/РЕ системы, связанные с безопасностью, должны быть интегрированы всоответствии с конкретным проектом E/E/PESи испытаныв соответствии с конкретными тестами интеграции для E/E/PES(см. 7.4.2.11).

7.5.2.2.Как часть интеграции всех модулей в Е/Е/РЕ систему, связанную с безопасностью,Е/Е/РЕ системы, связанные с безопасностью, должны быть испытаны в соответствиис 7.4. Эти испытаниядолжны показать, что все модули взаимодействуют правильно и не выполняютнепредназначенные для них функции.

Примечания

1. Испытание всех входныхкомбинаций не проводится. Считается достаточным испытание всех классовэквивалентности (см. МЭК 61508-7, пункт В.5.2, приложение В). Статическийанализ (см. МЭК 61508-7, пункт В.6.4, приложение В), динамический анализ (см.МЭК 61508-7, пункт В.6.5, приложение В) или анализ отказов (см. МЭК 61508-7,пункт В.6.6, приложение В) могут сократить число испытаний до приемлемогоуровня. В случае разработки, проводимой в соответствии с правилами, приводящимик структурному проектированию (см. МЭК 61508-7, пункт В.3.2, приложение В), илиполуформальными методами (см. МЭК 61508-7, пункт В.2.3, приложение В) этитребования выполнить легче.

2. Если при разработкеиспользуются формальные методы (см. МЭК 61508-7, пункт В.2.2, приложение В) илиформальные доказательства и утверждения, то возможности таких испытаний могутбыть ограничены.

3. Такжемогут быть использованы статистические методы (см. МЭК 61508-7, пункт В.5.3,приложение В).

7.5.2.3.Интеграция программного обеспечения, связанного с безопасностью, в программируемойэлектронной системе должна осуществляться в соответствии с МЭК 61508-3,подраздел 7.5.

7.5.2.4.Для испытания интеграции Е/Е/РЕ систем, связанных с безопасностью, должна бытьразработана соответствующая документация, устанавливающая результаты испытанийи определяющая, достигнуты ли цели и критерии, определенные на этапахпроектирования и создания систем. В случае отказа должны быть документированыпричины и способы его устранения.

7.5.2.5. Впериод интеграции и испытаний любые модификации или изменения Е/Е/РЕ систем,связанных с безопасностью, должны стать предметом анализа, при котором следуетидентифицировать все компоненты, на которые влияют эти модификации илиизменения, и все необходимые действия по повторному подтверждению выполнения требований.

7.5.2.6.При испытаниях интеграции E/E/PESдолжна бытьдокументирована следующая информация:

a) версия спецификации испытаний;

b) критерии принятия испытаний интеграции;

c) версия испытуемой Е/Е/РЕ системы, связанной сбезопасностью;

d) используемые средства испытаний и оборудование с датойповерки;

e) результаты каждого испытания;

f) любое несоответствие между ожидаемыми и фактическимирезультатами;

g) проведенный анализ и принятое решение о продолжениииспытаний или выпуске запроса на изменение (при наличии несоответствия).

7.5.2.7.Для предотвращения ошибок во время интеграции E/E/PESдолжна быть использована соответствующая группа методов и средств всоответствии с таблицей В.3,приложение В.

7.6. Процедурыэксплуатации и технического обслуживания E/E/PES

7.6.1. Цель

Цельюнастоящего подраздела является разработка процедур, гарантирующих требуемуюфункциональную безопасность Е/Е/РЕ систем, связанных с безопасностью, во времяэксплуатации и технического обслуживания.

7.6.2. Требования

7.6.2.1.Должны быть предусмотрены следующие действия, процедуры и документация поэксплуатации и техническому обслуживанию E/E/PES:

a) обычные действия, которые должны быть выполнены дляподдержания «спроектированной» функциональной безопасности Е/Е/РЕ систем,связанных с безопасностью, включая обычную замену компонентов с предварительнозаданными сроками жизни, например вентиляторов, батарей и т.п.;

b) действия и ограничения, необходимые для предотвращенияопасных отказов или уменьшения последствий опасных событий (например во времяустановки, пуска в действие, обычного режима эксплуатации, типовых испытаний,обозримых неисправностей, отказов или ошибок, отключений);

c) документация (которая должна поддерживаться) по отказамсистемы и частотам запросов Е/Е/РЕ систем, связанных с безопасностью;

d) документация (которая должна поддерживаться), хранящаярезультаты аудитов и испытаний Е/Е/РЕ систем, связанных с безопасностью;

е)процедуры технического обслуживания, которым необходимо следовать в случае,если происходят отказы и ошибки в Е/Е/РЕ системах, связанных с безопасностью, втом числе:

- процедурыдиагностики отказов и восстановления (ремонта),

- процедурыповторного подтверждения соответствия (вновь придания юридической силы),

-требования поддержания отчетности;

f) процедуры по поддержанию параметров отчетности, которыедолжны быть определены, в частности процедуры отчетности:

- поотказам,

- поанализу отказов;

g) инструменты, необходимые для технического обслуживания иподтверждения соответствия, и процедуры для поддержания инструментов иоборудования.

Примечания

1. По соображениямбезопасности и экономичности может оказаться выгодным объединять процедурыэксплуатации и технического обслуживания E/E/PES с полными процедурами эксплуатации итехнического обслуживания управляемого оборудования.

2. Впроцедуры эксплуатации и технического обслуживания E/E/PES должны быть включеныпроцедуры модификации программного обеспечения (см. МЭК 61508-3, подраздел7.8).

