ГОСТ IEC 60730-1-2016. Межгосударственный стандарт. Автоматические электрические управляющие устройства. Часть 1. Общие требования

Приложение H

(обязательное)

 

ТРЕБОВАНИЯ К ЭЛЕКТРОННЫМ УПРАВЛЯЮЩИМ УСТРОЙСТВАМ

 

Приложение H дополняет или изменяет соответствующие разделы настоящего стандарта.

H.2 Термины и определения

H.2.4 Определения, относящиеся к отключению и прерыванию

H.2.4.2 Дополнение

Примечание - Электронное устройство не обеспечивает данное отключение.

 

H.2.4.3 Дополнение

Примечание - Электронное устройство не обеспечивает данное отключение.

 

H.2.4.4 Дополнение

Примечание - Электронное устройство не обеспечивает данное отключение.

 

Дополнение

H.2.4.6 электронное отключение (electronic disconnection): Нецикличное прерывание электронным устройством цепи в целях функционального отключения, которое обеспечивает отключение, отличное от того, которое происходит посредством воздушного зазора путем удовлетворения определенным электрическим требованиям, по крайней мере, на одном полюсе.

Примечание 1 - Электронное отключение обеспечивает факт того, что для всех управляющих устройств без чувствительного элемента функция, управляемая данным отключением, является безопасной, и то, что для всех управляющих устройств с чувствительным элементом, управляемая функция является безопасной в границах предельных значений воздействующей величины, заявленной в таблице 1, требование 36.

 

Отключение может быть достигнуто путем автоматического действия или ручного действия.

Некоторые управляющие устройства могут включать в себя отключения цепи более чем одного типа.

Электронное отключение может не подходить для некоторых применений. Смотри Раздел H.28.

H.2.5 Определения типа управляющего устройства в соответствии с их конструкцией

Дополнение

H.2.5.7 электронное управляющее устройство (electronic control): Управляющее устройство, которое включает в себя как минимум одно электронное устройство

H.2.5.8 электронное устройство (electronic device): Устройство, которое создает динамический дисбаланс электронов

Примечание 1 - Основной функционал и конструкция строятся на полупроводниковых приборах, вакуумной или газоразрядной ламповой технике.

 

H.2.5.9 электронный узел (electronic assembly): Группа компонентов, как минимум один из которых является электронным устройством, но в котором отдельные части могут быть заменены без повреждения узла.

Примечание 1 - Примером этого является группа компонентов, смонтированная на печатной плате.

 

H.2.5.10 интегральная схема (integrated circuit): Электронное устройство, содержащееся в толще полупроводникового материала и подключение к которому выполняется на поверхности такого материала или вблизи него.

Примечание 1 - Полупроводниковый материал обычно заключают внутрь какого-либо корпуса.

 

H.2.5.11 гибридная схема (hybrid circuit): Электронное устройство, изготовленное на керамической основе посредством толстопленочной технологии, тонкопленочной технологии или технологии поверхностного монтажа (SMD) без доступных электрических соединений, за исключением контактов ввода/вывода, и со всеми внутренними соединениями, сконструированными в виде части рамки с выводами или другой объединяющей конструкции

H.2.7 Определения, касающиеся защиты от поражения электрическим током

Дополнение

H.2.7.14 защитный импеданс (protective impedance): Полное электрическое сопротивление, присоединенное между токоведущими частями и доступными проводящими частями, такого значения, что ток, при нормальной эксплуатации и при возможных неисправностях оборудования, ограничен до безопасного значения

Дополнение

H.2.16 Определения, касающиеся архитектуры управляющих устройств, использующих программное обеспечение.

H.2.16.1 двойной канал (dual channel): Конструкция, которая содержит два взаимно независимых функциональных средства для выполнения указанных операций.

Примечание 1 - Специальные средства могут быть предусмотрены для контроля состояний неисправности/ошибки в обычном режиме работы. Не требуется, чтобы каждый из двух каналов был алгоритмического или логического типа.

 

H.2.16.2 двойной канал (разнотипный) со сравнением (dual channel (diverse) with comparison): Конструкция двойного канала, содержащая два разных и взаимно независимых функциональных средства, каждое из которых в состоянии обеспечить заявленный отклик, в которой выполняется сравнение выходных сигналов для распознавания состояния неисправности/ошибки.

H.2.16.3 двойной канал (однотипный) со сравнением (dual channel (homogeneous) with comparison): Конструкция двойного канала, содержащая два идентичных и взаимно независимых функциональных средства, каждое из которых в состоянии обеспечить заявленный отклик, в котором выполняется сравнение внутренних сигналов или выходных сигналов для распознавания состояния неисправности/ошибки.

H.2.16.4 одинарный канал (single channel): Конструкция, в которой одно функциональное средство используют для выполнения указанных действий.

H.2.16.5 одинарный канал с функциональной проверкой (single channel with functional test): Конструкция одинарного канала, в которой контрольные данные вводят в функциональный блок перед его работой.

H.2.16.6 одинарный канал с функцией периодического самоконтроля (single channel with periodic self-test): Конструкция одинарного канала, в которой компоненты управляющего устройства периодически подвергают контролю во время работы.

H.2.16.7 одинарный канал с функцией периодического самоконтроля и слежения (single channel with periodic self-test and monitoring): Одноканальная конструкция с периодической самопроверкой, в которой каждое из независимых средств, способных обеспечить заявленный отклик, осуществляет слежение за такими аспектами, как связанные с безопасностью временные характеристики, порядок выполнения операций и работу программного обеспечения.

H.2.17 Определения, касающиеся предотвращения ошибок в управляющих устройствах, использующих программное обеспечение

H.2.17.1 динамический анализ (dynamic analysis): Метод анализа, в котором моделируются входные сигналы, подаваемые на управляющее устройство, и логические сигналы в узлах цепи проверяют на правильность значений и временных характеристик.

H.2.17.2 вычисление интенсивности отказов (failure rate calculation): Вычисление теоретического количества отказов данного вида на единицу.

Примечание 1 - Например, отказы в час или отказы на цикл срабатывания.

 

H.2.17.3 анализ аппаратного обеспечения (hardware analysis): Процесс оценки, в котором схемы и компоненты управляющего устройства оценивают на правильное функционирование в пределах указанных для них погрешностей и номиналов.

H.2.17.4 моделирование аппаратного обеспечения (hardware simulation): Метод анализа, в котором функционирование цепи и допуски компонентов изучают при помощи компьютерной модели.

H.2.17.5 осмотр (inspection): Процесс оценки, в котором спецификация, конструкция или код аппаратного или программного обеспечения изучается лицом или группой лиц, отличных от разработчика или программиста, с целью выявления возможных ошибок.

Примечание 1 - В отличие от сквозного контроля, разработчик или программист не задействуются в ходе данной оценки.

 

H.2.17.6 эксплуатационное испытание (operational test): Оценка процесса, в котором управляющее устройство работает на пределах своих заложенных в конструкцию условий срабатывания (например, скорость цитирования, температура, напряжение) для выявления ошибок в проектировании или конструкции.

H.2.17.7 Статический анализ

H.2.17.7.1 статический анализ - аппаратное обеспечение (static analysis - hardware): Процесс оценки, в котором модель аппаратного обеспечения систематически оценивают.

Примечание 1 - Оценка может обычно быть произведена при помощи компьютера (автоматизирована) и может включать изучение комплектующих частей и компоновку печатной платы, анализ интерфейса и функциональные проверки.

 

H.2.17.7.2 статический анализ - программное обеспечение (static analysis - software): Процесс оценки, в котором программное обеспечение систематически оценивают без необходимости обязательного исполнения программы.

Примечание 1 - Оценка обычно может быть произведена при помощи компьютера (автоматизированно) и обычно включает анализ таких характеристик, как логика работы программы, тракты данных, интерфейсы и переменные.

 

H.2.17.8 системное испытание (systematic test): Метод анализа, в котором система или программное обеспечение оценивают на корректное выполнение путем ввода наборов выборочных тестовых данных.

Примечание 1 - Например, см. тест черного ящика и тест белого ящика.

 

H.2.17.8.1 тест черного ящика (black box test): Системное испытание, в котором тестовые данные, полученные на основании функциональной спецификации, вводят в функциональный блок для оценки корректности его срабатывания.

H.2.17.8.2 тест белого ящика (white box test): Системное испытание, в котором тестовые данные, основанные на спецификации программного обеспечения, вводят в программу для оценки корректного срабатывания процедур и функций программы.

Примечание 1 - Например, данные могут быть выбраны для выполнения как можно большего количества команд, как можно большего количества ветвлений, как можно большего количества подпрограмм и пр.

 

H.2.17.9 сквозной контроль (walk-through): Процесс оценки, в котором разработчик или программист знакомит членов оценочной группы с конструкцией аппаратного обеспечения, архитектурой программного обеспечения и/или кодами программного обеспечения, которые разработали конструктор или программист, для выявления возможных ошибок.

Примечание 1 - В отличие от осмотра, разработчик или программист задействованы в ходе данного обзора.

 

H.2.17.10 время обнаружения программной неисправности/ошибки (software fault/error detection time): Период времени между возникновением состояния неисправности/ошибки и инициированием заявленного отклика программным обеспечением управляющего устройства.

H.2.18 Определения, касающиеся методов обработки состояний неисправностей/ошибок для управляющих устройств, использующих программное обеспечение

H.2.18.1 Избыточность шины

H.2.18.1.1 полная избыточность шины (bus redundancy): Метод контроля состояний неисправностей/ошибок, в котором избыточные полноразрядные данные и/или адреса обеспечены конструкцией избыточной шины.

H.2.18.1.2 многоразрядный контроль четности шины (multi-bit bus parity): Метод контроля состояний неисправностей/ошибок, в котором шина расширяется на два или более разряда, и эти дополнительные разряды используют для обнаружения ошибки.

H.2.18.1.3 одноразрядный контроль четности шины (single bit bus parity): Метод контроля состояний неисправностей/ошибок, в котором шина расширяется на один разряд, и этот дополнительный разряд используется для обнаружения ошибки.

H.2.18.2 безопасность кода (code safety): Метод контроля состояний неисправностей/ошибок, в котором защиту от случайных и/или систематических ошибок в информации на входе и выходе обеспечивают применением избыточности данных и/или избыточностью передачи (см. также H.2.18.2.1 и H.2.18.2.2).

H.2.18.2.1 избыточность данных (data redundancy): Форма безопасности кода, в которой возникает хранение избыточных данных.

H.2.18.2.2 избыточность передачи (transfer redundancy): Форма безопасности кода, в которой данные передаются последовательно как минимум дважды и затем сравниваются.

Примечание 1 - Данная техника будет распознавать случайные ошибки.

 

H.2.18.3 компаратор (comparator): Устройство, используемое для контроля состояний сбоев/ошибок в двухканальных структурах.

Примечание 1 - Устройство сравнивает данные от двух каналов и запускает заявленный отклик, если выявлено различие.

 

H.2.18.4 моделирование состояния неисправности по постоянному току (d.c. fault mode): Моделирование постоянной неисправности, включающее в себя короткие замыкания между сигнальными линиями.

Примечание 1 - Из-за количества возможных коротких замыканий в испытываемом устройстве обычно будут принимать во внимание только короткие замыкания между связанными сигнальными линиями. Определяют уровень логического сигнала, который доминирует в случаях, когда линии пытаются удержать противоположный уровень.

 

H.2.18.5 испытание класса эквивалентности (equivalence class test): Системное испытание, предназначенное для определения, корректно ли выполняются декодирование и выполнение команд.

Примечания

1 Тестовые данные получают из спецификации команд ЦП.

2 Схожие команды группируют, и входной набор данных разбивают на отдельные интервалы данных (классы эквивалентности). Каждая команда в пределах группы обрабатывает, как минимум, одну выборку тестовых данных таким образом, чтобы вся группа обрабатывала весь набор тестовых данных. Тестовые данные могут быть сформированы из следующих источников:

- данные из допустимого диапазона значений;

- данные из недопустимого диапазона значений;

- данные в районе границ диапазона значений;

- экстремальные значения и их комбинации.

Испытания внутри группы команд проводят с различными режимами адресации так, чтобы вся группа использовала все режимы адресации.

 

H.2.18.6 средства распознавания ошибки (error recognizing means): Независимые средства, предусмотренные в целях распознавания ошибок, внутренних по отношению к системе.

Примечание 1 - Примерами являются устройства слежения, компараторы и генераторы кодов.

 

H.2.18.7 расстояние Хемминга (Hamming distance): Статистическая мера, представляющая способность кода обнаруживать и исправлять ошибки.

Примечания

1 Расстояние Хемминга для двух кодовых слов равняется числу позиций, различных в этих двух кодовых словах.

2 См. H. Holscher and J. Rader; "Microcomputers in safety techniques". Verlag TUV Bayern. TUV Rheinland. (ISBN 3-88585-315-9).

 

H.2.18.8 сравнение информации на входе (input comparison): Метод контроля состояния неисправности/ошибки, при котором сравнивают входные сигналы, которые должны находиться в пределах указанных допусков.

H.2.18.9 обнаружение внутренней ошибки (internal error detection): Метод контроля состояния неисправности/ошибки, в котором используют специальную схему для обнаружения или исправления ошибок.

H.2.18.10 Программная последовательность

H.2.18.10.1 контроль частоты (frequency monitoring): Метод контроля состояния неисправности/ошибки, в котором тактовую частоту сравнивают с независимой фиксированной частотой.

Примечание 1 - Примером является сравнение с частотой линии питания.

 

H.2.18.10.2 логический контроль очередности выполнения команд программы (logical monitoring of the programme sequence): Метод контроля состояния неисправности/ошибки, в котором логически контролируют выполнение программной последовательности.

Примечание 1 - Примерами являются использование ведущих учет подпрограмм или отдельных данных в самой программе или в независимых устройствах контроля.

 

H.2.18.10.3 контроль интервалов времени и логический контроль (time-slot and logical monitoring): Этот пункт является комбинацией H.2.18.10.2 и H.2.18.10.4.

H.2.18.10.4 контроль интервалов времени в программной последовательности (time-slot monitoring of the programme sequence): Метод контроля состояния неисправности/ошибки, в которой устройства учета времени (таймеры) с независимой временной разверткой периодически активируют для наблюдения за функционированием и последовательностью выполнения программы.

Примечание 1 - Примером является сторожевой таймер (watchdog timer).

 

H.2.18.11 многоканальные параллельные устройства вывода (multiple parallel outputs): Метод контроля состояния неисправности/ошибки, при котором предусмотрены независимые выходы для обнаружения ошибки или для независимых компараторов.

H.2.18.12 верификация состояния выхода (output verification): Метод контроля состояния неисправности/ошибки, в котором выходы сравнивают с независимыми вводами.

Примечание 1 - Данная техника может связывать, а может и не связывать ошибку с неисправным выходом.

 

H.2.18.13 проверка вероятности (plausibility check): Метод контроля состояния неисправности/ошибки, в котором процесс выполнения программы, входы или выходы проверяют на недопустимую программную последовательность, временные характеристики или данные.

Примечание 1 - Примерами являются вводы дополнительного прерывания после выполнения определенного числа циклов или проверок деления на нуль.

 

H.2.18.14 проверка протокола (protocol test): Метод контроля состояния неисправности/ошибки, в котором данные передаются к и от компьютерных компонентов для определения ошибок во внутреннем коммуникационном протоколе.

H.2.18.15 взаимное сравнение (reciprocal comparison): Метод контроля состояния неисправности/ошибки, используемый в двухканальных (однотипных) структурах, в которой сравнение выполняется на данных, которыми взаимно обмениваются два процессорных блока.

Примечание 1 - Термин "взаимно" относится к обмену аналогичными данными.

 

H.2.18.16 генерация избыточных данных (redundant data generation): Доступность двух или более независимых средств, в частности генераторов кода, для выполнения одной и той же задачи.

H.2.18.17 избыточный контроль (redundant monitoring): Доступность двух или более независимых средств, в частности сторожевых устройств и компараторов, для выполнения одной и той же задачи.

H.2.18.18 запланированная передача данных (scheduled transmission): Процедура передачи данных, в которой информации от определенного отправителя допустимо быть переданной только в заранее установленный момент времени и в определенной последовательности, в противном случае приемник рассмотрит информацию как ошибку связи.

H.2.18.19 диверсификация программного обеспечения (software diversity): Метод контроля состояния неисправности/ошибки, в котором все части программного обеспечения встроены дважды в виде альтернативных вариантов программного кода.

Примечание 1 - Например, альтернативные коды программного обеспечения могут быть произведены различными программами, различными языками или различными шаблонами компиляции и могут располагаться в различных аппаратных каналах или в различных участках памяти в пределах одинарного аппаратного канала.

 

H.2.18.20 модель постоянной неисправности (stuck-at fault mode): Режим неисправности, представляющий разомкнутую цепь или неизменный уровень сигнала.

Примечание 1 - Принято называть как "постоянно разомкнуто", "постоянный 1" или "постоянный 0".

 

H.2.18.21 проверка средствами контроля (tested monitoring): Наличие независимых средств, в частности сторожевых устройств и компараторов, которые проверяются при запуске или периодически в ходе работы.

H.2.18.22 проверочный набор данных (testing pattern): Метод контроля состояния неисправности/ошибки, используемый для периодической проверки блоков ввода, блоков вывода и интерфейсов управляющего устройства.

Примечание 1 - Проверочный набор данных вводят в устройство, и результаты сравнивают с ожидаемыми значениями. Применяют взаимно независимые средства для введения проверочного набора данных и оценки результатов. Проверочный набор данных конструируется так, чтобы не влиять на корректную работу управляющего устройства.

 

H.2.19 Определения, касающиеся тестирования памяти для управляющих устройств, использующих программное обеспечение

H.2.19.1 проверка методом Абрахама (Abraham test): Особая форма испытания модели изменяемой памяти, в которой идентифицируются все константные неисправности и неисправности из-за взаимовлияния между ячейками памяти.

Примечания

1 Количество срабатываний, требуемых для выполнения полной проверки памяти, составляет примерно 30 n, где n является количеством ячеек в памяти. Проверка может быть реализована прозрачно для применения в ходе работы устройства путем разбиения памяти и проверки каждого участка в различные отрезки времени.

2 См. Abraham, J.A.; Thatte, S.M.; "Fault coverage of test programs for a microprocessor", Proceeding of the IEEE Test Conference 1979, pp. 18 - 22.

 

H.2.19.2 проверка памяти методом GALPAT (GALPAT memory test): Метод контроля состояния неисправности/ошибки, при котором в массиве записанных одинаковыми данными ячеек памяти одна ячейка записывается инверсными данными, после чего проверяется содержимое остального тестируемого массива памяти.

Примечания

1 После каждой операции считывания каждой из оставшихся ячеек в массиве инверсно записанную ячейку также проверяют и считывают. Данный процесс повторяют для всех проверяемых ячеек памяти. Затем проводят вторую проверку способом, указанным выше, на том же участке памяти без инверсной записи в проверяемую ячейку.

2 Проверка может быть реализована прозрачно для применения в ходе работы устройства путем разбиения памяти и проверки каждого участка в различные отрезки времени (см. прозрачная проверка GALPAT).

 

H.2.19.2.1 прозрачная проверка методом GALPAT (transparent GALPAT test): Прозрачная проверка методом GALPAT, в которой вначале формируют сигнатурное слово, отражающее содержимое проверяемой области памяти, затем данное слово сохраняют.

Примечания

1 Проверяемую ячейку записывают инверсно, и проверку проводят способом, указанным выше. Однако оставшиеся ячейки проверяют не индивидуально, а путем формирования второго сигнатурного слова и его сравнения. Затем проводят вторую проверку, как указано выше, путем инверсной записи ранее инвертированного значения в проверяемую ячейку.

2 Данная методика распознает все статические битовые ошибки, а также ошибки в интерфейсах между ячейками памяти.

 

H.2.19.3 Контрольная сумма

H.2.19.3.1 модифицированная контрольная сумма (modified checksum): Метод контроля состояния неисправности/ошибки, в котором генерируется и сохраняется одно слово, представляющее содержание всех слов в памяти.

