ГОСТ Р МЭК 61508-2-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам

ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Часть 2

Требования к системам

IEC 61508-2:2000
Functional safety ofelectrical/electronic/programmable electronic safety-related systems - Part 2:Requirements for electrical/electronic/programmable electronic safety-relatedsystems
(IDT)

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ«О техническом регулировании», а правила применения национальныхстандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1. ПОДГОТОВЛЕН обществомс ограниченной ответственностью «Корпоративные электронные системы» иТехническим комитетом по стандартизации ТК 10 «Перспективные производственныетехнологии, менеджмент и оценка рисков» на основе собственного аутентичногоперевода стандарта, указанного в пункте 4

2. ВНЕСЕН Управлениемразвития, информационного обеспечения и аккредитации Федерального агентства потехническому регулированию и метрологии

3. УТВЕРЖДЕН И ВВЕДЕН ВДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию иметрологии России от 27 декабря 2007 г. № 581-ст

4.Настоящий стандарт идентичен международному стандарту МЭК 61508-2:2000«Функциональная безопасность систем электрических, электронных, программируемыхэлектронных, связанных с безопасностью, Часть 2. Требованияксистемам» (IEC 61508-2:2000 «Functional safety Ofelectrical/electronic/programmable electronic safety-related systems - Part 2:Requirements for electrical/electronic/programmable electronic safety-relatedsystems»).

Наименованиенастоящего стандарта изменено относительно наименования указанногомеждународного стандарта для приведения в соответствие с ГОСТР 1.5 (подраздел 3.5).

Приприменении настоящего стандарта рекомендуется использовать вместо ссылочныхмеждународных стандартов соответствующие им национальные стандарты, сведения окоторых приведены в дополнительном приложении D

5. ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуетсяв ежегодно издаваемом информационном указателе «Национальные стандарты», атекст изменений и поправок - в ежемесячно издаваемых информационных указателях«Национальные стандарты». В случае пересмотра (замены) или отмены настоящегостандарта соответствующее уведомление будет опубликовано в ежемесячноиздаваемом информационном указателе «Национальные стандарты». Соответствующаяинформация, уведомление и тексты размещаются также в информационной системеобщего пользования - на официальном сайте Федерального агентства потехническому регулированию и метрологии в сети Интернет

Содержание

Введение

Системы, состоящие из электрических и/или электронных компонентов, в течение многих летиспользуются для выполнения функций безопасности в большинстве областей применения. Компьютерные системы [обычно называемые программируемыми электронными системами (PES)], использующиеся во всех областях применения для выполнения задач, не связанных с безопасностью, во всевозрастающих масштабах используются для решения задач обеспечения безопасности. Для эффективной и безопасной эксплуатации технологий, основанных на использовании компьютерных систем, чрезвычайно важно, чтобы лица, ответственные за принятие решений, имели в своем распоряжениируководство по вопросам безопасности, которое они могли бы использовать в своей работе.

Настоящийстандарт устанавливает общий подход к вопросам обеспечения безопасности всегожизненного цикла систем, состоящих из электрических и/или электронных, и/илипрограммируемых электронных компонентов[электрических/электронных/программируемых электронных систем (E/E/PES)],которые используются для выполнения функций безопасности. Этот общий подход былпринят для того, чтобы разработать рациональную и последовательную техническуюконцепцию для всех электрических систем, связанных с безопасностью. Основнойцелью настоящего стандарта является содействие разработке стандартов для ихприменения в различных предметных областях.

Обычнобезопасность систем достигается за счет использования в них нескольких системзащиты, в которых используются различные технологии (например, механические,гидравлические, пневматические, электрические, электронные, программируемыеэлектронные). Следовательно, любая стратегия безопасности должна учитывать нетолько все элементы, входящие в состав отдельных систем (например, датчики,управляющие устройства и исполнительные механизмы), но также и все подсистемы,связанные с безопасностью, входящие в состав комбинированной системы, связаннойс безопасностью. Таким образом, хотя настоящий стандарт в основномраспространяется на электрические/электронные/программируемые электронные(Е/Е/РЕ) системы, связанные с безопасностью, он может также дать представление обобщей структуре, в рамках которой рассматриваются системы, связанные сбезопасностью, основанные на других технологиях.

Признаннымфактом является существование огромного разнообразия применений E/E/PES вразличных предметных областях, отличающихся разной степенью сложности,опасностями и возможными рисками. В каждом конкретном применении использованиенеобходимых мер безопасности будет зависеть от многочисленных факторов,специфичных для этого конкретного применения. Настоящий стандарт, являясьбазовым, позволяет формулировать такие меры для вновь разрабатываемыхмеждународных стандартов для различных предметных областей.

Настоящийстандарт:

-рассматривает все соответствующие этапы жизненного цикла систем безопасности вцелом, а также подсистем E/E/PES и программного обеспечения (начиная с исходнойконцепции, включая проектирование, разработку, эксплуатацию, техническоеобслуживание и вывод из эксплуатации), в ходе которых E/E/PES используются длявыполнения функций безопасности;

-разработан с учетом быстрого развития технологий; его структура являетсядостаточно устойчивой и полной для удовлетворения потребностей разработок,которые могут появиться в будущем;

- делаетвозможной разработку стандартов областей применения, в которых используютсясистемы E/E/PES; разработка стандартов для областей применения в рамках общейструктуры, вводимой настоящим стандартом, должна приводить к более высокомууровню согласованности (например, основные принципы, терминология и т.п.) какдля отдельных областей применения, так и для их совокупности; это даетпреимущества как для безопасности, так и в сфере экономики;

-предоставляет метод разработки спецификаций для требований безопасности,необходимых для достижения требуемой функциональной безопасности Е/Е/РЕ систем,связанных с безопасностью;

-использует уровни полноты безопасности для задания планируемого уровня полнотыбезопасности функций, которые должны быть реализованы Е/Е/РЕ системами,связанными с безопасностью;

-использует для определения уровней полноты безопасности подход, основанный наоценке рисков;

-устанавливает количественные значения отказов Е/Е/РЕ систем, связанных сбезопасностью, которые связаны с уровнями полноты безопасности;

-устанавливает нижний предел планируемых значений отказов в режиме опасныхотказов, который может быть задан для отдельной Е/Е/РЕ системы, связанной сбезопасностью; для Е/Е/РЕ систем, связанных с безопасностью работающих:

- в режимес низкой интенсивностью запросов нижний предел для выполнения планируемойфункции по запросу устанавливают на средней вероятности отказов 10^-5;

- в режимес высокой интенсивностью запросов нижний предел устанавливают на вероятностиопасных отказов 10^-9 в час.

Примечание - Конкретная Е/Е/РЕ система, связанная сбезопасностью, не обязательно предполагает одноканальную архитектуру;

- применяетширокий набор принципов, методов и мер для достижения функциональнойбезопасности Е/Е/РЕ систем, связанных с безопасностью, но не используетконцепцию безаварийности, которая может иметь важное значение в случае, есливиды отказов хорошо определены, а уровень сложности является относительноневысоким. Концепция безаварийности признана неподходящей из-за широкогодиапазона сложности Е/Е/РЕ систем, связанных с безопасностью и подпадающих подобласть применения настоящего стандарта.

НАЦИОНАЛЬНЫЙСТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Дата введения - 2008-09-01

1. Область применения

1.1.Настоящий стандарт:

a) применяют только совместно с МЭК 61508-1, описывающимобщий подход для достижения функциональной безопасности;

b) применяется (как определено в МЭК 61508-1) к любойсистеме, связанной с безопасностью, которая содержит хотя бы одинэлектрический, электронный или программируемый электронный компонент;

c) применяется ко всем подсистемам и их компонентам внутриЕ/Е/РЕ систем, связанных с безопасностью (включая сенсоры, исполнительныеустройства и интерфейс человек-машина);

d) определяет способ использования информации, полученной всоответствии с МЭК 61508-1, описывающей полные требования к безопасности и их распределениепо Е/Е/РЕ системам, связанным с безопасностью, а также определяет, как полныетребования к безопасности преобразуются в требования к функциям безопасностиE/E/PES и в требования к полноте безопасности E/E/PES;

e) устанавливает требования к действиям, которые должны бытьреализованы на стадиях разработки и изготовления Е/Е/РЕ систем, связанных сбезопасностью (то есть формирует модель жизненного цикла безопасности E/E/PES),за исключением требований к программному обеспечению, которые рассмотрены в МЭК61508-3 (см. рисунки 2и 3):эти требования включают в себя указания по применению ранжированных по уровнямполноты безопасности методов и средств для предотвращения ошибок и отказов идля управления ошибками и отказами;

f) определяет информацию, необходимую для установки, ввода вэксплуатацию и заключительного подтверждения соответствия безопасности Е/Е/РЕсистем, связанных с безопасностью;

g) не определяет стадии эксплуатации и техническогообслуживания (см. МЭК 61508-1), но содержит требования для подготовкиинформации и процедур, необходимых пользователям для эксплуатации итехнического обслуживания Е/Е/РЕ систем, связанных с безопасностью;

h)определяет требования, предъявляемые к организациям, осуществляющим модификациюЕ/Е/РЕ систем, связанных с безопасностью.

Примечания

1. Настоящий стандарт главнымобразом предназначен для поставщиков и/или технических департаментов внутрикомпаний, отвечающих за формирование и реализацию требований по модификацииЕ/Е/РЕ систем, связанных с безопасностью.

2.Взаимосвязь между настоящим стандартом и МЭК 61508-3 показана на рисунке 3.

1.2. МЭК 61508-1 - МЭК 61508-4 являютсяосновополагающими стандартами по безопасности, хотя это не применяется вконтексте Е/Е/РЕ систем, связанных безопасностью, имеющих небольшую сложность(см. МЭК 61508-4, пункт 3.4.4). В качестве основополагающих стандартов побезопасности данные стандарты предназначены для использования техническимикомитетами при подготовке стандартов в соответствии с Руководствами МЭК104:1997 и ИСО/МЭК Руководство 51:1999. Стандарты серии МЭК 61508 предназначенытакже для использования в качестве самостоятельных стандартов.

