GB/T 41257-2022 數字化車間功能安全要求（正式版）

ICS25.040數字化車間功能安全要求國家市場監(jiān)督管理總局國家標準化管理委員會I Ⅲ 12規(guī)范性引用文件 13術語、定義和縮略語 13.1術語和定義 1 24安全生命周期 25數字化車間的功能安全管理 35.1組織人員和資源 35.2執(zhí)行和監(jiān)督 35.3數字化車間的功能安全管理 36數字化車間危險與風險分析 36.1生產制造過程及設備 36.2控制層和執(zhí)行層 47數字化車間保護層評估 57.1數字化車間保護層 57.2制造過程和設備的保護層評估 57.3控制層和執(zhí)行層的保護層評估 5 6 68.2安全完整性要求 68.3獨立性要求 7 88.5其他要求 89功能安全管理信息系統(tǒng)要求 89.1一般要求 89.2功能要求 89.3數據要求 9 10.1一般要求 10.2人機接口要求 10.3現場設備通信接口要求 10.4網絡通信接口要求 附錄A(資料性)數字化車間危險與風險分析方法和步驟 ⅡGB/T41257—2022A.1進行危險與風險分析所需的信息 A.2數字化車間危險與風險分析的步驟 A.3數字化車間的危險識別 A.4數字化車間的風險評估 A.5數字化車間的風險評定 附錄B(資料性)安全完整性等級(SIL)與性能等級(PL)之間的關系 B.2性能等級PL B.3PL和SIL之間的關系 ⅢGB/T41257—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中國機械工業(yè)聯合會提出。本文件由全國工業(yè)過程測量控制和自動化標準化技術委員會(SAC/TC124)歸口。本文件起草單位：機械工業(yè)儀器儀表綜合技術經濟研究所、中國石油集團安全環(huán)保技術研究院有限標利科技開發(fā)有限公司、中國科學院沈陽自動化研究所、上海工業(yè)自動化儀表研究院有限公司、上海自動化儀表有限公司、中石化廣州工程有限公司、長沙有色冶金設計研究院有限公司、北京市勞動保護科GB/T41257—2022數字化車間是智能制造的核心單元，涉及領域廣泛，類型復雜多樣。智能化技術在給制造業(yè)帶來難得發(fā)展機遇的同時，也使制造業(yè)面臨著安全方面的挑戰(zhàn)。數字化車間中存在多種風險，面臨多種安全問題，如：數字化制造設備的運行失效(包括控制功能失效、安全功能失效),可能會導致制造系統(tǒng)的功能失影響?！吨袊圃?025》綱要明確提出要建立智能制造安全保障系統(tǒng)。為了降低數字化車間中的風險，保車間的功能安全要求，在數字化車間中設置保護層(如：安全相關系統(tǒng)、物理保護系統(tǒng)等),建立功能安全管理系統(tǒng)，全方位多角度保障數字化車間的功能安全。依據GB/T37393—2019《數字化車間通用技術要求》,數字化車間重點涵蓋產品生產制造過程，其體系結構分為基礎層和執(zhí)行層。因此，本文件中數字化車間的功能安全要求也將限定在基礎層和執(zhí)行層的范圍內。數字化車間的功能安全，主要考慮以下三個方面。一是針對數字化車間中已識別的危險及風險分析結果，結合行業(yè)或企業(yè)自身的可容忍風險，進行保護層評估，確定各類保護措施的必要性以及所需的安全保護功能。在數字化車間的基礎層中設置適當保護層(如：安全相關系統(tǒng)、物理保護系統(tǒng)等),用以降低數字化車間生產過程中可能帶來的對資產、人員、環(huán)境產生的風險。尤其針對數字化車間自身特點，重點關注車間的制造設備或裝置在互相聯通后帶二是在數字化車間的執(zhí)行層中建立一個功能安全管理信息系統(tǒng)，對數字化車間的安全風險、保護三是構建一個功能安全信息物理系統(tǒng)，通過E/E/PE安全相關系統(tǒng)、其他風險減低措施和功能安全管理信息系統(tǒng)等的有機融合與深度協(xié)作，實現數字化車間功能安全的實時感知、動態(tài)控制和信息服務?！A層的E/E/PE安全相關系統(tǒng)(包含安全檢測、控制和執(zhí)行)、其他風險減低措施及其檢測——執(zhí)行層的功能安全管理信息系統(tǒng)及其安全數據、服務等。