7.1.3 Цели
7.1.3.1 Первой целью требований настоящего подраздела является структурирование на систематической основе стадий полного жизненного цикла безопасности, которые должны рассматриваться для достижения требуемой функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью.
7.1.3.2 Вторая цель требований настоящего подраздела состоит в документировании ключевой информации, имеющей отношение к функциональной безопасности Е/Е/РЕ систем, связанных с безопасностью на протяжении полного жизненного цикла безопасности.
Примечание - Структуру документации см. в разделе 5 и приложении А. Структура документации может учитывать процедуры, используемые в компаниях, и рабочую практику, сложившуюся в конкретных прикладных областях.
7.1.4 Требования
7.1.4.1 Полный жизненный цикл безопасности, который должен использоваться как основа для декларирования соответствия настоящему стандарту, показан на рисунке 2. Если используется иная модель полного жизненного цикла безопасности, она должна быть определена во время планирования функциональной безопасности, при этом должны быть реализованы все задачи и требования каждого раздела и подраздела настоящего стандарта.
Примечание - Жизненный цикл безопасности E/E/PES и жизненный цикл безопасности программного обеспечения (образующие стадию реализации полного жизненного цикла систем безопасности), которые должны использоваться при декларировании соответствия, определены соответственно в МЭК 61508-2 и МЭК 61508-3.
7.1.4.2 Требования к управлению функциональной безопасностью (см. раздел 6) должны выполняться параллельно стадиям полного жизненного цикла безопасности.
7.1.4.3 Если иное не обосновано специально, должна применяться каждая стадия полного жизненного цикла безопасности, и требования должны выполняться.
7.1.4.4 Каждая стадия полного жизненного цикла безопасности должна быть разделена на элементарные действия, для которых должны быть указаны область применения, входные и выходные материалы.
7.1.4.5 Область применения и входные материалы для каждой стадии полного жизненного цикла безопасности должны соответствовать тем, которые указаны в таблице 1.
7.1.4.6 Если иное не обосновано при планировании функциональной безопасности или не определено в стандарте для области применения, выходные материалы для каждой стадии полного жизненного цикла безопасности должны соответствовать материалам, которые указаны в таблице 1.
7.1.4.7 Выходные материалы каждой стадии полного жизненного цикла безопасности должны удовлетворять целям и требованиям, специфицированным для каждой стадии (см. 7.2-7.17).
7.1.4.8 Требования к верификации, которые должны быть выполнены для каждой стадии полного жизненного цикла безопасности, определены в 7.18.
7.2 Концепция
Примечание - Эта стадия представлена прямоугольником 1 на рисунке 2.
7.2.1 Цель
Цель требований настоящего подраздела состоит в расширении уровня понимания EUC и окружающей среды (физической, законодательной и т.п.), достаточного для того, чтобы могли быть удовлетворительно выполнены другие действия на жизненном цикле безопасности.
7.2.2 Требования
7.2.2.1 Необходимо собрать подробную информацию о EUC, требуемых функциях управления и окружающей среде.
7.2.2.2 Необходимо определить потенциальные источники опасностей.
7.2.2.3 Необходимо получить информацию об установленных опасностях (токсичности, взрывоопасности, коррозионной активности, реакционной способности, возгораемости и т.д.).
7.2.2.4 Необходимо получить информацию о текущем состоянии регулирования в области безопасности (на национальном и международном уровнях).
7.2.2.5 Должны быть рассмотрены опасности, вызванные взаимодействием с другими EUC (установленными или которые будут установлены), вблизи рассматриваемого EUC.
7.2.2.6 Требования 7.2.2.1-7.2.2.5 и результаты их выполнения должны быть документированы.
7.3 Определение полной области применения
Примечание - Эта стадия представлена на рисунке 2 прямоугольником 2.
7.3.1 Цели
7.3.1.1 Первая цель требований настоящего подраздела состоит в определении границ между EUC и системой управления EUC.
7.3.1.2 Второй целью требований настоящего подраздела является определение области применения анализа опасностей и рисков (например, опасностей, связанных с процессами, опасностей, связанных с окружающей средой, и т.п.).
7.3.2 Требования
7.3.2.1 Должно быть определено физическое оборудование, включая EUC и системы управления EUC, которое входит в область применения анализа опасностей и рисков.
Примечание - См. [1] и [2].
