GB/T 20438.5-2006
基本信息
标准号: GB/T 20438.5-2006
中文名称:电气/电子/可编程电子安全相关系统的功能安全 第5部分: 确定安全完整性等级的方法示例
标准类别:国家标准(GB)
标准状态:现行
发布日期:2006-07-25
实施日期:2007-01-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:1447101
标准分类号
标准ICS号:机械制造>>25.040工业自动化系统
中标分类号:仪器、仪表>>工业自动化仪表与控制装置>>N10工业自动化与控制装置综合
关联标准
采标情况:IEC 61508-5:1998
出版信息
出版社:中国标准出版社
页数:平装16开 页数:20, 字数:36千字
标准价格:14.0 元
计划单号:20020920-T-604
出版日期:2007-01-01
相关单位信息
首发日期:2006-07-25
起草人:冯晓升、王莉、梅恪、郑旭等
起草单位:机械工业仪器仪表综合技术研究所
归口单位:全国工业过程测量和控制标准化技术委员会
提出单位:中国机械工业联合会
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:中国机械工业联合会
标准简介
GB/T 20438的本部分规定了风险的基础概念和风险与安全完整性之间的关系,以及能确定电气、电子、可编程电子安全相关系统、其他技术安全相关系统和外部风险降低设施的安全完整性等级的一系列方法。 GB/T 20438.5-2006 电气/电子/可编程电子安全相关系统的功能安全 第5部分: 确定安全完整性等级的方法示例 GB/T20438.5-2006 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS25.040
中华人民共和国国家标准
GB/T20438.5-—2006/IEC61508-5:1998电气/电子/可编程电子安全相关系统的功能安全拿
第5部分:确定安全完整性
等级的方法示例
Functional safety of electrical/electronic/programmable electronicsafety-related systems-Part 5:Examples of methods forthe determination of safety integrity levels(IEC61508-5.1998.IDT)
2006-07-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-01-01实施
1范围
2规范性引用文件
3定义和缩略语
附录A(资料性附录)
用录BC资料性附录)
附承C(资料佳附录)
附录DC资料性附录)
附录E(资料性阳录)
参考文献
风险和安全完整性的通用概念
GB/T20438.52006/IEC61508-5.1998合理可行的低(ALARP)和充许风险概念安全完整性等级的确定:一种定量方法确定安全完餐性等级
安全完整性等级的确定
图1GB/T20138的总体报架
风险降低:通用概志
风险和安全完整性概念
等同于GB/T20438.1-2006中的用6充许风险和ALARP
安全完整性分配:安全防护系统示例风险图.总框图
风险图·示例只说明一般原理………种定性方法:风险图·
种定性方法:危险事件严量性柜阵危险事件严重性矩阵示钢(只说明一轻原理意外事件的风险等级示例
风险等级解释
风险图示例中的有关数据示例(图D.23表D.1
GB/T20438由下列7部分构成:
第1部分·一股要求:
GB/T20438.5-—2005/IEC61508-5.1998第2部分:电气/电子/可编程电子安全相美系统的要求:第3部分:软件要求:
第4部分,定文和缩略语:
第5部分:确定安全完整性等级的方法示:第6部分.GB/T20438.2和GB/T20438.3的应用指南:一第7部分:技术和指施概述。
本部分是GB/T20438的第5部分,本部分等同采用国际标准IEC61508-5:1998(第1版)电气/电子/可编程电于安全相美系镜的功能安全第5部分:确定安全完整性等级的方法示例(英文版),本部分附录A附录B、阳景C、附录D附录E为骑料性附录.本部分与1EC61508-5:1998在找术内容上没有差异,为便于使用作了下刻编辑性修改)将\IEC61508\改为\GB/T20438”b)本“国际标准”一同改为“本标准”副除国际标准中1.2中注2.因为此注所表连的是IEC61508在美国和加拿大等国的应用情说,与疫国的实际不符,所以别除。)用小数点”“代替作为小数点的逗号””本部分由中国机械工业联合会提出,本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)归口,本部分曲机裁工业便器仪表综合技术经法研究所负责起草本部分主要起草人王莉、梅恪冯晓升,郑旭、欧阳劲轻等,GB/T20438.5-2006/IEC61508-5.1998引言
由电气和电子器件构成的系统,多年来在许多领域中执行其安全功能,以计好机为基础的系统一般指可缩程电子系统(PES))在许多领域中用于非安全目的,但也越来越多地用于安全目的,为使计算机系统技术更有效安全的使用,有必要进行安全方面的指导GB/T20138针对由电气或电子和可编程电子都件构成的起安全作用的电气/电子/可编程电子系统(E/E/PES)的整体安全生命周期,提出了一个通用的方法。建立统一的方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的,合理的技术方针,主要目标是促进应用领域标准的制定。在许多情况下,可用多种基于不同技术的防护系统来保证安全(如机械的、寇压的气动的,电气的、电于的,可缩程电子的,等等),从安全战略角度,不仅要考虑各系烧中元器件的间题(如传感器,控制器,行器等),而且要考惠构成组合安全相关系统的所有安全相关系统,固此GB/T20438对电气/电于/可编程电子E/E/PE)安全相美系统进行了规定,GB/T20438还提出了一个握架,在这个框架内,基于其他技术的安全相关系统也可同时被考忠进去。在各种应用领域里,存在着许多留在的危险和风险,包含的复杂性也各不相同,从面需应用不同的E/E/PES,对每个特定的应用,则根需应用的不同面确定所需的安全量,GB/T20438仅是使这些量值规范化。
GB/T20438
一考虑了当使用E/E/PES执行安全功能时,所沙及到的装体安全生命周期,E/E/PES安全生命周期以及款件生命周期的各阶段(如初始构思,整十设计,实现,运行和维护到停用),针对飞速发展的技术,建立一个足筝健壮雨广泛的能精足今后发展需要的概架。有利于促进E/E/PES安全相美系统在不同领故中相关标准的制定,各虚用领战和交叉应用领域相关标准应在GB/T20438的框架下制定,使之具有高水平的一致性(如基确原理,术语等的一致性),并将既安全又经济,一为达到E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法。一使用了一个安全完整性等级,此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的目标全完整性等级。
一采用了一种可确定安全完整性等级要求的基于风险的方案。建立了E/E/PE安全相关系就的数值目标失效量,这些量都同安全完整性等级相联系。一建立了危险失效模式中目标失效量的一个下限,此下限是对单一E/E/PE安全相关系统的要求.
