ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ОБОРУДОВАНИЯ. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ УПРАВЛЕНИЯ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ И ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

IEC 62061:2005

Safety of machinery — Functional safety of safety-related electrical, electronic and programmable electronic control systems (IDT)

Издание официальное

Москва Стандарти нформ 2014

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» и Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «Интерстандарт» на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 58 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 октября 2013 г. № 1248-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 62061:2005 «Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью» (IEC 62061:2005 «Safety of machinery — Functional safety of safety-related electrical, electronic and programmable electronic control systems)

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

© Стандартинформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р МЭК 62061-2013

питания, соединенные вместе для конкретного применения, например, для обработки, переработки, производства, транспортирования или упаковки материалов.

Термины «машина» и «механизм» также распространяются на совокупность машин, которые размещаются и управляются таким образом, чтобы функционировать как единое целое.

[ИСО 12100-1:2003, п. 3.1]

3.2.2    система управления машиной (machine control system): Система, которая реагирует на входной сигнал, например, от процесса, других элементов машины, оператора, внешнего управляемого оборудования и генерирует выходной(ые) сигнал(ы), заставляющий(ие) машину вести себя предназначенным способом.

3.2.3    электрическая система управления (electrical control system): Система управления машины, выполняющая, например, операционное управление, контроль, взаимную блокировку, связь, защиту и связанные с безопасностью функции управления и использующая только электрические, электронные и программируемые электронные компоненты.

Примечание — Связанные с безопасностью функции управления могут быть реализованы с помощью электрической системы управления, которая является либо неотъемлемой составной частью, либо независимой от тех частей системы управления машины, которые выполняют функции, не связанные с безопасностью.

3.2.4    связанные с безопасностью электрические системы управления, СБЭСУ (Safety-Related Electrical Control System, SRECS): Электрическая система управления, отказ которой может непосредственно привести к увеличению риска(ов).

Примечание — СБЭСУ включает в себя все элементы электрической системы управления, отказ которых может привести к снижению или потере функциональной безопасности, а также может включать в себя цепи электропитания и управления.

3.2.5    подсистема (subsystem): Объект проекта архитектуры верхнего уровня СБЭСУ, в которой отказ любой подсистемы приведет к отказу связанной с безопасностью функции управления.

Примечания

1    Полная подсистема может быть составлена из большого количества идентифицируемых и отдельных элементов, которые, когда соединяются вместе, реализуют функциональные блоки, выделенные в подсистеме.

2    Данное определение является ограничением общего, представленного в МЭК 61508-4: набор элементов, взаимодействующих в соответствии с проектом, где элементом системы может быть другая, названная подсистемой, которая может включать аппаратные средства, программное обеспечение и взаимодействие с человеком.

3    Данное определение отличается от обычно используемого, где «подсистема» может означать любую подразделяемую часть объекта, в настоящем стандарте термин «подсистема» использован в строго определенной терминологической иерархии: «подсистема» — первый уровень декомпозиции системы. Компоненты последующей декомпозиции называют «элементами подсистемы».

3.2.6    элемент подсистемы (subsystem element): Часть подсистемы, включающая отдельный компонент или группу компонентов.

3.2.7    компонент низкой сложности (low complexity component): Компонент, для которого:

-    хорошо определены режимы отказов;

-    может быть полностью определено поведение в условиях отказа.

[МЭК 61508-4, п. 3.4.4 модифицирован]

Примечания

1    Поведение компонента низкой сложности в условиях отказа может быть определено аналитическими и/или методами испытаний.

2    Подсистема или элемент, включающие один или более концевых выключателей, работающих, возможно, через промежуточные электромеханические реле, один или более контакторов, используемых для отключения питания электродвигателя, является примером компонента низкой сложности.

3.2.8    сложный компонент (complex component): Компонент, для которого:

-    плохо определены режимы отказов;

-    не может быть полностью определено поведение в условиях отказа.

3.2.9    функциональная безопасность (functional safety): Часть безопасности машины и системы управления машины, которая зависит от корректного функционирования СБЭСУ, систем, связанных с безопасностью, основанных на других технологиях и внешних средств снижения риска.

[МЭК 61508-4, п. 3.1.9 модифицирован]

5

Примечания

1    Настоящий стандарт рассматривает только функциональную безопасность, которая зависит от корректного функционирования СБЭСУ в применениях для оборудования машин.

2    В ИСО/МЭК Руководство 51 безопасность определена как отсутствие неприемлемого риска.

3.2.10    опасность (hazard): Потенциальный источник телесного повреждения или причинения вреда здоровью.

[ИСО 12100-1:2003, п. 3.6 модифицирован]

Примечание — Термин «опасность» может быть квалифицирован, чтобы определить ее источник или природу ожидаемого вреда (например, опасность удара током, опасность разрушения, опасность резки, токсичная опасность, пожароопасность).

3.2.11    опасная ситуация (hazardous situation): Обстоятельства, при которых человек подвергается одной или нескольким опасностям.

[ИСО 12100-1:2003, п. 3.9 модифицирован]

3.2.12    мера защиты (protective measure): Мера, направленная на достижение снижения риска.

[ИСО 12100-1:2003, п. 3.18 модифицирован]

3.2.13    риск (risk): Сочетание вероятности причинения вреда и его тяжести.

[ИСО 12100-1:2003, п. 3.11]

3.2.14    функция управления (control function): Функция, которая оценивает входную информацию или сигналы и формирует выходную информацию или действия.

3.2.15    функция безопасности (safety function): Функция машины, отказ которой может привести к непосредственному увеличению риска(ов).

[ISO 12100-1:2003, п. 3.28]

Примечани е —Данное определение отличается от определений в МЭК 61508-4 и ИСО 13849-1.

3.2.16    связанная с безопасностью функция управления, СБФУ (Safety-Related Control Function, SRCF): Функция управления, реализованная СБЭСУ с заданным уровнем полноты и предназначенная для поддержки безопасных условий работы машины или предотвращения увеличения риска(ов).

3.2.17    функция диагностики СБЭСУ (SRECS diagnostic function): Функция, предназначенная для обнаружения отказов в СБЭСУ и формирования заданной выходной информации или действия при обнаружении отказа.

Примечание — Данная функция предназначена для обнаружения отказов, которые могут привести к опасному отказу СБФУ и запуска заданной функции реакции на отказ.

3.2.18    функция реакции на отказ СБЭСУ (SRECS fault reaction function): Функция, которая запускается, когда в СБЭСУ обнаружен отказ с помощью функции диагностики СБЭСУ.

3.2.19    полнота безопасности (safety integrity): Вероятность того, что СБЭСУ или ее подсистема будет удовлетворительно выполнять требуемые связанные с безопасностью функции управления при всех указанных условиях.

[МЭК 61508-4, п. 3.5.2 модифицирован]

Примечания

1    Чем выше уровень полноты безопасности элемента, тем ниже вероятность, что элемент не выполнит требуемую связанную с безопасностью функцию управления.