7.6.2.2.Процедуры эксплуатации и технического обслуживания Е/Е/РЕ систем, связанных сбезопасностью, должны непрерывно совершенствоваться с учетом, как результатовпроверок функциональной безопасности, так и результатов испытаний Е/Е/РЕсистем, связанных с безопасностью.

7.6.2.3.Обычные действия по техническому обслуживанию, необходимые для поддержанияфункциональной безопасности (в соответствии с проектом) Е/Е/РЕ систем,связанных с безопасностью, должны быть заданы на основе систематическогоподхода. Этот подход должен определять необнаруженные отказы всех компонентов,связанных с безопасностью (от сенсорных устройств до оконечных элементов),которые могли бы вызвать сокращение достигнутой полноты безопасности.Подходящие методы этого подхода включают в себя:

-экспертизу деревьев отказов;

- анализвидов отказов и анализ влияния;

-поддержание надежности тщательного технического обслуживания.

Примечания

1. Рассмотрениечеловеческого фактора является ключевым моментом в определении требуемыхдействий и соответствующих интерфейсов с Е/Е/РЕ системами, связанными сбезопасностью.

2. Необходимо, чтобы частотапроведения типовых испытаний была такой, чтобы была достигнута целевая мераотказов.

3. Частота типовыхиспытаний, интервал диагностического тестирования и время для последующегоремонта зависят от нескольких факторов (см. МЭК 61508-6, приложение В),включая:

- целевую меру отказов,связанных с уровнем полноты безопасности;

- архитектуру;

- охват диагностикидиагностическими тестами и

- ожидаемую частотузапросов.

4. Частотатиповых испытаний и диагностический интервал тестирования, вероятно, должныиметь решающее влияние на достижение полноты безопасности аппаратных средств.Одна из основных причин проведения анализа надежности аппаратных средств (см. 7.4.3.2.2)состоит в гарантии того, что частоты проведения этих двух типов испытанийсоответствуют целевой полноте безопасности аппаратных средств.

7.6.2.4.Процедуры эксплуатации и технической поддержки E/E/PESдолжны бытьоценены на возможность воздействия, которое они могут оказать на управляемоеоборудование.

7.6.2.5.Для предотвращения отказов и ошибок во время процедур эксплуатации итехнического обслуживания E/E/PESиспользуютгруппу средств и методов в соответствии с таблицей В.4, приложение В.

7.7. Подтверждениесоответствия требованиям безопасности E/E/PES

Примечание - Эта стадия показана как блок 9.6 нарисунке 2.

7.7.1. Цель

Цельюнастоящего подраздела является подтверждение того, что заданная Е/Е/РЕ система,связанная с безопасностью, полностью соответствует требованиям безопасности втерминах требований к функциям безопасности и к полноте безопасности (см. 7.2).

7.7.2. Требования

7.7.2.1.Подтверждение соответствия E/E/PESтребованиямбезопасности должно выполняться в соответствии с подготовленным планом (см.также МЭК 61508-3, подраздел 7.7).

Примечания

1. Подтверждениесоответствия E/E/PES требованиям безопасности демонстрируетсяжизненным циклом безопасности E/E/PES, предшествующим установке, но внекоторых случаях не может быть осуществлено до окончания установки (например,если разработка прикладного программного обеспечения еще не завершена доокончания установки).

2.Подтверждение соответствия программируемой электроники, связанной сбезопасностью, включает в себя подтверждение соответствия аппаратных средств ипрограммного обеспечения. Требования к подтверждению соответствия программного обеспечениясодержатся в МЭК 61508-3.

7.7.2.2.Испытательное оборудование, используемое для подтверждения соответствия, должнобыть откалибровано в соответствии с нормативным документом, относящимся, повозможности, к национальному стандарту, или с общепризнанной процедурой. Всеиспытательное оборудование должно быть проверено на корректностьфункционирования.

7.7.2.3.Подтверждение соответствия каждой функции безопасности, указанной в требованияхбезопасности E/E/PES (см. 7.2), ипроцедур эксплуатации и технического обслуживания должно осуществлятьсяпроведением испытаний и/или анализа.

7.7.2.4.Должна быть подготовлена необходимая документация по проведению испытаний наподтверждение соответствия E/E/PESтребованиямбезопасности, в которой для каждой функции безопасности должны быть указаны:

a) версия используемого плана проведения подтверждениясоответствия E/E/PES;

b) функция безопасности, подвергаемая испытаниям (или анализу),вместе с конкретной ссылкой на указанные в документации требования напланирование проведения подтверждения соответствия E/E/PESтребованиям безопасности;

c) испытательные средства и оборудование вместе с данными обих калибровке;

d) результаты испытания;

e) несоответствие между ожидаемыми и фактическимирезультатами.

Примечание - Для каждой функции безопасностиотдельная документация не требуется, но каждая функция безопасности и каждоеотклонение от функции безопасности должны быть отражены в информации поперечислениям а) - е).

7.7.2.5.Если фактические результаты отличаются от ожидаемых результатов более чем этоустановлено допусками, результаты испытаний на подтверждение соответствия E/E/PESтребованиямбезопасности должны быть документированы, включая:

a) описание проведенного анализа и

b) принятое решение либо о продолжении испытаний, либо овыпуске извещения об изменении и возвращении к более раннему этапу испытаний наподтверждение соответствия.