Примечания

1 В ходе самопроверки контрольную сумму формируют по тому же алгоритму и сравнивают с сохраненной контрольной суммой.

2 Данная техника распознает все нечетные ошибки и некоторые из четных ошибок.

 

H.2.19.3.2 множественная контрольная сумма (multiple checksum): Метод контроля состояния неисправности/ошибки, в котором генерируются и сохраняются отдельные слова, представляющие содержание областей проверяемой памяти.

Примечания

1 В ходе самопроверки контрольную сумму формируют по тому же алгоритму и сравнивают с сохраненной контрольной суммой для соответствующей области.

2 Данная методика распознает все нечетные ошибки и некоторые из четных ошибок.

 

H.2.19.4 Циклический избыточный контроль (CRC)

H.2.19.4.1 CRC с одним словом (CRC - single word): Метод контроля состояния неисправности/ошибки, в котором одно слово генерируется для представления содержания памяти.

Примечания

1 В ходе самопроверки используют тот же алгоритм для генерирования другого сигнатурного слова, которое сравнивают с сохраненным словом.

2 Данная техника распознает все одноразрядные и высокий процент многоразрядных ошибок.

 

H.2.19.4.2 CRC с двойным словом (CRC - double word): Метод контроля состояния неисправности/ошибки, в котором как минимум два слова генерируются для представления содержания памяти.

Примечания

1 В ходе самопроверки используют тот же алгоритм для генерирования того же количества сигнатурных слов, которые сравнивают с сохраненными словами.

2 Данная техника может распознавать одноразрядные и многоразрядные ошибки с точностью, чем CRC с одним словом.

 

H.2.19.5 избыточная память со сравнением (redundant memory with comparison): Конструкция, в которой относящееся к безопасности содержание памяти хранится в различном формате в двух раздельных областях так, чтобы их можно быть сравнить для определения и устранения ошибки.

H.2.19.6 статическая проверка памяти (static memory test): Метод контроля состояния неисправности/ошибки, который предназначен для выявления только статических ошибок.

H.2.19.6.1 проверка памяти методом "шахматная доска" (checkerboard memory test): Статическая проверка памяти, в которой набор нулей и единиц типа "шахматная доска" записывается в область проверяемой памяти, а ячейки проверяются попарно.

Примечание 1 - Адрес первой ячейки в каждой паре является переменным, а адрес второй ячейки получается инверсией разрядов адреса первой ячейки. При первой проверке изменяемый адрес сначала прирастает до конца адресного пространства памяти, а затем убывает к своему исходному значению. Проверку повторяют с инвертированным набором "шахматная доска".

 

H.2.19.6.2 проверка памяти методом "марш" (marching memory test): Статическая проверка памяти, при которой данные записываются в область проверяемой памяти, как и при нормальной работе.

Примечание 1 - Каждую ячейку в дальнейшем проверяют в порядке возрастания адреса, и на содержании проводится инверсия разрядов. Проверка и инверсия разрядов данных затем повторяют на ячейках в порядке убывания адреса. После того как будет выполнена инверсия битов данных на всех проверяемых ячейках памяти, процесс проверки повторяют.

 

H.2.19.7 пошаговая проверка памяти (walkpat memory test): Метод контроля состояния неисправности/ошибки, в котором стандартный набор данных записывается в область проверяемой памяти, как и при нормальной работе.

Примечания

1 На первой ячейке памяти выполняют инверсию разрядов, а затем проверяют оставшуюся область памяти. Затем первая ячейка снова инвертируется, и память снова проверяется. Данный процесс повторяют для всех проверяемых ячеек памяти. Вторую проверку проводят путем инверсии разрядов всех ячеек в проверяемой памяти и делают так же, как указано выше.

2 Данная техника распознает все статические битовые ошибки, а также ошибки в интерфейсах между ячейками памяти.

 

H.2.19.8 Защита слова

H.2.19.8.1 защита слова с помощью многоразрядной избыточности (word protection with multi-bit redundancy): Метод контроля состояния неисправности/ошибки, в которой избыточные разряды генерируются и сохраняются для каждого слова проверяемой области памяти.

Примечания

1 С каждым считыванием слова выполняется контроль четности.

2 Примером является код Хемминга, который распознает все одно- и двухразрядные ошибки, а также некоторые из трехразрядных и многоразрядных ошибок.

 

H.2.19.8.2 защита слова с помощью одноразрядной избыточности (word protection with single bit redundancy): Метод контроля состояния неисправности/ошибки, в которой один разряд добавляется к каждому слову в проверяемой памяти и сохраняется, создавая или четность, или нечетность для последовательности разрядов слова.

Примечания

1 С каждым считыванием слова выполняется контроль четности.

2 Данный метод распознает все нечетные ошибки разрядов.

 

H.2.20 Определения терминологии программного обеспечения. Общая часть

H.2.20.1 ошибка общего состояния (common mode error): Ошибка(и) в двойном канале или другой избыточной структуре такая, что каждый канал или структура подвергаются воздействию одновременно и аналогичным образом.

H.2.20.2 ошибка от общей причины (common cause error): Ошибки в различных местах, возникающие от одного события, где такие ошибки не являются следствием друг друга.

Примечание 1 - Ошибки от общей причины не следует путать с ошибками общего состояния.

 

H.2.20.3 анализ состояния отказов и их последствий, FMEA (failure modes and effects analysis, FMEA): Аналитическая техника, в которой состояния отказа каждого компонента аппаратного обеспечения выявляются и исследуются на их воздействия на связанные с безопасностью функции управляющего устройства.

H.2.20.4 независимое устройство (independent): Устройство, не испытывающее отрицательного воздействия от контрольного потока данных и не поддающееся влиянию отказа прочих функций управляющего устройства или эффектов общего состояния.

H.2.20.5 постоянная память (invariable memory): Области памяти в системе с процессором, содержащие данные, которые не предназначены для изменения во время выполнения программы.

Примечание 1 - Понятие постоянная память может включать в себя конструкцию ОЗУ, где данные не предназначены для изменения в ходе выполнения программы.

 

H.2.20.6 изменяемая память (variable memory): Области памяти в системе с процессором, содержащие данные, которые предназначены для изменения во время выполнения программы.

H.2.21 Утратил силу

H.2.22 Определения, касающиеся классов функций управляющих устройств

Для оценки защитных мероприятий, обеспечивающих устойчивость к неисправности и исключения факторов риска, необходимо классифицировать функции управляющего устройства с учетом их поведения при возникновении неисправности.

При классификации функций управляющего устройства должно быть принято во внимание их место в общей концепции безопасности прибора.

Примечание - Функция управляющего устройства состоит из полного рабочего цикла: от датчиков, через цепь обработки (в том числе аппаратное и программное обеспечение, если применяется) и включая исполнительный привод.

 

Для оценки функции управляющего устройства, настоящие требования распознают три отдельных класса.

H.2.22.1 функция управляющего устройства класса A (class A control function): Функции управляющего устройства, которые не предназначены для того, чтобы бы от них зависела безопасность применения аппарата.

Примечание 1 - Примерами являются: комнатные терморегуляторы, температурное управляющее устройство.

 

H.2.22.2 функция управляющего устройства класса B (class B control function): Функции управляющего устройства, которые предназначены для предупреждения небезопасного состояния аппарата.

Примечания

1 Отказ функции управляющего устройства не приведет напрямую к опасной ситуации.

2 Примерами являются: температурный ограничитель, ограничитель давления.

 

H.2.22.3 функция управляющего устройства класса C (class C control function): Функции управляющего устройства, которые предназначены для предотвращения конкретных опасных состояний, в частности взрыва, или чей отказ мог бы напрямую вызвать опасное состояние прибора или системы.

Примечание 1 - Примерами являются: системы управления горением, термовыключатели для закрытых водяных систем (без вентиляционной защиты).

 

H.2.23 Определения, относящиеся к функциональной безопасности

H.2.23.1 допустимое время неисправности (fault tolerating time): Время между возникновением неисправности и выключением контролируемого оборудования, которое допускается аппаратурой без возникновения опасной ситуации.

Примечание 1 - Возможны действия, отличные от выключения контролируемого оборудования, если они могут предотвратить опасные ситуации.

 

H.2.23.2 время реакции на неисправность (fault reaction time): Время между возникновением неисправности и моментом, когда управляющее устройство достигло заданного состояния.

H.2.23.3 заданное состояние (defined state): Состояние управляющего устройства со следующей характеристикой:

a) управляющее устройство пассивно приобретает состояние, в котором выходные контакты безопасны при любых обстоятельствах. Когда основание для перехода к заданному состоянию снимается, аппаратура должна запуститься в соответствии с требованиями; или

b) управляющее устройство активно выполняет защитное действие в пределах времени, как указано в соответствующей части 2, вызывая отключение или предупреждая небезопасное состояние; или

c) управляющее устройство остается в рабочем состоянии, продолжая удовлетворять всем относящимся к вопросам безопасности функциональным требованиям

H.2.23.4 электронный комплекс (complex electronics): Означает сборные узлы, которые используют электронные компоненты со следующими характеристиками:

a) компонент обеспечивает более чем один функциональный выход;

b) практически нецелесообразно или невозможно воспроизвести режим отказа такого компонента от константной и перекрестной ошибки на выводах или от режимов отказа, которые описаны в таблице H.24

H.2.23.5 перезапуск (Void): Действие, которое обеспечивает перезапуск из безопасного состояния с тем, чтобы позволить системе попытаться повторно начать работу.

H.2.23.6 Утратил силу

H.2.23.7 деградация (рабочей характеристики) (degradation (of performance)): Нежелательное отклонение в рабочей характеристике какого-либо устройства, оборудования или системы от заданной рабочей характеристики.

Примечание 1 - Термин "деградация" можно применять к временному или постоянному отказу.

 

[Источник: IEC 60050-161:1990, 161-01-19]

H.2.23.8 Утратил силу

H.2.23.9 ущерб (harm): Ранение или нанесение вреда здоровью людей, или ущерба собственности или окружающей среде.

[Источник: ISO/IEC Guide 51:1999, 3.3].

H.2.23.10 опасное состояние (hazard): Потенциальный источник ущерба

[Источник: ISO/IEC Guide 51:1999, 3.5].

H.2.23.11 риск (risk): Комбинация вероятности возникновения ущерба и серьезности такого ущерба

[Источник: ISO/IEC Guide 51:1999, 3.2].

H.2.23.12 логично предсказуемое неправильное использование (reasonably foreseeable misuse): Использование продукта, процесса или услуги при условиях или в целях, не предназначенных поставщиком, но которое может произойти в силу конструкции продукта в комбинации с, или в результате обычного поведения человека.

[Источник: ISO/IEC Guide 51:1999, 3.14 изменен, - было добавлено "образом, не предназначенным поставщиком, но которое может стать результатом легко предсказуемого поведения человека".].

H.2.23.13 функциональная безопасность (functional safety): Безопасность, относящаяся к аппаратуре, которая зависит от корректного функционирования связанного с безопасностью управляющего устройства.

H.2.24 Определения, относящиеся к доступу к обмену данными

H.2.24.1 последовательный номер (sequence number): Дополнительное поле данных, содержащее номер, который меняется предопределенным образом от сообщения к сообщению.

H.2.24.2 отметка времени (time stamp): Информация, касающаяся времени передачи, прикрепленная к сообщению отправителем.

H.2.24.3 идентификатор источника и адреса назначения (source and destination identifier): Идентификатор, который присваивается каждому объекту.

Примечание 1 - Данный идентификатор может быть именем, числом или произвольной комбинацией битов. Данный идентификатор может быть использован для сообщений, связанных с безопасностью. Обычно идентификатор добавляют к пользовательским данным.

 

H.2.24.4 ответное сообщение (feed-back message): Отклик от получателя к отправителю через канал обратной связи.

H.2.24.5 процедура идентификации (identification procedure): Процедура, которая формирует часть связанного с безопасностью рабочего процесса.

Примечание 1 - Могут быть выделены два типа процедуры идентификации:

- двусторонняя идентификация - Там, где доступен обратный канал связи, обмен идентификаторами объекта между отправителями и получателями информации может обеспечить дополнительную уверенность в том, что связь осуществляется действительно между назначенными сторонами,

- процедуры динамической идентификации - Динамический обмен информацией между отправителями и получателями, включая преобразование и ответный отклик на полученную информацию в адрес отправителя. Может обеспечить уверенность в том, что коммуницирующие стороны не только заявляют о соответствии себя своей идентичности, но также ведут себя ожидаемым образом. Данный тип процедуры динамической идентификации может быть использован перед передачей информации между коммуницирующими процессами, связанными с безопасностью, и/или он может быть использован в ходе самой передачи информации.

 

H.2.24.6 защитный код (safety code): Избыточные данные, включенные в связанное с безопасностью сообщение, предназначенные для выявления факта искажения данных при помощи связанной с безопасностью функции передачи.

H.2.24.7 криптографические техники (cryptographic techniques): Выходные данные вычисляются путем алгоритма, использующего входные данные и ключ в качестве параметра.

Примечание 1 - Зная выходные данные, невозможно в пределах разумного времени извлечь входные данные не зная ключа. Также невозможно в пределах разумного времени извлечь ключ из выходных данных, даже если входные данные известны.

 

H.2.24.8 тайм-аут (time-out): Задержка между двумя сообщениями, превышающая заранее определенное допустимое максимальное время.

Примечание 1 - Если это произошло, возможно предположить возникновение ошибки.

 

H.4 Общие условия испытаний

H.4.1 Условия испытания

H.4.1.4 Дополнение

Для электронных управляющих устройств, испытания по разделам H.25, H.26 и H.27 проводят перед испытаниями по разделу 21.

Дополнительные подразделы

H.4.1.9 Электронные управляющие устройства должны быть испытаны как электрические управляющие устройства, если только не указано иное.

H.4.1.10 При проведении последовательности испытаний для электронных управляющих устройств следует с вниманием подойти к тому, чтобы результаты испытания не подверглись отрицательному влиянию предшествующего испытания образца, если только иное специально не затребовано стандартом. Может потребоваться заменить образец или его части, или использовать дополнительный образец.

Примечание - Количество образцов может быть сведено к минимуму путем оценки соответствующих цепей.

 

H.4.1.11 За исключением испытания, указанного в разделе H.26, следует с вниманием подойти к тому чтобы питание было свободным от таких возмущений от внешних источников, которые бы могли повлиять на результаты испытаний электронных управляющих устройств.

H.6 Классификация

H.6.4 В соответствии с характеристиками автоматического действия

H.6.4.3 Дополнительный подраздел

H.6.4.3.13 - электронное отключение по срабатыванию (Тип 1.Y - 2.Y)

H.6.9 В соответствии с отключением или прерыванием цепи

Дополнение

H.6.9.5 - электронное отключение

H.6.18 В соответствии с классами функции управляющего устройства (см. таблицу 1, требование 92)

H.6.18.1 - Управляющее устройство с функциями управляющего устройства класса A

H.6.18.2 - Управляющее устройство с функциями управляющего устройства класса B

H.6.18.3 - Управляющее устройство с функциями управляющего устройства класса C

H.7 Информация

Дополнительные пункты к таблице 1 <m>

 

Информация	Раздел или подраздел	Метод
Изменение: 36 Пределы воздействующей величины для любого чувствительного элемента, на которых микроотключение или электронное отключение является безопасным	11.3.2, H.11.4.16, H.17.14, H.18.1.5, H.27.1.1, H.28	X
Дополнительные пункты к таблице 1: 52 Минимальные параметры любого рассеивателя тепла (например, теплоотвода), не обеспеченные электронным управляющим устройством, но необходимые для его правильного срабатывания	14	D
53 Тип формы выходного сигнала, если отличен от синусоидальной	H.25	X
54 Подробные сведения о форме сигнала тока утечки, возникающего после отказа основной изоляции	H.27	X
55 Соответствующие параметры тех электронных устройств или прочих компонентов цепи, отказ которых считается маловероятным (см. H.27.1.1.4, абзац 1)	H.27	X
56 Тип формы выходного сигнала(ов), возникающих после отказа электронного устройства или другого компонента цепи (см. H.27.1.1.3, перечисление g)	H.27	X
57 Воздействие на управляемый вывод(ы) после отказа компонента электронной схемы, в случае, если это существенно (H.27.1.1.3, перечисление c)	H.27	X
58a Для интегрированных и встроенных электронных управляющих устройств, в случае, если заявлена какая-либо защита от возникающих в сети помех, магнитных и электромагнитных возмущений, требуется указать какие из испытаний по разделу H.26 должны быть выполнены и каковы результаты на управляемом выводе(ах) и в функционировании после отказа вследствие каждого из испытаний	H.26.2, H.26.15	X
58b Для прочих, отличных от интегрированных и встроенных электронных управляющих устройств, воздействие на управляемый вывод(ы) и функционирование после отказа в результате испытаний по разделу H.26	H.26.2, H.26.15	X
59 Любой компонент, который участвует в выполнении электронного отключения, который отключается, как требуется сноской <n> к таблице 12	13.2, H.27.1	X
60 Класс установки (устойчивость к импульсным выбросам)	H.26.8.2 Приложение R	X
66 Документация об алгоритме работы программного обеспечения <m>, <n>, <o>, <p>	H.11.12.2.9	X
67 Программная документация <m>, <q>, <p>	H.11.12.2.9 H.11.12.2.12	X
68 Анализ неисправностей программного обеспечения <m>, <o>, <p>	H.11.12, H.27.1.1.4	X
69 Класс(ы) и архитектура программного обеспечения <r>	H.11.12.2, H.11.12.3 H.27.1.2.2.1 H.27.1.2.3.1	D
70 Используемые аналитические способы и методы контроля состояния неисправности/ошибки <m>, <s>	H.11.12.1.2, H.11.12.2.2, H.11.12.2.4	X
71 Время обнаружения программной неисправности/ошибки для управляющих устройств с программным обеспечением класса B или C <m>, <t>	H.2.17.10, H.11.12.2.6	X
72 Отклик(и) управляющего устройства в случае обнаружения неисправности/ошибки <m>	H.11.12.2.7	X
73 Управляющие устройства, подлежащие анализу при повторной неисправности и заявленное состояние вследствие повторной неисправности	H.27.1.2.3	X
74 Внешняя нагрузка и меры по контролю излучения, которые должны быть использованы в испытательных целях	H.23.1.1	X
91 Время реакции на неисправность	H.2.23.2, H.27.1.2.2.2 H.27.1.2.2.3 H.27.1.2.3.2 H.27.1.2.3.3 H.27.1.2.4.2 H.27.1.2.4.3	X
92 Класс или классы функции(й) управляющего устройства	H.6.18, H.27.1.2.2 H.27.1.2.3	X
93 Максимальное количество перезапусков за период времени	H.11.12.4.3.6 H.11.12.4.3.4	D
94 Количество действий по дистанционному перезапуску	H.17.1.4.3	X
<m> Для управляющих устройств, заявленных как исключительно Класс A, требования 66, 67, 68, 70, 71 и 72 исключаются. Для управляющих устройств с программным обеспечением классов B или C информация должна быть предоставлена только для связанных с безопасностью сегментов программного обеспечения. Информация по не связанным с безопасностью сегментам должна быть достаточной для установления того, что они не влияют на связанные с безопасностью сегменты. <n> Алгоритм работы программного обеспечения должен быть документирован и, совместно с последовательностью срабатывания из требования 46 таблицы, должен включать в себя описание концепции системы управления, потока команд, потока данных и временных характеристик. <o> Связанные с безопасностью данные и связанные с безопасностью сегменты в алгоритме работы программного обеспечения, неправильная работа которых могла привести к несоответствию с требованиями по 17, 25, 26 и 27, должны быть идентифицированы. Такая идентификация должна включать в себя последовательность срабатывания и может, например, принять форму анализа дерева неисправностей, который должен включать в себя те неисправности/ошибки из таблицы H.1, которые бы могли повлиять на несоответствие. Анализ неисправности программного обеспечения должен быть связан с анализом неисправности аппаратного обеспечения в разделе H.27. <p> Примерами прочей информации, которая могла бы пригодиться для включения в документацию, требуемую сносками <m>, <n>, <o>, <q>, <r> и <s> является: Спецификация оригинальной системы программного обеспечения, например: - функциональная спецификация, включая процедуру для перезапуска при потере питания, - модульная структура, включая описание интерфейсов оборудования и описание интерфейсов пользователя, - подробный проект, включая описание использования памяти, - исходные тексты, включая определение языка программирования, комментарии и список стандартных программ, - тестовые спецификации, - руководства по установке, использованию и/или обслуживанию.
<q> Программная документация должна быть поставлена на языке описания программного обеспечения, заявленного изготовителем. <r> В пределах управляющего устройства различные классы программного обеспечения могут применяться к различным функциям управляющего устройства. Примерами функций управляющего устройства, которые могут включать в себя классы программного обеспечения от A до C, являются следующие: Класс A - Примером являются комнатные термостаты, регуляторы влажности, выключатели освещения, таймеры и реле времени. Класс B - Примером является термовыключатель. Класс C - Примерами являются автоматическое управляющее устройство горелки и термовыключатели для закрытых систем нагрева воды (замкнутых). <s> Мерами, которые должны быть заявлены, являются те, которые выбраны изготовителем из требований по H.11.12.1.2 - H.11.12.2.4. <t> Это может быть выражено как время, следующее за выполнением специализированного сегмента программного обеспечения.

