Межгосударственный стандарт ГОСТ 34332.3-2021 "Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 3. Требования к системам" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2021 г. N 476-ст)

Приложение А (обязательное). Методы и средства управления отказами Э/Э/ПЭ СБЗС систем в период эксплуатации
Приложение Б (обязательное). Методы и средства по предотвращению систематических отказов на стадиях жизненного цикла Э/Э/ПЭ СБЗС систем
Приложение В (обязательное). Охват диагностикой и доля безопасных отказов
Приложение Г (обязательное). Руководство по безопасности для применяемых изделий

Functional safety of building/construction safety-related systems. Part 3. Requirements for systems

МКС 13.200
13.220
13.310
13.320
91.120.99

Дата введения - 1 января 2022 г.
Введен впервые

Предисловие

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 Подготовлен Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия" (ФГУП "СТАНДАРТИНФОРМ") совместно с Международной ассоциацией "Системсервис" (МА "Системсервис")

2 Внесен Федеральным агентством по техническому регулированию и метрологии

3 Принят Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 апреля 2021 г. N 139-П)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97	Код страны по МК (ИСО 3166) 004-97	Сокращенное наименование национального органа по стандартизации
Армения	AM	ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения
Беларусь	BY	Госстандарт Республики Беларусь
Киргизия	KG	Кыргызстандарт
Россия	RU	Росстандарт
Таджикистан	TJ	Таджикстандарт
Узбекистан	UZ	Узстандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2021 г. N 476-ст межгосударственный стандарт ГОСТ 34332.3-2021 введен в действие в качестве национального стандарта Российской Федерации с 1 января 2022 г.

5 В настоящем стандарте учтены основные нормативные положения следующих международных документов:

- IEC 61508-2:2010 "Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью. Часть 2. Требования к системам" ("Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 2: Requirements for systems", NEQ);

- IEC 61508-4:2010 "Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью. Часть 4. Термины и сокращения" ("Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 4: Definitions and abbreviations", NEQ);

- ISO/IEC Guide 51:2014 "Аспекты безопасности. Руководящие указания по их включению в стандарты" ("Safety aspects - Guidelines for their inclusion in standards", NEQ)

6 Введен впервые

7 Настоящий стандарт подготовлен на основе применения ГОСТ Р 53195.3-2015¹⁾

------------------------------

¹⁾_{Приказом Федерального агентства по техническому регулированию и метрологии от 28 мая 2021 г. N 476-ст ГОСТ Р 53195.3-2015 отменен с 1 января 2022 г.}

------------------------------

Введение

Современные здания и сооружения - объекты капитального строительства - представляют собой сложные системы, в состав которых входят система строительных конструкций и ряд инженерных систем в разных сочетаниях, в том числе для жизнеобеспечения, реализации технологических процессов, энерго- и ресурсосбережения, обеспечения безопасности, и другие системы. Эти системы взаимодействуют друг с другом, с внешней и внутренней средами, образуя единое целое при выполнении своих функций назначения.

Объекты капитального строительства жестко привязаны к местности. Рабочие характеристики зданий, сооружений и входящих в них систем могут быть реализованы, проверены и использованы только в том месте, в котором объекты построены и системы установлены.

Безопасность зданий и сооружений обеспечивается применением совокупности мер, мероприятий и средств снижения риска причинения вреда до приемлемого уровня и поддержания данного уровня в течение периода эксплуатации или использования этих объектов. К средствам снижения риска относятся системы, связанные с безопасностью зданий и сооружений (СБЗС системы). К таким системам относятся системы, неполный перечень которых представлен в ГОСТ 34332.1-2017 (приложение А, раздел А.3). Среди СБЗС систем наиболее распространенными являются системы, содержащие электрические, и/или электронные, и/или программируемые электронные (Э/Э/ПЭ) компоненты. Такие системы, именуемые Э/Э/ПЭ СБЗС системами, в течение многих лет используют для выполнения функций безопасности. Кроме них и вместе с ними используют системы, основанные на неэлектрических (гидравлических, пневматических) технологиях, а также прочие средства уменьшения риска. Для решения задач безопасности зданий и сооружений во всех больших объемах используются программируемые электронные СБЗС системы.

Следующими по важности характеристиками систем, после характеристик назначения, являются характеристики безопасности. Важнейшей характеристикой безопасности систем признана их функциональная безопасность.

В настоящем стандарте установлены требования к стадиям проектирования, планирования и реализации Э/Э/ПЭ СБЗС систем на объектах, требования к аппаратным средствам, к полноте безопасности, предотвращению отказов, управлению систематическими отказами, поведению системы при обнаружении отказов, передаче данных, процедурам эксплуатации, технического обслуживания, модификации, верификации, оценке функциональной безопасности. Настоящий стандарт ориентирован на обеспечение соблюдения требований безопасности и антитеррористической защищенности зданий и сооружений, в том числе объектов транспортных инфраструктур, установленных [1]-[3], и на развитие базовых требований этих технических регламентов.

Настоящий стандарт распространяется на Э/Э/ПЭ СБЗС системы и их составляющие, включая сенсоры, исполнительные устройства и интерфейс "человек-машина". Он рассчитан на любой диапазон сложности Э/Э/ПЭ СБЗС систем и ориентирован на комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений гражданского и промышленного строительства, включая объекты инфраструктур промышленности и энергетики, транспорта и связи, гидротехнические и мелиоративные сооружения.

Настоящий стандарт входит в комплекс стандартов с общим наименованием "Безопасность функциональная систем, связанных с безопасностью зданий и сооружений" и является третьим стандартом этого комплекса - "Часть 3. Требования к системам". Другие стандарты, входящие в этот комплекс:

- часть 1. Основные положения;

- часть 2. Общие требования;

- часть 4. Требования к программному обеспечению;

- часть 5. Меры по снижению риска, методы оценки;

- часть 6. Прочие средства уменьшения риска, системы мониторинга;

- часть 7. Порядок применения ГОСТ 34332, примеры расчетов.

Структура комплекса ГОСТ 34332 приведена на рисунке 1.

Рисунок 1 - Структура комплекса ГОСТ 34332

1 Область применения

Настоящий стандарт устанавливает:

- требования к функциональной безопасности электрических, электронных, программируемых электронных (Э/Э/ПЭ), связанных с безопасностью зданий и сооружений (СБЗС) систем (Э/Э/ПЭ СБЗС систем) и их аппаратных средств (АС) на стадиях проектирования, планирования и реализации Э/Э/ПЭ СБЗС систем.

Примечания

1 Под реализацией систем понимаются их установка на объекте, монтаж, пусконаладка, верификация, оценка и подтверждение соответствия.

2 Данные стадии являются частью базовой структуры жизненного цикла (ЖЦ) СБЗС систем, представленных совместно с ЖЦ объекта в ГОСТ 34332.2-2017 (рисунок 1). В настоящем стандарте не рассматриваются стадии ЖЦ систем, не относящиеся к Э/Э/ПЭ СБЗС системам, и часть стадий ЖЦ систем, которые относятся к периоду эксплуатации Э/Э/ПЭ СБЗС систем, а также прочие средства уменьшения риска;

- требования к действиям и процедурам, которые должны быть выполнены на этих стадиях для обеспечения функциональной безопасности Э/Э/ПЭ СБЗС систем, а также оценки и подтверждения соответствия на стадиях их ЖЦ, за исключением требований к программному обеспечению (ПО), которые установлены в ГОСТ 34332.4.

Примечание - Области применения настоящего стандарта и ГОСТ 34332.4 тесно взаимосвязаны. Эту взаимосвязь (рисунок 2) следует учитывать при применении настоящего стандарта;

- минимальный состав информации, необходимой для установки, ввода в эксплуатацию и подтверждения соответствия Э/Э/ПЭ СБЗС систем требованиям безопасности.

Настоящий стандарт распространяется на Э/Э/ПЭ СБЗС системы, включая комплексные системы безопасности (КСБ), устанавливаемые или установленные во вновь возводимых или реконструируемых зданиях и сооружениях (именуемых также в настоящем стандарте объектами) всех отраслей экономики, независимо от форм собственности и ведомственной принадлежности, включая жилые, общественные и производственные здания и сооружения, в том числе на Э/Э/ПЭ СБЗС системы объектов инфраструктуры перерабатывающей промышленности, энергетики, транспорта, включая линейные объекты, гидротехнические и мелиоративные сооружения, для обеспечения их безопасности и антитеррористической защищенности.

Настоящий стандарт применяют совместно с ГОСТ 34332.1, ГОСТ 34332.2, ГОСТ 34332.4 и ГОСТ 34332.5.

Настоящий стандарт не распространяется на Э/Э/ПЭ СБЗС систему, которая является одиночной системой, способной осуществить необходимое снижение риска на объекте, и требуемая полнота безопасности этой системы ниже, чем определено уровнем полноты безопасности УПБ 1 - самым низким уровнем полноты безопасности (УПБ) по ГОСТ 34332.2-2017 (пункт 7.6.12, таблицы 1 и 2).

Рисунок 2 - Взаимосвязь областей применения настоящего стандарта и ГОСТ 34332.4

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34332.1 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 1. Основные положения

ГОСТ 34332.2-2017 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 2. Общие требования

ГОСТ 34332.4-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 4. Требования к программному обеспечению

ГОСТ 34332.5-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 5. Меры по снижению риска, методы оценки

ГОСТ IEC/TS 61000-1-2 Электромагнитная совместимость (ЭМС). Часть 1-2. Общие положения. Методология достижения функциональной безопасности электрических и электронных систем, включая оборудование, в отношении электромагнитных помех

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации (www.easc.by) или по указателям национальных стандартов, издаваемым в государствах, указанных в предисловии, или на официальных сайтах соответствующих национальных органов по стандартизации. Если на документ дана недатированная ссылка, то следует использовать документ, действующий на текущий момент, с учетом всех внесенных в него изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то следует использовать указанную версию этого документа. Если после принятия настоящего стандарта в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение применяется без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ 34332.1 и ГОСТ 34332.2, а также следующие термины с соответствующими определениями:

3.1 безопасный отказ (safe failure): Отказ, который не приводит к переходу связанной с безопасностью системы в опасное состояние или в состояние невыполнения функции безопасности.

3.2 время безопасности процесса (process safety time): Интервал времени между опасным отказом и возникновением опасного события в случае невыполнения функции безопасности.

3.3 время реакции функции безопасности (safety function response time): Наихудшее время между срабатыванием датчика системы безопасности, подключенного к полевой шине, и достижением соответствующего безопасного состояния с помощью необходимого исполнительного устройства этой системы безопасности при наличии ошибок или отказов в канале функции безопасности.

3.4 избыточность (redundancy): Существование более одного средства выполнения необходимой функции или представления информации.

3.5 интервал диагностических проверок (diagnostic test interval): Установленный промежуток времени между отдельными проверками, предназначенными для обнаружения отказов в связанных с безопасностью системах.

3.6 контрольная проверка (proof test): Периодическая проверка, выполняемая для обнаружения отказов в связанных с безопасностью системах с целью последующего восстановления систем до исходного состояния в случае обнаружения отказа.

Примечание - Контрольная проверка предназначена для установления, находится ли система, связанная с безопасностью, в состоянии, гарантирующем установленную полноту безопасности.

3.7 модуль (module): Элемент конструкции или сформированный набор подходящих друг к другу элементов конструкций в здании или сооружении, элемент или дискретный компонент Э/Э/ПЭ СБЗС системы, или сформированный функциональный набор подходящих друг к другу дискретных компонентов аппаратных средств Э/Э/ПЭ СБЗС системы, или сформированный элемент программного обеспечения, или сформированная группа таких элементов.

3.8 надежность (dependability): Вероятность того, что автоматизированная система может выполнять требующуюся функцию в заданных условиях на протяжении заданного промежутка времени.

Примечания

1 Принято считать, что автоматизированная система в состоянии выполнять данную требующуюся функцию в начале заданного промежутка времени.

2 Понятие "надежность" также используют для обозначения показателя надежности, измеряемого данной вероятностью.

3 На протяжении среднего времени между отказами (MTBF) или среднего времени до отказа (MTTF) вероятность того, что автоматизированная система выполнит требующуюся функцию, уменьшается.

4 Надежность отличается от готовности.

3.9 опасный отказ (dangerous failure): Отказ управляемого оборудования или системы управления управляемым оборудованием с потенциальной возможностью вызова опасного события и/или невыполнения функции безопасности.

3.10 отказ по общей причине (common cause failure): Отказ оборудования, вызванный единичным событием в случаях, когда отказ не является следствием другого отказа.

3.11 отказоустойчивое значение; FV (fail-safe value, FV): Значения, которые выдаются вместо значения процесса, когда функция безопасности установлена в отказоустойчивое состояние.

Примечание - В настоящем стандарте значения отказоустойчивости (FV) должны всегда быть установлены в "0".

3.12 отказоустойчивое состояние (fail-safe state): Режим работы функции безопасности или оконечного элемента (исполнительного устройства), при котором посредством адекватных технических мер предотвращаются опасности детерминированно или посредством снижения риска до приемлемого значения.

3.13 отказоустойчивость (fault tolerance): Свойство технической системы сохранять свою работоспособность после отказа одного или нескольких составляющих компонентов.

Примечание - Отказоустойчивость определяется количеством любых последовательных единичных отказов компонентов, после которых сохраняется работоспособность системы в целом. Базовый уровень отказоустойчивости подразумевает защиту от отказа одного любого элемента - исключение единой точки отказа.

3.14 охват диагностикой; ОД (diagnostic coverage): Мера, принимаемая для относительного уменьшения вероятности опасных отказов зданий и сооружений, их конструкций, систем, аппаратуры, элементов, связанная с выполнением автоматических диагностических проверок.

3.15 полевая шина (fieldbus): Коммуникационная система, основанная на последовательной передаче данных и применяющаяся в промышленной автоматизации, автоматизации зданий и сооружений или приложениях управления процессами.

3.16 полнота безопасности по отношению к систематическим отказам (systematic safety integrity): Составляющая полноты безопасности системы, связанной с безопасностью зданий и сооружений, по отношению к систематическим отказам, проявляющимся в опасном режиме.

3.17 программный модуль (software module): Программа или функционально завершенный фрагмент программы, предназначенный для хранения, трансляции, объединения, взаимодействия с другими программными модулями и загрузки в оперативную память.

3.18 продукция промышленного производства (industrial production products): Техническая продукция (изделие, система, аппаратное средство, программное обеспечение, их составная часть) разработанная и произведенная организацией-изготовителем для непосредственного применения широким кругом пользователей.

Примечания

1 Инженерные системы (включая Э/Э/ПЭ СБ системы с их АС и ПО), приобретаемые у изготовителя или поставщика, относятся к продукции промышленного производства.

2 Продукция промышленного производства может быть разработана, изготовлена, упакована, складирована, транспортирована, в том числе с пересечением таможенных границ, и применена в любом месте в соответствии с техническими условиями, предусмотренными ее изготовителем (см. рисунок 3).

Рисунок 3 - Создание и применение продукции промышленного производства

3 Продукция промышленного производства может быть проверена (оценена) на соответствие установленным для нее требованиям в любой испытательной лаборатории, аккредитованной на осуществление испытаний данной продукции на соответствие установленным для нее требованиям.

4 Продукция промышленного производства может быть использована в качестве комплектующих изделий для создания систем (включая Э/Э/ПЭ СБЗС системы, их АС и ПО), устанавливаемых в зданиях, сооружениях, линейных объектах капитального строительства в качестве их неотъемлемых частей (как продукции строительного производства).

3.19 продукция строительного производства (products of construction production): Результат строительной деятельности (капитального строительства).

Примечания

1 См. рисунок 4.

Рисунок 4 - Создание и использование продукции строительного производства

2 К продукции строительного производства относятся завершенные строительством здания, сооружения, линейные объекты.

3 Продукция строительного производства жестко "привязана" к местности и может быть применена, может выполнять установленные для нее функции и может быть оценена на соответствие установленным требованиям только в том месте, где здание (сооружение или линейный объект) построено и его составные части (системы, аппаратные средства и программное обеспечение) установлены.

4 При строительном производстве в качестве покупных комплектующих изделий и материалов используют продукцию промышленного производства [строительные материалы и изделия, в том числе Э/Э/ПЭ СБ системы (как продукцию промышленного производства)].

3.20 система полевых шин (fieldbus system): Система, использующая полевые шины с подключенными устройствами.

3.21 систематический отказ (systematic failure): Отказ системы, аппаратного средства или программного обеспечения, связанный с некоторой повторяющейся причиной в процессах проектирования, производства, монтажа или пусконаладки, которая может быть устранена или изменена только путем модификации этих процессов.

