GB∕T 20438.1-2017 電氣∕電子∕可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求

ICS25.040GB/T20438.1—2017/IEC61508-1:2010代替GB/T20438.1—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的(IEC61508-1:2010,IDT)GB/T20438.1—2017/IEC61508-1:2010 Ⅲ 1 43定義和縮略語 44與GB/T20438的符合性 4 4 4 5 5 5 67整體安全生命周期的要求 87.1概述 8 7.3整體范圍確定 7.4危險與風(fēng)險分析 7.5整體安全要求 7.6整體安全要求分配 7.7整體運(yùn)行和維護(hù)計劃編制 7.8整體安全確認(rèn)計劃編制 7.9整體安裝和調(diào)試計劃編制 7.10E/E/PE系統(tǒng)安全要求規(guī)范 7.11E/E/PE安全相關(guān)系統(tǒng)-實(shí)現(xiàn) 7.12其他風(fēng)險降低措施-規(guī)范和實(shí)現(xiàn) 7.13整體安裝和調(diào)試 7.14整體安全確認(rèn) 7.16整體修改和改型 7.17退役或處置 7.18驗(yàn)證 8功能安全評估 8.2要求 附錄A(資料性附錄)文檔結(jié)構(gòu)范例 IⅡGB/T20438.1—2017/IEC61508-1:2010 3圖2整體安全生命周期 9圖3E/E/PE系統(tǒng)安全生命周期(實(shí)現(xiàn)階段) 圖4軟件安全生命周期(實(shí)現(xiàn)階段) 圖5整體安全生命周期與E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期之間的關(guān)系 圖6E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施的整體安全要求分配圖 圖7運(yùn)行和維護(hù)活動模型示例 圖8運(yùn)行和維護(hù)管理模型示例 圖9修改規(guī)程模型示例 圖A.1把信息構(gòu)建成用戶組的文檔集 表3安全完整性等級：在高要求或連續(xù)運(yùn)行模式下安全功能目標(biāo)失效量 表4執(zhí)行功能安全評估各方的最低獨(dú)立等級[包括整體安全生命周期階段1～8和 表5進(jìn)行功能安全評估各方的最低獨(dú)立等級[整體安全生命周期階段9和10,包括E/E/PE系統(tǒng)安全生命周期、軟件安全生命周期的所有階段(見圖2,圖3和圖4)] 表A.1與整體安全生命周期有關(guān)信息的文檔結(jié)構(gòu)示例 表A.2與E/E/PE系統(tǒng)安全生命周期有關(guān)信息的文檔結(jié)構(gòu)示例 表A.3與軟件安全生命周期有關(guān)信息的文檔結(jié)構(gòu)示例 ⅢGB/T20438.1—2017/IEC61508-1:2010——第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；本部分為GB/T20438的第1部分。本部分代替GB/T20438.1—2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分： ——GB/T20438.1—2006。GB/T20438.1—2017/IEC61508-1:2010由電氣和電子器件構(gòu)成的系統(tǒng)，多年來在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能。以計算機(jī)為基礎(chǔ)的系統(tǒng)(一般指可編程電子系統(tǒng))在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能，并且也越來越多地用于執(zhí)行安全功能。如果要安全并有效地使用計算機(jī)技術(shù)，有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十分必要的。GB/T20438針對由電氣和/或電子和/或可編程電子(E/E/PE)組件構(gòu)成的、用來執(zhí)行安全功能的系統(tǒng)安全生命周期的所有活動，提出了一個通用的方法。采用統(tǒng)一的方法的目的是為了針對所有以電為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的、合理的技術(shù)方針。主要目標(biāo)是促進(jìn)基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)的制定。注1:在參考文獻(xiàn)中給出了基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的例子(見參考文獻(xiàn)[1],[2],[3])。等)的系統(tǒng)來保證安全。因而必須考慮各類安全策略，不僅要考慮單個系統(tǒng)中的所有組件的問題(如傳感器、控制器、執(zhí)行器等),還要考慮不同安全相關(guān)系統(tǒng)組合后的問題。因此當(dāng)GB/T20438在關(guān)注電術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去。E/E/PE安全相關(guān)系統(tǒng)。對每個特定的應(yīng)用，將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施。GB/T20438——使涉及E/E/PE安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)得以制定；在GB/T20438的框——為實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)所需的功能安全，提供了編制安全要求規(guī)范的方法；——采用了一種可確定安全完整性要求的基于風(fēng)險的方法；——引入安全完整性等級，用于規(guī)定E/E/PE安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整注2:GB/T20438沒有規(guī)定每個安全功能的安全完整性等級的要求，也沒有規(guī)定如何確定安全完整性等級。而是提供了一種基于風(fēng)險概念的框架和技術(shù)范例。—建立了E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量，這些量都同安全完整性等級相 ——低要求運(yùn)行模式下，下限設(shè)定成要求時危險失效平均概率為10-5;——高要求運(yùn)行模式或者連續(xù)運(yùn)行模式下，下限設(shè)定成危險失效平均頻率為10-?/h。注3:單一E/E/PE安全相關(guān)系統(tǒng)不一定是單通道架構(gòu)。注4:對于非復(fù)雜系統(tǒng)，通過安全相關(guān)系統(tǒng)的設(shè)計實(shí)現(xiàn)更優(yōu)目標(biāo)安全完整性是可能的。但對于相對復(fù)雜的系統(tǒng)(例如可編程電子安全相關(guān)系統(tǒng)),這些限值代表了目前能夠達(dá)到的水平。VGB/T20438.1—2017/IEC61508-1:2010——基于工業(yè)實(shí)踐中獲取的經(jīng)驗(yàn)和判斷，設(shè)定了避免和控制系統(tǒng)性故障的要求。即使發(fā)生系統(tǒng)性——采用多種原理、技術(shù)和措施以實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)的功能安全，但沒有明確地使用失1GB/T20438.1—2017/IEC61508-1:2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的1.1GB/T20438包含電氣/電子/可編程電子系統(tǒng)在執(zhí)行安全功能時要考慮的各個方面。GB/T20438的主要目的是促進(jìn)負(fù)責(zé)產(chǎn)品或應(yīng)用領(lǐng)域的技術(shù)委員會制定產(chǎn)品和應(yīng)用領(lǐng)域國家標(biāo)準(zhǔn)。這將允許充分考慮與產(chǎn)品或應(yīng)用相關(guān)的所有因素，從而滿足產(chǎn)品和應(yīng)用領(lǐng)域用戶的特定需要。GB/T20438第二個目的是，在產(chǎn)品或應(yīng)用領(lǐng)域沒有國家標(biāo)準(zhǔn)的情況下能夠開發(fā)E/E/PE安全相關(guān)系統(tǒng)。1.2GB/T20438尤其：a)適用于包含有一個或幾個電氣/電子/可編程電子組件的安全相關(guān)系統(tǒng)；b)是一個一般基礎(chǔ)并適用于所有E/E/PE安全相關(guān)系統(tǒng)而無需考慮其具體應(yīng)用；c)包括通過應(yīng)用E/E/PE安全相關(guān)系統(tǒng)達(dá)到可容忍風(fēng)險，但不包含E/E/PE設(shè)備自身出現(xiàn)的危險(如電擊);d)可應(yīng)用于所有類型的E/E/PE安全相關(guān)系統(tǒng)，包括保護(hù)系統(tǒng)和控制系統(tǒng)；e)不包括在下列情況時的E/E/PE系統(tǒng)：——該單一E/E/PE系統(tǒng)安全功能要求的安全完整性低于規(guī)定的安全完整性等級1(GB/T20438規(guī)定的最低安全完整性等級)。f)主要針對其失效將對人和/或環(huán)境安全產(chǎn)生影響的E/E/PE安全相關(guān)系統(tǒng)；但是，失效的后果也將對經(jīng)濟(jì)產(chǎn)生嚴(yán)重影響。