GB/T 20438.6-2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB/T 20438.2和GB/T 20438.3的應(yīng)用指南

ICS25040

N10.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T204386—2017/IEC61508-62010

.代替:

GB/T20438.6—2006

電氣/電子/可編程電子安全相關(guān)系統(tǒng)的

功能安全第6部分GB/T204382和

:.

GB/T204383的應(yīng)用指南

.

Functionalsafetyofelectrical/electronic/programmableelectronicsafety-related

systems—Part6GuidelinesontheapplicationofGB/T204382andGB/T204383

:..

(IEC61508-6:2010,Functionalsafetyofelectrical/electronic/programmable

electronicsafety-relatedsystems—Part6:Guidelinesontheapplicationof

IEC61508-2andIEC61508-3,IDT)

2017-12-29發(fā)布2018-07-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)

國(guó)家標(biāo)準(zhǔn)

電氣/電子/可編程電子安全相關(guān)系統(tǒng)的

功能安全第6部分GB/T204382和

:.

GB/T204383的應(yīng)用指南

.

GB/T20438.6—2017/IEC61508-6:2010

*

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽(yáng)區(qū)和平里西街甲號(hào)

2(100029)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

201711

*

書(shū)號(hào)

:155066·1-57856

版權(quán)專有侵權(quán)必究

GB/T204386—2017/IEC61508-62010

.:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………3

定義和縮略語(yǔ)

3……………3

附錄資料性附錄和的應(yīng)用

A()GB/T20438.2GB/T20438.3………4

附錄資料性附錄硬件失效概率評(píng)估技術(shù)示例

B()……………………11

附錄資料性附錄診斷覆蓋率和安全失效分?jǐn)?shù)的計(jì)算

C()……………67

附錄資料性附錄系統(tǒng)中與硬件相關(guān)的共因失效影響的量化方法

D()E/E/PE……70

附錄資料性附錄中軟件安全完整性表的應(yīng)用示例

E()GB/T20438.3……………83

參考文獻(xiàn)

……………………97

圖的整體框架

1GB/T20438……………2

圖的應(yīng)用

A.1GB/T20438.2……………7

圖的應(yīng)用圖續(xù)

A.2GB/T20438.2(A.1)………………8

圖的應(yīng)用

A.3GB/T20438.3……………10

圖完整安全回路的可靠性框圖

B.1……………………12

圖兩個(gè)傳感器通道配置示例

B.2………………………15

圖子系統(tǒng)結(jié)構(gòu)

B.3………………………18

圖物理框圖

B.41oo1……………………19

圖可靠性框圖

B.51oo1…………………19

圖物理框圖

B.61oo2……………………19

圖可靠性框圖

B.71oo2…………………20

圖物理框圖

B.82oo2……………………20

圖可靠性框圖

B.92oo2…………………20

圖物理塊圖

B.101oo2D…………………21

圖可靠性框圖

B.111oo2D………………21

圖物理框圖

B.122oo3……………………22

圖可靠性框圖

B.132oo3…………………22

圖低要求運(yùn)行模式架構(gòu)示例

B.14………………………31

圖高要求或連續(xù)運(yùn)行模式的架構(gòu)示例

B.15……………43

圖帶有結(jié)構(gòu)傳感器的簡(jiǎn)單完整的回路的可靠性框圖

B.162oo3……45

圖與可靠性框圖等效的簡(jiǎn)單故障樹(shù)模型

B.17B.1……………………46

圖等效故障樹(shù)可靠性框圖

B.18/………………………46

圖單一周期測(cè)試部件瞬時(shí)不可用率Ut

B.19()………48

圖使用故障樹(shù)時(shí)的PFD計(jì)算原理

B.20avg……………48

Ⅰ

GB/T204386—2017/IEC61508-62010

.:

