GB∕T 20438.4-2017 電氣∕電子∕可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略語

ICS25.040代替GB/T20438.4—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(IEC61508-4:2010,IDT)GB/T20438.4—2017/IEC61508-4:2010 Ⅲ 1 3 33.1安全術(shù)語 4 6 83.4系統(tǒng)-安全相關(guān) 3.5安全功能和安全完整性 3.7生命周期活動(dòng) 3.8安全措施的證實(shí) 索引 2 9圖3電氣/電子/可編程電子系統(tǒng)(E/E/PE系統(tǒng))—結(jié)構(gòu)和術(shù)語 9圖4失效模型 3IⅢGB/T20438.4—2017/IEC61508-4:2010——第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南；本部分為GB/T20438的第4部分。本部分代替GB/T20438.4—2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：本部分使用翻譯法等同采用IEC61508-4:2010《電氣/電子/可編程電子安全相關(guān)——GB/T20438.4—2006。VGB/T20438.4—2017/IEC61508-4:2010由電氣和電子器件構(gòu)成的系統(tǒng)，多年來在許多應(yīng)用領(lǐng)域中執(zhí)行其安全功能。以計(jì)算機(jī)為基礎(chǔ)的系統(tǒng)(一般指可編程電子系統(tǒng))在其應(yīng)用領(lǐng)域中用于執(zhí)行非安全功能，并且也越來越多地用于執(zhí)行安全功能。如果要安全并有效地使用計(jì)算機(jī)技術(shù)，有關(guān)決策者在安全方面有充足的指導(dǎo)并據(jù)此做出決定是十分必要的。GB/T20438針對(duì)由電氣和/或電子和/或可編程電子(E/E/PE)組件構(gòu)成的、用來執(zhí)行安全功能的系統(tǒng)安全生命周期的所有活動(dòng)，提出了一個(gè)通用的方法。采用統(tǒng)一的方法的目的是為了針對(duì)所有以電為基礎(chǔ)的安全相關(guān)系統(tǒng)提出一種一致的、合理的技術(shù)方針。主要目標(biāo)是促進(jìn)基于GB/T20438系列標(biāo)準(zhǔn)的產(chǎn)品和應(yīng)用領(lǐng)域國(guó)家標(biāo)準(zhǔn)的制定。等)的系統(tǒng)來保證安全。因而必須考慮各類安全策略，不僅要考慮單個(gè)系統(tǒng)中的所有組件的問題(如傳感器、控制器、執(zhí)行器等),還要考慮不同安全相關(guān)系統(tǒng)組合后的問題。因此當(dāng)GB/T20438在關(guān)注電術(shù)的安全相關(guān)系統(tǒng)也可被考慮進(jìn)去。E/E/PE安全相關(guān)系統(tǒng)。對(duì)每個(gè)特定的應(yīng)用，將根據(jù)特定應(yīng)用的許多因素來確定所需的安全措施。GB/T20438作為基本原則可在未來的產(chǎn)品和應(yīng)用領(lǐng)域國(guó)家標(biāo)準(zhǔn)制定和已有標(biāo)準(zhǔn)的修訂中規(guī)范這些措施。GB/T20438——使涉及E/E/PE安全相關(guān)系統(tǒng)的產(chǎn)品和應(yīng)用領(lǐng)域的國(guó)家標(biāo)準(zhǔn)得以制定；在GB/T20438的框——采用了一種可確定安全完整性要求的基于風(fēng)險(xiǎn)的方法；——引入安全完整性等級(jí)，用于規(guī)定E/E/PE安全相關(guān)系統(tǒng)所要執(zhí)行的安全功能的目標(biāo)安全完整 建立了E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能的目標(biāo)失效量，這些量都同安全完整性等級(jí)相 -建立了單一E/E/PE安全相關(guān)系統(tǒng)執(zhí)行安全功能時(shí)，目標(biāo)失效量的一個(gè)下限值。這些E/E/PE安全相關(guān)系統(tǒng)運(yùn)行在：GB/T20438.4—2017/IEC61508-4:2010VlGB/T20438.4—2017/IEC61508-4:2010電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語1范圍1.1GB/T20438的本部分包括了GB/T20438.1～GB/T20438.7所使用的術(shù)語和解釋。1.2這些定義按標(biāo)題分組，以便從它們的前后關(guān)系上去理解這些相關(guān)的術(shù)語。但這樣的分組并不意味1.3GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.用于簡(jiǎn)單的E/E/PE安全相關(guān)系統(tǒng)(見GB/T20438.4—2017的3.4.3),但作為基礎(chǔ)安全標(biāo)準(zhǔn)，各技術(shù)委員會(huì)可以在IEC指南104和ISO/IEC指南51的指導(dǎo)下制定相關(guān)標(biāo)準(zhǔn)時(shí)使用。GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4也可作為獨(dú)立標(biāo)準(zhǔn)來使用。GB/T20438的橫向安全功能不適用于在IEC60601系列指導(dǎo)下的醫(yī)療設(shè)備。1.4各技術(shù)委員會(huì)的責(zé)任之一，是在其標(biāo)準(zhǔn)的起基礎(chǔ)安全標(biāo)準(zhǔn)中的要求、測(cè)試方法或測(cè)試條件只有在這些技術(shù)委員會(huì)起草的標(biāo)準(zhǔn)中已明確引用或包含1.5圖1表示了GB/T2過程中的作用。