标准搜索结果: 'GB/T 20438.1-2017'
标准编号 | GB/T 20438.1-2017 (GB/T20438.1-2017) | 中文名称 | 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求 | 英文名称 | Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 1: General requirements | 行业 | 国家标准 (推荐) | 中标分类 | N10 | 国际标准分类 | 25.040 | 字数估计 | 54,522 | 发布日期 | 2017-12-29 | 实施日期 | 2018-07-01 | 旧标准 (被替代) | GB/T 20438.1-2006 | 起草单位 | 机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、中国安全生产科学研究院、上海工业自动化仪表研究院、杭州和利时自动化有限公司、欧姆龙自动化(中国)有限公司、西门子(中国)有限公司、上海中沪电子有限公司 | 归口单位 | 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC 124) | 标准依据 | 国家标准公告2017年第32号 | 提出机构 | 中国机械工业联合会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 20438.1-2017
Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 1: General requirements
ICS 25.040
N10
中华人民共和国国家标准
代替GB/T 20438.1-2006
电气/电子/可编程电子安全相关系统的
功能安全 第1部分:一般要求
(IEC 61508-1:2010,IDT)
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 4
3 定义和缩略语 4
4 与GB/T 20438的符合性 4
5 文档 4
5.1 目的 4
5.2 要求 5
6 功能安全管理 5
6.1 目的 5
6.2 要求 6
7 整体安全生命周期的要求 8
7.1 概述 8
7.2 概念 16
7.3 整体范围确定 16
7.4 危险与风险分析 16
7.5 整体安全要求 18
7.6 整体安全要求分配 19
7.7 整体运行和维护计划编制 23
7.8 整体安全确认计划编制 24
7.9 整体安装和调试计划编制 25
7.10 E/E/PE系统安全要求规范 26
7.11 E/E/PE安全相关系统-实现 28
7.12 其他风险降低措施-规范和实现 28
7.13 整体安装和调试 28
7.14 整体安全确认 29
7.15 整体运行、维护和修理 29
7.16 整体修改和改型 32
7.17 退役或处置 34
7.18 验证 35
8 功能安全评估 35
8.1 目的 35
8.2 要求 35
附录A(资料性附录) 文档结构范例 39
参考文献 44
图1 GB/T 20438的整体框架 3
图2 整体安全生命周期 9
图3 E/E/PE系统安全生命周期(实现阶段) 10
图4 软件安全生命周期(实现阶段) 11
图5 整体安全生命周期与E/E/PE系统安全生命周期和软件安全生命周期之间的关系 11
图6 E/E/PE安全相关系统和其他风险降低措施的整体安全要求分配图 21
图7 运行和维护活动模型示例 31
图8 运行和维护管理模型示例 32
图9 修改规程模型示例 34
图 A.1 把信息构建成用户组的文档集 43
表1 整体安全生命周期:概述 12
表2 安全完整性等级:在低要求运行模式下安全功能的目标失效量 22
表3 安全完整性等级:在高要求或连续运行模式下安全功能目标失效量 22
表4 执行功能安全评估各方的最低独立等级[包括整体安全生命周期阶段1~8和
12~16(见图2)] 38
表5 进行功能安全评估各方的最低独立等级[整体安全生命周期阶段9和10,包括
E/E/PE系统安全生命周期、软件安全生命周期的所有阶段(见图2,图3和图4)] 38
表 A.1 与整体安全生命周期有关信息的文档结构示例 40
表 A.2 与E/E/PE系统安全生命周期有关信息的文档结构示例 40
表 A.3 与软件安全生命周期有关信息的文档结构示例 41
前言
GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分:
---第1部分:一般要求;
---第2部分:电气/电子/可编程电子安全相关系统的要求;
---第3部分:软件要求;
---第4部分:定义和缩略语;
---第5部分:确定安全完整性等级的方法示例;
---第6部分:GB/T 20438.2和GB/T 20438.3的应用指南;
---第7部分:技术和措施概述。
本部分为GB/T 20438的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 20438.1-2006《电气/电子/可编程电子安全相关系统的功能安全 第1部分:
一般要求》,与GB/T 20438.1-2006相比,主要技术变化如下:
---增加了功能安全管理中,人员能力的要求(见第6章);
---增加了整体安全生命周期中,E/E/PE系统安全要求规范阶段(见7.10);
---修改了评估独立性的评价方法(见第8章)。
本部分使用翻译法等同采用IEC 61508-1:2010《电气/电子/可编程电子安全相关系统的功能安全
第1部分:一般要求》。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本部分起草单位:机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、中国
安全生产科学研究院、上海工业自动化仪表研究院、杭州和利时自动化有限公司、欧姆龙自动化(中国)
有限公司、西门子(中国)有限公司、上海中沪电子有限公司。
本部分主要起草人:冯晓升、熊文泽、潘钢、史学玲、吴宗之、罗安、周有铮、杨柳、方来华、李佳嘉、
李佳、郑威、张龙、王海清、孟邹清、梅豪。
本部分所代替标准的历次版本发布情况为:
---GB/T 20438.1-2006。
引 言
由电气和电子器件构成的系统,多年来在许多应用领域中执行其安全功能。以计算机为基础的系
统(一般指可编程电子系统)在其应用领域中用于执行非安全功能,并且也越来越多地用于执行安全功
能。如果要安全并有效地使用计算机技术,有关决策者在安全方面有充足的指导并据此做出决定是十
分必要的。
GB/T 20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的
系统安全生命周期的所有活动,提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电
为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T 20438系列标
准的产品和应用领域国家标准的制定。
注1:在参考文献中给出了基于GB/T 20438系列标准的产品和应用领域标准的例子(见参考文献[1],[2],[3])。
在许多情况下,可用多种基于不同技术(如机械的、液压的、气动的、电气的、电子的、可编程电子的
等)的系统来保证安全。因而必须考虑各类安全策略,不仅要考虑单个系统中的所有组件的问题(如传
感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题。因此当GB/T 20438在关注电
气/电子/可编程电子(E/E/PE)安全相关系统的同时,也提供了一个框架,在这个框架内,基于其他技
术的安全相关系统也可被考虑进去。
在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的
E/E/PE安全相关系统。对每个特定的应用,将根据特定应用的许多因素来确定所需的安全措施。
GB/T 20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438
---考虑了当使用E/E/PE系统执行安全功能时,所涉及的整体安全生命周期、E/E/PE系统安全
生命周期以及软件安全生命周期的各阶段(如初始概念、整体设计、实现、运行和维护到退役);
---针对飞速发展的技术,建立一个足够健壮而广泛的能满足今后发展需要的框架;
---使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定;在GB/T 20438的框
架下,产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性(如基
本原理,术语等);这将既具有安全性又具有经济效益;
---为实现E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法;
---采用了一种可确定安全完整性要求的基于风险的方法;
---引入安全完整性等级,用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级;
注2:GB/T 20438没有规定每个安全功能的安全完整性等级的要求,也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例。
---建立了E/E/PE安全相关系统执行安全功能的目标失效量,这些量都同安全完整性等级相
联系;
---建立了单一E/E/PE安全相关系统执行安全功能时,目标失效量的一个下限值。这些E/E/PE
安全相关系统运行在:
---低要求运行模式下,下限设定成要求时危险失效平均概率为10-5;
---高要求运行模式或者连续运行模式下,下限设定成危险失效平均频率为10-9/h。
注3:单一E/E/PE安全相关系统不一定是单通道架构。
注4:对于非复杂系统,通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统(例
如可编程电子安全相关系统),这些限值代表了目前能够达到的水平。
