GB/T 20438.6-2017电气/电子/可编程电子安全相关系统的功能安全第6部分：GB/T 20438.2和GB/T 20438.3的应用指南

ICS25040

N10.

中华人民共和国国家标准

GB/T204386—2017/IEC61508-62010

.代替:

GB/T20438.6—2006

电气/电子/可编程电子安全相关系统的

功能安全第6部分GB/T204382和

:.

GB/T204383的应用指南

.

Functionalsafetyofelectrical/electronic/programmableelectronicsafety-related

systems—Part6GuidelinesontheapplicationofGB/T204382andGB/T204383

:..

(IEC61508-6:2010,Functionalsafetyofelectrical/electronic/programmable

electronicsafety-relatedsystems—Part6:Guidelinesontheapplicationof

IEC61508-2andIEC61508-3,IDT)

2017-12-29发布2018-07-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

中华人民共和国

国家标准

电气/电子/可编程电子安全相关系统的

功能安全第6部分GB/T204382和

:.

GB/T204383的应用指南

.

GB/T20438.6—2017/IEC61508-6:2010

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号

2(100029)

北京市西城区三里河北街号

16(100045)

网址

:

服务热线

:400-168-0010

年月第一版

201711

*

书号

:155066·1-57856

版权专有侵权必究

GB/T204386—2017/IEC61508-62010

.:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………3

定义和缩略语

3……………3

附录资料性附录和的应用

A()GB/T20438.2GB/T20438.3………4

附录资料性附录硬件失效概率评估技术示例

B()……………………11

附录资料性附录诊断覆盖率和安全失效分数的计算

C()……………67

附录资料性附录系统中与硬件相关的共因失效影响的量化方法

D()E/E/PE……70

附录资料性附录中软件安全完整性表的应用示例

E()GB/T20438.3……………83

参考文献

……………………97

图的整体框架

1GB/T20438……………2

图的应用

A.1GB/T20438.2……………7

图的应用图续

A.2GB/T20438.2(A.1)………………8

图的应用

A.3GB/T20438.3……………10

图完整安全回路的可靠性框图

B.1……………………12

图两个传感器通道配置示例

B.2………………………15

图子系统结构

B.3………………………18

图物理框图

B.41oo1……………………19

图可靠性框图

B.51oo1…………………19

图物理框图

B.61oo2……………………19

图可靠性框图

B.71oo2…………………20

图物理框图

B.82oo2……………………20

图可靠性框图

B.92oo2…………………20

图物理块图

B.101oo2D…………………21

图可靠性框图

B.111oo2D………………21

图物理框图

B.122oo3……………………22

图可靠性框图

B.132oo3…………………22

图低要求运行模式架构示例

B.14………………………31

图高要求或连续运行模式的架构示例

B.15……………43

图带有结构传感器的简单完整的回路的可靠性框图

B.162oo3……45

图与可靠性框图等效的简单故障树模型

B.17B.1……………………46

图等效故障树可靠性框图

B.18/………………………46

图单一周期测试部件瞬时不可用率Ut

B.19()………48

图使用故障树时的PFD计算原理

B.20avg……………48

Ⅰ

GB/T204386—2017/IEC61508-62010

.:

图交错测试的影响

B.21…………………49

图复杂测试模式实例

B.22………………50

图对一个双部件系统的马尔可夫图形建模

B.23………51

图多相马尔可夫建模原理

B.24…………52

图利用多相马尔可夫方法得出的锯齿形曲线

B.25……………………53

图马尔可夫近似模型

B.26………………53

图由于要求本身失效的影响

B.27………………………54

图测试时间影响建模

B.28………………54

图包含和失效的多相马尔可夫模型

B.29DDDU……………………55

图改变逻辑至而不是对首次失效进行维修

B.30(2oo31oo2)………56

图带吸收态的可靠度马尔可夫图

B.31“”………………56

图无吸收态的可用度马尔可夫图

B.32“”………………58

图单个周期性测试部件的佩特里网模型

B.33…………59

图佩特里网建模共因失效和维修资源

B.34……………61

图使用可靠性框图构建佩特里网和辅助佩特里网用于PFD和PFH计算

B.35(Petri)…………62

图出现失效和修复的单部件的简易的佩特里网模型

B.36……………63

图通过形式化语言进行功能和功能障碍建模示例

B.37………………64

图不确定性传递原理

B.38………………65

图各个通道失效与共因失效的关系

D.1………………72

图冲击模型的故障树实现

D.2…………81

表本附录中使用的术语及其范围应用于

B.1(1oo1、1oo2、2oo2、1oo2D、1oo3、2oo3)………………16

表检验测试时间间隔为个月平均恢复时间为时要求时的平均失效概率

B.26,8h,……………23

表检验测试时间间隔为年平均恢复时间为时要求时的平均失效概率

B.31,8h,………………25

表检验测试时间间隔为年平均恢复时间为时要求时的平均失效概率

B.42,8h,………………27

表检验测试时间间隔为年平均恢复时间为时要求时的平均失效概率

B.510,8h,………………29

表低要求运行模式示例中传感器子系统在要求时的平均失效概率检验测试时间间隔

B.6(

为年MTTR为

1,8h)…………31

表低要求运行模式示例中逻辑子系统在要求时的平均失效概率检验测试时间间隔

B.7(

为年MTTR为

1,8h)…………32

表低要求运行模式示例中最终元件子系统在要求时的平均失效概率检验测试时间间隔

B.8(

为年MTTR为

1,8h)…………32

表非完善检验测试的示例

B.9…………33

表检验测试时间间隔为个月平均恢复时间为的平均危险失效频率高要求或连续

B.101、8h(

运行模式下

)……………………35

表检测测试时间间隔为个月平均恢复时间为的平均危险失效概率高要求或连续

B.113,8h(

运行模式下

)……………………37

表检验测试时间间隔为个月平均恢复时间为的平均危险失效概率高要求或连续

B.126、8h(

运行模式下

)……………………39

表检验测试时间间隔为年以及平均恢复时间为的平均危险失效概率高要求或连续

B.1318h(

运行模式下

)……………………41

表高要求或连续运行模式架构示例中传感器子系统平均危险失效频率检验测试的时间

B.14(

间隔为个月MTTR为

6,8h)…………………43

Ⅱ

GB/T204386—2017/IEC61508-62010

.:

表高要求或连续运行模式架构示例中逻辑子系统平均危险失效频率检验测试的时间

B.15(

间隔为个月MTTR为

6,8h)…………………44

表高要求或连续运行模式架构示例中最终元件子系统平均危险失效频率检验测试的

B.16(

时间间隔为个月MTTR为

6,8h)……………44

表诊断覆盖率和安全失效分数的计算范例

C.1………68

表不同组件的诊断覆盖率和有效性

C.2………………69

表可编程电子或传感器或最终元件的评分

D.1………75

表Z值可编程电子

D.2:…………………77

表Z值传感器或最终元件

D.3:…………78

表β和β的计算

D.4intDint…………………78

表冗余级别高于的系统的β的计算

D.51oo2…………79

表可编程电子的示例值

D.6……………79

表软件安全要求规范

E.1………………84

表软件设计与开发软件架构设计

E.2:…………………84

表软件设计与开发支持工具和编程语言

E.3:…………86

表软件设计与开发详细设计

E.4:………………………86

表软件设计和开发软件模块测试和集成

E.5:…………87

表可编程电子集成硬件和软件

E.6()…………………87

表系统安全确认的软件方面

E.7………………………88

表软件修改

E.8…………………………88

表软件验证

E.9…………………………89

表功能安全评估

E.10……………………89

表软件安全要求规范

E.11………………90

表软件设计与开发软件架构设计

E.12:………………91

表软件设计与开发支持工具及编程语言

E.13:………92

表软件设计与开发详细设计

E.14:……………………92

表软件设计与开发软件模块测试和集成

E.15:………93

表可编程电子集成硬件和软件

E.16()…………………94

表软件方面的系统安全确认软件安全确认

E.17()……………………94

表修改

E.18………………95

表软件验证

E.19…………………………95

表功能安全评估

E.20……………………96

Ⅲ

GB/T204386—2017/IEC61508-62010

.:

前言

电气电子可编程电子安全相关系统的功能安全分为七个部分

GB/T20438《//》:

第部分一般要求

———1:;

第部分电气电子可编程电子安全相关系统的要求

———2://;

第部分软件要求

———3:;

第部分定义和缩略语

———4:;

第部分确定安全完整性等级的方法示例

———5:;

第部分和的应用指南

———6:GB/T20438.2GB/T20438.3;

第部分技术和措施概述

———7:。

本部分为的第部分

GB/T204386。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替电气电子可编程电子安全相关系统的功能安全第部分

GB/T20438.6—2006《//6:

和的应用指南与相比主要技术变化如下

GB/T20438.2GB/T20438.3》,GB/T20438.6—2006,:

增加了评估硬件失效概率的方法如故障树马尔科夫模型佩特里网等见附录

———,、、(B);

增加了不同结构共因失效因子的方法见附录

———(D.7)。

本部分使用翻译法等同采用电气电子可编程电子安全相关系统的功能安全

IEC61508-6:2010《//

第部分和的应用指南

6:IEC61508-2IEC61508-3》。

本部分做了下列编辑性修改

:

为与现有标准系列一致将标准名称改为电气电子可编程电子安全相关系统的功能安

———,《//

全第部分和的应用指南

6:GB/T20438.2GB/T20438.3》

本部分由中国机械工业联合会提出

。

本部分由全国工业过程测量控制和自动化标准化技术委员会归口

(SAC/TC124)。

本部分起草单位机械工业仪器仪表综合技术经济研究所北京国电智深控制技术有限公司北京

:、、

和利时系统工程有限公司上海黑马安全自动化系统有限公司皮尔磁工业自动化贸易上海有限公

、、()