2GB/T20438.4—2017/IEC61508-4:2010第1部分編制整體安全要求(概念、范圍、定7.1～7.5第1部分系統(tǒng)7.6第1部分7.10第2部分E/E/PE安全相段第3部分安全相關(guān)軟件第1部分第1部分圖1GB/T第5部分第6部分第2部分和第3部第7部分20438的整體框架第4部分第1部分第5章和附錄A第1部分第1部分3GB/T20438.4—2017/IEC61508-4:20102規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文IECGuide104:1997安全出版物的編寫及基礎(chǔ)安全出版物和多專業(yè)共用安全出版物的應(yīng)用導(dǎo)則(Thepreparationofsafetypublicationsandtheuseofbasicsafetypublicationsandgroupsafetypubli-cations)IEC/ISOGuide51:1999涉及安全的內(nèi)容將安全內(nèi)容納入標(biāo)準(zhǔn)的指南(Safetyaspects—Guide-linesfortheirinclusioninstandards)表1給出了GB/T20438中使用的定義和縮略語。表1GB/T20438使用的縮略語縮略語術(shù)語的定義和/或解釋ALARP合理可行的低GB/T20438.5—2017的附錄CASIC專用集成電路3.2.15CCF共因失效3.6.10CPLD復(fù)雜可編程邏輯器件DC診斷覆蓋率3.8.6(電)可擦寫可編程邏輯器件E/E/PE電氣/電子/可編程電子3.2.13,示例：E/E/PE安全相關(guān)系統(tǒng)E/E/PE(system)電氣/電子/可編程電子系統(tǒng)3.3.2EEPROM電可擦寫可編程只讀存儲(chǔ)器EPROM可擦寫可編程只讀存儲(chǔ)器EUC受控設(shè)備3.2.1FPGA現(xiàn)場(chǎng)可編程門陣列GAL通用陣列邏輯HFT硬件故障裕度GB/T20438.2—2017的7.4.4MooNN取M通道架構(gòu)(如loo2是2取1架構(gòu)，兩個(gè)通道中任一通道都可執(zhí)行安全功能)GB/T20438.6—2017的附錄BMooND帶診斷的N取M通道架構(gòu)GB/T20438.6—2017的附錄BMTBF平均失效間隔時(shí)間3.6.19,注3MTTR平均恢復(fù)時(shí)間3.6.21MRT平均修理時(shí)間3.6.22PAL可編程陣列邏輯4GB/T20438.4—2017/IEC61508-4:2010表1(續(xù))縮略語術(shù)語的定義和/或解釋PE可編程電子3.2.12PEsystem可編程電子系統(tǒng)3.3.1PFD要求時(shí)危險(xiǎn)失效概率3.6.17PFDavg要求時(shí)危險(xiǎn)失效平均概率3.6.18PFH危險(xiǎn)失效平均頻率[h-1]3.6.19PLA可編程邏輯陣列PLC可編程邏輯控制器GB/T20438.6—2017的附錄EPLD可編程邏輯器件PLS可編程邏輯序列PML可編程宏邏輯RAM隨機(jī)存儲(chǔ)器ROM只讀存儲(chǔ)器SFF安全失效分?jǐn)?shù)3.6.15SIL安全完整性等級(jí)3.5.8VHDL超高速集成電路硬件描述語言GB/T20438.2—2017的附錄F,注53.1安全術(shù)語3.1.1[ISO/IEC導(dǎo)則51:1999,定義3.3]3.1.2[ISO/IEC導(dǎo)則51:1999,定義3.5]3.1.3[改寫ISO/IEC導(dǎo)則51:1999,定義3.6]3.1.4可能導(dǎo)致傷害的事件。5GB/T20438.4—2017/IEC61508-4:20103.1.53.1.6[ISO/IEC導(dǎo)則51:1999,定義3.2]注：對(duì)這一概念更多的討論見GB/T20438.5—2017附錄A。3.1.7[ISO/IEC導(dǎo)則51:1999,定義3.7]3.1.8[ISO/IEC導(dǎo)則51:1999,定義3.9]3.1.9注2:GB/T20438.5—2017的圖A.1說明了EUC風(fēng)險(xiǎn)。確定EUC風(fēng)險(xiǎn)的主要目的是在還未考慮E/E/PE安全相3.1.103.1.11[ISO/IEC導(dǎo)則51:1999,定義3.1]3.1.123.1.13達(dá)到安全時(shí)EUC的狀態(tài)。6GB/T20438.4—2017/IEC61508-4:20103.1.14[ISO/IEC導(dǎo)則51:1999,定義3.14]3.2.13.2.23.2.3[ISO/IEC2382-1,01-01-40]3.2.43.2.5注1:軟件獨(dú)立于其記錄媒體。注2:不包含注1的情況下，該定義與ISO/IEC2382-1不同之處在于增加了一個(gè)詞“數(shù)據(jù)”。3.2.63.2.73.2.8按GB/T20438的要求開發(fā)的。7GB/T20438.4—2017/IEC61508-4:20103.2.9數(shù)據(jù)data注1:數(shù)據(jù)可能采用靜態(tài)信息的形式(如設(shè)定點(diǎn)或地理信息表達(dá)的配置)或采用指令的形式來規(guī)定已有功能的順序。注2:示例參看GB/T20438.7。3.2.10軟件在線支持工具softwareon-linesupporttool能直接影響運(yùn)行中的安全相關(guān)系統(tǒng)的軟件工具。3.2.11軟件離線支持工具softwareoff-linesupporttool支持軟件開發(fā)生命周期某個(gè)階段并且不能直接影響運(yùn)行中的安全相關(guān)系統(tǒng)的軟件工具。軟件離線支持工具分成下面三類： 不產(chǎn)生直接或間接貢獻(xiàn)于安全相關(guān)系統(tǒng)可執(zhí)行代碼(包括數(shù)據(jù))的輸出；工具。產(chǎn)生能夠直接或間接貢獻(xiàn)于安全相關(guān)系統(tǒng)可執(zhí)行代碼的輸出。注3:T3的例子包括：當(dāng)源代碼程序與形成的目標(biāo)代碼之間的關(guān)系不明顯時(shí)使用的優(yōu)化編譯器；將可執(zhí)行的運(yùn)行時(shí)軟件包結(jié)合進(jìn)可執(zhí)行代碼的編譯器。