從這個角度講，GB/T20438可用來規(guī)范任何用于保護(hù)設(shè)備和產(chǎn)g)考慮了E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施，以便能系統(tǒng)性的、以基于風(fēng)險的方式確定E/E/PE安全相關(guān)系統(tǒng)的安全要求規(guī)范；h)用整體安全生命周期模型作為技術(shù)框架，以便系統(tǒng)性地處理為確保E/E/PE安全相關(guān)系統(tǒng)功能安全所必需的活動；i)不對各領(lǐng)域應(yīng)用規(guī)定要求的安全完整性等級(這需要以該領(lǐng)域應(yīng)用的詳細(xì)信息和知識為基礎(chǔ)),適合的安全完整性等級由負(fù)責(zé)制定各應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的技術(shù)委員會在行業(yè)應(yīng)用標(biāo)準(zhǔn)中j)對于尚無標(biāo)準(zhǔn)的各產(chǎn)品和應(yīng)用領(lǐng)域提供E/E/PE安全相關(guān)系統(tǒng)的通用要求；k)需要在風(fēng)險和危險分析時考慮惡意的和非授權(quán)的行為。分析范圍包括所有相關(guān)的安全生命周期階段；1)不包括防止未經(jīng)批準(zhǔn)人員損害E/E/PE安全相關(guān)系統(tǒng)的安全功能和/或?qū)ζ洚a(chǎn)生不利影響的2GB/T20438.1—2017/IEC61508-1:2010n)不適用符合IEC60601系列的醫(yī)療設(shè)備。1.3GB/T20438的本部分包含的一般要求適用于GB/T20438的所有部分。GB/T20438其他部分——第2部分和第3部分對E/E/PE安全相關(guān)系統(tǒng)(硬件和軟件)提出了更多、更具體的要求；——第4部分規(guī)定GB/T20438中使用的術(shù)語定義和縮略語；——第5部分用示例的方法，提供了第1部分應(yīng)用中確定安全完整性等級的指南；——第6部分提供了第2部分和第3部分的應(yīng)用指南；——第7部分包括技術(shù)和措施概述。1.4GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4是基礎(chǔ)用于低復(fù)雜的E/E/PE安全相關(guān)系統(tǒng)(見GB/T20438.4—2017的3.4.3),但作為基礎(chǔ)安全標(biāo)準(zhǔn)，各技術(shù)委員會可以在IEC指南104和ISO/IEC指南51的指導(dǎo)下制定相關(guān)標(biāo)準(zhǔn)時使用。GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4也可作為獨(dú)立標(biāo)準(zhǔn)來使用。GB/T20438的橫向安全功能不適用于在IEC60601系列指導(dǎo)下的醫(yī)療設(shè)備。過程中的作用。3GB/T20438.1—2017/IEC61508-1:2010第1部分編制整體安全要求(概念、范圍、定第5部分第1部分第4部分第1部分第6部分第2部分和第3部第1部分第5章和附錄A第2部分E/E/PE安全相段第3部分安全相關(guān)軟件第1部分第7部分第1部分7.13和7.14第1部分第1部分4GB/T20438.1—2017/IEC61508-1:2010GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求(IEC61508-3:2010,IDT)GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(IEC61508-4:2010,IDT)(Thepreparationofsafetypublicationsandtheuseofbasicsafetypublicationsandgroupsafetypubli-ISO/IECGuide51:1999涉及安全的內(nèi)容將安全內(nèi)容納入標(biāo)準(zhǔn)的指南(Safetyaspects—Guidelinesfortheirinclusioninstandards)4.2GB/T20438規(guī)定了對E/E/P性。但對于低復(fù)雜的E/E/PE安全相關(guān)系統(tǒng)(見GB/T20438.4—2017的3.4.3),如有能為達(dá)到要求的——在有關(guān)應(yīng)用和產(chǎn)品領(lǐng)域標(biāo)準(zhǔn)中實(shí)現(xiàn)GB/T20438.1～GB/T20438.7要求時，有些要求也許不——如在有關(guān)產(chǎn)品或應(yīng)用領(lǐng)域沒有相應(yīng)標(biāo)準(zhǔn)，則可直接應(yīng)用GB/T20438,如有理由認(rèn)為4.3按GB/T20438框架制定的E/E/PE安全相關(guān)系統(tǒng)的產(chǎn)品或應(yīng)用領(lǐng)域的國家標(biāo)準(zhǔn)，應(yīng)考慮ISO/IEC指南51和IEC指南104的要求。5GB/T20438.1—2017/IEC61508-1:2010理(見第6章)、驗(yàn)證(見7.18)以及功能安全評估(見第8章)等活動。注4:見參考文獻(xiàn)中的引用文件[7]。5.2.1對于整體以及E/E/PE系統(tǒng)和軟件安全生命周期已完成的各個階段，文檔中應(yīng)包括充分的信息。這些信息對于有效執(zhí)行后續(xù)階段和驗(yàn)證活動是必需的。注：充分信息的構(gòu)成取決于許多因素，包括E/E/PE安全相關(guān)系統(tǒng)的復(fù)雜程度和系統(tǒng)規(guī)模，以及具5.2.2文檔中應(yīng)包括功能安全管理所需的足夠信息(見第6章)。5.2.3文檔中應(yīng)包括實(shí)現(xiàn)功能安全評估所需的充分信息，也包括從任何功能安全評估得到的結(jié)果和5.2.4除非證明這些歸檔信息有效合理，或者在產(chǎn)品或應(yīng)用領(lǐng)域標(biāo)準(zhǔn)中已規(guī)定，否則這些信息應(yīng)同本部分各章中的規(guī)定相一致。5.2.6文檔應(yīng)：——準(zhǔn)確簡明；——能達(dá)到預(yù)期目的；——可使用和可維護(hù)。5.2.7文檔或信息集應(yīng)有指示內(nèi)容范圍的標(biāo)題或名稱，以及一些檢索排列的形式，以便準(zhǔn)確訪問標(biāo)準(zhǔn)5.2.8文檔的結(jié)構(gòu)可根據(jù)公司規(guī)程和產(chǎn)品或應(yīng)用領(lǐng)域的工作習(xí)慣來確定。5.2.9文檔或信息集應(yīng)有修訂索引(版本號),以區(qū)別文檔的不同版本。5.2.10文檔或信息集應(yīng)結(jié)構(gòu)化以便于查找相關(guān)信息，以及易于識別文檔或信息集的最新修訂版(版本)。6功能安全管理6.1.1本章要求的第一個目的是對E/E/PE安全相關(guān)系統(tǒng)或者對完整的E/E/PE系統(tǒng)和軟件安全生命周期的一個或多個階段的責(zé)任方確定功能安全管理的職責(zé)。6GB/T20438.1—2017/IEC61508-1:20106.1.2本章要求的第二個目的是在功能安全管理中確定由責(zé)任方執(zhí)行的具體活動。注：本章中涉及的組織措施用于有效實(shí)現(xiàn)技術(shù)要求并僅針對實(shí)現(xiàn)和保持E/E/PE安全相關(guān)系統(tǒng)的功能安全。保持功能安全所需的技術(shù)要求，將被規(guī)定作為E/E/PE安全相關(guān)系統(tǒng)及其元器件和組件的供貨商提供信息的一——系統(tǒng)及其生命周期階段；——協(xié)調(diào)在這些階段需執(zhí)行的安全相關(guān)活動；——協(xié)調(diào)功能安全評估(見6.2.12b)和第8章],尤其是在不同階段，由不同的評估方執(zhí)行功能安全——保證功能安全的實(shí)現(xiàn)和論證與本部分的目的和要求相一致。安全生命周期階段實(shí)施活動的責(zé)任(包括驗(yàn)證和功能安全評估的人員責(zé)任，以及應(yīng)由相關(guān)的許可授權(quán)或法定的安全機(jī)構(gòu)所負(fù)的責(zé)任),并將這些責(zé)任完全的和清楚的告知責(zé)任方。6.2.4應(yīng)制定規(guī)程以規(guī)定相關(guān)各方需交流何種信息以及如何交流。6.2.5應(yīng)制定規(guī)程以保證對E/E/PE安全相關(guān)系統(tǒng)的相關(guān)建議能迅速跟進(jìn)和滿意解決，建議包括a)危險和風(fēng)險分析(見7.4);b)功能安全評估(見第8章);c)驗(yàn)證活動(見7.18);d)確認(rèn)活動(見7.8和7.14);f)事故報告和分析(見6.2.6)。6.2.6應(yīng)制定規(guī)程以保證對所有檢測到的危險事件開展分析，并提出建議以將其重復(fù)發(fā)生的可能性降a)功能安全審核的頻率；b)執(zhí)行這些審核的獨(dú)立性水平；c)必要的文檔和后續(xù)活動。6.2.8應(yīng)在如下方面制定規(guī)程：a)發(fā)起對E/E/PE安全相關(guān)系統(tǒng)修改(見7.16.2.2);b)獲得修改的批準(zhǔn)和授權(quán)。6.2.9應(yīng)制定規(guī)程以保持對危險和危險事件、安全功能和E/E/PE安全相關(guān)系統(tǒng)信息的準(zhǔn)確性。