---

- функциональная безопасность, оказавшаяся ниже заданной;

- систематические отказы;

- новое или измененное законодательство в области безопасности;

- модификации EUC или способа его использования;

- модификации полных требований к безопасности;

- анализ эксплуатационных характеристик работы и характеристик обслуживания, показавший, что эти характеристики оказались ниже запланированных;

- обычный аудит функциональной безопасности.

Рисунок 9 - Пример модели процедуры модификации

7.16.2.3 Должен быть выполнен анализ влияния, включающий оценку влияния предлагаемых изменений на функциональную безопасность каждой Е/Е/РЕ системы, связанной с безопасностью. Оценка должна включать анализ опасностей и рисков, достаточный для того, чтобы определить степень охвата и глубину последующих стадий полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES или программного обеспечения, которые должны быть выполнены. При оценке необходимо учитывать влияние действий по другим одновременно проводимым модификациям или изменениям и рассматривать состояние функциональной безопасности до и после проведения модификации и внесения изменений.

7.16.2.4 Результаты анализа влияния, описанные в 7.16.2.3, должны быть документированы.

7.16.2.5 Разрешение на проведение требуемой модификации или внесения изменений должно зависеть от результатов анализа влияния.

7.16.2.6 Все модификации, оказывающие влияние на функциональную безопасность любой Е/Е/РЕ системы, связанной с безопасностью, должны приводить к возврату к соответствующей стадии полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES или программного обеспечения. Все последующие стадии должны осуществляться в соответствии с процедурами, определенными для этих стадий согласно требованиям настоящего стандарта.

Примечания

1 Может потребоваться провести полный анализ опасностей и рисков, который может вызвать необходимость установления уровней полноты безопасности, которые отличаются от имеющихся установленных уровней полноты безопасности для Е/Е/РЕ систем, связанных с безопасностью.

2 Не допускается, чтобы процедуры тестирования, разработанные для первоначальной установки и пуска в эксплуатацию, использовались без проверки подтверждения их соответствия и практической целесообразности в контексте нормальной работы EUC.

7.16.2.7 Должна быть создана документация и в дальнейшем поддержана в хронологическом порядке, которая должна содержать подробное описание всех действий по модификации и внесению изменений и включать:

- запросы на проведение модификаций и внесение изменений;

- анализ влияния;

- повторное подтверждение соответствия и повторную верификацию данных и результатов;

- все документы, затрагиваемые процессами модификации и изменения.

7.17 Вывод из эксплуатации или ликвидация

Примечание - Эта стадия представлена прямоугольником 16 на рисунке 2.

7.17.1 Цель

Целью требований настоящего подраздела стандарта является обеспечение того, чтобы функциональная безопасность Е/Е/РЕ систем, связанных с безопасностью, соответствовала обстоятельствам в течение и после действий по выводу из эксплуатации или ликвидации EUC.

7.17.2 Требования

7.17.2.1 Перед выводом из эксплуатации или утилизацией необходимо выполнить анализ влияния предлагаемых действий по выводу из эксплуатации или утилизации на функциональную безопасность каждой Е/Е/РЕ системы, связанной с безопасностью, имеющей отношение к EUC и к смежным EUC. Оценка должна включать анализы опасностей и рисков, достаточные для определения необходимой широты и глубины охвата последующих стадий полного жизненного цикла безопасности, жизненного цикла безопасности E/E/PES или программного обеспечения.

7.17.2.2 Результаты требований, описанные в 7.17.2.1, должны быть документированы.

7.17.2.3 Стадия вывода из эксплуатации или ликвидации должна инициироваться выпуском авторизованного запроса в рамках процедур по управлению функциональной безопасностью (см. раздел 6).

7.17.2.4 Разрешение на проведение требуемого вывода из эксплуатации или ликвидации должно зависеть от результатов анализа влияния.

7.17.2.5 Перед выводом из эксплуатации или ликвидацией должен быть подготовлен план по:

- прекращению работы Е/Е/РЕ систем, связанных с безопасностью;

- демонтажу Е/Е/РЕ систем, связанных с безопасностью.