7.7.2.6.Поставщик или производитель должны сделать доступными результаты испытанийподтверждения соответствия E/E/PESтребованиямбезопасности производителю управляемого оборудования и систем управленияуправляемого оборудования с тем, чтобы позволить им обеспечить выполнениетребований  полного подтверждениясоответствия требованиям безопасности в соответствии с МЭК 61508-1.

7.7.2.7.Для предотвращения отказов при проведении подтверждения соответствия E/E/PESтребованиямбезопасности используют группу методов и средств в соответствии с таблицей В.5, приложение В.

7.8. Модификация E/E/PES

7.8.1. Цель

Цельютребований настоящего подраздела является гарантирование требуемой полнотыбезопасности, ее достижение и поддержание после изменения, расширения илиадаптации Е/Е/РЕ системы, связанной с безопасностью.

7.8.2. Требования

7.8.2.1.Должна быть изготовлена и обеспечена поддержка документации по каждому действиюпо модификации E/E/PES.Документация должна включать в себя:

a) детальную спецификацию модификации или изменений;

b) анализ влияния действий по модификации на полную систему,включая аппаратные средства и программное обеспечение (см. МЭК 61508-3),взаимодействие с человеком, окружающую среду и возможные взаимодействия;

c) утвержденные изменения;

d) порядок проведения изменений;

e) испытания компонентов, включая данные повторногоподтверждения соответствия;

f) предысторию управления конфигурацией E/E/PES;

g) отклонения от нормальных действий и условий;

h) необходимые изменения системных процедур

i) необходимые изменения документации.

7.8.2.2.Производители или поставщики систем, требующие подтверждения соответствиятребованиям настоящего стандарта, должны осуществлять техническую поддержкусистемы при инициировании изменений в результате обнаруживаемых в аппаратныхсредствах или программном обеспечении дефектов и сообщать пользователям онеобходимости модификации в случае обнаружения дефекта, затрагивающегобезопасность.

7.8.2.3.Модификация должна проводиться, по крайней мере, с тем же уровнем экспертизы,автоматизированных средств (см. МЭК 61508-3, подпункт 7.4.4.2), планирования иуправления, что и при разработке Е/Е/РЕ систем, связанных с безопасностью.

7.8.2.4.После модификации Е/Е/РЕ системы, связанные с безопасностью, должны бытьповторно проверены и должно быть повторно подтверждено их соответствие.

Примечание - См. также МЭК 61508-1, подпункт7.16.2.6.

7.9. Верификация

7.9.1. Цель

Цельтребований настоящего подраздела состоит в проверке и оценке выходныхрезультатов конкретной стадии для гарантирования их правильности и соответствиятребованиям разделов стандартов, предусмотренных для этой стадии. Требованиясм. в 7.2.2, 7.4.2 - 7.4.8, 7.5.2, 7.6.2,7.7.2,7.8.2настоящего стандарта, а также в МЭК 61508-1, пункты 7.2.2, 7.3.2,7.4.2,7.5.2,7.6.2,7.11.2, 7.12.2.

Примечание - Все требования к действиям поверификации объединены в подразделе 7.9, но фактически они выполняются на всехстадиях жизненного цикла безопасности E/E/PES.

7.9.2. Требования

7.9.2.1.Верификация Е/Е/РЕ систем, связанных с безопасностью, должна быть запланированаодновременно с их разработкой (см. 7.4) для каждойстадии жизненного цикла безопасности E/E/PESидокументирована.

7.9.2.2.Планирование верификации E/E/PESдолжноотноситься к критериям, методам и средствам, используемым для верификации напроверяемой стадии.

7.9.2.3.Планирование верификации E/E/PESдолжноопределять на каждой стадии выполнение обязательных действий для гарантииправильности выходных результатов и соответствия требованиям разделовстандартов, предусмотренных для этой стадии. Требования см. в пункте 7.3.2,а также в МЭК 61508-1, пункты 7.7.2, 7.8.2, 7.9.2.

7.9.2.4.Планирование верификации E/E/PESдолжно предусматривать:

a) выбор стратегии и методов;

b) выбор и использование испытательного оборудования;

c) выбор и документирование действий в ходе верификации;

d) оценку результатов верификации, полученных непосредственноиз верифицирующего оборудования и испытаний.

7.9.2.5.При проектировании и разработке каждой стадии должно быть показано, чтотребования функциональной безопасности и полноты безопасности выполняются.

7.9.2.6.Результат каждого действия по верификации должен быть документирован. Вдокументе должно быть указано, прошли ли E/E/PESпроверку,причины отказов (при их наличии). В случае несоответствия E/E/PESтребованиямодного или более пунктов:

a) жизненного цикла безопасности E/E/PES(см. 7.2);

b) стандартов проектирования (см. 7.4.2 - 7.4.8);

c) управления функциональной безопасностью (см. раздел 6) вдокументе должны быть указаны пункты несоответствия.

7.9.2.7.Для верификации требований безопасности Е/Е/РЕ систем, связанных сбезопасностью, после того как эти требования были установлены (см. 7.2), иперед началом следующей стадии (проектирования или разработки) проверка должна:

a) определить, адекватны ли по безопасности и функциональнымвозможностям требования безопасности E/E/PESтребованиям,установленным в требованиях к распределению безопасности E/E/PES(см. МЭК61508-1, пункт 7.6.2), и другим требованиям, заданным при планированиибезопасности (см. МЭК 61508-1, пункты 7.7.2, 7.8.2, 7.9.2), и

b) проверить на несовместимость:

-  требования безопасности E/E/PES(см. 7.2),

-распределение требований безопасности (см. МЭК 61508-1),

- испытанияE/E/PES (см. 7.4) и

-документацию пользователя вместе с остальной документацией на систему.