 

H.8 Защита от поражения электрическим током

H.8.1 Общие требования

Дополнение

H.8.1.10 Доступные части не следует считать опасными токоведущими частями, если они отделены от источника питания защитным импедансом.

H.8.1.10.1 Когда используют защитный импеданс, ток между частью или частями и одним полюсом источника питания не должен превышать 0,7 мА (пиковое значение) переменного тока или 2 мА постоянного тока;

для частот, превышающих 1 кГц, ограничение 0,7 мА (пиковое значение) умножают на значение частоты в кГц, оно не должно превышать 70 мА (пиковое значение);

для напряжений свыше 42,4 В (пиковое значение) и до 450 В включительно (пиковое значение) емкость не должна превышать 0,1 мкФ;

для напряжений свыше 450 В (пиковое значение) и до 15 кВ включительно (пиковое значение) произведение емкости в фарадах на потенциал в вольтах не должно превышать 45 мкКл;

для напряжений свыше 15 кВ (пиковое значение) произведение емкости в фарадах на квадрат потенциала в вольтах не должен превышать 350 мДж.

Соответствие проверяют измерением.

Напряжения и токи измеряют между одной доступной частью (или любой комбинацией из таких частей) и одним полюсом источника питания.

Измерительная цепь должна иметь общий импеданс (1750 +/- 250) Ом и быть шунтированной конденсатором так, чтобы постоянная времени цепи составляла (225 +/- 15) мкс.

Подробные сведения о подходящей измерительной цепи изображены на рисунке E.1.

Измерительная цепь должна обладать точностью в пределах 5% для всех частот в диапазоне от 20 Гц до 5 кГц. Для частот свыше 5 кГц требуются альтернативные методы измерения.

H.11 Требования к конструкции

H.11.2 Защита от поражения электрическим током

Дополнение

H.11.2.5 Защитный импеданс должен состоять из двух или более обеспечивающих импеданс компонентов с равными значениями сопротивлений, соединенных последовательно, которые подключены между токоведущими частями и доступными частями. Он должен содержать компоненты, в которых вероятность уменьшения сопротивления в течение срока службы можно не принимать во внимание, а возможностью короткого замыкания можно пренебречь.

Такими компонентами являются резисторы, отмеченные в таблице H.24, сноска <c>.

Кроме того, резисторы должны соответствовать требованиям 14.1 IEC 60065:2001, Изменение 1:2005.

Соответствие проверяют:

a) поочередным размыканием цепи каждого компонента импеданса;

b) замыканием выводов тех компонентов импеданса, которые, вероятно, откажут из-за короткого замыкания (в соответствии с разделом H.27);

c) переводом в состояние неисправности в соответствии с разделом H.27 любой части цели, которая могла бы повлиять на максимальный ток утечки с неповрежденным защитным импедансом.

Срабатывание защитного устройства или потеря одного полюса сети должны также рассматриваться как неисправности.

При данных условиях оборудование должно соответствовать требованиям H.8.1.10.

H.11.4 Действия

Дополнение

H.11.4.16 Должны отработать действия типа 1.Y или 2.Y для обеспечения электронного отключения.

Соответствие проверяют испытаниями по H.11.4.16.

H.11.4.16.1 Испытание проводят с управляющим устройством, присоединенным к своей максимальной заявленной нагрузке, запитанным номинальным напряжением, и при температуре T_макс.

H.11.4.16.2 Ток через электронное отключение не должен превышать 5 мА или 10% от номинальной силы тока, в зависимости от того, что является меньшей величиной.

H.11.12 Управляющие устройства, использующие программное обеспечение

Управляющие устройства, использующие программное обеспечение, должны быть сконструированы так, чтобы программное обеспечение не ухудшало соответствие управляющего устройства требованиям настоящего стандарта.

Соответствие проверяют испытаниями для электронных управляющих устройств по настоящему стандарту путем осмотра в соответствии с требованиями H.11.12 и путем изучения документации, требуемой в таблице 1, требования с 66 по 72 включительно.

Подразделы H.11.12.1 - H.11.12.4 применяют только к функциям управляющего устройства, использующим программное обеспечение класса B или класса C.

Подраздел H.11.12.4 содержит дополнительные требования для функций управления, приводимых в действие дистанционно.

H.11.12.1 Требования к архитектуре

H.11.12.1.1 Функции управления с программным обеспечением класса B или C должны реализовывать меры по контролю и устранению связанных с безопасностью неисправностей/ошибок в связанных с безопасностью данных и сегментах программного обеспечения, как подробно описано в H.11.12.1.2 - H.11.12.3.

H.11.12.1.2 Архитектура для функций управляющего устройства с программным обеспечением класса B или C

H.11.12.1.2.1 Функции управляющего устройства с программным обеспечением класса C должны обладать одной из следующих конструкций:

- одинарный канал с функцией периодического самоконтроля и мониторинга (H.2.16.7);

- двойной канал (однотипный) со сравнением (H.2.16.3);

- двойной канал (разнотипный) со сравнением (H.2.16.2).

Примечание - Сравнение между структурами двойного канала может быть выполнено:

- путем использования компаратора (H.2.18.3) или

- путем взаимного сравнения (H.2.18.15).

 

H.11.12.1.2.2 Функции управляющего устройства с программным обеспечением класса B должны обладать одной из следующих конструкций:

- одинарный канал с функциональной проверкой (H.2.16.5);

- одинарный канал с функцией периодического самоконтроля (H.2.16.6);

- двойной канал без сравнения (H.2.16.1).

Архитектура программного обеспечения класса C также приемлема для архитектуры программного обеспечения класса B.

H.11.12.1.3 Прочие архитектуры допустимы, если они смогут продемонстрировать обеспечение равноценного уровня безопасности тому, который содержится в H.11.12.1.2.

H.11.12.2 Меры по управлению неисправностями/ошибками

H.11.12.2.1 Когда избыточная память со сравнением работает на базе двух областей одного компонента, данные из одной области следует хранить в формате, отличном от того, в котором хранятся данные в другой области (см. диверсификация программного обеспечения).

H.11.12.2.2 Управляющие устройства с программным обеспечением класса C, использующим архитектуру двойного канала со сравнением, должны обладать дополнительными средствами обнаружения состояния неисправности/ошибки (в частности периодические функциональные испытания, периодические самопроверки или независимое наблюдение) для любых состояний неисправностей/ошибок, не обнаруженных путем сравнения.

H.11.12.2.3 Для управляющих устройств с программным обеспечением класса B или C должны быть предусмотрены средства для распознавания ошибок при передаче во внешние, относящиеся к области безопасности, тракты данных. Такие средства должны принимать во внимание ошибки в данных, адресации, временных характеристиках передачи и нарушения протокола.

H.11.12.2.4 Для управляющего устройства с программным обеспечением класса B или C изготовитель должен обеспечить, в составе управляющего устройства, средства контроля состояний неисправностей/ошибок в связанных с безопасностью сегментах кода и данных, обозначенных в таблице H.1 и идентифицированных в таблице 1, требование 68.

 

Таблица H.1 (H.11.12.7 из издания 3)

 

Допустимые способы контроля состояний

неисправностей/ошибок <a>

 

Компонент <b>	Неисправность/ошибка	Класс программного обеспечения		Пример приемлемых способов <c>, <d>, <e>	Определения
		B	C
1. ЦП <*> 1.1
Регистры	Константная	трб		Функциональное испытание, или	H.2.16.5
				периодическая самопроверка с использованием на выбор:	H.2.16.6
				- статическая проверка памяти, или	H.2.19.6
				- защита слова с помощью одноразрядной избыточности	H.2.19.8.2
	Неисправность по постоянному току		трб	Сравнение избыточных ЦП путем или:
				- взаимного сравнения;	H.2.18.15
				- независимого аппаратного компаратора, или	H.2.18.3
				внутренним контролем ошибок, или	H.2.18.9
				избыточной памятью со сравнением, или	H.2.19.5
				периодическими самопроверками с использованием или	H.2.19.7
				- пошаговой проверки памяти	H.2.19.1
				- проверкой методом Абрахама	H.2.19.2.1
				- прозрачной проверкой методом GALPAT; или	H.2.19.8.1
				защитой слова с помощью многоразрядной избыточности, или	H.2.19.6
				статической проверкой памяти и защитой слова с помощью одноразрядной избыточности	H.2.19.8.2
1.2
Декодирование и выполнение команды	Ошибочное декодирование и выполнение		трб	Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				внутренним контролем ошибок, или	H.2.18.9
				периодической самопроверкой с использованием испытания класса эквивалентности	H.2.18.5
1.3				Функциональное испытание, или	H.2.16.5
Счетчик команд	Константная	трб		периодическая самопроверка, или	H.2.16.6
				независимый контроль временных интервалов выполнения программы, или	H.2.18.10.4
				логический контроль последовательности выполнения программы	H.2.18.10.2
				Периодическая самопроверка и мониторинг с использованием или:	H.2.16.7
	Неисправность по постоянному току		трб	- независимого контроля интервалов времени и логического контроля	H.2.18.10.3
				- обнаружения внутренней ошибки, или сравнение избыточности функциональных каналов путем или:	H.2.18.9
				- взаимного сравнения	H.2.18.15
				- независимого аппаратного компаратора	H.2.18.3
1.4
Адресация	Неисправность по постоянному току		трб	Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором; или	H.2.18.3
				внутренним обнаружением ошибки; или	H.2.18.9
				периодической самопроверкой с использованием тестового набора адресных линий; или	H.2.16.7 H.2.18.22
				полноразрядной избыточностью шины, или	H.2.18.1.1
				многоразрядным контролем четности шины	H.2.18.1.2
1.5
Декодирование команд трактов данных	Неисправность по постоянному току и выполнение		трб	Сравнение избыточных ЦП или:
				взаимным сравнением, или	H.2.18.15
				независимым аппаратным компаратором или	H.2.18.3
				внутренним контролем ошибок, или	H.2.18.9
				периодической самопроверкой с использованием тестового набора данных, или	H.2.16.7
				избыточностью данных, или	H.2.18.2.1
				многоразрядным контролем четности шины	H.2.18.1.2
2
Управление и выполнение прерываний	Отсутствие прерывания или слишком частое прерывание	трб		Функциональное испытание; или	H.2.16.5
				мониторинг интервалов времени	H.2.18.10.4
	Отсутствие прерывания или слишком частое прерывание, связанное с различными источниками		трб	Сравнение избыточных функциональных каналов путем или
				взаимного сравнения,	H.2.18.15
				независимым аппаратным компаратором, или	H.2.18.3
				независимым контролем временных интервалов и логическим контролем	H.2.18.10.3
3
Часы		трб		Контроль частоты, или	H.2.18.10.1
				контроль временных интервалов	H.2.18.10.4
	Ошибочная частота (для часов с кварцевой синхронизацией: только гармоники/субгармоники)		трб	Контроль частоты, или	H.2.18.10.1
				контроль временных интервалов, или сравнение избыточных функциональных каналов или:	H.2.18.10.4
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором	H.2.18.3
4 Память 4.1
неизменяемая память	Все одноразрядные неисправности	трб		Периодически изменяемая контрольная сумма; или	H.2.19.2.1
				множественная контрольная сумма, или	H.2.19.3.2
				защита слова с помощью одноразрядной избыточности	H.2.19.8.2
	99,6% покрытие всех информационных ошибок		трб	Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				избыточной памятью со сравнением, или	H.2.19.5
				периодический циклический избыточный контроль или
				- одного слова	H.2.19.4.1
				- двойного слова, или	H.2.19.4.2
				защита слова с помощью многоразрядной избыточности	H.2.19.8.1
4.2
Изменяемая память	Неисправность по постоянному току	трб	трб	Периодическая статическая проверка памяти, или	H.2.19.6
				защита слова с помощью одноразрядной избыточности	H.2.19.8.2
	Неисправность по постоянному току и динамических связей	трб	трб	Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				избыточная память со сравнением, или	H.2.19.5
				периодические самопроверки с использованием или:
				- пошаговой проверки памяти	H.2.19.7
				- проверки методом Абрахама	H.2.19.1
				- прозрачной проверкой методом GALPAT, или	H.2.19.2.1
				защита слова с помощью многоразрядной избыточности	H.2.19.8.1
4.3
Адресация (связанная с изменяемой памятью и неизменяемой памятью)	Константная	трб		Защита слова с помощью одноразрядной избыточности, включая адрес, или	H.2.19.18.2
	Неисправность по постоянному току		трб	сравнение избыточных ЦП или:
				- взаимным сравнением, или	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				полноразрядной избыточностью шины.	H.2.18.1.1
				Тестовый набор, или
				периодический циклический избыточный контроль, или:	H.2.18.22
				- одного слова	H.2.19.4.1
				- двойного слова, или	H.2.19.4.2
				защита слова с помощью многоразрядной избыточности, включая адрес	H.2.19.8.1
5 Внутренний тракт данных
5.1 Данные	Константная	трб		Защита слова с помощью одноразрядной избыточности	H.2.19.8.2
	Неисправность по постоянному току		трб	Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				защита слова с помощью многоразрядной избыточности, включая адрес, или	H.2.19.8.1
				избыточность данных, или	H.2.18.2.1
				тестовый набор, или	H.2.18.22
				проверка протокола	H.2.18.14
5.2 Адресация	Ошибочный адрес	трб		Защита слова с помощью одноразрядной избыточности, включая адрес	H.2.19.8.2
	Ошибочный адрес и множественная адресация		трб	Сравнение избыточности ЦП путем:
				- взаимного сравнения	H.2.18.15
				- независимого аппаратного компаратора, или	H.2.18.3
				защита слова с помощью многоразрядной избыточности, включая адрес, или	H.2.19.8.1
				полноразрядная избыточность шины, или	H.2.18.1.1
				тестовый набор, включая адрес	H.2.18.22
6 Внешняя связь	Расстояние Хемминга 3	трб		Защита слова с помощью многоразрядной избыточности, или	H.2.19.8.1
				CRC - одиночное слово, или	H.2.19.4.1
				избыточность при передаче, или	H.2.18.2.2
				проверка протокола	H.2.18.14
6.1 Данные	Расстояние Хемминга 4		трб	CRC - двойное слово, или	H.2.19.4.2
				избыточность данных, или	H.2.18.2.1
				сравнение избыточных функциональных каналов, или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором	H.2.18.3
6.2 Адресация	Ошибочный адрес	трб		Защита слова с помощью многоразрядной избыточности, включая адрес, или	H.2.19.8.1
				CRC - одиночным словом, включая адрес, или	H.2.19.4.1
				избыточность передачи или	H.2.18.2.2
				проверка протокола	H.2.18.14
	Ошибочная и множественная адресация		трб	CRC - двойным словом, включая адрес, или	H.2.19.4.2
				полноразрядная избыточность шины данных и адреса, или	H.2.18.1.1
				сравнение избыточных коммуникационных каналов или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором	H.2.18.3
6.3 Временные характеристики	Ошибочный момент времени	трб	трб	Контроль временных интервалов или передача данных по расписанию	H.2.18.10.4 H.2.18.18
				Контроль временных интервалов и логический контроль, или	H.2.18.10.3
				сравнение избыточных коммуникационных каналов или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором	H.2.18.3
	Ошибочная последовательность	трб		Логический контроль, или	H.2.18.10.2
				контроль временных интервалов, или	H.2.18.10.4
			трб	запланированная передача данных (те же варианты, что и для ошибочного момента времени)	H.2.18.18
7		трб	трб
Периферия ввода/вывода	Условия неисправности, указанные в Разделе H.27			Проверка вероятности	H.2.18.13
				Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
7.1 Цифровой ввод/вывод				Сравнение на входе, или	H.2.18.8
				многоканальные параллельные устройства вывода, или	H.2.18.11
				проверка на выходах, или	H.2.18.12
				тестовый набор, или	H.2.18.22
				безопасность кода	H.2.18.2
7.2 Аналоговый ввод/вывод
7.2.1 Аналого-цифровые и цифроаналоговые преобразователи	Условия неисправности, указанные в разделе H.27	трб	трб	Проверка вероятности	H.2.18.13
				Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				сравнение на входе, или	H.2.18.8
				многоканальные параллельные устройства вывода, или	H.2.18.11
				проверка на выходах, или	H.2.18.12
				тестовый набор	H.2.18.22
7.2.2 Аналоговый мультиплексор	Ошибочная адресация	трб	трб	Проверка вероятности	H.2.18.13
				Сравнение избыточных ЦП или:
				- взаимным сравнением	H.2.18.15
				- независимым аппаратным компаратором, или	H.2.18.3
				сравнение на входах или	H.2.18.8
				тестовый набор	H.2.18.22
8
Контрольные устройства и компараторы	Любое устройство вывода, не включенное в статические и динамические функциональные спецификации	трб	трб	Верифицированный контроль, или	H.2.18.21
				избыточный контроль и сравнение, или	H.2.18.17
				средства распознавания ошибок	H.2.18.6
9
Заказные микросхемы <f> например, ASIC, GAL, матрица Gate	Любое устройство вывода, не включенное в спецификации статических и динамических функций	трб	трб	Периодическая самопроверка	H.2.16.6
				Периодическая самопроверка и контроль, или	H.2.16.7
				двойной канал (разнотипный) со сравнением, или	H.2.16.2
				средства распознавания ошибок	H.2.18.6
Примечания 1 ЦП: Центральный процессор <*> 2 трб: Требуется зона покрытия неисправности для указанного класса программного обеспечения.   -------------------------------- <a> Таблицу H.1 применяют в соответствии с требованиями по H.11.12 - H.11.12.2.12. <b> Для оценки состояния неисправности/ошибки некоторые компоненты поделены по своим дополнительным функциям. <c> По каждой дополнительной функции в таблице меры, предусмотренные для программного обеспечения класса C, покрывают состояния неисправности/ошибки для программного обеспечения класса B. <d> Признается, что некоторые из приемлемых мер обеспечивают более высокий уровень надежности, чем требуется в настоящем стандарте. <e> Там, где для дополнительной функции дается несколько способов, они являются альтернативными. <f> Должна делиться, по необходимости, на дополнительные функции изготовителем.

 

H.11.12.2.5 Меры, отличные от тех, которые указаны в H.11.12.2.4, допустимы, если они могут продемонстрировать соответствие требованиям, перечисленным в таблице H.1.

H.11.12.2.6 Обнаружение неисправности/ошибки программного обеспечения должно произойти не позднее времени, заявленного в таблице 1, требование 71. Приемлемость заявленного времени оценивают в ходе анализа состояния неисправности управляющего устройства.

Часть 2 стандартов может ограничивать данное заявление.

H.11.12.2.7 Для управляющих устройств с функциями, классифицированными как B или C, обнаружение неисправности/ошибки должно привести к отклику, заявленному в таблице 1, требование 72. Для управляющих устройств с функциями, заявленными как класс C, должны быть предусмотрены независимые средства, способные к генерации данного отклика.

