GB/T 20438.2-2017电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/可编程电子安全相关系统的要求

ICS25040

N10.

中华人民共和国国家标准

GB/T204382—2017/IEC61508-22010

.代替:

GB/T20438.2—2006

电气/电子/可编程电子安全相关系统的

功能安全第2部分电气/电子/可编程

:

电子安全相关系统的要求

Functionalsafetyofelectrical/electronic/programmableelectronicsafety-related

sstems—Part2Reuirementsforelectrical/electronic/rorammableelectronic

y:qpg

safety-relatedsystems

(IEC61508-2:2010,IDT)

2017-12-29发布2018-07-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T204382—2017/IEC61508-22010

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………3

定义和缩略语

3……………4

与的符合性

4GB/T20438………………4

文档

5………………………4

功能安全管理

6……………4

系统安全生命周期要求

7E/E/PE………………………4

概述

7.1…………………4

系统设计要求规范

7.2E/E/PE………………………8

系统安全确认计划编制

7.3E/E/PE…………………9

系统的设计与开发

7.4E/E/PE………………………10

系统集成

7.5E/E/PE…………………25

系统运行和维护规程

7.6E/E/PE……………………26

系统的安全确认

7.7E/E/PE…………27

系统的修改

7.8E/E/PE………………28

系统的验证

7.9E/E/PE………………28

功能安全评估

8……………29

附录规范性附录安全相关系统的技术和措施运行中的失效控制

A()E/E/PE—…30

附录规范性附录安全相关系统的技术和措施在生命周期不同阶段中避免系统

B()E/E/PE—

性失效

……………44

附录规范性附录诊断覆盖率和安全失效分数

C()……………………53

附录规范性附录符合项的安全手册

D()………………55

附录规范性附录带片上冗余的集成电路特定架构要求

E()…………57

附录资料性附录避免系统性失效的技术与措施

F()ASIC…………62

参考文献

……………………71

图的整体框架

1GB/T20438……………2

图系统安全生命周期实现阶段

2E/E/PE()……………5

图开发生命周期模型

3ASIC(V)………………………6

图和的范围和关系

4GB/T20438.2GB/T20438.3……………………6

图确定规定架构的最高包含数个串联组件的安全相关子系统见

5SIL(E/E/PE,7.4.4.2.3)……15

图确定规定架构的最高由两个子系统与组成的安全相关子系统见

6SIL(XYE/E/PE,

7.4.4.2.4)……………17

Ⅰ

GB/T204382—2017/IEC61508-22010

.:

图数据通信架构

7………………………25

表系统安全生命周期实现阶段概述

1E/E/PE…………7

表类安全相关组件或子系统执行安全功能时的最大允许安全完整性等级

2A……14

表类安全相关组件或子系统执行安全功能时的最大允许安全完整性等级

3B……15

表在量化随机硬件失效的影响时假定的或在推导安全失效分数时要考虑的故障或失效

A.1……31

表电气元器件

A.2………………………33

表电子元器件

A.3………………………33

表处理单元

A.4…………………………34

表不可变内存范围

A.5…………………35

表可变内存范围

A.6……………………35

表单元和接口外部通信

A.7I/O()……………………36

表数据路径内部通信

A.8()……………37

表电源

A.9………………37

表程序顺序看门狗

A.10()………………37

表时钟

A.11………………38

表通信和大容量存储器

A.12……………38

表传感器

A.13……………39

表最终元件执行器

A.14()………………39

表用于控制由硬件设计引起的系统性失效的技术和措施

A.15………40

表用于控制由环境应力或影响引起的系统性失效的技术和措施

A.16………………41

表用于控制系统性操作失效的技术和措施

A.17………42

表控制系统性失效的技术和措施的有效性

A.18………42

表在系统设计要求规范阶段为避免失误的技术和措施见

B.1E/E/PE(7.2)………45

表在系统设计和开发阶段为避免引入故障的技术和措施见

B.2E/E/PE(7.4)……46

表在系统集成阶段为避免故障的技术和措施见

B.3E/E/PE(7.5)…………………47

表在系统运行和维护规程阶段为避免故障和失效的技术和措施见

B.4E/E/PE(7.6)……………47

表在系统安全确认阶段为避免故障的技术和措施见

B.5E/E/PE(7.7)……………48

表避免系统性失效的技术和措施的有效性

B.6………49

表增加β的技术和措施

E.1B-IC…………59

表减少β的技术和措施

E.2B-IC…………60

表设计和开发过程中避免引入故障的技术和措施全定制和半定制的数字

F.1ASIC—ASIC

见

(7.4.6.7)………………………63

表的设计实现过程中避免引入故障的技术和措施用户可编程

F.2ASIC—IC(FPGA/PLD/

见

CPLD)(7.4.6.7)………………67

Ⅱ

GB/T204382—2017/IEC61508-22010

.:

前言

电气电子可编程电子安全相关系统的功能安全分为七个部分

GB/T20438《//》:

第部分一般要求

———1:;

第部分电气电子可编程电子安全相关系统的要求

———2://;

第部分软件要求

———3:;

第部分定义和缩略语

———4:;

第部分确定安全完整性等级的方法示例

———5:;

第部分和的应用指南

———6:GB/T20438.2GB/T20438.3;

第部分技术和措施概述

———7:。

本部分为的第部分

GB/T204382。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替电气电子可编程电子安全相关系统的功能安全第部分

GB/T20438.2—2006《//2:

电气电子可编程电子安全相关系统的要求与相比主要技术变化如下

//》,GB/T20438.2—2006,:

增加了开发生命周期见图

———ASIC(3);

增加了符合项的安全手册见附录

———(D)。

本部分使用翻译法等同采用电气电子可编程电子安全相关系统的功能安

IEC61508-2:2010《//

全第部分电气电子可编程电子安全相关系统的要求

2://》。

本部分由中国机械工业联合会提出

。

本部分由全国工业过程测量控制和自动化标准化技术委员会归口

(SAC/TC124)。

本部分起草单位由机械工业仪器仪表综合技术经济研究所北京国电智深控制技术有限公司皮

:、、

尔磁工业自动化贸易上海有限公司上海工业自动化仪表研究院北京和利时系统工程有限公司欧

()、、、

姆龙自动化中国有限公司西门子中国有限公司上海中沪电子有限公司

()、()、。

本部分主要起草人史学玲田雨聪冯晓升黄之炯张艾森郑威周有铮华镕罗安熊文泽

:、、、、、、、、、、

杨柳李佳梅豪周纯杰徐皑冬钱大涛孟邹清刘瑶王德吉

、、、、、、、、。

本部分所代替标准的历次版本发布情况为

:

———GB/T20438.2—2006。

Ⅲ

GB/T204382—2017/IEC61508-22010

.:

引言

由电气和电子器件构成的系统多年来在许多应用领域中执行其安全功能以计算机为基础的系

,。

统一般指可编程电子系统在其应用领域中用于执行非安全功能并且也越来越多地用于执行安全功

(),

能如果要安全并有效地使用计算机技术有关决策者在安全方面有充足的指导并据此做出决定是十

。,

分必要的

。

针对由电气和或电子和或可编程电子组件构成的用来执行安全功能的

GB/T20438//(E/E/PE)、

系统安全生命周期的所有活动提出了一个通用的方法采用统一的方法的目的是为了针对所有以电

,。

为基础的安全相关系统提出一种一致的合理的技术方针主要目标是促进基于系列标

、。GB/T20438

准的产品和应用领域国家标准的制定

。

注1在参考文献中给出了基于系列标准的产品和应用领域标准的例子见参考文献

:GB/T20438([1],[2],[3])。

在许多情况下可用多种基于不同技术如机械的液压的气动的电气的电子的可编程电子的

,(、、、、、

等的系统来保证安全因而不得不考虑各类安全策略不仅要考虑单个系统中的所有组件的问题如

)。,(

传感器控制器执行器等还要考虑不同安全相关系统组合后的问题因此当在关注电

、、),。GB/T20438

气电子可编程电子安全相关系统的同时也提供了一个框架在这个框架内基于其他技

//(E/E/PE),,,

术的安全相关系统也可被考虑进去

。

在各种应用领域里存在着许多潜在的危险和风险包含的复杂性也各不相同从而需应用不同的

,,,

安全相关系统对每个特定的应用将根据特定应用的许多因素来确定所需的安全措施

E/E/PE。,。

作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施

GB/T20438。

GB/T20438

考虑了当使用系统执行安全功能时所涉及的整体安全生命周期系统安全

———E/E/PE,、E/E/PE

生命周期以及软件安全生命周期的各阶段如初始概念整体设计实现运行和维护到退役

(、、、);

