ГОСТРМЭК 62340—2011
идентичные подфункции должны выполняться, по крайней мере, с входными сигналами от отдельных
датчиков.
7.4 Предотвращение распространения отказа через каналы связи
7.4.1 Для того, чтобы справиться с отказом пообщей причине, недолжно бытьсвязей между неза
висимыми системами контроля и управления, созданных с соблюдением требований по предотвраще
нию отказа по общей причине согласно 6.1.2.
7.4.2 Проект систем контроля и управления, выполняющих функции категории А, должен гаранти
ровать максимально возможную защиту от распространения отказа внутри системы контроля и управ
ления. Для достижения этой цели проекта требуется параллельное применение следующих проектных
мер:
a) Системы контроля и управления должны быть разработаны так, чтобы работа системы не под
вергалась опасности со стороны центральных подсистем, которые могут, например, предоставлять ин
формацию для отражения на главном пульте управления или поддерживать изменения параметров,
отражающих процесс работы станции и. для выполнения таких функций, требуют связи со всеми резер
вированиями системы контроля и управления, выполняющей функции категории А.
b
) Ошибочные данные из дальнейшей обработки в применяемом программном обеспечении дол
жны быть исключены.
c) Все функции, выполняемые программным обеспечением для передачи сообщений, должны
осуществляться так. чтобы правильному выполнению этих функций не помешали значения данных за
висимых от хода процесса, которые и являются объектами передачи (см. также 8.1).
d) Правильность полученных данных должна проверяться перед дальнейшей обработкой.
e) Физическое разделение резервных подсистем должно быть спроектировано по МЭК 60709.
7.4.3 Обмен входными данными между резервными единицами может создать зависимость меж
ду каналами и поэтомуондолжен быть проанализирован относительновозможности появления отказов
пообщей причине. Валидация входныхданных в режиме он-лайн (например, посредством голосования)
должна использоваться как инструмент, препятствующий распространению ошибочных данных. Вход
ныесигналы, которые были определены какошибочные (например, при выходе за пределы установлен
ных диапазонов) должны быть промаркированы и исключены из дальнейшей обработки.
7.5 Инструменты проекта по защите системы от отказа в результате технического
обслуживания
В дополнение к требованиям МЭК61513для защиты от отказов пообщей причине являются необ
ходимыми следующие специальные требования:
7.5.1 Системы контроля и управления, выполняющие функции категории А. должны анализиро
ваться во время проектирования для того, чтобы продемонстрировать устойчивость системы во время
технического обслуживания и при проведении испытаний.
Основные показатели устойчивости системы:
a) Если компоненты процесса могут вызвать проектное событие в случае ложного срабатывания
систем контроля и управления, тодолжны быть предприняты меры по устранению возможности такого
ложного срабатывания во время технического обслуживания.
b
) Число функций категории А. которые могут быть затронуты одновременно во время техничес
кого обслуживания, должно соответствовать принципам проекта безопасности на станции.
7.5.2 Для того, чтобы сократить риск отказа нескольких резервирований, вызванного техническим
обслуживанием и он-лайн испытаниями, необходимо использовать инструменты по обнаружению этих
ошибок (например, он-лайн мониторинг состояния системы) во время технического обслуживания и
средств управления процессом окончания технического обслуживания, при котором система останется в
приемлемом состоянии.
7.6 Целостность аппаратных средств системы контроля и управления
Для повышения готовности систем, важных для безопасности, необходима самодиагностика.
Хотя нижеизложенные пункты не относятся непосредственно к отказам по общей причине, их так
же необходимо рассмотреть.
7.6.1Во время эксплуатации системы должны использоваться средства самодиагностики
(см. МЭК 60880):
а) когда самодиагностика обнаружит отказ, должно быть принято заранее заданное испециально
определенное состояние;
12