Товары в корзине: 0 шт Оформить заказ
Стр. 1
 

64 страницы

548.00 ₽

Купить ГОСТ Р МЭК 61508-2-2007 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль".

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Содержит определения и объяснения терминов, которые используются в МЭК 61508-1 - МЭК 61508-7. Как основополагающие стандарты по безопасности они предназначены для использования техническими комитетами при подготовке стандартов. В круг обязанностей технического комитета входит использование основополагающих стандартов по безопасности при подготовке собственных стандартов. В этом случае требования, методы проверки или условия проверки настоящего основополагающего стандарта по безопасности не будут применяться , если это не указано специально, или они будут включаться в стандарты, подготовленные этими техническими комитетами.

  Скачать PDF

Заменен на ГОСТ Р МЭК 61508-2-2012

Идентичен IEC 61508-2(2000)

Действие завершено 01.08.2013

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Соответствие настоящему стандарту

5 Документация

6 Управление функциональной безопасностью

7 Требования к жизненному циклу безопасности E/E/PES

8 Оценка функциональной безопасности

Приложение А (обязательное) Методы и средства для Е/Е/РЕ систем, связанных с безопасностью: управление отказами в процессе эксплуатации

Приложение В (обязательное) Методы и средства для Е/Е/РЕ систем, связанных с безопасностью: предотвращение систематических отказов в течение различных стадий жизненного цикла

Приложение С (обязательное) Диагностический охват и доля безопасных отказов

Приложение D (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

Показать даты введения Admin

Нормативные ссылки

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ГОСТ Р мэк

61508-2—

2007

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Часть 2

Требования к системам

IEC 61508-2:2000

Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 2: Requirements for electrical/electronic/programmable electronic

safety-related systems (IDT)

Издание официальное

Москва

Стандартинформ

2008

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН обществом с ограниченной ответственностью «Корпоративные электронные системы» и Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков» на основе собственного аутентичного перевода стандарта, указанного в пункте 4

2    ВНЕСЕН Управлением развития, информационного обеспечения и аккредитации Федерального агентства по техническому регулированию и метрологии

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 27 декабря 2007 г. № 581-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61508-2:2000 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам» (IEC 61508-2:2000 «Functional safety of electrical / electronic/programmable electronic safety-related systems — Part 2: Requirements for electrical/electronic/ programmable electronic safety-related systems»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении D

5    ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2008

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Окончание таблицы 1

Стадия жизненного цикла безопасности (номер стадии соответствует номеру блока на рисунке 2)

Цель

Область

применения

Пункт

требова

ний

Вход

Выход

Оценка функциональной безопасности E/E/PES

Исследование и получение заключения по функциональной безопасности, достигнутой с помощью Е/Е/РЕ систем, связанных с безопасностью

Е/Е/РЕ системы, связанные с безопасностью

8

План оценки функциональной безопасности E/E/PES

Результаты оценки функциональной безопасности E/E/PES

7.1.2 Цели

7.1.2.1    Первая цель настоящего подраздела состоит в структурировании на систематической основе стадий полного жизненного цикла безопасности E/E/PES, которые должны быть рассмотрены для достижения требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью.

7.1.2.2    Вторая цель настоящего подраздела заключается в документировании всей информации, относящейся к функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью, на протяжении всего жизненного цикла E/E/PES.

7.1.3 Требования

7.1.3.1 Жизненный цикл безопасности E/E/PES, используемый в качестве требования соответствия настоящему стандарту, представлен на рисунке 2. В случае использования другого жизненного цикла E/E/PES он должен быть определен на этапе планирования функциональной безопасности E/E/PES (см. МЭК 61508-1, раздел 6), а также должны быть достигнуты все цели и требования каждого подраздела настоящего стандарта.

Примечание — Взаимосвязь и области применения настоящего стандарта и МЭК 61508-3 показаны на рисунке 3.

Примечание — См. также МЭК 61508-6, раздел А.2, перечисление Ь).

Рисунок2 — Жизненный цикл безопасности E/E/PES (стадия реализации)

6

ГОСТ Р МЭК 61508-2-2007

Рисунок 3 — Взаимосвязь и области применения МЭК 61508-2 и МЭК 61508-3


Область применения МЭК 61508-2


Область применения МЭК 61508-3


7.1.3.2    Процедуры управления функциональной безопасностью (см. МЭК 61508-1, раздел 6) должны осуществляться параллельно стадиям жизненного цикла безопасности E/E/PES.

7.1.3.3    Каждую стадию жизненного цикла безопасности E/E/PES подразделяют на элементарные действия с определением для каждой стадии области применения, входов и выходов (см. таблицу 1).

7.1.3.4    Выходы каждой стадии жизненного цикла E/E/PES должны быть документированы (если иное не будет обосновано на стадии планирования функциональной безопасности, см. МЭК 61508-1, раздел 5).

7.1.3.5    Выходы каждой стадии жизненного цикла E/E/PES должны отвечать определенным для этой стадии целям и требованиям (см. 7.2 — 7.9).

7.2 Спецификация требований безопасности E/E/PES

Примечание — Эта стадия представлена на рисунке 2 (блок 9.1).

7.2.1    Цель

Цель настоящего пункта состоит в задании требований к каждой Е/Е/РЕ системе, связанной с безопасностью, в терминах требований к функциям безопасности и к полноте безопасности для достижения требуемой функциональной безопасности.

Примечание — Например, для функций безопасности может потребоваться приведение управляемого оборудования в безопасное состояние или в состояние технического обслуживания.

7.2.2    Общие требования

7.2.2.1    Спецификация требований безопасности E/E/PES должна формироваться исходя из распределения требований безопасности, как определено в МЭК 61508-1 (подраздел 7.6), а также учитывать требования, определенные в ходе планирования функциональной безопасности (см. МЭК 61508-1, раздел 6). Эта информации должна быть доступна разработчику E/E/PES.

Примечание — Не рекомендуется, чтобы одна и та же Е/Е/РЕ система, связанная с безопасностью, выполняла функции безопасности и функций, не относящихся к безопасности. Хотя это допускается настоящим стандартом, такое объединение приводит к большим сложностям при выполнении работ в процессе жизненного цикла Е/Е/РЕ системы (например при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).

7.2.2.2    Требования кфункциональной безопасности E/E/PES должны быть выражены и структурированы, чтобы они были:

7

a)    ясными, точными, недвусмысленными, поддающимися проверке, пригодными для тестирования, поддерживаемыми и реализуемыми;

b)    оформлены в письменном виде для того, чтобы их лучше понимали те, кто использует эти требования на любой из стадий жизненного цикла безопасности E/E/PES.

7.2.2.3    Спецификация требований безопасности E/E/PES должна содержать требования к функциям безопасности E/E/PES (см. 7.2.3.1) и требования к полноте безопасности E/E/PES (см. 7.2.3.2).