3.22 случайный отказ аппаратного средства; отказ AC (random hardware failure): Отказ аппаратного средства, возникающий в случайный момент времени в результате действия одного или нескольких возможных механизмов ухудшения его характеристик.

3.23 спецификация (specification): Определение и перечень специфических особенностей чего-либо.

Примечание - Примерами спецификации являются технический документ, содержащий состав или описание объекта (системы, подсистемы, изделия, АС, ПО), либо документ с перечислением состава, технических условий или требований, которым должны удовлетворять изготавливаемая(ое) или заказываемая(ое) система, подсистема, изделие, АС, ПО.

3.24 тестовая программа (test harness): Программный продукт, предназначенный для имитации среды, в которой должно действовать разрабатываемое программное обеспечение или аппаратное средство.

Примечание - Имитация среды осуществляется путем передачи тестовых данных в программу и регистрации ответов.

3.25 остаточный коэффициент потери информации (rate of residual information loss): Отношение числа необнаруженных утерянных сообщений к общему числу отправленных сообщений.

3.26 остаточный коэффициент ошибок (residual error rate): Отношение числа необнаруженных ошибочных сообщений к общему числу отправленных сообщений.

3.27 уровень эффективности защиты; УЭЗ (performance level, PL): Дискретный уровень, применяющийся для определения способности связанных с безопасностью частей системы управления выполнять функцию безопасности в прогнозируемых условиях.

3.28 устройство ввода-вывода; устройство В-В (IO-device): Пассивный объект коммуникаций, способный принимать сообщения и отправлять их в ответ другому объекту коммуникаций, который может быть контроллером ввода-вывода или устройством ввода-вывода.

3.29 целевая мера отказов (target failure measure): Величина отказов, значение которой не должно быть превышено и к которой следует стремиться для достижения и поддержания необходимого уровня полноты безопасности функции безопасности, выполняемой Э/Э/ПЭ СБЗС системой.

Примечание - При низкой частоте запросов к функции безопасности Э/Э/ПЭ СБЗС системы величина отказов выражается как средняя вероятность отказов (PFD_avg), а при высокой частоте запросов или непрерывном запросе - как средняя частота (интенсивность) отказов в соответствии с ГОСТ 34332.2-2017 (пункт 7.6.12).

4 Обозначения и сокращения

В настоящем стандарте применены следующие сокращения и обозначения:

АОП - анализ общих причин;

ДБО - доля безопасных отказов;

ИОП - источник(и) общей причины;

ИС - интегральная схема;

НПЭ - непрограммируемая электроника;

НУ - непрограммируемое устройство;

ОЗУ - оперативное запоминающее устройство;

ПЗУ - программируемое запоминающее устройство;

ПЭ - программируемая электроника;

СБ - связанная(ое, ый) с безопасностью (система, подсистема, аппаратное средство, программное обеспечение или их элемент);

СИС - специализированная интегральная схема (микросхема);

ССО - стойкость к систематическим отказам;

УО - управляемое оборудование;

BIM - обозначение технологии информационного моделирования в строительстве.

5 Общие требования

Соответствие Э/Э/ПЭ СБЗС систем требованиям настоящего стандарта - по ГОСТ 34332.2-2017 (подраздел 5.1).

Требования к конкретным Э/Э/ПЭ СБЗС системам должны быть установлены с учетом: природных факторов, характера опасностей, необходимого снижения риска и последствий, требуемого УПБ, сложности системы, физической среды применения, новизны разработки.

6 Требования к документации

Требования к документации Э/Э/ПЭ СБЗС систем - по ГОСТ 34332.2-2017 (подраздел 5.2).

7 Требования к управлению функциональной безопасностью

Требования к управлению функциональной безопасностью Э/Э/ПЭ СБЗС систем - по ГОСТ 34332.2-2017 (раздел 6).

8 Требования к жизненному циклу Э/Э/ПЭ СБЗС систем

8.1 Общие положения

8.1.1 Цели и требования, основные положения

8.1.1.1 Настоящий пункт устанавливает цели и требования для ЖЦ Э/Э/ПЭ СБЗС систем.

Примечания

1 Цели и требования к полному ЖЦ Э/Э/ПЭ СБЗС систем установлены в ГОСТ 34332.2-2017, раздел 7.

2 Требования к каждой конкретной Э/Э/ПЭ СБЗС системе в виде спецификации требований к проектированию Э/Э/ПЭ СБЗС системы формируют после распределения функций безопасности по всем Э/Э/ПЭ СБЗС системам и прочим средствам уменьшения риска.

3 Распределению всех необходимых функций безопасности (и антитеррористической защищенности) по Э/Э/ПЭ СБЗС системам и прочим средствам уменьшения риска предшествуют разработка концепции безопасности, определение назначения и области применения всех СБЗС систем (включая КСБ) и средств уменьшения риска, анализ опасностей и рисков, подлежащих компенсации этими системами и средствами, и определение требований ко всем функциям безопасности (см. ГОСТ 34332.2-2017, подразделы 7.2-7.5 и рисунок 1, блоки 1-4).

4 В случае применения КСБ изначально предусматривают необходимые условия объединения Э/Э/ПЭ СБЗС в КСБ и условия, обеспечивающие возможность такого объединения (сложность систем КСБ, взаимосвязь Э/Э/ПЭ СБЗС систем между собой, совместимость протоколов и стыков, синхронизация, учет времен откликов систем на запросы и др.).

8.1.1.2 Для каждой стадии ЖЦ Э/Э/ПЭ СБЗС систем должны быть указаны:

- цели, которые должны быть достигнуты;

- область применения конкретной стадии;

- ссылка на пункт, содержащий требования;

- входы стадии;

- выходы стадии.

8.1.2 Цели

8.1.2.1 Первая цель настоящего раздела состоит в структурировании на систематической основе рассматриваемых стадий ЖЦ Э/Э/ПЭ СБЗС систем для обеспечения достижения требуемой функциональной безопасности Э/Э/ПЭ СБЗС систем.

Примечание - Цели и требования для полного ЖЦ Э/Э/ПЭ СБЗС систем, включая КСБ, с учетом положений, отраженных во введении, установлены в ГОСТ 34332.2-2017 (раздел 7).

8.1.2.2 Вторая цель заключается в обеспечении документирования всей информации, относящейся к функциональной безопасности Э/Э/ПЭ СБЗС систем на протяжении всего их ЖЦ.

Примечание - Требования к документации, представляемой на всех стадиях ЖЦ полной системы обеспечения безопасности, установлены в ГОСТ 34332.2-2017 (подраздел 5.2).

8.1.3 Требования

8.1.3.1 Структура ЖЦ Э/Э/ПЭ СБЗС системы, используемого в качестве требования соответствия настоящему стандарту, представлена на рисунке 5. Для каждой стадии ЖЦ могут быть установлены необходимые промежуточные стадии с указанием для каждой из них области применения, целей, которые должны быть достигнуты, входов и выходов стадий. На каждой из промежуточных стадий должны быть достигнуты все цели и выполнены требования подразделов настоящего стандарта.

Примечание - В рамке показаны только те промежуточные стадии ЖЦ Э/Э/ПЭ СБЗС системы, которые составляют стадию реализации ЖЦ всей системы. Полный ЖЦ Э/Э/ПЭ СБЗС систем также включает в себя блоки, определенные для последующих стадий ЖЦ полной системы [см. ГОСТ 34332.2-2017 (рисунок 1, блоки 15 и 16)].

Рисунок 5 - Структура ЖЦ Э/Э/ПЭ СБЗС системы (стадии проектирования и реализации)

8.1.3.2 В случае использования другого ЖЦ Э/Э/ПЭ СБЗС систем он должен быть определен как часть управления деятельностью по функциональной безопасности Э/Э/ПЭ систем по ГОСТ 34332.2-2017 (раздел 6), а также должны быть достигнуты цели и требования, приведенные в настоящем стандарте.

8.1.3.3 Для рассмотрения ЖЦ сложных систем комплексного обеспечения безопасности и антитеррористической защищенности объекта, включая КСБ с их АС и ПО, на стадиях проектирования и реализации может быть применена подробная V-образная модель (рисунок 6).

- выход; - верификация

Рисунок 6 - V-образная модель стадий проектирования и реализации КСБ

Примечания

1 При этом используют системный комплексный процессный риск-ориентированный подход. Вначале формируют спецификацию требований к проектированию КСБ, затем проектируют ее архитектуру с учетом взаимосвязей, входящих в нее Э/Э/ПЭ СБЗС систем. Аналогичные шаги последовательно применяют к Э/Э/ПЭ СБЗС системам, подсистемам и их составляющим, вплоть до модулей АС и ПО (нисходящая ветвь завершается реализацией модулей АС и программных кодов ПО). Выходы каждого шага левой части V-образной модели становятся входной информацией для следующего шага (при необходимости может быть осуществлен возврат к предыдущему или более раннему шагу). Модули, подсистемы и системы подвергаются верификации в обратном порядке по восходящей ветви, т.е. моделируются результаты верификации и тестирования модулей АС и ПО, последовательно объединенных в Э/Э/ПЭ СБЗС подсистемы, системы и, наконец, в полную КСБ (результаты любого шага могут вызвать необходимость изменений проекта на любом из предыдущих шагов). На последнем шаге, после того как составляющие интегрированы в полную систему, выполняется подтверждение соответствия.

2 После разработки концепции безопасности объекта, определения области применения СБЗС систем, анализа опасностей и рисков, определения требований к функциям безопасности систем [см. ГОСТ 34332.2-2017 (подразделы 7.2-7.5)] формируют спецификацию требований к проектированию КСБ, проектируют ее архитектуру, распределяя функции безопасности по входящим в нее Э/Э/ПЭ СБЗС системам, с учетом взаимосвязей и взаимовлияния систем, а также прочим средствам уменьшения риска. Аналогичные шаги последовательно применяют к отдельным Э/Э/ПЭ СБЗС системам, подсистемам и их составляющим, вплоть до модулей АС и ПО. Нисходящая ветвь завершается реализацией модулей АС и программных кодов ПО. Выходы каждого шага нисходящей ветви V-образной модели становятся входной информацией для следующего шага (при необходимости может быть осуществлен возврат к предыдущему или более раннему шагу). Установленные и смонтированные на объекте модули, подсистемы, системы и КСБ подвергают верификации в обратном порядке по восходящей ветви V-образной модели. Вначале осуществляют тестирование и верификацию модулей АС и ПО, затем подсистем, систем и, наконец, КСБ по мере их реализации. На последнем шаге, после того как составляющие интегрированы в КСБ, осуществляют подтверждение соответствия.

3 Недостижение целей и требований любой промежуточной стадии на нисходящей ветви V-образной модели, обнаруженное в результате проведения соответствующих процедур тестирования и верификации на восходящей ветви, - недостижение целей и требований к проектированию из-за ошибки проектировщика или неверного выбора им покупного модуля (АС и ПО), подсистемы, системы (как продукции промышленного производства) - приводит к необходимости возврата к началу соответствующей или более ранней стадии на нисходящей ветви V-образной модели. В этом случае потребуются дополнительные затраты времени и ресурсов, чем они больше, тем выше точка обнаружения несоответствия на восходящей ветви.

4 Временные и ресурсные затраты по примечанию 3 могут быть существенно снижены в случае осуществления полного моделирования поведения Э/Э/ПЭ СБЗС систем и всех их составляющих с использованием методов и средств информационного моделирования в строительстве (BIM-технологии).

8.1.3.4 Процедуры управления функциональной безопасностью по ГОСТ 34332.2-2017 (раздел 6) следует выполнять параллельно рассматриваемым стадиям ЖЦ Э/Э/ПЭ СБЗС систем.

8.1.3.5 Входы каждой стадии ЖЦ Э/Э/ПЭ СБЗС систем должны соответствовать определенным для этих стадий целям и требованиям (см. 8.1-8.9). Результаты каждой стадии должны быть документированы лицами, ответственными за обеспечение функциональной безопасности на соответствующей стадии ЖЦ систем.

8.1.3.6 Каждую стадию ЖЦ Э/Э/ПЭ СБЗС системы подразделяют на элементарные действия с определением для каждого из них области применения, входов и выходов (см. таблицу 1).

Примечание - Требования к прочим средствам уменьшения риска устанавливают в соответствующем стандарте.

8.1.3.7 Выходы каждой стадии ЖЦ Э/Э/ПЭ СБЗС системы должны быть документально оформлены (см. ГОСТ 34332.2-2017 (подраздел 5.2)], если не будет обосновано, что они являются результатом деятельности по управлению функциональной безопасностью [см. ГОСТ 34332.2-2017 (раздел 6)].

8.1.3.8 Результаты (выходы) каждой стадии ЖЦ Э/Э/ПЭ СБЗС системы должны быть приведены в соответствие с определенными для этой стадии целями и требованиями (см. 8.1.1).

8.2 Спецификация требований к проектированию Э/Э/ПЭ СБЗС систем

8.2.1 Цель спецификации требований к проектированию состоит в задании требований к проектированию для каждой Э/Э/ПЭ СБЗС системы в терминах составляющих, из которых состоит система (подсистем, модулей и других составляющих).

Примечание - Как правило, спецификацию требований к проектированию Э/Э/ПЭ СБЗС системы формируют из спецификации требований к полной системе обеспечения безопасности и антитеррористической защищенности объекта (включая КСБ) с помощью декомпозиции функций безопасности и распределения частей функции безопасности между Э/Э/ПЭ СБЗС системами, подсистемами, их составляющими (например, группами датчиков, логическими решателями либо исполнительными устройствами) и прочими средствами уменьшения риска. Требования для подсистем могут быть включены в спецификацию требований к проектированию Э/Э/ПЭ СБЗС системы или представлены в виде отдельного документа либо в виде ссылки на них в спецификации требований проектирования Э/Э/ПЭ СБЗС системы. Далее подсистемы могут быть декомпозированы на модули, элементы и их совокупности, с тем чтобы соответствовать требованиям проектирования и разработки по 8.3, 8.4. Требования для этих составляющих могут быть включены в требования к декомпозируемым подсистемам или могут быть представлены в виде отдельного документа или ссылки на них в требованиях к подсистеме.

