(高清版)GB∕T 38874.2-2020 農(nóng)林拖拉機和機械 控制系統(tǒng)安全相關(guān)部件 第2部分：概念階段

ICS65.060.01;35.240.99GB/T38874.2—2020/ISO25119-2:2018農(nóng)林拖拉機和機械控制系統(tǒng)安全相關(guān)部件第2部分：概念階段Safety-relatedpartsofcontrolsystems—Part2:Conceptphase國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T38874.2—2020/ISO25119-2:2018GB/T38874《農(nóng)林拖拉機和機械控制系統(tǒng)安全相關(guān)部件》分為以下4個部分：——第1部分：設(shè)計與開發(fā)通則；——第2部分：概念階段；-—第3部分：軟硬件系列開發(fā)；本部分為GB/T38874的第2部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分使用翻譯法等同采用ISO25119-2:2018《農(nóng)林拖拉機和機械控制系統(tǒng)安全相關(guān)部件第本部分由中國機械工業(yè)聯(lián)合會提出。本部分由全國農(nóng)業(yè)機械標準化技術(shù)委員會(SAC/TC201)歸口。1GB/T38874.2—2020/ISO25119-2:2018農(nóng)林拖拉機和機械控制系統(tǒng)安全相關(guān)部件GB/T38874的本部分規(guī)定了控制系統(tǒng)安全相關(guān)部件(SRP/CS)開發(fā)的概念階段。本部分適用于機)。 本部分規(guī)定了SRP/CS執(zhí)行安全相關(guān)功能所要求的特性及類別，本部分未規(guī)定用于特定場合的性能等級。注1:機械特定C類標準可為其范圍內(nèi)的機械安全相關(guān)功能指定農(nóng)業(yè)性能等級(AgPL)。否則，AgPL的規(guī)范由制本部分適用于與機電系統(tǒng)有關(guān)的電氣/電子/可編程電子系統(tǒng)(E/E/PES)的安全部件。本部分涵蓋了E/E/PES安全相關(guān)系統(tǒng)(包括這些系統(tǒng)間的交互)的故障行為可能造成的危險。本部分不涉及觸安全系統(tǒng)故障引起。本部分還涵蓋了在非E/E/PES危險下E/E/PES安全相關(guān)系統(tǒng)的故障行為，涉及本部分包含以下范圍內(nèi)的示例：——SRP/CS的電磁干擾；——SRP/CS的防火設(shè)計?！Σ翆?dǎo)致電擊危險產(chǎn)生的絕緣失效；——腐蝕導(dǎo)致的電纜過熱。注2:參見ISO12100中機械安全的設(shè)計通則。本部分不適用于實施日期之前制造的控制系統(tǒng)安全相關(guān)部件。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T38874.1—2020農(nóng)林拖拉機和機械控制系統(tǒng)安全相關(guān)部件第1部分：設(shè)計與開發(fā)通則(ISO25119-1:2018,IDT)GB/T38874.3—2020農(nóng)林拖拉機和機械控制系統(tǒng)安全相關(guān)部件第3部分：軟硬件系列開發(fā)2GB/T38874.2—2020/ISO25119-2:2018(ISO25119-3:2018,IDT)與支持規(guī)程(ISO25119-4:2018,IDT)ADC:模數(shù)轉(zhuǎn)換器(analoguetodigitalconverter)AgPL:農(nóng)業(yè)性能等級(agriculturalperformancelevel)AgPL:農(nóng)業(yè)性能等級要求(requiredagriculturalperformancelevel)Cat:硬件類別(hardwarecategory)CCF:共因失效(common-causefailure)CRC:循環(huán)冗余校驗(cyclicredundancycheck)DC:診斷覆蓋率(diagnosticcoverage)ECU:電子控制單元(electroniccontrolunit)ETA:事件樹分析(eventtreeanalysis)E/E/PES:電氣/電子/可編程電子系統(tǒng)(electrical/electronic/programmableelectronicsystems)EMC:電磁兼容(electromagneticcompatibility)FMEA:失效模式及影響分析(failuremodeandeffectsanalysis)EPROM:可擦除可編程只讀存儲器(erasableprogrammableread-onlymemory)FTA:故障樹分析(faulttreeanalysis)HARA:危險分析及風(fēng)險評估(hazardanalysisandriskassessment)HIL:硬件在環(huán)(hardwareintheloop)MTTF:平均失效前時間(meantimetofailure)MTTFp:平均危險失效前時間(meantimetodangerousfailure)MTTFpc:單通道平均危險失效前時間(meantimetodangerousfailureforeachchannel)PES:可編程電子系統(tǒng)(programmableelectronicsystem)QM:質(zhì)量度量(qualitymeasures)RAM:隨機存取存儲器(random-accessmemory)SOP:開始生產(chǎn)(startofproduction)SRL:軟件需求等級(softwarerequirementlevel)SRP/CS:控制系統(tǒng)安全相關(guān)部件(safety-relatedpartsofcontrolsystems)UoO:觀察單元(unitofobservation)3GB/T38874.2—2020/ISO25119-2:20185概念——UoO本階段的目的是充分了解UoO以圓滿完成安全壽命周期中定義的任務(wù)(見GB/T38874.1—2020律法規(guī)要求和試驗機構(gòu)專業(yè)知識或組合方法。UoO的安全相關(guān)功能應(yīng)包括以下內(nèi)容：b)功能需求；c)其他要求和環(huán)境條件：d)同類或相關(guān)UoO的歷史安全性和可靠性要求、安全性和可靠性等級。5.3.2UoO的限制及與其他UoO的接口--—與其他UoO和組件的接口以及交互；——與其他UoO相關(guān)的安全相關(guān)功能需求。