Рисунок 1 - Общая структура настоящего стандарта

Вобязанности технического комитета входит использование (где возможно) базовыхстандартов по безопасности при подготовке собственных стандартов. В этом случаетребования, методы или условия проверки настоящего базового стандарта побезопасности не будут применяться, если это не указано специально, или будутвключаться в стандарты, подготовленные этими техническими комитетами.

Примечания

1. Функциональнаябезопасность систем Е/Е/РЕ, связанных с безопасностью, может достигаться тольков случае, если удовлетворены все установленные для них требования. Поэтомуважно, чтобы все эти требования были тщательно проанализированы и обоснованы.

2. В США иКанаде до тех пор, пока стандарты для конкретного сектора применения стандартовМЭК 61508 (например, МЭК 61511 [1])не будут опубликованы в качестве международных стандартов США и Канады,существующие там национальные стандарты по безопасности в обрабатывающихсекторах, основанные на МЭК 61508 могут быть применены вместо МЭК 61508.

1.3.Структура серии стандартов МЭК 61508-1 - МЭК 61508-7 показана на рисунке 1, атакже указана роль МЭК 61508-2 в достижении функциональной безопасности Е/Е/РЕсистем, связанных с безопасностью. МЭК 61508-6 (приложение А) содержит описаниеприменения МЭК 61508-2 и МЭК 61508-3.

2. Нормативные ссылки

В настоящемстандарте использованы нормативные ссылки на следующие стандарты:

МЭК60050-371:1984 Международный электротехнический словарь, Глава 371. Телеуправление

МЭК60300-3-2:2004 Управление общей надежностью, Часть 3. Руководство поприменению. Полевой сбор данных по общей надежности

МЭК61000-1-1:1992 Электромагнитная совместимость (ЭМС). Часть 1. Общие положения -Раздел 1: Применение и интерпретация фундаментальных определений и терминов

МЭК61000-2-5:1995 Электромагнитная совместимость (ЭМС). Часть 2. Окружение. Раздел5. Классификация электромагнитного окружения

МЭК61508-1:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью, Часть 1. Общиетребования

МЭК61508-3:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 3. Требования кпрограммному обеспечению

МЭК61508-4:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 4. Термины иопределения

МЭК61508-5:1998 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 5. Примерыметодов для определения уровней полноты безопасности

МЭК61508-6:2000 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 6. Руководство поприменению МЭК 61508-2:2000 и МЭК 61508-3:1998

МЭК61508-7:2000 Функциональная безопасность систем электрических, электронных,программируемых электронных, связанных с безопасностью. Часть 7. Анализ методови средств

ИСО/МЭК51:1999 Руководство по включению в стандарты аспектов, связанных сбезопасностью

МЭКРуководство 104:1997 Руководство по подготовке стандартов, связанных сбезопасностью, и по роли комитетов с функциями определения направлений иразработки стандартов в области безопасности

IEEE352:1987 Руководство IEEE по основным принципам анализа надежности систембезопасности атомных энергетических станций

3. Термины и определения

В настоящемстандарте применены термины по МЭК 61508-4.

4. Соответствиенастоящему стандарту

Требования соответствиянастоящему стандарту - по МЭК 61508-1 (см. раздел 4).

5. Документация

Требованияк документации - по МЭК 61508-1 (см. раздел 5).

6. Управление функциональной безопасностью

Требованияпо управлению функциональной безопасностью по МЭК 61508-1 (см. раздел 6).

7. Требования кжизненному циклу безопасности E/E/PES

7.1. Общие положения

7.1.1. Цели и требования. Общие положения

7.1.1.1.Настоящий подпункт устанавливает цели и требования для стадий жизненного циклабезопасности E/E/PES.

Примечание - Цели и требования для полногожизненного цикла безопасности, вместе с общим введением в структуру настоящегостандарта, приведены в МЭК 61508-1.

7.1.1.2.Для каждой стадии жизненного цикла безопасности E/E/PES (см. таблицу 1)указаны:

- цели,которые должны быть достигнуты;

- областьприменения стадии;

- ссылка напункт, содержащий требования;

- входыстадии;

- выходыстадии.

Таблица 1 - Обзор стадииреализации жизненного цикла безопасности E/E/PES

7.1.2. Цели

7.1.2.1.Первая цель настоящего подраздела состоит в структурировании на систематическойоснове стадий полного жизненного цикла безопасности E/E/PES, которые должныбыть рассмотрены для достижения требуемой функциональной безопасности Е/Е/РЕсистем, связанных с безопасностью.

7.1.2.2.Вторая цель настоящего подраздела заключается в документировании всейинформации, относящейся к функциональной безопасности Е/Е/РЕ систем, связанныхс безопасностью, на протяжении всего жизненного цикла E/E/PES.

7.1.3. Требования

7.1.3.1.Жизненный цикл безопасности E/E/PES, используемый в качестве требованиясоответствия настоящему стандарту, представлен на рисунке 2. В случаеиспользования другого жизненного цикла E/E/PES он должен быть определен наэтапе планирования функциональной безопасности E/E/PES (см. МЭК 61508-1, раздел6), а также должны быть достигнуты все цели и требования каждого подразделанастоящего стандарта.

Примечание -Взаимосвязь и области применения настоящего стандарта и МЭК 61508-3 показаны нарисунке 3.

Примечание - См. также МЭК 61508-6, раздел А.2, перечисление b).

Рисунок 2 - Жизненный цикл безопасности E/E/PES (стадия реализации)

Рисунок 3 - Взаимосвязь и областиприменения МЭК 61508-2 и МЭК 61508-3

7.1.3.2.Процедуры управления функциональной безопасностью (см. МЭК61508-1, раздел 6)должны осуществляться параллельно стадиям жизненного цикла безопасностиE/E/PES.

7.1.3.3.Каждую стадию жизненного цикла безопасности E/E/PES подразделяют наэлементарные действия с определением для каждой стадии области применения,входов и выходов (см. таблицу1).

7.1.3.4.Выходы каждой стадии жизненного цикла E/E/PES должны быть документированы (еслииное не будет обосновано на стадии планирования функциональной безопасности, см.МЭК 61508-1, раздел 5).

7.1.3.5.Выходы каждой стадии жизненного цикла E/E/PES должны отвечать определенным дляэтой стадии целям и требованиям (см. 7.2 - 7.9).

7.2. Спецификациятребований безопасности E/E/PES

Примечание - Эта стадия представлена на рисунке 2(блок 9.1).

7.2.1. Цель

Цельнастоящего пункта состоит в задании требований к каждой Е/Е/РЕ системе,связанной с безопасностью, в терминах требований к функциям безопасности и кполноте безопасности для достижения требуемой функциональной безопасности.

Примечание - Например, для функций безопасностиможет потребоваться приведение управляемого оборудования в безопасное состояниеили в состояние технического обслуживания.

7.2.2. Общие требования

7.2.2.1.Спецификация требований безопасности E/E/PES должна формироваться исходя израспределения требований безопасности, как определено в МЭК 61508-1 (подраздел7.6), а также учитывать требования, определенные входе планированияфункциональной безопасности (см. МЭК 61508-1, раздел 6). Эта информации должнабыть доступна разработчику E/E/PES.

Примечание - Не рекомендуется, чтобы одна и та жеЕ/Е/РЕ система, связанная с безопасностью, выполняла функции безопасности ифункций, не относящихся к безопасности. Хотя это допускается настоящимстандартом, такое объединение приводит к большим сложностям при выполненииработ в процессе жизненного цикла Е/Е/РЕ системы (например, при проектировании,подтверждении соответствия, оценке функциональной безопасности и техническомобслуживании).

7.2.2.2.Требования к функциональной безопасности E/E/PES должны быть выражены иструктурированы, чтобы они были:

a) ясными, точными, недвусмысленными, поддающимися проверке,пригодными для тестирования, поддерживаемыми и реализуемыми;

b) оформлены в письменном виде для того, чтобы их лучшепонимали те, кто использует эти требования на любой из стадий жизненного циклабезопасности E/E/PES.

7.2.2.3.Спецификация требований безопасности E/E/PES должна содержать требования кфункциям безопасности E/E/PES (см. 7.2.3.1) и требования к полноте безопасностиE/E/PES (см. 7.2.3.2).

7.2.3. Требования кбезопасности E/E/PES

7.2.3.1.Спецификация требований к функциям безопасности должна содержать:

a) описание всех функций безопасности, необходимых длядостижения функциональной безопасности, которое для каждой функции безопасностидолжно:

-обеспечивать всесторонние подробные требования, достаточные для проектированияи разработки Е/Е/РЕ систем, связанных с безопасностью,

- включатьв себя методы, с помощью которых Е/Е/РЕ системы, связанные с безопасностью,достигают или поддерживают безопасное состояние управляемого оборудования,

-определять, требуется ли непрерывное управление, и что приводит к достижениюили поддержанию безопасного состояния управляемого оборудования,

-определять, к какому режиму применима функция безопасности Е/Е/РЕ системы,связанной с безопасностью, - к режиму с низкой частотой обращения или к режимус высокой частотой обращения, или к режиму с непрерывным обращением;

b) характеристики производительности и времени реакциисистемы;

c) сведения об интерфейсах Е/Е/РЕ системы, связанной сбезопасностью, с обслуживающим персоналом, необходимые для достижения требуемойфункциональной безопасности;

d) информацию, относящуюся к функциональной безопасности,которая может повлиять на проектирование Е/Е/РЕ системы, связанной сбезопасностью;

e) сведения об интерфейсах Е/Е/РЕ систем, связанных с безопасностьюс любыми другими системами (внутренними, внешними, управляемым оборудованием);

f) описание всех используемых режимов работы управляемогооборудования, в том числе:

-подготовки к эксплуатации, включая монтаж и наладку;

- запуска вэксплуатацию, обучения, автоматический, ручной, полуавтоматический,стационарный рабочий режимы работы;

-стационарного нерабочего режима работы, переустановки, останова, техническогообслуживания;

- режимаработы при разумно предсказуемых ненормальных условиях.

Примечания

1. Разумно предсказуемыененормальные условия работы управляемого оборудования являются разумнопредсказуемыми для разработчиков или пользователей.

