Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Межгосударственный стандарт ГОСТ EN 50491-4-1-2018 "Общие требования к электронным системам жилых и общественных зданий (HBES) и системам автоматизации и управления зданиями (BACS). Часть 4-1. Общие требования к функциональной безопасности изделий, предназначенных для включения в электронные системы жилых и общественных зданий (HBES) и системы автоматизации и управления зданиями (BAGS)" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 17 мая 2022 г. N 309-ст)
- Приложение B (справочное). Опасности и разработка необходимых требований к функциональной безопасности
Приложение B (справочное). Опасности и разработка необходимых требований к функциональной безопасности
Приложение B
(справочное)
Опасности и разработка необходимых требований к функциональной безопасности
В настоящем приложении показана разработка необходимых методов снижения риска в случае опасных ситуаций, упомянутых в 4.2.4, и соответствующих элементов событий. В ходе анализа были разработаны требования, изложенные в разделе 5.
При выполнении этих требований, остаточный риск становится допустимым (класс III) либо незначительным (класс IV).
В стандарты изделия должны входить требования и меры по снижению риска до уровня допустимого, как показано в таблице B.1.
Таблица B.1 - Требования к безопасности и снижение риска
|
Опасное событие (4.2.4) |
Элементы события |
Детали |
Требования/меры по снижению риска |
|
1 Отказ сети питания |
1-1 Отключение питания шины |
Только в шине |
Изделие должно сохранять всю информацию состояния, необходимую во избежание риска в случае включения питания и/или в случае необходимости перевести систему/изделие в безопасный режим |
|
1-2 Питание в шине отсутствует |
|
||
|
1-3 Возобновление питания в шине |
|
См. 1-1 |
|
|
1-4 Отключение питания шины от сети 220 |
|
См. 1-1. Блок питания должен работать до 80 мс |
|
|
1-5 Питание в шине от сети 220 отсутствует |
|
||
|
1-6 Отключение резервного питания продукта |
|
||
|
1-7 Резервное питание продукта отсутствует |
|
||
|
1-8 Возобновление питания только в сети |
|
См. 1-1 |
|
|
1-9 Возобновление питания в сети и в шине |
|
См. 1-1 |
|
|
2 Короткое замыкание линии шины |
2-1 Полное короткое замыкание |
Изделия с питанием 220 В и/или с дополнительными источниками питания более не контролируют через шину, хотя на них подано питание |
См. 1-1. Сеть шины должна быть защищена от перегрузки, см. EN 50491-3 |
|
2-2 Неполное короткое замыкание |
Некоторая часть линий шины еще может функционировать. Нет индикации в блоке питания |
См. 12 для устройств без связи. См. 1-1 для изделий без питания в шине |
|
|
2-3 Повышенный ток в шине |
Шина прекращает сообщать об отключении подачи питания устройством защиты |
См. 12. Другой вариант: отключается блок питания и/или выдает специальный сигнал. Другой вариант решения проблемы: разделить независимые линии и разные блоки питания и оставить неисправность локальной |
|
|
3 Перенапряжение на шине |
3-1 Нет последствий |
|
Выполняют требования EN 50491-3. Электростатический и индукционный заряд: - линия шины с безопасным сверхнизким напряжением (SELV 1)) с защитным полным сопротивлением относительно земли для временных перенапряжений; - постоянные опасные перенапряжения вряд ли возможны из-за применения безопасного сверхнизкого напряжения (SELV). Повреждение изоляции: - изоляция HBES/BACS и изделий HBES/BACS от других сетей с UR не менее 250 В и следовательно с UR не менее 80 В переменного тока для PELV 2)/SELV, в соответствии с EN 50491-3; - опционально: защита устройства защитного отключения (на стороне сети) |
|
3-2 Автоматический сброс |
|
Опционально, нет требований |
|
|
3-3 Ручной сброс |
|
Опционально, нет требований |
|
|
3-4 Неисправность изделия |
|
Даже если изделие HBES/BACS подключено к сети с напряжением 230 В, оно не должно наносить вред (или вред должен быть маловероятен из-за оригинального соединения для SELV) |
|
|
4 Перенапряжение питающей сети |
4-1 Нет воздействия на блок питания |
|
Сеть 220/400 В: Изделия должны соответствовать требованиям EN 50491-3. Тестовое напряжение для массивного изолятора или герметизированных компонентов при проверке изоляции между сетью и HBES/BACS равно 4 кВ переменного тока (тестирование проводят в соответствии с EN 60664-1:2007) |
|
4-2 Автоматический сброс блока питания |
|
Опционально, нет требований |
|
|
4-3 Ручной сброс блока питания |
|
Опционально, нет требований |
|
|
4-4 Неисправность блока питания |
|
Следите за тем, чтобы из-за неисправности блока питания не начался пожар или не произошел взрыв |
|
|
5 Повреждение изоляции (температурное, импульсное, механическое) |
5-1 Короткое замыкание |
|
Должны быть установлены: - в сети - защита от избыточного тока в соответствии с [12]; - в шине - ограничение тока (см. EN 50491-3) |
|
5-2 Поступает опасное напряжение |
|
Следует соблюдать: - для изделий и сетевых кабелей - правила установки по [12]; - для изделий и кабелей шин - требования к SELV |
|
|
5-3 Открыты токоведущие части |
|
См. EN 50491-3. Комитеты по разработке изделия должны выработать специальную защиту от механического воздействия с учетом окружающей среды и при необходимости добавить дополнительную внешнюю защиту |
|
|
6 Неправильное подключение |
6-1 На стороне шины |
Неправильная полярность |
Конструкция и проект изделия должны защищать от неправильных подключений. Маркирование и соответствующие описания помогут избежать неправильных подключений. Если изделие подключено неправильно - оно не должно работать. Изделие не должно вызывать возгораний или взрывов или отрицательно влиять на электрическую безопасность |
|
6-2 На стороне сети |
Соединение клеммника с сетью питания |
Разъемы шины и сети не должны быть взаимозаменяемыми. Конструкция и проект изделия должны защищать от неправильных подключений. Маркирование и соответствующие описания помогут избежать неправильных подключений. Изделие не должно вызывать возгорания или взрывы или отрицательно влиять на электрическую безопасность |
|
|
6-3 Соединение изделий с разными физическими слоями/магистральными системами в разных SELV |
|
Конструкция и проект изделия должны защищать от неправильных подключений. Маркирование и соответствующие описания помогут избежать неправильных подключений. Изделие не должно вызывать возгорания или взрывы или отрицательно влиять на электрическую безопасность |
|
|
7 Перегрев |
7-1 Нарушение функционирования |
|
Исправная работа изделия возможна только в определенном температурном диапазоне EN 50491-2 |
|
7-2 Внешняя среда |
|
Управление подсистемой, работающей при температуре (внешней среды и/или поверхности) более 60 °C: - изделие рассчитано на более высокую температуру внешней среды; - в случае отказа шины подсистема должна перейти в безопасный режим, который может потребовать ручного управления |
|
|
8 Возгорание |
|
|
В стандарты изделия должны быть включены требования к пожарной безопасности |
|
9 Механический удар, вибрация |
|
|
Изделия HBES должны соответствовать EN 50491-2. Комитет по разработке изделия может добавить дополнительные требования |
|
10 Коррозия |
|
|
В стандарты изделия должны быть включены соответствующие требования |
|
11 Электромагнитная совместимость |
|
|
В ходе тестов на электромагнитную совместимость по EN 50491-5: - должна быть обеспечена идентификация прерванных сообщений; - не должны возникать ложные, но формально правильные сообщения |
|
12 Прерванная связь |
12-1 Сигнал прерван |
|
Должна быть обеспечена идентификация прерванных сообщений. Расстояние Хемминга, зависимая от среды частота повторения. Необходимое расстояние Хемминга должно быть более 2. Получение надлежащих сообщений должно быть обеспечено также в случае конфликтов (предотвращение конфликтов, обнаружение конфликтов, повтор, подтверждение сообщений и т.д.) |
|
12-2 Отсутствует часть шины |
Например, датчик грозы |
Необходимо управлять постоянными/циклическими передатчиками. Безопасная работа изделия должна быть осуществлена независимо от других изделий |
|
|
13 Загрязнение |
|
|
Руководствуются EN 50491-2 |
|
14 Конец срока службы компонента/изделия |
Общее |
|
Комитеты по разработке изделий должны установить требования к минимальному сроку службы (надежность, циклы проверки и т.д.) и/или при необходимости разработать руководства по правилам эксплуатации изделия, например указать дату разработки |
|
14-1 Перегрев или возгорание |
Неправильное функционирование |
||
|
14-2 Ошибка => выход из строя |
Устройство не работает или работает неправильно |
См. 12-2 |
|
|
14-3 Разрыв соединения или коррозия контакта |
Устройство не работает или работает неправильно, либо наблюдается перегрев или возгорание |
||
|
14-4 Потеря или изменение памяти |
Устройство не работает, или связь установлена неправильно |
См. 16 |
|
|
14-5 Разрыв связи |
Не удается установить связь |
См. 12 |
|
|
14-6 Внутреннее отключение питания |
Устройство не работает |
См. 12-2 |
|
|
14-7 Отказ технических средств локальной функции управления |
Невозможно произвести внешние операции |
Устранимо, нет дополнительного риска |
|
|
14-8 Отказ технических средств, влияющий на связь |
|
См. 12 |
|
|
14-9 Ошибка прошивки |
|
См. 16 |
|
|
14-10 Кроткое замыкание в шине |
|
См. 2 |
|
|
15 Разумно предсказуемое некорректное использование. Повреждение не относится к изделию HBES/BACS |
15-1 Загрузка неправильного программного обеспечения |
Стабилизация программного обеспечения |
Избегать загрузки неправильного программного обеспечения, например: - используя инструмент; - применяя идентификацию изделия и его возможностей с помощью сетевого управления; - используя пароль; - обучив оператора работе с устройством |
|
15-2 Неправильная конфигурация или параметры |
|
В зависимости от применения комитет по разработке изделия должен установить предельные значения параметров. Конечный пользователь должен обладать ограниченными возможностями конфигурирования. Только профессионалы могут иметь доступ к конфигурированию изделия. Выполнить проверку непротиворечивости, например, с помощью инструментальных средств, средств конфигурации и т.д. Проверка непротиворечивости может быть произведена средством инсталляции |
|
|
15-3 Незавершенная конфигурации |
Отсутствие изделия |
См. 12. Средства конфигурации должны оповещать об отсутствии изделия в процессе конфигурации |
|
|
15-4 Неправильное использование типов переменных или команд |
|
Только профессионалы могут иметь доступ к конфигурации изделия. Средства конфигурации должны проверять правила взаимодействия. Изделия/системы/приложения HBES/BACS должны соблюдать правила взаимодействия |
|
|
16 Ошибка программного обеспечения |
16-1 Ошибка программного обеспечения |
|
Процесс разработки должен соответствовать стандартам серии ISO 9000 или подобным |
|
16-2 Ошибка памяти |
|
Постоянно выполняйте проверку памяти и принимайте соответствующие меры |
|
|
17 Перегрузка |
17-1 Перегрузка трафика шины |
Задержка подачи сигналов |
Необходимо управлять постоянными/циклическими передатчиками. Необходимо рассмотреть оптимальный/максимальный загружаемый трафик в каждой среде передачи данных. Проект приложения должен оптимизировать трафик шины |
|
|
Потерянные сообщения |
С помощью протокола можно разобраться с потерями сообщений (например, через повторную передачу). Отображение статуса |
|
|
18 Надежность |
|
|
Это не опасность, а только мера ее частоты |
|
19 Повреждение материала (механическое) |
19-1 Отказ в результате износа |
Открыты токоведущие части |
Для соблюдения электрической безопасности следует: - руководствоваться стандартами изделия или общим стандартом EN 50491-3; - проверить, включены ли в инструкцию указания по правильной установке оборудования |
|
19-2 Использование недопустимо |
Открыты токоведущие части |
||
|
19-3 Неправильная установка оборудования |
Открыты токоведущие части |
||
|
19-4 Неверный тип материала |
Открыты токоведущие части |
||
|
20-1 Срок службы существенно сокращается |
|
См. 14 |
|
|
20 Неправильный проект/конструкция |
20-2 Возгорание/взрыв из-за перегрузки |
|
Меры изложены в стандартах изделия |
|
20-3 Перегрев из-за перегрузки |
|
|
|
|
20-4 Разрыв соединительных кабелей |
|
Меры изложены в стандартах изделия |
|
|
20-5 Механическая блокировка механизма переключения из-за деформации корпуса |
|
||
|
20-6 Механическая блокировка из-за коррозии |
|
||
|
20-7 Повреждение/вред от краев корпуса |
|
||
|
