Межгосударственный стандарт ГОСТ EN 16590-2-2018
"Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции"
(введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 августа 2021 г. N 745-ст)
Tractors and machinery for agriculture and forestry. Safety-related parts of control system. Part 2. Concept phase
УДК 629.36.014.2.01(083.74)(476)
МКС 35.240.99;
65.060.01
Дата введения - 1 декабря 2021 г.
Введен впервые
Предисловие
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 Подготовлен Научно-производственным республиканским унитарным предприятием "Белорусский государственный институт стандартизации и сертификации" (БелГИСС) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 Внесен Государственным комитетом по стандартизации Республики Беларусь
3 Принят Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 27 июля 2018 г. N 110-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 |
Код страны по МК (ИСО 3166) 004-97 |
Сокращенное наименование национального органа по стандартизации |
Армения |
AM |
ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения |
Беларусь |
BY |
Госстандарт Республики Беларусь |
Казахстан |
KZ |
Госстандарт Республики Казахстан |
Киргизия |
KG |
Кыргызстандарт |
Россия |
RU |
Росстандарт |
Таджикистан |
TJ |
Таджикстандарт |
Узбекистан |
UZ |
Узстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 20 августа 2021 г. N 745-ст межгосударственный стандарт ГОСТ EN 16590-2-2018 введен в действие в качестве национального стандарта Российской Федерации с 1 декабря 2021 г.
5 Настоящий стандарт идентичен европейскому стандарту EN 16590-2:2014 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции" ("Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 2: Concept phases, IDT).
Европейский стандарт разработан Техническим комитетом по стандартизации CEN/TC 144 "Тракторы и машины для сельскохозяйственных работ и лесоводства" Европейского комитета по стандартизации (CEN).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных европейских стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 Введен впервые
Введение
Настоящий стандарт реализует существенные требования безопасности Директивы 2006/42/ЕС, приведенные в приложении ZA.
EN 16590 устанавливает подход к проектированию и оценке процессов жизненного цикла систем, связанных с обеспечением безопасности, включая электрические, и/или электронные, и/или программируемые электронные системы (E/E/PES - электрические/ электронные/ программируемые электронные системы), устанавливаемые на тракторах, используемых в сельском и лесном хозяйстве, самоходных машинах, а также навесных, полунавесных и прицепных машинах, используемых в сельском хозяйстве. Настоящий стандарт также может применяться для коммунальных машин. В настоящем стандарте рассматриваются возможные опасности, вызванные функциональным поведением E/E/PES-систем, связанных с обеспечением безопасности, в отличие от опасностей, возникающих от самого E/E/PES-оборудования (например, поражение электрическим током, пожар, номинальный уровень эффективности E/E/PES-систем, предназначенных для обеспечения активной или пассивной безопасности).
Рассматриваемые элементы систем управления машин в основном предназначены для обеспечения выполнения критических функций систем управления, связанных с обеспечением безопасности (SRP/CS). Они могут включать аппаратные средства или программное обеспечение, могут быть отдельными или встроенными в систему управления, могут быть предназначены для выполнения только критических функций или могут являться частью рабочей функции.
В основном конструктор (а впоследствии и пользователь) будет рассматривать конструкцию и валидацию таких элементов SRP/CS как часть оценки риска. Целью является снижение риска, вызванного опасностями (или опасными ситуациями), которые могут возникнуть при использовании машины по назначению, путем применения различных защитных мер (как SRP/CS, так и не SRP/CS) для обеспечения безопасной эксплуатации.
EN 16590 рассматривает способность выполнения элементами систем управления, связанными с обеспечением безопасности, критических функций в прогнозируемых условиях в пяти уровнях эффективности защиты. Уровень эффективности защиты канала управления зависит от нескольких факторов, в том числе структуры системы (категории), механизма обнаружения отказов (степени диагностического охвата), надежности компонентов (среднее время наработки на опасный отказ, отказы по общей причине), процессов проектирования, режимов работы, условий окружающей среды и условий эксплуатации. Рассматриваются три типа отказов: системные, отказы по общей причине и случайные.
