(高清版)GB∕T 38874.2-2020 农林拖拉机和机械 控制系统安全相关部件 第2部分：概念阶段

ICS65.060.01;35.240.99GB/T38874.2—2020/ISO25119-2:2018农林拖拉机和机械控制系统安全相关部件第2部分：概念阶段Safety-relatedpartsofcontrolsystems—Part2:Conceptphase国家市场监督管理总局国家标准化管理委员会IGB/T38874.2—2020/ISO25119-2:2018GB/T38874《农林拖拉机和机械控制系统安全相关部件》分为以下4个部分：——第1部分：设计与开发通则；——第2部分：概念阶段；-—第3部分：软硬件系列开发；本部分为GB/T38874的第2部分。本部分按照GB/T1.1—2009给出的规则起草。本部分使用翻译法等同采用ISO25119-2:2018《农林拖拉机和机械控制系统安全相关部件第本部分由中国机械工业联合会提出。本部分由全国农业机械标准化技术委员会(SAC/TC201)归口。1GB/T38874.2—2020/ISO25119-2:2018农林拖拉机和机械控制系统安全相关部件GB/T38874的本部分规定了控制系统安全相关部件(SRP/CS)开发的概念阶段。本部分适用于机)。 本部分规定了SRP/CS执行安全相关功能所要求的特性及类别，本部分未规定用于特定场合的性能等级。注1:机械特定C类标准可为其范围内的机械安全相关功能指定农业性能等级(AgPL)。否则，AgPL的规范由制本部分适用于与机电系统有关的电气/电子/可编程电子系统(E/E/PES)的安全部件。本部分涵盖了E/E/PES安全相关系统(包括这些系统间的交互)的故障行为可能造成的危险。本部分不涉及触安全系统故障引起。本部分还涵盖了在非E/E/PES危险下E/E/PES安全相关系统的故障行为，涉及本部分包含以下范围内的示例：——SRP/CS的电磁干扰；——SRP/CS的防火设计。——摩擦导致电击危险产生的绝缘失效；——腐蚀导致的电缆过热。注2:参见ISO12100中机械安全的设计通则。本部分不适用于实施日期之前制造的控制系统安全相关部件。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文GB/T38874.1—2020农林拖拉机和机械控制系统安全相关部件第1部分：设计与开发通则(ISO25119-1:2018,IDT)GB/T38874.3—2020农林拖拉机和机械控制系统安全相关部件第3部分：软硬件系列开发2GB/T38874.2—2020/ISO25119-2:2018(ISO25119-3:2018,IDT)与支持规程(ISO25119-4:2018,IDT)ADC:模数转换器(analoguetodigitalconverter)AgPL:农业性能等级(agriculturalperformancelevel)AgPL:农业性能等级要求(requiredagriculturalperformancelevel)Cat:硬件类别(hardwarecategory)CCF:共因失效(common-causefailure)CRC:循环冗余校验(cyclicredundancycheck)DC:诊断覆盖率(diagnosticcoverage)ECU:电子控制单元(electroniccontrolunit)ETA:事件树分析(eventtreeanalysis)E/E/PES:电气/电子/可编程电子系统(electrical/electronic/programmableelectronicsystems)EMC:电磁兼容(electromagneticcompatibility)FMEA:失效模式及影响分析(failuremodeandeffectsanalysis)EPROM:可擦除可编程只读存储器(erasableprogrammableread-onlymemory)FTA:故障树分析(faulttreeanalysis)HARA:危险分析及风险评估(hazardanalysisandriskassessment)HIL:硬件在环(hardwareintheloop)MTTF:平均失效前时间(meantimetofailure)MTTFp:平均危险失效前时间(meantimetodangerousfailure)MTTFpc:单通道平均危险失效前时间(meantimetodangerousfailureforeachchannel)PES:可编程电子系统(programmableelectronicsystem)QM:质量度量(qualitymeasures)RAM:随机存取存储器(random-accessmemory)SOP:开始生产(startofproduction)SRL:软件需求等级(softwarerequirementlevel)SRP/CS:控制系统安全相关部件(safety-relatedpartsofcontrolsystems)UoO:观察单元(unitofobservation)3GB/T38874.2—2020/ISO25119-2:20185概念——UoO本阶段的目的是充分了解UoO以圆满完成安全寿命周期中定义的任务(见GB/T38874.1—2020律法规要求和试验机构专业知识或组合方法。UoO的安全相关功能应包括以下内容：b)功能需求；c)其他要求和环境条件：d)同类或相关UoO的历史安全性和可靠性要求、安全性和可靠性等级。