3.2.12注：這個(gè)術(shù)語包括以一個(gè)或多個(gè)中央處理器(CPUs)及相關(guān)的存儲(chǔ)器等為基礎(chǔ)的微電子裝置?！⑻幚砥?；——專用集成電路(ASICs); 可編程邏輯控制器(PLCs):3.2.13基于電氣(E)和/或電子(E)和/或可編程電子(PE)的技術(shù)。注：本術(shù)語試圖覆蓋所有的在電原理下運(yùn)行的裝置或系統(tǒng)?！獧C(jī)電裝置(電氣);——固態(tài)非可編程電子裝置(電子);——以計(jì)算機(jī)技術(shù)為基礎(chǔ)的電子裝置(可編程電子);見3.2.12。8GB/T20438.4—2017/IEC61508-4:20103.2.14有限可變語言limitedvariabilitylanguage制器的應(yīng)用編程。3.2.15例2:預(yù)先設(shè)計(jì)的宏(被稱為知識(shí)產(chǎn)權(quán)，即IP)是指例1中類似元件的各種變化，具有不同的由高級(jí)硬件描述語言(VHDL,Verilog)構(gòu)成的設(shè)計(jì)數(shù)據(jù)。先布局或生成的宏是工藝專用的，但可能被移植到不同的技術(shù)。在大多數(shù)情況下，宏核不同于初始的分立的現(xiàn)成元件——基于單元的ASIC:以取自單元庫的邏輯基本要素(如AND,OR,Flip-Flop,Latch)為基礎(chǔ)的ASIC。包括邏輯基本要素和互聯(lián)線的門級(jí)網(wǎng)表，通常是用綜合工具從高級(jí)硬件描述語言中產(chǎn)生的。邏輯基本要素的功能和時(shí)的單元之間的連接矩陣(金屬層)決定。設(shè)計(jì)過程近似于基于單元的ASIC,但布局的步驟由連接已存在的單元——現(xiàn)場(chǎng)可編程門陣列(FPGA):標(biāo)準(zhǔn)集成電路，使用一次性或可重復(fù)編程的元件來規(guī)定功能塊之間的連接以及配提供可預(yù)測(cè)的時(shí)序和可保證的最高工作頻率。典型的PLD有PAL,GAL,PML,(E)EPLD,PLA,PLS?！獜?fù)雜可編程邏輯器件(CPLD):在一個(gè)芯片上有多個(gè)類似PLD塊，由可編程的互連矩陣(crossbar)相連接。在3.3系統(tǒng)-通用3.3.1基于一個(gè)或多個(gè)可編程電子裝置的控制、保護(hù)或監(jiān)視系統(tǒng)，包括系統(tǒng)中所有的組件，如電源、傳感器90000注：PES的結(jié)構(gòu)如圖2a)。圖2b)是闡述GB/T20438中PES在EUC和其接口中具有不同于傳感器、執(zhí)行器的可編程電子單元的方式，但是，在PES中可編程電子可能存在于多處。圖2c)表示具有兩個(gè)分立的可編程電子單元的PES。圖2d)表示具有雙重可編程電子單元(即雙通道)的PES,但共用一個(gè)傳感器和一個(gè)執(zhí)行器。O00PE1PE2PE1b)具有單個(gè)可編程電子裝置的單個(gè)PESb)具有單個(gè)可編程電子裝置的單個(gè)PES(即由一個(gè)單通道可編程電子裝置構(gòu)成的一個(gè)PES)可編程電子裝置的單個(gè)共享傳感器和最終元件的PES(如智能傳感器和可編單個(gè)PES(即由兩個(gè)可編程程控制器)電子通道構(gòu)成的一個(gè)PES)裝置的控制、保護(hù)或監(jiān)視系統(tǒng)，包括系統(tǒng)中所有的組件，如電源、傳感器和其他輸入裝置，數(shù)據(jù)總線和其他通信路徑，以及執(zhí)行器和其他輸出裝置(見圖3)。D-A轉(zhuǎn)換器0000注：E/E/PE裝置是圖示的中間部分，但這樣的裝置在E/E/PE系統(tǒng)中可能存在于多處GB/T20438.4—2017/IEC61508-4:20103.3.33.3.43.3.53.3.63.3.73.4系統(tǒng)-安全相關(guān)3.4.1以滿足所要求的可容忍風(fēng)險(xiǎn)。見GB/T20438.5—2017的附錄A。注2:安全相關(guān)系統(tǒng)能在檢測(cè)到可導(dǎo)致危險(xiǎn)事件的情況時(shí)采取適當(dāng)?shù)膭?dòng)作以防止EUC進(jìn)入危險(xiǎn)狀態(tài)。安全相關(guān)系統(tǒng)的失效將包含于導(dǎo)致危險(xiǎn)的事件中。盡管可能存在具備安全功能的其他系統(tǒng)，但所指定的安全相關(guān)系統(tǒng)可僅靠其自身能力達(dá)到要求的可容忍風(fēng)險(xiǎn)。安全相關(guān)系統(tǒng)一般被分為安全相關(guān)控制系統(tǒng)和安全相關(guān)保護(hù)注3:安全相關(guān)系統(tǒng)可以是EUC控制系統(tǒng)的組成部分，也可用傳感器和/或執(zhí)行器與EUC連接。即可通過EUCa)用于防止危險(xiǎn)事件發(fā)生(即安全相關(guān)系統(tǒng)一旦執(zhí)行其安全功能則避免傷害事件發(fā)生);c)同時(shí)具有a)和b)的功能組合。GB/T20438.4—2017/IEC61508-4:20103.4.23.4.3就是一個(gè)低復(fù)雜E/E/PE安全相關(guān)系統(tǒng)。3.4.43.4.5注1:一個(gè)組件可由硬件和/或軟件構(gòu)成。3.4.6[基于GB/T17215.911]注1:冗余主要用于提高可靠性(在給定時(shí)間范圍內(nèi)功能正確的概率)或可用性(在特定時(shí)間點(diǎn)具有功能的概率)。也可通過像20o3這樣的架構(gòu)來使誤動(dòng)作最小化。注2:此定義在IEV191-15-01中不完整。3.5.13.5.2GB/T20438.4—2017/IEC61508-4:20103.5.3由組件執(zhí)行的安全功能的一部分(見3.5.1)。3.5.4安全完整性safetyintegrity注1:安全完整性越高，安全相關(guān)系統(tǒng)在要求注2:有4個(gè)安全完整性等級(jí)(見3.5.8)。注3:在確定安全完整性時(shí)，宜包括所有導(dǎo)致非安全狀態(tài)的失效原因(隨機(jī)硬件失效和系統(tǒng)性失效),如硬件失效、平均失效頻率或安全相關(guān)保護(hù)系統(tǒng)未能在要求時(shí)動(dòng)作的概率來量化，但是安全完整性還取決于許多不能精注4:安全完整性由硬件安全完整性(見3.5.7)和系統(tǒng)性安全完整性(見3.5.6)構(gòu)成。注5:本定義針對(duì)安全相關(guān)系統(tǒng)執(zhí)行安全功能的可靠性(見IEV191-12-01可靠性的定義)。3.5.5軟件安全完整性softwaresafetyintegrity3.5.63.5.73.5.8安全完整性等級(jí)safetyintegritylevel;SIL一種離散的等級(jí)(四個(gè)可能等級(jí)之一),對(duì)應(yīng)安全完整性量值的范圍。安全完整性等級(jí)4是最高的，安全完整性等級(jí)1是最低的。注1:四個(gè)安全完整性等級(jí)對(duì)應(yīng)的目標(biāo)失效量(見3.5.17)在GB/T20438.1—2017的表2和表3中規(guī)定。注2:安全完整性等級(jí)用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。確解釋是系統(tǒng)具有支持安全功能的安全完整性等級(jí)達(dá)到n的潛在能力。3.5.9系統(tǒng)性能力systematiccapabili整性滿足規(guī)定的SIL要求的置信度的度量(表示為SC1～SC4)。注1:系統(tǒng)性能力由用于避免和控制系統(tǒng)性故障的要求來確定(見GB/T20438.2和GB/T20438.3)。注2:相關(guān)的系統(tǒng)性失效機(jī)理取決于組件的特性。比如一個(gè)組件單獨(dú)由軟件構(gòu)成，則只需考慮軟件失效機(jī)理。如注3:當(dāng)一個(gè)組件按組件符合項(xiàng)安全手冊(cè)的規(guī)定應(yīng)用時(shí)，針對(duì)規(guī)定的組件安全功能，組件具有SCN的系統(tǒng)性能力意味著SILN的系統(tǒng)性安全完整性已被滿足。GB/T20438.4—2017/IEC61508-4:20103.5.10軟件安全完整性等級(jí)softwaresafetyintegritylevel軟件組件的系統(tǒng)性能力。該軟件組件是安全相關(guān)系統(tǒng)的子系統(tǒng)的組成部分。3.5.11E/E/PE系統(tǒng)安全要求規(guī)范E/E/PEsystemsafetyrequirementsspecification包括安全功能及其安全完整性等級(jí)要求的規(guī)范。3.5.12E/E/PE系統(tǒng)安全功能要求規(guī)范E/E/PEsystemsafetyfunctionsrequirementsspecification包括安全相關(guān)系統(tǒng)必須要執(zhí)行的安全功能要求的規(guī)范。注1:這個(gè)規(guī)范是E/E/PE系統(tǒng)安全要求規(guī)范(見GB/T20438.1—2017的7.10和7.10.2.6)的一部分(安全功能部3.5.13E/E/PE系統(tǒng)安全完整性要求規(guī)范E/E/PEsystemsafetyintegrityrequirementsspecification包括安全相關(guān)系統(tǒng)必須要執(zhí)行的安全功能的安全完整性要求的規(guī)范。注：這個(gè)規(guī)范是E/E/PE系統(tǒng)安全要求規(guī)范(見GB/T20438.1—2017的7.10和7.10.2.7)的一部分(安全完整性部3.5.14E/E/PE系統(tǒng)設(shè)計(jì)要求規(guī)范E/E/PEsystemdesignrequirementsspecification3.5.15在安全相關(guān)系統(tǒng)中用于實(shí)現(xiàn)安全功能的軟件。3.5.16運(yùn)行模式modeofoperation——低要求模式：僅當(dāng)要求時(shí)才執(zhí)行將EUC導(dǎo)入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率不大注：E/E/PE安全相關(guān)系統(tǒng)只在要求時(shí)才對(duì)EUC或EUC控制系統(tǒng)產(chǎn)生影響。如果E/E/PE安全相關(guān)系統(tǒng)不能執(zhí)行安全功能，則可能使EUC進(jìn)入安全狀態(tài)(見GB/T20438.2—2017的7.4.6)?！咭竽Ｊ剑簩UC導(dǎo)入規(guī)定安全狀態(tài)的安全功能僅當(dāng)要求時(shí)才執(zhí)行，并且要求的頻率大于3.5.17目標(biāo)失效量targetfailuremeasure——危險(xiǎn)失效的平均頻率[h-1](對(duì)于高要求或連續(xù)運(yùn)行模式);注：目標(biāo)失效量的數(shù)值在GB/T20438.1—2017的表2和表3中給出。3.5.18L(i-1)FUL0FUL(i+1FULL(i-1)FUL0FUL(i+1FUL(i+1FUL(i+1)FUL(i+1)FUL(i+1)FUL(i+1)FUL(i+1)FUL(i+1)FUGB/T20438.4—2017/IEC61508-4:20103.6.1注：IEV191-05-01定義的“故障”是一種以無能力執(zhí)行要求功能為特征的狀態(tài)，不包括預(yù)防性維護(hù)或其他計(jì)劃的行動(dòng)期間的無能力或外部資源的缺少產(chǎn)生的無能力。兩種觀點(diǎn)的表示見圖4?！癊”狀態(tài)失效原因失效“實(shí)體x”a)一個(gè)功能單元的配置層級(jí)()層級(jí)()“實(shí)體X”故障故障失效b)歸納的觀點(diǎn)“實(shí)體X”c)來自GB/T20438和GB/T5271.14的觀點(diǎn)d)來自IEC60050(191)的觀點(diǎn)注1:如a)所示，可將功能單元看作一個(gè)由多層構(gòu)成的層級(jí)結(jié)構(gòu)，每一層都可依次叫做功能單元。