ФЕДЕРАЛЬНОЕАГЕНТСТВО |
||
НАЦИОНАЛЬНЫЙ |
ГОСТР МЭК |
ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬ СИСТЕМЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХЭЛЕКТРОННЫХ,
СВЯЗАННЫХСБЕЗОПАСНОСТЬЮ
Часть 1
Общиетребования
IEC 61508-1:1998
Functional safety of electrical/electronic/programmable electronic safety-related systems –
Part 1: General requirements
(IDT)
|
Москва Стандартинформ 2008 |
Предисловие
ЦелиипринципыстандартизациивРоссийскойФедерацииустановленыФедеральнымзаконом от 27 декабря
Сведенияостандарте
1 ПОДГОТОВЛЕНобществомсограниченнойответственностью«Корпоративныеэлектронныесистемы»иТехническимкомитетомпостандартизацииТК 10 «Перспективныепроизводственныетехнологии, менеджментиоценкарисков»наосновесобственногоаутентичногопереводастандарта, указанногов пункте 4
2 ВНЕСЕНУправлениемразвития, информационногообеспеченияиаккредитацииФедеральногоагентствапотехническомурегулированиюиметрологии
3 УТВЕРЖДЕНИВВЕДЕНВДЕЙСТВИЕПриказомФедеральногоагентствапотехническомурегулированиюиметрологииот 27 декабря
4 НастоящийстандартидентиченмеждународномустандартуМЭК 61508-1:1998 «Функциональная безопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 1. Общиетребования» (IEC 61508-1:1998 «Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 1: General requirements», IDT).
НаименованиенастоящегостандартаизмененоотносительнонаименованияуказанногомеждународногостандартадляприведениявсоответствиесГОСТР 1.5 (подраздел 3.5).
Приприменениинастоящегостандартарекомендуетсяиспользоватьвместоссылочныхмеждународныхстандартовсоответствующиеимнациональныестандарты, сведенияокоторыхприведенывдополнительномприложенииС
5 ВВЕДЕНВПЕРВЫЕ
Информацияобизмененияхкнастоящемустандартупубликуетсявежегодноиздаваемоминформационномуказателе«Национальныестандарты», атекстизмененийипоправок –вежемесячно издаваемыхинформационныхуказателях«Национальныестандарты». Вслучаепересмотра (замены) илиотменынастоящегостандартасоответствующееуведомлениебудетопубликовановежемесячноиздаваемоминформационномуказателе«Национальныестандарты». Соответствующаяинформация, уведомлениеитекстыразмещаютсятакжевинформационнойсистемеобщегопользования – наофициальномсайтеФедеральногоагентствапотехническомурегулированиюиметрологиивсети Интернет
Введение
Системы, состоящиеизэлектрическихи/илиэлектронныхкомпонентов, втечениемногихлетиспользуютсядлявыполненияфункцийбезопасностивбольшинствеобластейприменения. Компьютерныесистемы [обычноназываемыепрограммируемымиэлектроннымисистемами (PES)], использующиесявовсех областяхприменениядлявыполнениязадач, несвязанныхсбезопасностью, вовсеболееувеличивающихсяобъемахиспользуютсядлярешениязадачобеспечениябезопасности. Дляэффективнойибезопаснойэксплуатациитехнологий, основанныхнаиспользованиикомпьютерныхсистем, чрезвычайноважно, чтобылица, ответственныезапринятиерешений, имеливсвоемраспоряжениируководстваповопросам безопасности, которыеонимоглибыиспользоватьвсвоейработе.
Настоящийстандартустанавливаетобщийподходквопросамобеспечениябезопасностидлявсего жизненногоцикласистем, состоящихизэлектрическихи/илиэлектронныхи/илипрограммируемыхэлектронныхкомпонентов [электрических /электронных /программируемыхэлектронныхсистем (E/E/PES)], которыеиспользуютсядлявыполненияфункцийбезопасности. Этотунифицированныйподходбылпринят длятого, чтобыразработатьрациональнуюипоследовательнуютехническуюконцепциюдлявсехэлектрическихсистем, связанныхсбезопасностью. Основнойцельюприэтомявляетсясодействиеразработке стандартов.
Вбольшинствеситуацийбезопасностьдостигаетсязасчетиспользованиянесколькихсистемзащиты, вкоторыхиспользуютсяразличныетехнологии (например, механические, гидравлические, пневматические, электрические, электронные, программируемыеэлектронные). Любаястратегиябезопасностидолжна, следовательно, учитыватьнетольковсеэлементы, входящиевсоставотдельныхсистем (например, датчики, управляющиеустройстваиисполнительныемеханизмы), нотакжеивсеподсистемы, связанные сбезопасностью, входящиевсоставкомбинированнойсистемы, связаннойсбезопасностью. Такимобразом, хотяданныйстандартпосвященвосновномэлектрическим /электронным /программируемымэлектронным (Е/Е/РЕ) системам, связаннымсбезопасностью, онможеттакжепредоставлятьобщуюструктуру, врамкахкоторойрассматриваютсясистемы, связанныесбезопасностью, основанныенадругихтехнологиях.
ПризнаннымфактомявляетсясуществованиеогромногоразнообразияиспользованияE/E/PESв различныхобластяхприменения, отличающихсяразличнойстепеньюсложности, опасностямиивозможнымирисками. Вкаждомконкретномприменениинеобходимыемерыбезопасностибудутзависетьотмногочисленныхфакторов, которыеявляютсяспецифичнымидляэтогоприменения. Настоящийстандарт, являясьбазовымстандартом, позволитформулироватьтакиемерывбудущихмеждународныхстандартах дляобластейприменения
Настоящийстандарт:
– рассматриваетвсесоответствующиеэтапыжизненногоцикласистембезопасностивцелом, атакже подсистемE/E/PESипрограммногообеспечения (например, начинаясисходнойконцепции, включая проектирование, разработку, эксплуатацию, сопровождениеивыводизэксплуатации), входекоторых E/E/PESиспользуютсядлявыполненияфункцийбезопасности;
– былзадумансучетомбыстрогоразвитиятехнологий; егоструктураявляетсядостаточноустойчивой иполнойдлятого, чтобыудовлетворятьпотребностямразработок, которыемогутпоявитьсявбудущем;
– делаетвозможнойразработкустандартовобластейприменения, гдеиспользуютсясистемы E/E/PES; разработкастандартовдляобластейпримененияврамкахобщейструктуры, вводимойнастоящимстандартом, должнаприводитькболеевысокомууровнюсогласованности (например, основныхпринципов, терминологииит.п.) какдляотдельныхобластейприменения, такидляихсовокупности; этоприноситпреимуществакаквпланебезопасности, такивпланеэкономики;
– предоставляетметодразработкиспецификацийдлятребованийкбезопасности, необходимыхдля достижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью;
– используетуровниполнотыбезопасностидлязаданияпланируемогоуровняполнотыбезопасности дляфункций, которыедолжныбытьреализованыЕ/Е/РЕсистемами, связаннымисбезопасностью;
– используетдляопределенияуровнейполнотыбезопасностиподход, основанныйнаоценкерисков;
– устанавливаетколичественныевеличиныотказовЕ/Е/РЕсистем, связанныхсбезопасностью, которыесвязанысуровнямиполнотыбезопасности;
– устанавливаетнижнийпределдляпланируемойвеличиныотказовврежимеопасныхотказов, которыйможетбытьзадандляотдельнойЕ/Е/РЕсистемы, связаннойсбезопасностью; дляЕ/Е/РЕсистем, связанныхсбезопасностью, работающихв:
режимеснизкойинтенсивностьюзапросовнижнийпределдлявыполненияпланируемойфункции позапросуустанавливаетсянасреднейвероятностиотказов 10-5;
режимесвысокойинтенсивностьюзапросовнижнийпределустанавливаетсянавероятностиопасныхотказов 10-9вчас.
Примечание-ОтдельнаяЕ/Е/РЕсистема, связаннаясбезопасностью, необязательнопредполагает одноканальнуюархитектуру.
– применяетширокийнаборпринципов, методовимердлядостиженияфункциональнойбезопасности Е/Е/РЕсистем, связанныхсбезопасностью, нонеиспользуетконцепциюбезаварийности, котораяможет иметьважноезначение, когдавидыотказовхорошоопределены, ауровеньсложностиявляетсяотносительноневысоким. Концепциябезаварийностипризнананеподходящейиз-заширокогодиапазонасложностиЕ/Е/РЕсистем, связанныхсбезопасностью, которыенаходятсявобластиприменениянастоящего стандарта.
Содержание
1 Область применения 2 Нормативные ссылки 3 Термины и определения 4 Соответствие настоящему стандарту 5 Документация 6 Управление функциональной безопасностью 7 Требования к полному жизненному циклу безопасности 8 Оценка функциональной безопасности Приложение А (справочное) Пример структуры документации Приложение В (справочное) Компетентность лиц Приложение С (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации Библиография |
НАЦИОНАЛЬНЫЙСТАНДАРТРОССИЙСКОЙФЕДЕРАЦИИ
ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬСИСТЕМЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХЭЛЕКТРОННЫХ, СВЯЗАННЫХСБЕЗОПАСНОСТЬЮ Часть 1 Общиетребования Functional safety of electrical, electronic, programmable electronic safety-related systems. |
Датавведения- 2008-06-01
1 Область применения
1.1 Настоящийстандартохватываетвопросы, которыедолжныучитыватьсяприиспользованииэлектрических, электронных, программируемыхэлектронныхсистемдлявыполненияфункцийбезопасности. Главнаяцельнастоящегостандарта-облегчитьтехническимкомитетамразработкустандартов. Этопозволитполностьюучестьсущественныефакторы, связанныесрешаемымизадачами, и, такимобразом, удовлетворитьконкретныепотребностиобластиприменения. Другаяцельнастоящегостандартазаключаетсявтом, чтобысделатьвозможнойразработкуэлектрических, электронных, программируемыхэлектронных (Е/Е/РЕ) систем, связанныхсбезопасностью, вусловияхвозможногоотсутствиястандартовдляобластейприменения.
1.2 Вчастности, настоящийстандарт:
a) применяетсяксистемам, связаннымсбезопасностью, когдаоднаилинесколькотакихсистем включаютвсебяэлектрические, электронные, программируемыеэлектронныеустройства.
Примечания
1 ДляЕ/Е/РЕсистем, связанныхсбезопасностьюиимеющихнизкуюсложность, некоторыетребования, определенныевнастоящемстандарте, могутоказатьсянеобязательными, истановитсявозможнымосвобождениеотсоответствиятакимтребованиям (см. 4.2, атакжеопределениеЕ/Е/РЕсистем, связанныхсбезопасностью иимеющихнизкуюсложность, вМЭК 61508-4, пункт 3.4.4).
2 Хотячеловекможетбытьчастьюсистемы, связаннойсбезопасностью (МЭК 61508-4, пункт 3.4.1), требованиякчеловеческомуфактору, относящиесякпроектированиюЕ/Е/РЕсистем, связанныхсбезопасностью, не рассматриваютсяподробновнастоящемстандарте
b) являетсяосновополагающимиприменяетсяковсемЕ/Е/РЕсистемам, связаннымсбезопасностью, независимоотихприменения.
Примечание- См. МЭК 61508-4, пункты 3.1.1 и 7.3.1.2.
c) охватываетвозможныеопасности, вызванныеотказамифункцийбезопасности, которыедолжны выполнятьсяЕ/Е/РЕсистемами, связаннымисбезопасностью, вотличиеотопасностей, связанныхссамимЕ/Е/РЕоборудованием (например, пораженияэлектрическимтокомит.п.);
d) неохватываетЕ/Е/РЕсистем, вкоторых:
– необходимоеснижениерискаможетбытьдостигнутоспомощьюединичнойЕ/Е/РЕсистемыи
– требуемаяполнотабезопасностиЕ/Е/РЕсистемменьшетой, котораясоответствуетуровнюполноты безопасности, равному 1 (самыйнизкийуровеньполнотыбезопасностивнастоящемстандарте);
e) относится, главнымобразом, кЕ/Е/РЕсистемам, связаннымсбезопасностью, отказыкоторых могутоказыватьвлияниенабезопасностьлюдейи/илинаокружающуюсреду; однакопризнано, чтопоследствияотказамогуттакжевызыватьсерьезныеэкономическиепоследствия, ивтакихслучаяхнастоящийстандартможетбытьиспользовандляточногоопределениялюбойЕ/Е/РЕсистемы, используемой длязащитыоборудованияилипродукции;
f) рассматриваетЕ/Е/РЕсистемы, связанныесбезопасностью, системы, связанныесбезопасностью, основанныенадругихтехнологиях, ивнешниесредствауменьшениярискадлятого, чтобыспецификациитребованийбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, моглибытьопределенына основесистематическогоанализарисков;
g) используетмодельполногожизненногоциклабезопасностикактехническуюосновудлясистематическихдействий, необходимыхдляобеспеченияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
Примечания
1 Ранниеэтапыполногожизненногоциклабезопасностивключают, понеобходимости, учетдругихтехнологий (нарядусЕ/Е/РЕсистемами, связаннымисбезопасностью) ивнешнихсредствснижениярискадлятого, чтобыспецификациитребованийкЕ/Е/РЕсистемам, связаннымсбезопасностью, моглибытьразработанысистематическимобразомнаоснованиианализарисков.
2 ХотяполныйжизненныйциклбезопасностиотноситсявпервуюочередькЕ/Е/РЕсистемам, связаннымс безопасностью, онможеттакжепредоставлятьтехническуюосновудляанализалюбойсистемы, связаннойс безопасностью, независимооттехнологии, накоторойонаоснована (например, механической, гидравлической илипневматической).
h) неопределяетуровнейполнотыбезопасностидляобластейприменения (которыедолжныосновыватьсянаподробнойинформацииизнаниях, относящихсякобластиприменения). Техническиекомитеты, отвечающиезаконкретныеобластиприменения, должныопределять, гдеэтонеобходимо, уровниполноты безопасностивстандартахобластиприменения;
i) устанавливаетобщиетребованиякЕ/Е/РЕсистемам, связаннымсбезопасностью, гдеотсутствуют стандартыобластиприменения;
j) неохватываетмерыпредосторожности, которыенеобходимыдлятого, чтобыпредотвратитьповрежденияилииноенеблагоприятноевоздействиенафункциональнуюбезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, состоронылиц, неимеющихполномочий.
1.3 Настоящийстандартустанавливаетобщиетребования, которыеприменимыковсемчастямстандарта. Вдругихчастяхрассматриваютсяболееконкретныевопросы:
– вМЭК 61508-2 иМЭК 61508-3 предоставленыдополнительныеиспецифическиетребованияк Е/Е/РЕсистемам, связаннымсбезопасностью (требованиякаппаратнымсредствамипрограммномуобеспечению);
– МЭК 61508-4 содержитопределениятерминовисокращения, которыеиспользуютсявнастоящем стандарте;
– МЭК 61508-5 содержитруководствопоприменениюМЭК 61508-1 дляопределенияуровнейполноты безопасности, основанноенаиспользованиипримеров;
– МЭК 61508-6 содержитруководствопоприменениюМЭК 61508-2 иМЭК 61508-3;
– МЭК 61508-7 содержитобзорметодовисредств.
1.4 МЭК 61508-1 -МЭК 61508-4 представляютсобойосновополагающиестандартыпобезопасности, хотяэтотстатуснеприменяетсявконтекстеЕ/Е/РЕсистем, связанныхбезопасностью, имеющихнебольшуюсложность (МЭК 61508-4, пункт 3.4.4). Какосновополагающиестандартыпобезопасностиони предназначеныдляиспользованиятехническимикомитетамиприподготовкестандартоввсоответствиис МЭКРуководство 104 иИСО/МЭКРуководство 51. МЭК 61508-1 -МЭК 61508-4 предназначены, кроме того, дляиспользованиявкачествесамостоятельныхстандартов.
Вкругобязанностейтехническогокомитетавходитиспользование, гдеэтовозможно, основополагающихстандартовпобезопасностиприподготовкесобственныхстандартов. Вэтомслучаетребования, методыпроверкиилиусловияпроверкинастоящегоосновополагающегостандартапобезопасностине будутприменяться, еслиэтонеуказаноспециально, илионибудутвключатьсявстандарты, подготовленныеэтимитехническимикомитетами.
Примечание-ВСШАиКанадедотехпор, покатамнебудетопубликованавкачествемеждународного стандартапредлагаемаяреализацияМЭК 61508 дляобрабатывающихотраслей (т.е. МЭК 61511), вместо МЭК 61508 вобрабатывающихотрасляхдопускаетсяиспользоватьнациональныйстандарт, базирующийсяна МЭК 61508 (т.е. ANSI/ISAS 84.01-1996).
1.5 Нарисунке 1 показанаобщаяструктураМЭК 61508-1 -МЭК 61508-7 иуказанароль, которую играетМЭК 61508-1 вдостижениифункциональнойбезопасностиЕ/Е/РЕсистем, связанныхс безопасностью.
Рисунок 1 -Общаяструктуранастоящегостандарта
2 Нормативные ссылки
Внастоящемстандартеиспользованынормативныессылкинаследующиестандарты:
ИСО/МЭКРуководство 51:1999 Руководящиеуказанияповключениювстандартыаспектов, связанныхсбезопасностью
МЭКРуководство 104:1997 Подготовкапубликацийпобезопасностиииспользованиеосновополагающихгрупповыхпубликацийпобезопасности
МЭК 61508-2:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 2. Требованиякэлектрическим, электронным, программируемымэлектроннымсистемам, связаннымсбезопасностью
МЭК 61508-3:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 3. Требованиякпрограммномуобеспечению
МЭК 61508-4:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 4. Определенияисокращения
МЭК 61508-5:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 5. Примерыметодовопределенияуровнейбезопасности
МЭК 61508-6:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 6. РуководствопоприменениюМЭК 61508-2:2000 и МЭК 61508-3:1998
МЭК 61508-7:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 7. Анализметодовисредств
3 Термины и определения
ВнастоящемстандартеприменимытерминыпоМЭК 61508-4.