5.3.2UoO的限制及与其他UoO的接口--—与其他UoO和组件的接口以及交互；——与其他UoO相关的安全相关功能需求。5.3.3相关功能映射并配置到涉及的UoO和应力源——不同UoO间的交互；——合理可预见的人为误操作；——来自UoO的应力和触发失效的事件(例如：组装或维护期间)。——确认UoO是新开发还是修改的，适应性修改或继承已有的UoO。如果是修改的，则通过影响分析调整相应的安全寿命周期；——制定计划和规范，以验证和确认在5.3.1定义的UoO的要求；——定义寿命周期中相应阶段的项目管理；4GB/T38874.2—2020/ISO25119-2:2018——提供可靠性评估所需的充分输入数据； ——使用有资质的工作人员。UoO的工作产品(如适用)为：a)UoO包含的元素；b)基本需求规格说明和环境条件；c)UoO的限制及与其他UoO的接口；e)其他确认事项。6HARA——AgPL,的确定HARA的主要目的是对出现故障的UoO(不能执行预期安全相关功能。例如：不能正常停车、空挡前进、转向错误)进行风险分析，然后分配适当的AgPL(见GB/T38874.1—2020的3.39)。伤害发生率通常考虑UoO出现故障时人员暴露于危险状况的概率。在6.2～6.4中给出了基于HARA确定AgPL,的方法。6.2前提条件与每个安全功能相关的UoO定义。6.3要求6.3.1HARA的准备规程HARA应考虑全部安全相关功能，以便提供适当的SRP/CS规范。如果在安全寿命周期后期决定当正确使用UoO和以合理可预见方式误操作UoO时，应考虑UoO故障行为导致危险状况的工作条件。6.3.3HARA的参与者HARA应有足够的技术人员，能提供相关专业知识。注：来自不同学科的参与者通常为HARA提供有价值的信息。应确定并记录潜在伤害的严重度。根据在相关工作条件、模式、情景下的安全相关功能故障导致的危险状况，应推断出潜在伤害的5GB/T38874.2—2020/ISO25119-2:2018记录暴露于危险的伤害。潜在伤害的评估和分类应集中并限于对人员的伤害。如果安全相关功能故障分析仅涉及财产而无伤害等级为S0的功能不需要进一步的风险评估。无受伤，仅有财产损失轻中度伤害，需要治疗，可完全康复重度致命伤害(可幸存),永久丧失部分工作能力致命伤害(可导致死亡),重度伤残HARA应考虑在所有特定区域工作条件和操作条件下安全相关功能故障造成的暴露影响。这涵盖从日常活动范围到极端罕见的情况。变量“E”用来对暴露的不同频率或持续时间进行分类。暴露分为5类：E0、E1、E2、E3和E4(见表2),其中“E”用于对操作者或旁观者暴露于危险的频率及持续时间的方法确定AgPL,值。当一种特定危险状况适合多个类别时，应采用最高类别。描述E0ElE2E3E4频率不可能(理论上可能，整个寿命周期内仅发生1次)极少(每年少于1次)有时(每年超过1次)经常(每月超过1次)频繁(几乎每次操作)持续时间texp/tavop0.01%0.01%～0.1%0.1%～1%texp——暴露时间；tawp--—平均工作时间。伤害可控性的评估需要评价经培训的机械操作者是否能够控制并避免可能产生的伤害，或者情况完全无法控制。同样，未经培训的旁观者在一定程度上也可避免伤害。变量C用于对伤害可控性进行分类。伤害可控性C值应仅考虑安全功能故障时人员对伤害的控制能力，而不考虑SRP/CS的可靠性或SRP/CS提供的降低风险的措施。类别CO、C1、C2和C36GB/T38874.2—2020/ISO25119-2:2018易控操作者或旁观者可控制局势，并避免伤害简单可控超过99%的操作者或旁观者可控制局势。99%以上的事故不会造成伤害多数可控超过90%的操作者或旁观者可控制局势。超过90%事故不会造成伤害不可控普通操作者或旁观者通常不可避免伤害6.3.7AgPL,的选择根据标识的危险状况，可结合严重度(S)、暴露(E)和伤害可控制性(C)值确定AgPL,的方法，见图1。AgPL,等级范围从AgPL,=a到AgPL=e。AgPL=a为系统最低要求和AgPL,=e为系统最高QM仅适用于低风险功能。在GB/T38874中，将此类功能归类为非安全相关功能。在HARA报告中，应描述并记录已标识的危险以及其AgPL,与UoO(见7.3.2)安全相关功能相关的AgPL,由已标识的危险定义。附录G给出了HARA和得到的AgPL,示例。7GB/T38874.2—2020/ISO25119-2:2018C0C2C3QMQMQMQME0QMQMQMQME1QMQMQMQME2QMQMQMaE3QMQMabE4QMabCE0QMQMQMQME1QMQMQMaE2QMQMabE3QMabcE4QMbcdE0QMQMQMaE1QMQMabE2QMabcE3QMbcdE4QMcdeE-—暴露于危险状态；C——可控性；QM——质量度量；a,b,c,d,e——农业性能等级要求(AgPL₁)。图1AgPL,的确定注：根据GB/T38874.4保留文档。8GB/T38874.2—2020/ISO25119-2:2018——HARA的结果；——安全相关功能的AgPL。AgPL,大于QM的每种危险状况都应与安全目标相关联。安全目标可涉及多种危险状况。如果功能安全需求以更具体方式实现安全目标，确保UoO的功能安全。应从安全目标中导出足够的功能安全需求。功能安全需求继承了危险状况的AgPL,及其相关安全目标。如果功能安全需求涉及类似的危险状况具有不同的AgPL,,则应实现最高的AgPL。