(高清版)GB∕T 38874.2-2020 農(nóng)林拖拉機(jī)和機(jī)械 控制系統(tǒng)安全相關(guān)部件 第2部分：概念階段

ICS65.060.01;35.240.99GB/T38874.2—2020/ISO25119-2:2018農(nóng)林拖拉機(jī)和機(jī)械控制系統(tǒng)安全相關(guān)部件第2部分：概念階段Safety-relatedpartsofcontrolsystems—Part2:Conceptphase國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T38874.2—2020/ISO25119-2:2018GB/T38874《農(nóng)林拖拉機(jī)和機(jī)械控制系統(tǒng)安全相關(guān)部件》分為以下4個(gè)部分：——第1部分：設(shè)計(jì)與開發(fā)通則；——第2部分：概念階段；-—第3部分：軟硬件系列開發(fā)；本部分為GB/T38874的第2部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分使用翻譯法等同采用ISO25119-2:2018《農(nóng)林拖拉機(jī)和機(jī)械控制系統(tǒng)安全相關(guān)部件第本部分由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本部分由全國農(nóng)業(yè)機(jī)械標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC201)歸口。1GB/T38874.2—2020/ISO25119-2:2018農(nóng)林拖拉機(jī)和機(jī)械控制系統(tǒng)安全相關(guān)部件GB/T38874的本部分規(guī)定了控制系統(tǒng)安全相關(guān)部件(SRP/CS)開發(fā)的概念階段。本部分適用于機(jī))。 本部分規(guī)定了SRP/CS執(zhí)行安全相關(guān)功能所要求的特性及類別，本部分未規(guī)定用于特定場合的性能等級。注1:機(jī)械特定C類標(biāo)準(zhǔn)可為其范圍內(nèi)的機(jī)械安全相關(guān)功能指定農(nóng)業(yè)性能等級(AgPL)。否則，AgPL的規(guī)范由制本部分適用于與機(jī)電系統(tǒng)有關(guān)的電氣/電子/可編程電子系統(tǒng)(E/E/PES)的安全部件。本部分涵蓋了E/E/PES安全相關(guān)系統(tǒng)(包括這些系統(tǒng)間的交互)的故障行為可能造成的危險(xiǎn)。本部分不涉及觸安全系統(tǒng)故障引起。本部分還涵蓋了在非E/E/PES危險(xiǎn)下E/E/PES安全相關(guān)系統(tǒng)的故障行為，涉及本部分包含以下范圍內(nèi)的示例：——SRP/CS的電磁干擾；——SRP/CS的防火設(shè)計(jì)。——摩擦導(dǎo)致電擊危險(xiǎn)產(chǎn)生的絕緣失效；——腐蝕導(dǎo)致的電纜過熱。注2:參見ISO12100中機(jī)械安全的設(shè)計(jì)通則。本部分不適用于實(shí)施日期之前制造的控制系統(tǒng)安全相關(guān)部件。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T38874.1—2020農(nóng)林拖拉機(jī)和機(jī)械控制系統(tǒng)安全相關(guān)部件第1部分：設(shè)計(jì)與開發(fā)通則(ISO25119-1:2018,IDT)GB/T38874.3—2020農(nóng)林拖拉機(jī)和機(jī)械控制系統(tǒng)安全相關(guān)部件第3部分：軟硬件系列開發(fā)2GB/T38874.2—2020/ISO25119-2:2018(ISO25119-3:2018,IDT)與支持規(guī)程(ISO25119-4:2018,IDT)ADC:模數(shù)轉(zhuǎn)換器(analoguetodigitalconverter)AgPL:農(nóng)業(yè)性能等級(agriculturalperformancelevel)AgPL:農(nóng)業(yè)性能等級要求(requiredagriculturalperformancelevel)Cat:硬件類別(hardwarecategory)CCF:共因失效(common-causefailure)CRC:循環(huán)冗余校驗(yàn)(cyclicredundancycheck)DC:診斷覆蓋率(diagnosticcoverage)ECU:電子控制單元(electroniccontrolunit)ETA:事件樹分析(eventtreeanalysis)E/E/PES:電氣/電子/可編程電子系統(tǒng)(electrical/electronic/programmableelectronicsystems)EMC:電磁兼容(electromagneticcompatibility)FMEA:失效模式及影響分析(failuremodeandeffectsanalysis)EPROM:可擦除可編程只讀存儲器(erasableprogrammableread-onlymemory)FTA:故障樹分析(faulttreeanalysis)HARA:危險(xiǎn)分析及風(fēng)險(xiǎn)評估(hazardanalysisandriskassessment)HIL:硬件在環(huán)(hardwareintheloop)MTTF:平均失效前時(shí)間(meantimetofailure)MTTFp:平均危險(xiǎn)失效前時(shí)間(meantimetodangerousfailure)MTTFpc:單通道平均危險(xiǎn)失效前時(shí)間(meantimetodangerousfailureforeachchannel)PES:可編程電子系統(tǒng)(programmableelectronicsystem)QM:質(zhì)量度量(qualitymeasures)RAM:隨機(jī)存取存儲器(random-accessmemory)SOP:開始生產(chǎn)(startofproduction)SRL:軟件需求等級(softwarerequirementlevel)SRP/CS:控制系統(tǒng)安全相關(guān)部件(safety-relatedpartsofcontrolsystems)UoO:觀察單元(unitofobservation)3GB/T38874.2—2020/ISO25119-2:20185概念——UoO本階段的目的是充分了解UoO以圓滿完成安全壽命周期中定義的任務(wù)(見GB/T38874.1—2020律法規(guī)要求和試驗(yàn)機(jī)構(gòu)專業(yè)知識或組合方法。UoO的安全相關(guān)功能應(yīng)包括以下內(nèi)容：b)功能需求；c)其他要求和環(huán)境條件：d)同類或相關(guān)UoO的歷史安全性和可靠性要求、安全性和可靠性等級。5.3.2UoO的限制及與其他UoO的接口--—與其他UoO和組件的接口以及交互；——與其他UoO相關(guān)的安全相關(guān)功能需求。5.3.3相關(guān)功能映射并配置到涉及的UoO和應(yīng)力源——不同UoO間的交互；——合理可預(yù)見的人為誤操作；——來自UoO的應(yīng)力和觸發(fā)失效的事件(例如：組裝或維護(hù)期間)。——確認(rèn)UoO是新開發(fā)還是修改的，適應(yīng)性修改或繼承已有的UoO。