數字化車間功能安全的示意圖，如圖1所示。VGB/T41257—2022企業(yè)級制造資源企業(yè)級制造資源管理層企業(yè)資源計劃生產安全管理車間應急響應功能安全管理物理保護系統(tǒng)安全相關系統(tǒng)控制系統(tǒng)制造過程數字化制造設備數字化輔助設備產品生命周期管理系統(tǒng)集成基礎層執(zhí)行層圖1數字化車間功能安全示意圖1GB/T41257—2022數字化車間功能安全要求1范圍本文件規(guī)定了安全生命周期、數字化車間的功能安全管理、數字化車間危險與風險分析、數字化車本文件適用于指導數字化車間的新建和改擴建。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20438.1電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第1部分：一般要求GB/T20438.2電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關系統(tǒng)的要求GB/T20438.3電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第3部分：軟件要求GB/T20438.4電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第4部分：定義和縮略語GB/T37393—2019數字化車間通用技術要求GB/T37413—2019數字化車間術語和定義3.1術語和定義GB/T20438.4界定的以及下列術語和定義適用于本文件。數字化車間digitalfactory;digitalworkshop響應來自過程和(或)操作者的輸入信號，并產生輸出信號，使制造過程按預期方式工作的系統(tǒng)。[來源：GB/T20438.4—2017,3.3.3,有修改]3.1.3制造執(zhí)行系統(tǒng)manufacturingexecutionsystem生產活動管理系統(tǒng)，該系統(tǒng)能啟動、指導、響應并向生產管理人員報告在線、實時生產活動的情況。這個系統(tǒng)輔助執(zhí)行制造訂單的活動。2GB/T41257—20223.1.4用來防止不期望事件的發(fā)生或降低不期望事件后果嚴重性從而降3.1.5對數字化車間的安全風險、保護層、安全相關系統(tǒng)以及其他功能安全相關活動進行數據采集分析、3.1.6功能安全信息物理系統(tǒng)functionalsafetycyberphysicalsystems是一個綜合計算、網絡和物理環(huán)境的多維復雜系統(tǒng)，通過E/E/PE安全相關系統(tǒng)、其他風險減低措下列縮略語適用于本文件。DC診斷覆蓋率E/E/PE電氣/電子/可編程電子MRT平均維修時間MTTFp平均危險失效間隔時間DiagnosticCoverageElectrical/Electronic/ProgrammableMeanRepairTimeMeanTimeToDangerousFailureElectronic性能等級控制系統(tǒng)安全相關部件PerformanceLevelSafetyIntegrityLevelSafety-RelatedPartofaControlSystem4安全生命周期應依據GB/T20438.1規(guī)定，統(tǒng)籌考慮數字化車間功能安全的相關活動，定義數字化車間及其功能安全信息物理系統(tǒng)的生命周期階段以及各階段相關內容和要求。注：典型的安全生命周期階段包括。——危險與風險評估。確定生產制造過程及設備、控制層、執(zhí)行層的危險和危險事件、導致危險事件后果、與危險事件相關的過程風險、風險降低和要達到必要的風險降低所需要的安全功能要求?！o保護層分配安全功能。給保護層分配安全功能并為每個電氣/電子/可編程電子安全功能分配相關的安全完整性等級?！踩枨?。為了達到要求的安全功能，根據要求的電氣/電子/可編程電子安全功能及其相關的安全完整性規(guī)定每個安全相關系統(tǒng)的要求?！O計和工程。設計安全相關系統(tǒng)，以滿足安全功能和安全完整性要求。