(高清版)GB∕T 38874.1-2020 农林拖拉机和机械 控制系统安全相关部件 第1部分：设计与开发通则

ICS65.060.01;35.240.99GB/T38874.1—2020/ISO25119-1:2018农林拖拉机和机械控制系统安全相关部件第1部分：设计与开发通则controlsystems—Part1:Generalprinciplesfordesignanddevelopment(ISO25119-1:2018,IDT)国家市场监督管理总局国家标准化管理委员会GB/T38874.1—2020/ISO25119-1:2018GB/T38874《农林拖拉机和机械控制系统安全相关部件》分为以下4个部分：——第1部分：设计与开发通则；——第2部分：概念阶段；-—第3部分：软硬件系列开发；本部分为GB/T38874的第1部分。本部分按照GB/T1.1—2009给出的规则起草。本部分使用翻译法等同采用ISO25119-1:2018《农林拖拉机和机械控制系统安全相关部本部分由中国机械工业联合会提出。本部分由全国农业机械标准化技术委员会(SAC/TC201)归口。I1GB/T38874.1—2020/ISO25119-1:2018农林拖拉机和机械控制系统安全相关部件GB/T38874的本部分规定了控制系统安全相关部件(SRP/CS)设计与开发通则。本部分适用于扫机)。——农用飞机和农用飞行器； 本部分规定了SRP/CS执行安全相关功能所要求的特性及类别，未规定用于特定场合的性能等级。注1:机械特定C类标准可为其范围内的机械安全相关功能指定农业性能等级(AgPL)。否则，AgPL的规范由制本部分适用于与机电系统有关的电气/电子/可编程电子系统(E/E/PES)的安全部件。本部分涵盖了E/E/PES安全相关系统(包括这些系统间的交互)的故障行为可能造成的危险。本部分不涉及触安全系统故障引起。本部分还涵盖了在非E/E/PES危险下E/E/PES安全相关系统的故障行为，涉及本部分包含以下范围内的示例：—-—SRP/CS限制电动混合动力系统中的电流，以防止绝缘失效/电击危险；——SRP/CS的电磁干扰；——SRP/CS的防火设计。本部分不包含以下范围内的示例：——影响附近机器控制系统的电磁辐射；——腐蚀导致的电缆过热。注2;参见ISO12100中机械安全的设计通则。本部分不适用于实施日期之前制造的控制系统安全相关部件。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文GB/T38874.2—2020农林拖拉机和机械控制系统安全相关部件第2部分：概念阶段(ISO25119-2:2018,IDT)2GB/T38874.1—2020/ISO25119-1:2018GB/T38874.3—2020农林拖拉机和机械控制系统安全相关部件第3部分：软硬件系列开发(ISO25119-3:2018,IDT)与支持规程(ISO25119-4:2018,IDT)3术语和定义3.13.23.33.43.53.63.7UoO内检测到的失效率，检测到的失效不会导致风险增加或使风险增幅最小。如果未检测到，将导致风险立即增加。3GB/T38874.1—2020/ISO25119-1:20183.8SRP/CS不能保持预期功能并由此产生的机械行为可导致危险状况的失效(以及共因失效导致的多种失效)。3.9危险失效率dangerousfailurerate3.103.113.12E/E/PES架构E/E/PESarchitecture3.13系统使用时所处的物理环境。3.14个体处于潜在危险状况下的持续时间及频率。3.15失效failureUoO内元素丧失完成规定功能能力的事件。3.16故障faultUoO不能执行规定功能的状态，预防性维修或其他计划性活动或缺少外部资源不能完成规定功能注2:在GB/T38874中，故障指随机故障。3.17功能function定义的单个或多个电子控制单元的行为。3.18对E/E/PES系统预期功能的需求。4GB/T38874.1—2020/ISO25119-1:20183.19系统运行方式不会对操作者或旁观者造成不合理的伤害风险。3.20功能安全概念functionalsafetyco3.21对E/E/PES系统安全相关功能的需求。3.223.23伤害harm3.243.25不合理的风险。3.263.27根据操作手册提供的信息使用(机器)。3.28检查inspection复查产品质量的系统形式化验证方法。注：在检查过程中，一个或多个评估员核查工作产品是否符合要求。由负责检查的领导组织并主持检查工作。工3.29机器寿命lifeofthemachine机器从成型产品到报废的时间间隔。3.305GB/T38874.1—2020/ISO25119-1:20183.31机器制造商machinemanufacturer3.32MTTFp3.33监控monitoring自动监控automaticmonitoring3.343.35注：包括系统中的所有组件，组件包含电源、传感器和其他输入装置、数据总线和其他通信路径、执行器和其他输出3.363.373.383.393.403.41包括风险分析(3.40)及风险评价(3.42)的全过程。