Для руководства в процессе проектирования и облегчения оценки достигнутого уровня эффективности защиты EN 16590 устанавливает подход, основанный на классификации структур с различными конструктивными элементами и определенным поведением в случае отказа.
Уровни эффективности защиты и категории могут применяться к системам управления всех видов мобильных машин - от простых систем (например, предохранительные клапаны) до сложных (например, системы с электронным управлением), а также к системам управления предохранительными устройствами (например, блокировочными устройствами, датчиками давления и другими).
EN 16590 применяет подход, основанный на определении рисков, в то время когда средства, предусмотренные для обеспечения требуемого уровня эффективности защиты для функций, связанных с обеспечением безопасности, будут приводиться в действие посредством связанных с обеспечением безопасности каналов систем E/E/PES. Приведенные требования применяются для всех процессов жизненного цикла систем E/E/PES (проектирования, валидации, производства, эксплуатации, технического обслуживания и вывода из эксплуатации) и обеспечивают требуемую функциональную безопасность E/E/PES-систем, которые связаны с уровнями эффективности защиты.
Существует следующая иерархическая структура стандартов, устанавливающих требования безопасности в области машиностроения:
а) стандарты типа А (основополагающие стандарты безопасности), содержащие основные концепции, принципы конструирования и общие аспекты, которые могут быть применены к машинам;
б) стандарты типа В (общие стандарты безопасности), рассматривающие один (или более) аспект безопасности или один (или более) тип устройств безопасности, применяющихся для широкого диапазона машин:
- стандарты типа В1 распространяются на специальные аспекты безопасности (например, безопасное расстояние, температура поверхности, шум);
- стандарты типа В2 распространяются на устройства безопасности (например, двуручные устройства управления, блокирующие устройства, регуляторы давления);
в) стандарты типа С (стандарты безопасности на машины), устанавливающие детальные требования безопасности для конкретных машин или групп машин в соответствии с областью применения стандарта.
Настоящий стандарт представляет собой стандарт типа В1 по ISO 12100.
Если требования настоящего стандарта отличаются от положений, установленных в стандартах типа С, то для машин, сконструированных и изготовленных в соответствии со стандартом типа С, его требования являются предпочтительными по отношению к требованиям настоящего стандарта.
Европейский стандарт EN 16590 под общим заголовком "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью" содержит следующие части:
- часть 1. Общие принципы проектирования и разработки;
- часть 2. Этап разработки концепции;
- часть 3. Разработка серийной продукции, аппаратные средства и программное обеспечение;
- часть 4. Производство, эксплуатация, модернизация и вспомогательные процессы.
1 Область применения
Настоящий стандарт определяет этап разработки концепции, реализуемый при разработке элементов систем управления, связанных с обеспечением безопасности (SRP/CS), устанавливаемых на тракторах, используемых в сельском и лесном хозяйстве, самоходных машинах, а также навесных, полунавесных и прицепных машинах, используемых в сельском хозяйстве. Настоящий стандарт также может применяться для коммунальных машин (например, машин для уборки улиц). Настоящий стандарт определяет характеристики и категории SRP/CS, необходимые для выполнения ими функций, связанных с обеспечением безопасности.
Настоящий стандарт распространяется на элементы систем управления, связанные с обеспечением безопасности, электрических/ электронных/ программируемых электронных систем (E/E/PES), так как они относятся к мехатронным системам. Настоящий стандарт не указывает, какие функции, связанные с обеспечением безопасности, категории или уровни эффективности защиты должны использоваться при проектировании конкретных машин.
В стандартах, устанавливающих детальные требования безопасности для конкретных машин (стандартах типа С), могут указываться уровни эффективности защиты и/или категории или приводиться рекомендации для изготовителя по их определению на основе оценки риска.
Требования настоящего стандарта не распространяются на системы, не являющиеся E/E/PES-системами (например, гидравлические, механические или пневматические).
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
EN 16590-1:2014, Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 1: General principles for design and development (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы проектирования и разработки)
EN 16590-3:2014, Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 3: Series development, hardware and software (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 3. Серийная разработка, аппаратные средства и программное обеспечение)
3 Термины и определения
В настоящем стандарте применены термины по EN 16590-1:2014.
