ГОСТ Р МЭК 61508-1-2007 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования

ФУНКЦИОНАЛЬНАЯБЕЗОПАСНОСТЬ СИСТЕМЭЛЕКТРИЧЕСКИХ,
ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХЭЛЕКТРОННЫХ,
СВЯЗАННЫХСБЕЗОПАСНОСТЬЮ

Часть 1

Общиетребования

IEC 61508-1:1998
Functional safety of electrical/electronic/programmable electronic safety-related systems –
Part 1: General requirements
(IDT)

Предисловие

ЦелиипринципыстандартизациивРоссийскойФедерацииустановленыФедеральнымзаконом от 27 декабря 2002 г. № 184-ФЗ «Отехническомрегулировании», аправилаприменениянациональных стандартовРоссийскойФедерации-ГОСТР 1.0-2004«СтандартизациявРоссийскойФедерации. Основныеположения»

Сведенияостандарте

1 ПОДГОТОВЛЕНобществомсограниченнойответственностью«Корпоративныеэлектронныесистемы»иТехническимкомитетомпостандартизацииТК 10 «Перспективныепроизводственныетехнологии, менеджментиоценкарисков»наосновесобственногоаутентичногопереводастандарта, указанногов пункте 4

2 ВНЕСЕНУправлениемразвития, информационногообеспеченияиаккредитацииФедеральногоагентствапотехническомурегулированиюиметрологии

3 УТВЕРЖДЕНИВВЕДЕНВДЕЙСТВИЕПриказомФедеральногоагентствапотехническомурегулированиюиметрологииот 27 декабря 2007 г. № 582-ст

4 НастоящийстандартидентиченмеждународномустандартуМЭК 61508-1:1998 «Функциональная безопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 1. Общиетребования» (IEC 61508-1:1998 «Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 1: General requirements», IDT).

НаименованиенастоящегостандартаизмененоотносительнонаименованияуказанногомеждународногостандартадляприведениявсоответствиесГОСТР 1.5 (подраздел 3.5).

Приприменениинастоящегостандартарекомендуетсяиспользоватьвместоссылочныхмеждународныхстандартовсоответствующиеимнациональныестандарты, сведенияокоторыхприведенывдополнительномприложенииС

5 ВВЕДЕНВПЕРВЫЕ

Информацияобизмененияхкнастоящемустандартупубликуетсявежегодноиздаваемоминформационномуказателе«Национальныестандарты», атекстизмененийипоправок –вежемесячно издаваемыхинформационныхуказателях«Национальныестандарты». Вслучаепересмотра (замены) илиотменынастоящегостандартасоответствующееуведомлениебудетопубликовановежемесячноиздаваемоминформационномуказателе«Национальныестандарты». Соответствующаяинформация, уведомлениеитекстыразмещаютсятакжевинформационнойсистемеобщегопользования – наофициальномсайтеФедеральногоагентствапотехническомурегулированиюиметрологиивсети Интернет

Введение

Системы, состоящиеизэлектрическихи/илиэлектронныхкомпонентов, втечениемногихлетиспользуютсядлявыполненияфункцийбезопасностивбольшинствеобластейприменения. Компьютерныесистемы [обычноназываемыепрограммируемымиэлектроннымисистемами (PES)], использующиесявовсех областяхприменениядлявыполнениязадач, несвязанныхсбезопасностью, вовсеболееувеличивающихсяобъемахиспользуютсядлярешениязадачобеспечениябезопасности. Дляэффективнойибезопаснойэксплуатациитехнологий, основанныхнаиспользованиикомпьютерныхсистем, чрезвычайноважно, чтобылица, ответственныезапринятиерешений, имеливсвоемраспоряжениируководстваповопросам безопасности, которыеонимоглибыиспользоватьвсвоейработе.

Настоящийстандартустанавливаетобщийподходквопросамобеспечениябезопасностидлявсего жизненногоцикласистем, состоящихизэлектрическихи/илиэлектронныхи/илипрограммируемыхэлектронныхкомпонентов [электрических /электронных /программируемыхэлектронныхсистем (E/E/PES)], которыеиспользуютсядлявыполненияфункцийбезопасности. Этотунифицированныйподходбылпринят длятого, чтобыразработатьрациональнуюипоследовательнуютехническуюконцепциюдлявсехэлектрическихсистем, связанныхсбезопасностью. Основнойцельюприэтомявляетсясодействиеразработке стандартов.

Вбольшинствеситуацийбезопасностьдостигаетсязасчетиспользованиянесколькихсистемзащиты, вкоторыхиспользуютсяразличныетехнологии (например, механические, гидравлические, пневматические, электрические, электронные, программируемыеэлектронные). Любаястратегиябезопасностидолжна, следовательно, учитыватьнетольковсеэлементы, входящиевсоставотдельныхсистем (например, датчики, управляющиеустройстваиисполнительныемеханизмы), нотакжеивсеподсистемы, связанные сбезопасностью, входящиевсоставкомбинированнойсистемы, связаннойсбезопасностью. Такимобразом, хотяданныйстандартпосвященвосновномэлектрическим /электронным /программируемымэлектронным (Е/Е/РЕ) системам, связаннымсбезопасностью, онможеттакжепредоставлятьобщуюструктуру, врамкахкоторойрассматриваютсясистемы, связанныесбезопасностью, основанныенадругихтехнологиях.

ПризнаннымфактомявляетсясуществованиеогромногоразнообразияиспользованияE/E/PESв различныхобластяхприменения, отличающихсяразличнойстепеньюсложности, опасностямиивозможнымирисками. Вкаждомконкретномприменениинеобходимыемерыбезопасностибудутзависетьотмногочисленныхфакторов, которыеявляютсяспецифичнымидляэтогоприменения. Настоящийстандарт, являясьбазовымстандартом, позволитформулироватьтакиемерывбудущихмеждународныхстандартах дляобластейприменения

Настоящийстандарт:

– рассматриваетвсесоответствующиеэтапыжизненногоцикласистембезопасностивцелом, атакже подсистемE/E/PESипрограммногообеспечения (например, начинаясисходнойконцепции, включая проектирование, разработку, эксплуатацию, сопровождениеивыводизэксплуатации), входекоторых E/E/PESиспользуютсядлявыполненияфункцийбезопасности;

– былзадумансучетомбыстрогоразвитиятехнологий; егоструктураявляетсядостаточноустойчивой иполнойдлятого, чтобыудовлетворятьпотребностямразработок, которыемогутпоявитьсявбудущем;

– делаетвозможнойразработкустандартовобластейприменения, гдеиспользуютсясистемы E/E/PES; разработкастандартовдляобластейпримененияврамкахобщейструктуры, вводимойнастоящимстандартом, должнаприводитькболеевысокомууровнюсогласованности (например, основныхпринципов, терминологииит.п.) какдляотдельныхобластейприменения, такидляихсовокупности; этоприноситпреимуществакаквпланебезопасности, такивпланеэкономики;

– предоставляетметодразработкиспецификацийдлятребованийкбезопасности, необходимыхдля достижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью;

– используетуровниполнотыбезопасностидлязаданияпланируемогоуровняполнотыбезопасности дляфункций, которыедолжныбытьреализованыЕ/Е/РЕсистемами, связаннымисбезопасностью;

– используетдляопределенияуровнейполнотыбезопасностиподход, основанныйнаоценкерисков;

– устанавливаетколичественныевеличиныотказовЕ/Е/РЕсистем, связанныхсбезопасностью, которыесвязанысуровнямиполнотыбезопасности;

– устанавливаетнижнийпределдляпланируемойвеличиныотказовврежимеопасныхотказов, которыйможетбытьзадандляотдельнойЕ/Е/РЕсистемы, связаннойсбезопасностью; дляЕ/Е/РЕсистем, связанныхсбезопасностью, работающихв:

режимеснизкойинтенсивностьюзапросовнижнийпределдлявыполненияпланируемойфункции позапросуустанавливаетсянасреднейвероятностиотказов 10^-5;

режимесвысокойинтенсивностьюзапросовнижнийпределустанавливаетсянавероятностиопасныхотказов 10^-9вчас.

Примечание-ОтдельнаяЕ/Е/РЕсистема, связаннаясбезопасностью, необязательнопредполагает одноканальнуюархитектуру.

– применяетширокийнаборпринципов, методовимердлядостиженияфункциональнойбезопасности Е/Е/РЕсистем, связанныхсбезопасностью, нонеиспользуетконцепциюбезаварийности, котораяможет иметьважноезначение, когдавидыотказовхорошоопределены, ауровеньсложностиявляетсяотносительноневысоким. Концепциябезаварийностипризнананеподходящейиз-заширокогодиапазонасложностиЕ/Е/РЕсистем, связанныхсбезопасностью, которыенаходятсявобластиприменениянастоящего стандарта.

Содержание

НАЦИОНАЛЬНЫЙСТАНДАРТРОССИЙСКОЙФЕДЕРАЦИИ

Датавведения- 2008-06-01

1 Область применения

1.1 Настоящийстандартохватываетвопросы, которыедолжныучитыватьсяприиспользованииэлектрических, электронных, программируемыхэлектронныхсистемдлявыполненияфункцийбезопасности. Главнаяцельнастоящегостандарта-облегчитьтехническимкомитетамразработкустандартов. Этопозволитполностьюучестьсущественныефакторы, связанныесрешаемымизадачами, и, такимобразом, удовлетворитьконкретныепотребностиобластиприменения. Другаяцельнастоящегостандартазаключаетсявтом, чтобысделатьвозможнойразработкуэлектрических, электронных, программируемыхэлектронных (Е/Е/РЕ) систем, связанныхсбезопасностью, вусловияхвозможногоотсутствиястандартовдляобластейприменения.

1.2 Вчастности, настоящийстандарт:

a) применяетсяксистемам, связаннымсбезопасностью, когдаоднаилинесколькотакихсистем включаютвсебяэлектрические, электронные, программируемыеэлектронныеустройства.

Примечания

1 ДляЕ/Е/РЕсистем, связанныхсбезопасностьюиимеющихнизкуюсложность, некоторыетребования, определенныевнастоящемстандарте, могутоказатьсянеобязательными, истановитсявозможнымосвобождениеотсоответствиятакимтребованиям (см. 4.2, атакжеопределениеЕ/Е/РЕсистем, связанныхсбезопасностью иимеющихнизкуюсложность, вМЭК 61508-4, пункт 3.4.4).

2 Хотячеловекможетбытьчастьюсистемы, связаннойсбезопасностью (МЭК 61508-4, пункт 3.4.1), требованиякчеловеческомуфактору, относящиесякпроектированиюЕ/Е/РЕсистем, связанныхсбезопасностью, не рассматриваютсяподробновнастоящемстандарте

b) являетсяосновополагающимиприменяетсяковсемЕ/Е/РЕсистемам, связаннымсбезопасностью, независимоотихприменения.

Примечание- См. МЭК 61508-4, пункты 3.1.1 и 7.3.1.2.

c) охватываетвозможныеопасности, вызванныеотказамифункцийбезопасности, которыедолжны выполнятьсяЕ/Е/РЕсистемами, связаннымисбезопасностью, вотличиеотопасностей, связанныхссамимЕ/Е/РЕоборудованием (например, пораженияэлектрическимтокомит.п.);

d) неохватываетЕ/Е/РЕсистем, вкоторых:

– необходимоеснижениерискаможетбытьдостигнутоспомощьюединичнойЕ/Е/РЕсистемыи

– требуемаяполнотабезопасностиЕ/Е/РЕсистемменьшетой, котораясоответствуетуровнюполноты безопасности, равному 1 (самыйнизкийуровеньполнотыбезопасностивнастоящемстандарте);

e) относится, главнымобразом, кЕ/Е/РЕсистемам, связаннымсбезопасностью, отказыкоторых могутоказыватьвлияниенабезопасностьлюдейи/илинаокружающуюсреду; однакопризнано, чтопоследствияотказамогуттакжевызыватьсерьезныеэкономическиепоследствия, ивтакихслучаяхнастоящийстандартможетбытьиспользовандляточногоопределениялюбойЕ/Е/РЕсистемы, используемой длязащитыоборудованияилипродукции;

f) рассматриваетЕ/Е/РЕсистемы, связанныесбезопасностью, системы, связанныесбезопасностью, основанныенадругихтехнологиях, ивнешниесредствауменьшениярискадлятого, чтобыспецификациитребованийбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, моглибытьопределенына основесистематическогоанализарисков;

g) используетмодельполногожизненногоциклабезопасностикактехническуюосновудлясистематическихдействий, необходимыхдляобеспеченияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

Примечания

1 Ранниеэтапыполногожизненногоциклабезопасностивключают, понеобходимости, учетдругихтехнологий (нарядусЕ/Е/РЕсистемами, связаннымисбезопасностью) ивнешнихсредствснижениярискадлятого, чтобыспецификациитребованийкЕ/Е/РЕсистемам, связаннымсбезопасностью, моглибытьразработанысистематическимобразомнаоснованиианализарисков.

2 ХотяполныйжизненныйциклбезопасностиотноситсявпервуюочередькЕ/Е/РЕсистемам, связаннымс безопасностью, онможеттакжепредоставлятьтехническуюосновудляанализалюбойсистемы, связаннойс безопасностью, независимооттехнологии, накоторойонаоснована (например, механической, гидравлической илипневматической).

h) неопределяетуровнейполнотыбезопасностидляобластейприменения (которыедолжныосновыватьсянаподробнойинформацииизнаниях, относящихсякобластиприменения). Техническиекомитеты, отвечающиезаконкретныеобластиприменения, должныопределять, гдеэтонеобходимо, уровниполноты безопасностивстандартахобластиприменения;

i) устанавливаетобщиетребованиякЕ/Е/РЕсистемам, связаннымсбезопасностью, гдеотсутствуют стандартыобластиприменения;

j) неохватываетмерыпредосторожности, которыенеобходимыдлятого, чтобыпредотвратитьповрежденияилииноенеблагоприятноевоздействиенафункциональнуюбезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, состоронылиц, неимеющихполномочий.

1.3 Настоящийстандартустанавливаетобщиетребования, которыеприменимыковсемчастямстандарта. Вдругихчастяхрассматриваютсяболееконкретныевопросы:

– вМЭК 61508-2 иМЭК 61508-3 предоставленыдополнительныеиспецифическиетребованияк Е/Е/РЕсистемам, связаннымсбезопасностью (требованиякаппаратнымсредствамипрограммномуобеспечению);

– МЭК 61508-4 содержитопределениятерминовисокращения, которыеиспользуютсявнастоящем стандарте;

– МЭК 61508-5 содержитруководствопоприменениюМЭК 61508-1 дляопределенияуровнейполноты безопасности, основанноенаиспользованиипримеров;

– МЭК 61508-6 содержитруководствопоприменениюМЭК 61508-2 иМЭК 61508-3;

– МЭК 61508-7 содержитобзорметодовисредств.

1.4 МЭК 61508-1 -МЭК 61508-4 представляютсобойосновополагающиестандартыпобезопасности, хотяэтотстатуснеприменяетсявконтекстеЕ/Е/РЕсистем, связанныхбезопасностью, имеющихнебольшуюсложность (МЭК 61508-4, пункт 3.4.4). Какосновополагающиестандартыпобезопасностиони предназначеныдляиспользованиятехническимикомитетамиприподготовкестандартоввсоответствиис МЭКРуководство 104 иИСО/МЭКРуководство 51. МЭК 61508-1 -МЭК 61508-4 предназначены, кроме того, дляиспользованиявкачествесамостоятельныхстандартов.