在(i)層，“原因”可能是本層功能單元自身錯(cuò)誤(偏離正確的值或狀態(tài)),如不糾正或避免，則可能導(dǎo)致這一功能單元的失效，結(jié)果使其進(jìn)入“F”狀態(tài)，即不能執(zhí)行要求的功能(見b)。(i)層功能單元的“F”狀態(tài)可能依次表現(xiàn)為(i-1)層功能單元自身錯(cuò)誤，如不糾正或避免，則可能導(dǎo)致這一(i—1)層功能單元的失效。注2:在這個(gè)因果鏈條中，同一件事(實(shí)體X)即可被看作這一層(i)進(jìn)入“F”狀態(tài)，結(jié)果是該層功能單元的失效，也可看作是(i-1)層功能單元失效的起因。這個(gè)(實(shí)體X)綜合了GB/T20438和GB/T5271.14的“故障”的概念，這里強(qiáng)調(diào)其原因的概念，如圖c)所示，同時(shí)也是GB/T2900.13中的“故障”,這里強(qiáng)調(diào)其自身狀態(tài)的概念，如圖d)所示。“F”狀態(tài)在GB/T2900.13中被叫做故障，但在GB/T20438和GB/T5271.14中沒有定義。注3:在某些情況下，失效或錯(cuò)誤可由外部事件引起，如閃電或靜電擾動(dòng)，而不是由內(nèi)部故障引起。同樣，沒有前期失效也可能存在故障(在兩處術(shù)語中)。比如設(shè)計(jì)錯(cuò)誤就是這種故障的一個(gè)例子。3.6.23.6.3GB/T20438.4—2017/IEC61508-4:20103.6.4注1:本術(shù)語基于IEV191-04-01,增加了由于軟件或規(guī)范等的不足而導(dǎo)致的系統(tǒng)性失效。注2:圖4為GB/T20438和GB/T2900.13中故障和失效的關(guān)系。注3:應(yīng)該執(zhí)行要求的功能以排除特定的行為，以及為要避免的行為注4:失效或是隨機(jī)的(在硬件中)或是系統(tǒng)性的(在硬件或軟件中),見3.6.5和3.6.6。3.6.5注2:隨機(jī)硬件失效和系統(tǒng)性失效(見3.6.6)的主要區(qū)別是由隨機(jī)硬件失效導(dǎo)致的系統(tǒng)失效率(或其他合適的度量)3.6.6注2:通過模擬失效原因可以引出系統(tǒng)失效。注3:系統(tǒng)性失效的原因可包括以下情況中的人為錯(cuò)誤： 3.6.7a)在要求時(shí)阻止安全功能的執(zhí)行(要求模式),或?qū)е掳踩δ苁?連續(xù)模式)以致EUC進(jìn)入3.6.83.6.9其概率不能表示為引起它的獨(dú)立事件的無條件概率的簡(jiǎn)單乘積的失效。GB/T20438.4—2017/IEC61508-4:2010計(jì)算、觀測(cè)和測(cè)量到的值或條件與真值、規(guī)定的或理論上正確的值或條件的差異。[修改IEV191-05-24]數(shù)據(jù)內(nèi)容不正確的變化，但并未改變物理電路。注1:當(dāng)軟錯(cuò)誤發(fā)生并且數(shù)據(jù)被重寫，電路將恢復(fù)到初始狀態(tài)。注2:軟錯(cuò)誤可能發(fā)生在存儲(chǔ)器、數(shù)字邏輯、模擬電路中和傳輸線路上，主要發(fā)生在半導(dǎo)體存儲(chǔ)器上，包括寄存器和鎖存器。如從制造商處獲得該數(shù)據(jù)。注3:軟錯(cuò)誤是瞬時(shí)的并且不宜與軟件編程錯(cuò)誤混淆。注：無關(guān)失效不用于SFF的計(jì)算。執(zhí)行安全功能的某個(gè)組件失效但不直接影響安全功能。注1:按定義，無影響失效不影響安全功能，所以對(duì)安全功能的失效率沒有貢獻(xiàn)。注2:無影響失效不用于SFF的計(jì)算。如失效率是基于一個(gè)常數(shù)失效率，則公式簡(jiǎn)化為：SFF=(Zλs+Zλpa)/(Zλs+Zλpa+Zλpu)一個(gè)實(shí)體(單個(gè)元器件或系統(tǒng))的可靠性參數(shù)(λ(t)),即λ(t)dt表示該實(shí)體在[0,t]之間未發(fā)生失效情況下，在[t,t+dt]內(nèi)發(fā)生失效的概率。注1:數(shù)學(xué)上，λ(t)是每單位時(shí)間[t,t+dt]上失效的條件概率，其與可靠性函數(shù)(即0~t內(nèi)未發(fā)生失效的概率)密切相關(guān)，可由公式表示a反之可由可靠性函數(shù)表示。注2:失效率及其不確定度可用傳統(tǒng)的統(tǒng)計(jì)學(xué)由現(xiàn)場(chǎng)反饋數(shù)據(jù)估算，在使用壽命期間(即老化后至報(bào)廢前)一個(gè)簡(jiǎn)單項(xiàng)的失效率幾乎等于常量，λ(t)=λ。注3:在給定區(qū)間[0,T]內(nèi)λ(t)的平均值,不是失效率，因?yàn)槠骄挡荒苡糜谟?jì)算注1中的R(t),但可解釋為在這一期間失效的平均頻率(即PFH,GB/T20438.6—2017的附錄B)。注4:串聯(lián)項(xiàng)的失效率是每一個(gè)項(xiàng)失效率的和。GB/T20438.4—2017/IEC61508-4:2010會(huì)很快的收斂于一個(gè)近似值λns,λm即相當(dāng)于系統(tǒng)失效率。與注3所說的平均失效率不同，平均失效率不需3.6.17當(dāng)EUC或EUC控制系統(tǒng)發(fā)出要求時(shí)，執(zhí)行規(guī)定安全功能的E/E/PE安全相關(guān)系統(tǒng)的安全不可用性(見GB/T2900.13)。注1:[瞬時(shí)]不可用性(按照GB/T2900.13)是指一個(gè)項(xiàng)在要求的外部資源滿足的情況下，在給定的時(shí)間點(diǎn)和給定注2:[瞬時(shí)]可用性與項(xiàng)在t時(shí)刻之前經(jīng)歷的狀態(tài)(運(yùn)行或失效)無關(guān)。它僅表示項(xiàng)在要求時(shí)一定能工作，例如在低要求模式下E/E/PE安全相關(guān)系統(tǒng)的工作。注3:如果實(shí)施周期性測(cè)試，就規(guī)定安全功能而言，E/E/PE安全相關(guān)系統(tǒng)的PFD是用一種鋸齒形曲線表示，在一3.6.18E/E/PE安全相關(guān)系統(tǒng)在EUC或EUC控制系統(tǒng)發(fā)出要求時(shí)執(zhí)行規(guī)定安全功能的平均不可用性注1:在一個(gè)給定時(shí)間間隔[t?,t?]內(nèi)的平均不可用性用U[t?,t?]表示注2:兩種失效會(huì)影響PFD和PFDw:自上次檢驗(yàn)測(cè)試后發(fā)生的未檢測(cè)到的危險(xiǎn)失效和由要求(檢驗(yàn)測(cè)試和安全求的數(shù)量相關(guān)并由每次要求失效的概率表示(用γ表示)。3.6.19一個(gè)E/E/PE安全相關(guān)系統(tǒng)在一個(gè)給定的時(shí)間周期內(nèi)執(zhí)行規(guī)定安全功能時(shí)的危險(xiǎn)失效平均頻率。“危險(xiǎn)失效平均頻率[h-1]”失效率混淆(見GB/T20438.6—2017的附錄B)。注3:當(dāng)E/E/PE安全相關(guān)系統(tǒng)是最終的安全層，PFH宜根據(jù)其不可靠性F(T)=1-R(t)計(jì)算(見上面的“失效下，PFH可近似等于F(T)/T和1/MTTF,在第二種情況下為1/MTBF。注4:當(dāng)E/E/PE安全相關(guān)系統(tǒng)僅隱含有能夠被快速修復(fù)的可揭露失效時(shí)，那么收斂的失它提供了一種對(duì)PFH的估算。3.6.20從EUC或EUC控制系統(tǒng)中引發(fā)潛在危險(xiǎn)事件的失效發(fā)生，到為阻止在EUC中危險(xiǎn)事件發(fā)生而必須采取的動(dòng)作完成之間的時(shí)間間隔。3.6.21達(dá)到恢復(fù)的預(yù)期時(shí)間。——檢測(cè)失效的時(shí)間(a);和 GB/T20438.4—2017/IEC61508-4:20103.6.223.7.1安全相關(guān)系統(tǒng)實(shí)現(xiàn)過程中所必需的活動(dòng)，這些活動(dòng)從項(xiàng)目的概念階段開始，直至所有的E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施停止使用為止的時(shí)間周期。注2:本部分中使用的安全生命周期模型見GB/T20438.1—2017的圖2、圖3和圖4。3.7.2軟件生命周期softwarelifecycle從軟件開始構(gòu)思到軟件永久退役期間的活動(dòng)。3.7.3系統(tǒng)演變過程中其元件的標(biāo)識(shí)規(guī)則，用以控制這些元件的變更并保持在生命周期全過程中的連續(xù)性和可追溯性。3.7.43.7.5確定一個(gè)系統(tǒng)中的一個(gè)功能或元件的改變將對(duì)該系統(tǒng)中其他功能或元件以及其他系統(tǒng)產(chǎn)生影響的活動(dòng)。3.8.1驗(yàn)證verification通過檢查和提供客觀證據(jù)證實(shí)規(guī)定要求已經(jīng)被滿足。[修改ISO8402,定義2.7.4]GB/T20438.4—2017/IEC61508-4:2010 設(shè)計(jì)復(fù)審； 對(duì)設(shè)計(jì)的產(chǎn)品進(jìn)行測(cè)試以保證按其規(guī)范工作；——對(duì)系統(tǒng)不同部分逐步組裝并進(jìn)行集成測(cè)試，并進(jìn)行環(huán)境測(cè)試以保證所有部分按規(guī)定方式在一起工作。3.8.2[修改ISO8402,定義2.18]注1:在本部分中有3個(gè)確認(rèn)階段：——整體安全確認(rèn)(見GB/T20438.1—2017的圖2);——E/E/PE系統(tǒng)確認(rèn)(見GB/T20438.1—2017的圖3);——軟件確認(rèn)(見GB/T20438.1—2017圖4)。注2:確認(rèn)是證明所考慮的安全相關(guān)系統(tǒng)在安裝前后全面滿足該系統(tǒng)的安全要求規(guī)范的活動(dòng)，比如軟件確認(rèn)意味著用提供客觀證據(jù)和檢查的方法來證明軟件滿足軟件安全要求規(guī)范。3.8.3通過調(diào)查，依據(jù)證據(jù)來判斷一個(gè)或多個(gè)E/E/PE安全相關(guān)系統(tǒng)和/或其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功3.8.4注：功能安全審核可以作為功能安全評(píng)估的一部分。3.8.5注2:檢驗(yàn)測(cè)試的有效性取決于失效覆蓋和維修的有效性。在實(shí)踐中除了低復(fù)雜E/E/PE安全相關(guān)系統(tǒng)外，100%的隱性失效的檢測(cè)很難達(dá)到。這宜是目標(biāo)。至少，所有要執(zhí)行的安全功能，按E/E/PE安全相關(guān)系統(tǒng)安全要求規(guī)范進(jìn)行檢查。如果使用分離通道，則對(duì)每個(gè)通道分別進(jìn)行檢驗(yàn)測(cè)試。對(duì)于復(fù)雜的組件，可能需進(jìn)行分析，以證明在E/E/PE安全相關(guān)系統(tǒng)整體生命周期期間，未被檢驗(yàn)測(cè)試檢測(cè)出的隱性危險(xiǎn)失效概率可忽略不計(jì)。注3:檢驗(yàn)測(cè)試需要一定時(shí)間完成。在此時(shí)間內(nèi)E/E/PE安全相關(guān)系統(tǒng)可能被部分或全部限制。在測(cè)試過程中，僅當(dāng)EUC已停機(jī)或E/E/PE安全相關(guān)系統(tǒng)仍能保持在要求時(shí)的動(dòng)作能力，檢驗(yàn)測(cè)試持續(xù)時(shí)間可忽略不計(jì)。注4:在檢驗(yàn)測(cè)試期間，E/E/PE安全相關(guān)系統(tǒng)可能部分或全部不能響應(yīng)動(dòng)作要求。僅在維修時(shí)EUC已停機(jī)或使用其他等效的風(fēng)險(xiǎn)措施來代替時(shí)，MTTR對(duì)于SIL的計(jì)算可以忽略。3.8.6DCDC=Zλpp/ZλDotal注2:該定義僅在單個(gè)元件失效率為常數(shù)時(shí)適用。GB/T20438.4—2017/IEC61508-4:20103.8.73.8.8揭露出的revealed3.8.93.8.10注：見GB/T20438.1—2017的第8章。