7GB/T20438.1—2017/IEC61508-1:20106.2.10應(yīng)在整體安全生命周期、E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期階段中制定E/E/PEb)用來唯一識別某項(xiàng)(硬件和軟件)所有構(gòu)成部分的規(guī)程；c)阻止非授權(quán)項(xiàng)進(jìn)入服務(wù)的規(guī)程。6.2.12那些負(fù)責(zé)一個或多個整體安全生命周期、E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期階段的責(zé)任方，應(yīng)就那些他們負(fù)有責(zé)任的階段和按照6.2.1～6.2.11所定義的規(guī)a)用來滿足特定章條或條款要求而選擇的措施和技術(shù)(見GB/T20438.2、GB/T20438.3和GB/T20438.6);b)功能安全評估活動和將功能安全實(shí)現(xiàn)證明給那些執(zhí)行功能安全評估人員的方法(見第8章);6.2.13應(yīng)制定相應(yīng)的規(guī)程，以保證6.2.1和6.2.3定義的所有負(fù)責(zé)人員(包括任何整體生命周期、E/E/PE系統(tǒng)生命周期和軟件生命周期活動的所有人員，包括驗(yàn)證、功能安全管理和功能安全評估的活動)a)人員的責(zé)任；b)要求的監(jiān)督等級；c)E/E/PE安全相關(guān)系統(tǒng)失效事件的潛在后果——后果越嚴(yán)重，對能力(權(quán)限)的f)之前的經(jīng)驗(yàn)及其與待執(zhí)行規(guī)定職責(zé)和采用技術(shù)的相關(guān)性——要求的能力越高，通過之前經(jīng)驗(yàn)獲得的能力和將實(shí)施特定活動的要求之間的符合性差距越小；h)適用于應(yīng)用領(lǐng)域和該技術(shù)的工程知識；i)適用于該技術(shù)的安全工程知識；j)法律和安全規(guī)章框架的知識；k)對執(zhí)行特定活動資格的相關(guān)性。6.2.15根據(jù)6.2.1和6.2.3定義的所有負(fù)責(zé)人員的能力應(yīng)文檔化。6.2.17對整體安全生命周期、E/E/PE系統(tǒng)安全生命周期或軟件安全生命周期(見6.2.1)的一個或多個階段負(fù)責(zé)的組織提供產(chǎn)品或服務(wù)的供應(yīng)商，應(yīng)該提供該組織規(guī)定的產(chǎn)品或服務(wù)并有一個適當(dāng)?shù)馁|(zhì)量8GB/T20438.1—2017/IEC61508-1:20106.2.18與功能安全管理相關(guān)的活動應(yīng)適用于整體安全生命周期、E/E/PE系統(tǒng)安全生命周期和軟件安7整體安全生命周期的要求7.1.1.1為了以系統(tǒng)性方式處理所有的活動，這些活動是為使E/E/PE安全相關(guān)系統(tǒng)執(zhí)行的安全功能實(shí)現(xiàn)要求的安全完整性等級所必須的，本部分采用了一種整體安全生命周期的技術(shù)框架(見圖2)。于圖2的整體安全生命周期?！狤/E/PE安全相關(guān)系統(tǒng)；7.1.1.3在整體安全生命周期中，涉及E/E/PE安全相關(guān)系統(tǒng)的組成部分被擴(kuò)展并示于圖3。E/E/PE系統(tǒng)安全生命周期部分構(gòu)成了GB/T20438.2的技術(shù)框架。圖4顯示了軟件安全生命周期部分并構(gòu)成了GB/T20438.3的技術(shù)框架。圖5顯示了安全相關(guān)系統(tǒng)的整體安全生命周期與E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期之間的關(guān)系。7.1.1.4整體的、E/E/PE系統(tǒng)的和軟件的安全生命周期圖(圖2～圖4)僅是實(shí)際情況的一個簡化圖，7.1.1.5有關(guān)功能安全的管理(見第6章)、驗(yàn)證(見7.18)和功能安全評估(見第8章)的活動沒有表示在整體的、E/E/PE系統(tǒng)的或軟件的安全生命周期中。這樣做是為了減少整體的、E/E/PE系統(tǒng)的和軟期的相關(guān)階段中。9GB/T20438.1—2017/IEC61508-1:2010概概念E/E/PE系統(tǒng)安全要求規(guī)范EE/PE安全相關(guān)系統(tǒng)實(shí)現(xiàn)(見E/E/PE系統(tǒng)安全生命周期)退役或處置措施規(guī)范和實(shí)現(xiàn)確認(rèn)計劃編制和改型678注1:為清楚起見，與功能安全驗(yàn)證、功能安全管理以及功能安全評估有關(guān)的活動未在圖中顯示，但這些都與整體注2:方框11所表示的階段不在GB/T20438范圍之內(nèi)。注3:GB/T20438.2和GB/T20438.3涉及方框10(實(shí)現(xiàn)),但有關(guān)部分也涉及方框13、14和15的可編程電子方面注4:各方框代表的每個階段的目標(biāo)和范圍的描述見表1。GB/T20438.1—2017/IEC61508-1:2010圖2方框10圖2方框10實(shí)現(xiàn)安全生命周期)GB/T20438.2和GB/T20438.3的圖3)10.4EE/PE系統(tǒng)集成每個EE/PE安全相關(guān)系統(tǒng)的一個至圖2方框14E/E/PE系統(tǒng)運(yùn)行和維護(hù)規(guī)程劃E/E/PE系統(tǒng)安全生命周期(實(shí)現(xiàn)階段)至圖2方框12注：本圖僅表示在整體安全生命周期實(shí)現(xiàn)階段中的E/E/PE系統(tǒng)安全生命周期部分。完整的E/E/PE系統(tǒng)安全生命周期，還包括整體安全生命周期后續(xù)階段(見圖2的方框12～方框16)中與E/E/PE安全相關(guān)系統(tǒng)相關(guān)的內(nèi)容。E/E/PEE/E/PE系統(tǒng)(見圖4)GB/T20438.1—2017/IEC61508-1:2010軟件安全生命周期(實(shí)現(xiàn)階段)軟件安全生命周期(實(shí)現(xiàn)階段)劃10.4PE集成(硬件和軟件)至圖2方框12至圖2方框14注：本圖僅表示在整體安全生命周期實(shí)現(xiàn)階段中的軟件安全生命周期部分。完整的軟件安全生命周期，還包括整體安全生命周期后續(xù)階段(見圖2的方框12～方框16)中與E/E/PE安全相關(guān)系統(tǒng)軟件相關(guān)的內(nèi)容。圖4軟件安全生命周期(實(shí)現(xiàn)階段)整體安全生命周期方框10(見圖2)E/E/PE安全相關(guān)系統(tǒng)實(shí)現(xiàn)(見圖3)圖5整體安全生命周期與E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期之間的關(guān)系7.1.2.1從7.2～7.17規(guī)定了整體安全生命周期各階段的目的與要求。在GB/T20438.2和GB/T20438.3中分別給出了E/E/PE系統(tǒng)及軟件安全生命周期階段的目的和要求。注：7.2～7.17對應(yīng)于圖2的特定方框(階段),這些條的注中參考了這些特定的方框。7.1.2.2對于整體安全生命周期的所有階段，表1指出：——各階段的范圍；GB/T20438.1—2017/IEC61508-1:2010——各階段所要求的輸入；——符合要求的輸出。安全生命周期階段范圍要求所在的條款輸入輸出方框號標(biāo)題1概念7.2.1:(實(shí)際的、法律的等)的理解水平，以滿足執(zhí)行其他需要EUC及其環(huán)境(實(shí)際的、法律的等)7.2.2滿足該條要求所必需的所有相關(guān)信息境和危險相關(guān)的信息2整體范圍確定7.3.1:系統(tǒng)的范圍；規(guī)定危險與風(fēng)險分析的范圍(如過程危險、環(huán)境危險等)EUC及其環(huán)境7.3.2與EUC、及其環(huán)境和危險相關(guān)的信息已確定的危險范圍3危險和風(fēng)險分析7.4.1:對包括故障狀況和合理GB/T20438.4—2017的3.1.14)在內(nèi)的所有合理的可預(yù)見的情況，確定(所有運(yùn)行模式下)的危險、危險事件和相關(guān)的危確定導(dǎo)致危險事件的事件順序；EUC風(fēng)險范圍與涉及的整體的、E/E/PE系統(tǒng)的和軟件的安全生命周期階段有關(guān)(因?yàn)榭赡苄枰M(jìn)行幾次危險與風(fēng)險分析)。初始危險與風(fēng)險分析的范圍將由整體決定7.4.2已確定的危險范圍危險與風(fēng)險分析的描述以及相關(guān)的信息4整體安全要求7.5.1:為實(shí)現(xiàn)所需的功能安全，根據(jù)安全功能要求和安全完整性要求為E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施編制整體安全要求規(guī)范由整體范圍確定的輸出決定7.5.2危險與風(fēng)險分析的描述及相關(guān)的信息根據(jù)安全功能要求和安全完整性要求規(guī)定的整體安全要求規(guī)范GB/T20438.1—2017/IEC61508-1:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入輸出方框號標(biāo)題5整體安全要求分配7.6.1:為指定的E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施分配安全功能，這些安全功能包含于整體安全要求(安全功能要求和安全完整性要求)規(guī)范給每個由E/E/PE安全相關(guān)系統(tǒng)執(zhí)行的安全功能分配安全完整性等級由整體范圍確定的輸出決定7.6.2根據(jù)安全功能要求和安全完整性要求規(guī)定的整體安全要求規(guī)范整體安全功能分配的信息，它量及相應(yīng)安全完整性等級。