ГОСТ Р ЕН 50491-4-1-2014. Национальный стандарт Российской Федерации. Общие требования к электронным системам жилых домов и общественных зданий (ЭСДЗ) и системам управления и автоматизации общественных зданий (СУАЗ). Часть 4-1. Общие требования к функциональной безопасности изделий, предназначенных для включения в ЭСДЗ и СУАЗ
Приложение B
(справочное)
ОПАСНОСТИ И РАЗРАБОТКА НЕОБХОДИМЫХ ТРЕБОВАНИЙ
К ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
В настоящем приложении показана разработка необходимых методов снижения риска в случае опасных ситуаций, упомянутых в пункте 4.2.4 и соответствующих элементов событий. В ходе анализа были разработаны требования, изложенные в разделе 5.
При выполнении этих требований остаточный риск становится допустимым (класс III) либо незначительным (класс IV).
В стандарты изделия должны входить требования и меры по снижению риска до уровня допустимого, как показано в таблице B.1.
Таблица B.1
Требования к безопасности и снижение риска
Опасное событие (п. 4.2.4) | Элементы события | Детали | Требования/меры по снижению риска |
1. Отказ сети питания | 1-1. Отключение питания шины | Только в шине | Изделие должно сохранять всю информацию состояния, необходимую во избежание риска в случае включения питания и/или в случае необходимости перевести систему/изделие в безопасный режим |
1-2. Питание в шине отсутствует |
| ||
1-3. Возобновление питания в шине |
| См. 1-1 | |
1-4. Отключение питания шины от сети 220 В |
| См. 1-1. Блок питания должен работать до 80 мсек | |
1-5. Питание в шине от сети 220 В отсутствует |
| ||
1-6. Отключение резервного питания продукта |
| ||
1-7. Резервное питание продукта отсутствует |
| ||
1-8. Возобновление питания только в сети |
| См. 1-1 | |
1-9. Возобновление питания в сети и в шине |
| См. 1-1 | |
2. Короткое замыкание линии шины | 2-1. Полное короткое замыкание | Изделия с питанием 220 В и/или с дополнительными источниками питания более не контролируют через шину, хотя на них подано питание | См. 1-1. Сеть шины должна быть защищена от перегрузки, см. ЕН 50491-3 |
2-2. Неполное короткое замыкание | Некоторая часть линий шины еще может функционировать. Нет индикации в блоке питания | См. 12 для устройств без связи. См. 1-1 для изделий без питания в шине | |
2-3. Повышенный ток в шине | Шина прекращает сообщать об отключении подачи питания устройством защиты | См. 12. Другой вариант: отключается блок питания и/или выдает специальный сигнал. Другой вариант решения проблемы: разделить независимые линии и разные блоки питания и оставить неисправность локальной | |
3. Перенапряжение на шине | 3-1. Нет последствий |
| Выполняют требования ЕН 50491-3. Электростатический и индукционный заряд: - линия шины с безопасным сверхнизким напряжением (SELV <1>) с защитным полным сопротивлением относительно земли для временных перенапряжений; - постоянные опасные перенапряжения вряд ли возможны из-за применения безопасного сверхнизкого напряжения (SELV). Повреждение изоляции: - изоляция ЭСДЗ/СУАЗ и изделий ЭСДЗ/СУАЗ от других сетей с UR не менее 250 В и следовательно с UR не менее 80 В переменного тока для PELV <2>/SELV, в соответствии с ЕН 50491-3; - опционально: защита устройства защитного отключения (на стороне сети) |
3-2. Автоматический сброс |
| Опционально, нет требований | |
3-3. Ручной сброс |
| Опционально, нет требований | |
3-4. Неисправность изделия |
| Даже есть изделие ЭСДЗ/СУАЗ подключено к сети с напряжением 230 В, оно не должно наносить вред (или вред должен быть маловероятен, из-за оригинального соединения для SELV) | |
4. Перенапряжение питающей сети | 4-1. Нет воздействия на блок питания |
| Сеть 220/400 В. Изделия должны соответствовать требованиям ЕН 50491-3. Тестовое напряжение для массивного изолятора или герметизированных компонентов при проверке изоляции между сетью и ЭСДЗ/СУАЗ равно 4 кВ переменного тока (тестирование проводят в соответствии с ЕН 60664-1:2007) |
4-2. Автоматический сброс блока питания |
| Опционально, нет требований | |
4-3. Ручной сброс блока питания |