6GB/T38874.1—2020/ISO25119-1:20183.423.433.44安全目标safetygoal3.453.463.473.483.493.50供应商supplier3.51双通道或冗余通道系统中单通道MTTFv的数值组合。3.527GB/T38874.1—2020/ISO25119-1:2018消除的失效。注2:通过模拟失效原因可诱发系统性失效。3.533.54适用于特定技术安全概念(3.53)的SRP/CS的需求。3.55观察单元unitofobservation;unitsofobservation;UoO3.56用于复查产品质量的系统非形式化验证方法。注：进行走查时，工作产品的编制者向评估员提供各步报告。其目的是共同理解工作产品，发现工作产品中的错3.57设计或开发行为产生的输出。下列缩略语适用于本文件。AgPL:农业性能等级(agriculturalperformancelevel)AgPL:农业性能等级要求(requiredagriculturalperformancelevel)CAD:计算机辅助设计(computer-aideddesign)Cat:硬件类别(hardwarecategory)CCF:共因失效(common-causefailure)DC:诊断覆盖率(diagnosticcoverage)DCvg:平均诊断覆盖率(averagediagnosticcoverage)ECU:电子控制单元(electroniccontrolunit)ETA:事件树分析(eventtreeanalysis)E/E/PES:电气/电子/可编程电子系统(electrical/electronic/programmableelectronicsystems)EMC:电磁兼容(electromagneticcompatibility)FMEA:失效模式及影响分析(failuremodeandeffectsanalysis)FSM:功能安全管理(functionalsafetymanagement)FTA:故障树分析(faulttreeanalysis)8GB/T38874.1—2020/ISO25119-1:2018HARA:危险分析及风险评估(hazardanalysisandriskassessment)HIL:硬件在环(hardwareintheloop)MTTF:平均失效前时间(meantimetofailure)MTTFp:平均危险失效前时间(meantimetodangerousfailure)MTTFoc:单通道平均危险失效前时间(meantimetodangerousfailureforeachchaPES:可编程电子系统(programmableelectronicsystem)QM:质量度量(qualitymeasures)RAM:随机存取存储器(random-accessmemory)SOP:开始生产(startofproduction)SRL:软件需求等级(softwarerequirementlevel)SRP/CS:控制系统安全相关部件(safety-relatedpartsofcontrolsystems)UoO:观察单元(unitofobservation)质量管理体系是功能安全的重要组成部分。本部分的用户应采取符合第6章～第9章规定的以下——使用质量管理原则。例如，以第6章～第9章作为指导原则，参见ISO9001使用质量管理——使用本部分第6章～第9章中的特定条款。及确保UoO安全等级要求所必需的活动以及支持安全功能等级的确认措施。另一目的是定义完整安过程(见图1)。9GB/T38874.1—2020/ISO25119-1:2018GB/T38874不适用否是否为潜在安全是确定安全相关功能的限制风险标识(见GB/T38874.2—2020的第6章)新法规/修订法规风险分析(见GB/T38874.2—2020的第6章)对HARA标识的每个所选功能确定性能等级要求AgPL,(见GB/T38874.2—2020的7.2.1)标识(执行安全功能的)SRP/CS的需求所选的每个安全相关功能38874.2—2020的MTTFpc(见GB/T38874.2—2020的附录B)38874.2—2020的CCF38874.2—2020的SRL(见GB/T38874.2—2020的第7章)和系统性失效(见GB/T38874.2—2020的附录E)否否AgPL≥AgPL?是是否达到了所有要求?的第6章)是安全功能?结束安全寿命周期(见图2)结合概念阶段、系列开发阶段和开始生产(SOP)阶段的最重要的安全相关GB/T38874.1—2020/ISO25119-1:2018活动。在GB/T38874.2和GB/T38874.3中详细描述这些活动。