2. Дляконкретных режимов работы управляемого оборудования могут потребоватьсядополнительные функции безопасности (например, монтаж, настройка илитехническое обслуживание), чтобы безопасно выполнить эти работы;

g) подробное описание всех требуемых режимов поведения Е/Е/РЕсистем, связанных с безопасностью, в частности, их поведение при отказе инеобходимая реакция на него (например аварийные сигналы, автоматический останови т.д.);

h)значимость всех взаимодействий аппаратных средств/программного обеспечения (принеобходимости); любые необходимые ограничения между аппаратными средствами ипрограммным обеспечением должны быть идентифицированы и документированы.

Примечание - Если эти взаимодействия не известны дозавершения разработки, устанавливают только общие ограничения;

i)предельные и ограничивающие условия для Е/Е/РЕ систем, связанных сбезопасностью, и связанных с ними подсистем, например временные ограничения;

j) любыеспецифические требования, относящиеся к процедурам запуска и повторного запускаЕ/Е/РЕ систем, связанных с безопасностью.

7.2.3.2.Спецификация требований к полноте безопасности должна включать в себя:

а) уровеньполноты безопасности для каждой функции безопасности и, при необходимости (см.примечание 2), требуемую целевую меру отказов функции безопасности.

Примечания

1. Уровень полнотыбезопасности функции безопасности задает целевую меру отказов в соответствии сМЭК 61508-1 (см. таблицы2 и 3).

2. Целевуюмеру отказов функции безопасности определяют, если требуемое снижение риска дляфункции безопасности получено с использованием количественного метода (см. МЭК61508-1, подпункт 7.5.2.2);

b) режим работы (с низкой частотой запросов или с высокойчастотой запросов/с непрерывными запросами) каждой функции безопасности;

c) требования, ограничения, функции и доступность проведенияконтрольных испытаний Е/Е/РЕ систем, связанных с безопасностью;

d) экстремальные значения всех условий окружающей среды втечение жизненного цикла безопасности E/E/PES, включая производство, хранение,транспортировку, испытание, установку, ввод в эксплуатацию, эксплуатацию итехническое обслуживание;

e) пределы электромагнитной устойчивости (см. МЭК 61000-1-1),необходимые для достижения электромагнитной совместимости; пределыэлектромагнитной устойчивости формируются с учетом как электромагнитнойокружающей обстановки (см. МЭК 61000-2-5), так и уровней требуемой полнотыбезопасности.

Примечания

1. Важно отметить, чтоуровень полноты безопасности учитывается при определении пределовэлектромагнитной устойчивости, тем более, что электромагнитные возмущения вокружающей среде распределяются случайно. На практике невозможно определитьабсолютный уровень электромагнитного возмущения, а определяют только уровень,который предположительно не будет превышен (уровень электромагнитнойсовместимости). К сожалению, на практике вероятность, связанную с этимпредположением, очень трудно определить. Поэтому предел электромагнитнойустойчивости не гарантирует, что Е/Е/РЕ система, связанная с безопасностью, неоткажет из-за электромагнитного возмущения; он гарантирует лишь некоторый уровеньдоверия того, что такой отказ не произойдет. Фактический уровень доверия - этофункция предела электромагнитной устойчивости по отношению к статистическомураспределению уровней электромагнитного возмущения в окружающей среде. Дляболее высоких уровней полноты безопасности может оказаться необходимым болеевысокий уровень доверия, что означает, что его нижняя граница, из-за которойпредел электромагнитной устойчивости выходит за пределы уровня электромагнитнойсовместимости, должна быть выше для более высоких уровней полноты безопасности.

2. Руководящие указаниятакже могут быть указаны в отдельных стандартах по электромагнитнойсовместимости на продукцию, но следует помнить, что для специфических условийразмещения системы или если оборудование используется в более жесткихэлектромагнитных условиях, могут потребоваться более высокие уровниэлектромагнитной устойчивости, чем заданы в таких стандартах.

3. Приразработке спецификации на требования безопасности E/E/PES должны быть учтеныусловия использования Е/Е/РЕ систем, связанных с безопасностью. Это особенноважно для технического обслуживания, при котором интервал между контрольнымииспытаниями должен быть не менее предсказуемого интервала для конкретногоприменения. Например, интервалы между обслуживаниями, которые могут бытьреально достигнуты для продукции массового производства, используемойнаселением, вероятно, будут больше интервалов для контролируемых применений.

7.2.3.3. Воизбежание ошибок во время составления спецификации требований безопасностиE/E/PES используют группу методов и средств в соответствии с таблицей В.1(приложение В).

7.3. Планирование подтверждения соответствиябезопасности E/E/PES

Примечание - Данная стадия представлена на рисунке 2(см. блок 9.2). Она обычно выполняется параллельно с проектированием иразработкой E/E/PES (см. 7.4).

7.3.1. Цель

Цельюнастоящего пункта является планирование подтверждения соответствия безопасностиЕ/Е/РЕ систем, связанных с безопасностью.

7.3.2. Требования

7.3.2.1.Планирование для определения шагов (процедурных и технических) должноосуществляться для демонстрации соответствия Е/Е/РЕ систем, связанных сбезопасностью, спецификациям требований к безопасности E/E/PES (см. 7.2).

Примечание - Планирование подтверждениясоответствия программного обеспечения - в соответствии с МЭК 61508-3.

7.3.2.2.При планировании подтверждения соответствия Е/Е/РЕ систем, связанных сбезопасностью, должны быть использованы:

а)требования, определенные в спецификации требований безопасности E/E/PES;

b)процедуры, применяемые для подтверждения соответствия тому, что каждая функциябезопасности правильно выполняется по критериям «прошла/не прошла испытания»;

c) процедуры, применяемые для подтверждения соответствияполноте безопасности каждой функции безопасности по критериям «прошла/не прошлаиспытания»;

d) условия окружающей среды, при которых проводят испытания,включая необходимые инструменты и оборудование (в том числе план, всоответствии с которым эти инструменты и оборудование должны быть калиброваны);

e) процедуры оценочных испытаний (с обоснованиями);

f) процедуры испытаний и критерии, применяемые дляподтверждения соответствия заданных в спецификации пределов электромагнитнойустойчивости.

Примечание - Руководство по спецификации испытанийпределов электромагнитной устойчивости в соответствии с МЭК 61000-2-5 и МЭК61000-4 [2];

g) стратегии по устранению подтвержденного отказа.

7.4. Проектирование иразработка E/E/PES

Примечание - Данная стадия представлена на рисунке 2(см. блок 9.3). Она обычно выполняется параллельно с планированиемподтверждения соответствия безопасности E/E/PES (см. 7.3).

7.4.1. Цель

Цельтребований настоящего подраздела состоит в гарантировании соответствияпроектирования и разработки Е/Е/РЕ систем, связанных с безопасностью, заданнымтребованиям функций безопасности и требованиям полноты безопасности (см. 7.2).

7.4.2. Общие требования

7.4.2.1.Проектирование Е/Е/РЕ систем, связанных с безопасностью, должно быть выполненов соответствии со спецификацией требований безопасности (см. 7.2) сучетом требований настоящего подраздела.

7.4.2.2.Проектирование Е/Е/РЕ систем (см. рисунок 4), связанных с безопасностью(включая полную архитектуру аппаратных средств и программного обеспечения;сенсоры; исполнительные устройства; программируемую электронику; встроенноепрограммное обеспечение, «зашитое» в ПЗУ; прикладное программное обеспечение ит.п.), должно быть таким, чтобы отвечать перечисленным ниже требованиям к:

a) полноте безопасности аппаратных средств:

-требованияк архитектурным ограничениям на полноту безопасности аппаратных средств (см. 7.4.3.1)и

-требования к вероятности опасных случайных отказов аппаратных средств (см. 7.4.3.2);

b)систематической полноте безопасности:

-требования по предотвращению отказов (см. 7.4.4)и требования по управлению систематическими отказами (см. 7.4.5)или

-требования к подтверждению того, что оборудование «проверено в эксплуатации»(см. 7.4.7.6- 7.4.7.12);

c)поведению системы при обнаружении ошибок (см. 7.4.6).

Примечания

1. Общий подход к полнотебезопасности E/E/PES основан на общем методе выбора проектного подхода,обеспечивающего достижение уровня полноты безопасности (как для полнотыбезопасности аппаратных средств, так и для систематической полнотыбезопасности) в Е/Е/РЕ системах, связанных с безопасностью, в ходе которого:

- определяют требуемыйуровень полноты безопасности функций безопасности (см. МЭК 61508-1);

- устанавливают, что полнотабезопасности аппаратных средств равна систематической полноте безопасности иравна уровню полноты безопасности (см. 7.4.3.2.1);

- для полноты безопасностиаппаратных средств определяют архитектуру, соответствующую ограничениям на нее(см. 7.4.3.1), и демонстрируют соответствиевероятности отказа функций безопасности из-за случайных отказов аппаратныхсредств требуемым целевым значениям (см. 7.4.3.2);

- для систематическойполноты безопасности выделяют особенности проектирования, которые приводят ксистематическим сбоям в реальной работе (см. 7.4.5) или подтверждаютсоответствие требованиям «проверено при эксплуатации» (см. 7.4.7.6 - 7.4.7.12)и

для систематической полнотыбезопасности выделяют методы и средства, исключающие (не допускающие)систематические сбои в процессе проектирования и разработки (см. 7.4.4) илиподтверждают соответствие требованиям «проверено при эксплуатации» (см. 7.4.7.6 - 7.4.7.12).

2. МЭК 61508-3 содержит:

- требования к архитектурепрограммного обеспечения (см. 7.4.2.2);

- требования к производствупрограммируемой электроники и спецификации тестирования интеграции программногообеспечения (см. 7.5) и

- требования к интеграциипрограммируемой электроники и программного обеспечения в соответствии соспецификацией тестирования интеграции программного обеспечения (см. 7.5).

Во всехслучаях требуется тесная кооперация между производителем Е/Е/РЕ систем, связанныхс безопасностью, и производителем программного обеспечения.

РЕ - программируемая электроника; NP - непрограммируемые устройства; АС - аппаратные средства; ПО - программное обеспечение; ПЗУ - программируемое запоминающее устройство; MooN - М из N (например, 1оо2 означает один из двух)

Рисунок 4 - Соотношение между архитектурами аппаратных средств и программного обеспечения программируемой электроники

7.4.2.3. Когда Е/Е/РЕ система, связанная сбезопасностью, осуществляет функции безопасности и функции, не относящиеся кбезопасности, все аппаратные средства и программное обеспечение должнырассматриваться как связанные с безопасностью до тех пор, пока не будетустановлено, что эти функции реализуются достаточно независимо (т.е. отказкакой-либо функции, не относящейся к безопасности, не станет причиной отказафункций, связанных с безопасностью). Функции, связанные с безопасностью, везде,где практически возможно, должны быть отделены от функций, не относящихся кбезопасности.

