中华人民共和国国家标准
GB/T20438.5-2017/IEC61508-5:2010代替GB/T20438.5-2006
电气/电子/可编程电子安全相关系统的 功能安全 第5部分:确定安全完整性 等级的方法示例
Functional safety of electrical/electronic/programmable electronic safety-relatedsystemsPart 5 :Examples of methods for the determination ofsafety integrity levels
(IEC 61508-5:2010 IDT)
中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会
目次
前言引言1范围规范性引用文件23定义和缩略语附录A(资料性附录) 风险和安全完整性一通用概念附录B(资料性附录) 确定安全完整性等级要求的方法选择 14附录C(资料性附录) ALARP和可容忍风险的概念 16附录D(资料性附录) 确定安全完整性等级一一种定量的方法 19附录E(资料性附录) 安全完整性等级的确定一风险图方法21附录F(资料性附录) 采用保护层分析的半定量法(LOPA) 27附录G(资料性附录) 确定安全完整性等级一一种定性的方法一危险事件严重程度矩阵. 31参考文献 33
图A.1 风险降低:通用概念(低要求运行模式)图A.2 风险和安全完整性概念图A.3 高要求应用的风险图 8图A.4 连续模式运行的风险图图A.5 EUC控制系统元件与E/E/PE安全相关系统元件的共因失效(CCF)示例 10图A.6两个E/E/PE安全相关系统间的共因失效 11图A.7 E/E/PE安全相关系统和其他风险降低措施的安全要求分配 12图C.1 可容忍风险和ALARP 16图D.1 安全完整性分配一安全相关保护系统的示例 20图E.1 风险图:通用方案 23图E.2 风险图一示例(仅说明一般原则)24图G.1 危险事件严重程度矩阵一示例(只说明一般原则) 32
表C.1 事故风险分类的示例 17表C.2 风险级别的解释 18表E.1 与风险图相关的数据示例(图E.2). 24表E.2 通用风险图的校准示例 25表F.1 LOPA报告 28
前言
GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分:
第1部分:一般要求;
-第2部分:电气/电子/可编程电子安全相关系统的要求;
第3部分:软件要求;
第4部分:定义和缩略语;
-第5部分:确定安全完整性等级的方法示例;
第6部分:GB/T20438.2和GB/T20438.3的应用指南;
一第7部分:技术和措施概述.
本部分为GB/T20438的第5部分.
本部分按照GB/T1.1一2009给出的规则起草.
本部分代替GB/T20438.5一2006《电气/电子/可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例》,与GB/T20438.5一2006相比,主要技术变化如下:
增加了确定安全完整性等级要求的方法选择;(见附录B);
一增加了风险分析的方法:采用保护层分析的半定量法(LOPA)(见附录F).
第5部分:确定安全完整性等级的方法示例》.
本部分由中国机械工业联合会提出.
本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口.
本部分起草单位:机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、杭州和利时自动化有限公司、北京市劳动保护科学研究所、风控(北京)工程技术有限公司、北京联合普肯工
本部分主要起草人:史学玲、熊文泽、靳江红、陈勇、杨柳、肖松青、周有铮、梅豪、黄劲松、鲁毅、冯晓升、罗安、顾峥、李佳、田雨聪、左信、姜雪莲、白焰.
本部分所代替标准的历次版本发布情况为:
-GB/T 20438.5-2006.
引言
由电气和电子器件构成的系统,多年来在许多应用领域中执行其安全功能.以计算机为基础的系统(一般指可编程电子系统)在其应用领域中用于执行非安全功能,并且也越来越多地用于执行安全功能.如果要安全并有效地使用计算机技术,有关决策者在安全方面有充足的指导并据此做出决定是十分必要的.
GB/T20438针对由电气和/或电子和/或可编程电子(E/E/PE)组件构成的、用来执行安全功能的系统安全生命周期的活动,提出了一个通用的方法.采用统一的方法的目的是为了针对以电为基础的安全相关系统提出一种一致的、合理的技术方针.主要目标是促进基于GB/T20438系列标准的产品和应用领域国家标准的制定.
注1:在参考文献中给出了基于GB/T20438系列标准的产品和应用领域标准的例子(见参考文献[1],[2],[3]).
在许多情况下,可用多种基于不同技术(如机械的、液压的、气动的、电气的、电子的、可编程电子的等)的系统来保证安全.因而不得不考虑各类安全策略,不仅要考虑单个系统中的组件的问题(如传感器、控制器、执行器等),还要考虑不同安全相关系统组合后的问题.因此当GB/T20438在关注电气/电子/可编程电子(E/E/PE)安全相关系统的同时,也提供了一个框架,在这个框架内,基于其他技术的安全相关系统也可被考虑进去.
在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的E/E/PE安全相关系统.对每个特定的应用,将根据特定应用的许多因素来确定所需的安全措施.
GB/T20438
生命周期以及软件安全生命周期的各阶段(如初始概念、整体设计、实现、运行和维护到退役);针对飞速发展的技术,建立一个足够健全且广泛满足未来发展需求的框架;
使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定;在GB/T20438的框架下,产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性(如基本原理,术语等);这将既具有安全性又具有经济效益;
为实现E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法;
采用了一种可确定安全完整性要求的基于风险的方法;
引人安全完整性等级,用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整性等级;
注2:GB/T20438没有规定每个安全功能的安全完整性等级的要求,也没有规定如何确定安全完整性等级.而是提供了一种基于风险概念的框架和技术范例.
PE安全相关系统运行在:
低要求运行模式下,下限设定成要求时危险失效平均概率为10一;
高要求或连续运行模式下,下限设定成危险失效平均频率为10-/h.
注3:单一E/E/PE安全相关系统不一定是单通道架构.
注4:对于非复杂系统,通过安全相关系统的设计实现更优目标安全完整性是可能的.但对于相对复杂的系统(例如可编程电子安全相关系统),这些限值代表了目前能够达到的水平.
一基于工业实践中获取的经验和判断,设定了避免和控制系统性故障的要求;即使发生系统性故障的可能性一般不能量化,但GB/T20438允许为一个特定的安全功能做出声明,即如果标准中的要求都满足,认为与安全功能相关的目标失效量已达到;引人了系统性能力,该能力表明一个组件为满足规定的安全完整性等级要求时,系统性安全完整性的置信度;采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全,但没有明确地使用失效-安全的概念.然而,如果能够满足标准中相关条款的要求,则“失效-安全”的概念和“本质安全”原则可能被应用,并且采用这些概念是可接受的.