5.3.3相關(guān)功能映射并配置到涉及的UoO和應(yīng)力源——不同UoO間的交互；——合理可預(yù)見的人為誤操作；——來自UoO的應(yīng)力和觸發(fā)失效的事件(例如：組裝或維護期間)?！_認UoO是新開發(fā)還是修改的，適應(yīng)性修改或繼承已有的UoO。如果是修改的，則通過影響分析調(diào)整相應(yīng)的安全壽命周期；——制定計劃和規(guī)范，以驗證和確認在5.3.1定義的UoO的要求；——定義壽命周期中相應(yīng)階段的項目管理；4GB/T38874.2—2020/ISO25119-2:2018——提供可靠性評估所需的充分輸入數(shù)據(jù)； ——使用有資質(zhì)的工作人員。UoO的工作產(chǎn)品(如適用)為：a)UoO包含的元素；b)基本需求規(guī)格說明和環(huán)境條件；c)UoO的限制及與其他UoO的接口；e)其他確認事項。6HARA——AgPL,的確定HARA的主要目的是對出現(xiàn)故障的UoO(不能執(zhí)行預(yù)期安全相關(guān)功能。例如：不能正常停車、空擋前進、轉(zhuǎn)向錯誤)進行風(fēng)險分析，然后分配適當(dāng)?shù)腁gPL(見GB/T38874.1—2020的3.39)。傷害發(fā)生率通常考慮UoO出現(xiàn)故障時人員暴露于危險狀況的概率。在6.2～6.4中給出了基于HARA確定AgPL,的方法。6.2前提條件與每個安全功能相關(guān)的UoO定義。6.3要求6.3.1HARA的準備規(guī)程HARA應(yīng)考慮全部安全相關(guān)功能，以便提供適當(dāng)?shù)腟RP/CS規(guī)范。如果在安全壽命周期后期決定當(dāng)正確使用UoO和以合理可預(yù)見方式誤操作UoO時，應(yīng)考慮UoO故障行為導(dǎo)致危險狀況的工作條件。6.3.3HARA的參與者HARA應(yīng)有足夠的技術(shù)人員，能提供相關(guān)專業(yè)知識。注：來自不同學(xué)科的參與者通常為HARA提供有價值的信息。應(yīng)確定并記錄潛在傷害的嚴重度。根據(jù)在相關(guān)工作條件、模式、情景下的安全相關(guān)功能故障導(dǎo)致的危險狀況，應(yīng)推斷出潛在傷害的5GB/T38874.2—2020/ISO25119-2:2018記錄暴露于危險的傷害。潛在傷害的評估和分類應(yīng)集中并限于對人員的傷害。如果安全相關(guān)功能故障分析僅涉及財產(chǎn)而無傷害等級為S0的功能不需要進一步的風(fēng)險評估。無受傷，僅有財產(chǎn)損失輕中度傷害，需要治療，可完全康復(fù)重度致命傷害(可幸存),永久喪失部分工作能力致命傷害(可導(dǎo)致死亡),重度傷殘HARA應(yīng)考慮在所有特定區(qū)域工作條件和操作條件下安全相關(guān)功能故障造成的暴露影響。這涵蓋從日?；顒臃秶綐O端罕見的情況。變量“E”用來對暴露的不同頻率或持續(xù)時間進行分類。暴露分為5類：E0、E1、E2、E3和E4(見表2),其中“E”用于對操作者或旁觀者暴露于危險的頻率及持續(xù)時間的方法確定AgPL,值。當(dāng)一種特定危險狀況適合多個類別時，應(yīng)采用最高類別。描述E0ElE2E3E4頻率不可能(理論上可能，整個壽命周期內(nèi)僅發(fā)生1次)極少(每年少于1次)有時(每年超過1次)經(jīng)常(每月超過1次)頻繁(幾乎每次操作)持續(xù)時間texp/tavop0.01%0.01%～0.1%0.1%～1%texp——暴露時間；tawp--—平均工作時間。傷害可控性的評估需要評價經(jīng)培訓(xùn)的機械操作者是否能夠控制并避免可能產(chǎn)生的傷害，或者情況完全無法控制。同樣，未經(jīng)培訓(xùn)的旁觀者在一定程度上也可避免傷害。變量C用于對傷害可控性進行分類。傷害可控性C值應(yīng)僅考慮安全功能故障時人員對傷害的控制能力，而不考慮SRP/CS的可靠性或SRP/CS提供的降低風(fēng)險的措施。類別CO、C1、C2和C36GB/T38874.2—2020/ISO25119-2:2018易控操作者或旁觀者可控制局勢，并避免傷害簡單可控超過99%的操作者或旁觀者可控制局勢。99%以上的事故不會造成傷害多數(shù)可控超過90%的操作者或旁觀者可控制局勢。超過90%事故不會造成傷害不可控普通操作者或旁觀者通常不可避免傷害6.3.7AgPL,的選擇根據(jù)標識的危險狀況，可結(jié)合嚴重度(S)、暴露(E)和傷害可控制性(C)值確定AgPL,的方法，見圖1。AgPL,等級范圍從AgPL,=a到AgPL=e。AgPL=a為系統(tǒng)最低要求和AgPL,=e為系統(tǒng)最高QM僅適用于低風(fēng)險功能。在GB/T38874中，將此類功能歸類為非安全相關(guān)功能。在HARA報告中，應(yīng)描述并記錄已標識的危險以及其AgPL,與UoO(見7.3.2)安全相關(guān)功能相關(guān)的AgPL,由已標識的危險定義。附錄G給出了HARA和得到的AgPL,示例。7GB/T38874.2—2020/ISO25119-2:2018C0C2C3QMQMQMQME0QMQMQMQME1QMQMQMQME2QMQMQMaE3QMQMabE4QMabCE0QMQMQMQME1QMQMQMaE2QMQMabE3QMabcE4QMbcdE0QMQMQMaE1QMQMabE2QMabcE3QMbcdE4QMcdeE-—暴露于危險狀態(tài)；C——可控性；QM——質(zhì)量度量；a,b,c,d,e——農(nóng)業(yè)性能等級要求(AgPL?)。圖1AgPL,的確定注：根據(jù)GB/T38874.4保留文檔。8GB/T38874.2—2020/ISO25119-2:2018——HARA的結(jié)果；——安全相關(guān)功能的AgPL。AgPL,大于QM的每種危險狀況都應(yīng)與安全目標相關(guān)聯(lián)。安全目標可涉及多種危險狀況。如果功能安全需求以更具體方式實現(xiàn)安全目標，確保UoO的功能安全。應(yīng)從安全目標中導(dǎo)出足夠的功能安全需求。功能安全需求繼承了危險狀況的AgPL,及其相關(guān)安全目標。如果功能安全需求涉及類似的危險狀況具有不同的AgPL,,則應(yīng)實現(xiàn)最高的AgPL。——系統(tǒng)性失效(參見附錄E);——在預(yù)定環(huán)境條件(例如：參照ISO——其他典型功能(參見附錄F)。 ——應(yīng)考慮SRP/CS的每個通道(MTTFpc)?？筛鶕?jù)表4直接計算MTTFp,或參見附錄B中的方法確定MTTFp。指標要求的MTTFp低3年≤MTTFp<10年中10年≤MTTFp<30年高≥30年7.3.4DC值在GB/T38874中，DC分為低、中、高3個等級?？