标准搜索结果: 'GB/T 20438.5-2017'
标准编号 | GB/T 20438.5-2017 (GB/T20438.5-2017) | 中文名称 | 电气/电子/可编程电子安全相关系统的功能安全 第5部分:确定安全完整性等级的方法示例 | 英文名称 | Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 5: Examples of methods for the determination of safety integrity levels | 行业 | 国家标准 (推荐) | 中标分类 | N10 | 国际标准分类 | 25.040 | 字数估计 | 38,346 | 发布日期 | 2017-12-29 | 实施日期 | 2018-07-01 | 起草单位 | 机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、杭州和利时自动化有限公司、北京市劳动保护科学研究所、风控(北京)工程技术有限公司、北京联合普肯工程技术股份有限公司、上海中沪电子有限公司、西门子(中国)有限公司 | 归口单位 | 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC 124) | 提出机构 | 中国机械工业联合会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 20438.5-2017: 电气/电子/可编程电子安全相关系统的功能安全 第5部分:确定安全完整性等级的方法示例
GB/T 20438.5-2017 英文名称: Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 5: Examples of methods for the determination of safety integrity levels
ICS 25.040
N10
中华人民共和国国家标准
代替GB/T 20438.5-2006
1 范围
1.1 GB/T 20438的本部分提供以下信息:
---风险的基础概念和风险与安全完整性之间的关系(参见附录A);
---提供确定E/E/PE安全相关系统安全完整性等级的一系列方法(参见附录C、附录D、附录E、
附录F和附录G)。
选择的方法应取决于应用领域和所考虑的特定环境。附录C、附录D、附录E、附录F和附录G列
出了定性和定量的方法并为说明基础的原理进行了简化。通过这些附录,说明了一系列方法的通用原
理,但不提供明确的计算。如使用附录中提到的方法需查询有关原始材料。
注:如想获取更多关于附录B和附录E中说明的方法的有关信息,见参考文献[5]和[8]。对于附加方法的描述见参考文献[6]。
1.2 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不适
用于低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),但作为基础安全标准,各技术
委员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、
GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全
功能不适用于IEC 60601涵盖的医疗设备。
1.3 各技术委员会的责任之一,是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中,
本基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包含时适用。
1.4 图1表示了GB/T 20438的整体框架,同时明确了本部分在实现E/E/PE安全相关系统功能安全过程中的作用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.1-2017 电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求(IEC 61508-1:2010,IDT)
GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略语(IEC 61508-4:2010,IDT)
3 定义和缩略语
GB/T 20438.4-2017界定的定义和缩略语适用于本文件。
附 录 A
(资料性附录)
风险和安全完整性-通用概念
A.1 概述
本附录提供了关于风险的基本概念和风险与安全完整性之间关系的信息。
A.2 必要的风险降低
必要的风险降低(见GB/T 20438.4-2017中的3.5.18)是保证在特定情况下达到可容忍风险(可以
定性1)或定量2)说明)的风险降低。必要的风险降低的概念在开发E/E/PE安全相关系统的安全要求方
面(特别是安全要求规范中的安全完整性部分)非常重要。确定特定危险事件的可容忍风险的目的是为
了说明什么样的危险事件发生频率(或概率)及其特定后果是合理的。安全相关系统应设计成用来降低
特定危险事件的频率(或概率)和/或减轻该危险事件的后果。
可容忍风险取决于许多因素(如伤害的严重程度、暴露在危险中的人数、一个人/多人暴露在危险中
的频率和暴露持续时间)。暴露在危险事件中的人的感受和看法是很重要的因素。对于一个特定应用,
可容忍风险的构成,需考虑以下一系列决定因素:
---通用的法律要求,以及与特定应用直接相关的法律要求;
---相关安全监管机构发布的指南;
---与应用有关各方的各方争议与一致意见;
---工业标准和指南;
---各国争议和国际共识;国家标准和国际标准在确定特定应用的可容忍风险准则中均起到越来越重要的作用;
---来自咨询机构的领域的、专家的以及科学的最佳独立建议。
在确定E/E/PE安全相关系统和其他风险降低措施的安全完整性要求时,为了符合危险事件的可
容忍发生频率,需要考虑相关应用的风险特性。可容忍频率取决于相关应用的国家法定要求以及用户
机构规定的准则。需考虑的问题以及如何将它们应用于E/E/PE安全相关系统将在下面讨论。
A.2.1 个人风险
对于员工和公众,确定的风险目标通常不同。员工的个人风险目标适用于暴露最多的人员,表示为
每年来自所有生产活动的总风险。由于该目标用于一个假定的人员,因此需要考虑个人工作时间的百
分比。该目标适用于暴露人员的所有风险,而单个安全功能的可容忍风险还需要考虑其他风险。
确保总风险降低到规定目标以下可通过多种方式实现。一种方法是对暴露最多的人员考虑所有风
险并求和。这种方式在一个人员暴露于多个风险并需要对系统开发提前决策的情况下可能较为困难。
另一种方法是将整体个人风险目标按照一定的百分比分配给需考虑的每个安全功能。分配的百分数通
常可通过考虑的同类设备的先前经验确定。
1) 在达到可容忍风险的过程中,需要确定必要的风险降低。本部分的附录E和附录G给出了定性方法,尽管在
实例中提到的必要风险降低是通过SIL要求规范隐含表达的,而不是通过要求的风险降低数值明确说明的。
2) 例如,导致特定后果的危险事件,其发生频率不能大于10-8次/h。
单个安全功能的目标值还需要考虑所用风险分析方法的保守性。所有的定性方法,如风险图,都包
含对导致风险的关键参数的评估。导致风险的因素包括危险事件后果及发生频率。要确定这些因素,
可能需要考虑大量风险参数,如危险事件的严重程度,可能被危险事件影响的人数,危险事件发生时人
员出现的概率(即占有率)及避免危险事件发生的概率。
定性方法通常需要判断某一参数是否在确定的取值范围内。当使用这些方法时,需要考虑如下准
则:应有高的置信度表明风险不超过目标。这包含设定所有参数的范围边界,以使参数处于边界值的情
况也能满足安全规定的风险准则。设置边界范围的方法是非常保守的,因为所有参数都处于范围最坏
情况的应用很少。如果公众面临的是E/E/PE安全相关系统失效带来的风险,那么通常使用一个更小的风险目标值。
A.2.2 社会风险
由单一事件引发多个伤亡事故的情形会引起社会风险。这些事件被称为社会事件是因为它们可能
会激起社会-政治反应。严重后果事件会引起公众及机构的极大反感,在一些情况下,需要将这一点考
虑在内。GB/T 20438中社会风险通常表达为:特定人数发生致命伤亡的最大累积频率,以F/N 单曲
线或多曲线图表示,其中F 是危险的累积频率,N 是危险引发的伤亡数,在对数刻度中通常成直线关