4 Соответствие настоящему стандарту
4.1 Длядостижениясоответствиянастоящемустандартунеобходимовыполнятьтребованияпоотношениюкзаданнымуказаннымкритериям (например, уровнюполнотыбезопасности) и, следовательно, выполнятьвсетребованиякаждогоразделаиподраздела.
Примечание-Вобщемслучаеневозможновычленитьодинкакой-тофактор, определяющий, вкакой мередолжновыполнятьсятоилииноетребование (степеньстрогости). Решениедолжнозависетьотнескольких факторов, наборкоторых, всвоюочередь, можетзависетьотстадииипроцессаполногожизненногоцикла безопасности, жизненногоциклабезопасностиE/E/PESилижизненногоциклабезопасностипрограммногообеспечения. Вчислоэтихфактороввходят:
– характеропасностей;
– уменьшениерискаипоследствий;
– уровеньполнотыбезопасности;
– типтехнологииреализации;
– размерсистемы;
– числоучаствующихколлективов;
– физическоераспределение;
– новизнапроекта.
4.2 НастоящийстандартопределяеттребованиякЕ/Е/РЕсистемам, связаннымсбезопасностью. Он былразработандляобеспеченияохватавсегодиапазонасложности, присущейтакимсистемам. Однако дляЕ/Е/РЕсистем, связанныхсбезопасностью, имеющихнизкуюсложность (МЭК 61508-4, пункт 3.4.4), там, гдесуществуетнадежныйпрактическийопыт, дающийнеобходимуюуверенностьвтом, чтобудет достигнутанеобходимаяполнотабезопасности, возможныследующиеварианты:
– встандартахобластейприменения, реализующихтребованияМЭК 61508-1 -МЭК 61508-7, некоторыетребованиямогутбытьнеобязательнымиидопускаетсяосвобождениеотсоответствиятакимтребованиям;
– еслинастоящийстандартиспользуетсявусловияхотсутствиястандартадляобластиприменения, тонекоторыетребования, определенныевнастоящемстандарте, могутсчитатьсянеобязательными, исоответствиеэтимтребованиямможетнеучитыватьсяприусловии, чтоэторешениебудетобосновано.
4.3 СтандартыобластейприменениядляЕ/Е/РЕсистем, связанныхсбезопасностью, разработанные наосновенастоящегостандарта, должныучитыватьтребованияИСО/МЭКРуководства 51 иМЭКРуководства 104.
5 Документация
5.1 Цели
5.1.1 Перваяцельтребованийнастоящегоразделасостоитвуказанииинформации, котораядолжна бытьдокументированадлятого, чтобыэффективновыполнятьвсестадииполногожизненногоцикла, жизненногоцикласистемыE/E/PESипрограммногообеспечения.
5.1.2 Второйцельютребованийнастоящегоразделаявляетсяуказатьинформацию, котораядолжна бытьдокументирована, длятого, чтобыможнобылоэффективновыполнятьдействияпоуправлениюфункциональнойбезопасностью (см. раздел 6), верификации (см. 7.18) иоценкефункциональнойбезопасности (см. раздел 8).
Примечания
1 Требованиякдокументациивнастоящемстандартеотносятся, посути, скореекинформации, чемк физическимдокументам. Нетребуетсявключатьинформациювфизическиедокументы, еслиэтонеуказано явнымобразомвсоответствующемподразделе.
2 Документацияможетбытьпредставленавразныхформах (например, набумаге, пленкеилииномносителеинформации, допускающемотображениенаэкранеилидисплее).
3 Возможнуюструктурудокументациисм. вприложенииА.
5.2 Требования
5.2.1 Длякаждойзавершеннойстадииполногожизненногоциклабезопасности, жизненногоцикла безопасностиE/E/PESипрограммногообеспечениядокументациядолжнасодержатьинформацию, котораяявляетсядостаточнойдляэффективнойреализациипоследующихстадийидляпроцессов верификации.
Примечание-Понятиедостаточнойинформациизависитотрядафакторов, включаясложностьи размерЕ/Е/РЕсистемы, связаннойсбезопасностью, итребований, относящихсякконкретномуприменению.
5.2.2 Документациядолжнасодержатьинформацию, достаточнуюдляуправленияфункциональной безопасностью (раздел 6).
Примечание-См. примечанияк 5.1.2.
5.2.3 Документациядолжнасодержатьдостаточнуюинформацию, необходимуюдляреализацииоценки функциональнойбезопасности, атакжеданныеирезультаты, полученныеприоценкефункциональнойбезопасности.
Примечание-См. примечанияк 5.1.2.
5.2.4 Еслитолькоиноенебылообоснованоприпланированиифункциональнойбезопасностиили определеновстандартеобластиприменения, документируемаяинформациядолжнасоответствоватьположениям, приведеннымвразделахнастоящегостандарта.
5.2.5 Доступностьинформациидолжнабытьдостаточнойдлявыполненияслужебныхобязанностейв соответствиисположенияминастоящегостандарта.
Примечание-Участвующимсторонамследуетпредоставлятьтолькоинформацию, необходимуюдля выполненияконкретныхдействий, требуемыхнастоящимстандартом.
5.2.6 Документациядолжнабыть:
– точнойикраткой;
– понятнойдлятех, ктодолженееиспользовать;
– пригоднойдлятехцелей, длякоторыхонапредназначена;
– доступнойиподдерживаемой.
5.2.7 Документацияилинаборинформациидолжныиметьзаголовкиилиназвания, указывающиена областьприменениясодержания, атакжеуказательтогоилииногорода, облегчающийдоступкинформации, требуемойнастоящимстандартом.
5.2.8 Документацияможетучитыватьпроцедуры, используемыекомпаниями, атакжерабочуюпрактику, сложившуюсявконкретныхприкладныхобластях.
5.2.9 Документыилинаборинформациидолжныиметьномеризменения (номерверсии), позволяющийидентифицироватьразличныеверсиидокумента.
5.2.10 Документилинаборинформациидолженбытьструктурировантакимобразом, чтобыоблегчить поискнеобходимойинформации. Должнабытьвозможностьустановленияпоследнегоизменения (версии) документаилинабораинформации.
Примечание-Физическаяструктурадокументацииможетменятьсявзависимостиотрядафакторов, такихкакразмерсистемы, еесложностьиорганизационныетребования.
5.2.11 Вседокументыдолжныподвергатьсяизменению, исправлениям, проверке, утверждениюи контролюспомощьюсоответствующейсхемыконтроля.
Примечание-Прииспользованиидляразработкидокументацииавтоматическихиполуавтоматическихсредствмогутпотребоватьсяспециальныепроцедуры, гарантирующиепринятиеэффективныхмердляуправленияверсиямииобеспечивающиеконтрольдругихаспектов, относящихсякдокументации.
6 Управление функциональной безопасностью
6.1 Цели
6.1.1 Первойцельютребованийнастоящегоподразделаявляетсяопределениедействийпоуправлениюитехническихдействийнастадияхполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения, которыенеобходимыдлядостижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
6.1.2 Второйцельютребованийнастоящегоподразделаявляетсяопределениеответственностиотдельныхлиц, подразделенийиорганизацийдлякаждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения, атакжедлядействийвтечение каждойстадии.
Примечание-Организационныемероприятия, относящиесякданномуразделу, обеспечивают эффективнуюреализациютехническихтребованийипредназначеныдлядостиженияиподдержанияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью. Техническиетребования, необходимыедля поддержанияфункциональнойбезопасности, обычноопределяютсякакчастьинформации, предоставляемой поставщикомЕ/Е/РЕсистем, связанныхсбезопасностью.
6.2 Требования
6.2.1 Теорганизацииилиотдельныелица, которыенесутполнуюответственностьзаоднуилинесколькостадийполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESили программногообеспечения, должныопределятьуправленческиеитехническиедействиядлякаждойиз стадий, закоторуюонинесутполнуюответственность, гарантирующиедостижениеиподдержаниенеобходимойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью. Вчастности, должны бытьрассмотренытакиевопросы, как:
a) политикаистратегиядостиженияфункциональнойбезопасности, атакжесредствадляоценкиее достиженияисредствакоммуникациивнутриорганизациидляобеспечениякультурыбезопаснойработы;
b) идентификацияотдельныхлиц, подразделенийиорганизаций, несущихответственностьзавыполнениеиконтрольнадсоответствующимистадиямиполногожизненногоциклабезопасности, жизненных цикловбезопасностиE/E/PESилипрограммногообеспечения (включая, гдеэтонеобходимо, государственныеорганылицензированияиорганырегулированиявобластибезопасности);
c) применяемыеэтапыполногожизненногоциклабезопасности, жизненныхцикловбезопасности E/E/PESсистемилипрограммногообеспечения;
d) способструктурированияиобъеминформации, подлежащийдокументированию (см. раздел 5);
e) мерыиметоды, используемыедлявыполнениятребованийконкретныхразделовиподразделов (МЭК 61508-2, МЭК 61508-3 иМЭК 61508-6);
f) действияпооценкефункциональнойбезопасности (см. раздел 8);
g) процедуры, предназначенныедляобеспечениябыстрогоисполнениярешенийиучетарекомендаций, относящихсякЕ/Е/РЕсистемам, связаннымсбезопасностью, являющихсярезультатом:
– анализаопасностейирисков (см. 7.4);
– оценкифункциональнойбезопасности (см. раздел 8);
– действийповерификации (см. 7.18);
– действийпоподтверждениюсоответствия (см. 7.8 и 7.14)*);
– управленияконфигурацией (см. 6.2.1, перечислениеo), 7.16, атакжеМЭК 61508-2 иМЭК 61508-3);
*)Оценкасоответствия-всоответствиисФедеральнымЗаконом«Отехническомрегулировании».
h) процедуры, гарантирующие, чтостороны, участвующиевовсехпроцессах, связанныхсполным жизненнымцикломсистембезопасности, жизненнымицикламибезопасностиE/E/PESилипрограммного обеспечения, компетентныввыполнениитехпроцессов, вкоторыхониучаствуют; вчастности, должны бытьопределены:
– подготовкаперсоналавчастидиагностикииустраненияотказов, атакжетестированиясистемы;
– подготовкаэксплуатационногоперсонала;
– переподготовкаперсоналачерезопределенныепериодывремени.
Примечание-ВприложенииВприведеныруководящиеуказания, касающиесятребованийккомпетенцииперсонала, участвующеговполномжизненномциклесистембезопасности, жизненныхциклахбезопасностиE/E/PESилипрограммногообеспечения.
i) процедуры, которыегарантируют, чтоопасныеинциденты (илиинциденты, которыемогутпривестик опаснымпоследствиям) будутпроанализированыичтобудутвыработанырекомендациипоминимизации возможностиихповторения;
j) процедурыдляанализаработпоэксплуатациииобслуживанию, вчастности, процедурыдля:
– выявлениясистематическихотказов, которыемогутнарушитьфункциональнуюбезопасность, включаяпроцедуры, которыеиспользуютсявовремяобычногообслуживанияприобнаруженииповторяющихсяотказов;
– оценкитого, находятсялиинтенсивностьзапросовичастотаотказовприработевсоответствиис предположениями, сделанныминаэтапепроектированиясистемы;
к) требованиякпериодическомуаудитуфункциональнойбезопасностивсоответствииснастоящим подразделом, включая:
– частотупроведенияаудитафункциональнойбезопасности;
– анализуровнянезависимостистороны, отвечающейзааудит;
– документациюипрограммувыполненияаудита;
l) процедурыпоинициированиюмодификацийсистем, связанныхсбезопасностью (см. 7.16.2.2);
m) необходимыепроцедурысогласованияиутверждениедляосуществлениямодификаций;
n) процедуры, связанныеспредоставлениемточнойинформации, касающейсявозможныхопасностейисистем, связанныхсбезопасностью;
o) процедурыуправленияконфигурациейЕ/Е/РЕсистем, связанныхсбезопасностью, втечениестадийполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммного обеспечения; вчастности, должныбытьуказаны:
– стадии, накоторыхдолженпроводитьсяформальныйконтрольконфигурации;
– процедуры, которыедолжныбытьиспользованыдляуникальнойидентификациивсехсоставных частейкомпонентов (аппаратныхсредствипрограммногообеспечения);
– процедурыдляпредотвращенияиспользованиянеутвержденныхкомпонентов.
Примечание-Болееподробноеописаниеуправленияконфигурациейприводитсяв [6] и [7].
p) обеспечение, принеобходимости, подготовкииинформациидляаварийныхслужб.
6.2.2 Действия, указанныев 6.2.1, должныбытьреализованы, ихвыполнениедолжноконтролироваться.
6.2.3 Требования 6.2.1 должныбытьотрецензированызаинтересованнымиорганизациями, идолжно бытьдостигнутосогласиепоэтимвопросам.
6.2.4 Всенесущиеответственностьзадействияпоуправлениюфункциональнойбезопасностьюдолжныбытьпроинформированыотом, зачтонесутответственность.
6.2.5 Поставщики, предоставляющиепродукциюилиуслугиорганизациям, несущимобщуюответственностьзаоднуилинесколькостадийполногожизненногоциклабезопасности, жизненныхциклов E/E/PESсистемилипрограммногообеспечения (см. 6.2.1), должныпоставлятьсвоюпродукциювсоответствиисоспецификациямиэтихорганизацийииметьсоответствующуюсистемууправлениякачеством.
7 Требования к полному жизненному циклу безопасности
7.1 Общиеположения
7.1.1 Введение
7.1.1.1 Длятого, чтобынасистематическойосновевыполнитьвседействия, необходимыедлядостижениятребуемогоуровняполнотыбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, внастоящем стандартевкачестветехническойосновыпринятамодельполногожизненногоциклабезопасности (см. рисунок 2).
Примечание-Полныйжизненныйциклбезопасностидолжениспользоватьсякакосновапри декларированиисоответствиянастоящемустандарту, однакоприэтомможетиспользоватьсяжизненныйцикл безопасности, отличныйоттого, которыйпоказаннарисунке 2, приусловии, чтовсецелиитребованиякаждого разделанастоящегостандартавыполняются.
Примечания
1 Действия, относящиесякверификации, управлениюфункциональнойбезопасностьюиоценкефункциональнойбезопасности, непоказаныизсоображенийясностирисунков, однакоониотносятсяковсемстадиям полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения.
2 Стадии, представленныенарисункепрямоугольниками 10 и 11, находятсявнеобластиприменения настоящегостандарта.
3 МЭК 61508-2 иМЭК 61508-3 относятсякпрямоугольнику 9 (реализация), ноонитакжеотносятся, при необходимости, каспектампрямоугольников 13, 14 и 15 программируемойэлектроники (аппаратнымсредствам ипрограммномуобеспечению).
Рисунок 2 -Полныйжизненныйциклбезопасности
7.1.1.2 Модельполногожизненногоциклабезопасностивключаетследующиемерыпоснижениюриска:
– Е/Е/РЕсистемы, связанныесбезопасностью;
– системы, связанныесбезопасностью, основанныенадругихтехнологиях;
– внешниесредствауменьшенияриска.
7.1.1.3 Частьполногожизненногоциклабезопасности, котораяимеетделосЕ/Е/РЕсистемами, связаннымисбезопасностью, показананарисунке. 3. ОнаноситназваниежизненногоциклаE/E/PESисоставляеттехническуюосновуМЭК 61508-2. Жизненныйциклбезопасностипрограммногообеспеченияпоказаннарисунке 4, онобразуеттехническуюосновудляМЭК 61508-3. СоотношениямеждуполнымжизненнымцикломбезопасностиижизненнымицикламиE/E/PESипрограммногообеспеченияпоказанына рисунке 5.
7.1.1.4 Рисунки 2-4, накоторыхпоказаныполныйжизненныйциклбезопасности, жизненныециклы безопасностиE/E/PESипрограммногообеспечения, представляютсобойупрощенноеотображениедействительности; онинепоказываютитеративныхпроцессоввнутристадийилимеждустадиями. Втоже времяитерациипредставляютсобойсущественнуюижизненноважнуючастьразработкиполногожизненногоциклабезопасностиижизненныхцикловбезопасностиE/E/PESипрограммногообеспечения.
7.1.1.5 Нарисунках 2-4, изображающихполныйжизненныйциклбезопасности, жизненныециклы безопасностиE/E/PESипрограммногообеспечения, непоказаныдействия, относящиесякуправлению функциональнойбезопасностью (см. раздел 6), верификации (см. 7.18) иоценкефункциональнойбезопасности (см. раздел 8). Этобылосделанодляупрощениярисунков. Этидействия, принеобходимости, должныприменятьсянасоответствующихстадияхполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения.
Рисунок 3 -ЖизненныйциклбезопасностиE/E/PES (наэтапереализации)
Рисунок 4 -Жизненныйциклбезопасностипрограммногообеспечения (наэтапереализации)
Рисунок 5 -Соотношениемеждуполнымжизненнымцикломбезопасностиижизненнымициклами безопасностиE/E/PESипрограммногообеспечения
7.1.2 Целиитребования: общиеположения
7.1.2.1 Целиитребованиядлястадийполногожизненногоциклабезопасностисодержатсяв 7.2-7.17. ЦелиитребованиядлястадийжизненногоциклаE/E/PESипрограммногообеспечениясодержатсявМЭК 61508-2 иМЭК 61508-3 соответственно.
