5.7.6 Требования к АС и ПО Е/Е/РЕ СБЗС-системы должны определяться уровнем полноты безопасности при выполнении ими функций безопасности с самым высоким уровнем полноты безопасности, если не будет доказано, что выполнение функций безопасности для различных уровней полноты безопасности достаточно независимо.
Достаточная независимость выполнения функций безопасности доказывается предоставлением доказательств того, что вероятность зависимого отказа компонентов, выполняющих функции безопасности для различных уровней полноты безопасности, достаточно низка по сравнению с самым высоким уровнем полноты безопасности, относящимся к рассматриваемым функциям безопасности.
5.7.7 В случае выполнения Е/Е/РЕ СБЗС-системой нескольких функций безопасности должна быть рассмотрена возможность возникновения отказа в выполнении нескольких функций безопасности из-за единственной ошибки. Требования к АС и ПО в этом случае допускается устанавливать, применяя уровень полноты безопасности более высокий, чем уровень, относящийся к выполнению любой из функций безопасности, в зависимости от риска, связанного с таким отказом.
5.7.8 Если функции безопасности должны быть независимыми в соответствии с 5.7.4 и 5.7.6, то в проектной документации должно быть приведено обоснование метода достижения независимости функций.
5.7.9 При разработке Е/Е/РЕ СБЗС-систем должна быть проверена корректность требований к ПО и АС в их сочетании: требования к функциям безопасности, требования к полноте безопасности Е/Е/РЕ СБЗС-системы и требования к интерфейсу между оборудованием и оператором. Результаты проверки должны быть отражены в проектной документации.
5.7.10 В проектной документации должно быть приведено обоснование методов и средств, принятых при проектировании для достижения необходимого уровня полноты безопасности в течение стадий жизненного цикла безопасности Е/Е/РЕ СБЗС-системы, а также методов и средств, выбранных для формирования интегрированного набора компонентов системы, обеспечивающего требуемый уровень полноты безопасности.
Примечание - Альтернативой такому обоснованию могут служить результаты независимой проверки (аудита) с письменным подтверждением правильности выбора Е/Е/РЕ СБЗС-системы и компонентов (включая сенсоры, датчики и т.д.).
5.7.11 Основные взаимодействия АС и ПО, предусмотренные в процессе проектирования и реализации Е/Е/РЕ СБЗС-системы, должны быть идентифицированы, оценены и отражены в проектной документации.
5.7.12 В состав проекта на сложную Е/Е/РЕ СБЗС-систему, в том числе комплексную систему безопасности, должны быть включены также индивидуальные проекты (части проекта) на более простые составляющие системы (подсистемы). Для каждой из них должен быть предусмотрен набор тестов для интеграции (5.14).
Примечания
1 Конкретная подсистема может состоять из одного компонента или группы компонентов. Полная Е/Е/РЕ СБЗС-система может состоять из множества отдельных подсистем, которые при их объединении обеспечивают выполнение предусмотренной функции безопасности. Подсистема может иметь несколько каналов.
2 Следует избегать избыточных функциональных возможностей, пропускной способности или производительности подсистем, если не может быть обеспечена защита от выполнения ими непредусмотренных функций.
5.7.13 Если подсистема имеет многоканальный выход, должно быть определено наличие комбинаций выходных состояний, которые могут быть вызваны отказом самой Е/Е/РЕ СБЗС-системы, способных непосредственно вызвать событие опасного отказа (ГОСТ Р 53195.2, 7.4). При наличии таких комбинаций их предотвращение должно быть расценено как функции безопасности, действующие в режиме с высокой частотой запросов или с непрерывным запросом.
5.7.14 Для любых компонентов Е/Е/РЕ СБЗС-системы в максимальной степени должно быть ограничено их использование в предельных режимах работы или предельных условиях окружающей среды. Обоснование работы на пределах любых компонентов должно быть документировано (ГОСТ Р 53195.2, раздел 5).
5.7.15 При ограничении допустимых значений должен использоваться коэффициент ограничения, равный 0,67.
5.8 Требования к полноте безопасности АС
5.8.1 Структурные ограничения полноты безопасности АС
5.8.1.1 Наиболее высокий уровень полноты безопасности функции безопасности, выполняемой Е/Е/РЕ СБЗС-системой, должен ограничиваться устойчивостью АС к отказам и составляющей безопасных отказов подсистем, которые выполняют эту функцию безопасности (приложение В).