H.11.12.2.8 Нарушение состояния полной работоспособности двойного канала считают ошибкой в функции управляющего устройства, использующей структуру двойного канала с программным обеспечением класса C.

H.11.12.2.9 Программное обеспечение должно быть привязано к соответствующим местам последовательности операций и связанных функций аппаратного обеспечения.

H.11.12.2.10 Там, где используют метки для определения областей памяти, данные метки должны быть уникальными.

H.11.12.2.11 Программное обеспечение должно быть защищено от изменения пользователем сегментов и данных, связанных с безопасностью.

H.11.12.2.12 Программное обеспечение и находящееся под его управлением аппаратное обеспечение, относящееся к безопасности, должно быть запущено до и должно завершить работу при заявленном состоянии, как указано в таблице 1, требование 66.

H.11.12.3 Методы предотвращения ошибок

Функции управляющего устройства с обеспечением класса C должны обладать одной из следующих архитектур.

Для управляющих устройств с программным обеспечением класса B или C должны быть обеспечены средства для распознавания и контроля ошибок при передаче на внешние тракты данных, связанные с безопасностью. Такие средства должны принимать во внимание ошибки в данных, адресацию, временные характеристики передачи и правильность протокольной последовательности.

H.11.12.3.1 Общие положения

Для управляющих устройств с программным обеспечением классов B или C, в целях предотвращения возникновения систематических неисправностей, должны быть применены способы, изображенные на рисунке H.1.

 

 

Пояснения:

- выход;

- верификация;

- тестовый документ;

- проектная документация, спецификация

 

Рисунок H.1 - V-Модель для жизненного цикла программного

обеспечения

 

Способы, используемые для программного обеспечения класса C, по природе приемлемы для программного обеспечения класса B.

Содержимое извлечено из IEC 61508-3 и адаптировано для нужд данного стандарта.

Возможны прочие методы, если они включают в себя строгие и структурированные процессы, включая фазы проектирования и тестирования.

H.11.12.3.2 Спецификация

H.11.12.3.2.1 Требования к безопасности программного обеспечения

H.11.12.3.2.1.1 Спецификация требований безопасности программного обеспечения должна включать в себя:

- описание каждой относящейся к безопасности реализуемой функции, включая ее время отклика:

функции, относящиеся к аппарату (прибору) в целом, включая соответствующие им классы программного обеспечения;

функции, относящиеся к обнаружению, оповещению и управлению неисправностями программного или аппаратного обеспечения;

- описание интерфейсов между программным обеспечением и аппаратным обеспечением;

- описание интерфейсов между любыми связанными и не связанными с безопасностью функциями.

Примеры подходов/способов указаны в таблице H.2.

 

Таблица H.2

 

Полуформальные методы

 

Подход/Способ	Ссылки (для справки)
Идентификация стандартов
Полуформальные методы
- Логические/функциональные блок-схемы
- Диаграммы последовательности
- Диаграммы конечных автоматов/изменений состояний	B.2.3.2 IEC 61508-7:2010
- Решение/таблицы истинности	C.6.1 IEC 61508-7:2010

 

Могут быть применены прочие, удовлетворяющие требованиям, методы.

H.11.12.3.2.2 Архитектура программного обеспечения

H.11.12.3.2.2.1 Описание архитектуры программного обеспечения должно включать в себя следующие аспекты:

- подходы и способы контроля состояний неисправностей/ошибок программного обеспечения (обратиться к H.11.12.2);

- взаимодействие между аппаратным и программным обеспечениями;

- деление на модули и их распределение по указанным функциям безопасности;

- иерархия и структура вызовов модулей (алгоритм работы);

- обработка прерываний;

- поток данных и ограничения на доступ к данным;

- архитектура и хранение данных;

- временные зависимости последовательностей операций и данных.

Примеры подходов/способов указаны в таблице H.3.

 

Таблица H.3

 

Спецификация архитектуры программного обеспечения

 

Подход/Способ	Ссылки (для справки)
Обнаружение и диагностика неисправности	C.3.1 IEC 61508-7:2010
Полуформальные методы:
- Логические/функциональные блок-схемы
- Диаграммы последовательности
- Диаграммы конечных автоматов/изменений состояний	B.2.3.2 IEC 61508-7:2010
- Диаграммы потоков данных	C.2.2 IEC 61508-7:2010

 

H.11.12.3.2.2.2 Спецификация архитектуры должна пройти поверку спецификацией требований безопасности программного обеспечения путем статического анализа.

Примечание - Приемлемыми методами статистического анализа являются:

- анализ потока команд (алгоритма);

- анализ потока данных;

- сквозной контроль/рецензирование проекта.

 

H.11.12.3.2.3 Модульное проектирование и кодирование

Примечания

1 Допускается использование компьютеризированных средств проектирования.

2 Для защитного программирования (например, проверки диапазонов, проверки на деление на 0, проверки на достоверность) см. C.2.5 IEC 61508-7:2010.

 

H.11.12.3.2.3.1 Основываясь на архитектуре, программное обеспечение должно быть подходящим образом реализовано в модули. Процессы разработки модульной структуры программного обеспечения и кодирования должны быть построены таким образом, чтобы имелась возможность прослеживаемости вплоть до архитектуры и требований программного обеспечения.

Процесс разработки модульной структуры должен определить:

- функцию(и),

- интерфейсы к другим модулям,

- данные.

Примеры подходов/способов указаны в таблице H.4.

 

Таблица H.4

 

Спецификация для разработки модульной структуры

 

Подход/Способ	Ссылки (для справки)
Ограниченный размер модулей программного обеспечения	C.2.9 из IEC 61508-7:2010
Сокрытие данных/инкапсуляция	C.2.8 из IEC 61508-7:2010
Одна точка ввода/одна точка выхода в подпрограммах и функциях	C.2.9 из IEC 61508-7:2010
Полностью определенный интерфейс	C.2.9 из IEC 61508-7:2010
Полуформальные методы:
- Логические/функциональные блок-схемы
- Диаграммы последовательности
- Диаграммы конечных автоматов/изменений состояний	B.2.3.2 из IEC 61508-7:2010
- Диаграммы потоков данных	C.2.2 из IEC 61508-7:2010

 

H.11.12.3.2.3.2 Код программного обеспечения должен быть структурирован.

Примечание - Структурная сложность может быть минимизирована путем применения следующих принципов:

- свести количество возможных путей выполнения через модуль программного обеспечения к малому, а отношения между параметрами ввода и вывода к как можно более простым;

- избегать сложной разветвленности, особенно избегать безусловных переходов (GOTO) в более высокоуровневых языках;

- где возможно, соотнести ограничения для циклов и ветвлений с параметрами входа;

- избегать сложных вычислений в качестве основания для разветвлений и условий выхода из цикла.

 

Примеры подходов/способов указаны в таблице H.5.

 

Таблица H.5

 

Стандарты проектирования и кодирования

 

Техника/Способ	Ссылки (для справки)
Использовать стандарт кодирования (см. H.11.12.3.2.4)	C.2.6.2 IEC 61508-7:2010
Неиспользование динамических объектов и переменных (см. примечание)	C.2.6.3 IEC 61508-7:2010
Ограниченное использование прерываний	C.2.6.5 IEC 61508-7:2010
Ограниченное использование указателей	C.2.6.6 IEC 61508-7:2010
Ограниченное использование рекурсии	C.2.6.7 IEC 61508-7:2010
Отсутствие безусловных переходов в программах на более высокоуровневых языках	C.2.6.2 IEC 61508-7:2010
Примечание - Динамические объекты и/или переменные допустимы, если используют компилятор, который обеспечивает резервирование достаточной памяти для всех динамических объектов и/или переменных перед началом работы, или который вставляет проверки времени исполнения для корректного выделения памяти во время работы.

 

H.11.12.3.2.3.3 Закодированное программное обеспечение должно быть проверено по спецификации модуля, а спецификация модуля должна быть проверена по архитектурной спецификации статическим анализом.

Примечание - Примерами методов статистического анализа являются:

- анализ потока команд;

- анализ потока данных;

- сквозной контроль/рецензирование проекта.

 

H.11.12.3.2.4 Стандарты проектирования и кодирования

Стандарты программного проектирования и кодирования должны быть последовательно использованы в ходе процессов проектирования и сопровождения программного обеспечения.

Стандарты кодирования должны указывать практические рекомендации по программированию, признаки небезопасных языковых конструкций, описывать процедуры для документации исходного кода, а также для соглашений об именовании переменных.

H.11.12.3.3 Испытания

H.11.12.3.3.1 Модульное проектирование (системное проектирование программного обеспечения, модульное проектирование и кодирование программного обеспечения)

H.11.12.3.3.1.1 Концепция тестирования с подходящим набором тестовых ситуаций должна быть определена на основе спецификации модуля.

H.11.12.3.3.1.2 Каждый модуль программного обеспечения должен быть протестирован как указано в концепции тестирования.

H.11.12.3.3.1.3 Наборы тестовых ситуаций, данные для тестирования и результаты тестирования должны быть задокументированы.

H.11.12.3.3.1.4 Поверка кода модуля программного обеспечения при помощи статических средств включает в себя такие методики, как осмотры, сквозной контроль, статический анализ и формальные подтверждения.

Поверка кода модуля программного обеспечения при помощи динамических средств включает в себя функциональное тестирование, тестирование по принципу "стеклянного ящика" и статистическое тестирование.

Поверка является комбинацией обоих типов доказательств, что дает уверенность в том, что каждый модуль программного обеспечения удовлетворяет связанной с ним спецификации.

Примеры подходов/способов указаны в таблице H.6.

 

Таблица H.6

 

Тестирование модулей программного обеспечения

 

Техника/Способ	Ссылки (для справки)
Динамический анализ и тестирование:	B.6.5 IEC 61508-7:2010
Анализ работы в тестовой ситуации на границах диапазона	C.5.4 IEC 61508-7:2010
Тестирование на основе архитектуры	C.5.8 IEC 61508-7:2010
Запись данных и анализ	C.5.2 IEC 61508-7:2010
Функциональное тестирование и тестирование по принципу "черного ящика":	B.5.1, B.5.2 IEC 61508-7:2010
Анализ пограничных значений	C.5.4 IEC 61508-7:2010
Имитация процесса	C.5.18 IEC 61508-7:2010
Тестирование рабочих характеристик:	C.5.20 IEC 61508-7:2010
Лавинное/стрессовое тестирование	C.5.21 IEC 61508-7:2010
Время отклика и ограничения по памяти	C.5.22 IEC 61508-7:2010
Тестирование интерфейса	C.5.3 IEC 61508-7:2010

 

Примечание - Тестирование модуля программного обеспечения является поверочной деятельностью.

 

H.11.12.3.3.2 Интеграционное тестирование программного обеспечения

H.11.12.3.3.2.1 Концепция тестирования с подходящим набором тестовых ситуаций должна быть определена на основе архитектурной спецификации модуля.

H.11.12.3.3.2.2 Программное обеспечение должно быть протестировано как указано в концепции тестирования.

H.11.12.3.3.2.3 Наборы тестовых ситуаций, тестовых данных и результатов тестирования должны быть задокументированы.

Примеры подходов/способов указаны в таблице H.7.

 

Таблица H.7

 

Интеграционное тестирование программного обеспечения

 

Техника/Способ	Ссылки (для справки)
Функциональное тестирование и тестирование по принципу "черного ящика":	B.5.1, B.5.2 IEC 61508-7:2010
Анализ пограничного значения	C.5.4 IEC 61508-7:2010
Имитация процесса	C.5.18 IEC 61508-7
Тестирование рабочих характеристик:	C.5.20 IEC 61508-7:2010
Лавинное/стрессовое тестирование	C.5.21 IEC 61508-7:2010
Время отклика и ограничения по памяти	C.5.22 IEC 61508-7:2010

 

Примечание - Интеграционное тестирование программного обеспечения является поверочной деятельностью.

 

H.11.12.3.3.3 Поверка программного обеспечения

H.11.12.3.3.3.1 Концепция поверки с подходящим набором тестовых ситуаций должна быть определена на основе спецификации требований безопасности программного обеспечения.

H.11.12.3.3.3.2 Программное обеспечение должно быть поверено применительно к требованиям спецификации требований безопасности программного обеспечения как указано в концепции поверки.

Программное обеспечение должно быть протестировано путем имитации или стимуляции:

- входных сигналов, присутствующих при нормальной работе,

- ожидаемых инцидентов,

- нежелательных условий, требующих реакции системы.

H.11.12.3.3.3.3 Наборы тестовых ситуаций, тестовых данных и результаты тестирования должны быть задокументированы.

Примеры подходов/способов указаны в таблице H.8.

 

Таблица H.8

 

Поверка безопасности программного обеспечения

 

Подход/Способ	Ссылки (для справки)
Функциональное тестирование и тестирование по принципу "черного ящика":	B.5.1, B.5.2 IEC 61508-7:2010
- Анализ пограничного значения	C.5.4 IEC 61508-7:2010
- Процесс имитации	C.5.18 IEC 61508-7:2010
Имитация, моделирование:
- Конечные автоматы	B.2.3.2 IEC 61508-7:2010
- Моделирование рабочих характеристик	C.5.20 IEC 61508-7:2010

 

Примечание - Тестирование является основным методом поверки для программного обеспечения; моделирование может быть использовано для дополнения поверочных действий.

 

H.11.12.3.4 Прочее

H.11.12.3.4.1 Инструменты, языки программирования

Оборудование, используемое для проектирования программного обеспечения, поверки и сопровождения, в частности инструменты проектирования, языки программирования, трансляторы и инструментарий тестирования, должны быть подготовлены соответствующим образом и они должны продемонстрировать пригодность для применения в различных целях.

Их считают годными, если они все отвечают критерию "повышенной уверенности от использования" в соответствии с C.4.4 IEC 61508-7:2010.

H.11.12.3.4.2 Управление версиями программного обеспечения

Должна быть введена в действие система управления версиями программного обеспечения на модульном уровне. Все версии должны быть уникально идентифицированы для обеспечения отслеживаемости.

H.11.12.3.4.3 Модификация программного обеспечения

H.11.12.3.4.3.1 Модификация программного обеспечения должна основываться на запросе изменения, который детализирует следующее

- опасности, которые могут быть затронуты,

- планируемое изменение,

- причины для изменения.

H.11.12.3.4.3.2 Должен быть выполнен анализ для определения влияния предполагаемого изменения на функциональную безопасность.

H.11.12.3.4.3.3 Должна быть разработана подробная спецификация изменения, включая необходимые действия для верификации и поверки, в частности пригодные наборы тестовых ситуаций.

H.11.12.3.4.3.4 Изменение должно быть проведено запланированным образом.

H.11.12.3.4.3.5 Оценка изменения должна быть выполнена на основе указанных действий по верификации и поверке. Это может включать в себя:

- повторную верификацию измененных модулей программного обеспечения;

- повторную верификацию модулей программного обеспечения, на которые оказывает влияние данное изменение;

- повторную поверку системы полностью.

H.11.12.3.4.3.6 Все сведения о деятельности по изменению должны быть подробно задокументированы.

H.11.12.3.5 Для функций управляющих устройств класса C изготовителю следует использовать одну из комбинаций (a - p) аналитических методов, приведенных в столбцах таблицы H.9 во время разработки аппаратного обеспечения.

 

Таблица H.9 (H.11.12.6 из издания 3)

 

Комбинации аналитических способов в ходе разработки

аппаратного обеспечения

 

Стадия разработки аппаратного обеспечения

a

b

c

d

e

f

g

h

i

j

k

l

m

n

o

p

H.2.17.5 Осмотр

x

x

x

x

x

x

x

x

H.2.17.9 Сквозной контроль

x

x

x

x

x

x

x

x

x

x

H.2.17.7.1 Статический анализ

x

H.2.17.1 Динамический анализ

x

x

x

x

H.2.17.3 Анализ аппаратного обеспечения

x

x

x

x

x

x

x

x

H.2.17.4 Моделирование аппаратного обеспечения

H.2.17.2 Расчет интенсивности отказов

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

H.2.20.2 Анализ состояния отказов и их последствий

H.2.17.6 Эксплуатационное испытание

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

 

H.11.12.4 Функции управления, приводимые в действие дистанционно

H.11.12.4.1 Обмен данными

H.11.12.4.1.1 Общие положения

Функции управления, приводимые в действие дистанционно, могут быть подключены к отдельным независимым устройствам, которые могут сами содержать функции управления или предоставлять иную информацию. Любой обмен данными между такими устройствами не должен нарушать целостность функции управляющего устройства класса B или функции управляющего устройства класса C.

H.11.12.4.1.2 Тип данных

Типы сообщений для обмена данными в функции или функциях управляющего устройства должны быть выделены для функции управляющего устройства класса A, функции управляющего устройства класса B или функции управляющего устройства класса C. В части безопасности или защитного соответствия, или влияния типы сообщений или обмен данными должны быть выделены только для функции управляющего устройства класса B или функции управляющего устройства класса C, см. таблицу H.10.

 

Таблица H.10

 

Обмен данными

 

Данные	Связано с безопасностью	Не связано с безопасностью
Рабочие данные	Сообщения, в частности "ПЕРЕЗАПУСК из безопасного состояния"	Сообщения, в частности инструкции вкл./выкл., информация о температуре в помещении
Параметры конфигурации	Сообщения, изменяющие параметры, которые определяют сопутствующую функцию класса B управляющего устройства или функцию класса C управляющего устройства	Сообщения, изменяющие параметры, которые определяют рабочие характеристики сопутствующих функций
Модули программного обеспечения	Сообщения, загруженные в систему, которые определяют сопутствующую функцию класса B управляющего устройства или функцию класса C управляющего устройства	Модули, загруженные в систему, которые определяют рабочие характеристики сопутствующих функций

 

H.11.12.4.1.3 Коммуникационное взаимодействие для связанных с безопасностью данных

H.11.12.4.1.3.1 Передача

Связанные с безопасностью данные следует передавать достоверно в части:

- повреждения данных;

- повреждения адреса;

- недостоверных временных интервалов или нарушения последовательности.

Изменения или повреждения данных не должны привести к небезопасному состоянию. Перед использованием переданных данных следует убедиться в том, что вышеуказанные пункты учтены при помощи способов, приведенных в приложении H, для того же или более высокого класса программного обеспечения, применяемого для такой функции.

Соответствие проверяют оценкой в соответствии с приложением H.

Примечание 1 - Особое внимание следует уделить таблице H.1, компонент 6, с учетом следующих пунктов:

- удаление данных из исходного сообщения;

- вставка данных в исходное сообщение;

- повреждение данных в исходном сообщении;

- изменение последовательности данных в исходном сообщении;

- придание неподлинному сообщению вида подлинного сообщения;

- неполный адрес;

- повреждение адреса исходного сообщения;

- неправильный адрес;

- многоадресность;

- получение сообщения более одного раза;

- задержка в передаче или получении сообщения;

- неправильная последовательность отправки/получения.

 

В дополнение к пунктам в примечании 1 должны быть учтены следующие режимы отказа:

- постоянная "автоматическая отправка" или повторение,

- прерывание передачи данных.

Примечание 2 - Дополнительные примеры способов приведены в таблице H.11.

 

Таблица H.11

 

Примеры защиты от несанкционированного доступа и отказов

при передаче

 

Угрозы	Защиты
	Номер последовательности	Отметка времени	Максимальное время ожидания	Обратное сообщение	Предоставляемый идентификатор назначения	Процедура идентификации	Код защиты	Криптографические техники
Повторение сообщения	x	x
Удаление данных в сообщении	x
Вставка данных в сообщение	x			x	x	x
Измененная последовательность данных в сообщении	x	x
Поврежденные данные в сообщении							X <a>	x
Задержка в отправке/получении сообщения		x	x
Подмена, придание неподлинному сообщению вида подлинного сообщения				x		x		x
Примеры защиты от неавторизованного доступа могут быть также найдены в применениях, охватываемых EN 50159 (2011). -------------------------------- <a> См. таблицу H.1, 6.1 и 6.2.

 

H.11.12.4.1.3.2 Доступ к процессу обмена данными

Все типы доступа к системам обмена данными, относящимся к функции класса B управляющего устройства или функции класса C управляющего устройства, должны быть четко ограничены.

