ГОСТ IEC 60730-1—2016
Размерность компонентов следует выбирать на основе самых плохих условий, которые могут возникнуть в
управляющем устройстве, как задано изготовителем.
Примечание 3 — Отказ компонента может вызвать ухудшение безопасности критической изоляции.
Н.27.1.2.1.2 Документация
В общем, документация должна быть основана на Н.11.12.3.2.
Функциональный анализ управляющего устройства и связанных с безопасностью программ подего управ
лением следует задокументировать ясным иерархическим образом в соответствии с философией безопасности и
программными требованиями.
Как минимум, нижеперечисленная документация должна быть предоставлена с любой системой, представ
ленной для оценки:
a) Описание философии системы, потока команд (алгоритма работы), потока данных и временных харак
теристик.
b
) Четкое описание философии безопасности системы со всеми четко обозначенными защитными мерами
и функциями безопасности. Должна быть предоставленадостаточная информация о конструкциидля обеспечения
оценки функций безопасности или защитных мер.
c) Документация на все программное обеспечение из состава системы.
Программная документация должна быть поставлена на языке описания программного обеспечения, заяв
ленном изготовителем.
Связанные с безопасностью данные и связанные с безопасностью сегменты последовательности выпол
нения должны быть идентифицированы и классифицированы в соответствии с Н.11.12.3.2.
Должна быть четкая связь между различными частями документации, например, взаимосвязи процесса, ап
паратного обеспечения и применения меток, используемых в документации на программное обеспечение.
Если изготовитель предоставляет документацию на аналитические работы, предпринятые во время стадии
разработки аппаратного обеспечения и программного обеспечения, такая документация должна быть использова на
испытательной лабораторией как часть процедуры оценки.
Н.27.1.2.2 Функция управляющего устройства класса В
Н.27.1.2.2.1 Требования по проектированию и конструкции
Функция управляющего устройства класса В должна быть разработана так. чтобы при условии возникно
вения одной неисправности она оставалась в или переходила к заданному состоянию. Вторую независимую
неисправность не рассматривают.
Примечание — Отказ в функции управляющего устройства класса В в присутствии иной неисправ
ности в приборе или отказ только в функции управляющего устройства класса С может привести к опасному
сбою, поражению электрическим током, пожару, механическим или прочим опасностям.
Программное обеспечение должно удовлетворять требованиям к программному обеспечению класса В.
Класс функции управляющего устройства должен быть определен по таблице 1. требование 92.
Оценка должна быть выполнена в соответствии с Н.27.1.2.2.2 и Н.27.1.2.2.3, и при условиях и критериях ис
пытания по Н.27.1.2.5.
Н.27.1.2.2.2 Первая неисправность
Любая первая неисправность (см. таблицу Н.24) в любом одном компоненте или любая единичная неис
правность вместе с любой другой неисправностью, возникшей от первой неисправности, должна привести к
любому варианту из:
a) управляющее устройство становится нерабочим со всеми выводными зажимами, связанными с безо
пасностью. в незапитанном состоянии или принимающими состояние, в котором они обеспечивают безопасность;
b
) управляющее устройство реагирует в пределах времени реакции на неисправность (см. таблицу 1.
требование 91) путем перехода к заданному состоянию, обеспечивая то. что следующий перезапуск из задан
ного состояния при условии наличия той же неисправности заставит систему вернуться к тому же заданному
состоянию;
c) управляющее устройство продолжает работать, неисправность идентифицируют во время следующей
последовательности запуска, результатом становятся действия по перечислениям а) или Ь);
d) управляющее устройство остается работоспособным в соответствии с функциональными требования
ми, связанными с безопасностью, из соответствующей части 2.
Всоответствующей части 2 следует указать время реакции на неисправность, а также применимостьпере
числения с).
Для заданного состояния с механическим включателем достаточным является тестирование до состояния
близкого к. но не выполняющего включения переключающих контактов. Если проверка заданного состояния по
терпит неудачу, система должна перейти к безопасному выключению. Частоту тестирования приводят в соот
ветствующей части 2. Внутренние неисправности компонентов проверочной цепи не рассматривают.
Н.27.1.2.2.3 Неисправность, воспроизведенная в течение заданного состояния
Во всех случаях, когда управляющее устройство находится в заданном состоянии без внутренней неис
правности. применяют следующие требования.
180