这些系统运行在:
1低要求操作模式下,为了执行它的设计功能,一且要求时,就把下限设定成平均失效概率为10-,
2)高要求操作模式或者连续操作模式下下限设定皮危险失效抵率为10-*/h。注:单一E/E/PE安全相关系统不一定是单适道结构,一采用广装的原理,技术和指施以达到E/E/PE安全相关系统的功能安全,但不使用失效-安全的概念,这个概念是在很好定义了失效模式,并且复杂性相对较低时的一个数值,由于E/E/PE安全相关系烧的复杂性均在GB/T20438范围之内,因此不适用失效-安全的概意:1范围
GB/T20438.52006/1EC61508-51998电气/电子/可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例
1.1本部分提供以下信息:
风险的基础短念和风险与安全完整性之间的关系(见附录A):提供能确定E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施的安全完整性等级的一系列方法(见附录B.用录C.附录D和附录E印)1.2方法的选择应依赖应用锡域和特定环境,附录B、附录C、阳录D和附录E列出了定性和定量的方法并为说明基酷的原理已选行简化,这些附录已包括在说明一系列方法的通用原理中但不提供明确的计算,如使用附录中提到的方苦需套询有美原始材料。注,如想取更生附录B,附录D和时录E中说明的方法的有美信息,参见参考文献中的[L2了和[3],对于用加的方法的措达参见参考文献中的[5],1.3GB/T20438.1.GB/T20438.2.GB/T20438.3和GB/T20438.4是基础安全标准,量然它们不适用于简单的E/E/PE安全相关系统C见GB/T20438.4一20063.4.4.作为基确标准,可以在IEC导则104和ISO/IEC导则51的指导下,由相关的技术委员会使用,对手每个技术委员会,帮有责任在其制定的标准中使用基础标准,同时,GB/T20438也是一个可独立使用的标准,1.4图1表示了GB/T20438的整件柜框架,同时明确了在达到E/E/PE安全相美系晓功能安全过程中本部分的作用。
2规范性引用文件
下列文件中的条收遇过GB/T20138的本部分的引用面成为本部分的条款,凡是注日期的引用文件,其随后所有的修改单(不包括谢误的内容)或修订版均不适用于本部分,您而,装励根据本部分达成协议的各方研究是否可使用这此文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本部分,GB/T20438.1一2006电气/电子/可编程电子安全相关系统的功能安全第1都分:一般要求(IEC61508-1:1998.IDT)
GB/T20438.2-2006电气/电子/可编程电于安全相关系缆的功解安全第2部分:对电气/电子/可编程电于安全相关系统的要求(IEC61508-2:2000,IDT)GB门20438.3-2006电气/电子/可编程电子安全相关系优的功能安全第3部分:软件要求(IEC61508-3.1998.IDT)
GB/T20438.4一2006电气/电子/可输程电于安全相关系统的功能安全第4部分:定义和缩略话(IEC61508-4:1998.IDT)
GB/T20438.62006电气/电子/可编程电子安全相美系统的动能安全第6部分:GB/T20438.2和GB/T20438.3的应用指南(IEC61508-6:2000.IDT)GB/T20438.7一2006电气/电子/可编程电子安全相美系统的功能安全第7部分:技术和指施概送(IEC61508-72000.IDT)
IS0O/IEC导则51:1990安全方面在标准中引人安全条款的指南IEC导则104:1997安全出版物的编写及基本安全出版物和分类安全出版物的应用3定义和蹈略语
见 GB/T 20438.4.
CB/T20438.5-2006/IEC61508-5:1998请
赖制马的安全要求(额忘,商照,定支,的和风限务断)(E/E/PE安全相美系续,其他股术安全和关系就及外部质险即低投施)
第8分
E/E/PE安全相关率现智关的系院克全夏求的牙配
E/E/PB安全相
安全装件的实
美系能的实膜
第之题分
现验股
如樱分
E/已E/PE安全相关系的要装,证送行和要全性动认
黄服分
E/E/PE安全初关系能的然荐,推萨。快改和改型停用或者处理
7.15~7.17
提术型求
第5部分
报配风险创定安全究整
性要求的方站
技术和精能机理
第6郎分
第分和第
分的皮用酸者
图1GBT20438的总体格架
其能画滑
武文和增略研
第4喝分
第5章和程量A
功创安全的督理
1部分
我阅安全评信
第1部分
A1一般要求
阳最A
(资料性附录)
GB/T20438.5-2006/TEC61508-5:1998风险和安全完整性的通用概念
本附录提供风险和风险与安全完整性之间关系基本概念的有关信息。A2必要的风险降低
必要的风险降低(见GB/T20438.4—2005中的3.5.142是降低风险来保证在特定情况下不超过充许风险(可以定性或定量”说明)必要的风险降低的概念在开发E/E/PE安全相关系统的安全要求方面非常重要(特别是安全要求中的安全完整性部分),确定特定危险事件的允许风险的口的是说明危险事件的期宰(或概率)和其特定后果哪一个更合理,安全相关系统应为减少危险事件的额率(或概率)和/或危险事件的后果而设计。
允许风险应依据许多固素(如伤害的严重程度,暴辞在危险中的人数,一个人/多人暴露在危险中的别常和持读时间决定,重要的因素应是景需在危险中的人的感觉和现党,对于一个特定应用允许风险的构哦,应者虑以下一系到输人:相关权成安全法现的导购,
与应用有美的不同团体的讨论与协议。工业标准和导则。
国际讨论和协设·国家标准和国际标准在免定特定应用的允许风险基准中起到越来越重要的作用。
一来自咨海机构的最好的驻立工业,专家和科学的建议,通用的和直接与特定应用有美的法律要求,A.3E/E/PE安全相关照统的作用
E/E/PE安全相关系统可满足必要的风险降低,以便特合充许风险的要求,安全相关系统!
