ГОСТ EN 16590-4-2018. Межгосударственный стандарт: "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 4. Производство, эксплуатация, модификация и вспомогательные процессы" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.08.2021 N 747-ст)

Tractors and machinery for agriculture and forestry. Safety-related parts of control systems. Part 4. Production, operation, modification and supporting processes

УДК 629.36.014.2.06(083.74)(476)
МКС 35.240.99;
65.060.01

Дата введения - 1 декабря 2021 г.
Введен впервые

Предисловие

Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 Подготовлен Научно-производственным республиканским унитарным предприятием "Белорусский государственный институт стандартизации и сертификации" (БелГИСС) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 Внесен Государственным комитетом по стандартизации Республики Беларусь

3 Принят Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 27 июля 2018 г. N 110-П)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97	Код страны по МК (ИСО 3166) 004-97	Сокращенное наименование национального органа по стандартизации
Армения	AM	ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения
Беларусь	BY	Госстандарт Республики Беларусь
Казахстан	KZ	Госстандарт Республики Казахстан
Киргизия	KG	Кыргызстандарт
Россия	RU	Росстандарт
Таджикистан	TJ	Таджикстандарт
Узбекистан	UZ	Узстандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 20 августа 2021 г. N 747-ст межгосударственный стандарт ГОСТ EN 16590-4-2018 введен в действие в качестве национального стандарта Российской Федерации с 1 декабря 2021 г.

5 Настоящий стандарт идентичен европейскому стандарту EN 16590-4:2014 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 4. Производство, эксплуатация, модификация и вспомогательные процессы" ("Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 4: Production, operation, modification and supporting processes", IDT).

Европейский стандарт разработан Техническим комитетом по стандартизации CEN/TC 144 "Тракторы и машины для сельскохозяйственных работ и лесоводства" Европейского комитета по стандартизации (CEN).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных европейских и международного стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

6 Введен впервые

Введение

Европейский стандарт разработан Техническим комитетом по стандартизации CEN/TC 144 "Тракторы и машины для сельскохозяйственных работ и лесоводства" Европейского комитета по стандартизации (CEN).

Настоящий стандарт реализует существенные требования безопасности Директивы 2006/42/ЕС, приведенные в приложении ZA.

EN 16590 устанавливает подход к проектированию и оценке процессов жизненного цикла систем, связанных с обеспечением безопасности, включая электрические, и/или электронные, и/или программируемые электронные системы (E/E/PES - электрические/ электронные/ программируемые электронные системы), устанавливаемые на тракторах, используемых в сельском и лесном хозяйстве, самоходных машинах, а также навесных, полунавесных и прицепных машинах, используемых в сельском хозяйстве. Настоящий стандарт также может применяться для коммунальных машин. В настоящем стандарте рассматриваются возможные опасности, вызванные функциональным поведением E/E/PES-систем, связанных с обеспечением безопасности, в отличие от опасностей, возникающих от самого Е/Е/PES-оборудования (например, поражение электрическим током, пожар, номинальный уровень эффективности E/E/PES-систем, предназначенных для обеспечения активной или пассивной безопасности).

Рассматриваемые элементы систем управления машин в основном предназначены для обеспечения выполнения критических функций систем управления, связанных с обеспечением безопасности (SRP/CS). Они могут включать аппаратные средства или программное обеспечение, могут быть отдельными или встроенными в систему управления, могут быть предназначены для выполнения только критических функций или могут являться частью рабочей функции.

В основном конструктор (а впоследствии и пользователь) будет рассматривать конструкцию и валидацию таких элементов SRP/CS как часть оценки риска. Целью является снижение риска, вызванного опасностями (или опасными ситуациями), которые могут возникнуть при использовании машины по назначению, путем применения различных защитных мер (как SRP/CS, так и не SRP/CS) для обеспечения безопасной эксплуатации.

EN 16590 рассматривает способность выполнения элементами систем управления, связанными с обеспечением безопасности, критических функций в прогнозируемых условиях в пяти уровнях эффективности защиты. Уровень эффективности защиты канала управления зависит от нескольких факторов, в том числе структуры системы (категории), механизма обнаружения отказов (степени диагностического охвата), надежности компонентов (среднее время наработки на опасный отказ, отказы по общей причине), процессов проектирования, режимов работы, условий окружающей среды и условий эксплуатации. Рассматриваются три типа отказов: системные, отказы по общей причине и случайные.

Для руководства в процессе проектирования и облегчения оценки достигнутого уровня эффективности защиты EN 16590 устанавливает подход, основанный на классификации структур с различными конструктивными элементами и определенным поведением в случае отказа.

Уровни эффективности защиты и категории могут применяться к системам управления всех видов мобильных машин - от простых систем (например, предохранительные клапаны) до сложных (например, системы с электронным управлением), а также к системам управления предохранительными устройствами (например, блокировочными устройствами, датчиками давления и другими).

EN 16590 применяет подход, основанный на определении рисков, в то время когда средства, предусмотренные для обеспечения требуемого уровня эффективности защиты для функций, связанных с обеспечением безопасности, будут приводиться в действие посредством связанных с обеспечением безопасности каналов систем E/E/PES. Приведенные требования применяются для всех процессов жизненного цикла систем E/E/PES (проектирования, валидации, производства, эксплуатации, технического обслуживания и вывода из эксплуатации) и обеспечивают требуемую функциональную безопасность E/E/PES-систем, которые связаны с уровнями эффективности защиты.

Существует следующая иерархическая структура стандартов, устанавливающих требования безопасности в области машиностроения:

a) стандарты типа А (основополагающие стандарты безопасности), содержащие основные концепции, принципы конструирования и общие аспекты, которые могут быть применены к машинам;

b) стандарты типа В (общие стандарты безопасности), рассматривающие один (или более) аспект безопасности или один (или более) тип устройств безопасности, применяющихся для широкого диапазона машин:

- стандарты типа В1 распространяются на специальные аспекты безопасности (например, безопасное расстояние, температура поверхности, шум);

- стандарты типа В2 распространяются на устройства безопасности (например, двуручные устройства управления, блокирующие устройства, регуляторы давления);

с) стандарты типа С (стандарты безопасности на машины), устанавливающие детальные требования безопасности для конкретных машин или групп машин в соответствии с областью применения стандарта.

Настоящий стандарт представляет собой стандарт типа В1 по ISO 12100.

Если требования настоящего стандарта отличаются от положений, установленных в стандартах типа С, то для машин, сконструированных и изготовленных в соответствии со стандартом типа С, его требования являются предпочтительными по отношению к требованиям настоящего стандарта.

Европейский стандарт EN 16590 под общим заголовком "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью", содержат следующие части:

- часть 1. Общие принципы проектирования и разработки;

- часть 2. Этап разработки концепции;

- часть 3. Разработка серийной продукции, аппаратные средства и программное обеспечение;

- часть 4. Производство, эксплуатация, модификация и вспомогательные процессы.

1 Область применения

Настоящий стандарт устанавливает общие принципы производства, эксплуатации и модификации элементов систем управления, связанных с обеспечением безопасности (SRP/CS), устанавливаемых на тракторах, используемых в сельском и лесном хозяйстве, самоходных машинах, а также навесных, полунавесных и прицепных машинах, используемых в сельском хозяйстве. Настоящий стандарт также может применяться для коммунальных машин (например, машин для уборки улиц). Настоящий стандарт определяет характеристики и категории SRP/CS, необходимые для выполнения ими функций, связанных с обеспечением безопасности.

Настоящий стандарт распространяется на элементы систем управления, связанные с обеспечением безопасности, электрических/ электронных/ программируемых электронных систем (E/E/PES), так как они относятся к мехатронным системам. Настоящий стандарт не указывает, какие функции, связанные с обеспечением безопасности, категории или уровни эффективности защиты должны использоваться при проектировании конкретных машин.

В стандартах, устанавливающих детальные требования безопасности для конкретных машин (стандартах типа С), могут указываться уровни эффективности защиты и/или категории или приводиться рекомендации для изготовителя по их определению на основе оценки риска.

Требования настоящего стандарта не распространяются на системы, не являющиеся E/E/PES-системами (например, гидравлические, механические или пневматические).

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

EN 16590-1:2014, Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 1: General principles for design and development (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы проектирования и разработки)

EN 16590-2:2014, Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 2: Concept phase (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции)

EN 16590-3:2014, Tractors and machinery for agriculture and forestry - Safety-related parts of control systems - Part 3: Series development, hardware and software (Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 3. Серийная разработка, аппаратные средства и программное обеспечение)

ISO 3600, Tractors, machinery for agriculture and forestry, powered lawn and garden equipment - Operator's manuals - Content and format (Тракторы, машины для сельскохозяйственных работ и лесоводства, механизированное газонное и садовое оборудование. Руководство по эксплуатации. Содержание и формат)

3 Термины и определения

В настоящем стандарте применены термины по EN 16590-1:2014.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

AgPL - уровень эффективности защиты сельскохозяйственной техники;

AgPL _r - требуемый уровень эффективности защиты сельскохозяйственной техники;

CAD - автоматизированное проектирование;

Cat - категория аппаратных средств;

CCF - отказ по общей причине;

DC - диагностический охват;

DC _avg - средний диагностический охват;

ECU - электронный блок управления;

ЕТА - анализ дерева событий;

E/E/PES - электрические/ электронные/ программируемые электронные системы;

EUC - управляемое оборудование;

FMEA - анализ видов и последствий отказов;

FMECA - анализ видов и последствий критичности отказов;

FSM - менеджмент функциональной безопасности;

FTA - анализ дерева отказов;

HAZOP - исследование опасности и работоспособности;

HIL - программно-аппаратное моделирование (тестирование);

MTTF - среднее время наработки на отказ;

MTTF _d - среднее время наработки на опасный отказ;

MTTF _dC - среднее время наработки на опасный отказ для каждого канала;

PES - программируемая электронная система;

QM - показатели качества;

RAM - запоминающее устройство с произвольным доступом;

SOP - начало производства;

SRL - уровень требований к программному обеспечению;

SRP - элемент, связанный с обеспечением безопасности;

SRP/CS - элемент системы управления, связанный с обеспечением безопасности;

SRS - система, связанная с обеспечением безопасности;

ППЗУ - программируемое постоянно запоминающее устройство;

ЭМС - электромагнитная совместимость.

5 Менеджмент конфигурации

5.1 Цели

Первой целью, приведенной в настоящем подразделе, является обеспечение того, чтобы SRP/CS и связанные с ними документы для данной функции могли быть однозначно идентифицированы и воспроизведены в любое время.

Вторая цель - обеспечить возможность отслеживания взаимосвязи и различий между ранними и текущими версиями SRP/CS и связанных с ними документов.

5.2 Общие положения

Все результаты работ согласно EN 16590 должны обрабатываться системой менеджмента конфигурации.

5.3 Необходимые предварительные условия

См. необходимые предварительные условия для каждой стадии жизненного цикла системы безопасности.

5.4 Требования

Инструменты программного обеспечения и среда разработки программного обеспечения - это объекты менеджмента конфигурации.

Данные менеджмента конфигурации должны сохраняться в соответствии с правилами хранения документации в организации.

5.5 Результаты работы

Применимым результатом работ является перечень SRP/CS со ссылкой на соответствующие документы для данной конфигурации.

6 Верификация и валидация

6.1 Цели

Одной из целей, приведенных в настоящем подразделе, является предоставление доказательств того, что связанные с обеспечением безопасности требования подходят для E/E/PES-систем и были соответствующим образом выполнены.

Вторая цель - обеспечить доказательства выполнения целей безопасности на уровне машины.

6.2 Общие положения

Целью предыдущих этапов верификации (например, анализы, анализы безопасности, испытания интеграции компонентов) было продемонстрировать, что результаты каждого этапа достигнуты в соответствующей конструкции и спецификации требований, описанных в EN 16590-3.

6.3 Необходимые предварительные условия

Необходимыми предварительными условиями данного этапа являются:

- план проекта в соответствии с EN 16590-1:2014 (пункт 5.4.7) - предельные сроки, ресурсы, оборудование, степень завершенности и т.д.;

- план испытаний машины - часть существующего процесса обеспечения качества;

- анализ риска в соответствии с EN 16590-2:2014 (раздел 6) - идентификация потенциальных опасностей;

- цели безопасности, а также безопасные состояния;

- концепция технической безопасности в соответствии с EN 16590-3:2014 (раздел 5) - требования технической безопасности.

6.4 Требования

6.4.1 Валидация/верификация конструкции SRP

Конструкция SRP систем управления должна быть валидирована/верифицирована (см. EN 16590-1:2014 (рисунок 1)).

Валидация/верификация должна демонстрировать, что каждый SRP соответствует:

- всем требованиям установленной категории (см. EN 16590-2:2014 (приложение А)) и

- установленным характеристикам, связанным с обеспечением безопасности, в части, изложенной в требованиях к конструкции.

6.4.2 Объем валидации/верификации безопасности

В течение жизненного цикла системы безопасности валидация/верификация свойств (характеристик), связанных с обеспечением безопасности, должна выполняться для:

- системы в целом на уровне машины (например, стендовые испытания, программно-аппаратное моделирование (тестирование), испытания машины);

- аппаратных средств;

- программного обеспечения.

6.4.3 Виды деятельности

Для структурирования валидации/верификации безопасности должна соблюдаться следующая последовательность:

- планирование валидации/верификации;

- спецификация валидации/верификации;

- выполнение валидации/верификации;

- отчет о результатах валидации/верификации.

Все варианты или версии E/E/PES-систем, которые были объектами деятельности по валидации/верификации, должны быть четко идентифицированы (обозначены).

6.4.4 План валидации/верификации

План валидации/верификации должен быть разработан для выполнения целей безопасности и требований технической безопасности и должен включать следующие элементы:

- валидацию/верификацию и возможные варианты;

- степень завершенности системы;

- цели валидации/верификации;

- техники (методы) валидации/верификации;

- заключение о независимости между лицом, ответственным за валидацию/верификацию, и разработчиком;

- необходимое оборудование и условия окружающей среды, включая требования к калибровке инструментов;

- установленные ссылки на общий (генеральный) план проекта;

- критерии приемки/забракования для всех испытаний.

6.4.5 Валидация/верификация, спецификация испытаний аппаратных средств и программного обеспечения

Функции технических объектов (элементов) должны валидироваться/верифицироваться на уровне E/E/PES-системы с учетом выполнения требований безопасности аппаратных средств/программного обеспечения.

6.4.6 Валидация/верификация, спецификация испытаний системы в целом

Характеристики SRP/CS должны валидироваться/верифицироваться на уровне машины с учетом выполнения требований концепции функциональной безопасности.

6.4.7 Валидация/верификация, спецификация испытаний

Должны быть установлены и использованы следующие методы и меры:

- испытания (по методу "черного ящика", HIL, испытания машины, эксплуатационные испытания и т.д.);

- анализ (например, моделирование);

- анализ соответствующих документов (входные данные аппаратных средств/программного обеспечения, например FMEA, электрическая схема).

6.5 Результаты работы

Результатами работ на данном этапе являются:

a) подробный план валидации/верификации;

b) спецификация испытаний;

c) отчет о результатах валидации/верификации, который включает доказательства того, что цели валидации/верификации были достигнуты для:

1) системы в целом на уровне машины;

2) аппаратных средств и

3) программного обеспечения.

7 Выпуск продукции

7.1 Цели

Целью, приведенной в настоящем подразделе, является установление условий для выпуска продукции в качестве завершения разработки E/E/PES-систем. Выпуск продукции подтверждает выполнение машиной требований функциональной безопасности.

7.2 Общие положения

На рисунке 1 показана иерархическая структура этапов, необходимых для разработки E/E/PES-системы, и порядок их завершения, который будет соответствовать условиям выпуска продукции.

Рисунок 1 - Иерархическая структура этапов

7.3 Необходимые предварительные условия

Необходимыми предварительными условиями данного этапа являются:

- отчет о подтверждении: аппаратные средства;

- отчет о подтверждении: программное обеспечение;

- отчет о подтверждении: уровень машины;

- отчет о результатах оценки функциональной безопасности.

7.4 Требования

7.4.1 Условия для выпуска продукции

Выпуск продукции может быть одобрен, только если на предыдущих стадиях жизненного цикла были достигнуты следующие результаты (см. приложение А):

- оценка принята;

- аппаратные средства подтверждены;

- программные средства подтверждены;

- система подтверждена (включая параметризацию данных);

- подтверждение на уровне машины;

- для E/E/PES-системы, если машина в целом готова к выпуску.

7.4.2 Документация по выпуску продукции

Выпуск продукции должен быть задокументирован и содержать следующую информацию:

- Ф.И.О. и подпись лица, ответственного за выпуск;

- версию(и) выпускаемой E/E/PES-системы;

- конфигурацию выпускаемой E/E/PES-системы;

- ссылки на соответствующие документы;

- дату выпуска.

Примечание - Документ о выпуске продукции по функциональной безопасности может быть частью документа по выпуску продукции для E/E/PES-системы или отдельным документом.

7.5 Результаты работы

Результатом деятельности по выпуску продукции является документированный отчет о выпуске продукции.

8 Производство, производственный контроль

8.1 Цели

Целью данной стадии является разработка плана производства и установки SRS. Еще одной целью является поддержание требуемой функциональной безопасности в процессе производства соответствующим изготовителем продукции или лицом/организацией, ответственными за этот процесс (изготовителем машины, поставщиком, субпоставщиком и т.д.).

8.2 Общие положения

Эта стадия определяет этапы (производственные шаги), необходимые для поддержания на соответствующем уровне функциональной безопасности в процессе производства, включая планирование и проверку характеристик, связанных с обеспечением безопасности в процессе производства.

8.3 Необходимые предварительные условия

Необходимыми предварительными условиями для производства и производственного контроля являются:

- информация об особенностях сборки (документация на элементы или функции, на которые может повлиять сборка);

- информация об особенностях проведения испытаний;

- документ о выпуске продукции;

- критерии испытаний (характеристики, связанные с обеспечением безопасности, которые будут проверяться);

- информация о текущем автоматическом контроле (мониторинге) продукции - требуемые характеристики, связанные с обеспечением безопасности, и обеспечение сохранения характеристик, связанных с обеспечением безопасности, компонентов в соответствии с их спецификацией в процессе производства машины.

8.4 Требования

8.4.1 Производственный план

Производственный план должен быть составлен с учетом инструкций по сборке и включать следующую информацию:

- идентификацию характеристик, связанных с обеспечением безопасности;

- последовательность и методы реализации этапов (производственных шагов);

- оборудование/инструменты для сборки.

8.4.2 План производственных испытаний

План испытаний должен включать следующую информацию:

- идентификацию характеристик, связанных с обеспечением безопасности;

- последовательность и методы реализации этапов (испытательных шагов);

- испытательное оборудование/инструменты, критерии испытаний; и

- частоту проведения производственных испытаний.

8.4.3 Персонал

Производство и испытания должны выполняться персоналом, имеющим соответствующую квалификацию, в соответствии с производственным планом и планом испытаний.

8.4.4 Технические возможности выполнения процесса

Технические возможности выполнения процесса должны быть обеспечены серийными промышленными средствами.

8.4.5 Документация

Результаты испытаний, проведенных в соответствии с планом испытаний, должны быть задокументированы. Документация по испытаниям должна включать следующую минимальную информацию: дату проведения испытаний, лицо, проводившее испытание, персональные идентификационные данные элемента и результаты испытаний.

8.4.6 Несоблюдение

Должна быть установлена процедура для случая несоблюдения критерия испытания для SRP/CS. Повторение работ возможно только при подтверждении соответствующего управления процессом.

8.4.7 Условия транспортирования и хранения

При транспортировании и хранении продукции должны соблюдаться все специальные требования к обработке и упаковке SRP/CS.

8.5 Результаты работы

Результатами работ на данном этапе являются:

a) документация по испытаниям, выполненным в соответствии с планом испытаний;

b) процедура для случая несоблюдения критериев;

c) условия транспортирования и хранения.

9 Эксплуатация и техническое обслуживание, планирование (указания по эксплуатации, техническому обслуживанию, ремонту и выводу из эксплуатации)

9.1 Цели

Целью данной стадии является определение сферы технического обслуживания, информации о покупателях и указаний по ремонту SRP/CS, для того чтобы обеспечить требуемую функциональную безопасность при эксплуатации, опытной эксплуатации, техническом обслуживании, ремонте и выводе из эксплуатации.

9.2 Общие положения

В этом подразделе описываются области характеристик, связанных с обеспечением безопасности, относящиеся к указаниям по ремонту и информации для пользователя, а также к планированию, выполнению и контролю работ по техническому обслуживанию.

9.3 Необходимые предварительные условия

Необходимыми предварительными условиями для планирования эксплуатации и технического обслуживания являются:

- выпуск продукции - выпуск документа о функциональной безопасности;

- система менеджмента качества (внедренная, обычно применяется система менеджмента качества, соответствующая EN ISO 9001);

- информация об особенностях технического обслуживания - документация по областям, связанным с обеспечением безопасности, на которые может повлиять техническое обслуживание (задачи технического обслуживания), а также записи по экспериментальным данным, полученным при опытной эксплуатации);

- план менеджмента конфигурации - документированные процедуры менеджмента конфигурации.

9.4 Требования

9.4.1 Общие положения

Функциональные требования безопасности в процессе выполнения технического обслуживания и ремонта могут отличаться от требований, которые должны соблюдаться при эксплуатации.

9.4.2 График технического обслуживания

Параллельно с проектированием системы должен быть подготовлен график технического обслуживания, который включает:

- идентификацию компонентов, характеристики которых связаны с обеспечением безопасности, с учетом соответствующей конфигурации выпускаемой подсистемы или системы; и

- последовательность, методы (инструменты, при необходимости), периодичность (временной интервал) и объем технического обслуживания для определения времени работы.

9.4.3 Указания по ремонту

Указания по ремонту должны включать:

- идентификацию компонентов, характеристики которых связаны с обеспечением безопасности;

- этапы работы (шаги) и последовательность рабочих операций, методы и инструменты (например, оборудование для программирования и диагностики, при необходимости);

- соответствующую конфигурацию выпускаемой подсистемы или системы;

- допустимую (разрешенную) деактивацию подсистемы или системы и дополнительные регулировки (настройки), необходимые для установки на машину в сборе; и

- источники запасных частей с новыми и разрешенными восстановленными запасными частями.

9.4.4 Указания по техническому обслуживанию

Ремонт и техническое обслуживание должны:

- выполняться персоналом, имеющим соответствующую квалификацию;

- выполняться и документироваться в соответствии с графиком технического обслуживания или указаниями по ремонту.

9.4.5 Информация для пользователя

Должна быть предоставлена информация для пользователя (например, руководство по эксплуатации). Указания по эксплуатации должны быть включены в руководство по эксплуатации в соответствии с ISO 3600 и должны содержать:

- идентификацию компонентов, характеристики которых связаны с обеспечением безопасности;

- предупреждения о потенциальной опасности, которая может возникнуть при использовании продукции сторонних организаций;

- описание подсистемы или системы и статуса информации (концепции отображения) и требуемой реакции покупателя (пользователя);

- описание компонентов, необходимых для технического обслуживания; и

- предупреждения, касающиеся недопустимости модификаций системы, связанной с обеспечением безопасности (применяется от AgPL = а до AgPL = е).

9.4.6 Опытная эксплуатация

Должен быть разработан и внедрен процесс опытной эксплуатации. На основании результатов анализа должны быть инициированы соответствующие меры.

9.4.7 Информация о транспортировании и хранении

При определении условий транспортирования и хранения продукции должны учитываться характеристики, связанные с обеспечением безопасности для режимов работы, отличающихся от нормальных (например, буксировка, снижение скорости движения).

9.4.8 Вывод из эксплуатации и демонтаж

Изготовитель должен установить требования, касающиеся вывода из эксплуатации и демонтажа машины.

9.5 Результаты работы

Результатами работ на данном этапе являются:

a) указания по ремонту;

b) руководство по эксплуатации.

10 Модификации (менеджмент изменений)

10.1 Общие положения

В случае модификации продукции, инициированной модернизацией производства, эксплуатацией, опытной эксплуатацией, техническим обслуживанием, ремонтом или выводом из эксплуатации подфункций, для определения стадии жизненного цикла, к которой следует вернуться, и этапа (производственного шага), который следует повторить, применяется анализ воздействия (влияния).

10.2 Цели

Целью данного раздела является обеспечение соответствующей функциональной безопасности системы как в процессе модификации, так и после завершения этапа модификации и модернизации.

10.3 Общие положения

Менеджмент изменений помогает осуществлять системное планирование, управление, мониторинг, реализацию (внедрение) и документирование изменений, сохраняя при этом согласованность (стабильность) всех результатов работы. Перед выполнением (внедрением) изменений оценивается их потенциальное воздействие (влияние) на функциональную безопасность. С этой целью должны быть разработаны и внедрены процессы принятия решений по изменениям, распределяющие обязанности и ответственность между вовлеченными сторонами.

Примечание - В данном случае термин "изменения" следует понимать как модификации (корректировки, удаления, дополнения, усовершенствование и т.д.).

10.4 Необходимые предварительные условия

Необходимыми предварительными условиями для менеджмента изменений являются:

- план проекта;

- план менеджмента конфигурации.

10.5 Требования

10.5.1 Модификация продукции и процедуры улучшения

Должны быть описаны процедуры выполнения любой модификации продукции или деятельности по улучшению качества продукции (стандартная последовательность операций). Пример модели процедуры модификации показан на рисунке 2, а пример модели менеджмента эксплуатации и технического обслуживания - на рисунке 3.

Стадия модификации продукции и улучшения качества продукции может инициироваться только при наличии авторизованного запроса в соответствии с процедурами менеджмента функциональной безопасности (см. EN 16590-1:2014 (раздел 5)).

Рисунок 2 - Пример модели процедуры модификации

Рисунок 3 - Пример модели менеджмента эксплуатации и технического обслуживания

10.5.2 Запрос на изменения

Запрос должен содержать подробную информацию о следующем:

a) причинах изменений;

b) целях изменений;

c) определенных опасностях, которые могут возникнуть (анализ воздействия (влияния));

d) совместимости в рамках машины.

Примечание - Причинами формирования запроса на модификацию могут быть следующие:

- функциональная безопасность ниже требуемой;

- данные о систематической неисправности;

- новое или измененное законодательство;

- модификация управляемого оборудования или его использование;

- изменение общих требований безопасности;

- анализ технических характеристик по результатам эксплуатации и технического обслуживания, демонстрирующий, что эффективность защиты ниже целевой;

- эксплуатационные запросы потребителя.

10.5.3 Оценка воздействия (влияния) модификации

Ответственное лицо должно принять решение, будет ли модифицирован контролируемый блок в соответствии с результатами анализа риска (см. EN 16590-2:2014 (раздел 6)) или не будет (см. EN 16590-3:2014 (раздел 5)). Это определяется по результатам анализа воздействия (влияния).

Если DC или MTTF для канала модифицированы, требуется проведение оценки в соответствии с EN 16590-2:2014 (раздел 6). Если DC или MTTF не модифицированы, но был изменен микроконтроллер (например, модернизация микроконтроллера с 16 до 32 бит), требуется проведение оценки в соответствии с EN 16590-3:2014 (раздел 6).

Оценка должна также учитывать воздействие (влияние) другой, проводимой одновременно, модификации продукции или деятельности по улучшению продукции.

Для примера ниже приведены три модификации продукции и приведены соответствующие требования для каждого из случаев.

Изменение функции управления тормозом

Если функция управления тормозом изменена с двухканальной на одноканальную, должна быть проанализирована классификация по категории. Разработка последовательности рабочих операций должна быть продолжена в соответствии с EN 16590-2:2014 (раздел 7).

Изменение ограничения максимальной скорости с 40 до 50 км/ч

Увеличение скорости машины с 40 до 50 км/ч может воздействовать (влиять) на различные функции машины. Это повлечет за собой полную повторную оценку в отношении анализа риска. Анализ должен быть проведен повторно в соответствии с EN 16590-2:2014 (раздел 5).

Модернизация микроконтроллера

Модернизация микроконтроллера с 16 до 32 бит без изменения категории, DC и MTTF для каждого канала должна быть продолжена с этапа, описанного в EN 16590-3:2014 (раздел 5).

Примечание 1 - Может потребоваться проведение полного анализа опасностей и рисков, который может выявить необходимость в изменении уровней эффективности защиты, ранее установленных для управляемого оборудования.

Примечание 2 - Нельзя полагать, что процедуры испытаний, первоначально разработанные для итогового (финального) контроля, могут быть использованы без проверки их валидности.

10.5.4 Авторизация модификации

Авторизация выполнения необходимой модификации или деятельности по модернизации должна зависеть от результатов анализа воздействия (влияния).

10.6 Результаты работы

Результатом работ на этой стадии является хронологическая документация, которая должна быть разработана и поддерживаться таким образом, чтобы в ней содержалась подробная информация о всех выполненных модификациях и модернизациях, включая:

- запрос на модификацию или модернизацию;

- анализ воздействия (влияния);

- повторную верификацию и повторную валидацию данных или результатов; и

- все документы, измененные вследствие модификации и деятельности по модернизации.

11 Процедуры для поставщиков SRS, подсистем и компонентов

11.1 Цели

Целью данного процесса является описание процедур и распределение обязанностей и ответственности между изготовителями машины, поставщиками и субпоставщиками SRS для распределенных разработок.

11.2 Общие положения

Изготовитель машины и поставщики SRS должны использовать процедуры EN 16590 совместно. Должно быть четкое распределение обязанностей и ответственности между изготовителем машины и поставщиками. Допускаются субподрядные взаимоотношения. Также как и для изготовителя машины, спецификации, связанные с обеспечением безопасности, касающиеся планирования, выполнения и документирования разработки и проектирования, должны быть установлены для применения всеми поставщиками для проектов с распределенной разработкой или для разработки проектов, в которых ответственность за безопасность полностью возложена на поставщика.

Эти требования не распространяются на закупку стандартных компонентов или на разработку поставляемых компонентов, которые не связаны с обеспечением безопасности.

11.3 Необходимые предварительные условия

Необходимые предварительные условия для данного этапа:

- проект версии соглашения о разработке между изготовителем машины и поставщиком: это соглашение между изготовителем машины и поставщиком устанавливает обязанности и ответственность за виды деятельности и результаты работы;

- ценовые предложения поставщика: это документы общего характера и поэтому не содержат необходимых предварительных данных, основанных на EN 16590.

11.4 Требования

11.4.1 Положения по оценке функциональной безопасности

Деятельность, связанная с распределением обязанностей и ответственности между изготовителем машины и поставщиком, для разделенной разработки должна охватывать следующие моменты (любые необходимые отклонения должны быть предварительно согласованы):

- инициирование проекта;

- планирование проекта;

- выполнение проекта;

- оценку функциональной безопасности;

- валидацию безопасности;

- документирование;

- деятельность по подтверждению соответствия;

- деятельность после SOP.

11.4.2 Объем требований

Требования к изготовителю машины и поставщику применяются для всех технических объектов (элементов) системы, разрабатываемых в соответствии с EN 16590, за исключением простых компонентов в случае, когда:

a) в системе отсутствуют конкретные требования, связанные с обеспечением безопасности, которые могут быть выделены для простых компонентов; или

b) техническая и качественная спецификации простых компонентов выполнены в соответствии с выделенными требованиями системы, связанными с обеспечением безопасности.

11.4.3 Выбор поставщика

При выборе поставщика должно учитываться следующее:

- оценка и документирование системы менеджмента качества поставщика;

- практический опыт и возможности поставщика разрабатывать SRS, подсистемы или системы: документированные процессы менеджмента функциональной безопасности должны быть проверены или этот процесс может быть согласован между изготовителем машины и поставщиком.

При выборе поставщика должны учитываться рекомендации подразделений, ответственных за разработку, качество и логистику.

11.4.4 Инициация проекта

При инициации проекта лица, ответственные за функциональную безопасность проекта в целом или его части, должны быть назначены и изготовителем машины, и поставщиком.

Назначенный изготовителем машины руководитель проекта должен предоставить поставщику соответствующие части процесса разработки продукции и процесса обеспечения функциональной безопасности, разработанные изготовителем машины.

Решение о том, какие процессы EN 16590 должны быть выполнены, принимается совместно с поставщиком. Обязанности и ответственность за результаты работ должны быть четко распределены.

В соглашении между изготовителем машины и поставщиком должны также учитываться отношения с субподрядчиками.

11.4.5 Планирование проекта

Изготовитель машины и поставщик должны согласовать между собою план проекта, включая контрольные точки и ключевые даты. Изготовитель машины и поставщик должны координировать свою деятельность по обеспечению качества.

Если поставщик размещает заказы у субподрядчиков, он должен управлять этими субподрядчиками в соответствии с требованиями EN 16590 или другого подобного стандарта.

Поставщик должен разработать план обеспечения безопасности.

Изготовитель машины должен информировать поставщика обо всех изменениях, которые могут повлиять на функциональные требования безопасности и требования технической безопасности. Такие изменения являются объектом менеджмента изменений.

11.4.6 Выполнение проекта

В течение всего срока выполнения проекта изготовитель машины и поставщик должны осуществлять мониторинг и управление качеством продукции.

Поставщик должен сообщать изготовителю обо всех событиях (явлениях), связанных с обеспечением безопасности, инцидентах и рисках, угрожающих выполнению проекта, которые могут возникнуть при выполнении деятельности по реализации проекта в зоне его ответственности или в отношении его субподрядчиков.