方面都滿足功能安全要求?！僮骱途S護。保證在操作和維護期間保持安全相關系統(tǒng)的功能安全?！兏屯Ｓ?。對安全相關系統(tǒng)進行校正、增強或自適應以保證達到和保持要求的安全完整性等級?！炞C。測試和評估給定階段的輸出，確保其對于該階段關于產品和標準輸入的正確性和一致性?！δ馨踩u估。對安全相關系統(tǒng)所達到的功能安全進行調查并作出判斷。3GB/T41257—20225數字化車間的功能安全管理5.1.1規(guī)定實現數字化車間功能安全的方針和策略，包括評估它們實現的方法和在組織內交流的方法。5.1.2識別出實施數字化車間功能安全活動的所有人員、部門和組織的責任(如哪些活動應由相關的許可授權或法定的安全機構負責完成),和執(zhí)行各階段活動人員的適當的能力(即培訓5.2.1應制定規(guī)程，以保證對數字化車間的風險降低措施的相關建議能迅速跟進和滿意解決，建議包——功能安全評估；——風險降低措施的配置管理；——事故報告和分析。5.2.4負責對數字化車間提供產品或服務的供應商，應提供該組織規(guī)定的產品和服務，并有適當的質量管理系統(tǒng)。數字化車間的E/E/PE安全相關系統(tǒng)、其他風險減低設施在其全生命周期階段內，都宜進行數字6數字化車間危險與風險分析分析結果應包括但不限于：4GB/T41257—2022——事件的后果和可能性描述；——為降低風險所采取措施的描述或者引用；——在風險分析中對保護措施的可能的要求率和設備失效率等所作的假設，以及對操作約束或人為干預的可信度的詳細描述。6.2控制層和執(zhí)行層注1:包括控制系統(tǒng)各子系統(tǒng)或功能單元的失效或錯誤、子系統(tǒng)或功能單元之間不期望關聯或作用、系統(tǒng)性失效或錯誤等。注3:必要時進一步開展措施有效性分析，需要的外部保護功能分析等。——確定由安全相關系統(tǒng)實現的外部保護功能(若有);注4:必要時，進一步開展危險事件的發(fā)生條件、發(fā)展過程、事件后果及可能性分析。分析結果應包括但不限于：——有關發(fā)生可能性的信息描述或引用；——由安全相關系統(tǒng)實現的保護功能描述；——分析評估過程中所作的假設描述；免或控制措施描述。注1:數字化車間危險與風險分析的方法和步驟，見附錄A。注2:對于遭受外部信息安全攻擊、合理可預見的誤用或未經授權的行為影響和防范的完整的分析需要開展信息安全風險評估，參見GB/T41260—2022等相關標準。5GB/T41257—20227數字化車間保護層評估應對數字化車間制造過程和設備各危險事件的保護層的設計開展——基于E/E/PE技術的保護層功能降低損失；——基于E/E/PE技術的保護層安全功能描述；——保護層運行模式；—保護層目標失效量；——對于基于E/E/PE技術的保護層的運行模式，以及對應的目標失效量，相應的SIL要求。6GB/T41257—20227.3.1.3對控制層和執(zhí)行層遭受外部信息安全攻擊、合理可預見的誤用或未經授權的行為影響的保護評估結果應包括但不限于：——基于E/E/PE技術的保護層安全功能描述；——保護層目標失效量；8安全相關系統(tǒng)要求——各安全功能的描述；——各安全功能要求的響應時間；——安全功能應啟動或禁用的工況(例如運行模式);——安全功能對其他過程功能或控制功能的接口；——對故障反應功能以及操作的各種限制(如機器重新啟動或者繼續(xù)運轉)等的描述，以防初始錯誤即導致機器停止運行；——測試以及各種相關設施(例如測試設備、測試接入端口);應對安全相關系統(tǒng)的安全功能明確風險降低目標。對E/E/PE安全相關系統(tǒng)的安全功能，還應明確其安全完整性等級。8.2.2.1每個E/E/PE安全相關系統(tǒng)的安全功能的安全完整性等級要求應來自風險評估和保護層評注2:安全完整性等級要求的目標失效量，按照運行模式的不同，分為要求時的失效概率和每小時的危險失效率。注3:不同的行業(yè)有不同的安全完整性等級要求。8.2.2.2低要求運行模式下，分配給E/E/PE安全相關系統(tǒng)的每個安全功能的安全完整性要求應按照安全功能的要求時危險失效平均概率(PFDa)作為目標失效量見表1,提出風險降低要求。