2    Полнота безопасности включает полноту безопасности аппаратных средств (см. 3.2.20) и систематическую

полноту безопасности (см. 3.2.22).

3.2.20    полнота безопасности аппаратных средств (hardware safety integrity): Составляющая полноты безопасности СБЭСУ или ее подсистем, включающая требования к вероятности опасных случайных отказов технических средств и к архитектурным ограничениям.

[МЭК 61508-4, п. 3.5.5 модифицирован]

3.2.21    полнота безопасности программного обеспечения (software safety integrity): Составляющая систематической полноты безопасности СБЭСУ или ее подсистем, связанная с возможностью программного обеспечения в программируемой электронной системе выполнять в ней связанные с безопасностью функции управления при всех заданных условиях в течение установленного промежутка времени.

[МЭК 61508-4, п. 3.5.3 модифицирован]

Примечание — Обычно полнота безопасности программного обеспечения не может быть охарактеризована количественно.

6

ГОСТ Р МЭК 62061-2013

3.2.22    систематическая полнота безопасности (systematic safety integrity): Составляющая полноты безопасности СБЭСУ или ее подсистем, касающаяся ее противодействия систематическим отказам (см. 3.2.45), проявляющимся в опасном режиме.

[МЭК 61508-4, п. 3.5.4 модифицирован]

Примечания

1    Обычно полнота безопасности, касающаяся систематических отказов, не может быть охарактеризована количественно.

2    Требования к полноте безопасности, касающейся систематических отказов, применяются как к аппаратным средствам, так и к аспектам программного обеспечения СБЭСУ или ее подсистем.

3.2.23    уровень полноты безопасности; УПБ (safety integrity level (SIL)): Дискретный уровень (принимающий одно из трех возможных значений), устанавливающий требования к полноте безопасности связанных с ней функций управления, которые были определены для СБЭСУ, при этом уровень 3 является высшим уровнем полноты безопасности, а уровень 1 является самым низшим.

[МЭК 61508-4, п. 3.5.6 модифицирован]

Примечание — УПБ 4 в настоящем стандарте не рассматривается, поскольку такие требования к снижению риска обычно не используют для машинного оборудования. О требованиях при применении УПБ 4 см. МЭК 61508-1 и МЭК 61508-2.

3.2.24    предельное требование к УПБ (для подсистемы), ПТУПБ (SIL Claim Limit (for a subsystem), SILCL): максимальное значение УПБ, которое может быть заявлено для подсистемы СБЭСУ относительно архитектурных ограничений и систематической полноты безопасности.

3.2.25    запрос (demand): Событие, которое инициирует СБЭСУ выполнять свою СБФУ.

3.2.26    режим с низкой частотой запросов (low demand mode): Режим работы, в котором частота запросов к СБЭСУ не больше, чем один раз в год, и не больше удвоенного значения частоты контрольных проверок.

Примечание — Оборудование, которое в соответствии с требованиями спроектировано для работы только в режиме с низкой частотой запросов, описанном в МЭК 61508-1 и МЭК 61508-2, может быть непригодно для применения в качестве элемента СБЭСУ, соответствующей настоящему стандарту. Режим работы с низкой частотой запросов не используется для применений СБЭСУ в оборудовании машин.

3.2.27    режим с высокой частотой запросов или непрерывный режим (high demand or continuous mode): Режим работы, в котором частота запросов к СБЭСУ больше, чем один раз в год, либо больше, чем удвоенная частота контрольных проверок.

[МЭК 61508-4, п. 3.5.12 модифицирован]

Примечания

1    Режим работы с низкой частотой запросов, как полагают, не важен для применений СБЭСУ в машинном оборудовании. Поэтому в настоящем стандарте предполагается, что СБЭСУ работают только в режиме с высокой частотой запросов или в непрерывном режиме.

2    Режим запроса означает, что связанная с безопасностью функция управления выполняется только по запросу (требованию), чтобы перевести машину в указанное состояние. СБЭСУ не влияет на машину, пока нет требований к связанной с безопасностью функции управления.

3    Непрерывный режим подразумевает стабильное выполнение связанной с безопасностью функции управления, т. е. СБЭСУ постоянно управляет машиной и (опасный) отказ ее функции может привести к опасному событию.

3.2.28    вероятность опасного отказа в час, PFH_D (probability of a dangerous failure per hour, PFH)\ Средняя вероятность опасного отказа в час.

Примечание — PFH_D не надо путать с вероятностью отказов по запросу (PFD).

3.2.29    целевая величина отказов (target failure value): Заданное значение PFH_D, которое должно быть достигнуто, чтобы удовлетворить конкретное требование полноты безопасности.

Примечание — Целевая величина отказов задается в терминах вероятности опасного отказа в час.

[МЭК 61508-4, п. 3.5.13 модифицирован]

3.2.30    сбой (fault): Ненормальный режим, способный вызвать снижение или потерю способности СБЭСУ, подсистемы или элемента подсистемы выполнять требуемую функцию.

[МЭК 61508-4, п. 3.6.1 модифицирован]

3.2.31    устойчивость к отказам (fault tolerance): Способность СБЭСУ, подсистемы или элемента подсистемы продолжать выполнять необходимую функцию при наличии сбоев или ошибок.

7

[МЭК 61508-4, п. 3.6.3 модифицирован]

3.2.32    функциональный блок (functional block): Наименьший элемент СБФУ, отказ которого может привести к отказу СБФУ.

Примечания

1    В настоящем стандарте СБФУ (Ф) можно рассматривать как логическую функцию из функциональных блоков (ФБ), то есть Ф = ФБ₁ & ФБ₂ & ФБ_П.

2    Это определение функционального блока отличается от используемого в МЭК61131-3 и других стандартах.

3.2.33    элемент функционального блока (function block element): Часть функционального блока.

3.2.34    среднее время до отказа (Mean Time То Failure, MTTF): Ожидание среднего времени наработки на отказ.

[МЭС 191-12-07 модифицирован]

Примечание — MTTF обычно выражается как среднее значение ожидания времени безотказной работы.

3.2.35    архитектура (architecture): Конкретная конфигурация элементов аппаратных средств и программного обеспечения СБЭСУ.

[МЭК 61508-4, п. 3.3.5 модифицирован]

3.2.36    архитектурное ограничение (architecture constraint): Набор требований к архитектуре, ограничивающих УПБ, который может быть востребован для подсистемы.

Примечание — Требования к архитектурным ограничениям представлены в 6.7.6.

3.2.37    контрольная проверка (proof test): Проверка, выполняемая для того, чтобы обнаружить отказы и ухудшение функционирования СБЭСУ и ее подсистем с тем, чтобы при необходимости СБЭСУ и ее подсистемы могли быть восстановлены настолько близко к «исходному» состоянию, насколько это возможно в данных условиях.

[МЭК 61508-4, п. 3.8.5 модифицирован]

Примечание — Контрольная проверка предназначена для того, чтобы подтвердить, что СБЭСУ находится в состоянии, которое обеспечивает заданную полноту безопасности.