筛鶕?jù)表5直接計算DC或參見附錄C中的方法9GB/T38874.2—2020/ISO25119-2:2018計算DC。注2:對包含多個部件的SRP/CS,使用平均值DC(參見附錄C)。表5診斷覆蓋率(DC)DC低0≤DC<60%中60%≤DC<90%高90%≤DCAgPL與以下4個因素有關(guān)：——MTTFpc(參見附錄B);——DC(參見附錄C);—-—SRL(見GB/T38874.3—2020的第7章)?！?—第3類和第4類架構(gòu)的CCF(參見附錄D);——僅允許由系統(tǒng)制造商授權(quán)的負責(zé)人(或服務(wù)商)對AgPL大于或等于“a”的SRP/CS進行修改。根據(jù)GB/T38874.4—2020的第11章，應(yīng)禁止未經(jīng)授權(quán)的修改。如圖2,可采用可靠性指標(DC、SRL)和架構(gòu)類別(Cat)的多種組合實現(xiàn)AgPL,。例如：高可靠的單通道體系結(jié)構(gòu)與低可靠的雙通道體系結(jié)構(gòu)具有相同的AgPL(見圖2)。AgPLaBBBBb21BBBc2111d222e3圖2中縱軸為AgPL值，橫軸為硬件類別。對于給定的AgPL,每個類別都有關(guān)聯(lián)的診斷覆蓋率(DC)、單通道平均危險失效前時間(MTTFpc)和軟件需求等級(SRL)。GB/T38874.2—2020/ISO25119-2:2018設(shè)計者應(yīng)為AgPL,選擇一個硬件類別。7.3.6AgPL,的實現(xiàn)安全功能可由一個或多個SRP/CS實現(xiàn)。設(shè)計者可使用一種技術(shù)或多種技術(shù)組合。每個元素可包含基于E/E/PES的不同技術(shù)。SRP/CS可與其他技術(shù)的安全措施相結(jié)合。例如：機械安全功能(例功能安全概念的開發(fā)應(yīng)指定符合功能安全需求的單個或組合SRP/CS的特性。選擇硬件類別、MTTFpc、DC和SRL時，應(yīng)使單個或組合SRP/CS的最終AgPL等于或超過所分配的功能安全需求的圖3為執(zhí)行安全相關(guān)功能任務(wù)的典型控制通道及其相關(guān)元件，包括輸入(I)、E/E/PES(L)、輸出/LLI——輸入裝置(例如：傳感器);圖3安全相關(guān)部件組合框圖符合其他功能安全標準的SRP/CS的使用，見附錄H。7.3.8E/E/PES的結(jié)合關(guān)于E/E/PES組合(例如：拖拉機和機具),參見附錄I。當(dāng)具有各自獨立AgPL的多個SRP/CS相結(jié)合時，可采用附錄J中的方法確定總體AgPL。7.4工作產(chǎn)品a)安全目標；b)功能安全需求和相關(guān)的AgPL?;d)CCF(如適用)。GB/T38874.2—2020/ISO25119-2:2018(規(guī)范性附錄)指定的SRP/CS架構(gòu)A.1概述圖3和圖A.1～圖A.3定義了各種硬件類別的架構(gòu)。所有架構(gòu)應(yīng)使用經(jīng)驗證的安全準則，包括：——(可行時)危險出現(xiàn)之前檢測故障。對于B類硬件，建議使用經(jīng)驗證的組件，第1類～第4類硬件也應(yīng)使用這些組件。在安全相關(guān)應(yīng)用b)在安全相關(guān)應(yīng)用中組件制造與驗證采用的準則，經(jīng)驗證具有適用性和可靠性。圖A.1～圖A.3給出了通用架構(gòu)，而不是示例。通?？赡艽嬖谂c這些架構(gòu)的差異。但借助適當(dāng)?shù)腁.2B類硬件(基本類別)A.2.1概述指定的B類硬件架構(gòu)見圖3。A.2.2屬性——DC=低；-—單一故障可導(dǎo)致安全功能的喪失；A.3第1類硬件A.3.1概述指定架構(gòu)見圖3?！?-—DC=中等；GB/T38874.2—2020/ISO25119-2:2018——不考慮共因失效；——不適合單點失效的操作系統(tǒng)；——使用經(jīng)驗證的組件。可自動或手動啟動安全相關(guān)功能的檢查。檢查本身不導(dǎo)致危險狀況?！踩珷顟B(tài)；——禁止功能啟動。注2:提供操作者警告的組件不涉及SRL、MTTFo和DC。A.4第2類硬件A.4.1概述指定的架構(gòu)見圖A.1。mTE?I-—輸人裝置(例如：傳感器);TE——測試設(shè)備(附加到邏輯模塊上):OTE———測試設(shè)備的輸出；So——互連信號輸出；圖A.1第2類硬件的指定架構(gòu)GB/T38874.2—2020/ISO25119-2:2018——由測試設(shè)備檢測輸入傳感器和輸出執(zhí)行器的故障；——不考慮共因失效；——不適合單點失效的操作系統(tǒng)；在下次請求安全功能時或請求之前通過開啟安全功能對單一故障進行檢測，和/或定期測試(如必要)。(可行時)應(yīng)自動啟動檢查。否則，應(yīng)手動啟動。檢查本身不應(yīng)導(dǎo)致危險狀況。檢測設(shè)備可與提供b)如果檢測到故障，產(chǎn)生的輸出信號啟動在考慮MTTFp和DC的情況下(如果可能),輸出應(yīng)啟動安全狀態(tài)。當(dāng)安全狀態(tài)不能啟動時(例如：末端開關(guān)裝置的觸點粘結(jié)),輸出應(yīng)向操作者發(fā)出危險警告信號。檢測到故障后，如果SRP/CS啟注1:在某些情況下，第2類不適用。因為安全功能檢查并不適合所有組件，不可實現(xiàn)DC,如壓力開關(guān)或溫度傳注2:通常第2類可用電子技術(shù)來實現(xiàn)(例如：保護裝置和特定的控制系統(tǒng))。注3:某些高可靠性組件僅需定期檢查。僅可在運行時(傳感器正在計數(shù))檢測速度傳感器。但功能和線路故障可在啟動時進行檢測。通常機器每日多次啟動，每天允許多次檢查。注5:操作者警告組件未分配SRL、MTTFp和DC。A.5第3類硬件A.5.1概述第3類的指定架構(gòu)見圖A.2。GB/T38874.2—2020/ISO25119-2:2018mmmLIL2S01I1、I2——輸入裝置(例如：傳感器);S——互連信號輸人；S?——互連信號輸出；m——監(jiān)控；圖A.2第3類硬件的指定架構(gòu)-—考慮共因失效(參見附錄D); ——安全狀態(tài)要求附加的冗余輸出；——根據(jù)安全狀態(tài)以串聯(lián)或并聯(lián)方式來安排輸出1和2;——適合有備用電源的單點失效操作系統(tǒng)；——需要操作者警告；——使用經(jīng)驗證的組件；-—當(dāng)檢測的單一故障發(fā)生時，始終執(zhí)行安全功能或系統(tǒng)轉(zhuǎn)移到安全狀態(tài)。但未檢測到的故障累積可導(dǎo)致安全相關(guān)功能的喪失。