Точный
Статус документа
Статус документа

ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам (с Поправкой)

     7.4 Проектирование и разработка Э/Э/ПЭ системы


Примечание - Данная стадия представлена на рисунке 2 (см. блок 10.3). Она обычно выполняется параллельно с планированием подтверждения соответствия Э/Э/ПЭ системы безопасности (см. 7.3).

7.4.1 Цель

Цель требований настоящего подраздела состоит в обеспечении соответствия проектирования и разработки Э/Э/ПЭ системы (включающей при необходимости СИС, см. пункт 3.2.15 МЭК 61508-4), связанной с безопасностью, спецификации требований к проектированию Э/Э/ПЭ системы [относительно требований функций безопасности и требований к полноте безопасности (см. 7.2)].

7.4.2 Общие требования

7.4.2.1 Проектирование Э/Э/ПЭ системы, связанной с безопасностью, должно быть проведено в соответствии со спецификацией требований проектирования Э/Э/ПЭ системы (см. 7.2.3) с учетом всех требований 7.2.3.

7.4.2.2 Проектирование Э/Э/ПЭ системы, связанной с безопасностью (включая архитектуру аппаратных средств и программного обеспечения всей системы, датчики, исполнительные устройства, программируемую электронику, СИС, встроенное программное обеспечение, "зашитое" в ПЗУ, прикладное программное обеспечение и т.п.), должно соответствовать всем перечисленным ниже требованиям:

a) к полноте безопасности аппаратных средств, включая:

- требования к архитектурным ограничениям на полноту безопасности аппаратных средств (см. 7.4.4),

- требования к выполнению количественной оценки случайных отказов (см. 7.4.5);

b) специальной архитектуре для интегральных схем (ИС) с избыточностью схем на кристалле (см. приложение Е) в соответствующих случаях, если не может быть приведено обоснование того, что тот же самый уровень независимости между различными каналами достигается с помощью применения другого набора средств;

c) систематической полноте безопасности (стойкости к систематическим отказам), которая может быть обеспечена применением одного из следующих способов обеспечения соответствия:

- способ : соответствие с требованиями по предотвращению систематических отказов (см. 7.4.6 и МЭК 61508-3) и требованиями по управлению систематическими отказами (см. 7.4.7 и МЭК 61508-3), или

- способ : соответствие с требованиями с помощью доказательства того, что оборудование "проверено в эксплуатации" (см. 7.4.10), или

- способ : (только для ранее существующих элементов программного обеспечения): соответствие с требованиями подпункт 7.4.2.12 МЭК 61508-3.

Примечание - Индекс "S" в вышеупомянутых способах означает систематическую полноту безопасности в отличие от способа и способа (см. 7.4.4) для полноты безопасности аппаратных средств;

d) поведению системы при обнаружении отказов (см. 7.4.8);

е) процессам передачи данных (см. 7.4.11).

7.4.2.3 Если Э/Э/ПЭ система, связанная с безопасностью, осуществляет функции безопасности и функции, не относящиеся к безопасности, то все аппаратные средства и программное обеспечение должны рассматриваться как связанные с безопасностью до тех пор, пока не будет установлено, что эти функции реализуются достаточно независимо (то есть отказ какой-либо функции, не относящейся к безопасности, не станет причиной отказа функций, связанных с безопасностью).

Примечания

1 Достаточную независимость этих функций устанавливают демонстрацией того, что вероятность зависимого отказа между компонентами, не относящимися к безопасности и связанными с безопасностью, достаточно низка по сравнению с самым высоким уровнем полноты безопасности, связанным с используемыми функциями безопасности.

2 Следует предостеречь от совмещения функций безопасности и функций, не относящихся к безопасности, в одной и той же Э/Э/ПЭ системе, связанной с безопасностью. Такое объединение, допускаемое настоящим стандартом, может усложнить Э/Э/ПЭ систему и привести к трудностям при выполнении работ в процессе жизненного цикла Э/Э/ПЭ системы (например, при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).

7.4.2.4 Требования к аппаратным средствам и программному обеспечению должны определяться уровнем полноты безопасности функций безопасности, имеющих самый высокий уровень полноты безопасности, если не будет показано, что выполнение функций безопасности различных уровней полноты безопасности достаточно независимо.

Примечания

1 Достаточная независимость выполнения функций безопасности устанавливается демонстрацией вероятности зависимого отказа между компонентами, выполняемых функций безопасности различных уровней полноты безопасности, достаточно низкой по сравнению с самым высоким уровнем полноты безопасности, связанным с рассматриваемыми функциями безопасности.

2 Если в Э/Э/ПЭ системе, связанной с безопасностью, выполняется несколько функций безопасности, то необходимо рассмотреть возможность возникновения отказа в выполнении нескольких функций безопасности от единственной ошибки. В такой ситуации требования к аппаратным средствам и программному обеспечению допускается задавать на основе уровня полноты безопасности более высокого, чем связанный с любой из функций безопасности, в зависимости от риска, связанного с таким отказом.

7.4.2.5 Если требуется независимость функций безопасности (см. 7.4.2.3 и 7.4.2.4), то в процессе проектирования должны быть документально оформлены:

a) метод достижения независимости;

b) обоснование метода.