Примечания

1. Достаточную независимостьэтих функций устанавливают демонстрацией того, что вероятность зависимогоотказа между компонентами, не относящимися к безопасности и связанными сбезопасностью, достаточно низка по сравнению с самым высоким уровнем полнотыбезопасности, связанным с используемыми функциями безопасности.

2. Следуетпредостеречь от совмещения функций безопасности и функций, не относящихся кбезопасности, в одной и той же Е/Е/РЕ системе, связанной с безопасностью. Такоеобъединение, допускаемое настоящим стандартом, может привести к большимсложностям при выполнении работ в процессе жизненного цикла Е/Е/РЕ системы(например, при проектировании, подтверждении соответствия, оценкефункциональной безопасности и техническом обслуживании).

7.4.2.4.Требования к аппаратным средствам и программному обеспечению должныопределяться уровнем полноты безопасности функций безопасности, имеющих самыйвысокий уровень полноты безопасности, если не будет доказано, что выполнениефункций безопасности различных уровней полноты безопасности достаточнонезависимо.

Примечания

1. Достаточная независимостьвыполнения функций безопасности устанавливается демонстрацией вероятностизависимого отказа между компонентами выполняемых функций безопасности различныхуровней полноты безопасности, достаточно низкой по сравнению с самым высокимуровнем полноты безопасности, связанным с рассматриваемыми функциямибезопасности.

2. Если вЕ/Е/РЕ системе, связанной с безопасностью, выполняется несколько функцийбезопасности, то необходимо рассмотреть возможность возникновения отказа ввыполнении нескольких функций безопасности от единственной ошибки. В такойситуации требования к аппаратным средствам и программному обеспечениюдопускается задавать на основе уровня полноты безопасности более высокого, чемсвязанный с любой из функций безопасности, в зависимости от риска, связанного стаким отказом.

7.4.2.5.Если требуется независимость функций безопасности (см. 7.4.2.3 и 7.4.2.4), то впроцессе проектирования должны быть задокументированы:

a) метод достижения независимости;

b) обоснование метода.

7.4.2.6.Требования к программному обеспечению (см. МЭК 61508-3) должны быть доступныразработчику Е/Е/РЕ системы, связанной с безопасностью.

7.4.2.7.Разработчик Е/Е/РЕ системы, связанной с безопасностью, должен еще раз пересмотретьтребования к программному обеспечению и аппаратным средствам с тем, чтобыубедиться, что они корректно специфицированы. В частности, разработчик E/E/PESдолжен рассмотреть:

a) функции безопасности;

b) требования к полноте безопасности Е/Е/РЕ системы,связанной с безопасностью;

c) интерфейсы между оборудованием и обслуживающим персоналом.

7.4.2.8.Проектная документация на Е/Е/РЕ систему, связанную с безопасностью, должнаопределять методы и средства, необходимые для достижения уровня полноты безопасностив течение стадий жизненного цикла безопасности E/E/PES.

7.4.2.9.Проектная документация на Е/Е/РЕ систему, связанную с безопасностью, должнаобосновывать методы и средства, выбранные для формирования их интегрированногонабора, обеспечивающего требуемый уровень полноты безопасности.

Примечание - Выбор общего подхода, использующегонезависимое письменное одобрение E/E/PES, связанных с безопасностью (включаясенсоры, датчики и т.д.), для технических средств и программного обеспечения,диагностических тестов и инструментов программирования и использование (где этовозможно) подходящих языков программирования позволяет сократить сложностьинженерного применения E/E/PES.

7.4.2.10. Впроцессе проектирования и разработки Е/Е/РЕ системы, связанной с безопасностью,все значимые (допустимые) взаимодействия аппаратных средств и программногообеспечения должны быть идентифицированы, оценены и документированы.

7.4.2.11.Проект Е/Е/РЕ системы, связанной с безопасностью, должен быть основан надекомпозиции на подсистемы, каждая из которых имеет специфицированный проект инабор тестов интеграции (см. 7.4.7).

Примечания

1. Конкретная подсистемаможет состоять из единственного компонента или группы компонентов. ПолнаяЕ/Е/РЕ система, связанная с безопасностью, может состоять из множестваидентифицируемых и отдельных подсистем, которые при их объединении обеспечиваютвыполнение рассмотренной функции безопасности. Подсистема может иметь более чемодин канал (см. 7.4.7.3).

2. Везде,где это практически возможно, должны быть использованы существующие проверенныеподсистемы. Это положение является в общем случае верным, только еслисуществует почти 100 %-ное совпадение функциональных возможностей, пропускнойспособности и производительности существующей подсистемы с новыми требованиямиили верифицированная (проверенная) подсистема структурирована таким образом,что пользователь может выбрать лишь требуемые функции, пропускную способность ипроизводительность для специфического применения. Избыточные функциональныевозможности, пропускная способность или производительность могут быть вреднымидля безопасности системы, если существующие подсистемы чрезмерно усложнены илиимеют неиспользуемые возможности и если не может быть обеспечена защита отнепреднамеренных функций.

7.4.2.12.Если подсистема имеет многоканальный выход, необходимо определить наличиекакой-либо комбинации выходных состояний, которые могут быть вызваны отказомсамой Е/Е/РЕ системы, связанной с безопасностью, способной непосредственновызвать событие опасного отказа (см. анализ опасностей и рисков в МЭК 61508-1,подпункт 7.4.2.10). Если это определено, то предотвращение такой комбинациивыходных состояний должно быть расценено как функция безопасности, работающая врежиме с высокой частотой обращения или с непрерывными обращениями (см. 7.4.6.3 и 7.4.3.2.5).

7.4.2.13.Для любых компонентов Е/Е/РЕ системы, связанной с безопасностью, в максимальнойстепени должно использоваться ограничение допустимых значений (см. МЭК 61508-7,подраздел 2.8). Обоснование работы на пределах любых компонентов должно бытьдокументировано (см. МЭК 61508-1, раздел 5).

Примечание - При ограничении допустимых значенийдолжен использоваться коэффициент ограничения, равный 0,67.

7.4.3. Требования к полноте безопасностиаппаратных средств

Примечание - Обзор необходимых шагов для достижениятребуемой полноты безопасности приведен в МЭК 61508-6 (пункт А.2, приложение 2)и там же показано, как этот пункт соотносится с другими требованиями настоящегостандарта.

7.4.3.1.Архитектурные ограничения полноты безопасности аппаратных средств

7.4.3.1.1.В контексте полноты безопасности аппаратных средств наиболее высокий уровеньполноты безопасности, который может потребоваться для функции безопасности,ограничивается отказоустойчивостью аппаратных средств и составляющей безопасныхотказов подсистем, которые выполняют эту функцию безопасности (см. приложение С). Наибольший уровень полноты безопасности, который можетпотребоваться для функции безопасности, использующей подсистему, с учетомотказоустойчивости аппаратных средств и составляющей безопасных отказов этойподсистемы представлен в таблицах 2 и 3 (см. также приложение С). Требования таблиц 2 и 3 должны применяться к каждой подсистеме, выполняющей функциюбезопасности, и, следовательно, к каждой части Е/Е/РЕ системы, связанной сбезопасностью. Подпункты 7.4.3.1.2 - 7.4.3.1.4 определяют, какая из таблиц 2 или 3 применяется к конкретной подсистеме. Подпункты 7.4.3.1.5 и 7.4.3.1.6 определяют самый высокий уровень полноты безопасности,который может быть применен к функции безопасности по запросу. В соответствии сэтими требованиями:

a) отказоустойчивость аппаратных средств N означает, что отказ N + 1 может привести кпотере функции безопасности. В определении отказоустойчивости не должныучитываться средства, которые могли бы управлять влиянием ошибок, напримердиагностика, и

b) если одна ошибка непосредственно приводит к одной илиболее последующим ошибкам, их рассматривают как одиночную ошибку;

c) в определении отказоустойчивости некоторые ошибки могутбыть исключены при условии, что вероятность их возникновения очень мала поотношению к требованиям полноты безопасности подсистемы. Любые исключенияошибок должны быть обоснованы и документированы (см. примечание 3);

d) долю безопасных отказов подсистемы определяют какотношение суммы средних частот безопасных отказов и опасных отказов,обнаруженных тестами, к полной средней частоте отказов подсистемы (см. приложениеС).

Примечания

1. Для получения достаточноотказоустойчивой архитектуры с учетом уровня сложности подсистемы используютсяархитектурные ограничения. Уровень полноты безопасности Е/Е/РЕ системы,связанной с безопасностью, полученный в результате применения требованийнастоящего подпункта, является максимальным из заявленных, хотя в некоторыхслучаях математически может быть определен более высокий уровень полнотыбезопасности, если для Е/Е/РЕ системы, связанной с безопасностью, принятьисключительно математический подход.

2. Архитектура и подсистема,сформированные для соответствия требованиям отказоустойчивости аппаратныхсредств, должны быть такими, какие обычно используются в режиме эксплуатации.Требования отказоустойчивости могут быть снижены, если Е/Е/РЕ система,связанная с безопасностью, восстанавливается, находясь под управлениемосновного оборудования (on-line). Однако ключевые параметры, связанные с любымослаблением, должны быть предварительно оценены (например, среднее времявосстановления по сравнению с вероятностью запроса).

3. Еслинекоторый компонент системы имеет очень низкую вероятность отказа благодаряприсущим ему свойствам (например, механический соединитель привода), торассматривать ограничение (на основе отказоустойчивости аппаратных средств)полноты безопасности любой функции безопасности, для реализации которойиспользуется этот компонент, нет необходимости.