7GB/T41257—2022安全完整性等級(SIL)安全功能在要求時的危險失效平均概率(PFDwg)4≥10-?~<10-3≥10-+～<10-32≥10-3～<10-21≥10-2~<10-18.2.2.3高要求或連續(xù)運行模式下，分配給E/E/PE安全相關系統(tǒng)的每個安全功能的安全完整性要求應按照安全功能的每小時危險失效平均頻率(PFH)作為目標失效量見表2,提出風險降低要求。安全完整性等級(SIL)安全功能的每小時危險失效平均頻率(PFH)4≥10-?~<10-3≥10-?~<10-72≥10-?~<10-1≥10-?~<10-5注：在有些行業(yè)領域，安全完整性等級的表示會有不同，如在機械安全領域，采用“PL”來衡量安全級別要求。SIL與PL的區(qū)別與聯系見附錄B。——硬件安全完整性體系結構限制；——危險隨機硬件故障概率要求。注：軟件安全完整性作為系統(tǒng)性安全完整性的一部分考慮。安全相關系統(tǒng)應與非安全相關系統(tǒng)獨立設置。獨立的內容包括：——現場檢測單元獨立；——現場執(zhí)行單元獨立；——聯接和配線獨立。8.3.2.1當安全相關系統(tǒng)同時執(zhí)行非安全功能時，非安全部分應按照安全部分的完整性要求來設計實8GB/T41257—2022施，或采取措施來保證非安全功能的任何行為不會影響到安全功能的完整性。8.3.2.2當安全相關系統(tǒng)實現不同安全完整性等級的安全功能時，除非能表明較低安全完整性等級的安全功能對較高安全完整性等級的安全功能沒有負面影響，否則共享或共用硬件和軟件應符合最高安全完整性等級。8.4故障響應要求8.4.1在能容許單一硬件故障的任何子系統(tǒng)中，檢測到危險故障時(利用診斷測試、檢驗測試或任何其他辦法)應導致執(zhí)行一個規(guī)定動作，以達到或保持安全狀態(tài)；或隔離故障部分以使得在修復故障部分的同時繼續(xù)過程機器的安全運行。如果故障部分的修復不能在計算硬件隨機失效概率中設定的MRT內完成，則會產生一個規(guī)定的動作以達到或保持某個安全狀態(tài)。8.4.2在子系統(tǒng)沒有容錯能力的場合，當在子系統(tǒng)中檢測到危險故障時(利用診斷測試、檢驗測試或任何其他辦法),則應導致一個規(guī)定動作，以達到或保持某種安全狀態(tài)。如：導致機器的運行停止，且機器的正常操作(如重新啟動機器)將不能進行，直到該故障已經修復或校正。8.5其他要求8.5.1控制層應滿足GB/T20438.1、GB/T20438.2、GB/T20438.3中關于E/E/PE安全相關系統(tǒng)及其子系統(tǒng)的設計和集成的相關要求。9功能安全管理信息系統(tǒng)要求9.1一般要求9.1.1應在數字化車間的執(zhí)行層中建立一個功能安全管理信息系統(tǒng)，作為數字化車間生產安全管理的構成部分。注：功能安全管理信息系統(tǒng)將功能安全管理流程從行層其他功能模塊進行必要信息交互，自動化執(zhí)行或主動指導功能安全相關業(yè)務，提高企業(yè)安全等級。9.1.2功能安全管理信息系統(tǒng)應基于企業(yè)業(yè)務流程和功能安全管理規(guī)范，針對企業(yè)資產、人員、環(huán)境等的安全需求構建。9.2功能要求9.2.1.1功能安全管理信息系統(tǒng)應能實時采集功能安全狀態(tài)數據，提供功能安全監(jiān)測和風險預警，提高功能安全管理可視化水平。9.2.1.2功能安全管理信息系統(tǒng)的功能包括但不限于：危險與風險管理功能、保護層管理功能、安全相關系統(tǒng)管理功能。9.2.2危險與風險管理功能對于不同的過程風險進行實時有效監(jiān)控，并與預設的標準值進行比對，實現超限報警、反饋調節(jié)等功能。GB/T41257—2022完整性等級(SIL)指標來衡量。安全完整性狀態(tài)監(jiān)測子功能針對執(zhí)行安全功能的控制系統(tǒng)(包括智能檢測儀表和執(zhí)行機構),應：——提供在實際運行條件下安全完整性的可視化，監(jiān)視隨時間變化的安全完整性狀態(tài)；的維修維護請求。