GBT 44062-2024 自动化系统与集成 自动化设备安全评估

自动化系统与集成自动化设备安全评估国家市场监督管理总局国家标准化管理委员会GB/T44062—2024 12规范性引用文件 1 1 4 55.1通则 55.2安全档案样式和格式 75.3声明和论证的充分性 95.4论据的充分性 5.5可接受风险 5.6安全文化 5.7项目范围 6风险评估 6.1通则 6.2故障模型 6.4风险评估 6.5风险消减和消减措施效果评估 IⅢGB/T44062—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。本文件起草单位：北京机械工业自动化研究所有限公司、青岛市标准化研究院、优力标准技术服务(上海)有限公司北京分公司、纳恩博(北京)科技有限公司。IVGB/T44062—2024为了确保在设计过程中以及整个系统生命周期内，以可接受的方式持续全面考虑自动化设备的安全性，为安全自动化设备提供佐证，提出了可用于确定安全档案可接受性的评估标准。本文件主要用于指导制造商、集成商、零部件供应商设计、制造和评估自动化设备时出具的安全档案可以佐证自动化设备的安全性。本文件采用强制性要素、必备要素、强烈推荐要素、推荐要素和合规性作为规范性要素来规范安全档案各条款。不同类型要素的安全档案偏差方法摘要见表1。表1安全档案偏差方法规范性要素摘要强制性要素不准许出现安全档案偏差必备要素安全档案偏差仅适用于因项目的基本性质和/或项目的当前部署状态而本质上不适用的要求。安全档案中记录的所有安全用例偏差均已提供理由。通过影响分析和生命周期跟踪，监控适用性状态变化的可能性强烈推荐要素在有可接受理由的情况下，允许出现安全档案偏差。通过影响分析和生命周期跟踪，监控适用性状态变化的可能性。安全档案中记录的所有安全档案偏差均已提供理由推荐要素可选项目。无需在安全档案中提及。安全档案偏差不需要论据支持合规性通过自我审计和独立评估对各条款的合规性进行评估1GB/T44062—2024自动化系统与集成自动化设备安全评估1范围本文件规定了建立和评估自动化设备安全论证的合规性要求，主要包括安全档案、风险评估等2规范性引用文件本文件没有规范性引用文件。下列术语和定义适用于本文件。足以达到安全档案中确定的整体项目风险。注：这是一个与安全档案的有效性和完整性相关的客观术语，而不是与任何特定评估者的个人观点相关的主观导致系统因故障或危害而可能失效的输入或情况。正确或不安全的项目行为造成系统失效发式搜索以及其他技术)的一般描述。注：该术语属于从广义上进行解释的描述性术语，以涵盖通常不适用于传统软件安全方法的软件。无论其是否涉3.5评估员assessor开展评估的一名或多名人员。2GB/T44062—20243.6审查和评价安全档案。注：本文件包含两种类型的评估：自我评估和第三方独立评估。3.7系统在没有人为直接监督或直接干预的情况下运行。3.9系统自主运行的能力或功能。3.103.11独立评估结果表明该项目的安全档案符合本文件的要求。3.12危害性等级criticalitylevel对未消减危害相关的风险进行分类的级别。3.133.14论据evidence用于支持论证的数据或其他信息。3.15注：需要两个故障包容区域(FCR)来确保在出现随机FCR失效时进行故障检测和/或故障消减。3.16进行故障分析时所考虑的所有故障(及其类型)的说明。注：故障模型能包括多个不同类型的并发故障。3.173所包含的产品部分的合规性所需的所有方面。人员死亡、人身伤害、动物死亡、动物伤害、财产损失、环境破坏或其他实质性不良后果。消减mitigate降低至可接受的风险水平。4GB/T44062—20243.27验证测试prooftest3.28的部件。这不同于提供可接受功能和其他版本控制活动的部件的变化。3.29风险risk损失事件发生的概率以及该损失事件的严重性的组合。3.30系统即使在超出原定规格的情况下仍能继续运行。续正常或降级运行。3.31安全safe3.32安全档案safetycase能在指定环境下安全用于特定用途。3.33将提示要素排除在考虑因素之外的记录。3.343.35独立于场景的要素elementoutofcontext作为安全档案片段和评估主题的一个独立要素。3.36用于量化安全性能的一个指标。4缩略语下列缩略语适用于本文件。