7.2.3    Требования к безопасности E/E/PES

7.2.3.1    Спецификация требований к функциям безопасности должна содержать:

a)    описание всех функций безопасности, необходимых для достижения функциональной безопасности, которое для каждой функции безопасности должно:

-    обеспечивать всесторонние подробные требования, достаточные для проектирования и разработки Е/Е/РЕ систем, связанных с безопасностью,

-    включать в себя методы, с помощью которых Е/Е/РЕ системы, связанные с безопасностью, достигают или поддерживают безопасное состояние управляемого оборудования,

-    определять, требуется ли непрерывное управление, и что приводит к достижению или поддержанию безопасного состояния управляемого оборудования,

-    определять, к какому режиму применима функция безопасности Е/Е/РЕ системы, связанной с безопасностью, — к режиму с низкой частотой обращения или к режиму с высокой частотой обращения, или к режиму с непрерывным обращением;

b)    характеристики производительности и времени реакции системы;

c)    сведения об интерфейсах Е/Е/РЕ системы, связанной с безопасностью, с обслуживающим персоналом, необходимые для достижения требуемой функциональной безопасности;

d)    информацию, относящуюся к функциональной безопасности, которая может повлиять на проектирование Е/Е/РЕ системы, связанной с безопасностью;

e)    сведения об интерфейсах Е/Е/РЕ систем, связанных с безопасностью с любыми другими системами (внутренними, внешними, управляемым оборудованием);

f)    описание всех используемых режимов работы управляемого оборудования, в том числе:

-    подготовки к эксплуатации, включая монтажи наладку;

-    запуска в эксплуатацию, обучения, автоматический, ручной, полуавтоматический, стационарный рабочий режимы работы;

-    стационарного нерабочего режима работы, переустановки, останова, техническогообслуживания;

-    режима работы при разумно предсказуемых ненормальных условиях.

Примечания

1    Разумно предсказуемые ненормальные условия работы управляемого оборудования являются разумно предсказуемыми для разработчиков или пользователей.

2    Для конкретных режимов работы управляемого оборудования могут потребоваться дополнительные функции безопасности (например монтаж, настройка или техническое обслуживание), чтобы безопасно выполнить эти работы;

д) подробное описание всех требуемых режимов поведения Е/Е/РЕ систем, связанных с безопасностью, в частности, их поведение при отказе и необходимая реакция на него (например аварийные сигналы, автоматический останов и т.д.);

h)    значимость всех взаимодействий аппаратныхсредств/программногообеспечения (при необходимости); любые необходимые ограничения между аппаратными средствами и программным обеспечением должны быть идентифицированы и документированы.

Примечание — Если эти взаимодействия не известны до завершения разработки, устанавливают только общие ограничения:

i)    предельные и ограничивающие условия для Е/Е/РЕ систем, связанных с безопасностью, и связанных с ними подсистем, например временные ограничения;

j)    любые специфические требования, относящиеся к процедурам запуска и повторного запуска Е/Е/РЕ систем, связанных с безопасностью.

7.2.3.2    Спецификация требований к полноте безопасности должна включать в себя:

а) уровень полноты безопасности для каждой функции безопасности и, при необходимости (см. примечание 2), требуемую целевую меру отказов функции безопасности.

Примечания

1 Уровень полноты безопасности функции безопасности задает целевую меру отказов в соответствии с МЭК61508-1 (см. таблицы 2 и 3).

8

ГОСТ Р МЭК 61508-2-2007

2 Целевую меру отказов функции безопасности определяют, если требуемое снижение риска для функции безопасности получено с использованием количественного метода (см. МЭК 61508-1, подпункт 7.5.2.2);

b)    режим работы (с низкой частотой запросов или с высокой частотой запросов/с непрерывными запросами) каждой функции безопасности;

c)    требования, ограничения, функции и доступность проведения контрольных испытаний Е/Е/РЕ систем, связанных с безопасностью;

d)    экстремальные значения всех условий окружающей среды в течение жизненного цикла безопасности E/E/PES, включая производство, хранение, транспортировку, испытание, установку, ввод вэкс-плуатацию, эксплуатацию и техническое обслуживание;

e)    пределы электромагнитной устойчивости (см. МЭК 61000-1-1), необходимые для достижения электромагнитной совместимости; пределы электромагнитной устойчивости формируются с учетом как электромагнитной окружающей обстановки (см. МЭК 61000-2-5), так и уровней требуемой полноты безопасности.

Примечания

1    Важно отметить, что уровень полноты безопасности учитывается при определении пределов электромагнитной устойчивости, тем более, что электромагнитные возмущения в окружающей среде распределяются случайно. На практике невозможно определить абсолютный уровень электромагнитного возмущения, а определяют только уровень, который предположительно не будет превышен (уровень электромагнитной совместимости). К сожалению, на практике вероятность, связанную с этим предположением, очень трудно определить. Поэтому предел электромагнитной устойчивости не гарантирует, что Е/Е/РЕ система, связанная с безопасностью, не откажет из-за электромагнитного возмущения; он гарантирует лишь некоторый уровень доверия того, что такой отказ не произойдет. Фактический уровень доверия — это функция предела электромагнитной устойчивости по отношению к статистическому распределению уровней электромагнитного возмущения в окружающей среде. Для более высоких уровней полноты безопасности может оказаться необходимым более высокий уровень доверия, что означает, что его нижняя граница, из-за которой предел электромагнитной устойчивости выходитза пределы уровня электромагнитной совместимости, должна быть выше для более высоких уровней полноты безопасности.

2    Руководящие указания также могут быть указаны в отдельных стандартах по электромагнитной совместимости на продукцию, но следует помнить, что для специфических условий размещения системы или если оборудование используется в более жестких электромагнитных условиях, могут потребоваться более высокие уровни электромагнитной устойчивости, чем заданы в таких стандартах.

3    При разработке спецификации на требования безопасности E/E/PES должны быть учтены условия использования Е/Е/РЕ систем, связанных с безопасностью. Это особенно важно для технического обслуживания, при котором интервал между контрольными испытаниями должен быть не менее предсказуемого интервала для конкретного применения. Например, интервалы между обслуживаниями, которые могут быть реально достигнуты для продукции массового производства, используемой населением, вероятно, будут больше интервалов для контролируемых применений.

7.2.3.3    Во избежание ошибок во время составления спецификации требований безопасности E/E/PES используют группу методов и средств в соответствии с таблицей В.1 (приложение В).

7.3    Планирование подтверждения соответствия безопасности E/E/PES

Примечание — Данная стадия представлена на рисунке 2 (см. блок 9.2). Она обычно выполняется параллельно с проектированием и разработкой E/E/PES (см. 7.4).

7.3.1    Цель

Целью настоящего пункта является планирование подтверждения соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью.

7.3.2    Требования

7.3.2.1    Планирование для определения шагов (процедурных и технических) должно осуществляться для демонстрации соответствия Е/Е/РЕ систем, связанных с безопасностью, спецификациям требований к безопасности E/E/PES (см. 7.2).