Вкругобязанностейтехническогокомитетавходитиспользование, гдеэтовозможно, основополагающихстандартовпобезопасностиприподготовкесобственныхстандартов. Вэтомслучаетребования, методыпроверкиилиусловияпроверкинастоящегоосновополагающегостандартапобезопасностине будутприменяться, еслиэтонеуказаноспециально, илионибудутвключатьсявстандарты, подготовленныеэтимитехническимикомитетами.

Примечание-ВСШАиКанадедотехпор, покатамнебудетопубликованавкачествемеждународного стандартапредлагаемаяреализацияМЭК 61508 дляобрабатывающихотраслей (т.е. МЭК 61511), вместо МЭК 61508 вобрабатывающихотрасляхдопускаетсяиспользоватьнациональныйстандарт, базирующийсяна МЭК 61508 (т.е. ANSI/ISAS 84.01-1996).

1.5 Нарисунке 1 показанаобщаяструктураМЭК 61508-1 -МЭК 61508-7 иуказанароль, которую играетМЭК 61508-1 вдостижениифункциональнойбезопасностиЕ/Е/РЕсистем, связанныхс безопасностью.

Рисунок 1 -Общаяструктуранастоящегостандарта

2 Нормативные ссылки

Внастоящемстандартеиспользованынормативныессылкинаследующиестандарты:

ИСО/МЭКРуководство 51:1999 Руководящиеуказанияповключениювстандартыаспектов, связанныхсбезопасностью

МЭКРуководство 104:1997 Подготовкапубликацийпобезопасностиииспользованиеосновополагающихгрупповыхпубликацийпобезопасности

МЭК 61508-2:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 2. Требованиякэлектрическим, электронным, программируемымэлектроннымсистемам, связаннымсбезопасностью

МЭК 61508-3:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 3. Требованиякпрограммномуобеспечению

МЭК 61508-4:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 4. Определенияисокращения

МЭК 61508-5:1998 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 5. Примерыметодовопределенияуровнейбезопасности

МЭК 61508-6:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 6. РуководствопоприменениюМЭК 61508-2:2000 и МЭК 61508-3:1998

МЭК 61508-7:2000 Функциональнаябезопасностьсистемэлектрических, электронных, программируемыхэлектронных, связанныхсбезопасностью. Часть 7. Анализметодовисредств

3 Термины и определения

ВнастоящемстандартеприменимытерминыпоМЭК 61508-4.

4 Соответствие настоящему стандарту

4.1 Длядостижениясоответствиянастоящемустандартунеобходимовыполнятьтребованияпоотношениюкзаданнымуказаннымкритериям (например, уровнюполнотыбезопасности) и, следовательно, выполнятьвсетребованиякаждогоразделаиподраздела.

Примечание-Вобщемслучаеневозможновычленитьодинкакой-тофактор, определяющий, вкакой мередолжновыполнятьсятоилииноетребование (степеньстрогости). Решениедолжнозависетьотнескольких факторов, наборкоторых, всвоюочередь, можетзависетьотстадииипроцессаполногожизненногоцикла безопасности, жизненногоциклабезопасностиE/E/PESилижизненногоциклабезопасностипрограммногообеспечения. Вчислоэтихфактороввходят:

– характеропасностей;

– уменьшениерискаипоследствий;

– уровеньполнотыбезопасности;

– типтехнологииреализации;

– размерсистемы;

– числоучаствующихколлективов;

– физическоераспределение;

– новизнапроекта.

4.2 НастоящийстандартопределяеттребованиякЕ/Е/РЕсистемам, связаннымсбезопасностью. Он былразработандляобеспеченияохватавсегодиапазонасложности, присущейтакимсистемам. Однако дляЕ/Е/РЕсистем, связанныхсбезопасностью, имеющихнизкуюсложность (МЭК 61508-4, пункт 3.4.4), там, гдесуществуетнадежныйпрактическийопыт, дающийнеобходимуюуверенностьвтом, чтобудет достигнутанеобходимаяполнотабезопасности, возможныследующиеварианты:

– встандартахобластейприменения, реализующихтребованияМЭК 61508-1 -МЭК 61508-7, некоторыетребованиямогутбытьнеобязательнымиидопускаетсяосвобождениеотсоответствиятакимтребованиям;

– еслинастоящийстандартиспользуетсявусловияхотсутствиястандартадляобластиприменения, тонекоторыетребования, определенныевнастоящемстандарте, могутсчитатьсянеобязательными, исоответствиеэтимтребованиямможетнеучитыватьсяприусловии, чтоэторешениебудетобосновано.

4.3 СтандартыобластейприменениядляЕ/Е/РЕсистем, связанныхсбезопасностью, разработанные наосновенастоящегостандарта, должныучитыватьтребованияИСО/МЭКРуководства 51 иМЭКРуководства 104.

5 Документация

5.1 Цели

5.1.1 Перваяцельтребованийнастоящегоразделасостоитвуказанииинформации, котораядолжна бытьдокументированадлятого, чтобыэффективновыполнятьвсестадииполногожизненногоцикла, жизненногоцикласистемыE/E/PESипрограммногообеспечения.

5.1.2 Второйцельютребованийнастоящегоразделаявляетсяуказатьинформацию, котораядолжна бытьдокументирована, длятого, чтобыможнобылоэффективновыполнятьдействияпоуправлениюфункциональнойбезопасностью (см. раздел 6), верификации (см. 7.18) иоценкефункциональнойбезопасности (см. раздел 8).

Примечания

1 Требованиякдокументациивнастоящемстандартеотносятся, посути, скореекинформации, чемк физическимдокументам. Нетребуетсявключатьинформациювфизическиедокументы, еслиэтонеуказано явнымобразомвсоответствующемподразделе.

2 Документацияможетбытьпредставленавразныхформах (например, набумаге, пленкеилииномносителеинформации, допускающемотображениенаэкранеилидисплее).

3 Возможнуюструктурудокументациисм. вприложенииА.

4 См. [4].

5.2 Требования

5.2.1 Длякаждойзавершеннойстадииполногожизненногоциклабезопасности, жизненногоцикла безопасностиE/E/PESипрограммногообеспечениядокументациядолжнасодержатьинформацию, котораяявляетсядостаточнойдляэффективнойреализациипоследующихстадийидляпроцессов верификации.

Примечание-Понятиедостаточнойинформациизависитотрядафакторов, включаясложностьи размерЕ/Е/РЕсистемы, связаннойсбезопасностью, итребований, относящихсякконкретномуприменению.

5.2.2 Документациядолжнасодержатьинформацию, достаточнуюдляуправленияфункциональной безопасностью (раздел 6).

Примечание-См. примечанияк 5.1.2.

5.2.3 Документациядолжнасодержатьдостаточнуюинформацию, необходимуюдляреализацииоценки функциональнойбезопасности, атакжеданныеирезультаты, полученныеприоценкефункциональнойбезопасности.

Примечание-См. примечанияк 5.1.2.

5.2.4 Еслитолькоиноенебылообоснованоприпланированиифункциональнойбезопасностиили определеновстандартеобластиприменения, документируемаяинформациядолжнасоответствоватьположениям, приведеннымвразделахнастоящегостандарта.

5.2.5 Доступностьинформациидолжнабытьдостаточнойдлявыполненияслужебныхобязанностейв соответствиисположенияминастоящегостандарта.

Примечание-Участвующимсторонамследуетпредоставлятьтолькоинформацию, необходимуюдля выполненияконкретныхдействий, требуемыхнастоящимстандартом.

5.2.6 Документациядолжнабыть:

– точнойикраткой;

– понятнойдлятех, ктодолженееиспользовать;

– пригоднойдлятехцелей, длякоторыхонапредназначена;

– доступнойиподдерживаемой.

5.2.7 Документацияилинаборинформациидолжныиметьзаголовкиилиназвания, указывающиена областьприменениясодержания, атакжеуказательтогоилииногорода, облегчающийдоступкинформации, требуемойнастоящимстандартом.

5.2.8 Документацияможетучитыватьпроцедуры, используемыекомпаниями, атакжерабочуюпрактику, сложившуюсявконкретныхприкладныхобластях.

5.2.9 Документыилинаборинформациидолжныиметьномеризменения (номерверсии), позволяющийидентифицироватьразличныеверсиидокумента.

5.2.10 Документилинаборинформациидолженбытьструктурировантакимобразом, чтобыоблегчить поискнеобходимойинформации. Должнабытьвозможностьустановленияпоследнегоизменения (версии) документаилинабораинформации.

Примечание-Физическаяструктурадокументацииможетменятьсявзависимостиотрядафакторов, такихкакразмерсистемы, еесложностьиорганизационныетребования.

5.2.11 Вседокументыдолжныподвергатьсяизменению, исправлениям, проверке, утверждениюи контролюспомощьюсоответствующейсхемыконтроля.

Примечание-Прииспользованиидляразработкидокументацииавтоматическихиполуавтоматическихсредствмогутпотребоватьсяспециальныепроцедуры, гарантирующиепринятиеэффективныхмердляуправленияверсиямииобеспечивающиеконтрольдругихаспектов, относящихсякдокументации.

6 Управление функциональной безопасностью

6.1 Цели

6.1.1 Первойцельютребованийнастоящегоподразделаявляетсяопределениедействийпоуправлениюитехническихдействийнастадияхполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения, которыенеобходимыдлядостижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

6.1.2 Второйцельютребованийнастоящегоподразделаявляетсяопределениеответственностиотдельныхлиц, подразделенийиорганизацийдлякаждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения, атакжедлядействийвтечение каждойстадии.

Примечание-Организационныемероприятия, относящиесякданномуразделу, обеспечивают эффективнуюреализациютехническихтребованийипредназначеныдлядостиженияиподдержанияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью. Техническиетребования, необходимыедля поддержанияфункциональнойбезопасности, обычноопределяютсякакчастьинформации, предоставляемой поставщикомЕ/Е/РЕсистем, связанныхсбезопасностью.

6.2 Требования

6.2.1 Теорганизацииилиотдельныелица, которыенесутполнуюответственностьзаоднуилинесколькостадийполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESили программногообеспечения, должныопределятьуправленческиеитехническиедействиядлякаждойиз стадий, закоторуюонинесутполнуюответственность, гарантирующиедостижениеиподдержаниенеобходимойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью. Вчастности, должны бытьрассмотренытакиевопросы, как:

a) политикаистратегиядостиженияфункциональнойбезопасности, атакжесредствадляоценкиее достиженияисредствакоммуникациивнутриорганизациидляобеспечениякультурыбезопаснойработы;

b) идентификацияотдельныхлиц, подразделенийиорганизаций, несущихответственностьзавыполнениеиконтрольнадсоответствующимистадиямиполногожизненногоциклабезопасности, жизненных цикловбезопасностиE/E/PESилипрограммногообеспечения (включая, гдеэтонеобходимо, государственныеорганылицензированияиорганырегулированиявобластибезопасности);

c) применяемыеэтапыполногожизненногоциклабезопасности, жизненныхцикловбезопасности E/E/PESсистемилипрограммногообеспечения;

d) способструктурированияиобъеминформации, подлежащийдокументированию (см. раздел 5);

e) мерыиметоды, используемыедлявыполнениятребованийконкретныхразделовиподразделов (МЭК 61508-2, МЭК 61508-3 иМЭК 61508-6);

f) действияпооценкефункциональнойбезопасности (см. раздел 8);

g) процедуры, предназначенныедляобеспечениябыстрогоисполнениярешенийиучетарекомендаций, относящихсякЕ/Е/РЕсистемам, связаннымсбезопасностью, являющихсярезультатом:

– анализаопасностейирисков (см. 7.4);

– оценкифункциональнойбезопасности (см. раздел 8);

– действийповерификации (см. 7.18);

– действийпоподтверждениюсоответствия (см. 7.8 и 7.14)^*);

– управленияконфигурацией (см. 6.2.1, перечислениеo), 7.16, атакжеМЭК 61508-2 иМЭК 61508-3);

^*)Оценкасоответствия-всоответствиисФедеральнымЗаконом«Отехническомрегулировании».

h) процедуры, гарантирующие, чтостороны, участвующиевовсехпроцессах, связанныхсполным жизненнымцикломсистембезопасности, жизненнымицикламибезопасностиE/E/PESилипрограммного обеспечения, компетентныввыполнениитехпроцессов, вкоторыхониучаствуют; вчастности, должны бытьопределены:

– подготовкаперсоналавчастидиагностикииустраненияотказов, атакжетестированиясистемы;

– подготовкаэксплуатационногоперсонала;

– переподготовкаперсоналачерезопределенныепериодывремени.

Примечание-ВприложенииВприведеныруководящиеуказания, касающиесятребованийккомпетенцииперсонала, участвующеговполномжизненномциклесистембезопасности, жизненныхциклахбезопасностиE/E/PESилипрограммногообеспечения.

i) процедуры, которыегарантируют, чтоопасныеинциденты (илиинциденты, которыемогутпривестик опаснымпоследствиям) будутпроанализированыичтобудутвыработанырекомендациипоминимизации возможностиихповторения;

j) процедурыдляанализаработпоэксплуатациииобслуживанию, вчастности, процедурыдля:

– выявлениясистематическихотказов, которыемогутнарушитьфункциональнуюбезопасность, включаяпроцедуры, которыеиспользуютсявовремяобычногообслуживанияприобнаруженииповторяющихсяотказов;

– оценкитого, находятсялиинтенсивностьзапросовичастотаотказовприработевсоответствиис предположениями, сделанныминаэтапепроектированиясистемы;

к) требованиякпериодическомуаудитуфункциональнойбезопасностивсоответствииснастоящим подразделом, включая:

– частотупроведенияаудитафункциональнойбезопасности;

– анализуровнянезависимостистороны, отвечающейзааудит;

– документациюипрограммувыполненияаудита;

l) процедурыпоинициированиюмодификацийсистем, связанныхсбезопасностью (см. 7.16.2.2);

m) необходимыепроцедурысогласованияиутверждениедляосуществлениямодификаций;

n) процедуры, связанныеспредоставлениемточнойинформации, касающейсявозможныхопасностейисистем, связанныхсбезопасностью;

o) процедурыуправленияконфигурациейЕ/Е/РЕсистем, связанныхсбезопасностью, втечениестадийполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммного обеспечения; вчастности, должныбытьуказаны:

– стадии, накоторыхдолженпроводитьсяформальныйконтрольконфигурации;

– процедуры, которыедолжныбытьиспользованыдляуникальнойидентификациивсехсоставных частейкомпонентов (аппаратныхсредствипрограммногообеспечения);

– процедурыдляпредотвращенияиспользованиянеутвержденныхкомпонентов.

Примечание-Болееподробноеописаниеуправленияконфигурациейприводитсяв [6] и [7].

p) обеспечение, принеобходимости, подготовкииинформациидляаварийныхслужб.

6.2.2 Действия, указанныев 6.2.1, должныбытьреализованы, ихвыполнениедолжноконтролироваться.