7.4.3.1.2.Конкретная подсистема (см. 7.4.2.11, примечание 1) может быть отнесена к типу А, если для еекомпонентов, необходимых для реализации функции безопасности:

a) виды отказов всех составляющих компонентов определены, и

b) поведение системы в условиях отказа может быть полностьюопределено, и

c) имеются достоверные эксплуатационные данные, показывающие,что частоты, требуемые для обнаруженных отказов и необнаруженных опасныхотказов, реализованы (см. 7.4.7.3и 7.4.7.4).

7.4.3.1.3.Конкретная подсистема (см. 7.4.2.11, примечание 1) должна быть отнесена к типу В, если для еекомпонентов, необходимых для реализации функции безопасности:

a) вид отказа, по крайней мере, одного составляющегокомпонента не определен, или

b) поведение подсистемы в условиях отказа не может бытьполностью определено, или

c) нет достоверных эксплуатационных данных по подтверждениютребований для частот обнаруженных отказов и необнаруженных опасных отказов(см. 7.4.7.3и 7.4.7.4).

Примечание - Если, по крайней мере, один изкомпонентов конкретной подсистемы соответствует условиям для типа В, то такаяподсистема должна быть отнесена к типу В, а не к типу А (см. также 7.4.2.11,примечание 1).

7.4.3.1.4.Архитектурные ограничения по таблице 2 или таблице 3 должны применяться ккаждой подсистеме, выполняющей функцию безопасности так, чтобы:

a) требования отказоустойчивости аппаратных средствдостигались для полной Е/Е/РЕ системы, связанной с безопасностью;

b) требования таблицы 2 применялись для любой подсистемы типаА, составляющей часть Е/Е/РЕ системы, связанной с безопасностью.

Примечание - Если Е/Е/РЕ система, связанная сбезопасностью, содержит только подсистемы типа А, то требования, приведенные втаблице 2, следует применять к полной Е/Е/РЕ системе, связанной сбезопасностью;

c)требования таблицы 3 применялись для любой подсистемы типа В, составляющейчасть полной Е/Е/РЕ системы, связанной с безопасностью.

Примечание - Если Е/Е/РЕ система, связанная сбезопасностью, содержит только подсистемы типа В, то требования, приведенные втаблице 3, будут применяться для полной системы, связанной с безопасностью;

d)требования таблиц 2 и 3 применялись к Е/Е/РЕ системам, связанным сбезопасностью, содержащим оба типа подсистем А и В, поскольку требованиятаблицы 2 должны применяться к подсистемам типа А, а требования таблицы 3 - кподсистемам типа В.

Таблица 2 - Полнотабезопасности аппаратных средств: архитектурные ограничения подсистем, связанныхс безопасностью, типа А

Таблица 3 - Полнотабезопасности аппаратных средств: архитектурные ограничения подсистем, связанныхс безопасностью, типа В

7.4.3.1.5. ВЕ/Е/РЕ системах, связанных с безопасностью, в которых функция безопасности реализуется в одноканальной архитектуре (см. рисунок 5), максимальный уровень полноты безопасности аппаратных средств, который может быть достигнут для функции безопасности, определяется подсистемой аппаратных средств, отвечающей наименьшим требованиям полноты безопасности аппаратных средств (определяют по таблицам 2 и 3).

Примечание - Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой, связанной с безопасностью, включая все элементы - от сенсоров до исполнительных устройств.

Рисунок 5 - Пример ограничения полноты безопасностиаппаратных средств для одноканальной функции безопасности

Пример -Пусть система, в которой реализована конкретная функция безопасности, выполненапо одноканальной архитектуре, состоящей из подсистем 1, 2 и 3, типы которыхуказаны на рисунке 5, и эти подсистемы соответствуют требованиям таблиц 2 и 3следующим образом:

- дляподсистемы 1 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1;

- дляподсистемы 2 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 3 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.

Для этойархитектуры каждая из подсистем 1 и 3 имеет уровень полноты безопасности,соответствующий требованиям отказоустойчивости аппаратных средств, равный SIL1,в то время как подсистема 2 имеет уровень полноты безопасности, соответствующийтребованиям отказоустойчивости аппаратных средств, равный SIL2. Поэтому обеподсистемы 1 и 3 ограничивают уровень полноты безопасности, который можетпотребоваться для соблюдения отказоустойчивости аппаратных средств длярассматриваемой функции безопасности, до значения SIL1.

7.4.3.1.6.В Е/Е/РЕ системах, связанных с безопасностью, в которых функция безопасностиреализуется в многоканальной архитектуре (см. рисунок 6), максимальный уровеньполноты безопасности, который может быть достигнут для рассматриваемой функциибезопасности, должен быть определен путем:

a) оценивания каждой подсистемы в соответствии стребованиями, представленными в таблицах2 и 3(см. 7.4.3.1.2и 7.4.3.1.4);

b) группирования подсистем в комбинации и

c) анализа этих комбинаций для определения полного уровняполноты безопасности аппаратных средств.

Примечания

1. Подсистемы 1,2 иподсистемы 4,5 имеют одинаковые функциональные возможности в отношении функциибезопасности и обеспечивают раздельные входы в подсистему 3.

2.Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой,связанной с безопасностью, включая все элементы - от сенсоров до исполнительныхустройств.

Рисунок 6 -Пример ограничения полноты безопасности для многоканальной функции безопасности

Пример -Группирование и анализ этих комбинаций могут быть выполнены разными способами.Для иллюстрации одного из возможных методов примем архитектуру, в которойконкретная функция безопасности реализована либо комбинацией подсистем 1, 2 и3, либо комбинацией подсистем 4, 5 и 3, как показано на рисунке 6. В этомслучае комбинация подсистем 1 и 2 и комбинация подсистем 4 и 5 имеют одинаковыефункциональные возможности в отношении функции безопасности и имеют раздельныевходы в систему 3. В этом примере комбинация параллельных подсистемосновывается на каждой подсистеме, реализующей требуемую часть функциибезопасности, независимо от другой (параллельной) подсистемы. Функциюбезопасности считают выполненной:

- присобытии отказа в подсистеме 1 или подсистеме 2 (поскольку комбинация подсистем4 и 5 позволяет реализовать функцию безопасности) или

- присобытии отказа в подсистеме 4 или подсистеме 5 (поскольку комбинация подсистем1 и 2 позволяет реализовать функцию безопасности).

Каждаяподсистема удовлетворяет требованиям таблиц 2иЗ следующим образом:

- дляподсистемы 1 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL3;

- для подсистемы2 уровень полноты безопасности, соответствующий требованиям отказоустойчивостиаппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 3 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 4 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

- дляподсистемы 5 уровень полноты безопасности, соответствующий требованиямотказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.

Далееболее подробно рассмотрим процедуру определения максимального уровня полнотыбезопасности аппаратных средств, который может потребоваться для рассматриваемойфункции безопасности:

a) Объединение подсистем 1 и 2

Отказоустойчивостьи доля безопасных отказов, обеспеченная комбинацией подсистем 1 и 2 (каждая вотдельности соответствует требованиям для SIL3 и SIL2), соответствуют требованиям SIL2 (определенным подсистемой 2).

b) Объединение подсистем 4 и 5

Отказоустойчивостьи доля безопасных отказов, обеспеченная комбинацией подсистем 4 и 5 (каждая вотдельности соответствует требованиям для SIL2 и SIL1), соответствуют требованиям SIL1 (определенным подсистемой 5).

c) Дальнейшее объединение комбинации подсистем 1 и 2 скомбинацией подсистем 4 и 5

Уровеньполноты безопасности аппаратных средств в отношении отказоустойчивостиаппаратных средств комбинации подсистем 1, 2, 4 и 5 определяется:

-решением, какая из комбинаций подсистем (т.е. комбинация подсистем 1 и 2 или 4и 5) достигла самого высокого возможного уровня полноты безопасности аппаратныхсредств (в показателях соответствия требованиям отказоустойчивости), и

- анализомвлияния другой комбинации подсистем на отказоустойчивость для комбинацийподсистем 1, 2, 4 и 5.

В данномпримере комбинация подсистем 1 и 2 имеет максимально допустимое требование SIL2 (см. перечисление а)), в то время как комбинация подсистем4и5 имеет максимально допустимое требование SIL1 (см. перечисление b)). Однако в случае отказа, встречающегося в комбинацииподсистем 1 и 2, функция безопасности могла бы быть выполнена комбинациейподсистем 4 и 5. С учетом этого отказоустойчивость аппаратных средств,достигнутая комбинацией подсистем 1 и 2, увеличивается на единицу. Увеличениеотказоустойчивости аппаратных средств на единицу приводит к увеличению наединицу уровня полноты безопасности аппаратных средств, которое можетпотребоваться (см. таблиц2 и 3).Поэтому комбинация подсистем 1, 2, 4 и 5 имеет максимально допустимый уровеньполноты безопасности в отношении отказоустойчивости и доли безопасных отказов,равный SIL3 (т.е. уровень полнотыбезопасности аппаратных средств, достигнутый комбинацией подсистем 1 и 2, SIL2 плюс единица).

d) Полная Е/Е/РЕ система, связанная с безопасностью

Уровеньполноты безопасности аппаратных средств в отношении отказоустойчивости, которыйможет потребоваться для рассматриваемой функции безопасности, определяютанализом комбинации подсистем 1, 2, 4 и 5 (которая достигает уровняотказоустойчивости, равного SIL3 (см. перечисление с))и подсистемы 3 (которая достигает уровня отказоустойчивости, равного SIL2). Подсистема, достигшая самого низкого уровня полноты безопасностиаппаратных средств (в данном случае подсистема 3), определяет максимальныйуровень полноты безопасности всей Е/Е/РЕ системы, связанной с безопасностью.Поэтому максимальный уровень полноты безопасности аппаратных средств вотношении отказоустойчивости аппаратных средств, который может быть достигнутдля функции безопасности в данном примере, - SIL2.

7.4.3.2.Требования к оценке вероятности отказа функций безопасности из-за случайныхотказов аппаратных средств

7.4.3.2.1.Вероятность отказа каждой функции безопасности из-за случайных отказоваппаратных средств по 7.4.3.2.2 и 7.4.3.2.3 будет равна или менее целевой мерыотказов, определенной в спецификации требований безопасности (см. 7.2.3.2).

Примечания

1. Для функции безопасности,выполняемой в режиме с низкой частотой запросов, целевая мера отказов будетвыражена в терминах средней вероятности отказа выполнения по запросупредусмотренной функции безопасности, как определено уровнем полнотыбезопасности (см. МЭК 61508-1, таблица 2), пока требования в спецификациитребований к полноте безопасности для функции безопасности E/E/PES (см. 7.2.3.2) не достигнут определеннойцелевой меры отказов, иной, чем конкретный SIL. Например, если целевая мера отказовравна 1,5  10^-6 (вероятность отказа позапросу), то есть заданному значению для удовлетворения требуемого сниженияриска, то вероятность отказа по запросу функции безопасности, вызванного случайнымиотказами аппаратных средств должна быть равна или менее 1,5  10^-6.

2. Для функции безопасности,выполняемой в режиме с высокой частотой запросов или с непрерывными запросами,целевая мера отказов будет выражена в терминах средней вероятности опасногоотказа в час, как определено уровнем полноты безопасности функции безопасности(см. МЭК 61508-1, таблица 3), пока требования в спецификации требований кполноте безопасности (см. 7.2.3.2) для функции безопасности E/E/PES не достигнут определенной целевой мерыотказов, иной, чем конкретный SIL.Например, если целевая мера отказов равна 1,5  10^-6 (вероятность опасного отказав час) и задана для выполнения требований по снижению риска, то вероятностьотказа функции безопасности, вызванного случайными отказами аппаратных средств,должна быть равна или менее 1,5  10^-6.

3. Длядемонстрации выполнения данного требования необходимо осуществить предсказаниенадежности для уместной функции безопасности, используя соответствующиесредства (см. 7.4.3.2.2), и сравнить полученный результат с целевой меройотказов конкретной полноты безопасности для уместной функции безопасности (см.МЭК 61508-1, таблицы 2 и 3).

7.4.3.2.2.Вероятность отказа каждой функции безопасности из-за случайных отказоваппаратных средств может быть оценена с учетом:

a) архитектуры Е/Е/РЕ системы, связанной с безопасностью,поскольку это касается каждой функции безопасности.

Примечание - При этом приходится решать, какие видыотказов подсистем находятся в последовательной связи (любой отказ вызываетотказ соответствующей функции безопасности, которая должна выполняться), акакие виды отказов находятся в параллельной связи (для сбоя соответствующейфункции безопасности необходимы совпадающие отказы);

b) оцененной частоты (коэффициента) отказов каждой подсистемыв любых режимах, которые могли бы вызвать опасный отказ Е/Е/РЕ системы,связанной с безопасностью, но обнаружены диагностической проверкой (см. 7.4.7.3и 7.4.7.4);

d) восприимчивости Е/Е/РЕ системы, связанной с безопасностью,к отказам по общей причине (см. примечание к настоящему перечислению ипримечание 6 к перечислению h)).

Примечание - Например, см. МЭК 61508-6, приложениеD;

e) охвата диагностическими тестами (по приложениюС) и связанного с ним диагностического испытательного интервала.

Примечания

1. Время диагностическогоиспытательного интервала вместе с последующим временем ремонта составляютсреднее время восстановления, которое должно быть рассмотрено в моделинадежности. Кроме того, для работы Е/Е/РЕ системы, связанной с безопасностью, врежиме высокой частоты запросов или с непрерывными запросами, где любые опасныеотказы каналов приводят к опасным отказам Е/Е/РЕ системы, связанной сбезопасностью, время диагностического испытательного интервала должно бытьрассмотрено непосредственно (то есть дополнительно к среднему временивосстановления) в модели надежности, если его величина не является значительноменьшей, чем ожидаемая частота запросов (см. 7.4.3.2.5).

2. Приустановлении времени диагностического испытательного интервала должны бытьрассмотрены интервалы между всеми испытаниями, которые вносят вклад вдиагностический охват;

f) интервалов времени, на которых реализуются испытательные(контрольные) интервалы для обнаружения опасных ошибок, не обнаруживаемыхдиагностическими тестами;

g) времени ремонта для обнаруженных отказов.

Примечание - Время ремонта составляет частьсреднего времени восстановления (см., МЭР 191-13-08 [3]),включающего в себя также время обнаружения отказа и период времени, в течениекоторого ремонт невозможен (пример использования среднего временивосстановления для вычисления вероятности отказа приведен в МЭК 61508-6(приложение В)). Для ситуаций, когда ремонт может быть выполнен в течениеконкретного периода времени, например, в то время как управляемое оборудованиеотключено или находится в надежном (закрытом) состоянии, особенно важно, чтобыпри полном расчете был учтен период времени, когда ремонт не может бытьпроизведен, особенно когда этот период является относительно большим;

h) вероятности необнаруженного отказа любого процессапередачи данных (см. примечание 6 и подпункт 7.4.8.1).

Примечания

1. Упрощенный подход,который может быть использован для оценки вероятности опасного отказа функциибезопасности из-за случайных отказов аппаратных средств для определения того,что аппаратура обеспечивает требуемую целевую меру отказов, представлен в МЭК61508-6, приложение В.

2. Краткий обзор шагов подостижению аппаратными средствами полноты безопасности и соотношения с другимитребованиями настоящего стандарта приведены в МЭК 61508-6, подраздел А.2.

3. Необходимо отдельно длякаждой функции безопасности количественно определять надежность Е/Е/РЕ системы,связанной с безопасностью, поскольку на нее будут оказывать влияние какразнообразие видов отказов компонентов, так и изменения архитектуры (прииспользовании избыточности) самих Е/Е/РЕ систем, связанных с безопасностью.

4. Среди множества возможныхметодов моделирования наиболее подходящий метод выбирает аналитик. Возможныеметоды моделирования включают в себя:

- анализ последствий причинотказа (см. МЭК 61508-7, пункт В.6.6.2, приложение В);

- анализ дерева ошибок (см.МЭК 61508-7, пункт С.6.6.5, приложение С);

- марковские модели (см. МЭК61508-7, подраздел С.6.4, приложение С);

- блок-диаграммы надежности(см. МЭК 61508-7, раздел С.5, приложение С).

5. Среднее времявосстановления (см. МЭС 191-13-08 [3]),рассматриваемое в модели надежности, нуждается в учете времени диагностическогоиспытательного интервала, времени восстановления и любых других задержек до(момента) восстановления.

6. Отказыиз-за влияния общей причины и процессов передачи данных могут быть результатомдругих влияний, отличных от реальных отказов компонентов аппаратных средств(например, электромагнитной интерференции, ошибок декодирования и т.п.). Однакотакие отказы рассматривают в настоящем стандарте как случайные отказыаппаратных средств.

7.4.3.2.3.Диагностический испытательный интервал любой подсистемы, обладающей величинойотказоустойчивости аппаратных средств, большей нуля, должен быть таким, чтобыобеспечить возможность Е/Е/РЕ системе, связанной с безопасностью, удовлетворитьтребования по вероятности случайных отказов аппаратных средств (см. 7.4.3.2.1).

7.4.3.2.4.Диагностический испытательный интервал любой подсистемы с величинойотказоустойчивости аппаратных средств, равной нулю, от которой полностьюзависит функция безопасности (см. примечание 1) и которая является лишьсредством реализации функции(й) безопасности, действующей(их) в режиме с низкойинтенсивностью запросов, должен быть таким, чтобы обеспечить возможность Е/Е/РЕсистеме, связанной с безопасностью, удовлетворить требования по вероятностислучайных отказов аппаратных средств (см. 7.4.3.2.1).

Примечания

1. Считают, что функциябезопасности полностью зависит от подсистемы, если отказ подсистемы вызываетотказ этой функции безопасности Е/Е/РЕ системы, связанной с безопасностью, иэта функция безопасности не относится к другой системе, связанной сбезопасностью (см. МЭК 61508-1, подраздел 7.6).

2. Еслисуществует вероятность, что некоторые комбинации выходных состояний подсистеммогут непосредственно привести к опасному событию (см. анализ опасностей ирисков в МЭК 61508-1, подпункт 7.4.2.10), и если комбинация выходных состоянийв присутствии ошибки в подсистеме не может быть определена (например, вподсистеме типа В), тогда необходимо рассматривать обнаружение опасных отказовв подсистеме как функцию безопасности, действующую в режиме с высокой частотойзапросов или с непрерывными запросами, и применять требования 7.4.6.3и 7.4.3.2.5.

7.4.3.2.5.Диагностический испытательный интервал любой подсистемы (со значением величиныотказоустойчивости аппаратных средств, равным нулю), от которой полностьюзависит функция безопасности (см. примечание 1) и которая является лишьсредством реализации функции безопасности, действующей в режиме высокой частотызапросов или с непрерывными запросами (см. примечание 2), должен быть таким,чтобы суммарное время диагностического испытательного интервала и времявыполнения определенного действия (реакции на отказ) для достижения илиподдержания безопасного состояния (см. 7.3.3.1, перечисление g)) было меньше времени безопасности процесса. Времябезопасности процесса определяется как период времени между отказом,возникающим в управляемом оборудовании или в системе управления управляемогооборудования (с потенциальной возможностью вызвать опасное событие) ивозникновением опасного события, если функция безопасности не выполнена.

Примечания

1. Считают, что функциябезопасности полностью зависит от подсистемы, если отказ подсистемы вызываетотказ этой функции безопасности Е/Е/РЕ системы, связанной с безопасностью, иэта функция безопасности не относится к другой системе, связанной сбезопасностью (см. МЭК 61508-1, подраздел 7.6).

2. Подсистему,осуществляющую конкретную функцию безопасности, для которой отношение частотыдиагностических испытаний к частоте запросов превышает 100, допускаетсярассматривать, как если бы она осуществляла функцию безопасности в режиме снизкой частотой запросов (см. 7.4.3.2.4)при условии, что функция безопасности не предотвращает комбинацию состоянийвыходов, которые могли бы привести к опасному событию (см. примечание 3).

3. Еслифункция безопасности служит для предотвращения специфической комбинациисостояний выходов, которые могут непосредственно вызвать опасное событие, тонеобходимо расценивать такую функцию безопасности как функцию, действующую врежиме с высокой частотой запросов или непрерывными запросами (см. 7.4.2.12).