Примечание — Планирование подтверждения соответствия программного обеспечения — в соответствии с МЭК61508-3.

7.3.2.2    При планировании подтверждения соответствия Е/Е/РЕ систем, связанных с безопасностью, должны быть использованы:

a)    требования, определенные в спецификации требований безопасности E/E/PES;

b)    процедуры, применяемые для подтверждения соответствия тому, что каждая функция безопасности правильно выполняется по критериям «прошла/не прошла испытания»;

9

c)    процедуры, применяемые для подтверждения соответствия полноте безопасности каждой функции безопасности по критериям «прошла/не прошла испытания»;

d)    условия окружающей среды, при которых проводят испытания, включая необходимые инструменты и оборудование (в том числе план, в соответствии с которым эти инструменты и оборудование должны быть калиброваны);

e)    процедуры оценочных испытаний (с обоснованиями);

f)    процедуры испытаний и критерии, применяемые для подтверждения соответствия заданных в спецификации пределов электромагнитной устойчивости.

Примечание — Руководство по спецификации испытаний пределов электромагнитной устойчивости в соответствии с МЭК61000-2-5 и МЭК61000-4 [2];

д) стратегии по устранению подтвержденного отказа.

7.4 Проектирование и разработка E/E/PES

Примечание — Данная стадия представлена на рисунке 2 (см. блок 9.3). Она обычно выполняется параллельно с планированием подтверждения соответствия безопасности E/E/PES (см. 7.3).

7.4.1    Цель

Цель требований настоящего подраздела состоит в гарантировании соответствия проектирования и разработки Е/Е/РЕ систем, связанных с безопасностью, заданным требованиям функций безопасности и требованиям полноты безопасности (см. 7.2).

7.4.2    Общие требования

7.4.2.1    Проектирование Е/Е/РЕ систем, связанных с безопасностью, должно быть выполнено в соответствии со спецификацией требований безопасности (см. 7.2) с учетом требований настоящего подраздела.

7.4.2.2    Проектирование Е/Е/РЕ систем (см. рисунок 4), связанных с безопасностью (включая полную архитектуру аппаратных средств и программного обеспечения; сенсоры; исполнительные устройства; программируемую электронику; встроенное программное обеспечение, «зашитое» в ПЗУ; прикладное программное обеспечение и т.п.), должно быть таким, чтобы отвечать перечисленным ниже требованиям к:

a)    полноте безопасности аппаратных средств:

-    требования к архитектурным ограничениям на полноту безопасности аппаратных средств (см. 7.4.3.1) и

-    требования к вероятности опасных случайных отказов аппаратных средств (см. 7.4.3.2);

b)    систематической полноте безопасности:

-    требования по предотвращению отказов (см. 7.4.4) и требования по управлению систематическими отказами (см. 7.4.5) или

-    требования к подтверждению того, что оборудование «проверено в эксплуатации» (см. 7.4.7.6 — 7.4.7.12);

c)    поведению системы при обнаружении ошибок (см. 7.4.6).

Примечания

1    Общий подход к полноте безопасности E/E/PES основан на общем методе выбора проектного подхода, обеспечивающего достижение уровня полноты безопасности (как для полноты безопасности аппаратных средств, так и для систематической полноты безопасности) в Е/Е/РЕ системах, связанных с безопасностью, в ходе которого:

-    определяют требуемый уровень полноты безопасности функций безопасности (см. МЭК 61508-1);

-    устанавливают, что полнота безопасности аппаратных средств равна систематической полноте безопасности и равна уровню полноты безопасности (см. 7.4.3.2.1);

-    для полноты безопасности аппаратных средств определяют архитектуру, соответствующую ограничениям на нее (см. 7.4.3.1), и демонстрируют соответствие вероятности отказа функций безопасности из-за случайных отказов аппаратных средств требуемым целевым значениям (см. 7.4.3.2);

-    для систематической полноты безопасности выделяют особенности проектирования, которые приводят к систематическим сбоям в реальной работе (см. 7.4.5) или подтверждают соответствие требованиям «проверено при эксплуатации» (см. 7.4.7.6 — 7.4.7.12) и

-    для систематической полноты безопасности выделяют методы и средства, исключающие (не допускающие) систематические сбои в процессе проектирования и разработки (см. 7.4.4) или подтверждают соответствие требованиям «проверено при эксплуатации» (см. 7.4.7.6 — 7.4.7.12).

2    МЭК61508-3 содержит:

-    требования кархитекгуре программного обеспечения (см. 7.4.2.2);

-    требования к производству программируемой электроники и спецификации тестирования интеграции программного обеспечения (см. 7.5) и


- требования к интеграции программируемой электроники и программного обеспечения в соответствии со спецификацией тестирования интеграции программного обеспечения (см. 7.5).

Во всех случаях требуется тесная кооперация между производителем Е/Е/РЕ систем, связанных с безопасностью, и производителем программного обеспечения.


Показанные элементы могут быть одноканальными или многоканальными, например 1оо2, 1ооЗ, 2оо2


Сенсоры


Логические

системы


Оконечные

элементы


NP

: ре


L_______J


РЕ

РЕ

РЕ


NP

РЕ


L_______J


)


Архитектура программируемой электроники

Архитектура аппаратных средств РЕ

Архитектура программного обеспечения РЕ (архитектура ПО включает в себя встроенные в ПЗУ и прикладные программы)

Общие и специфические свойства применения аппаратных средств РЕ, например:

-    диагностические тесты;

-    избыточные процессоры;

-    двойные платы ввода/вывода

Встроенное в ПЗУ программное обеспечение, например:

-    коммуникационные драйверы;

-    обработка отказов;

-    исполнительное ПО

Прикладное программное обеспечение РЕ, например:

-    функции входа/выхода;

-    обработка отказов;

-    вторичные функции (например контроль сенсора, если он

не обеспечен как сервис встроенного в ПЗУ ПО)

РЕ — программируемая электроника; NP — непрограммируемые устройства; АС — аппаратные средства; ПО — программное обеспечение; ПЗУ — программируемое запоминающее устройство; MooN — М из N (например 1 оо2 означает один из двух)


Рисунок4 — Соотношение между архитектурами аппаратных средств и программного обеспечения

программируемой электроники

7.4.2.3 Когда Е/Е/РЕ система, связанная с безопасностью, осуществляет функции безопасности и функции, не относящиеся к безопасности, все аппаратные средства и программное обеспечение должны рассматриваться как связанные с безопасностью до тех пор, пока не будет установлено, что эти функции реализуются достаточно независимо (т.е. отказ какой-либо функции, не относящейся к безопасности, не станет причиной отказа функций, связанных с безопасностью). Функции, связанные с безопасностью, везде, где практически возможно, должны быть отделены от функций, не относящихся к безопасности.

Примечания

1    Достаточную независимость этих функций устанавливают демонстрацией того, что вероятность зависимого отказа между компонентами, не относящимися к безопасности и связанными с безопасностью, достаточно низка по сравнению с самым высоким уровнем полноты безопасности, связанным с используемыми функциями безопасности.

