标准搜索结果: 'GB/T 20438.2-2017'
标准编号 | GB/T 20438.2-2017 (GB/T20438.2-2017) | 中文名称 | 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/可编程电子安全相关系统的要求 | 英文名称 | Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems | 行业 | 国家标准 (推荐) | 中标分类 | N10 | 国际标准分类 | 25.040 | 字数估计 | 78,784 | 发布日期 | 2017-12-29 | 实施日期 | 2018-07-01 | 旧标准 (被替代) | GB/T 20438.2-2006 | 起草单位 | 由机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、皮尔磁工业自动化贸易(上海)有限公司、上海工业自动化仪表研究院、北京和利时系统工程有限公司、欧姆龙自动化(中国)有限公司、西门子(中国)有限公司、上海中沪电子有限公司 | 归口单位 | 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC 124) | 标准依据 | 国家标准公告2017年第32号 | 提出机构 | 中国机械工业联合会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 20438.2-2017
Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
ICS 25.040
N10
中华人民共和国国家标准
代替GB/T 20438.2-2006
电气/电子/可编程电子安全相关系统的
功能安全 第2部分:电气/电子/可编程
电子安全相关系统的要求
(IEC 61508-2:2010,IDT)
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 3
3 定义和缩略语 4
4 与GB/T 20438的符合性 4
5 文档 4
6 功能安全管理 4
7 E/E/PE系统安全生命周期要求 4
7.1 概述 4
7.2 E/E/PE系统设计要求规范 8
7.3 E/E/PE系统安全确认计划编制 9
7.4 E/E/PE系统的设计与开发 10
7.5 E/E/PE系统集成 25
7.6 E/E/PE系统运行和维护规程 26
7.7 E/E/PE系统的安全确认 27
7.8 E/E/PE系统的修改 28
7.9 E/E/PE系统的验证 28
8 功能安全评估 29
附录A(规范性附录) E/E/PE安全相关系统的技术和措施-运行中的失效控制 30
附录B(规范性附录) E/E/PE安全相关系统的技术和措施-在生命周期不同阶段中避免系统
性失效 44
附录C(规范性附录) 诊断覆盖率和安全失效分数 53
附录D(规范性附录) 符合项的安全手册 55
附录E(规范性附录) 带片上冗余的集成电路特定架构要求 57
附录F(资料性附录) ASIC避免系统性失效的技术与措施 62
参考文献 71
图1 GB/T 20438的整体框架 2
图2 E/E/PE系统安全生命周期(实现阶段) 5
图3 ASIC开发生命周期(V模型) 6
图4 GB/T 20438.2和GB/T 20438.3的范围和关系 6
图5 确定规定架构的最高SIL(包含数个串联组件的E/E/PE安全相关子系统,见7.4.4.2.3) 15
图6 确定规定架构的最高SIL(由两个子系统X与Y组成的E/E/PE安全相关子系统,见
7.4.4.2.4) 17
图7 数据通信架构 25
表1 E/E/PE系统安全生命周期实现阶段概述 7
表2 A类安全相关组件或子系统执行安全功能时的最大允许安全完整性等级 14
表3 B类安全相关组件或子系统执行安全功能时的最大允许安全完整性等级 15
表A.1 在量化随机硬件失效的影响时假定的或在推导安全失效分数时要考虑的故障或失效 31
表A.2 电气元器件 33
表A.3 电子元器件 33
表A.4 处理单元 34
表A.5 不可变内存范围 35
表A.6 可变内存范围 35
表A.7 I/O单元和接口(外部通信) 36
表A.8 数据路径(内部通信) 37
表A.9 电源 37
表A.10 程序顺序(看门狗) 37
表A.11 时钟 38
表A.12 通信和大容量存储器 38
表A.13 传感器 39
表A.14 最终元件(执行器) 39
表A.15 用于控制由硬件设计引起的系统性失效的技术和措施 40
表A.16 用于控制由环境应力或影响引起的系统性失效的技术和措施 41
表A.17 用于控制系统性操作失效的技术和措施 42
表A.18 控制系统性失效的技术和措施的有效性 42
表B.1 在E/E/PE系统设计要求规范阶段为避免失误的技术和措施(见7.2) 45
表B.2 在E/E/PE系统设计和开发阶段为避免引入故障的技术和措施(见7.4) 46
表B.3 在E/E/PE系统集成阶段为避免故障的技术和措施(见7.5) 47
表B.4 在E/E/PE系统运行和维护规程阶段为避免故障和失效的技术和措施(见7.6) 47
表B.5 在E/E/PE系统安全确认阶段为避免故障的技术和措施(见7.7) 48
表B.6 避免系统性失效的技术和措施的有效性 49
表E.1 增加βB-IC的技术和措施 59
表E.2 减少βB-IC的技术和措施 60
表F.1 ASIC设计和开发过程中避免引入故障的技术和措施-全定制和半定制的数字ASIC
(见7.4.6.7) 63
表F.2 ASIC的设计实现过程中避免引入故障的技术和措施-用户可编程IC(FPGA/PLD/
CPLD)(见7.4.6.7) 67
前言
GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分:
---第1部分:一般要求;
---第2部分:电气/电子/可编程电子安全相关系统的要求;
---第3部分:软件要求;
---第4部分:定义和缩略语;
---第5部分:确定安全完整性等级的方法示例;
---第6部分:GB/T 20438.2和GB/T 20438.3的应用指南;
---第7部分:技术和措施概述。
本部分为GB/T 20438的第2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 20438.2-2006《电气/电子/可编程电子安全相关系统的功能安全 第2部分:
电气/电子/可编程电子安全相关系统的要求》,与GB/T 20438.2-2006相比,主要技术变化如下:
---增加了ASIC开发生命周期(见图3);
---增加了符合项的安全手册(见附录D)。
本部分使用翻译法等同采用IEC 61508-2:2010《电气/电子/可编程电子安全相关系统的功能安
全 第2部分:电气/电子/可编程电子安全相关系统的要求》。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本部分起草单位:由机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、皮
尔磁工业自动化贸易(上海)有限公司、上海工业自动化仪表研究院、北京和利时系统工程有限公司、欧
姆龙自动化(中国)有限公司、西门子(中国)有限公司、上海中沪电子有限公司。
本部分主要起草人:史学玲、田雨聪、冯晓升、黄之炯、张艾森、郑威、周有铮、华镕、罗安、熊文泽、
杨柳、李佳、梅豪、周纯杰、徐皑冬、钱大涛、孟邹清、刘瑶、王德吉。
本部分所代替标准的历次版本发布情况为:
---GB/T 20438.2-2006。
引 言
由电气和电子器件构成的系统,多年来在许多应用领域中执行其安全功能。以计算机为基础的系
统(一般指可编程电子系统)在其应用领域中用于执行非安全功能,并且也越来越多地用于执行安全功
能。如果要安全并有效地使用计算机技术,有关决策者在安全方面有充足的指导并据此做出决定是十
分必要的。
GB/T 20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的
系统安全生命周期的所有活动,提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电
为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T 20438系列标
准的产品和应用领域国家标准的制定。
注1:在参考文献中给出了基于GB/T 20438系列标准的产品和应用领域标准的例子(见参考文献[1],[2],[3])。
在许多情况下,可用多种基于不同技术(如机械的、液压的、气动的、电气的、电子的、可编程电子的
等)的系统来保证安全。因而不得不考虑各类安全策略,不仅要考虑单个系统中的所有组件的问题(如
传感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题。因此当GB/T 20438在关注电
气/电子/可编程电子(E/E/PE)安全相关系统的同时,也提供了一个框架,在这个框架内,基于其他技
术的安全相关系统也可被考虑进去。
在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的
E/E/PE安全相关系统。对每个特定的应用,将根据特定应用的许多因素来确定所需的安全措施。
GB/T 20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438
---考虑了当使用E/E/PE系统执行安全功能时,所涉及的整体安全生命周期、E/E/PE系统安全
生命周期以及软件安全生命周期的各阶段(如初始概念、整体设计、实现、运行和维护到退役);
---针对飞速发展的技术,建立一个足够健全且广泛满足未来发展需求的框架;
---使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定;在GB/T 20438的框
架下,产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性(如基
本原理,术语等);这将既具有安全性又具有经济效益;
---为实现E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法;
---采用了一种可确定安全完整性要求的基于风险的方法;
---引入安全完整性等级,用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级;
注2:GB/T 20438没有规定每个安全功能的安全完整性等级的要求,也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例。
---建立了E/E/PE安全相关系统执行安全功能的目标失效量,这些量都同安全完整性等级相
联系;
---建立了单一E/E/PE安全相关系统执行安全功能时,目标失效量的一个下限值。这些E/E/
PE安全相关系统运行在:
---低要求运行模式下,下限设定成要求时危险失效平均概率为10-5;
---高要求或连续运行模式下,下限设定成危险失效平均频率为10-9/h。
注3:单一E/E/PE安全相关系统不一定是单通道架构。
注4:对于非复杂系统,通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统(例
如可编程电子安全相关系统),这些限值代表了目前能够达到的水平。
---基于工业实践中获取的经验和判断,设定了避免和控制系统性故障的要求。即使发生系统性
故障的可能性一般不能量化,但GB/T 20438允许为一个特定的安全功能做出声明,即如果标
准中的所有要求都满足,认为与安全功能相关的目标失效量已达到;
