| 标准编号 | GB/T 20438.7-2017 (GB/T20438.7-2017) | | 中文名称 | 电气/电子/可编程电子安全相关系统的功能安全 第7部分:技术和措施概述 | | 英文名称 | Functional safety of electrical/electronic/programmable electronic safety-related systems -- Part 7: Overview of techniques and measures | | 行业 | 国家标准 (推荐) | | 中标分类 | N10 | | 国际标准分类 | 25.040 | | 字数估计 | 114,10 | | 发布日期 | 2017-12-29 | | 实施日期 | 2018-07-01 | | 旧标准 (被替代) | GB/T 20438.7-2006 | | 标准依据 | 国家标准公告2017年第32号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 20438.7-2017
Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 7: Overview of techniques and measures
ICS 25.040
N10
中华人民共和国国家标准
代替GB/T 20438.7-2006
电气/电子/可编程电子安全相关系统的
功能安全 第7部分:技术和措施概述
(IEC 61508-7:2010,IDT)
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 3
3 定义和缩略语 3
附录A(资料性附录) E/E/PE安全相关系统的技术和措施概述:随机硬件失效控制 4
附录B(资料性附录) E/E/PE安全相关系统的技术和措施概述:系统性失效的避免 18
附录C(资料性附录) 实现软件安全完整性的技术和措施的综述 39
附录D(资料性附录) 确定预开发软件的软件安全完整性的一种概率法 80
附录E(资料性附录) 专用集成电路(ASIC)设计技术和措施概述 84
附录F(资料性附录) 软件安全生命周期各阶段属性的定义 95
附录G(资料性附录) 安全相关的面向对象软件的开发指南 100
参考文献 102
索引 104
图1 GB/T 20438的整体框架 2
表C.1 具体的编程语言的建议 63
表D.1 安全整性等级的置信度的必要历史 80
表D.2 低要求运行模式的失效概率 81
表D.3 两个测试点的平均距离 81
表D.4 高要求或者连续运行模式时的失效概率 82
表D.5 测试所有程序属性的概率 83
表F.1 软件安全要求规范 95
表F.2 软件设计和开发:软件架构设计 95
表F.3 软件设计和开发:支持工具和编程语言 96
表F.4 软件设计和开发:详细设计 96
表F.5 软件设计和开发:软件模块测试和集成 97
表F.6 可编程电子集成(硬件和软件) 97
表F.7 系统安全确认的软件方面 97
表F.8 软件修改 98
表F.9 软件验证 98
表F.10 功能安全评估 98
表G.1 面向对象的软件架构 100
表G.2 面向对象的详细设计 100
表G.3 一些相关术语 101
前言
GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分:
---第1部分:一般要求;
---第2部分:电气/电子/可编程电子安全相关系统的要求;
---第3部分:软件要求;
---第4部分:定义和缩略语;
---第5部分:确定安全完整性等级的方法示例;
---第6部分:GB/T 20438.2和GB/T 20438.3的应用指南;
---第7部分:技术和措施概述。
本部分为GB/T 20438的第7部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 20438.7-2006《电气/电子/可编程电子安全相关系统的功能安全 第7部分:
技术和措施概述》,与GB/T 20438.7-2006相比,主要技术变化如下:
---增加了专用集成电路(ASIC)设计技术和措施概述(见附录E);
---增加了软件安全生命周期各阶段属性的定义(见附录F);
---增加了安全相关的面向对象软件的开发指南(见附录G)。
本部分使用翻译法等同采用IEC 61508-7:2010《电气/电子/可编程电子安全相关系统的功能安
全 第7部分:技术和措施概述》。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本部分起草单位:机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、北京
和利时系统工程有限公司、西门子(中国)有限公司、上海中沪电子有限公司。
本部分主要起草人:史学玲、熊文泽、田雨聪、杨柳、周有铮、冯晓升、罗安、李佳、刘晓东、梅豪、方来华、
徐皑冬、叶均、左信、钱大涛。
本部分所代替标准的历次版本发布情况为:
---GB/T 20438.7-2006。
引 言
由电气和电子器件构成的系统,多年来在许多应用领域中执行其安全功能。以计算机为基础的系
统(一般指可编程电子系统)在其应用领域中用于执行非安全功能,并且也越来越多地用于执行安全功
能。如果要安全并有效地使用计算机技术,有关决策者在安全方面有充足的指导并据此做出决定是十
分必要的。
GB/T 20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的
系统安全生命周期的所有活动,提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电
为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T 20438系列标
准的产品和应用领域国家标准的制定。
注1:在参考文献中给出了基于GB/T 20438系列标准的产品和应用领域标准的例子(见参考文献[1],[2],[3])。