如果是修改的，則通過影響分析調(diào)整相應(yīng)的安全壽命周期；——制定計(jì)劃和規(guī)范，以驗(yàn)證和確認(rèn)在5.3.1定義的UoO的要求；——定義壽命周期中相應(yīng)階段的項(xiàng)目管理；4GB/T38874.2—2020/ISO25119-2:2018——提供可靠性評估所需的充分輸入數(shù)據(jù)； ——使用有資質(zhì)的工作人員。UoO的工作產(chǎn)品(如適用)為：a)UoO包含的元素；b)基本需求規(guī)格說明和環(huán)境條件；c)UoO的限制及與其他UoO的接口；e)其他確認(rèn)事項(xiàng)。6HARA——AgPL,的確定HARA的主要目的是對出現(xiàn)故障的UoO(不能執(zhí)行預(yù)期安全相關(guān)功能。例如：不能正常停車、空擋前進(jìn)、轉(zhuǎn)向錯(cuò)誤)進(jìn)行風(fēng)險(xiǎn)分析，然后分配適當(dāng)?shù)腁gPL(見GB/T38874.1—2020的3.39)。傷害發(fā)生率通常考慮UoO出現(xiàn)故障時(shí)人員暴露于危險(xiǎn)狀況的概率。在6.2～6.4中給出了基于HARA確定AgPL,的方法。6.2前提條件與每個(gè)安全功能相關(guān)的UoO定義。6.3要求6.3.1HARA的準(zhǔn)備規(guī)程HARA應(yīng)考慮全部安全相關(guān)功能，以便提供適當(dāng)?shù)腟RP/CS規(guī)范。如果在安全壽命周期后期決定當(dāng)正確使用UoO和以合理可預(yù)見方式誤操作UoO時(shí)，應(yīng)考慮UoO故障行為導(dǎo)致危險(xiǎn)狀況的工作條件。6.3.3HARA的參與者HARA應(yīng)有足夠的技術(shù)人員，能提供相關(guān)專業(yè)知識。注：來自不同學(xué)科的參與者通常為HARA提供有價(jià)值的信息。應(yīng)確定并記錄潛在傷害的嚴(yán)重度。根據(jù)在相關(guān)工作條件、模式、情景下的安全相關(guān)功能故障導(dǎo)致的危險(xiǎn)狀況，應(yīng)推斷出潛在傷害的5GB/T38874.2—2020/ISO25119-2:2018記錄暴露于危險(xiǎn)的傷害。潛在傷害的評估和分類應(yīng)集中并限于對人員的傷害。如果安全相關(guān)功能故障分析僅涉及財(cái)產(chǎn)而無傷害等級為S0的功能不需要進(jìn)一步的風(fēng)險(xiǎn)評估。無受傷，僅有財(cái)產(chǎn)損失輕中度傷害，需要治療，可完全康復(fù)重度致命傷害(可幸存),永久喪失部分工作能力致命傷害(可導(dǎo)致死亡),重度傷殘HARA應(yīng)考慮在所有特定區(qū)域工作條件和操作條件下安全相關(guān)功能故障造成的暴露影響。這涵蓋從日?；顒?dòng)范圍到極端罕見的情況。變量“E”用來對暴露的不同頻率或持續(xù)時(shí)間進(jìn)行分類。暴露分為5類：E0、E1、E2、E3和E4(見表2),其中“E”用于對操作者或旁觀者暴露于危險(xiǎn)的頻率及持續(xù)時(shí)間的方法確定AgPL,值。當(dāng)一種特定危險(xiǎn)狀況適合多個(gè)類別時(shí)，應(yīng)采用最高類別。描述E0ElE2E3E4頻率不可能(理論上可能，整個(gè)壽命周期內(nèi)僅發(fā)生1次)極少(每年少于1次)有時(shí)(每年超過1次)經(jīng)常(每月超過1次)頻繁(幾乎每次操作)持續(xù)時(shí)間texp/tavop0.01%0.01%～0.1%0.1%～1%texp——暴露時(shí)間；tawp--—平均工作時(shí)間。傷害可控性的評估需要評價(jià)經(jīng)培訓(xùn)的機(jī)械操作者是否能夠控制并避免可能產(chǎn)生的傷害，或者情況完全無法控制。同樣，未經(jīng)培訓(xùn)的旁觀者在一定程度上也可避免傷害。變量C用于對傷害可控性進(jìn)行分類。傷害可控性C值應(yīng)僅考慮安全功能故障時(shí)人員對傷害的控制能力，而不考慮SRP/CS的可靠性或SRP/CS提供的降低風(fēng)險(xiǎn)的措施。類別CO、C1、C2和C36GB/T38874.2—2020/ISO25119-2:2018易控操作者或旁觀者可控制局勢，并避免傷害簡單可控超過99%的操作者或旁觀者可控制局勢。99%以上的事故不會(huì)造成傷害多數(shù)可控超過90%的操作者或旁觀者可控制局勢。超過90%事故不會(huì)造成傷害不可控普通操作者或旁觀者通常不可避免傷害6.3.7AgPL,的選擇根據(jù)標(biāo)識的危險(xiǎn)狀況，可結(jié)合嚴(yán)重度(S)、暴露(E)和傷害可控制性(C)值確定AgPL,的方法，見圖1。AgPL,等級范圍從AgPL,=a到AgPL=e。AgPL=a為系統(tǒng)最低要求和AgPL,=e為系統(tǒng)最高QM僅適用于低風(fēng)險(xiǎn)功能。在GB/T38874中，將此類功能歸類為非安全相關(guān)功能。在HARA報(bào)告中，應(yīng)描述并記錄已標(biāo)識的危險(xiǎn)以及其AgPL,與UoO(見7.3.2)安全相關(guān)功能相關(guān)的AgPL,由已標(biāo)識的危險(xiǎn)定義。附錄G給出了HARA和得到的AgPL,示例。7GB/T38874.2—2020/ISO25119-2:2018C0C2C3QMQMQMQME0QMQMQMQME1QMQMQMQME2QMQMQMaE3QMQMabE4QMabCE0QMQMQMQME1QMQMQMaE2QMQMabE3QMabcE4QMbcdE0QMQMQMaE1QMQMabE2QMabcE3QMbcdE4QMcdeE-—暴露于危險(xiǎn)狀態(tài)；C——可控性；QM——質(zhì)量度量；a,b,c,d,e——農(nóng)業(yè)性能等級要求(AgPL?)。圖1AgPL,的確定注：根據(jù)GB/T38874.4保留文檔。8GB/T38874.2—2020/ISO25119-2:2018——HARA的結(jié)果；——安全相關(guān)功能的AgPL。AgPL,大于QM的每種危險(xiǎn)狀況都應(yīng)與安全目標(biāo)相關(guān)聯(lián)。安全目標(biāo)可涉及多種危險(xiǎn)狀況。如果功能安全需求以更具體方式實(shí)現(xiàn)安全目標(biāo)，確保UoO的功能安全。應(yīng)從安全目標(biāo)中導(dǎo)出足夠的功能安全需求。功能安全需求繼承了危險(xiǎn)狀況的AgPL,及其相關(guān)安全目標(biāo)。如果功能安全需求涉及類似的危險(xiǎn)狀況具有不同的AgPL,,則應(yīng)實(shí)現(xiàn)最高的AgPL?！到y(tǒng)性失效(參見附錄E);——在預(yù)定環(huán)境條件(例如：參照ISO——其他典型功能(參見附錄F)。 ——應(yīng)考慮SRP/CS的每個(gè)通道(MTTFpc)?？筛鶕?jù)表4直接計(jì)算MTTFp,或參見附錄B中的方法確定MTTFp。指標(biāo)要求的MTTFp低3年≤MTTFp<10年中10年≤MTTFp<30年高≥30年7.3.4DC值在GB/T38874中，DC分為低、中、高3個(gè)等級?？筛鶕?jù)表5直接計(jì)算DC或參見附錄C中的方法9GB/T38874.2—2020/ISO25119-2:2018計(jì)算DC。注2:對包含多個(gè)部件的SRP/CS,使用平均值DC(參見附錄C)。表5診斷覆蓋率(DC)DC低0≤DC<60%中60%≤DC<90%高90%≤DCAgPL與以下4個(gè)因素有關(guān)：——MTTFpc(參見附錄B);——DC(參見附錄C);—-—SRL(見GB/T38874.3—2020的第7章)。