Таблица 1 - Стадии проектирования, планирования и реализации Э/Э/ПЭ СБЗС систем

Стадия ЖЦ Э/Э/ПЭ СБЗС системы	Цели	Область применения	Структурный элемент	Входы	Выходы
Стадия 5. Распределение требований безопасности по Э/Э/ПЭ СБЗС системам (блок 5 на рисунке 5)	Получение обоснованных исходных данных для проектирования Э/Э/ПЭ СБЗС систем	Э/Э/ПЭ СБЗС системы	8.2	Результаты анализа опасностей и угроз для распределения требований безопасности по Э/Э/ПЭ СБЗС системам	Спецификация требований к проектированию Э/Э/ПЭ СБЗС систем
Стадия 6. Разработка проектной документации на Э/Э/ПЭ СБЗС системы (блок 6 на рисунке 5)	Создание проектной документации на Э/Э/ПЭ СБЗС системы, со спецификацией требований к системам, средствам, их составляющим, к взаимодействию между собой и окружением, отвечающей установленным требованиям	Э/Э/ПЭ СБЗС системы	8.3	Спецификация требований к проектированию Э/Э/ПЭ СБЗС систем	Проектная документация на Э/Э/ПЭ СБЗС системы
Подстадия 6.1. Создание КСБ с применением V-образной модели (блок 6 на рисунке 5)	Создание сложных КСБ, удовлетворяющих требованиям настоящего стандарта	Э/Э/ПЭ СБЗС системы	8.1.3.3, 8.5.3	Исходные данные на проектирование и реализацию КСБ на защищаемом объекте (см. примечание)	КСБ, установленная и введенная в действие на объекте защиты
Стадия 7. Разработка рабочей документации на Э/Э/ПЭ СБЗС системы (блок 7 на рисунке 5)	Обеспечение должного выполнения действий на последующих стадиях ЖЦ Э/Э/ПЭ СБЗС систем	Э/Э/ПЭ СБЗС системы	8.3.10	Комплект проектной документации на Э/Э/ПЭ СБЗС системы	Рабочая документация на Э/Э/ПЭ СБЗС системы (см. примечание)
Стадия 8. Планирование установки и ввода в действие СБЗС систем (блок 8 на рисунке 5)	Разработка плана установки и ввода в действие Э/Э/ПЭ СБЗС систем	Э/Э/ПЭ СБЗС системы	8.3.11	Комплект проектной и рабочей документации, план установки и ввода в действие Э/Э/ПЭ СБЗС систем	План установки и ввода в действие Э/Э/ПЭ СБЗС систем
Стадия 9. Планирование подтверждения соответствия Э/Э/ПЭ СБЗС систем (блок 9 на рисунке 5)	Разработка плана осуществления подтверждения соответствия СБЗС систем	Э/Э/ПЭ СБЗС системы	8.3.12	Комплект проектной и рабочей документации, план осуществления подтверждения соответствия	План подтверждения соответствия Э/Э/ПЭ СБЗС систем
Стадия 12. Установка и ввод в действие Э/Э/ПЭ СБЗС систем (блок 12 на рисунке 5)	Должное выполнение действий по установке и вводу в действие Э/Э/ПЭ СБЗС систем и КСБ на объекте	Э/Э/ПЭ СБЗС системы	8.3.13	Комплект проектной и рабочей документации, план установки и ввода в действие Э/Э/ПЭ СБЗС систем	Э/Э/ПЭ СБЗС системы, установленные и введенные в действие на объекте
Стадия 13. Подтверждение соответствия Э/Э/ПЭ СБЗС систем (блок 13 на рисунке 5)	Подтверждение соответствия Э/Э/ПЭ СБЗС систем требованиям настоящего стандарта	Э/Э/ПЭ СБЗС системы	8.6, 8.13	Э/Э/ПЭ СБЗС системы, установленные и введенные в действие на объекте	Документ, подтверждающий соответствие Э/Э/ПЭ СБЗС систем требованиям настоящего стандарта
Стадия 14. Эксплуатация и техническое обслуживание Э/Э/ПЭ СБЗС систем (блок 14 на рисунке 5)	Обеспечение устойчивой эксплуатации Э/Э/ПЭ СБЗС систем в соответствии с требованиями ГОСТ 34332	Э/Э/ПЭ СБЗС системы	8.7.1	Комплект эксплуатационной документации и документации на техническое обслуживание Э/Э/ПЭ СБЗС систем (см. примечание)	Устойчивая эксплуатация Э/Э/ПЭ СБЗС систем, отвечающая требованиям настоящего стандарта
Стадия 15. Видоизменение и модификация Э/Э/ПЭ СБЗС систем (блок 15 на рисунке 5)	Обеспечение возможности совершенствования Э/Э/ПЭ СБЗС систем при долговременной эксплуатации объектов защиты (зданий и сооружений)	Э/Э/ПЭ СБЗС системы	8.7.1	Проекты модифицированных Э/Э/ПЭ СБЗС систем для установки на защищаемом объекте	Модифицированные Э/Э/ПЭ СБЗС системы, установленные и введенные в действие на объекте, отвечающие требованиям соответствия настоящему стандарту
Примечание - Разработку эксплуатационной документации, а также документации на техническое обслуживание и текущий ремонт осуществляют на стадии подготовки рабочей документации. Стадия эксплуатации Э/Э/ПЭ СБЗС систем в настоящем стандарте не рассматривается (см. раздел 1).

8.2.2 Общие требования

8.2.2.1 Спецификацию требований к проектированию конкретной Э/Э/ПЭ СБЗС системы формируют исходя из полных требований к системам комплексного обеспечения безопасности и антитеррористической защищенности объекта (включая КСБ) после распределения функций безопасности по отдельным Э/Э/ПЭ СБЗС системам и прочим средствам уменьшения риска в соответствии с ГОСТ 34332.2-2017 (подраздел 7.6).

Примечание - Не рекомендуется, чтобы одна и та же Э/Э/ПЭ СБЗС система выполняла функции безопасности и функции, не относящиеся к безопасности. Хотя это соответствует требованиям настоящего стандарта, такое объединение приводит к большим сложностям при выполнении работ в процессе ЖЦ Э/Э/ПЭ системы (например, при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).

8.2.2.2 Требования к проектированию Э/Э/ПЭ СБЗС систем должны быть выражены и структурированы таким образом, чтобы они были:

- ясными, точными, недвусмысленными, поддающимися проверке, пригодными для тестирования, поддерживаемыми и реализуемыми;

- оформлены в письменном виде для обеспечения возможности их применения и правильного понимания на любой из стадий ЖЦ Э/Э/ПЭ СБЗС системы;

- выводимыми из спецификации требований к полной системе обеспечения безопасности и антитеррористической защищенности объекта.

8.2.3 Спецификация требований к проектированию Э/Э/ПЭ СБЗС системы

8.2.3.1 В спецификацию требований к проектированию Э/Э/ПЭ СБЗС системы включают требования, относящиеся к функциям безопасности (см. 8.2.3.2), и требования, относящиеся к полноте безопасности (см. 8.2.3.4).

8.2.3.2 В спецификацию требований к проектированию Э/Э/ПЭ СБЗС системы включают сведения обо всех АС и ПО, необходимых для осуществления требуемых функций безопасности. В спецификацию требований для каждой функции безопасности следует включать:

- требования к подсистемам, модулям и составляющим АС и ПО (по мере необходимости);

- требования к интеграции подсистем, модулей и составляющих АС и ПО, соответствующие спецификации требований к функциям безопасности Э/Э/ПЭ СБЗС системы;

- сведения об интерфейсе между оператором и Э/Э/ПЭ СБЗС системой;

- сведения об интерфейсах между Э/Э/ПЭ СБЗС системой и внешними системами (подсистемами), а также УО;

- описание поведения Э/Э/ПЭ СБЗС системы, в том числе ее поведение при отказе и необходимой реакции на отказ (например, выдача аварийного сигнала, автоматический останов и т.п.);

- описание взаимодействий между АС и ПО, а также (при необходимости) требуемых ограничений для АС и ПО.

Примечание - Если данные взаимодействия не известны до завершения проектирования, то устанавливают только общие ограничения;

- описание предельных и ограничивающих условий для Э/Э/ПЭ СБЗС системы и связанных с ней подсистем и модулей, например ограничения синхронизации либо ограничения, связанные с возможностью отказов по общей причине;

- специфические требования, относящиеся к процедурам запуска и повторного запуска Э/Э/ПЭ СБЗС системы.

8.2.3.3 В спецификацию требований к проектированию Э/Э/ПЭ СБЗС системы включают подробную информацию обо всех АС и ПО, необходимых для выполнения требуемых функций безопасности. В спецификацию следует включать для каждой функции безопасности:

- описание архитектуры каждой подсистемы, необходимое для удовлетворения архитектурных ограничений полноты безопасности АС (см. 8.3.4);

- соответствующие параметры для расчета надежности, необходимые для достижения целевого показателя отказа, такие как требуемая частота проверочных испытаний всех модулей АС.

Примечание - Информация о конкретном применении не должна быть ограничена. Данная информация важна для технического обслуживания, при котором интервал между контрольными испытаниями должен быть не менее предсказуемого интервала для конкретного применения;

- описание действий, которые должны быть выполнены в случае обнаружения опасного отказа, выявленного диагностикой;

- требования, ограничения, функции и возможности, позволяющие проводить проверочные испытания АС систем;

- описание требований к используемому оборудованию и экстремальным условиям окружающей среды (например, температуры, влажности, механических, электрических условий), которые указаны в требованиях к ЖЦ Э/Э/ПЭ СБЗС системы, включая производство, хранение, транспортирование, испытания, установку, ввод в эксплуатацию, эксплуатацию и техническое обслуживание;

- значение уровня электромагнитной устойчивости.

8.2.3.4 В спецификацию требований к проектированию Э/Э/ПЭ СБЗС систем следует также включать:

- сведения о том, как в проекте достигаются необходимый УПБ и требуемая целевая мера отказов для функции безопасности, которые определены в спецификации требований к полноте безопасности Э/Э/ПЭ СБЗС системы [см. ГОСТ 34233.2-2017 (пункты 7.5.6-7.5.11)], в частности:

процедуры испытаний и критерии, применяемые для подтверждения соответствия заданному в спецификации значению уровня электромагнитной устойчивости.

Примечание - Руководство по спецификации испытаний пределов электромагнитной устойчивости для составляющих СБ-систем (подсистем) представлено в ГОСТ IEC/TS 61000-1-2;

описание стратегии по устранению подтвержденного отказа;

требования к обеспечению качества - описание мер по управлению качеством, необходимых для управления безопасностью (см. ГОСТ 34332.2-2017, пункт 6.2.2).

8.2.3.5 Спецификацию требований к проектированию Э/Э/ПЭ СБЗС системы следует постоянно уточнять по ходу разработки проекта и по мере необходимости следует обновлять при его модификации.

8.2.3.6 Во избежание ошибок во время составления спецификации требований к проектированию Э/Э/ПЭ СБЗС системы необходимо использовать группу методов и средств в соответствии с таблицей А.1 приложения А и таблицей Б.1 приложения Б.

8.2.3.7 Должны быть рассмотрены последствия накладываемых на архитектуру требований к проектированию Э/Э/ПЭ СБЗС системы.

Примечание - Такое рассмотрение, как правило, включает в себя анализ простоты реализации для достижения требуемого УПБ (включая анализ архитектуры и пропорциональное распределение функциональности, реализуемой за счет конфигурирования или применения встроенной системы).

8.3 Проектирование и реализация Э/Э/ПЭ СБЗС систем

8.3.1 Цель требований настоящего подраздела (см. блоки 5-13 на рисунке 5) состоит в обеспечении соответствия проектной и рабочей документации на Э/Э/ПЭ СБЗС системы спецификации требований к ее проектированию (см. 8.2.3) в части требований к функции(ям) безопасности и требований к полноте безопасности.

8.3.2 Общие требования

8.3.2.1 Проектирование Э/Э/ПЭ СБЗС системы должно быть проведено в соответствии со спецификацией требований к ее проектированию (см. 8.2.3) с учетом всех требований 8.2.3.

8.3.2.2 Если Э/Э/ПЭ СБЗС система входит в состав КСБ, в спецификацию требований к ее проектированию включают требования, обеспечивающие устойчивое взаимодействие системы с другими Э/Э/ПЭ СБЗС системами (совместимость протоколов и стыков, синхронизируемость, учет времен откликов на запросы):

а) к полноте безопасности АС, включая:

1) требования к архитектурным ограничениям на полноту безопасности АС (см. 8.3.4);

2) требования к выполнению количественной оценки случайных отказов (см. 8.3.6);

3) требования к предотвращению систематических отказов (см. 8.3.7);

б) к специальной архитектуре СИС с избыточностью схем на кристалле в соответствующих случаях, если не может быть приведено обоснование того, что тот же самый уровень независимости между различными каналами достигается с помощью применения другого набора средств (см. [4]).

8.3.2.3 Если Э/Э/ПЭ СБЗС система предназначена для выполнения функции безопасности и функции, не относящейся к безопасности, то все АС и ПО следует рассматривать как связанные с безопасностью до тех пор, пока не будет установлено, что эти функции реализуются достаточно независимо (т.е. отказ какой-либо функции, не относящейся к безопасности, не станет причиной отказа функций, связанных с безопасностью).

Примечания

1 Достаточную независимость данных функций устанавливают демонстрацией того, что вероятность зависимого отказа между компонентами, не связанными с безопасностью, и компонентами, связанными с безопасностью, достаточно низка по сравнению с самым высоким УПБ, относящимся к используемым функциям безопасности.

2 Следует по возможности избегать совмещения функций, связанных с безопасностью, и функций, не связанных с безопасностью, в одной и той же Э/Э/ПЭ СБЗС системе. Такое совмещение, допускаемое настоящим стандартом, может усложнить систему и привести к трудностям при выполнении работ в процессе ЖЦ системы (например, при проектировании, подтверждении соответствия, оценке функциональной безопасности и техническом обслуживании).

8.3.2.4 Требования к АС и ПО следует определять УПБ функций безопасности, имеющих самый высокий УПБ, если не будет показано, что выполнение функций безопасности различных УПБ достаточно независимо.

Примечания

1 Достаточную независимость выполнения функций безопасности устанавливают демонстрацией вероятности зависимого отказа между компонентами, выполняющими функции безопасности различных УПБ, достаточно низкой по сравнению с самым высоким УПБ, относящимся к рассматриваемым функциям безопасности.

2 Если Э/Э/ПЭ СБЗС системой выполняется несколько функций безопасности, то необходимо рассмотреть возможность возникновения отказа в выполнении нескольких функций безопасности из-за единственной ошибки. В такой ситуации требования к АС и ПО допускается задавать на основе УПБ более высокого, чем для любой из функций безопасности, в зависимости от риска возникновения такого отказа.

8.3.2.5 Если требуется независимость функций безопасности (см. 8.3.2.3), то в процессе проектирования должны быть документально оформлены:

- метод достижения независимости;

- обоснование метода.

Пример - Для анализа предсказуемых видов отказа, которые могут нарушить независимость функций безопасности, и для определения интенсивности таких отказов используют метод анализа вида, последствий и критичности отказов или метод анализа зависимых отказов.

8.3.2.6 Следует обеспечивать доступность требований к связанному с безопасностью ПО (см. ГОСТ 34332.4) разработчику Э/Э/ПЭ СБЗС системы.

8.3.2.7 Разработчик Э/Э/ПЭ СБЗС системы должен провести анализ требований к связанному с безопасностью ПО и связанным с безопасностью АС с тем, чтобы убедиться, что они корректно специфицированы. В частности, разработчик Э/Э/ПЭ СБЗС системы должен рассмотреть:

- функции безопасности;

- интерфейсы между оборудованием и обслуживающим персоналом.

8.3.2.8 В проектной документации на Э/Э/ПЭ СБЗС систему должны быть определены методы и средства, необходимые для достижения и поддержания требуемого УПБ в течение стадий ЖЦ этой системы.

8.3.2.9 В проектной документации на Э/Э/ПЭ СБЗС систему должно быть приведено обоснование выбранных для интеграции методов и средств, которые обеспечивают требуемый УПБ.

Примечание - Принятие общего подхода, предусматривающего независимое принятие вида Э/Э/ПЭ СБЗС системы (включающей в себя датчики, исполнительные устройства и т.д.), ее АС и ПО, диагностических тестов и инструментов программирования и используемых (где это возможно) подходящих языков программирования, позволяет снизить сложность разработки системных приложений Э/Э/ПЭ СБЗС системы.

8.3.2.10 В процессе проектирования все существенные (в соответствующих случаях) взаимодействия АС и ПО должны быть идентифицированы, оценены и документально оформлены.

8.3.2.11 В состав проекта на сложные Э/Э/ПЭ СБЗС системы и КСБ должны быть включены также индивидуальные проекты (части проектной документации) на более простые составляющие системы (подсистемы). Для каждого(ой) из них должен быть предусмотрен набор тестов для интеграции (см. 8.3.12.4).

Примечания

1 Конкретная подсистема может состоять из одной составляющей или группы составляющих. Полная Э/Э/ПЭ СБЗС система может состоять из множества отдельных подсистем, которые при их объединении обеспечивают выполнение предусмотренной функции безопасности. Подсистема может иметь несколько каналов.

2 При необходимости должны быть использованы существующие проверенные на практике подсистемы. Данное положение является в общем случае верным, только если существует почти стопроцентное совпадение функциональных возможностей, пропускной способности и быстродействия существующей подсистемы с новыми требованиями или верифицированная (проверенная) подсистема структурирована так, чтобы пользователь мог выбрать лишь требуемые функции, пропускную способность и производительность для требуемого конкретного применения. Избыточные функциональные возможности, пропускная способность или быстродействие могут повредить безопасность системы, если существующие подсистемы чрезмерно усложнены или имеют неиспользуемые возможности и не обеспечена защита от непредусмотренных функций. Следует избегать избыточных функциональных возможностей, пропускной способности или быстродействия подсистем, если не может быть обеспечена защита от выполнения ими непредусмотренных функций.

8.3.2.12 При завершении предварительного проектирования Э/Э/ПЭ СБЗС системы необходимо провести анализ для определения, может ли какой-либо разумно предсказуемый отказ системы вызвать опасную ситуацию или сформировать запрос к какому-либо средству управления риском. При обнаружении возможности возникновения любого из таких отказов первым по приоритету действием должно быть изменение проекта Э/Э/ПЭ СБЗС системы во избежание таких видов отказов. Если это выполнить не удается, то должны быть приняты меры по снижению вероятности таких видов отказов до уровня, соизмеримого с целевой мерой отказа. Данные меры должны соответствовать требованиям настоящего стандарта.

Примечание - Цель настоящего подпункта состоит в выявлении видов отказов из-за формирования запроса(ов) к какому-либо средству управления риском. Возможны ситуации, когда интенсивность отказов для выявленных видов отказов не может быть снижена. В данном случае требуется сформировать новую функцию безопасности, либо УПБ других функций безопасности должны быть пересмотрены с учетом интенсивности отказов.