在下次請求安全功能時或請求之前，通過開啟安全功能對單一故障進行檢查，或定期測試(如必要)。安全功能的檢測措施為：在考慮MTTFp、DC和CCF的情況下(如果可能),輸出應(yīng)啟動安全狀態(tài)。當(dāng)檢測到失效條件時，系統(tǒng)應(yīng)向操作者發(fā)出危險警告。檢測到故障后，如果SRP/CS啟動安全狀態(tài)，則應(yīng)在故障清除前一直GB/T38874.2—2020/ISO25119-2:2018注1:某些高可靠組件僅需定期檢查。僅可在運行過程中(傳感器正在計數(shù))檢測速度傳感器。但功能和線路故障可在啟動過程中進行檢測。通常機器每日多次啟動，每天允許多次檢查。注3:要求檢測單一故障并不意味可檢測到所有故障。因此，未檢測到的故障累積可導(dǎo)致意外輸出及機器的危險狀注5:操作者警告組件未分配SRL、MTTFp和DC。A.6第4類硬件A.6.1概述指定的第4類硬件架構(gòu)見圖A.3。mmSCmSS?——互連信號輸出；c-—交叉監(jiān)控。圖A.3第4類硬件的指定架構(gòu)——診斷覆蓋率要求有冗余輸入；——安全狀態(tài)要求有附加的冗余輸出；——適合具有冗余電源的單點失效的操作系統(tǒng)；——需要操作者警告；GB/T38874.2—2020/ISO25119-2:2018——使用經(jīng)驗證的組件；-—單一故障發(fā)生時，始終執(zhí)行安全功能或系統(tǒng)轉(zhuǎn)到安全狀態(tài)，但未檢測故障的累積可導(dǎo)致喪失安全相關(guān)功能。盡管如此，此類故障發(fā)生的概率低于第3類。在下次要求安全功能時或之前，通過開啟安全功能的測試對單一故障進行檢查，或定期測試(如必與提供的安全功能的安全相關(guān)部件相集成，或是單獨的檢測設(shè)備。安全功能的檢測應(yīng)采取以下其中一在考慮MTTFp、DC和CCF的情況下(如果可能),輸出應(yīng)啟動安全狀態(tài)。當(dāng)安全狀態(tài)不能啟動時(例如：末端開關(guān)裝置的觸點粘結(jié)),輸出應(yīng)向操作者發(fā)出危險警告。檢測到故障后，如果SRP/CS啟動注1:某些高可靠性組件僅需定期檢查。僅可在運行時(傳感器正在計數(shù))檢查速度傳感器。但功能和線路故障可注4:宜將錯誤狀況保存以備評估。GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)B.1概述本附錄給出了計算通道MTTFpc的方法。對于雙通道架構(gòu)(第3類硬件和第4類硬件),給出了對稱通道MTTFpc的計算公式。當(dāng)訪問組件的失效率數(shù)據(jù)庫時，這些計算使用的是仿真模型。而不考慮設(shè)計、軟件和制造問題。當(dāng)分析某些組件失效原因時，可排除某些故障。在這種情況下，應(yīng)提供相應(yīng)的支持分析或數(shù)據(jù)(例B.2組件MTTFp值下列標準/數(shù)據(jù)庫及其他文獻，提供單個組件的MTTF值：——MIL-HDBK-217F?];——SN29500[10];——RDF200011];——IEC/TR62380[12];——FIDESGuide2004[13]?？捎密浖ぞ咴L問數(shù)據(jù)庫。當(dāng)檢索數(shù)據(jù)時，設(shè)計者應(yīng)指定工作周期和組件的應(yīng)力等級(熱、電等)。連接器、接觸器、熔斷器等組件通常按照周期數(shù)(B?op)進行評級，在指定工作周期時應(yīng)特別注意。導(dǎo)線不包括在內(nèi)。但是，如果E/E/PES的設(shè)計者擁有所用組件的可靠具體數(shù)據(jù)，強烈建議使用這些數(shù)據(jù)，而不采用上面的參考值。當(dāng)MTTF轉(zhuǎn)換成MTTFp時，推薦使用以下其中一種方法：-—通過故障樹或等效的危險分析方法評估每個組件的失效模式，以確定危險失效的實際百分比。——假設(shè)所有失效的50%是危險失效。在E/E/PES系統(tǒng)中，危險狀況產(chǎn)生之前可糾正的失效可忽略。在控制器存儲器中，糾錯碼(ECC)在錯誤造成傷害前可對錯誤進行糾正。強烈建議操作時監(jiān)控ECC,并在控制器存儲器啟動階段對糾錯機制進行測試。MTTFp=MTTF/危險失效的百分比(見表B.1)。系統(tǒng)中這些組件的使用不得超出制造商規(guī)定的限制范圍。另外，可使用以下其中一種或多種方法來確定MTTF:a)在預(yù)定環(huán)境和操作條件下驗證；c)分析。測試時，電子組件應(yīng)放置在預(yù)定環(huán)境和操作條件下，并驗證是否達到要求。GB/T38874.2—2020/ISO25119-2:2018B.2.2由經(jīng)驗證的組件確定組件的MTTFp值在以下方法中，已有硬件可利用經(jīng)驗證的數(shù)據(jù)來確定信道或系統(tǒng)的MTTFp。使用受控過程的數(shù)據(jù)(例如：事故報告和分析)計算歷史MTTFp值，步驟為：a)確定具有統(tǒng)計意義的總體樣本：1)確定總體樣本使用的總時間(T);2)確定總體樣本中危險失效總數(shù)(r)。b)MTTFp的置信度公式為：2)X2(a,2r+2)=卡方分布；i)X2表示卡方分布；ii)(α,2r+2)為卡方分布的參數(shù)；iii)α=1一置信度。3)置信度應(yīng)大于或等于70%。c)當(dāng)預(yù)定環(huán)境應(yīng)力發(fā)生變化時，應(yīng)使用影響分析來調(diào)整歷史數(shù)據(jù)。可通過加速模型完成。例如：Arrhenius模型或逆冪率定律。B.2.3根據(jù)B?計算組件的MTTFp對于機電組件(例如：繼電器、接觸器、開關(guān)等),很難計算平均危險失效前時間(MTTFp)。組件制造商通常僅給出10%的組件達到失效(B??)或危險失效(Bop)時的平均周期數(shù)。以下為根據(jù)組件制造商提供的B??計算組件MTTFp的方法。如果制造商不提供B?op,通常假定50%的失效是危險失效，將B??轉(zhuǎn)化到B?op:B?op=2B?根據(jù)式(B.1),MTTFp近似為：為計算操作數(shù)no,對組件應(yīng)用需作一些假設(shè)，見式(B.2):式中：dop——平均工作時間，單位為天每年(d/年);hop——平均工作時間，單位為小時每天(h/d);…………(B.1)…………(B.2)tocle——組件的兩個連續(xù)周期的起始時刻(例如：閥門開關(guān))之間的平均間隔，單位為秒(s)。B.3部件計數(shù)法N個組件MTTFpc的通用計算式為(B.3):式中：MTTFp 整個通道的MTTFp;MTTFp;——通道中每個組件的MTTFp?！?B.3)GB/T38874.2—2020/ISO25119-2:2018應(yīng)注意式中僅包含安全相關(guān)功能所需的組件。