实现所要求的安全功能·使受控设备达到安全状态或保持受控设备的安全款态井自身或与其他E/E/PE安全相关系统、其他技术安全相美系统或外部风险降低设施实现所要求的安全功能的必需的安全完整性,注1,定义的第一部分规定安全相关系脱必顾完成安全功能要求规范中规定的安全功能,例如安全功够要求现范可能说明普温度适到工,阅立打开,光许水人管道中。连2,定文的第二命分规定安全功能应由对应用言具有置信理的安全相关累境亲完虚,以选到充许风险。一个人可能会是E/E/PE安全相关系统的一个完整部分,如一个人可作为EUC通过屏落显示来获取信息,并根据这一信息完成安全操作E/E/PE安全相关系晓可在低要求摄作模式或高要求撑作模式或连续摄作模式下操作A.4安全宪整性
安全完整性定义为在规定的条件下,规定的时间内,安全相美系既成功实现所要求的安全功能的概1
在达利充许风险的过程中,两要建立叁要的风险降低,IEC61506-5中的厨录D和附录E始出了定性方送,尽管必要的风险降概引用的创子是路营的妞会面非明显说明的,2)例如,导致规定后果的意险事件,其发生题车不能大于10°次/h,GB/T20438.5—2006/IEC61508-5.199B率(见GB/T20438.4一2006中的3.5.2)。安全完整性与执行安全功能的安全相关系统的性能有关(执行的安全功能将在安全功能要求规范中说明),安全完整性可认为由下列两个因靠组成:硬件安全完堂,这部分安全完整性与在危险的失效模式下的随机硬件失效有关(见GB/T20438.4一2006中的3.5.5),安全硬件安全完整性规定等缓的成就可在一个合理的水平下精确估计,并将其要求用组合概率的适用法规在子系烧中进行分配,可能需要使用完会结构来达到足够的硬件安全完整性。系统安全完整性,这部分安全完整性与在危险的失效棋式下的系烧先效有关(见GB/T20438.4一2006中的3.5.4)。尽管与系统失效有关的平均失效率可估计,但从设计失效和共同原固尖教获得的失效数据印失效的分布难以顶计,这样便增加了特定情况下失效概率计算的不确定性(例如安全防护系统的失效概率),固此肾做出选择最佳技术的判定将不确定性最小化,不必注意减少随机硬件失效概率的指施可储对系统失效的概率产生影哨这一情说。像同一更件的余通道的技术一样,它在控制随机硬件失效方面非常有效,但在减少系统失效方面作用非常有限。
E/E/PE安全相关系统、其他技术安全相关系绕和外部风险降低设施所要求的安全完整性必频在相应等级以保证!
一一安全相关系统的失效赖率足够低以防止危险事件频率超过要求的充许风险,和/或一安全相关系统将失效后果修改至端足充详风险要求的范围内。图A.1说明风险降低的遇用概念,通用模式假定:一一有一个EUC和EUC控制系统。一有关联的人为固靠同题,
安全防护特性包括:
1)外部风险降低设施:
2)E/E/PE安全相关系统I
3)其他技术安全相关系统,
连:图A1是说勇道用原理的通用风险模型。特定应用的风险模式带考惠E/E/PE安全相关系姚和/或其他技术安全相关系说和/或外影风险降低设能实际取课的必要的风险降低中的特定方式来开爱,因此相关的风险模型可能不网于图A1+
图A1中的各种风险为:
EUC风险:EUC.EUC控制系统和有关人为因素的特定危险事件中存在的风险一一在确定这一风险时未考感指定的安全防护特性。一一充许风险:根据当今社会水平所能接受的风险C见GB/T20438.4一2006中的3.1.6).现余风险,标准文车中,残余风险是使用了附加外部风险降低设施,E/E/PE安全相关系统和其他技术安全相关系统见GB/T20438.12006中的3.1.7)后,存在于EUC.EUC控制系统,人为固素的特定危险事件中的风险EUC风险是一种与EUC本身有关的风险功能,但也考虑EUC控制系统带来的风险降低,为防止对EUC控制系烧提出不合理的安全完整性要求,GB/T20438对可提出的要求进行了限制见GB/T20438.1-2006中的7.5.2.5)必要的风险降低是通过所有安全防护性能的结合英得的,图A1表示了从EUC风险的开始点获得特定充许风险的必要的风险降低。A.5风险和安全完整性
正确区分并完全理解风险和安全完整性是非常重要的。风险是对一个特定危险事件出现的概事和结果的估量,可以对不同情说的风险进行评价(EUC风险,要求满足允许风险的风险,实际风险C见图A.1>》。允许风险根据社会基础和有关社会和政治因索的考虑来确定,安全完整性只应用于E/E/PEGB/T20438.5-2006/IEC61508-5.1998安全相关系统、其他技术安全相美系统和外部风险降低设施:并作为这些系统/功能在规定安全功施方面取得必要的风险降低的概率的指施,一且确定了允许风险,并估计了必要的风险降低,就可分配安全相关系统的要全完整性要求(见GB/T20438.1-2006中的7.4、7.5和7.6),注,分配需重复以便使设舒最优化以端足备种要求安全相关系统在装取必要的风险降低方面所起的作用由图A.1和图A2来说明。现牵风险
技真地技术安全
相关系统理验的
富分风险
意险事件的
急险事格的
EUC和EUC格M系牌
免件风险
坚要的风险降低
实欧风险降摄
赣E/E/PE安全
相关不乾需首的
都分风
杭外品A险降班
这随醒置的馨分
商有安登系使和外想限险降延改服所展得的风险降能风险降低,遇用概念
外静风险
#虹设械
/ETE竞全
相美染
空要的风意降低
其地技术安
全相关系题
务器风险降纸设施资全完整性和与要要的风险降您店配的安全相美系您
图A.2风险和安全完整性概念
风险端
光许风
GB/T 20438.5-2006/IEC61508-5.19986安金完整性等级和软件安全完整性等级为遇足安全相关系挑需达到的范国广还的必要的风险降低,用一系列安全完整性等级来满足分配到安全相关系统的安全功能的安全完整性要求的方法。软安全完整性等设是规定安全软件执行的安全功施的安全完整性要求的基础。安全完整性要求规范应规定E/E/PE安全相关系统的安全完整性等级。
