GB/T 20438.2-2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求

ICS25040

N10.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T204382—2017/IEC61508-22010

.代替:

GB/T20438.2—2006

電氣/電子/可編程電子安全相關(guān)系統(tǒng)的

功能安全第2部分電氣/電子/可編程

:

電子安全相關(guān)系統(tǒng)的要求

Functionalsafetyofelectrical/electronic/programmableelectronicsafety-related

sstems—Part2Reuirementsforelectrical/electronic/rorammableelectronic

y:qpg

safety-relatedsystems

(IEC61508-2:2010,IDT)

2017-12-29發(fā)布2018-07-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T204382—2017/IEC61508-22010

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………3

定義和縮略語(yǔ)

3……………4

與的符合性

4GB/T20438………………4

文檔

5………………………4

功能安全管理

6……………4

系統(tǒng)安全生命周期要求

7E/E/PE………………………4

概述

7.1…………………4

系統(tǒng)設(shè)計(jì)要求規(guī)范

7.2E/E/PE………………………8

系統(tǒng)安全確認(rèn)計(jì)劃編制

7.3E/E/PE…………………9

系統(tǒng)的設(shè)計(jì)與開發(fā)

7.4E/E/PE………………………10

系統(tǒng)集成

7.5E/E/PE…………………25

系統(tǒng)運(yùn)行和維護(hù)規(guī)程

7.6E/E/PE……………………26

系統(tǒng)的安全確認(rèn)

7.7E/E/PE…………27

系統(tǒng)的修改

7.8E/E/PE………………28

系統(tǒng)的驗(yàn)證

7.9E/E/PE………………28

功能安全評(píng)估

8……………29

附錄規(guī)范性附錄安全相關(guān)系統(tǒng)的技術(shù)和措施運(yùn)行中的失效控制

A()E/E/PE—…30

附錄規(guī)范性附錄安全相關(guān)系統(tǒng)的技術(shù)和措施在生命周期不同階段中避免系統(tǒng)

B()E/E/PE—

性失效

……………44

附錄規(guī)范性附錄診斷覆蓋率和安全失效分?jǐn)?shù)

C()……………………53

附錄規(guī)范性附錄符合項(xiàng)的安全手冊(cè)

D()………………55

附錄規(guī)范性附錄帶片上冗余的集成電路特定架構(gòu)要求

E()…………57

附錄資料性附錄避免系統(tǒng)性失效的技術(shù)與措施

F()ASIC…………62

參考文獻(xiàn)

……………………71

圖的整體框架

1GB/T20438……………2

圖系統(tǒng)安全生命周期實(shí)現(xiàn)階段

2E/E/PE()……………5

圖開發(fā)生命周期模型

3ASIC(V)………………………6

圖和的范圍和關(guān)系

4GB/T20438.2GB/T20438.3……………………6

圖確定規(guī)定架構(gòu)的最高包含數(shù)個(gè)串聯(lián)組件的安全相關(guān)子系統(tǒng)見

5SIL(E/E/PE,7.4.4.2.3)……15

圖確定規(guī)定架構(gòu)的最高由兩個(gè)子系統(tǒng)與組成的安全相關(guān)子系統(tǒng)見

6SIL(XYE/E/PE,

7.4.4.2.4)……………17

Ⅰ

GB/T204382—2017/IEC61508-22010

.:

圖數(shù)據(jù)通信架構(gòu)

7………………………25

表系統(tǒng)安全生命周期實(shí)現(xiàn)階段概述

1E/E/PE…………7

表類安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時(shí)的最大允許安全完整性等級(jí)

2A……14

表類安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時(shí)的最大允許安全完整性等級(jí)