贯穿于寿命周期所有阶段的安全相关活动的计划、协调及验证是中心管理任务。注：在概念阶段、系列开发阶段及SOP后的活动在GB/T38874.2、GB/T38874.3和GB/T38874.4中详细描述。2/54观察单元概念新开发修改/派生风险分析和系统设计要求L.系统设计产品发布修改Ab4/11修改B运行/维护4/10运行计划1/9安全相关系统的生产与安装外部功能安全措施4/84/94/10HW2/62/71方框中第1个数字代表GB/T38874的相应部分，斜线隔开的第2个数字代表相应章条号，例如：“2/5”表示GB/T38874.2—2020的第5章。h如果机器功能不受影响，转到GB/T38874,3—2020的第5章。如果机器功能受到影响，按照GB/T38874.2—2020的第6章进行危险与风险分析。图2安全寿命周期6.2.2外部功能安全措施外部功能安全措施不受UoO的影响，但在UoO构建时应予以考虑。外部功能安全包括相关人员的特征(身体、语言等)或环境属性(例如：EMC、温度、湿度和其他属性)。风险分析可兼顾考虑外部功能安全。注1:验证外部功能安全的效果不属于GB/T38874的范围。注2:GB/T38874不考虑其他技术(例如：机械及液压等)的失效。这些技术的功能安全验证不属于GB/T38874的范围。6.3前提条件GB/T38874的应用前提条件是完成整机的风险评估并降低风险(例如：ISO12100)。设计、制造、维护和报废过程的必要前提条件是经验证的质量保证计划(例如：IATF16949或等效GB/T38874.1—2020/ISO25119-1:2018标准)及总体项目计划。管理层及所有成员的一项任务是创建一种理念，使功能安全得到关注。可通过下列方法实现，——制定安全功能目标并在组织内部进行沟通；——对实现功能安全的过程状态进行复查。—-—创建满足GB/T38874要求的特定企业规范；——技术安全概念；——方法论；--—功能安全过程的知识及与需求相关的信息。把功能安全纳入GB/T38874范围内的项目活动计划并进行实施是UoO负责人或机构的中心管理任务。最初，项目经理负责功能安全的整合。由此产生的任务可以被委派。安全计划以及安全相关缺陷补救措施等方面的沟通与决策界线应明确界定。备的经验取决于UoO的AgPL及其复杂度。具有资质的人员可承担多项任务。功能安全管理任务由项目经理指定的产品安全经理或安全团队经理负责。质量管理体系对开展安全管理活动至关重要。在开发过程中的所有阶段，功能安全管理任务包括迅速恰当的交付安全相关活动的结果。单个任务可委派执行。——实现功能安全的程序及策略；——开发合作方的安全责任规范；——参见GB/T38874.2—2020的第6章启动风险分析；GB/T38874.1—2020/ISO25119-1:2018——开发活动中实现安全需求，依据GB/T38874.2—2020的第7章、GB/T38874.3—2020的第6章和第7章；-—参见GB/T38874.4—2020的第6章进行安全要求的验证及确认；有关文档要求见GB/T38874.4—2020的第13章。安全计划应用于安全相关活动的系统规划。在安全计划中应描述安全相关活动，应酌情指定下列活动特性：——负责人；——必要的资源； ——结果记录。安全计划可对其他计划进行引用。通常对于多个文件中的安全计划的格式应受版本和更改管理的约束。过程内的活动剪裁(对AgPL)所有活动特性应始终与每个项目的AgPL及安全计划相关。在质量管理体系中，将里程碑附加到V模型中(见GB/T38874.3—2020的图1)。6.5工作产品完整安全周期中管理的工作产品为：——安全计划。GB/T38874.1—2020/ISO25119-1:20187功能安全评估本阶段的目的是对UoO的功能安全性及其实现的功能进行检查和评估。由功能安全负责机构(例如：制造商或供应商)对功能安全进行评估。评估的实施也可委托给评估负责人。对于参与UoO开发的每个机构单位，评估应涵盖机器安全寿命周期的所有阶段(例如：系统人公开所有相关评估文件。a)安全计划。b)安全评估应至少包含开发机构单位中下述领域的代表：功能安全评估应包含下列要求：a)应符合7.4.2中列出的对验证方法的管理要求；b)负责开发的机构单位应为安全评估提供适当的支持(充分的准备和足够的人力资源);d)对参与UoO开发的每个部门，安全评估应包括机器安全寿命周期的所有阶段(系统及安全概g)安全评估应考虑以下方面的内容：1)之前评估后完成的工作；2)进一步评估的规划/策略；验证时应满足以下要求。验证方法应包含在安全计划中。应定义UoO及其结论的格式。应书面明确验证的独立性；验证的独立程度取决于AgPL的等级(见表1)。责人及确认解决办法。GB/T38874.1—2020/ISO25119-1:2018a)对QM与AgPL=a:危险与风险分析。