6.2.3 Требования 6.2.1 должныбытьотрецензированызаинтересованнымиорганизациями, идолжно бытьдостигнутосогласиепоэтимвопросам.

6.2.4 Всенесущиеответственностьзадействияпоуправлениюфункциональнойбезопасностьюдолжныбытьпроинформированыотом, зачтонесутответственность.

6.2.5 Поставщики, предоставляющиепродукциюилиуслугиорганизациям, несущимобщуюответственностьзаоднуилинесколькостадийполногожизненногоциклабезопасности, жизненныхциклов E/E/PESсистемилипрограммногообеспечения (см. 6.2.1), должныпоставлятьсвоюпродукциювсоответствиисоспецификациямиэтихорганизацийииметьсоответствующуюсистемууправлениякачеством.

7 Требования к полному жизненному циклу безопасности

7.1 Общиеположения

7.1.1 Введение

7.1.1.1 Длятого, чтобынасистематическойосновевыполнитьвседействия, необходимыедлядостижениятребуемогоуровняполнотыбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, внастоящем стандартевкачестветехническойосновыпринятамодельполногожизненногоциклабезопасности (см. рисунок 2).

Примечание-Полныйжизненныйциклбезопасностидолжениспользоватьсякакосновапри декларированиисоответствиянастоящемустандарту, однакоприэтомможетиспользоватьсяжизненныйцикл безопасности, отличныйоттого, которыйпоказаннарисунке 2, приусловии, чтовсецелиитребованиякаждого разделанастоящегостандартавыполняются.

Примечания

1 Действия, относящиесякверификации, управлениюфункциональнойбезопасностьюиоценкефункциональнойбезопасности, непоказаныизсоображенийясностирисунков, однакоониотносятсяковсемстадиям полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения.

2 Стадии, представленныенарисункепрямоугольниками 10 и 11, находятсявнеобластиприменения настоящегостандарта.

3 МЭК 61508-2 иМЭК 61508-3 относятсякпрямоугольнику 9 (реализация), ноонитакжеотносятся, при необходимости, каспектампрямоугольников 13, 14 и 15 программируемойэлектроники (аппаратнымсредствам ипрограммномуобеспечению).

Рисунок 2 -Полныйжизненныйциклбезопасности

7.1.1.2 Модельполногожизненногоциклабезопасностивключаетследующиемерыпоснижениюриска:

– Е/Е/РЕсистемы, связанныесбезопасностью;

– системы, связанныесбезопасностью, основанныенадругихтехнологиях;

– внешниесредствауменьшенияриска.

7.1.1.3 Частьполногожизненногоциклабезопасности, котораяимеетделосЕ/Е/РЕсистемами, связаннымисбезопасностью, показананарисунке. 3. ОнаноситназваниежизненногоциклаE/E/PESисоставляеттехническуюосновуМЭК 61508-2. Жизненныйциклбезопасностипрограммногообеспеченияпоказаннарисунке 4, онобразуеттехническуюосновудляМЭК 61508-3. СоотношениямеждуполнымжизненнымцикломбезопасностиижизненнымицикламиE/E/PESипрограммногообеспеченияпоказанына рисунке 5.

7.1.1.4 Рисунки 2-4, накоторыхпоказаныполныйжизненныйциклбезопасности, жизненныециклы безопасностиE/E/PESипрограммногообеспечения, представляютсобойупрощенноеотображениедействительности; онинепоказываютитеративныхпроцессоввнутристадийилимеждустадиями. Втоже времяитерациипредставляютсобойсущественнуюижизненноважнуючастьразработкиполногожизненногоциклабезопасностиижизненныхцикловбезопасностиE/E/PESипрограммногообеспечения.

7.1.1.5 Нарисунках 2-4, изображающихполныйжизненныйциклбезопасности, жизненныециклы безопасностиE/E/PESипрограммногообеспечения, непоказаныдействия, относящиесякуправлению функциональнойбезопасностью (см. раздел 6), верификации (см. 7.18) иоценкефункциональнойбезопасности (см. раздел 8). Этобылосделанодляупрощениярисунков. Этидействия, принеобходимости, должныприменятьсянасоответствующихстадияхполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения.

Рисунок 3 -ЖизненныйциклбезопасностиE/E/PES (наэтапереализации)

Рисунок 4 -Жизненныйциклбезопасностипрограммногообеспечения (наэтапереализации)

Рисунок 5 -Соотношениемеждуполнымжизненнымцикломбезопасностиижизненнымициклами безопасностиE/E/PESипрограммногообеспечения

7.1.2 Целиитребования: общиеположения

7.1.2.1 Целиитребованиядлястадийполногожизненногоциклабезопасностисодержатсяв 7.2-7.17. ЦелиитребованиядлястадийжизненногоциклаE/E/PESипрограммногообеспечениясодержатсявМЭК 61508-2 иМЭК 61508-3 соответственно.

Примечание-Подразделы 7.2-7.17 связаныспрямоугольниками (стадиями) нарисунке 2. Конкретныйпрямоугольникуказанвпримечанияхксоответствующемуподразделу.

7.1.2.2 Длявсехстадийполногожизненногоциклабезопасностивтаблице 1 указаны:

– цели, которыедолжныбытьдостигнуты;

– областьприменениястадий;

– ссылкинаподразделы, содержащиетребования;

– требованияквходнымматериаламдлястадии;

– выходныематериалы, необходимыедляобеспечениясоответствиястребованиями.

Таблица 1 -Полныйжизненныйциклбезопасности: обзор

7.1.3 Цели

7.1.3.1 Первойцельютребованийнастоящегоподразделаявляетсяструктурированиенасистематическойосновестадийполногожизненногоциклабезопасности, которыедолжнырассматриватьсядлядостижениятребуемойфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

7.1.3.2 Втораяцельтребованийнастоящегоподразделасостоитвдокументированииключевойинформации, имеющейотношениекфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностьюнапротяженииполногожизненногоциклабезопасности.

Примечание-Структурудокументациисм. вразделе 5 иприложенииА. Структурадокументации можетучитыватьпроцедуры, используемыевкомпаниях, ирабочуюпрактику, сложившуюсявконкретныхприкладныхобластях.

7.1.4 Требования

7.1.4.1 Полныйжизненныйциклбезопасности, которыйдолжениспользоватьсякакосновадлядекларированиясоответствиянастоящемустандарту, показаннарисунке 2. Еслииспользуетсяинаямодель полногожизненногоциклабезопасности, онадолжнабытьопределенавовремяпланированияфункциональнойбезопасности, приэтомдолжныбытьреализованывсезадачиитребованиякаждогоразделаи подразделанастоящегостандарта.

Примечание-ЖизненныйциклбезопасностиE/E/PESижизненныйциклбезопасностипрограммного обеспечения (образующиестадиюреализацииполногожизненногоцикласистембезопасности), которые должныиспользоватьсяпридекларированиисоответствия, определенысоответственновМЭК 61508-2 и МЭК 61508-3.

7.1.4.2 Требованияк управлениюфункциональнойбезопасностью (см. раздел 6) должнывыполнятьсяпараллельностадиямполногожизненногоциклабезопасности.

7.1.4.3 Еслииноенеобоснованоспециально, должнаприменятьсякаждаястадияполногожизненногоциклабезопасности, итребованиядолжнывыполняться.

7.1.4.4 Каждаястадияполногожизненногоциклабезопасностидолжнабытьразделенанаэлементарныедействия, длякоторыхдолжныбытьуказаныобластьприменения, входныеивыходныематериалы.

7.1.4.5 Областьпримененияивходныематериалыдлякаждойстадииполногожизненногоциклабезопасностидолжнысоответствоватьтем, которыеуказанывтаблице 1.

7.1.4.6 Еслииноенеобоснованоприпланированиифункциональнойбезопасностиилинеопределено встандартедляобластиприменения, выходныематериалыдлякаждойстадииполногожизненногоцикла безопасностидолжнысоответствоватьматериалам, которыеуказанывтаблице 1.

7.1.4.7 Выходныематериалыкаждойстадииполногожизненногоциклабезопасностидолжныудовлетворятьцелями требованиям, специфицированнымдлякаждойстадии (см. 7.2-7.17).

7.1.4.8 Требованиякверификации, которыедолжныбытьвыполненыдлякаждойстадииполногожизненногоциклабезопасности, определеныв 7.18.

7.2 Концепция

Примечание-Этастадияпредставленапрямоугольником 1 нарисунке 2.

7.2.1 Цель

ЦельтребованийнастоящегоподразделасостоитврасширенииуровняпониманияEUCиокружающейсреды (физической, законодательнойит.п.), достаточногодлятого, чтобымоглибытьудовлетворительновыполненыдругиедействиянажизненномциклебезопасности.

7.2.2 Требования

7.2.2.1 НеобходимособратьподробнуюинформациюоEUC, требуемыхфункцияхуправленияиокружающейсреде.

7.2.2.2 Необходимоопределитьпотенциальныеисточникиопасностей.

7.2.2.3 Необходимополучитьинформациюобустановленныхопасностях (токсичности, взрывоопасности, коррозионнойактивности, реакционнойспособности, возгораемостиит.д.).

7.2.2.4 Необходимополучитьинформациюотекущемсостояниирегулированиявобластибезопасности (нанациональномимеждународномуровнях).

7.2.2.5 Должныбытьрассмотреныопасности, вызванныевзаимодействиемсдругимиEUC (установленнымииликоторыебудутустановлены), вблизирассматриваемогоEUC.

7.2.2.6 Требования 7.2.2.1-7.2.2.5 ирезультатыихвыполнениядолжныбытьдокументированы.

7.3 Определениеполнойобластиприменения

Примечание-Этастадияпредставленанарисунке 2 прямоугольником 2.

7.3.1 Цели

7.3.1.1 ПерваяцельтребованийнастоящегоподразделасостоитвопределенииграницмеждуEUCи системойуправленияEUC.

7.3.1.2 Второйцельютребованийнастоящегоподразделаявляетсяопределениеобластиприменения анализаопасностейирисков (например, опасностей, связанныхспроцессами, опасностей, связанныхс окружающейсредой, ит.п.).

7.3.2 Требования

7.3.2.1 Должнобытьопределенофизическоеоборудование, включаяEUCисистемыуправленияEUC, котороевходитвобластьпримененияанализаопасностейирисков.

Примечание-См. [1] и [2].

7.3.2.2 Должныбытьопределенывнешниесобытия, которыедолжныбытьучтеныприанализеопасностейирисков.

7.3.2.3 Должныбытьопределеныподсистемы, связанныесопасностямиирисками.

7.3.2.4 Должныбытьопределенытипысобытий, приводящиекаварииилинесчастномуслучаю, которыенеобходимоучитывать (например, отказыкомпонентов, отказыпроцедур, человеческиеошибки, зависимыемеханизмыотказов, которыемогутпривестикпоследовательностиаварий).

7.3.2.5 Требования 7.3.2.1-7.3.2.4 ирезультатыихвыполнениядолжныбытьдокументированы.

7.4 Анализопасностейирисков

Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 3.

7.4.1 Цели

7.4.1.1 ПерваяцельтребованийнастоящегоподразделасостоитвопределенииопасностейиопасныхсобытийEUCисистемыуправленияEUC (вовсехрежимахработы) длявсехобоснованныхпредсказуемыхслучаев, включаяусловияпоявленияотказовипредсказуемоенеправильноеприменениеаппаратныхсредствипрограммногообеспечения.

7.4.1.2 Втораяцельтребованийнастоящегоподразделазаключаетсявопределениипоследовательностейсобытий, приводящихкопаснымсобытиям, определеннымв 7.4.1.1.

7.4.1.3 ТретьейцельютребованийнастоящегоподразделаявляетсяопределениерисковEUC, связанныхсопаснымисобытиями, определеннымив 7.4.1.1.

Примечания

1 Настоящийподразделнеобходимпотому, чтотребованиябезопасностидляЕ/Е/РЕсистем, связанныхс безопасностью, базируютсянаподходе, основанномнасистематическоманализерисков. ТакойподходнеможетбытьреализованбезучетаEUCисистемыуправленияEUC.

2 Втехобластяхприменения, вкоторыхмогутбытьсделаныдостоверныепредположенияорисках, вероятныхопасностях, опасныхсобытияхиихпоследствиях, анализ, необходимыйдляданногоподраздела (иподраздела 7.5), можетбытьвыполненразработчикамиверсийнастоящегостандарта, предназначенныхдляобластей применения; анализможетбытьвстроенвупрощенныеграфическиетребования. ПримерытакихметодовприведенывМЭК 61508-5 (приложенияDиЕ).

7.4.2 Требования

7.4.2.1 Долженбытьпроведенанализопасностейирисков, которыйучитываетинформацию, полученнуювходестадииопределенияполнойобластиприменения (см. 7.3). Еслинаболеепозднихстадиях полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESилипрограммногообеспеченияпринимаютсярешения, которыемогутизменитьбазис, накоторомосновывалисьболееранние решения, долженбытьпроведендальнейшийанализопасностейирисков.

Примечания

1 Руководящиеуказаниясм. в [1] и [2].

2 Можетвозникнутьнеобходимостьввыполнениианализаопасностейирисковнесколькораз.

3 Вкачествепримеранеобходимостипроводитьуглубленныйанализопасностейирисковвходеполного жизненногоциклабезопасностирассмотриманализEUC, которыйвключаетвсебяклапан, связанныйсбезопасностью. Анализопасностейирисковможетопределитьдвепоследовательностисобытий, однудляслучая отказапризакрыванииклапана, другую-дляслучаяотказаприегооткрывании, которыемогутприводитьк опаснымсобытиям. ОднакопридетальноманализесистемыуправленияEUC, управляющейработойклапана, можетбытьобнаруженновыйрежимотказов, связанныйсколебаниямиклапана, которыйдобавляетновую последовательностьсобытий, приводящуюкопасномусобытию.

7.4.2.2 Должнобытьрассмотреноисключениеопасностей.

Примечание-Хотяэтоинеотноситсякобластиприменениянастоящегостандарта, первостепенную важностьимеетизначальноеисключениевыявленныхопасностей, связанныхсEUC, например,путемприменениябезопасныхвсвоейосновепринциповихорошихинженерныхрешений.

7.4.2.3 Опасностииопасныесобытия, связанныесEUCисистемойуправленияEUC, должныбыть определеныдлявсехразумнопредсказуемыхусловий (включаяусловиявозникновенияотказовиразумнопредсказуемоенеправильноеиспользование). Вэтоткругвходятвсеслучаи, связанныесчеловеческимфактором. ОсобоевниманиедолжнобытьуделеноаномальнымиредкимрежимамработыEUC.

Примечание-Разумнопредсказуемоенеправильноеиспользованиесм. вМЭК 61508-4 (пункт 3.1.11).

7.4.2.4 Должныбытьопределеныпоследовательностисобытий, ведущиекопаснымсобытиям, определеннымв 7.4.2.3.

Примечание-Обычноимеетсмыслрассмотретьвозможностьисключениякакой-либопоследовательностисобытийпутеммодификациипроцессапроектированияилииспользуемогооборудования.

7.4.2.5 Должнабытьоцененавероятностьопасныхсобытийдляусловий, указанныхв 7.4.2.3.