式(B.3)不適合復(fù)雜電子組件或并行通道中的組件。關(guān)于估計MTTF?的進一步內(nèi)容，參見IEC61508-6:2010的附錄B、IEC62061或使用自動計算工具。表B.1給出了計算MTTFoc值的示例。表B.1電路板MTTFpc值的計算示例元件號元件(來自數(shù)據(jù)庫)年危險失效%年1/年元件數(shù)合計1低功率雙極性晶體管22碳膜電阻53標準無源電容44繼電器(來自元件制造商數(shù)據(jù))45接觸器1MTTFc=1/∑(1/MTTFo)單位：年本示例中，電路板的MTTFc為115.6年。B.4雙通道架構(gòu)的對稱MTTFpc的計算用式(B.4)計算雙通道系統(tǒng)的對稱MTTFpc(第3類硬件和第4類硬件)。式中，MTTFpc?和MTTFx?為兩個不同冗余通道的值。式(B.4)不適合復(fù)雜度更高的系統(tǒng)。估計MTTFo的進一步內(nèi)容，參見IEC61508-6:2010的附錄B、GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)診斷覆蓋率(DC)的確定診斷覆蓋率DC可通過表C.1～表C.8來估算，或用表5中的公式計算。冗余架構(gòu)中每個通道均應(yīng)滿足AgPL,所要求的DC。需重點考慮關(guān)鍵安全功能的每個組件。C.2診斷覆蓋率(DC)的估計表C.1～表C.7說明如何達到所要求的DC。無微控制器的通道使用表C.1估計DC。含微控制器的通道使用表C.2估計DC。在任何情況下，應(yīng)檢查故障檢測機制的有效性。允許使用其他方法(例如：其他標準),但應(yīng)詳細記錄。每個SRP/CS僅需使用一種方法，通道DC的估計結(jié)果取決于表C.1～表C.7所選方法中的最低DC(見C.3中示例)。表C.1電氣子系統(tǒng)(無微控制器)技術(shù)/措施推薦的最大診斷覆蓋率示例在線監(jiān)控的失效檢測中轉(zhuǎn)向信號指示燈繼電器觸點的監(jiān)控中機械前輪驅(qū)動(MFWD)指示燈比較器中充電系統(tǒng)指示燈正極控制開關(guān)高機械互鎖開關(guān)表C.2電子子系統(tǒng)(含微控制器)技術(shù)/措施推薦的最大診斷覆蓋率示例在線監(jiān)控的失效檢測(模擬或數(shù)字信號)中監(jiān)測反饋信號(范圍內(nèi))多數(shù)表決器高冗余信號比較冗余硬件測試中(定期測試)高(持續(xù)測試)啟動時測試(中)看門狗(高)動態(tài)原則中測試激勵(見第2類硬件)用于監(jiān)控的冗余器件高冗余微控制器GB/T38874.2—2020/ISO25119-2:2018表C.3處理單元技術(shù)/措施推薦的最大診斷覆蓋率示例比較器高比較冗余處理器輸出和/或比較同步確定性中間數(shù)據(jù)(見第2類硬件、第3類硬件和第4類硬軟件自檢：數(shù)量有限模式(單通高漫步位法軟件自檢(單通道)低內(nèi)部看門狗硬件支持的軟件自檢(單通道)中外部看門狗表C.4固態(tài)內(nèi)存技術(shù)/措施推薦的最大診斷覆蓋率示例保存多位冗余的字符中部分字節(jié)冗余修改的校驗和低存儲塊校驗和單字符(8位)信號中存儲塊CRC(8位)雙字符(16位)信號高存儲塊CRC(16位)塊復(fù)制高鏡像存儲器用附加校驗位的漢明碼進行RAM監(jiān)控(SECDED)高ECC包含在FLASH控制器中。請參閱控制器的安全手冊。根據(jù)漢明距離的不同，DC可以更高。強烈推薦使用此機制監(jiān)控糾錯表C.5可變內(nèi)存范圍技術(shù)/措施推薦的最大診斷覆蓋率示例軟件自檢(單通道)中內(nèi)部看門狗RAM測試(啟動時或周期性)中棋盤算法、march算法、walk-path算法、校驗位用附加校驗位的漢明碼進行RAM監(jiān)控(SECDED)高ECC包含在RAM控制器中。請參閱控制器的安全手冊。根據(jù)漢明距離的不同，DC可以更高。強烈推薦采用此糾錯監(jiān)控機制雙RAM高硬件或軟件進行比較和讀/寫測試冗余通道高見第2、3、4類硬件22GB/T38874.2—2020/ISO25119-2:2018表C.6I/0單元和接口(外部通信)技術(shù)/措施推薦的最大診斷覆蓋率示例采用在線監(jiān)控方式進行失效檢測(模擬或數(shù)字輸入、模擬或數(shù)字輸出)中監(jiān)測反饋信號(范圍內(nèi))比較器高比較冗余處理器輸出和/或比較同步確定性的中間數(shù)據(jù)(見第2、3和4類硬件)消息保護中中低高a)對選定的信號數(shù)據(jù)字節(jié)求校驗和b)消息枚舉(遞增計數(shù)器)c)發(fā)送頻率驗證a)～c)的組合參考傳感器高通過測量指定信號檢查ADC和/或ECU多數(shù)表決器高比較冗余信號信號線與電源線隔離高多數(shù)據(jù)線的空間隔離高提高抗干擾能力高屏蔽線和/或雙絞線表C.7電源(適用于有微控制器與無微控制器的系統(tǒng))技術(shù)/措施推薦的最大診斷覆蓋率示例過壓保護低發(fā)電機甩負荷保護電源控制高電壓監(jiān)控，需要時(達到運行極限)切換到備用電源掉電控制中監(jiān)測鑰匙開關(guān)(點火開關(guān))電壓并關(guān)閉ECU,數(shù)據(jù)保存到存儲器。電池掉電時關(guān)閉系統(tǒng)表C.8程序順序監(jiān)控程序順序技術(shù)/措施推薦的最大診斷覆蓋率描述具有獨立時基、無時間窗口的看門狗低具有獨立時基的外部定時元素(例如：看門狗定時器)被定期觸發(fā)，監(jiān)控計算機的行為和程序順序的合理性。將觸發(fā)點放入程序中正確位置?？撮T狗不以固定周期觸發(fā)，但指定最大間隔具有獨立時基與時間窗口的看門狗中具有獨立時基的外部定時元素(例如：看門狗定時器)被定期觸發(fā)，監(jiān)控計算機的行為和程序順序的合理性。將觸發(fā)點放入程序中的正確位置?？撮T狗定時器給出了時間上下限。如果程序順序運行時間超出或小于預(yù)期，則采取補救措施GB/T38874.2—2020/ISO25119-2:2018程序順序技術(shù)/措施推薦的最大診斷覆蓋率描述程序順序的邏輯監(jiān)控中使用軟件(計數(shù)程序、關(guān)鍵程序)或外部監(jiān)控設(shè)備監(jiān)控各程序部分的正確順序。檢查點放入程序的正確位置在線檢查的臨時監(jiān)控中啟動時才能檢查的臨時監(jiān)控，并且僅在監(jiān)視部件正常工作時才啟動。例如：啟動時加熱電阻器，才能檢查熱傳感器程序順序的臨時監(jiān)控和邏輯監(jiān)控相結(jié)合高僅在程序部分的順序正確執(zhí)行時，監(jiān)視程序順序的時間元素才可被重觸發(fā)(例如；看門狗定時器)C.3通道DC的估計表C.9提供了估計通道DC的示例。