| Опционально, нет требований | |
4-4. Неисправность блока питания |
| Следите за тем, чтобы из-за неисправности блока питания не начался пожар или не произошел взрыв | |
5. Повреждение изоляции (температурное, импульсное, механическое) | 5-1. Короткое замыкание |
| Должны быть установлены: - в сети - защита от избыточного тока, в соответствии с [12]; - в шине - ограничение тока (см. ЕН 50491-3) |
5-2. Поступает опасное напряжение |
| Следует соблюдать: - для изделий и сетевых кабелей - правила установки по [12]; - для изделий и кабелей шин - требования к SELV | |
5-3. Открыты токоведущие части |
| См. ЕН 50491-3. Комитеты по разработке изделия должны выработать специальную защиту от механического воздействия, с учетом окружающей среды и, при необходимости, добавить дополнительную внешнюю защиту | |
6. Неправильное подключение | 6-1. На стороне шины | Неправильная полярность | Конструкция и проект изделия должны защищать от неправильных подключений. Маркирование и соответствующие описания помогут избежать неправильных подключений. Если изделие подключено неправильно - оно не должно работать. Изделие не должно вызывать возгораний или взрывов или отрицательно влиять на электрическую безопасность |
6-2. На стороне сети | Соединение клеммника с сетью питания | См. 3-4 и 6-1. Разъемы шины и сети не должны быть взаимозаменяемыми. Конструкция и проект изделия должны защищать от неправильных подключений. Маркирование и соответствующие описания помогут избежать неправильных подключений. Изделие не должно вызывать возгораний или взрывов или отрицательно влиять на электрическую безопасность | |
6-3. Соединение изделий с разными физическими слоями/магистральными системами в разных SELV |
| Конструкция и проект изделия должны защищать от неправильных подключений. Маркирование и соответствующие описания помогут избежать неправильных подключений. Изделие не должно вызывать возгораний или взрывов или отрицательно влиять на электрическую безопасность | |
7. Перегрев | 7-1. Нарушение функционирования |
| Исправная работа изделия возможна только в определенном температурном диапазоне ЕН 50491-2 |
7-2. Внешняя среда |
| Управление подсистемой, работающей при температуре (внешней среды и/или поверхности) более 60 °C: - изделие рассчитано на более высокую температуру внешней среды; - в случае отказа шины подсистема должна перейти в безопасный режим, который может потребовать ручного управления | |
8. Возгорание |
|
| В стандарты изделия должны быть включены требования к пожарной безопасности |
9. Механический удар, вибрация |
|
| Изделия ЭСДЗ должны соответствовать ЕН 50491-2. Комитет по разработке изделия может добавить дополнительные требования |
10. Коррозия |
|
| В стандарты изделия должны быть включены соответствующие требования |
11. Электромагнитная совместимость |
|
| В ходе тестов на электромагнитную совместимость по ЕН 50491-5: - должна быть обеспечена идентификация прерванных сообщений; - не должны возникать ложные, но формально правильные сообщения |
12. Прерванная связь | 12-1. Сигнал прерван |
| Должна быть обеспечена идентификация прерванных сообщений. Расстояние Хемминга, зависимая от среды частота повторения. Необходимое расстояние Хемминга должно быть более 2. Получение надлежащих сообщений должно быть обеспечено также в случае конфликтов (предотвращение конфликтов, обнаружение конфликтов, повтор, подтверждение сообщений и т.д.) |
12-2. Отсутствует часть шины | Например, датчик грозы | Необходимо управлять постоянными/циклическими передатчиками. Безопасная работа изделия должна быть осуществлена независимо от других изделий | |
13. Загрязнение |
|
| Руководствуются ЕН 50491-2 |
14. Конец срока службы компонента/изделия | Общее |
| Комитеты по разработке изделий должны установить требования к минимальному сроку службы (надежность, циклы проверки и т.д.) и/или при необходимости разработать руководства по правилам эксплуатации изделия, например, указать дату разработки |
14-1. Перегрев или возгорание | Неправильное функционирование | См. 7 и 8 | |