—-—第3類和第4類架構(gòu)的CCF(參見附錄D);——僅允許由系統(tǒng)制造商授權(quán)的負(fù)責(zé)人(或服務(wù)商)對AgPL大于或等于“a”的SRP/CS進(jìn)行修改。根據(jù)GB/T38874.4—2020的第11章，應(yīng)禁止未經(jīng)授權(quán)的修改。如圖2,可采用可靠性指標(biāo)(DC、SRL)和架構(gòu)類別(Cat)的多種組合實(shí)現(xiàn)AgPL,。例如：高可靠的單通道體系結(jié)構(gòu)與低可靠的雙通道體系結(jié)構(gòu)具有相同的AgPL(見圖2)。AgPLaBBBBb21BBBc2111d222e3圖2中縱軸為AgPL值，橫軸為硬件類別。對于給定的AgPL,每個(gè)類別都有關(guān)聯(lián)的診斷覆蓋率(DC)、單通道平均危險(xiǎn)失效前時(shí)間(MTTFpc)和軟件需求等級(SRL)。GB/T38874.2—2020/ISO25119-2:2018設(shè)計(jì)者應(yīng)為AgPL,選擇一個(gè)硬件類別。7.3.6AgPL,的實(shí)現(xiàn)安全功能可由一個(gè)或多個(gè)SRP/CS實(shí)現(xiàn)。設(shè)計(jì)者可使用一種技術(shù)或多種技術(shù)組合。每個(gè)元素可包含基于E/E/PES的不同技術(shù)。SRP/CS可與其他技術(shù)的安全措施相結(jié)合。例如：機(jī)械安全功能(例功能安全概念的開發(fā)應(yīng)指定符合功能安全需求的單個(gè)或組合SRP/CS的特性。選擇硬件類別、MTTFpc、DC和SRL時(shí)，應(yīng)使單個(gè)或組合SRP/CS的最終AgPL等于或超過所分配的功能安全需求的圖3為執(zhí)行安全相關(guān)功能任務(wù)的典型控制通道及其相關(guān)元件，包括輸入(I)、E/E/PES(L)、輸出/LLI——輸入裝置(例如：傳感器);圖3安全相關(guān)部件組合框圖符合其他功能安全標(biāo)準(zhǔn)的SRP/CS的使用，見附錄H。7.3.8E/E/PES的結(jié)合關(guān)于E/E/PES組合(例如：拖拉機(jī)和機(jī)具),參見附錄I。當(dāng)具有各自獨(dú)立AgPL的多個(gè)SRP/CS相結(jié)合時(shí)，可采用附錄J中的方法確定總體AgPL。7.4工作產(chǎn)品a)安全目標(biāo)；b)功能安全需求和相關(guān)的AgPL?;d)CCF(如適用)。GB/T38874.2—2020/ISO25119-2:2018(規(guī)范性附錄)指定的SRP/CS架構(gòu)A.1概述圖3和圖A.1～圖A.3定義了各種硬件類別的架構(gòu)。所有架構(gòu)應(yīng)使用經(jīng)驗(yàn)證的安全準(zhǔn)則，包括：——(可行時(shí))危險(xiǎn)出現(xiàn)之前檢測故障。對于B類硬件，建議使用經(jīng)驗(yàn)證的組件，第1類～第4類硬件也應(yīng)使用這些組件。在安全相關(guān)應(yīng)用b)在安全相關(guān)應(yīng)用中組件制造與驗(yàn)證采用的準(zhǔn)則，經(jīng)驗(yàn)證具有適用性和可靠性。圖A.1～圖A.3給出了通用架構(gòu)，而不是示例。通?？赡艽嬖谂c這些架構(gòu)的差異。但借助適當(dāng)?shù)腁.2B類硬件(基本類別)A.2.1概述指定的B類硬件架構(gòu)見圖3。A.2.2屬性——DC=低；-—單一故障可導(dǎo)致安全功能的喪失；A.3第1類硬件A.3.1概述指定架構(gòu)見圖3?！?-—DC=中等；GB/T38874.2—2020/ISO25119-2:2018——不考慮共因失效；——不適合單點(diǎn)失效的操作系統(tǒng)；——使用經(jīng)驗(yàn)證的組件?？勺詣?dòng)或手動(dòng)啟動(dòng)安全相關(guān)功能的檢查。檢查本身不導(dǎo)致危險(xiǎn)狀況?！踩珷顟B(tài)；——禁止功能啟動(dòng)。注2:提供操作者警告的組件不涉及SRL、MTTFo和DC。A.4第2類硬件A.4.1概述指定的架構(gòu)見圖A.1。mTE?I-—輸人裝置(例如：傳感器);TE——測試設(shè)備(附加到邏輯模塊上):OTE———測試設(shè)備的輸出；So——互連信號輸出；圖A.1第2類硬件的指定架構(gòu)GB/T38874.2—2020/ISO25119-2:2018——由測試設(shè)備檢測輸入傳感器和輸出執(zhí)行器的故障；——不考慮共因失效；——不適合單點(diǎn)失效的操作系統(tǒng)；在下次請求安全功能時(shí)或請求之前通過開啟安全功能對單一故障進(jìn)行檢測，和/或定期測試(如必要)。(可行時(shí))應(yīng)自動(dòng)啟動(dòng)檢查。否則，應(yīng)手動(dòng)啟動(dòng)。檢查本身不應(yīng)導(dǎo)致危險(xiǎn)狀況。檢測設(shè)備可與提供b)如果檢測到故障，產(chǎn)生的輸出信號啟動(dòng)在考慮MTTFp和DC的情況下(如果可能),輸出應(yīng)啟動(dòng)安全狀態(tài)。當(dāng)安全狀態(tài)不能啟動(dòng)時(shí)(例如：末端開關(guān)裝置的觸點(diǎn)粘結(jié)),輸出應(yīng)向操作者發(fā)出危險(xiǎn)警告信號。檢測到故障后，如果SRP/CS啟注1:在某些情況下，第2類不適用。因?yàn)榘踩δ軝z查并不適合所有組件，不可實(shí)現(xiàn)DC,如壓力開關(guān)或溫度傳注2:通常第2類可用電子技術(shù)來實(shí)現(xiàn)(例如：保護(hù)裝置和特定的控制系統(tǒng))。注3:某些高可靠性組件僅需定期檢查。僅可在運(yùn)行時(shí)(傳感器正在計(jì)數(shù))檢測速度傳感器。但功能和線路故障可在啟動(dòng)時(shí)進(jìn)行檢測。通常機(jī)器每日多次啟動(dòng)，每天允許多次檢查。注5:操作者警告組件未分配SRL、MTTFp和DC。A.5第3類硬件A.5.1概述第3類的指定架構(gòu)見圖A.2。GB/T38874.2—2020/ISO25119-2:2018mmmLIL2S01I1、I2——輸入裝置(例如：傳感器);S——互連信號輸人；S?——互連信號輸出；m——監(jiān)控；圖A.2第3類硬件的指定架構(gòu)-—考慮共因失效(參見附錄D); ——安全狀態(tài)要求附加的冗余輸出；——根據(jù)安全狀態(tài)以串聯(lián)或并聯(lián)方式來安排輸出1和2;——適合有備用電源的單點(diǎn)失效操作系統(tǒng)；——需要操作者警告；——使用經(jīng)驗(yàn)證的組件；-—當(dāng)檢測的單一故障發(fā)生時(shí)，始終執(zhí)行安全功能或系統(tǒng)轉(zhuǎn)移到安全狀態(tài)。但未檢測到的故障累積可導(dǎo)致安全相關(guān)功能的喪失。在下次請求安全功能時(shí)或請求之前，通過開啟安全功能對單一故障進(jìn)行檢查，或定期測試(如必要)。安全功能的檢測措施為：在考慮MTTFp、DC和CCF的情況下(如果可能),輸出應(yīng)啟動(dòng)安全狀態(tài)。當(dāng)檢測到失效條件時(shí)，系統(tǒng)應(yīng)向操作者發(fā)出危險(xiǎn)警告。檢測到故障后，如果SRP/CS啟動(dòng)安全狀態(tài)，則應(yīng)在故障清除前一直GB/T38874.2—2020/ISO25119-2:2018注1:某些高可靠組件僅需定期檢查。