Примечание - Отказы из-за программного обеспечения являются систематическими, а не случайными. Поэтому критерий единичного отказа не может применяться при разработке программного обеспечения системы в том виде, в каком это делается при проектировании оборудования. На уровне каждой системы и архитектуры контроля и управления следует рассматривать возможные воздействия отказа по общей причине из-за программного обеспечения на каждом уровне защиты или между резервированными уровнями.
6.1.1.2.2 Внутреннее поведение системы
a) Проект компьютерной системы должен обеспечивать детерминированное поведение, согласующееся с требованиями к характеристикам назначенных функций.
Примечание 1 - Если временная задержка между воздействием и откликом имеет гарантированные минимум и максимум при всех требуемых условиях, то можно сказать, что компьютерная система обладает детерминированным поведением (определение по [4]).
b) Коммуникационная технология должна быть выбрана и нормирована для того, чтобы удовлетворить требованиям к характеристикам при всех загрузках данных, генерируемых ожидаемыми переходными процессами на АС (включая лавинообразные изменения состояния в случае полной потери источников питания).
c) Чтобы обеспечить высокую степень гарантии в детерминированном поведении, системы класса 1 должны разрабатываться с использованием технологий в соответствии с приложением В МЭК 60880 (особенно B2.d относительно времени реакции и В2.е - относительно прерываний). Технология, использующая статическую диспетчеризацию операций (см. примечание 2), предпочтительнее технологии с использованием прерываний.
Примечание 2 - Слово "статическая" означает принадлежность событию или процессу, который происходит без управления компьютерной программой (IEEE 610). Таким образом, при статической диспетчеризации планирование команд не зависит от работы компьютера, хотя возможно конечное число различных планов, зависящих от маршрута выполнения.
Примечание 3 - См. раздел 1 МЭК 60880 относительно роли приложений к стандарту и о том, что требуется, если практика отличается от того, что приведено в приложении.
d) Системы класса 2 могут разрабатываться с применением технологий, отличающихся от приведенных в перечислении в). В этих случаях проект системы должен гарантировать, что система будет работать необходимым образом при всех требуемых условиях АС.
e) С целью усиления способности систем классов 1 и 2 выдерживать непредусмотренные условия должны быть:
- обеспечены достаточные проектные области использования ресурсов (таких как бесперебойное питание, память, полоса пропускания каналов связи, ресурсы операционной системы) и внутренняя синхронизация;
- предусмотрены устройства слежения за любыми отклонениями от детерминированного поведения и восстановления нормального режима АС в случае временной потери входной информации (например, таймер), циклическое обновление, выполняемое для изменения состояния, запускающего регистрацию событий на АС.
6.1.1.2.3 Самотестирование и устойчивость к отказам
a) Системы должны проектироваться так, чтобы ошибки и отказы регистрировались как можно раньше с целью поддержания требуемой работоспособности системы. Выявление отказов с помощью устройств самодиагностики не должно осуществляться за счет применения слишком сложных устройств. Насколько это возможно для каждой системы следует соблюдать требования 4.8 и А.2.8 приложения А МЭК 60880 к самодиагностике.
b) Чтобы оператор АС мог выполнить соответствующие корректирующие действия, ему должна представляться достаточная, своевременная и привлекающая внимание информация об отказах.
c) Проектом системы должно быть предусмотрено восстановление прежнего режима работы при выявлении отказов (частичная деградация).
d) Для систем класса 1 средства самодиагностики должны соответствовать МЭК 60880 и МЭК 60987.
6.1.1.2.4 Способность к тестированию
а) Системы должны быть оборудованы устройствами тестирования, которые позволяли бы верифицировать их способность выполнять функции, важные для безопасности.