7.17.2.6 Если какие-либо действия по выводу из эксплуатации или ликвидации оказывают влияние на функциональную безопасность любой из Е/Е/РЕ систем, связанных с безопасностью, то должен быть инициирован возврат к соответствующей стадии полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES или программного обеспечения. Все последующие стадии должны быть выполнены в соответствии с процедурами, определенными в настоящем стандарте для заданных уровней полноты безопасности Е/Е/РЕ систем, связанных с безопасностью.

Примечания

1 Может возникнуть необходимость в проведении полного анализа опасностей и рисков, результатом которого может явиться необходимость установления другого уровня полноты безопасности для Е/Е/РЕ систем, связанных с безопасностью.

2 Требования к функциональной безопасности на стадии вывода из эксплуатации или ликвидации могут отличаться от требований, которые используются на стадии эксплуатации.

7.17.2.7 Должна быть создана документация и в дальнейшем поддержана в хронологическом порядке, которая должна содержать подробное описание всех действий по выводу из эксплуатации или ликвидации и должна включать:

- план, используемый для выполнения действий по выводу из эксплуатации или ликвидации;

- анализ влияния.

7.18 Верификация

7.18.1 Цель

Цель требований настоящего подраздела состоит в демонстрации для каждой стадии полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения (путем проверки, анализа и/или тестирования) того, что выходные материалы отвечают всем соответствующим целям и требованиям, определенным для этой стадии.

7.18.2 Требования

7.18.2.1 Для каждой стадии полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения одновременно с разработкой плана этой стадии должен быть установлен план верификации.

7.18.2.2 В плане верификации должны содержаться критерии, методы и средства, используемые при верификации, или даны ссылки на них.

7.18.2.3 Верификацию следует выполнять согласно плану верификации.

Примечание - Выбор методов и мер для выполнения верификации, а также степень независимости процессов верификации зависят от ряда факторов и могут быть определены в стандартах для областей применения. В число этих факторов могут входить, например:

- размер проекта;

- степень сложности;

- степень новизны проекта;

- степень новизны технологии.

7.18.2.4 Информацию по верификации следует собирать и документировать для того, чтобы засвидетельствовать, что она завершена удовлетворительно во всех отношениях.

8 Оценка функциональной безопасности

8.1 Цель

Целью требований настоящего раздела является изучение и вынесение решения по функциональной безопасности, достигнутой Е/Е/РЕ системой, связанной с безопасностью.

8.2 Требования

8.2.1 Для осуществления оценки функциональной безопасности должны быть назначены один или несколько человек, которые должны прийти к заключению относительно функциональной безопасности, достигаемой Е/Е/РЕ системами, связанными с безопасностью.

8.2.2 Те, кто выполняет оценку функциональной безопасности, должны иметь доступ ко всем лицам, вовлеченным в любые действия в полном жизненном цикле безопасности, жизненных циклах безопасности E/E/PES или программного обеспечения, а также ко всей информации и оборудованию (включая аппаратные средства и программное обеспечение).

8.2.3 Оценку функциональной безопасности следует применять ко всем этапам на протяжении всего полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения. Те лица, которые осуществляют оценку функциональной безопасности, должны рассмотреть все действия, а также все выходные материалы, полученные в течение каждой стадии полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения, и дать заключение о том, в какой степени выполнены цели и требования настоящего стандарта.

8.2.4 Оценка функциональной безопасности должна выполняться до возникновения выявленных опасностей на протяжении полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения. Ее можно проводить после каждой стадии жизненного цикла безопасности или после нескольких стадий.

8.2.5 Если какие-либо средства используются в качестве составной части при разработке или оценке полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES или программного обеспечения, то они сами должны быть объектом оценки функциональной безопасности.

Примечания

1 Примером средств являются планируемые для работы системы CAD/САМ, компиляторы и компьютеры.

2 Степень использования таких средств должна быть оценена в зависимости от их влияния на функциональную безопасность Е/Е/РЕ систем, связанных с безопасностью.