Примечание-Вероятностьконкретногособытияможетбытьвыраженаколичественноиликачественно (МЭК 61508-5).

7.4.2.6 Должныбытьопределенывозможныепоследствия, связанныесопаснымисобытиями, определеннымив 7.4.2.3.

7.4.2.7 Длякаждогоопасногособытиядолженбытьрассчитанилиоцененриск, связанныйсEUC.

7.4.2.8 Требования 7.4.2.1-7.4.2.7 могутбытьудовлетвореныпутемприменениякачественногоили количественногоанализарисковиопасностей (МЭК 61508-5).

7.4.2.9 Пригодностьметодаиобластьегоприменениязависятотрядафакторов, вчислокоторых входят:

– конкретныеопасностииихпоследствия;

– прикладнаяобластьипринятаявнемпрактика, считающаяся«хорошей»;

– требованиянормправовогоитехническогорегулированиявобластибезопасности;

– рискиEUC;

– доступностьточныхданных, накоторыхдолженосновыватьсяанализопасностейирисков.

7.4.2.10 Прианализеопасностейирисковдолжнобытьучтеноследующее:

– каждоеустановленноеопасноесобытиеивсекомпоненты, оказывающиевлияниенанего;

– последствияивероятностьпоследовательностисобытий, скоторойсвязанокаждоеопасноесобытие;

– необходимоеуменьшениерискадлякаждогоопасногособытия;

– меры, предпринимаемыедляуменьшенияилиисключенияопасностейирисков;

– допущения, сделанныеприанализерисков, включаяоцененныеинтенсивностизапросовиинтенсивностиотказовоборудования; должнабытьдетализированастепеньдовериякограничениямвработеи вмешательствучеловека;

– ссылкинаключевуюинформацию (см. раздел 5 иприложениеА), относящуюсяксистемам, связаннымсбезопасностью, накаждойстадиижизненногоциклаE/E/PES (например, надействияповерификациииподтверждениюсоответствия).

7.4.2.11 Информацияирезультаты, которыесоставляютанализопасностейирисков, должныбыть документированы.

7.4.2.12 ИнформацияирезультатыанализаопасностейирисковдляEUCисистемыуправленияEUCдолжныподдерживатьсянапротяжениивсегожизненногоциклабезопасности, начинаясостадиианализа опасностейирисковидовыводаизэксплуатацииилиликвидации.

Примечание-Поддержкаинформацииирезультатованализаопасностейирисков, начинаясостадии анализаопасностейирисков, являетсяглавнымсредствомдляустановленияпрогрессавразрешениипроблем, связанныхсрезультатоманализаопасностейирисков.

7.5 Полныетребованиякбезопасности

Примечание-Этастадияпредставленанарисунке 2 прямоугольником 4.

7.5.1 Цельютребованийнастоящегоподразделаявляетсяразработкаполныхтребованийкбезопасности, выраженныхвтребованияхкфункциямбезопасностиитребованияхкполнотебезопасности, относящихсякЕ/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, иквнешнимсредствамснижениярискаипредназначенныхдлядостижения необходимойфункциональнойбезопасности.

Примечание-Втехобластяхприменения, вкоторыхмогутбытьсделаныдостоверныепредположения орисках, вероятныхопасностях, опасныхсобытияхиихпоследствиях, анализ, необходимыйдляданногоподраздела (иподраздела 7.5), можетбытьвыполненразработчикамиверсийнастоящегостандарта, предназначенных дляобластейприменения; анализможетбытьвстроенвупрощенныеграфическиетребования. Примерытаких методовприведенывМЭК 61508-5 (приложенияDиЕ).

7.5.2 Требования

7.5.2.1 Длякаждойустановленнойопасностидолжныбытьопределеныфункциибезопасности, необходимыедляобеспечениятребуемойфункциональнойбезопасности. Онидолжныформироватьобщую спецификациютребованийкфункциямбезопасности.

Примечание-Наэтойстадиифункциибезопасности, которыедолжнывыполняться, неописываются натехнологическомуровне, посколькуиспользуемыеметодыитехнологияреализациистанутизвестныпозже. Приопределениитребованийкбезопасности (см. 7.6) можетпотребоватьсяизменитьописаниефункцийбезопасностивсоответствиисконкретнымиметодамиреализации.

7.5.2.2 Длякаждогоустановленногоопасногособытиядолжнобытьопределенотребуемоеуменьшениериска. Требуемоеуменьшениерискаможетбытьопределеноколичественнымиликачественным методом.

Примечание-Требуемоеуменьшениерисканеобходимодлятого, чтобыопределитьтребованияк полнотебезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешнихсредствуменьшенияриска. ВМЭК 61508-5 (приложениеС) описанодин изметодов, которыйможетприменятьсядляопределениятребуемогоуменьшениярискаприиспользовании количественногоподхода. ВМЭК 61508-5 (приложенияDиЕ) описаныкачественныеметоды, однаковприводимыхпримерахтребуемоеуменьшениерискавключаетсянеявно, тоестьнеформулируетсяявнымобразом.

7.5.2.3 Втехслучаях, когдасуществуютмеждународныестандартыдляприкладныхобластей, которыевключаютметодыдляпрямогоопределениятребуемогоуменьшенияриска, этистандартымогутбыть использованыдлявыполнениятребованийнастоящегоподраздела.

7.5.2.4 КогдаотказысистемыуправленияEUCотносятсякоднойилинесколькимсистемам, связаннымсбезопасностью, основаннымнаЕ/Е/РЕилидругихтехнологиях, и/иликвнешнимсредствамуменьшениярискаикогдасистемауправленияEUCнепозиционируетсякаксистема, связаннаясбезопасностью, тодолжныприменятьсяследующиетребования:

a) интенсивностьопасныхотказовдлясистемыуправленияEUCдолжнабытьподтверждена:

– даннымипофактическойработесистемыуправленияEUCвсхожемприменении, или

– анализомнадежности, выполненнымсиспользованиемпризнаннойпроцедуры, или

– даннымипонадежностиизпромышленнойбазыданныхпооборудованию;

b) интенсивностьопасныхотказов, объявленнаядлясистемыуправленияEUC, должнабытьнениже чем 10^-5отказоввчас.

Примечание-Обоснованиеэтоготребованиясостоитвтом, чтоеслисистемауправленияEUCне позиционируетсякаксистема, связаннаясбезопасностью, тоинтенсивностьотказов, котораяможетбытьобъявленадлясистемыуправленияEUC, недолжнабытьниже, чемверхнеецелевое (планируемое) значениеотказов дляуровняполнотыбезопасности 1 (котораясоставляет 10^-5опасныхотказоввчас; см. таблицу 3);

c) должныбытьопределеныиучтеныприразработкеспецификацииобщихтребованийкбезопасностивсеразумнопредсказуемыережимыопасныхотказовсистемыуправленияEUC;

d) системауправленияEUCдолжнабытьотдельнойинезависимойотЕ/Е/РЕсистем, связанныхс безопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешнихсредств уменьшенияриска.

Примечание-Еслисистемы, связанныесбезопасностью, проектировалисьдляобеспечения адекватнойполнотыбезопасностисучетомобычнойинтенсивностизапросовотсистемыуправленияEUC, тоне требуетсяпозиционироватьсистемууправленияEUCкаксистему, связаннуюсбезопасностью, (и, следовательно, еефункциинебудутпозиционироватьсякакфункциибезопасностивконтекстенастоящегостандарта).

Внекоторыхприменениях, вчастности, гдетребуетсяоченьвысокаястепеньполнотыбезопасности, можетоказатьсяприемлемымуменьшениеинтенсивностизапросовпутемпроектированиядлясистемыуправленияEUCменьшей, чемобычно, интенсивностиотказов. Втакихслучаях, еслиинтенсивностьотказовменьше, чемверхняя границацелевойполнотыбезопасностидляуровняполнотыбезопасности, равного 1 (см. таблицу 3), система управлениястановитсясистемой, связаннойсбезопасностью, икнейприменяютсятребованиянастоящего стандарта.

7.5.2.5 Еслитребования 7.5.2.4 [перечисленияа)-d)] немогутбытьсоблюдены, тосистемауправленияEUCдолжнарассматриватьсякаксистема, связаннаясбезопасностью. Уровеньполнотыбезопасности, отнесенныйксистемеуправленияEUC, долженосновыватьсянаинтенсивностиотказов, объявленной длясистемыуправленияEUCвсоответствиисцелевымизначениямиотказов, приведеннымивтаблицах 2 и 3. Втакихслучаяхтребованиянастоящегостандарта, относящиесякназначаемомууровнюполноты безопасности, должныприменятсяксистемеуправленияEUC.

Примечания

1 Например, еслидлясистемыуправленияEUCобъявленаинтенсивностьотказов10^-6-10^-5отказовв час, тодолжныбытьвыполненытребования, соответствующиеуровнюполнотыбезопасности, равному 1.

2 См. также 7.6.2.10.

7.5.2.6 Длякаждойфункциибезопасностидолжныбытьуказанытребованиякполнотебезопасности, выраженныевтребуемомуменьшениириска. Онидолжнысоставлятьспецификациюполныхтребованийк полнотебезопасности.

Примечание-Спецификациятребованийкполнотебезопасностипредставляетсобойпромежуточнуюстадиюнапутикопределениюуровнейполнотыбезопасностидляфункцийбезопасности, которыедолжны бытьреализованыЕ/Е/РЕсистемами, связаннымисбезопасностью. Некоторыеизкачественныхметодов, используемыхдляопределенияуровнейполнотыбезопасности [МЭК 61508-5 (приложенияDиЕ)] содержатпереходнепосредственноотпараметроврискакуровнямполнотыбезопасности. Втакихслучаяхтребуемоеуменьшениерискаявляетсянеявным, тоестьнеформулируетсяявнымобразом, посколькуоноинтегрировановсам метод.

7.5.2.7 Спецификациифункцийбезопасности (см. 7.5.2.1) итребованийкполнотебезопасности (см. 7.5.2.6) должнысовместноформироватьспецификациюполныхтребованийбезопасности.

7.6 Распределениетребованийбезопасности

Примечание-Этастадияпредставленанарисунке 2 прямоугольником 5.

7.6.1 Цели

7.6.1.1 Первойцельютребованийнастоящегоподразделаявляетсяраспределениефункцийбезопасности, содержащихсявспецификацииполныхтребованийбезопасности (включающейтребованиякфункциямбезопасностиитребованиякполнотебезопасности), поназначеннымЕ/Е/РЕсистемам, связаннымс безопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, ивнешним средствамуменьшенияриска.

Примечание-Системыбезопасности, основанныенадругихтехнологиях, ивнешниесредства уменьшениярискарассматриваются, принеобходимости, когдараспределениепоЕ/Е/РЕсистемам, связанным сбезопасностью, неможетбытьвыполненобезучетадругихмерпоснижениюриска.

7.6.1.2 Второйцельютребованийнастоящегоподразделаявляетсяраспределениеуровняполноты безопасностидлякаждойфункциибезопасности.

Примечание-Уровниполнотыбезопасности, какуказанов 7.5, выражаютсячерезснижениериска.

7.6.2 Требования

7.6.2.1 Должныбытьопределеныназначенныесистемы, связанныесбезопасностью, которыебудут использоватьсядлядостижениятребуемойфункциональнойбезопасности. Требуемоеуменьшениериска можетбытьдостигнутозасчет:

– внешнихсредствуменьшенияриска;

– Е/Е/РЕсистем, связанныхсбезопасностью;

– систем, связанныхсбезопасностью, основанныхнадругихтехнологиях.

Примечание-Настоящийподразделприменимтолькоприусловии, чтооднаизсистем, связанныхс безопасностью, представляетсобойE/E/PES.

7.6.2.2 ПрираспределениифункцийбезопасностипоназначеннымЕ/Е/РЕсистемам, связаннымс безопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, ивнешним средствамуменьшенияриска, должныбытьучтенывозможностииресурсывсехстадийполногожизненногоциклабезопасности.

Примечания

1 Всепоследствияиспользованиясистем, связанныхсбезопасностью, основанныхнасложныхтехнологиях, частонедооцениваются. Вчастности, реализациясложнойтехнологиитребуетболеевысокогоуровнякомпетентностинавсехуровняхотразработкиспецификацийдоэксплуатацииисопровождения. Использованиедругих, болеепростыхтехнологическихрешений, можетбытьравнымпоэффективностиивтожевремяобладать рядомпреимуществиз-зауменьшившейсясложностиE/E/PES.

2 Доступностьвозможностейиресурсовприэксплуатацииисопровождении, атакжеусловияработымогут иметькритическоезначениедлядостижениятребуемойфункциональнойбезопасностивусловияхреальной эксплуатации.

7.6.2.3 Каждаяфункциябезопасностивместесотносящимсякнейтребованиемкполнотебезопасности, разработаннымвсоответствиис 7.5, должнабытьраспределенапоназначеннымЕ/Е/РЕсистемам, связаннымсбезопасностью, сучетомсниженияриска, достигаемогозасчетсистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, ивнешнихсредствуменьшениярискадлядостижениятребуемогосниженияуровнярискадляэтойфункциибезопасности. Этораспределениеимеетитерационный характер. Еслибудетустановлено, чтотребуемоеуменьшениерисканеможетбытьдостигнуто, тоархитектурадолжнабытьизмененаираспределениедолжнобытьвыполненоповторно.

Примечания

1 Каждаяфункциябезопасностивместесотносящимсякнейтребованиемкполнотебезопасности, выраженнымчерезтребуемоеснижениериска (см. 7.5), распределяетсяпооднойилинесколькимЕ/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологияхивнешнимсредствамуменьшенияриска. Решениеораспределенииконкретнойфункциибезопасностипооднойили несколькимсистемам, связаннымсбезопасностью, зависитотрядафакторов, новособенностиотстепени уменьшенияриска, котороедолжнобытьдостигнутоспомощьюфункциибезопасности. Чембольшееснижение рисканеобходимо, тембольшевероятностьтого, чтофункциябудетраспределенамеждунесколькимисистемами, связаннымисбезопасностью.

2 Нарисунке 6 показанпринятыйвнастоящемподразделеподходкраспределениютребованийкбезопасности.

7.6.2.4 Распределение, указанноев 7.6.2.3, должнобытьвыполненотакимобразом, чтобывсефункциибезопасностибылираспределеныичтобытребованиявотношенииполнотыбезопасностидлякаждой функциибезопасностибыливыполнены (втомчислеважнейшиетребования, определенныев7.6.2.10).

7.6.2.5 Требованиякполнотебезопасностидлякаждойфункциибезопасностидолжныбытьпригодны дляуказаниятого, чтокаждыйпланируемыйпараметрполнотыбезопасностиявляетсялибо

– среднейвероятностьюотказовотвыполненияеепредназначеннойфункциипозапросу (длярежима работыснизкойчастотойобращений (запросов)) или

– вероятностьюопасногоотказавчас (длярежимаработысвысокойчастотойзапросовилирежимас непрерывнымизапросами).

7.6.2.6 Распределениетребованийкполнотебезопасностидолжнопроводитьсясиспользованием соответствующихметодовдляопределениявероятностисовместныхсобытий.

