GB/T 20438.2-2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求

ICS25.040N10中華人民共和國國家標準GB/T20438.2-2006/IEC61508-2：2000電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分;電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems-Part2:Requirementsforelectricai/electronic/programmableelectronicsafety-relatedsystems(IEC61508-2:2000.IDT)2006-07-25發(fā)布2007-01-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局愛布中國國家標準化管理委員會

GB/T20438.2-2006/IEC61508-22000三次前言引言范圍2規(guī)范性引用文件3定義和縮略語4與GB/T20438的符合性56功能安全管理·……/E/PES安全生命周期要求7.1一般要求……….·7.2E/E/PES安全要求規(guī)范7.3E/E/PES安全確認計劃編制7.4E/E/PES的設(shè)計與開發(fā)7.5E/E/PES集成………….207.6E/E/PES操作和維護規(guī)程7.7E/E/PES的安全確認27.8E/E/PES的修改7.9E/E/PES的驗證28功能安全評估…附錄A（規(guī)范性附錄）用于E/E/PE安全相關(guān)系統(tǒng)的技術(shù)和措施：操作中的失效控制附錄B（規(guī)范性附錄），用于E/E/PE安全相關(guān)系統(tǒng)的技術(shù)和措施：避免生命周期不同附錄C（規(guī)范性附錄）診斷覆蓋率和安全失效分數(shù)··········448表1E/E/PES安全生命周期實現(xiàn)階段概述表2硬件安全完整性：A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束12表3硬件安全完整性：B類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束12表A.1在操作過程中要檢測的或在推導(dǎo)安全失效分數(shù)中要分析的故障或失效表A.2電氣子系統(tǒng)表A.3電子子系統(tǒng)表A.4處理單元不可變內(nèi)存范圍表A.5表A.6可變內(nèi)存范圍1/O單元和接口(外部通信)表A.7表A.8數(shù)據(jù)路徑（內(nèi)部通信）表A.9電源·…···…………·····30

GB/T20438.2-2006/IEC61508-2:2000表A.10程序順序(石門狗）表A.11通風(fēng)和加熱系統(tǒng)(若需要)表A.12時鐘·……….……….表A.13通信和大容量存儲器表A.14傳感器表A.15最終元件(執(zhí)行器)表A.16用于控制由硬件和軟件設(shè)計引起的系統(tǒng)失效的技術(shù)和措施34表A.17用于控制由環(huán)境應(yīng)力或影響引起的系統(tǒng)失效的技術(shù)和措施表A.18用于控制系統(tǒng)工作失效的技術(shù)和措施36表A.19控制系統(tǒng)失效的技術(shù)和措施的有效性36表B.1在E/E/PES要求規(guī)范中對避免失誤的建議（見7.2）………139表B.2在E/E/PES設(shè)計和開發(fā)過程中為避免引入故障的建議(見7.4）39表B.3在E/E/PES集成過程中為避免故障的建議(見7.5）…40表B.4在E/E/PES操作和維護規(guī)程中為避免故障的建議(見7.6）·表B.5：在E/E/PES安全確認過程中為避免故障的建議(見7.7）……41表B.6避免系統(tǒng)失效的技術(shù)和措施的有效性圖1GB/T20438的總體框架…圖2E/E/PES安全生命周期(實現(xiàn)階段）圖3GB/T20438.2和GB/T20438.3的范圍和關(guān)系圖4可編程電子中軟件結(jié)構(gòu)和硬件結(jié)構(gòu)的關(guān)系圖5單通道安全功能的硬件安全完整性限制示例圖6多通道安全功能的硬件安全完整性的限制示例