14-2. Ошибка => Выход из строя | Устройство не работает или работает неправильно | См. 12-2 | |
14-3. Разрыв соединения или коррозия контакта | Устройство не работает или работает неправильно, либо наблюдается перегрев или возгорание | См. 7, 10 и 12 | |
14-4. Потеря или изменение памяти | Устройство не работает или связь установлена неправильно | См. 16 | |
14-5. Разрыв связи | Не удается установить связь | См. 12 | |
14-6. Внутреннее отключение питания | Устройство не работает | См. 12-2 | |
14-7. Отказ технических средств локальной функции управления | Невозможно произвести внешние операции | Устранимо, нет дополнительного риска | |
14-8. Отказ технических средств, влияющий на связь |
| См. 12 | |
14-9. Ошибка прошивки |
| См. 16 | |
14-10. Кроткое замыкание в шине |
| См. 2 | |
15. Разумно предсказуемое некорректное использование. Диверсия не относится к изделию ЭСДЗ/СУАЗ | 15-1. Загрузка неправильного программного обеспечения | Стабилизация программного обеспечения | Избегать загрузки неправильного программного обеспечения, например: - используя инструмент; - применяя идентификацию изделия и его возможностей с помощью сетевого управления; - используя пароль; - обучив оператора работе с устройством |
15-2. Неправильная конфигурация или параметры |
| В зависимости от применения, комитет по разработке изделия должен установить предельные значения параметров. Конечный пользователь должен обладать ограниченными возможностями конфигурирования. Только профессионалы могут иметь доступ к конфигурированию изделия. Выполнить проверку непротиворечивости, например, с помощью инструментальных средств, средств конфигурации и т.д. Проверка непротиворечивости может быть произведена средством инсталляции | |
15-3. Незавершенная конфигурация | Отсутствие изделия | См. 12. Средства конфигурации должны оповещать об отсутствии изделия в процессе конфигурации | |
15-4. Неправильное использование типов переменных или команд |
| Только профессионалы могут иметь доступ к конфигурации изделия. Средства конфигурации должны проверять правила взаимодействия. Изделия/системы/приложения ЭСДЗ/СУАЗ должны соблюдать правила взаимодействия | |
16. Ошибка программного обеспечения | 16-1. Ошибка программного обеспечения |
| Процесс разработки должен соответствовать стандартам серии ISO 9000 или подобным |
16-2. Ошибка памяти |
| Постоянно выполняйте проверку памяти и принимайте соответствующие меры | |
17. Перегрузка | 17-1. Перегрузка трафика шины | Задержка подачи сигналов | Необходимо управлять постоянными/циклическими передатчиками. Необходимо рассмотреть оптимальный/максимальный загружаемый трафик в каждой среде передачи данных. Проект приложения должен оптимизировать трафик шины |
| Потерянные сообщения | С помощью протокола можно разобраться с потерями сообщений (например, через повторную передачу). Отображение статуса | |
18. Надежность |
|
| Это не опасность, а только мера ее частоты |
19. Повреждение материала (механическое) | 19-1. Отказ в результате износа | Открыты токоведущие части | Для соблюдения электрической безопасности следует: - руководствоваться стандартами изделия или общим стандартом ЕН 50491-3; - проверить, включены ли в инструкцию указания по правильной установке оборудования |
19-2. Использование недопустимо | Открыты токоведущие части | ||
19-3. Неправильная установка оборудования | Открыты токоведущие части | ||
19-4. Неверный тип материала | Открыты токоведущие части | ||
20. Неправильный проект/конструкция | 20-1. Срок службы существенно сокращается |
| См. 14 |
20-2. Возгорание/взрыв из-за перегрузки |
| Меры изложены в стандартах изделия | |
20-3. Перегрев из-за перегрузки |
| ||
20-4. Разрыв соединительных кабелей |
| ||
20-5. Механическая блокировка механизма переключения из-за деформации корпуса |
| ||
20-6. Механическая блокировка из-за коррозии |
| ||
20-7. Повреждение/вред от краев корпуса |
| ||
20-8. Открыты опасные токоведущие части |
| ||
20-9. Выход из строя из-за перегрузки |
| ||
20-10. Выход из строя из-за недостаточной электромагнитной совместимости |