Примечание-Распределениетребованийкполнотебезопасностиможетбытьвыполненоспомощью качественныхи/иликоличественныхметодов.

7.6.2.7 Распределениеследуетпроводитьсучетомвероятностиотказов, имеющихобщуюпричину. ЕслиЕ/Е/РЕсистемы, связанныесбезопасностью, системы, связанныесбезопасностью, основанныена другихтехнологиях, ивнешниесредствауменьшениярискадолжнырассматриватьсяприраспределении какнезависимые, они:

– должныбытьфункциональноразличными (т.е. использоватьсовершенноразличныеподходыдля достиженияоднихитехжерезультатов);

– должныосновыватьсянаразличныхтехнологиях (т.е. внихдолжноиспользоватьсяоборудование различныхвидовдлядостиженияоднихитехжерезультатов).

Примечание-Следуетпонимать, чтоскольбыразнообразнанибылатехнология, вслучаесистемс высокойполнотойбезопасностиисособотяжелымипоследствиямивслучаеотказа, должныбытьприняты особыемерыпредосторожностипоотношениюкмаловероятнымсобытиямсобщейпричиной, напримеравиационнымкатастрофамилиземлетрясениям.

– недолжныиметьобщихчастей, системсервисаилиподдержки (например, источниковпитания), отказкоторыхможетпривестикотказувсехсистемвопасномрежиме;

– недолжныиметьобщихпроцедурэксплуатации, обслуживанияилитестирования;

– должныбытьфизическиразделеннымитак, чтобыпредсказуемыеотказыневлиялинаизбыточные системы, связанныесбезопасностью, ивнешниесредствауменьшенияриска.

Примечание-НастоящийстандарткасаетсяименнораспределениятребованийкполнотебезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, итребованиявнемопределенытак, каконидолжныбыть заданыдляэтихсистем. Распределениетребованийкполнотебезопасностидлясистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, идлявнешнихсредствуменьшениярискавданномстандартеподробно нерассматриваются.

Примечания

1 Требованиякполнотебезопасностисвязываютсяскаждойфункциейбезопасностидораспределения (см. 7.5.2.6).

2 Функциябезопасностиможетбытьраспределенапонесколькимсистемам, связаннымсбезопасностью.

3 ССБ-система(ы), связанная(ые) сбезопасностью.

Рисунок 6 -РаспределениетребованийбезопасностипоЕ/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругихтехнологиях, ивнешнимсредствамсниженияриска

7.6.2.8 Еслиневсетребования 7.6.2.7 могутбытьвыполнены, тоЕ/Е/РЕсистемы, связанныесбезопасностью, системы, связанныесбезопасностью, основанныенадругихтехнологиях, ивнешниесредства уменьшениярисканедолжнысчитатьсянезависимымиприраспределенииуровнейполнотыбезопасности, еслитолькопроведенныйанализнепокажет, чтоониявляютсявдостаточнойстепенинезависимыми (с точкизренияполнотыбезопасности).

Примечания

1 Болееподробнуюинформациюповопросуанализазависимыхотказовсм. в [9] и [10].

2 Достаточнаянезависимостьустанавливаетсяпутемдемонстрациитого, чтовероятностьзависимогоотказаявляетсядостаточнонизкойпосравнениюстребованиямикполнотебезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью.

7.6.2.9 Призавершениипроработкираспределениятребованийкполнотебезопасностидлякаждой функциибезопасности, распределенныхпоЕ/Е/РЕсистеме(ам), связанной(ым) сбезопасностью, должны бытьвыраженывтерминахполнотыбезопасностивсоответствиистаблицами 2 и 3 идолжныбытьпригодныдлятого, чтобыпоказатьодноиздвух: являетсялипланируемыйпараметрполнотыбезопасности

– среднейвероятностьюотказовпозапросуотвыполненияееназначеннойфункции (длярежима работыснизкойчастотойзапросов) или

– вероятностьюопасныхотказоввчас (длярежимаработысвысокойчастотойзапросовилиснепрерывнымизапросами).

Примечания

1 Доэтойстадиитребованиякполнотебезопасностибылиопределенывтерминахуменьшенияриска (см. 7.5).

2 Таблицы 2 и 3 содержатпланируемыевеличиныотказовдляуровнейполнотыбезопасности. Допускается, чтоможетоказатьсяневозможнымпредсказатьколичественнополнотубезопасностидлявсехаспектов Е/Е/РЕсистем, связанныхсбезопасностью. Вэтомслучаепоотношениюкмерампредосторожности, необходимымдлядостижениязапланированныххарактеристикотказов, должныбытьпримененыкачественныеметоды, мерыизаключения. Этоособенноотноситсякслучаюполнотыбезопасностипоотношениюксистематическим отказам [МЭК 61508-4 (пункт 3.5.4)].

Таблица 2 -Уровниполнотыбезопасности: планируемыевеличиныотказовдляфункциибезопасности, работающейврежименизкойинтенсивностизапросов

Таблица 3-Уровниполнотыбезопасности: планируемыевеличиныотказовдляфункциибезопасности, работающейврежимевысокойинтенсивностизапросовиливрежименепрерывныхзапросов

3 Определениятерминоврежимработыснизкойинтенсивностьюзапросовирежимработысвысокой интенсивностьюзапросовилирежимснепрерывнымизапросамисм. вМЭК 61508-4, пункт 3.5.12.

4 Вероятностьопасныхотказоввчас-параметр, используемыйвтаблице 3 длярежимаработысвысокой интенсивностьюотказовилидляработыврежимеснепрерывнымизапросами, иногдафигурируетподназваниемчастотыопасныхотказовилиинтенсивностиопасныхотказовсединицейизмерения-опасныеотказывчас.

5 ДляЕ/Е/РЕсистем, связанныхсбезопасностью, действующихврежимевысокойинтенсивностизапросов иливрежименепрерывныхзапросов, когдаработадлитсяопределенныйпромежутоквремени, втечениекоторогоремонтнеможетбытьвыполнен, требуемыйуровеньполнотыбезопасностидляфункциибезопасности можетбытьполученследующимобразом. Определяетсятребуемаявероятностьотказафункциибезопасностив расчетенапериодработы. Полученноезначениеделитсянапродолжительностьпериода, врезультатеполучаетсятребуемаявероятностьотказовврасчетеначас. Далеесиспользованиемданныхтаблицы 3 определятся необходимыйуровеньполнотыбезопасности.

6 Настоящийстандартустанавливаетнижнююграницупланируемыхвеличинотказовврежимеопасных отказов, которыемогутобъявлятьсядляслучаяопасныхотказов. Ониопределяютсякакнижнийпределуровня полнотыбезопасности 4 (т. е. средняявероятностьотказов, равная 10^-5привыполненииназначеннойфункциипо запросу, иликаквероятностьопасногоотказа, равная 10^–9вчас). Можетоказатьсявозможнымразработать системы, связанныесбезопасностью, сболеенизкимизначениямипланируемыхвеличинотказовдлянесложныхсистем, однакосчитается, чтоцифры, приведенныевтаблице, представляютпредел, которыйможетбыть достигнутвнастоящеевремядляотносительносложныхсистем (например, дляпрограммируемыхэлектронных систем, связанныхсбезопасностью).

7 Планируемыевеличиныотказов, которыемогутбытьзаявленывслучаеиспользованиядвухиболее Е/Е/РЕсистем, связанныхсбезопасностью, могутоказатьсялучшетех, которыеприведенывтаблицах 2 и 3, при условии, чтодостигнутыадекватныеуровнинезависимости.

8 Важноотметить, чтовеличиныотказовдляуровнейполнотыбезопасности 1, 2, 3 и 4 являютсяпланируемымивеличинами. Принятосчитать, чтотолькопоотношениюкполнотебезопасностиаппаратныхсредств [МЭК 61508-4 (пункт 3.5.5)] возможнодатьколичественнуюоценкуииспользоватьнадежныеметодыпредсказанияприоценкетого, будутлидостигнутыпланируемыевеличиныотказов. Приопределениитого, будутлидостаточнымерыпредосторожностидлядостиженияпланируемыхвеличинотказовпоотношениюкполнотебезопасности, связаннойссистематическимиотказами [МЭК 61508-4 (пункт 3.5.4)], должныбытьиспользованыкачественныеметодыизаключения.

9 Требованиякполнотебезопасностидлякаждойфункциибезопасностидолжныуказывать, чтопредставляютсобойпараметры, характеризующиепланируемыевеличиныотказов:

– среднюювероятностьневыполненияназначеннойфункциипозапросу (приработеврежименизкой интенсивностизапросов) или

– вероятностьвозникновенияопасныхотказоввчас (длярежимасвысокойинтенсивностьюзапросовили режимаснепрерывнымизапросами).

7.6.2.10 ДляЕ/Е/РЕсистемы, связаннойсбезопасностью, котораяреализуютфункциибезопасности сразличнымиуровнямиполнотыбезопасности, текомпонентыаппаратныхсредствипрограммногообеспечения, связанногосбезопасностью, длякоторыхнеустановленадостаточнаястепеньнезависимости, должнысчитатьсяпринадлежащимикфункциямбезопасностиснаивысшимуровнемполнотыбезопасности, еслитольконебудетустановленадостаточнаянезависимостьреализацииэтихконкретныхфункций.

Следовательно, ковсемэтимкомпонентамдолжныприменятьсятребования, относящиесяксоответствующемунаивысшемууровнюполнотыбезопасности.

Примечание-См. такжеМЭК 61508-2 (пункт 7.4.2.4) иМЭК 61508-3 (пункт 7.4.2.8).

7.6.2.11 Архитектура, представленнаяединственнойЕ/Е/РЕсистемой, связаннойсбезопасностью, имеющейуровеньполнотыбезопасности 4, допустиматолькоприусловиивыполнениятребованийперечисленияа) либоодновременноговыполнениятребованийперечисленийb) ис):

a) былаявнопродемонстрированасиспользованиемкомбинациисоответствующиханалитических методовитестированиявеличинаотказовпланируемойполнотыбезопасности;

b) былполученобширныйопытэксплуатациикомпонентов, используемыхкакчастьЕ/Е/РЕсистемы, связаннойсбезопасностью; этотопытдолженбытьполученвсхожейокружающейсредеиотноситьсяк системам, имеющим, какминимум, сопоставимыйуровеньсложности;

c) имеетсядостаточныйобъемданныхпоотказамаппаратныхсредств, полученныйдляэлементов, используемыхвкачествекомпонентовЕ/Е/РЕсистемы, связаннойсбезопасностью, дающийдостаточнуюуверенностьввеличинепланируемыхотказовдлязаявляемогоуровняполнотыбезопасностиаппаратуры. Данныедолжнысоответствоватьпредполагаемымокружающейсреде, применениюиуровнюсложности.

7.6.2.12 НиоднаодиночнаяЕ/Е/РЕсистема, связаннаясбезопасностью, недолжнабытьразмещенаповеличинеотказовполнотыбезопасностиниже, чемуказановтаблицах 2 и 3. Тоесть, длясистем, связанныхсбезопасностью, работающих:

– врежименизкойинтенсивностизапросоввкачественижнейграницыпринимаетсясредняявероятностьотказа, равная 10^-5, длявыполненияназначеннойфункциипозапросу;

– врежимевысокойинтенсивностизапросовиливрежименепрерывныхзапросоввкачественижней границыпринимаетсявероятностьопасныхотказов, равная 10^-9вчас.

7.6.2.13 Информацияирезультатыраспределениятребованийкбезопасности, полученныевподразделах 7.6.2.1 – 7.6.2.12, вместеслюбымисделаннымидопущениямииобоснованиямидолжныбыть документированы.

Примечание-ДлякаждойЕ/Е/РЕсистемы, связаннойсбезопасностью, долженбытьдостаточный объеминформациипофункциямбезопасностиисвязаннымиснимиуровнямиполнотыбезопасности. Эта информацияобразуетосновутребованийкбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью, определяемыхвМЭК 61508-2.

7.7 Полноепланированиеэксплуатацииисопровождения

Примечания

1 Даннаястадияпредставленапрямоугольником 6 нарисунке 2.

2 Примермоделидействийприэксплуатацииисопровождениипоказаннарисунке 7.

3 Примермоделиуправленияэксплуатациейисопровождениемпоказаннарисунке 8.

7.7.1 Цель

ЦельютребованийнастоящегоподразделаявляетсяразработкапланаэксплуатацииисопровожденияЕ/Е/РЕсистем, связанныхсбезопасностью, гарантирующего, чтотребуемаяфункциональнаябезопасностьбудетподдерживатьсявпроцессеэксплуатацииисопровождения.

7.7.2 Требования

7.7.2.1 Долженбытьподготовленплан, вкоторомнеобходимоуказатьследующее:

a) типовыедействия, необходимыедляподдержаниятребуемойфункциональнойбезопасности Е/Е/РЕсистем, связанныхсбезопасностью;

b) действияиограничения, которыенеобходимы (например, призапуске, нормальнойработе, стандартномтестировании, предсказуемыхнарушениях, отказахивыключении) дляпредотвращенияпереходавнеустойчивоесостояние, уменьшенияпотребностивЕ/Е/РЕсистеме, связаннойсбезопасностью, либоослабленияпоследствийопасныхсобытий;

Примечание-КЕ/Е/РЕсистемам, связаннымсбезопасностью, относятсяследующиеограничения:

– ограничениянаработуEUCприсбоеилиотказеЕ/Е/РЕсистем, связанныхсбезопасностью;

– ограничениянаработуEUCвпериодобслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью;

– когдамогутбытьотмененыограничениянаработуEUC;

– процедурывозвратакнормальнойработе;

– процедурыподтверждениятого, чтодостигнутнормальныйрежимработы;

– обстоятельства, прикоторыхфункцииЕ/Е/РЕсистем, связанныхсбезопасностью, могутбытьпропущены припуске, вовремявыполненияспециальныхоперацийилипритестировании;

– процедуры, которымнеобходимоследоватьдо, вовремяипослеотключенияЕ/Е/РЕсистем, связанныхс безопасностью, включаяразрешениенарабочиепроцедурыиуровниполномочий.

c) документацию, которуюнеобходимовести, ивкоторойотображаютсярезультатыаудитафункциональнойбезопасностиитестирования;

d) документацию, котораянеобходимадлясохраненияинформацииобопасныхпроисшествияхи всехпроисшествиях, которыепотенциальноприводяткопасномусобытию;

e) совокупностьдействийпообслуживанию (вотличиеотдействийпомодификации);

f) действия, которыедолжныбытьпредпринятывслучаевозникновенияопасныхсобытий;

g) содержаниедокументации, вкоторойвхронологическомпорядкерегистрируютсядействиявпериодэксплуатациииобслуживания (см. 7.15).

Примечания

1 БольшинствоЕ/Е/РЕсистем, связанныхсбезопасностью, имеетнекоторыевидыотказов, которыемогут бытьобнаруженытолькопритестированиивовремястандартногообслуживания. Еслитестированиенебудет проводитьсясдостаточнойчастотой, требуемыйуровеньполнотыбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью, небудетдостигнут. Когдатестированиевыполняетсяврабочемрежиме, можетпотребоватьсявременноеотключениеЕ/Е/РЕсистемы, связаннойсбезопасностью. Этодолжнобытьобоснованотольковслучае, есливероятностьзапросов, случающихсявэтовремя, мала. Есливэтомнетуверенности, можетоказаться необходимымустановитьдополнительныесенсорыиисполнительныеустройствадлясохранениятребуемой функциональнойбезопасностивовремятестирования.