3.2.38    охват диагностикой (diagnostic coverage): Уменьшение вероятности опасных отказов аппаратного обеспечения, связанное с выполнением автоматических диагностических проверок.

[МЭК 61508-4, п. 3.8.6 модифицирован]

Примечание — Охват диагностикой опасных отказов определяется с помощью следующего выражения, где DC — охват диагностикой, X_DD— интенсивности выявленных опасных отказов, A._fofa/ — общая интенсивность опасных отказов:

ВС= ^^х°° .

total

3.2.39    отказ (failure): Прекращение способности СБЭСУ, подсистемы или элемента подсистемы выполнять требуемую функцию.

[МЭК 61508-4, п. 3.6.4 модифицирован и ИСО 12100-1:2003, п. 3.32]

Примечание — Отказы могут быть случайными (в аппаратных средствах) или систематическими (в аппаратных средствах или в программном обеспечении).

3.2.40    опасный отказ (dangerous failure): Отказ СБЭСУ, подсистемы или элемента подсистемы, который может привести к опасному состоянию или ошибке при выполнении функции.

[МЭК 61508-4, п. 3.6.7 модифицирован]

Примечания

1    Будут или нет реализованы опасные последствия отказа, зависит от канальной архитектуры системы; например, в многоканальных системах, повышающих уровень безопасности, опасный отказ технического средства с меньшей вероятностью приведет к итоговому опасному состоянию или отказу при выполнении функции.

2    В многоканальной подсистеме вероятность опасного отказа может быть меньше, чем интенсивность опасного отказа канала, который включен в подсистему. Вероятность же опасного отказа СБЭСУ не может быть меньшей, чем вероятность опасного отказа любой из подсистем, составляющей СБЭСУ (это следует из определения «подсистемы», данного в настоящем стандарте).

3    Опасный отказ обычно приводит к отказу или возможному отказу выполнения СБФУ.

8

ГОСТ Р МЭК 62061-2013

3.2.41    безопасный отказ (safe failure): Отказ СБЭСУ, подсистемы или ее элемента, не вызывающий опасность.

[МЭК 61508-4, п. 3.6.8 модифицирован]

Примечание — Безопасный отказ не приводит к отказу или возможному отказу выполнения СБФУ.

3.2.42    доля безопасных отказов, ДБО (safe failure fraction, SFF): Доля общей интенсивности отказов подсистемы, которые не приводят к опасному отказу.

Примечание — Значение ДБО может быть вычислено по следующей формуле:

ДБО = (1>₅ + 1>₀₀ )/(X^s + Z^d)>

где^₅ — интенсивность безопасных отказов;

+    —    общая    интенсивность    отказов;

^kdd — интенсивность опасных отказов, выявляемых диагностикой;

X_D — интенсивность опасных отказов.

Диагностический охват (если таковой имеется) каждой подсистемы в СБЭСУ учитывается при вычислении вероятности случайных отказов аппаратных средств. ДБО — при определении архитектурных ограничений на полноту безопасности аппаратных средств (см. 6.7.7).

3.2.43    отказ по общей причине (common cause failure): Отказ, который является результатом одного или нескольких событий, вызвавших одновременные отказы двух и более отдельных каналов в многоканальной подсистеме (с архитектурой с резервированием), ведущий к отказу СБЭСУ.

[МЭК 61508-4, п. 3.6.10 модифицирован]

Примечани е — Данное определение отличается от представленного в ИСО 12100-1 и МЭС 191-04-23.

3.2.44    случайный отказ аппаратных средств (random hardware failure): Отказ, возникающий в случайный момент времени и являющийся результатом одного или нескольких возможных механизмов ухудшения характеристик аппаратных средств.

[МЭК 61508-4, п. 3.6.5]

3.2.45    систематический отказ (systematic failure): Отказ, обусловленный определенной причиной, которая может быть исключена только путем модификации проекта, производственного процесса, операций, документации или других факторов.

[МЭК 61508-4, п. 3.6.6]

Примечания

1    Корректирующее действие без модификации обычно не устраняет причину отказа.

2    Систематический отказ может быть вызван имитацией причины отказа.

3    Примерами причин систематических отказов являются ошибки человека:

-    в спецификации требований к безопасности;

-    в проекте, при изготовлении, вводе в эксплуатацию или работе аппаратных средств;

-    при проектировании, реализации и т. п. программного обеспечения.

3.2.46    прикладное программное обеспечение (application software): Определенное для применения программное обеспечение, реализованное разработчиком СБЭСУ, обычно содержащее последовательность логических операций, ограничения и выражения и управляющее соответствующей входящей и выходящей информацией, вычислениями и решениями, удовлетворяющими функциональные требования СБЭСУ.

3.2.47    встроенное программное обеспечение (embedded software): Программное обеспечение, поставленное производителем, которое является частью СБЭСУ и, как правило, недоступное для модификации.

Примечание — Программное обеспечение программируемой электроники, а также системное программное обеспечение — примеры встроенного программного обеспечения.

3.2.48    язык программирования с полной изменчивостью, ЯПИ (full variability language, FVL): Тип языка, позволяющий реализовать широкий диапазон функций и прикладных задач.

[МЭК 61511-1, п. 3.2.81.1.3 модифицирован]

Примечания

1    Типичными примерами систем, применяющих ЯПИ, являются системы, широко используемые компьютерами.

2    Обычно ЯПИ применяется во встроенном программном обеспечении и реже — в прикладном.

9

3 Примерами ЯПИ являются Ada, С, Pascal, языки ассемблера, C++, Java, SQL

3.2.49    язык программирования с ограниченной изменчивостью, ЯОИ (limited variability language, LVL): Тип языка программирования, который позволяет объединять предварительно определенные, специфические для предметной области библиотечные функции для выполнения спецификаций требований к системе безопасности.

[МЭК 61511-1, п. 3.2.81.1.2 модифицирован]

Примечания

1    ЯОИ обеспечивает близкое соответствие функциям, необходимым для реализации применения.

2    Типичные примеры ЯОИ приведены в МЭК 61131-3 и включают языки многоступенчатых диаграмм, функциональных блок-диаграмм, последовательностных функциональных схем.

3    Типичными примерами систем, использующих ЯОИ, являются программируемые логические контроллеры (ПЛК), сконфигурированные для управления оборудованием машин.

3.2.50    программное обеспечение, связанное с безопасностью (safety-related software): Программное обеспечение, которое используется для реализации СБФУ в системах, связанных с безопасностью.

3.2.51    верификация (verification): Подтверждение проверкой (например, тестами, анализом), что СБЭСУ, ее подсистемы или элементы подсистемы удовлетворяют требованиям, установленным соответствующей спецификацией.

[МЭК 61508-4, п. 3.8.1 модифицирован и МЭК 61511-1, п. 3.2.92 модифицирован]

Примечание — Результаты верификации должны быть представлены в виде документально оформленных объективных доказательств.