2    Следует предостеречь от совмещения функций безопасности и функций, не относящихся к безопасности, в одной и той же Е/Е/РЕ системе, связанной с безопасностью. Такое объединение, допускаемое настоящим стандартом, может привести к большим сложностям при выполнении работ в процессе жизненного цикла Е/Е/РЕ системы (например при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).


11


7.4.2.4    Требования к аппаратным средствам и программному обеспечению должны определяться уровнем полноты безопасности функций безопасности, имеющих самый высокий уровень полноты безопасности, если не будет доказано, что выполнение функций безопасности различных уровней полноты безопасности достаточно независимо.

Примечания

1    Достаточная независимость выполнения функций безопасности устанавливается демонстрацией вероятности зависимого отказа между компонентами выполняемых функций безопасности различных уровней полноты безопасности, достаточно низкой по сравнению ссамым высоким уровнем полноты безопасности, связанным с рассматриваемыми функциями безопасности.

2    Если в Е/Е/РЕ системе, связанной с безопасностью, выполняется несколько функций безопасности, то необходимо рассмотреть возможность возникновения отказа в выполнении нескольких функций безопасности от единственной ошибки. В такой ситуации требования к аппаратным средствам и программному обеспечению допускается задавать на основе уровня полноты безопасности более высокого, чем связанный с любой из функций безопасности, в зависимости от риска, связанного с таким отказом.

7.4.2.5    Если требуется независимость функций безопасности (см. 7.4.2.3 и 7.4.2.4), то в процессе проектирования должны быть задокументированы:

a)    метод достижения независимости;

b)    обоснование метода.

7.4.2.6    Требования кпрограммномуобеспечению (см. МЭК 61508-3) должны быть доступны разработчику Е/Е/РЕ системы, связанной с безопасностью.

7.4.2.7    Разработчик Е/Е/РЕ системы, связанной с безопасностью, должен еще раз пересмотреть требования к программному обеспечению и аппаратным средствам с тем, чтобы убедиться, что они корректно специфицированы. В частности, разработчик E/E/PES должен рассмотреть:

a)    функции безопасности;

b)    требования к полноте безопасности Е/Е/РЕ системы, связанной с безопасностью;

c)    интерфейсы между оборудованием и обслуживающим персоналом.

7.4.2.8    Проектная документация на Е/Е/РЕ систему, связанную с безопасностью, должна определять методы и средства, необходимые для достижения уровня полноты безопасности в течение стадий жизненного цикла безопасности E/E/PES.

7.4.2.9    Проектная документация на Е/Е/РЕ систему, связанную с безопасностью, должна обосновывать методы и средства, выбранные для формирования их интегрированного набора, обеспечивающего требуемый уровень полноты безопасности.

Примечание — Выбор общего подхода, использующего независимое письменное одобрение E/E/PES, связанных с безопасностью (включая сенсоры, датчики и т.д.), для технических средств и программного обеспечения, диагностических тестов и инструментов программирования и использование (где это возможно) подходящих языков программирования позволяет сократить сложность инженерного применения E/E/PES.

7.4.2.10    В процессе проектирования и разработки Е/Е/РЕ системы, связанной с безопасностью, все значимые (допустимые) взаимодействия аппаратных средств и программного обеспечения должны быть идентифицированы, оценены и документированы.

7.4.2.11    Проект Е/Е/РЕ системы, связанной с безопасностью, должен быть основан на декомпозиции на подсистемы, каждая из которых имеет специфицированный проект и набор тестов интеграции (см. 7.4.7).

Примечания

1    Конкретная подсистема может состоять из единственного компонента или группы компонентов. Полная Е/Е/РЕ система, связанная с безопасностью, может состоять из множества идентифицируемых и отдельных подсистем, которые при их объединении обеспечивают выполнение рассмотренной функции безопасности. Подсистема может иметь более чем один канал (см. 7.4.7.3).

2    Везде, где это практически возможно, должны быть использованы существующие проверенные подсистемы. Это положение является в общем случае верным, только если существует почти 100 %-ное совпадение функциональных возможностей, пропускной способности и производительности существующей подсистемы с новыми требованиями или верифицированная (проверенная) подсистема структурирована таким образом, что пользователь может выбрать лишь требуемые функции, пропускную способность и производительность для специфического применения. Избыточные функциональные возможности, пропускная способность или производительность могут быть вредными для безопасности системы, если существующие подсистемы чрезмерно усложнены или имеют неиспользуемые возможности и если не может быть обеспечена защита от непреднамеренных функций.

7.4.2.12    Если подсистема имеет многоканальный выход, необходимо определить наличие какой-либо комбинации выходных состояний, которые могут быть вызваны отказом самой Е/Е/РЕ систе-

ГОСТ Р МЭК 61508-2-2007

мы, связанной с безопасностью, способной непосредственно вызвать событие опасного отказа (см. анализ опасностей и рисков в МЭК 61508-1, подпункт 7.4.2.10). Если это определено, то предотвращение такой комбинации выходных состояний должно быть расценено как функция безопасности, работающая в режиме с высокой частотой обращения или с непрерывными обращениями (см. 7.4.6.3 и 7.4.3.2.5).

7.4.2.13 Для любых компонентов Е/Е/РЕ системы, связанной с безопасностью, в максимальной степени должно использоваться ограничение допустимых значений (см. МЭК 61508-7, подраздел 2.8). Обоснование работы на пределах любых компонентов должно быть документировано (см. МЭК 61508-1, раздел 5).

Примечание — При ограничении допустимых значений должен использоваться коэффициент ограничения, равный 0,67.

7.4.3 Требования к полноте безопасности аппаратных средств

Примечание — Обзор необходимых шагов для достижения требуемой полноты безопасности приведен в МЭК 61508-6 (пункт А.2, приложение 2) и там же показано, как этот пункт соотносится с другими требованиями настоящего стандарта.