7.9.2.8.Для верификации стадии проектирования и разработки E/E/PESпосле еезавершения (см. 7.4) и до началаследующей стадии (интеграции) проверка должна:

a) определить, адекватны ли тесты для стадии проектирования иразработки E/E/PES (см. 7.4);

b) определить связанность и завершенность (до уровня модулей,включительно) стадии проектирования и разработки E/E/PES(см. 7.4) в отношениитребований безопасности (см. 7.2) и

c) проверить на несовместимость:

-требования безопасности E/E/PES(см. 7.2),

- результатпроектирования и разработки E/E/PES(см. 7.4) и

- испытанияE/E/PES (см. 7.4).

Примечания

1. Методы подтверждениясоответствия безопасности, анализа отказов и тестирования, рекомендуемые втаблице В.5 (приложение В), такжемогут быть использованы для верификации.

2. Приверификации достижения необходимого диагностического охвата следует учестьотказы и ошибки, которые должны быть обнаружены, приведенные в таблице А.1(приложение А).

7.9.2.9.Для проверки интеграции E/E/PESдолжна бытьпроверена интеграция Е/Е/РЕ систем, связанных с безопасностью, с тем чтобыустановить выполнение требований 7.5.

7.9.2.10.Проверки и их результаты должны быть задокументированы.

8. Оценка функциональной безопасности

Требованияк оценке функциональной безопасности - в соответствии с МЭК 61508-1, пункт 8.

ПриложениеА
(обязательное)
Методы и средства для Е/Е/РЕ систем, связанных с безопасностью: управлениеотказами в процессе эксплуатации

А.1. Общие положения

Настоящееприложение должно использоваться совместно с 7.4 иограничивает максимальный диагностический охват, что может потребоваться длявыбора методов и средств управления отказами в процессе эксплуатации. Длякаждого уровня полноты безопасности в настоящем приложении рекомендованы методыи средства управления случайными, систематическими, эксплуатационными отказамии отказами, относящимися к окружающей среде. Более подробную информацию обархитектурах и методах см. в МЭК 61508-6 (приложение В) и МЭК 61508-7(приложение А).

Перечислитькаждую индивидуальную физическую причину отказов в сложных аппаратных средствахне представляется возможным по следующим основным причинам:

-причинно-следственные отношения между ошибками и отказами часто трудноопределить;

- прииспользовании сложных аппаратных средств и программного обеспечения характеротказов изменяется в диапазоне от случайных до систематических.

Категорииотказов в Е/Е/РЕ системах, связанных с безопасностью, могут быть установлены взависимости от времени их возникновения как:

- отказыиз-за ошибок, возникающих до установки или в период установки системы(например, вследствие ошибок программного обеспечения, включая спецификацию иошибки программы; вследствие ошибок в аппаратных средствах, включаяпроизводственные ошибки и неправильный выбор компонентов);

- отказыиз-за технических ошибок или ошибок человека, возникающих после установкисистемы (например, случайные отказы аппаратных средств или отказы, вызванныенеправильным использованием).

Дляпредотвращения таких отказов или управления ими (если они происходят) обычнотребуется применение большого числа средств, Структура требований, приведенныхв приложениях А и В, являетсяследствием разделения средств на средства, используемые для предотвращенияотказов на различных стадиях жизненного цикла E/E/PES (см. приложение В),и средства, используемые для управления отказами в период эксплуатации (см.настоящее приложение). Средства по управлению отказами - это собственныевстроенные составляющие Е/Е/РЕ систем, связанных с безопасностью.

Охватдиагностикой и доля безопасных отказов определяются в соответствии с таблицей А.1и процедурами, описанными в приложения С. Таблицы А.2 - А.15 поддерживают требованиятаблицы А.1методами и средствами для диагностического тестирования и требованиямимаксимальных уровней диагностического охвата, которые могут быть достигнуты приих использовании. Требования, приведенные в данных таблицах, не отменяюттребований, приведенных в приложении С. Требования таблиц А.2 - А.15 не являются исчерпывающими.Могут быть использованы другие методы и средства диагностического тестирования,если приведены свидетельства о поддержании ими требующегося диагностическогоохвата. Если требуется высокий уровень диагностического охвата, то из каждой изтаблиц А.2 - А.15 должно быть применено, какминимум, одно средство с высоким уровнем диагностического охвата.

Таблицы А.16- А.18содержат рекомендуемые меры и средства управления систематическими отказами длякаждого уровня полноты безопасности. Таблица А.16относится к общим мерам, рекомендуемым для управления систематическими отказами(см. также МЭК 61508-3). Таблица А.17относится к рекомендуемым мерам по управлению отказами из-за влияния окружающейсреды. Таблица А.18относится к рекомендуемым мерам по управлению ошибками при эксплуатации.Большинство этих мер по управлению отказами может быть разделено поэффективности их применения в соответствии с таблицей А.19.

Методы,средства и меры, приведенные в таблицах А.2 - А.15, описаны в МЭК 61508-7,приложение А. Методы, средства и меры, требуемые для каждого уровня полнотыбезопасности программного обеспечения, приведены в МЭК 61508-3. Руководящиеуказания по определению архитектуры Е/Е/РЕ системы, связанной с безопасностью,приведены в МЭК 61508-6.

