标准搜索结果: 'GB/T 20438.4-2017'
标准编号 | GB/T 20438.4-2017 (GB/T20438.4-2017) | 中文名称 | 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略语 | 英文名称 | Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 4: Definitions and abbreviations | 行业 | 国家标准 (推荐) | 中标分类 | N10 | 国际标准分类 | 25.040 | 字数估计 | 34,328 | 发布日期 | 2017-12-29 | 实施日期 | 2018-07-01 | 旧标准 (被替代) | GB/T 20438.4-2006 | 起草单位 | 机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、杭州和利时自动化有限公司、西门子(中国)有限公司、施耐德电气(中国)有限公司、上海中沪电子有限公司 | 归口单位 | 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC 124) | 标准依据 | 国家标准公告2017年第32号 | 提出机构 | 中国机械工业联合会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 20438.4-2017: 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略语
GB/T 20438.4-2017 英文名称: Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 4: Definitions and abbreviations
ICS 25.040
N10
中华人民共和国国家标准
代替GB/T 20438.4-2006
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
1.1 GB/T 20438的本部分包括了GB/T 20438.1~GB/T 20438.7所使用的术语和解释。
1.2 这些定义按标题分组,以便从它们的前后关系上去理解这些相关的术语。但这样的分组并不意味
着对定义增加了含义。
1.3 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不适
员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、
GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全
功能不适用于在IEC 60601系列指导下的医疗设备。
1.4 各技术委员会的责任之一,是在其标准的起草工作中尽可能使用基础的安全标准。在本文中,本基础安
全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包含时适用。
1.5 图1表示了GB/T 20438的整体框架,同时明确了本部分在实现E/E/PE安全相关系统功能安全过程中的作用。
3.1 安全术语
3.1.1
伤害
人身损伤、人的健康损害、财产或环境的损害。[ISO/IEC 导则51:1999,定义3.3]
3.1.2
危险 伤害的潜在根源。[ISO/IEC 导则51:1999,定义3.5]
注:这个术语包括短时间对人身的伤害(如着火和爆炸),以及那些对人身健康长时间的损害(如有毒物质释放)。
3.1.3
危险状况 人、财产或环境暴露于一个或多个危险源环境的情况。
[改写ISO/IEC 导则51:1999,定义3.6]
3.1.4
危险事件 可能导致伤害的事件。
注:危险事件是否导致伤害取决于人、财产或环境是否遭受危险情况的后果,以及事件发生后,如果会对人产生伤
害,人是否能避免该事件的后果。
3.1.5
伤害事件
危险状况或危险事件已产生了伤害的事件。注:考虑到危险事件,采用ISO/IEC 导则51中3.4的定义。
3.1.6
风险
伤害发生的概率与该伤害严重程度的组合。[ISO/IEC 导则51:1999,定义3.2]
注:对这一概念更多的讨论见GB/T 20438.5-2017附录A。
3.1.7
可容忍风险
根据当前社会发展水平,在给定的范围内能够接受的风险。[ISO/IEC 导则51:1999,定义3.7]
注:参见GB/T 20438.5-2017的附录C。
3.1.8
残余风险
采取防护措施以后仍存在的风险。[ISO/IEC 导则51:1999,定义3.9]
3.1.9
EUC风险
由EUC或由EUC与EUC控制系统相互作用而产生的风险。
注1:本部分所说的风险是指与特定的危险事件相伴的风险。在这种危险事件中用E/E/PE安全相关系统和其他
风险降低措施来提供必要的风险降低(即与功能安全相关的风险)。
注2:GB/T 20438.5-2017的图A.1说明了EUC风险。确定EUC风险的主要目的是在还未考虑E/E/PE安全相
关系统和其他风险降低措施之前建立一个风险参考点。
注3:这个风险评估将包括相关人的因素。
3.1.10
目标风险
针对特定的危险,考虑了EUC风险,及E/E/PE安全相关系统和其他风险降低措施后,所要达到的风险。