7.3.2.2 Должны быть определены внешние события, которые должны быть учтены при анализе опасностей и рисков.
7.3.2.3 Должны быть определены подсистемы, связанные с опасностями и рисками.
7.3.2.4 Должны быть определены типы событий, приводящие к аварии или несчастному случаю, которые необходимо учитывать (например, отказы компонентов, отказы процедур, человеческие ошибки, зависимые механизмы отказов, которые могут привести к последовательности аварий).
7.3.2.5 Требования 7.3.2.1-7.3.2.4 и результаты их выполнения должны быть документированы.
7.4 Анализ опасностей и рисков
Примечание - Данная стадия представлена на рисунке 2 прямоугольником 3.
7.4.1 Цели
7.4.1.1 Первая цель требований настоящего подраздела состоит в определении опасностей и опасных событий EUC и системы управления EUC (во всех режимах работы) для всех обоснованных предсказуемых случаев, включая условия появления отказов и предсказуемое неправильное применение аппаратных средств и программного обеспечения.
7.4.1.2 Вторая цель требований настоящего подраздела заключается в определении последовательностей событий, приводящих к опасным событиям, определенным в 7.4.1.1.
7.4.1.3 Третьей целью требований настоящего подраздела является определение рисков EUC, связанных с опасными событиями, определенными в 7.4.1.1.
Примечания
1 Настоящий подраздел необходим потому, что требования безопасности для Е/Е/РЕ систем, связанных с безопасностью, базируются на подходе, основанном на систематическом анализе рисков. Такой подход не может быть реализован без учета EUC и системы управления EUC.
2 В тех областях применения, в которых могут быть сделаны достоверные предположения о рисках, вероятных опасностях, опасных событиях и их последствиях, анализ, необходимый для данного подраздела (и подраздела 7.5), может быть выполнен разработчиками версий настоящего стандарта, предназначенных для областей применения; анализ может быть встроен в упрощенные графические требования. Примеры таких методов приведены в МЭК 61508-5 (приложения D и Е).
7.4.2 Требования
7.4.2.1 Должен быть проведен анализ опасностей и рисков, который учитывает информацию, полученную в ходе стадии определения полной области применения (см. 7.3). Если на более поздних стадиях полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES или программного обеспечения принимаются решения, которые могут изменить базис, на котором основывались более ранние решения, должен быть проведен дальнейший анализ опасностей и рисков.
Примечания
1 Руководящие указания см. в [1] и [2].
2 Может возникнуть необходимость в выполнении анализа опасностей и рисков несколько раз.
3 В качестве примера необходимости проводить углубленный анализ опасностей и рисков в ходе полного жизненного цикла безопасности рассмотрим анализ EUC, который включает в себя клапан, связанный с безопасностью. Анализ опасностей и рисков может определить две последовательности событий, одну для случая отказа при закрывании клапана, другую - для случая отказа при его открывании, которые могут приводить к опасным событиям. Однако при детальном анализе системы управления EUC, управляющей работой клапана, может быть обнаружен новый режим отказов, связанный с колебаниями клапана, который добавляет новую последовательность событий, приводящую к опасному событию.
7.4.2.2 Должно быть рассмотрено исключение опасностей.
Примечание - Хотя это и не относится к области применения настоящего стандарта, первостепенную важность имеет изначальное исключение выявленных опасностей, связанных с EUC, например, путем применения безопасных в своей основе принципов и хороших инженерных решений.
7.4.2.3 Опасности и опасные события, связанные с EUC и системой управления EUC, должны быть определены для всех разумно предсказуемых условий (включая условия возникновения отказов и разумно предсказуемое неправильное использование). В этот круг входят все случаи, связанные с человеческим фактором. Особое внимание должно быть уделено аномальным и редким режимам работы EUC.
Примечание - Разумно предсказуемое неправильное использование см. в МЭК 61508-4 (пункт 3.1.11).
7.4.2.4 Должны быть определены последовательности событий, ведущие к опасным событиям, определенным в 7.4.2.3.
Примечание - Обычно имеет смысл рассмотреть возможность исключения какой-либо последовательности событий путем модификации процесса проектирования или используемого оборудования.
7.4.2.5 Должна быть оценена вероятность опасных событий для условий, указанных в 7.4.2.3.