僅可在運(yùn)行過程中(傳感器正在計(jì)數(shù))檢測速度傳感器。但功能和線路故障可在啟動(dòng)過程中進(jìn)行檢測。通常機(jī)器每日多次啟動(dòng)，每天允許多次檢查。注3:要求檢測單一故障并不意味可檢測到所有故障。因此，未檢測到的故障累積可導(dǎo)致意外輸出及機(jī)器的危險(xiǎn)狀注5:操作者警告組件未分配SRL、MTTFp和DC。A.6第4類硬件A.6.1概述指定的第4類硬件架構(gòu)見圖A.3。mmSCmSS?——互連信號輸出；c-—交叉監(jiān)控。圖A.3第4類硬件的指定架構(gòu)——診斷覆蓋率要求有冗余輸入；——安全狀態(tài)要求有附加的冗余輸出；——適合具有冗余電源的單點(diǎn)失效的操作系統(tǒng)；——需要操作者警告；GB/T38874.2—2020/ISO25119-2:2018——使用經(jīng)驗(yàn)證的組件；-—單一故障發(fā)生時(shí)，始終執(zhí)行安全功能或系統(tǒng)轉(zhuǎn)到安全狀態(tài)，但未檢測故障的累積可導(dǎo)致喪失安全相關(guān)功能。盡管如此，此類故障發(fā)生的概率低于第3類。在下次要求安全功能時(shí)或之前，通過開啟安全功能的測試對單一故障進(jìn)行檢查，或定期測試(如必與提供的安全功能的安全相關(guān)部件相集成，或是單獨(dú)的檢測設(shè)備。安全功能的檢測應(yīng)采取以下其中一在考慮MTTFp、DC和CCF的情況下(如果可能),輸出應(yīng)啟動(dòng)安全狀態(tài)。當(dāng)安全狀態(tài)不能啟動(dòng)時(shí)(例如：末端開關(guān)裝置的觸點(diǎn)粘結(jié)),輸出應(yīng)向操作者發(fā)出危險(xiǎn)警告。檢測到故障后，如果SRP/CS啟動(dòng)注1:某些高可靠性組件僅需定期檢查。僅可在運(yùn)行時(shí)(傳感器正在計(jì)數(shù))檢查速度傳感器。但功能和線路故障可注4:宜將錯(cuò)誤狀況保存以備評估。GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)B.1概述本附錄給出了計(jì)算通道MTTFpc的方法。對于雙通道架構(gòu)(第3類硬件和第4類硬件),給出了對稱通道MTTFpc的計(jì)算公式。當(dāng)訪問組件的失效率數(shù)據(jù)庫時(shí)，這些計(jì)算使用的是仿真模型。而不考慮設(shè)計(jì)、軟件和制造問題。當(dāng)分析某些組件失效原因時(shí)，可排除某些故障。在這種情況下，應(yīng)提供相應(yīng)的支持分析或數(shù)據(jù)(例B.2組件MTTFp值下列標(biāo)準(zhǔn)/數(shù)據(jù)庫及其他文獻(xiàn)，提供單個(gè)組件的MTTF值：——MIL-HDBK-217F?];——SN29500[10];——RDF200011];——IEC/TR62380[12];——FIDESGuide2004[13]?？捎密浖ぞ咴L問數(shù)據(jù)庫。當(dāng)檢索數(shù)據(jù)時(shí)，設(shè)計(jì)者應(yīng)指定工作周期和組件的應(yīng)力等級(熱、電等)。連接器、接觸器、熔斷器等組件通常按照周期數(shù)(B?op)進(jìn)行評級，在指定工作周期時(shí)應(yīng)特別注意。導(dǎo)線不包括在內(nèi)。但是，如果E/E/PES的設(shè)計(jì)者擁有所用組件的可靠具體數(shù)據(jù)，強(qiáng)烈建議使用這些數(shù)據(jù)，而不采用上面的參考值。當(dāng)MTTF轉(zhuǎn)換成MTTFp時(shí)，推薦使用以下其中一種方法：-—通過故障樹或等效的危險(xiǎn)分析方法評估每個(gè)組件的失效模式，以確定危險(xiǎn)失效的實(shí)際百分比。——假設(shè)所有失效的50%是危險(xiǎn)失效。在E/E/PES系統(tǒng)中，危險(xiǎn)狀況產(chǎn)生之前可糾正的失效可忽略。在控制器存儲器中，糾錯(cuò)碼(ECC)在錯(cuò)誤造成傷害前可對錯(cuò)誤進(jìn)行糾正。強(qiáng)烈建議操作時(shí)監(jiān)控ECC,并在控制器存儲器啟動(dòng)階段對糾錯(cuò)機(jī)制進(jìn)行測試。MTTFp=MTTF/危險(xiǎn)失效的百分比(見表B.1)。系統(tǒng)中這些組件的使用不得超出制造商規(guī)定的限制范圍。另外，可使用以下其中一種或多種方法來確定MTTF:a)在預(yù)定環(huán)境和操作條件下驗(yàn)證；c)分析。測試時(shí)，電子組件應(yīng)放置在預(yù)定環(huán)境和操作條件下，并驗(yàn)證是否達(dá)到要求。GB/T38874.2—2020/ISO25119-2:2018B.2.2由經(jīng)驗(yàn)證的組件確定組件的MTTFp值在以下方法中，已有硬件可利用經(jīng)驗(yàn)證的數(shù)據(jù)來確定信道或系統(tǒng)的MTTFp。使用受控過程的數(shù)據(jù)(例如：事故報(bào)告和分析)計(jì)算歷史MTTFp值，步驟為：a)確定具有統(tǒng)計(jì)意義的總體樣本：1)確定總體樣本使用的總時(shí)間(T);2)確定總體樣本中危險(xiǎn)失效總數(shù)(r)。b)MTTFp的置信度公式為：2)X2(a,2r+2)=卡方分布；i)X2表示卡方分布；ii)(α,2r+2)為卡方分布的參數(shù)；iii)α=1一置信度。3)置信度應(yīng)大于或等于70%。c)當(dāng)預(yù)定環(huán)境應(yīng)力發(fā)生變化時(shí)，應(yīng)使用影響分析來調(diào)整歷史數(shù)據(jù)?？赏ㄟ^加速模型完成。例如：Arrhenius模型或逆冪率定律。B.2.3根據(jù)B?計(jì)算組件的MTTFp對于機(jī)電組件(例如：繼電器、接觸器、開關(guān)等),很難計(jì)算平均危險(xiǎn)失效前時(shí)間(MTTFp)。組件制造商通常僅給出10%的組件達(dá)到失效(B??)或危險(xiǎn)失效(Bop)時(shí)的平均周期數(shù)。以下為根據(jù)組件制造商提供的B??計(jì)算組件MTTFp的方法。如果制造商不提供B?op,通常假定50%的失效是危險(xiǎn)失效，將B??轉(zhuǎn)化到B?op:B?op=2B?根據(jù)式(B.1),MTTFp近似為：為計(jì)算操作數(shù)no,對組件應(yīng)用需作一些假設(shè)，見式(B.2):式中：dop——平均工作時(shí)間，單位為天每年(d/年);hop——平均工作時(shí)間，單位為小時(shí)每天(h/d);…………(B.1)…………(B.2)tocle——組件的兩個(gè)連續(xù)周期的起始時(shí)刻(例如：閥門開關(guān))之間的平均間隔，單位為秒(s)。B.3部件計(jì)數(shù)法N個(gè)組件MTTFpc的通用計(jì)算式為(B.3):式中：MTTFp 整個(gè)通道的MTTFp;MTTFp;——通道中每個(gè)組件的MTTFp?！?B.3)GB/T38874.2—2020/ISO25119-2:2018應(yīng)注意式中僅包含安全相關(guān)功能所需的組件。式(B.3)不適合復(fù)雜電子組件或并行通道中的組件。關(guān)于估計(jì)MTTF?的進(jìn)一步內(nèi)容，參見IEC61508-6:2010的附錄B、IEC62061或使用自動(dòng)計(jì)算工具。表B.1給出了計(jì)算MTTFoc值的示例。