ГОСТ Р МЭК 62061-2013 Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью
6.3 Требования к поведению СБЭСУ при обнаружении в ней сбоя
6.3.1 Обнаружение опасного сбоя в любой из подсистем, которая имеет значение устойчивости к сбоям аппаратных средств больше, чем ноль, влечет за собой выполнение специфицированной функции реакции на отказ.
Такая спецификация может содержать действия по изоляции неисправных частей подсистемы для продолжения безопасной эксплуатации машины в то время, как происходит ремонт неисправных частей. Если неисправная деталь не будет восстановлена в течение максимального времени оцененного, как принято из расчета вероятности случайного сбоя в технических средствах (см. 6.7.8), то для поддержки безопасного состояния должна быть выполнена реакция на второй сбой.
Если для СБЭСУ предусмотрен ремонт в неавтономном режиме, то изоляцию неисправного элемента применяют только тогда, когда это не приводит к увеличению вероятности опасных случайных сбоев аппаратных средств СБЭСУ, указанной выше в спецификации требований к системе безопасности.
После появления неисправностей, снижающих устойчивость к сбоям аппаратных средств до нуля, применяются требования п.6.3.2.
Примечание - При определении среднего времени восстановления (см. МЭС 191-13-08), которое рассматривается в модели надежности, необходимо учитывать интервал диагностических проверок, время ремонта и любые другие задержки при восстановлении.
6.3.2 Если для достижения требуемой вероятности случайных опасных отказов аппаратных средств необходима(ы) функция(и) диагностики и подсистема имеет устойчивость к сбоям аппаратных средств, равную нулю, то обнаружение сбоя и заданная на него реакция должны быть выполнены до того, как может произойти опасная ситуация, предусмотренная СБФУ
Исключение к п.6.3.2. Если подсистема реализует конкретную СБФУ, у которой устойчивость к сбоям аппаратных средств равна нулю, а отношение частоты диагностического тестирования к частоте запросов превышает 100, то интервал диагностического тестирования этой подсистемы должен быть таким, чтобы она удовлетворяла требование к вероятности опасного случайного сбоя технических средств.
6.3.3 Если выполнение функции реакции на сбой как части СБФУ, для которой определен УПБ 3, привело к остановке машины, то последующая нормальная работа машины с СБЭСУ (например, ее повторный запуск) не должна выполняться до тех пор, пока сбой не будет восстановлен или исправлен. Для СБФУ с заданной полнотой безопасности менее УПБ 3, поведение машины после выполнения функции реакции на сбой (например, перезапуск нормальной работы) должно зависеть от спецификации соответствующих функций реакции на сбой (см. 5.2.3).