系。直线斜率取决于机构规避更高风险后果等级的程度。要求是确保特定伤亡数的累积频率低于F/
N 曲线中表示的累积频率。(见参考文献[7])
A.2.3 持续改进
将风险降低到合理可行尽量低的原则将在附录C中讨论。
A.2.4 风险概况
为了确定适用于特定危险的风险指标,可能需要考虑贯穿整个资产生命的风险概况。残余风险会
从刚完成一个周期检验或维修后的最小值变化至进行下一个周期检验前的最大值。规定适用风险指标
的机构可能需要加以考虑。如果周期检验间隔很大,应当规定周期检验前可接受的最大危险概率或者
超出特定时间比例(如90%),PFD(t)或PFH(t)低于SIL边界上限值的最大危险概率。
A.3 E/E/PE安全相关系统的作用
E/E/PE安全相关系统可提供必要的风险降低,以便符合可容忍风险的要求。
安全相关系统:
---实现所要求的必要的安全功能使受控设备达到或保持安全状态;
---自身或与其他 E/E/PE 安全相关系统、其他风险降低设施实现所要求的安全功能(见
GB/T 20438.4-2017的3.5.1)的必需的安全完整性。
注1:定义的第一部分规定了安全相关系统必须完成安全功能要求规范中规定的安全功能。例如,安全功能要求规
范可能规定当温度达到x时,阀y应打开使水流入容器中。
注2:定义的第二部分规定了安全功能必须由对应用而言具有适当置信度的安全相关系统来完成,以达到可容忍风险。
人可能会是E/E/PE安全相关系统的一个部分。比如,人通过显示屏幕来获取EUC状态信息,并
根据这一信息完成安全操作。
E/E/PE安全相关系统可在低要求运行模式或高要求运行模式或连续运行模式下运行。
A.4 安全完整性
安全完整性定义为在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概
率(见GB/T 20438.4-2017中的3.5.4)。安全完整性关系到安全相关系统执行安全功能的性能(执行
的安全功能将在安全功能要求规范中规定)。
安全完整性可认为由下列两个部分组成:
---硬件安全完整性:这部分安全完整性与在危险失效模式下的随机硬件失效有关(见
GB/T 20438.4-2017中的3.5.7)。可以一个合理的精确度水平对安全相关的硬件安全完整
性达到的规定等级进行估计,因此,可用组合概率的通用法则在子系统中进行要求分配。可能
需要使用冗余架构来达到足够的硬件安全完整性。
---系统性安全完整性:这部分安全完整性与在危险失效模式下的系统性失效有关(见
GB/T 20438.4-2017中的3.5.6)。尽管与系统性失效有关的平均失效率可估计,但从设计失
效和共同原因失效获得的失效数据即失效的分布难以预计。这样便增加了特定情况下失效概
率计算的不确定性(例如安全防护系统的失效概率),因此需做出选择最佳技术的论证以将不
确定性最小化。注意减少随机硬件失效概率的措施不会对系统性失效的概率产生相同影响。
像同一硬件的冗余通道的技术一样,它在控制随机硬件失效方面非常有效,但在减少系统性失
效方面(如软件错误)作用非常有限。
A.5 运行模式及SIL的确定
运行模式与按要求频率使用安全功能的方式有关,分为:
---低要求模式:安全功能的运行要求频率低于每年一次;
---高要求模式:安全功能的运行要求频率高于每年一次;
---连续模式:安全功能的运行要求是连续的。
GB/T 20438.1-2017的表2和表3详细说明了各运行模式下的四个安全完整性等级对应的目标
失效量。运行模式会在以下段落中得到进一步说明。
A.5.1 低要求模式应用的安全完整性及风险降低
E/E/PE安全相关系统和其他风险降低措施所要求的安全完整性应该达到相应等级,以保证:
---安全相关系统的要求时平均失效概率足够低以防止危险事件频率超过要求,以满足可容忍风险,和/或
---安全相关系统修改失效后果达到要求,以满足可容忍风险。
---有一个EUC和EUC控制系统;
---有关联的人为因素问题;
---安全防护特性包括:
● E/E/PE安全相关系统;
● 其他风险降低措施。
注:图A.1是说明通用原理的通用风险模型。特定应用的风险模型需考虑E/E/PE安全相关系统和/或其他风险
降低措施,实际取得的必要风险降低所用的特定方式来开发。因此得到的风险模型可能不同于图A.1。