4 Сокращения
В настоящем стандарте применены следующие сокращения:
ADC - аналого-цифровой преобразователь;
AgPL - уровень эффективности защиты сельскохозяйственной техники;
AgPL r - требуемый уровень эффективности защиты сельскохозяйственной техники;
CAD - автоматизированное проектирование;
Cat - категория аппаратных средств;
CCF - отказ по общей причине;
CRC - циклическая проверка избыточности;
DC - диагностический охват;
DC avg - средний диагностический охват;
ECU - электронный блок управления;
ЕТА - анализ дерева событий;
E/E/PES - электрические/ электронные/ программируемые электронные системы;
EUC - управляемое оборудование;
FMEA - анализ видов и последствий отказов;
FMECA - анализ видов и последствий критичности отказов;
FSM - менеджмент функциональной безопасности;
FTA - анализ дерева отказов;
HAZOP - исследование опасности и работоспособности;
HIL - программно-аппаратное моделирование (тестирование);
MTTF - среднее время наработки на отказ;
MTTF d - среднее время наработки на опасный отказ;
MTTF dC - среднее время наработки на опасный отказ для каждого канала;
PES - программируемая электронная система;
QM - показатели качества;
RAM - запоминающее устройство с произвольным доступом;
SOP - начало производства;
SRL - уровень требований к программному обеспечению;
SRP - элемент, связанный с обеспечением безопасности;
SRP/CS - элемент системы управления, связанный с обеспечением безопасности;
SRS - система, связанная с обеспечением безопасности;
ППЗУ - программируемое постоянно запоминающее устройство;
ЭМС - электромагнитная совместимость.
5 Концепция. Контролируемый блок
5.1 Цели
Цель этапа разработки концепции заключается в определении функций и задач контролируемого блока для последующего успешного выполнения всех задач, определенных для обеспечения жизненного цикла системы безопасности (см. EN 16590-1:2014 (рисунок 2)). Для определения требуемого уровня защиты на основе выбранной концепции безопасности должен использоваться соответствующий метод. Соответствующие методы включают анализ риска (описанный ниже), требования других стандартов, законодательные требования и данные, основанные на практическом опыте испытательной лаборатории (центра), или их комбинацию.
5.2 Необходимые предварительные условия
Необходимым предварительным условием является наличие описания контролируемого блока, его интерфейсов, уже известных требований безопасности и надежности и области применения.
5.3 Требования
5.3.1 Контролируемый блок и условия окружающей среды
Концепции, направленные на обеспечение безопасности, должны включать следующее:
a) объем, контекст и назначение контролируемого блока;
b) функциональные требования для контролируемого блока;
c) другие требования, относящиеся к контролируемому блоку и условиям окружающей среды, включая:
- технические и физические требования, например, в отношении эксплуатационных и экологических условий, условий окружающей среды и ограничений; и
- обязательные требования, включая требования законодательства, связанные с обеспечением безопасности, регламентов и стандартов (национальных или международных);
d) известные заранее требования безопасности и надежности и уровни безопасности и надежности, достигнутые аналогичными или связанными контролируемыми блоками.
5.3.2 Ограничения контролируемого блока и его интерфейсы с другими контролируемыми блоками
Для улучшения понимания взаимодействия контролируемого блока и условий окружающей его среды при эксплуатации должна быть учтена следующая информация:
- ограничения контролируемого блока;
- его интерфейсы и взаимодействия с другими контролируемыми блоками и компонентами;
- требования, касающиеся других контролируемых блоков;
- отображение и распределение соответствующих функций между вовлеченными контролируемыми блоками.
5.3.3 Источники стрессовых нагрузок
Должны быть определены источники стрессовых нагрузок, которые могут повлиять на безопасность или надежность контролируемого блока, включая следующие:
- взаимодействие между разными контролируемыми блоками;
- опасности физической или химической природы (энергоемкость, токсичность, взрывоопасность, коррозионная активность, химическая активность, воспламеняемость и т.д.);
- другие внешние события (явления) (температура, удар, ЭМС и т.д.);
- оправданные прогнозируемые ошибки в работе человека;
- опасности, присущие контролируемому блоку, и события (явления), приводящие к отказу (например, при сборке или техническом обслуживании).