在此示例中，該通道的DC值為低。表C.9DC的估計描述DC方法參考表輸入/輸出(全部)高用于監(jiān)控的冗余器件表C.2處理器低內(nèi)部看門狗表C.3固態(tài)內(nèi)存中字符保存表C.4可變內(nèi)存高雙RAM表C.5通信中校驗和表C.6電源中掉電控制表C.7C.4通道DC的計算在許多系統(tǒng)中，故障檢測可采用多種方法。給定通道通過計算得到單個DC值。根據(jù)表5,通過式(C.1)得到DC的平均值：…………(C.1)式中：λDp——危險失效檢測率；λp——危險失效率。計算分母時，應(yīng)考慮計算MTTFpc時所用通道的所有部分并求和。失效檢測部分僅影響式(C.1)的24GB/T38874.2—2020/ISO25119-2:2018C.5通道DC計算示例表C.10給出了通道DC估計的示例。在此示例中，通道的DC為86%,對應(yīng)中等DC。表C.10DC的計算序號組件MTTFp年1/年檢測Y/N檢測方法1/年DCag電阻10.00009Y硬件冗余8.75964×10-2電阻20.00009N03晶體管0.00088Y監(jiān)控反饋8.75657×10-4微處理器10.00111Y外部看門狗1.111111×10-35電容10.00018Y硬件冗余1.75193×10-46電容20.00018N07電容10.00500N08接觸器20.03125Y監(jiān)控反饋3.125×10-GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)共因失效(CCF)估計這一量化過程應(yīng)適用于控制系統(tǒng)的各部分。表D.1列出了常用設(shè)計的措施及其得分值?；诠こ膛袛啵@些評分值表示每項措施對減小共因失效的作用。CCF的量化如表D.2所示。表D.1防止CCF措施的評分過程序號預(yù)防CCF的措施1分離/隔離是否信號走線和電源走線之間的物理隔離?例如：布線中的走線隔離印刷電路板走線的足夠安全間距是，15否，02差異性設(shè)計是否采用不同的技術(shù)/設(shè)計或不同的物理原理?例如：第一通道是電子可編程器件，第二通道是硬布線例如：分別采用x缸面積的壓力與應(yīng)變計測量負載例如；數(shù)字和模擬信號例如；采用不同廠家的元器件是，20否，03設(shè)計/應(yīng)用/經(jīng)驗是否進行過壓保護、非電氣過激勵保護、過電流保護?在考慮的環(huán)境條件下，所選組件是否為經(jīng)驗證的器件?是，15否，0是，5否，04評估/分析避免共因失效的設(shè)計中是否考慮了失效模式及影響分析(FMEA)的結(jié)果?是，5否，05能力/培訓(xùn)設(shè)計者/技術(shù)人員是否已通過培訓(xùn)，使其了解共因失效的原因及后果?是，5否，06環(huán)境EMC系統(tǒng)是否進行電磁兼容(例如：相關(guān)產(chǎn)品標準的規(guī)定)檢查?是，25其他影響是否考慮耐相關(guān)環(huán)境影響的因素?如溫度、沖擊、振動、濕度(例如：相關(guān)標準中規(guī)定。例如：ISO15003)否，0是，10否，0總分，S(滿分為100%)26GB/T38874.2—2020/ISO25119-2:2018表D.2共因失效的量化總分S避免CCF的措施滿足要求方法失敗→采用附加措施GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)E.1概述失效為系統(tǒng)性失效(見GB/T38874.1—2020的3.52)。E.2系統(tǒng)性失效的控制規(guī)程a)掉電安全相關(guān)功能的設(shè)計應(yīng)使其在掉電時可實現(xiàn)或保持機器的安全狀態(tài)。安全狀態(tài)。單點失效操作系統(tǒng)(例如：第3類和第4類硬件)需要冗余電源(根據(jù)A.5和A.6)。應(yīng)預(yù)先確定在物理環(huán)境影響下安全相關(guān)功能的行為，使安全相關(guān)功能可實現(xiàn)或保持機器的安全狀態(tài)。c)對數(shù)據(jù)通信過程中的錯誤影響和其他影響的控制措施參見GB/T38874.3—2020的附錄B。d)程序順序監(jiān)控表C.8為程序順序監(jiān)控技術(shù)及可達到的診斷覆蓋率列表。E.3避免系統(tǒng)性失效的規(guī)程a)使用合適的材料及制造工藝b)正確的外形與尺寸d)兼容性使用具有兼容工作特征的組件。e)承受特定的環(huán)境條件安全相關(guān)功能的設(shè)計使其能夠在預(yù)期的環(huán)境條件下工作。例如：溫度、濕度、振動和電磁干擾(EMC)等。28GB/T38874.2—2020/ISO25119-2:2018使用按照合適標準設(shè)計并明確定義其失效模式的組件。f)設(shè)計模塊化g)公共資源的限制使用當(dāng)兩個及以上模塊使用公共資源時[例如：存儲器(RAM、EPROM)或存儲分區(qū)、A/D轉(zhuǎn)換器等],應(yīng)采取以下其中一種措施：1)避免同時使用公共資源；2)采用適當(dāng)?shù)目刂品椒ㄍㄟ^標準接口或定義的接口實現(xiàn)(見GB/T38874.3—2020的第6章和第h)安全相關(guān)功能和非安全相關(guān)功能的隔離i)系統(tǒng)狀態(tài)數(shù)量的限制UoO擁有的安全相關(guān)狀態(tài)的數(shù)量應(yīng)是可管理和可測試的。例如：可通過模塊狀態(tài)的分層匯總來j)采用經(jīng)驗證的設(shè)計原則驗證的設(shè)計原則是：2)經(jīng)驗證的故障檢測和故障控制措施。k)使用標準接口1)設(shè)計復(fù)查通過設(shè)計復(fù)查來揭示技術(shù)規(guī)范和執(zhí)行情況之間的偏差。2)利用計算機輔助設(shè)計工具進行仿真或分析3)仿真GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)F.1概述為實現(xiàn)特定應(yīng)用的控制系統(tǒng)所需的安全措施，設(shè)計時應(yīng)包含以下必要的安全功能。這些功能可降F.2啟動互鎖防止意外啟動的安全功能。F.3停止功能停止功能由保護裝置啟動，在啟動后應(yīng)盡快將機器置于安F.4手動復(fù)位通過對保護裝置復(fù)位重新建立安全相關(guān)功能以取消停止命令。如果風(fēng)險評估有要求，則應(yīng)慎重考慮通過人工(手動復(fù)位)確認停止命令的取消。