7.4.3.1    Архитектурные ограничения полноты безопасности аппаратных средств

7.4.3.1.1    В контексте полноты безопасности аппаратных средств наиболее высокий уровень полноты безопасности, который может потребоваться для функции безопасности, ограничивается отказоустойчивостью аппаратных средств и составляющей безопасных отказов подсистем, которые выполняют эту функцию безопасности (см. приложение С). Наибольший уровень полноты безопасности, который может потребоваться для функции безопасности, использующей подсистему, с учетом отказоустойчивости аппаратных средств и составляющей безопасных отказов этой подсистемы представлен в таблицах 2 и 3 (см. также приложение С). Требования таблиц 2 и 3 должны применяться к каждой подсистеме, выполняющей функцию безопасности, и, следовательно, к каждой части Е/Е/РЕ системы, связанной с безопасностью. Подпункты 7.4.3.1.2 — 7.4.3.1.4 определяют, какая из таблиц 2 или 3 применяется к конкретной подсистеме. Подпункты 7.4.3.1.5 и 7.4.3.1.6 определяют самый высокий уровень полноты безопасности, который может быть применен к функции безопасности по запросу. В соответствии с этими требованиями:

a)    отказоустойчивость аппаратных средств N означает, что отказ N + 1 может привести к потере функции безопасности. В определении отказоустойчивости не должны учитываться средства, которые могли бы управлять влиянием ошибок, например диагностика, и

b)    если одна ошибка непосредственно приводит к одной или более последующим ошибкам, их рассматривают как одиночную ошибку;

c)    в определении отказоустойчивости некоторые ошибки могут быть исключены при условии, что вероятность их возникновения очень мала по отношению ктребованиям полноты безопасности подсистемы. Любые исключения ошибок должны быть обоснованы и документированы (см. примечание 3);

d)    долю безопасных отказов подсистемы определяют как отношение суммы средних частот безопасных отказов и опасных отказов, обнаруженных тестами, к полной средней частоте отказов подсистемы (см. приложение С).

Примечания

1    Для получения достаточно отказоустойчивой архитектуры с учетом уровня сложности подсистемы используются архитектурные ограничения. Уровень полноты безопасности Е/Е/РЕ системы, связанной с безопасностью, полученный в результате применения требований настоящего подпункта, является максимальным из заявленных, хотя в некоторых случаях математически может быть определен более высокий уровень полноты безопасности, если для Е/Е/РЕ системы, связанной с безопасностью, принять исключительно математический подход.

2    Архитектура и подсистема, сформированные для соответствия требованиям отказоустойчивости аппаратных средств, должны быть такими, какие обычно используются в режиме эксплуатации. Требования отказоустойчивости могут быть снижены, если Е/Е/РЕ система, связанная с безопасностью, восстанавливается, находясь под управлением основного оборудования (on-line). Однако ключевые параметры, связанные с любым ослаблением, должны быть предварительно оценены (например среднее время восстановления по сравнению с вероятностью запроса).

3    Если некоторый компонент системы имеет очень низкую вероятность отказа благодаря присущим ему свойствам (например механический соединитель привода), то рассматривать ограничение (на основе отказоустойчивости аппаратных средств) полноты безопасности любой функции безопасности, для реализации которой используется этот компонент, нет необходимости.

7.4.3.1.2    Конкретная подсистема (см. 7.4.2.11, примечание 1) может быть отнесена к типу А, если для ее компонентов, необходимых для реализации функции безопасности:

13

a)    виды отказов всех составляющих компонентов определены, и

b)    поведение системы в условиях отказа может быть полностью определено, и

c)    имеются достоверные эксплуатационные данные, показывающие, что частоты, требуемые для обнаруженных отказов и необнаруженных опасных отказов, реализованы (см. 7.4.7.3 и 7.4.7.4).

7.4.3.1.3    Конкретная подсистема (см. 7.4.2.11, примечание 1) должна быть отнесена к типу В, если для ее компонентов, необходимых для реализации функции безопасности:

a)    вид отказа, по крайней мере, одного составляющего компонента не определен, или

b)    поведение подсистемы в условиях отказа не может быть полностью определено, или

c)    нет достоверных эксплуатационных данных по подтверждению требований для частот обнаруженных отказов и необнаруженных опасных отказов (см. 7.4.7.3 и 7.4.7.4).

Примечание — Если, по крайней мере, один из компонентов конкретной подсистемы соответствует условиям для типа В, то такая подсистема должна быть отнесена ктипу В, а не к типу А (см. также 7.4.2.11, примечание 1).

7.4.3.1.4    Архитектурные ограничения по таблице 2 или таблице 3 должны применяться к каждой подсистеме, выполняющей функцию безопасности так, чтобы:

a)    требования отказоустойчивости аппаратных средств достигались для полной Е/Е/РЕ системы, связанной с безопасностью;

b)    требования таблицы 2 применялись для любой подсистемы типа А, составляющей часть Е/Е/РЕ системы, связанной с безопасностью.

Примечание — Если Е/Е/РЕ система, связанная с безопасностью, содержит только подсистемы типа А, то требования, приведенные в та блице 2, следует применять кполной Е/Е/РЕ системе, связанной с безопасностью;

c)    требования таблицы 3 применялись для любой подсистемы типа В, составляющей часть полной Е/Е/РЕ системы, связанной с безопасностью.

Примечание — Если Е/Е/РЕ система, связанная сбезопасностью, содержиттолько подсистемы типа В, то требования, приведенные в таблице 3, будут применяться для полной системы, связанной с безопасностью;

d)    требования таблиц 2 и 3 применялись к Е/Е/РЕ системам, связанным с безопасностью, содержащим оба типа подсистем А и В, поскольку требования таблицы 2 должны применяться к подсистемам типа А, а требования таблицы 3 — к подсистемам типа В.

Т аблица 2 — Полнота безопасности аппаратных средств: архитектурные ограничения подсистем, связанных с безопасностью, типа А

Доля безопасных отказов

Отказоустойчивость аппаратных средств (см. примечание 2)

N = 0

N = 1

N=2

< 60%

SIL1

SIL2

SIL3

60 % — 90 %

SIL2

SIL3

SIL4

90 % — 99 %

SIL3

SIL4

SIL4

> 99 %

SIL3

SIL4

SIL4

Примечания

1    Для детальной интерпретации этой таблицы см. 7.4.3.1.1 — 7.4.3.1.4.

2    Отказоустойчивость аппаратных средств N означает, что N + 1 отказ приведет к потере функции безопасности.

3    Расчет доли безопасных отказов см. в приложении С.

4    SIL — уровень полноты безопасности (см. МЭК 61508-1, подпункт 7.6.2.9, таблицы 2 и 3).

ГОСТ Р МЭК 61508-2-2007

Таблица 3 — Полнота безопасности аппаратных средств: архитектурные ограничения подсистем, связанных с безопасностью, типа В

Доля безопасных отказов

Отказоустойчивость аппаратных средств (см. примечание 2)

Л/ = 0

N = 1

N = 2

< 60%

Не оговаривается

SIL1

SIL2

60 % — 90 %

SIL1

SIL2

SIL3

90 % — 99 %

SIL2

SIL3

SIL4

> 99 %

SIL2

SIL4

SIL4


Примечания

1    Для детальной интерпретации этой таблицы см. 7.4.3.1.1 —7.4.3.1.4.

2    Отказоустойчивость аппаратных средств N означает, что N + 1 отказ приведет к потере функции безопасности.

3    Расчет доли безопасных отказов см. в приложении С.

4    SIL — уровень полноты безопасности (см. МЭК 61508-1, подпункт 7.6.2.9, таблицы 2 и 3).


7.4.3.1.5 ВЕ/Е/РЕ системах, связанных с безопасностью, в которых функция безопасности реализуется в одноканальной архитектуре (см. рисунок 5), максимальный уровень полноты безопасности аппаратных средств, который может быть достигнут для функции безопасности, определяется подсистемой аппаратных средств, отвечающей наименьшим требованиям полноты безопасности аппаратных средств (определяют по таблицам 2 и 3).