2 Данныйподразделприменяетсякпоставщикупрограммногообеспечения, которыйдолженсопроводить программныйпродуктинформациейипроцедурами, которыедаютвозможностьпользователюобеспечитьнеобходимуюфункциональнуюбезопасностьвовремяэксплуатациииобслуживаниясистемы, связаннойсбезопасностью. Подразделвключаетподготовительныепроцедурыдлялюбоймодификациипрограммногообеспечения, которыемогутбытьрезультатомпотребностей, возникшихвпериодэксплуатацииилиобслуживания [см. такжеМЭК 61508-3 (пункт 7.6)]. Реализацияэтихпроцедур-поМЭК 61508-3 (пункты 7.8 и 7.15). Процедуры подготовкикбудущимизменениямпрограммногообеспечения, которыеявляютсярезультатомпотребностейв изменениисистем, связанныхсбезопасностью, рассматриваютсявМЭК 61508-3 (пункты 7.6 и 7.16). Реализация этихпроцедур-поМЭК 61508-2 (пункты 7.8 и 7.16).

3 Следуетучитыватьпроцедурыпоэксплуатациииобслуживанию, разработанныедлятого, чтобывыполнитьтребованияМЭК 61508-2 иМЭК 61508-3.

7.7.2.2 Стандартныедействияпообслуживанию, которыевыполняютсядляобнаруженияневыявленныхнеисправностей, должныбытьвыполненынаосновесистематическогоанализа.

Примечание-Еслиневыявленныенеисправностинеобнаружены, онимогут:

– вслучаепримененияЕ/Е/РЕсистем, связанныхсбезопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, иливнешнихсредствуменьшениярискапривестикотказамприработепо запросу;

– вслучаеприменениясистем, несвязанныхсбезопасностью, привестикпоявлению (ложных) запросовк Е/Е/РЕсистемам, связаннымсбезопасностью, системам, связаннымсбезопасностью, основаннымнадругих технологиях, иливнешнимсредствамуменьшенияриска.

7.7.2.3 ПланобслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью, долженбытьсогласованс теми, ктонесетответственностьзабудущуюэксплуатациюиобслуживаниеЕ/Е/РЕсистем, связанныхс безопасностью, систем, связанныхсбезопасностью, основанныхнадругихтехнологиях, внешнихсредств уменьшенияриска, атакжесистем, несвязанныхсбезопасностью, которыемогутприводитькпоявлению запросовксистемам, связаннымсбезопасностью.

7.8 Планированиеполногоподтверждениясоответствиябезопасности

Примечание-Этастадияпредставленанарисунке 2 прямоугольником 7.

7.8.1 Цель

Цельютребованийнастоящегоподразделаявляетсяразработкаплана, облегчающегополноеподтверждениесоответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

7.8.2 Требования

7.8.2.1 Долженбытьразработанплан, включающийвсебяследующее:

a) подробноеописаниетого, когдадолжнопроисходитьподтверждениесоответствия;

b) подробностиолицах, которыедолжныосуществлятьподтверждениесоответствия;

c) спецификациюсущественныхрежимовработыEUCсуказаниемихотношениякЕ/Е/РЕсистеме, связаннойсбезопасностью, включая, гдеэтонеобходимо:

– подготовкукиспользованию, включаяустановкуирегулировку;

– запуск;

– обучение;

– автоматическийрежим;

– ручнойрежим;

– полуавтоматическийрежим;

– установившийсярежимработы;

– переустановку;

– выключение;

– обслуживание;

– разумнопредсказуемыененормальныеусловия;

d) спецификациюЕ/Е/РЕсистем, связанныхсбезопасностью, которыетребуютподтверждениясоответствиядлякаждогорежимаработыEUCдоначалавводавэксплуатацию;

e) техническуюстратегиюдляподтверждениясоответствия (например, аналитическиеметоды, статистическиетестыит.п.);

f) меры, методыипроцедуры, которыедолжныиспользоватьсядляподтверждениятого, чтораспределениефункцийбезопасностибыловыполненокорректно; онивключаютподтверждениетого, чтокаждая функциябезопасностисоответствует:

– спецификацииполныхтребованийкфункциямбезопасностии

– спецификацииполныхтребованийкполнотебезопасности;

g) конкретнуюссылкунакаждыйэлемент, содержащийсяввыходныхматериалах 7.5 и 7.6;

h) требованиякокружающимусловиям, прикоторыхдолжныпроходитьдействияпоподтверждению соответствия (длятестированияони, например, могутвключатькалиброванныесредстваиоборудование);

i) критериипрохожденияинепрохожденияподтверждениясоответствия;

j) политикуипроцедурыоценкирезультатовподтверждениясоответствия, вчастности, непрохожденияподтверждениясоответствия.

Примечание-Припланированииполногоподтверждениясоответствиябезопасностиследуетучесть работы, планируемыедляподтверждениясоответствиябезопасностиE/E/PESиподтверждениясоответствия безопасностипрограммногообеспечениясогласнотребованиямМЭК 61508-2 иМЭК 61508-3. Важнообеспечить, чтобыбылоучтеновзаимодействиемеждувсемимерамипоуменьшениюрискаичтобыбылиреализованы всефункциибезопасности (определенныеввыходныхматериалах 7.5).

7.8.2.2 Информация 7.8.2.1 должнабытьдокументирована, идолженбытьустановленпландляполногоподтверждениясоответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

7.9 Планированиеполнойустановкиивводавэксплуатацию

Примечание-Этастадияпредставленанарисунке 2 прямоугольником 8.

7.9.1 Цели

7.9.1.1 ПервойцельютребованийнастоящегоподразделаявляетсяразработкапланавконтролируемойформепоустановкеЕ/Е/РЕсистем, связанныхсбезопасностью, гарантирующего, чтобудетдостигнутатребуемаяфункциональнаябезопасность.

7.9.1.2 ВтораяцельтребованийнастоящегоподразделасостоитвразработкепланавконтролируемойформеповводувэксплуатациюЕ/Е/РЕсистем, связанныхсбезопасностью, гарантирующего, что будетдостигнутатребуемаяфункциональнаябезопасность.

7.9.2 Требования

7.9.2.1 ДолженбытьразработанпланустановкиЕ/Е/РЕсистем, связанныхсбезопасностью, определяющий:

– графикустановки;

– лиц, ответственныхзаразличныечастиустановки;

– процедурыпоустановке;

– последовательность, вкоторойинтегрируютсяразличныекомпоненты;

– критериидлядекларированияготовностикустановкевсехкомпонентЕ/Е/РЕсистем, связанныхс безопасностью, атакжекритериидлядекларированиязавершенияустановки;

– процедурыпоустранениюотказовинесовместимости.

7.9.2.2 ДолженбытьразработанпланповводувдействиеЕ/Е/РЕсистем, связанныхсбезопасностью, определяющий:

– графиквводавэксплуатацию;

– лиц, ответственныхзаразличныеэтапывводавдействие;

– процедурыповводувдействие;

– взаимосвязьсэтапамиустановки;

– взаимосвязьсподтверждениемсоответствия.

7.9.2.3 Планированиеполнойустановкиивводавдействиедолжнобытьдокументировано.

7.10 Реализация: E/E/PES

Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 9 инарисунках 3 и 4 -прямоугольниками 9.1-9.6.

7.10.1 Цель

ЦельютребованийнастоящегоподразделаявляетсясозданиеЕ/Е/РЕсистем, связанныхсбезопасностью, соответствующихспецификациитребованийкбезопасностиE/E/PES (включаяспецификациютребованийкфункциямбезопасностиE/E/PESиспецификациютребованийкполнотебезопасностиE/E/PES). См. МЭК 61508-2 иМЭК 61508-3.

7.10.2 Требования

Требования-поМЭК 61508-2 иМЭК 61508-3.

7.11 Реализация: другиетехнологии

Примечание-Этастадияпредставленанарисунке 2 прямоугольником 10.

7.11.1 Цель

Цельютребованийнастоящегоподразделаявляетсясозданиесистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, удовлетворяющихтребованиямкфункциямбезопасностииполноте безопасности, определеннымдлятакихсистем.

7.11.2 Требования

Спецификацииподлежащихвыполнениютребованийкфункциямбезопасностиикполнотебезопасностисистем, связанныхсбезопасностью, основанныхнадругихтехнологиях, неохватываютсянастоящимстандартом.

Примечание-Системы, связанныесбезопасностью, основанныенадругихтехнологиях, базируются натехнологиях, отличныхотэлектрической /электронной/программируемойэлектронной (например, нагидравлической, пневматическойит.п.). Системы, связанныесбезопасностью, основанныенадругихтехнологиях, для полнотыкартинывключенывобщийжизненныйциклсистембезопасностинарядусвнешнимисредствамиуменьшенияриска (см. 7.12).

7.12 Реализация: внешниесредствауменьшенияриска

Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 11.

7.12.1 Цель

Цельютребованийнастоящегоподразделаявляетсясозданиевнешнихсредствуменьшенияриска, удовлетворяющихтребованиямкфункциямбезопасностииполнотебезопасности, определеннымдлятакихсредств.

7.12.2 Требования

Спецификацииподлежащихвыполнениютребованийкфункциямбезопасностииполнотебезопасностивнешнихсредствуменьшениярисканеохватываютсянастоящимстандартом.

Примечание-Внешниесредствауменьшениярискадляполнотыкартиныбыливключенывобщий жизненныйциклсистембезопасностинарядуссистемами, связаннымисбезопасностью, основанныминадругихтехнологиях (см. 7.11).

7.13 Полнаяустановкаивводвдействие

Примечание-Даннаястадияпредставленанарисунке 2 прямоугольником 12.

7.13.1 Цели

7.13.1.1 ПервойцельютребованийнастоящегоподразделаявляетсяустановкаЕ/Е/РЕсистем, связанныхсбезопасностью.

7.13.1.2 ВтораяцельтребованийнастоящегоподразделасостоитввводевдействиеЕ/Е/РЕсистем, связанныхсбезопасностью.

7.13.2 Требования

7.13.2.1 ДействияпоустановкедолжнывыполнятьсявсоответствииспланомпоустановкеЕ/Е/РЕ систем, связанныхсбезопасностью.

7.13.2.2 Информация, документируемаявовремяустановки, должнавключатьвсебя:

– документациюпопроцессамустановки;

– информациюобустраненииотказовинесовместимости.

7.13.2.3 ВводвдействиеследуетвыполнятьвсоответствииспланомповводувдействиеЕ/Е/РЕ систем, связанныхсбезопасностью.

7.13.2.4 Информация, документируемаявовремявводавдействие, должнавключатьвсебя:

– документациюподействиямповводувдействие;

– ссылкинаотчетыоботказах;

– информациюобустраненииотказовинесовместимости.

7.14 Полноеподтверждениесоответствиябезопасности

Примечание-Этафазапредставленанарисунке 2 прямоугольником 13.

7.14.1 Цель

Цельютребованийнастоящегоподразделаявляетсяподтверждениесоответствиятого, чтоЕ/Е/РЕ система, связаннаясбезопасностью, удовлетворяетполнымтребованиямкбезопасности, выраженнымв видеполныхтребованийкфункциямбезопасностииполнотебезопасности, сучетомтребованийкраспределениютребованийбезопасностипоЕ/Е/РЕсистемам, связаннымсбезопасностью, разработаннымв соответствиис 7.6.

7.14.2 Требования

7.14.2.1 Действияпоподтверждениюсоответствиядолжнывыполнятьсявсоответствииспланом полногоподтверждениясоответствиябезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

7.14.2.2 Всеоборудование, используемоедляколичественныхизмерений, используемоепридействияхпоподтверждениюсоответствия, должнобытькалибровановсоответствиистребованияминациональногостандартаилиспецификацийпоставщика.

7.14.2.3 Информация, подлежащаядокументированиювпериодподтверждениясоответствия, должнавключатьвсебя:

– документациювхронологическойформеподействиямвпериодподтверждениясоответствия;

– использовавшуюсяверсиюполныхтребованийкбезопасности;

– функциибезопасности, подтверждениесоответствиякоторыхосуществлялось (сиспользованием тестированияилианализа);

– используемыеинструментыиоборудование, атакжеданныекалибровки;

– результатыдействийпоподтверждениюсоответствия;

– конфигурациюпроверяемогокомпонента, применявшиесяпроцедурыиусловияиспытаний;

– расхождениямеждуожидаемымиифактическимирезультатами.

7.14.2.4 Вслучаерасхождениямеждуожидаемымиифактическимирезультатами, проводитсяанализипринимаетсярешениеопродолжениидействийпоподтверждениюсоответствияилионаправлении запросанавнесениеизмененийивозвратекболеераннейстадииподтверждениясоответствия; эторешениедолжнобытьдокументировано.

7.15 Эксплуатация, обслуживаниеиремонт

Примечания

1 Этастадияпредставленанарисунке 2 прямоугольником 14.

2 Организационныемероприятия, рассматриваемыевнастоящемподразделе, осуществляютсядляэффективноговыполнениятехническихтребованийипредназначеныисключительнодлядостиженияиподдержанияфункциональнойбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью. Техническиетребования, необходимыедляподдержанияфункциональнойбезопасности, обычноопределяютсякакчастьинформации, предоставляемойпоставщикомЕ/Е/РЕсистем, связанныхсбезопасностью.

3 Требованиякфункциональнойбезопасностиприобслуживаниииремонтемогутотличатьсяоттребований, относящихсякэксплуатации.

4 Неследуетсчитать, чтопроцедурыпроверки, разработанныедляпервоначальнойустановкиивводав действие, могутбытьиспользованыбезпроверкиихобоснованностиипрактическойцелесообразностивпроцессеэксплуатацииEUC.

7.15.1 Цель

Цельтребованийнастоящегоподразделасостоитвосуществленииэксплуатации, обслуживанияи ремонтаЕ/Е/РЕсистем, связанныхсбезопасностью, такимобразом, чтобыподдерживаласьтребуемая функциональнаябезопасность.

7.15.2 Требования

7.15.2.1 Должнобытьреализованоследующее:

– планобслуживанияЕ/Е/РЕсистем, связанныхсбезопасностью;

– процедуры, связанныесэксплуатацией, обслуживаниемиремонтомЕ/Е/РЕсистем, связанныхс безопасностью (МЭК 61508-2);

– процедуры, связанныесэксплуатациейисопровождениемпрограммногообеспечения (МЭК 61508-3).

7.15.2.2 Реализацияположений, указанныхв 7.15.2.1, должнавключать:

– реализациюпроцедур;

– следованиеграфикуобслуживания;

– поддержаниедокументации;

– периодическоепроведениеаудитафункциональнойбезопасности [см. п. 6.2.1, перечислениек)];

– документированиемодификацийЕ/Е/РЕсистем, связанныхсбезопасностью.

Примечания

1 Примермоделидействийпоэксплуатациииобслуживаниюпоказаннарисунке 7.

2 Примермоделиуправленияэксплуатациейиобслуживаниемпоказаннарисунке 8.