GB/T20438.2-2006/IEC61508-2：2000GB/T20438由下列7部分構(gòu)成：-第1部分：一般要求;第第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求：第3部分：軟件要求；第第4部分：定義和縮略語：第5部分：確定安全完整性等級的方法示例；第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；第第7部分：技術(shù)和措施概述。本部分是GB/T20438的第2部分。本部分等同采用國際標準IEC61508-2:2000《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求》(英文版）本部分的附錄A、附錄B、附錄C為規(guī)范性附錄本部分與IEC61508-2:2000在技術(shù)內(nèi)容上沒有差異·為便于使用做了下列編輯性修改：2）將"IEC61508”改為"GB/T20438”b）“本國際標準”一詞改為"本標準”C）刪除國際標準中1.2中的注2,因為此注所表述的是IEC61508在美國和加拿大等國的應(yīng)用情況，與我國的實際不符.所以刪除。用小數(shù)點"."代替作為小數(shù)點的逗號""。本部分由中國機械工業(yè)聯(lián)合會提出本部分由全國工業(yè)過程測量和控制標準化技術(shù)委員會(SAC/TC124)歸口。本部分由機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所負責(zé)起草。本部分主要起草人：梅格、馮曉升、王莉、鄭旭、歐陽勁松等

GB/T20438.2-2006/IEC61508-2:2000由電氣和電子器件構(gòu)成的系統(tǒng)，多年來在許多領(lǐng)域中執(zhí)行其安全功能,以計算機為基礎(chǔ)的系統(tǒng)（-般指可編程電子系統(tǒng)（PES))在許多領(lǐng)域中用于非安全目的,但也越來越多地用于安全目的,為使計算機系統(tǒng)技術(shù)更有效安全地使用，有必要進行安全方面的指導(dǎo)。GB/T20438針對由電氣或電子和可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PES)的整體安全生命周期，提出了一個通用的方法。建立統(tǒng)一方法的目的是為了針對以電子為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的、合理的技術(shù)方針，主要目標是促進應(yīng)用領(lǐng)域標準的制定。在許多情況下，可用多種基于不同技術(shù)的防護系統(tǒng)來保證安全(如機械的、液壓的、氣動的、電氣的電子的、可編程電子的，等等)。從安全戰(zhàn)略角度.不僅要考電各系統(tǒng)中元器件的問題(如傳感器、控制器、執(zhí)行器等).而且要考慮構(gòu)成組合安全相關(guān)系統(tǒng)的所有安全相關(guān)系統(tǒng)。因此GB/T20438對電氣/電子/可編程電子(E/E/PE)安全相關(guān)系統(tǒng)進行了規(guī)定。GB/T20438還提出了一個框架.在這個框架內(nèi).基于其他技術(shù)的安全相關(guān)系統(tǒng)也可同時被考點進去在各種應(yīng)用領(lǐng)域里，存在著許多潛在的危險和風(fēng)險，包含的復(fù)雜性也各不相同,從而需應(yīng)用不同的E/E/PES。對每個特定的應(yīng)用,則根據(jù)應(yīng)用的不同而確定所需的安全量。GB/T20438僅是使這些量值規(guī)范化。GB/T20438慮了當(dāng)使用E/E/PES執(zhí)行安全功能時.所涉及到的整體安全生命周期、E/E/PES安全生命周期以及軟件生命周期的各階段(如初始構(gòu)思，整個設(shè)計、實現(xiàn)、運行和維護到停用)。針對飛速發(fā)展的技術(shù)，建立一個足夠健壯而廣泛的能滿足今后發(fā)展需要的框架。有利于促進E/E/PES安全相關(guān)系統(tǒng)在不同領(lǐng)域中相關(guān)標準的制定,各應(yīng)用領(lǐng)域和交叉應(yīng)用領(lǐng)域相關(guān)標準應(yīng)在GB/T20438的框架下制定，使之具有高水平的一致性(如基礎(chǔ)原理、術(shù)語等的一致性)并將既安全又經(jīng)濟。-為達到E/E/PE安全相關(guān)系統(tǒng)所需的功能安全，提供了編制安全要求規(guī)范的方法使用了一個安全完整性等級,此安全完整性等級規(guī)定了E/E/PE安全相關(guān)系統(tǒng)要實現(xiàn)的安全功能的目標安全完整性等級。采用了一種可確定安全完整性等級要求的基于風(fēng)險的方案。建立了E/E/PE安全相關(guān)系統(tǒng)的數(shù)值目標失效量，這些量都同安全完整性等級相聯(lián)系建立了危險失效模式中目標失效量的一個下限，此下限是對單一E/E/PE安全相關(guān)系統(tǒng)的要求這些系統(tǒng)運行在：1）低要求操作模式下.為了執(zhí)行它的設(shè)計功能.一旦要求時.就把下限設(shè)定成平均失效概率為10-5；2）高要求操作模式或者連續(xù)操作模式下,下限設(shè)定成危險失效概率為10-/h。注：單一E/E/PE安全相關(guān)系統(tǒng)不一定是單通道結(jié)構(gòu)。-采用廣泛的原理、技術(shù)和措施以達到E/E/PE安全相關(guān)系統(tǒng)的功能安全.但不使用失效-安全的概念，這個概念是在很好定義了失效模式.并且復(fù)雜性相對較低時的一個數(shù)值。由于E/E/PE安全相關(guān)系統(tǒng)的復(fù)雜性均在（B/T20438范圍之內(nèi).因此不適用失效-安全的概念。

