ГОСТ Р МЭК 61508-6-2012
П р и м е ч а н и я
1 Данная методика наиболее эффективна, если при подсчете баллов равномерно учитываются
все группы мероприятий, представленные в таблице D.1. Следовательно, рекомендуется, чтобы общая
сумма баллов X и
Y
для каждой группы была не менее общей суммы баллов X и
Y.
деленной на 20.
Например, если общая сумма баллов
X+Y
равна 80. то общая сумма баллов Х+Удля любой из групп
(например для группы мероприятий «Процедуры/интерфейс пользователя») должна быть не менее
четырех.
2 При использовании таблицы D.1 следует учитывать баллы для всех реализованных в системе
мероприятий. Подсчет суммы баллов был разработан для учета тех мероприятий, которые не являются
взаимно исключающими. Например, для системы, логические подсистемы каналов которой расположены в
отдельных стойках, подсчитывают сумму баллов мероприятий таблицы D.1 ’Расположены ли логические
подсистемы каналов в отдельных шкафах* и "Расположены ли логические подсистемы каналов на
отдельных печатных платах’.
3 Если в датчиках или исполнительных элементах используется программируемая электроника, их
рассматривают как часть логической подсистемы, если они находятся в том же здании (транспортном
средстве), что и устройство, являющееся главной частью логической подсистемы, и в качестве датчиков
или исполнительных элементов, если они расположены отдельно.
4 Для того, чтобы использовать ненулевое значение Z. нужно убедиться, что управляемое
оборудование переходит в безопасное состояние до того, как неодновременный отказ по общей причине
сможет повлиять на все каналы. Время, необходимое для обеспечения этого безопасного состояния,
должно быть менее заявленного интервала диагностического тестирования. Ненулевое значение Z
допускается использовать только в случае, если:
• система инициирует автоматическое выключение при обнаружении сбоя, или
- безопасное выключение не инициируется после первого сбоя", но диагностическое
тестирование:
- определяет местонахождение сбоя и может его локализовать, а также
- сохраняет способность перевода УО в безопасное состояние после обнаружения любых
последующих сбоев, или
- применяется формальная система работы, гарантирующая, что причина любого обнаруженного
сбоя будет полностью проанализирована в течение заявленного периода диагностического тестирования
и либо:
- установка немедленно выключается, если сбой может привести к отказу по общей причине,
либо
" Н еоб хо д и м о уч и ты вать д ей ств и я си стем ы при обн аруж ен и и сб о я . Н ап рим ер, п р остая си ст е м а с
ар хи тектур ой гол осован и я 2ооЗ д о л ж к а б ы ть вы клю чен а (или отр ем он ти р о ван а) п о сл е обн ар уж ен и я один очн ого
о тказа в теч ен и е в р ем ен и , п р и вед ен н ого в таб л и ц е D .2 или D .3. Е сл и си ст е м а не вы кл ю чен а, отказ втор о го кан ал а
м ож ет п р и вести к том у, ч то при гол осован и и д в а отказавш и х к ан ал а п ол уч ат п е р е в е с гол о со в н а д оставш и м ся
(р аб о то сп о соб н ы м ) кан алом .
У
си стем ы , которая ав то м ати ч еск и са м а м ен я ет ар хи тектур у гол осован и я н а 1о о 2 при
о тк а зе од н о го к ан ал а и ав то м ати ч еск и вы кл ю чается при возникновении втор ого отказа, в е р о я т н о сть обн аруж ен и я
н еи сп р авн ости втор о го кан ал а п о вы ш ается и. сл е д о в а те л ь н о , н е н у л е в о е зн ач ен и е
Z
возм ож но.
121