Сжатие архитектуры до


- Система,    осуществляющая    функцию    безопасности    (см.    примечание)     ►

Полная система

1 1.2 и 3 1

соответствует требованиям

1 1

отказов аппаратных средств

SIL1

Примечание — Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой, связанной с безопасностью, включая все элементы — от сенсоров до исполнительных устройств.

Рисунок 5 — Пример ограничения полноты безопасности аппаратных средств для одноканальной функции безопасности

Пример — Пусть система, в которой реализована конкретная функция безопасности, выполнена по одноканальной архитектуре, состоящей из подсистем 1,2иЗ, типы которых указаны на рисунке 5, и эти подсистемы соответствуют требованиям таблиц 2иЗ следующим образом:

-    для подсистемы 1 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1;

-    для подсистемы 2 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL2;

-    для подсистемы 3 уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств и доле безопасных отказов, равен SIL1.

15

ГОСТ Р МЭК 61508-2-2007

Содержание

1    Область применения...................................................1

2    Нормативные ссылки..................................................3

3    Термины и определения................................................3

4    Соответствие настоящему стандарту........................................3

5    Документация.......................................................3

6    Управление функциональной безопасностью...................................4

7    Требования к жизненному циклу безопасности    E/E/PES.............................4

8    Оценка функциональной безопасности......................................30

Приложение А (обязательное) Методы и средства для Е/Е/РЕ систем, связанных с безопасностью:

управление отказами в процессе    эксплуатации.........................31

Приложение В (обязательное) Методы и средства для Е/Е/РЕ систем, связанных с безопасностью: предотвращение систематических отказов в течение различных стадий жизненного

цикла...................................................45

Приложение С (обязательное) Диагностический охват и доля безопасных отказов............54

Приложение D (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской    Федерации..........................56

Библиография........................................................57

Для этой архитектуры каждая из подсистем 1 и 3 имеет уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств, равный SIL1, в то время как подсистема 2 имеет уровень полноты безопасности, соответствующий требованиям отказоустойчивости аппаратных средств, равный SIL2. Поэтому обе подсистемы 1 и 3 ограничивают уровень полноты безопасности, который может потребоваться для соблюдения отказоустойчивости аппаратных средств для рассматриваемой функции безопасности, до значения SIL1.

7.4.3.1.6 В Е/Е/РЕ системах, связанных с безопасностью, в которых функция безопасности реализуется в многоканальной архитектуре (см. рисунок 6), максимальный уровень полноты безопасности, который может быть достигнут для рассматриваемой функции безопасности, должен быть определен путем:

a)    оценивания каждой подсистемы в соответствии с требованиями, представленными в таблицах 2 и 3 (см. 7.4.3.1.2 и 7.4.3.1.4);

b)    группирования подсистем в комбинации и

c)    анализа этих комбинаций для определения полного уровня полноты безопасности аппаратных средств.

-Подсистемы,    осуществляющие функцию безопасности (см. примечание 2)-►



Комбинация подсистем, отвечающая требованиям коэффициента ошибок аппаратных средств



Сокращение архитектуры до


SIL2


SIL1


SIL3


SIL2



Примечания

1    Подсистемы 1,2 и подсистемы 4,5 имеют одинаковые функциональные возможности в отношении функции безопасности и обеспечивают раздельные входы в подсистему 3.

2    Подсистемы, выполняющие функцию безопасности, считают полной Е/Е/РЕ системой, связанной с безопасностью, включая все элементы — от сенсоров до исполнительных устройств.


Рисунок 6 — Пример ограничения полноты безопасности для многоканальной функции безопасности


Введение

Системы, состоящие из электрических и/или электронных компонентов, в течение многих лет используются для выполнения функций безопасности в большинстве областей применения. Компьютерные системы [обычно называемые программируемыми электронными системами (PES)], использующиеся во всех областях применения для выполнения задач, не связанных с безопасностью, во все возрастающих масштабах используются для решения задач обеспечения безопасности. Для эффективной и безопасной эксплуатации технологий, основанных на использовании компьютерных систем, чрезвычайно важно, чтобы лица, ответственные за принятие решений, имели в своем распоряжении руководство по вопросам безопасности, которое они могли бы использовать в своей работе.

Настоящий стандарт устанавливает общий подход к вопросам обеспечения безопасности всего жизненного цикла систем, состоящих из электрических и/или электронных, и/или программируемых электронных компонентов [электрических/электронных/программируемых электронных систем (E/E/PES)], которые используются для выполнения функций безопасности. Этот общий подход был принят для того, чтобы разработать рациональную и последовательную техническую концепцию для всех электрических систем, связанных с безопасностью. Основной целью настоящего стандарта является содействие разработке стандартов для их применения в различных предметных областях.

Обычно безопасность систем достигается за счет использования в них нескольких систем защиты, в которых используются различные технологии (например механические, гидравлические, пневматические, электрические, электронные, программируемые электронные). Следовательно, любая стратегия безопасности должна учитывать не только все элементы, входящие в состав отдельных систем (например, датчики, управляющие устройства и исполнительные механизмы), но также и все подсистемы, связанные с безопасностью, входящие в состав комбинированной системы, связанной с безопасностью. Таким образом, хотя настоящий стандарт в основном распространяется наэлектрические/элек-тронные/программируемые электронные (Е/Е/РЕ) системы, связанные с безопасностью, он может также дать представление об общей структуре, в рамках которой рассматриваются системы, связанные с безопасностью, основанные на других технологиях.

Признанным фактом является существование огромного разнообразия применений E/E/PES в различных предметных областях, отличающихся разной степенью сложности, опасностями и возможными рисками. В каждом конкретном применении использование необходимых мер безопасности будет зависеть от многочисленных факторов, специфичных для этого конкретного применения. Настоящий стандарт, являясь базовым, позволяет формулировать такие меры для вновь разрабатываемых международных стандартов для различных предметных областей.