5.3.4 Вспомогательные действия
В дополнение к действиям, описанным в 5.3.2, должны быть определены следующие параметры или выполнены следующие действия:
- определяют, является ли контролируемый блок новой разработкой или модификацией, адаптированным или измененным по отношению к существующему контролируемому блоку, и в случае модификации проводят анализ воздействия (влияния) для соответствующей корректировки жизненного цикла системы безопасности;
- подготавливают план и спецификацию для валидации требований, относящихся к контролируемому блоку, определенных по 5.3.1;
- определяют менеджмент проекта для соответствующих стадий жизненного цикла;
- определяют соответствующие входные данные для оценки надежности;
- применяют соответствующие процедуры, инструменты и технологии;
- привлекают квалифицированный персонал.
5.4 Результаты работы
Результатами деятельности по разработке концепции/определения контролируемого блока являются:
a) контролируемый блок и условия окружающей среды;
b) ограничения контролируемого блока и его интерфейсы с другими контролируемыми блоками;
c) источники стрессовых нагрузок;
d) вспомогательные действия.
6 Анализ риска и описание метода
6.1 Цели
Риск определяется (см. EN 16590-1:2014 (статья 3.39)) как сочетание вероятности причинения вреда здоровью и степени тяжести его последствий.
При рассмотрении частоты причинения вреда здоровью, как правило, учитывается и вероятность попадания в опасную ситуацию.
При рассмотрении системы обычно учитывается возможность того, что во многих случаях оператор среагирует для предотвращения причинения вреда здоровью.
Процедура, описанная в 6.2-6.4, представляет собой руководство по определению AgPL.
6.2 Необходимые предварительные условия
Для этого этапа необходимые предварительные условия отсутствуют.
6.3 Требования
6.3.1 Процедуры для подготовки к проведению анализа риска
Анализ рисков должен учитывать всю область применения. Если на основании решений, принятых позднее в жизненном цикле системы безопасности, область применения была изменена, должен быть проведен новый анализ риска.
Архитектура SRP/CS не должна рассматриваться как часть анализа рисков.
6.3.2 Задачи анализа риска
Должны быть рассмотрены эксплуатационные условия, в которых контролируемый блок может стать причиной возникновения опасности при правильном (корректном) использовании (включая оправданные прогнозируемые ошибки в работе человека и часть отказов).
6.3.3 Участники анализа риска
В проведение анализа риска должно быть вовлечено несколько представителей различных подразделений (например, представители подразделений разработки электрических или электронных систем, испытаний или валидации, проектирования машин или гидравлики, обслуживания) или приглашенные сторонние консультанты (например, эксперты по техническому контролю).
6.3.4 Оценка и классификация потенциального вреда здоровью
Потенциально вредные воздействия могут быть обнаружены путем рассмотрения возможных сбоев и систематических отказов в соответствующих эксплуатационных условиях. Потенциальная степень тяжести последствий причинения вреда здоровью должна быть описана с максимальной возможной точностью для каждого соответствующего сценария.
Для описания вреда здоровью должна использоваться определенная система категорирования. С этой целью классификация тяжести последствий причинения вреда здоровью предусматривает разделение на четыре категории: S0, S1, S2 и S3 (см. таблицу 1).
При подробном описании вреда здоровью должен учитываться оператор задействованной машины и другие люди (например, вспомогательный персонал, другие операторы машин, наблюдатели и т.д.).
При исследовании риска для функций безопасности особое внимание уделяется причинам травмирования людей. Если в процессе анализа установлено, что потенциальный ущерб может быть причинен только имуществу и не приводит к возникновению потенциального вреда здоровью человека, функция, предусмотренная для такого случая, не может классифицироваться как функция, связанная с обеспечением безопасности. Для такого случая предусмотрено введение в классификацию тяжести последствий причинения вреда здоровью категории SO. Для функций, которым в отношении причинения вреда здоровью присвоен класс S0, не требуется проведение предварительной оценки риска.