Примечание-Подразделы 7.2-7.17 связаныспрямоугольниками (стадиями) нарисунке 2. Конкретныйпрямоугольникуказанвпримечанияхксоответствующемуподразделу.
7.1.2.2 Длявсехстадийполногожизненногоциклабезопасностивтаблице 1 указаны:
– цели, которыедолжныбытьдостигнуты;
– областьприменениястадий;
– ссылкинаподразделы, содержащиетребования;
– требованияквходнымматериаламдлястадии;
– выходныематериалы, необходимыедляобеспечениясоответствиястребованиями.
Таблица 1 -Полныйжизненныйциклбезопасности: обзор
Стадияжизненного циклабезопасности (номерстадии соответствует номерублокана рисунке2) |
Цель |
Область распространения |
Номер пункта |
Входной материал |
Выходной материал |
1 Концепция |
7.2.1 Повышение уровняпонимания EUCиегосреды (физической, законодательнойидр.), достаточногодляудовлетворительноговыполнениядругихдействий вжизненномцикле безопасности |
EUCиегосреда (физическая, законодательнаяидр.) |
7.2.2 |
Всясущественнаяинформация, необходимаядляудовлетворениятребованийподраздела |
Информация, полученная в 7.2.2.1-7.2.2.6 |
2 Полноеопределениеобластираспространения |
7.3.1 Определение границEUCисистем управленияEUC. Определениеграниц анализаопасностейи рисков (например, техногенного, природного характераидр.) |
EUCиегосреда |
7.2.3 |
Информацияизложена в 7.2.2.1-7.2.2.6 |
Информация, полученная в 7.2.2.1-7.2.2.6 |
3 Анализопасностейирисков |
7.4.1 Определение опасностейиопасных событийEUCисистем управленияEUC(во всехрежимахэксплуатации) длявсехдостаточнопредсказуемыхобстоятельств, включаяусловияошибокинеправильного использования. Определениепоследовательностейсобытий, приводящихк определеннымопаснымсобытиям. ОпределениерисковEUC, связанныхс определеннымиопаснымисобытиями |
Областьраспространениязависитотстадии, котораядостигнутав полномжизненном циклебезопасности, циклахбезопасностиE/E/PESипрограммного обеспечения (посколькуможетпотребоватьсяосуществлениеболеечем одногоанализа опасностейирисков). Дляпредварительногоанализа опасностейирисковвобластьраспространениядолжныбытьвключеныEUC, системы управленияEUCи человеческийфактор |
7.4.2 |
Информацияизложена в 7.2.2.1-7.2.2.5 |
Описаниеи информация, относящаясяк анализуопасностейирисков |
4 Полныетребованиябезопасности |
7.5.1 Разработка спецификацииполных требованийбезопасностивтерминахтребованийкфункциям безопасностиитребованийкполнотебезопасностидляЕ/Е/РЕ систем, связанныхс безопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешних средствуменьшения рискадлядостижениятребуемойфункциональнойбезопасности |
EUC, системы управленияEUCи человеческийфактор |
7.5.2 |
Описаниеи информация, относящаясяк анализуопасностейирисков |
Спецификациядляполных требованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасности |
5 Распределениетребований безопасности |
7.6.1 Распределениефункцийбезопасности, содержащихсяв спецификацииполных требованийбезопасности (кактребований кфункциямбезопасности, такитребованийкполнотебезопасности) |
EUC, системы управленияEUCи человеческийфактор |
7.6.2 |
Спецификациядляполных требованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасности |
Информация ирезультаты распределения требованийбезопасности |
6 Планированиеэксплуатациииобслуживания |
7.7.1 Разработка планаэксплуатациии техническогообслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью, длягарантированиявыполнения требованийфункциональнойбезопасности впериодэксплуатации итехническогообслуживания |
EUC, системы управленияEUCи человеческийфактор. Е/Е/РЕсистемы, связанныес безопасностью |
7.7.2 |
Спецификацияполныхтребованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасности |
ПландляэксплуатацииитехническогообслуживанияЕ/Е/РЕ систем, связанныхсбезопасностью |
7 Планированиеполногоподтверждениясоответствиябезопасности |
7.8.1 Разработка планасодействияполномуподтверждению соответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью |
EUC, системы управленияEUCи человеческийфактор. Е/Е/РЕсистемы, связанныес безопасностью |
7.8.2 |
Спецификацияполныхтребованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасности |
ПлансодействияподтверждениюсоответствиябезопасностиЕ/Е/РЕсистем, связанныхс безопасностью |
8 Полноепланированиеустановкиипускав действие |
7.9.1 Разработка планаустановки Е/Е/РЕсистем, связанныхсбезопасностью, вконтролируемой формедлягарантированиявыполнения требованийфункциональнойбезопасности. Разработкаплана пускавдействие Е/Е/РЕсистем, связанныхсбезопасностью, вконтролируемой формедлягарантированиявыполнения требованийфункциональнойбезопасности |
EUCисистемы управленияEUC. Е/Е/РЕсистемы, связанныес безопасностью |
7.9.2 |
Спецификацияполныхтребованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасности |
ПланустановкиЕ/Е/РЕсистем, связанныхс безопасностью. Планпускав действиеЕ/Е/РЕ систем, связанныхсбезопасностью |
9 Реализация Е/Е/РЕсистем, связанныхсбезопасностью |
7.10.1 Создание Е/Е/РЕсистем, связанныхсбезопасностью, всоответствиисоспецификациейтребованийбезопасностик E/E/PES (включаяспецификациютребованийкфункциямбезопасностиE/E/PESи спецификациютребованийкполнотебезопасностиE/E/PES) |
Е/Е/РЕсистемы, связанныес безопасностью |
7.10.2 МЭК 61508-2 МЭК 61508-3 |
Спецификациятребований кE/E/PES |
Подтверждение, чтокаждая Е/Е/РЕсистема, связаннаясбезопасностью, отвечаетспецификациитребованийбезопасностиE/E/PES |
10 Реализациясистем, связанныхсбезопасностью, основанныхнадругихтехнологиях |
7.11.1 Создание систем, относящихсяк безопасности, основанныхнадругихтехнологиях, отвечающих требованиямкфункциямбезопасностии требованиямкполнотебезопасности, определенныхдлятаких систем (выходитза рамкиобластиопределениянастоящего стандарта) |
Системы, связанныесбезопасностью, основанныенадругихтехнологиях |
7.11.2 |
Спецификациятребований безопасностисистем, основанныхнадругихтехнологиях (выходитзапределы областиопределениянастоящегостандартаив дальнейшемне рассматриваетсявнастоящем стандарте) |
Подтверждениетого, чтосистемы, связанные сбезопасностью, основанные надругихтехнологиях, отвечают требованиямбезопасностидля этихсистем |
11 Реализациявнешних средствуменьшенияриска |
7.12.1 Создание внешнихсредствсокращениярискадля удовлетворениятребованийкфункциям безопасностиитребованийкполнотебезопасности, определенныхдлятакихсредств (выходитзаобласть определениянастоящегостандарта) |
Внешниесредствауменьшения риска |
7.12.2 |
Спецификациятребований безопасностик внешнимсредствамсокращенияриска (выходитзапределы областиопределениянастоящегостандарта, ив дальнейшемне рассматриваетсявнастоящем стандарте) |
Подтверждение, чтовнешние средствасокращениярискаотвечаюттребованиямбезопасностидлятаких средств |
12 Полнаяустановкаипускв действие |
7.13.1 Установка Е/Е/РЕсистем, связанныхсбезопасностью. Пусквдействие Е/Е/РЕсистем, связанныхсбезопасностью |
EUCисистемы управленияEUC. Е/Е/РЕсистемы, связанныесбезопасностью |
7.13.2 |
ПланпоустановкеЕ/Е/РЕ систем, связанныхсбезопасностью. Планпопускувдействиесистем, связанныхсбезопасностью |
Полностью установленные Е/Е/РЕсистемы, связанныесбезопасностью. Полностью пущенныевдействиеЕ/Е/РЕ системы, связанныесбезопасностью |
13 Полное подтверждение соответствиябезопасности |
7.14.1 Подтверждениетого, чтоЕ/Е/РЕ системы, связанныес безопасностью, отвечаютспецификации полныхтребований безопасностивтерминахполныхтребованийкфункциямбезопасностииполных требованийкполноте безопасностисучетомраспределения требованийбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью, всоответствиис 7.6 |
EUCисистемы управленияEUC. Е/Е/РЕсистемы, связанныесбезопасностью |
7.14.2 |
Полныйплан подтверждения соответствиядля Е/Е/РЕсистем, связанныхсбезопасностью. Спецификацияполныхтребованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасности. Распределениетребований безопасности |
Подтверждениетого, что Е/Е/РЕсистемы, связанныесбезопасностью, отвечаютспецификацииполных требованийбезопасностивтерминахтребованийкфункциям безопасностии требованийк полнотебезопасностисучетомраспределениятребованийбезопасностидляЕ/Е/РЕ систем, связанныхсбезопасностью |
14 Эксплуатация, обслуживаниеиремонт |
7.15.1 Реализация эксплуатации, обслуживанияиремонта (восстановления) Е/Е/РЕсистем, связанныхсбезопасностьютакимобразом, чтобывыполнялись определенные (заданные) требования функциональнойбезопасности |
EUCисистемы управленияEUC. Е/Е/РЕсистемы, связанныес безопасностью |
7.15.2 |
Планэксплуатации, техническогообслуживанияи восстановления. Е/Е/РЕсистем, связанныхсбезопасностью. |
Долговременнаяреализация требуемойфункциональнойбезопасностидля Е/Е/РЕсистем, связанныхсбезопасностью. Хронологическаядокументацияпоэксплуатации, обслуживанию ивосстановлению Е/Е/РЕсистем, связанныхсбезопасностью |
15 Внесение измененийимодификация |
7.16.1 ФункциональнаябезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, должнасоответствоватьнеобходимымтребованиямкак вовремя, такипосле стадиивнесенияизмененийимодификации, еслионаимела место |
EUCисистемы управленияEUC. Е/Е/РЕсистемы, связанныес безопасностью |
7.16.2 |
Запросна внесениеизмененийилимодификациювсоответствииспроцедурамипоуправлениюфункциональнойбезопасностью |
Обеспечение требуемойфункциональнойбезопасностидля Е/Е/РЕсистем, связанныхсбезопасностьюкакво время, такипосле стадиивнесения измененийимодификации, если онаимеламесто. Хронологическаядокументацияпоэксплуатации, обслуживанию ивосстановлению Е/Е/РЕсистем, связанныхсбезопасностью |
16 Выводизэксплуатацииили утилизация |
7.17.1 ФункциональнаябезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, должнанаходитьсявсоответствии собстоятельствами каквовремя, таки послеосуществления действийповыводуиз эксплуатацииилиутилизацииEUC |
EUCисистемы управленияEUC. Е/Е/РЕсистемы, связанныес безопасностью |
7.17.2 |
Запроснавыводизэксплуатацииилиутилизациювсоответствииспроцедурамипоуправлениюфункциональнойбезопасностью |
Обеспечение требуемойфункциональнойбезопасностидля Е/Е/РЕсистем, связанныхсбезопасностьюкакво время, такипослеосуществления действийповыводуизэксплуатации илиутилизации. Хронологическаядокументация подействиямпо выводуизэксплуатациииутилизации |
7.1.3 Цели
7.1.3.1 Первойцельютребованийнастоящегоподразделаявляетсяструктурированиенасистематическойосновестадийполногожизненногоциклабезопасности, которыедолжнырассматриватьсядлядостижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
7.1.3.2 Втораяцельтребованийнастоящегоподразделасостоитвдокументированииключевойинформации, имеющейотношениекфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностьюнапротяженииполногожизненногоциклабезопасности.
Примечание-Структурудокументациисм. вразделе 5 иприложенииА. Структурадокументации можетучитыватьпроцедуры, используемыевкомпаниях, ирабочуюпрактику, сложившуюсявконкретныхприкладныхобластях.
7.1.4 Требования
7.1.4.1 Полныйжизненныйциклбезопасности, которыйдолжениспользоватьсякакосновадлядекларированиясоответствиянастоящемустандарту, показаннарисунке 2. Еслииспользуетсяинаямодель полногожизненногоциклабезопасности, онадолжнабытьопределенавовремяпланированияфункциональнойбезопасности, приэтомдолжныбытьреализованывсезадачиитребованиякаждогоразделаи подразделанастоящегостандарта.
Примечание-ЖизненныйциклбезопасностиE/E/PESижизненныйциклбезопасностипрограммного обеспечения (образующиестадиюреализацииполногожизненногоцикласистембезопасности), которые должныиспользоватьсяпридекларированиисоответствия, определенысоответственновМЭК 61508-2 и МЭК 61508-3.
7.1.4.2 Требованияк управлениюфункциональнойбезопасностью (см. раздел 6) должнывыполнятьсяпараллельностадиямполногожизненногоциклабезопасности.
7.1.4.3 Еслииноенеобоснованоспециально, должнаприменятьсякаждаястадияполногожизненногоциклабезопасности, итребованиядолжнывыполняться.
7.1.4.4 Каждаястадияполногожизненногоциклабезопасностидолжнабытьразделенанаэлементарныедействия, длякоторыхдолжныбытьуказаныобластьприменения, входныеивыходныематериалы.
7.1.4.5 Областьпримененияивходныематериалыдлякаждойстадииполногожизненногоциклабезопасностидолжнысоответствоватьтем, которыеуказанывтаблице 1.
7.1.4.6 Еслииноенеобоснованоприпланированиифункциональнойбезопасностиилинеопределено встандартедляобластиприменения, выходныематериалыдлякаждойстадииполногожизненногоцикла безопасностидолжнысоответствоватьматериалам, которыеуказанывтаблице 1.
7.1.4.7 Выходныематериалыкаждойстадииполногожизненногоциклабезопасностидолжныудовлетворятьцелями требованиям, специфицированнымдлякаждойстадии (см. 7.2-7.17).
7.1.4.8 Требованиякверификации, которыедолжныбытьвыполненыдлякаждойстадииполногожизненногоциклабезопасности, определеныв 7.18.
7.2 Концепция
Примечание-Этастадияпредставленапрямоугольником 1 нарисунке 2.
7.2.1 Цель
ЦельтребованийнастоящегоподразделасостоитврасширенииуровняпониманияEUCиокружающейсреды (физической, законодательнойит.п.), достаточногодлятого, чтобымоглибытьудовлетворительновыполненыдругиедействиянажизненномциклебезопасности.
7.2.2 Требования
7.2.2.1 НеобходимособратьподробнуюинформациюоEUC, требуемыхфункцияхуправленияиокружающейсреде.
7.2.2.2 Необходимоопределитьпотенциальныеисточникиопасностей.
7.2.2.3 Необходимополучитьинформациюобустановленныхопасностях (токсичности, взрывоопасности, коррозионнойактивности, реакционнойспособности, возгораемостиит.д.).
7.2.2.4 Необходимополучитьинформациюотекущемсостояниирегулированиявобластибезопасности (нанациональномимеждународномуровнях).
7.2.2.5 Должныбытьрассмотреныопасности, вызванныевзаимодействиемсдругимиEUC (установленнымииликоторыебудутустановлены), вблизирассматриваемогоEUC.
7.2.2.6 Требования 7.2.2.1-7.2.2.5 ирезультатыихвыполнениядолжныбытьдокументированы.
7.3 Определениеполнойобластиприменения
Примечание-Этастадияпредставленанарисунке 2 прямоугольником 2.
7.3.1 Цели
7.3.1.1 ПерваяцельтребованийнастоящегоподразделасостоитвопределенииграницмеждуEUCи системойуправленияEUC.
7.3.1.2 Второйцельютребованийнастоящегоподразделаявляетсяопределениеобластиприменения анализаопасностейирисков (например, опасностей, связанныхспроцессами, опасностей, связанныхс окружающейсредой, ит.п.).
7.3.2 Требования
7.3.2.1 Должнобытьопределенофизическоеоборудование, включаяEUCисистемыуправленияEUC, котороевходитвобластьпримененияанализаопасностейирисков.
Примечание-См. [1] и [2].
7.3.2.2 Должныбытьопределенывнешниесобытия, которыедолжныбытьучтеныприанализеопасностейирисков.
7.3.2.3 Должныбытьопределеныподсистемы, связанныесопасностямиирисками.
7.3.2.4 Должныбытьопределенытипысобытий, приводящиекаварииилинесчастномуслучаю, которыенеобходимоучитывать (например, отказыкомпонентов, отказыпроцедур, человеческиеошибки, зависимыемеханизмыотказов, которыемогутпривестикпоследовательностиаварий).
7.3.2.5 Требования 7.3.2.1-7.3.2.4 ирезультатыихвыполнениядолжныбытьдокументированы.
7.4 Анализопасностейирисков
Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 3.
7.4.1 Цели
7.4.1.1 ПерваяцельтребованийнастоящегоподразделасостоитвопределенииопасностейиопасныхсобытийEUCисистемыуправленияEUC (вовсехрежимахработы) длявсехобоснованныхпредсказуемыхслучаев, включаяусловияпоявленияотказовипредсказуемоенеправильноеприменениеаппаратныхсредствипрограммногообеспечения.
7.4.1.2 Втораяцельтребованийнастоящегоподразделазаключаетсявопределениипоследовательностейсобытий, приводящихкопаснымсобытиям, определеннымв 7.4.1.1.
7.4.1.3 ТретьейцельютребованийнастоящегоподразделаявляетсяопределениерисковEUC, связанныхсопаснымисобытиями, определеннымив 7.4.1.1.