Е/Е/РЕ СБЗС-подсистемы как составляющие более сложных систем подразделяют по этим признакам на подсистемы типов А и Б.
5.8.1.2 Конкретная Е/Е/РЕ СБЗС-подсистема (5.7.12, примечание 1) может быть отнесена к типу А, если для ее компонентов, необходимых для реализации функции безопасности, одновременно выполняются следующие условия:
а) определены виды отказов всех составляющих компонентов;
б) может быть полностью определено поведение системы в условиях отказа;
в) имеются достоверные эксплуатационные данные, показывающие, что частота диагностических проверок, требуемых для обнаруженных отказов и необнаруженных опасных отказов, обеспечивается.
5.8.1.3 Конкретная подсистема должна быть отнесена к типу Б, если для ее компонентов, необходимых для реализации функции безопасности, выполняется одно из условий:
а) не определен вид отказа, по крайней мере, одного составляющего компонента;
б) не может быть полностью определено поведение подсистемы в условиях отказа;
в) нет достоверных эксплуатационных данных по подтверждению требований для частот обнаруженных отказов и необнаруженных опасных отказов (5.12.3 и 5.12.4).
Примечание - Подсистема должна быть отнесена к подсистеме типа Б, если хотя бы один из компонентов подсистемы соответствует условиям, установленным для системы типа Б (см. также 5.7.12, примечание 1).
5.8.1.4 Наибольший уровень полноты безопасности, который может быть установлен для функции безопасности при использовании подсистем, с учетом устойчивости АС к отказам и составляющей безопасных отказов этих подсистем, должен быть таким, как указано в таблицах 1 и 2.
Таблица 1 - Зависимость полноты безопасности АС СБЗС-подсистем типа А от устойчивости АС к отказам и доли безопасных отказов
|
|
|
|
|
|
Доля безопасных отказов, % |
Уровень полноты безопасности в зависимости от устойчивости АС к отказам (см. примечание 1) |
||
|
|
N=0 |
N=1 |
N=2 |
|
До 60 |
SIL1 |
SIL2 |
SIL3 |
|
От 60 до 90 |
SIL2 |
SIL3 |
SIL4 |
|
От 90 до 99 |
SIL3 |
SIL4 |
SIL4 |
|
99 и св. |
SIL3 |
SIL4 |
SIL4 |
|
Примечания 1 Расчет доли безопасных отказов - в приложении В. 2 Уровни полноты безопасности SIL1-SIL4 - по ГОСТ Р 53195.2 (7.6.12). |
|||
Таблица 2 - Зависимость полноты безопасности АС СБЗС-подсистем типа Б от устойчивости АС к отказам и доли безопасных отказов
|
|
|
|
|
|
Доля безопасных отказов, % |
Уровень полноты безопасности в зависимости от устойчивости АС к отказам (см. примечание 1) |
||
|
|
N=0 |
N=1 |
N=2 |
|
До 60 |
Не оговаривается |
SIL1 |
SIL2 |
|
От 60 до 90 |
SIL1 |
SIL2 |
SIL3 |
|
От 90 до 99 |
SIL2 |
SIL3 |
SIL4 |
|
99 и св. |
SIL2 |
SIL4 |
SIL4 |
|
Примечания 1 Расчет доли безопасных отказов - в приложении В. 2 Уровни полноты безопасности SIL1-SIL4 - по ГОСТ Р 53195.2 (7.6.12). |
|||
Требования таблиц 1 и 2 должны применяться к каждой подсистеме, выполняющей функцию безопасности, и к каждой части Е/Е/РЕ СБЗС-системы. Применяемость таблиц определяют на основании 5.8.1.2-5.8.1.4. Самый высокий уровень полноты безопасности, который может быть установлен для функции безопасности по запросу, определяют на основании 5.8.1.5 и 5.8.1.6.