---引入了系统性能力,该能力表明一个组件为满足规定的安全完整性等级要求时,系统性安全完
整性的置信度;
---采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全,但没有明确地使用失
效-安全的概念。然而,如果能够满足标准中相关条款的要求,则“失效-安全”的概念和“本质
安全”原则可能被应用,并且采用这些概念是可接受的。
电气/电子/可编程电子安全相关系统的
功能安全 第2部分:电气/电子/可编程
电子安全相关系统的要求
1 范围
1.1 GB/T 20438的本部分
a) 在使用前,应充分理解GB/T 20438.1,GB/T 20438.1提供了实现功能安全的总体框架;
b) 适用于GB/T 20438.1定义的安全相关系统,安全相关系统至少包含一种电气、电子或可编程
电子组件;
c) 适用于E/E/PE安全相关系统中的所有组件(包括传感器、执行器和操作员界面);
d) 规定了如何按照GB/T 20438.1定义的E/E/PE系统安全要求规范(由E/E/PE系统安全功
能要求规范和E/E/PE系统安全完整性要求规范组成),开发出E/E/PE系统设计要求规范;
e) 规定了在E/E/PE安全相关系统的设计和制造过程中(即建立E/E/PE系统安全生命周期模
型)除软件外所进行活动的要求,软件要求在GB/T 20438.3(见图2~图4)中给出;这些要求
包含了用以避免和控制故障和失效发生的技术和措施的应用,并被划分成与安全完整性等级
相对应的不同等级;
f) 规定了执行E/E/PE安全相关系统的安装、调试以及最终安全确认所需的信息;
g) 不适用于E/E/PE安全相关系统的运行和维护阶段,这方面内容在GB/T 20438.1中给出。
但是,本部分为用户提供了有关E/E/PE安全相关系统的运行和维护所需的信息和规程的准
备要求;
h) 规定了对E/E/PE安全相关系统进行各种修改的各方应满足的要求;
注1:本部分主要直接面向供应商和/或公司内部的工程部门,因此包含了对修改的要求。
注2:本部分与GB/T 20438.3的关系见图4。
i) 不适用于符合IEC 60601的医疗设备。
1.2 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不是
针对低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),但作为基础安全标准,各技术
委员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、
GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全
功能不适用于在IEC 60601系列指导下的医疗设备。
1.3 各技术委员会的责任之一,是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中,
本基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包
含时适用。
注:仅当所有相关要求得到满足时,才能达到E/E/PE安全相关系统的功能安全。因此,认真考虑和充分引用所有
相关要求是十分重要的。
1.4 图1表示了GB/T 20438的整体框架,同时指出了本部分在实现E/E/PE安全相关系统的功能安
全过程中的作用。GB/T 20438.6-2017的附录A详述了GB/T 20438.2和GB/T 20438.3的应用。
图1 GB/T 20438的整体框架
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.1-2017 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求
(IEC 61508-1:2010,IDT)
GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求
(IEC 61508-3:2010,IDT)
GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略
语(IEC 61508-4:2010,IDT)
GB/T 20438.7-2017 电气/电子/可编程电子安全相关系统的功能安全 第7部分:技术和措施
概述(IEC 61508-7:2010,IDT)
IEC 60947-5-1 低压开关设备和控制设备 第5-1部分:控制电路电器和开关元件 机电式控制
IEC/T S61000-1-2 电磁兼容性(EMC)第1-2部分:通则 电气和电子系统包括带有电磁现象设
IEC 61326-3-1 测量、控制和实验室用的电设备 电磁兼容性要求 第3-1部分:对于安全相关系
IEC 61784-3 工业通信网络 行规 第3部分:功能安全现场总线 通用规则和行规定义
IEC 62280-1 轨道交通 通信、信号和处理系统 第1部分:封闭式传输系统中的安全相关通信
IEC 62280-2 轨道交通 通信、信号和处理系统 第2部分:开放式传输系统中的安全相关通信
IEC Guide104:1997 安全出版物的编写及基础安全出版物和多专业共用安全出版物的应用导则
cations)
ISO/IEC Guide51:1999 涉及安全的内容 将安全内容纳入标准的指南(Safetyaspects-Guide-
3 定义和缩略语
GB/T 20438.4-2017界定的定义和缩略语适用于本文件。
4 与GB/T 20438的符合性
本部分对GB/T 20438的符合性要求,详见GB/T 20438.1-2017的第4章。
5 文档
本部分对文档的要求,详见GB/T 20438.1-2017的第5章。
6 功能安全管理
本部分对功能安全管理的要求,详见GB/T 20438.1-2017的第6......
|