---EUC风险:EUC、EUC控制系统和有关人为因素问题在特定危险事件中存在的风险:在确定
这一风险时未考虑指定的安全防护特性(见GB/T 20438.4-2017中的3.1.9);
---可容忍风险:根据当今社会水平所能接受的风险(见GB/T 20438.4-2017中的3.1.7);
---残余风险:标准文本中,残余风险是使用了E/E/PE安全相关系统和其他风险降低措施后,残
留在EUC、EUC控制系统、人为因素的特定危险事件中的风险(见GB/T 20438.4-2017中的3.1.7)。
EUC风险与EUC本身的风险密切相关,但也考虑EUC控制系统带来的风险降低。为防止对
EUC控制系统提出不合理的安全完整性要求,GB/T 20438对可提出的要求进行了限制(见
GB/T 20438.1-2017中的7.5.2.5)。
必要的风险降低是通过所有安全防护性能共同实现的。图A.1(关于低要求运行模式下运行的安
全功能)表示了从起点EUC风险开始到达到规定的可容忍风险的必要的风险降低。
图A.1 风险降低:通用概念(低要求运行模式)
图A.2 风险和安全完整性概念
A.5.2 高要求模式应用的安全完整性
E/E/PE安全相关系统和其他风险降低措施所要求的安全完整性应该达到相应等级,以保证:
---安全相关系统的要求时平均失效概率足够低以防止危险事件频率超过要求,以满足可容忍风险,和/或
---安全相关系统的每小时平均失效概率足够低以防止危险事件频率超过要求,以满足可容忍风险。
---有一个EUC和EUC控制系统;
---有关联的人为因素问题;
---安全防护特性包括:
● 运行在高要求模式下的E/E/PE安全相关系统;
● 其他风险降低措施。
对E/E/PE安全相关系统的要求包括以下几类:
---来自EUC的一般要求;
---EUC控制系统失效引发的要求;
---人为失效引发的要求。
若系统所有要求的总要求率超过每年一次,则E/E/PE安全相关系统的危险失效率成为关键因
素。残余危险频率绝不会超过E/E/PE安全相关系统的危险失效率,并在有其他风险降低措施降低伤害概率时会更低。
A.5.3 连续模式应用的安全完整性
E/E/PE安全相关系统和其他风险降低措施所要求的安全完整性应该达到相应等级,以保证安全
相关系统每小时平均危险失效概率足够低,以防止危险事件频率超过满足可容忍风险要求的频率。
E/E/PE安全相关系统运行在连续模式时,根据提供的风险降低,其他风险降低措施能够降低残余
危险频率。该模型如图A.4所示。
A.5.4 共因失效与相关失效
确定安全完整性等级时,考虑共因失效与相关失效是很重要的。图A.1、图A.2、图A.3和图A.4
中所示的模型都是基于同一危险相关的各安全系统充分独立而绘制的。不属于这种情况的应用很多,例如:
1) EUC控制系统的一个元件的一个危险失效引发对安全相关系统的一个要求,而安全相关系统
使用的一个元件会由于同一原因发生失效。例如,控制系统与保护系统的传感器是不同的,但
会由于同一原因导致两者都失效(见图A.5)。
2) 使用一个以上安全相关系统,各安全相关系统中使用一些同种类型的设备,每个设备都会由于
相同原因发生失效。例如,两个不同的保护系统使用相同类型的传感器,对同一危险进行风险降低(见图A.6)。
3) 使用一个以上的防护系统,防护系统是不同的,但对各系统执行的周期检验是基于相同基准
的。在这种情况下,多个系统组合的实际PFDavg要比单个系统PFDavg的乘积高的多。
4) 使用相同的单一元件作为控制系统与安全相关系统的一部分。
5) 使用一个以上的防护系统,且使用相同的单一元件作为一个以上系统的一部分。
在这些情况中,需要考虑共同原因的影响。需要考虑最终解决方法是否能满足必要的系统能力及
整体风险降低要求的必要的危险随机硬件失效概率。共因失效影响难以确定,通常需要构造特定用途
的模型(如故障树或马尔科夫模型)。
在高安全完整性等级的应用中,共同原因的影响可能更为显著。在一些应用中,有必要引入多样性
技术使共因影响最小化。但是,应当注意多样化会引起设计、维护和修改中的一些问题。引入多样化会
导致由于对不同设备不了解并缺乏操作经验而发生的错误。
A.5.5 使用多个保护层时的安全完整性等级
使用多个保护层达到可容忍风险时,可能会在系统之间、系统与产生要求的起因之......
|