Руководящиеуказания, представленные в настоящем приложении, не гарантируют сами по себетребуемой полноты безопасности. Важно учитывать:

-последовательность выбранных методов и средств и то, как они будут дополнятьдруг друга;

- какиеметоды, средства и меры в наибольшей степени подходят для решения конкретныхпроблем, с которыми сталкиваются специалисты во время создания каждой Е/Е/РЕсистемы, связанной с безопасностью.

А.2. Полнота безопасности аппаратных средств

Требованияк ошибкам или отказам, которые должны быть обнаружены с помощью методов исредств управления отказами аппаратных средств для достижения соответствующегоуровня диагностического охвата, представлены в таблице А.1(см. также приложение С). Требования, представленные втаблицах А.2 - А.15, поддерживают требования,приведенные в таблице А.1,методами и средствами для диагностического тестирования и требованиямимаксимальных уровней диагностического охвата, которые могут быть достигнуты приих использовании. Данные диагностические тесты могут проводиться непрерывно илипериодически. Таблицы А.2 - А.15 не заменяют требованийподраздела 7.4. Методы,средства и меры, представленные в таблицах А.2 - А.15, не являютсяисчерпывающими. Могут быть использованы другие методы, средства и меры, еслипредставлены свидетельства, что они поддерживают необходимый диагностическийохват.

Примечания

1. Краткий обзор методов исредств, упомянутых в таблицах А.2 - А.15, приведен в МЭК 61508-7(приложение А). Во вторых колонках таблиц А.2 - А.15 приведены соответствующиессылки.

2.Указания «низкий», «средний» и «высокий» диагностический охват количественноопределены как 60 %, 90 % и 99 % соответственно.

Таблица А.1- Ошибки и отказы,которые должны быть обнаружены в период эксплуатации или проанализированы приопределении доли безопасных отказов

Таблица А.2 - Электрическиеподсистемы

Таблица А.3 - Электронныеподсистемы

Таблица А.4 - Устройстваобработки

Таблица А.5 - Постоянная память

Таблица А.6 - Память спроизвольным доступом (ОЗУ)

Таблица А.7 - Устройстваввода/вывода и интерфейс (внешний обмен)

Таблица А.8 - Маршруты данных(внутренний обмен)

Таблица А.9 - Источник питания

Таблица А.10 -Последовательность выполнения программ (дежурный таймер)

Таблица А.11- Системавентиляции и подогрева (при необходимости)

Таблица А.12 - Генератортактовой частоты

Таблица А.13 - Устройство связии запоминающее устройство большой емкости

Таблица А.14 -Датчики

Таблица А.15 - Оконечныеэлементы (приводы)

А.3 Систематическая полнота безопасности

Таблицы А.16 - А.18 содержат рекомендации для применения методов и средств с целью:

-управления отказами, связанными с проектированием аппаратных средств ипрограммного обеспечения (см. таблицу А.16);

-управления отказами, вызванными внешними нагрузками или влияниями (см. таблицу А.17);

-управления отказами на стадии эксплуатации (см. таблицу А.18).

Рекомендациив таблицах А.16- А.18приведены на основе уровня полноты безопасности, устанавливая, во-первых,уровень важности метода или средства и, во-вторых, эффективность егоиспользования.

Уровеньважности метода или средства обозначают:

HR-методыили средства крайне рекомендованы (КР) для данного уровня полноты безопасности.Если эти методы или средства не используются, то должно быть приведеноподробное обоснование их неиспользования;

R-методыили средства рекомендованы (Р) для данного уровня полноты безопасности;

- методыили средства, не имеющие рекомендаций для и против применения;

NR-методы илисредства явно (положительно) не рекомендованы для данного уровня полнотыбезопасности. В случае применения этих методов или средств должно бытьприведено подробное обоснование такого использования.

Требуемуюэффективность методов и средств обозначают:

«обязательная(Mandatory)» - данные методы или средства требуются для всех уровней полнотыбезопасности и должны быть использованы настолько эффективно, наскольковозможно (т.е. с наивысшей эффективностью);

«низкая(Low)» - данные методы или средства должны использоваться в степени,необходимой для достижения, по крайней мере, уровня низкой эффективностипротиводействия систематическим отказам;

«средняя(Medium)» - данные методы или средства должны использоваться в степени,необходимой для достижения, по крайней мере, уровня средней эффективностипротиводействия систематическим отказам;

«высокая(High)» - данные методы или средства должны использоваться в степени,необходимой для достижения, по крайней мере, уровня высокой эффективностипротиводействия систематическим отказам.

Руководствопо уровням эффективности для большинства методов и средств приведено в таблице А.19.

Если меране является обязательной, то она может быть заменена другими мерами (одной илив комбинации с другими).

Всеприведенные в таблицах А.16 - А.18методы и средства являются встроенными компонентами Е/Е/РЕ систем, связанных сбезопасностью, которые могут помочь управлять отказами в режиме «онлайн».Процедурные и организационные методы и средства необходимы на протяжении всегожизненного цикла безопасности E/E/PES для предотвращения введения в них ошибок.Методы оценки соответствия для проверки действия Е/Е/РЕ систем, связанных сбезопасностью, по противостоянию ожидаемым внешним влияниям необходимы для демонстрациитого, что встроенные особенности соответствуют заявленным требованиям (см. приложение В).

Информацияпо отказам по общей причине приведена в МЭК 61508-6 (приложение D).