Пример — Процессы верификации включают:

-    просмотр выходных данных (документов, относящихся ко всем стадиям жизненного цикла системы безопасности) для того, чтобы убедиться в соответствии задачам и требованиям определенной стадии с учетом конкретных входящих данных для этой стадии;

-    просмотр проектов;

-    тестирование, выполняемое на проектируемых изделиях для того, чтобы убедиться, что они работают в соответствии с их спецификациями;

-    проверки интеграции, выполняемые там, где различные элементы системы объединяются в пошаговом режиме, и проведение экологических испытаний, необходимых для того, чтобы убедиться, что все элементы работают вместе в соответствии со спецификацией.

3.2.52    подтверждение соответствия (validation): Подтверждение проверкой (например, тестами, анализом), что СБЭСУ соответствует требованиям функциональной безопасности для конкретного применения.

[МЭК 61508-4, п. 3.8.2 модифицирован]

3.3 Сокращения

В настоящем стандарте использованы следующие сокращения.

Сокращение	Полное выражение
ООП	Отказ по общей причине
DC	Охват диагностикой
ЭМС	Электромагнитная совместимость
ФБ	Функциональный блок
ЯПИ	Язык программирования с полной изменчивостью
Вх/Вых	Вход/Выход
ЯОИ	Язык программирования с ограниченной изменчивостью
PFHd	Вероятность опасного отказа в час
MTTF	Среднее время до отказа
MTTR	Среднее время восстановления

Окончание таблицы

Сокращение Полное выражение Рте Вероятность опасности ошибки передачи ДБО Доля безопасных отказов УПБ Уровень полноты безопасности ПТУПБ Предельное требование к УПБ (для подсистем); ПТУПБ СБ Связанный с безопасностью СБЭСУ Связанная с безопасностью электрическая система управления СБФУ Связанная с безопасностью функция управления СТСБ Спецификация требований к системе безопасности СИС Система

4 Управление функциональной безопасностью

4.1    Цель

Данный раздел определяет управление и технические действия, необходимые для достижения требуемой функциональной безопасности СБЭСУ.

4.2    Требования

4.2.1 План обеспечения функциональной безопасности должен быть составлен и документально оформлен для каждого проекта СБЭСУ и обновляться по мере необходимости. Он должен включать процедуры по управлению действиями, определенными в разделах 5—9 .

Примечание — Содержание плана обеспечения функциональной безопасности должно зависеть от следующих конкретных характеристик проекта:

-    размер;

-    степень сложности;

-    степень новизны и используемых технологий;

-    уровень стандартизации характеристик;

-    возможное(ые) последствие(я) в случае отказа.

В частности план должен содержать:

a)    идентификацию соответствующих действий, заданных в разделах 5—9;

b)    описание политики и стратегии для выполнения заданных требований к функциональной безопасности;

c)    описание стратегии обеспечения функциональной безопасности для прикладного программного обеспечения, разработки, интеграции, верификации и подтверждения соответствия СБЭСУ;

d)    идентификацию лиц, департаментов или других подразделений и ресурсов, которые отвечают за проведение и рассмотрение каждого из мероприятий, указанных в разделах 5—9 ;

e)    определение или формирование процедуры и ресурсов для записи и сохранения информации, относящейся к функциональной безопасности СБЭСУ;

Примечание — Необходимо рассмотреть следующее:

-    результаты идентификации опасностей и оценки рисков;

-    оборудование, используемое для связанных с безопасностью функций, с требованиями к системе безопасности;

-    организацию, ответственную за поддержание функциональной безопасности;

-    процедуры, необходимые для достижения и поддержания функциональной безопасности (в том числе модификаций СБЭСУ).

f)    описание стратегии управления конфигурацией (см. 9.3), учитывающей соответствующие организационные проблемы, такие как наличие уполномоченных лиц и внутренней структуры организации;

д) созданный план верификации, включающий:

-    подробную информацию о том, когда проводится верификация;

11

-    подробную информацию о лицах, отделах или подразделениях, которые осуществляют верификацию;

-    информацию о выборе стратегий и методов верификации;

-    информацию о выборе и использовании контрольно-измерительного оборудования;

-    информацию о выборе действий по верификации;

-    критерии приемки;

-    информацию о средствах, которые будут использоваться для оценки результатов верификации.

h) созданный план подтверждения соответствия, включающий:

-    подробную информацию о том, когда проводится подтверждение соответствия;

-    информацию об определении соответствующих режимов работы машины (например, нормальная работа, установка);

-    требования, в соответствии с которыми должно проводиться подтверждение соответствия СБЭСУ;

-    описание технической стратегии для подтверждения соответствия, например, аналитические методы или статистические тесты;

-    критерии приемки;

-    описание предпринимаемых действий в случае невыполнения критериев приемки.

Примечание — Необходимо, чтобы план подтверждения соответствия указывал, должны ли СБЭСУ и ее подсистемы быть предметом для обычного тестирования, типовых испытаний и/или выборочного тестирования.

4.2.2 План обеспечения функциональной безопасности должен быть реализован для оперативного наблюдения и удовлетворительного решения вопросов, связанных с СБЭСУ и вытекающих из:

-    действий, указанных в разделах 5—9 ;

-    действий по верификации;

-    действий по подтверждению соответствия.

5 Требования к спецификации связанных с безопасностью функций управления

5.1    Цель

Данный раздел устанавливает процедуры для определения требований к связанным с безопасностью функциям управления (СБФУ), реализуемых СБЭСУ.

5.2    Спецификация требований к СБФУ

5.2.1    Общие положения

5.2.1.1    Как указано в ИСО 12100-1, ИСО 12100-2 и ИСО 14121, необходимость в функциях безопасности определяется из стратегии по снижению риска.

5.2.1.2    Если функции безопасности выбраны для реализации (полностью или частично) СБЭСУ, то СБФУ должны быть специфицированы (см. 3.2.16).

5.2.1.3    Спецификация каждой СБФУ должна включать спецификацию:

-    функциональных требований (см. 5.2.3);

-    требований к полноте безопасности (см. 5.2.4).

Они должны быть документально оформлены в спецификации требований к системе безопасности (СТСБ).

Примечания

1    Если для выполнения функции безопасности используется неэлектрическое оборудование совместно с электрическими средствами, то целевые значения отказов, применимые к неэлектрическому оборудованию в настоящем стандарте не рассматриваются. Электрические средства —любые устройства или системы, работающие на электрических принципах, в том числе:

-    электромеханические устройства;

-    непрограммируемые электронные устройства;

-    программируемые электронные устройства.

2    Необходимо обеспечить управление версиями СТСБ, которое должно быть одной из процедур управления конфигурацией (см. 9.3).

5.2.1.4    СТСБ должна быть проверена, чтобы обеспечить согласованность и полноту для предназначенного использования.

12

ГОСТ Р МЭК 62061-2013

Примечание — Например, это может быть достигнуто путем осмотра, анализа, применения метода таблицы контрольных проверок. См. также МЭК 61508-7, п. В.2.6.

