Приложение Е (справочное). Систематический отказ. Межгосударственный стандарт ГОСТ EN 16590-2-2018 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.08.2021 N 745-ст)

Приложение Е
(справочное)

Систематический отказ

Е.1 Общие положения

Систематический отказ (см. EN 16590-1:2014 (статья 3.52)) определенным образом связан с причиной, которую можно устранить только изменением конструкции и/или процесса изготовления, последовательности операций, документации или других подобных факторов.

Е.2 Процедура для контроля систематических отказов

Должны применяться следующие меры в отношении:

- потери мощности.

SRS должна быть спроектирована таким образом, чтобы при отключении напряжения питания машина приводилась в безопасное состояние или чтобы такое состояние поддерживалось.

Заранее должно быть предопределено такое поведение SRS в условиях потери напряжения, перенапряжения или при пониженном напряжении, чтобы SRS могла обеспечить приведение машины в безопасное состояние или поддержание этого состояния.

Для операционных систем, чувствительных к одиночной неисправности (см. категории 3 и 4), должен быть предусмотрен резервный (избыточный) источник питания;

- мер контроля или предотвращения воздействия физических условий окружающей среды (например, температуры, влажности, вибрации, воды, пыли, коррозионно-активных веществ, электромагнитного излучения).

Заранее должно быть предопределено такое поведение SRS в отношении воздействия физических условий окружающей среды, чтобы SRS могла обеспечить приведение машины в безопасное состояние или поддержание этого состояния;

- мониторинга последовательности выполнения программ.

Этот вид контроля должен использоваться для SRS, содержащих программное обеспечение. Неправильная последовательность выполнения программ возникает, если отдельные элементы программы (например, программные модули, подпрограммы и команды) обрабатываются в ошибочной последовательности или с неправильным временным интервалом или если часы процессора неисправны;

- мер контроля влияния ошибок или других воздействий, возникающих в любом процессе передачи данных (коммуникации).

Е.3 Процедура для предотвращения систематических отказов

Должны применяться следующие меры в отношении:

- использования подходящих материалов и соответствующего производства.

Выбирают материалы, методы изготовления и обработки в отношении, например, стрессовых нагрузок, долговечности, упругости, трения, износа, коррозии, температуры, проводимости;

- правильного установления требований к размерам и форме.

Рассматривают, например, стрессовые нагрузки, напряжение, усталость, температуру, шероховатость поверхности, допуски, возможности производства;

- правильности выбора, сочетания (комбинирования), компоновки, сборки и установки компонентов, включая разводку кабелей, проводов и соединителей.

Применяют соответствующие стандарты и руководства (указания) изготовителя, например: каталоги, инструкции по установке, спецификации и соответствующие инженерные практики;

- совместимости.

Используют компоненты с совместимыми рабочими характеристиками;

- устойчивости к установленным условиям окружающей среды.

Проектируют каждую SRS таким образом, чтобы она была способна работать в установленных условиях окружающей среды, например при воздействии температуры, влажности, вибрации и электромагнитного излучения (ЭМС).

Используют компоненты, которые спроектированы в соответствии с требованиями определенного стандарта, виды отказов которых хорошо известны;

- модульного проектирования.

Используют иерархическую модульную структуру системы в меньших, четко определенных блоках таким образом, чтобы:

1) функциональные и физические интерфейсы каждого модуля сохранялись настолько простыми, насколько это возможно, т.е. количество параметров, которыми модуль обменивается с другими модулями, должно быть управляемым и тестируемым;

2) количество состояний, связанных с обеспечением безопасности (например, пуск, функционирование, неисправность и т.д.), для каждого модуля было управляемым и тестируемым;

- ограничения использования общих ресурсов.

Использования общих ресурсов, таких как память (RAM, EPROM) или сегменты памяти A/D преобразователя двумя и более модулями, рекомендуется:

1) избегать; или

2) осуществлять через стандартные или определенные интерфейсы с соблюдением соответствующих контрольных мер (см. EN 16590-3:2014 (разделы 6 и 7));

- разделения SRS и систем, не являющихся SRS.

При проектировании систем, по возможности, следует принять решение о разделении системы на модули, связанные с обеспечением безопасности, и модули, не связанные с обеспечением безопасности. Интерфейс для этих групп модулей должен быть четко определен (описан). Разделение может существенно снизить время и объем работ, выполняемых на стадии разработки в соответствии с настоящим стандартом, и уменьшить общую сложность системы;

- ограничения количества состояний системы.

Количество состояний, связанных с обеспечением безопасности, которое может иметь контролируемый блок, должно быть управляемым и тестируемым. Это может достигаться, например, посредством суммирования состояний модулей, входящих в иерархическую структуру;

- применения проверенных принципов безопасности.

Для снижения риска появления неизвестных и впервые выявленных ошибок проверенные принципы безопасности применяются при подготовке концепции технической безопасности. Примерами проверенных принципов безопасности являются:

1) проверенная архитектура систем безопасности и

2) проверенные меры обнаружения и контроля неисправностей;

- использования стандартных интерфейсов.

Для снижения риска появления неизвестных и впервые выявленных ошибок, по возможности, должны использоваться интерфейсы, определенные в стандартах, опробованные и испытанные при широком использовании (применении).

Дополнительно, с учетом сложности SRS уровня эффективности защиты, рекомендуется использовать одну или несколько мер, приведенных ниже.

1) Анализ конструкции.

Выполнение анализа конструкции для обнаружения несоответствий между спецификацией и исполнением.

2) Применение средств автоматизированного проектирования, способных к моделированию и анализу.

Систематическое проведение установленной процедуры и включение соответствующих элементов автоматического проектирования, которые уже доступны и испытаны.

3) Моделирование.

Систематическое выполнение полного контроля конструкции SRS как в отношении функциональных характеристик, так и правильности установления требований к компонентам (спецификации компонентов).