5GB/T44062—2024DFMEA:设计失效模式与影响分析(DesignFailureModeandEffectsAnalysis)EooC:非关联要素(ElementoutofContext)ETA:事件树分析法(EventTreeAnalysis)FCR:故障包容区域(FaultContainmentRegion)FMEA:失效模式与影响分析(FailureModeandEffectsAnalysis)FMECA:失效模式、影响及危害性分析(FaFTA:故障树分析法(FaultTreeAnalysis)GPS:全球定位系统(GlobalPositioningSystem)HARA:危害分析与风险评估(HazardAnalysisandRiskAssessment)LoR:严谨性等级(LevelofRigor)MEM:最小内源性死亡率(MinimalEndogenousMortality)NDI:非开发项目(Non-DevelopmentItem)PL:性能水平(PerformanceLevels)PSSA:初始系统安全评估(PreliminarySystemSafetyAssessment)RAM:随机存取存储器(RandomAccessMemory)5安全档案与论证明该项目在界定清晰的运行设计域内及其整个生命周期内均具有可接受的安全性。本条款涉及如下强制性要素：a)根据书面的安全档案来证明合规性：1)使用可接受的安全档案格式(参见5.2);2)提出一个可接受的完整论点，证明所提供的证据支持所定义的声明(参见5.3);3)提供可接受的论据(参见5.4);4)提出可接受的风险(参见5.5);5)阐述安全文化(参见5.6);b)安全档案的配置管理。本条款涉及如下必备要素。a)阐述EooC(参见5.7.3)。b)未包含在安全档案中的其他证据可根据要求提供给独立评估员或自我审计员。示例1:在安全档案中汇总测试结果。可根据要求提供详细信息以及任何其他描述性的证据材料。c)安全档案中未记录且未提供的任何方面在评估过程中应予以忽略。d)除非正在执行EooC评估，否则安全档案涵盖整个产品及其生命周期的所有安全相关方面，包6GB/T44062—20243)计算组件；示例3:附加的自动化设备项目套件评估需确保安全档案中已阐述与基础商业生产设备相关的安全方面。可认为先前对平台的评估具有可信度，但这可能会留下空白，除非该平台经过专门的EooC评估，可用作自动化设备平台。5)在线服务；示例4:根据需要从云基础设施向运营设备提供在线服务器。6)后勤和维护支持；7)假定的基础设施支持。示例5:开发者口头解释为何特定的必备提示要素不适用，但该解释不包含在实际的安全档案中，也不在安全档案引用的任何文档中。尽管评估员可能认为口头解释具有合理性，但如果缺少对必备提示要素的安全档案偏差的书面解释，会导致发现不符合项。如果安全档案经过更新，不符合项的发现就能得到补救，但评估员没有责任这样做。示例6:测试员口头声明测试是在正在部署的特定配置上进行的。但经过实际测试的配置文档已丢失，并且无法以合理的确定性进行重建。如果测试配置的文档对于格式良好的安全档案确有必要，则评估员必须发现由于缺少文档而导致的不符合项，并且可能必须重新进行各项测试。注1:评估员可考虑口头陈述和其他不属于安全档案内容的材料以帮助完成评估过程，但不能用作评估安全档案的支持性论证和/或证据。示例7:直至生命周期内的首次实际应用测试时，安全档案才适用。注2:评估员能在原型开发和可能的封闭式开发测试的同时完成安全档案，但不能在其生命周期的任何时候对在实际应用中运行的设备发布合规性声明。注1:编写本文件旨在帮助支持构建格式良好的安全档案，需采取额外措施来确保操作安全。例如，最终产品标准可能不仅需要符合本文件，还需符合涉及电气安全、消防安全等课题注2:本条款明确要求合规性文件包的格式与安全档案的格式保持一致(即除行政事项外，与评估本身有关的所有事项都是安全档案的一部分)。实际上，可能有各种文件、存储库和工具用于提供证据等详细信息。因此将整7GB/T44062—2024个安全档案放在单个工具或统一格式的数据集中不太实际。但评估需要能访问任何此类材料以进行评估。注3:一般而言，本条对安全论证的结构和内容提出了要求。其他主要条款通常在确定安全档案的完整性时提出本条款涉及如下强制性要素：注：表示法可能没有正式定义的语义。但需提供有关安全档案表示法和方法的最佳可用信息，以促进开发者团队和评估员之间采用尽可能统一的解释。c)评估员访问整个安全档案的权限。安全档案中未提供给评估员的部分在合规性评估中不应使用。本条款涉及如下必备要素：a)遵守安全档案中定义的格式；注：实际上，开发者和自我审计员可能会使用工具和其他支持来简化安全档案的工作。能根据要求提供这些相同的工具和其他支持。c)确定关于论据的归纳要素完整性的推理方法。本条款涉及如下强烈推荐要素。1)对象管理组织(OMG)结构化保证档案元模型(SACM);2)目标结构化构造符号(GSN);4)图尔敏分析。b)使用工具支持来帮助理解和导航安全档案。本条款涉及如下推荐要素：8GB/T44062—2024明显不同的功能或子系统的时候。使用的任何替代格式均能够适度模块化，主要是因为论证结构来源不同或者需要使用更适合特定论证技术挑战的技术。如果使用了多种样式，则适用于每个论证部分的样式对应于明使用的论据应采用规定的可审计格式进行编写。本条款涉及如下强制性要素。a)安全档案中的每组论据均应采用确定的类型(选自一组已确定的类型)进行编写。