GB/T20438中,规定了四种安全完整性等级,安全完整性等级4为量高,安全完整性等级1为最低,
对国种安全完整性等级的安全完整性等级日标失效量的规定见GB/T20438.1—2006中的表2和表3,规定了两种参数,一种用于低要求提作模式的安全相关系统,另一种用手高要求操作模式或连续接作模式的安全相关系烧
注:对于低要求得作式的安全相美系悦,安全完胜性量值是提据要求执行其臣计功能的央效就车,对于高要求择作模式成连续择作模式的安全相关系晚,安全完整性量值是每小时意险央效的平均格率(见GB/T20438.4一2006中的3.5.12知3.5.132
A.7安全要求分配
在E/E/PE安全相关系统,共他技术安全相关系统和外部风险降低设施之向的安全要求分配(安全功能和安全完整性要求)见图A.3C同GB/T20438.1一2006中的图A.6),安全要求分配阶段的要求见GB/T20438.1-2006中的7.6
在E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施之间的安全要求分配的方法是对必要的风险降低分别用数字的或定性的方法进行规定,这些方法分别被称为定量或定性方祛(见附录B.附录C.阳录D和附景E)每十全功能及其实全
完数植国家的分所
规定安全完者
性要求的有携
其慢技零究
豆的风
险降纸
免#的具
险阵低
安全完款
健等做
全恒系桃
EE/PE安全程笑系忧
EPE/PE要全程关系蚝
E/E/PE实专国关托
外营风险
E/E/PE安全和关系晚
E/EPE安全相美系牌
对题立的E/E/PE安全相美系烧助股计要求,黑GB/T204382群1安全亮整性要求是与分配之前的各安全功储相联系的是7,5,之6连2,一个安全功愿可能分配于多个的全相美系境,图A.3等间于GB/T20438.1—2006中的图66
B.1一般要求
附景B
(资料性附景)
GB/T20438.5-2006/1EC61508-5:1998合理日行的低ALR聘的和充许民验摄象本附录考虑了取得充许风险的一个特球方法,目的不是为了提供明确的方法而是表示基本的原理。应用本附景中所提到的方法需查询原始材料。B.2ALARP模型
B.2.1简介
2指迷了应用在规定工业阅险的主要谢试,并指出与确定以下内容有关的活动,风险非常大,必完全扣除:或
的将产生或已产生的风险非常小,可以认为无美紧要或风险介于上送的和的之间,并已载降低到可行的最低水平,考惠接受风险带来的利益和在何进一步小风险所需的成本。
根据c),ALARP原理要求任何风险必须降低到可行的合理水平或与可行的合理水平一样低C即最后5个字构成了缩写的ALARP),如果风险介于两个极限值之问(即不可行的区战和广泛可接受的区域),并应用了ALARP原理,达样产生的风险即这种特定应用的充许风险,图B1表示了三个区域,不光许区端
ALARP成光许区域
成美摩供得科花就可市
甜风险方
广理可菱爱的区城
CE西方路EALARP进行
招数工作
可思的R
除非在特痒情况下,不的对风除避福州斯
用有置理一费乱隐降低不可行成共成车与获得的改进非常不相称时的允略值减小风险时,共战域小,相对百富,换足ALARP所弱的就小,英量前小,素三能形表学了减小比制的最老香型通保风照维降在达一水平
图B.1充许风险和ALARP
在一定的水平之上,风险被认为是不充许的,并且不能在任何正常情祝下进行判断。低于这一水平,存在一个充许区坡,在此范国内可采取将有美风险降低到可行的合理水平的措施,在这里充许不同于可接是,其表明达样一种愿望,即允许风险存在以保证一定利益,同时又期望它保持GB/T20438.5-2006/IEC61508-5:1998在可检在并能被成小的范国内,在此要求一个或请慧欢含着地权衡虎本和需要或其他附加安全量的成本一一利益评估。风险越高,需用于减少风险的花费会比例的加大,在可充许的极限,应对获得的利益和不成比例的花费进行判划断,此处将实质定义风险,并对相应努力的同等要求进行判断,既使风险只减小了一点。免费标准bzxz.net
当风险较不明是时,电只需较小比例花费去减小风院,在充许区域的低值增,会达到成本与利益的平街。
在低于允许区域,风险的水平被认为是非常不明显,不借要进一步改善,这是一个广泛接受区城,在此区域内风险小手我们每天会实际经历的风险,无需为论证ALARP进行细致工作,但需提高管码以确保风险维持在政一水平。
当采用定性或定量的风险目标时可使用ALARP的模忘。B.2.2说明了定量风险日的的方法(附录C说明了一种定量方法+陷录D和附录E说明了对一特定危险确定必要的风险降低的定性方法,说明的方法可以踏合ALARP概念用于做出决定)。注,券考文献L幻结出了ALARP的进一步信息,B.2.2充详风险目标
获得允许风险目标的一个方法是对于一系列确定的后果,分配充许额率。后果与充许频率的匹配应在有关机构中计论并达感一致(如安全管理政府机构,产生民险的机构和承受风险的机构)。考虑ALARP概念,后果与允许额率的匹配可适过风险等级确定,表B1是一系列后果和额率的四种风险等级(1.23,4)的示例。表B2使用ALARP概念解释了每一风险等级,四种风险等级中的每一种指述都依据图B。这些风险等级定文中的风险是采取风险降低措施后出现的风险,根据图B.1.风险等级如下
风险等级1在不充许区域:
风险等级2和风险等级3在ALARP区域,风险等级2正好在ALARP区域内:风险等级4在广至可接受区城。
对每一种规定的情况或可比轻的工业领域,将考虑大量的社会、政治和经济因索,并开爱类似于表B1的表,每一后果将与题串相匹配,并将风险等级填人表中,创如,表B1中的频宰可指明很可能持续出现的事件可能技规定赖率大于每年10次,一个危险的后果是个死亡或大量严重伤害或产重职业。
表B1意外事件的风险等级示例
强贰发生
温可能发生
西发生
极小可能发生
不可骼变生
理以相信会安生
大克理
不严重
可急略