5.2.2    Необходимая информация

Для формирования спецификации функциональных требований и спецификации требований к функциональной безопасности для каждой СБФУ необходима следующая информация:

-    для каждой конкретной опасности результаты оценки риска для машины, в том числе все функции безопасности, которые определены как необходимые для снижения риска;

-    эксплуатационные характеристики машины, в том числе:

-    режимы работ;

-    время цикла;

-    характеристика времени отклика;

-    условия окружающей среды;

-    взаимодействие персонала с машиной (например при ремонте, установке, уборке);

-    вся информация, относящаяся к СБФУ, которая может повлиять на проектирование СБЭСУ, например:

-    описание поведения машины, которое СБФУ должна обеспечить или предотвратить;

-    все интерфейсы между СБФУ, а также между СБФУ и любыми другими функциями (внутри или вне машины);

-    требуемая функциональная реакция на отказ для СБФУ.

Примечание — Некоторая информация может быть недоступна или полностью не определена перед началом итерационного процесса проектирования СБЭСУ, поэтому в процессе проектирования необходимо обновлять спецификации требований к безопасности СБЭСУ.

5.2.3    Спецификация функциональных требований к СБФУ

5.2.3.1    Спецификация функциональных требований к СБФУ должна содержать подробное описание каждой реализуемой СБФУ, включая в соответствующих случаях:

-    условие(я) (например, режим работы) машины, при котором(ых) СБФУ должна быть активна или заблокирована;

-    приоритет тех функций, которые могут быть одновременно активны и вызвать конфликтную ситуацию;

-    частоту работы каждой СБФУ;

-    требуемое время реакции каждой СБФУ;

-    интерфейс(ы) СБФУ с другими функциями машины;

-    требуемое время отклика (например, устройства ввода и вывода);

-    описание каждой СБФУ;

-    описание функции(й) реакции на отказ и любых ограничений, например, на повторный запуск или продолжение работы машины в тех случаях, когда первоначальная реакция на отказ — остановка машины;

-    описание окружающих условий (например температуры, влажности, пыли, химических веществ, механических вибраций и ударов);

-    испытания и любые необходимые для этого средства (например испытательное оборудование, порты доступа тестов);

-    частоту циклов выполнения операций, рабочий цикл и/или категории применения для электромеханических устройств, предназначенных для использования в СБФУ

5.2.3.2    Кроме требований МЭК 61000-6-2 к СБЭСУ, предназначенных для использования в промышленных условиях, должны выполняться требования к уровням электромагнитной (ЭМ) устойчивости, приведенные в приложении Е. СБЭСУ для использования в другой ЭМ среде (например, жилые помещения), должны иметь уровни устойчивости в соответствии с указанными в различных стандартах по электромагнитной совместимости (например, для жилых помещений по МЭК 61000-6-1).

Примечания

1    При определении уровней электромагнитной устойчивости необходимо рассмотреть вопрос о целесообразности применения используемых в различных стандартах уровней электромагнитной совместимости для случаев, которые могут возникнуть в применении СБЭСУ, даже с низкой вероятностью их возникновения.

2    Критерий электромагнитной устойчивости для функциональной безопасности СБЭСУ приведен в 6.4.3.

13

5.2.4 Спецификация требований к полноте безопасности для СБФУ

5.2.4.1    Требования к полноте безопасности для каждой СБФУ должны определяться исходя из оценки возможного риска, чтобы обеспечить его необходимое снижение. В настоящем стандарте требование к полноте безопасности выражается в виде целевой величины отказов для вероятности опасных отказов в час для каждой СБФУ.

5.2.4.2    Требования к полноте безопасности для каждой СБФУ должны задаваться в терминах УПБ в соответствии с таблицей 3 и документально оформляться. Пример метода определения УПБ приведен в приложении А.

Таблица 3 — Уровни полноты безопасности. Целевые величины отказов

Уровень полноты безопасности (УБП) Вероятность опасных отказов в час (PFHD) 3 > 10~8 —< 1(Г7 2 > 10"7 — < 1СГ6 1 > 1(Г6 — < 10“5

Примечание — Если требуемая полнота безопасности СБФУ меньше, чем УПБ 1, то, как минимум, требования категории В ИСО 13849-1 должны быть удовлетворены.

5.2.4.3 Если в стандарте на изделие определен УПБ для СБФУ, то он должен иметь приоритет над приложением А.

6 Проектирование и интеграция СБЭСУ

6.1    Цель

Данный раздел устанавливает требования к выбору или проектированию СБЭСУ, удовлетворяющей функциональные требования и требования к полноте безопасности, указанные в спецификации требований к системе безопасности (см. 5.2).

6.2    Общие требования

6.2.1    СБЭСУ должна быть выбрана или разработана с учетом спецификации требований к системе безопасности (см. 5.2) и, где это необходимо, с учетом спецификации требований к программному обеспечению системы безопасности (см. 6.10) в соответствии с требованиями настоящего стандарта.

6.2.2    Методы выбора или проектирования СБЭСУ (в том числе общей архитектуры аппаратных средств и программного обеспечения, датчиков, приводов, программируемой электроники, встроенного и прикладного программного обеспечения и т. п.) должны соответствовать п. 6.5 или п. 6.6. Какой бы метод не использовался, СБЭСУ должна соответствовать следующим требованиям:

a)    к полноте безопасности аппаратных средств, включая:

-    ограничения архитектуры на полноту безопасности аппаратных средств (см. 6.6.3.3);

-    требования к вероятности опасных случайных отказов аппаратных средств (см. 6.6.3.2).

b)    к систематической полноте безопасности, включая:

-    требования к возможности избежать отказы;

-    требования к управлению систематическими ошибками;

c)    к поведению СБЭСУ при выявлении ошибки (см. 6.3);

d)    к проектированию и разработке связанного с безопасностью программного обеспечения (см. 6.10 и 6.11).

6.2.3    Проект СБЭСУ должен учитывать возможности и ограничения человека (в том числе разумно предсказуемое неправильное использование) и быть пригодным для действий, выполняемых операторами, обслуживающим персоналом и другими, кто может взаимодействовать с СБЭСУ. Необходимо, чтобы проектирование всех интерфейсов оператором следовало «хорошим практикам» учета человеческого фактора (см. МЭК 61310), а также учитывало вероятный уровень подготовки или осведомленности операторов, в частности при массовом производстве подсистем, где оператором может быть любой человек.