表B.1電路板MTTFpc值的計(jì)算示例元件號元件(來自數(shù)據(jù)庫)年危險(xiǎn)失效%年1/年元件數(shù)合計(jì)1低功率雙極性晶體管22碳膜電阻53標(biāo)準(zhǔn)無源電容44繼電器(來自元件制造商數(shù)據(jù))45接觸器1MTTFc=1/∑(1/MTTFo)單位：年本示例中，電路板的MTTFc為115.6年。B.4雙通道架構(gòu)的對稱MTTFpc的計(jì)算用式(B.4)計(jì)算雙通道系統(tǒng)的對稱MTTFpc(第3類硬件和第4類硬件)。式中，MTTFpc?和MTTFx?為兩個(gè)不同冗余通道的值。式(B.4)不適合復(fù)雜度更高的系統(tǒng)。估計(jì)MTTFo的進(jìn)一步內(nèi)容，參見IEC61508-6:2010的附錄B、GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)診斷覆蓋率(DC)的確定診斷覆蓋率DC可通過表C.1～表C.8來估算，或用表5中的公式計(jì)算。冗余架構(gòu)中每個(gè)通道均應(yīng)滿足AgPL,所要求的DC。需重點(diǎn)考慮關(guān)鍵安全功能的每個(gè)組件。C.2診斷覆蓋率(DC)的估計(jì)表C.1～表C.7說明如何達(dá)到所要求的DC。無微控制器的通道使用表C.1估計(jì)DC。含微控制器的通道使用表C.2估計(jì)DC。在任何情況下，應(yīng)檢查故障檢測機(jī)制的有效性。允許使用其他方法(例如：其他標(biāo)準(zhǔn)),但應(yīng)詳細(xì)記錄。每個(gè)SRP/CS僅需使用一種方法，通道DC的估計(jì)結(jié)果取決于表C.1～表C.7所選方法中的最低DC(見C.3中示例)。表C.1電氣子系統(tǒng)(無微控制器)技術(shù)/措施推薦的最大診斷覆蓋率示例在線監(jiān)控的失效檢測中轉(zhuǎn)向信號指示燈繼電器觸點(diǎn)的監(jiān)控中機(jī)械前輪驅(qū)動(dòng)(MFWD)指示燈比較器中充電系統(tǒng)指示燈正極控制開關(guān)高機(jī)械互鎖開關(guān)表C.2電子子系統(tǒng)(含微控制器)技術(shù)/措施推薦的最大診斷覆蓋率示例在線監(jiān)控的失效檢測(模擬或數(shù)字信號)中監(jiān)測反饋信號(范圍內(nèi))多數(shù)表決器高冗余信號比較冗余硬件測試中(定期測試)高(持續(xù)測試)啟動(dòng)時(shí)測試(中)看門狗(高)動(dòng)態(tài)原則中測試激勵(lì)(見第2類硬件)用于監(jiān)控的冗余器件高冗余微控制器GB/T38874.2—2020/ISO25119-2:2018表C.3處理單元技術(shù)/措施推薦的最大診斷覆蓋率示例比較器高比較冗余處理器輸出和/或比較同步確定性中間數(shù)據(jù)(見第2類硬件、第3類硬件和第4類硬軟件自檢：數(shù)量有限模式(單通高漫步位法軟件自檢(單通道)低內(nèi)部看門狗硬件支持的軟件自檢(單通道)中外部看門狗表C.4固態(tài)內(nèi)存技術(shù)/措施推薦的最大診斷覆蓋率示例保存多位冗余的字符中部分字節(jié)冗余修改的校驗(yàn)和低存儲塊校驗(yàn)和單字符(8位)信號中存儲塊CRC(8位)雙字符(16位)信號高存儲塊CRC(16位)塊復(fù)制高鏡像存儲器用附加校驗(yàn)位的漢明碼進(jìn)行RAM監(jiān)控(SECDED)高ECC包含在FLASH控制器中。請參閱控制器的安全手冊。根據(jù)漢明距離的不同，DC可以更高。強(qiáng)烈推薦使用此機(jī)制監(jiān)控糾錯(cuò)表C.5可變內(nèi)存范圍技術(shù)/措施推薦的最大診斷覆蓋率示例軟件自檢(單通道)中內(nèi)部看門狗RAM測試(啟動(dòng)時(shí)或周期性)中棋盤算法、march算法、walk-path算法、校驗(yàn)位用附加校驗(yàn)位的漢明碼進(jìn)行RAM監(jiān)控(SECDED)高ECC包含在RAM控制器中。請參閱控制器的安全手冊。根據(jù)漢明距離的不同，DC可以更高。強(qiáng)烈推薦采用此糾錯(cuò)監(jiān)控機(jī)制雙RAM高硬件或軟件進(jìn)行比較和讀/寫測試冗余通道高見第2、3、4類硬件22GB/T38874.2—2020/ISO25119-2:2018表C.6I/0單元和接口(外部通信)技術(shù)/措施推薦的最大診斷覆蓋率示例采用在線監(jiān)控方式進(jìn)行失效檢測(模擬或數(shù)字輸入、模擬或數(shù)字輸出)中監(jiān)測反饋信號(范圍內(nèi))比較器高比較冗余處理器輸出和/或比較同步確定性的中間數(shù)據(jù)(見第2、3和4類硬件)消息保護(hù)中中低高a)對選定的信號數(shù)據(jù)字節(jié)求校驗(yàn)和b)消息枚舉(遞增計(jì)數(shù)器)c)發(fā)送頻率驗(yàn)證a)～c)的組合參考傳感器高通過測量指定信號檢查ADC和/或ECU多數(shù)表決器高比較冗余信號信號線與電源線隔離高多數(shù)據(jù)線的空間隔離高提高抗干擾能力高屏蔽線和/或雙絞線表C.7電源(適用于有微控制器與無微控制器的系統(tǒng))技術(shù)/措施推薦的最大診斷覆蓋率示例過壓保護(hù)低發(fā)電機(jī)甩負(fù)荷保護(hù)電源控制高電壓監(jiān)控，需要時(shí)(達(dá)到運(yùn)行極限)切換到備用電源掉電控制中監(jiān)測鑰匙開關(guān)(點(diǎn)火開關(guān))電壓并關(guān)閉ECU,數(shù)據(jù)保存到存儲器。電池掉電時(shí)關(guān)閉系統(tǒng)表C.8程序順序監(jiān)控程序順序技術(shù)/措施推薦的最大診斷覆蓋率描述具有獨(dú)立時(shí)基、無時(shí)間窗口的看門狗低具有獨(dú)立時(shí)基的外部定時(shí)元素(例如：看門狗定時(shí)器)被定期觸發(fā)，監(jiān)控計(jì)算機(jī)的行為和程序順序的合理性。將觸發(fā)點(diǎn)放入程序中正確位置?？撮T狗不以固定周期觸發(fā)，但指定最大間隔具有獨(dú)立時(shí)基與時(shí)間窗口的看門狗中具有獨(dú)立時(shí)基的外部定時(shí)元素(例如：看門狗定時(shí)器)被定期觸發(fā)，監(jiān)控計(jì)算機(jī)的行為和程序順序的合理性。將觸發(fā)點(diǎn)放入程序中的正確位置?？撮T狗定時(shí)器給出了時(shí)間上下限。如果程序順序運(yùn)行時(shí)間超出或小于預(yù)期，則采取補(bǔ)救措施GB/T38874.2—2020/ISO25119-2:2018程序順序技術(shù)/措施推薦的最大診斷覆蓋率描述程序順序的邏輯監(jiān)控中使用軟件(計(jì)數(shù)程序、關(guān)鍵程序)或外部監(jiān)控設(shè)備監(jiān)控各程序部分的正確順序。檢查點(diǎn)放入程序的正確位置在線檢查的臨時(shí)監(jiān)控中啟動(dòng)時(shí)才能檢查的臨時(shí)監(jiān)控，并且僅在監(jiān)視部件正常工作時(shí)才啟動(dòng)。例如：啟動(dòng)時(shí)加熱電阻器，才能檢查熱傳感器程序順序的臨時(shí)監(jiān)控和邏輯監(jiān)控相結(jié)合高僅在程序部分的順序正確執(zhí)行時(shí)，監(jiān)視程序順序的時(shí)間元素才可被重觸發(fā)(例如；看門狗定時(shí)器)C.3通道DC的估計(jì)表C.9提供了估計(jì)通道DC的示例。在此示例中，該通道的DC值為低。