個生命周期中管理的其他風(fēng)險降低措施的假設(shè)(見7.6.2.13)6整體運(yùn)行和維護(hù)計劃編制7.7.1:擬定E/E/PE安全相關(guān)系統(tǒng)的運(yùn)行和維護(hù)計劃，以確保在運(yùn)行和維護(hù)過安全統(tǒng)和人的因素；系統(tǒng)7.7.2整體安全功能分配的信息，它們的目標(biāo)失效量及相應(yīng)安全完整性等級。個生命周期中管理的其他風(fēng)險降低措施的假設(shè)(見7.6.2.13)E/E/PE安全相關(guān)系統(tǒng)運(yùn)行和維護(hù)計劃7整體安全確認(rèn)計劃編制7.8.1:擬定對E/E/PE安全相關(guān)系統(tǒng)的整體安全進(jìn)行確認(rèn)的計劃統(tǒng)和人的因素；系統(tǒng)7.8.2整體安全要求分配的信息和結(jié)果E/E/PE安全相關(guān)系統(tǒng)的整體安全確認(rèn)計劃8整體安裝和調(diào)試計劃編制7.9.1.擬定受控方式下的E/E/PE安全相關(guān)系統(tǒng)的安裝計劃，以保證實(shí)現(xiàn)所需的功能安全；擬定受控方式下的E/E/PE安全相關(guān)系統(tǒng)的調(diào)試計劃，以保證實(shí)現(xiàn)所需的功能安全系統(tǒng)7.9.2整體安全要求分配的信息和結(jié)果E/E/PE安全相E/E/PE安全相計劃9E/E/PE系統(tǒng)安全要求規(guī)范7.10.1:定義E/E/PE系統(tǒng)安全要求，包括E/E/PE系統(tǒng)安全功能要求和E/E/PE系統(tǒng)安全完整性要求，以實(shí)現(xiàn)所需的功能安全系統(tǒng)7.10.2整體安全要求分配的信息和結(jié)果E/E/PE系統(tǒng)安全要求規(guī)范GB/T20438.1—2017/IEC61508-1:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入輸出方框號標(biāo)題E/E/PE安全相關(guān)系統(tǒng)：實(shí)現(xiàn)7.11.1和第2、第3部分：建立符合E/E/PE安全要求規(guī)范(包括E/E/PE安全功能要求規(guī)范和E/E/PE安全完整性要求規(guī)范)的E/E/PE安全相關(guān)系統(tǒng)E/E/PE安全相關(guān)系統(tǒng)7.11.2GB/T20438.2和GB/T20438.3E/E/PE系統(tǒng)安全要求規(guī)范系統(tǒng)安全要求規(guī)范，實(shí)現(xiàn)每個E/E/PE安全相關(guān)系統(tǒng)其他風(fēng)險降低措施：規(guī)范和實(shí)現(xiàn)7.12.1:建立其他風(fēng)險降低措施，滿足為該系統(tǒng)規(guī)定的安全功能要求和安全完整性要求(此內(nèi)容不在本部分范圍之內(nèi))其他風(fēng)險降低措施7.12.2其他風(fēng)險降低措施安全要求規(guī)范(不在本部分范圍之內(nèi)，并且本部分后續(xù)內(nèi)容也不涉及此內(nèi)容)根據(jù)對其他措施的安全要求實(shí)現(xiàn)其他風(fēng)險降低措施整體安裝和調(diào)試7.13.1:安裝E/E/PE安全相關(guān)調(diào)試E/E/PE安全相關(guān)系統(tǒng)E/E/PE安全相關(guān)系統(tǒng)7.13.2安裝E/E/PE安全相關(guān)系統(tǒng)的調(diào)試E/E/PE安全相關(guān)系統(tǒng)的計劃已安裝就緒的E/E/PE安全相關(guān)系統(tǒng)；經(jīng)充分調(diào)試過全相關(guān)系統(tǒng)整體安全確認(rèn)7.14.1:確認(rèn)E/E/PE安全相關(guān)系統(tǒng)滿足整體安全要求規(guī)范，該規(guī)范基于整體安全功能要求和整體安全完整性要求，同時考慮了按7.6擬定的E/E/PE安全相關(guān)系統(tǒng)的安全要求分配系統(tǒng)：E/E/PE安全相關(guān)系統(tǒng)7.14.2E/E/PE安全相關(guān)系統(tǒng)的整體安全確認(rèn)計劃；整體安全要求分配的相關(guān)信息和結(jié)果安全相關(guān)系統(tǒng)的安全要求分配結(jié)果，確認(rèn)所全相關(guān)系統(tǒng)滿足整體安全要求規(guī)范整體運(yùn)行、維護(hù)和修理7.15.1:確保E/E/PE安全相關(guān)系統(tǒng)維持在規(guī)定的安全確保整體運(yùn)行、維護(hù)和修理E/E/PE相關(guān)系統(tǒng)所需要的技術(shù)要求已規(guī)定，并提供給未來負(fù)責(zé)E/E/PE安全相關(guān)系統(tǒng)的運(yùn)行和維護(hù)人員EUC和EUC控制系統(tǒng)；E/E/PE安全相關(guān)系統(tǒng)7.15.2E/E/PE安全相關(guān)系統(tǒng)的整體計劃可持續(xù)滿足E/E/PE安全相關(guān)按時間排序的E/E/PE安全相關(guān)系統(tǒng)的運(yùn)行、文檔GB/T20438.1—2017/IEC61508-1:2010表1(續(xù))安全生命周期階段范圍要求所在的條款輸入輸出方框號標(biāo)題整體修改和改型7.16.1:規(guī)定必要的規(guī)程以確保在修改和改型階段中和階段后，E/E/PE安全相關(guān)系統(tǒng)具有合適的功能安全系統(tǒng)7.16.2根據(jù)功能安全管理規(guī)程，對修請求階段中及階段后，均可達(dá)到E/E/PE安全相關(guān)系統(tǒng)要求的功E/E/PE安全相關(guān)系統(tǒng)的修改和改型文檔退役或處置7.17.1:在EUC的退役或處置活動中及活動后，保證E/E/PE安全相關(guān)系統(tǒng)的功能安全適應(yīng)這種情況系統(tǒng)7.17.2根據(jù)功能安全管理規(guī)程，對退請求在退役或處置活動中及活動后，均可實(shí)現(xiàn)E/E/PE安全相關(guān)系統(tǒng)要求的功按時間排序的退役或處置活動的文檔7.1.3.17.1的首要目的是用一種系統(tǒng)性的方式構(gòu)造整安全相關(guān)系統(tǒng)要求的功能安全。7.1.3.27.1的第二個目的是將貫穿于整體安全生命周期的E/E/PE安全相關(guān)系統(tǒng)功能安全的關(guān)鍵歸注：文檔要求和文檔結(jié)構(gòu)示例分別見第5章和附錄A。文檔的結(jié)構(gòu)可考慮公司的規(guī)程和特定應(yīng)用領(lǐng)域的實(shí)際工作7.1.4.1圖2規(guī)定了整體安全生命周期，該整體安全生如使用其他的整體安全生命周期，應(yīng)在功能安全計劃編制(見第6章)過程中規(guī)定，并應(yīng)滿足本部分各章注：形成整體安全生命周期實(shí)現(xiàn)階段的E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期部分，分別由GB/T20438.2和GB/T20438.3規(guī)定。7.1.4.2功能安全管理的要求(見第6章)應(yīng)與整體安全生命周期各階段同時進(jìn)行。7.1.4.5每個整體安全生命周期階段的范圍和輸入見表1。除非作為功能安全活動管理(見第6章)的GB/T20438.1—2017/IEC61508-1:2010一部分已做調(diào)整或在產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)中另有規(guī)定。7.1.4.6每個整體安全生命周期階段的輸出見表1。除非作為功能安全活動管理(見第6章)的一部分7.1.4.8應(yīng)滿足7.18中規(guī)定的每個整體安全生命周期階段的驗(yàn)證要求。注：這個階段是圖2的方框1。7.2的目的是提高對EUC及其環(huán)境(實(shí)際的、法律的等)的理解水平，使之足以能順利進(jìn)行安全生命周期的其他活動。7.2.2.1全面徹底熟悉EUC及其要求的控制功能和實(shí)際環(huán)境。7.2.2.4獲取當(dāng)前的安全法規(guī)(國際的和國內(nèi)的)。7.2.2.5應(yīng)同時考慮EUC與其他設(shè)備或系統(tǒng)(已安裝的或?qū)⒈话惭b的)以及與其他EUC(已安裝的或注：這個階段是圖2的方框2。7.3.1.17.3的首要目的是確定EUC和EUC控制系統(tǒng)的范圍。7.3.2.1應(yīng)確定EUC和EUC控制系統(tǒng)的范圍，包括所有與危險和危險事件相關(guān)的設(shè)備和系統(tǒng)(包含所有相關(guān)人員)。7.3.2.2應(yīng)確定危險與風(fēng)險分析范圍內(nèi)所有的實(shí)際設(shè)備，包括EUC和EUC控制系統(tǒng)。7.3.2.3應(yīng)確定在危險與風(fēng)險分析中應(yīng)考慮的外部事件。事件發(fā)生的相關(guān)失效機(jī)制)。注：這個階段是圖2的方框3。GB/T20438.1—2017/IEC61508-1:20107.4.1.17.4的第一個目的是對于所有合理可預(yù)見的情況(見GB/T20438.4—2017的3.1.14),包括故運(yùn)行模式下)。注1:為使E/E/PE安全相關(guān)系統(tǒng)的安全要求建立在系統(tǒng)性風(fēng)險分析的基礎(chǔ)上，7.4是必需的。除非將EUC和版本的編制者完成，并可把這些分析嵌入到簡化的圖解要求之中。示例見GB/T20438.5—2017的附錄E和附錄G。