8.3.2.13 Для всех компонентов АС должно быть учтено снижение параметров относительно предельных значений. Обоснование работы любых компонентов АС при предельных значениях их параметров должно быть документально оформлено (см. ГОСТ 34332.2-2017, раздел 5).

Примечание - При назначении снижения параметров коэффициент снижения, как правило, устанавливают приблизительно равным двум третям.

8.3.2.14 Если в проекте на Э/Э/ПЭ СБЗС систему для реализации функции безопасности предусмотрено применение одной или более подсистем или СИС, то должен быть применен подход с использованием V-образной модели для этапов ЖЦ проектирования и реализации (см. 8.1.3.3).

8.3.3 Составляющие систем для обеспечения требуемой стойкости к систематическим отказам

8.3.3.1 Для удовлетворения требований стойкости к систематическим отказам создаваемая Э/Э/ПЭ СБЗС система при условиях, описанных в настоящем пункте, может быть разделена на элементы, обладающие различной стойкостью к таким отказам.

Примечания

1 Стойкость к систематическим отказам элемента определяется способностью функции безопасности противостоять отказу при отказе этого элемента. Концепция стойкости к систематическим отказам элемента применима к элементам как АС, так и ПО.

2 В ГОСТ 34332.2-2017 (пункт 7.6.10) указаны условия независимости СБЗС систем и прочих средств уменьшения риска. Эти условия могут быть применены при более детальном проектировании, и некоторая структура элементов, реализующая функцию безопасности, возможно, позволит достичь лучшей стойкости к систематическим отказам, чем ее отдельные элементы.

8.3.3.2 Если систематический сбой элемента со стойкостью к систематическим отказам ССО N (N = 1, 2, 3) не вызывает отказ указанной функции безопасности, но вызывает ее отказ только в сочетании со вторым систематическим отказом другого элемента со стойкостью к систематическим отказам ССО N, то результирующая стойкость к систематическим отказам комбинации этих двух элементов может рассматриваться как ССО (N + 1) при условии, что эти два элемента достаточно независимы (см. 8.3.3.4).

Примечание - Независимость элементов может быть оценена, только если известны конкретные применения этих элементов для оговоренных функций безопасности.

8.3.3.3 Стойкость к систематическим отказам, которая может быть предъявлена к комбинации элементов со стойкостью к систематическим отказам каждого из них, равной ССО N, в лучшем случае может быть равна ССО (N + 1). Элемент со стойкостью к систематическим отказам, равной ССО N, может быть использован таким способом только один раз. Для получения ССО (N + 2) и выше не допускается строить последовательные комбинации из элементов с ССО N.

8.3.3.4 Для обоснования достаточной независимости между элементами при проектировании и между элементами в их конкретном применении следует применять анализ отказов по общей причине, чтобы показать, что вероятность возникновения взаимных помех между самими элементами и между элементами и окружением является незначительной по сравнению с УПБ рассматриваемой функции безопасности.

Примечания

1 При определении стойкости к систематическим отказам в процессе проектирования, реализации, эксплуатации и технического обслуживания АС возможно использование следующих подходов для достижения достаточной независимости:

- функциональное разнообразие - использование различных подходов для достижения тех же результатов;

- разнообразие технологий - использование различных типов оборудования для достижения одних и тех же результатов;

- общие компоненты/процедуры обслуживания - обеспечение отсутствия общих компонентов или процедур обслуживания либо систем поддержки (например, электропитания), отказ которых может привести к опасному виду отказа всех систем;

- общие процедуры - обеспечение отсутствия общих процедур при эксплуатации, техническом обслуживании или тестировании.

2 Независимость применения означает, что элементы не повлияют друг на друга настолько неблагоприятно, чтобы это могло привести к опасному отказу.

8.3.4 Архитектурные ограничения полноты безопасности АС

Примечание - Выражение, связывающее ограничения полноты безопасности АС, определено в приложении В, а сами ограничения полноты безопасности представлены в таблицах 2 и 3.

8.3.4.1 Наиболее высокий УПБ АС, который может потребоваться для функции безопасности, ограничен предельными значениями полноты безопасности АС, которые могут быть достигнуты одним из двух возможных способов (реализуемых на уровне системы или подсистемы):

- способ 1_АС основан на концепции отказоустойчивости АС и концепции составляющей безопасных отказов;

- способ 2_АС основан на полученных данных о безотказности компонентов, об их использовании конечными пользователями, повышающих уровни доверия и отказоустойчивость АС для указанных УПБ.

Стандарты для прикладных областей¹⁾ могут содержать указание на предпочтительный способ (т.е. способ 1_АС или способ 2_АС).

------------------------------

¹⁾_{Стандарты, основанные на [4].}

------------------------------

Примечание - Индекс "_АС" в вышеупомянутых способах означает полноту безопасности АС в отличие от способов 1_С, 2_С и 3_C для систематической полноты безопасности.

8.3.4.2 При формировании требований к обеспечению отказоустойчивости АС следует учитывать, что:

а) отказоустойчивость АС N означает, что N + 1 является минимальным числом отказов, которые могут привести к потере функции безопасности (дополнительные разъяснения приведены в примечании 1 и таблицах 2 и 3). В определении отказоустойчивости не должны учитываться средства, которые могли бы контролировать последствия ошибок, например диагностика;

б) если одна ошибка непосредственно приводит к одной или более последующим ошибкам, их рассматривают как одиночную ошибку;

в) при определении отказоустойчивости некоторые ошибки могут быть исключены при условии, что вероятность их возникновения очень мала по сравнению с требованиями полноты безопасности подсистемы. Любые исключения ошибок должны быть обоснованы и документально оформлены (см. примечание 3).

Примечания

1 Для получения достаточно отказоустойчивой архитектуры с учетом уровня сложности элемента и подсистемы используют ограничения на полноту безопасности АС (см. 8.3.4.1 и 8.3.4.2). Самым высоким допустимым УПБ для функции безопасности, реализуемой Э/Э/ПЭ СБЗС системой, полученным в результате применения требований, указанных в настоящем подпункте, является максимальный уровень из заявленных для функции безопасности, однако в некоторых случаях расчеты надежности показывают, что может быть достигнут более высокий УПБ. Следует также отметить, что если отказоустойчивость АС достигнута для всех подсистем, необходимо выполнить расчет надежности, чтобы продемонстрировать, что заданная целевая мера отказов достигнута, так как для выполнения требований проекта может потребоваться, чтобы отказоустойчивость АС была увеличена.

2 Требования отказоустойчивости АС применяют к архитектуре подсистемы, используемой при нормальных условиях эксплуатации. Требования отказоустойчивости к АС могут быть снижены, если Э/Э/ПЭ СБЗС система восстанавливается автономно. Однако ключевые параметры, связанные с любым снижением требований, должны быть предварительно оценены (например, оценка среднего времени восстановления по отношению к вероятности запроса).

3 Некоторые ошибки могут быть исключены, так как если некоторый элемент системы имеет очень низкую вероятность отказа благодаря соответствующим ему свойствам и конструкции (например, механический соединитель привода), то нет необходимости рассматривать ограничение (связанное с отказоустойчивостью АС) полноты безопасности любой функции безопасности, для реализации которой используется этот элемент.

4 Выбор дальнейших шагов зависит от области применения, и для выбора способа необходимо учитывать:

- что безопасный отказ одной функции может создать новую опасность или стать дополнительной причиной для существующей опасности;

- резервирование не может быть реализовано для всех функций;

- ремонт не всегда возможен или быстро осуществим (например, не представляется возможным его провести за период времени, который существенно меньше интервала времени между тестовыми испытаниями);

5 Специальные требования к архитектуре СИС с избыточностью схем на кристалле приведены в [4].

6 При проектировании Э/Э/ПЭ СБЗС систем СИС не проектируют и не создают, их приобретают в качестве покупных изделий (как продукцию промышленного производства, см. 3.18). Однако для выбора СИС или модулей, содержащих СИС, пригодных для применения в конкретной СБЗС системе, проектировщик должен знать о свойствах приобретаемых СИС или модулей с СИС. Разработчики и производители СИС или модулей, содержащих СИС, должны быть ознакомлены с требованиями к тем СИС, которые могут быть использованы при создании СБЗС систем. Для удовлетворения потребностей в информации пользователей стандартов комплекса ГОСТ 34332 информация о требованиях к СИС для Э/Э/ПЭ СБЗС систем включена в настоящий стандарт и другие стандарты комплекса ГОСТ 34332.

8.3.4.3 Элемент может быть отнесен к типу А, если для его компонентов, необходимых для реализации функции безопасности, одновременно выполняются следующие условия:

- виды отказов всех составляющих компонентов определены;

- поведение элемента в условиях отказа может быть полностью определено;

- данные о претензиях по поводу интенсивности отказов для обнаруженных и необнаруженных опасных отказов недостаточно надежны (см. 8.3.13.3-8.3.13.5).

Элемент может быть отнесен к типу Б, если для его компонентов, необходимых для реализации функции безопасности, выполняется хотя бы одно из следующих условий:

- вид отказа по крайней мере одного составляющего компонента не определен;

- поведение подсистемы в условиях отказа не может быть полностью определено;

Примечание - Если по крайней мере один из компонентов конкретного элемента соответствует условиям для типа Б, то такой элемент должен быть отнесен к типу Б, а не к типу А.

8.3.4.4 При оценке доли безопасных отказов элемента, предназначенного для использования в подсистеме с отказоустойчивостью АС, равной нулю, которая выполняет функцию безопасности или часть функции безопасности, действующей в режиме высокой частоты запросов или с непрерывными запросами, предпочтение должно быть отдано только диагностике, если:

- суммарное время диагностического испытательного интервала и времени выполнения определенного действия для достижения или поддержания безопасного состояния было меньше времени безопасности процесса;

- при работе в режиме с высокой частотой запросов отношение частоты диагностических испытаний к частоте запросов равно или превышает 100.

8.3.4.5 При оценке доли безопасных отказов элемента, который имеет отказоустойчивость АС более нуля и который выполняет функцию безопасности или часть функции безопасности, действуя в режиме с высокой частотой запросов или с непрерывным запросом, или выполняет функцию безопасности или часть функции безопасности, работая в режиме с низкой частотой запросов, предпочтение должно быть отдано только диагностике, если:

- суммарное время диагностического испытательного интервала и время выполнения ремонта обнаруженного отказа будет менее среднего времени восстановления, используемого в вычислениях при определении достигаемой полноты безопасности для этой функции безопасности;

8.3.4.6 При оценке доли безопасных отказов элемента, который имеет отказоустойчивость АС более нуля и который выполняет функцию безопасности или часть функции безопасности, действуя в режиме с высокой частотой запросов или с непрерывным запросом, или выполняет функцию безопасности или часть функции безопасности, работая в режиме с низкой частотой запросов, доверие (предпочтение) должно быть отдано только диагностике, если суммарное время диагностического испытательного интервала и время выполнения ремонта обнаруженного отказа будет менее среднего времени восстановления, используемого в вычислениях при определении достигаемой полноты безопасности для этой функции безопасности.

8.3.5 Способы определения максимального УПБ АС

8.3.5.1 Для определения максимального УПБ АС, который может быть предъявлен к функции безопасности по способу 1_АС, необходимо выполнить следующие процедуры:

а) определить подсистемы, из которых состоит Э/Э/ПЭ СБЗС система;

б) для всех элементов каждой подсистемы отдельно определить долю безопасных отказов (индивидуально для каждого элемента, имеющего отказоустойчивость АС, равную нулю). Для конфигураций элементов с резервированием доля безопасных отказов может быть вычислена с учетом дополнительной диагностики, которая может быть доступна (например, сравнением резервированных элементов);

в) для каждого элемента, используя полученное значение доли безопасных отказов и значение отказоустойчивости АС, равное нулю, определяют максимальный УПБ из второй колонки таблицы 2 (для элементов типа А) и второй колонки таблицы 3 (для элементов типа Б);

г) используя метод, представленный в 8.3.5.3 и 8.3.5.4, определить максимальный УПБ, который может быть предъявлен к подсистеме;

д) максимальный УПБ, который может быть предъявлен к Э/Э/ПЭ СБЗС системе, определить как УПБ подсистемы с самым низким УПБ.

8.3.5.2 Для подсистем, включающих в себя элементы, отвечающие представленным ниже требованиям, в качестве альтернативы применению требований, указанных в перечислениях б) - г) 8.3.5.1 для случаев, когда подсистема состоит из более чем одного элемента и элементы являются однотипными, все элементы имеют значения доли безопасных отказов, находящиеся в одном диапазоне (см. примечание), определенном в таблицах 2 или 3, применяют следующие процедуры определения максимального УПБ:

а) определяют долю безопасных отказов для всех отдельных элементов. В случае конфигураций элементов с резервированием доля безопасных отказов может быть вычислена с учетом доступной дополнительной диагностики (например, сравнение резервированных элементов);

б) определяют отказоустойчивость АС подсистемы;

в) определяют по таблице 2 максимальный УПБ, на который может претендовать подсистема, если ее элементы типа А;

г) определяют по таблице 3 максимальный УПБ, на который может претендовать подсистема, если ее элементы типа Б.

Примечание - В таблицах 2 и 3 значения доли безопасных отказов разделены на четыре диапазона (менее 60 %; от 60 % до 90 %; от 90 % до 99 % и более 99 %). Все значения доли безопасных отказов должны быть в одном диапазоне (например, все в диапазоне от 90 % до 99 %).

Примеры

1 Для определения максимального допустимого УПБ, который для указанной функции безопасности может быть достигнут подсистемой, имеющей отказоустойчивость АС, равную 1, для которой функция безопасности элемента реализована с помощью параллельных элементов, может быть принят следующий подход при условии, что подсистема соответствует требованиям, приведенным в 8.3.5.2. В этом примере все элементы относятся к типу Б, а значения доли безопасных отказов элементов находятся в диапазоне от 90 % до 99 %.

Из таблицы 3 следует, что для отказоустойчивости АС, равной 1, и для значений доли безопасных отказов элементов, находящихся в диапазоне от 90 % до 99 %, максимальный допустимый УПБ для указанной функции безопасности УПБ 3.

2 Для определения необходимой отказоустойчивости АС подсистемы для указанной функции безопасности, в которой функция безопасности элемента реализована с помощью параллельных элементов, может быть принят следующий подход, при условии, что подсистема соответствует требованиям, указанным в 8.3.5.2. В настоящем примере все элементы имеют тип А, а значения доли безопасных отказов элементов находятся в диапазоне от 60 % до 90 %. Уровень полноты безопасности функции безопасности УБП 3.

Из таблицы 2 следует, что требованию УПБ 3 соответствует необходимая отказоустойчивость АС, равная 1. Это означает, что необходимы два параллельных элемента.

Таблица 2 - Зависимость полноты безопасности АС Э/Э/ПЭ СБЗС подсистем типа А от устойчивости АС к отказам и доли безопасных отказов

Доля безопасных отказов, %	УПБ в зависимости от устойчивости АС к отказам (см. примечание 1)
Доля безопасных отказов, %	N = 0	N = 1	N = 2
До 60	УПБ 1	УПБ 2	УПБ 3
От 60 до 90	УПБ 2	УПБ 3	УПБ 4
От 90 до 99	УПБ 3	УПБ 4	УПБ 4
Более 99	УПБ 3	УПБ 4	УПБ 4
Примечания 1 Требования, приведенные в настоящей таблице, совместно с требованиями, приведенными в 8.3.5.1 и 8.3.5.2, применяют для определения максимального значения УПБ, который может быть предъявлен к подсистеме: задают отказоустойчивость подсистемы и долю безопасных отказов используемых элементов: - для общего применения к любой подсистеме представлены в 8.3.5.1; - для применения к подсистемам, включающим в себя элементы, отвечающие требованиям, указанным в 8.3.5.2. Для того, чтобы утверждать, что подсистема соответствует указанному УПБ непосредственно по данной таблице, необходимо, чтобы для нее были выполнены все требования, указанные в 8.3.5.2. 2 Требования, приведенные в настоящей таблице, совместно с требованиями, приведенными в 8.3.5.1 и 8.3.5.2, применяют для определения: - требований отказоустойчивости АС подсистемы, задавая необходимый УПБ функции безопасности и долю безопасных отказов используемых элементов; - требований к значению доли безопасных отказов элементов, задавая необходимый УПБ функции безопасности и отказоустойчивость АС подсистемы. 3 Требования, указанные в 8.3.5.3 и 8.3.5.4, основаны на данных, определенных в настоящей таблице и таблице 4. 4 Расчет доли безопасных отказов представлен в приложении В.