表C.9DC的估計(jì)描述DC方法參考表輸入/輸出(全部)高用于監(jiān)控的冗余器件表C.2處理器低內(nèi)部看門狗表C.3固態(tài)內(nèi)存中字符保存表C.4可變內(nèi)存高雙RAM表C.5通信中校驗(yàn)和表C.6電源中掉電控制表C.7C.4通道DC的計(jì)算在許多系統(tǒng)中，故障檢測可采用多種方法。給定通道通過計(jì)算得到單個(gè)DC值。根據(jù)表5,通過式(C.1)得到DC的平均值：…………(C.1)式中：λDp——危險(xiǎn)失效檢測率；λp——危險(xiǎn)失效率。計(jì)算分母時(shí)，應(yīng)考慮計(jì)算MTTFpc時(shí)所用通道的所有部分并求和。失效檢測部分僅影響式(C.1)的24GB/T38874.2—2020/ISO25119-2:2018C.5通道DC計(jì)算示例表C.10給出了通道DC估計(jì)的示例。在此示例中，通道的DC為86%,對應(yīng)中等DC。表C.10DC的計(jì)算序號組件MTTFp年1/年檢測Y/N檢測方法1/年DCag電阻10.00009Y硬件冗余8.75964×10-2電阻20.00009N03晶體管0.00088Y監(jiān)控反饋8.75657×10-4微處理器10.00111Y外部看門狗1.111111×10-35電容10.00018Y硬件冗余1.75193×10-46電容20.00018N07電容10.00500N08接觸器20.03125Y監(jiān)控反饋3.125×10-GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)共因失效(CCF)估計(jì)這一量化過程應(yīng)適用于控制系統(tǒng)的各部分。表D.1列出了常用設(shè)計(jì)的措施及其得分值。基于工程判斷，這些評分值表示每項(xiàng)措施對減小共因失效的作用。CCF的量化如表D.2所示。表D.1防止CCF措施的評分過程序號預(yù)防CCF的措施1分離/隔離是否信號走線和電源走線之間的物理隔離?例如：布線中的走線隔離印刷電路板走線的足夠安全間距是，15否，02差異性設(shè)計(jì)是否采用不同的技術(shù)/設(shè)計(jì)或不同的物理原理?例如：第一通道是電子可編程器件，第二通道是硬布線例如：分別采用x缸面積的壓力與應(yīng)變計(jì)測量負(fù)載例如；數(shù)字和模擬信號例如；采用不同廠家的元器件是，20否，03設(shè)計(jì)/應(yīng)用/經(jīng)驗(yàn)是否進(jìn)行過壓保護(hù)、非電氣過激勵(lì)保護(hù)、過電流保護(hù)?在考慮的環(huán)境條件下，所選組件是否為經(jīng)驗(yàn)證的器件?是，15否，0是，5否，04評估/分析避免共因失效的設(shè)計(jì)中是否考慮了失效模式及影響分析(FMEA)的結(jié)果?是，5否，05能力/培訓(xùn)設(shè)計(jì)者/技術(shù)人員是否已通過培訓(xùn)，使其了解共因失效的原因及后果?是，5否，06環(huán)境EMC系統(tǒng)是否進(jìn)行電磁兼容(例如：相關(guān)產(chǎn)品標(biāo)準(zhǔn)的規(guī)定)檢查?是，25其他影響是否考慮耐相關(guān)環(huán)境影響的因素?如溫度、沖擊、振動(dòng)、濕度(例如：相關(guān)標(biāo)準(zhǔn)中規(guī)定。例如：ISO15003)否，0是，10否，0總分，S(滿分為100%)26GB/T38874.2—2020/ISO25119-2:2018表D.2共因失效的量化總分S避免CCF的措施滿足要求方法失敗→采用附加措施GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)E.1概述失效為系統(tǒng)性失效(見GB/T38874.1—2020的3.52)。E.2系統(tǒng)性失效的控制規(guī)程a)掉電安全相關(guān)功能的設(shè)計(jì)應(yīng)使其在掉電時(shí)可實(shí)現(xiàn)或保持機(jī)器的安全狀態(tài)。安全狀態(tài)。單點(diǎn)失效操作系統(tǒng)(例如：第3類和第4類硬件)需要冗余電源(根據(jù)A.5和A.6)。應(yīng)預(yù)先確定在物理環(huán)境影響下安全相關(guān)功能的行為，使安全相關(guān)功能可實(shí)現(xiàn)或保持機(jī)器的安全狀態(tài)。c)對數(shù)據(jù)通信過程中的錯(cuò)誤影響和其他影響的控制措施參見GB/T38874.3—2020的附錄B。d)程序順序監(jiān)控表C.8為程序順序監(jiān)控技術(shù)及可達(dá)到的診斷覆蓋率列表。E.3避免系統(tǒng)性失效的規(guī)程a)使用合適的材料及制造工藝b)正確的外形與尺寸d)兼容性使用具有兼容工作特征的組件。e)承受特定的環(huán)境條件安全相關(guān)功能的設(shè)計(jì)使其能夠在預(yù)期的環(huán)境條件下工作。例如：溫度、濕度、振動(dòng)和電磁干擾(EMC)等。28GB/T38874.2—2020/ISO25119-2:2018使用按照合適標(biāo)準(zhǔn)設(shè)計(jì)并明確定義其失效模式的組件。f)設(shè)計(jì)模塊化g)公共資源的限制使用當(dāng)兩個(gè)及以上模塊使用公共資源時(shí)[例如：存儲器(RAM、EPROM)或存儲分區(qū)、A/D轉(zhuǎn)換器等],應(yīng)采取以下其中一種措施：1)避免同時(shí)使用公共資源；2)采用適當(dāng)?shù)目刂品椒ㄍㄟ^標(biāo)準(zhǔn)接口或定義的接口實(shí)現(xiàn)(見GB/T38874.3—2020的第6章和第h)安全相關(guān)功能和非安全相關(guān)功能的隔離i)系統(tǒng)狀態(tài)數(shù)量的限制UoO擁有的安全相關(guān)狀態(tài)的數(shù)量應(yīng)是可管理和可測試的。例如：可通過模塊狀態(tài)的分層匯總來j)采用經(jīng)驗(yàn)證的設(shè)計(jì)原則驗(yàn)證的設(shè)計(jì)原則是：2)經(jīng)驗(yàn)證的故障檢測和故障控制措施。k)使用標(biāo)準(zhǔn)接口1)設(shè)計(jì)復(fù)查通過設(shè)計(jì)復(fù)查來揭示技術(shù)規(guī)范和執(zhí)行情況之間的偏差。2)利用計(jì)算機(jī)輔助設(shè)計(jì)工具進(jìn)行仿真或分析3)仿真GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)F.1概述為實(shí)現(xiàn)特定應(yīng)用的控制系統(tǒng)所需的安全措施，設(shè)計(jì)時(shí)應(yīng)包含以下必要的安全功能。這些功能可降F.2啟動(dòng)互鎖防止意外啟動(dòng)的安全功能。F.3停止功能停止功能由保護(hù)裝置啟動(dòng)，在啟動(dòng)后應(yīng)盡快將機(jī)器置于安F.4手動(dòng)復(fù)位通過對保護(hù)裝置復(fù)位重新建立安全相關(guān)功能以取消停止命令。如果風(fēng)險(xiǎn)評估有要求，則應(yīng)慎重考慮通過人工(手動(dòng)復(fù)位)確認(rèn)停止命令的取消。手動(dòng)復(fù)位功能應(yīng)具有以下特點(diǎn)：c)手動(dòng)復(fù)位功能本身應(yīng)不觸發(fā)運(yùn)動(dòng)或危險(xiǎn)狀況；d)應(yīng)僅通過謹(jǐn)慎操作來激活手動(dòng)復(fù)位功能；e)使控制系統(tǒng)能接受單獨(dú)的啟動(dòng)命令；f)僅從復(fù)位器釋放(off)位置啟動(dòng)才可接受手動(dòng)復(fù)位功能。