注1:指南見參考文獻(xiàn)[9]和[10]。注2:把對帶安全閥的EUC進(jìn)行分析作為一個需要深入到整體安全生命周期中進(jìn)行持續(xù)危害與風(fēng)險分析的例子。7.4.2.2應(yīng)該考慮如何消除或降低危險。7.4.2.3根據(jù)合理可預(yù)見的情況確定EUC和EUC控制系統(tǒng)的危險、危險事件及危險狀況(包括故障注意那些不常見的、異常的EUC運(yùn)行模式。如果危險分析識別到合理可預(yù)見的惡意的或未經(jīng)批準(zhǔn)的注1:對于合理可預(yù)見的誤用，見GB/T20438.4—2017的3.1.14。注3:安保風(fēng)險分析見IEC62443系列。注4:惡意或未授權(quán)的行為包含了安保威脅。7.4.2.4應(yīng)確定7.4.2.3已確定的導(dǎo)致危險事件的事件順序。注2:通常會考慮用修改過程設(shè)計或所用設(shè)備的方法消除事件順序。7.4.2.5應(yīng)對7.4.2.3規(guī)定條件下的危險事件的可能性進(jìn)行評價。7.4.2.6應(yīng)確定7.4.2.3中規(guī)定的危險事件所伴隨的潛在后果。7.4.2.7對每個確定的危險事件應(yīng)評價或估計EUC風(fēng)險。7.4.2.8可用定性或定量的危險與風(fēng)險分析技術(shù)滿足7.4.2.1～7.4.2.7的要求(見GB/T20438.5)。——特定的危險及后果；——EUC及EUC控制系統(tǒng)的復(fù)雜性；GB/T20438.1—2017/IEC61508-1:2010——法律和安全法規(guī)要求； ——作為危險與風(fēng)險分析依據(jù)的準(zhǔn)確數(shù)據(jù)的可用性。——每個確定的危險事件和產(chǎn)生危險的元器件；——伴隨每個危險事件的事件順序的后果和可能性；——每個危險事件的可容忍風(fēng)險；——降低和消除危險和風(fēng)險的措施；——風(fēng)險分析中的假設(shè)，包括估計的要求率和設(shè)備失效率。應(yīng)詳細(xì)說明運(yùn)行約束或人為介入的可7.4.2.12對EUC和EUC控制系統(tǒng)而言，從危險與風(fēng)險分析階段至退役或處置階段的整個整體安全注：這個階段是圖2的方框4。7.5的目的是為實(shí)現(xiàn)所需的功能安全，根據(jù)整體安全功能要求和整體安全完整性要求，為E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施編制整體安全要求規(guī)范。2017的附錄E和附錄F。7.5.2.1基于危險與風(fēng)險分析所得出的危險事件制定所需要的整體安全功能。這些安全功能構(gòu)成了整體安全功能要求規(guī)范。注1:應(yīng)該為每一個危險事件建立整體安全功能。示例：防止容器X溫度超過250℃和防止馬達(dá)Y轉(zhuǎn)速超過3000r/min是整體安全功能的實(shí)例。注：在IEC62443中已經(jīng)給出指南。7.5.2.3對于每個安全功能，應(yīng)確定其目標(biāo)安全完整性要求以滿足可容忍風(fēng)險。要求可通過定量或定性的方法得到。這些將構(gòu)成整體安全完整性要求規(guī)范。級的中間階段。一些用于確定安全完整性等級的定性方法(見GB/T20438.5—2017的附錄E和附錄F)直接注2:可以通過減輕危險事件的后果(這是首選)或者減少EUC和EUC控制系統(tǒng)的危險事件發(fā)生率來降低EUC風(fēng)注3:可通過附加措施來減少危險事件發(fā)生的頻率以達(dá)到要求，這些措施包括E/E/PE安全相關(guān)系統(tǒng)和/或其他風(fēng)注4:為了達(dá)到可容忍風(fēng)險，在確定每個安全功能的目標(biāo)安全完整性時，考慮個體可能暴露于來自其他危險源的風(fēng)GB/T20438.1—2017/IEC61508-1:2010b)EUC控制系統(tǒng)聲明的危險失效率應(yīng)不低于10-5/h;分配給EUC控制系統(tǒng)的安全完整性等級，應(yīng)基于EUC控制系統(tǒng)所聲明的危險失效率，它與表3中的注：這個階段是圖2的方框5。這些安全功能包含于整體安全要求(安全功能要求和安全完整性要求)規(guī)范之中。7.6.1.27.6的第二個目的是對E/E/PE安全相關(guān)系統(tǒng)的每個安全功能分配目標(biāo)失效量和安全完整性GB/T20438.1—2017/IEC61508-1:2010注1:通常會低估使用復(fù)雜技術(shù)的安全相關(guān)系統(tǒng)的都要求高等級的能力。而用其他低復(fù)雜技術(shù)的解決方案可能有同等效果，還會因降低了復(fù)雜性而帶來一些E/E/PE安全相關(guān)系統(tǒng)和/或其他風(fēng)險降低措施，以達(dá)到安全功能可容忍的風(fēng)險。這種分配要重復(fù)進(jìn)注1:分配一個具體的整體安全功能給一個或多個E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險降低措施取決于多種因素，但主要取決于整體安全完整性要求。安全完整性要求越高，這個功能越可能被多個E/E/PE安全相關(guān)系統(tǒng)和/注2:圖6給出了整體安全要求分配的方法。 注1:可用定量和/或定性的方法進(jìn)行安全要求分配。PE安全相關(guān)系統(tǒng)和/或其他風(fēng)險降低措施之間的系統(tǒng)的相關(guān)性(見GB/T20438.5—2017中A.5.4中相關(guān)性GB/T20438.1—2017/IEC61508-1:2010其他風(fēng)險降低措施E/E/PE安全相關(guān)系其他風(fēng)險降低措施統(tǒng)#1E/E/PE安全相關(guān)系E/E/PE安全相關(guān)系統(tǒng)#1E/E/PE安全相關(guān)系統(tǒng)#2對各個E/E/PE安全相關(guān)系統(tǒng)的設(shè)計要求，見7.107.6.2.7進(jìn)行分配時應(yīng)考慮共因失效的概率。如果EUC控制系統(tǒng)、E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險——是相互獨(dú)立的，以致兩個或兩個以上這些不同系統(tǒng)或措施同時發(fā)生失效的可能性相對于要求的安全完整性足夠低；注1:要認(rèn)識到，盡管技術(shù)是多樣性的，對失效發(fā)生時會產(chǎn)生嚴(yán)重后果的高安全完整性系統(tǒng)而言，應(yīng)該采取特殊的預(yù)防措施來防止低概率的共同原因事件，例如飛機(jī)失事和地震。——不能共用因其失效將引起所有系統(tǒng)產(chǎn)生危險失效模式的公共部件、服務(wù)或支持系統(tǒng)(如電源);注2:本部分規(guī)定了如何實(shí)現(xiàn)分配給E/E/PE安全相關(guān)系統(tǒng)的安全要求，及規(guī)定的要求應(yīng)如何完成。本部分沒有詳細(xì)規(guī)定如何實(shí)現(xiàn)分配給其他風(fēng)險降低措施的安全要求。在共因分析中，應(yīng)當(dāng)仔細(xì)檢查E/E/PE安全相關(guān)系統(tǒng)實(shí)現(xiàn)中的限制和約束條件，例如E/E/PE系道或雙微處理器，或片上冗余(見GB/T20438.2—2017的附錄E)。7.6.2.8如果不能全部滿足7.6.2.7的所有要求，則立作為安全分配目標(biāo)，分配應(yīng)考慮EUC控制系統(tǒng)、E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施之間的GB/T20438.1—2017/IEC61508-1:2010注1:相關(guān)失效分析的更多信息見參考文獻(xiàn)的[13]和[14]。注2:充分獨(dú)立性是指與E/E/PE安全相關(guān)系統(tǒng)整體安全完整性要求相比，相關(guān)失效的概率足夠低。注3:如7.6.2.3所述，分配是重復(fù)進(jìn)行的，如果當(dāng)包含共因失效的分析設(shè)計需要改變(詳細(xì)指導(dǎo)見GB/T20438.5—2017的A.5.4)。7.6.2.9當(dāng)分配已充分進(jìn)行后，分配給E/E/PE安全相關(guān)系統(tǒng)的每個安全功能的安全完整性要求應(yīng)按表2或表3規(guī)定安全完整性等級，并且指明目標(biāo)失效量是： ——高要求運(yùn)行模式下(表3),安全功能的危險失效平均頻率[h-1],(PFH),或——連續(xù)運(yùn)行模式下(表3),安全功能的危險失效平均頻率[h-1],(PFH)。安全完整性等級安全功能在要求時的危險失效平均概率4≥10-?~<10-432≥10-3~<10-21≥10-2~<10-1安全完整性等級安全功能的每小時危險失效平均頻率4≥10-?~<10-83≥10-?~<10-2≥10-?~<10-61≥10-?~<10-5注3:表2與表3將分配給由E/E/PE安全相關(guān)系統(tǒng)執(zhí)行的安全功能的目標(biāo)失效量與安全完整性等級聯(lián)系起來。失效量得以實(shí)現(xiàn)，必須考慮的預(yù)防措施不得不使用定性的技術(shù)、措施和判斷。系統(tǒng)性安全完整性(見注4:對于硬件安全完整性，為了評價由風(fēng)險評估所確定的目標(biāo)安全完整性是否已實(shí)現(xiàn)，有必要在考慮隨機(jī)硬件失注5:當(dāng)使用定性方法(如定性的風(fēng)險圖)確定安全完整性等級時，表2或表3可以給出合適的定量失效量為硬件安全完整性設(shè)定限值。