GB/T20438.2-2006/IEC61508-2：2000電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求1范圍1.1GB/T20438.2在使用前,應(yīng)充分理解GB/T20438.1.GB/T20438.1提供了實現(xiàn)功能安全的總體結(jié)構(gòu)框架。適用于GB/T20438.1定義的安全相關(guān)系統(tǒng)，安全相關(guān)系統(tǒng)至少包含一種電氣、電子或可編程電子基本部件。適用于E/E/PE安全相關(guān)系統(tǒng)中的所有子系統(tǒng)及其部件(包括傳感器、執(zhí)行器、操作員界面)。規(guī)定了如何按照GB/T20438.1從整體安全要求中提取開發(fā)信息并將其分配到E/E/PE安全相關(guān)系統(tǒng)：規(guī)定了如何從整體安全要求中提取E/E/PES的安全功能要求和E/E/PES安全完整性要求。e）規(guī)定了在E/E/PE安全相關(guān)系統(tǒng)的設(shè)計和制造過程中所進行的活動的要求(例如：建立E/E)PES安全生命周期模型)軟件除外,軟件要求在GB/T20438.3（見圖2、圖3)中給出：這些要求包含了用以避免和控制故障和失效發(fā)生的技術(shù)和措施的應(yīng)用.并被劃分成與安全完整性等級相對應(yīng)的不同等級。規(guī)定了執(zhí)行E/E/PE安全相關(guān)系統(tǒng)的安裝、試運行以及最終安全確認所需的信息不適用于E/E/PE安全相關(guān)系統(tǒng)的操作和維護階段.這方面內(nèi)容在（B/T20438.1中給出但是,本部分為用戶提供了有關(guān)E/E/PE安全相關(guān)系統(tǒng)的操作和維護所需的信息和規(guī)程的準備要求。h）對E/E/PE安全相關(guān)系統(tǒng)進行各種修改的各方應(yīng)滿足的要求進行了規(guī)定。住1：本部分直接面向供方和/或公司內(nèi)部的工程部門，因此包含了對修改的要求。注2：本部分與GB/T20438.3的關(guān)系見圖3。1.2GB/T20438.1、GB/T20438.2.GB/T20438.3和GB/T20438.4是基礎(chǔ)的安全標準.盡管它們不適用于簡單E/E/PE安全系統(tǒng)（見GB/T20438.4—2006的3.4.4）.作為基礎(chǔ)的安全標準,根據(jù)IEC導(dǎo)則104和ISO/IEC導(dǎo)則51中包含的原則,各技術(shù)委員會在起草標準時應(yīng)考慮使用這些標準,因為技術(shù)委員會的責(zé)任之一是在起草自己的標準時凡是適用之處都應(yīng)貫徹基礎(chǔ)安全標準。GB/T20438同時也可作為獨立的標準使用。在適用的情況下，技術(shù)委員會在制定其標準時都應(yīng)使用基礎(chǔ)安全標準。也就是