注1,风险等圾1.2、3.4的实序数与领域有关,并根器实际题率是额靠,可能等,因此点将本表看作是一个说明如胃填写此类表的录例,需不是对未来应用的规范,驻2:从本表中的题率确定安全完整性等娱的方法在障采C中说明
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T20438.5-—2006/IEC61508-5:1998电气/电子/可编程电子安全相关系统的功能安全拿
第5部分:确定安全完整性
等级的方法示例
Functional safety of electrical/electronic/programmable electronicsafety-related systems-Part 5:Examples of methods forthe determination of safety integrity levels(IEC61508-5.1998.IDT)
2006-07-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-01-01实施
1范围
2规范性引用文件
3定义和缩略语
附录A(资料性附录)
用录BC资料性附录)
附承C(资料佳附录)
附录DC资料性附录)
附录E(资料性阳录)
参考文献
风险和安全完整性的通用概念
GB/T20438.52006/IEC61508-5.1998合理可行的低(ALARP)和充许风险概念安全完整性等级的确定:一种定量方法确定安全完餐性等级
安全完整性等级的确定
图1GB/T20138的总体报架
风险降低:通用概志
风险和安全完整性概念
等同于GB/T20438.1-2006中的用6充许风险和ALARP
安全完整性分配:安全防护系统示例风险图.总框图
风险图·示例只说明一般原理………种定性方法:风险图·
种定性方法:危险事件严量性柜阵危险事件严重性矩阵示钢(只说明一轻原理意外事件的风险等级示例
风险等级解释
风险图示例中的有关数据示例(图D.23表D.1
GB/T20438由下列7部分构成:
第1部分·一股要求:
GB/T20438.5-—2005/IEC61508-5.1998第2部分:电气/电子/可编程电子安全相美系统的要求:第3部分:软件要求:
第4部分,定文和缩略语:
第5部分:确定安全完整性等级的方法示:第6部分.GB/T20438.2和GB/T20438.3的应用指南:一第7部分:技术和指施概述。
本部分是GB/T20438的第5部分,本部分等同采用国际标准IEC61508-5:1998(第1版)电气/电子/可编程电于安全相美系镜的功能安全第5部分:确定安全完整性等级的方法示例(英文版),本部分附录A附录B、阳景C、附录D附录E为骑料性附录.本部分与1EC61508-5:1998在找术内容上没有差异,为便于使用作了下刻编辑性修改)将\IEC61508\改为\GB/T20438”b)本“国际标准”一同改为“本标准”副除国际标准中1.2中注2.因为此注所表连的是IEC61508在美国和加拿大等国的应用情说,与疫国的实际不符,所以别除。)用小数点”“代替作为小数点的逗号””本部分由中国机械工业联合会提出,本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)归口,本部分曲机裁工业便器仪表综合技术经法研究所负责起草本部分主要起草人王莉、梅恪冯晓升,郑旭、欧阳劲轻等,GB/T20438.5-2006/IEC61508-5.1998引言
由电气和电子器件构成的系统,多年来在许多领域中执行其安全功能,以计好机为基础的系统一般指可缩程电子系统(PES))在许多领域中用于非安全目的,但也越来越多地用于安全目的,为使计算机系统技术更有效安全的使用,有必要进行安全方面的指导GB/T20138针对由电气或电子和可编程电子都件构成的起安全作用的电气/电子/可编程电子系统(E/E/PES)的整体安全生命周期,提出了一个通用的方法。建立统一的方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的,合理的技术方针,主要目标是促进应用领域标准的制定。在许多情况下,可用多种基于不同技术的防护系统来保证安全(如机械的、寇压的气动的,电气的、电于的,可缩程电子的,等等),从安全战略角度,不仅要考虑各系烧中元器件的间题(如传感器,控制器,行器等),而且要考惠构成组合安全相关系统的所有安全相关系统,固此GB/T20438对电气/电于/可编程电子E/E/PE)安全相美系统进行了规定,GB/T20438还提出了一个握架,在这个框架内,基于其他技术的安全相关系统也可同时被考忠进去。在各种应用领域里,存在着许多留在的危险和风险,包含的复杂性也各不相同,从面需应用不同的E/E/PES,对每个特定的应用,则根需应用的不同面确定所需的安全量,GB/T20438仅是使这些量值规范化。
GB/T20438
一考虑了当使用E/E/PES执行安全功能时,所沙及到的装体安全生命周期,E/E/PES安全生命周期以及款件生命周期的各阶段(如初始构思,整十设计,实现,运行和维护到停用),针对飞速发展的技术,建立一个足筝健壮雨广泛的能精足今后发展需要的概架。有利于促进E/E/PES安全相美系统在不同领故中相关标准的制定,各虚用领战和交叉应用领域相关标准应在GB/T20438的框架下制定,使之具有高水平的一致性(如基确原理,术语等的一致性),并将既安全又经济,一为达到E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法。一使用了一个安全完整性等级,此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的目标全完整性等级。
一采用了一种可确定安全完整性等级要求的基于风险的方案。建立了E/E/PE安全相关系就的数值目标失效量,这些量都同安全完整性等级相联系。一建立了危险失效模式中目标失效量的一个下限,此下限是对单一E/E/PE安全相关系统的要求.