---基于工业实践中获取的经验和判断,设定了避免和控制系统性故障的要求。即使发生系统性
故障的可能性一般不能量化,但GB/T 20438允许为一个特定的安全功能做出声明,即如果标
准中的所有要求都满足,认为与安全功能相关的目标失效量已达到;
---引入了系统性能力,该能力表明一个组件为满足规定的安全完整性等级要求时,系统性安全完
整性的置信度;
---采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全,但没有明确地使用失
效-安全的概念。然而,如果能够满足标准中相关条款的要求,则“失效-安全”的概念和“本质
安全”原则可能被应用,并且采用这些概念是可接受的。
电气/电子/可编程电子安全相关系统的
功能安全 第1部分:一般要求
1 范围
1.1 GB/T 20438包含电气/电子/可编程电子系统在执行安全功能时要考虑的各个方面。GB/T 20438的
主要目的是促进负责产品或应用领域的技术委员会制定产品和应用领域国家标准。这将允许充分考虑与
产品或应用相关的所有因素,从而满足产品和应用领域用户的特定需要。GB/T 20438第二个目的是,在产
品或应用领域没有国家标准的情况下能够开发E/E/PE安全相关系统。
1.2 GB/T 20438尤其:
a) 适用于包含有一个或几个电气/电子/可编程电子组件的安全相关系统;
注1:对于低复杂的 E/E/PE安全相关系统,GB/T 20438规定的有些要求不是必要的,可以不符合(见4.2和
GB/T 20438.4-2017的3.4.3中低复杂E/E/PE安全相关系统的定义)。
注2:尽管人也是安全相关系统的一部分(见GB/T 20438.4-2017的3.4.1),但GB/T 20438未细致考虑E/E/PE
安全相关系统设计中有关人为因素的要求。
b) 是一个一般基础并适用于所有E/E/PE安全相关系统而无需考虑其具体应用;
c) 包括通过应用E/E/PE安全相关系统达到可容忍风险,但不包含E/E/PE设备自身出现的危
险(如电击);
d) 可应用于所有类型的E/E/PE安全相关系统,包括保护系统和控制系统;
e) 不包括在下列情况时的E/E/PE系统:
---能够靠其自身能力满足可容忍风险的单一E/E/PE系统,并且
---该单一E/E/PE 系统安全功能要求的安全完整性低于规定的安全完整性等级1
(GB/T 20438规定的最低安全完整性等级)。
f) 主要针对其失效将对人和/或环境安全产生影响的E/E/PE安全相关系统;但是,失效的后果
也将对经济产生严重影响。从这个角度讲,GB/T 20438可用来规范任何用于保护设备和产
品的E/E/PE系统;
注3:见GB/T 20438.4-2017的3.1.1。
g) 考虑了E/E/PE安全相关系统和其他风险降低措施,以便能系统性的、以基于风险的方式确定
E/E/PE安全相关系统的安全要求规范;
h) 用整体安全生命周期模型作为技术框架,以便系统性地处理为确保E/E/PE安全相关系统功
能安全所必需的活动;
注4:尽管整体安全生命周期首先是针对E/E/PE安全相关系统提出的,但同时也提供了一个考虑任何安全相关系
统的技术框架,而不论这种安全相关系统使用何种技术(例如机械的、液压的或气动的)。
i) 不对各领域应用规定要求的安全完整性等级(这需要以该领域应用的详细信息和知识为基
础),适合的安全完整性等级由负责制定各应用领域标准的技术委员会在行业应用标准中
规定;
j) 对于尚无标准的各产品和应用领域提供E/E/PE安全相关系统的通用要求;
k) 需要在风险和危险分析时考虑恶意的和非授权的行为。分析范围包括所有相关的安全生命周
期阶段;
注5:其他IEC/ISO 标准对本条款有更详细的描写:参见ISO/IEC/T R19791和IEC 62443系列标准。
l) 不包括防止未经批准人员损害E/E/PE安全相关系统的安全功能和/或对其产生不利影响的
预防措施;[见k)]
m)不规定需要满足E/E/PE安全相关系统要求的安保策略或安保服务的开发、实现、维护和/或
运行的要求;
n) 不适用符合IEC 60601系列的医疗设备。
1.3 GB/T 20438的本部分包含的一般要求适用于GB/T 20438的所有部分。GB/T 20438其他部分
涉及更具体的问题:
---第2部分和第3部分对E/E/PE安全相关系统(硬件和软件)提出了更多、更具体的要求;
---第4部分规定GB/T 20438中使用的术语定义和缩略语;
---第5部分用示例的方法,提供了第1部分应用中确定安全完整性等级的指南;
---第6部分提供了第2部分和第3部分的应用指南;
---第7部分包括技术和措施概述。
1.4 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不适
用于低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),但作为基础安全标准,各技术
委员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、
GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全