Поставщик должен идентифицировать все цели безопасности, которые не могут быть достигнуты. В этом случае концепция безопасности должна быть модифицирована.

Любые изменения, вносимые изготовителем машины или поставщиком, которые могут повлиять на безопасность закупаемой системы или запланированные меры, которые должны продемонстрировать ее соответствие EN 16590, должны быть переданы другой стороне для проведения анализа воздействия (влияния).

11.4.7 Меры подтверждения функциональной безопасности для партнеров по разработке

Изготовитель машины и поставщик должны выполнять оценку функциональной безопасности на всех стадиях жизненного цикла системы безопасности, которые входят в зону их ответственности.

Поставщик должен предоставлять изготовителю машины отчет о результатах оценки функциональной безопасности.

11.4.8 Валидация системы

Валидация системы должна выполняться с учетом требований к интеграции в отношении машины в целом; требования к интеграции, предоставляемые изготовителем машины, должны быть предварительно согласованы.

Валидация должна быть выполнена и задокументирована ответственным лицом в соответствии с планом валидации проекта.

11.5 Результаты работы

Документация должна быть составлена в соответствии с EN 16590.

Поставщик должен документировать связанную с обеспечением безопасности информацию, полученную при планировании, выполнении и завершении проекта, для подтверждения того, что продукция соответствует установленным требованиям безопасности. Поставщик должен предоставить изготовителю машины соответствующую документацию для завершения оформления собственной документации изготовителя машины, подтверждающей соответствие продукции установленным требованиям безопасности.

12 Техническая документация

12.1 Цели

Целью является предоставление необходимой информации (см. таблицу А.1 (приложение А)) в форме документации, чтобы обеспечить эффективность выполнения и возможность воспроизведения каждой стадии жизненного цикла системы безопасности.

12.2 Требования

12.2.1 Хранение документации

Хранение документации - в соответствии с правилами хранения документации в организации, для каждой стадии жизненного цикла системы безопасности это необходимо для эффективного завершения:

- менеджмента функциональной безопасности; и

- выполнения оценки функциональной безопасности.

Примечание 1 - Каждая соответствующая сторона должна иметь только информацию, необходимую для осуществления определенного вида деятельности в соответствии с требованиями EN 16590.

Примечание 2 - Это требование предполагает, что правила хранения информации в организации соответствуют требованиям национального законодательства.

12.2.2 Структура документа

Документация должна:

- быть точной и краткой;

- быть понятной лицам, которые ее используют;

- соответствовать цели, для реализации которой она предназначена;

- быть доступной и удобной в применении;

- быть структурированной таким образом, чтобы обеспечивать возможность поиска соответствующей информации; и

- обеспечивать возможность идентификации последнего пересмотра (версии).

Требования к документации в соответствии с настоящим стандартом в большей степени касаются информационных объектов, чем оформления документов. Информационный объект не должен оформляться как документ, если это однозначно не установлено в соответствующем пункте.

Отдельные технические объекты (элементы) необходимой документации могут быть объединены в одном документе.

Библиография

[1]	EN ISO 9001:2008	Quality management systems - Requirements (ISO 9001:2008) (Системы менеджмента качества. Требования)
[2]	EN ISO 12100	Safety of machinery - General principles for design - Risk assessment and risk reduction (ISO 12100) (Безопасность машин. Общие принципы конструирования. Оценка рисков и снижение рисков)
[3]	ISO 15003	Agricultural engineering - Electrical and electronic equipment - Testing resistance to environmental conditions (Техника сельскохозяйственная. Электрическое и электронное оборудование. Испытания на устойчивость к условиям окружающей среды)
[4]	ISO/TS 16949:2009	Quality management systems - Particular requirements for the application of ISO 9001:2008 for automotive production and relevant service part organizations (Системы менеджмента качества. Частные требования по применению ISO 9001:2008 для производства автомобилей и запчастей к ним)
[5]	EN 61000-4-1	Electromagnetic compatibility (EMC) - Part 4-1: Testing and measurement techniques - Overview of IEC 61000-4 series (IEC 61000-4-1) (Электромагнитная совместимость (EMC). Часть 4-1. Методы испытаний и измерений. Обзор стандартов серии IEC 61000-4)
[6]	EN 61496-1	Safety of machinery - Electro-sensitive protective equipment - Part 1: General requirements and tests (IEC 61496-1) (Безопасность машин. Электрочувствительные защитные устройства. Часть 1. Общие требования и испытания)
[7]	HSE Guidelines on Programmable Electronic Systems in Safety-related Applications, Part 1 (ISBN 0 11 883906 6) and Part 2 (ISBN 0 11 883906 3)

Ключевые слова: менеджмент, функциональная безопасность, элементы системы управления, связанные с безопасностью, обеспечение безопасности, программируемые электронные системы, функции, связанные с обеспечением безопасности, планирование, производство, документация.