Таблица 1 - Примеры описаний травм
S0 |
S1 |
S2 |
S3 |
Никаких существенных травм, требуется только первая помощь |
Легкие и умеренные травмы, требуется оказание медицинской помощи, впоследствии полное выздоровление |
Тяжелые и опасные для жизни травмы (низкая смертность), впоследствии постоянная частичная потеря трудоспособности |
Опасные для жизни травмы (высокая смертность), впоследствии серьезное ограничение физических возможностей (инвалидность) |
6.3.5 Оценка воздействия в наблюдаемой ситуации
Анализ риска отражает воздействия возможных отказов в конкретных рабочих условиях и условиях эксплуатации. Наблюдаемые ситуации ранжируются в диапазоне от ежедневной рутинной деятельности до экстремальных, редких ситуаций. Для определения разных по частоте и продолжительности воздействия категорий используется переменная "Е". Используются пять категорий (см. таблицу 2), обозначенных Е0, Е1, Е2, Е3 и Е4, где "Е" позволяет оценить, как часто и как долго оператор или наблюдатель подвергается опасности, в ситуации, когда отказ может привести к травмированию оператора или наблюдателя. Воздействие в данной ситуации определяется частотой и продолжительностью, и наивысшая из полученных оценок должна использоваться при определении AgPL r.
Примечание - Опасность может представлять сочетание условий (например, окружающей среды и/или эксплуатации) машины.
Таблица 2 - Воздействие опасных событий (явлений)
Описание |
Е0 |
Е1 |
Е2 |
Е3 |
Е4 |
Определение частоты |
Маловероятно (теоретически возможно; один раз за срок службы) |
Редкое событие (явление) (реже чем раз в год) |
Иногда (чаще чем раз в год) |
Часто (чаще чем раз в месяц) |
Очень часто (почти каждая операция) |
Определение продолжительности |
< 0,01 % |
0,01 % < 0,1 % |
0,1 % < 1 % |
1 % < 10 % |
> 10 % |
t exp - время воздействия; t av ор - среднее время работы. |
6.3.6 Оценка возможности избежать причинения вреда здоровью
Оценка возможности избежать причинения вреда здоровью включает в себя оценку того, может ли обычный оператор машины (прошедший соответствующее обучение, если это необходимо на практике) управлять (контролировать) опасной ситуацией, которая может возникнуть, или избежать ее, или такая ситуация полностью неуправляема. Наблюдатель может избежать опасной ситуации самостоятельно. В свою очередь номинальная возможность избежать причинения вреда здоровью может быть классифицирована по четырем установленным группам. Полученная оценка возможности избежать причинения вреда здоровью предполагает только функцию без дополнительных защитных мер (избежание причинения вреда здоровью вне технической системы). Классификация по С0, С1, С2 и С3 описывает следующие состояния: "легкая управляемость", "простая управляемость", "обычная управляемость" и "управляемость отсутствует" (см. таблицу 3).
Таблица 3 - Возможность избежать причинения вреда здоровью
С0 |
С1 |
С2 |
С3 |
Легкая управляемость. Оператор или наблюдатель управляют ситуацией и избегают причинения вреда здоровью |
Простая управляемость. Более 99 % людей управляют ситуацией. В более чем 99 % случаев ситуация не приведет к причинению вреда здоровью |
Обычная управляемость. Более 90 % людей управляют ситуацией. В более чем 90 % случаев ситуация не приведет к причинению вреда здоровью |
Управляемость отсутствует. Обычный оператор или наблюдатель, как правило, не могут избежать причинения вреда здоровью |
6.3.7 Выбор необходимого AgPL r
Порядок определения необходимого AgPL r в зависимости от сочетания степени тяжести последствий причинения вреда здоровью, воздействия опасных ситуаций и управляемости для каждой из идентифицированных опасностей приведен на рисунке 1.
Необходимый AgPL r назначается от AgPL = а до AgPL = е. AgPL = а имеет самые низкие требования к системе, а AgPL = е - самые жесткие требования к системе. В дополнение к этим уровням представлены обозначения показателей качества - QM, которые подразумевают требования по приведению системы разработки в соответствие с требованиями стандартов, подобных EN ISO 9001. Для функции, классифицируемой как QM, степень связанного с ней риска должна быть настолько низкой, чтобы можно было не рассматривать данную функцию как связанную с обеспечением безопасности.