手動復(fù)位功能應(yīng)具有以下特點：c)手動復(fù)位功能本身應(yīng)不觸發(fā)運動或危險狀況；d)應(yīng)僅通過謹慎操作來激活手動復(fù)位功能；e)使控制系統(tǒng)能接受單獨的啟動命令；f)僅從復(fù)位器釋放(off)位置啟動才可接受手動復(fù)位功能。F.5啟動和重啟GB/T38874.2—2020/ISO25119-2:2018設(shè)計人員或供應(yīng)商應(yīng)根據(jù)控制系統(tǒng)安全相關(guān)部件的風(fēng)險評估結(jié)果(必要時)聲明響應(yīng)時間。機器所要求的總響應(yīng)時間可能影響安全相關(guān)部件的設(shè)計。F.7安全相關(guān)參數(shù)F.8外部控制功能a)定義選擇外部控制方式；b)切換到外部控制裝置不應(yīng)造成危險狀況；d)當(dāng)對機器上的多臺設(shè)備中的一臺遠程控制時，其他控制設(shè)備和遠程控制設(shè)備之間切換不應(yīng)造成危險狀況。F.9暫停(安全功能的手動暫停)其他方法可包括：a)指令；b)禁用所有其他控制或操作模式；c)僅允許需要持續(xù)作用的控制裝置來操作危險功能；e)通過對機器傳感器的主動或被動動作來防止任何危險功能的啟動。F.10操作者警告GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)風(fēng)險分析示例G.1工作流程HARA時應(yīng)進行以下活動：步驟1:待檢查系統(tǒng)的描述。步驟2:對周圍環(huán)境條件的列表。應(yīng)準確描述操作限制或人為干預(yù)的內(nèi)容。步驟3:使用狀態(tài)流程圖和轉(zhuǎn)換表對檢查系統(tǒng)進行描述。步驟4:列出系統(tǒng)性失效清單，不考慮已有的安全措施。對故障原因或非故障原因?qū)е碌氖ё屑殭z查。將失效與UoO相關(guān)聯(lián)。步驟5:估計和評估風(fēng)險表中每種危險狀況下的UoO風(fēng)險。風(fēng)險分析的基礎(chǔ)是機器狀態(tài)和狀態(tài)轉(zhuǎn)換。定義導(dǎo)致危險狀況的事件順序(傷害場景),并確定與危險狀況相關(guān)的影響。在風(fēng)險分析過程中，由系統(tǒng)開發(fā)者提前完成步驟1～步驟4。由參與者檢查完整性和正確性，進行糾正或者擴展(如必要)。在本示例中，步驟1～步驟4一般僅用于液壓齒輪箱。步驟5是針對不同機器的各種應(yīng)用場景。這些步驟后，由所有參與者準備傷害場景，并根據(jù)風(fēng)險進行評估。然后，將傷害場景分配到風(fēng)險表中相應(yīng)的系統(tǒng)性失效和系統(tǒng)狀態(tài)中。G.2自走式工作機械(飼料收獲機)電液傳動系統(tǒng)風(fēng)險分析的示例——從完整風(fēng)險分析中提取G.2.1系統(tǒng)描述系統(tǒng)描述如下：——電液壓發(fā)動機由電子控制，液壓發(fā)動機彈簧置于空擋位置；——連接前橋的驅(qū)動鏈；——非驅(qū)動后橋具有轉(zhuǎn)向功能；圖G.1給出了傳動系統(tǒng)主要結(jié)構(gòu)的示意圖。GB/T38874.2—2020/ISO25119-2:2018FNR24M536 圖G.1驅(qū)動鏈的主要結(jié)構(gòu)G.2.2環(huán)境條件環(huán)境條件為：——第一擋用于田間行駛，第一擋速度范圍為從0km/h～15km/h。第二擋用于道路行駛，第二擋速度從0km/h～30km/h;——僅在完全停止(輸出速度≈0)時才可機械換擋，控制桿應(yīng)放在空擋；——其他。G.2.3系統(tǒng)狀態(tài)和轉(zhuǎn)換狀態(tài)流程圖和轉(zhuǎn)換列表是識別最嚴重系統(tǒng)狀態(tài)的一種方法。例如：狀態(tài)8可包括維護或清理。GB/T38874.2—2020/ISO25119-2:2018狀態(tài)1狀態(tài)1車輛停止點火開關(guān)關(guān)閉發(fā)動機停止狀態(tài)2空擋狀態(tài)3車輛停止點火開關(guān)開啟發(fā)動機啟動空擋狀態(tài)4車輛停止發(fā)動機啟動狀態(tài)5狀態(tài)67-5狀態(tài)7車輛行駛勻速狀態(tài)8狀態(tài)8特殊機器狀況說明：狀態(tài)1～狀態(tài)8——機器狀況；1_2～7_6—-—從一個狀態(tài)向另一個狀態(tài)轉(zhuǎn)換(包括方向)。圖G.2狀態(tài)流程圖G.2.4系統(tǒng)故障-—命令時不行駛； 意外改變速度(未停止):GB/T38874.2—2020/ISO25119-2:2018——命令時向錯誤方向行駛；確定AgPL,時，需考慮所有的系統(tǒng)故障。評估(見G.3)時，以上述第1個和第2個系統(tǒng)故障為例。G.3評估系統(tǒng)狀態(tài)無駕駛員的車輛有駕駛員的車輛平路上坡下坡平路上坡下坡1.車輛停止，點火開關(guān)關(guān)閉，發(fā)動機停止，空擋不適用不適用不適用不適用不適用不適用2.車輛停止，點火開關(guān)開啟，發(fā)動機停止，空擋不適用不適用不適用不適用不適用不適用3.車輛停止，點火開關(guān)開啟，發(fā)動機運轉(zhuǎn)，空擋不適用不適用不適用不適用不適用不適用4.車輛停止，點火開關(guān)開啟，發(fā)動機啟動掛擋不適用不適用不適用不適用不適用不適用5.車輛行駛，加速不適用不適用不適用Scl/Sc2Scl/Sc2Scl/Sc26.車輛行駛，減速不適用不適用不適用Scl/Sc2Sc1/Sc2Sc1/Sc27.車輛行駛，勻速不適用不適用不適用Scl/Sc2Scl/Sc2Scl/Sc2Scl——情景1;Sc2——情景2。表G.2情景1操作者E3在公共道路上飼料收割機以最高速度行駛；靜液壓馬達移至空擋；驅(qū)動橋鎖死急減速：轉(zhuǎn)向失效；車輛行駛到溝里或撞擊障礙物駕駛員受傷設(shè)定驅(qū)動橋立即鎖死，重量轉(zhuǎn)移到驅(qū)動橋表G.3情景2旁觀者E3在公共道路上飼料收割機以最高速度行駛；靜液壓馬達移至空擋；后續(xù)交通堵塞；驅(qū)動橋鎖死旁觀者無法避免碰撞旁觀者受傷設(shè)定嚴重度取決于車輛后端的設(shè)計GB/T38874.2—2020/ISO25119-2:2018G.3.2系統(tǒng)故障——發(fā)行駛命令時車輛不動所有系統(tǒng)故障需要進行評估(見G.3.1)。G.4評估結(jié)果GB/T38874.2—2020/ISO25119-2:2018(規(guī)范性附錄)與其他功能安全標準的兼容性本附錄旨在促進從其他系統(tǒng)創(chuàng)建派生系統(tǒng)，以及促進系統(tǒng)和SRP/CS的結(jié)合，這些系統(tǒng)是依照IEC61508和ISO13849方法開發(fā)或評估的，而不是GB/T由于選擇并實現(xiàn)所需安全等級的方法不同，在安全相關(guān)控制系統(tǒng)的評估和設(shè)計時通常不應(yīng)互換用法。