3.8.113.8.123.8.133.8.143.8.15用系統(tǒng)性的和受控的方式執(zhí)行軟件和/或操作硬件以證明所要求行為的存在以及非要求行為的不GB/T20438.4—2017/IEC61508-4:20103.8.16通過把測(cè)試用例應(yīng)用于軟件，模擬(達(dá)到某個(gè)可用的程度)開發(fā)中軟件或硬件運(yùn)行環(huán)境并記錄其響3.8.17符合項(xiàng)安全手冊(cè)safetymanualforcompliantitems所有信息的文檔。3.8.18經(jīng)使用證明proveninuse得每個(gè)使用該組件的安全功能達(dá)到其要求的安全完整性等級(jí)。GB/T20438.4—2017/IEC61508-4:2010[1]GB/T21109(所有部分)過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全[2]GB28526—2012機(jī)械電氣安全安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全[3]GB/T12668.502調(diào)速電氣傳動(dòng)系統(tǒng)第5-2部分：安全要求功能[4]GB/T20438.5—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等級(jí)的方法示例[5]GB/T20438.6—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB/T20438.2和GB/T20438.3的應(yīng)用指南[6]GB/T20438.7—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述[7]ISO/IEC2382-1:1993Informationtechnology—Vocabulary—Part1:Fundamentalterms[8]GB/T15969.3—2005可編程序控制器第3部分：編程語言[9]GB/T17215.911電測(cè)量設(shè)備可信性第11部分：一般概念[10]ISO8402:1994Qualitymanagementandqualityassurance—Vocabulary[11]IEC60601(allparts)Medicalelectricalequipment[12]GB/T2900.13—2008電工術(shù)語可信性與服務(wù)質(zhì)量[13]GB/T2900.56—2008電工術(shù)語控制技術(shù)[14]GB/T20438.1—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求[15]GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求[16]GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件[17]GB/T5271.14—2008信息技術(shù)詞匯第14部分[18]GB/T19000—2008質(zhì)量管理體系基礎(chǔ)和術(shù)語GB/T20438.4—2017/IEC61508-4:2010漢語拼音索引AF安全…………3.1.11風(fēng)險(xiǎn)……………3.1.6安全功能………3.5.1符合項(xiàng)安全手冊(cè)……………3.8.17安全生命周期…………………3.7.1G安全失效………3.6.8安全失效分?jǐn)?shù)………………3.6.15功能安全………3.1.12安全完整性……3.5.4功能安全評(píng)估……………安全完整性等級(jí)………………3.5.8功能安全審核…………………3.8.4安全相關(guān)軟件………………3.5.15功能單元………3.2.3安全相關(guān)系統(tǒng)…………………3.4.1共因失效……3.6.10安全狀態(tài)………3.1.13故障……………3.6.1故障避免………3.6.2B故障裕度………3.6.3必要的風(fēng)險(xiǎn)降低……………3.5.18過程安全時(shí)間………………3.6.20不明顯的………3.8.9HC合理可預(yù)見的誤用…………3.1.14殘余風(fēng)險(xiǎn)………3.1.8環(huán)境……………3.2.2JD架構(gòu)……………3.3.4低復(fù)雜E/E/PE安全相關(guān)系統(tǒng)………………3.4.3檢測(cè)到的………3.8.8電氣/電子/可編程電子……3.2.13檢驗(yàn)測(cè)試………3.8.5電氣/電子/可編程電子系統(tǒng)…3.3.2揭露出的………3.8.8動(dòng)畫…………3.8.14經(jīng)使用證明…………………3.8.18K獨(dú)立部門……3.8.12獨(dú)立人員……3.8.11可編程電子…………………3.2.12獨(dú)立組織……3.8.13可編程電子系統(tǒng)………………3.3.1EE/E/PE系統(tǒng)安全完整性要求規(guī)范…………3.5.13目標(biāo)風(fēng)險(xiǎn)……3.1.10E/E/PE系統(tǒng)安全要求規(guī)范…3.5.11目標(biāo)失效量…………………3.5.17PEUC控制系統(tǒng)…………………3.3.3GB/T20438.4—2017/IEC61508-4:2010配置基線………3.7.4配置(組態(tài))數(shù)據(jù)………………3.2.7偏差…………3.6.11評(píng)估方………3.8.10Q其他風(fēng)險(xiǎn)降低措施……………3.4.2確認(rèn)……………3.8.2R軟件……………3軟件安全完整性等級(jí)………3.5.10軟件離線支持工具…………3.2.11軟件模塊………3.3.5軟件生命周期…………………3.7.2軟件在線支持工具…………3.2.10S傷害……………3.1.1傷害事件………3.1.5失效……………3.6.4失效率………3.6.16受控設(shè)備………3.2.1數(shù)據(jù)……………3.2.9隨機(jī)硬件失效…………………3.6.5TW