一类型)。然后根据下一个提示要素，该类型与允许解释论据的元数据相关联。1)语法与语义、数据字段和元数据字段的定义；3)应有一种确定的方法可用来确认非来自可接受数据的任何论据。示例2:可通过项目生命周期内的数据收集来确认主观的专家判断。本条款涉及如下推荐要素：a)解释每类论据的描述性或教程示例；b)避免不受约束的自由文本作为论据的数据类型。高安全档案的可理解性。安全档案中的论点和论证指向应清晰且一致。本条款涉及如下强制性要素：9GB/T44062—2024a)正确使用自然语言；b)在论点和论证中使用单一自然语言；注1:其目的是在整个安全档案中使用的任何自然语言(除了论据外)都是适合项目设计团队使用的单一自然语言。可以备选的自然语言呈现论据。旧版多语言安全档案的合理解决间使用EooC样式的组件安全档案界面。这并不妨碍使用所选自然语言使用者使用额外的数学符号和c)需使用具有项目领域一般技术专长的母语人士能合理理解的语言；注3:目的是为了让不属于设计团队的评估员可访问安全档案论证和论点。评估员不太可能是特定项目细节d)避免实质性歧义。本条款涉及如下必备要素：a)规定并统一使用定义的任何符号；b)在适当的时候使用图表、插图、交互式绘图和其他图形方法来补充文本。本条款涉及如下强烈推荐要素。a)识别、采用和遵循技术写作风格指南，包括语言使用。b)识别、采用并遵循安全档案相关工具接口适用方面的视觉设计语言。c)在安全档案中使用自动分析工具：1)拼写检查器；2)语法检查器；3)检测和更正过于复杂的句子；4)技术写作特定文本样式检查器；5)可追溯性链接检查器。d)突出和谨慎使用限定表述和限制短语。e)为清楚起见，需突出并谨慎使用否定用词，尤其是多重否定。不适用。通过检查安全论证、论据和设计记录来检查合规性。5.3声明和论证的充分性安全档案论点应涵盖所有与安全相关的危害和风险。GB/T44062—2024本条款涉及如下强制性要素。a)以论证论点的形式确定项目安全要求：1)预期功能的安全要求；2)潜在非预期功能的安全要求；示例：当设备处于禁用维护状态时，设备通过响应调度请求移动属于非预期行为。3)关于需避免的不安全行为和状态的安全要求；4)关于缓解项目本身故障的安全要求，包括设计故障和操作故障；5)关于缓解故障条件、异常条件和未指定环境条件的安全要求；6)关于生命周期考虑事项的安全要求，包括更新、检查、维护和b)将每个已识别出的危害映射到至少一个相关安全要求指向的潜在违规约束行为。c)确定每个已识别的危害的可接受的安全等级。不适用。排除与已识别的危害和风险无关的声明。注1:这是一项向后追溯要求，以避免与项目安全实际无关的声明。注2:对于EooC安全档案，将安全档案片段追踪到导出的EooC边界界面的前提是EooC的至少一些用户将拥有更高级别的项目安全档案。不适用。安全档案论证应支持所有已识别的声明。本条款涉及如下强制性要素：b)识别为确定论证的充分性而使用的标准。本条款涉及如下必备要素：a)在论证中运用认知否决因素，对每个论证子树的审查可包括考虑是否有任何额外的认知否决GB/T44062—2024因素适用；注1:其他条款中的许多提示要素均为认知否决因素。注2:实际上这是一种不支持已识别声明的论证缺漏。参见5.7。故障管理控制义务。注3:这是前面关于安全标准合规性评估局限性的缺陷的一个特殊但重要的档案。本条款涉及如下强烈推荐要素：a)避免包含不支持已识别声明的论证；b)避免包含不支持论证的论据。安全档案应避免论证缺陷。a)识别候选逻辑谬误；注1:这会生成一份需要在安全档案中避免的逻辑谬误清单。b)确定识别候选修辞手法。注2:这会生成一份需要在安全档案中避免的修辞手法清单。本条款涉及如下必备要素。a)避免已识别的逻辑谬误。b)避免已识别的修辞手法。1)此缺陷特别包括旧版和EooC组件，包括硬件和/或软件；2)此缺陷特别包括可能与组件相关的项目操作参数的变化。d)缺陷：因无失效前例便对现场工程反馈中的故障打折扣，很容易导致忽视多次失效(若作为一1)因运行情况导致的失效(自主系统可能进入的运行情况),而通常情况下，人工操作员会避GB/T44062—20242)因自主项目故障触发的非典型人为错误失效。消减容易导致：1)忽略不同类型根本原因分布方式的附加复合因素；示例1:项目失效不同类型触发事件的平均到达率尾端分布过重。2)忽略非常见但不可避免的共因事件的潜在影响。示例2:跳秒、GPS日期翻转、夏时制改变或其他计时异常现象。常不会是人工系统操作员的边缘档案。h)缺陷：利用形式方法证明项目的正确性能性。j)缺陷：仅基于未经确认的模拟结果来证明低风险，很容易由于模拟缺陷、建模错误以及在创建模拟的抽象过程中进行的简化而忽略风险。不适用。安全档案应避免包含有缺陷的构建模式。识别潜在关注的有缺陷的构建模式列表。注1:这些包括架构、设计和实施中视为对于项目不可接受的风险或其他不合适的“模式”(这些不是实际使用的模注2:最低清单包括5.3.4.2中列举的识别模式。