圖交錯(cuò)測(cè)試的影響

B.21…………………49

圖復(fù)雜測(cè)試模式實(shí)例

B.22………………50

圖對(duì)一個(gè)雙部件系統(tǒng)的馬爾可夫圖形建模

B.23………51

圖多相馬爾可夫建模原理

B.24…………52

圖利用多相馬爾可夫方法得出的鋸齒形曲線

B.25……………………53

圖馬爾可夫近似模型

B.26………………53

圖由于要求本身失效的影響

B.27………………………54

圖測(cè)試時(shí)間影響建模

B.28………………54

圖包含和失效的多相馬爾可夫模型

B.29DDDU……………………55

圖改變邏輯至而不是對(duì)首次失效進(jìn)行維修

B.30(2oo31oo2)………56

圖帶吸收態(tài)的可靠度馬爾可夫圖

B.31“”………………56

圖無(wú)吸收態(tài)的可用度馬爾可夫圖

B.32“”………………58

圖單個(gè)周期性測(cè)試部件的佩特里網(wǎng)模型

B.33…………59

圖佩特里網(wǎng)建模共因失效和維修資源

B.34……………61

圖使用可靠性框圖構(gòu)建佩特里網(wǎng)和輔助佩特里網(wǎng)用于PFD和PFH計(jì)算

B.35(Petri)…………62

圖出現(xiàn)失效和修復(fù)的單部件的簡(jiǎn)易的佩特里網(wǎng)模型

B.36……………63

圖通過(guò)形式化語(yǔ)言進(jìn)行功能和功能障礙建模示例

B.37………………64

圖不確定性傳遞原理

B.38………………65

圖各個(gè)通道失效與共因失效的關(guān)系

D.1………………72

圖沖擊模型的故障樹(shù)實(shí)現(xiàn)

D.2…………81

表本附錄中使用的術(shù)語(yǔ)及其范圍應(yīng)用于

B.1(1oo1、1oo2、2oo2、1oo2D、1oo3、2oo3)………………16

表檢驗(yàn)測(cè)試時(shí)間間隔為個(gè)月平均恢復(fù)時(shí)間為時(shí)要求時(shí)的平均失效概率

B.26,8h,……………23

表檢驗(yàn)測(cè)試時(shí)間間隔為年平均恢復(fù)時(shí)間為時(shí)要求時(shí)的平均失效概率

B.31,8h,………………25

表檢驗(yàn)測(cè)試時(shí)間間隔為年平均恢復(fù)時(shí)間為時(shí)要求時(shí)的平均失效概率

B.42,8h,………………27

表檢驗(yàn)測(cè)試時(shí)間間隔為年平均恢復(fù)時(shí)間為時(shí)要求時(shí)的平均失效概率

B.510,8h,………………29

表低要求運(yùn)行模式示例中傳感器子系統(tǒng)在要求時(shí)的平均失效概率檢驗(yàn)測(cè)試時(shí)間間隔

B.6(

為年MTTR為

1,8h)…………31

表低要求運(yùn)行模式示例中邏輯子系統(tǒng)在要求時(shí)的平均失效概率檢驗(yàn)測(cè)試時(shí)間間隔

B.7(

為年MTTR為

1,8h)…………32

表低要求運(yùn)行模式示例中最終元件子系統(tǒng)在要求時(shí)的平均失效概率檢驗(yàn)測(cè)試時(shí)間間隔

B.8(

為年MTTR為

1,8h)…………32

表非完善檢驗(yàn)測(cè)試的示例

B.9…………33

表檢驗(yàn)測(cè)試時(shí)間間隔為個(gè)月平均恢復(fù)時(shí)間為的平均危險(xiǎn)失效頻率高要求或連續(xù)

B.101、8h(

運(yùn)行模式下

)……………………35

表檢測(cè)測(cè)試時(shí)間間隔為個(gè)月平均恢復(fù)時(shí)間為的平均危險(xiǎn)失效概率高要求或連續(xù)

B.113,8h(

運(yùn)行模式下

)……………………37

表檢驗(yàn)測(cè)試時(shí)間間隔為個(gè)月平均恢復(fù)時(shí)間為的平均危險(xiǎn)失效概率高要求或連續(xù)

B.126、8h(

運(yùn)行模式下

)……………………39

表檢驗(yàn)測(cè)試時(shí)間間隔為年以及平均恢復(fù)時(shí)間為的平均危險(xiǎn)失效概率高要求或連續(xù)