S - степень тяжести последствий причинения вреда здоровью; Е - воздействие опасных событий (явлений); С - управляемость; QM - показатели качества; а, b, с, d, е - требуемый уровень эффективности защиты сельскохозяйственной техники (AgPL r)
Рисунок 1 - Определение AgPL r
Примечание - QM представлены для информации, см. 6.3.7.
6.4 Результаты работы
Для этого этапа документируемые результаты работ отсутствуют.
7 Проектирование системы
7.1 Цели
Целью данного этапа, сформированной на основе предшествующих этапов, является определение требований к проектированию системы.
7.2 Необходимые предварительные условия
Для данного этапа необходимые предварительные условия отсутствуют.
7.3 Требования
7.3.1 Установление AgPL
AgPL должен быть установлен для каждой идентифицированной опасности, выявленной при анализе функций, связанных с обеспечением безопасности. AgPL с наивысшей оценкой должен определять AgPL r функции, связанной с обеспечением безопасности.
Для достижения необходимого AgPL r могут использоваться различные сочетания надежности и архитектуры. Например, возможно (в определенных пределах) для одноканальной архитектуры высокой надежности обеспечить такой же или более высокий уровень эффективности защиты, как и для двухканальной архитектуры, уровень надежности которой ниже (см. рисунок 2).
Рисунок 2 - Взаимосвязь между уровнем эффективности защиты сельскохозяйственной техники и категориями DC, MTTF dC и SRL
Уровень эффективности защиты сельскохозяйственной техники системой управления, связанной с безопасностью, - это функция следующих четырех аспектов:
- категории (см. приложение А);
- MTTF (см. приложение В);
- DC (см. приложение С);
- SRL (см. EN 16590-3:2014 (раздел 7)).
Дополнительно при проектировании системы должны быть рассмотрены следующие технические объекты (элементы):
- CCF для архитектур категорий 3 и 4 (см. приложение D);
- систематические отказы (см. приложение Е);
- способность выполнять функцию, связанную с обеспечением безопасности, в предполагаемых условиях окружающей среды (таких как установленные в ISO 15003);
- другие типичные функции (см. приложение F).
Пример оценки риска и определения результирующего AgPL r приведен в приложении G.
AgPL r на рисунке 2 показан на вертикальной оси. Категории аппаратных средств перечислены по горизонтальной оси. Каждая категория имеет соответствующий диагностический охват (DC), среднее время наработки на опасный отказ для каждого канала (MTTF dC) и уровень требований к программному обеспечению (SRL) для каждого приведенного уровня эффективности защиты.
Для необходимого AgPL r конструктор должен выбрать одну категорию аппаратных средств.
Примечание - Выбор более высокой категории аппаратных средств для установленного AgPL позволяет снизить уровень MTTF d и/или SRL.
7.3.2 Достижение необходимого AgPL r
Требования к проектированию системы должны формироваться на основе целей безопасности и при необходимости на основе информации о безопасном состоянии, определенном по результатам анализа риска (например, отключение или поддержание функции). Эффективность выбранной конструкции должна быть подтверждена соответствующим методом верификации.
Примечание - Эффективность может быть верифицирована, например, при испытаниях в лаборатории, по результатам исследований, испытаниями объекта или моделированием. Соответствующие верификационные мероприятия могут также быть установлены в стандартах.
Функция, связанная с обеспечением безопасности, может быть реализована одним или несколькими элементами системы управления. Конструктор может использовать одну из доступных технологий или их комбинацию. Безопасность, обеспечиваемая E/E/PES, может комбинироваться с механической функцией (например, механически связанные контакты).
Типовой канал управления функцией, связанной с обеспечением безопасности, с соответствующими элементами, связанными с безопасностью, показан на рисунке 3, где указаны вход (I), E/E/PES (L), выходные/силовые элементы управления (О) и средства соединения (например, электрические, оптические).
I - входное устройство (например, датчик); L - логический элемент; О - выходное устройство (например, устройства привода); S i - соединения входного сигнала; S O - соединения выходного сигнала
Рисунок 3 - Схема комбинации элементов систем управления, связанных с безопасностью
Все средства соединения включают в элементы систем управления, связанные с безопасностью. Каждый элемент, связанный с безопасностью, канала управления функции, связанной с обеспечением безопасности, может состоять из различных технологических и технических средств. Для исполнения каждого элемента, связанного с безопасностью, могут применяться различные технологии.