——系统性失效(参见附录E);——在预定环境条件(例如：参照ISO——其他典型功能(参见附录F)。 ——应考虑SRP/CS的每个通道(MTTFpc)。可根据表4直接计算MTTFp,或参见附录B中的方法确定MTTFp。指标要求的MTTFp低3年≤MTTFp<10年中10年≤MTTFp<30年高≥30年7.3.4DC值在GB/T38874中，DC分为低、中、高3个等级。可根据表5直接计算DC或参见附录C中的方法9GB/T38874.2—2020/ISO25119-2:2018计算DC。注2:对包含多个部件的SRP/CS,使用平均值DC(参见附录C)。表5诊断覆盖率(DC)DC低0≤DC<60%中60%≤DC<90%高90%≤DCAgPL与以下4个因素有关：——MTTFpc(参见附录B);——DC(参见附录C);—-—SRL(见GB/T38874.3—2020的第7章)。—-—第3类和第4类架构的CCF(参见附录D);——仅允许由系统制造商授权的负责人(或服务商)对AgPL大于或等于“a”的SRP/CS进行修改。根据GB/T38874.4—2020的第11章，应禁止未经授权的修改。如图2,可采用可靠性指标(DC、SRL)和架构类别(Cat)的多种组合实现AgPL,。例如：高可靠的单通道体系结构与低可靠的双通道体系结构具有相同的AgPL(见图2)。AgPLaBBBBb21BBBc2111d222e3图2中纵轴为AgPL值，横轴为硬件类别。对于给定的AgPL,每个类别都有关联的诊断覆盖率(DC)、单通道平均危险失效前时间(MTTFpc)和软件需求等级(SRL)。GB/T38874.2—2020/ISO25119-2:2018设计者应为AgPL,选择一个硬件类别。7.3.6AgPL,的实现安全功能可由一个或多个SRP/CS实现。设计者可使用一种技术或多种技术组合。每个元素可包含基于E/E/PES的不同技术。SRP/CS可与其他技术的安全措施相结合。例如：机械安全功能(例功能安全概念的开发应指定符合功能安全需求的单个或组合SRP/CS的特性。选择硬件类别、MTTFpc、DC和SRL时，应使单个或组合SRP/CS的最终AgPL等于或超过所分配的功能安全需求的图3为执行安全相关功能任务的典型控制通道及其相关元件，包括输入(I)、E/E/PES(L)、输出/LLI——输入装置(例如：传感器);图3安全相关部件组合框图符合其他功能安全标准的SRP/CS的使用，见附录H。7.3.8E/E/PES的结合关于E/E/PES组合(例如：拖拉机和机具),参见附录I。当具有各自独立AgPL的多个SRP/CS相结合时，可采用附录J中的方法确定总体AgPL。7.4工作产品a)安全目标；b)功能安全需求和相关的AgPL₁;d)CCF(如适用)。GB/T38874.2—2020/ISO25119-2:2018(规范性附录)指定的SRP/CS架构A.1概述图3和图A.1～图A.3定义了各种硬件类别的架构。所有架构应使用经验证的安全准则，包括：——(可行时)危险出现之前检测故障。对于B类硬件，建议使用经验证的组件，第1类～第4类硬件也应使用这些组件。在安全相关应用b)在安全相关应用中组件制造与验证采用的准则，经验证具有适用性和可靠性。图A.1～图A.3给出了通用架构，而不是示例。通常可能存在与这些架构的差异。但借助适当的A.2B类硬件(基本类别)A.2.1概述指定的B类硬件架构见图3。A.2.2属性——DC=低；-—单一故障可导致安全功能的丧失；A.3第1类硬件A.3.1概述指定架构见图3。—--—DC=中等；GB/T38874.2—2020/ISO25119-2:2018——不考虑共因失效；——不适合单点失效的操作系统；——使用经验证的组件。可自动或手动启动安全相关功能的检查。检查本身不导致危险状况。——安全状态；——禁止功能启动。注2:提供操作者警告的组件不涉及SRL、MTTFo和DC。A.4第2类硬件A.4.1概述指定的架构见图A.1。mTE⁴I-—输人装置(例如：传感器);TE——测试设备(附加到逻辑模块上):OTE———测试设备的输出；So——互连信号输出；图A.1第2类硬件的指定架构GB/T38874.2—2020/ISO25119-2:2018——由测试设备检测输入传感器和输出执行器的故障；——不考虑共因失效；——不适合单点失效的操作系统；在下次请求安全功能时或请求之前通过开启安全功能对单一故障进行检测，和/或定期测试(如必要)。(可行时)应自动启动检查。否则，应手动启动。检查本身不应导致危险状况。检测设备可与提供b)如果检测到故障，产生的输出信号启动在考虑MTTFp和DC的情况下(如果可能),输出应启动安全状态。当安全状态不能启动时(例如：末端开关装置的触点粘结),输出应向操作者发出危险警告信号。检测到故障后，如果SRP/CS启注1:在某些情况下，第2类不适用。因为安全功能检查并不适合所有组件，不可实现DC,如压力开关或温度传注2:通常第2类可用电子技术来实现(例如：保护装置和特定的控制系统)。注3:某些高可靠性组件仅需定期检查。仅可在运行时(传感器正在计数)检测速度传感器。但功能和线路故障可在启动时进行检测。通常机器每日多次启动，每天允许多次检查。注5:操作者警告组件未分配SRL、MTTFp和DC。A.5第3类硬件A.5.1概述第3类的指定架构见图A.2。