司横河电机中国有限公司上海工业自动化仪表研究院上海中沪电子有限公司西门子中国有限

、()、、、()

公司

。

本部分主要起草人史学玲熊文泽潘钢杨柳黄之炯李佳嘉周有铮姜雪莲钱大涛冯晓升

:、、、、、、、、、、

罗安李佳刘晓东方来华田雨聪顾峥鲁毅梅豪许鹏申弢

、、、、、、、、、。

本部分所代替标准的历次版本发布情况为

:

———GB/T20438.6—2006。

Ⅴ

GB/T204386—2017/IEC61508-62010

.:

引言

由电气和电子器件构成的系统多年来在许多应用领域中执行其安全功能以计算机为基础的系

,。

统一般指可编程电子系统在其应用领域中用于执行非安全功能并且也越来越多地用于执行安全功

(),

能如果要安全并有效地使用计算机技术有关决策者在安全方面有充足的指导并据此做出决定是十

。,

分必要的

。

针对由电气和或电子和或可编程电子组件构成的用来执行安全功能的

GB/T20438//(E/E/PE)、

系统安全生命周期的所有活动提出了一个通用的方法采用统一的方法的目的是为了针对所有以电

,。

为基础的安全相关系统提出一种一致的合理的技术方针主要目标是促进基于系列标

、。GB/T20438

准的产品和应用领域国家标准的制定

。

注1在参考文献中给出了基于系列标准的产品和应用领域标准的例子见参考文献

:GB/T20438([1],[2],[3])。

在许多情况下可用多种基于不同技术如机械的液压的气动的电气的电子的可编程电子的

,(、、、、、

等的系统来保证安全因而不得不考虑各类安全策略不仅要考虑单个系统中的所有组件的问题如

)。,(

传感器控制器执行器等还要考虑不同安全相关系统组合后的问题因此当在关注电

、、),。GB/T20438

气电子可编程电子安全相关系统的同时也提供了一个框架在这个框架内基于其他技

//(E/E/PE),,,

术的安全相关系统也可被考虑进去

。

在各种应用领域里存在着许多潜在的危险和风险包含的复杂性也各不相同从而需应用不同的

,,,

安全相关系统对每个特定的应用根据特定应用的许多因素来确定所需的安全措施

E/E/PE。,。

作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施

GB/T20438。

GB/T20438

考虑了当使用系统执行安全功能时所涉及的整体安全生命周期系统安全

———E/E/PE,、E/E/PE

生命周期以及软件安全生命周期的各阶段如初始概念整体设计实现运行和维护到退役

(、、、);

针对飞速发展的技术建立一个足够健全且广泛满足未来发展需求的框架

———,;

使涉及安全相关系统的产品和应用领域的国家标准得以制定在的框

———E/E/PE;GB/T20438

架下产品和应用领域的国家标准的制定在应用领域和交叉应用领域具有高度一致性如基本

,(

原理术语等这将既具有安全性又具有经济效益

,);;

为实现安全相关系统所需的功能安全提供了编制安全要求规范的方法

———E/E/PE,;

采用了一种可确定安全完整性要求的基于风险的方法

———;

引入安全完整性等级用于规定安全相关系统所要执行的安全功能的目标安全完整

———,E/E/PE

性等级

;

注2没有规定每个安全功能的安全完整性等级的要求也没有规定如何确定安全完整性等级而是

:GB/T20438,。

提供了一种基于风险概念的框架和技术范例

。

建立了安全相关系统执行安全功能的目标失效量这些量都同安全完整性等级相

———E/E/PE,

联系

;

建立了单一安全相关系统执行安全功能时目标失效量的一个下限值这些

———E/E/PE,;E/E/PE

安全相关系统运行在

:

低要求运行模式下下限设定成要求时危险失效平均概率为-5

———,10;

高要求或连续运行模式下下限设定成危险失效平均频率为-9

———,10/h。

注3单一安全相关系统不一定是单通道架构

:E/E/PE。

注4对于非复杂系统通过安全相关系统的设计实现更优目标安全完整性是可能的但对于相对复杂的系统例

:,。(

如可编程电子安全相关系统这些限值代表了目前能够达到的水平

),。

Ⅵ

GB/T204386—2017/IEC61508-62010

.:

基于工业实践中获取的经验和判断设定了避免和控制系统性故障的要求即使发生系统性故

———,;

障的可能性一般不能量化但允许为一个特定的安全功能做出声明即如果标准

,GB/T20438,

中的所有要求都满足认为与安全功能相关的目标失效量已达到

,;

引入了系统性能力该能力表明一个组件为满足规定的安全完整性等级要求时系统性安全完

———,,

整性的置信度

;

采用多种原理技术和措施以实现安全相关系统的功能安全但没有明确地使用失

———、E/E/PE,

效安全的概念然而如果能够满足标准中相关条款的要求则失效安全的概念和本质

-。,,“-”“

安全原则可能被应用并且采用这些概念是可接受的

”,。