F.5啟動(dòng)和重啟GB/T38874.2—2020/ISO25119-2:2018設(shè)計(jì)人員或供應(yīng)商應(yīng)根據(jù)控制系統(tǒng)安全相關(guān)部件的風(fēng)險(xiǎn)評估結(jié)果(必要時(shí))聲明響應(yīng)時(shí)間。機(jī)器所要求的總響應(yīng)時(shí)間可能影響安全相關(guān)部件的設(shè)計(jì)。F.7安全相關(guān)參數(shù)F.8外部控制功能a)定義選擇外部控制方式；b)切換到外部控制裝置不應(yīng)造成危險(xiǎn)狀況；d)當(dāng)對機(jī)器上的多臺設(shè)備中的一臺遠(yuǎn)程控制時(shí)，其他控制設(shè)備和遠(yuǎn)程控制設(shè)備之間切換不應(yīng)造成危險(xiǎn)狀況。F.9暫停(安全功能的手動(dòng)暫停)其他方法可包括：a)指令；b)禁用所有其他控制或操作模式；c)僅允許需要持續(xù)作用的控制裝置來操作危險(xiǎn)功能；e)通過對機(jī)器傳感器的主動(dòng)或被動(dòng)動(dòng)作來防止任何危險(xiǎn)功能的啟動(dòng)。F.10操作者警告GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)風(fēng)險(xiǎn)分析示例G.1工作流程HARA時(shí)應(yīng)進(jìn)行以下活動(dòng)：步驟1:待檢查系統(tǒng)的描述。步驟2:對周圍環(huán)境條件的列表。應(yīng)準(zhǔn)確描述操作限制或人為干預(yù)的內(nèi)容。步驟3:使用狀態(tài)流程圖和轉(zhuǎn)換表對檢查系統(tǒng)進(jìn)行描述。步驟4:列出系統(tǒng)性失效清單，不考慮已有的安全措施。對故障原因或非故障原因?qū)е碌氖ё屑?xì)檢查。將失效與UoO相關(guān)聯(lián)。步驟5:估計(jì)和評估風(fēng)險(xiǎn)表中每種危險(xiǎn)狀況下的UoO風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的基礎(chǔ)是機(jī)器狀態(tài)和狀態(tài)轉(zhuǎn)換。定義導(dǎo)致危險(xiǎn)狀況的事件順序(傷害場景),并確定與危險(xiǎn)狀況相關(guān)的影響。在風(fēng)險(xiǎn)分析過程中，由系統(tǒng)開發(fā)者提前完成步驟1～步驟4。由參與者檢查完整性和正確性，進(jìn)行糾正或者擴(kuò)展(如必要)。在本示例中，步驟1～步驟4一般僅用于液壓齒輪箱。步驟5是針對不同機(jī)器的各種應(yīng)用場景。這些步驟后，由所有參與者準(zhǔn)備傷害場景，并根據(jù)風(fēng)險(xiǎn)進(jìn)行評估。然后，將傷害場景分配到風(fēng)險(xiǎn)表中相應(yīng)的系統(tǒng)性失效和系統(tǒng)狀態(tài)中。G.2自走式工作機(jī)械(飼料收獲機(jī))電液傳動(dòng)系統(tǒng)風(fēng)險(xiǎn)分析的示例——從完整風(fēng)險(xiǎn)分析中提取G.2.1系統(tǒng)描述系統(tǒng)描述如下：——電液壓發(fā)動(dòng)機(jī)由電子控制，液壓發(fā)動(dòng)機(jī)彈簧置于空擋位置；——連接前橋的驅(qū)動(dòng)鏈；——非驅(qū)動(dòng)后橋具有轉(zhuǎn)向功能；圖G.1給出了傳動(dòng)系統(tǒng)主要結(jié)構(gòu)的示意圖。GB/T38874.2—2020/ISO25119-2:2018FNR24M536 圖G.1驅(qū)動(dòng)鏈的主要結(jié)構(gòu)G.2.2環(huán)境條件環(huán)境條件為：——第一擋用于田間行駛，第一擋速度范圍為從0km/h～15km/h。第二擋用于道路行駛，第二擋速度從0km/h～30km/h;——僅在完全停止(輸出速度≈0)時(shí)才可機(jī)械換擋，控制桿應(yīng)放在空擋；——其他。G.2.3系統(tǒng)狀態(tài)和轉(zhuǎn)換狀態(tài)流程圖和轉(zhuǎn)換列表是識別最嚴(yán)重系統(tǒng)狀態(tài)的一種方法。例如：狀態(tài)8可包括維護(hù)或清理。GB/T38874.2—2020/ISO25119-2:2018狀態(tài)1狀態(tài)1車輛停止點(diǎn)火開關(guān)關(guān)閉發(fā)動(dòng)機(jī)停止?fàn)顟B(tài)2空擋狀態(tài)3車輛停止點(diǎn)火開關(guān)開啟發(fā)動(dòng)機(jī)啟動(dòng)空擋狀態(tài)4車輛停止發(fā)動(dòng)機(jī)啟動(dòng)狀態(tài)5狀態(tài)67-5狀態(tài)7車輛行駛勻速狀態(tài)8狀態(tài)8特殊機(jī)器狀況說明：狀態(tài)1～狀態(tài)8——機(jī)器狀況；1_2～7_6—-—從一個(gè)狀態(tài)向另一個(gè)狀態(tài)轉(zhuǎn)換(包括方向)。圖G.2狀態(tài)流程圖G.2.4系統(tǒng)故障-—命令時(shí)不行駛； 意外改變速度(未停止):GB/T38874.2—2020/ISO25119-2:2018——命令時(shí)向錯(cuò)誤方向行駛；確定AgPL,時(shí)，需考慮所有的系統(tǒng)故障。評估(見G.3)時(shí)，以上述第1個(gè)和第2個(gè)系統(tǒng)故障為例。G.3評估系統(tǒng)狀態(tài)無駕駛員的車輛有駕駛員的車輛平路上坡下坡平路上坡下坡1.車輛停止，點(diǎn)火開關(guān)關(guān)閉，發(fā)動(dòng)機(jī)停止，空擋不適用不適用不適用不適用不適用不適用2.車輛停止，點(diǎn)火開關(guān)開啟，發(fā)動(dòng)機(jī)停止，空擋不適用不適用不適用不適用不適用不適用3.車輛停止，點(diǎn)火開關(guān)開啟，發(fā)動(dòng)機(jī)運(yùn)轉(zhuǎn)，空擋不適用不適用不適用不適用不適用不適用4.車輛停止，點(diǎn)火開關(guān)開啟，發(fā)動(dòng)機(jī)啟動(dòng)掛擋不適用不適用不適用不適用不適用不適用5.車輛行駛，加速不適用不適用不適用Scl/Sc2Scl/Sc2Scl/Sc26.車輛行駛，減速不適用不適用不適用Scl/Sc2Sc1/Sc2Sc1/Sc27.車輛行駛，勻速不適用不適用不適用Scl/Sc2Scl/Sc2Scl/Sc2Scl——情景1;Sc2——情景2。表G.2情景1操作者E3在公共道路上飼料收割機(jī)以最高速度行駛；靜液壓馬達(dá)移至空擋；驅(qū)動(dòng)橋鎖死急減速：轉(zhuǎn)向失效；車輛行駛到溝里或撞擊障礙物駕駛員受傷設(shè)定驅(qū)動(dòng)橋立即鎖死，重量轉(zhuǎn)移到驅(qū)動(dòng)橋表G.3情景2旁觀者E3在公共道路上飼料收割機(jī)以最高速度行駛；靜液壓馬達(dá)移至空擋；后續(xù)交通堵塞；驅(qū)動(dòng)橋鎖死旁觀者無法避免碰撞旁觀者受傷設(shè)定嚴(yán)重度取決于車輛后端的設(shè)計(jì)GB/T38874.2—2020/ISO25119-2:2018G.3.2系統(tǒng)故障——發(fā)行駛命令時(shí)車輛不動(dòng)所有系統(tǒng)故障需要進(jìn)行評估(見G.3.1)。