ГОСТ РМЭК 62061—2015
с)моделирование, которое систематически и полно реализует представление проекта СБЭСУ как
в терминах функциональных характеристик, так и с точки зрения правильного определения размеров и
взаимодействия ее подсистем.
Пример — Функция СБЭСУ может быть смоделирована на компьютере с помощью программного
обеспечения, моделирующего поведение (см. 6.11.3.4), где отдельные подсистемы или каждый их эле
мент имеют собственное моделируемое поведение, а реакция всей схемы, в которую они включены,
проверяется при предельных значениях данных для каждой подсистемы или ее элемента.
6.4.2 Требования к управлению систематическими сбоями
Должны быть применены следующие меры:
a) использование обесточивания: необходимо, чтобы СБЭСУ были сконструированы таким образом,
чтобы при потере их электропитания машины переходили в безопасное состояние или оставались в нем;
b
) контроль за влиянием временных отказов подсистемы: СБЭСУ должна быть сконструирована
таким образом, чтобы, например:
- изменение напряжения (прерывания, падения и др.) в отдельных подсистемах или элемен
тах подсистемы не приводило к опасности (например, прерывание напряжения, влияющее на цепи
управления двигателем, не должно привести к неожиданному его запуску, когда питание восстанав
ливается).
Примечание — См. также соответствующие требования в МЭК 60204-1. В частности:
- перенапряжение или пониженное напряжение должно быть обнаружено достаточно рано, чтобы все выхо
ды могли быть переведены в безопасное состояние процедурой отключения питания или переключены на второй
энергоблок;
- в случае необходимости, перенапряжение или пониженное напряжение должно быть обнаружено доста
точно рано, чтобы внутреннее состояние могло быть сохранено в энергонезависимой памяти и все выходы могли
быть установлены или переведены в безопасное состояние процедурой отключения питания или переключены на
второй энергоблок;
- воздействие электромагнитных помех от физического окружения или подсистем(ы) не приво
дило к опасности;
c) управление последствиями ошибок и прочими последствиями, возникающими в результате
любого процесса передачи данных, включая ошибки передачи, повторы, удаления, вставки, повторное
упорядочивание, искажения, задержка и нелегальное проникновение.
Примечания
1Более подробную информацию можно найти в МЭК 61784-3 и МЭК 61508-2.
2 Термин «нелегальное проникновение» означает, что истинное содержание сообщения определено непра
вильно. Например, сообщения от опасного компонента приняты как сообщения от безопасного;
d) если в интерфейсе происходит опасный сбой, то должна быть выполнена функция реакции на
отказ до того, как опасность может произойти из-за этого сбоя. Если происходит сбой, который снижает
устойчивость к отказам аппаратных средств до нуля, то реакция на этот сбой должна быть выполнена за
время, не превышающее предполагаемое MTTR (см. перечисление д) 67.4.4.2).
Требования перечисления d) относятся к интерфейсам, которые являются входами и выходами
подсистем и всех других частей подсистем, включающих или использующих кабельные соединения в
процессе интеграции (например, выходной сигнал переключения устройства световой завесы, выход
датчика положения ограждения).
Примечание — Подсистема или ее элемент не должны сами выявлять сбой на своих выходах. Функция
реакции на отказ может быть инициирована также любой последующей подсистемой после выполнения диагно
стического теста.
6.4.3 Электромагнитная (ЭМ) устойчивость
Кроме требований МЭК 61000-6-2 и требований к ЭМ процессам, приведенным в МЭК 61326-3-1,
СБЭСУ должна удовлетворять следующим критериям электромагнитной устойчивости для функцио
нальной безопасности:
- опасные условия или опасности не должны вноситься.
- связанные с безопасностью функции управления должны выполняться без перебоев;
- выполнение СБФУ. реализуемых СБЭСУ, может быть нарушено временно или постоянно, если
безопасное состояние машины поддерживается или достигнуто до возникновения опасности. Если ЭМ
явления могут привести к повреждению компонентов, то необходимо удостовериться (например, путем
17