При использовании таблиц 1 и 2 должны быть учтены следующие условия и допущения:
а) устойчивость АС к отказам N означает, что отказ N+1 может привести к невыполнению функции безопасности;
Примечание - При определении устойчивости АС к отказам не должны учитываться средства, которые могут управлять влиянием ошибок, например средства диагностики;
б) если одна ошибка непосредственно приводит к одной или более последующим ошибкам, они должны быть учтены как одиночная ошибка;
в) при определении устойчивости к отказам часть ошибок может быть исключена, если вероятность их возникновения очень мала по сравнению с требованиями к полноте безопасности подсистемы. Любые исключения ошибок должны быть обоснованы и документированы [см. примечание 3 к перечислению г)];
г) доля безопасных отказов подсистемы должна определяться как отношение суммы средних частот безопасных отказов и опасных отказов, обнаруженных тестами, к полной средней частоте отказов подсистемы (см. приложение В).
Примечания
1 Для получения достаточно устойчивой к отказам структуры подсистемы, с учетом уровня ее сложности, должны быть использованы структурные ограничения. Уровень полноты безопасности Е/Е/РЕ СБЗС-системы, полученный в результате учета требований настоящего пункта, - максимальный из заявленных.
2 Структура и подсистема, сформированные для обеспечения соответствия требованиям устойчивости АС к отказам, должны быть такими, какие обычно используются в режиме эксплуатации. Требования устойчивости к отказам могут быть снижены, если Е/Е/РЕ СБЗС-система восстанавливается, находясь под внешним управлением основного оборудования. В этом случае основные параметры подсистемы, связанные с любым ослаблением требований, должны быть предварительно оценены (например среднее время восстановления по сравнению с вероятными интервалами времени между запросами).
3 Если некоторый компонент системы имеет очень низкую вероятность отказа, благодаря присущим ему свойствам, (например механический соединитель привода), то нет необходимости рассматривать на основе устойчивости АС к отказам ограничение полноты безопасности любой функции безопасности, для реализации которой используется этот компонент.
5.8.1.5 Структурные ограничения по доле безопасных отказов (см. таблицу 1 или таблицу 2) должны применяться к каждой подсистеме, выполняющей функцию безопасности так, чтобы:
а) достигались требования устойчивости АС к отказам для полной Е/Е/РЕ СБЗС-системы;
б) для любой подсистемы типа А, составляющей часть Е/Е/РЕ СБЗС-системы, применялись требования таблицы 1.
Примечание - Если Е/Е/РЕ СБЗС-система содержит только подсистемы типа А, то требования, приведенные в таблице 1, следует применять к полной Е/Е/РЕ СБЗС-системе;
в) для любой подсистемы типа Б, составляющей часть полной Е/Е/РЕ СБЗС-системы, применялись требования таблицы 2.
Примечание - Если Е/Е/РЕ СБЗС-система содержит только подсистемы типа Б, то требования, приведенные в таблице 2, следует применять к полной Е/Е/РЕ СБЗС-системе;
г) к Е/Е/РЕ СБЗС-системам, содержащим подсистемы типов А и Б, применялись требования таблиц 1 и 2.
5.8.1.6 В Е/Е/РЕ СБЗС-системах, в которых функция безопасности реализуется одноканальной структурой (рисунок 4), максимальный уровень полноты безопасности АС, который может быть достигнут для функции безопасности, должен определяться подсистемой АС с наименьшим требованием безопасности АС, определяемым по таблицам 1 и 2.
Примечание - Е/Е/РЕ СБЗС-система, представляющая собой объединение подсистем, включающих все элементы (от сенсоров до исполнительных устройств), выполняющих функцию безопасности, например, функцию пожарной сигнализации, является полной Е/Е/РЕ СБЗС-системой.
Рисунок 4 - Пример ограничения полноты безопасности АС для одноканальной структуры Е/Е/РЕ-системы, реализующей функцию безопасности
Пример - Система, в которой реализована конкретная функция безопасности, выполнена по одноканальной структуре, состоящей из подсистем 1, 2 и 3, типы которых указаны на рисунке 4, и эти подсистемы удовлетворяют требованиям таблиц 1 и 2 следующим образом:
- для подсистемы 1 уровень полноты безопасности, соответствующий требованиям устойчивости АС к отказам и доле безопасных отказов, равен SIL1;
- для подсистемы 2 уровень полноты безопасности, соответствующий требованиям устойчивости АС к отказам и доле безопасных отказов, равен SIL2;