GB/T38874.2—2020/ISO25119-2:2018mmmLIL2S01I1、I2——输入装置(例如：传感器);S——互连信号输人；S₀——互连信号输出；m——监控；图A.2第3类硬件的指定架构-—考虑共因失效(参见附录D); ——安全状态要求附加的冗余输出；——根据安全状态以串联或并联方式来安排输出1和2;——适合有备用电源的单点失效操作系统；——需要操作者警告；——使用经验证的组件；-—当检测的单一故障发生时，始终执行安全功能或系统转移到安全状态。但未检测到的故障累积可导致安全相关功能的丧失。在下次请求安全功能时或请求之前，通过开启安全功能对单一故障进行检查，或定期测试(如必要)。安全功能的检测措施为：在考虑MTTFp、DC和CCF的情况下(如果可能),输出应启动安全状态。当检测到失效条件时，系统应向操作者发出危险警告。检测到故障后，如果SRP/CS启动安全状态，则应在故障清除前一直GB/T38874.2—2020/ISO25119-2:2018注1:某些高可靠组件仅需定期检查。仅可在运行过程中(传感器正在计数)检测速度传感器。但功能和线路故障可在启动过程中进行检测。通常机器每日多次启动，每天允许多次检查。注3:要求检测单一故障并不意味可检测到所有故障。因此，未检测到的故障累积可导致意外输出及机器的危险状注5:操作者警告组件未分配SRL、MTTFp和DC。A.6第4类硬件A.6.1概述指定的第4类硬件架构见图A.3。mmSCmSS₀——互连信号输出；c-—交叉监控。图A.3第4类硬件的指定架构——诊断覆盖率要求有冗余输入；——安全状态要求有附加的冗余输出；——适合具有冗余电源的单点失效的操作系统；——需要操作者警告；GB/T38874.2—2020/ISO25119-2:2018——使用经验证的组件；-—单一故障发生时，始终执行安全功能或系统转到安全状态，但未检测故障的累积可导致丧失安全相关功能。尽管如此，此类故障发生的概率低于第3类。在下次要求安全功能时或之前，通过开启安全功能的测试对单一故障进行检查，或定期测试(如必与提供的安全功能的安全相关部件相集成，或是单独的检测设备。安全功能的检测应采取以下其中一在考虑MTTFp、DC和CCF的情况下(如果可能),输出应启动安全状态。当安全状态不能启动时(例如：末端开关装置的触点粘结),输出应向操作者发出危险警告。检测到故障后，如果SRP/CS启动注1:某些高可靠性组件仅需定期检查。仅可在运行时(传感器正在计数)检查速度传感器。但功能和线路故障可注4:宜将错误状况保存以备评估。GB/T38874.2—2020/ISO25119-2:2018(资料性附录)B.1概述本附录给出了计算通道MTTFpc的方法。对于双通道架构(第3类硬件和第4类硬件),给出了对称通道MTTFpc的计算公式。当访问组件的失效率数据库时，这些计算使用的是仿真模型。而不考虑设计、软件和制造问题。当分析某些组件失效原因时，可排除某些故障。在这种情况下，应提供相应的支持分析或数据(例B.2组件MTTFp值下列标准/数据库及其他文献，提供单个组件的MTTF值：——MIL-HDBK-217F⁹];——SN29500[10];——RDF200011];——IEC/TR62380[12];——FIDESGuide2004[13]。可用软件工具访问数据库。当检索数据时，设计者应指定工作周期和组件的应力等级(热、电等)。连接器、接触器、熔断器等组件通常按照周期数(B₁op)进行评级，在指定工作周期时应特别注意。导线不包括在内。但是，如果E/E/PES的设计者拥有所用组件的可靠具体数据，强烈建议使用这些数据，而不采用上面的参考值。当MTTF转换成MTTFp时，推荐使用以下其中一种方法：-—通过故障树或等效的危险分析方法评估每个组件的失效模式，以确定危险失效的实际百分比。——假设所有失效的50%是危险失效。在E/E/PES系统中，危险状况产生之前可纠正的失效可忽略。在控制器存储器中，纠错码(ECC)在错误造成伤害前可对错误进行纠正。强烈建议操作时监控ECC,并在控制器存储器启动阶段对纠错机制进行测试。MTTFp=MTTF/危险失效的百分比(见表B.1)。系统中这些组件的使用不得超出制造商规定的限制范围。另外，可使用以下其中一种或多种方法来确定MTTF:a)在预定环境和操作条件下验证；c)分析。测试时，电子组件应放置在预定环境和操作条件下，并验证是否达到要求。GB/T38874.2—2020/ISO25119-2:2018B.2.2由经验证的组件确定组件的MTTFp值在以下方法中，已有硬件可利用经验证的数据来确定信道或系统的MTTFp。使用受控过程的数据(例如：事故报告和分析)计算历史MTTFp值，步骤为：a)确定具有统计意义的总体样本：1)确定总体样本使用的总时间(T);2)确定总体样本中危险失效总数(r)。b)MTTFp的置信度公式为：2)X²(a,2r+2)=卡方分布；i)X²表示卡方分布；ii)(α,2r+2)为卡方分布的参数；iii)α=1一置信度。3)置信度应大于或等于70%。c)当预定环境应力发生变化时，应使用影响分析来调整历史数据。可通过加速模型完成。例如：Arrhenius模型或逆幂率定律。B.2.3根据B₁计算组件的MTTFp对于机电组件(例如：继电器、接触器、开关等),很难计算平均危险失效前时间(MTTFp)。组件制造商通常仅给出10%的组件达到失效(B₁₀)或危险失效(Bop)时的平均周期数。以下为根据组件制造商提供的B₁₀计算组件MTTFp的方法。