Примечание 1 - В соответствии с МАГАТЭ (см. 4.12 МАГАТЭ 50-SG-D8), тестирование предпочтительнее полной проверки от датчиков до исполнительных устройств, однако более приемлемыми являются комплексные проверки. Тесты включают в себя в основном:
а) изменение состояния или величины сигнала на входе и определение изменения на устройствах сбора информации;
b) прерывание передачи и подтверждение того, что устройство сбора данных определит отказ и выполнит корректирующую операцию;
c) тестирование и калибровку датчиков (см. 7.10.2 МАГАТЭ 50-SG-D3);
d) тестирование исполнительных устройств (см. 7.10.3 МАГАТЭ 50-SG-D3).
b) Межповерочные интервалы должны определяться планами эксплуатации и обслуживания системы (см 6.2), при разработке которых руководствуются требуемой надежностью функций (см. 4.5 МАГАТЭ 50-SG-D8), надежностью оборудования и ожидаемой скоростью дрейфа калибровочных характеристик.
c) Если межповерочные интервалы таковы, что требуется периодическое тестирование системы при эксплуатации, проект системы должен включать в себя устройства тестирования и калибровки, способные выполнять проверку в процессе эксплуатации.
Примечание 2 - Использование автоматического оборудования облегчает проведение периодического тестирования. Это оборудование может вводить имитированные входные сигналы, записывать результирующие состояния на выходе и сравнивать полученные выходные сигналы с ожидаемыми.
d) Проект систем класса 1 и их проверочного оборудования должен обеспечить безопасность АС в процессе тестирования и сводить к минимуму ложное выполнение любого защитного действия или иного опасного влияния тестов на работу АС. Способ тестирования должен также сводить к минимуму время, в течение которого цепь защиты выводится из обслуживания.
6.1.1.2.5 Ремонтопригодность
a) Система должна быть спроектирована так, чтобы была обеспечена возможность удобного обслуживания и (в случае отказа) простой диагностики, безопасного ремонта или замены и перекалибровки (см. 4.5 МАГАТЭ 50-SG-D8).
b) Для того, чтобы свести к минимуму риск и нагрузку на персонал при выполнении обслуживания, необходимо учитывать возможности человека и ограничения, связанные с факторами окружающей среды.
c) Система должна быть спроектирована так, чтобы была возможность отражать правильность выполненных действий по ремонту и перекалибровке.
Подлежат проверке:
- правильность восстановления соединений в цепи;
- правильность калибровки аналоговых измерений и всех соответствующих аварийных уставок;
- способность системы выполнять предусмотренные функции, важные для безопасности.
Примечание - Требования по обслуживанию и тестированию раздела 10 МЭК 60987 применяют к системам, важным для безопасности. Требования разделов МАГАТЭ 50-SG-D3 - 7.10 (способность к тестированию), 7.11 (резервирование при эксплуатации), 7.12 (контроль доступа) применяют к компьютерным системам класса 1, а разделов 4.5 (способность к тестированию) и 4.6 (ремонтопригодность) МАГАТЭ 50-SG-D8 - к компьютерным системам класса 2.
6.1.1.3 Границы и интерфейсы с другими системами и техническими средствами
Для того, чтобы обеспечить интеграцию системы в архитектуру контроля и управления в соответствии с требованиями раздела 5, необходима следующая информация:
- намечаемое помещение для размещения и физические ограничения, связанные с размещением системы на АС (см. 5.1.3);
- физические и функциональные интерфейсы системы с обслуживающими системами и оборудованием (см. 5.1.3);
- физические и функциональные интерфейсы системы с вспомогательными системами и оборудованием, с которыми она обменивается информацией (см. 5.3.1.3);
- интерфейсы с программными инструментальными средствами, используемыми для обеспечения обмена данными между системами и верификации состояния этих данных (см. 5.3.1.4).
6.1.1.4 Интерфейсы пользователей
Требования к человеко-машинному интерфейсу должны обеспечивать минимальный риск ошибки персонала, например, непредумышленной ошибки, недосмотра, пропуска информации при пуске, эксплуатации, тестировании и обслуживании системы или в процессе проведения модификаций проекта.
Примечание - Защита от злонамеренных изменений рассматривается в плане защищенности (см. 6.2.2).
6.1.1.5 Условия окружающей среды
В соответствии с ограничениями, накладываемыми со стороны проекта АС, следует определить диапазоны нормальных и аварийных условий внешней среды, которые система должна выдерживать (см. 5.1.3). Перечень учитываемых условий среды должен содержать:
- окружающие условия, включая температуру, влажность, давление, уровень радиации и электромагнитных помех при нормальной эксплуатации и в условиях аварий.
Примечание 1 - Внешние условия, связанные с электромагнитными помехами, определяются в соответствии с МЭК 61000 (от МЭК 61000-4-1- МЭК 61000-4-1);*