Пример - Вход, включающий в себя датчик скорости, соединенный с преобразователем сигналов, активируемым при помощи света.
7.3.3 Достижение уровня эффективности защиты
Выбранные SRP/CS должны обеспечивать характеристики требуемого уровня эффективности защиты.
7.4 Результаты работы
Результатами деятельности по проектированию системы является установление AgPL для рассмотренных функций, связанных с обеспечением безопасности, включая:
- выбранную категорию (см. приложение А);
- результирующее MTTF (см. приложение В);
- результирующий DC (см. приложение С);
- результирующий SRL;
- результирующий CCF для архитектур категорий 3 и 4 (см. приложение D);
- рассмотрение систематических отказов (см. приложение Е);
- рассмотрение других типичных функций (см. приложение F).
Библиография
[1] |
ISO 3600:1996 |
Tractors, machinery for agriculture and forestry, powered lawn and garden equipment - Operator's manuals - Content and presentation (Тракторы, машины для сельскохозяйственных работ и лесоводства, механизированное газонное и садовое оборудование. Руководство по эксплуатации. Содержание и форма представления) |
[2] |
EN ISO 9001:2008 |
Quality management systems - Requirements (ISO 9001:2008) (Системы менеджмента качества. Требования) |
[3] |
EN ISO 12100 |
Safety of machinery - General principles for design - Risk assessment and risk reduction (ISO 12100) (Безопасность машин. Общие принципы конструирования. Оценка рисков и снижение рисков) |
[4] |
ISO 15003 |
Agricultural engineering - Electrical and electronic equipment - Testing resistance to environmental conditions (Техника сельскохозяйственная. Электрическое и электронное оборудование. Испытания на устойчивость к условиям окружающей среды) |
[5] |
ISO/TS 16949:2009 |
Quality management systems - Particular requirements for the application of ISO 9001:2008 for automotive production and relevant service part organizations (Системы менеджмента качества. Частные требования по применению ISO 9001:2008 для производства автомобилей и запчастей к ним) |
[6] |
EN 61000-4-1 |
Electromagnetic compatibility (EMC) - Part 4-1: Testing and measurement techniques - Overview of IEC 61000-4 series (IEC 61000-4-1) (Электромагнитная совместимость (EMC). Часть 4-1. Методы испытаний и измерений. Обзор стандартов серии IEC 61000-4) |
[7] |
EN 61496-1 |
Safety of machinery - Electro-sensitive protective equipment - Part 1: General requirements and tests (IEC 61496-1) (Безопасность машин. Электрочувствительные защитные устройства. Часть 1. Общие требования и испытания) |
[8] |
HSE Guidelines on Programmable Electronic Systems in Safety-related Applications, Part 1 (ISBN 0 11 883906 6) and Part 2 (ISBN 0 11 883906 3) |
|
[9] |
MIL-HDBK-217F |
Reliability Prediction of Electronic equipment 1) |
[10] |
SN 29500 |
Reliability and quality specification failure rates of components 2) |
[11] |
RDF 2000 |
Reliability Data Handbook 3) |
------------------------------
1)Military Handbook, US Department of Defense.
2)Siemens standard.
3)Union Technique de I'Electricite (UTE), French national electrotechnical standards body.
------------------------------
[12] |
ISO/TR 62380 |
Reliability data handbook - Universal model for reliability prediction of electronics components, PCBs and equipment |
[13] |
FIDES Guide 2004 |
Reliability prediction standard 4) |
------------------------------
4)FIDES Group (French consortium).
------------------------------
Ключевые слова: менеджмент, функциональная безопасность, элементы системы управления, связанные с безопасностью, обеспечение безопасности, программируемые электронные системы, функции, связанные с обеспечением безопасности, концепция, анализ риска.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Межгосударственный стандарт ГОСТ EN 16590-2-2018 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 августа 2021 г. N 745-ст)
Текст ГОСТа приводится по официальному изданию Российского института стандартизации, Москва, 2021 г.
Дата введения - 1 декабря 2021 г.