B.1318h(

運(yùn)行模式下

)……………………41

表高要求或連續(xù)運(yùn)行模式架構(gòu)示例中傳感器子系統(tǒng)平均危險(xiǎn)失效頻率檢驗(yàn)測(cè)試的時(shí)間

B.14(

間隔為個(gè)月MTTR為

6,8h)…………………43

Ⅱ

GB/T204386—2017/IEC61508-62010

.:

表高要求或連續(xù)運(yùn)行模式架構(gòu)示例中邏輯子系統(tǒng)平均危險(xiǎn)失效頻率檢驗(yàn)測(cè)試的時(shí)間

B.15(

間隔為個(gè)月MTTR為

6,8h)…………………44

表高要求或連續(xù)運(yùn)行模式架構(gòu)示例中最終元件子系統(tǒng)平均危險(xiǎn)失效頻率檢驗(yàn)測(cè)試的

B.16(

時(shí)間間隔為個(gè)月MTTR為

6,8h)……………44

表診斷覆蓋率和安全失效分?jǐn)?shù)的計(jì)算范例

C.1………68

表不同組件的診斷覆蓋率和有效性

C.2………………69

表可編程電子或傳感器或最終元件的評(píng)分

D.1………75

表Z值可編程電子

D.2:…………………77

表Z值傳感器或最終元件

D.3:…………78

表β和β的計(jì)算

D.4intDint…………………78

表冗余級(jí)別高于的系統(tǒng)的β的計(jì)算

D.51oo2…………79

表可編程電子的示例值

D.6……………79

表軟件安全要求規(guī)范

E.1………………84

表軟件設(shè)計(jì)與開(kāi)發(fā)軟件架構(gòu)設(shè)計(jì)

E.2:…………………84

表軟件設(shè)計(jì)與開(kāi)發(fā)支持工具和編程語(yǔ)言

E.3:…………86

表軟件設(shè)計(jì)與開(kāi)發(fā)詳細(xì)設(shè)計(jì)

E.4:………………………86

表軟件設(shè)計(jì)和開(kāi)發(fā)軟件模塊測(cè)試和集成

E.5:…………87

表可編程電子集成硬件和軟件

E.6()…………………87

表系統(tǒng)安全確認(rèn)的軟件方面

E.7………………………88

表軟件修改

E.8…………………………88

表軟件驗(yàn)證

E.9…………………………89

表功能安全評(píng)估

E.10……………………89

表軟件安全要求規(guī)范

E.11………………90

表軟件設(shè)計(jì)與開(kāi)發(fā)軟件架構(gòu)設(shè)計(jì)

E.12:………………91

表軟件設(shè)計(jì)與開(kāi)發(fā)支持工具及編程語(yǔ)言

E.13:………92

表軟件設(shè)計(jì)與開(kāi)發(fā)詳細(xì)設(shè)計(jì)

E.14:……………………92

表軟件設(shè)計(jì)與開(kāi)發(fā)軟件模塊測(cè)試和集成

E.15:………93

表可編程電子集成硬件和軟件

E.16()…………………94

表軟件方面的系統(tǒng)安全確認(rèn)軟件安全確認(rèn)

E.17()……………………94

表修改

E.18………………95

表軟件驗(yàn)證

E.19…………………………95

表功能安全評(píng)估

E.20……………………96

Ⅲ

GB/T204386—2017/IEC61508-62010

.:

前言

電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全分為七個(gè)部分

GB/T20438《//》:

第部分一般要求

———1:;

第部分電氣電子可編程電子安全相關(guān)系統(tǒng)的要求

———2://;

第部分軟件要求

———3:;

第部分定義和縮略語(yǔ)

———4:;

第部分確定安全完整性等級(jí)的方法示例

———5:;

第部分和的應(yīng)用指南

———6:GB/T20438.2GB/T20438.3;

第部分技術(shù)和措施概述

———7:。

本部分為的第部分

GB/T204386。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全第部分

GB/T20438.6—2006《//6:

和的應(yīng)用指南與相比主要技術(shù)變化如下

GB/T20438.2GB/T20438.3》,GB/T20438.6—2006,:

增加了評(píng)估硬件失效概率的方法如故障樹(shù)馬爾科夫模型佩特里網(wǎng)等見(jiàn)附錄

———,、、(B);

增加了不同結(jié)構(gòu)共因失效因子的方法見(jiàn)附錄

———(D.7)。

本部分使用翻譯法等同采用電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全

IEC61508-6:2010《//

第部分和的應(yīng)用指南

6:IEC61508-2IEC61508-3》。

本部分做了下列編輯性修改

:

為與現(xiàn)有標(biāo)準(zhǔn)系列一致將標(biāo)準(zhǔn)名稱改為電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安

———,《//

全第部分和的應(yīng)用指南

6:GB/T20438.2GB/T20438.3》

本部分由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出

。

本部分由全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC124)。

本部分起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所北京國(guó)電智深控制技術(shù)有限公司北京

:、、

和利時(shí)系統(tǒng)工程有限公司上海黑馬安全自動(dòng)化系統(tǒng)有限公司皮爾磁工業(yè)自動(dòng)化貿(mào)易上海有限公

、、()

司橫河電機(jī)中國(guó)有限公司上海工業(yè)自動(dòng)化儀表研究院上海中滬電子有限公司西門(mén)子中國(guó)有限

、()、、、()

公司

。

本部分主要起草人史學(xué)玲熊文澤潘鋼楊柳黃之炯李佳嘉周有錚姜雪蓮錢(qián)大濤馮曉升

:、、、、、、、、、、

羅安李佳劉曉東方來(lái)華田雨聰顧崢魯毅梅豪許鵬申弢

、、、、、、、、、。

本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T20438.6—2006。

Ⅴ

GB/T204386—2017/IEC61508-62010

.:

引言

由電氣和電子器件構(gòu)成的系統(tǒng)多年來(lái)在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能以計(jì)算機(jī)為基礎(chǔ)的系

,。

統(tǒng)一般指可編程電子系統(tǒng)在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能并且也越來(lái)越多地用于執(zhí)行安全功

(),

能如果要安全并有效地使用計(jì)算機(jī)技術(shù)有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十

。,

分必要的

。

針對(duì)由電氣和或電子和或可編程電子組件構(gòu)成的用來(lái)執(zhí)行安全功能的

GB/T20438//(E/E/PE)、

系統(tǒng)安全生命周期的所有活動(dòng)提出了一個(gè)通用的方法采用統(tǒng)一的方法的目的是為了針對(duì)所有以電

,。

為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的合理的技術(shù)方針主要目標(biāo)是促進(jìn)基于系列標(biāo)

、。GB/T20438

準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國(guó)家標(biāo)準(zhǔn)的制定

。

注1在參考文獻(xiàn)中給出了基于系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子見(jiàn)參考文獻(xiàn)

:GB/T20438([1],[2],[3])。

在許多情況下可用多種基于不同技術(shù)如機(jī)械的液壓的氣動(dòng)的電氣的電子的可編程電子的

,(、、、、、

等的系統(tǒng)來(lái)保證安全因而不得不考慮各類(lèi)安全策略不僅要考慮單個(gè)系統(tǒng)中的所有組件的問(wèn)題如

)。,(

傳感器控制器執(zhí)行器等還要考慮不同安全相關(guān)系統(tǒng)組合后的問(wèn)題因此當(dāng)在關(guān)注電

、、),。GB/T20438

氣電子可編程電子安全相關(guān)系統(tǒng)的同時(shí)也提供了一個(gè)框架在這個(gè)框架內(nèi)基于其他技

//(E/E/PE),,,

術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去

。

在各種應(yīng)用領(lǐng)域里存在著許多潛在的危險(xiǎn)和風(fēng)險(xiǎn)包含的復(fù)雜性也各不相同從而需應(yīng)用不同的

,,,

安全相關(guān)系統(tǒng)對(duì)每個(gè)特定的應(yīng)用根據(jù)特定應(yīng)用的許多因素來(lái)確定所需的安全措施

E/E/PE。,。

作為基本原則可在未來(lái)的產(chǎn)品和應(yīng)用領(lǐng)域國(guó)家標(biāo)準(zhǔn)制定和已有標(biāo)準(zhǔn)的修訂中規(guī)范這些措施