Таблица 3 - Зависимость полноты безопасности АС СБЗС подсистем типа Б от устойчивости АС к отказам и доли безопасных отказов

Доля безопасных отказов, %	Уровень полноты безопасности в зависимости от устойчивости АС к отказам (см. примечание 1)
Доля безопасных отказов, %	N = 0	N = 1	N = 2
Менее 60	Не оговаривается	УПБ 1	УПБ 2
От 60 до 90	УПБ 1	УПБ 2	УПБ 3
От 90 до 99	УПБ 2	УПБ 3	УПБ 4
Более 99	УПБ 2	УПБ 4	УПБ 4
Примечания 1 Требования, приведенные в настоящей таблице, совместно с требованиями, приведенными в 8.3.5.1 и 8.3.5.2, применяют для определения максимального значения УПБ, который может быть предъявлен к подсистеме: задаются отказоустойчивость подсистемы и доля безопасных отказов используемых элементов: - для общего применения к любой подсистеме представлены в 8.3.5.1; - для применения к подсистемам, включающим в себя элементы, отвечающие требованиям 8.3.5.2. Для того чтобы утверждать, что подсистема соответствует указанному УПБ непосредственно из данной таблицы, необходимо, чтобы для нее были выполнены все требования, указанные в 8.3.5.2. 2 Требования, приведенные в настоящей таблице, совместно с требованиями, приведенными в 8.3.5.1 и 8.3.5.2, применяют для определения: - требований отказоустойчивости АС подсистемы, задавая необходимый УПБ функции безопасности и долю безопасных отказов используемых элементов; - требований к значению доли безопасных отказов элементов, задавая необходимый УПБ функции безопасности и отказоустойчивость АС подсистемы. 3 Требования, указанные в 8.3.5.3 и 8.3.5.4, основаны на данных, определенных в настоящей таблице и таблице 3. 4 Расчет доли безопасных отказов см. в приложении В. 5 Если используют требования, указанные в 8.3.5.1, для комбинации элементов типа Б, с отказоустойчивостью АС, равной 1, в которой у обоих элементов доля безопасных отказов менее 60 %, то максимальным допустимым УПБ для функции безопасности, выполняемой этой комбинацией, является УБП 1.

8.3.5.3 В Э/Э/ПЭ СБЗС подсистеме, в которой некоторое число элементов функций безопасности реализуется с помощью последовательности элементов (как показано на рисунке 7), максимальный УПБ, который может быть предъявлен к функции безопасности, должен определяться элементом, который имеет самый низкий УПБ для достигнутой им доли безопасных отказов и отказоустойчивости АС, равной 0. Иллюстрация данного метода для архитектуры, представленной на рисунке 6, приведена на примере ниже.

Пример - Пусть архитектура (рисунок 7), где некоторое число элементов функций безопасности реализуется подсистемой, выполненной по одноканальной архитектуре, состоящей из элементов 1, 2 и 3, которые соответствуют требованиям таблиц 2 и 3 следующим образом:

- для элемента 1 УПБ, соответствующий требованиям отказоустойчивости аппаратных средств, равной 0, и доле безопасных отказов, равен УПБ 1;

- для элемента 2 УПБ, соответствующий требованиям отказоустойчивости аппаратных средств, равной 0, и доле безопасных отказов, равен УПБ 2;

- для элемента 3 УПБ, соответствующий требованиям отказоустойчивости аппаратных средств, равной 0, и доле безопасных отказов, равен УПБ 1.

Э/Э/ПЭ СБЗС подсистема соответствует требованиям к архитектуре для функции безопасности с УПБ 1

Рисунок 7 - Порядок определения максимального значения УПБ для заданной архитектуры (Э/Э/ПЭ СБЗС подсистема, состоящая из последовательности элементов, см. 8.3.5.3)

Элементы 1 и 3 ограничивают максимальный УПБ, который может потребоваться для соответствия отказоустойчивости АС доле безопасных отказов, до УПБ 1.

8.3.5.4 В Э/Э/ПЭ СБЗС подсистеме, в которой функция безопасности реализуется в многоканальной архитектуре с параллельным соединением элементов (рисунок 8) с отказоустойчивостью АС, равной N, максимальный УПБ, который может быть достигнут для рассматриваемой функции безопасности, должен быть определен:

Примечания

1 Элементы 1 и 2 реализуют требуемую часть функции безопасности подсистемы X независимо от элементов 3 и 4 и наоборот.

2 Подсистемы, выполняющие функцию безопасности, считают полной Э/Э/ПЭ системой, включая все элементы от сенсоров до исполнительных устройств.

Рисунок 8 - Порядок определения максимального УПБ для заданной архитектуры [Э/Э/ПЭ СБЗС система, состоящая из двух подсистем X и У (см. 8.3.5.4)]

- группированием последовательно соединенных элементов для каждого канала и затем определением максимального УПБ, который может быть достигнут для рассматриваемой функции безопасности для каждого канала (см. 8.3.5.3);

- выбором цепи с самым высоким УПБ, который может быть достигнут для рассматриваемой функции безопасности, и затем сложением УПБ N для определения максимальной полноты безопасности для полной подсистемы.

Примечания

1 N - отказоустойчивость АС комбинации параллельных элементов (см. 8.3.5.1).

2 В примере рассматривается применение настоящего подпункта.

Пример реализации метода для архитектуры, приведенной на рисунке 8, представлен ниже.

Пример

Группирование и анализ этих комбинаций могут быть проведены разными методами. Для иллюстрации одного из возможных методов принимают архитектуру, в которой конкретная функция безопасности реализована двумя подсистемами X и У, где подсистема X состоит из элементов 1-4, а подсистема У из одного элемента 5, как показано на рисунке 8. Использование параллельных каналов в подсистеме X гарантирует, что элементы 1 и 2 реализуют требуемую часть функции безопасности подсистемы X независимо от элементов 3 и 4 и наоборот. Функцию безопасности считают выполненной:

- при событии отказа в элементе 1 или 2 (поскольку комбинация элементов 3 и 4 позволяет реализовать требуемую часть функции безопасности);

- при событии отказа в элементе 3 или 4 (поскольку комбинация подсистем 1 и 2 позволяет реализовать требуемую часть функции безопасности).

Далее подробно рассматривают процедуру определения максимального УПБ, который может потребоваться для рассматриваемой функции безопасности.

В подсистеме X при заданной функции безопасности каждый элемент соответствует требованиям, указанным в таблицах 2 и 3, следующим образом:

- для элемента 1 УПБ, соответствующий требованиям отказоустойчивости АС, равной 0, и доле безопасных отказов, равен УПБ 3;

- для элемента 2 УПБ, соответствующий требованиям отказоустойчивости АС, равной 0, и доле безопасных отказов, равен УПБ 2;

- для элемента 3 УПБ, соответствующий требованиям отказоустойчивости АС, равной 0, и доле безопасных отказов, равен УПБ 2;

- для элемента 4 УПБ, соответствующий требованиям отказоустойчивости АС, равной 0, и доле безопасных отказов, равен УПБ 1.

Для того чтобы получить максимальный УПБ АС для рассматриваемой функции безопасности, элементы подсистемы X объединяют следующим образом:

- объединение элементов 1 и 2. Отказоустойчивость АС и доля безопасных отказов, обеспеченная комбинацией элементов 1 и 2 (каждая в отдельности соответствует требованиям для УПБ 3 и УПБ 2 соответственно), соответствует требованиям УПБ 2 (определенным элементом 2, см. 8.3.5.3);

- объединение элементов 3 и 4. Отказоустойчивость АС и доля безопасных отказов, обеспеченная комбинацией элементов 3 и 4 (каждая в отдельности соответствует требованиям для УПБ 2 и УПБ 1 соответственно), соответствует требованиям УПБ 1 (определенным элементом 5, см. 8.3.5.3);

- дальнейшее объединение комбинации элементов 1 и 2 с комбинацией элементов 3 и 4. Максимальный УПБ АС, который может быть достигнут для рассматриваемой функции безопасности, определяется выбором канала с самым высоким УПБ, который был достигнут, и затем сложением УПБ N для определения максимального УПБ для всей комбинации элементов. В данном случае подсистема включает в себя два параллельных канала с отказоустойчивостью АС, равной 1. Каналом с самым высоким УПБ для рассматриваемой функции безопасности является канал, включающий в себя элементы 1 и 2 и соответствующий требованиям для УПБ 2. Поэтому максимальный УПБ для подсистемы при отказоустойчивости АС, равной 1, будет УПБ 2 + 1 = УПБ 3 (см. 8.3.5.4).

В подсистеме У для элемента 5 УПБ, соответствующий требованиям отказоустойчивости АС, равной 0, и доле безопасных отказов, равен УПБ 2.

Для полной Э/Э/ПЭ СБЗС системы (включающей в себя две подсистемы X и У, которые достигли требований для рассматриваемой функции безопасности УПБ 3 и УПБ 2 соответственно) максимальный УПБ, который может быть достигнут для Э/Э/ПЭ СБЗС системы, определен подсистемой, которая достигла самого низкого УПБ [см. перечисление а) 8.3.5.1]. Поэтому для настоящего примера максимальным УПБ, который может быть достигнут для Э/Э/ПЭ СБЗС системы, для рассматриваемой функции безопасности является УПБ 2.

8.3.5.5 Минимальное значение отказоустойчивости АС для каждой подсистемы Э/Э/ПЭ СБЗС системы, выполняющей функцию безопасности с заданным УПБ, в случае применения способа 2_АС определяют следующим образом:

- значение отказоустойчивости АС равно 2 для заданной функции безопасности с УПБ 4, если не применяются условия по 8.3.5.6;

- значение отказоустойчивости АС равно 1 для заданной функции безопасности с УПБ 3, если не применяются условия по 8.3.5.6;

- значение отказоустойчивости АС равно 1 для заданной функции безопасности с УПБ 2, если не применяются условия по 8.3.5.6;

- значение отказоустойчивости АС равно 0 для заданной функции безопасности с УПБ 2, работающей в режиме с низкой частотой запросов;

- значение отказоустойчивости АС равно 0 для заданной функции безопасности с УПБ 1.

Примечание - Для перечислений, приведенных в настоящем подразделе, если не указано иное, считается, что функция безопасности может выполняться либо в режиме с низкой частотой запросов, либо в режиме с высокой частотой запросов или с непрерывным запросом.

8.3.5.6 Если установлено, только для элементов типа А, что, следуя требованиям отказоустойчивости АС, указанным в 8.3.5.5, для конкретной ситуации требуется значение отказоустойчивости АС более 0 и это приводит к дополнительным отказам и уменьшению полной безопасности УО, то может быть реализована более безопасная альтернативная архитектура с уменьшенным значением отказоустойчивости АС. В таком случае решение должно быть обосновано и документально оформлено. Обоснование должно представить свидетельства о том, что:

- соответствие с требованиями отказоустойчивости АС, определенными в 8.3.5.5, приведет к дополнительным отказам, уменьшению полной безопасности УО;

- если значение отказоустойчивости АС уменьшено до нуля, то режимы отказа, идентифицированные в элементе, выполняющем функцию безопасности, могут не учитываться, потому что интенсивность(и) опасных отказов идентифицированного(ых) режима(ов) отказа очень низка(и) по сравнению с целевой мерой отказов для рассматриваемой функции безопасности [см. перечисление в) 8.3.4.2]. То есть сумма интенсивностей опасных отказов всех последовательно соединенных элементов, для которых требуется исключение ошибки, не должна превышать 1 % целевой меры отказа. Более того, такое использование исключений ошибки должно быть обосновано с учетом возможности систематических ошибок.

Примечание - Отказоустойчивость - наиболее оптимальный путь для достижения робастной архитектуры. Если применяют требования настоящего подпункта, то цель обоснования состоит в том, чтобы продемонстрировать, что предложенная альтернативная архитектура обеспечивает эквивалентное или лучшее решение. Реализация такого решения может зависеть от технической сферы и/или применения. Например, применяют: механизмы резервирования (аналитическая избыточность, замена выхода неисправного датчика, выполненная физическим вычислением выходных результатов других датчиков); использование более надежных положений той же самой технологии (при их наличии); изменения для увеличения надежности технологии; сокращение влияния отказов по общей причине при использовании разных технологий; расширение области проектирования; ограничение условий окружающей среды (например, для электронных компонентов); снижение неопределенности данных о надежности, накапливая данные в процессе эксплуатации или оценки экспертов.

8.3.5.7 Если выбран способ 2_АС и данные о надежности, используемые для определения количественного значения случайных отказов АС (см. 8.3.6), то для оценки среднего уровня неопределенности [например, 90 % доверительного интервала или распределения вероятности (см. примечание)] каждого параметра надежности (например, частоты отказов), используемого в расчетах, должны быть:

а) основаны на данных об эксплуатации элементов в аналогичном применении и в подобных условиях окружающей среды;

б) основаны на данных, собранных в соответствии со стандартами по сбору данных на основе полевых испытаний и/или на основе данных при техническом обслуживании систем;

в) оценены в соответствии с количеством данных об эксплуатации и с результатами экспертной оценки, и, при необходимости, с результатами проведенных специальных тестов.

Примечание - Девяностопроцентный доверительный интервал интенсивности отказов - это интервал ( %, %), в котором ее фактические значения должны принадлежать с вероятностью 90 %. принимает значения с вероятностью % лучше, чем %, и хуже, чем %. Чисто статистически среднее значение интенсивности отказов может быть оценено при использовании "оценки максимальной вероятности", а доверительные границы % и % могут быть выражены с помощью функции . Точность зависит от общего времени наблюдения и числа наблюдаемых отказов. Для обработки статистических наблюдений, экспертных оценок и конкретных результатов испытаний может быть использован Байесовский подход. Эти данные могут быть использованы для формирования соответствующих функций распределения вероятностей для дальнейшего использования в методе моделирования Монте-Карло.

Если выбран способ 2_АС, то необходимо учесть неопределенность данных о надежности при вычислении целевой меры отказов (то есть средняя вероятность отказов по запросам или частота отказов в час), и систему следует дорабатывать до тех пор, пока не будет достигнута на 90 % целевая мера отказов.

8.3.5.8 Если выбран способ 2_АС, то все элементы типа Б должны быть, как минимум, охвачены диагностикой не менее 60 %.

8.3.6 Требования к количественной оценке случайных отказов АС

8.3.6.1 Для каждой функции безопасности полнота безопасности, достигнутая Э/Э/ПЭ СБЗС системой из-за случайных отказов АС (включая ошибки программ), и в коммуникационных процессах должна быть оценена по 8.3.6.2 и 8.3.15 и должна быть равна или быть менее целевой меры отказов, определенной в спецификации требований к безопасности этой системы (см. ГОСТ Р 34332.2-2017, подраздел 7.10).

Примечание - Чтобы продемонстрировать, что это было достигнуто, необходимо выполнить прогноз надежности для соответствующей функции безопасности с использованием соответствующей методики (см. 8.3.6.2) и сравнить результат с целевым показателем отказа соответствующей функции безопасности (см. ГОСТ 34332.2).

8.3.6.2 При оценке достигнутой меры отказов каждой функции безопасности в соответствии с требованиями, указанными в 8.3.6.1, следует учитывать:

- архитектуру Э/Э/ПЭ СБЗС системы в терминах ее подсистем, поскольку это касается каждой рассматриваемой функции безопасности.

Примечание - Необходимо определить, какие виды отказов элементов подсистем находятся в последовательной связи (любой отказ вызывает отказ соответствующей функции безопасности, которая должна выполняться), а какие виды отказов находятся в параллельной связи (для сбоя соответствующей функции безопасности необходимы совпадающие отказы);

- архитектуру каждой Э/Э/ПЭ СБЗС подсистемы в терминах ее элементов, поскольку это касается каждой рассматриваемой функции безопасности;

- оцененную интенсивность отказов каждой подсистемы и ее элементов в любых режимах, которые могли бы вызвать опасный отказ (см. 8.3.13.3 и 8.3.13.4). Должно быть приведено обоснование интенсивности отказов с учетом источника данных и его точности или допустимого отклонения. Обоснование может включать в себя рассмотрение и сравнение данных из многих источников, а также объяснение выбора интенсивностей отказов систем, наиболее близко напоминающих рассматриваемую систему. Интенсивность отказов, используемая для количественной оценки случайных отказов АС и вычисления доли безопасных отказов или охвата диагностикой, должна учитывать указанные условия эксплуатации.

Примечание - Для выбора интенсивности отказов из баз данных, как правило, бывает необходимо учесть условия эксплуатации, связанные, например, с нагрузкой или температурой;

- восприимчивость Э/Э/ПЭ СБЗС системы и ее подсистем к отказам по общей причине (см. примечания 1 и 2). Сделанные предположения должны быть обоснованы.