只有在本附錄條件下才允許互換。H.2概述在以下情況下，允許使用由GB/T38874以外的方法開發(fā)或評估系統(tǒng)和SRP/CS,表明整個系統(tǒng)符a)應(yīng)使用GB/T38874中的風(fēng)險分析確定AgPL。由表H.1,應(yīng)根據(jù)AgPL,確定PL或SIL以確定其他標準的要求。b)當(dāng)評估相同應(yīng)用程序和表H.1中的等效AgPL,時，系統(tǒng)或SRP/CS應(yīng)滿足替代標準的所有a)根據(jù)IEC61508開發(fā)的硬件，高需求模式下的平均危險失效率完全滿足GB/T38874中的等效值，前提是硬件符合表H.1中相應(yīng)的SIL。b)如果IEC61508使用的工具顯示相應(yīng)數(shù)值的危險失效率，則SIL1硬件等同于AgPL,的c級。c)根據(jù)IEC61508開發(fā)的軟件，只要軟件符合表H.1中相應(yīng)的SIL,則滿足要求。GB/T38874過程也可用于軟件開發(fā)。d)SIL1軟件可用于AgPL,=b或c。危險失效率/h危險失效率/h危險失效率/h無安全要求aaA(無特定安全要求)A見H.5a)bb3×10-?~10-510-?~10-5cc10-?~3×10-6dd2BGB/T38874.2—2020/ISO25119-2:2018表H.1(續(xù))AgPLPL危險失效率/h危險失效率/hISO26262ASILISO26262危險失效率/hee10-8～10-7310-?~10-7C10-8～10-?410-9～10-8D<10-8a滿足AgPL=c條件下的方法，見H,3的a)～d)。注1:除了平均危險失效率/h的參數(shù)外，還需要采取其他定性措施。例如：實現(xiàn)AgPL,所要求的系統(tǒng)(例如：軟件開發(fā)過程)安全完整性。注2:ASIL-D和SIL4僅用于與AgPL,比較。H.4ISO13849兼容系統(tǒng)或SRP/CS兼容系統(tǒng)a)根據(jù)表H.1,ISO13849PL等于或超過GB/T38874的等效AgPL。b)表H.1中等效AgPL滿足軟件需求，或表H.1中等效SIL參照IEC61508的要求。GB/T38874H.5符合ISO26262的兼容系統(tǒng)或SRP/CS的兼容系統(tǒng)如果滿足以下要求，則符合ISO26262的系統(tǒng)也符合GB/T38874。a)根據(jù)ISO26262開發(fā)的硬件，只要硬件符合表H.1中相應(yīng)的ASIL,則高需求模式下的平均危險失效率完全滿足GB/T38874中的等效值。b)根據(jù)ISO26262開發(fā)的軟件，只要軟件符合表H.1中相應(yīng)的ASIL,則完全滿足GB/T38874的要求。GB/T38874的過程也可用于軟件開發(fā)。c)ASILA軟件可適用于AgPL,=b或c。GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)組合系統(tǒng)適用方法本附錄旨在促進通用系統(tǒng)的組合。(制造商之間進行或未進行直接協(xié)調(diào))相組合的系統(tǒng)。例如：組合系統(tǒng)可包括市場上的自動和半自動轉(zhuǎn)a)每個系統(tǒng)制造商應(yīng)根據(jù)ISO12100對組合系統(tǒng)進行危險分析。還應(yīng)根據(jù)GB/T38874.2對組合系統(tǒng)進行風(fēng)險分析評估(適用時)。假定第一個系統(tǒng)中的故障已由第一個系統(tǒng)制造商處理。因此，附加系統(tǒng)的制造商無需考慮第一個系統(tǒng)未改變部分是否符合GB/T38874。b)除了通常認為第一個系統(tǒng)無失效外，附加系統(tǒng)和系統(tǒng)之間控制交互應(yīng)符合GB/T38874的所c)系統(tǒng)之間的電子通信應(yīng)根據(jù)GB/T38874的相關(guān)要求進行評估，包括源自第一個系統(tǒng)的故障。d)系統(tǒng)應(yīng)由制造商設(shè)計和評估，確保整機符合ISO4254或ISO26322的相應(yīng)要求。GB/T38874.2—2020/ISO25119-2:2018(規(guī)范性附錄)SRP/CS的交聯(lián)組合實現(xiàn)總體AgPLJ.1串聯(lián)SRP/CSJ.1.1概述安全功能可通過多個SRP/CS組合實現(xiàn)，包括輸入系統(tǒng)、信號處理單元、輸出系統(tǒng)。這些SRP/CS可分配到一個或多個類別中。每個SRP/CS應(yīng)根據(jù)附錄A選擇一個類別。對于SRP/CS整體組合，可使用附錄A中的方法確定總體AgPL。在這種情況下，需要確認SRP/CS的組合(見圖3、A.1和A.3)。根據(jù)附錄A,控制系統(tǒng)安全相關(guān)部件組合以安全相關(guān)信號觸發(fā)為起始點，并以功率控制元件的輸出端為結(jié)束點。組合SRP/CS可按照線性(串聯(lián))或冗余(并聯(lián))方式連接。在已計算各部分AgPL情況下，為了避免對組合SRP/CS所達到的性能等級(AgPL)進行新的復(fù)雜評估，SRP/CS串聯(lián)組合可采用下列方法進行估計。假設(shè)整體執(zhí)行安全功能的串聯(lián)組合有N個獨立的SRP/CS,。通過評估已得到每個SRP/CS,的AgPL,見圖J.1。組合SRP/CS的AgPL取決于執(zhí)行安全功能的SRP/CS,的最小AgPL值(因為AgPL也由非量化因素確定)。SRPSRP/CS?SRP/CS?SRP/CSyAgPLAgPL?AgPLv圖J.1串聯(lián)估計可使用表J.1計算執(zhí)行安全功能的組合SRP/CS的整體AgPL,步驟如下：a)確定最低AgPL;:AgPLlow;b)確定SRP/CS,中AgPL,=AgPLow的個數(shù)Nlow:AgPL=AgPLow且Nlow≤N;c)查找表J.1中的AgPL。表J.1串聯(lián)SRP/CS的AgPL計算a無，不應(yīng)ababcbC40GB/T38874.2—2020/ISO25119-2:2018表J.1(續(xù))dcdede注：在此查找表中的計算值基于每個AgPL的可靠性值的中點。J.1.3數(shù)據(jù)通信——除非可根據(jù)附錄B排除故障，在所涉及的子系統(tǒng)中應(yīng)考慮所有布線和數(shù)據(jù)通信。 串聯(lián)子系統(tǒng)應(yīng)與