注6:當(dāng)使用兩個或多個E/E/PE安全相關(guān)系統(tǒng)時，安全完整性可能優(yōu)于表2提供的結(jié)果，前提是達(dá)到足夠的獨(dú)立注7:在規(guī)定的任務(wù)時間內(nèi)不能進(jìn)行維修的、按高要求或連續(xù)運(yùn)行模式運(yùn)行的E/E/PE安全相關(guān)系統(tǒng)，其某個安全GB/T20438.1—2017/IEC61508-1:20107.6.2.10對用于實(shí)現(xiàn)不同安全完整性等級的安全功能的E/E/PE安全相關(guān)系統(tǒng)，除非顯示出這些安全安全完整性等級的安全功能來對待。因此用于最高安全完整性等級的要求適用于所有這些部分。注：另見GB/T20438.2—2017的7.4.2.4和GB/T20438.3—2017的7.4.2.8。——能夠引入不基于E/E/PE安全相關(guān)系統(tǒng)的額外的安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施；——能夠降低后果的嚴(yán)重性；b)如果對應(yīng)用深入的研究，決定實(shí)施SIL4安全功能，那么應(yīng)使用定量方法進(jìn)行進(jìn)一步的風(fēng)險評——其失效會導(dǎo)致對E/E/PE安全相關(guān)系統(tǒng)提出要求的任何其他系統(tǒng)；——任何其他安全相關(guān)系統(tǒng)。7.6.2.12分配給單一的E/E/PE安全相關(guān)系統(tǒng)的目標(biāo)安全完整性失效量不低于表2和表3規(guī)定的值。7.6.2.137.6.2.1～7.6.2.12中獲得的整體安全要求分配的信息和結(jié)果連同所作的任何假設(shè)和證明(包括EUC的整個生命周期中需要管理的關(guān)于其他風(fēng)險降低措施的假設(shè))都要?dú)w檔。注：對每個E/E/PE安全相關(guān)系統(tǒng)，都要有安全功能和安全完整性等級的足夠的信息。這些信息將構(gòu)成7.10中指定的E/E/PE安全相關(guān)系統(tǒng)安全要求的基礎(chǔ)。注1:這一階段是圖2的方框6。注2:以下圖7所示為運(yùn)行和維護(hù)活動模型的一個例子。注3:以下圖8所示為運(yùn)行和維護(hù)管理模型的一個例子。注4:7.7.2的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。7.7要求的目的是制定E/E/PE安全相關(guān)系統(tǒng)的運(yùn)行和維護(hù)計劃，以保證在運(yùn)行和維護(hù)期間保持所需的功能安全。a)保持E/E/PE安全相關(guān)系統(tǒng)所需的功能安全，需要執(zhí)行的日常行動；GB/T20438.1—2017/IEC61508-1:2010b)為防止非安全狀態(tài)、減少對E/E/PE安全相關(guān)系統(tǒng)的要求或降低危險事件產(chǎn)生的后果采取的注1:下列約束、條件和動作是與E/E/PE安全相關(guān)系統(tǒng)有關(guān)的：1)在E/E/PE安全相關(guān)系統(tǒng)發(fā)生故障期間對EUC運(yùn)行的約束；2)在E/E/PE安全相關(guān)系統(tǒng)的維護(hù)期間對EUC運(yùn)行的約束；e)維護(hù)活動(不同于修改活動)的范圍；f)危險事件發(fā)生時應(yīng)采取的行動；g)按時間順序編排運(yùn)行和維護(hù)活動文檔的內(nèi)容(見7.15)。注2:大多數(shù)E/E/PE安全相關(guān)系統(tǒng)具有一些失效模式，僅在日常維護(hù)的測試中才可發(fā)現(xiàn)。在這種情況下，如果測注3:本條適用于軟件供應(yīng)商，要求軟件供應(yīng)商提供軟件產(chǎn)品的信息和運(yùn)行規(guī)程，以使用戶在運(yùn)行和維護(hù)安全相關(guān)系統(tǒng)時能保證所需的安全功能。其中包括作為運(yùn)行或維護(hù)要求的結(jié)果所產(chǎn)生的軟件修改準(zhǔn)備規(guī)程(另見GB/T20438.3—2017的7.6),這些規(guī)程的實(shí)現(xiàn)包括在GB/T20438.3—2017的7.8中。作為修改一個安全相實(shí)現(xiàn)包括在GB/T20438.2—2017中的7.8中。注4:在運(yùn)行和維護(hù)規(guī)程編制過程中宜考慮滿足GB/T20438.2和GB/T20438.3的要求。7.7.2.2如果E/E/PE安全相關(guān)系統(tǒng)的任何硬件故障裕度為零的子系統(tǒng)處于離線測試，計劃應(yīng)當(dāng)確保通過附加措施和約束以維持EUC的安全。附加措施和約束提供的安全完整性應(yīng)至少等于E/E/PE安全相關(guān)系統(tǒng)正常運(yùn)行時提供的安全完整性。如果E/E/PE安全相關(guān)系統(tǒng)的任何子系統(tǒng)的硬件故障裕度大于零，則在測試過程中，至少保留E/E/PE安全相關(guān)系統(tǒng)的一條通道在運(yùn)行，并且測試應(yīng)當(dāng)在MTTR內(nèi)完成，該MTTR是在確定符合目標(biāo)失效量的計算時設(shè)定的值。7.7.2.3用來檢測未揭露的故障的定期維護(hù)活動應(yīng)當(dāng)通過系統(tǒng)性分析確定。7.7.2.4維護(hù)E/E/PE安全相關(guān)系統(tǒng)的計劃應(yīng)當(dāng)?shù)玫截?fù)責(zé)運(yùn)行和維護(hù)以下系統(tǒng)的相關(guān)人員的同意：——E/E/PE安全相關(guān)系統(tǒng)；——有可能對E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險降低措施產(chǎn)生要求的非安全相關(guān)系統(tǒng)。注1:這一階段是圖2的方框7。注2:此條款的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。GB/T20438.1—2017/IEC61508-1:2010——自動；——維護(hù)；g)包括7.5和7.6中輸出的每個要素的具體引用；注1:這一階段是圖2的方框8。7.9.1.17.9的第一個目的是擬定在受控方式下的E/E/PE安全相關(guān)系統(tǒng)的安裝計劃，以保證達(dá)到功能GB/T20438.1—2017/IEC61508-1:2010安全的要求。7.9.2.1E/E/PE安全相關(guān)系統(tǒng)安裝計劃應(yīng)規(guī)定：a)安裝日程表；b)不同安裝部分的負(fù)責(zé)人員；d)各組件集成的順序；e)宣布E/E/PE安全相關(guān)系統(tǒng)全部或者部分已經(jīng)安裝就緒或宣布安裝活動結(jié)束的準(zhǔn)則；f)失效和不兼容性的解決規(guī)程。7.9.2.2E/E/PE安全相關(guān)系統(tǒng)的調(diào)試計劃應(yīng)規(guī)定：b)調(diào)試不同部分的負(fù)責(zé)人員；c)調(diào)試操作規(guī)程；d)與不同安裝階段的關(guān)系；e)與確認(rèn)的關(guān)系。7.9.2.3整體安裝和調(diào)試計劃應(yīng)歸檔。7.10E/E/PE系統(tǒng)安全要求規(guī)范注：這一階段是圖2的方框9。7.10的目的是依據(jù)E/E/PE系統(tǒng)安全功能要求和E/E/PE系統(tǒng)安全完整性要求，定義E/E/PE系統(tǒng)安全要求以實(shí)現(xiàn)所需的功能安全。7.10.2.1E/E/PE系統(tǒng)安全要求規(guī)范應(yīng)來自7.6中指定的安全要求的分配，并結(jié)合應(yīng)用的相關(guān)信息。這些信息應(yīng)提供給E/E/PE安全相關(guān)系統(tǒng)的開發(fā)者。7.10.2.2E/E/PE系統(tǒng)安全要求規(guī)范應(yīng)當(dāng)包括安全功能的要求以及它們相應(yīng)的安全完整性等級。注：目的是描述安全功能和它們所需的功能安全性能，而并不特指設(shè)備。此規(guī)范可以依據(jù)整體安全要求和整體安全要求分配階段的輸出進(jìn)行驗(yàn)證，并可作為E/E/PE系統(tǒng)實(shí)現(xiàn)(見GB/T20438.2—2017的7.2)的基礎(chǔ)。設(shè)備設(shè)計者可將規(guī)范作為選擇設(shè)備和架構(gòu)的基礎(chǔ)。7.10.2.3E/E/PE系統(tǒng)安全要求規(guī)范應(yīng)當(dāng)提供給E/E/PE安全相關(guān)系統(tǒng)的開發(fā)者。7.10.2.4E/E/PE系統(tǒng)安全要求規(guī)范的結(jié)構(gòu)和表達(dá)應(yīng)當(dāng)按如下方式：b)便于在E/E/PE系統(tǒng)安全生命周期任何階段使用此信息的工作人員理解；c)安全功能的要求可以通過自然語言或正式語言和/或邏輯圖、順序圖或因果圖表述，每個安全功能應(yīng)單獨(dú)定義。7.10.2.5E/E/PE系統(tǒng)安全要求規(guī)范應(yīng)當(dāng)包含E/E/PE系統(tǒng)安全功能要求(見7.10.2.6)和E/E/PE系GB/T20438.1—2017/IEC61508-1:20107.10.2.6E/E/PE系統(tǒng)安全功能要求規(guī)范應(yīng)當(dāng)包含：——包含E/E/PE安全相關(guān)系統(tǒng)實(shí)現(xiàn)或保持EUC系統(tǒng)安全狀態(tài)的行為方式；——規(guī)定安全功能是否適用于E/E/PE安全相關(guān)系統(tǒng)的低要求、高要求或連續(xù)運(yùn)行模式。