Для рабочих данных, параметров конфигурации и/или модулей программного обеспечения функции управляющего устройства класса B или функции управляющего устройства класса C допустимо быть переданными по каналам связи, если предприняты достаточные аппаратные/программные меры для обеспечения того, чтобы был невозможен несанкционированный доступ к функции управляющего устройства. Пароли или криптографические методы считают достаточными средствами, однако прочие подходы, примеры которых приведены в таблице H.11, также являются приемлемыми.

H.11.12.4.1.3.3 Исправления программного обеспечения Класса B и Класса C

Требования по H.11.12.3 следует применять к исправлениям программного обеспечения класса B и класса C. Дополнительно требуется управление конфигурацией аппаратного обеспечения, и должны быть предприняты меры, чтобы убедиться в том, что управляющее устройство сохраняет свои защитные функции в соответствии с данным стандартом.

Примечание - Управление конфигурацией аппаратного обеспечения требуется в дополнение к поверке программного обеспечения для того, чтобы сохранить целостность управляющего устройства. Принимают во внимание импликации уровня системы.

 

H.11.12.4.1.4 Для срабатывания функции управления, приводимой в действие дистанционно, продолжительность или ограничения рабочего цикла должны быть установлены перед включением, если только в конце цикла не реализовано автоматическое выключение или система не сконструирована для постоянной работы.

Соответствие проверяют изучением программного обеспечения.

H.11.12.4.2 Следует проявить осторожность в том, чтобы приоритет над функциями управляющего устройства не привел к опасному состоянию.

Соответствие проверяют изучением.

H.11.12.4.3 Дистанционный перезапуск

H.11.12.4.3.1 Дистанционный перезапуск следует инициировать вручную. Когда функцию перезапуска инициируют переносным устройством, должно требоваться как минимум два ручных действия для приведения процесса перезапуска в действие.

Примечание - Считается, что два ручных действия должны быть дискретными и отдельными.

 

H.11.12.4.3.2 Функции перезапуска должны быть в состоянии перезапустить систему надлежащим образом.

H.11.12.4.3.3 Не должны возникать непредусмотренные перезапуски из безопасного состояния.

H.11.12.4.3.4 Любая неисправность функции перезапуска не должна привести управляющее устройство или контролируемую функцию к опасному состоянию и должна быть исследована для классификации по классу B.

H.11.12.4.3.5 Для функций перезапуска, инициируемых вручную, для не находящихся в поле зрения оператора приборов применяют следующие дополнительные требования:

- фактический статус и соответствующая информация о ходе управляемого процесса должны быть видны пользователю перед, во время и после перезапуска;

- должно быть декларировано максимальное количество перезапусков за период времени (например, 5 действий за временной отрезок 15 мин). Исходя из этого любой следующий перезапуск должен быть отклонен, если только прибор не проверяют физически.

H.11.12.4.3.6 Рассмотрение функций перезапуска на конечной аппаратуре

Функцию перезапуска следует оценивать на конечной аппаратуре.

Примечание - Не все типы функций перезапуска могут быть признаны пригодными для ряда применений.

 

Если перезапуск приводят в действие ручным переключением термостата или устройства с аналогичной функцией, это должно быть заявлено изготовителем и пригодно для конечного применения.

H.17 Износостойкость

H.17.1 Общие требования

H.17.1.4 Испытание на износостойкость не проводят на электронных управляющих устройствах с действием типа 1, если только это не является необходимым для испытания связанных компонентов, в частности компонентов с ручными действиями, реле и пр.

H.17.1.4.1 Электронные управляющие устройства с действием типа 2 не подлежат испытанию на износостойкость, но подлежат термоциклическому испытанию при условиях, описанных в H.17.1.4.2. Данное испытание может быть совмещено с испытанием каких-либо связанных компонентов, в частности компонентов с ручным действием, реле и пр., если возможно.

H.17.1.4.2 Термоциклическое испытание

Цель испытания состоит в том, чтобы заставить компоненты электронной схемы подвергаться циклическому температурному воздействию в диапазоне между экстремальными значениями температуры, которые, вероятно, возникают в ходе нормальной эксплуатации и которые могут возникнуть от изменения температуры окружающей среды, температуры монтажной поверхности, напряжения питания или от переключения из рабочего состояния в нерабочее и наоборот.

Испытания, необходимые для достижения вышеуказанных условий, будут зависеть в большой степени от конкретного типа управляющего устройства и должны быть расширены, если необходимо, по соответствующей части 2 настоящего стандарта.

Следующие условия должны формировать основу испытания.

a) Продолжительность

14 дней или какую-либо продолжительность, указанную в соответствующей части 2, в зависимости от того, что является более длительным. Для управляющих устройств, обеспечивающих электронное отключение (тип 2.Y), 14 дней или количество циклов, заявленных в таблице 1, требования 26 и 27, в зависимости от того, что дает большую продолжительность испытания.

b) Электрические условия

Управляющее устройство должно быть нагружено в соответствии с номиналами, заявленными изготовителем, напряжение затем должно быть увеличено до 1,1 V_R, за исключением 30 мин на каждые 24 ч периода испытания, когда напряжение сокращается до 0,9 V_R. Изменение напряжения не должно быть синхронизировано с изменением температуры. Каждый 24-часовой период должен также включать в себя не менее одного периода 30 с, в течение которого подачу напряжения выключают.

c) Температурные условия

Температура окружающей среды и/или температура монтажной поверхности меняется между T_макс (T_{s макс}) и T_мин (T_{s мин}), чтобы заставить температуру компонентов электронной цепи циклически изменяться между крайними значениями. Скорость изменения температуры окружающей среды и/или монтажной поверхности должна быть около 1 К/мин, и крайние значения температуры следует поддерживать в течение приблизительно 1 ч.

d) Скорость срабатывания

В ходе испытания управляющее устройство должно циклически проходить свои режимы срабатывания на самой большой возможной скорости, не превышающей, однако, максимума в шесть циклов в минуту, подвергая компоненты требуемому циклическому воздействию между крайними значениями температуры.

Если режим срабатывания, в частности управление скоростью, может быть установлен пользователем, период испытания должен быть разделен на три периода, один период должен быть на максимальной, один на минимальной и один на средней уставке.

Для управляющих устройств, обеспечивающих электронное отключение (тип 2.Y), испытание также включает в себя заявленное число переключений от проводящего до непроводящего состояния и наоборот.

H.17.1.4.3 Управляющие устройства с возможностью удаленного перезапуска

Независимо смонтированные устройства с возможностью удаленного перезапуска должны быть испытаны на не менее 1000 перезапусков. Для интегрированных и встроенных устройств, если иное не указано, минимальное число циклов перезапуска должно быть заявлено изготовителем. После испытания устройство перезапуска должно быть в состоянии перезапустить систему надлежащим образом. Ненадлежащие перезапуски возникать не должны.

H.17.14 Оценка соответствия

Замена первого абзаца

После всех соответствующих испытаний по 17.6 - 17.13 и H.17.1.4, измененных как указано в соответствующей части 2, управляющее устройство будет считаться удовлетворяющим требованиям, если:

Дополнительный маркированный абзац:

- для управляющих устройств, обеспечивающих электронное отключение (тип 1.Y или 2.Y), требования по H.11.4.16 по-прежнему выполняются.

H.18 Механическая прочность

H.18.1 Общие требования

H.18.1.5 Дополнение

Для управляющих устройств, обеспечивающих электронное отключение (тип 1 .Y или 2.Y), требования по H.11.4.16 по-прежнему должны выполняться.

H.20 Пути утечки, воздушные зазоры и расстояния по изоляции

H.20.1 Дополнение

H.20.1.15 Электронные управляющие устройства

H.20.1.15.1 Пути утечки, воздушные зазоры и расстояния по изоляции между токоведущими частями, присоединенными к сети питания, и доступными поверхностями или частями должны удовлетворять требованиям раздела 20.

H.20.1.15.2 Пути утечки, воздушные зазоры и расстояния по изоляции должны удовлетворять:

- для защитного импеданса - требованиям раздела 20 для двойной изоляции или усиленной изоляции;

- для каждого отдельного компонента защитного импеданса - требованиям раздела 20 для дополнительной изоляции.

H.20.1.15.3 Пути утечки и воздушные зазоры, обеспечивающие функциональную изоляцию, должны удовлетворять требованиям раздела 20.

H.23 Требования электромагнитной совместимости (ЭМС) - излучение

Оборудование, которое использует интегрированные или встроенные управляющие устройства, должно удовлетворять соответствующему стандарту ЭМС на само изделие. Интегрированные и встроенные управляющие устройства испытывают в составе управляемого оборудования.

H.23.1 Электронные управляющие устройства должны быть сконструированы так, чтобы они не испускали излишние электрические или электромагнитные возмущения в окружающую их среду.

H.23.1.1 Низкочастотное излучение, возмущения в системах питания

Интегрированные и встроенные управляющие устройства не подлежат испытаниям по данному разделу, поскольку на результаты данных испытаний влияет встраивание управляющего устройства в оборудование и применяемые в нем меры подавления излучения. Они могут, однако, быть проведены при заявленных условиях, если поступит запрос со стороны производителя.

Управляющие устройства, в которых электронное устройство управляет напрямую внешней нагрузкой, присоединенной к сетям электропитания (порт управляющего устройства), должны удовлетворять требованиям IEC 61000-3-2 и IEC 61000-3-3. Для данных испытаний нагрузку и средства по подавлению излучений, если есть, следует использовать, как заявлено изготовителем в таблице 1, требование 74. Данное требование не применяют к управляющим устройствам, заявленным и сконструированным только для работы с нагрузкой в ведомом режиме.

H.23.1.2 Радиочастотное излучение

Отдельно отстоящие, с независимым монтажом и встроенные в шнур электронные управляющие устройства, использующие телекоммуникационные порты, программное обеспечение, колебательные контуры или импульсные источники питания, должны удовлетворять требованиям CISPR 14-1 и/или CISPR 22, класс B, как отмечено в таблице H.12.

Примечание 1 - Телекоммуникационный порт определен в 3.6 CISPR 22:2008.

 

Управляющие устройства для ПНМ оборудования и отдельно стоящих, с независимым монтажом и управляющих устройств, встроенных в шнур для использования с оборудованием ПНМ, должны удовлетворять требованиям CISPR 11.

Дополнительные подробные сведения могут быть даны в соответствующей части 2.

Примечание 2 - Соответствующая часть 2 указывает, будут ли требования настоящего раздела применяться к интегрированным и встроенным электронным управляющим устройствам.

 

Таблица H.12 (H.23 из издания 3)

 

Излучение

 

Порт	Диапазон частоты	Пределы	Основной стандарт	Применимое примечание	Замечания
Кожух	от 30 МГц до 230 МГц от 230 МГц до 1000 МГц Св. 1 ГГц	30 дБ на 10 м 37 дБ на 10 м См. примечание 3	CISPR 22 Класс B	См. примечание 1 См. примечание 3	Применяется статистическая оценка в основном стандарте
Сети переменного тока	от 0 кГц до 2 кГц		IEC 61000-3-2 IEC 61000-3-3	См. примечание 2
	от 0,15 МГц до 0,5 МГц Пределы сокращаются линейно с последующей частотой	от 66 дБ до 56 дБ квази-пик от 56 дБ до 46 дБ среднее	CISPR 22 Класс B		Применяется статистическая оценка в основном стандарте
	от 0,5 МГц до 5 МГц	56 дБ квази-пик 46 дБ среднее
	от 5 МГц до 30 МГц	60 дБ квази-пик 50 дБ среднее
Зажимы нагрузки	от 0,15 МГц до 30 МГц	См. основной стандарт Раздел: импульсные помехи	CISPR 14-1
Примечания 1 Применяют только к управляющим устройствам, содержащим устройства обработки, например микропроцессоры, работающие на частотах свыше 9 кГц. 2 Применяют только к оборудованию в области применения IEC 61000-3-2 и IEC 61000-3-3. Пределы для управляющих устройств, не охваченных в настоящее время IEC 61000-3-2 и IEC 61000-3-3, находятся в стадии рассмотрения. 3 Пределы и применимость, см. 6.2 CiSPR 22:2008.

 

H.25 Нормальная работа

H.25.1 Форма выходной волны электронных управляющих устройств должна соответствовать заявленной.

Форма выходной волны управляющего устройства должна быть проверена при всех условиях нормальной работы и должна быть или синусоидой, или такой, как заявлено в таблице 1, требование 53.

Примечание - Следует обратить внимание на IEC 61000-3-2 и 61000-3-3, которые налагают ограничения на возмущения в сети.

 

H.26 Требования электромагнитной совместимости (ЭМС) - устойчивость

H.26.1 Электронные управляющие устройства должны быть сконструированы так, чтобы они выдерживали воздействие сетевых помех и электромагнитных помех, которые возможны при нормальной эксплуатации. Для управляющих устройств класса 2 испытания по разделу H.26 также проводят после того, как управляющее устройство выполнило свои задачи по обеспечению безопасности.

Критерии оценки для управляющего устройства, предназначенного для испытаний уровня 2 и/или 3, будут даны в соответствующей части 2. См. H.26.15 для дополнительной информации. Данные испытательные уровни соответствуют испытательным уровням, описанным серией стандартов IEC 61000. Часть 2 должна предоставить приемлемые воздействия, критерии оценки для управляющего устройства в результате испытаний с использованием испытаний уровней 2 и/или 3, в частности таких, как нормальное срабатывание после испытания 2 уровня и безопасное срабатывание устройства/безопасное выключение после испытания 3 уровня. Вторые части могут описывать более высокие уровни испытания.

Часть 2 должна описывать уровни для испытаний по разделу H.26. Как минимум, испытание уровня 3 применимо для защитных управляющих устройств, предназначенных для предупреждения небезопасной работы контролируемого оборудования, такого как выключатели, запорные дверные устройства для прачечного оборудования, а также управляющие устройства для горелок. Как минимум, испытание уровня 2 применимо для управляющих устройств, рассчитанных на нормальную работу оборудования, таких как термостаты, таймеры.

Испытания по разделу H.26 не применяют для неэлектронных управляющих устройств из-за их устойчивости к таким воздействиям. Соответствующие испытания для отдельных типов неэлектронных управляющих устройств могут быть включены в другие разделы соответствующей части 2.

H.26.2 Соответствие проверяют согласно испытательным уровням, как указано в таблице H.13. Управляющие устройства должны удовлетворять H.26.15.

 

Таблица H.13 (H.26.2.1 из издания 3)

 

Применяемые уровни испытаний

 

Тип управляющего устройства	Тип действия	Применимость испытаний раздела H.26	Применимые уровни испытания, связанные с H.26.15.3 <a>
Рабочее управляющее устройство	Тип 1	H.26.8, H.26.9	2
Рабочее управляющее устройство	Тип 2	H.26.4 - H.26.14	2, 3 или 4, как указано
Защитное управляющее устройство	Тип 2	H.26.4 - H.26.14	3
Защитные управляющие устройства, заявленные в таблице 1, требование 90, предназначенные для использования в соответствии с IEC 60335-1	Тип 2	H.26.4 - H.26.14	Применимые уровни испытания в соответствии с 19.11,4 IEC 60335-1:2010
<a> Более низкие уровни испытания будут рассмотрены в соответствии с серией стандартов IEC 61000-4.

 

H.26.2.1 Для интегрированных и встроенных управляющих устройств с действием типа 1 соответствие проверяют испытаниями по H.26.8 и H.26.9, если заявлено в таблице 1, требование 58a.

H.26.2.2 Для интегрированных и встроенных управляющих устройств с действием типа 2 соответствие проверяют испытанием по H.26.5 и любыми другими испытаниями по разделу H.26, которые заявлены в таблице 1, требование 58a.

Примечание - Пригодность каждого испытания в разделе H.26 к данному управляющему устройству может быть определена путем ссылки на соответствующие стандарт(ы) или на заявление изготовителя о предполагаемом использовании управляющего устройства.

 

Данное определение пригодности включает в себя оценку:

- будет ли управляющее устройство подвергаться определенному типу помех, находясь в аппаратуре;

- будет ли отклик управляющего устройства на определенный тип помех соответствовать требованиям безопасности, находясь в составе аппаратуры.

H.26.3 Отдельный образец, как представляется, может быть использован для каждого испытания. На усмотрение изготовителя управляющего устройства множественные испытания могут быть выполнены на одном образце.

H.26.4 Испытания на помехозащищенность в низкочастотной области от воздействия гармоник и промежуточных гармоник, включая сигналы, передаваемые через сеть переменного тока

Для защитных управляющих устройств, заявленных в соответствии с требованием 90 таблицы 1, применяют следующее испытание.

К управляющему устройству, подвергаемому воздействию сети в соответствии с IEC 61000-4-13, могут быть применимы испытания уровня класса 2.

В ходе испытания управляющее устройство запитывают номинальным напряжением. Испытательные уровни для окружающей среды класса 2 в соответствии с таблицами 1 - 4 IEC 61000-4-13:2002 следует приложить к разъему (порту) питания испытуемого оборудования. Управляющее устройство испытывают при условиях, указанных в конкретном стандарте на управляющее устройство.

Следующие испытания выполняют в соответствии с рисунком 1a IEC 61000-4-13:2002, Изменение 1:2009, для окружения класса 2:

- "Комбинация гармоник" (см. 8.2.1 IEC 61000-4-13:2002, Изменение 1:2009);

- "кривая Meister" (см. 8.2.4 IEC 61000-4-13:2002, Изменение 1:2009).

H.26.5 Падение напряжения и кратковременные прерывания подачи напряжения в силовой питающей электросети

Управляющее устройство должно выдерживать падения напряжения и кратковременные изменения напряжения в силовой питающей электросети.

Соответствие проверяют испытаниями по H.26.5.1 - H.26.5.2.

H.26.5.1 Падения и прерывания напряжения

Целью испытания является подтверждение защищенности оборудования от падений напряжения и кратковременных прерываний подачи напряжения. Падения напряжения и кратковременные прерывания вызываются неисправностями в сетях с низким, средним, высоким напряжениями (неисправности типа короткое замыкание или повреждение заземления).

H.26.5.1.1 Испытательные уровни для падений и прерываний напряжения

Испытательные значения в таблице H.14 следует применять ко всем испытательным уровням.

 

Таблица H.14

 

Падения напряжения, кратковременные прерывания и изменения

напряжения

 

Продолжительность
	30%	60%	100%
Половина цикла колебания источника питания Один цикл колебания источника питания			X X
2,5 цикла	X	X	X
25 циклов	X	X	X
50 циклов	X	X	X
Примечание - В тех случаях, когда прерывание напряжения в промежуточном положении может повлиять на безопасность самого управляющего устройства или выходной сигнал управляющего устройства типа 2, в части 2 могут быть приведены условия кратковременного прерывания напряжения другой продолжительности.

 

H.26.5.1.2 Методика испытания для падений и прерываний напряжения

Аппаратура и методика испытания должны быть такими, как указано в IEC 61000-4-11. В ходе испытания управляющее устройство должно работать при номинальном напряжении.

Падения и прерывания напряжения должны быть случайным образом с учетом частоты сети проведены как минимум три раза в соответствующих режимах работы.

Внимание следует уделять тем режимам работы, в которых управляющее устройство может быть особенно чувствительно к падениям и прерываниям напряжения.

Между падениями и прерываниями напряжения следует соблюдать время ожидания продолжительностью не менее 10 с.

В случае трехфазного оборудования может потребоваться произвести падения и прерывания напряжения на трех фазах одновременно или только на одной или двух фазах.

Для защитных управляющих устройств, заявленных в соответствии с таблицей 1, требование 90, применяют следующее дополнительное испытание.

Защитные управляющие устройства следует подвергнуть падениям и прерываниям напряжения на случайных фазах колебания с учетом частоты сети, а также на пересечении нулевого уровня напряжения питания.

H.26.5.2 Испытание изменением напряжения

Целью испытания является подтверждение защищенности управляющего устройства от изменения напряжения, происходящего в короткий промежуток времени, что может быть вызвано изменением нагрузки или накоплением энергии в местных электросетях.