Примечания
1 Настоящийподразделнеобходимпотому, чтотребованиябезопасностидляЕ/Е/РЕсистем, связанныхс безопасностью, базируютсянаподходе, основанномнасистематическоманализерисков. ТакойподходнеможетбытьреализованбезучетаEUCисистемыуправленияEUC.
2 Втехобластяхприменения, вкоторыхмогутбытьсделаныдостоверныепредположенияорисках, вероятныхопасностях, опасныхсобытияхиихпоследствиях, анализ, необходимыйдляданногоподраздела (иподраздела 7.5), можетбытьвыполненразработчикамиверсийнастоящегостандарта, предназначенныхдляобластей применения; анализможетбытьвстроенвупрощенныеграфическиетребования. ПримерытакихметодовприведенывМЭК 61508-5 (приложенияDиЕ).
7.4.2 Требования
7.4.2.1 Долженбытьпроведенанализопасностейирисков, которыйучитываетинформацию, полученнуювходестадииопределенияполнойобластиприменения (см. 7.3). Еслинаболеепозднихстадиях полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESилипрограммногообеспеченияпринимаютсярешения, которыемогутизменитьбазис, накоторомосновывалисьболееранние решения, долженбытьпроведендальнейшийанализопасностейирисков.
Примечания
1 Руководящиеуказаниясм. в [1] и [2].
2 Можетвозникнутьнеобходимостьввыполнениианализаопасностейирисковнесколькораз.
3 Вкачествепримеранеобходимостипроводитьуглубленныйанализопасностейирисковвходеполного жизненногоциклабезопасностирассмотриманализEUC, которыйвключаетвсебяклапан, связанныйсбезопасностью. Анализопасностейирисковможетопределитьдвепоследовательностисобытий, однудляслучая отказапризакрыванииклапана, другую-дляслучаяотказаприегооткрывании, которыемогутприводитьк опаснымсобытиям. ОднакопридетальноманализесистемыуправленияEUC, управляющейработойклапана, можетбытьобнаруженновыйрежимотказов, связанныйсколебаниямиклапана, которыйдобавляетновую последовательностьсобытий, приводящуюкопасномусобытию.
7.4.2.2 Должнобытьрассмотреноисключениеопасностей.
Примечание-Хотяэтоинеотноситсякобластиприменениянастоящегостандарта, первостепенную важностьимеетизначальноеисключениевыявленныхопасностей, связанныхсEUC, например,путемприменениябезопасныхвсвоейосновепринциповихорошихинженерныхрешений.
7.4.2.3 Опасностииопасныесобытия, связанныесEUCисистемойуправленияEUC, должныбыть определеныдлявсехразумнопредсказуемыхусловий (включаяусловиявозникновенияотказовиразумнопредсказуемоенеправильноеиспользование). Вэтоткругвходятвсеслучаи, связанныесчеловеческимфактором. ОсобоевниманиедолжнобытьуделеноаномальнымиредкимрежимамработыEUC.
Примечание-Разумнопредсказуемоенеправильноеиспользованиесм. вМЭК 61508-4 (пункт 3.1.11).
7.4.2.4 Должныбытьопределеныпоследовательностисобытий, ведущиекопаснымсобытиям, определеннымв 7.4.2.3.
Примечание-Обычноимеетсмыслрассмотретьвозможностьисключениякакой-либопоследовательностисобытийпутеммодификациипроцессапроектированияилииспользуемогооборудования.
7.4.2.5 Должнабытьоцененавероятностьопасныхсобытийдляусловий, указанныхв 7.4.2.3.
Примечание-Вероятностьконкретногособытияможетбытьвыраженаколичественноиликачественно (МЭК 61508-5).
7.4.2.6 Должныбытьопределенывозможныепоследствия, связанныесопаснымисобытиями, определеннымив 7.4.2.3.
7.4.2.7 Длякаждогоопасногособытиядолженбытьрассчитанилиоцененриск, связанныйсEUC.
7.4.2.8 Требования 7.4.2.1-7.4.2.7 могутбытьудовлетвореныпутемприменениякачественногоили количественногоанализарисковиопасностей (МЭК 61508-5).
7.4.2.9 Пригодностьметодаиобластьегоприменениязависятотрядафакторов, вчислокоторых входят:
– конкретныеопасностииихпоследствия;
– прикладнаяобластьипринятаявнемпрактика, считающаяся«хорошей»;
– требованиянормправовогоитехническогорегулированиявобластибезопасности;
– рискиEUC;
– доступностьточныхданных, накоторыхдолженосновыватьсяанализопасностейирисков.
7.4.2.10 Прианализеопасностейирисковдолжнобытьучтеноследующее:
– каждоеустановленноеопасноесобытиеивсекомпоненты, оказывающиевлияниенанего;
– последствияивероятностьпоследовательностисобытий, скоторойсвязанокаждоеопасноесобытие;
– необходимоеуменьшениерискадлякаждогоопасногособытия;
– меры, предпринимаемыедляуменьшенияилиисключенияопасностейирисков;
– допущения, сделанныеприанализерисков, включаяоцененныеинтенсивностизапросовиинтенсивностиотказовоборудования; должнабытьдетализированастепеньдовериякограничениямвработеи вмешательствучеловека;
– ссылкинаключевуюинформацию (см. раздел 5 иприложениеА), относящуюсяксистемам, связаннымсбезопасностью, накаждойстадиижизненногоциклаE/E/PES (например, надействияповерификациииподтверждениюсоответствия).
7.4.2.11 Информацияирезультаты, которыесоставляютанализопасностейирисков, должныбыть документированы.
7.4.2.12 ИнформацияирезультатыанализаопасностейирисковдляEUCисистемыуправленияEUCдолжныподдерживатьсянапротяжениивсегожизненногоциклабезопасности, начинаясостадиианализа опасностейирисковидовыводаизэксплуатацииилиликвидации.
Примечание-Поддержкаинформацииирезультатованализаопасностейирисков, начинаясостадии анализаопасностейирисков, являетсяглавнымсредствомдляустановленияпрогрессавразрешениипроблем, связанныхсрезультатоманализаопасностейирисков.
7.5 Полныетребованиякбезопасности
Примечание-Этастадияпредставленанарисунке 2 прямоугольником 4.
7.5.1 Цельютребованийнастоящегоподразделаявляетсяразработкаполныхтребованийкбезопасности, выраженныхвтребованияхкфункциямбезопасностиитребованияхкполнотебезопасности, относящихсякЕ/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, иквнешнимсредствамснижениярискаипредназначенныхдлядостижения необходимойфункциональнойбезопасности.
Примечание-Втехобластяхприменения, вкоторыхмогутбытьсделаныдостоверныепредположения орисках, вероятныхопасностях, опасныхсобытияхиихпоследствиях, анализ, необходимыйдляданногоподраздела (иподраздела 7.5), можетбытьвыполненразработчикамиверсийнастоящегостандарта, предназначенных дляобластейприменения; анализможетбытьвстроенвупрощенныеграфическиетребования. Примерытаких методовприведенывМЭК 61508-5 (приложенияDиЕ).
7.5.2 Требования
7.5.2.1 Длякаждойустановленнойопасностидолжныбытьопределеныфункциибезопасности, необходимыедляобеспечениятребуемойфункциональнойбезопасности. Онидолжныформироватьобщую спецификациютребованийкфункциямбезопасности.
Примечание-Наэтойстадиифункциибезопасности, которыедолжнывыполняться, неописываются натехнологическомуровне, посколькуиспользуемыеметодыитехнологияреализациистанутизвестныпозже. Приопределениитребованийкбезопасности (см. 7.6) можетпотребоватьсяизменитьописаниефункцийбезопасностивсоответствиисконкретнымиметодамиреализации.
7.5.2.2 Длякаждогоустановленногоопасногособытиядолжнобытьопределенотребуемоеуменьшениериска. Требуемоеуменьшениерискаможетбытьопределеноколичественнымиликачественным методом.
Примечание-Требуемоеуменьшениерисканеобходимодлятого, чтобыопределитьтребованияк полнотебезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешнихсредствуменьшенияриска. ВМЭК 61508-5 (приложениеС) описанодин изметодов, которыйможетприменятьсядляопределениятребуемогоуменьшениярискаприиспользовании количественногоподхода. ВМЭК 61508-5 (приложенияDиЕ) описаныкачественныеметоды, однаковприводимыхпримерахтребуемоеуменьшениерискавключаетсянеявно, тоестьнеформулируетсяявнымобразом.
7.5.2.3 Втехслучаях, когдасуществуютмеждународныестандартыдляприкладныхобластей, которыевключаютметодыдляпрямогоопределениятребуемогоуменьшенияриска, этистандартымогутбыть использованыдлявыполнениятребованийнастоящегоподраздела.
7.5.2.4 КогдаотказысистемыуправленияEUCотносятсякоднойилинесколькимсистемам, связаннымсбезопасностью, основаннымнаЕ/Е/РЕилидругихтехнологиях, и/иликвнешнимсредствамуменьшениярискаикогдасистемауправленияEUCнепозиционируетсякаксистема, связаннаясбезопасностью, тодолжныприменятьсяследующиетребования:
a) интенсивностьопасныхотказовдлясистемыуправленияEUCдолжнабытьподтверждена:
– даннымипофактическойработесистемыуправленияEUCвсхожемприменении, или
– анализомнадежности, выполненнымсиспользованиемпризнаннойпроцедуры, или
– даннымипонадежностиизпромышленнойбазыданныхпооборудованию;
b) интенсивностьопасныхотказов, объявленнаядлясистемыуправленияEUC, должнабытьнениже чем 10-5отказоввчас.
Примечание-Обоснованиеэтоготребованиясостоитвтом, чтоеслисистемауправленияEUCне позиционируетсякаксистема, связаннаясбезопасностью, тоинтенсивностьотказов, котораяможетбытьобъявленадлясистемыуправленияEUC, недолжнабытьниже, чемверхнеецелевое (планируемое) значениеотказов дляуровняполнотыбезопасности 1 (котораясоставляет 10-5опасныхотказоввчас; см. таблицу 3);
c) должныбытьопределеныиучтеныприразработкеспецификацииобщихтребованийкбезопасностивсеразумнопредсказуемыережимыопасныхотказовсистемыуправленияEUC;
d) системауправленияEUCдолжнабытьотдельнойинезависимойотЕ/Е/РЕсистем, связанныхс безопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешнихсредств уменьшенияриска.
Примечание-Еслисистемы, связанныесбезопасностью, проектировалисьдляобеспечения адекватнойполнотыбезопасностисучетомобычнойинтенсивностизапросовотсистемыуправленияEUC, тоне требуетсяпозиционироватьсистемууправленияEUCкаксистему, связаннуюсбезопасностью, (и, следовательно, еефункциинебудутпозиционироватьсякакфункциибезопасностивконтекстенастоящегостандарта).
Внекоторыхприменениях, вчастности, гдетребуетсяоченьвысокаястепеньполнотыбезопасности, можетоказатьсяприемлемымуменьшениеинтенсивностизапросовпутемпроектированиядлясистемыуправленияEUCменьшей, чемобычно, интенсивностиотказов. Втакихслучаях, еслиинтенсивностьотказовменьше, чемверхняя границацелевойполнотыбезопасностидляуровняполнотыбезопасности, равного 1 (см. таблицу 3), система управлениястановитсясистемой, связаннойсбезопасностью, икнейприменяютсятребованиянастоящего стандарта.
7.5.2.5 Еслитребования 7.5.2.4 [перечисленияа)-d)] немогутбытьсоблюдены, тосистемауправленияEUCдолжнарассматриватьсякаксистема, связаннаясбезопасностью. Уровеньполнотыбезопасности, отнесенныйксистемеуправленияEUC, долженосновыватьсянаинтенсивностиотказов, объявленной длясистемыуправленияEUCвсоответствиисцелевымизначениямиотказов, приведеннымивтаблицах 2 и 3. Втакихслучаяхтребованиянастоящегостандарта, относящиесякназначаемомууровнюполноты безопасности, должныприменятсяксистемеуправленияEUC.
Примечания
1 Например, еслидлясистемыуправленияEUCобъявленаинтенсивностьотказов10-6-10-5отказовв час, тодолжныбытьвыполненытребования, соответствующиеуровнюполнотыбезопасности, равному 1.
7.5.2.6 Длякаждойфункциибезопасностидолжныбытьуказанытребованиякполнотебезопасности, выраженныевтребуемомуменьшениириска. Онидолжнысоставлятьспецификациюполныхтребованийк полнотебезопасности.
Примечание-Спецификациятребованийкполнотебезопасностипредставляетсобойпромежуточнуюстадиюнапутикопределениюуровнейполнотыбезопасностидляфункцийбезопасности, которыедолжны бытьреализованыЕ/Е/РЕсистемами, связаннымисбезопасностью. Некоторыеизкачественныхметодов, используемыхдляопределенияуровнейполнотыбезопасности [МЭК 61508-5 (приложенияDиЕ)] содержатпереходнепосредственноотпараметроврискакуровнямполнотыбезопасности. Втакихслучаяхтребуемоеуменьшениерискаявляетсянеявным, тоестьнеформулируетсяявнымобразом, посколькуоноинтегрировановсам метод.
7.5.2.7 Спецификациифункцийбезопасности (см. 7.5.2.1) итребованийкполнотебезопасности (см. 7.5.2.6) должнысовместноформироватьспецификациюполныхтребованийбезопасности.
7.6 Распределениетребованийбезопасности
Примечание-Этастадияпредставленанарисунке 2 прямоугольником 5.
7.6.1 Цели
7.6.1.1 Первойцельютребованийнастоящегоподразделаявляетсяраспределениефункцийбезопасности, содержащихсявспецификацииполныхтребованийбезопасности (включающейтребованиякфункциямбезопасностиитребованиякполнотебезопасности), поназначеннымЕ/Е/РЕсистемам, связаннымс безопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, ивнешним средствамуменьшенияриска.
Примечание-Системыбезопасности, основанныенадругихтехнологиях, ивнешниесредства уменьшениярискарассматриваются, принеобходимости, когдараспределениепоЕ/Е/РЕсистемам, связанным сбезопасностью, неможетбытьвыполненобезучетадругихмерпоснижениюриска.
7.6.1.2 Второйцельютребованийнастоящегоподразделаявляетсяраспределениеуровняполноты безопасностидлякаждойфункциибезопасности.
Примечание-Уровниполнотыбезопасности, какуказанов 7.5, выражаютсячерезснижениериска.
7.6.2 Требования
7.6.2.1 Должныбытьопределеныназначенныесистемы, связанныесбезопасностью, которыебудут использоватьсядлядостижениятребуемойфункциональнойбезопасности. Требуемоеуменьшениериска можетбытьдостигнутозасчет:
– внешнихсредствуменьшенияриска;
– Е/Е/РЕсистем, связанныхсбезопасностью;
– систем, связанныхсбезопасностью, основанныхнадругихтехнологиях.
Примечание-Настоящийподразделприменимтолькоприусловии, чтооднаизсистем, связанныхс безопасностью, представляетсобойE/E/PES.
7.6.2.2 ПрираспределениифункцийбезопасностипоназначеннымЕ/Е/РЕсистемам, связаннымс безопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, ивнешним средствамуменьшенияриска, должныбытьучтенывозможностииресурсывсехстадийполногожизненногоциклабезопасности.
Примечания
1 Всепоследствияиспользованиясистем, связанныхсбезопасностью, основанныхнасложныхтехнологиях, частонедооцениваются. Вчастности, реализациясложнойтехнологиитребуетболеевысокогоуровнякомпетентностинавсехуровняхотразработкиспецификацийдоэксплуатацииисопровождения. Использованиедругих, болеепростыхтехнологическихрешений, можетбытьравнымпоэффективностиивтожевремяобладать рядомпреимуществиз-зауменьшившейсясложностиE/E/PES.
2 Доступностьвозможностейиресурсовприэксплуатацииисопровождении, атакжеусловияработымогут иметькритическоезначениедлядостижениятребуемойфункциональнойбезопасностивусловияхреальной эксплуатации.
7.6.2.3 Каждаяфункциябезопасностивместесотносящимсякнейтребованиемкполнотебезопасности, разработаннымвсоответствиис 7.5, должнабытьраспределенапоназначеннымЕ/Е/РЕсистемам, связаннымсбезопасностью, сучетомсниженияриска, достигаемогозасчетсистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешнихсредствуменьшениярискадлядостижениятребуемогосниженияуровнярискадляэтойфункциибезопасности. Этораспределениеимеетитерационный характер. Еслибудетустановлено, чтотребуемоеуменьшениерисканеможетбытьдостигнуто, тоархитектурадолжнабытьизмененаираспределениедолжнобытьвыполненоповторно.
Примечания
1 Каждаяфункциябезопасностивместесотносящимсякнейтребованиемкполнотебезопасности, выраженнымчерезтребуемоеснижениериска (см. 7.5), распределяетсяпооднойилинесколькимЕ/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологияхивнешнимсредствамуменьшенияриска. Решениеораспределенииконкретнойфункциибезопасностипооднойили несколькимсистемам, связаннымсбезопасностью, зависитотрядафакторов, новособенностиотстепени уменьшенияриска, котороедолжнобытьдостигнутоспомощьюфункциибезопасности. Чембольшееснижение рисканеобходимо, тембольшевероятностьтого, чтофункциябудетраспределенамеждунесколькимисистемами, связаннымисбезопасностью.
2 Нарисунке 6 показанпринятыйвнастоящемподразделеподходкраспределениютребованийкбезопасности.
7.6.2.4 Распределение, указанноев 7.6.2.3, должнобытьвыполненотакимобразом, чтобывсефункциибезопасностибылираспределеныичтобытребованиявотношенииполнотыбезопасностидлякаждой функциибезопасностибыливыполнены (втомчислеважнейшиетребования, определенныев7.6.2.10).