3B……15

表在量化隨機(jī)硬件失效的影響時(shí)假定的或在推導(dǎo)安全失效分?jǐn)?shù)時(shí)要考慮的故障或失效

A.1……31

表電氣元器件

A.2………………………33

表電子元器件

A.3………………………33

表處理單元

A.4…………………………34

表不可變內(nèi)存范圍

A.5…………………35

表可變內(nèi)存范圍

A.6……………………35

表單元和接口外部通信

A.7I/O()……………………36

表數(shù)據(jù)路徑內(nèi)部通信

A.8()……………37

表電源

A.9………………37

表程序順序看門狗

A.10()………………37

表時(shí)鐘

A.11………………38

表通信和大容量存儲(chǔ)器

A.12……………38

表傳感器

A.13……………39

表最終元件執(zhí)行器

A.14()………………39

表用于控制由硬件設(shè)計(jì)引起的系統(tǒng)性失效的技術(shù)和措施

A.15………40

表用于控制由環(huán)境應(yīng)力或影響引起的系統(tǒng)性失效的技術(shù)和措施

A.16………………41

表用于控制系統(tǒng)性操作失效的技術(shù)和措施

A.17………42

表控制系統(tǒng)性失效的技術(shù)和措施的有效性

A.18………42

表在系統(tǒng)設(shè)計(jì)要求規(guī)范階段為避免失誤的技術(shù)和措施見

B.1E/E/PE(7.2)………45

表在系統(tǒng)設(shè)計(jì)和開發(fā)階段為避免引入故障的技術(shù)和措施見

B.2E/E/PE(7.4)……46

表在系統(tǒng)集成階段為避免故障的技術(shù)和措施見

B.3E/E/PE(7.5)…………………47

表在系統(tǒng)運(yùn)行和維護(hù)規(guī)程階段為避免故障和失效的技術(shù)和措施見

B.4E/E/PE(7.6)……………47

表在系統(tǒng)安全確認(rèn)階段為避免故障的技術(shù)和措施見

B.5E/E/PE(7.7)……………48

表避免系統(tǒng)性失效的技術(shù)和措施的有效性

B.6………49

表增加β的技術(shù)和措施

E.1B-IC…………59

表減少β的技術(shù)和措施

E.2B-IC…………60

表設(shè)計(jì)和開發(fā)過程中避免引入故障的技術(shù)和措施全定制和半定制的數(shù)字

F.1ASIC—ASIC

見

(7.4.6.7)………………………63

表的設(shè)計(jì)實(shí)現(xiàn)過程中避免引入故障的技術(shù)和措施用戶可編程

F.2ASIC—IC(FPGA/PLD/

見

CPLD)(7.4.6.7)………………67

Ⅱ

GB/T204382—2017/IEC61508-22010

.:

前言

電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全分為七個(gè)部分

GB/T20438《//》:

第部分一般要求

———1:;

第部分電氣電子可編程電子安全相關(guān)系統(tǒng)的要求

———2://;

第部分軟件要求

———3:;

第部分定義和縮略語(yǔ)

———4:;

第部分確定安全完整性等級(jí)的方法示例

———5:;

第部分和的應(yīng)用指南

———6:GB/T20438.2GB/T20438.3;

第部分技術(shù)和措施概述

———7:。

本部分為的第部分

GB/T204382。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第部分

GB/T20438.2—2006《//2:

電氣電子可編程電子安全相關(guān)系統(tǒng)的要求與相比主要技術(shù)變化如下

//》,GB/T20438.2—2006,:

增加了開發(fā)生命周期見圖

———ASIC(3);

增加了符合項(xiàng)的安全手冊(cè)見附錄

———(D)。

本部分使用翻譯法等同采用電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安

IEC61508-2:2010《//

全第部分電氣電子可編程電子安全相關(guān)系統(tǒng)的要求

2://》。

本部分由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出

。

本部分由全國(guó)工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC124)。

本部分起草單位由機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所北京國(guó)電智深控制技術(shù)有限公司皮

:、、

爾磁工業(yè)自動(dòng)化貿(mào)易上海有限公司上海工業(yè)自動(dòng)化儀表研究院北京和利時(shí)系統(tǒng)工程有限公司歐

()、、、

姆龍自動(dòng)化中國(guó)有限公司西門子中國(guó)有限公司上海中滬電子有限公司

()、()、。

本部分主要起草人史學(xué)玲田雨聰馮曉升黃之炯張艾森鄭威周有錚華镕羅安熊文澤

:、、、、、、、、、、

楊柳李佳梅豪周純杰徐皚冬錢大濤孟鄒清劉瑤王德吉

、、、、、、、、。

本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T20438.2—2006。

Ⅲ

GB/T204382—2017/IEC61508-22010

.:

引言

由電氣和電子器件構(gòu)成的系統(tǒng)多年來在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能以計(jì)算機(jī)為基礎(chǔ)的系

,。

統(tǒng)一般指可編程電子系統(tǒng)在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能并且也越來越多地用于執(zhí)行安全功

(),

能如果要安全并有效地使用計(jì)算機(jī)技術(shù)有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十

。,

分必要的

。

針對(duì)由電氣和或電子和或可編程電子組件構(gòu)成的用來執(zhí)行安全功能的

GB/T20438//(E/E/PE)、

系統(tǒng)安全生命周期的所有活動(dòng)提出了一個(gè)通用的方法采用統(tǒng)一的方法的目的是為了針對(duì)所有以電

,。

為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的合理的技術(shù)方針主要目標(biāo)是促進(jìn)基于系列標(biāo)

、。GB/T20438

準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國(guó)家標(biāo)準(zhǔn)的制定

。

注1在參考文獻(xiàn)中給出了基于系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子見參考文獻(xiàn)

:GB/T20438([1],[2],[3])。

在許多情況下可用多種基于不同技術(shù)如機(jī)械的液壓的氣動(dòng)的電氣的電子的可編程電子的

,(、、、、、

等的系統(tǒng)來保證安全因而不得不考慮各類安全策略不僅要考慮單個(gè)系統(tǒng)中的所有組件的問題如

)。,(

傳感器控制器執(zhí)行器等還要考慮不同安全相關(guān)系統(tǒng)組合后的問題因此當(dāng)在關(guān)注電

、、),。GB/T20438

氣電子可編程電子安全相關(guān)系統(tǒng)的同時(shí)也提供了一個(gè)框架在這個(gè)框架內(nèi)基于其他技

//(E/E/PE),,,

術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去

。

在各種應(yīng)用領(lǐng)域里存在著許多潛在的危險(xiǎn)和風(fēng)險(xiǎn)包含的復(fù)雜性也各不相同從而需應(yīng)用不同的

,,,

安全相關(guān)系統(tǒng)對(duì)每個(gè)特定的應(yīng)用將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施

E/E/PE。,。

作為基本原則可在未來的產(chǎn)品和應(yīng)用領(lǐng)域國(guó)家標(biāo)準(zhǔn)制定和已有標(biāo)準(zhǔn)的修訂中規(guī)范這些措施

GB/T20438。

GB/T20438

考慮了當(dāng)使用系統(tǒng)執(zhí)行安全功能時(shí)所涉及的整體安全生命周期系統(tǒng)安全

———E/E/PE,、E/E/PE

生命周期以及軟件安全生命周期的各階段如初始概念整體設(shè)計(jì)實(shí)現(xiàn)運(yùn)行和維護(hù)到退役

(、、、);

針對(duì)飛速發(fā)展的技術(shù)建立一個(gè)足夠健全且廣泛滿足未來發(fā)展需求的框架

———,;

使涉及安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國(guó)家標(biāo)準(zhǔn)得以制定在的框

———E/E/PE;GB/T20438

架下產(chǎn)品和應(yīng)用領(lǐng)域的國(guó)家標(biāo)準(zhǔn)的制定在應(yīng)用領(lǐng)域和交叉應(yīng)用領(lǐng)域宜具有高度一致性如基

,(

本原理術(shù)語(yǔ)等這將既具有安全性又具有經(jīng)濟(jì)效益

,);;

為實(shí)現(xiàn)安全相關(guān)系統(tǒng)所需的功能安全提供了編制安全要求規(guī)范的方法

———E/E/PE,;

采用了一種可確定安全完整性要求的基于風(fēng)險(xiǎn)的方法

———;

引入安全完整性等級(jí)用于規(guī)定安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整

———,E/E/PE

性等級(jí)

;

注2沒有規(guī)定每個(gè)安全功能的安全完整性等級(jí)的要求也沒有規(guī)定如何確定安全完整性等級(jí)而是

:GB/T20438,。

提供了一種基于風(fēng)險(xiǎn)概念的框架和技術(shù)范例

。

建立了安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量這些量都同安全完整性等級(jí)相

———E/E/PE,

聯(lián)系

;