Примечание — Цель проекта должна состоять в том, чтобы разумно предсказуемые ошибки, сделанные операторами или обслуживающим персоналом, были предотвращены или устранены при проектировании. Если это невозможно, то, чтобы минимизировать возможность ошибок оператора и удостовериться в том, что пред-

14

ГОСТ Р МЭК 62061-2013

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................2

3    Термины и определения...............................................................3

3.1    Алфавитный список терминов.......................................................3

3.2    Термины и определения............................................................4

3.3    Сокращения.....................................................................10

4    Управление функциональной безопасностью.............................................11

4.1    Цель...........................................................................11

4.2    Требования.....................................................................11

5    Требования к спецификации связанных с безопасностью функций управления.................12

5.1    Цель...........................................................................12

5.2    Спецификация требований к СБФУ.................................................12

6    Проектирование и интеграция СБЭСУ...................................................14

6.1    Цель...........................................................................14

6.2    Общие требования...............................................................14

6.3    Требования к поведению СБЭСУ при обнаружении в ней сбоя...........................15

6.4    Требования к систематической полноте безопасности СБЭСУ...........................15

6.5    Выбор связанной с безопасностью электрической    системы управления...................17

6.6    Проектирование и разработка СБЭСУ...............................................17

6.7    Реализация подсистем............................................................21

6.8    Реализация функций диагностики...................................................34

6.9    Реализация технических средств СБЭСУ.............................................35

6.10    Спецификация требований к безопасности программного обеспечения...................35

6.11    Проектирование и разработка программного обеспечения.............................36

6.12    Интеграция и тестирование СБЭСУ................................................42

6.13    Установка СБЭСУ...............................................................43

7    Информация по применению СБЭСУ...................................................43

7.1    Цель...........................................................................43

7.2    Документация по установке, эксплуатации и техническому обслуживанию.................44

8    Подтверждение соответствия СБЭСУ...................................................44

8.1    Цель...........................................................................44

8.2    Общие требования...............................................................45

8.3    Подтверждение соответствия СБЭСУ систематической полноте безопасности..............45

9    Модификация.......................................................................46

9.1    Цель...........................................................................46

9.2    Порядок внесения изменений......................................................46

9.3    Процедуры управления конфигурацией..............................................47

10    Документация......................................................................48

Приложение А (справочное) Определение УПБ.............................................50

Приложение В (справочное) Пример проекта СБЭСУ с использованием понятий и требований

разделов 5 и 6...........................................................56

Приложение С (справочное) Руководство по проектированию и разработке встроенного

программного обеспечения.................................................61

Приложение D (справочное) Виды отказов электрических/электронных компонентов.............67

Приложение Е (справочное) Электромагнитные (ЭМ) явления и повышенные уровни

устойчивости СБЭСУ, предназначенной для использования в промышленных условиях,

в соответствии с МЭК 61000-6-2 .............................................72

Приложение F (справочное) Методология оценки чувствительности к отказам по общей причине

(ООП)..................................................................74

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

ссылочным национальным стандартам Российской Федерации.................76

ГОСТ Р МЭК 62061-2013

сказуемые ошибки не приводят к увеличению риска, должны быть также применены другие средства (например, реализация действия вручную с дополнительным подтверждением перед его выполнением).

6.2.4 В целях содействия реализации этих свойств в ходе разработки и интеграции СБЭСУ должны быть рассмотрены ремонтопригодность и тестируемость СБЭСУ.

6.2.5. Необходимо, чтобы проект СБЭСУ, его диагностические функции и функции реакции на отказ были документально оформлены. Эта документация должна:

-    быть точной, полной и краткой;

-    соответствовать предназначенной цели;

-    быть доступной и поддерживаемой;

-    обеспечиваться управлением версиями.

6.2.6 Данные, полученные в результате проектирования, разработки и реализации СБЭСУ, должны быть верифицированы на соответствующих этапах.

6.3 Требования к поведению СБЭСУ при обнаружении в ней сбоя

6.3.1    Обнаружение опасного сбоя в любой из подсистем, которая имеет значение устойчивости к сбоям аппаратных средств больше, чем ноль, влечет за собой выполнение специфицированной функции реакции на отказ.

Такая спецификация может содержать действия по изоляции неисправных частей подсистемы для продолжения безопасной эксплуатации машины в то время, как происходит ремонт неисправных частей. Если неисправная деталь не будет восстановлена в течение максимального времени оцененного, как принято из расчета вероятности случайного сбоя в технических средствах (см. 6.7.8), то для поддержки безопасного состояния должна быть выполнена реакция на второй сбой.

Если для СБЭСУ предусмотрен ремонт в неавтономном режиме, то изоляцию неисправного элемента применяют только тогда, когда это не приводит к увеличению вероятности опасных случайных сбоев аппаратных средств СБЭСУ, указанной выше в спецификации требований к системе безопасности.

После появления неисправностей, снижающих устойчивость к сбоям аппаратных средств до нуля, применяются требования п. 6.3.2.

Примечание — При определении среднего времени восстановления (см. МЭС 191-13-08), которое рассматривается в модели надежности, необходимо учитывать интервал диагностических проверок, время ремонта и любые другие задержки при восстановлении.

6.3.2    Если для достижения требуемой вероятности случайных опасных отказов аппаратных средств необходима(ы) функция(и) диагностики и подсистема имеет устойчивость к сбоям аппаратных средств, равную нулю, то обнаружение сбоя и заданная на него реакция должны быть выполнены до того, как может произойти опасная ситуация, предусмотренная СБФУ.

Исключение к п. 6.3.2. Если подсистема реализует конкретную СБФУ, у которой устойчивость к сбоям аппаратных средств равна нулю, а отношение частоты диагностического тестирования к частоте запросов превышает 100, то интервал диагностического тестирования этой подсистемы должен быть таким, чтобы она удовлетворяла требование к вероятности опасного случайного сбоя технических средств.

6.3.3    Если выполнение функции реакции на сбой как части СБФУ, для которой определен УПБ 3, привело к остановке машины, то последующая нормальная работа машины с СБЭСУ (например ее повторный запуск) не должна выполняться до тех пор, пока сбой не будет восстановлен или исправлен. Для СБФУ с заданной полнотой безопасности менее УПБ 3, поведение машины после выполнения функции реакции на сбой (например, перезапуск нормальной работы) должно зависеть от спецификации соответствующих функций реакции на сбой (см. 5.2.3).

6.4 Требования к систематической полноте безопасности СБЭСУ

Примечание — Данные требования применимы на «системном уровне», где подсистемы объединены для реализации СБЭСУ. Требования, относящиеся к реализации подсистемы, см. в п. 6.7.8.

6.4.1    Требования для предотвращения систематических отказов аппаратных средств

6.4.1.1    Должны быть применены следующие меры:

a)    необходимо, чтобы СБЭСУ была спроектирована и реализована в соответствии с планом функциональной безопасности (см. 4.2);

b)    правильные выбор, состав, схемы, сборка и установка подсистем, в том числе кабелей, проводов и любых соединений;

15

Введение

В результате автоматизации, а также необходимости роста производства и сокращения физического труда, связанные с безопасностью электрические системы управления (СБЭСУ) машин играют все большую роль в достижении безопасности всего оборудования. Кроме того, СБЭСУ в большой степени используют сложную электронную технологию.

Ранее, в отсутствие стандартов, СБЭСУ не применялись для выполнения связанных с безопасностью функций, направленных на снижение рисков, вызванных работой машины, из-за отсутствия данных об эффективности такой технологии.

Настоящий стандарт предназначен для использования разработчиками оборудования машин, производителями и интеграторами систем управления и другими специалистами, выполняющими спецификацию, проектирование и подтверждение соответствия СБЭСУ. Стандарт устанавливает подход и требования для достижения необходимой эффективности используемой технологии.