Примечание - Вероятность конкретного события может быть выражена количественно или качественно (МЭК 61508-5).
7.4.2.6 Должны быть определены возможные последствия, связанные с опасными событиями, определенными в 7.4.2.3.
7.4.2.7 Для каждого опасного события должен быть рассчитан или оценен риск, связанный с EUC.
7.4.2.8 Требования 7.4.2.1-7.4.2.7 могут быть удовлетворены путем применения качественного или количественного анализа рисков и опасностей (МЭК 61508-5).
7.4.2.9 Пригодность метода и область его применения зависят от ряда факторов, в число которых входят:
- конкретные опасности и их последствия;
- прикладная область и принятая в нем практика, считающаяся «хорошей»;
- требования норм правового и технического регулирования в области безопасности;
- риски EUC;
- доступность точных данных, на которых должен основываться анализ опасностей и рисков.
7.4.2.10 При анализе опасностей и рисков должно быть учтено следующее:
- каждое установленное опасное событие и все компоненты, оказывающие влияние на него;
- последствия и вероятность последовательности событий, с которой связано каждое опасное событие;
- необходимое уменьшение риска для каждого опасного события;
- меры, предпринимаемые для уменьшения или исключения опасностей и рисков;
- допущения, сделанные при анализе рисков, включая оцененные интенсивности запросов и интенсивности отказов оборудования; должна быть детализирована степень доверия к ограничениям в работе и вмешательству человека;
- ссылки на ключевую информацию (см. раздел 5 и приложение А), относящуюся к системам, связанным с безопасностью, на каждой стадии жизненного цикла E/E/PES (например, на действия по верификации и подтверждению соответствия).
7.4.2.11 Информация и результаты, которые составляют анализ опасностей и рисков, должны быть документированы.
7.4.2.12 Информация и результаты анализа опасностей и рисков для EUC и системы управления EUC должны поддерживаться на протяжении всего жизненного цикла безопасности, начиная со стадии анализа опасностей и рисков и до вывода из эксплуатации или ликвидации.
Примечание - Поддержка информации и результатов анализа опасностей и рисков, начиная со стадии анализа опасностей и рисков, является главным средством для установления прогресса в разрешении проблем, связанных с результатом анализа опасностей и рисков.
7.5 Полные требования к безопасности
Примечание - Эта стадия представлена на рисунке 2 прямоугольником 4.
7.5.1 Целью требований настоящего подраздела является разработка полных требований к безопасности, выраженных в требованиях к функциям безопасности и требованиях к полноте безопасности, относящихся к Е/Е/РЕ системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и к внешним средствам снижения риска и предназначенных для достижения необходимой функциональной безопасности.
Примечание - В тех областях применения, в которых могут быть сделаны достоверные предположения о рисках, вероятных опасностях, опасных событиях и их последствиях, анализ, необходимый для данного подраздела (и подраздела 7.5), может быть выполнен разработчиками версий настоящего стандарта, предназначенных для областей применения; анализ может быть встроен в упрощенные графические требования. Примеры таких методов приведены в МЭК 61508-5 (приложения D и Е).
7.5.2 Требования
7.5.2.1 Для каждой установленной опасности должны быть определены функции безопасности, необходимые для обеспечения требуемой функциональной безопасности. Они должны формировать общую спецификацию требований к функциям безопасности.
Примечание - На этой стадии функции безопасности, которые должны выполняться, не описываются на технологическом уровне, поскольку используемые методы и технология реализации станут известны позже. При определении требований к безопасности (см. 7.6) может потребоваться изменить описание функций безопасности в соответствии с конкретными методами реализации.
7.5.2.2 Для каждого установленного опасного события должно быть определено требуемое уменьшение риска. Требуемое уменьшение риска может быть определено количественным или качественным методом.
Примечание - Требуемое уменьшение риска необходимо для того, чтобы определить требования к полноте безопасности для Е/Е/РЕ систем, связанных с безопасностью, систем, связанных с безопасностью, основанных на других технологиях, и внешних средств уменьшения риска. В МЭК 61508-5 (приложение С) описан один из методов, который может применяться для определения требуемого уменьшения риска при использовании количественного подхода. В МЭК 61508-5 (приложения D и Е) описаны качественные методы, однако в приводимых примерах требуемое уменьшение риска включается неявно, то есть не формулируется явным образом.