该清单根据设计团队确定的经验和文献研究进一步扩展。本条款涉及如下必备要素：a)避免已识别的有缺陷的构建模式；GB/T44062—2024不适用。安全档案中的所有论证都应有论据支持。每个论证元素都可追溯到支持论据。不适用。使用以下类别的论据：a)实验数据；b)分析数据；c)程序定义；d)过程合规性；e)开发及验证和确认过程数据；f)验证和确认数据；g)定性分析与主观判断；h)现场工程反馈数据；i)通过现场工程反馈收集论据的占位符；5.4.1.5推荐要素不适用。注1:可追溯性可能是直接的，也可能是间接的，例如可通过分论证和/或分论点。注2:论证结构可包含分论证和其他支撑性信息。但是，每一论证分支最终均应能溯源至支撑它的一个或多个论据元素，且该论据元素的涵盖范围应足够广，可以支撑其论点。缺乏直接或间接的论据支撑(通过子论证)的论GB/T44062—2024论证应包含论据的有效性。本条款涉及如下强制性要素：a)论据的实验设计或其他数据收集策略应记录在安全档案中；b)明确用于确定论据充分性的标准；c)证明论据足以生成可接受的安全档案：1)描述以哪种方式使用论据支持或反驳论证和/或论点的有效性；本条款涉及如下必备要素。a)应在下列全部或部分条件的基础上对每一论据的生命周期进行监测：1)未经证实的专家意见或主观意见；2)数据及书面公共标准文档、公共指导文件或类3)假设。1)可能混淆的实验变量；2)数据中的潜在偏误；3)数据样本数量可能不足。本条款涉及如下强烈推荐要素：a)包括反证和随附的论证；b)包含与创建论据相关的过程合规性论证；c)遵照普遍认同的公共标准监测论据的生命周期；d)缺陷：创建论证之前进行数据收集很容易出现P值篡改。本身是有效的。有效的论据至少有客观、事实数据的支持。注2:收集的潜在认知否决因素和潜在类型的反证实际上是无限的。一些否决因素和反证更有可能在实践中具有相关性。选择指南由本文件中的提示要素提供，另外还根据开发者的经验提供信息。注3:未经证实的专家意见包括未得到所示论据有效支撑的本领域专家所做的陈述。直接根据学术论文、实质性数据等得出的观点，只要声明它是论据的一部分，同时明确证明所引用作品的实验背景适用于安全档案，在这种GB/T44062—20245.4.3论据有效性的支持论据有效性的支持应包括项目中难以再现的方面。识别与论据相关的项目不确定性和无秩序性(如果没有，则如实陈述)。本条款涉及如下必备要素：a)论证并证明因项目不确定性方面及其运行环境导致的无效风险消减(如果没有，则如实陈述);示例1:使用并发管理机制来减轻对时间敏感的并发访问故障，使用种子伪随机数生成器来重现故意不确定示例2:利用故障注入使元素失效，否则这些元素在测试期间很少发生失效。b)论证并证明因系统无秩序性方面及其操作环境导致的无效风险消减(如果没有，则如实陈述);c)所使用的任何度量标准均应符合安全性能指标(SPI)度量标准部分所述的特点。使用数字孪生或类似技术。通过检查安全论证、论据和设计记录来检查合规性。特定测试运行中的有利系统行为而偶然通过测试，则不确定性和无秩序的行为会破坏测试结果的有效性和完5.5可接受风险应识别已接受的风险。确定任何未完全消减的风险的接受标准。GB/T44062—2024本条款涉及如下必备要素。1)未采取消减措施的风险；示例1:被确定为极不可能或在“现实世界”中不可能发生的项目级安全评估潜在危害属于已接受的风2)得到部分消减的风险(即风险未降低到完全可接受水平);3)未知的风险；等公认的行业惯例的消减措施涉及的风险。b)对于所有未得到完全消减的风险(包括已接受的风险),应描述消减水平，证明其消减水平在项目安全档案所述的环境下是可以接受的。这应包括对项目生命周期中每个此类风险的预期结果的评估。描述经认定已完全消减的风险的消减后水平的特征。不适用。注：这包括接受任何剩余的未知风险，如果存在支持这样做的信息(例如，“已知的未知”),则将其分类。此类风险可能不容易量化，但在做出部署决定时已被接受。应通过项目生命周期(即现场工程反馈)跟踪所有已接受的风险。不适用。本条款涉及如下必备要素：a)应对所有已接受风险进行现场工程反馈，确保其实际风险小于或等于项目运行预期结果所述b)现场工程反馈明确考虑了因风险分析误差导致的风险。自动收集事故及损失事件的现场数据，据此判断可接受风险造成的结果是否在每个风险的预期范GB/T44062—2024应明确制造商及其供应链的安全文化在创建安全档案和解决自动化系统风险方面的作用。本条款涉及如下强制性要素。1)在保障安全方面扮演安全人员的角色；2)在保障安全方面扮演非安全人员的角色；3)在保障安全方面扮演管理人员的角色；4)在保障安全方面扮演组织机构中管理职能部门的角色；5)在保障安全方面扮演供应商的角色；6)在保障安全方面扮演生命周期参与者的角色；7)工程开发利益相关者、部署利益相关者和业务盈利利益相关者之间安全角色的独立性；8)高层管理人员对安全角色的关注度和授权。