这些系统运行在:
1低要求操作模式下,为了执行它的设计功能,一且要求时,就把下限设定成平均失效概率为10-,
2)高要求操作模式或者连续操作模式下下限设定皮危险失效抵率为10-*/h。注:单一E/E/PE安全相关系统不一定是单适道结构,一采用广装的原理,技术和指施以达到E/E/PE安全相关系统的功能安全,但不使用失效-安全的概念,这个概念是在很好定义了失效模式,并且复杂性相对较低时的一个数值,由于E/E/PE安全相关系烧的复杂性均在GB/T20438范围之内,因此不适用失效-安全的概意:1范围
GB/T20438.52006/1EC61508-51998电气/电子/可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例
1.1本部分提供以下信息:
风险的基础短念和风险与安全完整性之间的关系(见附录A):提供能确定E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施的安全完整性等级的一系列方法(见附录B.用录C.附录D和附录E印)1.2方法的选择应依赖应用锡域和特定环境,附录B、附录C、阳录D和附录E列出了定性和定量的方法并为说明基酷的原理已选行简化,这些附录已包括在说明一系列方法的通用原理中但不提供明确的计算,如使用附录中提到的方苦需套询有美原始材料。注,如想取更生附录B,附录D和时录E中说明的方法的有美信息,参见参考文献中的[L2了和[3],对于用加的方法的措达参见参考文献中的[5],1.3GB/T20438.1.GB/T20438.2.GB/T20438.3和GB/T20438.4是基础安全标准,量然它们不适用于简单的E/E/PE安全相关系统C见GB/T20438.4一20063.4.4.作为基确标准,可以在IEC导则104和ISO/IEC导则51的指导下,由相关的技术委员会使用,对手每个技术委员会,帮有责任在其制定的标准中使用基础标准,同时,GB/T20438也是一个可独立使用的标准,1.4图1表示了GB/T20438的整件柜框架,同时明确了在达到E/E/PE安全相美系晓功能安全过程中本部分的作用。
2规范性引用文件
下列文件中的条收遇过GB/T20138的本部分的引用面成为本部分的条款,凡是注日期的引用文件,其随后所有的修改单(不包括谢误的内容)或修订版均不适用于本部分,您而,装励根据本部分达成协议的各方研究是否可使用这此文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本部分,GB/T20438.1一2006电气/电子/可编程电子安全相关系统的功能安全第1都分:一般要求(IEC61508-1:1998.IDT)
GB/T20438.2-2006电气/电子/可编程电于安全相关系缆的功解安全第2部分:对电气/电子/可编程电于安全相关系统的要求(IEC61508-2:2000,IDT)GB门20438.3-2006电气/电子/可编程电子安全相关系优的功能安全第3部分:软件要求(IEC61508-3.1998.IDT)
GB/T20438.4一2006电气/电子/可输程电于安全相关系统的功能安全第4部分:定义和缩略话(IEC61508-4:1998.IDT)
GB/T20438.62006电气/电子/可编程电子安全相美系统的动能安全第6部分:GB/T20438.2和GB/T20438.3的应用指南(IEC61508-6:2000.IDT)GB/T20438.7一2006电气/电子/可编程电子安全相美系统的功能安全第7部分:技术和指施概送(IEC61508-72000.IDT)
IS0O/IEC导则51:1990安全方面在标准中引人安全条款的指南IEC导则104:1997安全出版物的编写及基本安全出版物和分类安全出版物的应用3定义和蹈略语
见 GB/T 20438.4.
CB/T20438.5-2006/IEC61508-5:1998请
赖制马的安全要求(额忘,商照,定支,的和风限务断)(E/E/PE安全相美系续,其他股术安全和关系就及外部质险即低投施)
第8分
E/E/PE安全相关率现智关的系院克全夏求的牙配
E/E/PB安全相
安全装件的实
美系能的实膜
第之题分
现验股
如樱分
E/已E/PE安全相关系的要装,证送行和要全性动认
黄服分
E/E/PE安全初关系能的然荐,推萨。快改和改型停用或者处理
7.15~7.17
提术型求
第5部分
报配风险创定安全究整
性要求的方站
技术和精能机理
第6郎分
第分和第
分的皮用酸者
图1GBT20438的总体格架
其能画滑
武文和增略研
第4喝分
第5章和程量A
功创安全的督理
1部分
我阅安全评信
第1部分
A1一般要求
阳最A
(资料性附录)
GB/T20438.5-2006/TEC61508-5:1998风险和安全完整性的通用概念
本附录提供风险和风险与安全完整性之间关系基本概念的有关信息。A2必要的风险降低
必要的风险降低(见GB/T20438.4—2005中的3.5.142是降低风险来保证在特定情况下不超过充许风险(可以定性或定量”说明)必要的风险降低的概念在开发E/E/PE安全相关系统的安全要求方面非常重要(特别是安全要求中的安全完整性部分),确定特定危险事件的允许风险的口的是说明危险事件的期宰(或概率)和其特定后果哪一个更合理,安全相关系统应为减少危险事件的额率(或概率)和/或危险事件的后果而设计。
允许风险应依据许多固素(如伤害的严重程度,暴辞在危险中的人数,一个人/多人暴露在危险中的别常和持读时间决定,重要的因素应是景需在危险中的人的感觉和现党,对于一个特定应用允许风险的构哦,应者虑以下一系到输人:相关权成安全法现的导购,
与应用有美的不同团体的讨论与协议。工业标准和导则。
国际讨论和协设·国家标准和国际标准在免定特定应用的允许风险基准中起到越来越重要的作用。
一来自咨海机构的最好的驻立工业,专家和科学的建议,通用的和直接与特定应用有美的法律要求,A.3E/E/PE安全相关照统的作用
E/E/PE安全相关系统可满足必要的风险降低,以便特合充许风险的要求,安全相关系统!
