ГОСТРМЭК 62061—2015
b) по контролю и предотвращению влияния физической среды (например, температуры, влажности,
воды, вибрации, пыли, агрессивных веществ, электромагнитных помех и их последствий): реакция пове
дения подсистемы на воздействие физической среды должна быть предварительно определена так, что
бы СБЭСУ мота достигать или поддерживать безопасное состояние машины (см. также МЭК 60204-1);
c) по контролю и предотвращению влияния повышения или снижения температуры, если изме
нение температуры может произойти: подсистема должна быть спроектирована так. чтобы, например,
перегрев мог быть обнаружен до того, как подсистема начнет работать при температурах вне диапазо на.
заданного спецификацией.
Примечание — Более подробно см. в А. 10 МЭК 61508-7.
6.7.Э.2.2Кроме того, для управления систематическими отказами при необходимости должны
применяться следующие меры:
- выявление отказов при выполнении контроля в неавтономном режиме;
- тестирование, основанное на сравнении избыточных аппаратных средств;
- использование разнообразных аппаратных средств:
- работа в позитивном режиме (например, концевой выключатель нажат, когда защита открыта);
- ориентированность на режим отказа;
- использование аппаратных средств с увеличенными номинальными значениями параметров на
соответствующий коэффициент, если производитель может показать, что снижение их номинальных
значений улучшает надежность.
Примечания
1Если увеличение значений необходимо, то величина коэффициента по крайней мередолжна быть равна 1,5.
2 Более подробную информацию можно найти в D.3 ИСО 13849-2.
6.7.10 Формирование подсистемы
Элементы подсистемы должны быть объединены, чтобы сформировать подсистему в соответ
ствии с 6.7.4.3.1.2 и подробную документацию проекта.
6.8 Реализация функций диагностики
6.8.1 Каждая подсистема должна быть обеспечена связанными с ней функциями диагностики,
которые необходимы для выполнения требований к архитектурным ограничениям (см. 6.7.6) и к вероят
ности опасных случайных отказов технических средств (см. 6.7.8).
6.8.2 Функции диагностики рассматриваются как отдельные, которые могут иметь отличную от
СБФУ структуру и могут выполняться:
- самой подсистемой, требующей диагностики;
- другими подсистемами СБЭСУ;
- подсистемами СБЭСУ. не выполняющими СБФУ.
Примечание — См. также примечание 3 к 6.6.2.1.1.
6.8.3 Функции диагностики должны удовлетворять следующим, применимым к связанным с ними
СБФУ требованиям:
- по предотвращению систематических отказов (см. 6.7.9.1);
- управлению систематическими отказами (см. 6.7.92).
6.8.4 Вероятность отказа функции(й) диагностики СБЭСУ должна быть учтена при оценке вероят
ности опасного отказа СБФУ.
Примечания
1См. также примечание 3 кб.6.2.1.1.
2 Временные ограничения, применяемые к тестированию подсистемы, выполняющей функции диагностики,
могут отличаться от тех, которые применяются к СБФУ. и в общем случае интервал тестирования должен соот
ветствовать требованиям, применяемым к подсистеме с устойчивостью котказам аппаратных средств равной 1.
3 Должен быть обнаружен отказ функции(й) диагностики, и должны быть выполнены соответствующие дей
ствия для уверенности в том, что вклад функции диатостики в полноту безопасности СБФУ остался тем же. Отказ
функции(й) диагностики может быть обнаружен тестированием в неавтономном режиме, перекрестной проверкой
избыточных аппаратных средств и т.д.
6.8.5 Должно быть предоставлено ясное описание функции(й) диагностики СБЭСУ, их способно
сти обнаружить отказ или их реакции на отказ, а также выполнен анализ их вклада в полноту безопас
ности соответствующих СБФУ.
34