b)響應(yīng)時間性能(即安全功能必須在要求的時間內(nèi)完成)。c)實(shí)現(xiàn)所需的功能安全所必需的E/E/PE安全相關(guān)系統(tǒng)和操作員接口。d)所有功能安全相關(guān)的可能會對E/E/PE安全相關(guān)系統(tǒng)設(shè)計產(chǎn)生影響的信息。e)實(shí)現(xiàn)所需的功能安全所必需的E/E/PE安全相關(guān)系統(tǒng)和其他系統(tǒng)(EUC內(nèi)部或外部的)之間——合理可預(yù)見的不正常狀態(tài)。注：運(yùn)行的特定模式(例如設(shè)置、調(diào)整或維護(hù))可能要求額外的安全功能以確保安全運(yùn)行。g)應(yīng)規(guī)定所有E/E/PE安全相關(guān)系統(tǒng)所需的行為模式。特別是E/E/PE安全相關(guān)系統(tǒng)的失效7.10.2.7E/E/PE系統(tǒng)安全完整性要求規(guī)范應(yīng)當(dāng)包含：a)每一個安全功能的安全完整性等級和要求時目標(biāo)失效量的規(guī)定值；注1:目標(biāo)失效量的規(guī)定值可來自定量方法計算(見7.5.2.3)。或者，當(dāng)安全完整性以定性方式確定并以安全完整性等級表述時，目標(biāo)失效量可參照表2或表3。這樣，指定的目標(biāo)失效量是安全完整性等級的最小平均失效概率或失效率，除非已經(jīng)用了另外的數(shù)值校準(zhǔn)此方法。注2:安全功能運(yùn)行在低要求運(yùn)行模式的情況下，目標(biāo)失效量將以要求時的危險失效平均概率表示，其由安全功能的安全完整性等級決定(見表2),除非E/E/PE系統(tǒng)安全完整性要求規(guī)范中對安全功能的要求滿足特定目標(biāo)時的危險失效平均概率),則由隨機(jī)硬件失效引起的安全功能在要求時的危險失效平均概率需小于等于注3:安全功能運(yùn)行于高要求運(yùn)行模式或連續(xù)運(yùn)行模式的情況下，目標(biāo)失效量將以每小時危險失效平均頻率表示，其由安全功能的安全完整性等級決定(見表3),除非E/E/PE系統(tǒng)安全完整性要求規(guī)范中對安全功能的要求滿足特定目標(biāo)失效量，而非指定的安全完整性等級。例如，為達(dá)到要求的可容忍風(fēng)險，目標(biāo)失效量被指定為1.5×10-6[h-1](每小時危險失效平均頻率),則由隨機(jī)硬件失效引起的安全功能的每小時危險失效平均頻率需小于或等于1.5×10-?[h-1]。c)要求的負(fù)荷率和壽命；注4:制定E/E/PE系統(tǒng)安全要求規(guī)范時，宜考慮E/E/PE安全相關(guān)系統(tǒng)的具體應(yīng)用。這對維護(hù)至關(guān)重要，規(guī)定的檢驗(yàn)測試時間間隔不宜小于特定應(yīng)用的合理期望值。例如，為公共使用的大批量生產(chǎn)的產(chǎn)品的現(xiàn)實(shí)可實(shí)現(xiàn)的服務(wù)間隔時間可能比受控較多的應(yīng)用的時間要長。f)為實(shí)現(xiàn)功能安全應(yīng)設(shè)置電磁干擾限制。限制應(yīng)當(dāng)充分考慮電磁環(huán)境和要求的安全完整性等級GB/T20438.1—2017/IEC61508-1:2010注5:由于電磁現(xiàn)象的本質(zhì)和物理現(xiàn)象很復(fù)雜，對于所有電磁現(xiàn)象在要求的抗干擾水平和安全完整性水平下，能建注：這一階段是圖2的方框10和圖3、圖4的方框10.1～10.6。7.11的目的是建立符合E/E/PE系統(tǒng)的安全要求規(guī)范(包括E/E/PE系統(tǒng)的安全功能要求規(guī)范和E/E/PE系統(tǒng)安全完整性要求規(guī)范)的E/E/PE安全相關(guān)系統(tǒng)(見GB/T20438.2和GB/T20438.3)。應(yīng)滿足的要求包含在GB/T20438.2和GB/T20438.3中。本部分不包括用其他風(fēng)險降低措施滿足安全功能要求和安全完整性要求的規(guī)范。水系統(tǒng)，防火墻或一個堤壩)。這些已被納入整體安全生命周期，以確保通過E/E/PE安全相關(guān)系統(tǒng)獲得的風(fēng)注1:這一階段是圖2的方框12。注2:7.13的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。7.13.1.17.13的第一個目的是安裝E/E/PE安全相關(guān)系統(tǒng)。7.13.1.27.13的第二個目的是調(diào)試E/E/PE安全7.13.2.1安裝活動應(yīng)按照E/E/PE安全相關(guān)系統(tǒng)的安裝計劃執(zhí)行(見7.9)。7.13.2.2安裝過程中歸檔的信息應(yīng)包括：GB/T20438.1—2017/IEC61508-1:2010——安裝活動文檔；7.13.2.3調(diào)試活動應(yīng)按照E/E/PE安全相關(guān)系統(tǒng)的調(diào)試計劃執(zhí)行?！婕暗氖蟾?；——失效和不兼容的分析。注1:這一階段是圖2的方框13。注2:7.14的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。7.14的目的是確認(rèn)E/E/PE安全相關(guān)系統(tǒng)在考慮了按7.6擬定的E/E/PE安全相關(guān)系統(tǒng)的安全要7.14.2.1確認(rèn)活動應(yīng)按E/E/PE安全相關(guān)系統(tǒng)整體安全確認(rèn)計劃執(zhí)行?！磿r間順序編制的確認(rèn)活動文檔；——要確認(rèn)的安全功能(用測試或分析的方法);——使用的工具和設(shè)備以及校準(zhǔn)數(shù)據(jù)；——確認(rèn)活動的結(jié)果；——期望值和實(shí)際結(jié)果的差異。注1:這一階段是圖2的方框14。注2:7.15中涉及的組織措施是為有效實(shí)現(xiàn)技術(shù)要求創(chuàng)造條件，并以完全實(shí)現(xiàn)和保持E/E/PE安全相關(guān)系統(tǒng)的功能注4:如果沒有檢查為初始安裝和調(diào)試而制定的測試規(guī)程的有效性和實(shí)用性，就不宜假設(shè)EUC在線運(yùn)行的情況下可以使用這些規(guī)程。注5:7.15的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。GB/T20438.1—2017/IEC61508-1:20107.15.1.17.15的第一個目的是確保E/E/PE安全相關(guān)系統(tǒng)的功能安全維持在規(guī)定的水平?！狤/E/PE安全相關(guān)系統(tǒng)運(yùn)行和維護(hù)計劃(見7.7);7.15.2.2實(shí)現(xiàn)7.15.2.1中規(guī)定的項(xiàng)目應(yīng)包括啟動下列活動：——周期地進(jìn)行功能安全審核(見6.2.7);注1:運(yùn)行和維護(hù)活動模型的例子見圖7。注2:運(yùn)行和維護(hù)管理模型的例子見圖8。7.15.2.3按時間編制的E/E/PE安全相關(guān)系統(tǒng)的運(yùn)行、修理和維護(hù)文檔應(yīng)妥善保存并包括下列信息：——向E/E/PE安全相關(guān)系統(tǒng)(在實(shí)際運(yùn)行中)發(fā)出要求的原因和時間，連同收到那些要求時E/——對EUC、EUC控制系統(tǒng)和E/E/PE安全相關(guān)系統(tǒng)所作的修改的文檔。通過GB/T20438.1—2017/IEC61508-1:2010束至圖8至圖8狀態(tài)(命名的)狀態(tài)(未命名的)文檔文檔GB/T20438.1—2017/IEC61508-1:2010所有失效要求所有失效要求性能數(shù)據(jù)要求或失效率高于預(yù)期修訂的風(fēng)險分析來至圖7運(yùn)行報告失效注1:這一階段是圖2的方框15。注2:7.16中涉及的組織措施是為有效實(shí)現(xiàn)技術(shù)要求創(chuàng)造條件，并以完全實(shí)現(xiàn)和保持E/E/PE安全相關(guān)系統(tǒng)的功能GB/T20438.1—2017/IEC61508-1:2010安全為目的。維護(hù)功能安全所需的技術(shù)要求，將被規(guī)定為E/E/PE安全相關(guān)系統(tǒng)及其組件和元件的供應(yīng)商提供信息的一部分。注3:7.16的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。注4:為實(shí)現(xiàn)功能安全，有必要對其他風(fēng)險降低措施提出類似要求。注：修改規(guī)程模型的例子見圖9。7.16.2.2只有根據(jù)功能安全管理規(guī)程(見6.2.8)發(fā)布一個經(jīng)批準(zhǔn)的請求，才能啟動修改和改型階段?！淖兊睦碛伞)功能安全低于規(guī)定；b)系統(tǒng)性故障的經(jīng)驗(yàn)；c)新的或已修訂的安全法規(guī)；d)EUC或其用途的修改；e)整體安全要求的修改；f)運(yùn)行和維護(hù)性能的分析，分析指示出該性能低于目標(biāo)值；g)例行功能安全審核。7.16.2.3應(yīng)進(jìn)行影響分析，包括所建議的修改或改型活動對E/E/PE安全相關(guān)系統(tǒng)影響的評估。評估生命周期各階段需承擔(dān)的危險和風(fēng)險的廣度和深度。評估還應(yīng)考慮同時進(jìn)行的其他修改或改型活動的7.16.2.5執(zhí)行所需修改或改型活動的批準(zhǔn)應(yīng)取決于影響分析的結(jié)果。