H.26.5.2.1 Испытательные уровни для изменений напряжения

Испытательные значения в таблице H.15 следует применить ко всем уровням испытаний.

H.26.5.2.2 Методика испытания

Аппаратура и методика испытания должны быть такими, как указано в IEC 61000-4-11. Продолжительность изменений напряжения и время, в течение которого следует сохранять уменьшенные напряжения, приведено в таблице H.15 и изображено на рисунке H.2. Скорость изменения напряжения должна быть постоянной, однако напряжение может изменяться ступенчато. Шаги должны быть привязаны к пересечению с 0 и должны быть не более 10% от V_R. Шаги ниже 1% от V_R расценивают как постоянную скорость изменения напряжения.

 

Таблица H.15 (H.26.5.4.2 из издания 3)

 

Испытательные значения для изменений напряжения

 

Уровень испытания напряжением	Время понижения напряжения	Время на пониженном напряжении	Время повышения напряжения
40% VR	2 с +/- 20%	1 с +/- 20%	2 с +/- 20%
0% VR	2 с +/- 20%	1 с +/- 20%	2 с +/- 20%
	x	x	x
Примечание - "x" означает неопределенную продолжительность, ее следует указывать в части 2.

 

 

Примечание - Напряжение плавно уменьшается.

 

Рисунок H.2 - Испытание изменения напряжения

 

Управляющее устройство три раза подвергают каждому из указанных циклов испытания напряжением с интервалами 10 с между испытательными циклами для получения более репрезентативных режимов работы. Дополнительные уровни напряжения для испытания могут быть указаны в части 2.

H.26.6 Проверка влияния несимметрии (разбаланса) напряжения

H.26.6.1 Цель испытания. Диапазон применения

Данное испытание применяют только для трехфазного оборудования.

Цель испытания состоит в изучении влияния несимметрии в трехфазных системах напряжения на оборудование, чувствительное к воздействию такого рода, в частности:

- перегреву вращающихся машин переменного тока;

- возникновению нехарактерных гармоник в электронных силовых преобразователях.

Степень несимметрии определяют коэффициентом несимметрии

 

 

H.26.6.2 Характеристики испытательного напряжения

Трехфазное напряжение с частотой сети должно быть подано на управляющее устройство с установленным коэффициентом несимметрии.

Примечание - Для получения точных результатов может быть использовано напряжение с малым содержанием гармоник.

 

H.26.6.3 Испытательное оборудование/испытательный генератор

Испытательная установка должна состоять из трех однофазных автотрансформаторов, чьи выходные мощности регулируются отдельно, или аналогичного оборудования.

H.26.6.4 Уровень испытания

Испытание должно быть выполнено с коэффициентом несимметрии 2%.

H.26.7 Испытание на влияние постоянного тока в сетях переменного тока

Примечание - Требования и испытания находятся в стадии рассмотрения.

 

H.26.8 Испытание защищенности от перенапряжений

Управляющее устройство должно выдерживать перенапряжение в электросетях и на соответствующих сигнальных выводах.

Соответствие проверяют испытаниями по H.26.8.2 - H.26.8.3.

H.26.8.1 Цель испытания

Данное испытание применимо для зажимов источника питания и в особых случаях для зажимов управляющего устройства (см. H.26.8.2).

Управляющие устройства, предусматривающие электронное отключение, нагружают в соответствии с 17.2 и подвергают испытанию на уровнях, соответствующих классу монтажа, указанному производителем управляющего устройства, при которых обеспечивается электронное отключение. В ходе и после испытания управляющее устройство должно обеспечивать электронное отключение, как определено в H.11.4.16.2. Если в ходе испытания электронное отключение не произошло на половине цикла колебания источника питания после применения одного перенапряжения, то это не расценивают как неисправность.

Целью данного испытания является подтверждение защищенности управляющего устройства от однонаправленных перенапряжений, вызванных различными воздействиями:

- эффект включения в силовой сети (например, включение батарей конденсаторов);

- неисправности в силовой сети;

- дуговые разряды.

Индуцированный скачок напряжения может иметь различные последствия в зависимости от соотношения сопротивления источника и управляющего устройства:

- если система обладает высоким сопротивлением относительно источника, скачок приведет к пульсации напряжения;

- если управляющее устройство обладает относительно низким сопротивлением, скачок приведет к пульсации тока.

Такое поведение может быть продемонстрировано на примере входной цепи, защищенной устройством подавления перенапряжения: как только последнее замкнет цепь, входное сопротивление становится очень низким. В реальности испытание должно соответствовать данному поведению, а испытательный генератор должен быть в состоянии обеспечить пульсацию напряжения при высоком значении сопротивления так же, как и пульсацию тока при низком значении сопротивления (гибридный генератор).

H.26.8.2 Испытательные значения

Испытания следует выполнять в соответствии с таблицей H.16.

Испытания на зажимах для сигналов, данных, управления и других линий ввода должны быть выполнены только в том случае, если данные зажимы сконструированы для присоединения кабелей длиннее 10 м, в соответствии со спецификациями производителя.

Для защитных управляющих устройств, заявленных в соответствии с требованием 90 таблицы 1, применяют следующее дополнительное испытание.

Зажимы подачи питания управляющего устройства подвергают испытанию по уровню 4 (применяется для режима соединения фаза-земля) с генератором, имеющим полное внутреннее сопротивление 12 Ом, и по испытательному уровню 3 (применяется для режима соединения фаза-фаза) с генератором, имеющим полное внутреннее сопротивление 2 Ом.

 

Таблица H.16 (H.26.8.2 из издания 3)

 

Испытательные напряжения для испытательного уровня 2

(в зависимости от условий класса монтажа)

 

Испытательные значения пиковые, кВ
IEC 61000-4-5 класс монтажа	Источник питания		Несимметричные рабочие цепи и фазы		Симметричные рабочие цепи и фазы
	Режим взаимодействия		Режим взаимодействия		Режим взаимодействия
	Между фазами	Между фазой и заземлением	Между фазами	Между фазой и заземлением	Между фазами	Между фазой и заземлением
2	0,5	1,0	0,5	1,0	Испытания не проводят	1,0
3	1,0	2,0	1,0	2,0	Испытания не проводят	2,0
4	2,0	4,0	2,0	4,0	Испытания не проводят	2,0
Примечания 1 Для требований к испытаниям уровня 3, следует применить следующий, более высокий класс монтажа. Для требований к испытаниям уровня 4 применяют значения из 4 класса монтажа. 2 Испытания проводят с использованием любого устройства подавления выбросов напряжения, установленного соответствующим образом. 3 В управляющих устройствах более низкая категория может следовать за более высокой категорией, когда предусмотрены надлежащие средства по контролю переходного перенапряжения между участками цепи. 4 См. приложение R, в котором описан класс монтажа и приведены соответствующие разъяснения.

 

На испытательных уровнях 2) и 3) после испытаний по H.26.8.2 не должны быть разрушены компоненты защиты от перенапряжения.

H.26.8.3 Методика испытания

Аппаратура и методика испытания должны быть такими, как указано в IEC 61000-4-5. В соответствии с настоящим стандартом управляющее устройство присоединяют к соответствующему источнику питания, работающему на номинальном напряжении, имеющему генератор импульсов, подключенный параллельно зажимам.

Испытания проводят путем воздействия на систему пятью импульсами каждой полярности, плюс и минус (+, -), и с фазовым соотношением не менее 0°, 90°, 180° и 270°, подаваемым на соответствующих рабочих режимах и со значениями напряжения, перечисленными в таблице H.16, с интервалами не более 60 с, или как указано в соответствующей части 2.

Если используют варисторы в качестве устройств защиты от перенапряжений, они должны удовлетворять IEC 61643-11. Дополнительно они должны быть выбраны так, чтобы выдерживать импульсы, связанные с классом монтажа, с которым управляющее устройство предназначено к использованию.

Для управляющих устройств, имеющих предохранители защитных устройств от перенапряжений, включающие искровые разрядники, испытание повторяют на испытательном уровне, который составляет 95% от напряжения поверхностного пробоя.

Управляющее устройство испытывают и оценивают во всех соответствующих режимах работы, как указано в соответствующей части 2.

H.26.9 Испытание кратковременными электрическими переходными процессами/импульсами

Управляющее устройство должно выдерживать быстрые переходные импульсные процессы в электросетях и в сигнальных линиях.

Соответствие проверяют испытаниями по H.26.9.2 - H.26.9.3.

H.26.9.1 Цель испытания

Данное испытание выполняют на зажимах источника питания и в особых случаях на зажимах управляющего устройства (см. H.26.9.2).

Назначение данного испытания состоит в демонстрации защищенности управляющего устройства от выбросов при кратковременных переходных процессах при низких токах, которые могут быть вызваны реле, контакторами и пр., включением индуктивных нагрузок, и которые могут воздействовать на электросети и сигнальные линии.

H.26.9.2 Уровни испытания

Испытания следует выполнять, как указано в таблице H.17.

Испытания на зажимах для интерфейсных кабелей следует выполнять только в том случае, если данные зажимы сконструированы для присоединения кабелей длиннее 3 м, в соответствии со спецификациями изготовителя.

Привод генератора: внутренний

Продолжительность: 1 мин каждой положительной (+), а также отрицательной (-) полярности.

Рабочие условия: как указано в соответствующем разделе части 2.

Испытательное напряжение на разъеме питания следует прикладывать одновременно между соответствующей землей и всеми зажимами питания (обычный режим).

 

Таблица H.17

 

Испытательный уровень для испытания кратковременными

переходными импульсными процессами

 

		Испытательное напряжение на выходе разомкнутой цепи и скорость повторения импульсов
		На порт питания, PE		На I/O (Вход/выход) сигнал, порты данных и управления
Применяемые уровни испытания, связанные с H.26.15.3	Испытательный уровень в соответствии с IEC 61000-4-4	Скачок напряжения, кВ	Частота повторений, кГц	Скачок напряжения, кВ	Частота повторений, кГц
2	2	1	5	0,5	5
3	3	2	5	1	5
Защитные управляющие устройства, заявленные в таблице 1, требование 90, предназначенные для использования в соответствии с IEC 60335-1	4	4	5	-	-

 

H.26.9.3 Методика испытания

Аппаратура и методика испытания должны быть такими, как указано в IEC 61000-4-4.

Управляющее устройство испытывают в каждом соответствующем режиме работы, как указано в соответствующей части 2.

H.26.10 Испытание на устойчивость к круговой волне

Примечание - Исключено.

 

H.26.10.1 Цель испытания. Диапазон применения

Назначение испытания состоит в том, чтобы проверить устойчивость оборудования к колебательным переходным процессам ("круговым волнам"), которые появляются во внутренних (кабельных) жилых и промышленных сетях низкого напряжения. Данное испытание является дополняющим испытание на 1,2/50 мкс выброс, которое охватывает переходные процессы, появляющиеся в наружных (воздушные линии) сетях. Энергия, вовлеченная в "круговые волны", гораздо меньше, чем та энергия, которая связана с выбросами напряжения; с другой стороны, они могут вызывать нежелательные воздействия на управляющие устройства из-за перемены полярности напряжения.

H.26.10.2 Характеристики испытательного колебания

Форма испытательных колебаний должна состоять из импульса с временем нарастания 0,5 мкс с последующим колебанием на 100 кГц с таким коэффициентом затухания, что каждый пик составляет 60% от предыдущего пика. См. рисунок H.3.

 

 

Рисунок H.3 - Характеристики круговой волны (напряжение

разомкнутой цепи)

 

H.26.10.3 Испытательное оборудование/испытательный генератор

Импульсный генератор для данного испытания на устойчивость изображен на рисунке H.4.

 

 

Рисунок H.4 - Схема генератора

круговой волны 0,5 мкс/100 кГц

 

Примечание - Значение R₁ указано в таблице H.22:

- R₁, равное 2,5 Ом, обеспечит 500 А пикового значения силы тока короткого замыкания;

- R₁, равное 25 Ом, обеспечит 200 А силы тока короткого замыкания.

 

H.26.10.4 Уровни испытания

Напряжения следует прикладывать в соответствии с таблицей H.18.

 

Таблица H.18 (H.26.10.4 из 3 редакции)

 

Пиковые напряжения

 

Номинальное напряжение (максимальное), В	Категория <a>, <b>
	I		II		III
	кВ	R1	кВ	R1	кВ	R1
100	0,5	25	0,8	25	1,5	25
300	1,0	25	1,6	25	2,5	25
600	2,0	25	3,0	25	5,0	25
Примечание - Исключено.   -------------------------------- <a> кВ разомкнутая цепь. См. рисунок H.4 для R1. <b> См. приложение L для категорий.

 

H.26.10.5 Методика испытания

Управляющее устройство испытывают, как указано в H.26.8.3.

H.26.11 Испытание на воздействие электростатического разряда

Данное испытание проводят в соответствии с IEC 61000-4-2.

Испытательные значения следует применять к испытательному уровню 3.

Прямое приложение разряда: Должны быть произведены контактные разряды 6 кВ на доступные металлические части, или воздушные разряды 8 кВ на доступные части из изоляционного материала.

Косвенное приложение разряда: Должны быть произведены контактные разряды 6 кВ на горизонтальные или вертикальные парные обкладки.

Для защитных управляющих устройств, заявленных в соответствии с требованием 90 таблицы 1, применяют следующее дополнительное испытание. Данное испытание выполняют в соответствии с разделом 5, испытательный уровень 4 по IEC 61000-4-2:2008. Должны быть выполнены контактные разряды 8 кВ на доступные металлические части, или воздушные разряды на 15 кВ на доступные части из изоляционного материала.

H.26.12 Защищенность от воздействия радиочастотного электромагнитного поля

H.26.12.1 Цель испытания

Целью испытания является проверка защищенности управляющих устройств от электромагнитных полей, генерируемым радиопередатчиками или любым другим устройством, непрерывно излучающим электромагнитную энергию. Защищенность управляющих устройств от излучения переносных передатчиков (мобильные рации) имеет большое значение, но в данном случае имеются в виду прочие источники электромагнитного излучения, такие как стационарные радио- и телевизионные трансмиттеры, радиостанции, установленные на транспортных средствах, и различные промышленные импульсные источники электромагнитного излучения.

H.26.12.1.1 Если критические значения для испытания уровня 2 не проявились после испытания на уровне 3, нет необходимости проводить испытание на уровне 2.

H.26.12.2 Защищенность от кондуктивных помех

Управляющее устройство должно выдерживать воздействие высокочастотных сигналов в электросетях и в соответствующих сигнальных выводах.

Соответствие проверяют испытаниями по H.26.12.2.1 - H.26.12.2.2.

H.26.12.2.1 Испытательные уровни для кондуктивных помех

Как минимум, следует применить испытательные уровни по таблице H.19.

Испытания следует применять только к соединительным кабелям, которые, в соответствии со спецификацией изготовителя, могут быть длиннее 1 м.

 

Таблица H.19 (H.26.12.2.1 из издания 3)

 

Испытательные уровни для кондуктивных помех в сети и линиях

ввода/вывода

 

Испытательный диапазон частот: от 150 кГц до 80 МГц
Испытательный уровень	Уровень напряжения (э.д.с.)
	U0, дБмкВ	U0, В
2	130	3
3	140	10
Примечание - Испытательные уровни в ISM- и CB-диапазонах выбирают выше 6 дБ (ISM: Радиочастотное оборудование промышленного, научного и медицинского назначения: 13,56 МГц +/- 0,007 МГц и 40,68 МГц +/- 0,02 МГц, CB: диапазон гражданского назначения: 27, 125 МГц +/- 1,5 МГц).

 

H.26.12.2.2 Методика испытания

Данное испытание следует проводить в соответствии с IEC 61000-4-6.

Испытание управляющего устройства проводят методом качания по всему испытательному диапазону частот в составе системы, как минимум один раз находящейся в каждом из соответствующих режимов работы. Там, где диапазон частоты качается с приращением, размер шага приращения не должен превышать 1% от предыдущего значения частоты с линейной интерполяцией между точками калибровки. Время задержки амплитудно-модулируемой несущей на каждой частоте должно быть не менее времени, необходимого для того, чтобы управляющее устройство восприняло ее и было в состоянии отреагировать, но ни в коем случае не должно быть менее 0,5 с. ISM и CB диапазоны должны быть испытаны с теми частотами, которые были охвачены при качании по полному испытательному диапазону частот с включением соответствующих ISM и CB диапазонов.

Примечание - Чувствительные частоты или частоты, представляющие особый интерес, могут быть исследованы отдельно.

 

H.26.12.3 Защищенность от излучаемых помех

Управляющее устройство должно выдерживать воздействие высокочастотных сигналов в электросетях и на соответствующих сигнальных зажимах.

Соответствие проверяют испытаниями по H.26.12.3.1 - H.26.12.3.2.

H.26.12.3.1 Испытательный уровень для излучаемых электромагнитных полей

Испытательные уровни защищенности от излучаемых электромагнитных полей следует применять в соответствии с таблицей H.20.

 

Таблица H.20 (H.26.12.3.1 из издания 3)

 

Испытательный уровень для защищенности от излучаемых

электромагнитных полей

 

	Диапазоны испытательной частоты/Напряженность поля, В/м
Испытательный уровень	от 80 МГц до 960 МГц	от 1,4 ГГц до 2,0 ГГц	от 2,0 ГГц до 2,7 ГГц
2	3	3	1
3	10	3	1

 

Увеличенные испытательные уровни для защищенности от излучения следует применять в соответствии с таблицей H.21.

 

Таблица H.21

 

Расширенный испытательный уровень для защищенности

от излучения (ISM, GSM, DECT диапазоны)

 

	Диапазоны испытательной частоты/Напряженность поля, В/м
Испытательный уровень	от 433 МГц до 435 МГц	от 864 МГц до 915 МГц	от 935 МГц до 960 МГц	от 1 710 МГц до 1 784 МГц	от 1 805 МГц до 1 960 МГц	от 2 446 МГц до 2 454 МГц
2	6	6	6	6	6	2
3	20	20	10	6	6	2

 

H.26.12.3.2 Методика испытания

Данное испытание следует проводить в соответствии с IEC 61000-4-3.

Испытание управляющего устройства проводят методом качания по всему испытательному диапазону частот, как при горизонтальной, так и при вертикальной ориентации антенны в каждом из соответствующих режимов работы. Там, где диапазон частоты качается с приращением, размер шага не должен превышать 1% от предыдущего значения частоты с линейной интерполяцией между точками калибровки. Время задержки на каждой частоте должно быть не менее, чем время, необходимое для того, чтобы управляющее устройство восприняло ее и отреагировало, но ни в коем случае не должно быть менее 0,5 с. ISM, GSM и DECT диапазоны должны быть испытаны с теми частотами, которые были охвачены при качании по полному испытательному диапазону частот с включением соответствующих ISM, GSM и DECT диапазонов.

Испытание обычно следует выполнять с излучающей антенной, обращенной к каждой стороне управляющего устройства. Когда оборудование может быть использовано в различных положениях (т.е. вертикальном или горизонтальном), все стороны должны попасть под поле в ходе испытания. В технически оправданных случаях некоторые управляющие устройства могут быть испытаны путем воздействия на меньшее число поверхностей генерирующей антенной. В прочих случаях, как например, определено, типом и размером управляющего устройства или испытательными частотами, может потребоваться воздействовать на более, чем четыре направления.

Примечание - Чувствительные частоты или частоты или частоты, представляющие особый интерес, могут быть исследованы отдельно.

 

H.26.13 Испытание влияния изменений частоты питающего напряжения

Управляющие устройства на основе микропроцессора, заявленные как функция управляющего устройства класса B и/или функция управляющего устройства класса C, которые опираются на частоту электросети для корректной работы, должны выдерживать колебания частоты электросети, если это заявлено изготовителем в дополнительных пунктах таблицы 1 раздела H.7.

H.26.13.1 Цель испытания

Цель данного испытания состоит в проверке воздействия на управляющее устройство отклонений частоты в электросети.

H.26.13.2 Уровни испытания

Следует применять испытательные значения по таблице H.22.

