ГОСТ РМЭК 62061—2013
сказуемые ошибки не приводят к увеличению риска, должны быть также применены другие средства (например,
реализация действия вручную с дополнительным подтверждением перед его выполнением).
6.2.4В целях содействия реализации этих свойств в ходе разработки и интеграции СБЭСУ долж
ны быть рассмотрены ремонтопригодность и тестируемость СБЭСУ.
6.2.5. Необходимо, чтобы проект СБЭСУ. его диагностические функции и функции реакции на от
каз были документально оформлены. Эта документация должна:
- быть точной, полной и краткой;
- соответствовать предназначенной цели;
- быть доступной и поддерживаемой;
- обеспечиваться управлением версиями.
6.2.6 Данные, полученные в результате проектирования, разработки и реализации СБЭСУ. долж
ны быть верифицированы на соответствующих этапах.
6.3 Требования к поведению СБЭСУ при обнаружении в ней сбоя
6.3.1 Обнаружение опасного сбоя в любой из подсистем, которая имеет значение устойчивости
к сбоям аппаратных средств больше, чем ноль, влечет за собой выполнение специфицированной функ
ции реакции на отказ.
Такая спецификация может содержать действия по изоляции неисправных частей подсистемы
для продолжения безопасной эксплуатации машины в то время, как происходит ремонт неисправных
частей. Если неисправная деталь не будет восстановлена в течение максимального времени оцененно
го. как принято из расчета вероятности случайного сбоя в технических средствах (см. 6.7.8). то для под
держки безопасного состояния должна быть выполнена реакция на второй сбой.
Если для СБЭСУ предусмотрен ремонт в неавтономном режиме, то изоляцию неисправного эле
мента применяют только тогда, когда это не приводит к увеличению вероятности опасных случайных
сбоев аппаратных средств СБЭСУ. указанной выше в спецификации требований к системе безопас
ности.
После появления неисправностей, снижающих устойчивость к сбоям аппаратных средств до нуля,
применяются требования п. 6.3.2.
П р и м е ч а н и е — При определении среднего времени восстановления (см. МЭС 191-13-08), которое рас
сматривается в модели надежности, необходимо учитывать интервал диагностических проверок, время ремонта
илюбые другие задержки при восстановлении.
6.3.2 Если для достижения требуемой вероятности случайных опасных отказов аппаратных
средств необходима(ы) функция(и) диагностики и подсистема имеет устойчивость к сбоям аппарат
ных средств, равную нулю, то обнаружение сбоя и заданная на него реакция должны быть выполнены до
того, как может произойти опасная ситуация, предусмотренная СБФУ.
Исключение к п. 6.3.2. Если подсистема реализует конкретную СБФУ. у которой устойчивость к сбо
ям аппаратных средств равна нулю, а отношение частоты диагностического тестирования к частоте за
просов превышает 100. то интервал диагностического тестирования этой подсистемы должен быть та
ким, чтобы она удовлетворяла требование к вероятности опасного случайного сбоя технических средств.
6.3.3 Если выполнение функции реакции на сбой как части СБФУ. для которой определен УПБ 3,
привело к остановке машины, то последующая нормальная работа машины с СБЭСУ (например ее по
вторный запуск) не должна выполняться до тех пор. пока сбой не будет восстановлен или исправлен.
Для СБФУ с заданной полнотой безопасности менее УПБ 3. поведение машины после выполнения
функции реакции на сбой (например, перезапуск нормальной работы) должно зависеть от специфика
ции соответствующих функций реакции на сбой (см. 5.2.3).
6.4 Требования к систематической полноте безопасности СБЭСУ
П р и м е ч а н и е — Данные требования применимы на «системном уровне», где подсистемы объединены
для реализации СБЭСУ. Требования, относящиеся к реализации подсистемы, см. в п. 6.7.8.
6.4.1 Требования для предотвращения систематических отказов аппаратных средств
6.4.1.1 Должны быть применены следующие меры:
a) необходимо, чтобы СБЭСУ была спроектирована и реализована в соответствии с планом
функциональной безопасности (см. 4.2);
b
) правильные выбор, состав, схемы, сборка и установка подсистем, в том числе кабелей, про
водов и любых соединений;
15