Примечания

1 Отказы из-за влияния общей причины могут быть результатом других влияний, отличных от реальных отказов компонентов АС (например, электромагнитные помехи, ошибки декодирования и т.п.). Однако такие отказы рассматриваются в настоящем стандарте как оцениваемые количественно случайные отказы АС. Тестирование в шахматном порядке приводит к уменьшению отказов по общей причине.

2 Если отказы по общей причине, идентифицируемые между Э/Э/ПЭ СБЗС системами, формируют запрос к ним или к другим уровням защиты, то должно быть подтверждение того, что отказы по общей причине были учтены при определении требований к УПБ и целевой мере отказов;

- охват диагностическими тестами (по приложению В) и связанные с ним диагностический испытательный интервал и интенсивность не обнаруженных диагностикой опасных отказов для случайных отказов АС каждой подсистемы. В соответствующих случаях необходимо рассматривать только те диагностические тесты, которые соответствуют требованиям, указанным в 8.3.6.3. В модели надежности необходимо учесть и среднюю вероятность отказов по запросам, и частоту отказов в час.

Примечание - При установлении времени диагностического испытательного интервала должны быть рассмотрены интервалы между всеми испытаниями, которые вносят вклад в охват диагностикой;

- интервалы времени, на которых реализуются контрольные проверки для обнаружения опасных ошибок;

- является ли контрольная проверка эффективной на 100 %.

Примечание - В результате выполнения несовершенной контрольной проверки функция безопасности может не восстановиться до состояния "как новая", и поэтому вероятность отказа увеличится. Для сделанных предположений должно быть дано обоснование; в частности, должны быть включены периоды возобновления работоспособности для элементов или некоторое снижение риска дальнейшего выполнения функции безопасности. Необходимо рассмотреть продолжительность испытания, если элемент будет проверяться автономно;

- время ремонта для обнаруженных отказов.

Примечание - Среднее время ремонта составляет часть среднего времени восстановления, включающего в себя также время обнаружения отказа и период времени, в течение которого ремонт невозможен. Можно полагать, что ремонт происходит мгновенно только тогда, когда УО выключено или находится в безопасном состоянии во время ремонта. Для ситуаций, когда ремонт может быть выполнен в течение конкретного периода времени, например в то время, когда управляемое оборудование отключено или находится в надежном (закрытом) состоянии, важно, чтобы при полном расчете был учтен период времени, когда ремонт не может быть произведен, особенно когда этот период является относительно большим. Все соответствующие факторы, связанные с ремонтом, должны быть учтены;

- влияние случайной ошибки человека, если человек обязан принимать меры для выполнения функции безопасности.

Примечание - Природу случайной ошибки человека необходимо рассмотреть в условиях, когда человек готов к опасному событию и обязан принимать данные меры, тогда вероятность ошибки человека должна быть включена в вычисление полной вероятности;

- тот факт, что доступны многие методы моделирования и что самый подходящий метод выбирает аналитик, и этот выбор зависит от ряда обстоятельств. Доступные методы включают в себя: анализ видов и последствий отказов [см. ГОСТ 34332.5-2021 (Б.6.6.1 приложения Б)], анализ дерева ошибок [см. ГОСТ 34332.5-2021 (Б.6.6.5 приложения Б)], модели Маркова [см. ГОСТ 34332.5-2021 (Б.6.6.6 приложения Б)], структурные схемы надежности [см. ГОСТ 34332.5-2021 (Б.6.6.7 приложения Б)] и сети Петри [см. ГОСТ 34332.5-2021 (Б.6.6.10 приложения Б)].

Примечание - Необходимо отдельно для каждой функции безопасности количественно определять надежность Э/Э/ПЭ СБЗС систем (подсистем), поскольку на нее будут оказывать влияние как разнообразие видов отказов компонентов, так и изменения архитектуры (при использовании избыточности) самих Э/Э/ПЭ СБЗС систем (подсистем);

8.3.6.3 При количественной оценке случайных отказов АС подсистемы со значением отказоустойчивости АС, равным нулю, которая осуществляет функцию безопасности или часть функции безопасности, действующей в режиме высокой частоты запросов или с непрерывными запросами, доверие (предпочтение) должно быть отдано только диагностике, если:

- суммарное время диагностического испытательного интервала и время выполнения определенного действия для достижения или поддержания безопасного состояния меньше времени безопасности процесса;

- при работе в режиме высокой частоты запросов отношение частоты диагностических испытаний к частоте запросов равно или более 100.

8.3.6.4 Диагностический испытательный интервал любой подсистемы, которая:

- имеет значение отказоустойчивости АС более нуля и которая осуществляет функцию безопасности или часть функции безопасности, действуя в режиме высокой частоты запросов или с непрерывными запросами;

- осуществляет функцию безопасности или часть функции безопасности, работая в режиме с низкой частотой запросов, должен быть таким, чтобы суммарное время диагностического испытательного интервала и время выполнения ремонта обнаруженного отказа были менее среднего времени восстановления, используемого в вычислении при определении достигаемой полноты безопасности для этой функции безопасности.

8.3.6.5 Если для конкретного проекта требование к полноте безопасности для выполняемой функции безопасности не достигается, то следует:

- определить элементы, подсистемы и/или параметры, вносящие наибольший вклад в формулу расчета интенсивности отказов;

- оценить влияние возможных мер усовершенствования на выявленные критические компоненты, подсистемы или параметры (например, более надежные компоненты, дополнительные меры защиты от отказов по общей причине, расширенный охват диагностикой, расширенная избыточность, уменьшение интервала контрольных испытаний, смещение проверок и т.п.);

- выбрать и осуществить подходящие меры усовершенствования;

- повторить необходимые шаги для вычисления нового значения вероятности случайных отказов АС.

8.3.7 Требования по предотвращению систематических отказов

8.3.7.1 Для предотвращения внесения ошибок во время разработки и создания АС и ПО Э/Э/ПЭ СБЗС системы следует использовать соответствующую группу методов для создания АС и ПО (см. ГОСТ 34332.4-2021, таблица Б.8).

Примечание - Настоящий стандарт не содержит конкретных требований, касающихся предотвращения систематических ошибок во время проектирования серийно выпускаемых ИС, таких как стандартные микропроцессоры, так как вероятность ошибок в таких устройствах минимизирована строгими процедурами разработки, строгим тестированием и обширным опытом использования со значительной информацией от пользователей. Применение ИС, таких как новые устройства или СИС, не может быть таким образом обосновано. Поэтому к СИС, если они должны использоваться в Э/Э/ПЭ СБЗС системе, следует применять требования, представленные в 8.3.7.7 и [4].

8.3.7.2 В соответствии с требуемым УПБ метод проектирования выбирают таким, который обладает возможностями, способствующими:

а) прозрачности, модульности и другим характеристикам, которые управляют сложностью проекта;

б) ясности и точности представления:

1) функциональных возможностей;

2) интерфейсов между подсистемами и элементами;

3) информации, устанавливающей последовательность и время;

4) параллелизма и синхронизации;

в) ясности и точности документирования и передачи информации;

г) проверке и подтверждению соответствия.

8.3.7.3 Требования к техническому обслуживанию для гарантированного поддержания на необходимом уровне требуемой полноты безопасности Э/Э/ПЭ СБЗС систем должны быть формализованы на стадии проектирования.

8.3.7.4 Требования к техническому обслуживанию для гарантированного поддержания на необходимом уровне требуемой полноты безопасности Э/Э/ПЭ СБЗС систем должны быть формализованы на стадии проектирования.

8.3.7.5 В период проектирования должны быть запланированы испытания интеграции Э/Э/ПЭ СБЗС систем. В документацию по планированию испытаний включают:

- типы проводимых испытаний и сопровождающие их процедуры;

- условия окружающей среды при испытаниях, средства испытаний, схему испытаний и программы испытаний;

- критерии оценки "прошла испытание"/"не прошла испытание".

8.3.7.6 В период проектирования действия, выполняемые на рабочем месте проектировщика, должны отличаться от действий, которые должны быть доступными на рабочем месте пользователя.

8.3.7.7 В период проектирования и разработки СИС следует использовать соответствующую группу методов и средств, предназначенных для предотвращения внесения ошибок [4].

8.3.8 Требования по управлению систематическими отказами

8.3.8.1 Для управления систематическими отказами проектирование Э/Э/ПЭ СБЗС системы следует осуществлять таким образом, чтобы обеспечивалась устойчивость Э/Э/ПЭ СБЗС системы:

- к любым остаточным ошибкам проектирования АС, если вероятность ошибок проектирования АС не может быть исключена (см. таблицу А.15 приложения А);

- к внешним влияниям, включая электромагнитные воздействия (см. таблицу А.16 приложения А);

- к ошибкам оператора УО (см. таблицу А.17 приложения А);

- к любым остаточным ошибкам в ПО (см. ГОСТ 34332.4-2021, пункт 7.4.3);

- к любым ошибкам и сбоям, возникающим в результате выполнения любого процесса передачи данных (см. 8.3.9).

8.3.8.2 Для облегчения реализации свойств ремонтопригодности и тестируемости в установленных на объекте Э/Э/ПЭ СБЗС системах эти свойства должны быть учтены в процессе их проектирования и реализации.

8.3.8.3 При проектировании Э/Э/ПЭ СБЗС систем должны быть учтены способности и возможности человека с тем, чтобы реализованные на объекте системы были удобны для работы эксплуатирующего персонала и персонала по техническому обслуживанию систем. При разработке всех интерфейсов следует использовать "положительный опыт" с учетом человеческого фактора и возможного уровня подготовки или осведомленности операторов (например, при использовании Э/Э/ПЭ СБЗС систем массового производства оператором может быть человек, не имеющий специальной подготовки).

Примечания

1 Цель проектирования должна состоять в том, чтобы предсказуемые критические ошибки, допускаемые операторами или персоналом по техническому обслуживанию, предотвращались или устранялись проектными решениями везде, где возможно, либо действия для их выполнения требовали повторного подтверждения.

2 Некоторые ошибки, допускаемые операторами или персоналом по техническому обслуживанию, могут оказаться не восстанавливаемыми Э/Э/ПЭ СБЗС системами, например, если они являются необнаруживаемыми или реально восстанавливаемыми исключительно при непосредственном доступе к системе, например некоторые механические отказы в УО.

8.3.9 Требования к поведению системы при обнаружении отказов¹⁾

------------------------------

¹⁾_{Требования настоящего пункта относятся к заданным функциям безопасности, выполняемым одиночной Э/Э/ПЭ СБЗС системой, для которой полная функция безопасности не была распределена между ней и прочими средствами уменьшения риска.}

------------------------------

8.3.9.1 Система должна быть спроектирована таким образом, чтобы при обнаружении опасного отказа (с помощью диагностических тестов, контрольных испытаний или иным методом) в любой подсистеме с отказоустойчивостью АС более нуля действие системы завершалось:

- конкретным действием для достижения или поддержания безопасного состояния (см. примечание);

- изоляцией дефектной части подсистемы для обеспечения возможности продолжения выполнения безопасного действия управляемым оборудованием, пока дефектная часть не будет отремонтирована. Если ремонт не завершен в пределах средней продолжительности ремонта, принятого при вычислении вероятности случайных отказов АС (см. 8.3.6.2), то для достижения и поддержания их безопасного состояния должно быть выполнено конкретное действие (см. примечание).

Примечание - Для достижения и поддержания безопасного состояния, которое должно быть определено в требованиях безопасности Э/Э/ПЭ СБЗС системы, необходимо выполнить конкретное действие (реакцию на отказ). Данное действие может состоять, например, в безопасном отключении УО или той его части, функциональная безопасность которой должна быть реализована дефектной подсистемой.

8.3.9.2 Обнаружение опасного отказа (с помощью диагностических тестов, контрольных испытаний или иным способом) в любой подсистеме с отказоустойчивостью АС, равной нулю, в случае, если такая подсистема используется только для реализации функции(ий) безопасности с низкой частотой запросов, должно завершаться:

- конкретным действием для достижения и поддержания безопасного состояния;

- восстановлением дефектной подсистемы за период времени средней продолжительности ремонта, полученный при расчете вероятности случайных отказов АС (см. 8.3.6.2). В течение этого времени безопасность УО должна обеспечиваться дополнительными мерами и ограничениями. Полнота безопасности, обеспеченная данными мерами и ограничениями, должна, по крайней мере, равняться полноте безопасности, обеспеченной Э/Э/ПЭ СБЗС системой в отсутствие любых отказов. В процедурах эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС системы должны быть определены дополнительные меры и ограничения (см. 8.7).

Примечание - Для достижения и поддержания безопасного состояния, которое должно быть определено в спецификации требований безопасности Э/Э/ПЭ системы, необходимо выполнить конкретное действие (реакцию на отказ). Это действие может состоять, например, в безопасном отключении УО или той его части, функциональная безопасность которой должна быть реализована дефектной подсистемой.

8.3.9.3 Обнаружение опасного отказа (путем диагностического тестирования, контрольных испытаний или иным способом) в любой подсистеме с отказоустойчивостью, равной нулю, в случае подсистемы, выполняющей любую(ые) функцию(и) безопасности, действующей(их) в режиме с высокой частотой запросов или непрерывными запросами для достижения и поддержания безопасного состояния, должно завершаться конкретными действиями (см. примечание).

Примечание - Для достижения и поддержания безопасного состояния, которое должно быть определено в требованиях к безопасности Э/Э/ПЭ СБЗС системы, необходимо выполнить конкретное действие (реакцию на отказ). Это действие может состоять, например, в безопасном отключении УО или той его части, функциональная безопасность которой должна быть реализована дефектной подсистемой.

8.3.10 Разработка рабочей документации

8.3.10.1 Целью разработки рабочей документации является обеспечение должного выполнения действий для реализации последующих стадий ЖЦ Э/Э/ПЭ СБЗС систем и КСБ, а также ЖЦ объекта (см. ГОСТ 34332.2-2017, пункт 7.8.1).

8.3.10.2 При разработке рабочей документации на Э/Э/ПЭ СБЗС системы и КСБ должны быть учтены архитектурные, функционально-технологические, объемно-планировочные, конструктивные и инженерные решения утвержденного в установленном порядке проекта на объект защиты (см. ГОСТ 34332.2-2017, пункт 7.8.2).

8.3.10.3 До реализации (установки, монтажа, пусконаладки) на объекте, интеграции, ввода в действие, подтверждения соответствия Э/Э/ПЭ СБЗС систем (включая КСБ) требованиям настоящего стандарта должны быть разработаны планы проведения этих работ (см. ГОСТ 34332.2-2017, пункт 7.8.3).

8.3.11 Планирование реализации, интеграции и ввода в действие Э/Э/ПЭ СБЗС систем

8.3.11.1 Целью требований настоящего пункта является разработка планов выполнения работ по реализации, интеграции, вводу в действие Э/Э/ПЭ СБЗС систем и КСБ на объекте.

8.3.11.2 Планы по 8.3.11.1 разрабатываются лицами, ответственными за выполнение работ на данных стадиях (с привлечением, в случае возможности, представителей эксплуатирующей организации) и согласовываются с проектной организацией (см. ГОСТ 34332.2-2017, подраздел 7.9).

Примечания

1 Требования, предъявляемые к содержанию плана установки (монтажа) Э/Э/ПЭ СБЗС систем на объекте, установлены в ГОСТ 34332.2-2017 (пункт 7.9.2).

2 Требования к содержанию плана ввода в действие Э/Э/ПЭ СБЗС систем установлены в ГОСТ 34332.2-2017 (пункт 7.9.3).

8.3.12 Планирование подтверждения соответствия Э/Э/ПЭ СБЗС систем

8.3.12.1 Целью требований настоящего пункта являются планирование оценки и подтверждения соответствия Э/Э/ПЭ СБЗС систем.

Примечание - Стадия планирования подтверждения соответствия Э/Э/ПЭ СБЗС систем представлена на рисунке 5 (блок 9).

8.3.12.2 Подтверждению соответствия подлежат АС и ПО промышленного производства, входящие, используемые в качестве комплектующих изделий и средств для реализации Э/Э/ПЭ СБЗС систем. Подтверждение их соответствия осуществляет поставщик этих изделий и средств в форме сертификата соответствия.

8.3.12.3 Подтверждению соответствия подлежат отдельные Э/Э/ПЭ СБЗС системы, а также КСБ, установленные и смонтированные на объекте. Подтверждение их соответствия должен осуществлять застройщик в форме деклараций о соответствии на основании протоколов приемочных испытаний, проводимых приемными комиссиями по приемке систем и объекта.

8.3.12.4 При планировании подтверждения соответствия Э/Э/ПЭ СБЗС системы должны быть использованы:

- требования, определенные в спецификации требований к Э/Э/ПЭ СБЗС системе и в спецификации требований к проектированию Э/Э/ПЭ СБЗС системы;

- набор тестов для интеграции каждой Э/Э/ПЭ СБЗС системы и интеграции Э/Э/ПЭ СБЗС систем в КСБ;

- процедуры, применяемые для подтверждения соответствия полноте безопасности каждой функции безопасности по критериям "прошла испытания"/"не прошла испытания";

- требуемые условия окружающей среды, при которых проводят испытания, включая необходимые инструменты и оборудование (в том числе план, в соответствии с которым эти инструменты и оборудование должны быть калиброваны);

- процедуры испытаний и критерии, применяемые для подтверждения соответствия заданным в спецификации пределам электромагнитной устойчивости;

- стратегии по устранению подтвержденного отказа.

8.3.12.5 Для КСБ особо опасных, технически сложных и уникальных объектов, а также объектов повышенного уровня ответственности, имеющих важное экономическое, социальное и оборонное значение, в программу испытаний должны быть включены сюжеты (не менее трех), имитирующие неблагоприятное сочетание наиболее опасных событий в их развитии; при этом не менее двух сюжетов должны имитировать действия, осуществляемые при управлении эвакуацией людей из объекта (см. ГОСТ 34332.2-2017, пункт 7.10.2).

8.3.13 Требования к реализации Э/Э/ПЭ СБЗС системы

8.3.13.1 Э/Э/ПЭ СБЗС системы должны быть изготовлены, установлены и смонтированы на объекте в соответствии со спецификацией требований к Э/Э/ПЭ СБЗС системе (см. 8.2.3).

8.3.13.2 Подсистемы и их элементы, используемые для одной или более функций безопасности, должны быть идентифицированы и документально оформлены как подсистемы и элементы, связанные с безопасностью.

Примечание - Поставщик (производитель) подсистемы или элемента промышленного производства, от которых требуется соответствие требованиям настоящего стандарта, должен предоставить эту информацию разработчику Э/Э/ПЭ СБЗС системы (либо другой подсистемы или элемента) в виде соответствующего руководства по безопасности (см. приложение Г).

8.3.13.3 Для каждой Э/Э/ПЭ СБЗС подсистемы должна быть представлена следующая информация (см. также 8.3.13.4):

- функциональная спецификация подсистемы и ее элементов (по мере необходимости);

- все инструкции или ограничения, касающиеся применения подсистемы и ее элементов, которые должны быть соблюдены для предотвращения систематических отказов подсистемы;

- стойкость к систематическим отказам каждого элемента [см. перечисление в) 8.3.5.2];

- определение конфигурации элемента АС и/или ПО, позволяющее управлять конфигурацией Э/Э/ПЭ СБЗС системы в соответствии с ГОСТ 34332.2-2017 (пункт 6.2);

- документально оформленное доказательство того, что подсистема и ее элементы прошли проверку указанных для них функциональных требований и стойкости к систематическим отказам в соответствии со спецификацией требований к проектированию Э/Э/ПЭ СБЗС системы (см. 8.2).

8.3.13.4 Для каждого элемента, связанного с безопасностью, в котором возможны случайные отказы АС, должна быть представлена следующая информация (см. также 8.3.13.3 и 8.3.13.5):

а) виды отказа элемента (в виде описания поведения его выходов) из-за случайных отказов АС, которые приводят к отказу функции безопасности и не выявляются внутренними для элемента диагностическими тестами или не обнаруживаются диагностикой, внешней к элементу (см. 8.3.13.5), - для каждого вида отказов оцененная интенсивность отказов для указанных условий эксплуатации;

б) виды отказов элемента (в виде описания поведения его выходов) из-за случайных отказов АС, которые приводят к отказу функции безопасности и выявляются внутренними для элемента диагностическими тестами или обнаруживаются диагностикой, внешней к элементу (см. 8.3.13.5), - для каждого вида отказов оцененная интенсивность отказов для указанных условий эксплуатации;

в) все ограничения на окружающую среду элемента, которые должны быть соблюдены для обеспечения легитимности оценочных частот отказов из-за случайных отказов АС;

г) любое ограничение срока жизни элемента, который не должен быть превышен для обеспечения легитимности оценочных частот отказов из-за случайных отказов АС;

д) требования к любым контрольным испытаниям и/или техническому обслуживанию;

е) для каждого вида отказов [см. перечисление б)], выявленного внутренними для элемента диагностическими тестами, охват диагностикой, полученный в соответствии с приложением В [см. примечание к перечислению ж)];

ж) для каждого вида отказов [см. перечисление б)], выявленного внутренними для элемента диагностическими тестами, междиагностический интервал (см. примечание).

Примечание - Охват диагностикой и междиагностический интервал необходимы, если требуется доверие к действиям по проведению диагностических тестов, выполняемых для элемента при моделировании полноты безопасности АС Э/Э/ПЭ СБЗС системы (см. 8.3.6.2-8.3.6.4);

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

и) интенсивность отказов диагностики из-за случайных отказов АС;

к) любая дополнительная информация (например, время ремонта), необходимая для обеспечения возможности получения среднего значения времени ремонта после обнаружения отказа с помощью диагностики;

л) вся информация, необходимая для обеспечения определения доли безопасных отказов элемента, как принято в Э/Э/ПЭ СБЗС системе, определенной в соответствии с приложением В, включая классификацию элементов на типы А и В, в соответствии с 8.3.4;

м) отказоустойчивость элемента АС.

8.3.13.5 Оценочные частоты отказов элемента из-за случайных отказов АС [см. перечисления а) и б) 8.3.13.4] могут быть определены:

- методом анализа видов и последствий отказов элемента с использованием данных по отказам элементов из признанного промышленного источника;

- из предыдущего опыта использования элемента в похожих условиях окружающей среды (см. 8.3.14).

Примечания

1 Уровень доверия любых используемых данных о частоте отказов должен быть равен по крайней мере 70 %.

2 Предпочтительно, чтобы место размещения данных об отказах было доступным. Если доступ к таким данным невозможен, то может потребоваться использование общих данных.

3 Хотя понятие "постоянная частота отказов" подсистемы принято большинством вероятностных оценочных методов, оно применимо лишь при условии, что не превышен срок жизни компонентов подсистемы. Вне их полезного срока жизни (так как вероятность отказов значительно увеличивается со временем) результаты большинства вероятностных расчетных методов бесполезны. Таким образом, любая вероятностная оценка должна включать в себя спецификацию полезного срока жизни компонентов. Полезный срок жизни компонентов подсистем зависит от самого компонента и от условий его эксплуатации, особенно температуры окружающей среды компонента (например, электролитические конденсаторы могут быть очень чувствительны к температуре). Опыт показывает, что полезный срок жизни компонентов часто находится в пределах 8-12 лет. Однако эти сроки могут быть значительно меньшими, если компоненты работают в условиях значений параметров эксплуатации, близких к предельным.

8.3.13.6 Для каждого применяемого изделия, для которого требуется соответствие стандартам по функциональной безопасности, поставщики должны обеспечить руководство по безопасности в соответствии с приложением Г.

8.3.13.7 Поставщик должен документально обосновать всю информацию, которая представлена в каждом руководстве по безопасности для применяемых изделий.

Примечания

1 Важно, чтобы требуемое безопасное исполнение конкретного элемента было обеспечено достаточными доказательствами. Требования, не обеспеченные достаточными доказательствами, не позволяют установить корректность и полноту функции безопасности, в реализации которой участвует данный элемент.

2 Могут существовать коммерческие или юридические ограничения на доступность доказательств. Эти ограничения в настоящем стандарте не рассматриваются. Если такие ограничения не обеспечивают необходимого доступа к доказательствам оценки функциональной безопасности, то такой элемент в Э/Э/ПЭ СБЗС системах не используется.

8.3.14 Требования к проверенным в эксплуатации элементам

8.3.14.1 Элемент рассматривают как "проверенный в эксплуатации", только если он имеет явно ограниченные и определенные функциональные возможности и при наличии соответствующего документально оформленного свидетельства, демонстрирующего, что вероятность любых опасных систематических сбоев существенно меньше требуемых уровней полноты безопасности функций безопасности систем, в которых используют этот элемент. Доказательства должны быть основанными на анализе опыта работы конкретной конфигурации элемента, проведенном вместе с анализом пригодности и тестированием.

Примечание - При рассмотрении пригодности и тестируемости следует сосредотачиваться на демонстрации работы элемента в конкретном применении. Должны быть учтены результаты уже проведенного анализа и тестирования. Они включают в себя функциональное поведение, точность, поведение в случае сбоя, время отклика, реакцию на перегрузку, удобство и простоту использования (например, предотвращение ошибки человека) и ремонтопригодность.

8.3.14.2 Документально оформленное свидетельство в соответствии с 8.3.14.1 должно продемонстрировать, что:

- предыдущие условия эксплуатации (см. примечание) конкретного элемента являются такими же или достаточно близкими к тем, в которых будет эксплуатироваться элемент в Э/Э/ПЭ СБЗС системе.

- интенсивность опасных отказов не выше, чем в предыдущем использовании.

Примечания

1 Руководство по использованию вероятностного подхода для определения полноты безопасности предварительно разработанного программного обеспечения, основанного на его эксплуатации, см. в ГОСТ 34332.5-2021 (приложение Е).

2 Для сбора доказательств для элементов, проверенных в эксплуатации, требуется эффективная система, сообщающая об отказах.

8.3.14.3 Если имеются различия между предыдущими условиями эксплуатации подсистемы и условиями, в которых будет эксплуатироваться Э/Э/ПЭ СБЗС система, то такие различия должны быть идентифицированы и с помощью комбинации соответствующих аналитических методов и испытаний должно быть явно показано, что вероятность любой опасной систематической ошибки настолько низка, что требуемый(е) УБП для функции(й) безопасности элемента достигается(ются).

8.3.14.4 Обоснование безопасности проверенного в эксплуатации элемента должно быть документально оформлено, используя информацию, доступную в 8.3.14.2, о том, что элемент поддерживает требуемую функцию безопасности с необходимой систематической полнотой безопасности. Обоснование безопасности проверенного в эксплуатации элемента должно включать в себя:

- анализ пригодности и тестирование элемента для предназначенного применения;

- демонстрацию эквивалентности между намеченной эксплуатацией и предыдущим опытом эксплуатации, включая анализ влияния различий;

- статистические данные.

8.3.14.5 При проверке выполнения или невыполнения требований 8.3.14.1-8.3.14.4 с учетом охвата и степени детализации имеющейся информации должны быть приняты во внимание следующие факторы:

- сложность элемента;

- стойкость к систематическим отказам, требуемая для элемента;

- новизна проекта.

8.3.14.6 Должно быть доказано, что существующие функции элемента, для которых не было продемонстрировано, что они проверены в эксплуатации, не могут оказать негативного влияния на полноту безопасности выполняемых элементом функций.

Примечание - Данное требование может быть обеспечено путем гарантирования того, что функции физически или электрически отключены, или что ПО, реализующее эти функции, исключено из эксплуатационной конфигурации, или другими видами аргументов и доказательств.

8.3.14.7 Любая будущая модификация проверенного в эксплуатации элемента должна соответствовать требованиям ГОСТ 34332.4-2021 (пункт 7.8).

8.3.15 Дополнительные требования к передаче данных

8.3.15.1 Если при реализации функции безопасности используют средства передачи данных, то должна быть оценена мера отказов (такая, как коэффициент необнаруженных ошибок) коммуникационного процесса с учетом ошибок передачи, повторения, исключения, вставки, повторного упорядочивания, искажения и актами незаконного вмешательства. Эта мера отказов должна быть учтена при оценке отказов функции безопасности из-за случайных отказов (см. 8.3.6).

8.3.15.2 Методы и средства, гарантирующие необходимую меру отказов (такую, как коэффициент необнаруженных ошибок) коммуникационного процесса (см. 8.3.15.1), должны быть реализованы в соответствии с требованиями настоящего стандарта и ГОСТ 34332.4. Допускается два возможных подхода:

- канал связи должен быть полностью разработан, реализован, и для него проведена процедура подтверждения соответствия требованиям стандартов по функциональной безопасности полевых шин, в том числе каналов связи и сигнализации. Это так называемый "белый канал" (см. рисунок 9а);

а - "белый канал"

б - "черный канал"

Рисунок 9 - Архитектуры каналов для передачи данных

- части канала связи не разработаны, или для них не проведена процедура подтверждения соответствия требованиям, представленным в [4]. Это так называемый "черный канал" (см. рисунок 9б). В этом случае для того, чтобы гарантировать обработку отказа, коммуникационный процесс должен быть осуществлен с помощью Э/Э/ПЭ СБЗС подсистем или элементов, которые взаимодействуют с каналом связи в соответствии с требованиями стандартов по функциональной безопасности, в том числе каналов связи и сигнализации (по мере необходимости).

8.4 Интеграция Э/Э/ПЭ СБЗС системы

8.4.1 Э/Э/ПЭ СБЗС система должна быть интегрирована в соответствии с конкретным проектом системы и испытана в соответствии с конкретными тестами интеграции для нее (см. 8.3.15.2).

8.4.2 В соответствии с 8.3 на стадии интеграции всех модулей в Э/Э/ПЭ СБЗС систему должно быть проведено ее испытание. Такие испытания должны показать, что все модули взаимодействуют правильно, выполняют предназначенные для них функции и не выполняют не предназначенные для них функции.

Примечания

1 Испытание для всех входных комбинаций не проводят. Считается достаточным испытание для всех классов эквивалентности [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.5.2)]. Применение статического анализа [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.6.4)], динамического анализа [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.6.5)] или анализа отказов [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.6.6)] позволяет сократить число испытаний до приемлемого уровня. Если разработку проводить с использованием метода структурного проектирования [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.3.2)] или полуформальными методами [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.2.3)], то эти требования выполнить легче.

2 Если при разработке применять формальные методы [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.2.2)] либо формальные доказательства или программирование с проверкой условий [см. ГОСТ 34332.5-2021 (приложение В, пункты В.5.12 и В.3.3)], то объем таких испытаний может быть существенно сокращен.

3 Также могут быть использованы методы статистического тестирования [см. ГОСТ 34332.5-2021 (приложение Б, пункт Б.5.3)].

8.4.3 Интеграцию СБ ПО в Э/Э/ПЭ систему следует осуществлять в соответствии с требованиями ГОСТ 34332.4-2021 (подраздел 7.5).

8.4.4 Для испытания интегрированных Э/Э/ПЭ СБЗС систем должна быть разработана соответствующая документация, устанавливающая результаты испытаний и определяющая, достигнуты ли цели и критерии, определенные на этапах проектирования и реализации систем. В случае отказа причины и способы его устранения должны быть документально оформлены.

8.4.5 В период интеграции и испытаний любые модификации или изменения Э/Э/ПЭ СБЗС системы должны стать предметом анализа, при котором следует идентифицировать все подсистемы и элементы, на которые влияют данные модификации или изменения, и все необходимые действия по повторному подтверждению выполнения требований.

8.4.6 При испытаниях интегрированной Э/Э/ПЭ СБЗС системы должны быть документально оформлены:

- используемая версия спецификации испытаний;

- критерии принятия испытаний интеграции;

- версия испытуемой Э/Э/ПЭ СБЗС системы;

- используемые средства испытаний и оборудование с датой поверки, набор тестов для интеграции системы;

- результаты каждого испытания;

- любое несоответствие между ожидаемыми и фактическими результатами;

- проведенный анализ и принятое решение о продолжении испытаний или выпуске запроса на изменение (при наличии несоответствия).

8.4.7 Для предотвращения ошибок во время интеграции Э/Э/ПЭ СБЗС системы должна быть использована необходимая группа методов и средств в соответствии с таблицей Б.3 приложения Б.

8.5 Интеграция Э/Э/ПЭ СБЗС систем в комплексную систему безопасности

8.5.1 Интеграцию Э/Э/ПЭ СБЗС систем в КСБ предусматривают на стадии распределения полного набора всех необходимых функций безопасности (и антитеррористической защищенности) объекта по Э/Э/ПЭ СБЗС системам и прочим средствам уменьшения риска (см. примечание 2 к 8.4.2).

8.5.2 Интеграцию Э/Э/ПЭ СБЗС систем в КСБ осуществляют в соответствии с требованиями проектной и рабочей документации и планом проведения интеграции.

8.5.3 В ходе интеграции предусматривают действия по разрешению возможных конфликтов и сбоев АС и ПО при объединении Э/Э/ПЭ СБЗС систем в КСБ.

8.6 Подтверждение соответствия Э/Э/ПЭ СБЗС систем

8.6.1 Подтверждение соответствия Э/Э/ПЭ СБЗС систем осуществляют в целях подтверждения того, что каждая Э/Э/ПЭ СБЗС система полностью соответствует требованиям безопасности системы в терминах требований к функциям безопасности и полноте безопасности (см. 8.2 настоящего стандарта и ГОСТ 34332.2-2017, подраздел 7.10).

8.6.2 Требования

8.6.2.1 Подтверждение соответствия всех Э/Э/ПЭ СБЗС систем, включая КСБ, следует проводить в соответствии с подготовленным планом подтверждения соответствия (см. также ГОСТ 34332.4-2021, подраздел 7.7).

Примечания

1 Стадия подтверждения соответствия безопасности Э/Э/ПЭ системы на схеме ЖЦ Э/Э/ПЭ СБЗС системы предшествует стадии установки, но в некоторых случаях не может быть выполнена до окончания установки (например, если разработка прикладного ПО еще не завершена до окончания установки).

2 Подтверждение соответствия программируемой электроники системы, связанной с безопасностью, включает в себя подтверждение соответствия АС и ПО. Требования к подтверждению соответствия ПО приведены в ГОСТ 34332.4.

8.6.2.2 Испытательное оборудование, используемое для подтверждения соответствия, должно быть откалибровано и/или поверено в соответствии с нормативным(и) документом(ами), по возможности с межгосударственным(и) стандартом(ами), или с общепризнанной(ыми) процедурой(ами).

8.6.2.3 Для корректной реализации каждой функции безопасности, определенной в требованиях к Э/Э/ПЭ СБЗС системе [см. ГОСТ 34332.2-2017 (подраздел 7.10)], требованиях к проектированию системы (см. 8.3), и всех процедур эксплуатации и технического обслуживания должно быть выполнено подтверждение соответствия с использованием испытаний, тестирования и/или анализа. Если необходимую независимость или разделение между отдельными элементами или подсистемами невозможно показать аналитически, то должны быть испытаны связанные сочетания функционального поведения систем.

Примечание - Поскольку число необходимых тестовых комбинаций может быть значительным, то может требоваться переструктурирование системы.

8.6.2.4 Должна быть подготовлена необходимая документация по проведению испытаний на подтверждение соответствия Э/Э/ПЭ СБЗС системы, в которой для каждой функции безопасности должны быть указаны:

- версия используемого плана проведения подтверждения Э/Э/ПЭ СБЗС системы;

- функция безопасности, подвергаемая испытаниям (или анализу), вместе с конкретной ссылкой на указанные в документации требования к планированию проведения подтверждения соответствия Э/Э/ПЭ СБЗС системы;

- испытательные средства и оборудование вместе с данными об их калибровке и/или поверке;

- результаты каждого испытания;

- несоответствие между ожидаемыми и фактическими результатами.

Примечание - Для каждой функции безопасности отдельная документация не требуется, но каждая функция безопасности и каждое отклонение от функции безопасности должны быть отражены в информации по указанным в настоящем подпункте перечислениям.

8.6.2.5 Если фактические результаты отличаются от ожидаемых результатов более, чем это установлено допусками, результаты испытаний на подтверждение соответствия Э/Э/ПЭ СБЗС системы должны быть документально оформлены, включая:

- описание проведенного анализа;

- принятое решение о продолжении испытаний либо о выпуске извещения об изменении и возвращении к более раннему этапу испытаний на подтверждение соответствия.

8.6.2.6 Поставщик или производитель должны сделать доступными результаты испытаний подтверждения соответствия Э/Э/ПЭ СБЗС системы производителю УО и систем управления УО для обеспечения возможности выполнения требований подтверждения соответствия всей системы безопасности в соответствии с ГОСТ 34332.2.

8.6.2.7 Для предотвращения отказов при проведении подтверждения соответствия Э/Э/ПЭ системы используют группу методов и средств в соответствии с таблицей Б.5 приложения Б.

8.7 Дополнительные требования к процедурам на стадии эксплуатации

8.7.1 Процедуры эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС систем

8.7.1.1 На этапах разработки проектной и рабочей документации на Э/Э/ПЭ СБЗС системы должны быть разработаны процедуры, гарантирующие требуемую функциональную безопасность в период их эксплуатации и технического обслуживания.

8.7.1.2 Должны быть предусмотрены следующие действия и процедуры по эксплуатации и техническому обслуживанию Э/Э/ПЭ системы:

- действия, которые должны быть выполнены для поддержания "проектной" функциональной безопасности Э/Э/ПЭ СБЗС системы, включая замену компонентов с предварительно заданными сроками жизни, например вентиляторов или батарей;

- действия и ограничения, необходимые для предотвращения опасных отказов или уменьшения последствий опасных событий (например, во время установки, пуска в действие, режима эксплуатации, типовых испытаний, обозримых неисправностей, отказов или ошибок, отключений);

- оформление документации (которую следует поддерживать в период эксплуатации) по отказам системы и частотам запросов Э/Э/ПЭ СБЗС системы;

- оформление документации (которую следует поддерживать в период эксплуатации), хранящей результаты аудитов и испытаний Э/Э/ПЭ СБЗС системы;

- проведение процедур технического обслуживания, которым необходимо следовать в случае, если происходят отказы и ошибки в Э/Э/ПЭ СБЗС системе, в том числе:

- диагностики отказов и восстановления (ремонта);

- повторного подтверждения соответствия;

- поддержания отчетности;

- повторного подтверждения соответствия, если компоненты оригинального оборудования больше не доступны или были заменены новыми версиями;

- проведение процедур по поддержанию параметров отчетности, которые должны быть определены, в частности процедуры отчетности:

- по отказам;

- анализу отказов;

- применение инструментов, необходимых для технического обслуживания и повторного подтверждения соответствия, и выполнение процедур для поддержания инструментов и оборудования.

Примечания

1 По соображениям безопасности и экономичности может оказаться выгодным объединять процедуры эксплуатации и технического обслуживания Э/Э/ПЭ системы с полными процедурами эксплуатации и технического обслуживания управляемого оборудования.

2 В процедуры эксплуатации и технического обслуживания Э/Э/ПЭ системы должны быть включены процедуры модификации ПО [см. ГОСТ 34332.4-2021 (подраздел 7.8)].

8.7.1.3 Процедуры эксплуатации и технического обслуживания Э/Э/ПЭ СБЗС системы следует непрерывно совершенствовать с учетом как результатов аудитов функциональной безопасности, так и результатов испытаний системы.

8.7.1.4 Действия по техническому обслуживанию, необходимые для поддержания требуемой (в соответствии с проектом) функциональной безопасности Э/Э/ПЭ СБЗС системы, должны быть заданы на основе систематического подхода. Этот подход должен определять необнаруженные отказы всех элементов, связанных с безопасностью (от датчиков до исполнительных элементов), которые могли бы вызвать снижение достигнутой полноты безопасности. Подходящие методы данного подхода включают в себя:

- экспертизу деревьев отказов;

- анализ видов и последствий отказов.

Примечания

1 Рассмотрение человеческого фактора является ключевым моментом в определении требуемых действий и соответствующих интерфейсов с Э/Э/ПЭ СБЗС системой.

2 Частота проведения контрольных проверок должна быть такой, чтобы была достигнута целевая мера отказов.

3 Частота контрольных проверок, интервал диагностических проверок и время последующего ремонта зависят от нескольких факторов, включая:

- целевую меру отказов, связанных с УПБ;

- архитектуру;

- охват диагностики диагностическими тестами;

- ожидаемую частоту запросов.

4 Частота контрольных проверок и интервал диагностических проверок могут иметь решающее влияние на достижение полноты безопасности АС. Одна из основных причин проведения анализа надежности АС (см. 8.3.6.2) состоит в гарантии соответствия частоты проведения этих двух типов испытаний целевой полноте безопасности АС.

5 Следует придерживаться требований к техническому обслуживанию изготовителя и не ориентироваться только на надежность методов центра обслуживания, пока они не будут полностью обоснованы (например, анализом надежности, демонстрирующим, что целевые меры по отказу Э/Э/ПЭ СБЗС системы).

8.7.1.5 Частота контрольных проверок и интервал диагностических проверок, вероятно, должны иметь решающее влияние на достижение полноты безопасности АС. Одна из основных причин проведения анализа надежности АС (см. 8.3.6.2) состоит в гарантии соответствия частоты проведения этих двух типов испытаний целевой полноте безопасности АС.

8.7.1.6 Следует придерживаться требований к техническому обслуживанию изготовителя и не ориентироваться только на надежность методов центра обслуживания, пока они не будут полностью обоснованы (например, анализом надежности, демонстрирующим, что целевые меры по отказу Э/Э/ПЭ СБЗС системы удовлетворены).

8.7.2 Процедуры модификации Э/Э/ПЭ СБЗС систем

8.7.2.1 Цель настоящего требования состоит в обеспечении гарантирования достижения и поддержания полноты безопасности функций безопасности Э/Э/ПЭ СБЗС систем после их модернизации и видоизменения.

8.7.2.2 На стадии разработки проектной и рабочей документации должны быть разработаны процедуры по модификации и видоизменению Э/Э/ПЭ СБЗС систем и документированию этих процессов по каждому действию по видоизменению и модификации Э/Э/ПЭ СБЗС систем.

8.7.2.3 В процедурах должны быть предусмотрены ведение и поддержка документации по каждому действию по видоизменению и модификации Э/Э/ПЭ СБЗС систем. В документацию должны быть включены:

- детальная спецификация модификации и/или изменений;

- анализ влияния действий по модификации на всю систему, включая АС и ПО (см. ГОСТ 34332.4), взаимодействие с человеком, окружение и возможные взаимодействия;

- утвержденные изменения;

- порядок проведения изменений;

- испытания подсистем и элементов, включая данные повторного подтверждения соответствия;

- предыстория управления конфигурацией Э/Э/ПЭ СБЗС системы;

- отклонения от нормальных действий и условий;

- необходимые изменения системных процедур;

- необходимые изменения документации.

8.7.2.4 Производители или поставщики систем, требующие подтверждения соответствия всем требованиям настоящего стандарта (или его части), должны осуществлять техническую поддержку систем при инициировании изменений в результате обнаруживаемых в АС или ПО дефектов и сообщать пользователям о необходимости модификации и/или изменения в случае обнаружения дефекта, затрагивающего безопасность.

8.7.2.5 Модификацию следует проводить, по крайней мере, с тем же уровнем компетентности специалистов, автоматизированных средств проектирования [см. ГОСТ 34332.4-2021 (подпункт 7.4.4.2), планирования и управления, что и при разработке Э/Э/ПЭ СБЗС систем.

8.7.2.6 После модификации Э/Э/ПЭ СБЗС системы должны быть повторно проверены и должно быть повторно подтверждено их соответствие.

Примечание - См. также ГОСТ 34332.2-2017 (подраздел 7.17).

8.8 Верификация Э/Э/ПЭ СБЗС систем

8.8.1 Цель требований, указанных в настоящем подразделе, состоит в проверке и оценке выходных результатов конкретной стадии ЖЦ Э/Э/ПЭ СБЗС систем для гарантирования их правильности и соответствия требованиям разделов стандартов, предусмотренных для этой стадии.

8.8.2 Верификация Э/Э/ПЭ СБЗС систем должна быть запланирована одновременно с их разработкой для каждой стадии ЖЦ Э/Э/ПЭ СБЗС систем и документально оформлена.

8.8.3 Планирование верификации Э/Э/ПЭ СБЗС системы следует относить ко всем критериям, методам и средствам, используемым для верификации на проверяемой стадии.

8.8.4 При планировании верификации Э/Э/ПЭ СБЗС системы следует определять на каждой стадии выполнение обязательных действий для гарантирования правильности выходных результатов и соответствия требованиям разделов стандартов, предусмотренных для этой стадии.

8.8.5 При планировании верификации Э/Э/ПЭ СБЗС системы следует предусматривать:

- выбор стратегии и методов верификации;

- выбор и использование испытательного оборудования;

- выбор и документальное оформление действий в ходе верификации;

- оценку результатов верификации, полученных непосредственно из верифицирующего оборудования и испытаний.

8.8.6 На каждой стадии проектирования и реализации должно быть показано, что требования функциональной безопасности и полноты безопасности выполняются.

8.8.7 Результат каждого действия по верификации должен быть документально оформлен с указанием, прошли ли Э/Э/ПЭ СБЗС системы проверку, или причины отказов. Должны быть описаны устройства, не соответствующие одному или более из следующих требований:

- ЖЦ Э/Э/ПЭ СБЗС системы (см. 8.2);

- стандартам проектирования (см. 8.3);

- управления функциональной безопасностью (см. раздел 7).

8.8.8 Для верификации спецификации требований к проектированию Э/Э/ПЭ СБЗС системы, после того как были установлены требования к проектированию Э/Э/ПЭ СБЗС системы (см. 8.2) и перед началом следующей стадии (проектирование и реализация), в результате проверки должно быть определено:

- адекватно ли требования к проектированию Э/Э/ПЭ СБЗС системы удовлетворяют спецификациям требований к Э/Э/ПЭ СБЗС системе [см. ГОСТ 34332.2-2017 (подраздел 7.5)]: по безопасности, функциональным возможностям и другим заданным требованиям при планировании безопасности;

- существуют ли несоответствия между:

- требованиями к Э/Э/ПЭ СБЗС системе (см. ГОСТ 34332.2-2017, подраздел 7.5),

- требованиями проектирования и реализации Э/Э/ПЭ СБЗС системы (см. 8.3),

- тестами Э/Э/ПЭ СБЗС системы (см. 8.3),

- документацией пользователя вместе с остальной документацией на систему.

8.8.9 Для верификации Э/Э/ПЭ СБЗС системы на стадии проектирования и реализации после завершения проектирования и реализации системы (см. 8.3) и до начала следующей стадии (интеграции) в результате проверки должно быть определено:

- адекватны ли тесты Э/Э/ПЭ СБЗС системы для стадий проектирования и реализации Э/Э/ПЭ СБЗС системы;

- обеспечивается ли согласованность и полнота (до уровня модулей, включительно) стадии проектирования и реализации Э/Э/ПЭ СБЗС системы (см. 8.3) в соответствии с требованиями к этой системе (см. ГОСТ 34332.2-2017, подраздел 7.5);

- существуют ли несоответствия между:

- спецификациями требований к проектированию Э/Э/ПЭ СБЗС системы (см. 8.2),

- результатами проектирования и реализации Э/Э/ПЭ СБЗС системы (см. 8.3),

- тестами Э/Э/ПЭ СБЗС системы (см. 8.3).

Примечания

1 Методы подтверждения соответствия системы, анализ отказов и тестирование, рекомендуемые в таблице Б.5 (приложение Б), также могут быть использованы для верификации.

2 При верификации достижения необходимого охвата диагностикой в таблице А.1 (приложение А) следует учесть отказы и ошибки, которые должны быть обнаружены.

8.8.10 Для верификации интеграции Э/Э/ПЭ СБЗС системы и КСБ должна быть проверена интеграция системы и КСБ с тем, чтобы установить выполнение требований, приведенных в 8.4 и 8.5.

8.8.11 Проверки и их результаты должны быть документально оформлены.

8.9 Оценка функциональной безопасности

Требования по оценке функциональной безопасности Э/Э/ПЭ СБЗС систем - по ГОСТ 34332.2-2017 (раздел 8).

Библиография

[1]	Технический регламент Таможенного союза TP ТС 002/2011	О безопасности высокоскоростного железнодорожного транспорта
[2]	Технический регламент Таможенного союза TP ТС 003/2011	О безопасности инфраструктуры железнодорожного транспорта
[3]	Технический регламент Таможенного союза TP ТС 014/2011	Безопасность автомобильных дорог
[4]	IEC 61508 (все части)	Functional safety of electrical/electronic/programmable electronic safety-related systems (Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью)

Откройте актуальную версию документа прямо сейчас

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Приложение А (обязательное). Методы и средства управления отказами Э/Э/ПЭ СБЗС систем в период эксплуатации

Приложение Б (обязательное). Методы и средства по предотвращению систематических отказов на стадиях жизненного цикла Э/Э/ПЭ СБЗС систем

Приложение В (обязательное). Охват диагностикой и доля безопасных отказов

Приложение Г (обязательное). Руководство по безопасности для применяемых изделий

ГАРАНТ:

Откройте актуальную версию документа прямо сейчас