b)所有相关活动均应支持通信与追踪，借此解决所有可能与安全相c)确定一组可接受的与安全文化相关的持续现场工程反馈和持续改进活动。e)应证明执行已确定的活动和其他已识别的因素会产生可接受的安全文化。本条款涉及如下必备要素：a)缺陷：工程、业务和/或运营管理可对负责确保安全的角色施加控制或压力的组织结构容易导b)可以使用经认定可支持潜在安全相关问题交流的安全相关数据的所有活动；c)明确在安全文化的作用，确保通过“根本原因分析”能够有效识别安全档案和安全流程中的本条款涉及如下强烈推荐要素：GB/T44062—2024a)明确评估和管理安全文化用的度量标准和反馈机制；不适用。5.7项目范围本条款涉及如下强制性要素：a)识别和描述安全相关功能；b)识别和描述安全相关组件；c)识别和描述安全相关属性；示例1:在认为风险降低响应时间论证可信时，提供关于危害响应的实时截止时间。d)识别和描述非运营生命周期阶段的安全相关方面；e)识别并描述与安全相关的项目的其他方面；示例2:如果有限的动能是风险消减策略的一部分，则需明确出现的属性，例如系统总重量。f)安全相关功能性的功能要求；g)已识别故障模型的可接受范围(参见6.2);h)每个已识别要素的验证和确认范围分析。本条款涉及如下必备要素：a)安全相关异常处理能力；b)缺陷：为安全相关组件和功能提供数据或以其他方式影响其运行的组件和功能本身与安全相不适用。不适用。通过考虑部分合规性检查来检查合规性，包括在安全档案中以可追溯的方式包含适用的每个提示GB/T44062—2024要素。注：本条款的主要目标是确保识别可能导致或消减风险的项目方面，以确保其包含在安全档案中。安全档案应描述项目的运行概念。本条款涉及如下强制性要素：a)任务能力概述；b)安全目标概述；c)风险消减策略概述；e)安全相关功能概述；f)项目操作模式概述。不适用。通过检查安全档案来检查合规性。注：本条款旨在提供项目的概述，特别是提供理解安全档案所需的上下文信息。5.7.3非关联要素(EooC)接口安全档案中任何评估的EooC与安全档案其余部分之间的边界应包括指定的接口。不适用。本条款涉及如下必备要素：a)在安全档案中识别EooC边界(如有);b)对于每个EooC边界：1)已评估的EooC属性列表；3)EooC故障模型；4)确定EooC评估中未考虑的任何本文件条示例：纯粹的硬件EooC可能会认为与软件相关的条款超出了EooC评估的范围。需将遵循这些条款的全部责任纳入包含EooC的安全档案中。5)使用评估报告的与项目安全档案语言相同的EooC评估报告；注：这可能需要将EooC安全报告从用于组件安全档案的语言翻译成项目安全档案中所使用的语言。GB/T44062—2024不适用。不适用。注1:此处使用的EooC概念是通用的，并且不限于组件的功能安全方面，就像在功能安全标准中使用非关联要素(EooC)一词时可能出现的情况一样。针对EooC在安全论证中的全部使用范围，对EooC进行评估。注2:需记录EooC假设和属性列表，以确保相关人员都知晓。随着在组件生命周期中发现额外的假设和属性，需添加这些假设和属性。添加额外的假设或属性可能会导致使用EooC的更高级别的安全档案无效。评估标准已超出本文件的范围。6风险评估安全档案应识别相关风险并论证可接受的消减措施。本条款涉及如下强制性要素：a)识别故障模型(参见6.2);b)识别危害(参见6.3);c)风险评估(参见6.4);d)风险消减和评估消减效果(参见6.5)。不适用。a)确定和使用项目总风险求和法；b)计算出的事故发生概率提供了整个因果链的概率和置信度。除非与置信度相结合，否则认为概率是无限的。贝叶斯概率估计作为需要估计风险发生概率的风险的评估方法。通过考虑部分合规性检查来检查合规性，包括在安全档案中以可追溯的方式包含适用的每个提示GB/T44062—2024要素。注：对于接受基于不正确或变得不正确的假设的情况，仍会监控已接受的风险，以缓解这种情况。即使项目设计中论证时应为自动化设备的安全相关方面定义针对性的故障模型。本条款涉及如下强制性要素。a)为与故障分析相关的每个安全相关项目组件、特征或其他方面确定的故障模型。b)设计故障模型：2)软件故障模型。c)制造故障模型。d)运行故障模型。e)非运行故障模型。示例：与老化有关的组件退化，由于在储存时缺乏操作而导致的退化。f)维护故障模型。h)项目操作故障模型。i)工具故障模型。j)随机故障。k)系统性故障。l)单一故障；2)同一个原因导致的多个故障；3)在项目的生命周期内累积多个故障；m)未检测到的(潜在)故障。本条款涉及如下必备要素：a)每个安全相关组件或功能正确或按要求运行的安全相关期望模型；示例1:失效保护装置异常过度的功耗会耗尽电池电源，从而禁用失效保护功能。在这种情况下，规定的功耗注2:组件级随机失效模式是下一个更高抽象级别的随机故障症状，因此在此上下文中被称为随机故障。