如果制造商不提供B₁op,通常假定50%的失效是危险失效，将B₁₀转化到B₁op:B₁op=2B₁根据式(B.1),MTTFp近似为：为计算操作数no,对组件应用需作一些假设，见式(B.2):式中：dop——平均工作时间，单位为天每年(d/年);hop——平均工作时间，单位为小时每天(h/d);…………(B.1)…………(B.2)tocle——组件的两个连续周期的起始时刻(例如：阀门开关)之间的平均间隔，单位为秒(s)。B.3部件计数法N个组件MTTFpc的通用计算式为(B.3):式中：MTTFp 整个通道的MTTFp;MTTFp;——通道中每个组件的MTTFp。…………(B.3)GB/T38874.2—2020/ISO25119-2:2018应注意式中仅包含安全相关功能所需的组件。式(B.3)不适合复杂电子组件或并行通道中的组件。关于估计MTTF₀的进一步内容，参见IEC61508-6:2010的附录B、IEC62061或使用自动计算工具。表B.1给出了计算MTTFoc值的示例。表B.1电路板MTTFpc值的计算示例元件号元件(来自数据库)年危险失效%年1/年元件数合计1低功率双极性晶体管22碳膜电阻53标准无源电容44继电器(来自元件制造商数据)45接触器1MTTFc=1/∑(1/MTTFo)单位：年本示例中，电路板的MTTFc为115.6年。B.4双通道架构的对称MTTFpc的计算用式(B.4)计算双通道系统的对称MTTFpc(第3类硬件和第4类硬件)。式中，MTTFpc₁和MTTFx₂为两个不同冗余通道的值。式(B.4)不适合复杂度更高的系统。估计MTTFo的进一步内容，参见IEC61508-6:2010的附录B、GB/T38874.2—2020/ISO25119-2:2018(资料性附录)诊断覆盖率(DC)的确定诊断覆盖率DC可通过表C.1～表C.8来估算，或用表5中的公式计算。冗余架构中每个通道均应满足AgPL,所要求的DC。需重点考虑关键安全功能的每个组件。C.2诊断覆盖率(DC)的估计表C.1～表C.7说明如何达到所要求的DC。无微控制器的通道使用表C.1估计DC。含微控制器的通道使用表C.2估计DC。在任何情况下，应检查故障检测机制的有效性。允许使用其他方法(例如：其他标准),但应详细记录。每个SRP/CS仅需使用一种方法，通道DC的估计结果取决于表C.1～表C.7所选方法中的最低DC(见C.3中示例)。表C.1电气子系统(无微控制器)技术/措施推荐的最大诊断覆盖率示例在线监控的失效检测中转向信号指示灯继电器触点的监控中机械前轮驱动(MFWD)指示灯比较器中充电系统指示灯正极控制开关高机械互锁开关表C.2电子子系统(含微控制器)技术/措施推荐的最大诊断覆盖率示例在线监控的失效检测(模拟或数字信号)中监测反馈信号(范围内)多数表决器高冗余信号比较冗余硬件测试中(定期测试)高(持续测试)启动时测试(中)看门狗(高)动态原则中测试激励(见第2类硬件)用于监控的冗余器件高冗余微控制器GB/T38874.2—2020/ISO25119-2:2018表C.3处理单元技术/措施推荐的最大诊断覆盖率示例比较器高比较冗余处理器输出和/或比较同步确定性中间数据(见第2类硬件、第3类硬件和第4类硬软件自检：数量有限模式(单通高漫步位法软件自检(单通道)低内部看门狗硬件支持的软件自检(单通道)中外部看门狗表C.4固态内存技术/措施推荐的最大诊断覆盖率示例保存多位冗余的字符中部分字节冗余修改的校验和低存储块校验和单字符(8位)信号中存储块CRC(8位)双字符(16位)信号高存储块CRC(16位)块复制高镜像存储器用附加校验位的汉明码进行RAM监控(SECDED)高ECC包含在FLASH控制器中。请参阅控制器的安全手册。根据汉明距离的不同，DC可以更高。强烈推荐使用此机制监控纠错表C.5可变内存范围技术/措施推荐的最大诊断覆盖率示例软件自检(单通道)中内部看门狗RAM测试(启动时或周期性)中棋盘算法、march算法、walk-path算法、校验位用附加校验位的汉明码进行RAM监控(SECDED)高ECC包含在RAM控制器中。请参阅控制器的安全手册。根据汉明距离的不同，DC可以更高。强烈推荐采用此纠错监控机制双RAM高硬件或软件进行比较和读/写测试冗余通道高见第2、3、4类硬件22GB/T38874.2—2020/ISO25119-2:2018表C.6I/0单元和接口(外部通信)技术/措施推荐的最大诊断覆盖率示例采用在线监控方式进行失效检测(模拟或数字输入、模拟或数字输出)中监测反馈信号(范围内)比较器高比较冗余处理器输出和/或比较同步确定性的中间数据(见第2、3和4类硬件)消息保护中中低高a)对选定的信号数据字节求校验和b)消息枚举(递增计数器)c)发送频率验证a)～c)的组合参考传感器高通过测量指定信号检查ADC和/或ECU多数表决器高比较冗余信号信号线与电源线隔离高多数据线的空间隔离高提高抗干扰能力高屏蔽线和/或双绞线表C.7电源(适用于有微控制器与无微控制器的系统)技术/措施推荐的最大诊断覆盖率示例过压保护低发电机甩负荷保护电源控制高电压监控，需要时(达到运行极限)切换到备用电源掉电控制中监测钥匙开关(点火开关)电压并关闭ECU,数据保存到存储器。电池掉电时关闭系统表C.8程序顺序监控程序顺序技术/措施推荐的最大诊断覆盖率描述具有独立时基、无时间窗口的看门狗低具有独立时基的外部定时元素(例如：看门狗定时器)被定期触发，监控计算机的行为和程序顺序的合理性。将触发点放入程序中正确位置。看门狗不以固定周期触发，但指定最大间隔具有独立时基与时间窗口的看门狗中具有独立时基的外部定时元素(例如：看门狗定时器)被定期触发，监控计算机的行为和程序顺序的合理性。将触发点放入程序中的正确位置。