7.4.3.2.6.Если для конкретного проекта целевая мера отказов требования полнотыбезопасности для выполняемой функции безопасности не достигается, то следует:

-определить критические компоненты, подсистемы и/или параметры;

- оценитьэффект возможных мер усовершенствования критических компонентов, подсистем илипараметров (например более надежные компоненты, дополнительные меры защиты от отказовпо общей причине, расширенный охват диагностикой, расширенная избыточность,уменьшение интервала контрольных испытаний и т.п.);

- выбрать иосуществить подходящие меры усовершенствования;

- повторитьвычисление нового значения вероятности отказов аппаратных средств.

7.4.4. Требования попредотвращению отказов

Примечание - Для подсистемы, отвечающейтребованиям, позволяющим рассматривать ее как «проверенную в эксплуатации» (см.7.4.7.6- 7.4.7.12), требования 7.4.4.1 - 7.4.4.6 не применяют

7.4.4.1.Должна быть использована соответствующая группа методов и средств,предназначенных для предотвращения внесения ошибок во время разработки исоздания аппаратных средств Е/Е/РЕ системы, связанной с безопасностью (см.таблицу В.2).

7.4.4.2. Всоответствии с требуемым уровнем полноты безопасности выбранный методпроектирования должен обладать возможностями, способствующими:

a) прозрачности, модульности и другим характеристикам,которые управляют сложностью проекта;

b) ясности и точности представления:

-функциональных возможностей,

-интерфейсов между подсистемами,

-информации, устанавливающей последовательность и время,

-параллелизма и синхронизации;

c) ясности и точности документирования и передачи информации;

d) проверке и подтверждению соответствия.

7.4.4.3.Требования к техническому обслуживанию для гарантированного поддержаниятребуемой полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, нанеобходимом уровне должны быть формализованы на стадии проектирования.

7.4.4.4.Следует использовать (если применимо) автоматические средства измерения иинтегрированные инструментальные средства разработки.

7.4.4.5. Впериод проектирования должны быть запланированы испытания интеграции E/E/PES.Документация по планированию испытаний должна включать в себя:

a) типы проводимых испытаний и сопровождающие их процедуры;

b) условия окружающей среды при испытаниях, испытательныесредства, схему испытаний и программы испытаний;

с) критерииоценки «выдержал»/«не выдержал» испытание.

7.4.4.6. Впериод проектирования действия, выполняемые на рабочем месте проектировщика,должны отличаться от действий, которые должны быть доступными на рабочем местепользователя.

7.4.5. Требования поуправлению систематическими сбоями

Примечание - Для подсистемы, отвечающейтребованиям, которые расцениваются как «проверено в эксплуатации» (см. 7.4.7.6- 7.4.7.12),требования 7.4.5.1 - 7.4.5.3 не применяют.

7.4.5.1.Для управления систематическими сбоями проектирование E/E/PES должно обладатьособенностями проектирования, которые делают Е/Е/РЕ системы, связанные сбезопасностью, устойчивыми к:

a) любым остаточным ошибкам проектирования аппаратныхсредств, если вероятность ошибок проектирования не может быть исключена (см.таблицу А.16);

b) внешним влияниям, включая электромагнитные воздействия(см. таблицу А. 17);

c) ошибкам оператора управляемого оборудования (см. таблицу А.18);

d) любым остаточным ошибкам в программном обеспечении (см.МЭК 61508-3, пункт 7.4.3, таблицы А.2 и В.7);

e) любым ошибкам, возникающим в результате выполнения любогопроцесса передачи данных (см. 7.4.8).

7.4.5.2.Для облегчения реализации свойств ремонтопригодности и тестируемости всозданных Е/Е/РЕ системах, связанных с безопасностью, эти свойства должны бытьучтены в процессе проектирования и создания E/E/PES.

7.4.5.3.При проектировании Е/Е/РЕ систем, связанных с безопасностью, должны быть учтеныспособности и возможности человека, а созданные E/E/PESдолжны бытьудобны для работы персонала по эксплуатации и технической поддержке. Разработкавсех интерфейсов должна следовать «положительному опыту» при учетечеловеческого фактора и учитывать возможный уровень подготовки илиосведомленности операторов, например для Е/Е/РЕ систем массового производства,где оператором является специально не подготовленный человек.

Примечания

1. Цель проектированиядолжна состоять в том, чтобы предсказуемые критические ошибки, допущенныеоператорами или персоналом технической поддержки, предотвращались илиустранялись проектом везде, где возможно, либо действия для их выполнениятребовали повторного подтверждения.

2.Некоторые ошибки, допущенные операторами или персоналом техническогообслуживания, могут быть не восстанавливаемыми Е/Е/РЕ системой, связанной сбезопасностью, например, если они являются необнаруживаемыми или реальновосстанавливаемыми исключительно при непосредственном доступе, напримернекоторые механические отказы в управляемом оборудовании.

7.4.6. Требования кповедению системы при обнаружении отказов

7.4.6.1.Обнаружение опасного отказа (с помощью диагностических тестов, контрольныхиспытаний или иным методом) в любой подсистеме с отказоустойчивостью аппаратныхсредств больше нуля должно завершаться:

a) конкретным действием для достижения или поддержаниябезопасного состояния (см. примечание к перечислению b)) или

b) изоляцией дефектной части подсистемы для обеспечениявозможности продолжения выполнения безопасного действия управляемымоборудованием, пока дефектная часть не будет отремонтирована. Если ремонт незавершен в пределах среднего времени восстановления (MTTR), принятого привычислении вероятности случайных отказов аппаратных средств (см. 7.4.3.2.2),то для достижения и поддержания их безопасного состояния должно быть выполненоконкретное действие.

Примечание - Конкретное действие (реакция наотказ), которое требуется для достижения или поддержания безопасного состояния E/E/PES, должно быть определено в требованияхбезопасности E/E/PES (см. 7.2.3.1).Оно может состоять, например, в отключении управляемого оборудования надефектной подсистеме или его части, относящейся к снижению риска.

7.4.6.2.Обнаружение опасного отказа (с помощью диагностических тестов, контрольныхиспытаний или иным способом) в любой подсистеме с отказоустойчивостьюаппаратных средств, равной нулю, функция безопасности которой являетсяполностью зависимой (см. примечание 1) в случае, если такая подсистемаиспользуется только функцией(ями) безопасности в режиме с низкой частотойзапросов, должно завершаться:

а)конкретным действием для достижения и поддержания безопасного состояния либо

b) восстановлением дефектной подсистемы в пределах периодасреднего времени восстановления (MTTR), полученного прирасчете вероятности случайных отказов аппаратных средств (см. 7.4.3.2.2).В течение этого времени безопасность управляемого оборудования должнаобеспечиваться дополнительными мерами и ограничениями. Снижение риска,обеспеченное этими мерами и ограничениями, должно, по крайней мере, равнятьсясокращению риска, обеспеченному Е/Е/РЕ системой, связанной с безопасностью, вотсутствие любых отказов. Дополнительные меры и ограничения должны бытьопределены в процедурах эксплуатации и технического обслуживания E/E/PES(см. 7.6).Если восстановление не предпринято в пределах заданного среднего временивосстановления (MTTR), то для достижения и поддержаниябезопасного состояния должны быть предприняты конкретные действия (см.примечание 2).

Примечания

1. Предполагается, чтофункция безопасности полностью зависит от подсистемы, если отказ подсистемыприводит к отказу функции безопасности рассматриваемой Е/Е/РЕ системы,связанной с безопасностью, и функция безопасности не предназначена для другойсистемы, связанной с безопасностью (см. МЭК 61508-1, подраздел 7.6).

2.Конкретное действие (реакция на отказ) требуется для достижения и поддержаниябезопасного состояния, которое должно быть определено в требованияхбезопасности E/E/PES (см. 7.2.3.1).Это действие может состоять, например, в безопасном отключении управляемогооборудования в дефектной подсистеме или его части, предназначенной для сниженияриска.

7.4.6.3.Обнаружение опасного отказа (путем диагностического тестирования, контрольныхиспытаний или иным способом) в любой подсистеме с отказоустойчивостью, равнойнулю, в которой функция безопасности является зависимой (см. примечание 1) вслучае подсистемы, выполняющей любую функцию(ии) безопасности, действующей(их)в режиме с высокой частотой запросов или непрерывными запросами (см. примечания2 и 3), для достижения и поддержания безопасного состояния должно завершатьсяконкретными действиями (см. примечание 3).

Примечания

1. Считается, что функциябезопасности полностью зависит от подсистемы, если отказ подсистемы служитпричиной отказа функции безопасности рассматриваемой Е/Е/РЕ системы, связаннойс безопасностью, а также функция безопасности не принадлежит другой системе,связанной с безопасностью (см. МЭК 61508-1, подраздел 7.6).

2. Если существуетвероятность, что некоторая комбинация состояний выходов подсистемы может статьнепосредственной причиной опасного события (см. анализ опасностей и рисков 7.4.2.12),и если комбинацию выходных состояний в случае отказа в подсистеме невозможноопределить (например, для подсистемы типа В), то детектирование опасных событийв подсистеме следует расценивать как для функции безопасности, действующей врежиме с высокой частотой запросов или непрерывными запросами, и применятьтребования 7.4.6.3и 7.4.2.5.

3. Длядостижения и поддержания состояния безопасности, которое должно быть определенов требованиях безопасности E/E/PES, необходимо выполнить конкретное действие(реакцию на отказ). Это действие может состоять, например, в безопасномотключении в дефектной подсистеме управляемого оборудования или его части,предназначенной для сокращения риска.

7.4.7. Требования кразвитию E/E/PES

7.4.7.1.Е/Е/РЕ системы, связанные с безопасностью, должны быть изготовлены всоответствии с проектом.

7.4.7.2.Подсистемы, используемые для одной или более функций безопасности, должны бытьидентифицированы и документированы как подсистемы, связанные с безопасностью.