GB/T44062—2024c)缺陷：过于简单的故障模型往往无法用于描述基于计算机的项目中的故障。本条款涉及如下强烈推荐要素：b)包含检测到但未通知的故障；c)使用拜占庭组件故障模型(包括危险的误导信息);不适用。通过考虑部分合规性检查来检查合规性，包括在安全档案中以可追溯的方式包含适用的每个提示要素。软件故障模型应包括一系列可接受的广泛的潜在软件故障和失效。本条款涉及如下强制性要素：a)工具链故障；示例1:工具生成不正确的软件映像或配置。b)不正确的要求和算法；示例2:包含错误版本的库。示例3:部署的软件映像与经过确认的软件映像不同。g)数据报告工具故障；示例4:事故数据报告工具报告错误。h)编码缺陷；i)在运行时损坏数据的缺陷；j)损坏硬件运行时配置的缺陷；k)定时故障；1)竞态条件。GB/T44062—2024a)使用硬件描述语言(HDL)导致的故障。b)第三方组件故障。c)配置报告工具故障。d)工具校准和使用错误。示例2:与配置数据编译工具联用的校准变量定义不正确，运行静态分析工具或编译器时使用的命令行参数e)与进入和执行安全相关软件的监督部分相关的故障和失效。示例3:可能由中断服务程序和/或操作系统调度引起的并发故障、定时故障和数据并发故障；以破坏系统调度的方式中断禁用。f)第三方组件内嵌的软件缺陷。示例4:传感器固件缺陷、网络适配器固件缺陷、存储模块固件缺陷。g)损坏的数据。h)边界值错误。示例5:差一错误、对边界情况的不正确处理、数组大小边界处的数组索引值。i)异常值错误。示例6:空指针、无穷大浮点、零长度字符串。j)超范围值故障。k)损坏内存的软件故障。2)程序存储器。1)导致硬件性能不正确的软件故障。示例8:硬件配置的软件损坏，包括时钟频率分频器、输入/输出引脚配置和电源管理设置。m)未通过完整性检查的软件缺陷。示例9:虚假看门狗定时器触发。n)软件组件崩溃。o)软件组件挂起。p)软件组件错过实时截止日期。1)计时溢出；示例10:计时器翻转。2)计时四舍五入；示例11:32位浮点表示时间在以十分之一秒递增时会出现舍入误差。3)不正确地处理计时不连续性。本条款涉及如下强烈推荐要素：a)系统性故障和错误的其他来源；b)恶意数据故障的指定故障模型；c)恶意数据故障的无界模型，唯一的例外是对手不知道密钥值。6.2.2.5推荐要素不适用。通过检查设计和验证并确认证据以及演示来检查合规性。6.2.3微电子和电子硬件故障模型6.2.3.1通用要求微电子和电子硬件故障模型应包括一系列可接受的潜在运行时故障和失效以及制造故障和失效。6.2.3.2强制性要素本条款涉及如下强制性要素：a)电源设备故障；b)热故障；c)IC制造故障；d)嵌入式固件缺陷；e)单一事件扰乱。6.2.3.3必备要素本条款涉及如下必备要素。a)机器时钟故障。b)勘误表和设计缺陷。c)电源故障的具体类型：1)欠压(掉电);2)无法激活掉电保护的快速瞬态功率峰值；3)过压：由于调节器故障，由于外部施加高压，由于电源线故障。4)电源相位和极性故障：反极性电池安装，施加反极性直流外接电压，与不匹配的交流相位角耦合，与错误的交流三相旋转方向耦合；5)至少失去一个电源电压；示例2:由于高电流需求导致编程期间电源电压下降，因此非易失性存储单元编程较差。7)电压调节故障，片外稳压器，片上稳压器；8)通过信号输入提供反馈或寄生电源。示例3:由于反馈供应，处理器无法关闭或以异常方式运行。d)容易发生此类故障的小型几何器件的多个相邻单一事件扰乱故障。e)设计变更。示例4:自最近一次设计确认以来的掩模变化、芯片缩小、温度认证范围变化、特定组件的供应商变化(例GB/T44062—2024f)寿命有关设备的过度循环。示例5:导致电池损耗的过多EEPROM周期。g)内存退化。示例6:非易失性存储器的刷新故障、存储电荷随时间丢失。本条款涉及如下强烈推荐要素。a)单一事件扰乱故障模型：1)存储单元故障；注1:小型几何单元可能会因单一事件扰乱而对多个物理上邻近2)随机逻辑故障；3)配置注册表故障；4)存储控制器逻辑。c)IC偏置。示例2:MEMS惯性导航传感器偏移。不适用。通过检查设计和验证并确认证据以及演示来检查合规性。传感器故障模型应包括一系列可接受的潜在运行时故障和失效以及制造故障和失效。本条款涉及如下强制性要素：a)传感器失效；c)物理传感器不达标(部分或全部失效);d)传感器组件退化；e)操作和存储过程中的不利传感器环境条件；f)传感器对准或校准丢失；GB/T44062—2024示例3:延迟或不正确的时间戳数据、过多j)配置故障。示例4:配置数据，不兼容的版本。示例3:Babblingidiot。示例6:错误检测码的汉明距离不足以适应操作环境；错误检测能力实施不正确，提供降低的位错误检测GB/T44062—2024示例7:对计时不连续性的不一致处理，例如跳秒，在存在故障节点的情况下时间同步不够稳健，项目和远程设备之间的计时差异。