实现所要求的安全功能·使受控设备达到安全状态或保持受控设备的安全款态井自身或与其他E/E/PE安全相关系统、其他技术安全相美系统或外部风险降低设施实现所要求的安全功能的必需的安全完整性,注1,定义的第一部分规定安全相关系脱必顾完成安全功能要求规范中规定的安全功能,例如安全功够要求现范可能说明普温度适到工,阅立打开,光许水人管道中。连2,定文的第二命分规定安全功能应由对应用言具有置信理的安全相关累境亲完虚,以选到充许风险。一个人可能会是E/E/PE安全相关系统的一个完整部分,如一个人可作为EUC通过屏落显示来获取信息,并根据这一信息完成安全操作E/E/PE安全相关系晓可在低要求摄作模式或高要求撑作模式或连续摄作模式下操作A.4安全宪整性
安全完整性定义为在规定的条件下,规定的时间内,安全相美系既成功实现所要求的安全功能的概1
在达利充许风险的过程中,两要建立叁要的风险降低,IEC61506-5中的厨录D和附录E始出了定性方送,尽管必要的风险降概引用的创子是路营的妞会面非明显说明的,2)例如,导致规定后果的意险事件,其发生题车不能大于10°次/h,GB/T20438.5—2006/IEC61508-5.199B率(见GB/T20438.4一2006中的3.5.2)。安全完整性与执行安全功能的安全相关系统的性能有关(执行的安全功能将在安全功能要求规范中说明),安全完整性可认为由下列两个因靠组成:硬件安全完堂,这部分安全完整性与在危险的失效模式下的随机硬件失效有关(见GB/T20438.4一2006中的3.5.5),安全硬件安全完整性规定等缓的成就可在一个合理的水平下精确估计,并将其要求用组合概率的适用法规在子系烧中进行分配,可能需要使用完会结构来达到足够的硬件安全完整性。系统安全完整性,这部分安全完整性与在危险的失效棋式下的系烧先效有关(见GB/T20438.4一2006中的3.5.4)。尽管与系统失效有关的平均失效率可估计,但从设计失效和共同原固尖教获得的失效数据印失效的分布难以顶计,这样便增加了特定情况下失效概率计算的不确定性(例如安全防护系统的失效概率),固此肾做出选择最佳技术的判定将不确定性最小化,不必注意减少随机硬件失效概率的指施可储对系统失效的概率产生影哨这一情说。像同一更件的余通道的技术一样,它在控制随机硬件失效方面非常有效,但在减少系统失效方面作用非常有限。
E/E/PE安全相关系统、其他技术安全相关系绕和外部风险降低设施所要求的安全完整性必频在相应等级以保证!
一一安全相关系统的失效赖率足够低以防止危险事件频率超过要求的充许风险,和/或一安全相关系统将失效后果修改至端足充详风险要求的范围内。图A.1说明风险降低的遇用概念,通用模式假定:一一有一个EUC和EUC控制系统。一有关联的人为固靠同题,
安全防护特性包括:
1)外部风险降低设施:
2)E/E/PE安全相关系统I
3)其他技术安全相关系统,
连:图A1是说勇道用原理的通用风险模型。特定应用的风险模式带考惠E/E/PE安全相关系姚和/或其他技术安全相关系说和/或外影风险降低设能实际取课的必要的风险降低中的特定方式来开爱,因此相关的风险模型可能不网于图A1+
图A1中的各种风险为:
EUC风险:EUC.EUC控制系统和有关人为因素的特定危险事件中存在的风险一一在确定这一风险时未考感指定的安全防护特性。一一充许风险:根据当今社会水平所能接受的风险C见GB/T20438.4一2006中的3.1.6).现余风险,标准文车中,残余风险是使用了附加外部风险降低设施,E/E/PE安全相关系统和其他技术安全相关系统见GB/T20438.12006中的3.1.7)后,存在于EUC.EUC控制系统,人为固素的特定危险事件中的风险EUC风险是一种与EUC本身有关的风险功能,但也考虑EUC控制系统带来的风险降低,为防止对EUC控制系烧提出不合理的安全完整性要求,GB/T20438对可提出的要求进行了限制见GB/T20438.1-2006中的7.5.2.5)必要的风险降低是通过所有安全防护性能的结合英得的,图A1表示了从EUC风险的开始点获得特定充许风险的必要的风险降低。A.5风险和安全完整性
正确区分并完全理解风险和安全完整性是非常重要的。风险是对一个特定危险事件出现的概事和结果的估量,可以对不同情说的风险进行评价(EUC风险,要求满足允许风险的风险,实际风险C见图A.1>》。允许风险根据社会基础和有关社会和政治因索的考虑来确定,安全完整性只应用于E/E/PEGB/T20438.5-2006/IEC61508-5.1998安全相关系统、其他技术安全相美系统和外部风险降低设施:并作为这些系统/功能在规定安全功施方面取得必要的风险降低的概率的指施,一且确定了允许风险,并估计了必要的风险降低,就可分配安全相关系统的要全完整性要求(见GB/T20438.1-2006中的7.4、7.5和7.6),注,分配需重复以便使设舒最优化以端足备种要求安全相关系统在装取必要的风险降低方面所起的作用由图A.1和图A2来说明。现牵风险
技真地技术安全
相关系统理验的
富分风险
意险事件的
急险事格的
EUC和EUC格M系牌
免件风险
坚要的风险降低
实欧风险降摄
赣E/E/PE安全
相关不乾需首的
都分风
杭外品A险降班
这随醒置的馨分
商有安登系使和外想限险降延改服所展得的风险降能风险降低,遇用概念
外静风险
#虹设械
/ETE竞全
相美染
空要的风意降低
其地技术安
全相关系题
务器风险降纸设施资全完整性和与要要的风险降您店配的安全相美系您
图A.2风险和安全完整性概念
风险端
光许风
GB/T 20438.5-2006/IEC61508-5.19986安金完整性等级和软件安全完整性等级为遇足安全相关系挑需达到的范国广还的必要的风险降低,用一系列安全完整性等级来满足分配到安全相关系统的安全功能的安全完整性要求的方法。软安全完整性等设是规定安全软件执行的安全功施的安全完整性要求的基础。安全完整性要求规范应规定E/E/PE安全相关系统的安全完整性等级。
GB/T20438中,规定了四种安全完整性等级,安全完整性等级4为量高,安全完整性等级1为最低,