7.6.2.5 Требованиякполнотебезопасностидлякаждойфункциибезопасностидолжныбытьпригодны дляуказаниятого, чтокаждыйпланируемыйпараметрполнотыбезопасностиявляетсялибо
– среднейвероятностьюотказовотвыполненияеепредназначеннойфункциипозапросу (длярежима работыснизкойчастотойобращений (запросов)) или
– вероятностьюопасногоотказавчас (длярежимаработысвысокойчастотойзапросовилирежимас непрерывнымизапросами).
7.6.2.6 Распределениетребованийкполнотебезопасностидолжнопроводитьсясиспользованием соответствующихметодовдляопределениявероятностисовместныхсобытий.
Примечание-Распределениетребованийкполнотебезопасностиможетбытьвыполненоспомощью качественныхи/иликоличественныхметодов.
7.6.2.7 Распределениеследуетпроводитьсучетомвероятностиотказов, имеющихобщуюпричину. ЕслиЕ/Е/РЕсистемы, связанныесбезопасностью, системы, связанныесбезопасностью, основанныена другихтехнологиях, ивнешниесредствауменьшениярискадолжнырассматриватьсяприраспределении какнезависимые, они:
– должныбытьфункциональноразличными (т.е. использоватьсовершенноразличныеподходыдля достиженияоднихитехжерезультатов);
– должныосновыватьсянаразличныхтехнологиях (т.е. внихдолжноиспользоватьсяоборудование различныхвидовдлядостиженияоднихитехжерезультатов).
Примечание-Следуетпонимать, чтоскольбыразнообразнанибылатехнология, вслучаесистемс высокойполнотойбезопасностиисособотяжелымипоследствиямивслучаеотказа, должныбытьприняты особыемерыпредосторожностипоотношениюкмаловероятнымсобытиямсобщейпричиной, напримеравиационнымкатастрофамилиземлетрясениям.
– недолжныиметьобщихчастей, системсервисаилиподдержки (например, источниковпитания), отказкоторыхможетпривестикотказувсехсистемвопасномрежиме;
– недолжныиметьобщихпроцедурэксплуатации, обслуживанияилитестирования;
– должныбытьфизическиразделеннымитак, чтобыпредсказуемыеотказыневлиялинаизбыточные системы, связанныесбезопасностью, ивнешниесредствауменьшенияриска.
Примечание-НастоящийстандарткасаетсяименнораспределениятребованийкполнотебезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, итребованиявнемопределенытак, каконидолжныбыть заданыдляэтихсистем. Распределениетребованийкполнотебезопасностидлясистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, идлявнешнихсредствуменьшениярискавданномстандартеподробно нерассматриваются.
Примечания
1 Требованиякполнотебезопасностисвязываютсяскаждойфункциейбезопасностидораспределения (см. 7.5.2.6).
2 Функциябезопасностиможетбытьраспределенапонесколькимсистемам, связаннымсбезопасностью.
3 ССБ-система(ы), связанная(ые) сбезопасностью.
Рисунок 6 -РаспределениетребованийбезопасностипоЕ/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, ивнешнимсредствамсниженияриска
7.6.2.8 Еслиневсетребования 7.6.2.7 могутбытьвыполнены, тоЕ/Е/РЕсистемы, связанныесбезопасностью, системы, связанныесбезопасностью, основанныенадругихтехнологиях, ивнешниесредства уменьшениярисканедолжнысчитатьсянезависимымиприраспределенииуровнейполнотыбезопасности, еслитолькопроведенныйанализнепокажет, чтоониявляютсявдостаточнойстепенинезависимыми (с точкизренияполнотыбезопасности).
Примечания
1 Болееподробнуюинформациюповопросуанализазависимыхотказовсм. в [9] и [10].
2 Достаточнаянезависимостьустанавливаетсяпутемдемонстрациитого, чтовероятностьзависимогоотказаявляетсядостаточнонизкойпосравнениюстребованиямикполнотебезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью.
7.6.2.9 Призавершениипроработкираспределениятребованийкполнотебезопасностидлякаждой функциибезопасности, распределенныхпоЕ/Е/РЕсистеме(ам), связанной(ым) сбезопасностью, должны бытьвыраженывтерминахполнотыбезопасностивсоответствиистаблицами 2 и 3 идолжныбытьпригодныдлятого, чтобыпоказатьодноиздвух: являетсялипланируемыйпараметрполнотыбезопасности
– среднейвероятностьюотказовпозапросуотвыполненияееназначеннойфункции (длярежима работыснизкойчастотойзапросов) или
– вероятностьюопасныхотказоввчас (длярежимаработысвысокойчастотойзапросовилиснепрерывнымизапросами).
Примечания
1 Доэтойстадиитребованиякполнотебезопасностибылиопределенывтерминахуменьшенияриска (см. 7.5).
2 Таблицы 2 и 3 содержатпланируемыевеличиныотказовдляуровнейполнотыбезопасности. Допускается, чтоможетоказатьсяневозможнымпредсказатьколичественнополнотубезопасностидлявсехаспектов Е/Е/РЕсистем, связанныхсбезопасностью. Вэтомслучаепоотношениюкмерампредосторожности, необходимымдлядостижениязапланированныххарактеристикотказов, должныбытьпримененыкачественныеметоды, мерыизаключения. Этоособенноотноситсякслучаюполнотыбезопасностипоотношениюксистематическим отказам [МЭК 61508-4 (пункт 3.5.4)].
Таблица 2 -Уровниполнотыбезопасности: планируемыевеличиныотказовдляфункциибезопасности, работающейврежименизкойинтенсивностизапросов
Уровень полноты безопасности |
Режимработыснизкойинтенсивностьюзапросов (средняявероятностьотказавыполненияфункциипо запросу) |
4 3 2 1 |
> 10-5– < 10-4 > 10-4– < 10-3 > 10-3 – < 10-2 > 10-2– <10-1 |
Примечание-Подробностиинтерпретацииданнойтаблицысм. впримечаниях 3-9 ниже. |
Таблица 3-Уровниполнотыбезопасности: планируемыевеличиныотказовдляфункциибезопасности, работающейврежимевысокойинтенсивностизапросовиливрежименепрерывныхзапросов
Уровень полноты безопасности |
Режимработысвысокойинтенсивностьюзапросовилирежимнепрерывныхзапросов (вероятность опасныхотказоввчас) |
4 3 2 1 |
> 10-9– < 10-8 > 10-8– < 10-7 > 10-7– < 10-6 > 10-6– < 10-5 |
Примечание-Подробностиинтерпретацииданнойтаблицысм. впримечаниях 3-9 ниже. |
3 Определениятерминоврежимработыснизкойинтенсивностьюзапросовирежимработысвысокой интенсивностьюзапросовилирежимснепрерывнымизапросамисм. вМЭК 61508-4, пункт 3.5.12.
4 Вероятностьопасныхотказоввчас-параметр, используемыйвтаблице 3 длярежимаработысвысокой интенсивностьюотказовилидляработыврежимеснепрерывнымизапросами, иногдафигурируетподназваниемчастотыопасныхотказовилиинтенсивностиопасныхотказовсединицейизмерения-опасныеотказывчас.
5 ДляЕ/Е/РЕсистем, связанныхсбезопасностью, действующихврежимевысокойинтенсивностизапросов иливрежименепрерывныхзапросов, когдаработадлитсяопределенныйпромежутоквремени, втечениекоторогоремонтнеможетбытьвыполнен, требуемыйуровеньполнотыбезопасностидляфункциибезопасности можетбытьполученследующимобразом. Определяетсятребуемаявероятностьотказафункциибезопасностив расчетенапериодработы. Полученноезначениеделитсянапродолжительностьпериода, врезультатеполучаетсятребуемаявероятностьотказовврасчетеначас. Далеесиспользованиемданныхтаблицы 3 определятся необходимыйуровеньполнотыбезопасности.
6 Настоящийстандартустанавливаетнижнююграницупланируемыхвеличинотказовврежимеопасных отказов, которыемогутобъявлятьсядляслучаяопасныхотказов. Ониопределяютсякакнижнийпределуровня полнотыбезопасности 4 (т. е. средняявероятностьотказов, равная 10-5привыполненииназначеннойфункциипо запросу, иликаквероятностьопасногоотказа, равная 10–9вчас). Можетоказатьсявозможнымразработать системы, связанныесбезопасностью, сболеенизкимизначениямипланируемыхвеличинотказовдлянесложныхсистем, однакосчитается, чтоцифры, приведенныевтаблице, представляютпредел, которыйможетбыть достигнутвнастоящеевремядляотносительносложныхсистем (например, дляпрограммируемыхэлектронных систем, связанныхсбезопасностью).
7 Планируемыевеличиныотказов, которыемогутбытьзаявленывслучаеиспользованиядвухиболее Е/Е/РЕсистем, связанныхсбезопасностью, могутоказатьсялучшетех, которыеприведенывтаблицах 2 и 3, при условии, чтодостигнутыадекватныеуровнинезависимости.
8 Важноотметить, чтовеличиныотказовдляуровнейполнотыбезопасности 1, 2, 3 и 4 являютсяпланируемымивеличинами. Принятосчитать, чтотолькопоотношениюкполнотебезопасностиаппаратныхсредств [МЭК 61508-4 (пункт 3.5.5)] возможнодатьколичественнуюоценкуииспользоватьнадежныеметодыпредсказанияприоценкетого, будутлидостигнутыпланируемыевеличиныотказов. Приопределениитого, будутлидостаточнымерыпредосторожностидлядостиженияпланируемыхвеличинотказовпоотношениюкполнотебезопасности, связаннойссистематическимиотказами [МЭК 61508-4 (пункт 3.5.4)], должныбытьиспользованыкачественныеметодыизаключения.
9 Требованиякполнотебезопасностидлякаждойфункциибезопасностидолжныуказывать, чтопредставляютсобойпараметры, характеризующиепланируемыевеличиныотказов:
– среднюювероятностьневыполненияназначеннойфункциипозапросу (приработеврежименизкой интенсивностизапросов) или
– вероятностьвозникновенияопасныхотказоввчас (длярежимасвысокойинтенсивностьюзапросовили режимаснепрерывнымизапросами).
7.6.2.10 ДляЕ/Е/РЕсистемы, связаннойсбезопасностью, котораяреализуютфункциибезопасности сразличнымиуровнямиполнотыбезопасности, текомпонентыаппаратныхсредствипрограммногообеспечения, связанногосбезопасностью, длякоторыхнеустановленадостаточнаястепеньнезависимости, должнысчитатьсяпринадлежащимикфункциямбезопасностиснаивысшимуровнемполнотыбезопасности, еслитольконебудетустановленадостаточнаянезависимостьреализацииэтихконкретныхфункций.
Следовательно, ковсемэтимкомпонентамдолжныприменятьсятребования, относящиесяксоответствующемунаивысшемууровнюполнотыбезопасности.
Примечание-См. такжеМЭК 61508-2 (пункт 7.4.2.4) иМЭК 61508-3 (пункт 7.4.2.8).
7.6.2.11 Архитектура, представленнаяединственнойЕ/Е/РЕсистемой, связаннойсбезопасностью, имеющейуровеньполнотыбезопасности 4, допустиматолькоприусловиивыполнениятребованийперечисленияа) либоодновременноговыполнениятребованийперечисленийb) ис):
a) былаявнопродемонстрированасиспользованиемкомбинациисоответствующиханалитических методовитестированиявеличинаотказовпланируемойполнотыбезопасности;
b) былполученобширныйопытэксплуатациикомпонентов, используемыхкакчастьЕ/Е/РЕсистемы, связаннойсбезопасностью; этотопытдолженбытьполученвсхожейокружающейсредеиотноситьсяк системам, имеющим, какминимум, сопоставимыйуровеньсложности;
c) имеетсядостаточныйобъемданныхпоотказамаппаратныхсредств, полученныйдляэлементов, используемыхвкачествекомпонентовЕ/Е/РЕсистемы, связаннойсбезопасностью, дающийдостаточнуюуверенностьввеличинепланируемыхотказовдлязаявляемогоуровняполнотыбезопасностиаппаратуры. Данныедолжнысоответствоватьпредполагаемымокружающейсреде, применениюиуровнюсложности.
7.6.2.12 НиоднаодиночнаяЕ/Е/РЕсистема, связаннаясбезопасностью, недолжнабытьразмещенаповеличинеотказовполнотыбезопасностиниже, чемуказановтаблицах 2 и 3. Тоесть, длясистем, связанныхсбезопасностью, работающих:
– врежименизкойинтенсивностизапросоввкачественижнейграницыпринимаетсясредняявероятностьотказа, равная 10-5, длявыполненияназначеннойфункциипозапросу;
– врежимевысокойинтенсивностизапросовиливрежименепрерывныхзапросоввкачественижней границыпринимаетсявероятностьопасныхотказов, равная 10-9вчас.
7.6.2.13 Информацияирезультатыраспределениятребованийкбезопасности, полученныевподразделах 7.6.2.1 – 7.6.2.12, вместеслюбымисделаннымидопущениямииобоснованиямидолжныбыть документированы.
Примечание-ДлякаждойЕ/Е/РЕсистемы, связаннойсбезопасностью, долженбытьдостаточный объеминформациипофункциямбезопасностиисвязаннымиснимиуровнямиполнотыбезопасности. Эта информацияобразуетосновутребованийкбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью, определяемыхвМЭК 61508-2.
7.7 Полноепланированиеэксплуатацииисопровождения
Примечания
1 Даннаястадияпредставленапрямоугольником 6 нарисунке 2.
2 Примермоделидействийприэксплуатацииисопровождениипоказаннарисунке 7.
3 Примермоделиуправленияэксплуатациейисопровождениемпоказаннарисунке 8.
7.7.1 Цель
ЦельютребованийнастоящегоподразделаявляетсяразработкапланаэксплуатацииисопровожденияЕ/Е/РЕсистем, связанныхсбезопасностью, гарантирующего, чтотребуемаяфункциональнаябезопасностьбудетподдерживатьсявпроцессеэксплуатацииисопровождения.
7.7.2 Требования
7.7.2.1 Долженбытьподготовленплан, вкоторомнеобходимоуказатьследующее:
a) типовыедействия, необходимыедляподдержаниятребуемойфункциональнойбезопасности Е/Е/РЕсистем, связанныхсбезопасностью;
b) действияиограничения, которыенеобходимы (например, призапуске, нормальнойработе, стандартномтестировании, предсказуемыхнарушениях, отказахивыключении) дляпредотвращенияпереходавнеустойчивоесостояние, уменьшенияпотребностивЕ/Е/РЕсистеме, связаннойсбезопасностью, либоослабленияпоследствийопасныхсобытий;
Примечание-КЕ/Е/РЕсистемам, связаннымсбезопасностью, относятсяследующиеограничения:
– ограничениянаработуEUCприсбоеилиотказеЕ/Е/РЕсистем, связанныхсбезопасностью;
– ограничениянаработуEUCвпериодобслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью;
– когдамогутбытьотмененыограничениянаработуEUC;
– процедурывозвратакнормальнойработе;
– процедурыподтверждениятого, чтодостигнутнормальныйрежимработы;
– обстоятельства, прикоторыхфункцииЕ/Е/РЕсистем, связанныхсбезопасностью, могутбытьпропущены припуске, вовремявыполненияспециальныхоперацийилипритестировании;
– процедуры, которымнеобходимоследоватьдо, вовремяипослеотключенияЕ/Е/РЕсистем, связанныхс безопасностью, включаяразрешениенарабочиепроцедурыиуровниполномочий.
c) документацию, которуюнеобходимовести, ивкоторойотображаютсярезультатыаудитафункциональнойбезопасностиитестирования;
d) документацию, котораянеобходимадлясохраненияинформацииобопасныхпроисшествияхи всехпроисшествиях, которыепотенциальноприводяткопасномусобытию;
e) совокупностьдействийпообслуживанию (вотличиеотдействийпомодификации);
f) действия, которыедолжныбытьпредпринятывслучаевозникновенияопасныхсобытий;
g) содержаниедокументации, вкоторойвхронологическомпорядкерегистрируютсядействиявпериодэксплуатациииобслуживания (см. 7.15).
Примечания
1 БольшинствоЕ/Е/РЕсистем, связанныхсбезопасностью, имеетнекоторыевидыотказов, которыемогут бытьобнаруженытолькопритестированиивовремястандартногообслуживания. Еслитестированиенебудет проводитьсясдостаточнойчастотой, требуемыйуровеньполнотыбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, небудетдостигнут. Когдатестированиевыполняетсяврабочемрежиме, можетпотребоватьсявременноеотключениеЕ/Е/РЕсистемы, связаннойсбезопасностью. Этодолжнобытьобоснованотольковслучае, есливероятностьзапросов, случающихсявэтовремя, мала. Есливэтомнетуверенности, можетоказаться необходимымустановитьдополнительныесенсорыиисполнительныеустройствадлясохранениятребуемой функциональнойбезопасностивовремятестирования.
2 Данныйподразделприменяетсякпоставщикупрограммногообеспечения, которыйдолженсопроводить программныйпродуктинформациейипроцедурами, которыедаютвозможностьпользователюобеспечитьнеобходимуюфункциональнуюбезопасностьвовремяэксплуатациииобслуживаниясистемы, связаннойсбезопасностью. Подразделвключаетподготовительныепроцедурыдлялюбоймодификациипрограммногообеспечения, которыемогутбытьрезультатомпотребностей, возникшихвпериодэксплуатацииилиобслуживания [см. такжеМЭК 61508-3 (пункт 7.6)]. Реализацияэтихпроцедур-поМЭК 61508-3 (пункты 7.8 и 7.15). Процедуры подготовкикбудущимизменениямпрограммногообеспечения, которыеявляютсярезультатомпотребностейв изменениисистем, связанныхсбезопасностью, рассматриваютсявМЭК 61508-3 (пункты 7.6 и 7.16). Реализация этихпроцедур-поМЭК 61508-2 (пункты 7.8 и 7.16).
