中华人民共和国国家标准
GB/T 20438.6-2017/IEC61508-6:2010代替GB/T20438.6-2006
电气/电子/可编程电子安全相关系统的 功能安全第6部分:GB/T20438.2和 GB/T20438.3的应用指南
Functional safety of electrical/electronic/programmable electronic safety-relatedsystems-Part 6 : Guidelines on the application of GB/T 20438.2 and GB/T 20438.3
(IEC 61508-6:2010 Functional safety of electrical/electronic/programmableelectronic safety-related systems-Part 6:Guidelines on the application ofIEC 61508-2 and IEC 61508-3 IDT)
中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会
目次
前言引言 V1范围2 规范性引用文件3定义和缩略语附录A(资料性附录) GB/T20438.2和GB/T20438.3的应用附录B(资料性附录) 硬件失效概率评估技术示例 11附录C(资料性附录) 诊断覆盖率和安全失效分数的计算 67附录D(资料性附录) E/E/PE系统中与硬件相关的共因失效影响的量化方法 70附录E(资料性附录) GB/T20438.3中软件安全完整性表的应用示例 83参考文献97
图1GB/T20438的整体框架2图A.1 GB/T20438.2的应用图A.2 GB/T20438.2的应用(图A.1续)8图A.3 GB/T20438.3的应用 10图B.1完整安全回路的可靠性框图 12图B.2 两个传感器通道配置示例 15图B.3 子系统结构 18图B.4 1oo1物理框图 19图B.5 loo1可靠性框图 19图B.6 1oo2物理框图 19图B.7 1002可靠性框图 20图B.8 2o02物理框图 20图B.9 2002可靠性框图 20图B.10 1oo2D物理块图 21图B.11 10o2D可靠性框图 21图B.12 2003物理框图... 22图B.13 222003可靠性框图图B.14 低要求运行模式架构示例 31图B.15 高要求或连续运行模式的架构示例 43图B.16 带有2oo3结构传感器的简单完整的回路的可靠性框图 45图B.17 与可靠性框图B.1等效的简单故障树模型 46图B.18 等效故障树/可靠性框图 46图B.19 单一周期测试部件瞬时不可用率U(t) 48图B.20 使用故障树时的PFDa计算原理 48
图B.21交错测试的影响 49图B.22 复杂测试模式实例 50图B.23 对一个双部件系统的马尔可夫图形建模 51图B.24 多相马尔可夫建模原理 52图B.25 利用多相马尔可夫方法得出的锯齿形曲线 53图B.26 马尔可夫近似模型53图B.27 由于要求本身失效的影响 54图B.28 测试时间影响建模 54图B.29 包含DD和DU失效的多相马尔可夫模型 55图B.30 改变逻辑(2oo3至1oo2)而不是对首次失效进行维修 56图B.31 带吸收态的“可靠度”马尔可夫图 56图B.32 无吸收态的“可用度”马尔可夫图 .. 58图B.33单个周期性测试部件的佩特里网模型 59图B.34 佩特里网建模共因失效和维修资源 61图B.35 使用可靠性框图构建佩特里网和辅助佩特里(Petri)网用于PFD和PFH计算 62图B.36 出现失效和修复的单部件的简易的佩特里网模型 63图B.37 通过形式化语言进行功能和功能障碍建模示例 64图B.38 不确定性传递原理 65图D.1 各个通道失效与共因失效的关系 72图D.2 冲击模型的故障树实现81