在许多情况下,可用多种基于不同技术(如机械的、液压的、气动的、电气的、电子的、可编程电子的
等)的系统来保证安全。因而不得不考虑各类安全策略,不仅要考虑单个系统中的所有组件的问题(如
传感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题。因此当GB/T 20438在关注电
气/电子/可编程电子(E/E/PE)安全相关系统的同时,也提供了一个框架,在这个框架内,基于其他技
术的安全相关系统也可被考虑进去。
在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的
E/E/PE安全相关系统。对每个特定的应用,将根据特定应用的许多因素来确定所需的安全措施。
GB/T 20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438
---考虑了当使用E/E/PE系统执行安全功能时,所涉及的整体安全生命周期、E/E/PE系统安全
生命周期以及软件安全生命周期的各阶段(如初始概念、整体设计、实现、运行和维护到退役);
---针对飞速发展的技术,建立一个足够健全且广泛满足未来发展需求的框架;
---使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定;在GB/T 20438的框
架下,产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性(如基
本原理,术语等);这将既具有安全性又具有经济效益;
---为实现E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法;
---采用了一种可确定安全完整性要求的基于风险的方法;
---引入安全完整性等级,用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级;
注2:GB/T 20438没有规定每个安全功能的安全完整性等级的要求,也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例。
---建立了E/E/PE安全相关系统执行安全功能的目标失效量,这些量都同安全完整性等级相
联系;
---建立了单一E/E/PE安全相关系统执行安全功能时,目标失效量的一个下限值。这些E/E/
PE安全相关系统运行在:
---低要求运行模式下,下限设定成要求时危险失效平均概率为10-5;
---高要求或连续运行模式下,下限设定成危险失效平均频率为10-9/h。
注3:单一E/E/PE安全相关系统不一定是单通道架构。
注4:对于非复杂系统,通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统(例
如可编程电子安全相关系统),这些限值代表了目前能够达到的水平。
---基于工业实践中获取的经验和判断,设定了避免和控制系统性故障的要求。即使发生系统性
故障的可能性一般不能量化,但GB/T 20438允许为一个特定的安全功能做出声明,即如果标
准中的所有要求都满足,认为与安全功能相关的目标失效量已达到;
---引入了系统性能力,该能力表明一个组件为满足规定的安全完整性等级要求时,系统性安全完
整性的置信度;
---采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全,但没有明确地使用失
效-安全的概念。然而,如果能够满足标准中相关条款的要求,则“失效-安全”的概念和“本质
安全”原则可能被应用,并且采用这些概念是可接受的。
电气/电子/可编程电子安全相关系统的
功能安全 第7部分:技术和措施概述
1 范围
1.1 GB/T 20438的本部分包含了GB/T 20438.2和 GB/T 20438.3有关的各种安全技术和措施的
概述。
参考文献仅作为各种方法和工具或示例的基本参考,不一定代表当前技术水平。
1.2 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准,虽然它不适
用于低复杂的E/E/PE安全相关系统(见GB/T 20438.4-2017的3.4.3),但作为基础安全标准,各技术
委员会可以在IEC 指南104和ISO/IEC 指南51的指导下制定相关标准时使用。GB/T 20438.1、
GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全
功能不适用于在IEC 60601系列指导下的医疗设备。
1.3 各技术委员会的责任之一,是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中,
本基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包
含时适用。
1.4 图1表示了GB/T 20438的整体框架,同时明确了本部分在实现E/E/PE安全相关系统功能安全
过程中的作用。
图1 GB/T 20438的整体框架
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略
语(IEC 61508-4:2010,IDT)
3 定义和缩略语
GB/T 20438.4-2017界定的定义和缩略语适用于本文件。
附 录 A
(资料性附录)
E/E/PE安全相关系统的技术和措施概述:随机硬件失效控制(参看GB/T 20438.2)
A.1 电气
整体目标:控制机电元件中的失效。
A.1.1 利用在线监视检测失效
注:在GB/T 20438.2-2017的表A.2、表A.3、表A.7和表A.13~表A.18中引用了本技术/措施。
目的:通过监视E/E/PE安全相关系统在响应受控设备(EUC)正常(在线)运行时的行为来检测
失效。
描述:在某些条件下,可用(例如)EUC的时间行为信息来检测失效,例如,作为E/E/PE安全相关
系统组成部分的一只开关,由EUC正常驱动,如果在预定的时间开关并未改变状态,则将检测到一次
失效,通常要定位失效部位是不可能的。