3 Следуетучитыватьпроцедурыпоэксплуатациииобслуживанию, разработанныедлятого, чтобывыполнитьтребованияМЭК 61508-2 иМЭК 61508-3.
7.7.2.2 Стандартныедействияпообслуживанию, которыевыполняютсядляобнаруженияневыявленныхнеисправностей, должныбытьвыполненынаосновесистематическогоанализа.
Примечание-Еслиневыявленныенеисправностинеобнаружены, онимогут:
– вслучаепримененияЕ/Е/РЕсистем, связанныхсбезопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, иливнешнихсредствуменьшениярискапривестикотказамприработепо запросу;
– вслучаеприменениясистем, несвязанныхсбезопасностью, привестикпоявлению (ложных) запросовк Е/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругих технологиях, иливнешнимсредствамуменьшенияриска.
7.7.2.3 ПланобслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью, долженбытьсогласованс теми, ктонесетответственностьзабудущуюэксплуатациюиобслуживаниеЕ/Е/РЕсистем, связанныхс безопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, внешнихсредств уменьшенияриска, атакжесистем, несвязанныхсбезопасностью, которыемогутприводитькпоявлению запросовксистемам, связаннымсбезопасностью.
7.8 Планированиеполногоподтверждениясоответствиябезопасности
Примечание-Этастадияпредставленанарисунке 2 прямоугольником 7.
7.8.1 Цель
Цельютребованийнастоящегоподразделаявляетсяразработкаплана, облегчающегополноеподтверждениесоответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
7.8.2 Требования
7.8.2.1 Долженбытьразработанплан, включающийвсебяследующее:
a) подробноеописаниетого, когдадолжнопроисходитьподтверждениесоответствия;
b) подробностиолицах, которыедолжныосуществлятьподтверждениесоответствия;
c) спецификациюсущественныхрежимовработыEUCсуказаниемихотношениякЕ/Е/РЕсистеме, связаннойсбезопасностью, включая, гдеэтонеобходимо:
– подготовкукиспользованию, включаяустановкуирегулировку;
– запуск;
– обучение;
– автоматическийрежим;
– ручнойрежим;
– полуавтоматическийрежим;
– установившийсярежимработы;
– переустановку;
– выключение;
– обслуживание;
– разумнопредсказуемыененормальныеусловия;
d) спецификациюЕ/Е/РЕсистем, связанныхсбезопасностью, которыетребуютподтверждениясоответствиядлякаждогорежимаработыEUCдоначалавводавэксплуатацию;
e) техническуюстратегиюдляподтверждениясоответствия (например, аналитическиеметоды, статистическиетестыит.п.);
f) меры, методыипроцедуры, которыедолжныиспользоватьсядляподтверждениятого, чтораспределениефункцийбезопасностибыловыполненокорректно; онивключаютподтверждениетого, чтокаждая функциябезопасностисоответствует:
– спецификацииполныхтребованийкфункциямбезопасностии
– спецификацииполныхтребованийкполнотебезопасности;
g) конкретнуюссылкунакаждыйэлемент, содержащийсяввыходныхматериалах 7.5 и 7.6;
h) требованиякокружающимусловиям, прикоторыхдолжныпроходитьдействияпоподтверждению соответствия (длятестированияони, например, могутвключатькалиброванныесредстваиоборудование);
i) критериипрохожденияинепрохожденияподтверждениясоответствия;
j) политикуипроцедурыоценкирезультатовподтверждениясоответствия, вчастности, непрохожденияподтверждениясоответствия.
Примечание-Припланированииполногоподтверждениясоответствиябезопасностиследуетучесть работы, планируемыедляподтверждениясоответствиябезопасностиE/E/PESиподтверждениясоответствия безопасностипрограммногообеспечениясогласнотребованиямМЭК 61508-2 иМЭК 61508-3. Важнообеспечить, чтобыбылоучтеновзаимодействиемеждувсемимерамипоуменьшениюрискаичтобыбылиреализованы всефункциибезопасности (определенныеввыходныхматериалах 7.5).
7.8.2.2 Информация 7.8.2.1 должнабытьдокументирована, идолженбытьустановленпландляполногоподтверждениясоответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
7.9 Планированиеполнойустановкиивводавэксплуатацию
Примечание-Этастадияпредставленанарисунке 2 прямоугольником 8.
7.9.1 Цели
7.9.1.1 ПервойцельютребованийнастоящегоподразделаявляетсяразработкапланавконтролируемойформепоустановкеЕ/Е/РЕсистем, связанныхсбезопасностью, гарантирующего, чтобудетдостигнутатребуемаяфункциональнаябезопасность.
7.9.1.2 ВтораяцельтребованийнастоящегоподразделасостоитвразработкепланавконтролируемойформеповводувэксплуатациюЕ/Е/РЕсистем, связанныхсбезопасностью, гарантирующего, что будетдостигнутатребуемаяфункциональнаябезопасность.
7.9.2 Требования
7.9.2.1 ДолженбытьразработанпланустановкиЕ/Е/РЕсистем, связанныхсбезопасностью, определяющий:
– графикустановки;
– лиц, ответственныхзаразличныечастиустановки;
– процедурыпоустановке;
– последовательность, вкоторойинтегрируютсяразличныекомпоненты;
– критериидлядекларированияготовностикустановкевсехкомпонентЕ/Е/РЕсистем, связанныхс безопасностью, атакжекритериидлядекларированиязавершенияустановки;
– процедурыпоустранениюотказовинесовместимости.
7.9.2.2 ДолженбытьразработанпланповводувдействиеЕ/Е/РЕсистем, связанныхсбезопасностью, определяющий:
– графиквводавэксплуатацию;
– лиц, ответственныхзаразличныеэтапывводавдействие;
– процедурыповводувдействие;
– взаимосвязьсэтапамиустановки;
– взаимосвязьсподтверждениемсоответствия.
7.9.2.3 Планированиеполнойустановкиивводавдействиедолжнобытьдокументировано.
7.10 Реализация: E/E/PES
Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 9 инарисунках 3 и 4 -прямоугольниками 9.1-9.6.
7.10.1 Цель
ЦельютребованийнастоящегоподразделаявляетсясозданиеЕ/Е/РЕсистем, связанныхсбезопасностью, соответствующихспецификациитребованийкбезопасностиE/E/PES (включаяспецификациютребованийкфункциямбезопасностиE/E/PESиспецификациютребованийкполнотебезопасностиE/E/PES). См. МЭК 61508-2 иМЭК 61508-3.
7.10.2 Требования
Требования-поМЭК 61508-2 иМЭК 61508-3.
7.11 Реализация: другиетехнологии
Примечание-Этастадияпредставленанарисунке 2 прямоугольником 10.
7.11.1 Цель
Цельютребованийнастоящегоподразделаявляетсясозданиесистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, удовлетворяющихтребованиямкфункциямбезопасностииполноте безопасности, определеннымдлятакихсистем.
7.11.2 Требования
Спецификацииподлежащихвыполнениютребованийкфункциямбезопасностиикполнотебезопасностисистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, неохватываютсянастоящимстандартом.
Примечание-Системы, связанныесбезопасностью, основанныенадругихтехнологиях, базируются натехнологиях, отличныхотэлектрической /электронной/программируемойэлектронной (например, нагидравлической, пневматическойит.п.). Системы, связанныесбезопасностью, основанныенадругихтехнологиях, для полнотыкартинывключенывобщийжизненныйциклсистембезопасностинарядусвнешнимисредствамиуменьшенияриска (см. 7.12).
7.12 Реализация: внешниесредствауменьшенияриска
Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 11.
7.12.1 Цель
Цельютребованийнастоящегоподразделаявляетсясозданиевнешнихсредствуменьшенияриска, удовлетворяющихтребованиямкфункциямбезопасностииполнотебезопасности, определеннымдлятакихсредств.
7.12.2 Требования
Спецификацииподлежащихвыполнениютребованийкфункциямбезопасностииполнотебезопасностивнешнихсредствуменьшениярисканеохватываютсянастоящимстандартом.
Примечание-Внешниесредствауменьшениярискадляполнотыкартиныбыливключенывобщий жизненныйциклсистембезопасностинарядуссистемами, связаннымисбезопасностью, основанныминадругихтехнологиях (см. 7.11).
7.13 Полнаяустановкаивводвдействие
Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 12.
7.13.1 Цели
7.13.1.1 ПервойцельютребованийнастоящегоподразделаявляетсяустановкаЕ/Е/РЕсистем, связанныхсбезопасностью.
7.13.1.2 ВтораяцельтребованийнастоящегоподразделасостоитввводевдействиеЕ/Е/РЕсистем, связанныхсбезопасностью.
7.13.2 Требования
7.13.2.1 ДействияпоустановкедолжнывыполнятьсявсоответствииспланомпоустановкеЕ/Е/РЕ систем, связанныхсбезопасностью.
7.13.2.2 Информация, документируемаявовремяустановки, должнавключатьвсебя:
– документациюпопроцессамустановки;
– информациюобустраненииотказовинесовместимости.
7.13.2.3 ВводвдействиеследуетвыполнятьвсоответствииспланомповводувдействиеЕ/Е/РЕ систем, связанныхсбезопасностью.
7.13.2.4 Информация, документируемаявовремявводавдействие, должнавключатьвсебя:
– документациюподействиямповводувдействие;
– ссылкинаотчетыоботказах;
– информациюобустраненииотказовинесовместимости.
7.14 Полноеподтверждениесоответствиябезопасности
Примечание-Этафазапредставленанарисунке 2 прямоугольником 13.
7.14.1 Цель
Цельютребованийнастоящегоподразделаявляетсяподтверждениесоответствиятого, чтоЕ/Е/РЕ система, связаннаясбезопасностью, удовлетворяетполнымтребованиямкбезопасности, выраженнымв видеполныхтребованийкфункциямбезопасностииполнотебезопасности, сучетомтребованийкраспределениютребованийбезопасностипоЕ/Е/РЕсистемам, связаннымсбезопасностью, разработаннымв соответствиис 7.6.
7.14.2 Требования
7.14.2.1 Действияпоподтверждениюсоответствиядолжнывыполнятьсявсоответствииспланом полногоподтверждениясоответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
7.14.2.2 Всеоборудование, используемоедляколичественныхизмерений, используемоепридействияхпоподтверждениюсоответствия, должнобытькалибровановсоответствиистребованияминациональногостандартаилиспецификацийпоставщика.
7.14.2.3 Информация, подлежащаядокументированиювпериодподтверждениясоответствия, должнавключатьвсебя:
– документациювхронологическойформеподействиямвпериодподтверждениясоответствия;
– использовавшуюсяверсиюполныхтребованийкбезопасности;
– функциибезопасности, подтверждениесоответствиякоторыхосуществлялось (сиспользованием тестированияилианализа);
– используемыеинструментыиоборудование, атакжеданныекалибровки;
– результатыдействийпоподтверждениюсоответствия;
– конфигурациюпроверяемогокомпонента, применявшиесяпроцедурыиусловияиспытаний;
– расхождениямеждуожидаемымиифактическимирезультатами.
7.14.2.4 Вслучаерасхождениямеждуожидаемымиифактическимирезультатами, проводитсяанализипринимаетсярешениеопродолжениидействийпоподтверждениюсоответствияилионаправлении запросанавнесениеизмененийивозвратекболеераннейстадииподтверждениясоответствия; эторешениедолжнобытьдокументировано.
7.15 Эксплуатация, обслуживаниеиремонт
Примечания
1 Этастадияпредставленанарисунке 2 прямоугольником 14.
2 Организационныемероприятия, рассматриваемыевнастоящемподразделе, осуществляютсядляэффективноговыполнениятехническихтребованийипредназначеныисключительнодлядостиженияиподдержанияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью. Техническиетребования, необходимыедляподдержанияфункциональнойбезопасности, обычноопределяютсякакчастьинформации, предоставляемойпоставщикомЕ/Е/РЕсистем, связанныхсбезопасностью.
3 Требованиякфункциональнойбезопасностиприобслуживаниииремонтемогутотличатьсяоттребований, относящихсякэксплуатации.
4 Неследуетсчитать, чтопроцедурыпроверки, разработанныедляпервоначальнойустановкиивводав действие, могутбытьиспользованыбезпроверкиихобоснованностиипрактическойцелесообразностивпроцессеэксплуатацииEUC.
7.15.1 Цель
Цельтребованийнастоящегоподразделасостоитвосуществленииэксплуатации, обслуживанияи ремонтаЕ/Е/РЕсистем, связанныхсбезопасностью, такимобразом, чтобыподдерживаласьтребуемая функциональнаябезопасность.
7.15.2 Требования
7.15.2.1 Должнобытьреализованоследующее:
– планобслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью;
– процедуры, связанныесэксплуатацией, обслуживаниемиремонтомЕ/Е/РЕсистем, связанныхс безопасностью (МЭК 61508-2);
– процедуры, связанныесэксплуатациейисопровождениемпрограммногообеспечения (МЭК 61508-3).
7.15.2.2 Реализацияположений, указанныхв 7.15.2.1, должнавключать:
– реализациюпроцедур;
– следованиеграфикуобслуживания;
– поддержаниедокументации;
– периодическоепроведениеаудитафункциональнойбезопасности [см. п. 6.2.1, перечислениек)];
– документированиемодификацийЕ/Е/РЕсистем, связанныхсбезопасностью.
Примечания
1 Примермоделидействийпоэксплуатациииобслуживаниюпоказаннарисунке 7.
2 Примермоделиуправленияэксплуатациейиобслуживаниемпоказаннарисунке 8.
7.15.2.3 Необходимовестидокументированиевхронологическомпорядкедействийпоэксплуатации, ремонтуиобслуживаниюЕ/Е/РЕсистем, связанныхсбезопасностью; документациядолжнасодержать следующуюинформацию:
– результатыаудитовитестированияфункциональнойбезопасности;
– времяипричинызапросовкЕ/Е/РЕсистемам, связаннымсбезопасностью (приэксплуатации), а такжехарактеристикиЕ/Е/РЕсистем, связанныхсбезопасностью, приобработкеэтихзапросовиотказов, обнаруженныхприобычномобслуживании;
– документациюпомодификацииEUC, системуправленияEUCиЕ/Е/РЕсистем, связанныхсбезопасностью.
7.15.2.4 Точныетребованиякхронологическойдокументациизависятотконкретнойобласти примененияидолжныбыть, гдеэтоважно, болеедетальноописанывстандартахэтойобластиприменения.
Рисунок 7 -Примермоделидействийприэксплуатациииобслуживании
Рисунок 8 -Примермоделиуправленияэксплуатациейиобслуживанием
7.16 Модификацияиизменение
Примечания
1 Даннаястадиясоответствуетпрямоугольнику 15 нарисунке 2.
2 Организационныемероприятия, рассмотренныевнастоящемподразделе, обеспечиваютвыполнение техническихтребованийипредназначеныдлядостиженияиподдержанияфункциональнойбезопасности Е/Е/РЕсистем, связанныхсбезопасностью. Техническиетребования, необходимыедляподдержанияфункциональнойбезопасности, обычноопределяютсякакчастьинформации, предоставляемойпоставщикомЕ/Е/РЕ систем, связанныхсбезопасностью.
7.16.1 Цель
Цельтребованийнастоящегоподразделасостоитвтом, чтобыгарантировать, чтофункциональная безопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, соответствуетпланируемойбезопасностикакв период, такипослестадиимодификациииизменения.
7.16.2 Требования
7.16.2.1 Передвыполнениемлюбыхмодификацийилиизмененийдолжнобытьпроведенопланированиесоответствующихпроцедур (см. 6.2.1).
Примечание-Примермоделипроцедурымодификациипоказаннарисунке 9.
7.16.2.2 Стадиямодификациииизменениядолжнаинициироватьсятолькопутемвнесенияутвержденногозапросаврамкахпроцедуруправленияфункциональнойбезопасностью (см. раздел6). Взапросе должныбытьдетализированы:
– установленныеопасности, которыемогутбытьвызванымодификацией;
– предложенныеизменения (ваппаратныхсредствахипрограммномобеспечении);
– причиныдлявнесенияизменений.
Примечание-Причинамидляпоявлениязапросанамодификациюмогутбыть, например:
– функциональнаябезопасность, оказавшаясянижезаданной;
– систематическиеотказы;
– новоеилиизмененноезаконодательствовобластибезопасности;
– модификацииEUCилиспособаегоиспользования;
– модификацииполныхтребованийкбезопасности;
– анализэксплуатационныххарактеристикработыихарактеристикобслуживания, показавший, чтоэтихарактеристикиоказалисьнижезапланированных;
– обычныйаудитфункциональнойбезопасности.
Рисунок 9 -Примермоделипроцедурымодификации
7.16.2.3 Долженбытьвыполненанализвлияния, включающийоценкувлиянияпредлагаемыхизмененийнафункциональнуюбезопасностькаждойЕ/Е/РЕсистемы, связаннойсбезопасностью. Оценкадолжнавключатьанализопасностейирисков, достаточныйдлятого, чтобыопределитьстепеньохватаиглубинупоследующихстадийполногожизненногоциклабезопасности, жизненныхцикловбезопасности E/E/PESилипрограммногообеспечения, которыедолжныбытьвыполнены. Приоценкенеобходимоучитыватьвлияниедействийподругимодновременнопроводимыммодификациямилиизменениямирассматриватьсостояниефункциональнойбезопасностидоипослепроведениямодификацииивнесенияизменений.