功能不适用于在IEC 60601系列指导下的医疗设备。
注:各技术委员会的责任之一,是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中,本基础安全标
准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包含时适用。
1.5 图1表示了GB/T 20438的整体框架,同时明确了本部分在实现E/E/PE安全相关系统功能安全
过程中的作用。
图1 GB/T 20438的整体框架
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.2-2017 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/
可编程电子安全相关系统的要求(IEC 61805-2:2010,IDT)
GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求
(IEC 61508-3:2010,IDT)
GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略
语(IEC 61508-4:2010,IDT)
IEC Guide104:1997 安全出版物的编写及基础安全出版物和多专业共用安全出版物的应用导则
cations)
ISO/IEC Guide51:1999 涉及安全的内容 将安全内容纳入标准的指南 (Safetyaspects-
3 定义和缩略语
GB/T 20438.4-2017界定的定义和缩略语适用于本文件。
4 与GB/T 20438的符合性
4.1 要符合GB/T 20438,必须证明已满足了标准所有的相关要求(如安全完整性等级),即已达到各章
和各条的目的。
4.2 GB/T 20438规定了对E/E/PE安全相关系统的要求,以满足与这种系统相关联的全范围的复杂
性。但对于低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),如有能为达到要求的
安全完整性提供必要的置信度的可靠现场经验的情况下,有下列几种选择:
---在有关应用和产品领域标准中实现GB/T 20438.1~GB/T 20438.7要求时,有些要求也许不
必要,不符合这些要求是可接受的。
---如在有关产品或应用领域没有相应标准,则可直接应用 GB/T 20438,如有理由认为
GB/T 20438中的某些要求不必要,不满足这些要求是可接受的。
4.3 按 GB/T 20438框架制定的 E/E/PE安全相关系统的产品或应用领域的国家标准,应考虑
ISO/IEC 指南51和IEC 指南104的要求。
5 文档
5.1 目的
5.1.1 本章要求的第一个目的是规定必须进行归档的信息,这些信息是为了能够有效执行整体安全生
命周期、E/E/PE系统安全生命周期和软件安全生命周期的各阶段。
5.1.2 本章要求的第二个目的是规定必须进行归档的信息,这些信息是为了能够有效执行功能安全管
理(见第6章)、验证(见7.18)以及功能安全评估(见第8章)等活动。
注1:本部分的归档要求从根本上讲是指信息,而不是实际的文档,这些信息不要求包括在实际的文档之中,除非在
相关条款中有明确说明。
注2:文档可以有不同的形式(如纸张、胶片或任何可显示于屏幕或显示器上的数据媒体)。
注3:相关的文档结构见附录A。
注4:见参考文献中的引用文件[7]。
5.2 要求
5.2.1 对于整体以及E/E/PE系统和软件安全生命周期已完成的各个阶段,文档中应包括充分的信
息。这些信息对于有效执行后续阶段和验证活动是必需的。
注:充分信息的构成取决于许多因素,包括E/E/PE安全相关系统的复杂程度和系统规模,以及具体应用的相关
要求。
5.2.2 文档中应包括功能安全管理所需的足够信息(见第6章)。
注:见5.1.2的注。
5.2.3 文档中应包括实现功能安全评估所需的充分信息,也包括从任何功能安全评估得到的结果和
信息。
注:见5.1.2的注。
5.2.4 除非证明这些归档信息有效合理,或者在产品或应用领域标准中已规定,否则这些信息应同本
部分各章中的规定相一致。
5.2.5 对于执行本部分相应条款的职责,文档应充分可用。
注:本部分要求的执行特定活动所需的信息,需要由各相关方掌握。
5.2.6 文档应:
---准确简明;
---让使用者容易理解;
---能达到预期目的;
---可使用和可维护。
5.2.7 文档或信息集应有指示内容范围的标题或名称,以及一些检索排列的形式,以便准确访问标准
要求的信息。
5.2.8 文档的结构可根据公司规程和产品或应用领域的工作习惯来确定。
5.2.9 文档或信息集应有修订索引(版本号),以区别文档的不同版本。
5.2.10 文档或信息集应结构化以便于查找相关信息,以及易于识别文档或信息集的最新修订版(版
本)。
注:文档的实际结构根据多种因素而改变,如系统规模、复杂程度和组织要求。
5.2.11 所有相关文档应在适当的文档控制方案下进行修订、补充、复审、批准。
注:当用自动或半自动的工具生成文档时,在版本的管理或文档的其......
|