7.16.2.6對E/E/PE安全相關(guān)系統(tǒng)功能安全產(chǎn)生影響的所有修改應(yīng)啟動執(zhí)行活動返回到整體安全生注1:有必要進(jìn)行全面的危險和風(fēng)險分析，該分析可能產(chǎn)生不同于當(dāng)前對E/E/PE安全相關(guān)系統(tǒng)所規(guī)定的安全完整性等級的需要。注2:如果沒有檢查為初始安裝和調(diào)試而制定的測試規(guī)程的有效性和實(shí)用性，就不宜假設(shè)EUC在線運(yùn)行的情況下可以使用這些規(guī)程?！薷幕蚋男驼埱?；——影響分析；——數(shù)據(jù)和結(jié)果的重新驗(yàn)證和重新確認(rèn)；——被修改和改型活動影響的所有文檔。GB/T20438.1—2017/IEC61508-1:2010變更影響分析更新影響分析報告修改設(shè)計批準(zhǔn)返回到適當(dāng)?shù)恼w修改請求修改日志修改請求發(fā)起者(見圖8)文檔注1:這一階段是圖2的方框16。注2:7.17的要求是針對E/E/PE安全相關(guān)系統(tǒng)的。建議結(jié)合其他風(fēng)險降低措施進(jìn)行考慮，特別是假設(shè)已經(jīng)考慮了需要在EUC的整個生命周期中加以管理的其他風(fēng)險降低措施。注3:為實(shí)現(xiàn)功能安全，有必要對其他風(fēng)險降低措施提出類似要求。GB/T20438.1—2017/IEC61508-1:2010章)。7.17.2.4執(zhí)行所需退役或處置的批準(zhǔn)應(yīng)取決于影響分析的結(jié)果。——E/E/PE安全相關(guān)系統(tǒng)的關(guān)閉；——E/E/PE安全相關(guān)系統(tǒng)的拆除。7.17.2.6如果退役或處置活動會對E/E/PE安全相關(guān)系統(tǒng)的功能安全產(chǎn)生影響，則應(yīng)啟動執(zhí)行活動返部分中為E/E/PE安全相關(guān)系統(tǒng)規(guī)定的安全完整性——用于退役或處置活動的計劃；7.18的目的是為了(通過復(fù)審、分析和/或測試)證明在整體安全生命周期、E/E/PE系統(tǒng)安全生命7.18.2.1對整體安全生命周期、E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期的每個階段，應(yīng)在擬定該階段的同時就建立一個驗(yàn)證計劃。8功能安全評估本章的目的是規(guī)定必要的活動，以調(diào)查和判斷基于GB/T20438相關(guān)條款的E/E/PE安全相關(guān)系——E/E/PE安全相關(guān)系統(tǒng)在特定的環(huán)境下實(shí)現(xiàn)的功能安全，符合本GB/T20438的相關(guān)條款；GB/T20438.1—2017/IEC61508-1:2010——組件和子系統(tǒng)實(shí)現(xiàn)的功能安全，符合GB/T20438的相關(guān)條款。8.2.2進(jìn)行功能安全評估時應(yīng)對整體安全生命周期、E/E/PE系統(tǒng)安全生命周期或軟件安全生命周期活動及相關(guān)信息和設(shè)備(硬件和軟件)所涉及的所有人員進(jìn)行訪問。8.2.3應(yīng)對整體安全生命周期、E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期的所有階段進(jìn)行功能8.2.4進(jìn)行功能安全評估時應(yīng)考慮在整體、E/E/PE系統(tǒng)和軟件安全生命周期的每一個階段中開展的活動和獲得的輸出，并判斷滿足GB/T20438的目的和要求的程度。8.2.5所有由負(fù)責(zé)實(shí)現(xiàn)功能安全的供應(yīng)商和其他方制定的相關(guān)符合性聲明，都應(yīng)包括在功能安全評——先前所做的功能安全評估工作；——對整體安全生命周期、E/E/PE系統(tǒng)安全生命周期和軟件安全生命周期進(jìn)一步執(zhí)行功能安全評估的計劃和策略；——對先前的功能安全評估的建議以及已作更改與建議的符合程度?！δ馨踩u估的范圍；——要求的資源； ——功能安全評估的輸出；注2:計劃可以由功能安全評估負(fù)責(zé)方或功能安全管理8.2.10在進(jìn)行功能安全評估之前，功能安全評估計劃應(yīng)得到執(zhí)行功能安全評估的各方和負(fù)責(zé)功能安8.2.11對功能安全評估做結(jié)論時，應(yīng)由執(zhí)行評估的各方按評估的計劃和參考條款建立文檔，內(nèi)容——產(chǎn)生的結(jié)果；——按照標(biāo)準(zhǔn)的要求判斷功能安全的充分性；8.2.12符合項(xiàng)的功能安全評估的相關(guān)輸出應(yīng)提供給包括E/E/PE安全相關(guān)系統(tǒng)設(shè)計方和評估方在內(nèi)的任何對整體的、E/E/PE系統(tǒng)的或軟件的安全生命周期負(fù)責(zé)的各方。對E/E/PE安全相關(guān)系統(tǒng)評估GB/T20438.1—2017/IEC61508-1:2010的輸出應(yīng)提供給E/E/PE系統(tǒng)集成商。(見GB/T20438.2—2017的附錄D、GB/T20438.3—2017附錄D和GB/T20438.4—2017的3.8.17)。b)評估中假設(shè)的條件(如使用E/E/PE安全相關(guān)系統(tǒng)的條件);8.2.15執(zhí)行功能安全評估的各方的最低獨(dú)立等級應(yīng)按照表4和表5規(guī)定。產(chǎn)品和應(yīng)用領(lǐng)域的國家標(biāo)8.2.16在表4和表5中，只有標(biāo)記為X,X1,X2或Y的單元應(yīng)被作為確定獨(dú)立等級的基礎(chǔ)。對標(biāo)記為X1和X2的單元，用X1還是X2(不是同時),取決于特定應(yīng)用的一些因素。應(yīng)詳細(xì)說明注1:根據(jù)公司的組織和公司內(nèi)部的專業(yè)知識，獨(dú)立個人和部門的需求可能安全相關(guān)系統(tǒng)的風(fēng)險評估和應(yīng)用非常熟悉的內(nèi)部組織機(jī)構(gòu)，并從負(fù)責(zé)主要開發(fā)的組織中獨(dú)立和分離出來(用注3:功能安全評估方宜對評估范圍的任何事情謹(jǐn)慎提出——后果A:輕微的傷害(如功能的暫時喪失);——后果C:致多人死亡；——后果D:致很多人死亡。表4中規(guī)定的后果是由包括E/E/PE安全相關(guān)系統(tǒng)在內(nèi)的所有風(fēng)險降低措施的失效事件中產(chǎn)GB/T20438.1—2017/IEC61508-1:20108.2.18在表5中，最低獨(dú)立等級應(yīng)基于由E/E/PE安全相關(guān)系統(tǒng)實(shí)現(xiàn)的具有最高的安全完整性等級表4執(zhí)行功能安全評估各方的最低獨(dú)立等級[最低獨(dú)立等級后果(見8.2.17)ABCD獨(dú)立人員XX1YY獨(dú)立部門X2X1Y獨(dú)立組織X2X注：本表的詳細(xì)說明見8.2.15、8.2.16和8.2.17表5進(jìn)行功能安全評估各方的最低獨(dú)立等級[整體安全生命周期階段9和10,包括E/E/PE系統(tǒng)安全生命周期、軟件安全生命周期的所有階段(見圖2,圖3和圖4)]最低獨(dú)立等級安全完整性等級/系統(tǒng)性能力1234獨(dú)立人員XX1YY獨(dú)立部門X2X1Y獨(dú)立組織X2X注：本表的詳細(xì)說明見8.2.15、8.2.16和8.2.18GB/T20438.1—2017/IEC61508-1:2010(資料性附錄)A.1通則為了滿足第5章的要求，本附錄給出了一個文檔結(jié)構(gòu)的范例，以及為結(jié)構(gòu)化信息建立文檔的方法。文檔應(yīng)包括為有效執(zhí)行下列各項(xiàng)工作所需的足夠信息：——功能安全管理(第6章);——功能安全評估(第8章)。足夠信息的構(gòu)成取決于一系列因素，包括E/E/PE安全相關(guān)系統(tǒng)的大小、復(fù)雜程度以及特定應(yīng)用的相關(guān)要求。在特定的產(chǎn)品和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)中可能會規(guī)定必要的文檔。可能分開放在幾個實(shí)際的文檔中。同樣，實(shí)際的文檔的結(jié)構(gòu)也取決于E/E/PE安全相關(guān)系統(tǒng)的大小和文檔是一種旨在讓人理解的結(jié)構(gòu)化的信息，可作為用戶和/或系統(tǒng)之間進(jìn)行交換的一個單元(見參本附錄中的文檔結(jié)構(gòu)示例分兩部分：本附錄中規(guī)定的基本文檔種類如下：為滿足第5章規(guī)定的要求，表A.1、表A.2和表A.3給出了結(jié)構(gòu)化信息的文檔結(jié)構(gòu)示例。表中指出GB/T20438.1—2017/IEC61508-1:2010了與文檔相關(guān)的安全生命周期階段(通常文檔在此階段中被擬定),表中的文檔根據(jù)A.1提出的方案命名。除列于表A.1、表A.2和表A.3的文檔外，可能還有一些為提供詳細(xì)附加信息或?yàn)樘囟康亩鴺?gòu)建表A.1與整體安全生命周期有關(guān)信息的文檔結(jié)構(gòu)示例整體安全生命周期階段信息概念描述(總體概念)整體范圍確定描述(整體范圍確定)危險和風(fēng)險分析描述(危險和風(fēng)險分析)整體安全要求規(guī)范(整體安全要求，包括：整體安全功能要求和整體安全完整性要求)整體安全要求分配描述(安全要求分配)整體運(yùn)行和維護(hù)