Примечание - Большинство методов, приведенных втаблицах А.16 - А.18,может использоваться с разной эффективностью в соответствии с таблицей А.19,в которой приведены описания их применения для обеспечения низкой и высокойэффективности. Усилия, требуемые для получения средней эффективности, находятсяв пределах усилий, необходимых для получения низкой и высокой эффективности.

Таблица А.16 - Уровни важностии требуемые эффективности методов и средств управления систематическимиотказами, источниками которых являются этапы разработки аппаратных средств ипрограммного обеспечения

Таблица А.17 - Уровни важностии требуемые эффективности методов и средств управления систематическимиотказами, вызванными внешними нагрузками или влияниями

Таблица А.18 - Уровни важностии требуемые эффективности методов и средств управления систематическимиотказами при эксплуатации

Таблица А.19 - Эффективностьметодов, мер и средств управления систематическими отказами

ПриложениеВ
(обязательное)
Методы и средства для Е/Е/РЕ систем, связанных с безопасностью: предотвращениесистематических отказов в течение различных стадий жизненного цикла

Для каждого уровня безопасности рекомендуемые методы, меры и средства для предотвращения отказов в Е/Е/РЕ системах, связанных с безопасностью, приведены в таблицах В.1 - В.5. Более подробную информациюсм. в МЭК 61508-7. Требования к методам по управлению отказами в период эксплуатации приведены в приложении А, а сами методы описаны в МЭК 61508-7, приложение А.

Перечислитькаждую причину систематических отказов, источники которых возникают напротяжении всех стадий жизненного цикла, и каждое средство защиты непредставляется возможным по следующим причинам:

- влияниесистематических ошибок зависит от стадии жизненного цикла, на которой онивносятся, и

-эффективность любого одиночной меры или средства по предотвращению отказовзависит от их применения.

Поэтомуколичественный анализ для предотвращения систематических отказов невозможен.Категории отказов в Е/Е/РЕ системах, связанных с безопасностью, могут бытьустановлены в соответствии со стадиями жизненного цикла, которые явилисьисточником внесения соответствующих ошибок:

- отказы,вызванные ошибками, возникающими до установки или в период установки системы(например, ошибки программного обеспечения включают в себя ошибки спецификациии ошибки программ, ошибки в аппаратных средствах включают в себя производственныеошибки и неправильный выбор компонентов), и

- отказы,вызванные ошибками, возникающими после установки системы (например, случайныеотказы аппаратных средств, вызванные неправильным использованием оборудования).

Дляпредотвращения таких отказов или управления ими (если они происходят) обычнотребуется применение большого числа средств. Структура требований, приведенныхв приложениях А и В, является следствием разделения средств и мер на средства имеры, используемые для предотвращения отказов на различных стадиях жизненногоцикла E/E/PES (см. настоящее приложение), и средства и меры, используемые дляуправления отказами в период эксплуатации (см. приложение А). Средства по управлению отказами - это собственныевстроенные составляющие Е/Е/РЕ систем, связанных с безопасностью, а средства имеры для предотвращения отказов - используемые в течение жизненного циклабезопасности.

Рекомендации,приведенные в таблицах В.1- В.5, приведены на основеуровня полноты безопасности и устанавливают, во-первых, важность метода, мерыили средства и, во-вторых, эффективность его использования.

Уровеньважности метода, меры или средства обозначают:

HR-методы,меры или средства крайне рекомендованы (КР) для данного уровня полнотыбезопасности. Если эти методы, меры или средства не используются, то должнобыть приведено подробное обоснование их неиспользования;

R-методы,меры или средства рекомендованы (Р) для данного уровня полноты безопасности;

- методы,меры или средства, не имеющие рекомендаций для и против применения;

NR-методы,меры или средства явно (положительно) не рекомендованы для данного уровняполноты безопасности. В случае применения этих методов, мер или средств, тодолжно быть приведено подробное обоснование такого использования.

Требуемуюэффективность методов, мер и средств обозначают:

-«обязательная (Mandatory)» - данные методы, меры или средства требуются длявсех уровней полноты безопасности и должны быть использованы настолькоэффективно, насколько возможно (т.е. с наивысшей эффективностью);

- «низкая(Low)» - данные методы, меры или средства должны использоваться в степени,необходимой для достижения, по крайней мере, уровня низкой эффективностипротиводействия систематическим отказам;

- «средняя(Medium)» - данные методы, меры или средства должны использоваться в степени,необходимой для достижения, по крайней мере, уровня средней эффективностипротиводействия систематическим отказам;

- «высокая(High)» -данные методы, меры или средства должны использоваться в степени,необходимой для достижения, по крайней мере, уровня высокой эффективностипротиводействия систематическим отказам.

Примечание - Большинство методов, приведенных втаблицах В.1 - В.5, может использоваться сразной эффективностью в соответствии с таблицей В.6, в которой приведеныописания их применения для обеспечения низкой и высокой эффективности. Усилия,требуемые для получения средней эффективности, находятся в пределах усилий, необходимыхдля получения низкой и высокой эффективности.

Если меране является обязательной, то она может быть заменена другими мерами (одной ил ив комбинации с другими).

Руководящиеуказания, представленные в настоящем приложении, не гарантируют сами по себетребуемой полноты безопасности. Важно учитывать:

-последовательность выбранных методов, мер и средств и то, как они будутдополнять друг друга;

- какие изметодов, мер и средств предназначены для каждой стадии жизненного цикла;

- какиеметоды, меры и средства в наибольшей степени подходят для решения конкретныхпроблем, с которыми сталкиваются специалисты во время создания каждой Е/Е/РЕсистемы, связанной с безопасностью.