看门狗定时器给出了时间上下限。如果程序顺序运行时间超出或小于预期，则采取补救措施GB/T38874.2—2020/ISO25119-2:2018程序顺序技术/措施推荐的最大诊断覆盖率描述程序顺序的逻辑监控中使用软件(计数程序、关键程序)或外部监控设备监控各程序部分的正确顺序。检查点放入程序的正确位置在线检查的临时监控中启动时才能检查的临时监控，并且仅在监视部件正常工作时才启动。例如：启动时加热电阻器，才能检查热传感器程序顺序的临时监控和逻辑监控相结合高仅在程序部分的顺序正确执行时，监视程序顺序的时间元素才可被重触发(例如；看门狗定时器)C.3通道DC的估计表C.9提供了估计通道DC的示例。在此示例中，该通道的DC值为低。表C.9DC的估计描述DC方法参考表输入/输出(全部)高用于监控的冗余器件表C.2处理器低内部看门狗表C.3固态内存中字符保存表C.4可变内存高双RAM表C.5通信中校验和表C.6电源中掉电控制表C.7C.4通道DC的计算在许多系统中，故障检测可采用多种方法。给定通道通过计算得到单个DC值。根据表5,通过式(C.1)得到DC的平均值：…………(C.1)式中：λDp——危险失效检测率；λp——危险失效率。计算分母时，应考虑计算MTTFpc时所用通道的所有部分并求和。失效检测部分仅影响式(C.1)的24GB/T38874.2—2020/ISO25119-2:2018C.5通道DC计算示例表C.10给出了通道DC估计的示例。在此示例中，通道的DC为86%,对应中等DC。表C.10DC的计算序号组件MTTFp年1/年检测Y/N检测方法1/年DCag电阻10.00009Y硬件冗余8.75964×10-2电阻20.00009N03晶体管0.00088Y监控反馈8.75657×10-4微处理器10.00111Y外部看门狗1.111111×10-35电容10.00018Y硬件冗余1.75193×10-46电容20.00018N07电容10.00500N08接触器20.03125Y监控反馈3.125×10-GB/T38874.2—2020/ISO25119-2:2018(资料性附录)共因失效(CCF)估计这一量化过程应适用于控制系统的各部分。表D.1列出了常用设计的措施及其得分值。基于工程判断，这些评分值表示每项措施对减小共因失效的作用。CCF的量化如表D.2所示。表D.1防止CCF措施的评分过程序号预防CCF的措施1分离/隔离是否信号走线和电源走线之间的物理隔离?例如：布线中的走线隔离印刷电路板走线的足够安全间距是，15否，02差异性设计是否采用不同的技术/设计或不同的物理原理?例如：第一通道是电子可编程器件，第二通道是硬布线例如：分别采用x缸面积的压力与应变计测量负载例如；数字和模拟信号例如；采用不同厂家的元器件是，20否，03设计/应用/经验是否进行过压保护、非电气过激励保护、过电流保护?在考虑的环境条件下，所选组件是否为经验证的器件?是，15否，0是，5否，04评估/分析避免共因失效的设计中是否考虑了失效模式及影响分析(FMEA)的结果?是，5否，05能力/培训设计者/技术人员是否已通过培训，使其了解共因失效的原因及后果?是，5否，06环境EMC系统是否进行电磁兼容(例如：相关产品标准的规定)检查?是，25其他影响是否考虑耐相关环境影响的因素?如温度、冲击、振动、湿度(例如：相关标准中规定。例如：ISO15003)否，0是，10否，0总分，S(满分为100%)26GB/T38874.2—2020/ISO25119-2:2018表D.2共因失效的量化总分S避免CCF的措施满足要求方法失败→采用附加措施GB/T38874.2—2020/ISO25119-2:2018(资料性附录)E.1概述失效为系统性失效(见GB/T38874.1—2020的3.52)。E.2系统性失效的控制规程a)掉电安全相关功能的设计应使其在掉电时可实现或保持机器的安全状态。安全状态。单点失效操作系统(例如：第3类和第4类硬件)需要冗余电源(根据A.5和A.6)。应预先确定在物理环境影响下安全相关功能的行为，使安全相关功能可实现或保持机器的安全状态。c)对数据通信过程中的错误影响和其他影响的控制措施参见GB/T38874.3—2020的附录B。d)程序顺序监控表C.8为程序顺序监控技术及可达到的诊断覆盖率列表。E.3避免系统性失效的规程a)使用合适的材料及制造工艺b)正确的外形与尺寸d)兼容性使用具有兼容工作特征的组件。e)承受特定的环境条件安全相关功能的设计使其能够在预期的环境条件下工作。例如：温度、湿度、振动和电磁干扰(EMC)等。28GB/T38874.2—2020/ISO25119-2:2018使用按照合适标准设计并明确定义其失效模式的组件。f)设计模块化g)公共资源的限制使用当两个及以上模块使用公共资源时[例如：存储器(RAM、EPROM)或存储分区、A/D转换器等],应采取以下其中一种措施：1)避免同时使用公共资源；2)采用适当的控制方法通过标准接口或定义的接口实现(见GB/T38874.3—2020的第6章和第h)安全相关功能和非安全相关功能的隔离i)系统状态数量的限制UoO拥有的安全相关状态的数量应是可管理和可测试的。例如：可通过模块状态的分层汇总来j)采用经验证的设计原则验证的设计原则是：2)经验证的故障检测和故障控制措施。k)使用标准接口1)设计复查通过设计复查来揭示技术规范和执行情况之间的偏差。2)利用计算机辅助设计工具进行仿真或分析3)仿真GB/T38874.2—2020/ISO25119-2:2018(资料性附录)F.1概述为实现特定应用的控制系统所需的安全措施，设计时应包含以下必要的安全功能。