表B.1 本附录中使用的术语及其范围(应用于1oo1、1oo2、2oo2、1oo2D、1o03、2o03) 16表B.2 检验测试时间间隔为6个月,平均恢复时间为8h时,要求时的平均失效概率 23表B.3 检验测试时间间隔为1年,平均恢复时间为8h时,要求时的平均失效概率 25表B.4 检验测试时间间隔为2年,平均恢复时间为8h时,要求时的平均失效概率 27表B.5 检验测试时间间隔为10年,平均恢复时间为8h时,要求时的平均失效概率 29表B.6 低要求运行模式示例中传感器子系统在要求时的平均失效概率(检验测试时间间隔为1年,MTTR为8h) 31表B.7 低要求运行模式示例中逻辑子系统在要求时的平均失效概率(检验测试时间间隔为1年,MTTR为8h) 32表B.8 低要求运行模式示例中最终元件子系统在要求时的平均失效概率(检验测试时间间隔为1年,MTTR为8h) 32表B.9 非完善检验测试的示例 33检验测试时间间隔为1个月、平均恢复时间为8h的平均危险失效频率(高要求或连续表B.10运行模式下) 35表B.11 检测测试时间间隔为3个月,平均恢复时间为8h的平均危险失效概率(高要求或连续运行模式下) 37表B.12 检验测试时间间隔为6个月、平均恢复时间为8h的平均危险失效概率(高要求或连续运行模式下)39表B.13 检验测试时间间隔为1年以及平均恢复时间为8h的平均危险失效概率(高要求或连续运行模式下)41表B.14 高要求或连续运行模式架构示例中传感器子系统平均危险失效频率(检验测试的时间间隔为6个月,MTTR为8h). 43
表B.15高要求或连续运行模式架构示例中逻辑子系统平均危险失效频率(检验测试的时间间隔为6个月,MTTR为8h) 44表B.16高要求或连续运行模式架构示例中最终元件子系统平均危险失效频率(检验测试的时间间隔为6个月,MTTR为8h). 44表C.1 诊断覆盖率和安全失效分数的计算范例 68表C.2 不同组件的诊断覆盖率和有效性69表D.1 可编程电子或传感器或最终元件的评分 75表D.2 Z值:可编程电子.. 77表D.3 Z值:传感器或最终元件 78表D.4 βm和βDin的计算. 78表D.5 余级别高于1oo2的系统的β的计算 79表D.6 可编程电子的示例值 79表E.1 软件安全要求规范84表E.2 软件设计与开发:软件架构设计 84表E.3 软件设计与开发:支持工具和编程语言 86表E.4 软件设计与开发:详细设计 86表E.5 软件设计和开发:软件模块测试和集成 87表E.6 可编程电子集成(硬件和软件) 87表E.7 系统安全确认的软件方面 88表E.8 软件修改88表E.9 软件验证 89表E.10 功能安全评估 89表E.11 软件安全要求规范 90表E.12 软件设计与开发:软件架构设计 91表E.13 软件设计与开发:支持工具及编程语言 92表E.14 软件设计与开发:详细设计 92表E.15 软件设计与开发:软件模块测试和集成93表E.16 可编程电子集成(硬件和软件) 94软件方面的系统安全确认(软件安全确认)表E.17 94表E.18 修改 95表E.19 软件验证 95表E.20 功能安全评估 96
前言
GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分:
第1部分:一般要求;-第2部分:电气/电子/可编程电子安全相关系统的要求;第3部分:软件要求;第4部分:定义和缩略语;第5部分:确定安全完整性等级的方法示例;第6部分:GB/T20438.2和GB/T20438.3的应用指南;
一第7部分:技术和措施概述.
本部分为GB/T20438的第6部分.
本部分代替GB/T20438.6一2006《电气/电子/可编程电子安全相关系统的功能安全第6部分:GB/T20438.2和GB/T20438.3的应用指南》,与GB/T20438.6一2006相比,主要技术变化如下:
增加了评估硬件失效概率的方法,如故障树、马尔科夫模型、佩特里网等(见附录B);
一增加了不同结构共因失效因子的方法(见附录D.7).
本部分使用翻译法等同采用IEC61508-6:2010《电气/电子/可编程电子安全相关系统的功能安全第6部分:GB/T20438.2和GB/T20438.3的应用指南》.
本部分做了下列编辑性修改:
全第6部分:GB/T20438.2和GB/T20438.3的应用指南》
本部分由中国机械工业联合会提出.
本部分由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口.
司、横河电机(中国)有限公司、上海工业自动化仪表研究院、上海中沪电子有限公司、西门子(中国)有限公司.
本部分主要起草人:史学玲、熊文泽、潘钢、杨柳、黄之炯、李佳嘉、周有铮、姜雪莲、钱大涛、冯晓升、罗安、李佳、刘晓东、方来华、田雨聪、顾峰、鲁毅、梅豪、许鹏、申.
本部分所代替标准的历次版本发布情况为:
GB/T 20438.6-2006.