对国种安全完整性等级的安全完整性等级日标失效量的规定见GB/T20438.1—2006中的表2和表3,规定了两种参数,一种用于低要求提作模式的安全相关系统,另一种用手高要求操作模式或连续接作模式的安全相关系烧
注:对于低要求得作式的安全相美系悦,安全完胜性量值是提据要求执行其臣计功能的央效就车,对于高要求择作模式成连续择作模式的安全相关系晚,安全完整性量值是每小时意险央效的平均格率(见GB/T20438.4一2006中的3.5.12知3.5.132
A.7安全要求分配
在E/E/PE安全相关系统,共他技术安全相关系统和外部风险降低设施之向的安全要求分配(安全功能和安全完整性要求)见图A.3C同GB/T20438.1一2006中的图A.6),安全要求分配阶段的要求见GB/T20438.1-2006中的7.6
在E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施之间的安全要求分配的方法是对必要的风险降低分别用数字的或定性的方法进行规定,这些方法分别被称为定量或定性方祛(见附录B.附录C.阳录D和附景E)每十全功能及其实全
完数植国家的分所
规定安全完者
性要求的有携
其慢技零究
豆的风
险降纸
免#的具
险阵低
安全完款
健等做
全恒系桃
EE/PE安全程笑系忧
EPE/PE要全程关系蚝
E/E/PE实专国关托
外营风险
E/E/PE安全和关系晚
E/EPE安全相美系牌
对题立的E/E/PE安全相美系烧助股计要求,黑GB/T204382群1安全亮整性要求是与分配之前的各安全功储相联系的是7,5,之6连2,一个安全功愿可能分配于多个的全相美系境,图A.3等间于GB/T20438.1—2006中的图66
B.1一般要求
附景B
(资料性附景)
GB/T20438.5-2006/1EC61508-5:1998合理日行的低ALR聘的和充许民验摄象本附录考虑了取得充许风险的一个特球方法,目的不是为了提供明确的方法而是表示基本的原理。应用本附景中所提到的方法需查询原始材料。B.2ALARP模型
B.2.1简介
2指迷了应用在规定工业阅险的主要谢试,并指出与确定以下内容有关的活动,风险非常大,必完全扣除:或
的将产生或已产生的风险非常小,可以认为无美紧要或风险介于上送的和的之间,并已载降低到可行的最低水平,考惠接受风险带来的利益和在何进一步小风险所需的成本。
根据c),ALARP原理要求任何风险必须降低到可行的合理水平或与可行的合理水平一样低C即最后5个字构成了缩写的ALARP),如果风险介于两个极限值之问(即不可行的区战和广泛可接受的区域),并应用了ALARP原理,达样产生的风险即这种特定应用的充许风险,图B1表示了三个区域,不光许区端
ALARP成光许区域
成美摩供得科花就可市
甜风险方
广理可菱爱的区城
CE西方路EALARP进行
招数工作
可思的R
除非在特痒情况下,不的对风除避福州斯
用有置理一费乱隐降低不可行成共成车与获得的改进非常不相称时的允略值减小风险时,共战域小,相对百富,换足ALARP所弱的就小,英量前小,素三能形表学了减小比制的最老香型通保风照维降在达一水平
图B.1充许风险和ALARP
在一定的水平之上,风险被认为是不充许的,并且不能在任何正常情祝下进行判断。低于这一水平,存在一个充许区坡,在此范国内可采取将有美风险降低到可行的合理水平的措施,在这里充许不同于可接是,其表明达样一种愿望,即允许风险存在以保证一定利益,同时又期望它保持GB/T20438.5-2006/IEC61508-5:1998在可检在并能被成小的范国内,在此要求一个或请慧欢含着地权衡虎本和需要或其他附加安全量的成本一一利益评估。风险越高,需用于减少风险的花费会比例的加大,在可充许的极限,应对获得的利益和不成比例的花费进行判划断,此处将实质定义风险,并对相应努力的同等要求进行判断,既使风险只减小了一点。免费标准bzxz.net
当风险较不明是时,电只需较小比例花费去减小风院,在充许区域的低值增,会达到成本与利益的平街。
在低于允许区域,风险的水平被认为是非常不明显,不借要进一步改善,这是一个广泛接受区城,在此区域内风险小手我们每天会实际经历的风险,无需为论证ALARP进行细致工作,但需提高管码以确保风险维持在政一水平。
当采用定性或定量的风险目标时可使用ALARP的模忘。B.2.2说明了定量风险日的的方法(附录C说明了一种定量方法+陷录D和附录E说明了对一特定危险确定必要的风险降低的定性方法,说明的方法可以踏合ALARP概念用于做出决定)。注,券考文献L幻结出了ALARP的进一步信息,B.2.2充详风险目标
获得允许风险目标的一个方法是对于一系列确定的后果,分配充许额率。后果与充许频率的匹配应在有关机构中计论并达感一致(如安全管理政府机构,产生民险的机构和承受风险的机构)。考虑ALARP概念,后果与允许额率的匹配可适过风险等级确定,表B1是一系列后果和额率的四种风险等级(1.23,4)的示例。表B2使用ALARP概念解释了每一风险等级,四种风险等级中的每一种指述都依据图B。这些风险等级定文中的风险是采取风险降低措施后出现的风险,根据图B.1.风险等级如下
风险等级1在不充许区域:
风险等级2和风险等级3在ALARP区域,风险等级2正好在ALARP区域内:风险等级4在广至可接受区城。
对每一种规定的情况或可比轻的工业领域,将考虑大量的社会、政治和经济因索,并开爱类似于表B1的表,每一后果将与题串相匹配,并将风险等级填人表中,创如,表B1中的频宰可指明很可能持续出现的事件可能技规定赖率大于每年10次,一个危险的后果是个死亡或大量严重伤害或产重职业。
表B1意外事件的风险等级示例
强贰发生
温可能发生
西发生
极小可能发生
不可骼变生
理以相信会安生
大克理
不严重
可急略
注1,风险等圾1.2、3.4的实序数与领域有关,并根器实际题率是额靠,可能等,因此点将本表看作是一个说明如胃填写此类表的录例,需不是对未来应用的规范,驻2:从本表中的题率确定安全完整性等娱的方法在障采C中说明
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。