Настоящий стандарт соответствует требованиям МЭК 61508 для области оборудования (машин). Он предназначен для того, чтобы способствовать спецификации характеристик СБЭСУ для основных опасностей (см. ИСО 12100-1, п. 3.8), вызванных работой машин.

Настоящий стандарт в области оборудования (машин) реализует конкретный подход, связанный с обеспечением функциональной безопасности СБЭСУ машин. Стандарт охватывает только те аспекты жизненного цикла системы безопасности, которые связаны с распределением к ней требований, необходимых для подтверждения ее соответствия. Эти требования обеспечивают получение информации о безопасном использовании СБЭСУ машин, которая также может применяться на более поздних стадиях жизненного цикла СБЭСУ.

СБЭСУ часто используются в оборудовании (машинах) в качестве одной из мер по обеспечению безопасности для снижения риска выполнения опасного события. Типичный случай — блокирование доступа, которое предоставляет доступ к опасной зоне и сигнализирует электрической системе управления о необходимости остановить работу машины. Также при автоматизации электрическая система управления, используемая для обеспечения корректного выполнения процессов машины, часто способствует безопасности, смягчая риски, связанные с опасностями, возникающими непосредственно из-за отказов системы управления. В настоящем стандарте представлены методология и требования к:

-    определению требуемого уровня полноты безопасности для каждой связанной с безопасностью функции управления, реализуемой СБЭСУ;

-    выполнению проекта СБЭСУ для соответствующей(их) определенной(ых) связанной(ых) с безопасностью функции(й) управления;

-    интеграции связанных с безопасностью подсистем, разработанных в соответствии с ИСО 13849;

-    подтверждению соответствия СБЭСУ.

Настоящий стандарт должен использоваться в рамках подхода к систематическому снижению риска, описанного в ИСО 12100-1, и в сочетании с оценкой степени риска согласно принципам, описанным в ИСО 14121 (ЕН 1050). Предлагаемая методология для определения уровня полноты безопасности (УПБ) дана в приложении А.

Представлены меры, координирующие реализацию СБЭСУ с целевым снижением риска, учитывающие вероятности и последствия случайных или систематических ошибок в электрической системе управления.

На рисунке 1 показана связь настоящего стандарта с другими соответствующими стандартами.

В таблице 1 даны рекомендации по применению настоящего стандарта и ИСО 13849-1.

IV

Настоящий стандарт и ИСО 13849-1 определяют требования к проектированию и реализации связанных с безопасностью систем управления оборудованием машин. Использование любого из этих стандартов в соответствии с их областями применения предполагает выполнение соответствующих важных требований к обеспечению безопасности. В таблице 1 совместно рассмотрены области применения настоящего стандарта и ИСО 13849-1.

Таблица 1 — Рекомендуемое применение настоящего стандарта и ИСО 13849-1

Технология реализации связанной(ых) с безопасностью функции(й) управления ИСО 13849-1 МЭК 62061 А Неэлектрическая, например гидравлика X Не охватывает В Электромеханическая, например реле или несложные электронные устройства Ограничено установленными архитектурами (см. примечание 1) и до УБ = е Все архитектуры и до УПБ 3 С Сложные электронные устройства, например программируемые Ограничено установленными архитектурами (см. примечание 1) и до УБ = d Все архитектуры и до УПБ 3 D А в сочетании с В Ограничено установленными архитектурами (см. примечание 1) и до УБ = е X, см. примечание 3 Е С в сочетании с В Ограничено установленными архитектурами (см. примечание 1) и до УБ = d Все архитектуры и до УПБ 3 F С в сочетании с А или С в сочетании с А и В X, см. примечание 2 X, см. примечание 3 «X» — означает, что данную технологию регламентирует стандарт, указанный в заголовке колонки таблицы Примечания 1    Установленные архитектуры определены в ЕН ИСО 13849-1, приложение В, где дан упрощенный подход для квантификации уровня безопасности (УБ). УБ — уровень требуемого минимального снижения риска. 2    Для сложных электронных устройств используют установленные архитектуры до УБ = d согласно ЕН ИСО 13849-1 или любые архитектуры согласно настоящему стандарту. 3    Элементы, основанные на неэлектрической технологии, согласно ЕН ИСО 13849-1 используют в качестве подсистем.

VI

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ОБОРУДОВАНИЯ. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ УПРАВЛЕНИЯ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ И ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Safety of machinery — Functional safety of safety-related electrical, electronic and programmable electronic control systems

Дата введения — 2014—08—01

1 Область применения

Настоящий стандарт определяет требования и рекомендации для проектирования, интеграции и подтверждения соответствия связанных с безопасностью электрических, электронных и программируемых электронных систем управления (СБЭСУ) для оборудования (машин) (см. примечания 1 и 2). Настоящий стандарт распространяется на системы управления отдельно или в комбинации, выполняющие связанные с безопасностью функции управления, используемые в стационарно установленных промышленных машинах и механизмах, включая группу машин, работающих вместе в согласованном режиме.

Примечания

1    В настоящем стандарте термин «электрические системы управления» используется вместо «электрические, электронные и программируемые электронные (Э/Э/ПЭ) системы управления», а СБЭСУ — вместо «связанные с безопасностью электрические, электронные и программируемые электронные системы управления».

2    В настоящем стандарте предполагается, что проектирование сложных программируемых электронных подсистем или их элементов удовлетворяет соответствующим требованиям МЭК 61508. Стандарт представляет методологию для применения, а не разработки, подсистем и их элементов, являющихся частью СБЭСУ.

Настоящий стандарт не предназначен ограничивать или запрещать совершенствование технологии. Он не охватывает все требования (например, защиту, неэлектрическую взаимную блокировку или неэлектрическое управление), которые необходимы и устанавливаются другими стандартами или регламентирующими документами, обеспечивающими безопасность людей. Чтобы обеспечить соответствующую безопасность, для каждого типа машины существуют уникальные требования, которые должны быть выполнены.

Настоящий стандарт:

-    устанавливает требования только к функциональной безопасности, предназначенные для уменьшения риска травмирования или причинения вреда здоровью людей, находящихся в непосредственной близости от машины и использующих ее;

-    рассматривает только риски, возникающие непосредственно из опасностей, связанных с самой машиной или с группой машин, работающих вместе в согласованном режиме;

Примечание — Требования, обеспечивающие смягчение рисков, возникающих в результате других опасностей, приведены в стандартах соответствующих областей. Например, если машина(ы) реализует(ют) промышленный процесс, то, кроме требований к функциональной безопасности, электрическая система управления машины должна удовлетворять и другим требованиям (например, представленным в МЭК 61511), поскольку связана с безопасностью процесса.

-    не определяет требования к характеристикам неэлектрических (например, гидравлических, пневматических) элементов системы управления машин;

Издание официальное

Примечание — Несмотря на то, что требования настоящего стандарта определены для электрических систем управления, данный подход и методология могут быть применимы к связанным с безопасностью частям систем управления, использующих другие технологии.