A.1.2 继电器触点监视
注:在GB/T 20438.2-2017的表A.2和表A.14中引用了本技术/措施。
目的:检测继电器触点的失效(例如被熔接)。
描述:强制接触(或者正导向接触)继电器使它们的触点刚性的接在一起,假定有两组反向触点,分
别为a和b,如果常开触点a被熔接,则当继电器线圈断电时,常闭触点b就不能闭合,因此,当继电器
线圈断电时,监视常闭触点b的吸合可用来证明常开触点a已打开。常闭触点b闭合的失效表明触点
a的一次失效,所以对任何受触点a控制的机器而言,监视电路应保证安全关机或保持关机状态。
参考文献:
330212,BIA-Handbuch.17,Lfg.X/91,ErichSchmidtVerlag,Bielefeld
www.BGIA-HANDBUCHdigital.de/330212
A.1.3 比较器
注:在GB/T 20438.2-2017的表A.2、表A.3、表A.4中引用了本技术/措施。
目的:为了尽早检测一个独立处理单元或者比较器中的(非同时的)失效。
描述:利用一个硬件比较器周期性地或者连续地比较独立处理单元的信号。可以在外部测试比较
器,或者它本身可使用自监视技术。监测到的处理器行为的差异将产生一条失效报文。
A.1.4 多数表决器
注:在GB/T 20438.2-2017的表A.2、表A.3和表A.4中引用了本技术/措施。
目的:为了检测和防护三个或三个以上硬件通道之一的失效。
描述:表决单元使用多数原理(3个中有2个、3个中有3个、或者n个中有m 个)来检测和防护失
效。表决器自身可由外部测试,也可使用自监视技术。
参考文献:
0-8169-0554-1,ISBN-13:978-0-8169-0554-6
A.1.5 空闲电流的原则(断电跳闸)
注:在GB/T 20438.2-2017的表A.16中引用了本技术/措施。
目的:为了在切断电源或掉电时执行安全功能。
描述:当触点断开并且没有电流流过时就执行安全功能。例如,当使用制动器来制止一台电机的危
险运动时,制动器将随安全相关系统中触点的闭合而开放,随安全相关系统中触点的打开而制动。
参考文献:
0-8169-0554-1,ISBN-13:978-0-8169-0554-6
A.2 电子
整体目标:控制固态部件中的失效。
A.2.1 利用冗余硬件进行测试
注:在GB/T 20438.2-2017的表A.3、表A.15、表A.16、表A.18中引用了本技术/措施。
目的:为了检测失效而使用硬件冗余(即使用不必执行过程功能的附加硬件)。
描述:冗余硬件可用来以一个适当的频度检测指定的安全功能。要实现A.1.1或A.2.2,通常必须
使用这种方法。
A.2.2 动态原理
注:在GB/T 20438.2-2017的表A.3中引用了本技术/措施。
目的:通过动态信号处理来检测静态失效。
描述:强制改变其他的静态信号(内部或外部产生的)可帮助检测部件中的静态失效。通常这种技
术与机电部件相联系。
参考文献:
Arbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993
http://www.bgia-handbuchdigital.de/330220
A.2.3 标准测试访问端口和边界扫描架构
注:在GB/T 20438.2-2017的表A.3、表A.15和表A.18中引用了本技术/措施。
目的:为了控制和观测一片IC(集成电路)的每个引脚处发生的情况。
描述:边界扫描测试是一种IC设计技术,此技术通过解决怎样访问IC内的电路测试点的问题提高
IC的可测试性。在由内核逻辑、输入/输出缓冲器组成的一个典型边界扫描IC中,内核逻辑和与每个
IC引脚相邻的输入/输出缓冲器之间插入了一个移位寄存器级。各个移位寄存器级都包含在一个边界
扫描组元中。通过标准测试存取端口,边界扫描组元可控制和观测一个IC的每个输入/输出引脚处发
生的情况。把芯片上的内核逻辑同接收到的外围部件的激励隔离开然后执行一次内部自测试,可完成
IC内核逻辑的内部测试。这些测试可用来检测IC中的失效。
参考文献:
ComputerSociety,2001,ISBN:0-7381-2944-5
A.2.4 (不再使用)
A.2.5 监视冗余
注:在GB/T 20438.2-2017的表A.3中引用了本技术/措施。
目的:通过配备几个功能单元,监视每个单元的行为以检测失效,在检测到这些单元的行为有任何
差异时就开启到一种安全工况的转换。
描述:至少由两个硬件通道来执行安全功能。监视这些通道的输出,当检测到一个故障时(即当各
通道的输出信号不相同时)就启动一个安全工况。
参考文献:
Arbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993
http://www.bgia-handbuchdigital.de/330220
1-85166-203-0.
A.2.6 带自动检验的电气/电子部件
注:在GB/T 20438.2-2017的表A.3中引用了本技术/措施。
目的:为了通过定期检验安全功能来检测失效。
描述:在起动过程之前测试硬件,并且按适当的间隔时间反复测试该硬件。只有在每次测试都无问
题时,受控设备(EUC)才继续运行。
参考文献:
Arbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993
http://www.bgia-handbuchdigital.de/330220
1-85166-203-0.
A.2.7 模拟信号监视
注:在GB/T 20438.2-2017的表A.3和表A.13中引用了本技术/措施。
目的:提高所测信号的可信度。
描述:凡在选择时,应优先使用模拟信号而不使用数字开/关状态。例如,在使用常见的信号电平容
差监视时,都是用模拟信号电平来表示跳闸或者安全状态。该技术提供了连续监视以及变送器可信度
的较高级别,减少了变送器传感功能必要的验证试验的频度。外部接口,例如脉冲线路也需要测试。
A.2.8 降额
注:在GB/T 20438.2-2017的7.4.2.13中引用了本技术/措施。
目的:提高......
|