Настоящий стандарт:

-    рассматривает все соответствующие этапы жизненного цикла систем безопасности в целом, а также подсистем E/E/PES и программного обеспечения (начиная с исходной концепции, включая проектирование, разработку, эксплуатацию, техническое обслуживание и вывод из эксплуатации), в ходе которых E/E/PES используются для выполнения функций безопасности;

-    разработан с учетом быстрого развития технологий; его структура является достаточно устойчивой и полной для удовлетворения потребностей разработок, которые могут появиться в будущем;

-    делает возможной разработку стандартов областей применения, в которых используются системы E/E/PES; разработка стандартов для областей применения в рамках общей структуры, вводимой настоящим стандартом, должна приводить к более высокому уровню согласованности (например основные принципы, терминология ит.п.) какдля отдельных областей применения, такидля их совокупности; это дает преимущества как для безопасности, так и в сфере экономики;

-    предоставляет метод разработки спецификаций для требований безопасности, необходимых для достижения требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью;

-    использует уровни полноты безопасности для задания планируемого уровня полноты безопасности функций, которые должны быть реализованы Е/Е/РЕ системами, связанными с безопасностью;

-    использует для определения уровней полноты безопасности подход, основанный на оценке рисков;

-    устанавливает количественные значения отказов Е/Е/РЕ систем, связанных с безопасностью, которые связаны с уровнями полноты безопасности;

-    устанавливает нижний предел планируемых значений отказов в режиме опасных отказов, который может быть задан для отдельной Е/Е/РЕ системы, связанной с безопасностью; для Е/Е/РЕ систем, связанных с безопасностью работающих:

ГОСТ Р МЭК 61508-2-2007

-    в режиме с низкой интенсивностью запросов нижний предел для выполнения планируемой функции по запросу устанавливают на средней вероятности отказов10-5;

-    в режиме с высокой интенсивностью запросов нижний предел устанавливают на вероятности опасных отказов 10-9 в час.

Примечание — Конкретная Е/Е/РЕ система, связанная с безопасностью, не обязательно предполагает одноканальную архитектуру;

-    применяет широкий набор принципов, методов и мер для достижения функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью, но не использует концепцию безаварийности, которая может иметь важное значение в случае, если виды отказов хорошо определены, а уровень сложности является относительно невысоким. Концепция безаварийности признана неподходящей из-за широкого диапазона сложности Е/Е/РЕ систем, связанных с безопасностью и подпадающих под область применения настоящего стандарта.

v

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

Часть 2

Требования к системам

Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2.

Requirements for systems

Дата введения — 2008—09—01

1 Область применения

1.1    Настоящий стандарт:

a)    применяют только совместно с МЭК 61508-1, описывающим общий подход для достижения функциональной безопасности;

b)    применяется (как определено в МЭК 61508-1) к любой системе, связанной с безопасностью, которая содержит хотя бы один электрический, электронный или программируемый электронный компонент;

c)    применяется ко всем подсистемам и их компонентам внутри Е/Е/РЕ систем, связанных с безопасностью (включая сенсоры, исполнительные устройства и интерфейс человек — машина);

d)    определяет способ использования информации, полученной в соответствии с МЭК 61508-1, описывающей полные требования кбезопасности и их распределение по Е/Е/РЕ системам, связанным с безопасностью, а также определяет, как полные требования к безопасности преобразуются в требования к функциям безопасности E/E/PES и в требования к полноте безопасности E/E/PES;

e)    устанавливает требования кдействиям, которые должны быть реализованы на стадиях разработки и изготовления Е/Е/РЕ систем, связанных с безопасностью (то есть формирует модель жизненного цикла безопасности E/E/PES), за исключением требований к программному обеспечению, которые рассмотрены в МЭК 61508-3 (см. рисунки 2 и 3): эти требования включают в себя указания по применению ранжированных по уровням полноты безопасности методов и средств для предотвращения ошибок и отказов и для управления ошибками и отказами;

f)    определяет информацию, необходимую для установки, ввода в эксплуатацию и заключительного подтверждения соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью;

д) не определяет стадии эксплуатации и технического обслуживания (см. МЭК 61508-1), но содержит требования для подготовки информации и процедур, необходимых пользователям для эксплуатации и технического обслуживания Е/Е/РЕ систем, связанных с безопасностью;

h) определяет требования, предъявляемые к организациям, осуществляющим модификацию Е/Е/РЕ систем, связанных с безопасностью.

Примечания

1    Настоящий стандарт главным образом предназначен для поставщиков и/или технических департаментов внутри компаний, отвечающих за формирование и реализацию требований по модификации Е/Е/РЕ систем, связанных с безопасностью.

2    Взаимосвязь между настоящим стандартом и МЭК 61508-3 показана на рисунке 3.

1.2    МЭК 61508-1 — МЭК 61508-4 являются основополагающими стандартами по безопасности, хотя это не применяется в контексте Е/Е/РЕ систем, связанных безопасностью, имеющих небольшую сложность (см. МЭК 61508-4, пункт 3.4.4). В качестве основополагающих стандартов по безопасности данные стандарты предназначены для использования техническими комитетами при подготовке стандартов в соответствии с Руководствами МЭК 104:1997 и ИСО/МЭК Руководство 51:1999. Стандарты серии МЭК 61508 предназначены также для использования в качестве самостоятельных стандартов.

Издание официальное

_I МЭК 61508-1 1-

Разработка общих требований безопасности (концепция, область применения, анализ опасных событий и рисков)

(Е/Е/РЕ системы, связанные с безопасностью; системы, связанные с безопасностью, основанные на других технологиях; внешние средства снижения риска.

См. подразделы 7.1 - 7.5)



МЭК 61508-5 Подходы по разработке требований к полноте безопасности на основе рисков


-1 МЭК 61508Н |-

Распределение требований безопасности по Е/Е/РЕ системам, связанным с безопасностью 7.6




Н МЭК 61508-7 Ь

Обзор методов и средств

МЭК 61508-6

Руководство по применению МЭК 61508-2 и МЭК 61508-3



Определения и сокращения

-I МЭК 61508-4 h


Документация Раздел 5 и приложение А

^ МЭК 61508-1 h


- МЭК 61508~ |-

Монтаж, ввод в эксплуатацию и подтверждение соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью 7.13 и 7.14


Управление функциональной безопасностью Раздел 6

^ МЭК 61508-1 h


Оценка функциональной безопасности Раздел 8

Н МЭК6150ЁГП-


- МЭК 61508-1 -

Эксплуатация и техническое сопровождение, модификация и ремонт, вывод из эксплуатации и утилизация Е/Е/РЕ систем, связанных с безопасностью 7.15-7.17


Рисунок 1 — Общая структура настоящего стандарта

В обязанности технического комитета входит использование (где возможно) базовых стандартов по безопасности при подготовке собственных стандартов. В этом случае требования, методы или условия проверки настоящего базового стандарта по безопасности не будут применяться, если это не указано специально, или будут включаться в стандарты, подготовленные этими техническими комитетами.


2


ГОСТ Р МЭК 61508-2-2007

Примечания

1    Функциональная безопасность систем Е/Е/РЕ, связанных с безопасностью, может достигаться только в случае, если удовлетворены все установленные для них требования. Поэтому важно, чтобы все эти требования были тщательно проанализированы и обоснованы.

2    В США и Канаде до тех пор, пока стандарты для конкретного сектора применения стандартов МЭК 61508 (например МЭК61511 [1 ]) не будут опубликованы в качестве международных стандартов США и Канады, существующие там национальные стандарты по безопасности в обрабатывающих секторах, основанные на МЭК 61508, могут быть применены вместо МЭК 61508.