- не охватывает угрозы, связанные с электричеством, возникающие в самом электрическом оборудовании управления (например, поражение электрическим током — см. МЭК 60204-1).

Цели разделов настоящего стандарта представлены в таблице 2.

Таблица 2 — Цели разделов настоящего стандарта

Раздел Цель 4 Управление функциональной безопасностью Определить управляющие и технические действия, которые необходимы для достижения требуемой функциональной безопасности СБЭСУ 5 Требования к спецификации связанных с безопасностью функций управления Установить процедуры для определения требований к связанным с безопасностью функциям управления. Эти требования задаются в виде спецификации функциональных требований и спецификации требований к полноте безопасности 6 Проектирование и интеграция СБЭСУ Определить критерии выбора и/или методы разработки и реализации СБЭСУ, чтобы выполнить следующие требования функциональной безопасности к: -    выбору архитектуры системы; -    выбору связанных с безопасностью аппаратных средств и программного обеспечения; -    методам проектирования аппаратных средств и программного обеспечения; -    методам проверки, подтверждающим, что разработанные аппаратные средства и программное обеспечение удовлетворяют требования функциональной безопасности 7 Информация для использования машины Определить требования к информации по использованию СБЭСУ, которая должна быть поставлена с машиной. Она включает в себя: -    руководство и описание процедур пользователя; -    руководство и описание процедур технического обслуживания 8 Подтверждение соответствия СБЭСУ Определить требования к процессу подтверждения соответствия СБЭСУ. Этот процесс включает контроль и тестирование СБЭСУ, гарантирующие, что СБЭСУ удовлетворяет требованиям, установленным в спецификации требований к безопасности системы 9 Модификация СБЭСУ Определить требования для процедуры модификации, которая должна применяться при модификации СБЭСУ. Согласно этим требованиям: -    модификации к любому СБЭСУ должны быть должным образом запланированы и проверены до внесения изменения; -    после любой выполненной модификации СБЭСУ должна удовлетворять спецификации требований к безопасности системы

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

МЭК 60204-1 Безопасность машин. Электрооборудование машин и механизмов. Часть 1. Общие требования (IEC 60204-1, Safety of machinery — Electrical equipment of machines — Part 1: General

requirements)

МЭК 61000-6-2 Электромагнитная совместимость (ЭМС). Часть 6—2. Общие стандарты. Устойчивость в промышленных условиях (IEC 61000-6-2, Electromagnetic compatibility (EMC) — Part 6—2: Generic standards — Immunity for industrial environments)

МЭК 61000-4 Электромагнитная совместимость (ЭМС). Части 4. Методы испытаний и измерений (IEC 61000-4, Electromagnetic compatibility (EMC) — Parts 4: Testing and measurement techniques)

МЭК 61310 (все части) Безопасность машин. Индикация, маркирование и запуск.(IEC 61310 (all parts), Safety of machinery — Indication, marking and actuation)

ИСО/МЭК Руководство 51:1990 Аспекты безопасности. Руководящие указания по включению в стандарты (ISO/IEC Guide 51:1999, Safety aspects — Guidelines for their inclusion in standards)

МЭК 61508 (все части) Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью (IEC 61508 (all parts), «Functional safety of elec-trical/electronic/programmable electronic safety-related systems»)

ГОСТ Р МЭК 62061-2013

МЭК61511 (все части) Безопасность функциональная. Приборные системы безопасности, для технологических процессов в промышленности. (IEC 61511-1 (IEC 61511 (all parts), Functional safety — Safety instrumented systems for process industry sector)

ИСО 12100-1:2003 Безопасность оборудования. Основные понятия, общие принципы конструирования. Часть 1. Основные термины, методика (ISO 12100-1:2003, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic terminology, methodology)

ИСО 12100-2:2003 Безопасность оборудования. Основные понятия, общие принципы конструирования. Часть 2. Технические принципы (ISO 12100-2:2003, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical principles)

ИСО 13849-1И999¹) Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования (IS013849-1:1999, Safety of machinery — Safety related parts of control systems — Part 1: General principles for design)

ИСО 13849-2:2003²) Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 2. Подтверждение соответствия (ISO 13849-2:2003, Safety of machinery — Safety-related parts of control systems — Part 2: Validation)

ИС014121 Безопасность оборудования. Принципы оценки риска (IS014121, Safety of machinery — Principles of risk assessment)

3 Термины и определения

3.1 Алфавитный список терминов

Термин Пункт раздела 3 архитектура 3.2.35 архитектурное ограничение 3.2.36 безопасный отказ 3.2.41 верификация 3.2.51 вероятность опасного отказа в час; PFHD 3.2.28 встроенное программное обеспечение 3.2.47 доля безопасных отказов; ДБО 3.2.42 запрос 3.2.25 компонент низкой сложности 3.2.7 контрольная проверка 3.2.37 мера защиты 3.2.12 механизмы 3.2.1 опасность 3.2.10 опасная ситуация 3.2.11 опасный отказ 3.2.40 отказ 3.2.39 отказ по общей причине 3.2.43 охват диагностикой 3.2.38 подсистема 3.2.5

^ Отменен. Действует ИСО 13849-1:2003 Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования. 2) Отменен. Действует ИСО 13849-2:2012 Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 2. Подтверждение соответствия.

Окончание таблицы

Термин Пункт раздела 3 подтверждение соответствия 3.2.52 полнота безопасности 3.2.19 полнота безопасности аппаратных средств 3.2.20 полнота безопасности, касающаяся систематических отказов 3.2.22 полнота безопасности программного обеспечения 3.2.21 предельное требование кУПБ (для подсистемы); ПТУПБ 3.2.24 прикладное программное обеспечение 3.2.46 программное обеспечение, связанное с безопасностью 3.2.50 режим с высокой частотой запросов или непрерывный режим 3.2.27 режим с низкой частотой запросов 3.2.26 риск 3.2.13 сбой 3.2.30 связанная с безопасностью функция управления, СБФУ 3.2.16 связанные с безопасностью электрические системы управления; СБЭСУ 3.2.4 система управления машиной 3.2.2 систематический отказ 3.2.45 сложный компонент 3.2.8 случайный отказ аппаратных средств 3.2.44 среднее время до отказа; (MTTF) 3.2.34 уровень полноты безопасности; УПБ 3.2.23 устойчивость к отказам 3.2.31 функциональная безопасность 3.2.9 функциональный блок 3.2.32 функция безопасности 3.2.15 функция диагностики 3.2.17 функция реакции на отказ СБЭСУ 3.2.18 функция управления 3.2.14 целевая величина отказов 3.2.29 электрическая система управления 3.2.3 элемент подсистемы 3.2.6 элемент функционального блока 3.2.33 язык программирования с ограниченной изменчивостью; ЯОИ 3.2.49 язык программирования с полной изменчивостью; ЯПИ 3.2.48

3.2 Термины и определения

В настоящем стандарте используются следующие термины и определения:

3.2.1 механизмы (machinery): Совокупность связанных между собой деталей и устройств, как минимум одно из которых движется, имеет соответствующий привод, органы управления и сети электро-4