 

Таблица H.22 (п. H.26.13.2 из издания 3)

 

Испытательный уровень для изменений частоты питания

 

Испытательный уровень	Изменения в частоте сети, % <a>
2	+/- 1 и +/- 2
3	+/- 3, +/- 4 и +/- 5
<a> Прочие значения могут быть указаны в части 2.

 

H.26.13.3 Методика испытания

Аппаратура и методика испытания должны быть такими, как указано в IEC 61000-4-28.

Управляющее устройство должно изначально работать на номинальном напряжении, а затем должно быть подвергнуто изменениям частоты, как указано в H.26.13.2.

H.26.14 Испытание на защищенность от магнитного поля промышленной частоты

Управляющие устройства, чувствительные к магнитному полю, в частности, управляющие устройства, использующие датчики Холла, должны выдерживать магнитные поля промышленной частоты.

Соответствие проверяют испытанием по H.26.14.2.

Примечание - Примеры таких управляющих устройств включают в себя датчики давления, которые используют датчики Холла, управляющие устройства с герконовыми реле и управляющие устройства, использующие двухпозиционные реле.

 

H.26.14.1 Цель испытания

Цель испытания состоит в демонстрации защищенности управляющих устройств, на которые может быть оказано воздействие магнитными полями промышленной частоты, в зависимости от места расположения и условий установки управляющего устройства (например, близость оборудования к источнику возбуждения).

Магнитные поля промышленной частоты генерируются токами промышленной частоты в токопроводящих жилах или другими устройствами (например, утечка из трансформаторов) в непосредственной близости от оборудования.

Приниматься во внимания должны только воздействия от ближайших токопроводящих жил, в которых ток в нормальных рабочих условиях производит постоянное (непрерывное) магнитное поле сравнительно небольшой величины.

H.26.14.2 Уровни испытания

Уровни испытания следует применяться в соответствии с таблицей H.23.

 

Таблица H.23 (п. H.26.14.2 из 3 редакции)

 

Испытательный уровень для непрерывных полей

 

Испытательный уровень	Сила непрерывного поля, А/м
2	3
3	10

 

H.26.14.3 Методика испытания

Управляющее устройство запитывают на номинальное напряжение. Испытательное оборудование, тестовый стенд и методика испытания должны соответствовать IEC 61000-4-8. Управляющее устройство испытывают при условиях, определенных в соответствующей части 2.

H.26.15 Оценка соответствия

H.26.15.1 После испытаний по H.26.2 - H.26.14 и H.26.16, образец(ы) должны соответствовать требованиям раздела 8, пункта 17.5 и раздела 20.

H.26.15.2 Дополнительно управляющее устройство должно соответствовать следующему:

- требованиям H.17.14 или

- выходной(ые) сигнал(ы) и функционирование должны быть такими, как заявлено в таблице 1, требования 58a и 58b.

Соответствие второму альтернативному требованию H.26.15.2 может сделать управляющее устройство в отдельных случаях неприемлемым для использования.

Часть 2 может содержать ограничения допустимых воздействий на управляемых выходных сигналах для определенных типов управляющих устройств или функций управляющих устройств для испытательных уровней.

H.26.15.3 Различные выходные сигналы и функции могут быть заявлены изготовителем после испытания на уровне 2 или уровне 3, если применимо. Часть 2 может указывать на особые критерии после каждого из этих испытаний.

H.26.15.4 Критерий соответствия должен быть приведен в части 2 и базироваться на условиях работы выходов и функциональных спецификациях испытуемого управляющего устройства:

a) нормальные рабочие характеристики без потери защитных функций, и управляющее устройство в соответствии со спецификацией или заявленным ограничениям;

b) потеря защитной функции при работе в условиях заявленных ограничений;

c) потеря защитной функции с безопасным выключением;

d) потеря защитной функции с небезопасной работой.

H.27 Ненормальная работа

H.27.1 Электронные управляющие устройства. Оценка внутренних неисправностей

H.27.1.1 Электронные управляющие устройства следует оценивать на влияние отказов или неправильного срабатывания компонентов цепи на обеспечение электрической безопасности.

Соответствие проверяют испытаниями по H.27.1.1.1 - H.27.1.1.6 и H.27.4.

Компоненты, которые отказывают в результате совокупного внешнего воздействия, заменяют, если необходимо.

Примечание - Неэлектронные компоненты, в частности выключатели, реле и трансформаторы, которые оценены по разделу 24 или по соответствующим требованиям настоящего стандарта, не подвергают испытаниям по H.27.1.1.

 

В ходе испытаний по H.27.1.1 для управляющего устройства, обеспечивающего электронное отключение (тип 1.Y или 2.Y), допускается любой отказ устройства, описанный в сноске <n> таблицы 12.

H.27.1.1.1 Условия неисправности, указанные в таблице H.24, не применяют к цепям или частям цепей, где выполняются все следующие условия:

- электронная цепь является цепью малой мощности, как описано ниже;

- защита от поражения электрическим током, пожара, физической угрозы здоровью или жизни или опасный сбой в прочих частях управляющего устройства не зависит от правильного функционирования электронной цепи.

Цепь малой мощности определяют следующим образом и в дальнейшем разъясняют на рисунке H.5. Управляющее устройство работает на номинальном напряжении или на верхнем пределе диапазона номинального напряжения, и переменный резистор, выставленный на свое максимальное сопротивление, присоединяют между точкой для изучения и противоположным полюсом источника питания.

Сопротивление затем понижают до тех пор, пока мощность, потребляемая резистором, не достигнет максимума. Любая точка, ближайшая к питанию, и в которой максимальная мощность, выделяемая на этом резисторе, не превышает 15 Вт по завершении 5 с, называют точкой малой мощности. Часть цепи, более удаленная от источника питания, чем точка малой мощности, рассматривают как цепь малой мощности.

Измерения проводят только на одном полюсе источника питания, предпочтителен тот, который дает наименьшее количество точек малой мощности.

Примечание - При определении маломощных точек следует начать с точек, расположенных близко к источнику питания. Мощность, потребляемая переменным резистором, измеряют удобным способом, например, при помощи ваттметра.

 

Если электронная цепь срабатывает для обеспечения соответствия с разделом H.27, соответствующее испытание повторяют с имитацией одиночной неисправности, как указано в H.27.1.1.5.

 

 

D является точкой, наиболее удаленной от источника питания, где максимальная мощность, подаваемая на внешнюю нагрузку, превышает 15 Вт.

A и B являются точками, наиболее близкими к источнику питания, где максимальная мощность, подаваемая на внешнюю нагрузку, не превышает 15 Вт. Они являются точками малой мощности.

Точки A и B по отдельности накоротко замыкают на C.

Условия неисправности, указанные в H.27.1.1.5, применяют индивидуально к Z₁, Z₂, Z₃, Z₆ и Z₇, там где это применимо.

 

Рисунок H.5 - Пример электронной цепи с точками малой

мощности

 

H.27.1.1.2 Управляющее устройство должно работать при следующих условиях.

a) При самом неблагоприятном напряжении в диапазоне от 0,9 до 1,1 номинального напряжения питания.

b) Быть нагруженным таким типом нагрузки в пределах заявленных или измеренных параметров, чтобы воспроизводились самые неблагоприятные условия.

c) При температуре окружающей среды (20 +/- 5) °C, если только отсутствуют весомые причины (как, например, в H.27.1.1.3, перечисление b) для проведения испытания при другой температуре в пределах заявленного изготовителем диапазона.

d) Быть присоединенным к электрическому питанию, при этом иметь номинал предохранителя такой, что срабатывание предохранителя не повлияет на результат испытания.

e) С элементами привода, установленными в самое неблагоприятное положение.

H.27.1.1.3 При каждой неисправности, описанной в таблице H.24, сымитированной или примененной к одному компоненту цепи поочередно, управляющее устройство должно соответствовать

- следующим перечислениям a) - g). Для компонентов, удовлетворяющих разделу 14 IEC 60065:2001, Изменение 1:2005, Изменение 2:2010, управляющее устройство должно соответствовать только перечислениям a), c), d), f) и g);

- любым дополнительным критериям соответствия, как указано в прилагаемых подпунктах части 2; и

- требованиям указанного класса программного обеспечения, если таковое было заявлено.

a) Управляющие устройства не должны давать пламя, расплавленный металл или расплавленный пластик, и не должны взрываться. Для управляющих устройств, встроенных в шнур и управляющих устройств с независимым монтажом соответствие определяют следующим испытанием.

Кожух с управляющим устройством внутри обертывают в папиросную бумагу. Управляющее устройство работает до наступления установившегося режима или в течение 1 ч, в зависимости от того, что наступит быстрее. Не должно быть возгорания папиросной бумаги. Внутри кожуха некоторые части могут кратковременно накалиться, допускаются кратковременные появления дыма или пламени.

Интегрированные и встроенные управляющие устройства должны или соответствовать испытанию, указанному для встроенных в шнур управляющих устройств и управляющих устройств с независимым монтажом, или должны быть классифицированы как требующие, например, последующего экранирования в составе прибора или оборудовании.

b) Температура дополнительной изоляции и усиленной изоляции не должна превысить в 1,5 раза соответствующих значений, указанных в разделе 14, за исключением случаев термопластического материала.

Отсутствует специальное температурное ограничение для дополнительной изоляции и усиленной изоляции из термопластического материала, температура которого, однако, должна быть зафиксирована для целей раздела 21.

c) Любое изменение в управляемых выходных сигналах должно быть таким, как заявлено в таблице 1, требование 57.

d) Управляющее устройство должно соответствовать требованиям раздела 8 и 13.2 для основной изоляции.

e) Не должно быть никаких повреждений различных частей управляющего устройства, которые бы могли привести к несоответствию требованиям раздела 20.

f) Плавкий предохранитель в сети питания, внешний по отношению к испытуемому управляющему устройству, в соответствии с описанием в перечислении d) H.27.1.1.2, не должен срабатывать, пока не сработает внутреннее защитное устройство, каковым является, которое доступно только после использования инструмента.

Подразумевается, что внутреннее защитное устройство не требуется, если образец после замены предохранителя в сети питания еще удовлетворяет следующим требованиям:

- перечислениям a), b) и d) H.27.1.1.3;

- требованиям раздела 20 для воздушных зазоров и путей утечки от токоведущих частей до поверхностей управляющего устройства, которые доступны тогда, когда управляющее устройство смонтировано в соответствии с предполагаемым использованием.

g) Форма выходного сигнала должна быть такой, как заявлено в таблице 1, требование 56.

H.27.1.1.4 Руководства к испытаниям по H.27.1.1.3

Во избежание ненужных испытаний должна быть предпринята попытка оценить все условия, которые, вероятно, могли бы привести к несоответствию с требованиями H.27.1.1.4. Такая оценка должна опираться на изучение схемы цепи и имитацию условий соответствующей неисправности так, чтобы проверить, возникают ли такие условия. Для управляющих устройств, использующих программное обеспечение, анализ неисправности по H.27.1.1.4 должен быть связан с анализом неисправности по таблице 1, требование 68.

Все состояния, которые возникают вследствие введения неисправности в электронную схему, как указано в H.27.1.1.5, рассматривают как одну неисправность.

Проводники печатной платы, которые показывают признаки ухудшения характеристик в ходе испытания, считают склонными к отказу.

H.27.1.1.5 Условия повреждений электронных схем

Для целей раздела H.27 режимы применяемых отказов приведены в таблице H.24.

 

Таблица H.24 (п. H.27.1 из издания 3)

 

Таблица режимов неисправности электрических/электронных

компонентов

 

Тип компонента	Замкнуто <a>	Разомкнуто <b>	Замечания
Постоянные резисторы
тонкопленочные <c>		X	Включает SMD тип
толстопленочные <c>		X	Включает SMD тип
Проволочная обмотка <c> (один слой) глазурированная или с соответствующим покрытием		X
Все прочие типы	X	X
Переменные резисторы
(например, потенциометр/подстроенный резистор)
Проволочная обмотка (один слой)		X
Все прочие типы	X <d>	X
Конденсаторы
Типы X1 и Y в соответствии с IEC 60384-14		X
Металлизированная пленка в соответствии с IEC 60384-16 и IEC 60384-17		X
Все прочие типы	X	X
Индукторы
Проволочная обмотка		X
Все прочие типы	X	X
Диоды
Все типы	X	X
Полупроводниковые устройства, такие как транзисторы
Все типы (например, биполярный транзистор; LF; RF; СВЧ; полевой транзистор; тиристор; Динистор; Симистор; Однопереходной транзистор)	X <d>	X	<e>
Гибридная схема	<f>	<f>
Интегральная схема Любые типы, не упомянутые в H.11.12	X <g>	X	Для выводов интегральной схемы, применяют сноску <e>
Оптопары
В соответствии с IEC 60335-1	X <h>	X
Реле
Обмотки		X
Контакты	X <i>	X
Реле на герконах	X	X	Только контакты
Трансформаторы
В соответствии с IEC 61558-2-6 или IEC 61558-2-16		X
Все прочие типы	X <d>	X
Кварцевые резонаторы	X	X	<j>
Выключатели	X	X	<k>
Соединители (перемычка)		X	<l>
Кабеля и провода		X
Токоотводы печатной платы	X <m>	X <n>
В соответствии с серией IEC 62326
Сенсоры
Терморезисторы полимерного типа	X	X	<o>
Терморезисторы керамического типа		X
<a> Условия, которые привели к созданию воздушных зазоров и путей утечки в соответствии с разделом 20 в аппаратуре, для которой действует исключение в режиме неисправности "замкнуто", следует соблюдать в течение всего периода эксплуатации управляющего устройства. Данные условия должны быть заявлены и задокументированы следующим образом. Ситуация с загрязнением управляющего устройства (таблица 1, требование 49). Ситуация с загрязнением в микросреде путей утечки или воздушных зазоров, если они чище, чем для управляющего устройства, и то, каким образом это реализовано (документация) (таблица 1, требование 79). Номинальное импульсное напряжение управляющего устройства (таблица 1, требование 75). Номинальное импульсное напряжение для путей утечки или воздушных зазоров, если оно отличается от напряжения в управляющем устройстве, и то, каким образом это обеспечивается (документация) (таблица 1, требование 80). Значения, выработанные для допусков зазоров, для которых заявлено исключение в режиме неисправности "замыкание" (декларация и документация) (таблица 1, требование 81). <b> Только размыкание одного вывода единовременно. <c> Данные компоненты могут быть использованы для защитного импеданса, если компоненты импеданса соответствуют H.20.1.15.3 и выдерживают испытание импульсным напряжением по 20.1.12 для перенапряжения, как минимум, категории III. <d> Короткое замыкание каждого вывода по очереди с каждым другим выводом; только два вывода одновременно. <e> Для дискретных или интегрированных устройств тиристорного типа, таких как симисторы и тиристорные преобразователи, условия повреждения должны включать короткое замыкание любых выводов с третьим неподключенным выводом. Следует рассматривать влияние любых типов электронных устройств, работающих с учетом полного цикла колебаний напряжения, таких как симистор, переходящий в однополупериодное состояние, управляемое или неуправляемое (тиристор или диод, соответственно),
Следует рассмотреть отказ устройства электронного выключения электропитания, основанного на полевом эффекте (ПТ, канальный МОП-транзистор, БТИЗ) из-за потери управления <*> затвором (базой) приводящий к частичному режиму включения, вызывающего неопределенное состояние. Испытание и оценка критерия должны соотноситься с конкретной функцией управляющего устройства и компоновкой. Руководство может быть приведено в части 2. -------------------------------- <*> Потеря управления затвором может возникнуть из-за, например, плохой пайки соединения ПТ.   <f> Режимы отказа для индивидуальных компонентов гибридной схемы применимы, в соответствии с описаниями для индивидуальных компонентов в данной таблице. <g> Короткое замыкание любых двух примыкающих выводов и короткое замыкание - каждого вывода к источнику питания интегральной схемы, в случае если применимо к интегральной схеме; - каждого вывода к заземлению интегральной схемы, в случае если применимо к интегральной схеме. Число испытаний, подразумеваемых в отношении интегральных схем, может, как правило, привести к невыполнимости проверки всех соответствующих состояний неисправности или для оценки вероятных опасностей путем изучения электронной схемы интегральной схемы. Поэтому, сначала допускается проведение детального анализа всех возможных механических, термических и электрических неисправностей, которые могут возникнуть или в самом управляющем устройстве, или на его выводах из-за неправильного срабатывания электронных устройств или других компонентов цепи, отдельно или в любой комбинации. За исключением типов, рассмотренных в H.11.12, анализ дерева неисправностей (отказов) следует проводить, включая множество установившихся режимов на выводах и программируемых двунаправленных зажимах в целях выявления дополнительных условий возникновения неисправности и их рассмотрения. Режим неисправности "короткое замыкание" исключается для случая изолированных секций в тех интегральных схемах, в которых имеются такие изолированные секции. Изоляция между секциями должна удовлетворять требованиям 13.2 для функциональной изоляции. <h> В тех случаях, когда оптопары соответствуют 29.2.2 по IEC 60335-1:2010, короткое замыкание между контактами ввода и вывода не рассматривают.
<I> Режим замыкания накоротко исключают для реле, где контакт управляет функцией управляющего устройства класса A или B, и не включается в указанную циклическую работу аппаратуры, с учетом того, что он успешно испытан по разделу 17 при следующих условиях: Для функций управляющего устройства класса A - количество циклов, заявленных изготовителем, или сертифицированных для аппаратуры. Для функций управляющего устройства класса B - минимум 100000 циклов или иное количество, заявленное изготовителем, в зависимости от того, что больше, или сертифицированных для аппаратуры (прибора). Для функций управляющего устройства класса C режим замыкания накоротко исключают для реле, где - контактная функция переключается при нормальной работе без нагрузки (ток не протекает при замыкании или размыкании) и - контактная функция отключает нагрузку при ненормальной работе системы управления горелкой для реализации безопасного выключения и - реле удовлетворяет требованиям раздела 17 при минимуме 100000 циклов, приложенных вместе с заявленной нагрузкой на выходе, или сертифицировано для оборудования, и - управляющее устройство удовлетворяет требованиям 11.3.5.2.1 (меры для предотвращения ошибок общего характера). <j> Для кварцевых часов, изменения частоты гармоники и субгармоники, влияющие на временные промежутки, следует учитывать. <k> Если применяют переключатели для выбора времени защиты, времени отключения, программ и/или других важных для безопасности настроек, то такие устройства должны функционировать таким образом, чтобы в момент своего размыкания возникало максимально безопасное условие (например, в системе управления горелкой, самое короткое время защиты или самое продолжительное время отключения). Режим короткого замыкания исключают для переключателей, где контакт управляет функцией управляющего устройства класса A или B, с учетом того, что он успешно испытан по разделу 17 при следующих условиях: Для функций управляющего устройства класса A - количество циклов, заявленных изготовителем, или сертифицированных для аппаратуры. Для функций управляющего устройства класса B - минимум 6000 циклов для ручного срабатывания или 100000 циклов для автоматического срабатывания, или иное количество, указанное конечным стандартом на изделие, или сертифицированное для аппаратуры. Для функций управляющего устройства класса C режим замыкания накоротко не исключают.
<l> Требования являются аналогичными сноске <n>, за исключением того, что их применяют к навесным монтажным перемычкам, предназначенным для перерезания при настройке. <m> Режим отказа "короткое замыкание" исключается, если выполнены требования раздела 20. <n> Режим отказа "разомкнутое состояние", то есть обрыв проводника, исключается, если толщина проводника равна или превышает 35 мкм и ширина проводника равна или превышает 0,3 мм, или проводник обладает дополнительной защитой от обрыва, например, скручен и облужен и пр. Если короткое замыкание на выходных зажимах вызывает обрыв проводника печатной платы, то такой проводник подлежит изучению на предмет неисправности типа обрыв цепи. Для условий по температуре и току при утверждении размеров проводников см. серию стандартов IEC 62326. <o> Для датчиков, предназначенных для измерения воздействующих величин, в частности температуры, давления и пр., следует рассмотреть режимы неисправности в дополнение к размыканию и замыканию. Такие режимы неисправности могут включать в себя пошаговое изменение сопротивления, нереагирующий компонент и компонент, теряющий точность.