GB/T20438。

GB/T20438

考慮了當(dāng)使用系統(tǒng)執(zhí)行安全功能時(shí)所涉及的整體安全生命周期系統(tǒng)安全

———E/E/PE,、E/E/PE

生命周期以及軟件安全生命周期的各階段如初始概念整體設(shè)計(jì)實(shí)現(xiàn)運(yùn)行和維護(hù)到退役

(、、、);

針對(duì)飛速發(fā)展的技術(shù)建立一個(gè)足夠健全且廣泛滿足未來(lái)發(fā)展需求的框架

———,;

使涉及安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國(guó)家標(biāo)準(zhǔn)得以制定在的框

———E/E/PE;GB/T20438

架下產(chǎn)品和應(yīng)用領(lǐng)域的國(guó)家標(biāo)準(zhǔn)的制定在應(yīng)用領(lǐng)域和交叉應(yīng)用領(lǐng)域具有高度一致性如基本

,(

原理術(shù)語(yǔ)等這將既具有安全性又具有經(jīng)濟(jì)效益

,);;

為實(shí)現(xiàn)安全相關(guān)系統(tǒng)所需的功能安全提供了編制安全要求規(guī)范的方法

———E/E/PE,;

采用了一種可確定安全完整性要求的基于風(fēng)險(xiǎn)的方法

———;

引入安全完整性等級(jí)用于規(guī)定安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整

———,E/E/PE

性等級(jí)

;

注2沒(méi)有規(guī)定每個(gè)安全功能的安全完整性等級(jí)的要求也沒(méi)有規(guī)定如何確定安全完整性等級(jí)而是

:GB/T20438,。

提供了一種基于風(fēng)險(xiǎn)概念的框架和技術(shù)范例

。

建立了安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量這些量都同安全完整性等級(jí)相

———E/E/PE,

聯(lián)系

;

建立了單一安全相關(guān)系統(tǒng)執(zhí)行安全功能時(shí)目標(biāo)失效量的一個(gè)下限值這些

———E/E/PE,;E/E/PE

安全相關(guān)系統(tǒng)運(yùn)行在

:

低要求運(yùn)行模式下下限設(shè)定成要求時(shí)危險(xiǎn)失效平均概率為-5

———,10;

高要求或連續(xù)運(yùn)行模式下下限設(shè)定成危險(xiǎn)失效平均頻率為-9

———,10/h。

注3單一安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)

:E/E/PE。

注4對(duì)于非復(fù)雜系統(tǒng)通過(guò)安全相關(guān)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的但對(duì)于相對(duì)復(fù)雜的系統(tǒng)例

:,。(

如可編程電子安全相關(guān)系統(tǒng)這些限值代表了目前能夠達(dá)到的水平

),。

Ⅵ

GB/T204386—2017/IEC61508-62010

.:

基于工業(yè)實(shí)踐中獲取的經(jīng)驗(yàn)和判斷設(shè)定了避免和控制系統(tǒng)性故障的要求即使發(fā)生系統(tǒng)性故

———,;

障的可能性一般不能量化但允許為一個(gè)特定的安全功能做出聲明即如果標(biāo)準(zhǔn)

,GB/T20438,

中的所有要求都滿足認(rèn)為與安全功能相關(guān)的目標(biāo)失效量已達(dá)到

,;

引入了系統(tǒng)性能力該能力表明一個(gè)組件為滿足規(guī)定的安全完整性等級(jí)要求時(shí)系統(tǒng)性安全完

———,,

整性的置信度

;

采用多種原理技術(shù)和措施以實(shí)現(xiàn)安全相關(guān)系統(tǒng)的功能安全但沒(méi)有明確地使用失

———、E/E/PE,

效安全的概念然而如果能夠滿足標(biāo)準(zhǔn)中相關(guān)條款的要求則失效安全的概念和本質(zhì)

-。,,“-”“

安全原則可能被應(yīng)用并且采用這些概念是可接受的

”,。