1)通信特征的不正确行为；2)通信特征模糊；3)人类未能注意到通信特征；4)人类对通信特征的错误解释；5)人为疏忽的错误；6)人为错误；7)人为失误；8)故意或挑衅地不遵守通信特征的意图。网络终端不兼容。本条款涉及如下推荐要素：a)在安全计划范围内的恶意拒绝服务；c)安全计划范围内的其他恶意通信故障。通过检查设计和验证并确认证据以及演示来检查合规性。数据故障模型应包括一系列可接受的数据相关故障和失效。本条款涉及如下强制性要素：a)数据存储故障；b)数据传输故障。本条款涉及如下必备要素。a)数据值错误：2)未检测到的数据值损坏；3)数据值不正确；4)数据格式和/或单位不正确；5)过时的数据值；GB/T44062—2024示例1:尽管增加了时间戳，但数据值未更新。示例2:64位浮点值转换为16位整数值导致溢出。1)损坏的元数据；2)元数据不正确；3)版本控制和/或配置信息不正确；1)遗漏和/或丢失的数据；2)延迟数据；3)数据序列的顺序错误；1)数据保留时间不够长；2)数据保留时间过长；芯片宽度的错误。示例2:由于软件缺陷，与数据关联的报文标题不正确。示例3:动态RAM刷新失败，检测到瞬时存储检索故障后重试导致延迟。1)对电源/接地短路；4)相邻导体和/或引脚之间的电阻短路；5)开路连接；示例3:每条接地轨迹和接地轨迹组合的浮动接地。示例5:通过硬件FMEA、FMECA结果识别。示例6:与散热器失去热接触，组件产生过多热量。f)EMI/EMC(电磁干扰/电磁兼容性)。示例7:电磁屏蔽故障。GB/T44062—2024机械和非电子故障模型应包括一系列可接受的潜在运行时故障和失效以及制造故障和失效。不适用。关失效有关：本条款涉及如下强烈推荐要素。1)冲击；2)振动；4)区域损伤隔离。b)温度过高：2)环境条件太冷；3)温度调节能力丧失。g)辅助机械动力：1)液压系统；2)气动系统；3)真空辅助。h)支撑结构。j)与最终产品应用相关的其他已确定的标准和最佳实践。GB/T44062—2024不适用。通过检查设计和验证并确认证据以及演示来检查合规性。程序性故障模型应包括一系列可接受并程序规避的潜在故障和失效。本条款涉及如下强制性要素。b)操作程序执行故障。c)超出规范的日常维护。d)维护程序定义故障。e)维护程序执行故障。f)超出规范的纠正性维护。g)配置管理故障。2)错误；3)偏差；4)不完整或部分执行。本条款涉及如下必备要素：a)由不合格人员进行维护；b)由不合格人员执行操作；c)软件更新故障；d)执行非软件召回时的故障。本条款涉及如下强烈推荐要素：a)未经许可由人员维护；b)导致系统行为或性能发生潜在危险变化的维护。未经许可由人员操作。GB/T44062—2024通过检查设计和验证并确认证据以及演示来检查合规性。项目级故障模型应包括一系列可接受的故障和失效。本条款涉及如下强制性要素。a)在设计的运行环境之外操作：1)项目故障引起的运行环境偏移；2)环境变化引起的运行环境偏移；3)意外尝试在运行环境之外使用。b)暴露在超出设计规范的环境条件下：2)非操作风险。c)环境变化导致运行环境模型失效。不适用。故意尝试在运行环境之外使用。不适用。通过检查设计和验证并确认证据以及演示来检查合规性。基础设施故障模型应包括一系列可接受的故障和失效。定义的故障模型至少包括以下内容(当适用于每个已识别的安全相关方面时):GB/T44062—2024b)位置或信息不正确；c)基础设施维护故障；示例2:油漆其他溢出物遮盖标记、灌木遮盖标志、磨损的轨迹标记、日晒褪色的标志。e)因天气或其他操作条件而被遮挡或退化；f)实际状态与项目模型状态的差异。示例4:物理位置与映射位置不一致，物理特征与映射的特征模型不一致。本条款涉及如下强烈推荐要素：b)位置不正确；示例1:停止线位置不正确。c)类型不正确；d)暂时性故障或变更。示例3:维护期间导航设备中断、灯断电。应识别潜在的相关危害。本条款涉及如下强制性要素。1)每种危害都有相应的危害消减方法；2)每种危害的消减状态保持最新，并跟踪直至消减后风险达到可接受或已接受的水平。b)识别所列危害达到的可接受LoC。注1:这使安全档案的创建者有义务为危害识别确定目标LoC。评估标准包括：(1)已确定LoC;(2)根据反馈要求，可通过反馈机制发现任何定义级别不够严谨的问题。c)包含与紧急特性和组件相互作用相关的危害。示例：由于高复杂性操作环境中的处理器过载而错过了计时截止日期。注2:由组件相互作用引起的紧急特性和危害很难分配到单个组件级别的危害，但仍然存在风险。GB/T44062—2024a)危害日志符合其定义的LoC;b)更新危害日志以应对新识别的危害；c)结合本文件所有条款所识别的危害和风险；d)其他NDI带来的危害。本条款涉及如下强烈推荐要素。