15
разработки схем, то должна предполагаться возможность дальнейших неисправностей. В такой ситуации накопление неисправностей не должно приводить к потере функции безопасности.
в) Рассмотрение неисправностей может быть остановлено, когда вероятность возникновения дальнейших неисправностей считается достаточно низкой.
В этом случае число неисправностей в комбинации, заслуживающей рассмотрения, будет зависеть от технологии, структуры и применения, но должно быть достаточным, чтобы удовлетворять критерию обнаружения.
Примечание — На практике число неисправностей, которые следует рассматривать, значительно различается, например в сложных схемах микропроцессора может существовать большое число неисправностей, а для электрогидравлической цепи рассмотрение трех (или даже двух) неисправностей может быть достаточным.
Такое рассмотрение неисправностей может быть ограничено до двух неисправностей в комбинации, когда:
- интенсивность неисправностей элементов является низкой;
- неисправности в комбинации в значительной степени независимы друг от друга;
- прерывание функции безопасности случается только при возникновении неисправностей в определенном порядке.
г) При возникновении дальнейших неисправностей как результата действия первой одиночной неисправности, первая и все последующие неисправности должны рассматриваться как одиночная неисправность.
д) Неисправности общего характера должны быть учтены, например путем использования разнообразных специальных процедур, чтобы идентифицировать такие неисправности.
Примечание — В случае сложных структурных схем, например в микропроцессорах, при полном резервировании, рассмотрение неисправностей, как правило, проводят на структурном уровне, т. е. на основе монтажных блоков.
Поведение системы управления категории 4 допускает, что:
- при возникновении неисправностей функция безопасности всегда выполняется;
- неисправности будут обнаруживаться своевременно, чтобы предотвратить потерю функции безопасности.
6.3 Выбор и сочетание элементов, связанных с обеспечением безопасности, по разным категориям
Функции безопасности (см. 3.6 и раздел 5) задают по методике, описанной в 4.3 (рисунок 1, этап 3). Согласно 6.2 категории следует выбирать для всех элементов системы управления, связанных с обеспечением безопасности. Разработку и выбор элементов, связанных с обеспечением безопасности, следует осуществлять в соответствии с требованиями разделов 4 и 5. Одиночная функция безопасности может быть обработана одним или несколькими элементами, связанными с обеспечением безопасности. Подобным образом несколько функций безопасности могут обрабатываться одним или несколькими элементами, связанными с обеспечением безопасности. На практике для снижения риска может потребоваться выполнение одной или нескольких функций безопасности.
Когда функция безопасности выполняется несколькими элементами, связанными с обеспечением безопасности, например датчиками, блоком управления, элементами управления питанием, то эти элементы могут быть отнесены к одной категории и(или) к разным категориям в сочетании (комбинации).
Если элементы обеспечения безопасности, отнесенные к одной и той же или к разным категориям, используют в сочетании для выполнения функции безопасности, то анализ этого сочетания должен быть включен в общую проверку достоверности, которая необходима по этапу 5 пункта 4.3. Этот анализ будет более простым, если уже известны категории некоторых или всех элементов, связанных с обеспечением безопасности.
Выбор категории для определенного элемента системы управления, связанного с обеспечением безопасности, главным образом зависит от:
- снижения риска, который должен быть достигнут функцией безопасности за счет вклада, вносимого этим элементом;
- вероятности возникновения неисправности в этом элементе;
- риска, возникающего в случае неисправности в этом элементе;
- возможностей избежать неисправности в этом элементе;
- используемых технологий.