Таблица В.1 - Рекомендации попредотвращению ошибок во время задания спецификации требований к E/E/PES (см. 7.2)

Таблица В.2 - Рекомендации по предупреждениювнесения ошибок во время проектирования и разработки E/E/PES (см. 7.4)

Таблица В.3 - Рекомендации дляпредотвращения ошибок в период интеграции E/E/PES (см. 7.5)

Таблица В.4 - Рекомендации попредотвращению ошибок и отказов в период эксплуатации и техническогообслуживания E/E/PES (см. 7.6)

Таблица В.5 - Рекомендации попредотвращению ошибок при подтверждении соответствия E/E/PES (см. 7.7)

Таблица В.6 - Эффективность методови средств для предотвращения систематических ошибок

ПриложениеС
(обязательное)
Диагностический охват и доля безопасных отказов

С.1. Расчет диагностического охвата и доли безопасных отказов

Диагностический охват и доли безопасных отказов рассчитываются следующимобразом:

a) проводят анализ видов отказов и их влияния для определения влияниякаждого вида отказов каждого компонента или группы компонентов в подсистеме наповедение Е/Е/РЕ систем, связанных с безопасностью, в отсутствиедиагностических проверок. В наличии должна быть информация (см. примечания),достаточная для того, чтобы убедиться в том, что влияние видов отказов ирезультаты анализа этого влияния с достаточной степенью достоверностисоизмеримы с требованиями полноты безопасности.

Примечания

1.Для проведения такого анализа требуются:

-подробная блок-схема Е/Е/РЕ системы, связанной с безопасностью, описывающаяподсистему вместе со взаимосвязями для той части Е/Е/РЕ системы, связанной сбезопасностью, которая затрагивает рассматриваемую(ые) функцию(ии)безопасности;

-схемные решения подсистемы аппаратных средств, описывающие каждый компонент илигруппу компонентов и взаимосвязи между компонентами;

-виды отказов и частоты (интенсивности) отказов для каждого компонента илигруппы компонентов и связанные соотношения безопасных и опасных отказов кполной средней частоте (интенсивности) отказов в процентах.

2. Требуемая точность этого анализа зависит от ряда факторов (см. МЭК 61508-1,подраздел 4.1). В частности, должен быть принят во внимание уровень полнотыбезопасности рассматриваемых функций безопасности. Для более высоких уровнейполноты безопасности ожидается, что виды отказов и анализ влияний будутспецифичны в соответствии с конкретными типами компонентов и существующейокружающей средой. Также очень важен полный и подробный анализ для подсистемы,используемой в архитектуре аппаратных средств, имеющей нулевую устойчивость котказам аппаратных средств;

b) все виды отказов делят на категории по признаку, является ли он (вотсутствие диагностических испытаний):

- безопасным отказом (т.е. не приводящим к снижению полноты безопасностиЕ/Е/РЕ системы, связанной с безопасностью, например, приводящим к безопасномуотключению, или не влияющим на полноту безопасности Е/Е/РЕ системы, связанной сбезопасностью), или

- опасным отказом (т.е. приводящим к отказу выполнения функциибезопасности Е/Е/РЕ системой, связанной с безопасностью, или ее частью, либо кневыполнению полноты безопасности Е/Е/РЕ системы, связанной с безопасностью);

c) оценив частоты отказов каждого компонента или группы компонентовλ, (см. перечисление а) и примечания) и учтя виды отказов и результатыанализа последствий каждого вида отказа каждого компонента или группыкомпонентов в подсистеме, вычисляют частоту безопасных отказов λ_S и частоту опасных отказов λ_D.

Примечания

1.Частота отказов каждого из компонентов или группы компонентов - это частотаотказов λ, которые происходят в течение относительно небольшого промежуткавремени t, в случаях, если λt значительно меньше единицы.

2. Частота отказов каждого компонента или группы компонентов может бытьоценена с использованием данных из признанного промышленного источника с учетомокружающей среды применения. Однако применение специфических данныхпредпочтительнее, особенно в случаях, если подсистема состоит из небольшогочисла компонентов и если любая ошибка в оценке вероятности безопасных и опасныхотказов специфического компонента может оказать существенное влияние на оценкубезопасной составляющей отказа;

d) оценивают для каждого компонента или группы компонентов доли опасныхотказов, которые могут быть обнаружены диагностическими тестами (см. приложениеС, пункт С.2)и, следовательно, частоты опасных отказов, обнаруженных диагностическимитестами λ_DD;

e) вычисляют полные частоты опасного отказа ∑λ_D подсистемы, полные частоты опасных отказов,обнаруженных диагностическими тестами ∑λ_DD и полные частоты безопасных отказов ∑λ_S;

f) вычисляют диагностический охват подсистемы как ∑λ_DD /∑λ_D;

g) вычисляют долю безопасных отказов подсистемы как(∑λ_S + ∑λ_DD)/( (∑λ_S +∑λ_D).

Примечание - Диагностическийохват каждой подсистемы в Е/Е/РЕ системе, связанной с безопасностью, долженучитываться в вычислении случайных отказов аппаратных средств (см. 7.4.3.2.2). Долябезопасных отказов должна быть принята во внимание при определенииархитектурных ограничений на полноту безопасности аппаратных средств (см. 7.4.3.1).