3.1.11
安全
没有不可接受的风险。[ISO/IEC 导则51:1999,定义3.1]
3.1.12
功能安全
整体安全中与EUC和EUC控制系统相关的部分,它取决于E/E/PE安全相关系统和其他风险降低措施正确执行其功能。
3.1.13
安全状态
达到安全时EUC的状态。
注:从潜在的危险条件到最终的安全状态,EUC可能不得不经过几个中间的安全状态。有时,仅当EUC处于连续
控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。
3.1.14
合理可预见的误用
由容易预见的人的行为导致的未按照供方预期的方式使用产品、过程和服务。[ISO/IEC 导则51:1999,定义3.14]
3.2 设备和装备
3.2.1
受控设备
用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备。
注:EUC控制系统与EUC是分开的并且是截然不同的。
3.2.2
环境
针对特定的应用,在需要考虑的事项下和在任何安全生命周期阶段,对于实现功能安全会产生影响
的所有相关变量。
注:可能包括,例如,物理环境、运行环境、法律环境和维护环境。
3.2.3
功能单元
能够完成规定目的的软件、硬件或两者相结合的实体。[ISO/IEC 2382-1,01-01-40]
3.2.4
应用
涉及EUC的任务,而不是涉及E/E/PE系统的任务。
3.2.5
软件
用于数据处理系统操作的智能创作,包括程序、规程、数据、规则以及相关的文档。
注1:软件独立于其记录媒体。
注2:不包含注1的情况下,该定义与ISO/IEC 2382-1不同之处在于增加了一个词“数据”。
3.2.6
系统软件
是可编程电子系统的软件的一部分,涉及可编程装置自身的功能和提供的服务。而不像应用软件
那样规定执行EUC安全相关任务的功能。注:参见GB/T 20438.7。
3.2.7
应用软件
应用数据
配置(组态)数据
是可编程电子系统的软件的一部分,规定了执行EUC相关任务的功能而不是可编程装置自身的功能和提供的服务。
3.2.8
已有软件
并非特定为当前工程或安全相关系统而开发的已有的软件组件。
注:这种软件可能是商业化的产品,也可能是某些机构为早先的产品或系统开发的。已有软件可能是也可能不是
按GB/T 20438的要求开发的。
3.2.9
数据
适合于计算机通信、解释或处理的,以某种方式表示的信息。
注1:数据可能采用静态信息的形式(如设定点或地理信息表达的配置)或采用指令的形式来规定已有功能的顺序。
注2:示例参看GB/T 20438.7。
3.2.10
软件在线支持工具 能直接影响运行中的安全相关系统的软件工具。
3.2.11
软件离线支持工具
支持软件开发生命周期某个阶段并且不能直接影响运行中的安全相关系统的软件工具。软件离线
支持工具分成下面三类:
---T1不产生直接或间接贡献于安全相关系统可执行代码(包括数据)的输出;
注1:T1的例子包括:文本编辑器,或需求支持工具,或设计支持工具,且该工具没有自动代码生成能力;配置控制工具。
---T2支持设计或可执行代码的测试或验证,如果工具出错,则不能发现错误,但不会在可执行软件中直接产生错误。
注2:T2的例子包括:测试环境发生器;测试覆盖率测量工具;静态分析工具。
---T3产生能够直接或间接贡献于安全相关系统可执行代码的输出。
注3:T3的例子包括:当源代码程序与形成的目标代码之间的关系不明显时使用的优化编译器;将可执行的运行
时软件包结合进可执行代码的编译器。
3.2.12
可编程电子
以计算机技术为基础,可以由硬件、软件及其输入和(或)输出单元构成。
注:这个术语包括以一个或多个中央处理器(CPUs)及相关的存储器等为基础的微电子装置。
3.2.13
电气/电子/可编程电子
基于电气(E)和/或 电子(E)和/或 可编程电子(PE)的技术。
注:本术语试图覆盖所有的在电原理下运行的装置或系统。
举例:电气/电子/可编程电子装置包括:
---机电装置(电气);
---固态非可编程电子装置(电子);
---以计算机技术为基础的电子装置(可编程电子);见3.2.12。
3.2.14
有限可变语言
采用文本、图形,或两者兼有的方法进行编程的软件编程语言,仅限于商业和工业的可编程电子控制器的应用编程。
举例:以下是有限可变语言,引自GB/T 15969.3(文献8)和其他资料,作为PLC系统的应用程序。
---梯形图:一种图形语言,由一系列输入符号(表示装置的行为,如常开触点和常闭触点)与输出符号(表示如继电
器的动作)用线(指示电流流动)相连接而构成;
---布尔代数:具有可增加某些助记符指令能力的,基于布尔运算符如与(AND)、或(OR)和非(NOT)的低级语言;
---功能块图:除布尔运算符外,可使用更复杂的功能,如数据传输文件、块传输读/写,移位寄存器和顺序器指令等。
---顺序功能图:有顺序的程序的图形表示,由相互联系的步、动作和带转换条件的有向线构成。
3.2.15
专用集成电路
为专用功能而设计和制造的集成电路,其功能由产品开发者规定。
注:ASIC作为一个独立术语包括下列所有类型的集成电路:
---全定制ASIC:设计和制造与标准集成电路类似,但具有由产品开发者定义的功能性。
标准集成电路是大批量生产的,并能用于不同的应用。功能性、确认、生产和生产测试由半导体厂商独立处理。