7.16.2.4 Результатыанализавлияния, описанныев 7.16.2.3, должныбытьдокументированы.
7.16.2.5 Разрешениенапроведениетребуемоймодификациииливнесенияизмененийдолжнозависетьотрезультатованализавлияния.
7.16.2.6 Всемодификации, оказывающиевлияниенафункциональнуюбезопасностьлюбойЕ/Е/РЕ системы, связаннойсбезопасностью, должныприводитьквозвратуксоответствующейстадииполного жизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESилипрограммногообеспечения. Всепоследующиестадиидолжныосуществлятьсявсоответствииспроцедурами, определеннымидля этихстадийсогласнотребованиямнастоящегостандарта.
Примечания
1 Можетпотребоватьсяпровестиполныйанализопасностейирисков, которыйможетвызватьнеобходимостьустановленияуровнейполнотыбезопасности, которыеотличаютсяотимеющихсяустановленныхуровней полнотыбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью.
2 Недопускается, чтобыпроцедурытестирования, разработанныедляпервоначальнойустановкиипускав эксплуатацию, использовалисьбезпроверкиподтвержденияихсоответствияипрактическойцелесообразности вконтекстенормальнойработыEUC.
7.16.2.7 Должнабытьсозданадокументацияивдальнейшемподдержанавхронологическомпорядке, котораядолжнасодержатьподробноеописаниевсехдействийпомодификацииивнесениюизменений ивключать:
– запросынапроведениемодификацийивнесениеизменений;
– анализвлияния;
– повторноеподтверждениесоответствияиповторнуюверификациюданныхирезультатов;
– вседокументы, затрагиваемыепроцессамимодификациииизменения.
7.17 Выводизэксплуатацииилиликвидация
Примечание-Этастадияпредставленапрямоугольником 16 нарисунке 2.
7.17.1 Цель
Цельютребованийнастоящегоподразделастандартаявляетсяобеспечениетого, чтобыфункциональнаябезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, соответствовалаобстоятельствамв течениеипоследействийповыводуизэксплуатацииилиликвидацииEUC.
7.17.2 Требования
7.17.2.1 Передвыводомизэксплуатацииилиутилизациейнеобходимовыполнитьанализвлияния предлагаемыхдействийповыводуизэксплуатацииилиутилизациинафункциональнуюбезопасностькаждойЕ/Е/РЕсистемы, связаннойсбезопасностью, имеющейотношениекEUCиксмежнымEUC. Оценка должнавключатьанализыопасностейирисков, достаточныедляопределениянеобходимойширотыи глубиныохватапоследующихстадийполногожизненногоциклабезопасности, жизненногоциклабезопасностиE/E/PESилипрограммногообеспечения.
7.17.2.2 Результатытребований, описанныев 7.17.2.1, должныбытьдокументированы.
7.17.2.3 Стадиявыводаизэксплуатацииилиликвидациидолжнаинициироватьсявыпускомавторизованногозапросаврамкахпроцедурпоуправлениюфункциональнойбезопасностью (см. раздел 6).
7.17.2.4 Разрешениенапроведениетребуемоговыводаизэксплуатацииилиликвидациидолжно зависетьотрезультатованализавлияния.
7.17.2.5 Передвыводомизэксплуатацииилиликвидациейдолженбытьподготовленпланпо:
– прекращениюработыЕ/Е/РЕсистем, связанныхсбезопасностью;
– демонтажуЕ/Е/РЕсистем, связанныхсбезопасностью.
7.17.2.6 Есликакие-либодействияповыводуизэксплуатацииилиликвидацииоказываютвлияниена функциональнуюбезопасностьлюбойизЕ/Е/РЕсистем, связанныхсбезопасностью, тодолженбытьинициированвозвратксоответствующейстадииполногожизненногоциклабезопасности, жизненныхциклов безопасностиE/E/PESилипрограммногообеспечения. Всепоследующиестадиидолжныбытьвыполнены всоответствииспроцедурами, определеннымивнастоящемстандартедлязаданныхуровнейполноты безопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.
Примечания
1 Можетвозникнутьнеобходимостьвпроведенииполногоанализаопасностейирисков, результатомкоторогоможетявитьсянеобходимостьустановлениядругогоуровняполнотыбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью.
2 Требованиякфункциональнойбезопасностинастадиивыводаизэксплуатацииилиликвидациимогут отличатьсяоттребований, которыеиспользуютсянастадииэксплуатации.
7.17.2.7 Должнабытьсозданадокументацияивдальнейшемподдержанавхронологическомпорядке, котораядолжнасодержатьподробноеописаниевсехдействийповыводуизэксплуатацииилиликвидацииидолжнавключать:
– план, используемыйдлявыполнениядействийповыводуизэксплуатацииилиликвидации;
– анализвлияния.
7.18 Верификация
7.18.1 Цель
Цельтребованийнастоящегоподразделасостоитвдемонстрациидлякаждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения (путемпроверки, анализаи/илитестирования) того, чтовыходныематериалыотвечаютвсемсоответствующимцелямитребованиям, определеннымдляэтойстадии.
7.18.2 Требования
7.18.2.1 Длякаждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасности E/E/PESипрограммногообеспеченияодновременносразработкойпланаэтойстадиидолженбытьустановленпланверификации.
7.18.2.2 Впланеверификациидолжнысодержатьсякритерии, методыисредства, используемыепри верификации, илиданыссылкинаних.
7.18.2.3 Верификациюследуетвыполнятьсогласноплануверификации.
Примечание-Выборметодовимердлявыполненияверификации, атакжестепеньнезависимости процессовверификациизависятотрядафакторовимогутбытьопределенывстандартахдляобластейприменения. Вчислоэтихфакторовмогутвходить, например:
– размерпроекта;
– степеньсложности;
– степеньновизныпроекта;
– степеньновизнытехнологии.
7.18.2.4 Информациюповерификацииследуетсобиратьидокументироватьдлятого, чтобызасвидетельствовать, чтооназавершенаудовлетворительнововсехотношениях.
8 Оценка функциональной безопасности
8.1 Цель
Цельютребованийнастоящегоразделаявляетсяизучениеивынесениерешенияпофункциональной безопасности, достигнутойЕ/Е/РЕсистемой, связаннойсбезопасностью.
8.2 Требования
8.2.1 Дляосуществленияоценкифункциональнойбезопасностидолжныбытьназначеныодинили несколькочеловек, которыедолжныприйтикзаключениюотносительнофункциональнойбезопасности, достигаемойЕ/Е/РЕсистемами, связаннымисбезопасностью.
8.2.2 Те, ктовыполняетоценкуфункциональнойбезопасности, должныиметьдоступковсемлицам, вовлеченнымвлюбыедействиявполномжизненномциклебезопасности, жизненныхциклахбезопасности E/E/PESилипрограммногообеспечения, атакжековсейинформациииоборудованию (включаяаппаратныесредстваипрограммноеобеспечение).
8.2.3 Оценкуфункциональнойбезопасностиследуетприменятьковсемэтапамнапротяжениивсего полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения. Телица, которыеосуществляютоценкуфункциональнойбезопасности, должнырассмотретьвсе действия, атакжевсевыходныематериалы, полученныевтечениекаждойстадииполногожизненного циклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения, идатьзаключениеотом, вкакойстепенивыполненыцелиитребованиянастоящегостандарта.
8.2.4 Оценкафункциональнойбезопасностидолжнавыполнятьсядовозникновениявыявленныхопасностейнапротяженииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESи программногообеспечения. Ееможнопроводитьпослекаждойстадиижизненногоциклабезопасностиили посленесколькихстадий.
8.2.5 Есликакие-либосредстваиспользуютсявкачествесоставнойчастиприразработкеилиоценке полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESилипрограммногообеспечения, тоонисамидолжныбытьобъектомоценкифункциональнойбезопасности.
Примечания
1 ПримеромсредствявляютсяпланируемыедляработысистемыCAD/САМ, компиляторыикомпьютеры.
2 СтепеньиспользованиятакихсредствдолжнабытьоцененавзависимостиотихвлияниянафункциональнуюбезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью.
8.2.6 Приоценкефункциональнойбезопасностинеобходимоучитыватьследующее:
– работы, выполненныесовременипредыдущейоценкифункциональнойбезопасности (котораяобычно охватываетпредыдущиестадиижизненныхцикловбезопасности);
– планыилистратегияреализациипоследующихоценокфункциональнойбезопасностидляполного жизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения;
– рекомендациипредыдущихоценокфункциональнойбезопасностииобъемвнесенныхизменений.
8.2.7 Действияпооценкефункциональнойбезопасностидляразличныхстадийполногожизненного циклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечениядолжныбыть согласованнымиизапланированными.
8.2.8 Планоценкифункциональнойбезопасностидолженопределять:
– лиц, осуществляющихоценкуфункциональнойбезопасности;
– выходныематериалыприкаждойоценкефункциональнойбезопасности;
– границыоценкифункциональнойбезопасности.
Примечание-Приустановленииграницоценкифункциональнойбезопасностинеобходимоопределитьдокументы, используемыевкачествевходныхматериаловдлякаждогодействия, связанногосоценкой функциональнойбезопасности, истатусэтихдокументов.
– привлекаемыеорганыпобезопасности;
– требуемыересурсы;
– уровеньнезависимостивыполняющихоценкуфункциональнойбезопасности;
– компетентностьвыполняющихоценкуфункциональнойбезопасностивсоответствующейобласти применения.
8.2.9 Передвыполнениемоценкифункциональнойбезопасностиеепландолженбытьутверждентеми, ктобудетвыполнятьэтуоценку, итеми, ктонесетответственностьзауправлениефункциональнойбезопасностьюнаоцениваемойстадиижизненногоцикласистембезопасности.
8.2.10 Взаключенииобоценкефункциональнойбезопасностидолжныбытьвыработанырекомендациипоеепринятию, условномупринятиюилиотклонению.
8.2.11 Лица, которыеосуществляютоценкуфункциональнойбезопасности, должныбытькомпетентнымиввыполняемыхдействиях, атакжедолжныбытьучтеныфакторы, определяющиекомпетентность (см. приложенииВ).
8.2.12 Еслииноенеустановленовстандартахдляобластейприменения, томинимальныйуровень независимостивыполняющихоценкуфункциональнойбезопасностидолженсоответствоватьтомууровню, которыйуказанвтаблицах 4 и 5.
Втаблицах 4 и 5 приведеныследующиерекомендации:
– HR: уровеньнезависимости, определенныйкакнастоятельнорекомендуемыйвкачествеминимальногодляуказанныхпоследствий (см. таблицу 4) илиуровняполнотыбезопасности (см. таблицу 5). Если принятболеенизкийуровеньнезависимости, тодолжнобытьприведеноподробноеобоснование, почему небылиспользовануровеньHR;
– NR: уровеньнезависимости, определенныйкакнедостаточныйиявнонерекомендованныйдля указанныхпоследствий (см. таблицу 4) илиуровняполнотыбезопасности (см. таблицу 5). Еслипринимаетсяданныйуровеньнезависимости, тодолжнобытьприведеноподробноеобоснованиепричинегоиспользования;
– –: уровеньнезависимости, определенныйкакуровень, длякоторогоотсутствуютрекомендацииза илипротивегоиспользования.
Примечания
1 Передприменениемданныхтаблицы 4 необходимоопределитькатегориипоследствийсучетомпрактики, сложившейсявобластиприменения. Кчислупоследствийотносятсятепоследствия, которыевозникаютв результатеотказа, требующеговмешательстваЕ/Е/РЕсистем, связанныхсбезопасностью.
2 Взависимостиоторганизационнойструктурыкомпаниииопытавнутрикомпаниитребованияпонезависимостилициподразделениймогутбытьвыполненыпутемиспользованияуслугстороннейорганизации. Всвою очередькомпании, которыеимеютвнутренниеструктурысопытомвоценкерисковиприменениисистем, связанныхсбезопасностью, икоторыенезависимыиотделены (путемуправленияииспользованиемдругихресурсов) оттех, которыенесутответственностьзаосновнуюразработку, могутоказатьсяспособнымииспользоватьсвои собственныересурсыдлявыполнениятребованийпонезависимостиорганизации.
3 Определенияпонятийнезависимоголица, независимогоподразделенияинезависимойорганизациисм. вМЭК 61508-4, пункты 3.8.10, 3.8.11 и 3.8.12 соответственно.
8.2.13 Вконтекстетаблиц 4 и 5 используетсяуровеньнезависимостилибоHR1, либоHR2 (нонеоба вместе) взависимостиотчислафакторов, котороехарактернодляобластиприменения. Еслиприменяется уровеньнезависимостиHR1, тоуровеньHR2долженчитатьсякакнетребующийся; еслииспользуется уровеньHR2, тоуровеньHR1долженчитатьсякакNR (нерекомендуемый). ВотсутствиестандартавобластиприменениядолжнобытьприведеноподробноеобоснованиевыборауровняHR1илиHR2. Кчислу факторов, которыеспособствуюттому, чтобысделатьуровеньHR2болееподходящим, чемуровеньHR1, относятсяследующиефакторы:
– недостатокопытавработесосхожимипроектами;
– болеевысокаястепеньсложности;
– высокаястепеньновизныразработки;
– болеевысокаястепеньновизнытехнологии;
– недостаточнаястепеньстандартизацииособенностейпроекта.
8.2.14 Минимальныйуровеньнезависимости (см. таблицу 5) долженосновыватьсянафункциибезопасности, выполняемойЕ/Е/РЕсистемой, связаннойсбезопасностью, имеющейнаивысшийуровеньполнотыбезопасности.
Таблица 4 -Минимальныеуровнинезависимостидлявыполняющихоценкуфункциональнойбезопасности (стадииполногожизненногоциклабезопасности 1-8 и 12-16 включительно (см. рисунок 2))
Минимальныйуровень независимости |
Последствие (см. примечание 2) |
|||
А |
В |
С |
D |
|
Независимоелицо |
HR |
HR1 |
NR |
NR |
Независимоеподразделение |
— |
HR2 |
HR1 |
NR |
Независимаяорганизация |
— |
— |
HR2 |
HR |
Примечания 1 Подробноеописаниеинтерпретациинастоящейтаблицысм. в 8.2.12 (включаяпримечания) ив 8.2.13. 2 Кчислутипичныхпоследствийотносятся: последствиеА-небольшаятравма (например, временное нарушениефункции); последствиеВ-серьезнаяпостояннаятравмауодногоилинесколькихчеловек, смерть одногочеловека; последствиеС-смертьнесколькихчеловек; последствиеD-смертьоченьмногихлюдей. |
Таблица 5-Минимальныеуровнинезависимостидлявыполняющихоценкуфункциональнойбезопасности (стадия 9 полногожизненногоциклабезопасности, включаявсестадиижизненныхцикловбезопасностиE/E/PESипрограммногообеспечения (см. рисунки 2 – 4))
Минимальныйуровень независимости |
Уровеньполнотыбезопасности |
|||
А |
В |
С |
D |
|
Независимоелицо |
HR |
HR1 |
NR |
NR |
Независимоеподразделение |
— |
HR2 |
HR1 |
NR |
Независимаяорганизация |
— |
— |
HR2 |
HR |
Примечание-Подробноеописаниенастоящейтаблицысм. в 8.2.12 (включая примечания), 8.2.13 и 8.2.14. |
Приложение А
(справочное)
Пример структуры документации
А.1 Общиеположения
Внастоящемприложенииприведенпримерструктурыдокументациииметодформированиядокументов, необходимыхдляструктурированияинформациивсоответствиистребованиямираздела 5. Документациядолжнасодержатьинформацию, достаточнуюдляэффективноговыполнения:
– каждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения;
– управленияфункциональнойбезопасностью (раздел 6);
– оценкифункциональнойбезопасности (раздел 8).
Понятиедостаточностиинформациизависитотрядафакторов, включаясложностьиразмерЕ/Е/РЕсистем, связанныхсбезопасностью, итребования, относящиесякконкретнойобластиприменения. Необходимая документацияможетбытьопределенавстандартедлясоответствующейобластиприменения.
Объеминформациивкаждомдокументеможетизменятьсяотнесколькихстрокдомногихстраниц, полныйнаборинформацииможетбытьразделенмеждунесколькимифизическимидокументамилибоможетбыть представленоднимдокументом. ФизическаяструктурадокументациизависитотразмераисложностиЕ/Е/РЕ систем, связанныхсбезопасностью, идолжнаучитыватьпрактику, сложившуюсявкомпанииивконкретной областиприменения.
Примерструктурыдокументации, приведенныйвнастоящемприложении, предназначендлятого, чтобы проиллюстрироватьодинконкретныйспособструктурированиядокументациииодинизспособовнаименования документов. Болееподробнуюинформациюсм. в [4].
Документпредставляетсобойструктурированныйнаборинформации, предназначенныйдлявосприятия человеком, пригодныйдляиспользованиявкачествеединицыобменамеждупользователямии/илисистемами [5]. Данныйтерминприменим, следовательно, нетолькокдокументамвтрадиционномсмысле, нотакжеик такимпонятиям, какфайлданныхилиинформация, хранящаясявбазеданных.
Внастоящемстандартетерминдокументскорееотноситсякинформации, чемкфизическимдокументам, еслитолькоиноенеоговореноспециальноилинеможетбытьпонятовконтекстеразделаилиподраздела, в которомиспользуетсяэтоттермин. Документможетбытьдоступендлявосприятиячеловекомвразныхформах (например, набумаге, пленкеилииномносителеинформации, допускающемеепредставлениенаэкранедисплея).
Примерструктурыдокумента, приводимыйвнастоящемприложении, специфицируетдокументывдвух отношениях:
– типдокумента;
– процессилиобъект.