a)使用下列一种或多种危害识别技术：1)失效模式与影响分析(FMEA);2)失效模式、影响及危害性分析(FMECA);3)定性故障树分析(定性FTA);4)设计失效模式与影响分析(DFMEA);5)失效模式与影响分析-监控和系统响应(FMEA-MSR);6)失效模式、影响及诊断分析(FMEDA);7)危害与可操作性分析(HAZOA);8)危害分析与风险评估(HARA);9)共因失效(CCF)分析；10)共模分析(CMA);11)区域安全性分析(ZSA);12)系统功能危害分析(SFHA);13)系统理论过程分析(STPA);14)最终产品标准危害清单；b)在以下每个类别中使用至少一种技术：1)自下而上的分析方法；3)非基于故障的分析方法。c)缺陷：采用FMEA、FMECA和DFMEA等自下而上的方法容易忽略因组件相互作用及相关注：这个缺陷促使自下而上的方法与FTA和ETA等自上而下的方法相结合。起的危害。通过检查危害日志和危害分析工作成果来检查合规性。注1:根据以往经验并采用适当技术填写危害日志。根据最终产品用途，组合采用多种方法来识别危害，确保涵盖GB/T44062—2024注2:其他要求条款对危害日志的内容提出了更多要求。非规范性摘要是指危害日志可能包括：a)更新的且可追溯至解决方案的危害列表(参见6.3.1);c)初始风险(参见6.4.1);注3:本文件的许多条款中均包含各类危害和风险的识别。所有此类已识别的危害和风险都旨在纳入危害日志并根据第6章进行跟踪以消减风险，即使其他条款中没有具体说明。6.4.1.1通用要求危害日志记录了每种危害的危害性等级和初始风险。a)使用下列一种或多种风险评估方法：1)风险表；2)风险方程式(加权概率乘以严重性);3)故障树分析法(FTA);4)事件树分析法(ETA);5)初步项目安全评估(PSSA);6)危害分析与风险评估(HARA);8)系统-理论事故模型与过程(STAMP);9)现场工程反馈；10)其他相关风险评估方法。b)使用完整性等级和相关技术：示例1:为避免此缺陷，FTA工具可能需要支持同一元素出现在多个分支中，并支持在执行可2)缺陷：定量技术的准确性取决于若干输入，并且容易出现不准确的发生概率分配；3)缺陷：对于高严重性事件，定量技术容易导致数值估计不准确和对数值估计过于乐观；示例2:福岛核电站在2011年3月11日事件之前对海啸风险的估计。率等方式进行的风险接受论证很容易导致低估风险；GB/T44062—2024性的处理停止)与故障积极危险行为(假设失效可能产生不正确的7)缺陷：依赖人工操作员操作的传统风险评估结果容易将执行同等风险消减措施的义务赋使用在公认的领域相关功能安全标准中定义的完整性等级。通过检查用每种技术及危害日志获得的工作成果来检查合规性。示方法和计量单位是与风险可接受标准保持一致的。估流程将其排除在追踪对象之外。危害日志还包含指定的危害性及风险。注3:其他条款为下列事项提出了最低净需求，即要对生命攸关和非生命攸关的安全性能定义不同的完整性等级注4:请注意，PSSA和HARA是阶段/活动，而FTA和ETA是可能用于执行这些活应将人类生命攸关风险和重大伤害风险明确定义为重大危害性等级。本条款涉及如下强制性要素：a)在危害日志中确定人类生命攸关风险(如果没有，则如实陈述);b)在危害日志中确定重大人身伤害风险(如果没有，则本条款涉及如下必备要素：a)对操作者构成生命攸关风险和重大人身伤害风险；b)对于被视为非实质性的理论生命攸示例：认为具有生命攸关严重性的风险极其不可信(例如，预计在部署的所有系统集的生命周期内永远不会出现这种风险),因此其被确定为非实质性风险。通过现场工程反馈监控，确定是否发生与此风险相关的事本条款涉及如下强烈推荐要素：GB/T44062—2024a)安全档案中实质性人类生命攸关风险定义为在部署自动化设备的整个生命周期内，在运行环境内更有可能导致一人或多人死亡的风险；b)如果一项风险在部署自动化设备的整个生命周期内很有可能导致运行环境法律法规中定义的非致命“严重伤害”,则该风险应被视为安全档案所定义的实质性重大人身伤害风险。不适用。通过检查分析及危害日志中的工作成果来检查合规性。注1:实际上，本条款要求至少采用两种危害性等级：生命攸关和重大伤害。只要危害性等级法完全(至少)涵盖了生命攸关级和严重伤害级，使用更加细化(精确)的危害性等级(包括非严重等级)是可以接受的。反过来，每一危害性等级还会对安全相关功能和组件的完整性提出要求。虽然非人为损失事件(例如，财产损失)到危害性等级的映射不受限制，但在某些系统中，如果单一损失事件或一组共因损失事件可能导致广泛的环境或财注2:跨组件和功能边界进行的安全相关性追踪是必要的(例如，向安全相关功能提供数据的传感器本身是安全相关的，除非可以证明安全相关功能本身消减了该传感器的失效风险)。6.4.3项目级可接受的风险应在项目级规定可接受的风险。本条款涉及如下强制性要素：a)确定所使用的风险模型，包括任何计算方法；示例：风险=概率×严重性；已定义的风险表。b)根据风险模型，确定可接受的项目级风险标准。本条款涉及如下必备要素。a)使用至少一种：1)最低合理可行(ALARP);2)综合最优(GAMAB);3)最小内源性死亡率(M