跟蹤并指導安全相關系統(tǒng)、備品備件及其檢測維護工具的維護活動，確保其可用性；實現安全相關9.3數據要求 9執(zhí)行層基礎江GB/T41257—2022執(zhí)行層基礎江10.1一般要求10.1.2數字化車間的功能安全集成如圖2所示，包括以下幾方面：——人與安全相關系統(tǒng)互聯時的人機接口；——功能安全管理信息系統(tǒng)與安全相關系統(tǒng)互聯時的網絡通信接口。功能安全管理信息系統(tǒng)網絡通信接口現場設備通信接口非安全相關系統(tǒng)安全相關系統(tǒng)非安全相關系統(tǒng)人機接口操作人員和維護人員10.2人機接口要求——可維護性；10.2.2.1應單獨設置操作接口和維護接口。10.2.2.3應具有訪問權限控制功能。接口的自身失效不應對安全相關系統(tǒng)執(zhí)行安全功能產生不期望影響。GB/T41257—2022GB/T41257—2022(資料性)數字化車間危險與風險分析方法和步驟A.1進行危險與風險分析所需的信息A.1.3指定的危險與風險分析的范圍。A.1.4危險與風險分析范圍內的數字化車間的各獨立功能區(qū)域，包括：——各獨立功能區(qū)域內的數字化制造設備(如：數字化加工設備、數字化裝配設備、數字化物流設合理可預見的誤用；——各獨立功能區(qū)域內的數字化制造設備(如：數字化加工設備、數字化裝配設備、數字化物流設——各獨立功能區(qū)域間的通信接口、通信內容、信息流向以及信息類型；——各獨立功能區(qū)域的環(huán)境。A.1.5當前國內外數字化車間安全相關的法律、法規(guī)、標準以及其他相關文件。A.2數字化車間危險與風險分析的步驟A.2.1制定一套數字化車間危險與風險分析的規(guī)程。由數字化車間管理人員、工藝人員、操作人員、維護人員組成的團隊負責實施。必要時，可委托第三方實施。A.2.2數字化車間危險與風險分析的步驟，見圖A.1。開始開始數字化車間的危險識別是否達到可容忍風險?是達到安全月標結束否圖A.1數字化車間危險與風險分析的步驟A.3數字化車間的危險識別A.3.2根據合理可預見的情況(包括：故障狀況、合理可預見的的人為因素引起的問題等),全面識別數字化車間中的危險、危險狀態(tài)以及危險事件，包括：——識別與數字化車間的數字化制造設備、數字化輔助設備、信息基礎設施、人員直接相關的所有合理可預見的危險、危險狀態(tài)和危險事件?！R別與數字化車間的數字化制造設備、數字化輔助設備、信息基礎設施、人員不直接相關的所——全面識別數字化車間在不同運行模式下，所有合理可預見的危險、危險狀態(tài)和危險事件。需要開展信息安全風險分析。表A.1數字化車間中的典型危險序號危險危險事件后果1數字化加工設備故障數字化加工設備失控人身傷害財產損失環(huán)境污染聲譽影響2數字化裝配設備故障數字化裝配設備失控人身傷害財產損失環(huán)境污染聲譽影響3數字化物流設備故障數字化物流設備失控人身傷害財產損失環(huán)境污染聲譽影響4數字化檢測設備故障數字化檢測設備失控人身傷害財產損失環(huán)境污染聲譽影響5數字化輔助設備故障數字化輔助設備失控人身傷害財產損失環(huán)境污染聲譽影響表A.1數字化車間中的典型危險(續(xù))序號危險危險事件后果6數字化制造設備互聯集成的故障數字化制造設備失控人身傷害財產損失環(huán)境污染聲譽影響7信息基礎設施故障數據信息篡改/泄密數字化制造設備失控人身傷害財產損失環(huán)境污染聲譽影響8數字化制造設備與信息基礎設施互聯集成的故障數據信息篡改/泄密數字化制造設備失控人身傷害財產損失環(huán)境污染聲譽影響9生產過程數據互聯集成的故障數據信息篡改/泄密數字化制造設備失控人身傷害財產損失環(huán)境污染聲譽影響人機交互時的誤用數字化制造設備失控數據信息篡改/泄密人身傷害財產損失環(huán)境污染聲譽影響注1:數字化車間中的典型危險包括但不限于上述危險。注2:數字化車間生產過程中的各種主要危險，參考GB/T13861—2009。注3:數字化車間中的各種機械可能出現的危險，參考GB/T15706—2012的附錄B。注4:數字化車間中的電氣設備可能出現的危險，參考GB/T22696.5—2011。A.3.5危險識別的信息需數字化歸檔。c)