针对飞速发展的技术建立一个足够健全且广泛满足未来发展需求的框架

———,;

使涉及安全相关系统的产品和应用领域的国家标准得以制定在的框

———E/E/PE;GB/T20438

架下产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性如基

,(

本原理术语等这将既具有安全性又具有经济效益

,);;

为实现安全相关系统所需的功能安全提供了编制安全要求规范的方法

———E/E/PE,;

采用了一种可确定安全完整性要求的基于风险的方法

———;

引入安全完整性等级用于规定安全相关系统所要执行的安全功能的目标安全完整

———,E/E/PE

性等级

;

注2没有规定每个安全功能的安全完整性等级的要求也没有规定如何确定安全完整性等级而是

:GB/T20438,。

提供了一种基于风险概念的框架和技术范例

。

建立了安全相关系统执行安全功能的目标失效量这些量都同安全完整性等级相

———E/E/PE,

联系

;

建立了单一安全相关系统执行安全功能时目标失效量的一个下限值这些

———E/E/PE,。E/E/

安全相关系统运行在

PE:

低要求运行模式下下限设定成要求时危险失效平均概率为-5

———,10;

高要求或连续运行模式下下限设定成危险失效平均频率为-9

———,10/h。

注3单一安全相关系统不一定是单通道架构

:E/E/PE。

注4对于非复杂系统通过安全相关系统的设计实现更优目标安全完整性是可能的但对于相对复杂的系统例

:,。(

如可编程电子安全相关系统这些限值代表了目前能够达到的水平

),。

Ⅳ

GB/T204382—2017/IEC61508-22010

.:

基于工业实践中获取的经验和判断设定了避免和控制系统性故障的要求即使发生系统性

———,。

故障的可能性一般不能量化但允许为一个特定的安全功能做出声明即如果标

,GB/T20438,

准中的所有要求都满足认为与安全功能相关的目标失效量已达到

,;

引入了系统性能力该能力表明一个组件为满足规定的安全完整性等级要求时系统性安全完

———,,

整性的置信度

;

采用多种原理技术和措施以实现安全相关系统的功能安全但没有明确地使用失

———、E/E/PE,

效安全的概念然而如果能够满足标准中相关条款的要求则失效安全的概念和本质

-。,,“-”“

安全原则可能被应用并且采用这些概念是可接受的

”,。

Ⅴ

GB/T204382—2017/IEC61508-22010

.:

电气/电子/可编程电子安全相关系统的

功能安全第2部分电气/电子/可编程

:

电子安全相关系统的要求

1范围

11的本部分

.GB/T20438

在使用前应充分理解提供了实现功能安全的总体框架

a),GB/T20438.1,GB/T20438.1;

适用于定义的安全相关系统安全相关系统至少包含一种电气电子或可编程

b)GB/T20438.1,、

电子组件

;

适用于安全相关系统中的所有组件包括传感器执行器和操作员界面

c)E/E/PE(、);

规定了如何按照定义的系统安全要求规范由系统安全功

d)GB/T20438.1E/E/PE(E/E/PE

能要求规范和系统安全完整性要求规范组成开发出系统设计要求规范

E/E/PE),E/E/PE;

规定了在安全相关系统的设计和制造过程中即建立系统安全生命周期模

e)E/E/PE(E/E/PE

型除软件外所进行活动的要求软件要求在见图图中给出这些要求

),GB/T20438.3(2~4);

包含了用以避免和控制故障和失效发生的技术和措施的应用并被划分成与安全完整性等级

,

相对应的不同等级

;

规定了执行安全相关系统的安装调试以及最终安全确认所需的信息

f)E/E/PE、;

不适用于安全相关系统的运行和维护阶段这方面内容在