| ||
21. Отключение поврежденного оборудования и подсистем | 21-1. Разрушение корпуса | Возгорание, взрыв. Нет гашения дуги. Короткое замыкание. Открыты токоведущие части | Стандарты оборудования должны также учитывать правила функциональной безопасности |
21-2. Блокировка техники | Устройство не функционирует. Перегрузка => дальнейшие повреждения | ||
21-3. Разрушение разъема или кабеля, находящегося под напряжением => дуга |
| ||
21-4. Повреждение электронных схем | Устройство не функционирует. Выход из строя. Короткое замыкание => перегрев | ||
22a. Дистанционное управление внутри одного помещения |
|
| Нет дополнительных опасностей |
22b. Дистанционное управление внутри здания | 22b-1. Машина начинает вращаться | Движение не контролирует оператор | Прекратить функционирование. Стандарты на приборы. Внешние меры, например аварийная кнопка. Автономные средства |
22b-2. Нагрев изделия возрастает из-за огнеопасного окружения нагревателя |
| Внешнее средство, например биметалл. Дистанционный контроль включен, если авторизация была проведена заблаговременно или любым другим способом. Удостоверение подлинности личности. Автономные средства/меры | |
22b-3. Функционирование оборудования прекращено | Выполняемый процесс становится неконтролируемым | Отключить дистанционную остановку оборудования во время выполнения процесса или принять внешние меры | |
22b-4. Дистанционный контроль сетевых розеток | Например, индикатора | Сетевые розетки с дистанционным управлением должны быть маркированы | |
22b-5. Дистанционная переконфигурация |
| Возможно только внутри зданий | |
Дистанционное управление вне здания | 22c-1. Машина начинает вращаться | Движение не контролирует оператор | Внешние средства, например, аварийная кнопка. Автономные средства. Удостоверение подлинности личности |
22c-2. Нагрев изделия возрастает из-за огнеопасного окружения нагревателя |
| Внешнее средство, например биметалл. Дистанционный контроль включен, если авторизация была проведена заблаговременно или любым другим способом. Удостоверение подлинности личности | |
22c-3. Функционирование оборудования прекращено | Выполняемый процесс становится неконтролируемым | Отключить дистанционную остановку оборудования во время выполнения процесса или принять внешние меры. Удостоверение подлинности личности | |
22c-4. Дистанционный контроль сетевых розеток | Индикатор | Сетевые розетки с дистанционным управлением должны быть маркированы. Авторизованные лица | |
22c-5. Дистанционная переконфигурация |
| Удостоверение подлинности личности | |
23. Из двух источников поступает команда одному изделию (привод) | 23-1. Несанкционированный доступ из разных источников |
| Конфигурационные решения, например: - доступ открыт только для источников с иерархией, проверяется адрес источника; - правило живой очереди |
23-2. Команда встает в очередь | Непредсказуемые результаты | Защитите изделия. Изделие/блокировка функционирования/отключение/приоритет. Разделяемые переменные. "Герметизация" процесса | |
24. Ошибки системы | 24-1. Нет ответа системы | Устройство не функционирует | Выполните сброс системы и переведите ее в заданное состояние |
24-2. Поврежденное сообщение | Электромагнитная совместимость | См. 12 | |
24-3. Ложное сообщение | Изредка может привести к неправильной работе | См. 12 | |
24-4. Непреднамеренное изменение изделий шины | Неверная конфигурация или параметры. Самоконфигурирование | См. 15-4. Авторизация доступа по идентификационному номеру производителя или удостоверение подлинности для конфигурирования программного обеспечения | |
24.5. Система занята | Устройство не функционирует | См. 17 | |
Примечание. Настоящий стандарт не содержит связанные с рисками требования для опасных событий 4, 5, 8, 10, 13, 18, 19, 20, 21, которые должны быть рассмотрены в других стандартах. | |||
--------------------------------
<1> SELV - безопасное сверхнизкое напряжение.
<2> PELV - заземленная система безопасного сверхнизкого напряжения.
Подписаться на обновления