Типдокументаопределенвсоответствиис [3]; онхарактеризуетсодержаниедокумента, напримерописаниефункцийилипринципиальнуюсхемусоединений. Процессыилиобъектыописываютсобственнопредметную область, напримерсхемууправлениянасосом.
Основнымидокументами, определяемымивнастоящемприложении, являются:
– спецификация-определяетнеобходимуюфункцию, характеристикуилипроцесс (например, спецификациятребований);
– описание-определяетпланируемуюилиреальнуюфункцию, устройство, характеристикуилипроцесс (например, описаниефункции);
– инструкция-содержитподробныеуказанияотом, когдаикакследуетвыполнятьопределенныедействия (например, инструкциядляоператора);
– план-содержитплантого, когда, какикембудутвыполнятьсяопределенныедействия (например, план обслуживания);
– диаграмма-определяетфункцииспомощьюдиаграмм (символовилиний), представляющихсигналы, циркулирующиемеждусимволами;
– список-представляетинформациюввидесписка (например, списоккодов, списоксигналов);
– журнал-представляетинформациюособытияхвхронологическойформе;
– отчет-описываетрезультатыпроцессов, таких, какисследования, оценки, испытанияит.п. (например, отчетобиспытаниях);
– запрос-представляетописаниезапрашиваемыхдействий, которыедолжныбытьподтвержденыи затемспецифицированы (например, запроснаобслуживание).
Основнойтипдокументаможетиметьаффикс, напримерспецификациятребованийилиспецификация испытаний, уточняющийсодержание.
А.2 Структурадокументов, относящихсякжизненномуциклубезопасности
ТаблицыА.1 – А.3содержатпримерструктурыдокументации, предназначеннойдляструктурированияинформациисцельювыполнениятребований, указанныхвразделе 5. Таблицыуказываютстадиижизненного циклабезопасности, которыепреимущественносвязанысдокументами (обычноэтостадии, втечениекоторых ониразрабатывались). Названиядокументов-всоответствиисА.1.
Вдополнениекдокументам, перечисленнымвтаблицахА.1 – А.3, могутсуществоватьдополнительные документы, предоставляющиедополнительнуюдетализирующуюинформациюилиинформацию, структурированнуюдляспециальныхцелей, напримерспискизапасныхчастей, спискисигналов, спискикабелей, диаграммы циклов, спискипеременных.
Примечание-Примерамитакихпеременныхявляютсязначениядлярегуляторов, граничныедопустимыезначениядляпеременных, приоритетывыполнениязаданийнакомпьютере. Некоторыезначенияпеременныхмогутбытьпредоставленыдопоставкисистемы, другиемогутбытьпредоставленывовремявводав эксплуатациюиливовремяобслуживания.
ТаблицаА.1 – Примерструктурыинформации, относящейсякжизненномуциклусистембезопасности вцелом
Фаза жизненного цикла систем безопасности в целом |
Информация |
Концепция |
Описание (полная концепция) |
Определение общей области применения |
Описание (определение полной области применения) |
Анализ опасностей и рисков |
Описание (анализ опасностей и рисков) |
Полные требования к безопасности |
Спецификация (полные требования к безопасности, включая: полные требования к функциям безопасности и полные требования к полноте безопасности) |
Распределение требований к безопасности |
Описание (распределение требований к безопасности) |
Полное планирование эксплуатации и обслуживания |
План (полная эксплуатация и обслуживание) |
Полное планирование подтверждения соответствия безопасности |
План (полное подтверждение соответствия безопасности) |
Планирование полной установки и ввода в эксплуатацию |
План (полная установка) План (полный ввод в эксплуатацию) |
Реализация |
Реализация Е/Е/РЕ систем, связанных с безопасностью (см. МЭК 61508-2 и МЭК 61508-3) |
Полная установка и ввод в эксплуатацию |
Отчет (полная установка) Отчет (полный ввод в эксплуатацию) |
Полное подтверждение соответствия безопасности |
Отчет (полное подтверждение соответствия безопасности) |
Полная эксплуатация и обслуживание |
Журнал (полная эксплуатация и обслуживание) |
Полная модификация и изменения |
Запрос (полная модификация) Отчет (анализ влияния полной модификации и изменений) Журнал (модификация и изменения) |
Вывод из эксплуатации и ликвидация |
Отчет (анализ влияния вывода из эксплуатации или ликвидации); план (вывод из эксплуатации или ликвидация); журнал (вывод из эксплуатации или ликвидация) |
Относится ко всем стадиям |
План (безопасность); план (верификация); отчет (верификация); план (оценка функциональной безопасности); отчет (оценка функциональной безопасности) |
ТаблицаА.2 -Примерструктурыдокументациидляинформации, относящейсякжизненномуциклу безопасностиE/E/PES
СтадияжизненногоциклаE/E/PES |
Информация |
ТребованиякбезопасностиE/E/PES |
Спецификация (требованиякбезопасностиE/E/PES, включая: требованиякфункциямбезопасностиE/E/PESиполноте безопасностиE/E/PES) |
ПланированиеподтверждениясоответствияE/E/PES |
План (подтверждениесоответствиябезопасностиE/E/PES) |
ПроектированиеисозданиеE/E/PES АрхитектураE/E/PES Архитектурааппаратныхсредств Разработкааппаратныхмодулей Конструированиеи/илиприобретениекомпонентов |
Описание (проектархитектурыE/E/PES, включая: архитектуруаппаратныхсредствиархитектурупрограммногообеспечения); спецификация (комплексныеиспытанияпрограммируемойэлектроники); спецификация (комплексныеиспытанияпрограммируемыхэлектронныхинепрограммируемых электронныхустройств); описание (проектархитектурыаппаратныхсредств); спецификация (тестыинтегральнойархитектурыаппаратныхсредств); спецификация (проектаппаратныхмодулей); спецификации (испытанияаппаратныхмодулей); аппаратныемодули; отчет (проверкааппаратныхмодулей) |
Интеграцияпрограммируемойэлектроники |
Отчет (комплексныеиспытанияпрограммируемойэлектроникиипрограммногообеспечения) (см. таблицуА.3) |
ИнтеграцияE/E/PES |
Отчет (комплексныеиспытанияпрограммируемойэлектроникиидругихаппаратныхсредств) |
Процедурыэксплуатациииобслуживания E/E/PES |
Инструкция (пользователя) Инструкция (эксплуатацияиобслуживание) |
ПодтверждениесоответствиябезопасностиE/E/PES |
Отчет (подтверждениесоответствиябезопасности E/E/PES) |
МодификацияE/E/PES |
Инструкция (процедурымодификацииE/E/PES); запрос (модификацияE/E/PES); отчет (анализвлияниямодификацииE/E/PES); журнал (модификацияE/E/PES) |
Относитсяковсемфазам |
План (безопасностьE/E/PES); план (верификациябезопасностиE/E/PES); отчет (верификациябезопасностиE/E/PES); план (оценкафункциональнойбезопасностиE/E/PES); отчет (оценкафункциональнойбезопасностиE/E/PES) |
ТаблицаА.3-Примерструктурыдокументации, относящейсякжизненномуциклубезопасностипрограммногообеспечения
Фазажизненногоциклапрограммногообеспечения |
Информация |
Требованиякбезопасностипрограммногообеспечения |
Спецификация (требованиякбезопасностипрограммногообеспечения, включаятребования: кфункциямбезопасностииполнотебезопасностипрограммного обеспечения) |
Планированиеподтверждениясоответствия программногообеспечения |
План (подтверждениесоответствиябезопасностипрограммногообеспечения) |
Проектированиеисозданиепрограммного обеспечения Архитектурапрограммногообеспечения Разработкасистемыпрограммногообеспечения Разработкапрограммныхмодулей Кодирование Тестированиепрограммныхмодулей Интеграцияпрограммногообеспечения |
Описание (проектархитектурыпрограммногообеспечения) (описаниепроектаархитектурыаппаратных средствсм. втаблицеА.2); спецификация (комплексные испытанияпрограммногообеспеченияархитектуры); спецификация (комплексныеиспытанияпрограммируемой электроникиипрограммногообеспечения); инструкция (средстваразработкиируководствопокодированию); описание (проектсистемыпрограммногообеспечения); спецификация (комплексныеиспытаниясистемыпрограммногообеспечения); спецификация (проектпрограммныхмодулей); спецификация (испытанияпрограммныхмодулей); список (исходныйкод); отчет (испытанияпрограммныхмодулей); отчет (просмотркода); отчет (испытанияпрограммныхмодулей); отчет (комплексныеиспытанияпрограммныхмодулей); отчет (комплексныеиспытанияпрограммногообеспечениясистемы); отчет (комплексныеиспытанияпрограммногообеспеченияархитектуры) |
Интеграцияпрограммируемойэлектроники |
Отчет (комплексныеиспытанияпрограммируемой электроникиипрограммногообеспечения) |
Процедурыэксплуатацииисопровождения программногообеспечения |
Инструкция (пользователя) Инструкция (поэксплуатациииобслуживанию) |
Подтверждениесоответствиябезопасности программногообеспечения |
Отчет (подтверждениесоответствиябезопасностипрограммногообеспечения) |
Модификацияпрограммногообеспечения |
Инструкция (процедурымодификациипрограммного обеспечения); отчет (модификацияпрограммногообеспечения); отчет (анализвлияниямодификациипрограммногообеспечения); журнал (модификацияпрограммногообеспечения) |
Относитсяковсемфазам |
План (безопасностьпрограммногообеспечения); план (верификацияпрограммногообеспечения); отчет (верификацияпрограммногообеспечения); план (оценкафункциональнойбезопасностипрограммногообеспечения); отчет (оценкафункциональнойбезопасностипрограммногообеспечения) |
А.3Физическаяструктурадокумента
Физическаяструктурадокументациипредставляетсобойспособ, которымразличныедокументыобъединяютсявдокументы, комплектыдокументов, книгиигруппыкниг. НарисункеА.1 показаныпримерытакихгрупп книг, структурированныхвсоответствиисгруппамипользователей. Одинитотжедокументможетвходитьв разныекомплекты.
Длябольшихисложныхсистеммногиефизическиедокументы, по-видимому, должныбытьобъединеныв несколькокниг. Длянебольшойсистемы, имеющейневысокуюсложностьиограниченноечислофизических документов, всядокументацияможетбытьобъединенаводнукнигу, сзакладкамидляразличныхкомплектов документов (см. рисунокА.2).
Физическаяструктурапредставляетсредстводлявыборадокументации, необходимойдляспецифических действийотдельныхлицилигрупплиц, выполняющихэтидействия.
Следовательно, некоторыеизфизическихдокументовмогутприсутствоватьвнесколькихкнигах, комплектахкнигилидругомносителе (например, накомпьютерныхдисках).
Примечание-Информация, необходимаядлядокументов, указанныхвтаблицеА.1, можетсодержатьсявнесколькихразличныхкомплектахдокументов, показанныхнарисункахА.1 иА.2. Например, винженерном комплектемогутсодержатьсятакиедокументы, какописаниеанализаопасностейирискови/илиспецификация полныхтребованийкбезопасности.
РисунокА.1 -Структурированиеинформациивнаборыдокументовдлягрупппользователей
РисунокА.2 -Структурированиеинформациидлябольшихсложныхсистем идлянебольшихсистеммалойсложности
А.4 Списокдокументов
Списокдокументовобычносодержитследующуюинформацию:
– номерчертежаилидокумента;
– номеризменения;
– кодобозначениядокумента;
– заголовок;
– датуизменения;
– типносителяинформации.
Этотсписокможетбытьреализованвразличныхформах, например, ввидебазыданных, вкоторойимеетсявозможностьсортировкивсоответствиисномеромдокументаиличертежа, иливсоответствиискодомдокумента. Коддокументаможетсодержатьссылочноеобозначениедляфункции, местоположенияилипродукции, описываемойвдокументе, представляясобоймощныйинструментдляпоискаинформации.
Приложение В
(справочное)
Компетентность лиц
В.1 Цель
Внастоящемприложениикраткорассмотрено, какгарантировать, чтобылица, которыенесутответственностьзалюбыедействия, связанныесполнымжизненнымцикломбезопасности, жизненнымицикламибезопасностиE/E/PESилипрограммногообеспечения, являлиськомпетентнымидлявыполненияэтихобязанностей.
В.2 Общиеположения
Вселица, вовлеченныевлюбыедействия, связанныесполнымжизненнымцикломбезопасности, жизненнымцикломбезопасностиE/E/PESилипрограммногообеспечения, включаядействияпоуправлению, должны иметьсоответствующуюподготовку (тренинг), техническиезнания, опытиквалификацию, соответствующиеслужебнымобязанностям, которыеонидолжнывыполнять.
Подготовка, опытиквалификациявсехлиц, участвующихвкаких-либодействиях, связанныхсполнымжизненнымцикломбезопасности, жизненнымцикломбезопасностиE/E/PESилипрограммногообеспечения, включаяуправлениедействиямипофункциональнойбезопасности, должныбытьоцененыпоотношениюкконкретномуприменению.
Приоценкекомпетентностилицввыполнениисвоихобязанностейнеобходимоприниматьвовнимание следующее:
a) инженерныезнания, соответствующиеданнойобластиприменения;
b) инженерныезнания, соответствующиетехнологии (например, электрической, электронной, программируемойэлектроники, разработкипрограммногообеспечения);
c) инженерныезнаниявобластибезопасности, соответствующиеданнойтехнологии;
d) знаниеосновправовогоитехническогорегулированиявобластибезопасности;
e) последствиявслучаеотказовЕ/Е/РЕсистем, связанныхсбезопасностью; чемсерьезнеепоследствия, темболеестрогимидолжныбытьспецификацияиоценкакомпетентности;
f) уровниполнотыбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью; чемвышеуровеньполноты безопасности, темболеестрогимидолжныбытьспецификацияиоценкакомпетентности;
g) новизнаразработки, процедурразработкиилиприменения; чемболееновыеинепроверенныеразработки, процедурыразработкиилиприменения, темболеестрогимидолжныбытьспецификацияиоценкакомпетентности;
h) предыдущийопытиегосоответствиеконкретнымобязанностям, которыепредстоитвыполнять, атакже технологии, которыепредстоитиспользовать; чемвышетребуемыйуровенькомпетентности, темменьшедолженбытьразрывмеждукомпетентностью, приобретеннойврезультатепредыдущегоопыта, икомпетентностью, котораятребуетсядлявыполненияпредстоящихконкретныхобязанностей;
i) соответствиеквалификацииконкретнымобязанностям, которыепредстоитвыполнять.
Подготовка, опытиквалификациявсехлиц, привлеченныхклюбымдействиям, связаннымсполнымжизненнымцикломбезопасности, жизненнымицикламибезопасностиE/E/PESилипрограммногообеспечения, должныбытьдокументированы.
Приложение С
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации
ТаблицаС.1
Обозначениессылочного международногостандарта |
Обозначениеинаименованиесоответствующего национальногостандартаРоссийскойФедерации |
МЭК 61508-2:2000 |
* |
МЭК 61508-3:1998 |
ГОСТРМЭК 61508-3-2006 (МЭК 61508-3-1998) Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 3. Требованиякпрограммномуобеспечению |
МЭК 61508-4:1998 |
ГОСТРМЭК 61508-4-2006 (МЭК 61508-4-1998) Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 4. Терминыиопределения |
МЭК 61508-5:1998 |
ГОСТРМЭК 61508-5-2006 (МЭК 61508-5-1998) Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 5. Рекомендациипоприменениюметодовопределенияуровнейполнотыбезопасности |
МЭК 61508-6:2000 |
* |
МЭК 61508-7:2000 |
* |
ИСО/МЭКРуководство 51:1999 |
ГОСТР 51898-2002Аспектыбезопасности. Правилавключения встандарты |
МЭКРуководство 104:1997 |
* |
*Соответствующийнациональныйстандартотсутствует. Доегоутверждениярекомендуетсяиспользоватьпереводнарусскийязыкданногомеждународногостандарта. |
Библиография
[1] МЭК 60300-3-1:2003. Менеджментриска. Руководствопоприменениюметодованализанадежности
[2] МЭК 60300-3-9:1995 Менеджментриска. Анализрискатехнологическихсистем
[3] МЭК 61355:1997 Классификацияиобозначениядокументациидляустановок, системиоборудования
[4] МЭК 61506:1997 Измерениеиуправлениевпромышленныхпроцессах. Документациякприкладномупрограммномуобеспечению
[5] ИСО 8613-1:1994 Информационныетехнологии. Открытаяструктурадокумента (ODA) иформатобмена. Введениеиобщиепринципы
[6] ИСО 10007:1995 Контролькачества. Руководствопоуправлениюконфигурацией
[7] ИCO/MЭК TR 15846 Информационныетехнологии. Процессыжизненногоциклапрограммногообеспечения. Управлениеконфигурациейпрограммногообеспечения
[8] ANSI/ISAS84.1996 Применениесистем, оснащенныхсредствамибезопасностивобрабатывающихотраслях
[9] Процедурыдляобработкиотказовсобщимипричинамивисследованияхпобезопасностиинадежности. Процедурныеосновыипримеры, NUREG/CR-4780, Volume 1, January, 1988
[10] Процедурыдляобработкиотказовсобщимипричинамивисследованияхпобезопасностиинадежности. Аналитическиеосновыиметоды, NUREG/CR-4780, Volume 2, January, 1989
Ключевыеслова:безопасностьфункциональная, жизненныйциклсистем, электрическиекомпоненты, электронныекомпоненты, программируемыеэлектронныекомпонентыисистемы, системы, связанныесбезопасностью, планированиефункциональнойбезопасности, программноеобеспечение, уровеньполнотыбезопасности.