未檢測(cè)到的……3.8.9未揭露的………3.8.9危險(xiǎn)事件………3.1.4危險(xiǎn)失效………3.6.7危險(xiǎn)狀況………3.1.3無關(guān)失效……3.6.13無影響失效…………………3.6.14X系統(tǒng)軟件………3.2.6系統(tǒng)性能力……3.5.9系統(tǒng)性失效……3.6.6顯性的…………3.8.8Y驗(yàn)證……………3.8.1要求時(shí)危險(xiǎn)失效概率………3.6.17要求時(shí)危險(xiǎn)失效平均概率…3.6.18已有軟件………3.2.8影響分析………3.7.5應(yīng)用……………3.2.4應(yīng)用軟件………3.2.7應(yīng)用數(shù)據(jù)………3.2.7有限可變語言………………3.2.14運(yùn)行模式……3.5.16Z專用集成電路………………3.2.15子系統(tǒng)…………3.4.4組件……………3.4.5組件安全功能…………………3.5.3GB/T20438.4—2017/IEC61508-4:2010英文對(duì)應(yīng)詞索引Aanimation……………………3.8.14application……………………3.2.4applicationdata………………3.2.7applicationsoftware…………………………3.2.7applicationspecificintegratedcircuit………………………3.2.15architecture……………………3.3.4assessor………………………3.8.10averageprobabilityofdangerousfailureondemand……………………3.6.18Cchannel…………………………3.3.6commoncausefailure………………………3.6.10configurationbaseline…………………………3.7.4configurationdata……………3.2.7configurationmanagement……………………3.7.3covert…………………………3.8.9Ddangerousfailure……………3.6.7data……………………………3.2.9dependentfailure……………3.6.9detected………………………3.8.8diagnosticcoverage……………3.8.6diagnostictestinterval………………………3.8.7diversity………………………3.3.7dynamictesting………………3.8.15EE/E/PEsystemsafetyintegrityrequirementsspecification………………3.5.13E/E/PEsystemsafetyrequirementsspecification…………3.5.11electrical/electronic/programmableelectronic…………3.2.13electrical/electronic/programmableelectrelement………………………3.4.5elementsafetyfunction………………………3.5.3environment……………………3.2.2equipmentundercontrol……………………3.2.1error…………………………3.6.11EUCcontrolsystem…………………………3.3.3GB/T20438.4—2017/IEC61508-4:2010EUCrisk……………………………3.1.9Ffailure…………………3.6.4failurerate………………………3.6.16fault…………………3.6.1faultavoidance……………………3.6.2faulttolerance………………………3.6.3functionalsafety…………………3.1.12functionalsafetyassessment………………………3.8.3functionalsafetyaudit……………3.8.4functionalunit……………………3.2.3Hhardwaresafetyintegrity…………………………3.5.7harm…………………3.1.1harmfulevent………………………3.1.5hazard…………………3.1.2hazardousevent……………………3.1.4hazardoussituation…………………3.1.3Iimpactanalysis……………………3.7.5independentdepartment………………………3.8.12independentorganization………………………3.8.13independentperson………………3.8.11Llimitedvariabilitylanguage……………………3.2.14lowcomplexityE/E/PEsafety-relatedsystem…………………3.4.3Mmodeofoperation…………………3.5.16Nnecessaryriskreduction…………………………3.5.18noeffectfailure…………………3.6.14nopartfailure……………………3.6.130otherriskreductionmeasure………………………3.4.2overallsafetyfunction……………3.5.2overt…………………3.8.8GB/T20438.4—2017/IEC61508-4:2010Ppre-existingsoftware………………3.2.8probabilityofdangerousfailureondemand…………………3.6.17processsafetytime………………3.6.20programmableelectronicsystem/PEsystem……………………3.3.1programmableelectronic…………………………3.2.12prooftest……………………………3.8.5proveninuse………………………3.8.18Rrandomhardwarefailure…………………………3.6.5reasonablyforeseeablemisuse