b)AgPL=b:c)AgPL=c:-—安全计划；d)AgPL=d:e)AgPL=e:——使用FMEA及FTA等进行安全分析，并考虑CCF机制；验证独立程度QMAgPL=aAgPL=bAgPL=cAgPL=dAgPL=e危险与风险分析复查U1U2”U2U2U3U3安全计划复查独立于计划制定者U1U2U3安全需求复查(功能、技术、硬件、软件)独立于安全需求的制定者和执行者U1U1U1U1V&.V(验证和确认)计划复查独立于计划制定者U1U2U2安全分析(FMEA、FTA)复查独立于分析者独立于UoO的开发人员U1U1U1U1U2U3安全测试及测试范围的复查独立于测试计划及实施U1U1U1安全审核独立于与功能安全过程相关的人员U2U3一无验证要求。验证方法见7.4.2。U1其他人。U2其他团队(不是同一直接领导)。U3其他部门或第三方(独立于开发部门，例如：独立管理、独立资源、独立于发布责任部门、独立机构)。“要求独立复查，尤其是评估为C0或S0的情况。见GB/T38874.2。GB/T38874.1—2020/ISO25119-1:2018功能安全评估的工作产品是文档形式的验证结果(见GB/T38874.4—2020的第13章): ——拒绝；——待定条款；——责任人。8开始生产(SOP)后的功能安全管理活动本阶段的目的是明确SOP之后功能安全的负责人、部门和机构的职责安全等级所必需的基本活动及支持该功能安全等级的确认措施。见第5章。机械制造商应实施质量管理体系。在SOP后的寿命周期阶段，应采取组织措施实现所有生产单元的功能安全，并在机器寿命周期内保持其功能安全。在UoO的开发过程中，通常规定在机器寿命周期内所有生产单元实现及保持功能求及文档要求。——列出维护要求及对维护人员的资质要求，并监控设备制造商——对观测的故障进行反馈；——列出对报废的安全要求(见GB/T38874.4—2020的第10章)。8.5工作产品开始生产(SOP)后安全管理活动的工作产品为：——操作说明中的安全相关内容和警告；GB/T38874.1—2020/ISO25119-1:2018 人员资质(必要时):——向用户提供安全相关信息内容；——田间观察的相关说明。9安全相关系统的生产与安装计划本阶段的一个目的是制定安全相关系统的生产与安装计划，另一目的是确保制造商或过程负责人/9.2概述通过在生产计划及核查中加入安全相关特性，本阶段定义了确保在生产过程中保持功能安全所需应提供以下信息：编制装配指导的生产计划应包括以下内容：——安全相关组件及特性的标识；-—生产步骤的顺序及方法；——设备/工具。编制测试指导的测试计划应包括以下内容：——安全相关组件及特性的标识；——测试步骤的顺序及方法；应根据生产及测试计划由具有资质的人员进行生产及测试。应通过行业通用要求确保工序能力。通常行业惯例也应确保设备/工具及测试设备的工序能力。测试设备应经过测试设备检验的工序。GB/T38874.1—2020/ISO25119-1:2018 对于生产引起的产品修改，通过影响分析确定应返回的寿命周期阶段和需重复的步骤(见GB/T38874.4—2020的第11章)。注：对过程进行修改，不对产品进行修改(见GB/T38874.4—2020的第9章)。 GB/T38874.1—2020/ISO25119-1:2018(资料性附录)特定项目安全计划的结构示例A.1概述在系统概念阶段开始时，由管理部门指定人员(项目经理、项目安全经理)对项目计划进行制定与编写。A.2更改记录安全计划中的规定对参与项目的所有部门和人员均具有约束力。文档更改后不可撤销。表A.1给出了更改记录的示例。表A.1更改记录序号版本更改姓名部门日期123A.3总项目目标详细项目目标说明应包含功能简要描述。通过与组件供应商合作，确定可接受的通用条件。A.4进度表进度表可与其他进度表或文档链接。A.5项目机构A.5.1项目团队机构项目团队机构建立项目团队名单链接。项目团队名单介绍所有相关人员(包括用户和分包商)的作用及相互关系。或者，人员名单也可以直接包含在安全计划中(见6.4.6)。客户和子供应商间的关系可以用可视图来表示。GB/T38874.1—2020/ISO25119-1:2018A.5.2项目团队成员表A.2和表A.3列出了项目人员及任务。表A.2项目团队成员姓名任务部门职位电话项目总经理系统定义/系统规格说明系统分析负责人硬件开发负责人传感器系统硬件开发负责人软件开发负责人田间试验姓名安全负责人的任务资质职位电话为项目安全经理提供支持例如；项目管理经验；了解团队成员的简历项目安全经理(同项目总经理)维护安全计划供应方安全经理功能安全问题，与供应方联系降低风险(功能安全),与分包商联系A.5.3安全管理A.5.3.1概述安全管理要求包含在A.5.3.2中或在管理指南(如果存在)中进行描述，并对项目具有约束力。A.5.3.2项目级之上的功能安全管理活动功能安全管理的负责人负责下列活动：——确保适用标准的可用性；——审核过程和标准操作的规程；——监控和分析(来自田间)错误消息；——失效率计算值与田间经验值的比较；——修改与改进工艺；——为质量管理或FSM系统培训员工；——启动安全相关更