ГОСТ IEC 60730-1—2016
Окончание таблицы Н.24
п> Режим отказа «разомкнутое состояние», то есть обрыв проводника, исключается, если толщина про
водника равна или превышает 35 мкм и ширина проводника равна или превышает 0.3 мм. или проводник об
ладает дополнительной защитой от обрыва, например, скручен и облужен и пр. Если короткое замыкание на
выходных зажимах вызывает обрыв проводника печатной платы, то такой проводник подлежит изучению на
предмет неисправности типа обрыв цепи.
Для условий по температуре и току при утверждении размеров проводников см. серию стандартов IEC
62326.
0>
Для датчиков, предназначенных для измерения воздействующих величин, в частности температуры,
давления и пр., следует рассмотреть режимы неисправности вдополнение к размыканию и замыканию. Такие
режимы неисправности могут включать в себя пошаговое изменение сопротивления, нереагирующий компо
нент и компонент, теряющий точность.
Н.27.1.1.6
Если нагрузка включает в себя нагрузку двигателем (см. 6.2.2 или 6.2.5) и от каз или непра
вильная работ а компонента электронной схемы вызывает изменение в форме сигнала источника пит ания на
управляемом двигателе, управляю щ ее уст р ойст во следует подвергнуть следующим испытаниям.
1) Нагрузку следует отрегулировать при условиях нормальной формы сигнала на шестикратную номи
нальную нагрузку или на номинал, соответствующий заблокированному ротору, заявленный изготовителем.
2) Затем следует ввести неисправност и.
3) Испытание выполняют при условиях, описанных в перечислениях а), с), d) и е) по Н .27.1.1.2.
Управляющее устройства следует оценивать в соответствии с перечислениями а)
—
е) no Н .27.1.1.3. в
соответствии с компонентом, который должен быть оценен.
Н.27.1.2 Защита от внутренних неисправностей для обеспечения функциональной безопасности
Н.27.1.2.1 Требования по проектированию и конструкции
Н.27.1.2.1.1 Предотвращение неисправностей и устойчивость к неисправности
В дополнение к Н.27.1.1 управляющие устройства, включающие в себя функции управляющего устрой
ства класса В или С. должны быть сконструированы в соответствии с Н.27.1.2. принимая во внимание режимы
отказа its таблицы Н.24 и Н.11.12 для программного обеспечения, если это применимо.
Отказы составного электронного оборудования могут быть вызваны или системными ошибками (кон
структивными. см. Н.11.12.3). или случайными неисправностями (неисправность компонента, см. Н.11.12.2).
Таким образом, система должна быть сконструирована таким образом, чтобы системные ошибки избегались, а
случайные неисправности следует корректировать надлежащей конфигурацией системы.
Архитектура программного обеспечения и аппаратного обеспечения должна базироваться на функциональ
ном анализе задачи, завершающимся проектом, явным образом включающим в себя поток команд (алгоритм ра
боты). поток данных и связанные с временными характеристиками функции, требуемые задачей. В случав за
казных микросхем требуется особое внимание с учетом мер. предпринятых для минимизации системных ошибок.
Это должно привести к конфигурации системы, которая является или по сути отказоустойчивой, или в ко
торой компоненты с напрямую критически важными для безопасности функциями (например, приводы газовых
клапанов, микропроцессоры с обвязкой и пр.) контролируются защитными средствами в соответствии с Н.11.12.
программным обеспечением класса В или С. Такие защитные меры должны быть встроены в аппаратное обе
спечение (например, сторожевой таймер, устройство контроля напряжения питания) и могут быть дополнены про
граммным обеспечением (например, тестирование ПЗУ. тестирование ОЗУ и пр.). Важно, чтобы данные меры мог ли
вызывать полностью независимое безопасное выключение.
Если используют контроль за временными интервалами, он должен быть чувствительным и верхнему, и
к нижнему пределу временных интервалов. Следует принять во внимание неисправности, влияющие на сдвиг
верхнего и/или нижнего предела.
В случае функции управляющего устройства, которую классифицируют как класс С. если одна неисправ
ность в составе первичных защитных мер может привести защитные меры в нерабочее состояние, следует пре
дусмотреть вторичные защитные меры. Время реакции вторичных защитных мер должно быть в соответствии с
Н.27.1.2.3.
Примечания
1 Время реакции таких защитных мер может быть равно или меньше, чем соответствующее допустимое
время неисправности.
2 Вторичные защитные меры могут быть реализованы путем:
a) физического отделения цепи, наблюдающей за первичными защитными мерами; или
b
) взаимным действием между защищаемой цепью и первичными защитными мерами (например, стороже
вой таймер, защищаемый микропроцессором): или
c) взаимодействием между первичными защитными средствами (например, тестирование ПЗУ. защищаю
щее процедуры тестирования ОЗУ).
179