8.2.6 При оценке функциональной безопасности необходимо учитывать следующее:

- работы, выполненные со времени предыдущей оценки функциональной безопасности (которая обычно охватывает предыдущие стадии жизненных циклов безопасности);

- планы или стратегия реализации последующих оценок функциональной безопасности для полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения;

- рекомендации предыдущих оценок функциональной безопасности и объем внесенных изменений.

8.2.7 Действия по оценке функциональной безопасности для различных стадий полного жизненного цикла безопасности, жизненных циклов безопасности E/E/PES и программного обеспечения должны быть согласованными и запланированными.

8.2.8 План оценки функциональной безопасности должен определять:

- лиц, осуществляющих оценку функциональной безопасности;

- выходные материалы при каждой оценке функциональной безопасности;

- границы оценки функциональной безопасности.

Примечание - При установлении границ оценки функциональной безопасности необходимо определить документы, используемые в качестве входных материалов для каждого действия, связанного с оценкой функциональной безопасности, и статус этих документов.

- привлекаемые органы по безопасности;

- требуемые ресурсы;

- уровень независимости выполняющих оценку функциональной безопасности;

- компетентность выполняющих оценку функциональной безопасности в соответствующей области применения.

8.2.9 Перед выполнением оценки функциональной безопасности ее план должен быть утвержден теми, кто будет выполнять эту оценку, и теми, кто несет ответственность за управление функциональной безопасностью на оцениваемой стадии жизненного цикла систем безопасности.

8.2.10 В заключении об оценке функциональной безопасности должны быть выработаны рекомендации по ее принятию, условному принятию или отклонению.

8.2.11 Лица, которые осуществляют оценку функциональной безопасности, должны быть компетентными в выполняемых действиях, а также должны быть учтены факторы, определяющие компетентность (см. приложении В).

8.2.12 Если иное не установлено в стандартах для областей применения, то минимальный уровень независимости выполняющих оценку функциональной безопасности должен соответствовать тому уровню, который указан в таблицах 4 и 5.

В таблицах 4 и 5 приведены следующие рекомендации:

- HR: уровень независимости, определенный как настоятельно рекомендуемый в качестве минимального для указанных последствий (см. таблицу 4) или уровня полноты безопасности (см. таблицу 5). Если принят более низкий уровень независимости, то должно быть приведено подробное обоснование, почему не был использован уровень HR;

- NR: уровень независимости, определенный как недостаточный и явно не рекомендованный для указанных последствий (см. таблицу 4) или уровня полноты безопасности (см. таблицу 5). Если принимается данный уровень независимости, то должно быть приведено подробное обоснование причин его использования;

- --: уровень независимости, определенный как уровень, для которого отсутствуют рекомендации за или против его использования.

Примечания

1 Перед применением данных таблицы 4 необходимо определить категории последствий с учетом практики, сложившейся в области применения. К числу последствий относятся те последствия, которые возникают в результате отказа, требующего вмешательства Е/Е/РЕ систем, связанных с безопасностью.

2 В зависимости от организационной структуры компании и опыта внутри компании требования по независимости лиц и подразделений могут быть выполнены путем использования услуг сторонней организации. В свою очередь компании, которые имеют внутренние структуры с опытом в оценке рисков и применении систем, связанных с безопасностью, и которые независимы и отделены (путем управления и использованием других ресурсов) от тех, которые несут ответственность за основную разработку, могут оказаться способными использовать свои собственные ресурсы для выполнения требований по независимости организации.

3 Определения понятий независимого лица, независимого подразделения и независимой организации см. в МЭК 61508-4, пункты 3.8.10, 3.8.11 и 3.8.12 соответственно.

8.2.13 В контексте таблиц 4 и 5 используется уровень независимости либо HR¹, либо HR² (но не оба вместе) в зависимости от числа факторов, которое характерно для области применения. Если применяется уровень независимости HR¹, то уровень HR² должен читаться как не требующийся; если используется уровень HR², то уровень HR¹ должен читаться как NR (нерекомендуемый). В отсутствие стандарта в области применения должно быть приведено подробное обоснование выбора уровня HR¹ или HR². К числу факторов, которые способствуют тому, чтобы сделать уровень HR² более подходящим, чем уровень HR¹, относятся следующие факторы: