ГОСТ EN 16590-1-2018. Межгосударственный стандарт: "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы проектирования и разработки" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.08.2021 N 744-ст)

Tractors and machinery for agriculture and forestry. Safety-related parts of control systems. Part 1. General principles for design and development

УДК 629.36.014.2.01(083.74)(476)
МКС 35.240.99;
65.060.01

Дата введения - 1 декабря 2021 г.
Введен впервые

Предисловие

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 Подготовлен Научно-производственным республиканским унитарным предприятием "Белорусский государственный институт стандартизации и сертификации" (БелГИСС) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 Внесен Государственным комитетом по стандартизации Республики Беларусь

3 Принят Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 27 июля 2018 г. N 110-П)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97	Код страны по МК (ИСО 3166) 004-97	Сокращенное наименование национального органа по стандартизации
Армения	AM	ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения
Беларусь	BY	Госстандарт Республики Беларусь
Казахстан	KZ	Госстандарт Республики Казахстан
Киргизия	KG	Кыргызстандарт
Россия	RU	Росстандарт
Таджикистан	TJ	Таджикстандарт
Узбекистан	UZ	Узстандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 20 августа 2021 г. N 744-ст межгосударственный стандарт ГОСТ EN 16590-1-2018 введен в действие в качестве национального стандарта Российской Федерации с 1 декабря 2021 г.

5 Настоящий стандарт идентичен европейскому стандарту EN 16590-1:2014 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы проектирования и разработки" ("Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 1: General principles for design and development", IDT).

Европейский стандарт разработан Техническим комитетом по стандартизации CEN/TC 144 "Тракторы и машины для сельскохозяйственных работ и лесоводства" Европейского комитета по стандартизации (CEN).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных европейских стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

6 Введен впервые

Введение

Настоящий стандарт реализует существенные требования безопасности Директивы 2006/42/ЕС, приведенные в приложении ZA.

EN 16590 устанавливает подход к проектированию и оценке процессов жизненного цикла систем, связанных с обеспечением безопасности, включая электрические, и/или электронные, и/или программируемые электронные системы (E/E/PES - электрические/ электронные/ программируемые электронные системы), устанавливаемые на тракторах, используемых в сельском и лесном хозяйстве, самоходных машинах, а также навесных, полунавесных и прицепных машинах, используемых в сельском хозяйстве. Настоящий стандарт также может применяться для коммунальных машин. В настоящем стандарте рассматриваются возможные опасности, вызванные функциональным поведением E/E/PES-систем, связанных с обеспечением безопасности, в отличие от опасностей, возникающих от самого E/E/PES-оборудования (например, поражение электрическим током, пожар, номинальный уровень эффективности E/E/PES-систем, предназначенных для обеспечения активной или пассивной безопасности).

Рассматриваемые элементы систем управления машин в основном предназначены для обеспечения выполнения критических функций систем управления, связанных с обеспечением безопасности (SRP/CS). Они могут включать аппаратные средства или программное обеспечение, могут быть отдельными или встроенными в систему управления, могут быть предназначены для выполнения только критических функций или могут являться частью рабочей функции.

В основном конструктор (а впоследствии и пользователь) будет рассматривать конструкцию и валидацию таких элементов SRP/CS как часть оценки риска. Целью является снижение риска, вызванного опасностями (или опасными ситуациями), которые могут возникнуть при использовании машины по назначению, путем применения различных защитных мер (как SRP/CS, так и не SRP/CS) для обеспечения безопасной эксплуатации.

EN 16590 рассматривает способность выполнения элементами систем управления, связанными с обеспечением безопасности, критических функций в прогнозируемых условиях в пяти уровнях эффективности защиты. Уровень эффективности защиты канала управления зависит от нескольких факторов, в том числе структуры системы (категории), механизма обнаружения отказов (степени диагностического охвата), надежности компонентов (среднее время наработки на опасный отказ, отказы по общей причине), процессов проектирования, режимов работы, условий окружающей среды и условий эксплуатации. Рассматриваются три типа отказов: системные, отказы по общей причине и случайные.

Для руководства в процессе проектирования и облегчения оценки достигнутого уровня эффективности защиты EN 16590 устанавливает подход, основанный на классификации структур с различными конструктивными элементами и определенным поведением в случае отказа.

Уровни эффективности защиты и категории могут применяться к системам управления всех видов мобильных машин - от простых систем (например, предохранительные клапаны) до сложных (например, системы с электронным управлением), а также к системам управления предохранительными устройствами (например, блокировочными устройствами, датчиками давления и другими).

EN 16590 применяет подход, основанный на определении рисков, в то время когда средства, предусмотренные для обеспечения требуемого уровня эффективности защиты для функций, связанных с обеспечением безопасности, будут приводиться в действие посредством связанных с обеспечением безопасности каналов систем E/E/PES. Приведенные требования применяются для всех процессов жизненного цикла систем E/E/PES (проектирования, валидации, производства, эксплуатации, технического обслуживания и вывода из эксплуатации) и обеспечивают требуемую функциональную безопасность E/E/PES-систем, которые связаны с уровнями эффективности защиты.

Существует следующая иерархическая структура стандартов, устанавливающих требования безопасности в области машиностроения:

а) стандарты типа А (основополагающие стандарты безопасности), содержащие основные концепции, принципы конструирования и общие аспекты, которые могут быть применены к машинам;

б) стандарты типа В (общие стандарты безопасности), рассматривающие один (или более) аспект безопасности или один (или более) тип устройств безопасности, применяющихся для широкого диапазона машин:

- стандарты типа В1 распространяются на специальные аспекты безопасности (например, безопасное расстояние, температура поверхности, шум);

- стандарты типа В2 распространяются на устройства безопасности (например, двуручные устройства управления, блокирующие устройства, регуляторы давления);

в) стандарты типа С (стандарты безопасности на машины), устанавливающие детальные требования безопасности для конкретных машин или групп машин в соответствии с областью применения стандарта.

Настоящий стандарт представляет собой стандарт типа В1 по ISO 12100.

Если требования настоящего стандарта отличаются от положений, установленных в стандартах типа С, то для машин, сконструированных и изготовленных в соответствии со стандартом типа С, его требования являются предпочтительными по отношению к требованиям настоящего стандарта.

Европейский стандарт EN 16590 под общим заголовком "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью" содержит следующие части:

- часть 1. Общие принципы проектирования и разработки;

- часть 2. Этап разработки концепции;

- часть 3. Разработка серийной продукции, аппаратные средства и программное обеспечение;

- часть 4. Производство, эксплуатация, модернизация и вспомогательные процессы.

1 Область применения

Настоящий стандарт устанавливает общие принципы проектирования и разработки элементов систем управления, связанных с обеспечением безопасности (SRP/CS), устанавливаемых на тракторах, используемых в сельском и лесном хозяйстве, самоходных машинах, а также навесных, полунавесных и прицепных машинах, используемых в сельском хозяйстве. Настоящий стандарт также может применяться для коммунальных машин (например, машин для уборки улиц). Настоящий стандарт определяет характеристики и категории SRP/CS, необходимые для выполнения ими функций, связанных с обеспечением безопасности.

Настоящий стандарт распространяется на элементы систем управления, связанные с обеспечением безопасности, электрических/ электронных/ программируемых электронных систем (E/E/PES), так как они относятся к мехатронным системам. Настоящий стандарт не указывает, какие функции, связанные с обеспечением безопасности, категории или уровни эффективности защиты должны использоваться при проектировании конкретных машин.

В стандартах, устанавливающих детальные требования безопасности для конкретных машин (стандартах типа С), могут указываться уровни эффективности защиты и/или категории или приводиться рекомендации для изготовителя по их определению на основе оценки риска.

Требования настоящего стандарта не распространяются на системы, не являющиеся E/E/PES-системами (например, гидравлические, механические или пневматические).

Примечание - Принципы проектирования машин, связанные с безопасностью, также установлены в EN ISO 12100.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

EN 16590-2:2014 Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 2: Concept phase (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции)

EN 16590-3:2014 Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 3: Series development, hardware and software (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 3. Серийная разработка, аппаратные средства и программное обеспечение)

EN 16590-4:2014 Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 4: Production, operation, modification and supporting processes (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 4. Производство, эксплуатация, модификация и вспомогательные процессы)

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 уровень эффективности защиты сельскохозяйственной техники; AgPL (agricultural performance level; AgPL): Уровень, используемый для определения способности элементов систем управления, связанных с обеспечением безопасности, осуществлять функцию безопасности в прогнозируемых условиях.

Примечание - Для целей настоящего стандарта эффективность защиты для каждой опасной ситуации делится на пять уровней: а, b, с, d и е, где функциональная безопасность, обеспечиваемая SRP/CS по уровню "а", относится к низкой и по уровню "е" - к высокой.

3.2 требуемый уровень эффективности защиты сельскохозяйственной техники; AgPL _r (required agricultural performance level; AgPL _r): Уровень эффективности защиты AgPL, необходимый для достижения требуемой функциональной безопасности для каждой функции, связанной с обеспечением безопасности.

3.3 категория (category): Классификация элементов систем управления, связанных с обеспечением безопасности, по их устойчивости к неисправностям и последующему поведению в неисправном состоянии, достигаемая структурным построением указанных элементов и/или определяемая их надежностью.

3.4 канал (channel): Последовательное соединение входных, логических и выходных элементов.

3.5 отказ по общей причине; CCF (common-cause failure; CCF): Отказы разных технических объектов (элементов), произошедшие в результате одного события и не являющиеся следствиями друг друга.

Примечание - Отказы по общей причине не следует путать с отказами общего характера (см. EN ISO 12100).

3.6 управляемость (controllability): Способность привлечения персонала к предотвращению причинения вреда здоровью в ситуации, когда такой риск возникает.

3.7 частота выявленных опасных отказов (dangerous detected failure rate ): Частота опасных отказов компонентов, для которых реализована функция обнаружения отказов.

3.8 опасный отказ (dangerous failure): Отказ, при котором SRP/CS теряют способность поддерживать требуемый уровень эффективности защиты, даже если функция, связанная с обеспечением безопасности, поддерживается другими (резервными) компонентами системы (вследствие снижения результирующего уровня эффективности защиты).

3.9 частота опасных отказов (dangerous failure rate ): Доля всех компонентов с опасным отказом в единицу времени.

3.10 диагностический охват; DC (diagnostic coverage: DC): Доля вероятности обнаружения опасных отказов по отношению к общему числу опасных отказов , определяемая по формуле

.

(1)

Примечание 1 - Диагностический охват может относиться ко всей функциональной системе с высоким риском или к ее части, например датчикам, и/или логической системе, и/или оконечным элементам.

Примечание 2 - Значение DC определяется в соответствии с таблицей 1.

Примечание 3 - Для SRP/CS, состоящих из нескольких частей, применяют среднее значение DC _avg (см. EN 16590-2:2014 (приложение С)).

Таблица 1 - Диагностический охват (DC)

Степень	Диапазон
Низкая	DC < 60 %
Средняя	60 % DC < 90 %
Высокая	90 % DC

3.11 интервал диагностического тестирования (diagnostic test interval): Интервал между онлайн-тестами, предназначенными для обнаружения отказов в системе, связанной с обеспечением безопасности, имеющей установленный диагностический охват.

3.12 архитектура E/E/PES-систем (E/E/PES-system architecture): Распределение критических функций между электронными блоками управления (ECU) и конфигурация аппаратных средств и программного обеспечения, включая коммуникации.

3.13 условия окружающей среды (environmental condition): Физические условия, в которых используется система.

3.14 воздействие (exposure): Продолжительность времени и частота, при которой человек находится в потенциально опасной ситуации.

3.15 отказ (failure): Нарушение способности технического объекта (элемента) выполнять требуемую функцию.

Примечание 1 - Отказы, не влияющие на процесс управления, не рассматриваются в настоящем стандарте.

Примечание 2 - После отказа технический объект (элемент) находится в неисправном состоянии.

Примечание 3 - Отказ - событие, неисправность - состояние.

Примечание 4 - Данный термин в соответствии с приведенным определением не применяется для технических объектов (элементов), состоящих только из средств программного обеспечения.

3.16 неисправность (failt): Состояние технического объекта (элемента), характеризуемое его неспособностью выполнять требуемую функцию, исключая такое состояние при проведении профилактического технического обслуживания или других плановых действий подобного рода или по причине отсутствия внешних ресурсов.

Примечание 1 - Неисправность часто является следствием отказа самого технического объекта (элемента), но может возникнуть и без предшествующего отказа.

Примечание 2 - Для целей настоящего стандарта неисправность рассматривается как случайная.

3.17 функция (function): Определенное поведение одного или нескольких электронных блоков управления.

3.18 функциональная концепция (functional concept): Базовые функции и взаимодействия, необходимые для достижения желаемого поведения.

Примечание - Разрабатывается на этапе разработки концепции жизненного цикла систем безопасности.

3.19 функциональное требование (functional requirement): Требование для обеспечения предполагаемой функции E/E/PES-системы.

3.20 функциональная безопасность (functional safety): Система, которая действует таким образом, что исключает неоправданный риск травмирования операторов или наблюдателей.

3.21 концепция функциональной безопасности (functional safety concept): Полный набор функций, связанных с обеспечением безопасности, и взаимодействий, необходимых для достижения желаемого поведения.

Примечание - Разрабатывается на этапе разработки концепции жизненного цикла систем безопасности.

3.22 функциональное требование безопасности (functional safety requirement): Требование для обеспечения функции, связанной с обеспечением безопасности E/E/PES-системы.

3.23 требование безопасности аппаратных средств (hardware safety requirement): Требование, которое устанавливается для аппаратных средств, связанных с обеспечением безопасности, и является элементом требования технической безопасности.

3.24 вред здоровью (harm): Физическое травмирование.

3.25 опасность (hazard): Потенциальный источник причинения вреда здоровью.

3.26 опасная ситуация (hazard situation): Обстоятельства, при которых человек подвергается опасности или опасностям, воздействие которых может иметь немедленные или долговременные последствия.

3.27 использование по назначению (intended use): Использование (машины) в соответствии с информацией, приведенной в руководстве по эксплуатации.

3.28 контроль (inspection): Систематическое использование соответствующего верифицированного метода для проверки качества продукции.

Примечание - При проведении контроля результат работы проверяется одним или несколькими экспертами, для того чтобы убедиться, что он соответствует установленным требованиям. Проведение контроля организуется и управляется назначенным руководителем. Исполнитель работы участвует в проведении контроля, но не может руководить этим процессом.

3.29 жизненный цикл (машины) (life of the machine; life cycle): Период времени, который начинается с разработки и заканчивается выводом из эксплуатации (машины).

3.30 возврат в исходное положение вручную (manual reset): Функция, свойственная элементам систем управления, связанным с обеспечением безопасности, необходимая для восстановления вручную одной или нескольких функций, связанных с обеспечением безопасности, до повторного пуска машины.

3.31 изготовитель (машины) (manufacturer; machine manufacturer): Изготовитель тракторов и машин для сельского и лесного хозяйства, самоходных, навесных, полунавесных и прицепных машин, используемых в сельском хозяйстве, а также коммунальных машин.

Примечание - Следует обратить внимание также на термин "поставщик" (см. 3.50).

3.32 среднее время наработки на опасный отказ; MTTF _d (mean time to dangerous failure; MTTF _d): Ожидаемое среднее время наработки до наступления опасного отказа.

Примечание 1 - В зависимости от степени продолжительности MTTF _d различают три диапазона - малый, средний и большой (см. таблицу 2).

Примечание 2 - Для целей настоящего стандарта MTTF _d необходимо рассчитывать для каждого канала SRP/CS отдельно (MTTF _dC).

Примечание 3 - MTTF _d - это величина обратная .

Таблица 2 - Среднее время наработки на опасный отказ

Обозначение	Диапазон
Малый	3 года < MTTF d < 10 лет
Средний	10 лет < MTTF d < 30 лет
Большой	MTTF d > 30 лет

3.33 текущий автоматический контроль (мониторинг) (monitoring: automatic monitoring): Автоматическая функция, которая обеспечивает инициирование защитной меры, если способность компонента или элемента выполнять свою функцию снижается или условия выполнения процесса изменились таким образом, что это может привести к возникновению опасностей.

3.34 приостановка (muting): Временное автоматическое прекращение выполнения функции, связанной с обеспечением безопасности, элементами системы управления, связанными с обеспечением безопасности.

3.35 программируемая электронная система; PES (programmable electronic system; PES): Система, предназначенная для управления, защиты или текущего автоматического контроля (мониторинга), которая использует одно или несколько программируемых электронных устройств.

Примечание - PES включает все элементы системы, такие как источники питания, датчики и другие устройства ввода, магистрали данных и другие каналы связи, устройства привода и другие устройства вывода.

3.36 защитная мера (protective measure): Мера, предназначенная для обеспечения функциональной безопасности, реализуемая конструктором (разработка безопасной конструкции, средств защиты, дополнительных защитных мер и информации для пользователя) и пользователем (осуществление безопасной эксплуатации, технический контроль, система допуска к работе, применение дополнительных защитных ограждений, использование средств индивидуальной защиты, обучение персонала).

3.37 прогнозируемое неправильное применение (reasonably foreseeable misuse): Использование машины способом, не предусмотренным конструктором, но который может быть результатом легкопредсказуемого поведения человека.

3.38 время отклика (response time): Максимальное время, которое может пройти между появлением ошибки и достижением безопасного состояния.

3.39 риск (risk): Сочетание вероятности причинения вреда здоровью и степени тяжести его последствий.

3.40 анализ риска (risk analysis): Изучение технических характеристик машины в части ограничений, идентификация опасностей и предварительная оценка степени риска.

3.41 оценка риска (risk assessment): Полный процесс, включающий анализ и оценку степени риска.

3.42 оценка степени риска (risk evaluation): Сделанное на основе анализа риска заключение о допустимости данного риска.

3.43 безопасное состояние (safe state): Режим работы системы с допустимым уровнем риска.

Пример - Предусмотренный режим работы, резервный режим работы или режимы отключения.

3.44 цель безопасности (safety goal): Описание мероприятий по предотвращению установленной опасности.

Примечание 1 - Это требование безопасности верхнего уровня, сформированное на основе анализа опасностей и оценки риска.

Примечание 2 - Для одного технического объекта (элемента) возможно наличие нескольких целей безопасности.

3.45 функция, связанная с обеспечением безопасности (safety-related function): Функция машины, сбой которой может привести к немедленному возрастанию риска.

3.46 элемент системы управления, связанный с обеспечением безопасности; SRP/CS (safety-related part of a control system; SRP/CS): Элемент или подсистема системы управления, которая реагирует на входные сигналы и вырабатывает выходные сигналы, связанные с обеспечением безопасности.

Примечание - Комбинированные элементы системы управления, связанные с обеспечением безопасности, начинают действовать в точке, где возникают сигналы, связанные с обеспечением безопасности (например, приводной кулачок или ролик путевого выключателя [переключателя]), заканчивают на выходе силовых элементов управления (например, главные контакты пускателя [контактора]) и включают системы текущего автоматического контроля (мониторинга).

3.47 степень тяжести последствий (severity): Мера оценки наиболее вероятного потенциального вреда здоровью человека, подвергающегося опасности.

3.48 уровень требований к программному обеспечению; SRL (software requirement level; SRL): Способность элементов, связанных с обеспечением безопасности, выполнять функцию, связанную с обеспечением безопасности, в прогнозируемых условиях.

Примечание - SRL подразделяется на четыре группы: SRL = В, 1, 2 и 3.

3.49 требование безопасности программного обеспечения (software safety requirement): Требование, которое устанавливается для программного обеспечения, связанного с обеспечением безопасности, и является элементом требования технической безопасности.

3.50 поставщик (supplier): Изготовитель и продавец новых тракторов и машин, в том числе коммунальных, или запасных частей к тракторам и машинам для сельского и лесного хозяйства, самоходным, навесным, полунавесным и прицепным машинам, используемым в сельском хозяйстве.

Примечание - Следует обратить внимание также на термин "изготовитель" (см. 3.31).

3.51 симметричный канал (symmetric channel): Цифровая комбинация одноканальной архитектуры MTTF _dC для дублирующей сдвоенной или резервной системы.

3.52 систематический отказ (systematic failure): Отказ, вызванный определенной причиной, который может быть устранен только путем изменения конструкции или процесса изготовления, последовательности операций, документации или других существенных факторов.

Примечание 1 - Внеплановое техническое обслуживание без внесения соответствующих изменений, как правило, не устраняет причину отказа.

Примечание 2 - Систематический отказ может быть вызван имитацией причины отказа.

Пример - Ошибки персонала, допущенные при определении требований безопасности, которые должны обеспечиваться при проектировании, изготовлении, установке, применении аппаратных средств или при разработке и реализации программного обеспечения.

3.53 концепция технической безопасности (technical safety concept): Полный набор требований технической безопасности, необходимых для реализации концепции функциональной безопасности и описания архитектуры системы.

Примечание - Эта часть спецификации системы разрабатывается на стадии проектирования системы.

3.54 требование технической безопасности (technical safety requirement): Требование, которое устанавливается для SRP/CS в рамках реализации установленной концепции технической безопасности.

3.55 контролируемый блок (unit of observation): Электрическая, электронная, программируемая электронная система или функция.

Примечание - Контролируемый блок может включать в себя функцию(и), связанную(ые) с обеспечением безопасности, распределенную(ые) среди нескольких систем.

3.56 прогон (walk-through): Систематическое использование неформального верифицированного метода для проверки качества продукции.

Примечание - При прогоне исполнитель работы предоставляет пошаговый отчет одному или несколькими экспертам. Целью прогона является создание общего понимания результатов работы и идентификация любых ошибок, дефектов, несоответствий или проблем, выявленных по результатам работы. Результаты прогона являются менее убедительными в сравнении с результатами контроля.

3.57 результат работы (work product): Конечный результат проектирования или разработки.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

AgPL - уровень эффективности защиты сельскохозяйственной техники;

AgPL _r - требуемый уровень эффективности защиты сельскохозяйственной техники;

CAD - автоматизированное проектирование;

Cat - категория аппаратных средств;

ССР - отказ по общей причине;

DC - диагностический охват;

DC _avg - средний диагностический охват;

ECU - электронный блок управления;

ЕТА - анализ дерева событий;

E/E/PES - электрические/ электронные/ программируемые электронные системы;

EUC - управляемое оборудование;

FMEA - анализ видов и последствий отказов;

FMECA - анализ видов и последствий критичности отказов;

FSM - менеджмент функциональной безопасности;

FTA - анализ дерева отказов;

HAZOP - исследование опасности и работоспособности;

HIL - программно-аппаратное моделирование (тестирование);

MTTF - среднее время наработки на отказ;

MTTF _d - среднее время наработки на опасный отказ;

MTTF _dC - среднее время наработки на опасный отказ для каждого канала;

PES - программируемая электронная система;

QM - показатели качества;

RAM - запоминающее устройство с произвольным доступом;

SOP - начало производства;

SRL - уровень требований к программному обеспечению;

SRP - элемент, связанный с обеспечением безопасности;

SRP/CS - элемент системы управления, связанный с обеспечением безопасности;

SRS - система, связанная с обеспечением безопасности;

ППЗУ - программируемое постоянно запоминающее устройство;

ЭМС - электромагнитная совместимость.

5 Менеджмент в течение всего жизненного цикла системы безопасности

5.1 Цели

Основной целью, приведенной в настоящем подразделе, является распределение ответственности и полномочий персонала, подразделений и организаций, ответственных за каждую стадию полного жизненного цикла системы безопасности или вид деятельности в пределах одной стадии жизненного цикла. Эта цель актуальна как для деятельности, необходимой для обеспечения требуемого уровня функциональной безопасности технического объекта (элемента), так и для деятельности, проводимой для его подтверждения. Еще одной целью является определение видов деятельности по менеджменту безопасности на всех стадиях жизненного цикла системы безопасности.

E/E/PES должны быть спроектированы и изготовлены таким образом, чтобы были полностью учтены принципы анализа и оценки риска и был применен итеративный (повторяющийся) алгоритм при проектировании элементов систем управления, связанных с обеспечением безопасности (см. рисунок 1).

Примечание - В настоящем стандарте рассматривается только оценка аспектов безопасности E/E/PES.

Рисунок 1 - Итеративный (повторяющийся) алгоритм при проектировании элементов систем управления, связанных с обеспечением безопасности

5.2 Общие положения

5.2.1 Введение в концепцию жизненного цикла системы безопасности

Жизненный цикл системы безопасности (см. рисунок 2) включает в себя наиболее важные для обеспечения безопасности виды деятельности, выполняемые на этапах разработки концепции, разработки серийной продукции и начала производства (SOP). Подробно эти виды деятельности описываются в EN 16590-2 и EN 16590-3. Планирование, координирование и верификация этих видов деятельности на всех стадиях жизненного цикла системы безопасности - главная задача менеджмента безопасности.

Примечание - Виды деятельности, выполняемые на этапах разработки концепции, разработки серийной продукции и начала производства, подробно описываются в EN 16590-2, EN 16590-3 и EN 16590-4.

------------------------------

^а_{Первая цифра в закрашенных прямоугольниках означает соответствующую часть EN 16590, вторая цифра, отделенная от первой наклонной чертой, - номер раздела указанного стандарта (например, обозначение "2/5" означает EN 16590-2:2014 (раздел 5)).}

^b_{Если не влияет на функции машины, можно переходить к EN 16590-3:2014 (раздел 5).}

^с_{Если влияет на функции машины, необходимо провести анализ опасностей и анализ риска в соответствии с EN 16590-2:2014 (раздел 6).}

------------------------------

Рисунок 2 - Жизненный цикл системы безопасности

5.2.2 Внешние меры функциональной безопасности

Это меры, определенные в описании системы, на которые не может влиять контролируемый блок. Внешняя функциональная безопасность основана на характеристиках вовлеченного персонала (например, физические параметры, язык), или ЭМС, или других свойствах окружающей среды. Эти параметры определены в описании системы. Внешняя функциональная безопасность может учитываться при проведении анализа риска.

Примечание 1 - Проверка эффективности внешней функциональной безопасности не рассматривается в настоящем стандарте в соответствии с его областью применения.

Примечание 2 - Другие применяемые технические средства, например механические и гидравлические, не рассматриваются в настоящем стандарте. Эти средства учитываются при проведении оценки функциональной безопасности. Верификация этих технических средств не рассматривается в настоящем стандарте в соответствии с его областью применения.

5.3 Необходимые предварительные условия

Необходимым предварительным условием для процессов проектирования и производства является наличие обоснованного плана обеспечения качества (например, по ISO/TS 16949) и общего (генерального) плана проекта.

5.4 Требования. Деятельность по менеджменту функциональной безопасности на всех стадиях жизненного цикла системы безопасности

5.4.1 Культура функциональной безопасности

Одной из задач руководства и персонала является создание такой культуры производства, в которой функциональной безопасности будет уделяться соответствующее внимание. Достигнуть этого можно, например:

- формулированием целей функциональной безопасности и доведением их до сведения персонала организации и

- пересмотром статуса процессов, направленных на обеспечение функциональной безопасности.

5.4.2 Непрерывное совершенствование

Руководство должно продвигать процессы, направленные на непрерывное совершенствование. Для этих целей могут использоваться следующие средства:

- разработка специальных процедур организации для выполнения требований EN 16590;

- обеспечение инструментами, шаблонами, базами данных и другими ресурсами, способствующими выполнению деятельности, связанной с обеспечением безопасности и

- получение обратной связи по элементам, связанным с обеспечением безопасности, использованным в проектах, и передача этих данных членам новых проектных команд.

5.4.3 Обучение и квалификация

Для выполнения задач, связанных с обеспечением жизненного цикла системы безопасности, необходим персонал, обладающий соответствующей квалификацией. Цель заключается в поддержании соответствующего уровня профессиональной квалификации в области:

- концепций технической безопасности;

- методологии и

- знаний процессов, связанных с обеспечением безопасности, и информации, относящейся к требованиям.

5.4.4 Менеджмент безопасности в процессе разработки

Целью является координирование всех аспектов, связанных с обеспечением безопасности, в процессе разработки между всеми участниками процесса: персоналом, подразделениями и/или поставщиками.

5.4.5 Установление ответственности за обеспечение безопасности

Планирование и выполнение деятельности, направленной на обеспечение функциональной безопасности в проектах, на которые распространяется действие EN 16590 в соответствии с его областью применения, - это основная задача менеджмента для ответственных лиц или организаций, ответственных за контролируемый блок.

Первоначально ответственность за обеспечение функциональной безопасности возлагается на руководителя проекта. Полномочия для решения задач, направленных на обеспечение безопасности, могут быть делегированы. Должен быть четко определен алгоритм взаимодействия и принятия решений в отношении реализации плана обеспечения безопасности и устранения факторов, препятствующих обеспечению безопасности.

При этом должно гарантироваться, что ответственное лицо имеет достаточную документально подтвержденную квалификацию и компетентность для решения поставленных перед ним задач. Требуемое обучение и опыт могут зависеть от AgPL и сложности контролируемого блока. Персонал, имеющий соответствующую квалификацию, также может выполнять несколько задач. В частности, это может быть реализовано при выполнении задач разработчиками, имеющими соответствующую квалификацию.

5.4.6 Установление полномочий для решения задач

Пример распределения полномочий для решения задач менеджмента функциональной безопасности приведен ниже.

Ответственность за решение задач менеджмента функциональной безопасности возлагается на руководителя, ответственного за безопасность продукции, или руководителя команды (группы) обеспечения безопасности, назначенных руководителем проекта.

Наличие системы менеджмента качества также является важным для выполнения деятельности по менеджменту функциональной безопасности. Задачи менеджмента функциональной безопасности направлены на быстрое и правильное получение результатов деятельности, связанной с обеспечением безопасности, на всех этапах процесса разработки. Полномочия для решения отдельных задач могут быть делегированы.

5.4.7 Планирование всех видов деятельности по менеджменту безопасности в процессе разработки

5.4.7.1 Общие положения

Все виды деятельности, связанной с обеспечением безопасности, на стадии разработки жизненного цикла системы безопасности должны быть спланированы и включать как минимум следующее:

- процедуры и стратегию обеспечения функциональной безопасности;

- обеспечение достаточной квалификации персонала и организационных полномочий при назначении и делегировании ответственности за деятельность по обеспечению безопасности;

- распределение ответственности за обеспечение безопасности между партнерами по разработке;

- обеспечение возможности внедрения вспомогательных процессов в рамках проекта;

- проведение анализа риска в соответствии с EN 16590-2:2014 (раздел 6);

- реализацию требований безопасности в контексте разработки видов деятельности в соответствии с EN 16590-2:2014 (раздел 7) и EN 16590-3:2014 (разделы 6 и 7);

- подтверждение от партнеров по разработке выполнения ими требований безопасности, предоставленное посредством оценок, анализа и аудитов;

- планирование верификации и валидации требований безопасности в соответствии с EN 16590-4:2014 (раздел 6);

- определение видов деятельности по подтверждению функциональной безопасности (аудит, анализ, оценка);

- включение деятельности, обеспечивающей безопасность проекта в целом, в систему менеджмента безопасности, определенную для этого проекта.

5.4.7.2 Формирование документации по обеспечению безопасности

Документация по обеспечению безопасности должна быть сформулирована таким образом, чтобы описанный в ней процесс был понятен прочитавшему. Хранение документации в соответствии с правилами хранения документации в организации.

Примечание - Это требование предполагает, что правила хранения информации в организации соответствуют требованиям национального законодательства.

5.4.7.3 План обеспечения безопасности

5.4.7.3.1 Цели

План обеспечения безопасности должен использоваться для систематического планирования и распределения ресурсов, необходимых для выполнения деятельности, связанной с обеспечением безопасности. Рассматриваемая область должна быть указана в описании системы и учитывать жизненный цикл в целом.

План обеспечения безопасности должен быть адаптирован к проекту. Некоторые виды деятельности будут излишними для конкретного проекта, или возникнет необходимость включения дополнительных видов деятельности.

План обеспечения безопасности должен быть оформлен руководителем, ответственным за безопасность продукции, и внедрен руководителем проекта.

Деятельность, связанная с обеспечением безопасности, должна быть включена в общие процессы планирования и распределения необходимых ресурсов проекта в целом.

5.4.7.3.2 Содержание плана обеспечения безопасности

План обеспечения безопасности должен включать все виды деятельности, установленные для жизненного цикла, вспомогательные процессы, деятельность по менеджменту и оценке. При необходимости может быть сделано более подробное разделение.

В плане обеспечения безопасности должна быть описана деятельность, связанная с обеспечением безопасности. Для каждого вида деятельности должны быть установлены следующие характеристики:

- цель(и);

- необходимые предварительные условия - необходимые результаты других видов деятельности, входные документы;

- ответственное лицо;

- необходимые ресурсы;

- продолжительность, предельный срок;

- документирование результатов.

5.4.7.3.3 Формат плана обеспечения безопасности

План обеспечения безопасности может быть выполнен как отдельный документ или являться неотъемлемой частью общего (генерального) плана проекта; в последнем случае виды деятельности, связанные с обеспечением безопасности, должны быть соответствующим образом обозначены.

План обеспечения безопасности может содержать ссылки на другие планы. В общем случае предпочтительно приводить ссылки вместо параллельного описания видов деятельности в нескольких документах.

Управление планом обеспечения безопасности осуществляется посредством менеджмента версий и изменений.

5.4.7.4 Коррекция видов деятельности в пределах процессов (до AgPL)

Характеристика всех видов деятельности всегда зависит от AgPL и плана обеспечения функциональной безопасности для каждого проекта.

Кроме этого, виды деятельности и целые стадии жизненного цикла, неприменимые для конкретного проекта, могут быть опущены с соответствующим обоснованием.

При составлении плана обеспечения безопасности следует уделить внимание адаптации конкретных характеристик всех видов деятельности к AgPL и обстоятельствам, влияющим на реализацию проекта.

Если отдельные виды деятельности опущены или предусмотрено их выполнение не в полном объеме, должно быть приведено четкое обоснование.

5.4.7.5 Верификация функциональной безопасности

Деятельность по обеспечению функциональной безопасности должна включать аудит безопасности, анализ безопасности и оценку безопасности, как установлено в таблице 3.

Таблица 3 - Верификационные мероприятия. Аудит безопасности, анализ безопасности и оценка безопасности

Верификационные мероприятия	Аудит	Анализ	Оценка
Объект	Реализация процессов, необходимых для обеспечения функциональной безопасности	Результаты конкретных видов деятельности, связанных с обеспечением безопасности (см. контрольные точки в таблице 4)	Контролируемый блок в целом, определенный на этапе "описание системы"
Объем и границы	Устанавливается аудитором	Планируется до проведения анализа	Объем - полная проверка всех процессов и технических мер, необходимых для обеспечения функциональной безопасности. Границы определяются экспертом
Выполнение в течение жизненного цикла	При реализации необходимых процессов и перед завершением каждого вида деятельности	После завершения каждого вида деятельности, связанного с обеспечением безопасности	Параллельно с разработкой или после ее завершения. Завершение до начала серийного производства
Ответственность	За полноту верификации процессов	За правильное проведение анализа	Принимает совместную ответственность за функциональную безопасность
Результат	Отчет по результатам аудита (может быть частью оценки)	Протокол проведения анализа (может быть частью оценки)	Заключение о функциональной безопасности контролируемого блока

5.5 Результаты работы

В течение всего жизненного цикла результатами деятельности по менеджменту являются:

- верификационные мероприятия - руководство по проведению аудита процессов при разработке серийной продукции;

- план обеспечения безопасности.

6 Оценка функциональной безопасности

6.1 Цели

Целью этого этапа является изучение и оценка функциональной безопасности, достигнутой контролируемым блоком и функцией, выполняемой в нем.

6.2 Общие положения

Оценку функциональной безопасности проводит организация, ответственная за функциональную безопасность (например, изготовитель машины или поставщик). Проведение такой оценки может быть также делегировано одному ответственному лицу. Оценка должна охватывать безопасность всех стадий жизненного цикла машины (система и концепция безопасности, проектирование, реализация, испытание для всех уровней интеграции, выпуск системы, производство, эксплуатация) для каждой организации, вовлеченной в разработку контролируемого блока. Вовлеченные организации должны предоставлять все необходимые для проведения оценки документы изготовителю машины/поставщику или ответственному лицу.

6.3 Необходимые предварительные условия

В проведении оценки безопасности должны участвовать как минимум следующие представители организации, ответственной за разработку:

- лицо, ответственное за систему;

- разработчик системы;

- эксперт(ы) по функциональной безопасности.

Результаты проведения оценки должны быть задокументированы. Хранение документации - в соответствии с правилами хранения документации, действующими у изготовителя, и соответствующими требованиями законодательства.

6.4 Требования

6.4.1 Положения по оценке функциональной безопасности

Положения по оценке функциональной безопасности заключаются в следующих требованиях.

a) Требования менеджмента к верификационным мероприятиям должны соответствовать 6.4.2.

b) Организация, ответственная за разработку, должна обеспечить соответствующий уровень поддержки при проведении оценки безопасности (достаточная подготовка и наличие достаточных человеческих ресурсов).

c) Для лица, проводящего оценку безопасности, должен быть обеспечен доступ ко всем сотрудникам, осуществляющим деятельность на протяжении жизненного цикла аппаратного или программного обеспечения в целом, а также ко всей необходимой информации и инструментам.

d) Оценка безопасности должна охватывать все стадии жизненного цикла системы безопасности машины (система и концепция безопасности, проектирование, реализация, испытание для всех уровней интеграции, выпуск системы, производство, эксплуатация) для каждого подразделения, вовлеченного в разработку контролируемого блока.

e) Если для разработки, реализации или испытания используются инструменты, их применение должно быть оценено и верифицировано.

f) Оценка безопасности может проводиться параллельно с разработкой или после ее завершения.

g) При проведении оценки безопасности должны учитываться следующие аспекты:

1) работа, выполненная со времени предыдущей оценки;

2) планирование/стратегия проведения последующих оценок;

3) рекомендации, выработанные в результате оценки безопасности, включая рекомендации по принятию, условному принятию и отклонению.

6.4.2 Верификация

При верификации применяются следующие требования.

Верификационные мероприятия должны быть включены в план обеспечения безопасности. Контролируемый блок, а также форма представления результата должны быть определены. Независимость выполняющих верификацию сотрудников должна быть документально подтверждена.

Планирование верификации должно осуществляться сотрудниками, которые проводят верификацию, и согласовываться с сотрудниками, ответственными за область, подлежащую верификации.

Результаты проведения верификации должны быть задокументированы. В частности, выдается заключение по принятию, условному принятию и отклонению. Нерешенные вопросы должны быть задокументированы, ответственные лица - назначены, решение - утверждено.

Если в контролируемый блок были внесены изменения после завершения анализов и оценок, то анализы или оценки должны быть проведены повторно или скорректированы.

Анализы, аудиты или оценки выполняются с учетом AgPL. Должны предусматриваться следующие виды деятельности:

a) для AgPL = а - анализ опасностей и анализ риска;

b) дополнительно для AgPL = b:

- требования безопасности, уровень детализации функций, связанных с обеспечением безопасности;

- анализ безопасности - система FMEA, компонент FMEA;

c) дополнительно для AgPL = с:

- план обеспечения безопасности;

- количественные анализы безопасности;

- испытания на безопасность и объем испытаний - план валидации и верификации;

d) дополнительно для AgPL = d:

- требования безопасности - SRS;

- анализ безопасности, например FTA, FMEA;

- испытания на безопасность и объем испытаний - применяемые испытания систем, связанных с обеспечением безопасности (SRS);

- аудит безопасности;

- оценка функциональной безопасности;

e) дополнительно для AgPL = е:

- анализ безопасности, использующий такие аналитический методы, как FTA и FMEA, с учетом механизмов CCF;

- испытания на безопасность и объем испытаний - анализ испытаний (для определения, все ли испытания включены).

Степень верификации зависит от уровня AgPL (см. таблицу 4).

Таблица 4 - Степень верификации

Степень верификации	AgPL = а	AgPL = b	AgPL = с	AgPL = d	AgPL = e
Анализ результатов анализа опасностей и оценки риска	U2 а)	U2	U2	U3	U3
Анализ плана обеспечения безопасности независимо от разработчика плана	-	-	U1	U2	U3
Анализ требований безопасности независимо от разработчика и исполнителя требований безопасности	-	U1	U1	U1	U1
Анализ плана V&V (верификации и валидации) независимо от разработчика плана	-	-	U1	U2	U2
Анализ результатов анализа безопасности (FMEA, FTA) независимо от проводившего анализ, независимо от разработчика контрольного блока	-	U1	U1	U1 U2	U1 U36
Анализ испытаний на безопасность и исследований независимо от планирования и проведения испытаний	-	-	U1	U1	U1
Анализ документации по обеспечению безопасности независимо от разработчика плана	-	-	U1	U2	U3
Аудит безопасности независимо от работающих непосредственно с процессами, требуемыми для обеспечения функциональной безопасности	-	-	-	U2	U3
Оценка плана обеспечения безопасности	-	-	-	U2	U3
"-" означает, что требования по верификации отсутствуют. Верификационные мероприятия, которые должны быть выполнены, указаны в 6.4.2; U1 - другое лицо; U2 - другая команда (другой непосредственный руководитель); U3 - другое подразделение или третья сторона (независимые от подразделения-разработчика, например с независимым менеджментом, с независимыми ресурсами, независимые от ответственности за выпуск, независимая организация). а) Независимый анализ необходим, особенно в ситуациях, оцененных как СО или SO (см. EN 16590-2).

6.5 Результаты работы

Результатами деятельности по оценке функциональной безопасности, документируемыми по результатам верификационных мероприятий, являются:

- принятие;

- условное принятие;

- отклонение;

- нерешенные вопросы;

- ответственные лица.

7 Деятельность по менеджменту безопасности после начала производства (SOP)

7.1 Цели

Целью данной стадии является распределение ответственности и полномочий персонала, подразделений и организаций, ответственных за функциональную безопасность после SOP. Эта цель актуальна как для общей деятельности, необходимой для обеспечения требуемого уровня функциональной безопасности технического объекта (элемента), так и для деятельности, проводимой для его подтверждения.

7.2 Общие положения

См. раздел 5.

7.3 Необходимые предварительные условия

Изготовитель должен внедрить систему менеджмента качества.

7.4 Требования

7.4.1 Менеджмент производства и процедуры модификации

На стадиях жизненного цикла, следующих за SOP, должны приниматься организационные меры для обеспечения функциональной безопасности всех производимых технических объектов (элементов) и ее поддержания в течение срока службы машины. Технические требования для обеспечения и поддержания функциональной безопасности всех производимых технических объектов (элементов) в течение срока службы машины в общем случае устанавливаются при разработке контролируемого блока и могут быть модифицированы в соответствии с процессом модификации.

7.4.2 Задачи подготовки и организации производства и производственного контроля

Выполнение требований при производстве/установке/регулировании и обучении производственного персонала должно учитываться и контролироваться. Кроме того, при разработке серийной продукции должно проверяться соответствие требованиям безопасности и документации.

7.4.3 Задачи по безопасной эксплуатации машины и выводу из эксплуатации

Должны быть выполнены следующие задачи:

- необходимо разработать и включить в руководство по эксплуатации специальную информацию и предупреждения;

- необходимо указать требования к техническому обслуживанию и персоналу, выполняющему техническое обслуживание, и контролировать их выполнение;

- следует обеспечить обратную связь по обнаруженным отказам;

- необходимо указать требования безопасности при выводе из эксплуатации (см. EN 16590-4:2014, раздел 9);

- в системе менеджмента качества необходимо рассмотреть возможность присоединения модулей к V-модели (см. EN 16590-3:2014 (рисунок 1));

- для каждого этапа V-модели следует определить верификационное мероприятие;

- необходимо рассмотреть возможность корректировки существующей V-модели в ходе разработки проекта.

7.5 Результаты работы

Результатами деятельности по менеджменту безопасности после SOP являются специальная информация и предупреждения, приводимые в руководстве по эксплуатации.

8 Производство и установка систем, связанных с обеспечением безопасности

8.1 Цели

Целью данной стадии является разработка плана производства и установки SRS. Еще одной целью является поддержание требуемой функциональной безопасности в процессе производства соответствующим изготовителем продукции или лицом/организацией, ответственными за этот процесс (изготовителем машины, поставщиком, субпоставщиком и т.д.).

8.2 Общие положения

Данная стадия определяет этапы (производственные шаги), необходимые для поддержания на соответствующем уровне функциональной безопасности в процессе производства, включая планирование и проверку характеристик, связанных с обеспечением безопасности в процессе производства.

8.3 Необходимые предварительные условия

Должна быть доступна следующая информация:

- об особенностях сборки - документация на элементы или функции, на которые может повлиять сборка;

- об особенностях проведения испытаний и о критериях - документы, связанные с процедурами проведения испытаний и критериями, по которым будут проверяться функции, связанные с обеспечением безопасности;

- о выпуске продукции - документы, оформляемые по завершении производства, испытаний и установки;

- о текущем автоматическом контроле (мониторинге) продукции - требуемые характеристики, связанные с обеспечением безопасности, и обеспечение сохранения характеристик, связанных с обеспечением безопасности, компонентов в соответствии с их спецификацией в процессе производства машины.

8.4 Требования

8.4.1 Производственный план

Производственный план должен быть составлен с учетом инструкций по сборке и включать следующую информацию:

- идентификацию компонентов, связанных с обеспечением безопасности, и характеристик;

- последовательность и методы реализации этапов (производственных шагов);

- оборудование/инструменты.

8.4.2 План испытаний

План испытаний должен быть составлен с учетом инструкций по испытаниям и включать следующую информацию:

- идентификацию компонентов, связанных с обеспечением безопасности, и характеристик;

- последовательность и методы реализации этапов (испытательных шагов);

- испытательное оборудование/инструменты, критерии испытаний.

8.4.3 Производство и испытания

Производство и испытания осуществляются персоналом, имеющим соответствующую квалификацию, в соответствии с производственным планом и планом испытаний.

8.4.4 Технические возможности выполнения процесса

Технические возможности выполнения процесса должны быть обеспечены серийными промышленными средствами. Оборудование/инструменты и испытательное оборудование, обеспечивающие выполнение процессов, также должны соответствовать типовой производственной практике. Испытательное оборудование должно пройти соответствующий процесс контроля испытательного оборудования.

8.4.5 Документация

Результаты испытаний, проведенных в соответствии с планом испытаний, должны быть задокументированы. Документация по испытаниям должна включать следующую минимальную информацию: дату проведения испытаний, лицо, проводившее испытание, персональные идентификационные данные элемента и результаты испытаний, включая информацию обо всех наблюдаемых отклонениях от ожидаемого поведения.

8.4.6 Несоблюдение

Должна быть предусмотрена процедура для случая несоблюдения критерия испытания. Повторение работ возможно только при подтверждении процессом управления.

8.4.7 Возможность отслеживания

Возможность отслеживания заданной конфигурации элементов, связанных с обеспечением безопасности, в продукции должна сохраняться на протяжении всего производства.

8.4.8 Условия хранения и транспортирования

При определении условий хранения и подготовки к транспортированию продукции должны учитываться критерии, связанные с обеспечением безопасности (см. EN 16590-4:2014 (пункт 9.4.6)).

8.4.9 Модификация

При модификации продукции посредством модернизации производства для определения стадии жизненного цикла, к которой следует вернуться, и этапа (производственного шага), который следует повторить, применяется анализ воздействия (влияния) (см. EN 16590-4:2014 (раздел 10)).

Примечание - При модернизации процесса без модификации продукции см. EN 16590-4:2014 (раздел 8).

8.5 Результаты работы

Результатами производства и установки систем, связанных с обеспечением безопасности, являются:

- документация, описывающая этапы (производственные шаги), связанные с обеспечением безопасности (производственный план);

- критерии испытаний и регулирования (связанные с обеспечением безопасности);

- документация по несоблюдению критериев и

- возможности отслеживания критериев, связанных с обеспечением безопасности, в продукции.

Библиография

[1]	ISO 3600:1996	Tractors, machinery for agriculture and forestry, powered lawn and garden equipment - Operator's manuals - Content and presentation (Тракторы, машины для сельскохозяйственных работ и лесоводства, механизированное газонное и садовое оборудование. Руководство по эксплуатации. Содержание и форма представления)
[2]	EN ISO 9001:2008	Quality management systems - Requirements (ISO 9001:2008) (Системы менеджмента качества. Требования)
[3]	EN ISO 12100	Safety of machinery - General principles for design - Risk assessment and risk reduction (ISO 12100) (Безопасность машин. Общие принципы конструирования. Оценка рисков и снижение рисков)
[4]	ISO/TS 16949:2009	Quality management systems - Particular requirements for the application of ISO 9001:2008 for automotive production and relevant service part organizations (Системы менеджмента качества. Частные требования по применению ISO 9001:2008 для производства автомобилей и запчастей к ним)
[5]	EN 61000-4-1	Electromagnetic compatibility (EMC) - Part 4-1: Testing and measurement techniques - Overview of IEC 61000-4 series (IEC 61000-4-1) (Электромагнитная совместимость (EMC). Часть 4-1. Методы испытаний и измерений. Обзор стандартов серии IEC 61000-4)
[6]	EN 61496-1	Safety of machinery - Electro-sensitive protective equipment - Part 1: General requirements and tests (IEC 61496-1) (Безопасность машин. Электрочувствительные защитные устройства. Часть 1. Общие требования и испытания)
[7]	HSE Guidelines on Programmable Electronic Systems in Safety-related Applications, Part 1 (ISBN 011 883906 6) and Part 2 (ISBN 0 11 883906 3)

Ключевые слова: менеджмент, функциональная безопасность, элементы системы управления, связанные с безопасностью, обеспечение безопасности, программируемые электронные системы, функции, связанные с обеспечением безопасности, общие принципы, проектирование.