Анализ, выполняемый для определения диагностического охвата и долибезопасных отказов, должен охватывать все компоненты, в том числеэлектрические, электронные, электромеханические, механические и т.п.,необходимые подсистеме для выполнения функции(ий) безопасности, которыетребуются Е/Е/РЕ системе, связанной с безопасностью. Для каждого из компонентовдолжны быть рассмотрены все возможные виды опасных отказов, приводящие копасному состоянию, препятствуя реакции безопасности, если такая реакцияопределена или так или иначе ставит под угрозу полноту безопасности, Е/Е/РЕсистем, связанных с безопасностью.

Ошибки и отказы, которые, как минимум, должны быть обнаружены длядостижения уместного диагностического охвата, или, как минимум, должны бытьвключены в определение безопасной составляющей отказа, приведены в таблице А.1.

Если для анализа видов отказов и их влияния используются эксплуатационныеданные, то достаточно обеспечить требования полноты безопасности. При этомнижний предел статистической односторонней достоверности должен быть не менее70 %.

Примечания

1.Пример вычисления диагностического охвата и безопасной составляющей отказапредставлен в МЭК 61508-6, приложение С.

2. Для вычисления степени диагностического охвата можно использоватьальтернативные методы, например моделирование ошибок с помощью подробныхкомпьютерных моделей как схем Е/Е/РЕ систем, связанных с безопасностью, так ииспользуемых при разработке электронных компонентов, например, на уровнетранзисторов в интегральной схеме.

С.2.Определение факторов диагностического охвата

При вычислении диагностического охвата для подсистемы (см. приложение С.1)для каждого компонента или группы компонентов необходимо оценить долю опасныхотказов, обнаруживаемых диагностическими тестами. Диагностические тесты,которые могут внести вклад в диагностический охват, включают в себя (но неограничиваются) такие меры как:

- сравнительные проверки, например контроль и сравнение избыточных(резервных) сигналов;

- дополнительные встроенные тестовые программы, например вычислениеконтрольных сумм в устройстве памяти;

- контроль с помощью внешних воздействий, например пропусканиемимпульсного сигнала через контролируемые тракты;

- непрерывный контроль аналогового сигнала, например, для обнаружениявыхода из диапазона уровней показаний при отказе сенсора.

Для вычисления диагностического охвата необходимо определить те видыотказов, которые обнаруживаются диагностическими тестами. Возможно, что отказы,связанные с разомкнутыми или короткозамкнутыми цепями для простых компонентов(резисторов, конденсаторов, транзисторов), могут быть обнаружены методом 100%-ного диагностического охвата. Однако для более сложных компонентов типа В(см. 7.4.3.1.3)должны быть учтены ограничения диагностического охвата для различныхкомпонентов, представленных в таблице А.1. Этот анализ должен быть проведен для каждого компонента или группыкомпонентов каждой подсистемы и каждой Е/Е/РЕ системы, связанной сбезопасностью.

Примечания

1.Рекомендуемые методы и средства для диагностических тестов (испытаний) ирекомендуемые максимальные диагностические охваты, которые могут потребоваться,приведены в приложении А, таблицах А.2 - А.15. Эти тестыпроводят непрерывно или периодически (в зависимости от интерваладиагностического тестирования). Требования таблиц А.2 - А.15 не заменяюттребований приложенияС.

2.Диагностические тесты могут обеспечить значительные преимущества в достижениифункциональной безопасности Е/Е/РЕ систем, связанных с безопасностью. Однакоследует позаботиться о том, чтобы излишне не усложнять тестирование, что можетпривести к увеличению трудностей при проведении действий по проверке,подтверждению соответствия, оценке функциональной безопасности, техническойподдержке и модификации. Усложнение тестирования может также затруднитьдлительное поддержание функциональной безопасности Е/Е/РЕ систем, связанных сбезопасностью.

3.При расчетах диагностического охвата и путей его использования предполагается,что Е/Е/РЕ системы, связанные с безопасностью, успешно работают в присутствиидругого опасного повреждения, обнаруженного диагностическими тестами. Если этопредположение не верно, то Е/Е/РЕ систему, связанную с безопасностью, следуетрассматривать как систему, действующую в режиме с высокой частотой запросов илис непрерывными запросами (см. 7.4.6.3 и 7.4.3.2.5).

4.Определение диагностического охвата приведено в МЭК 61508-4 (пункт 3.8.6).Важно отметить, что существуют альтернативные определения, но здесь они неприменяются.

5.Диагностическое тестирование, используемое для обнаружения опасных отказоввнутри подсистемы, может быть проведено другой подсистемой внутри Е/Е/РЕсистемы, связанной с безопасностью.

6. Диагностические тесты могут проводиться непрерывно или периодически взависимости от диагностического испытательного интервала. Зафиксированы случаиили интервалы времени, когда запуск диагностического испытания невозможен из-затого, что тестируемая система находится в неблагоприятном состоянии. В этомслучае преимущества вычислений не могут помочь при диагностических испытаниях.

ПриложениеD
(справочное)
Сведения о соответствии ссылочных международных стандартов национальнымстандартам Российской Федерации

Таблица D.1

Библиография

Ключевые слова: функциональная безопасность; жизненный цикл систем; электрические компоненты; электронные компоненты; программируемые электронные компоненты и системы; системы, связанныес безопасностью; управление функциональной безопасностью; требования к жизненному циклу безопасности; оценка функциональной безопасности