Версия для печати

10 Дополнительные требования, предъявляемые к сложной электронике

10.1 Общая часть

10.1.1 Под сложной электроникой понимаются блоки, в которых используются электронные компоненты со следующими характеристиками:

a) компонент имеет несколько функциональных выходов;

b) невозможно представить характер отказа такого компонента как неисправности типа залипания или связями между цепями на выводах или другими неисправностями, описанными в приложении А.

10.1.2 Отказы сложной электроники могут вызываться систематическими ошибками (внутренне присущими устройству) или случайными неисправностями (отказами компонентов), и поэтому при разработке системы необходимо избегать систематических ошибок и случайных отказов связанных с собственной конфигурацией системы (10.2).

10.2 Предотвращение отказов и устранение погрешностей

Автоматы, которые реализуются по технологии описанной в 10.1.1, должны быть разработаны в соответствии с разделом 9 (с учетом ошибок, включенных в приложение А), и как описано в стандарте [1], приложение Н, перечисление Н.11.2.

Разработка программного обеспечения и аппаратных средств должна основываться на функциональном анализе системы управления горелками, что приводит к структурному проектированию, точно вводящему алгоритм управления, поток данных и временные функции, необходимые для работы. При использовании заказных микросхем необходимо уделить особое внимание мерам по сведению к минимуму систематических ошибок.

Такое проектирование системы должно привести к результату, который по своей сути сводится к отказоустойчивости или в установках мониторинга, безопасности критически важных функций (например, газового клапана, микропроцессоров и связанных с ними цепей и т.д.), связанных с безопасностью единиц (в соответствии со стандартом [1], приложение Н, программное обеспечение класса С). Устройства контроля безопасности должны быть интегрированы в аппаратное обеспечение (например, аварийный таймер, датчик контроля напряжения питания и т.д.) и могут быть дополнены программным обеспечением (например, ROM и RAM тесты и т.д.). Важно, что эти устройства мониторинга безопасности могут вызвать полностью независимое аварийное отключение. Время реакции устройств контроля безопасности при основном мониторинге оборудования должно соответствовать требованиям настоящего стандарта.

При применении временного мониторинга должна быть рассмотрена чувствительность верхней и нижней границы интервала времени. Должны быть рассмотрены ошибки, которые приводят к сдвигу верхней и/или нижней границы пределов.

Если ошибка в первичном устройстве мониторинга безопасности может вывести прибор из эксплуатации, должно быть предусмотрено вторичное устройство мониторинга безопасности. Время реакции вторичных устройств мониторинга безопасности должно соответствовать разделу 9.

Примечание - Вторичное устройство мониторинга безопасности может быть сконфигурировано как:

a) физически отдельный контур, который контролирует основное устройство мониторинга безопасности или

b) взаимные действия между контролируемой цепью и первичным устройством мониторинга безопасности (например, датчик контроля, который контролируется микропроцессором) или

c) действия между первичным устройством мониторинга безопасности (например. ROM тест контролирует RAM тест).

10.3 Документация

Примечание - Хорошо составленная документация является весьма полезным средством для исключения и обнаружения систематических ошибок.

10.3.1 Функциональный анализ автоматической системы управления горелками и программы, обеспечивающие безопасность и управляющие этой системой, должны быть документированы иерархически в соответствии с принципами обеспечения безопасности и требованиями, предъявляемыми к программе.

Вместе с системой, подлежащей оценке, должна предоставляться следующая документация:

• описание работы системы, алгоритма управления, потока данных и синхронизации;
• подробное описание обеспечения безопасной работы системы со всеми защитными устройствами и четко указанных функций безопасности. Для оценки функций безопасности или защитных устройств должна быть предоставлена достаточная информация;
• документация по программному обеспечению системы.

10.3.2 Документация по программированию должна поставляться на языке программирования, установленном изготовителем.

10.3.3 Данные по обеспечению безопасности и сегменты рабочей последовательности, связанные с обеспечением безопасности, должны быть помечены как таковые и идентифицироваться в соответствии со стандартом [1], Приложение Н.

10.3.4 Связь между разными частями документации должна быть очевидной, например, связи межкомпонентных соединений, аппаратных средств и программного обеспечения, используемого в документации по программному обеспечению.

10.3.5 Если изготовитель предоставляет документацию по аналитическим мерам, принимаемым на этапе разработки аппаратных средств и программного обеспечения, то эта документация должна использоваться на испытательной станции как часть процедуры оценки.

10.4 Оценка

10.4.1 Для определения рабочих характеристик цепей проводят их оценку в установленных условиях отказов. Эта оценка должна принимать форму теоретического анализа и испытаний путем моделирования отказов компонентов. Моделирование отказов также может проводиться путем их моделирования в сложных устройствах, например, проведением испытаний с применением эмуляции EPROM тестирования.

10.4.2 Только программное обеспечение, связанное с безопасностью (ПО классов В и С), как установлено в 10.3.3 настоящего стандарта, должно подвергаться дополнительной оценке. Что касается идентификации отказов, то она может основываться на анализе дерева отказов.

<<назад / в начало / вперед>>

17 Февраля 2016 г.