这些功能可降F.2启动互锁防止意外启动的安全功能。F.3停止功能停止功能由保护装置启动，在启动后应尽快将机器置于安F.4手动复位通过对保护装置复位重新建立安全相关功能以取消停止命令。如果风险评估有要求，则应慎重考虑通过人工(手动复位)确认停止命令的取消。手动复位功能应具有以下特点：c)手动复位功能本身应不触发运动或危险状况；d)应仅通过谨慎操作来激活手动复位功能；e)使控制系统能接受单独的启动命令；f)仅从复位器释放(off)位置启动才可接受手动复位功能。F.5启动和重启GB/T38874.2—2020/ISO25119-2:2018设计人员或供应商应根据控制系统安全相关部件的风险评估结果(必要时)声明响应时间。机器所要求的总响应时间可能影响安全相关部件的设计。F.7安全相关参数F.8外部控制功能a)定义选择外部控制方式；b)切换到外部控制装置不应造成危险状况；d)当对机器上的多台设备中的一台远程控制时，其他控制设备和远程控制设备之间切换不应造成危险状况。F.9暂停(安全功能的手动暂停)其他方法可包括：a)指令；b)禁用所有其他控制或操作模式；c)仅允许需要持续作用的控制装置来操作危险功能；e)通过对机器传感器的主动或被动动作来防止任何危险功能的启动。F.10操作者警告GB/T38874.2—2020/ISO25119-2:2018(资料性附录)风险分析示例G.1工作流程HARA时应进行以下活动：步骤1:待检查系统的描述。步骤2:对周围环境条件的列表。应准确描述操作限制或人为干预的内容。步骤3:使用状态流程图和转换表对检查系统进行描述。步骤4:列出系统性失效清单，不考虑已有的安全措施。对故障原因或非故障原因导致的失效仔细检查。将失效与UoO相关联。步骤5:估计和评估风险表中每种危险状况下的UoO风险。风险分析的基础是机器状态和状态转换。定义导致危险状况的事件顺序(伤害场景),并确定与危险状况相关的影响。在风险分析过程中，由系统开发者提前完成步骤1～步骤4。由参与者检查完整性和正确性，进行纠正或者扩展(如必要)。在本示例中，步骤1～步骤4一般仅用于液压齿轮箱。步骤5是针对不同机器的各种应用场景。这些步骤后，由所有参与者准备伤害场景，并根据风险进行评估。然后，将伤害场景分配到风险表中相应的系统性失效和系统状态中。G.2自走式工作机械(饲料收获机)电液传动系统风险分析的示例——从完整风险分析中提取G.2.1系统描述系统描述如下：——电液压发动机由电子控制，液压发动机弹簧置于空挡位置；——连接前桥的驱动链；——非驱动后桥具有转向功能；图G.1给出了传动系统主要结构的示意图。GB/T38874.2—2020/ISO25119-2:2018FNR24M536 图G.1驱动链的主要结构G.2.2环境条件环境条件为：——第一挡用于田间行驶，第一挡速度范围为从0km/h～15km/h。第二挡用于道路行驶，第二挡速度从0km/h～30km/h;——仅在完全停止(输出速度≈0)时才可机械换挡，控制杆应放在空挡；——其他。G.2.3系统状态和转换状态流程图和转换列表是识别最严重系统状态的一种方法。例如：状态8可包括维护或清理。GB/T38874.2—2020/ISO25119-2:2018状态1状态1车辆停止点火开关关闭发动机停止状态2空挡状态3车辆停止点火开关开启发动机启动空挡状态4车辆停止发动机启动状态5状态67-5状态7车辆行驶匀速状态8状态8特殊机器状况说明：状态1～状态8——机器状况；1_2～7_6—-—从一个状态向另一个状态转换(包括方向)。图G.2状态流程图G.2.4系统故障-—命令时不行驶； 意外改变速度(未停止):GB/T38874.2—2020/ISO25119-2:2018——命令时向错误方向行驶；确定AgPL,时，需考虑所有的系统故障。评估(见G.3)时，以上述第1个和第2个系统故障为例。G.3评估系统状态无驾驶员的车辆有驾驶员的车辆平路上坡下坡平路上坡下坡1.车辆停止，点火开关关闭，发动机停止，空挡不适用不适用不适用不适用不适用不适用2.车辆停止，点火开关开启，发动机停止，空挡不适用不适用不适用不适用不适用不适用3.车辆停止，点火开关开启，发动机运转，空挡不适用不适用不适用不适用不适用不适用4.车辆停止，点火开关开启，发动机启动挂挡不适用不适用不适用不适用不适用不适用5.车辆行驶，加速不适用不适用不适用Scl/Sc2Scl/Sc2Scl/Sc26.车辆行驶，减速不适用不适用不适用Scl/Sc2Sc1/Sc2Sc1/Sc27.车辆行驶，匀速不适用不适用不适用Scl/Sc2Scl/Sc2Scl/Sc2Scl——情景1;Sc2——情景2。表G.2情景1操作者E3在公共道路上饲料收割机以最高速度行驶；静液压马达移至空挡；驱动桥锁死急减速：转向失效；车辆行驶到沟里或撞击障碍物驾驶员受伤设定驱动桥立即锁死，重量转移到驱动桥表G.3情景2旁观者E3在公共道路上饲料收割机以最高速度行驶；静液压马达移至空挡；后续交通堵塞；驱动桥锁死旁观者无法避免碰撞旁观者受伤设定严重度取决于车辆后端的设计GB/T38874.2—2020/ISO25119-2:2018G.3.2系统故障——发行驶命令时车辆不动所有系统故障需要进行评估(见G.3.1)。G.4评估结果GB/T38874.2—2020/ISO25119-2:2018(规范性附录)与其他功能安全标准的兼容性本附录旨在促进从其他系统创建派生系统，以及促进系统和SRP/CS的结合，这些系统是依照IEC61508和ISO13849方法开发或评估的，而不是GB/T由于选择并实现所需安全等级的方法不同，在安全相关控制系统的评估和设计时通常不应互换用法。