20-8 Открыты опасные токоведущие части |
|
||
|
20-9 Выход из строя из-за перегрузки |
|
||
|
20-10 Выход из строя из-за недостаточной электромагнитной совместимости |
|
||
|
21 Отключение поврежденного оборудования и подсистем |
21-1 Разрушение корпуса |
Возгорание, взрыв. Нет гашения дуги. Короткое замыкание. Открыты токоведущие части |
Стандарты оборудования должны также учитывать правила функциональной безопасности |
|
21-2 Блокировка техники |
Устройство не функционирует. Перегрузка => дальнейшие повреждения |
||
|
21-3 Разрушение разъема или кабеля, находящегося под напряжением => электрическая дуга |
|
||
|
21-4 Повреждение электронных схем |
Устройство не функционирует. Выход из строя. Короткое замыкание => перегрев |
||
|
22a Дистанционное управление внутри одного помещения |
|
|
Нет дополнительных опасностей |
|
22b Дистанционное управление внутри здания |
22b-1 Машина начинает вращаться |
Движение не контролирует оператор |
Прекратить функционирование. Стандарты на приборы. Внешние меры, например аварийная кнопка. Автономные средства |
|
22b-2 Нагрев изделия возрастает из-за огнеопасного окружения нагревателя |
|
Внешнее средство, например биметалл. Дистанционный контроль включен, если авторизация была проведена заблаговременно или любым другим способом. Удостоверение подлинности личности. Автономные средства/меры |
|
|
22b-3 Функционирование оборудования прекращено |
Выполняемый процесс становится неконтролируемым |
Отключить дистанционную остановку оборудования во время выполнения процесса или принять внешние меры |
|
|
22b-4 Дистанционный контроль сетевых розеток |
Например, индикатора |
Сетевые розетки с дистанционным управлением должны быть маркированы |
|
|
22b-5 Дистанционная переконфигурация |
|
Возможно только внутри зданий |
|
|
22с Дистанционное управление вне здания |
22c-1 Машина начинает вращаться |
Движение не контролирует оператор |
Внешние средства, например аварийная кнопка. Автономные средства. Удостоверение подлинности личности |
|
22c-2 Нагрев изделия возрастает из-за огнеопасного окружения нагревателя |
|
Внешнее средство, например биметалл. Дистанционный контроль включен, если авторизация была проведена заблаговременно или любым другим способом. Удостоверение подлинности личности |
|
|
22c-3 Функционирование оборудования прекращено |
Выполняемый процесс становится неконтролируемым |
Отключить дистанционную остановку оборудования во время выполнения процесса или принять внешние меры. Удостоверение подлинности личности |
|
|
22c-4 Дистанционный контроль сетевых розеток |
Индикатор |
Сетевые розетки с дистанционным управлением должны быть маркированы. Авторизованные лица |
|
|
22c-5 Дистанционная переконфигурация |
|
Удостоверение подлинности личности |
|
|
23 Из двух источников поступает команда одному изделию (привод) |
23-1 Несанкционированный доступ из разных источников |
|
Конфигурационные решения, например: - доступ открыт только для источников с иерархией, проверяется адрес источника; - правило живой очереди |
|
23-2 Команда встает в очередь |
Непредсказуемые результаты |
Защитите изделия. Изделие/блокировка функционирования/ отключение/приоритет. Разделяемые переменные. "Герметизация" процесса |
|
|
24 Ошибки системы |
24-1 Нет ответа системы |
Устройство не функционирует |
Выполните сброс системы и переведите ее в заданное состояние |
|
24-2 Поврежденное сообщение |
Электромагнитная совместимость |
См. 12 |
|
|
24-3 Ложное сообщение |
Изредка может привести к неправильной работе |
См. 12 |
|
|
24-4 Непреднамеренное изменение изделий шины |
Неверная конфигурация или параметры. Само конфигурирование |
См. 15-4. Авторизация доступа по идентификационному номеру производителя или удостоверение подлинности для конфигурирования программного обеспечения |
|
|
24.5 Система занята |
Устройство не функционирует |
См. 17 |
|
|
1) SELV - безопасное сверхнизкое напряжение. 2) PELV - заземленная система безопасного сверхнизкого напряжения.
Примечание - Настоящий стандарт не содержит связанные с рисками требования для опасных событий 4, 5, 8, 10, 13, 18, 19, 20, 21, которые должны быть рассмотрены в других стандартах. | |||