1.3 Структура серии стандартов МЭК 61508-1 — МЭК 61508-7 показана на рисунке 1, а также указана роль МЭК 61508-2 в достижении функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью. МЭК 61508-6 (приложение А) содержит описание применения МЭК 61508-2 и МЭК 61508-3.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

МЭК 60050-371:1984 Международный электротехнический словарь. Глава 371. Телеуправление МЭК 60300-3-2:2004 Управление общей надежностью. Часть 3. Руководство по применению. Полевой сбор данных по общей надежности

МЭК 61000-1-1:1992 Электромагнитная совместимость (ЭМС). Часть 1. Общие положения — Раздел 1: Применение и интерпретация фундаментальных определений и терминов

МЭК 61000-2-5:1995 Электромагнитная совместимость (ЭМС). Часть 2. Окружение. Раздел 5. Классификация электромагнитного окружения

МЭК 61508-1:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

МЭК61508-3:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению МЭК 61508-4:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения

МЭК 61508-5:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Примеры методов для определения уровней полноты безопасности

МЭК 61508-6:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению МЭК 61508-2:2000 и МЭК 61508-3:1998

МЭК 61508-7:2000 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Анализ методов и средств

ИСО/МЭК 51:1999 Руководство по включению в стандарты аспектов, связанныхсбезопасностью МЭК Руководство 104:1997 Руководство по подготовке стандартов, связанных с безопасностью, и по роли комитетов с функциями определения направлений и разработки стандартов в области безопасности

IEEE 352:1987 Руководство IEEE по основным принципам анализа надежности систем безопасности атомныхэнергетических станций

3    Термины и определения

В настоящем стандарте применены термины по МЭК 61508-4.

4 Соответствие настоящему стандарту

Требования соответствия настоящему стандарту — по МЭК 61508-1 (см. раздел 4).

5 Документация

Требования кдокументации — по МЭК61508-1 (см. раздел 5).

3

6    Управление функциональной безопасностью

Требования по управлению функциональной безопасностью по МЭК 61508-1 (см. раздел 6).

7    Требования к жизненному циклу безопасности E/E/PES

7.1    Общие положения

7.1.1    Цели и требования. Общие положения

7.1.1.1    Настоящий подпункт устанавливает цели и требования для стадий жизненного цикла безопасности E/E/PES.

Примечание — Цели и требования для полного жизненного цикла безопасности, вместе с общим введением в структуру настоящего стандарта, приведены в МЭК 61508-1.

7.1.1.2    Для каждой стадии жизненного цикла безопасности E/E/PES (см. таблицу 1) указаны:

-    цели, которые должны быть достигнуты;

-    область применения стадии;

-    ссылка на пункт, содержащий требования;

-    входы стадии;

-    выходы стадии.

Таблица 1 — Обзор стадии реализации жизненного цикла безопасности E/E/PES

Стадия жизненного цикла безопасности (номер стадии соответствует номеру блока на рисунке 2)

Цель

Область

применения

Пункт

требова

ний

Вход

Выход

9.1 Спецификация требований безопасности E/E/PES

Определение требований для каждой Е/Е/РЕ системы, связанной с безопасностью, в терминах требований к функциям безопасности и требований к полноте безопасности для достижения требуемой функциональной безопасности

Е/Е/РЕ системы, связанные с безопасностью

7.2.2

Описание распределения требований безопасности (см. МЭК 61508-1, подраздел 7.6)

Требования безопасности E/E/PES.

Требования безопасности программного обеспечения как входная спецификация требований к безопасности программного обеспечения

9.2 Планирование подтверждения соответствия безопасности E/E/PES

Планирование подтверждения соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью

Е/Е/РЕ системы, связанные с безопасностью

7.2.3

Требования безопасности E/E/PES

План подтверждения соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью

9.3 Разработка и создание E/E/PES

Создание Е/Е/РЕ систем, связанных с безопасностью, отвечающих требованиям к функциям безопасности и полноте безопасности

Е/Е/РЕ системы, связанные с безопасностью

7.4.2 — 7.4.8

Требования безопасности E/E/PES

Разработка Е/Е/РЕ систем, связанных с безопасностью, в соответствии с требованиями безопасности E/E/PES.

План тестирования интеграции E/E/PES.

Информация об архитектуре E/E/PES как входная спецификация требований к программному обеспечению

4

Продолжение таблицы 1

Стадия жизненного цикла безопасности (номер стадии соответствует номеру блока на рисунке 2)

Цель

Область

применения

Пункт

требова

ний

Вход

Выход

9.4 Интеграция E/E/PES

Интеграция и тестирование Е/Е/РЕ систем, связанных с безопасностью

Е/Е/РЕ системы, связанные с безопасностью

7.5.2

Разработка E/E/PES.

План интеграции E/E/PES.

Программируемая электроника и программное обеспечение

Полностью функционирующие Е/Е/РЕ системы, связанные с безопасностью, в соответствии с разработанной E/E/PES.

Результаты тестирования интеграции E/E/PES

9.5 Процедуры установки E/E/PES, ввода в эксплуатацию, эксплуатации и технической поддержки

Разработка процедур для гарантирования того, что функциональная безопасность Е/Е/РЕ систем, связанных с безопасностью, поддерживается в период эксплуатации и технического обслуживания

Е/Е/РЕ системы, связанные с безопасностью управляемого оборудования

7.6.2

Требования безопасности E/E/PES.

Разработка E/E/PES

Установка E/E/PES, ввод в эксплуатацию, эксплуатация и процедуры технического обслуживания для каждой отдельной E/E/PES

9.6 Подтверждение соответствия безопасности E/E/PES

Подтверждение соответствия того, что Е/Е/РЕ системы, связанные с безопасностью, во всех отношениях отвечают требованиям безопасности в терминах требований к функциям безопасности и требований к полноте безопасности

Е/Е/РЕ системы, связанные с безопасностью

7.7.2

Требования безопасности E/E/PES.

План подтверждения соответствия безопасности Е/Е/РЕ систем, связанных с безопасностью

Е/Е/РЕ системы, связанные с безопасностью с полным подтверждением соответствия безопасности.

Результаты подтверждения соответствия безопасности E/E/PES

Модификация

E/E/PES

Осуществление коррекции, расширения или адаптации Е/Е/РЕ систем, связанных с безопасностью, с гарантией того, что достигается и поддерживается требуемый уровень полноты безопасности

Е/Е/РЕ системы, связанные с безопасностью

7.8.2

Требования безопасности E/E/PES

Результаты модификации E/E/PES

Верификация

E/E/PES

Тестирование и оценка выходной информации данной стадии, чтобы гарантировать правильность и соответствие в отношении продукции и стандартов, используемых в качестве входов к этой стадии

Е/Е/РЕ системы, связанные с безопасностью

7.9.2

Зависящие от стадии

требования

безопасности

E/E/PES.

План верификации Е/Е/РЕ систем, связанных с безопасностью, для каждой стадии

Результаты верификации Е/Е/РЕ систем, связанных с безопасностью, для каждой стадии

5