7.15.2.3 Необходимовестидокументированиевхронологическомпорядкедействийпоэксплуатации, ремонтуиобслуживаниюЕ/Е/РЕсистем, связанныхсбезопасностью; документациядолжнасодержать следующуюинформацию:

– результатыаудитовитестированияфункциональнойбезопасности;

– времяипричинызапросовкЕ/Е/РЕсистемам, связаннымсбезопасностью (приэксплуатации), а такжехарактеристикиЕ/Е/РЕсистем, связанныхсбезопасностью, приобработкеэтихзапросовиотказов, обнаруженныхприобычномобслуживании;

– документациюпомодификацииEUC, системуправленияEUCиЕ/Е/РЕсистем, связанныхсбезопасностью.

7.15.2.4 Точныетребованиякхронологическойдокументациизависятотконкретнойобласти примененияидолжныбыть, гдеэтоважно, болеедетальноописанывстандартахэтойобластиприменения.

Рисунок 7 -Примермоделидействийприэксплуатациииобслуживании

Рисунок 8 -Примермоделиуправленияэксплуатациейиобслуживанием

7.16 Модификацияиизменение

Примечания

1 Даннаястадиясоответствуетпрямоугольнику 15 нарисунке 2.

2 Организационныемероприятия, рассмотренныевнастоящемподразделе, обеспечиваютвыполнение техническихтребованийипредназначеныдлядостиженияиподдержанияфункциональнойбезопасности Е/Е/РЕсистем, связанныхсбезопасностью. Техническиетребования, необходимыедляподдержанияфункциональнойбезопасности, обычноопределяютсякакчастьинформации, предоставляемойпоставщикомЕ/Е/РЕ систем, связанныхсбезопасностью.

7.16.1 Цель

Цельтребованийнастоящегоподразделасостоитвтом, чтобыгарантировать, чтофункциональная безопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, соответствуетпланируемойбезопасностикакв период, такипослестадиимодификациииизменения.

7.16.2 Требования

7.16.2.1 Передвыполнениемлюбыхмодификацийилиизмененийдолжнобытьпроведенопланированиесоответствующихпроцедур (см. 6.2.1).

Примечание-Примермоделипроцедурымодификациипоказаннарисунке 9.

7.16.2.2 Стадиямодификациииизменениядолжнаинициироватьсятолькопутемвнесенияутвержденногозапросаврамкахпроцедуруправленияфункциональнойбезопасностью (см. раздел6). Взапросе должныбытьдетализированы:

– установленныеопасности, которыемогутбытьвызванымодификацией;

– предложенныеизменения (ваппаратныхсредствахипрограммномобеспечении);

– причиныдлявнесенияизменений.

Примечание-Причинамидляпоявлениязапросанамодификациюмогутбыть, например:

– функциональнаябезопасность, оказавшаясянижезаданной;

– систематическиеотказы;

– новоеилиизмененноезаконодательствовобластибезопасности;

– модификацииEUCилиспособаегоиспользования;

– модификацииполныхтребованийкбезопасности;

– анализэксплуатационныххарактеристикработыихарактеристикобслуживания, показавший, чтоэтихарактеристикиоказалисьнижезапланированных;

– обычныйаудитфункциональнойбезопасности.

Рисунок 9 -Примермоделипроцедурымодификации

7.16.2.3 Долженбытьвыполненанализвлияния, включающийоценкувлиянияпредлагаемыхизмененийнафункциональнуюбезопасностькаждойЕ/Е/РЕсистемы, связаннойсбезопасностью. Оценкадолжнавключатьанализопасностейирисков, достаточныйдлятого, чтобыопределитьстепеньохватаиглубинупоследующихстадийполногожизненногоциклабезопасности, жизненныхцикловбезопасности E/E/PESилипрограммногообеспечения, которыедолжныбытьвыполнены. Приоценкенеобходимоучитыватьвлияниедействийподругимодновременнопроводимыммодификациямилиизменениямирассматриватьсостояниефункциональнойбезопасностидоипослепроведениямодификацииивнесенияизменений.

7.16.2.4 Результатыанализавлияния, описанныев 7.16.2.3, должныбытьдокументированы.

7.16.2.5 Разрешениенапроведениетребуемоймодификациииливнесенияизмененийдолжнозависетьотрезультатованализавлияния.

7.16.2.6 Всемодификации, оказывающиевлияниенафункциональнуюбезопасностьлюбойЕ/Е/РЕ системы, связаннойсбезопасностью, должныприводитьквозвратуксоответствующейстадииполного жизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESилипрограммногообеспечения. Всепоследующиестадиидолжныосуществлятьсявсоответствииспроцедурами, определеннымидля этихстадийсогласнотребованиямнастоящегостандарта.

Примечания

1 Можетпотребоватьсяпровестиполныйанализопасностейирисков, которыйможетвызватьнеобходимостьустановленияуровнейполнотыбезопасности, которыеотличаютсяотимеющихсяустановленныхуровней полнотыбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью.

2 Недопускается, чтобыпроцедурытестирования, разработанныедляпервоначальнойустановкиипускав эксплуатацию, использовалисьбезпроверкиподтвержденияихсоответствияипрактическойцелесообразности вконтекстенормальнойработыEUC.

7.16.2.7 Должнабытьсозданадокументацияивдальнейшемподдержанавхронологическомпорядке, котораядолжнасодержатьподробноеописаниевсехдействийпомодификацииивнесениюизменений ивключать:

– запросынапроведениемодификацийивнесениеизменений;

– анализвлияния;

– повторноеподтверждениесоответствияиповторнуюверификациюданныхирезультатов;

– вседокументы, затрагиваемыепроцессамимодификациииизменения.

7.17 Выводизэксплуатацииилиликвидация

Примечание-Этастадияпредставленапрямоугольником 16 нарисунке 2.

7.17.1 Цель

Цельютребованийнастоящегоподразделастандартаявляетсяобеспечениетого, чтобыфункциональнаябезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью, соответствовалаобстоятельствамв течениеипоследействийповыводуизэксплуатацииилиликвидацииEUC.

7.17.2 Требования

7.17.2.1 Передвыводомизэксплуатацииилиутилизациейнеобходимовыполнитьанализвлияния предлагаемыхдействийповыводуизэксплуатацииилиутилизациинафункциональнуюбезопасностькаждойЕ/Е/РЕсистемы, связаннойсбезопасностью, имеющейотношениекEUCиксмежнымEUC. Оценка должнавключатьанализыопасностейирисков, достаточныедляопределениянеобходимойширотыи глубиныохватапоследующихстадийполногожизненногоциклабезопасности, жизненногоциклабезопасностиE/E/PESилипрограммногообеспечения.

7.17.2.2 Результатытребований, описанныев 7.17.2.1, должныбытьдокументированы.

7.17.2.3 Стадиявыводаизэксплуатацииилиликвидациидолжнаинициироватьсявыпускомавторизованногозапросаврамкахпроцедурпоуправлениюфункциональнойбезопасностью (см. раздел 6).

7.17.2.4 Разрешениенапроведениетребуемоговыводаизэксплуатацииилиликвидациидолжно зависетьотрезультатованализавлияния.

7.17.2.5 Передвыводомизэксплуатацииилиликвидациейдолженбытьподготовленпланпо:

– прекращениюработыЕ/Е/РЕсистем, связанныхсбезопасностью;

– демонтажуЕ/Е/РЕсистем, связанныхсбезопасностью.

7.17.2.6 Есликакие-либодействияповыводуизэксплуатацииилиликвидацииоказываютвлияниена функциональнуюбезопасностьлюбойизЕ/Е/РЕсистем, связанныхсбезопасностью, тодолженбытьинициированвозвратксоответствующейстадииполногожизненногоциклабезопасности, жизненныхциклов безопасностиE/E/PESилипрограммногообеспечения. Всепоследующиестадиидолжныбытьвыполнены всоответствииспроцедурами, определеннымивнастоящемстандартедлязаданныхуровнейполноты безопасностиЕ/Е/РЕсистем, связанныхсбезопасностью.

Примечания

1 Можетвозникнутьнеобходимостьвпроведенииполногоанализаопасностейирисков, результатомкоторогоможетявитьсянеобходимостьустановлениядругогоуровняполнотыбезопасностидляЕ/Е/РЕсистем, связанныхсбезопасностью.

2 Требованиякфункциональнойбезопасностинастадиивыводаизэксплуатацииилиликвидациимогут отличатьсяоттребований, которыеиспользуютсянастадииэксплуатации.

7.17.2.7 Должнабытьсозданадокументацияивдальнейшемподдержанавхронологическомпорядке, котораядолжнасодержатьподробноеописаниевсехдействийповыводуизэксплуатацииилиликвидацииидолжнавключать:

– план, используемыйдлявыполнениядействийповыводуизэксплуатацииилиликвидации;

– анализвлияния.

7.18 Верификация

7.18.1 Цель

Цельтребованийнастоящегоподразделасостоитвдемонстрациидлякаждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения (путемпроверки, анализаи/илитестирования) того, чтовыходныематериалыотвечаютвсемсоответствующимцелямитребованиям, определеннымдляэтойстадии.

7.18.2 Требования

7.18.2.1 Длякаждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасности E/E/PESипрограммногообеспеченияодновременносразработкойпланаэтойстадиидолженбытьустановленпланверификации.

7.18.2.2 Впланеверификациидолжнысодержатьсякритерии, методыисредства, используемыепри верификации, илиданыссылкинаних.

7.18.2.3 Верификациюследуетвыполнятьсогласноплануверификации.

Примечание-Выборметодовимердлявыполненияверификации, атакжестепеньнезависимости процессовверификациизависятотрядафакторовимогутбытьопределенывстандартахдляобластейприменения. Вчислоэтихфакторовмогутвходить, например:

– размерпроекта;

– степеньсложности;

– степеньновизныпроекта;

– степеньновизнытехнологии.

7.18.2.4 Информациюповерификацииследуетсобиратьидокументироватьдлятого, чтобызасвидетельствовать, чтооназавершенаудовлетворительнововсехотношениях.

8 Оценка функциональной безопасности

8.1 Цель

Цельютребованийнастоящегоразделаявляетсяизучениеивынесениерешенияпофункциональной безопасности, достигнутойЕ/Е/РЕсистемой, связаннойсбезопасностью.

8.2 Требования

8.2.1 Дляосуществленияоценкифункциональнойбезопасностидолжныбытьназначеныодинили несколькочеловек, которыедолжныприйтикзаключениюотносительнофункциональнойбезопасности, достигаемойЕ/Е/РЕсистемами, связаннымисбезопасностью.

8.2.2 Те, ктовыполняетоценкуфункциональнойбезопасности, должныиметьдоступковсемлицам, вовлеченнымвлюбыедействиявполномжизненномциклебезопасности, жизненныхциклахбезопасности E/E/PESилипрограммногообеспечения, атакжековсейинформациииоборудованию (включаяаппаратныесредстваипрограммноеобеспечение).

8.2.3 Оценкуфункциональнойбезопасностиследуетприменятьковсемэтапамнапротяжениивсего полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения. Телица, которыеосуществляютоценкуфункциональнойбезопасности, должнырассмотретьвсе действия, атакжевсевыходныематериалы, полученныевтечениекаждойстадииполногожизненного циклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения, идатьзаключениеотом, вкакойстепенивыполненыцелиитребованиянастоящегостандарта.

8.2.4 Оценкафункциональнойбезопасностидолжнавыполнятьсядовозникновениявыявленныхопасностейнапротяженииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESи программногообеспечения. Ееможнопроводитьпослекаждойстадиижизненногоциклабезопасностиили посленесколькихстадий.

8.2.5 Есликакие-либосредстваиспользуютсявкачествесоставнойчастиприразработкеилиоценке полногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESилипрограммногообеспечения, тоонисамидолжныбытьобъектомоценкифункциональнойбезопасности.

Примечания

1 ПримеромсредствявляютсяпланируемыедляработысистемыCAD/САМ, компиляторыикомпьютеры.

2 СтепеньиспользованиятакихсредствдолжнабытьоцененавзависимостиотихвлияниянафункциональнуюбезопасностьЕ/Е/РЕсистем, связанныхсбезопасностью.

8.2.6 Приоценкефункциональнойбезопасностинеобходимоучитыватьследующее:

– работы, выполненныесовременипредыдущейоценкифункциональнойбезопасности (котораяобычно охватываетпредыдущиестадиижизненныхцикловбезопасности);

– планыилистратегияреализациипоследующихоценокфункциональнойбезопасностидляполного жизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения;

– рекомендациипредыдущихоценокфункциональнойбезопасностииобъемвнесенныхизменений.

8.2.7 Действияпооценкефункциональнойбезопасностидляразличныхстадийполногожизненного циклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечениядолжныбыть согласованнымиизапланированными.

8.2.8 Планоценкифункциональнойбезопасностидолженопределять:

– лиц, осуществляющихоценкуфункциональнойбезопасности;

– выходныематериалыприкаждойоценкефункциональнойбезопасности;

– границыоценкифункциональнойбезопасности.

Примечание-Приустановленииграницоценкифункциональнойбезопасностинеобходимоопределитьдокументы, используемыевкачествевходныхматериаловдлякаждогодействия, связанногосоценкой функциональнойбезопасности, истатусэтихдокументов.

– привлекаемыеорганыпобезопасности;

– требуемыересурсы;

– уровеньнезависимостивыполняющихоценкуфункциональнойбезопасности;

– компетентностьвыполняющихоценкуфункциональнойбезопасностивсоответствующейобласти применения.

8.2.9 Передвыполнениемоценкифункциональнойбезопасностиеепландолженбытьутверждентеми, ктобудетвыполнятьэтуоценку, итеми, ктонесетответственностьзауправлениефункциональнойбезопасностьюнаоцениваемойстадиижизненногоцикласистембезопасности.

8.2.10 Взаключенииобоценкефункциональнойбезопасностидолжныбытьвыработанырекомендациипоеепринятию, условномупринятиюилиотклонению.

8.2.11 Лица, которыеосуществляютоценкуфункциональнойбезопасности, должныбытькомпетентнымиввыполняемыхдействиях, атакжедолжныбытьучтеныфакторы, определяющиекомпетентность (см. приложенииВ).

8.2.12 Еслииноенеустановленовстандартахдляобластейприменения, томинимальныйуровень независимостивыполняющихоценкуфункциональнойбезопасностидолженсоответствоватьтомууровню, которыйуказанвтаблицах 4 и 5.

Втаблицах 4 и 5 приведеныследующиерекомендации:

– HR: уровеньнезависимости, определенныйкакнастоятельнорекомендуемыйвкачествеминимальногодляуказанныхпоследствий (см. таблицу 4) илиуровняполнотыбезопасности (см. таблицу 5). Если принятболеенизкийуровеньнезависимости, тодолжнобытьприведеноподробноеобоснование, почему небылиспользовануровеньHR;

– NR: уровеньнезависимости, определенныйкакнедостаточныйиявнонерекомендованныйдля указанныхпоследствий (см. таблицу 4) илиуровняполнотыбезопасности (см. таблицу 5). Еслипринимаетсяданныйуровеньнезависимости, тодолжнобытьприведеноподробноеобоснованиепричинегоиспользования;

– –: уровеньнезависимости, определенныйкакуровень, длякоторогоотсутствуютрекомендацииза илипротивегоиспользования.

