Точный
Статус документа
Статус документа

ГОСТ Р 53195.3-2015 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 3. Требования к системам

     5.7 Проектирование и реализация Е/Е/РЕ СБЗС-систем

5.7.1 Проектирование и реализация (установка и пуско-наладка на объекте) Е/Е/РЕ СБЗС-систем должны осуществляться в соответствии с требованиями, установленными для функций безопасности и для полноты безопасности по 5.5, и с учетом требований 5.7.2-5.7.15.

5.7.2 Проектирование Е/Е/РЕ СБЗС-систем, включая полные структуры АС и ПО, в том числе сенсорные и исполнительные устройства, программируемую электронику (РЕ), встроенное ПО, "зашитое" в программируемые запоминающие устройства, прикладное ПО и т.п. (см. рисунок 3), должно осуществляться таким образом, чтобы удовлетворялись требования:

а) к полноте безопасности АС, в том числе:

- требования к структурным ограничениям на полноту безопасности АС (см. 5.8);

- требования к вероятности опасных случайных отказов АС (см. 5.8.2);

б) к полноте безопасности по отношению к систематическим отказам:

- требования по предотвращению отказов (см. 5.9) и требования по управлению систематическими отказами (см. 5.10) или

- требования к подтверждению того, что оборудование "проверено в эксплуатации" (см. 5.12.5-5.12.12);

в) к действиям системы при обнаружении ошибок и отказов (см. 5.11).


Структура РЕ

Структура АС РЕ

Структура ПО РЕ
(структура ПО включает встроенные в ПЗУ ПО и прикладные программы)

Общие и конкретные особенности АС РЕ, например:

- встроенные устройства диагностического тестирования;

- избыточные процессоры;

- сдвоенные платы ввода/вывода

ПО, встроенное в ПЗУ РЕ, например:

- коммуникационные драйверы;

- ПО обработки отказов;

- исполнительное ПО

Прикладное ПО РЕ, например:

- ПО функций ввода/вывода;

- ПО обработки отказов;

- ПО вторичных функций (например, контроля сенсора, если оно не обеспечено как сервис встроенного в ПЗУ ПО)

     
Рисунок 3 - Взаимосвязь между структурами АС и ПО РЕ

5.7.3 Для установления необходимой полноты безопасности Е/Е/РЕ СБЗС-систем должен быть применен метод проектирования, обеспечивающий достижение уровня полноты безопасности АС и полноты безопасности по отношению к систематическим отказам, в ходе реализации которого:

- определяют требуемый уровень полноты безопасности функций безопасности по ГОСТ Р 53195.2;

- устанавливают полноту безопасности АС равной полноте безопасности по отношению к систематическим отказам и равной уровню полноты безопасности (см. 5.10);

- для установленной полноты безопасности АС определяют структуру, соответствующую ограничениям на структуру (см. 5.8.1), и предоставляют доказательства соответствия вероятности отказов функций безопасности из-за случайных отказов АС требуемым целевым значениям отказов (см. 5.8.2);

- для установленной полноты безопасности по отношению к систематическим отказам выявляют особенности проектирования, которые приводят к систематическим отказам в реальной работе (см. 5.10) или подтверждают соответствие требованиям "проверено при эксплуатации" (см. 5.12.5-5.12.12);

- для полноты безопасности в отношении систематических отказов определяют методы и средства, предотвращающие систематические отказы в процессе проектирования и реализации (см. 5.9), или предоставляют доказательства соответствия требованиям "проверено при эксплуатации" (см. 5.12.5-5.12.12).

Примечание - Требования к структуре ПО, тестирования при интеграции ПО, связанные с ними требования к интеграции РЕ установлены в ГОСТ Р 53195.4-2010 (пункт 5.6.5).

5.7.4 Во всех случаях, когда Е/Е/РЕ СБЗС-система реализует функции безопасности, а также функции, не относящиеся к безопасности, все АС и ПО должны рассматриваться как связанные с безопасностью до тех пор, пока не будет установлено, что эти функции реализуются достаточно независимо (т.е. отказ какой-либо функции, не относящейся к безопасности, не становится причиной отказа функций, связанных с безопасностью).

Достаточная независимость выполнения функций безопасности доказывается предоставлением доказательств того, что вероятность зависимого отказа между компонентами, не относящимися к безопасности, и компонентами, связанными с безопасностью, достаточно низка по сравнению с самым высоким уровнем полноты безопасности, который относится к выполняемым функциям безопасности.

5.7.5 Функции, связанные с безопасностью, должны быть по возможности отделены от функций, не относящихся к безопасности.

Примечание - Совмещение этих функций, допускаемое настоящим стандартом, может привести к значительным сложностям при выполнении работ в процессе жизненного цикла Е/Е/РЕ-системы (например, при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).

5.7.6 Требования к АС и ПО Е/Е/РЕ СБЗС-системы должны определяться уровнем полноты безопасности при выполнении ими функций безопасности с самым высоким уровнем полноты безопасности, если не будет доказано, что выполнение функций безопасности для различных уровней полноты безопасности достаточно независимо.

Достаточная независимость выполнения функций безопасности доказывается предоставлением доказательств того, что вероятность зависимого отказа компонентов, выполняющих функции безопасности для различных уровней полноты безопасности, достаточно низка по сравнению с самым высоким уровнем полноты безопасности, относящимся к рассматриваемым функциям безопасности.

5.7.7 В случае выполнения Е/Е/РЕ СБЗС-системой нескольких функций безопасности должна быть рассмотрена возможность возникновения отказа в выполнении нескольких функций безопасности из-за единственной ошибки. Требования к АС и ПО в этом случае допускается устанавливать, применяя уровень полноты безопасности более высокий, чем уровень, относящийся к выполнению любой из функций безопасности, в зависимости от риска, связанного с таким отказом.

5.7.8 Если функции безопасности должны быть независимыми в соответствии с 5.7.4 и 5.7.6, то в проектной документации должно быть приведено обоснование метода достижения независимости функций.