建立了單一安全相關(guān)系統(tǒng)執(zhí)行安全功能時(shí)目標(biāo)失效量的一個(gè)下限值這些

———E/E/PE,。E/E/

安全相關(guān)系統(tǒng)運(yùn)行在

PE:

低要求運(yùn)行模式下下限設(shè)定成要求時(shí)危險(xiǎn)失效平均概率為-5

———,10;

高要求或連續(xù)運(yùn)行模式下下限設(shè)定成危險(xiǎn)失效平均頻率為-9

———,10/h。

注3單一安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)

:E/E/PE。

注4對(duì)于非復(fù)雜系統(tǒng)通過安全相關(guān)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的但對(duì)于相對(duì)復(fù)雜的系統(tǒng)例

:,。(

如可編程電子安全相關(guān)系統(tǒng)這些限值代表了目前能夠達(dá)到的水平

),。

Ⅳ

GB/T204382—2017/IEC61508-22010

.:

基于工業(yè)實(shí)踐中獲取的經(jīng)驗(yàn)和判斷設(shè)定了避免和控制系統(tǒng)性故障的要求即使發(fā)生系統(tǒng)性

———,。

故障的可能性一般不能量化但允許為一個(gè)特定的安全功能做出聲明即如果標(biāo)

,GB/T20438,

準(zhǔn)中的所有要求都滿足認(rèn)為與安全功能相關(guān)的目標(biāo)失效量已達(dá)到

,;

引入了系統(tǒng)性能力該能力表明一個(gè)組件為滿足規(guī)定的安全完整性等級(jí)要求時(shí)系統(tǒng)性安全完

———,,

整性的置信度

;

采用多種原理技術(shù)和措施以實(shí)現(xiàn)安全相關(guān)系統(tǒng)的功能安全但沒有明確地使用失

———、E/E/PE,

效安全的概念然而如果能夠滿足標(biāo)準(zhǔn)中相關(guān)條款的要求則失效安全的概念和本質(zhì)

-。,,“-”“

安全原則可能被應(yīng)用并且采用這些概念是可接受的

”,。

Ⅴ

GB/T204382—2017/IEC61508-22010

.:

電氣/電子/可編程電子安全相關(guān)系統(tǒng)的

功能安全第2部分電氣/電子/可編程

:

電子安全相關(guān)系統(tǒng)的要求

1范圍

11的本部分

.GB/T20438

在使用前應(yīng)充分理解提供了實(shí)現(xiàn)功能安全的總體框架

a),GB/T20438.1,GB/T20438.1;

適用于定義的安全相關(guān)系統(tǒng)安全相關(guān)系統(tǒng)至少包含一種電氣電子或可編程

b)GB/T20438.1,、

電子組件

;

適用于安全相關(guān)系統(tǒng)中的所有組件包括傳感器執(zhí)行器和操作員界面

c)E/E/PE(、);

規(guī)定了如何按照定義的系統(tǒng)安全要求規(guī)范由系統(tǒng)安全功

d)GB/T20438.1E/E/PE(E/E/PE

能要求規(guī)范和系統(tǒng)安全完整性要求規(guī)范組成開發(fā)出系統(tǒng)設(shè)計(jì)要求規(guī)范

E/E/PE),E/E/PE;

規(guī)定了在安全相關(guān)系統(tǒng)的設(shè)計(jì)和制造過程中即建立系統(tǒng)安全生命周期模

e)E/E/PE(E/E/PE

型除軟件外所進(jìn)行活動(dòng)的要求軟件要求在見圖圖中給出這些要求

),GB/T20438.3(2~4);

包含了用以避免和控制故障和失效發(fā)生的技術(shù)和措施的應(yīng)用并被劃分成與安全完整性等級(jí)

,

相對(duì)應(yīng)的不同等級(jí)

;

規(guī)定了執(zhí)行安全相關(guān)系統(tǒng)的安裝調(diào)試以及最終安全確認(rèn)所需的信息

f)E/E/PE、;

不適用于安全相關(guān)系統(tǒng)的運(yùn)行和維護(hù)階段這方面內(nèi)容在