 

H.27.1.1.6 Если нагрузка включает в себя нагрузку двигателем (см. 6.2.2 или 6.2.5) и отказ или неправильная работа компонента электронной схемы вызывает изменение в форме сигнала источника питания на управляемом двигателе, управляющее устройство следует подвергнуть следующим испытаниям.

1) Нагрузку следует отрегулировать при условиях нормальной формы сигнала на шестикратную номинальную нагрузку или на номинал, соответствующий заблокированному ротору, заявленный изготовителем.

2) Затем следует ввести неисправности.

3) Испытание выполняют при условиях, описанных в перечислениях a), c), d) и e) по H.27.1.1.2.

Управляющее устройство следует оценивать в соответствии с перечислениями a) - e) по H.27.1.1.3, в соответствии с компонентом, который должен быть оценен.

H.27.1.2 Защита от внутренних неисправностей для обеспечения функциональной безопасности

H.27.1.2.1 Требования по проектированию и конструкции

H.27.1.2.1.1 Предотвращение неисправностей и устойчивость к неисправности

В дополнение к H.27.1.1 управляющие устройства, включающие в себя функции управляющего устройства класса B или C, должны быть сконструированы в соответствии с H.27.1.2, принимая во внимание режимы отказа из таблицы H.24 и H.11.12 для программного обеспечения, если это применимо.

Отказы составного электронного оборудования могут быть вызваны или системными ошибками (конструктивными, см. H.11.12.3), или случайными неисправностями (неисправность компонента, см. H.11.12.2). Таким образом, система должна быть сконструирована таким образом, чтобы системные ошибки избегались, а случайные неисправности следует корректировать надлежащей конфигурацией системы.

Архитектура программного обеспечения и аппаратного обеспечения должна базироваться на функциональном анализе задачи, завершающимся проектом, явным образом включающим в себя поток команд (алгоритм работы), поток данных и связанные с временными характеристиками функции, требуемые задачей. В случае заказных микросхем требуется особое внимание с учетом мер, предпринятых для минимизации системных ошибок.

Это должно привести к конфигурации системы, которая является или по сути отказоустойчивой, или в которой компоненты с напрямую критически важными для безопасности функциями (например, приводы газовых клапанов, микропроцессоры с обвязкой и пр.) контролируются защитными средствами в соответствии с H.11.12, программным обеспечением класса B или C. Такие защитные меры должны быть встроены в аппаратное обеспечение (например, сторожевой таймер, устройство контроля напряжения питания) и могут быть дополнены программным обеспечением (например, тестирование ПЗУ, тестирование ОЗУ и пр.). Важно, чтобы данные меры могли вызывать полностью независимое безопасное выключение.

Если используют контроль за временными интервалами, он должен быть чувствительным и верхнему, и к нижнему пределу временных интервалов. Следует принять во внимание неисправности, влияющие на сдвиг верхнего и/или нижнего предела.

В случае функции управляющего устройства, которую классифицируют как класс C, если одна неисправность в составе первичных защитных мер может привести защитные меры в нерабочее состояние, следует предусмотреть вторичные защитные меры. Время реакции вторичных защитных мер должно быть в соответствии с H.27.1.2.3.

Примечания

1 Время реакции таких защитных мер может быть равно или меньше, чем соответствующее допустимое время неисправности.

2 Вторичные защитные меры могут быть реализованы путем:

a) физического отделения цепи, наблюдающей за первичными защитными мерами; или

b) взаимным действием между защищаемой цепью и первичными защитными мерами (например, сторожевой таймер, защищаемый микропроцессором); или

c) взаимодействием между первичными защитными средствами (например, тестирование ПЗУ, защищающее процедуры тестирования ОЗУ).

Размерность компонентов следует выбирать на основе самых плохих условий, которые могут возникнуть в управляющем устройстве, как задано изготовителем.

Примечание 3 - Отказ компонента может вызвать ухудшение безопасности критической изоляции.

 

H.27.1.2.1.2 Документация

В общем, документация должна быть основана на H.11.12.3.2.

Функциональный анализ управляющего устройства и связанных с безопасностью программ под его управлением следует задокументировать ясным иерархическим образом в соответствии с философией безопасности и программными требованиями.

Как минимум, нижеперечисленная документация должна быть предоставлена с любой системой, представленной для оценки:

a) Описание философии системы, потока команд (алгоритма работы), потока данных и временных характеристик.

b) Четкое описание философии безопасности системы со всеми четко обозначенными защитными мерами и функциями безопасности. Должна быть предоставлена достаточная информация о конструкции для обеспечения оценки функций безопасности или защитных мер.

c) Документация на все программное обеспечение из состава системы.

Программная документация должна быть поставлена на языке описания программного обеспечения, заявленном изготовителем.

Связанные с безопасностью данные и связанные с безопасностью сегменты последовательности выполнения должны быть идентифицированы и классифицированы в соответствии с H.11.12.3.2.

Должна быть четкая связь между различными частями документации, например, взаимосвязи процесса, аппаратного обеспечения и применения меток, используемых в документации на программное обеспечение.

Если изготовитель предоставляет документацию на аналитические работы, предпринятые во время стадии разработки аппаратного обеспечения и программного обеспечения, такая документация должна быть использована испытательной лабораторией как часть процедуры оценки.

H.27.1.2.2 Функция управляющего устройства класса B

H.27.1.2.2.1 Требования по проектированию и конструкции

Функция управляющего устройства класса B должна быть разработана так, чтобы при условии возникновения одной неисправности она оставалась в или переходила к заданному состоянию. Вторую независимую неисправность не рассматривают.

Примечание - Отказ в функции управляющего устройства класса B в присутствии иной неисправности в приборе или отказ только в функции управляющего устройства класса C может привести к опасному сбою, поражению электрическим током, пожару, механическим или прочим опасностям.

 

Программное обеспечение должно удовлетворять требованиям к программному обеспечению класса B.

Класс функции управляющего устройства должен быть определен по таблице 1, требование 92.

Оценка должна быть выполнена в соответствии с H.27.1.2.2.2 и H.27.1.2.2.3, и при условиях и критериях испытания по H.27.1.2.5.

H.27.1.2.2.2 Первая неисправность

Любая первая неисправность (см. таблицу H.24) в любом одном компоненте или любая единичная неисправность вместе с любой другой неисправностью, возникшей от первой неисправности, должна привести к любому варианту из:

a) управляющее устройство становится нерабочим со всеми выводными зажимами, связанными с безопасностью, в незапитанном состоянии или принимающими состояние, в котором они обеспечивают безопасность;

b) управляющее устройство реагирует в пределах времени реакции на неисправность (см. таблицу 1, требование 91) путем перехода к заданному состоянию, обеспечивая то, что следующий перезапуск из заданного состояния при условии наличия той же неисправности заставит систему вернуться к тому же заданному состоянию;

c) управляющее устройство продолжает работать, неисправность идентифицируют во время следующей последовательности запуска, результатом становятся действия по перечислениям a) или b);

d) управляющее устройство остается работоспособным в соответствии с функциональными требованиями, связанными с безопасностью, из соответствующей части 2.

В соответствующей части 2 следует указать время реакции на неисправность, а также применимость перечисления c).

Для заданного состояния с механическим включателем достаточным является тестирование до состояния близкого к, но не выполняющего включения переключающих контактов. Если проверка заданного состояния потерпит неудачу, система должна перейти к безопасному выключению. Частоту тестирования приводят в соответствующей части 2. Внутренние неисправности компонентов проверочной цепи не рассматривают.

H.27.1.2.2.3 Неисправность, воспроизведенная в течение заданного состояния

Во всех случаях, когда управляющее устройство находится в заданном состоянии без внутренней неисправности, применяют следующие требования.

Любая первая неисправность (вместе с любой другой неисправностью, возникшей от нее) в любом единичном компоненте (см. таблицу H.24), инициированная в то время, когда управляющее устройство находится в заданном состоянии, должна привести к любому варианту из следующих:

a) управляющее устройство остается в заданном состоянии, связанные с безопасностью выводные зажимы остаются незапитанными; или

b) управляющее устройство становится неработоспособным со всеми связанными с безопасностью выводными зажимами, остающимися незапитанными; или

c) управляющее устройство снова переходит к работе, имея результатом действия по перечислениям a) или b), как отмечено в настоящем разделе, при условии, что связанные с безопасностью выводные зажимы остаются запитанными не дольше, чем время реакции на неисправность (см. таблицу 1, требование 91). Если обстоятельства заданного состояния более не сохраняются и управляющее устройство снова переходит к работе, оно должно работать в соответствии со связанными с безопасностью функциональными требованиями из соответствующей части 2.

H.27.1.2.3 Функция управляющего устройства класса C

H.27.1.2.3.1 Требования по проектированию и конструкции

Функция управляющего устройства класса C должна быть спроектирована так, чтобы при условиях первой и второй неисправности она оставалась в или переходила к заданному состоянию. Третью независимую неисправность не рассматривают.

Примечание - Отказ в функции управляющего устройства класса B в присутствии иной неисправности в приборе или отказ только в функции управляющего устройства класса C может привести к опасному сбою, поражению электрическим током, пожару, механическим или прочим опасностям.

 

Программное обеспечение должно удовлетворять требованиям к программному обеспечению класса C.

Класс функции управляющего устройства должен быть определен по таблице 1, требование 92.

Оценка должна быть выполнена в соответствии с H.27.1.2.3.2, H.27.1.2.3.3 и H.27.1.2.4, и при условиях и критериях испытания по H.27.1.2.5.

H.27.1.2.3.2 Первая неисправность

Любая первая неисправность (см. таблицу H.24) в любом единичном компоненте или любая одна неисправность вместе с любой другой неисправностью, возникшей от первой неисправности, должна привести к любому варианту из:

a) управляющее устройство становится нерабочим со всеми связанными с безопасностью выводными зажимами, незапитанными энергией или принимающими безопасное состояние;

b) управляющее устройство реагирует в пределах времени реакции на неисправность (см. таблицу 1, требование 91) путем перехода к заданному состоянию, обеспечивая то, что следующий перезапуск из заданного состояния при условии той же неисправности заставит систему вернуться к заданному состоянию;

c) управляющее устройство продолжает работать, неисправность идентифицируют во время следующего запуска, результатом становится действие по перечислениям a) или b);

d) управляющее устройство остается работоспособным в соответствии со связанными с безопасностью функциональными требованиями из соответствующей части 2.

В соответствующей части 2 следует указать время реакции на неисправность, а также применимость перечисления c).

H.27.1.2.3.3 Повторная неисправность

Если оценка первой неисправности приводит к тому, что управляющее устройство остается работоспособным в соответствии с функциональными требованиями, связанными с безопасностью из соответствующей части 2 (см. H.27.1.2.3.2, перечисление d), любая другая независимая неисправность, рассматриваемая вместе с первой неисправностью, должна привести к любому из перечислений a), b), c) или d) H.27.1.2.3.2.

В ходе оценки принимается, что состояние повторной неисправности появляется только в следующих случаях:

a) или когда последовательность запуска была выполнена между первой и повторной неисправностью, или

b) через 24 ч после первой неисправности.

Соответствующая часть 2 укажет применимость перечислений a или b) и время реакции на неисправность (см. таблицу 1, требование 91).

Она может также указать иной временной отрезок, в котором не учитывается появление состояния повторной неисправности, в случае если он отличается от 24 ч.

H.27.1.2.4 Неисправности в течение заданного состояния

H.27.1.2.4.1 Общие положения

Всякий раз, когда управляющее устройство находится в заданном состоянии без внутренней неисправности, следует оценить его в соответствии с H.27.1.2.4.2 и H.27.1.2.4.3.

Всякий раз, когда управляющее устройство является неработоспособным (со всеми связанными с безопасностью выводными зажимами в незапитанном состоянии или в состоянии, в котором они обеспечивают безопасность), в заданном состоянии с наличием внутренней неисправности, следует оценить ситуации появления дополнительной одиночной неисправности в соответствии с H.27.1.2.4.3.

Примечание - Связанные с безопасностью выводные зажимы, которые используют в H.27.1.2.4.2 и H.27.1.2.4.3, являются зажимами, которые связаны с безопасностью даже при безопасном выключении или в заданном состоянии, например, зажим газового клапана, однако это не зажимы для включателя, управляющего контролируемым элементом, который не снижает безопасность в заданном состоянии.

 

H.27.1.2.4.2 Первичная неисправность, воспроизведенная в течение заданного состояния

Любая первичная неисправность (вместе с любой другой неисправностью, возникшей от этой неисправности) в любом единичном компоненте (см. таблицу H.24), порожденная в то время, пока управляющее устройство находится в положении безопасного выключения, должна привести к любому варианту из:

a) управляющее устройство остается в заданном состоянии, связанные с безопасностью выводные зажимы остаются незапитанными или находятся в состоянии, в котором они обеспечивают безопасность;

b) управляющее устройство становится нерабочим со всеми связанными с безопасностью выводными зажимами, остающимися незапитанными или принимающими состояние, в котором они обеспечивают безопасность;

c) управляющее устройство снова переходит к работе, имея результатом требования перечислений a) или b), как отмечено в H.27.1.2.4.2, при условии, что связанные с безопасностью выводные зажимы находятся в запитанном состоянии не дольше, чем время реакции на неисправность (см. таблицу 1, требование 91). Если обстоятельства изначального заданного состояния более не сохраняются и управляющее устройство снова переходит к работе, оно должно работать в соответствии со связанными с безопасностью функциональными требованиями из соответствующей части 2, и оценка повторной неисправности должна быть выполнена в соответствии с H.27.1.2.3.3.

H.27.1.2.4.3 Повторная неисправность, воспроизведенная в течение заданного состояния

Любая повторная неисправность (вместе с любой другой неисправностью, возникшей от исходной неисправности) в любом одном компоненте (см. таблицу H.24), порожденная в то время, пока управляющее устройство находится в заданном состоянии, должна привести к любому из перечислений a), b) или c) H.27.1.2.4.2.

В ходе оценки считается, что повторная неисправность не должна возникнуть в пределах 24 ч после первой неисправности.

Соответствующая часть 2 должна указывать время реакции на неисправность.

Она может также указывать иной временной отрезок, в котором не учитывается появления состояния повторной неисправности, если он отличен от 24 ч.

H.27.1.2.5 Оценка цепи и конструкции

H.27.1.2.5.1 Условия испытания

Воздействие внутренних неисправностей следует оценивать путем имитации и/или путем изучения конструкции цепи.

Считается, что неисправность может возникать на любой стадии в программной последовательности управляющего устройства.

Управляющее устройство должно работать или признаваться работающим при следующих условиях:

a) при самом неблагоприятном напряжении в диапазоне от 85% до 110% номинального напряжения питания;

b) нагруженным самой неблагоприятной нагрузкой, заявленной изготовителем;

c) при температуре окружающей среды (20 +/- 5) °C, если только отсутствуют значимые причины для проведения испытания на другой температуре в пределах заявленного изготовителем диапазона;

d) со всеми приводными элементами, помещенными в самое неблагоприятное положение;

e) с папиросной бумагой, помещенной на опорную поверхность(и) управляющего устройства;

f) с искрами примерно 3 мм в длину и имеющими энергию не менее 0,5 Дж, приложенными к тем компонентам, которые вероятно могут испускать огнеопасные газы в ходе испытания.

H.27.1.2.5.2 Критерии испытания

В ходе экспертизы следует подтвердить, что при описанных выше условиях выполняются следующие критерии.

a) Управляющее устройство не должно создавать пламя, жидкий металл или жидкий пластик, папиросная бумага не должна воспламениться, не должен произойти взрыв от высвобождения огнеопасных газов, и любое произведенное пламя не должно продолжать гореть в течение более 10 с после выключения генератора искр. В случае если управляющее устройство встроено в какой-либо прибор, принимают во внимание любой кожух, предусмотренный конструкцией прибора.

b) Если управляющее устройство продолжает функционировать, оно должно удовлетворять разделам 8 и 13 или разделам 8 и 13 из соответствующей части 2. Если оно прекращает функционировать, оно по-прежнему должно продолжать удовлетворять разделу 8 или разделу 8 из соответствующей части 2.

c) Не должно быть потери защитной функции.

После испытаний не должно быть ухудшения характеристик различных частей управляющего устройства, приводящих к невозможности удовлетворения требованиям раздела 20 или раздела 20 из соответствующей части 2.

H.27.1.2.5.3 Оценка

Тщательную экспертизу цепи следует проводить для определения ее рабочих характеристик при указанных состояниях неисправности. Данная экспертиза должна принять форму теоретического анализа и имитационного испытания отказа компонента. Имитации неисправностей могут быть также применены для имитации неисправностей в пределах сложных устройств, например, эмуляционное тестирование ЭППЗУ.

Только связанное с безопасностью программное обеспечение (программное обеспечение класса B и C), идентифицированное в соответствии с H.27.1.2.1.2, должно подлежать дальнейшей оценке. Для идентификации класса может быть использован анализ дерева неисправностей (отказов).

H.27.4 Управляющие устройства, обеспечивающие электронное отключение (тип 1.Y или 2.Y), должны выдерживать условия ненормального перенапряжения, которые могут возникнуть.

Соответствие проверяют следующим испытанием:

H.27.4.1 Управляющее устройство нагружают, как указано в 17.2 и подвергают воздействию 1,15 x V_R на 5 с, в случае если управляющее устройство предусматривает электронное отключение.

H.27.4.2 В ходе и после испытания управляющее устройство должно обеспечить электронное отключение, как определено испытанием по H.11.4.16.2.

H.28 Руководящие указания по использованию электронного отключения

H.28.1 Основные особенности полупроводниковых коммуникационных устройств

H.28.1.1 Полупроводниковые коммуникационные устройства отличаются от своих электромеханических аналогов в трех аспектах:

a) при выполнении электронного отключения, они всегда будут допускать прохождение малых токов через цепь, которую они контролируют;

b) они более чувствительны к сетевым помехам из сетей питания;

c) они более чувствительны к температуре.

H.28.1.2 Требования и испытания для электронного отключения в настоящем стандарте гарантируют, что:

a) значение тока через узел электронного отключения не будет превышать 5 мА или 10% от номинальной силы тока, в зависимости от того, что из них меньше, с любой нагрузкой до уровня своей максимальной заявленной нагрузки в цепи;

b) даже при экстремальных условиях возмущения сети управляющее устройство не подвергнется влиянию и не допустит, чтобы устройство проводило прохождение более чем половины одного цикла колебания напряжения от источника питания;

c) устройство будет обладать достаточной стойкостью между крайними значениями температуры, для работы в которых оно сконструировано.

H.28.2 Применение полупроводниковых коммуникационных устройств

H.28.2.1 Электронное отключение может допустить прохождение одной половины цикла колебания напряжения питания при приложении импульса достаточного напряжения. В то время как полная изоляция от питания всегда достигается эквивалентом схемы полного отключения, могут существовать некоторые приложения, когда срабатывание устройства даже в течение одной половины цикла является неприемлемым.

Поскольку вопрос касается бытовых приборов, редкое включение на максимум одну половину цикла частоты напряжения питания можно обычно не учитывать. Это не будет иметь никакого значения для нагревательных приборов и для большинства электромеханических приборов.

Однако для электромеханических приборов, где для пользователя существует возможность контактировать с опасными движущимися частями или частями, которые становятся токопроводящими или в ходе нормальной эксплуатации, или обслуживания пользователем (например, очистки), необходимо требовать дополнительные средства обеспечения безопасности, или не допускать применение таких устройств. Примерами приборов, для которых электронное отключение не будет допустимым, являются определенные типы кухонных комбайнов, где возможен доступ к движущимся частям или токоведущим частям.

ПРЕДУПРЕЖДЕНИЕ: Для некоторых приборов с приводом от электродвигателя, возбуждение управляемой нагрузки на частоте сети для одной половины цикла может вызвать вращение двигателя. Также может возникнуть срабатывание устройств на основе соленоидов.

H.28.2.2 Там где управляемая нагрузка является нагрузкой с высоким импедансом, в частности обмотка реле или соленоид, следует с вниманием подойти к тому, чтобы допустимый ток через управляющее устройство, когда оно обеспечивает электронное отключение, являлся достаточно низким для отключения нагрузки.