在布局层面,人工控制和优化通常是为了减少所需面积。不是为安全相关系统设计的。生产过程、生产技术的频繁
变化是为了优化成本和产品成品率。使用特殊工艺制造的元件数量或掩模版本不是公开的。
---基于核的ASIC:基于预先布局、设计或生成的宏核,并由附加的逻辑支持的ASIC。
例1:预先布局的宏是指标准的微处理器核、外围元件、通信接口、模拟块、专用功能I/O单元。
例2:预先设计的宏(被称为知识产权,即IP)是指例1中类似元件的各种变化,具有不同的由高级硬件描述语言
(VHDL,Verilog)构成的设计数据。
例3:生成的宏包括嵌入式RAM、ROM、EEPROM或FLASH(闪存)。基于设计规则生成的块被认为是正确的。预
先布局或生成的宏是工艺专用的,但可能被移植到不同的技术。在大多数情况下,宏核不同于初始的分立的现成元件
(不同的工艺,由第三方提供)。
---基于单元的ASIC:以取自单元库的逻辑基本要素(如AND,OR,Flip-Flop,Latch)为基础的ASIC。包括逻辑
基本要素和互联线的门级网表,通常是用综合工具从高级硬件描述语言中产生的。逻辑基本要素的功能和时
间特性是在单元库内表现的。这些参数被用来驱动综合工具,也用于仿真。另外,用布局工具进行单元布局和互联布线。
---门阵列:预先制造的带有固定数量单元的硅元件,该单元对不同成分提供公共的起始点。其功能性由预先制造
的单元之间的连接矩阵(金属层)决定。设计过程近似于基于单元的ASIC,但布局的步骤由连接已存在的单元
的布线步骤所取代。
---现场可编程门阵列(FPGA):标准集成电路,使用一次性或可重复编程的元件来规定功能块之间的连接以及配
置单个功能块的功能特性。由于可编程元件的特性,在生产期间不可能完全测试一次性可编程FPGAs。
---可编程逻辑器件(PLD):标准集成电路,具有中低复杂度,使用一次性可编程或电可擦除元件(熔丝)来规定组合
逻辑---典型的是基于AND或OR乘积项---以及配置存储元件。由于其规则的结构,在同步电路设计中PLD
提供可预测的时序和可保证的最高工作频率。典型的PLD有PAL,GAL,PML,(E)EPLD,PLA,PLS。
---复杂可编程逻辑器件(CPLD):在一个芯片上有多个类似PLD块,由可编程的互连矩阵(crossbar)相连接。在
多数情况下,可编程逻辑元件是可重复编程的(EPROM或EEPROM)。
3.3 系统-通用
3.3.1
可编程电子系统
基于一个或多个可编程电子装置的控制、保护或监视系统,包括系统中所有的组件,如电源、传感器
和其他输入装置,数据总线和其他通信路径,以及执行器和其他输出装置(见图2)。
3.3.2
电气/电子/可编程电子系统
基于一个或多个电气/电子/可编程电子(E/E/PE)装置的控制、保护或监视系统,包括系统中所有的
组件,如电源、传感器和其他输入装置,数据总线和其他通信路径,以及执行器和其他输出装置(见图3)。
3.3.3
EUC控制系统
响应来自过程和(或)操作者的输入信号,并产生输出信号使EUC按预期方式工作的系统。
注:EUC控制系统包括输入装置和最终元件。
3.3.4
架构 在一个系统中硬件和软件组件的特定配置。
3.3.5
软件模块 由程序和/或数据声明组成的构件,并且能与其他类似构件相互作用。
3.3.6
通道 独立执行一个组件安全功能的一个或一组组件。
举例:两通道(或双通道)配置是指具有两个能独立执行相同功能的通道构成的配置。
注:该术语可用来描述一个完整的系统或一个系统的一部分(如传感器或最终元件)。
3.3.7
多样性
执行一个要求功能的不同方法。注:可用不同的方法或不同的设计途径来达到多样性。
3.4 系统-安全相关
3.4.1
安全相关系统
所指的系统应满足以下两项要求:
---执行要求的安全功能足以实现或保持EUC的安全状态;并且
---自身或与其他E/E/PE安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性。
注1:该术语是指这样的系统,即所谓安全相关系统是,它们及与其他风险降低措施一起,实现必要的风险降低量,
以满足所要求的可容忍风险。见GB/T 20438.5-2017的附录A。
注2:安全相关系统能在检测到可导致危险事件的情况时采取适当的动作以防止EUC进入危险状态。安全相关
系统的失效将包含于导致危险的事件中。尽管可能存在具备安全功能的其他系统,但所指定的安全相关系
统可仅靠其自身能力达到要求的可容忍风险。安全相关系统一般被分为安全相关控制系统和安全相关保护系统。
注3:安全相关系统可以是EUC控制系统的组成部分,也可用传感器和/或执行器与EUC连接。即可通过EUC
控制系统(也可能通过分开的和独立的附加系统)或者利用分开的、独立的、安全专用的安全相关系统执行安
全功能达到要求的安全完整性等级。
注4:安全相关系统可:
a) 用于防止危险事件发生(即安全相关系统一旦执行其安全功能则避免伤害事件发生);
b) 用于减轻伤害事件的影响,即通过减轻后果的办法来降低风险;
c) 同时具有a)和b)的功能组合。
注5:人也可作为安全相关系统的一部分。例如,人可以接收来自可编程电子装置的信息,并根据接收信息执行安
全动作,或通过可编程电子装置执行安全动作。
注6:安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务(如电源)[因此,传感器,其他输入
装置,最终元件(执行器)和其他......
|