Статус документа
Статус документа

ГОСТ Р МЭК 62061-2015 Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью

     6.4 Требования к систематической полноте безопасности СБЭСУ

6.4.1 Требования для предотвращения систематических отказов аппаратных средств

6.4.1.1 Должны быть применены следующие меры:

a) необходимо, чтобы СБЭСУ была спроектирована и реализована в соответствии с планом функциональной безопасности (см. 4.2);

b) правильные выбор, состав, схемы, сборка и установка подсистем, в том числе кабелей, проводов и любых соединений;

c) применение СБЭСУ в соответствии со спецификацией производителя;

d) следование указаниям производителя по применению, например каталог, инструкции по установке, и использование хорошей технической практики (см. также D.1 ИСО 13849-2);

e) применение подсистем с совместимыми рабочими характеристиками (см. также D.1 ИСО 13849-2);

f) СБЭСУ должна быть защищена в соответствии с МЭК 60204-1;

g) предотвращение потери функции заземления в соответствии с МЭК 60204-1;

h) не должны использоваться документально не оформленные режимы работы компонентов (например, "зарезервированные" регистры программируемого оборудования);

i) рассмотрение предсказуемого неправильного использования, изменений окружающей среды или модификации(й).

6.4.1.2 Кроме этого, должен(на) быть применен(а) по крайней мере один(на) из следующих методов и/или мер, с учетом сложности СБЭСУ и УПБ для тех функций, которые будут реализованы СБЭСУ:

a) анализ проекта аппаратных средств СБЭСУ (например, с помощью проверки или сквозного контроля) для выявления в результате осмотров и/или анализа расхождений между спецификацией и реализацией;

Примечание - Для того чтобы выявить несоответствия между спецификацией и реализацией, любые точки сомнения или потенциально слабые места реализации, исполнения и использования изделия документально оформляют так, чтобы они могли быть решены, учитывая, что во время процедуры проверки автор пассивен, а инспектор активен, а при процедуре сквозного контроля автор активен, и инспектор пассивен;

b) средства для консультации, например пакеты автоматизированного проектирования, выполняющие моделирование или анализ, и/или средства автоматизированного проектирования, чтобы выполнять процедуры проектирования на систематической основе с использованием предварительно разработанных элементов, которые уже доступны и протестированы.

Примечание - Полнота этих инструментов может быть продемонстрирована конкретным тестированием, обширной историей удовлетворительного использования или независимой верификацией их выходных результатов для конкретно разрабатываемой СБЭСУ (см. 6.11.3.4);

с) моделирование, которое систематически и полно реализует представление проекта СБЭСУ как в терминах функциональных характеристик, так и с точки зрения правильного определения размеров и взаимодействия ее подсистем.

Пример - Функция СБЭСУ может быть смоделирована на компьютере с помощью программного обеспечения, моделирующего поведение (см. 6.11.3.4), где отдельные подсистемы или каждый их элемент имеют собственное моделируемое поведение, а реакция всей схемы, в которую они включены, проверяется при предельных значениях данных для каждой подсистемы или ее элемента.

6.4.2 Требования к управлению систематическими сбоями

Должны быть применены следующие меры:

a) использование обесточивания: необходимо, чтобы СБЭСУ были сконструированы таким образом, чтобы при потере их электропитания машины переходили в безопасное состояние или оставались в нем;

b) контроль за влиянием временных отказов подсистемы: СБЭСУ должна быть сконструирована таким образом, чтобы, например:

- изменение напряжения (прерывания, падения и др.) в отдельных подсистемах или элементах подсистемы не приводило к опасности (например, прерывание напряжения, влияющее на цепи управления двигателем, не должно привести к неожиданному его запуску, когда питание восстанавливается).

Примечание - См. также соответствующие требования в МЭК 60204-1. В частности:

- перенапряжение или пониженное напряжение должно быть обнаружено достаточно рано, чтобы все выходы могли быть переведены в безопасное состояние процедурой отключения питания или переключены на второй энергоблок;

- в случае необходимости, перенапряжение или пониженное напряжение должно быть обнаружено достаточно рано, чтобы внутреннее состояние могло быть сохранено в энергонезависимой памяти и все выходы могли быть установлены или переведены в безопасное состояние процедурой отключения питания или переключены на второй энергоблок;


- воздействие электромагнитных помех от физического окружения или подсистем(ы) не приводило к опасности;

c) управление последствиями ошибок и прочими последствиями, возникающими в результате любого процесса передачи данных, включая ошибки передачи, повторы, удаления, вставки, повторное упорядочивание, искажения, задержка и нелегальное проникновение.