G.4評估結(jié)果GB/T38874.2—2020/ISO25119-2:2018(規(guī)范性附錄)與其他功能安全標(biāo)準(zhǔn)的兼容性本附錄旨在促進(jìn)從其他系統(tǒng)創(chuàng)建派生系統(tǒng)，以及促進(jìn)系統(tǒng)和SRP/CS的結(jié)合，這些系統(tǒng)是依照IEC61508和ISO13849方法開發(fā)或評估的，而不是GB/T由于選擇并實(shí)現(xiàn)所需安全等級的方法不同，在安全相關(guān)控制系統(tǒng)的評估和設(shè)計(jì)時(shí)通常不應(yīng)互換用法。只有在本附錄條件下才允許互換。H.2概述在以下情況下，允許使用由GB/T38874以外的方法開發(fā)或評估系統(tǒng)和SRP/CS,表明整個(gè)系統(tǒng)符a)應(yīng)使用GB/T38874中的風(fēng)險(xiǎn)分析確定AgPL。由表H.1,應(yīng)根據(jù)AgPL,確定PL或SIL以確定其他標(biāo)準(zhǔn)的要求。b)當(dāng)評估相同應(yīng)用程序和表H.1中的等效AgPL,時(shí)，系統(tǒng)或SRP/CS應(yīng)滿足替代標(biāo)準(zhǔn)的所有a)根據(jù)IEC61508開發(fā)的硬件，高需求模式下的平均危險(xiǎn)失效率完全滿足GB/T38874中的等效值，前提是硬件符合表H.1中相應(yīng)的SIL。b)如果IEC61508使用的工具顯示相應(yīng)數(shù)值的危險(xiǎn)失效率，則SIL1硬件等同于AgPL,的c級。c)根據(jù)IEC61508開發(fā)的軟件，只要軟件符合表H.1中相應(yīng)的SIL,則滿足要求。GB/T38874過程也可用于軟件開發(fā)。d)SIL1軟件可用于AgPL,=b或c。危險(xiǎn)失效率/h危險(xiǎn)失效率/h危險(xiǎn)失效率/h無安全要求aaA(無特定安全要求)A見H.5a)bb3×10-?~10-510-?~10-5cc10-?~3×10-6dd2BGB/T38874.2—2020/ISO25119-2:2018表H.1(續(xù))AgPLPL危險(xiǎn)失效率/h危險(xiǎn)失效率/hISO26262ASILISO26262危險(xiǎn)失效率/hee10-8～10-7310-?~10-7C10-8～10-?410-9～10-8D<10-8a滿足AgPL=c條件下的方法，見H,3的a)～d)。注1:除了平均危險(xiǎn)失效率/h的參數(shù)外，還需要采取其他定性措施。例如：實(shí)現(xiàn)AgPL,所要求的系統(tǒng)(例如：軟件開發(fā)過程)安全完整性。注2:ASIL-D和SIL4僅用于與AgPL,比較。H.4ISO13849兼容系統(tǒng)或SRP/CS兼容系統(tǒng)a)根據(jù)表H.1,ISO13849PL等于或超過GB/T38874的等效AgPL。b)表H.1中等效AgPL滿足軟件需求，或表H.1中等效SIL參照IEC61508的要求。GB/T38874H.5符合ISO26262的兼容系統(tǒng)或SRP/CS的兼容系統(tǒng)如果滿足以下要求，則符合ISO26262的系統(tǒng)也符合GB/T38874。a)根據(jù)ISO26262開發(fā)的硬件，只要硬件符合表H.1中相應(yīng)的ASIL,則高需求模式下的平均危險(xiǎn)失效率完全滿足GB/T38874中的等效值。b)根據(jù)ISO26262開發(fā)的軟件，只要軟件符合表H.1中相應(yīng)的ASIL,則完全滿足GB/T38874的要求。GB/T38874的過程也可用于軟件開發(fā)。c)ASILA軟件可適用于AgPL,=b或c。GB/T38874.2—2020/ISO25119-2:2018(資料性附錄)組合系統(tǒng)適用方法本附錄旨在促進(jìn)通用系統(tǒng)的組合。(制造商之間進(jìn)行或未進(jìn)行直接協(xié)調(diào))相組合的系統(tǒng)。例如：組合系統(tǒng)可包括市場上的自動(dòng)和半自動(dòng)轉(zhuǎn)a)每個(gè)系統(tǒng)制造商應(yīng)根據(jù)ISO12100對組合系統(tǒng)進(jìn)行危險(xiǎn)分析。還應(yīng)根據(jù)GB/T38874.2對組合系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析評估(適用時(shí))。假定第一個(gè)系統(tǒng)中的故障已由第一個(gè)系統(tǒng)制造商處理。因此，附加系統(tǒng)的制造商無需考慮第一個(gè)系統(tǒng)未改變部分是否符合GB/T38874。b)除了通常認(rèn)為第一個(gè)系統(tǒng)無失效外，附加系統(tǒng)和系統(tǒng)之間控制交互應(yīng)符合GB/T38874的所c)系統(tǒng)之間的電子通信應(yīng)根據(jù)GB/T38874的相關(guān)要求進(jìn)行評估，包括源自第一個(gè)系統(tǒng)的故障。d)系統(tǒng)應(yīng)由制造商設(shè)計(jì)和評估，確保整機(jī)符合ISO4254或ISO26322的相應(yīng)要求。GB/T38874.2—2020/ISO25119-2:2018(規(guī)范性附錄)SRP/CS的交聯(lián)組合實(shí)現(xiàn)總體AgPLJ.1串聯(lián)SRP/CSJ.1.1概述安全功能可通過多個(gè)SRP/CS組合實(shí)現(xiàn)，包括輸入系統(tǒng)、信號處理單元、輸出系統(tǒng)。這些SRP/CS可分配到一個(gè)或多個(gè)類別中。每個(gè)SRP/CS應(yīng)根據(jù)附錄A選擇一個(gè)類別。對于SRP/CS整體組合，可使用附錄A中的方法確定總體AgPL。在這種情況下，需要確認(rèn)SRP/CS的組合(見圖3、A.1和A.3)。根據(jù)附錄A,控制系統(tǒng)安全相關(guān)部件組合以安全相關(guān)信號觸發(fā)為起始點(diǎn)，并以功率控制元件的輸出端為結(jié)束點(diǎn)。組合SRP/CS可按照線性(串聯(lián))或冗余(并聯(lián))方式連接。在已計(jì)算各部分AgPL情況下，為了避免對組合SRP/CS所達(dá)到的性能等級(AgPL)進(jìn)行新的復(fù)雜評估，SRP/CS串聯(lián)組合可采用下列方法進(jìn)行估計(jì)。假設(shè)整體執(zhí)行安全功能的串聯(lián)組合有N個(gè)獨(dú)立的SRP/CS,。通過評估已得到每個(gè)SRP/CS,的AgPL,見圖J.1。組合SRP/CS的AgPL取決于執(zhí)行安全功能的SRP/CS,的最小AgPL值(因?yàn)锳gPL也由非量化因素確定)。SRPSRP/CS?SRP/CS?SRP/CSyAgPLAgPL?AgPLv圖J.1串聯(lián)估計(jì)可使用表J.1計(jì)算執(zhí)行安全功能的組合SRP/CS的整體AgPL,步驟如下：a)確定最低AgPL;:AgPLlow;b)確定SRP/CS,中AgPL,=AgPLow的個(gè)數(shù)Nlow:AgPL=AgPLow且Nlow≤N;c)查找表J.1中的AgPL。表J.1串聯(lián)SRP/CS的AgPL計(jì)算a無，不應(yīng)ababcbC40GB/T38874.2—2020/ISO25119-2:2018表J.1(續(xù))dcdede注：在此查找表中的計(jì)算值基于每個(gè)AgPL的可靠性值的中點(diǎn)。J.1.3數(shù)據(jù)通信——除非可根據(jù)附錄B排除故障，在所涉及的子系統(tǒng)中應(yīng)考慮所有布線和數(shù)據(jù)通信。 串聯(lián)子系統(tǒng)應(yīng)與