Примечания

1 Передприменениемданныхтаблицы 4 необходимоопределитькатегориипоследствийсучетомпрактики, сложившейсявобластиприменения. Кчислупоследствийотносятсятепоследствия, которыевозникаютв результатеотказа, требующеговмешательстваЕ/Е/РЕсистем, связанныхсбезопасностью.

2 Взависимостиоторганизационнойструктурыкомпаниииопытавнутрикомпаниитребованияпонезависимостилициподразделениймогутбытьвыполненыпутемиспользованияуслугстороннейорганизации. Всвою очередькомпании, которыеимеютвнутренниеструктурысопытомвоценкерисковиприменениисистем, связанныхсбезопасностью, икоторыенезависимыиотделены (путемуправленияииспользованиемдругихресурсов) оттех, которыенесутответственностьзаосновнуюразработку, могутоказатьсяспособнымииспользоватьсвои собственныересурсыдлявыполнениятребованийпонезависимостиорганизации.

3 Определенияпонятийнезависимоголица, независимогоподразделенияинезависимойорганизациисм. вМЭК 61508-4, пункты 3.8.10, 3.8.11 и 3.8.12 соответственно.

8.2.13 Вконтекстетаблиц 4 и 5 используетсяуровеньнезависимостилибоHR¹, либоHR² (нонеоба вместе) взависимостиотчислафакторов, котороехарактернодляобластиприменения. Еслиприменяется уровеньнезависимостиHR¹, тоуровеньHR²долженчитатьсякакнетребующийся; еслииспользуется уровеньHR², тоуровеньHR¹долженчитатьсякакNR (нерекомендуемый). ВотсутствиестандартавобластиприменениядолжнобытьприведеноподробноеобоснованиевыборауровняHR¹илиHR². Кчислу факторов, которыеспособствуюттому, чтобысделатьуровеньHR²болееподходящим, чемуровеньHR¹, относятсяследующиефакторы:

– недостатокопытавработесосхожимипроектами;

– болеевысокаястепеньсложности;

– высокаястепеньновизныразработки;

– болеевысокаястепеньновизнытехнологии;

– недостаточнаястепеньстандартизацииособенностейпроекта.

8.2.14 Минимальныйуровеньнезависимости (см. таблицу 5) долженосновыватьсянафункциибезопасности, выполняемойЕ/Е/РЕсистемой, связаннойсбезопасностью, имеющейнаивысшийуровеньполнотыбезопасности.

Таблица 4 -Минимальныеуровнинезависимостидлявыполняющихоценкуфункциональнойбезопасности (стадииполногожизненногоциклабезопасности 1-8 и 12-16 включительно (см. рисунок 2))

Таблица 5-Минимальныеуровнинезависимостидлявыполняющихоценкуфункциональнойбезопасности (стадия 9 полногожизненногоциклабезопасности, включаявсестадиижизненныхцикловбезопасностиE/E/PESипрограммногообеспечения (см. рисунки 2 – 4))

Приложение А
(справочное)
Пример структуры документации

А.1 Общиеположения

Внастоящемприложенииприведенпримерструктурыдокументациииметодформированиядокументов, необходимыхдляструктурированияинформациивсоответствиистребованиямираздела 5. Документациядолжнасодержатьинформацию, достаточнуюдляэффективноговыполнения:

– каждойстадииполногожизненногоциклабезопасности, жизненныхцикловбезопасностиE/E/PESипрограммногообеспечения;

– управленияфункциональнойбезопасностью (раздел 6);

– оценкифункциональнойбезопасности (раздел 8).

Понятиедостаточностиинформациизависитотрядафакторов, включаясложностьиразмерЕ/Е/РЕсистем, связанныхсбезопасностью, итребования, относящиесякконкретнойобластиприменения. Необходимая документацияможетбытьопределенавстандартедлясоответствующейобластиприменения.

Объеминформациивкаждомдокументеможетизменятьсяотнесколькихстрокдомногихстраниц, полныйнаборинформацииможетбытьразделенмеждунесколькимифизическимидокументамилибоможетбыть представленоднимдокументом. ФизическаяструктурадокументациизависитотразмераисложностиЕ/Е/РЕ систем, связанныхсбезопасностью, идолжнаучитыватьпрактику, сложившуюсявкомпанииивконкретной областиприменения.

Примерструктурыдокументации, приведенныйвнастоящемприложении, предназначендлятого, чтобы проиллюстрироватьодинконкретныйспособструктурированиядокументациииодинизспособовнаименования документов. Болееподробнуюинформациюсм. в [4].

Документпредставляетсобойструктурированныйнаборинформации, предназначенныйдлявосприятия человеком, пригодныйдляиспользованиявкачествеединицыобменамеждупользователямии/илисистемами [5]. Данныйтерминприменим, следовательно, нетолькокдокументамвтрадиционномсмысле, нотакжеик такимпонятиям, какфайлданныхилиинформация, хранящаясявбазеданных.

Внастоящемстандартетерминдокументскорееотноситсякинформации, чемкфизическимдокументам, еслитолькоиноенеоговореноспециальноилинеможетбытьпонятовконтекстеразделаилиподраздела, в которомиспользуетсяэтоттермин. Документможетбытьдоступендлявосприятиячеловекомвразныхформах (например, набумаге, пленкеилииномносителеинформации, допускающемеепредставлениенаэкранедисплея).

Примерструктурыдокумента, приводимыйвнастоящемприложении, специфицируетдокументывдвух отношениях:

– типдокумента;

– процессилиобъект.

Типдокументаопределенвсоответствиис [3]; онхарактеризуетсодержаниедокумента, напримерописаниефункцийилипринципиальнуюсхемусоединений. Процессыилиобъектыописываютсобственнопредметную область, напримерсхемууправлениянасосом.

Основнымидокументами, определяемымивнастоящемприложении, являются:

– спецификация-определяетнеобходимуюфункцию, характеристикуилипроцесс (например, спецификациятребований);

– описание-определяетпланируемуюилиреальнуюфункцию, устройство, характеристикуилипроцесс (например, описаниефункции);

– инструкция-содержитподробныеуказанияотом, когдаикакследуетвыполнятьопределенныедействия (например, инструкциядляоператора);

– план-содержитплантого, когда, какикембудутвыполнятьсяопределенныедействия (например, план обслуживания);

– диаграмма-определяетфункцииспомощьюдиаграмм (символовилиний), представляющихсигналы, циркулирующиемеждусимволами;

– список-представляетинформациюввидесписка (например, списоккодов, списоксигналов);

– журнал-представляетинформациюособытияхвхронологическойформе;

– отчет-описываетрезультатыпроцессов, таких, какисследования, оценки, испытанияит.п. (например, отчетобиспытаниях);

– запрос-представляетописаниезапрашиваемыхдействий, которыедолжныбытьподтвержденыи затемспецифицированы (например, запроснаобслуживание).

Основнойтипдокументаможетиметьаффикс, напримерспецификациятребованийилиспецификация испытаний, уточняющийсодержание.

А.2 Структурадокументов, относящихсякжизненномуциклубезопасности

ТаблицыА.1 – А.3содержатпримерструктурыдокументации, предназначеннойдляструктурированияинформациисцельювыполнениятребований, указанныхвразделе 5. Таблицыуказываютстадиижизненного циклабезопасности, которыепреимущественносвязанысдокументами (обычноэтостадии, втечениекоторых ониразрабатывались). Названиядокументов-всоответствиисА.1.

Вдополнениекдокументам, перечисленнымвтаблицахА.1 – А.3, могутсуществоватьдополнительные документы, предоставляющиедополнительнуюдетализирующуюинформациюилиинформацию, структурированнуюдляспециальныхцелей, напримерспискизапасныхчастей, спискисигналов, спискикабелей, диаграммы циклов, спискипеременных.

Примечание-Примерамитакихпеременныхявляютсязначениядлярегуляторов, граничныедопустимыезначениядляпеременных, приоритетывыполнениязаданийнакомпьютере. Некоторыезначенияпеременныхмогутбытьпредоставленыдопоставкисистемы, другиемогутбытьпредоставленывовремявводав эксплуатациюиливовремяобслуживания.

ТаблицаА.1 – Примерструктурыинформации, относящейсякжизненномуциклусистембезопасности вцелом

ТаблицаА.2 -Примерструктурыдокументациидляинформации, относящейсякжизненномуциклу безопасностиE/E/PES

ТаблицаА.3-Примерструктурыдокументации, относящейсякжизненномуциклубезопасностипрограммногообеспечения

А.3Физическаяструктурадокумента

Физическаяструктурадокументациипредставляетсобойспособ, которымразличныедокументыобъединяютсявдокументы, комплектыдокументов, книгиигруппыкниг. НарисункеА.1 показаныпримерытакихгрупп книг, структурированныхвсоответствиисгруппамипользователей. Одинитотжедокументможетвходитьв разныекомплекты.

Длябольшихисложныхсистеммногиефизическиедокументы, по-видимому, должныбытьобъединеныв несколькокниг. Длянебольшойсистемы, имеющейневысокуюсложностьиограниченноечислофизических документов, всядокументацияможетбытьобъединенаводнукнигу, сзакладкамидляразличныхкомплектов документов (см. рисунокА.2).

Физическаяструктурапредставляетсредстводлявыборадокументации, необходимойдляспецифических действийотдельныхлицилигрупплиц, выполняющихэтидействия.

Следовательно, некоторыеизфизическихдокументовмогутприсутствоватьвнесколькихкнигах, комплектахкнигилидругомносителе (например, накомпьютерныхдисках).

Примечание-Информация, необходимаядлядокументов, указанныхвтаблицеА.1, можетсодержатьсявнесколькихразличныхкомплектахдокументов, показанныхнарисункахА.1 иА.2. Например, винженерном комплектемогутсодержатьсятакиедокументы, какописаниеанализаопасностейирискови/илиспецификация полныхтребованийкбезопасности.

РисунокА.1 -Структурированиеинформациивнаборыдокументовдлягрупппользователей

РисунокА.2 -Структурированиеинформациидлябольшихсложныхсистем идлянебольшихсистеммалойсложности

А.4 Списокдокументов

Списокдокументовобычносодержитследующуюинформацию:

– номерчертежаилидокумента;

– номеризменения;

– кодобозначениядокумента;

– заголовок;

– датуизменения;

– типносителяинформации.

Этотсписокможетбытьреализованвразличныхформах, например, ввидебазыданных, вкоторойимеетсявозможностьсортировкивсоответствиисномеромдокументаиличертежа, иливсоответствиискодомдокумента. Коддокументаможетсодержатьссылочноеобозначениедляфункции, местоположенияилипродукции, описываемойвдокументе, представляясобоймощныйинструментдляпоискаинформации.

Приложение В
(справочное)
Компетентность лиц

В.1 Цель

Внастоящемприложениикраткорассмотрено, какгарантировать, чтобылица, которыенесутответственностьзалюбыедействия, связанныесполнымжизненнымцикломбезопасности, жизненнымицикламибезопасностиE/E/PESилипрограммногообеспечения, являлиськомпетентнымидлявыполненияэтихобязанностей.

В.2 Общиеположения

Вселица, вовлеченныевлюбыедействия, связанныесполнымжизненнымцикломбезопасности, жизненнымцикломбезопасностиE/E/PESилипрограммногообеспечения, включаядействияпоуправлению, должны иметьсоответствующуюподготовку (тренинг), техническиезнания, опытиквалификацию, соответствующиеслужебнымобязанностям, которыеонидолжнывыполнять.

Подготовка, опытиквалификациявсехлиц, участвующихвкаких-либодействиях, связанныхсполнымжизненнымцикломбезопасности, жизненнымцикломбезопасностиE/E/PESилипрограммногообеспечения, включаяуправлениедействиямипофункциональнойбезопасности, должныбытьоцененыпоотношениюкконкретномуприменению.

Приоценкекомпетентностилицввыполнениисвоихобязанностейнеобходимоприниматьвовнимание следующее:

a) инженерныезнания, соответствующиеданнойобластиприменения;

b) инженерныезнания, соответствующиетехнологии (например, электрической, электронной, программируемойэлектроники, разработкипрограммногообеспечения);

c) инженерныезнаниявобластибезопасности, соответствующиеданнойтехнологии;

d) знаниеосновправовогоитехническогорегулированиявобластибезопасности;

e) последствиявслучаеотказовЕ/Е/РЕсистем, связанныхсбезопасностью; чемсерьезнеепоследствия, темболеестрогимидолжныбытьспецификацияиоценкакомпетентности;

f) уровниполнотыбезопасностиЕ/Е/РЕсистем, связанныхсбезопасностью; чемвышеуровеньполноты безопасности, темболеестрогимидолжныбытьспецификацияиоценкакомпетентности;

g) новизнаразработки, процедурразработкиилиприменения; чемболееновыеинепроверенныеразработки, процедурыразработкиилиприменения, темболеестрогимидолжныбытьспецификацияиоценкакомпетентности;

h) предыдущийопытиегосоответствиеконкретнымобязанностям, которыепредстоитвыполнять, атакже технологии, которыепредстоитиспользовать; чемвышетребуемыйуровенькомпетентности, темменьшедолженбытьразрывмеждукомпетентностью, приобретеннойврезультатепредыдущегоопыта, икомпетентностью, котораятребуетсядлявыполненияпредстоящихконкретныхобязанностей;

i) соответствиеквалификацииконкретнымобязанностям, которыепредстоитвыполнять.

Подготовка, опытиквалификациявсехлиц, привлеченныхклюбымдействиям, связаннымсполнымжизненнымцикломбезопасности, жизненнымицикламибезопасностиE/E/PESилипрограммногообеспечения, должныбытьдокументированы.

Приложение С
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

ТаблицаС.1

Библиография

[1] МЭК 60300-3-1:2003. Менеджментриска. Руководствопоприменениюметодованализанадежности

[2] МЭК 60300-3-9:1995 Менеджментриска. Анализрискатехнологическихсистем

[3] МЭК 61355:1997 Классификацияиобозначениядокументациидляустановок, системиоборудования

[4] МЭК 61506:1997 Измерениеиуправлениевпромышленныхпроцессах. Документациякприкладномупрограммномуобеспечению

[5] ИСО 8613-1:1994 Информационныетехнологии. Открытаяструктурадокумента (ODA) иформатобмена. Введениеиобщиепринципы

[6] ИСО 10007:1995 Контролькачества. Руководствопоуправлениюконфигурацией

[7] ИCO/MЭК TR 15846 Информационныетехнологии. Процессыжизненногоциклапрограммногообеспечения. Управлениеконфигурациейпрограммногообеспечения

[8] ANSI/ISAS84.1996 Применениесистем, оснащенныхсредствамибезопасностивобрабатывающихотраслях

[9] Процедурыдляобработкиотказовсобщимипричинамивисследованияхпобезопасностиинадежности. Процедурныеосновыипримеры, NUREG/CR-4780, Volume 1, January, 1988

[10] Процедурыдляобработкиотказовсобщимипричинамивисследованияхпобезопасностиинадежности. Аналитическиеосновыиметоды, NUREG/CR-4780, Volume 2, January, 1989