7.4.7.3.Для каждой подсистемы, связанной с безопасностью, должна быть представленаследующая информация (см. также 7.4.7.4):

a) функциональная спецификация тех функций и интерфейсовподсистемы, которые могут быть использованы функциями безопасности;

b) оценочные частоты отказов (из-за случайных отказоваппаратных средств) в любых режимах, которые могли бы привести к отказу Е/Е/РЕсистемы, связанной с безопасностью, обнаруживаемые диагностическими тестами(см. 7.4.7.4);

c) оценочные частоты отказов (из-за случайных отказоваппаратных средств), которые могли бы привести к отказу Е/Е/РЕ системы,связанной с безопасностью, не обнаруживаемые диагностическими тестами (см. 7.4.7.4);

d) любые ограничения на окружающую среду подсистемы, которыедолжны быть соблюдены для обеспечения легитимности оценочных частот отказов из-заслучайных отказов аппаратных средств;

e) любое ограничение срока жизни подсистемы, который недолжен быть превышен для обеспечения легитимности оценочных частот отказовиз-за случайных отказов аппаратных средств;

f) требования к любым контрольным испытаниям и/илитехническому обслуживанию;

h) диагностический охват в соответствии с приложениемС (при необходимости).

Примечание - Испытания по перечислениям g) и h) относятся к диагностическим испытаниям,которые являются внутренними для подсистемы. Эта информация необходима, еслитребуется доверие к действиям по проведению диагностических тестов вподсистемах в модели надежности Е/Е/РЕ систем, связанных с безопасностью (см. 7.4.3.2.2);

i) любая дополнительная информация (например, времявосстановления), необходимая для обеспечения возможности получения среднеговремени восстановления (MTTR), после обнаруженияотказа с помощью диагностики.

Примечания

1. Испытания по требованиямперечислений b)и i) необходимы дляоценки функции безопасности вероятности отказов по запросу или вероятностиотказов в час (см. 7.4.3.2.2).

2.Требования перечислений b), с), g), h) и i) нужны лишь для оценки отдельныхпараметров подсистем, таких как сенсорные устройства и приводы, которые могутбыть объединены в избыточные архитектуры для улучшения полноты безопасностиаппаратных средств. Для логических решающих устройств, которые сами необъединяются в избыточные архитектуры в Е/Е/РЕ системе, связанной сбезопасностью, с учетом требований перечислений b), с), g), h) и i) допускаетсяопределять характеристики в терминах вероятности отказов по запросам иливероятности отказов в час. Для таких устройств необходимо также устанавливатьинтервал контрольных испытаний для необнаруженных отказов;

j) информация, необходимая для обеспечения выделениясоставляющей безопасных отказов (SFF) подсистемы, какпринято в Е/Е/РЕ системе, связанной с безопасностью, в соответствии с приложениемС;

k) отказоустойчивость подсистемы.

Примечание - Требования перечисленийj) и k) необходимы для определения самоговысокого уровня полноты безопасности, который может потребоваться для функциибезопасности в соответствии с архитектурными ограничениями (см. 7.4.3.1);

l) любые ограничения по применению подсистемы, которые должныбыть рассмотрены во избежание систематических отказов;

m) самый высокий уровень полноты безопасности, который можетпотребоваться для функции безопасности в подсистеме, на основе:

- методов исредств, используемых для предотвращения систематических ошибок, которые вносятсяв период проектирования и изготовления аппаратных средств и программногообеспечения (см. МЭК 61508, подпункт 7.4.4.1 и подраздел 7.4),

-особенностей проекта, которые делают подсистему устойчивой к систематическимотказам (см. 7.4.5.1).

Примечание - Не требуется в случаях, если этиподсистемы расцениваются как «проверенные в эксплуатации» (см. 7.4.7.5);

n) любая информация, необходимая для идентификацииконфигурации аппаратных средств и программного обеспечения подсистемы дляобеспечения возможности управления конфигурацией Е/Е/РЕ системы, связанной сбезопасностью, в соответствии с МЭК 61508-1, пункт 6.2.1.

7.4.7.4Оценочные частоты отказов подсистем из-за случайных отказов аппаратных средств(см. 7.4.7.3, перечисления b)и с)) могут быть определены:

а) методомотказов и анализом влияния проекта с использованием данных по отказамкомпонентов из признанного промышленного источника.

Примечания

1. Уровень доверия любыхиспользуемых данных о частоте отказов должен быть, по крайней мере, равен 70 %.Статистическое определение уровня доверия приведено в IEEE 352. Эквивалентный термин «уровеньзначимости» используется в МЭК 61164 [4].

2. Предпочтительно, чтобыместо размещения данных об отказах было доступным. Если это требование невыполняется, может потребоваться использование исходных данных.

3. Хотяпонятие «постоянная частота отказов» подсистемы принято большинствомвероятностных оценочных методов, оно применимо лишь при условии, что непревышен срок жизни компонентов подсистемы. Вне их полезного срока жизни (таккак вероятность отказов значительно увеличивается со временем) результатыбольшинства вероятностных расчетных методов бесполезны. Таким образом, любаявероятностная оценка должна включать в себя спецификацию полезного срока жизникомпонентов. Полезный срок жизни компонентов подсистем в значительной степенизависит от самого компонента и условий его эксплуатации, особенно температурыокружающей среды компонента (например, могут быть очень чувствительны ктемпературе электролитические конденсаторы). Опыт показывает, что полезный срокжизни компонентов часто находится в пределах 8-12 лет. Однако эти сроки могутбыть значительно меньшими, если компоненты работают в заданных пределах ихиспользования. Компоненты с более длительным полезным сроком жизни стоятзначительно дороже;

b) либо из предыдущего опыта использования подсистемы впохожих условиях окружающей среды (см. 7.4.7.9).

7.4.7.5.Для подсистем, проверенных в эксплуатации (см. 7.4.7.6), информация о методах исредствах предотвращения и управления систематическими ошибками (см. 7.4.7.3,перечисление m)) не требуется.

7.4.7.6.Ранее разработанная подсистема должна рассматриваться только как проверенная вэксплуатации, если она имеет явно ограниченные функциональные возможности иимеется соответствующее документальное свидетельство, основанное на предыдущейэксплуатации конкретной конфигурации этой подсистемы (в течение, которого всеотказы были формально зарегистрированы (см. 7.4.7.10)) и учитывающее любыетребующиеся (см. 4.4.7.8) дополнительные анализы и тесты. Документальноеподтверждение должно продемонстрировать, что вероятность любого отказаподсистемы (из-за случайных и систематических отказов аппаратных средств) вЕ/Е/РЕ системе, связанной с безопасностью, настолько низка, чтодостигается(ются) требуемый(ые) уровень(ни) полноты безопасности функции(ий)безопасности.

7.4.7.7.Документальное свидетельство в соответствии с 7.4.7.6 должнопродемонстрировать, что предыдущие условия эксплуатации конкретной подсистемыявляются такими же или достаточно близкими к тем, в которых будетэксплуатироваться подсистема в Е/Е/РЕ системе, связанной с безопасностью, и установить,что вероятность любых необнаруженных систематических отказов настолько низка,что достигается требуемый уровень(ни) полноты безопасности функции(ий)безопасности для подсистемы.

Примечание - Условия эксплуатации (эксплуатационныйпрофиль) включают в себя все факторы, которые могут повлиять на вероятностьсистематических ошибок аппаратных средств и программного обеспечения подсистемы(например, окружающую среду, виды использования, выполняемые функции,конфигурацию, связи с другими системами, операционную систему, тип транслятора,человеческий фактор).

7.4.7.8.Если имеются различия между предыдущими условиями эксплуатации подсистемы иусловиями, в которых будет эксплуатироваться Е/Е/РЕ система, связанная сбезопасностью, то такие различия должны быть идентифицированы и с помощьюкомбинации соответствующих аналитических методов и испытаний должно быть явнопоказано, что вероятность любой необнаруженной систематической ошибки настольконизка, что достигается требуемый уровень(ни) полноты безопасности дляфункции(ий) безопасности подсистемы.

7.4.7.9.Документальное свидетельство по 7.4.7.6 должно установить, что мера предыдущегоиспользования конкретной конфигурации подсистемы (в часах эксплуатации)является достаточной, чтобы статистически рассматривать заявленные частотыотказов. Как минимум, требуется достаточное время эксплуатации для установленияданных заявленной частоты отказов в одностороннем нижнем пределе доверия, покрайней мере, 70 % (см. МЭК 61508-7, приложение D,а также IEEE352). В статистическом анализе время эксплуатации любой индивидуальнойподсистемы меньше одного года не рассматривается как часть полного времениэксплуатации.

Примечание - Требуемое время часов эксплуатации дляустановления заявляемой частоты отказов может быть получено по результатамэксплуатации нескольких идентичных подсистем при условии, что отказы всехподсистем были эффективно обнаружены и документированы (см. 7.4.7.10).Например, если имеется 100 подсистем, каждая из которых проработала без отказов10000 ч, то полное время эксплуатации без отказов можно считать равным 1000000ч. В этом случае каждая подсистема должна эксплуатироваться более одного года,и действия при расчетах относят к полученному выше полному числу часовэксплуатации.

7.4.7.10.При проверке выполнения требований по 7.4.7.6 и 7.4.6.9 принимают вовнимание только предыдущую эксплуатацию, при которой все отказы подсистем былиэффективно обнаружены и документированы (например, если информация об отказахбыла собрана в соответствии с рекомендациями МЭК 60300-3-2).

7.4.7.11.При проверке выполнения или невыполнения требований по 7.4.7.6и 7.4.6.9 учитывают как охват, так и уровень детализации имеющейся информации(см. также МЭК 61508-1, подраздел 4.1) для следующих факторов:

a) сложности подсистемы;

b) вклада, внесенного конкретной подсистемой в сокращениериска;

c) последствий, связанных с отказом системы;

d) новизну проекта.

7.4.7.12.Термин «проверено в эксплуатации» применяют к подсистеме, связанной сбезопасностью, в Е/Е/РЕ системе, связанной с безопасностью, и ограничивают егорассмотрение функциями и интерфейсами подсистемы, соответствующими требованиямпо 7.4.7.6 и 7.4.7.10.

Примечание - Требования 7.4.7.4- 7.4.7.12 также применимы для подсистем, содержащих программное обеспечение. Вэтом случае должна быть уверенность в том, что конкретная подсистема выполняетв системе, связанной с безопасностью, только те функции, для которых заданатребуемая полнота безопасности (см. также МЭК 61508-3, подпункт 7.4.2.11).

7.4.8. Требования кпередаче данных

7.4.8.1.При любой форме передачи данных, используемой при выполнении функциибезопасности, оценивается вероятность необнаруженного отказа процесса связи сучетом ошибок передачи, повторов, удалений, вставок, повторного у