只有在本附录条件下才允许互换。H.2概述在以下情况下，允许使用由GB/T38874以外的方法开发或评估系统和SRP/CS,表明整个系统符a)应使用GB/T38874中的风险分析确定AgPL。由表H.1,应根据AgPL,确定PL或SIL以确定其他标准的要求。b)当评估相同应用程序和表H.1中的等效AgPL,时，系统或SRP/CS应满足替代标准的所有a)根据IEC61508开发的硬件，高需求模式下的平均危险失效率完全满足GB/T38874中的等效值，前提是硬件符合表H.1中相应的SIL。b)如果IEC61508使用的工具显示相应数值的危险失效率，则SIL1硬件等同于AgPL,的c级。c)根据IEC61508开发的软件，只要软件符合表H.1中相应的SIL,则满足要求。GB/T38874过程也可用于软件开发。d)SIL1软件可用于AgPL,=b或c。危险失效率/h危险失效率/h危险失效率/h无安全要求aaA(无特定安全要求)A见H.5a)bb3×10-⁶~10-510-⁶~10-5cc10-⁶~3×10-6dd2BGB/T38874.2—2020/ISO25119-2:2018表H.1(续)AgPLPL危险失效率/h危险失效率/hISO26262ASILISO26262危险失效率/hee10-8～10-7310-⁸~10-7C10-8～10-?410-9～10-8D<10-8a满足AgPL=c条件下的方法，见H,3的a)～d)。注1:除了平均危险失效率/h的参数外，还需要采取其他定性措施。例如：实现AgPL,所要求的系统(例如：软件开发过程)安全完整性。注2:ASIL-D和SIL4仅用于与AgPL,比较。H.4ISO13849兼容系统或SRP/CS兼容系统a)根据表H.1,ISO13849PL等于或超过GB/T38874的等效AgPL。b)表H.1中等效AgPL满足软件需求，或表H.1中等效SIL参照IEC61508的要求。GB/T38874H.5符合ISO26262的兼容系统或SRP/CS的兼容系统如果满足以下要求，则符合ISO26262的系统也符合GB/T38874。a)根据ISO26262开发的硬件，只要硬件符合表H.1中相应的ASIL,则高需求模式下的平均危险失效率完全满足GB/T38874中的等效值。b)根据ISO26262开发的软件，只要软件符合表H.1中相应的ASIL,则完全满足GB/T38874的要求。GB/T38874的过程也可用于软件开发。c)ASILA软件可适用于AgPL,=b或c。GB/T38874.2—2020/ISO25119-2:2018(资料性附录)组合系统适用方法本附录旨在促进通用系统的组合。(制造商之间进行或未进行直接协调)相组合的系统。例如：组合系统可包括市场上的自动和半自动转a)每个系统制造商应根据ISO12100对组合系统进行危险分析。还应根据GB/T38874.2对组合系统进行风险分析评估(适用时)。假定第一个系统中的故障已由第一个系统制造商处理。因此，附加系统的制造商无需考虑第一个系统未改变部分是否符合GB/T38874。b)除了通常认为第一个系统无失效外，附加系统和系统之间控制交互应符合GB/T38874的所c)系统之间的电子通信应根据GB/T38874的相关要求进行评估，包括源自第一个系统的故障。d)系统应由制造商设计和评估，确保整机符合ISO4254或ISO26322的相应要求。GB/T38874.2—2020/ISO25119-2:2018(规范性附录)SRP/CS的交联组合实现总体AgPLJ.1串联SRP/CSJ.1.1概述安全功能可通过多个SRP/CS组合实现，包括输入系统、信号处理单元、输出系统。这些SRP/CS可分配到一个或多个类别中。每个SRP/CS应根据附录A选择一个类别。对于SRP/CS整体组合，可使用附录A中的方法确定总体AgPL。在这种情况下，需要确认SRP/CS的组合(见图3、A.1和A.3)。根据附录A,控制系统安全相关部件组合以安全相关信号触发为起始点，并以功率控制元件的输出端为结束点。组合SRP/CS可按照线性(串联)或冗余(并联)方式连接。在已计算各部分AgPL情况下，为了避免对组合SRP/CS所达到的性能等级(AgPL)进行新的复杂评估，SRP/CS串联组合可采用下列方法进行估计。假设整体执行安全功能的串联组合有N个独立的SRP/CS,。通过评估已得到每个SRP/CS,的AgPL,见图J.1。组合SRP/CS的AgPL取决于执行安全功能的SRP/CS,的最小AgPL值(因为AgPL也由非量化因素确定)。SRPSRP/CS₁SRP/CS₂SRP/CSyAgPLAgPL₂AgPLv图J.1串联估计可使用表J.1计算执行安全功能的组合SRP/CS的整体AgPL,步骤如下：a)确定最低AgPL;:AgPLlow;b)确定SRP/CS,中AgPL,=AgPLow的个数Nlow:AgPL=AgPLow且Nlow≤N;c)查找表J.1中的AgPL。表J.1串联SRP/CS的AgPL计算a无，不应ababcbC40GB/T38874.2—2020/ISO25119-2:2018表J.1(续)dcdede注：在此查找表中的计算值基于每个AgPL的可靠性值的中点。J.1.3数据通信——除非可根据附录B排除故障，在所涉及的子系统中应考虑所有布线和数据通信。 串联子系统应与