GB/T 20438.7-2006
基本信息
标准号: GB/T 20438.7-2006
中文名称:电气/电子/可编程电子安全相关系统的功能安全 第7部分: 技术和措施概述
标准类别:国家标准(GB)
标准状态:现行
发布日期:2006-07-25
实施日期:2007-01-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:3270461
标准分类号
标准ICS号:机械制造>>25.040工业自动化系统
中标分类号:仪器、仪表>>工业自动化仪表与控制装置>>N10工业自动化与控制装置综合
关联标准
采标情况:IEC 61508-7:2000
出版信息
出版社:中国标准出版社
页数:平装16开 页数:79, 字数:154千字
标准价格:30.0 元
计划单号:20020922-T-604
出版日期:2007-01-01
相关单位信息
首发日期:2006-07-25
起草人:欧阳劲松冯晓升、王莉、蔡廷安、马光武、梅恪、郑旭等。
起草单位:机械工业仪器仪表综合技术研究所
归口单位:全国工业过程测量和控制标准化技术委员会
提出单位:中国机械工业联合会
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:中国机械工业联合会
标准简介
GB/T 20438的本部分概述了与GB/T 20438.2和GB/T 20438.3有关的各种技术和措施,包括随机硬件失效控制、系统失效的避免、达到软件安全完整性的技术和措施的评述、确定预开发软件的安全完整性的方法等。 GB/T 20438.7-2006 电气/电子/可编程电子安全相关系统的功能安全 第7部分: 技术和措施概述 GB/T20438.7-2006 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS25.040
中华人民共和国国家标准
GB/T20438.7—2006/IEC61508-7:2000电气/电子/可编程电子安全相关系统的功能安全
第7部分:技术和措施概述
Functional safety of electrical/electronic/programmable electronicsafety-related systems-Part 7:Overview of techniques and measures(IEC61508-7:2000,IDT)
2006-07-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-01-01实施
华人民共
国家标准
电气/电子/可编程电子安全相关系统的功能安全第7部分:技术和措施概述GB/T20438.7—2006/IEC61508-7:2000*
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码:100045
网址spc.net.cn
电话:6852394668517548
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
880×12301/16
2007年2月第一版
字数154千字
2007年2月第一次印刷
如有印装差错
由本社发行中心调换
侵权必究
版权专有
举报电话:(010)68533533
规范性引用文件
3定义和缩略语
GB/T20438.7—2006/1EC61508-7:2000附录A(资料性附录)E/E/PES的技术和措施概述:随机硬件失效控制A.1
处理单元
不可变的存储区
可变的存储区
I/O单元和接口(外部通信)
数据通路(内部通信)
时序的和逻辑的程序序列监视
通风和加热
通信和大容量存储器
传感器
最终元件(执行器)
对于实际环境采取的措施
附录B(资料性附录)E/E/PES的技术和措施概述:系统失效的避免B.1
一般测量和技术
E/E/PES安全要求规范
E/E/PES的设计和开发
E/E/PES操作和维护规程
E/E/PES集成
E/E/PES安全性确认
附录C(资料性附录)
一般要求
达到软件安全完整性的技术和措施的评述要求和详细的设计
结构设计
开发工具和编程语言
验证和修改
功能安全评估
附录D(资料性附录)
确定预开发软件的软件安全完整性的一种概率法D.1
一般要求
统计测试公式及其应用举例
参考文献
GB/T20438.7—2006/IEC61508-7:2000参考文献
GB/T20438的总体框架
表C.1建议的专用编程语言
表D.1安全完整性等级的置信度的必要历史表D.2低要求操作模式的失效概率表D.3两个测试点的平均距离
表D.4高要求或者连续操作模式时的失效概率表D.5测试所有程序属性的概率
GB/T20438由下列7部分构成:
第1部分:一般要求;
GB/T20438.7—2006/IEC61508-7:2000第2部分:电气/电子/可编程电子安全相关系统的要求;第3部分:软件要求;
第4部分:定义和缩略语;
第5部分:确定安全完整性等级的方法示例;第6部分:GB/T20438.2和GB/T20438.3的应用指南;第7部分:技术和措施概述。
本部分是GB/T20438的第7部分。本部分等同翻译国际标准IEC61508-7:2000-03(第1版)《电气/电子/可编程电子安全相关系统的功能安全第7部分:技术和措施概述》英文版)。附录A、附录B、附录C、附录D为资料性附录。本部分与IEC61508-7:2000在技术内容上没有差异,为便于使用做了下列编辑性修改:a)将\IEC61508\改为GB/T20438”,本“国际标准”一词改为“本标准”b)
删除国际标准中1.2中注2,因为此注所表述的是IEC61508在美国和加拿大等国的应用情况,与我国的实际不符,所以删除;用小数点“,”代替原标准中作为小数点的逗号“,”。d)
本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)归口。本部分由机械工业仪器仪表综合技术经济研究所负责起草。本部分主要起草人:欧阳劲松、冯晓升、王莉、蔡廷安、马光武、梅恪、郑旭等。日
GB/T20438.7—2006/IEC61508-7:2000引言
由电气和电子器件构成的系统,多年来在许多领域中执行其安全功能,以计算机为基础的系统(一般指可编程电子系统(PES))在许多领域中用于非安全目的,但也越来越多地用于安全目的,为使计算机系统技术更有效安全的使用,有必要进行安全方面的指导。GB/T20438针对由电气或电子和可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PES)的整体安全生命周期,提出了一个通用的方法。建立统一的方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的、合理的技术方针,主要目标是促进应用领域标准的制定。在许多情况下,可用多种基于不同技术的防护系统来保证安全(如机械的、液压的、气动的、电气的、电子的、可编程电子的,等等)。从安全战略角度,不仅要考虑各系统中元器件的问题(如传感器、控制器、执行器等),而且要考虑构成组合安全相关系统的所有安全相关系统。因此GB/T20438对电气/电子/可编程电子E/E/PE)安全相关系统进行了规定。GB/T20438还提出了一个框架,在这个框架内,基于其他技术的安全相关系统也可同时被考虑进去。在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的E/E/PES。对每个特定的应用,则根据应用的不同而确定所需的安全量。GB/T20438仅是使这些量值规范化。
GB/T20438
-考虑了当使用E/E/PES执行安全功能时,所涉及到的整体安全生命周期、E/E/PES安全生命周期以及软件生命周期的各阶段(如初始构思,整个设计、实现、运行和维护到停用)。一针对飞速发展的技术,建立一个足够健壮而广泛的能满足今后发展需要的框架。有利于促进E/E/PES安全相关系统在不同领域中相关标准的制定,各应用领域和交叉应用领域相关标准应在GB/T20438的框架下制定,使之具有高水平的一致性(如基础原理,术语等的一致性),并将既安全又经济。为达到E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法。一使用了一个安全完整性等级,此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的目标安全完整性等级。
一一采用了一种可确定安全完整性等级要求的基于风险的方案。一建立了E/E/PE安全相关系统的数值目标失效量,这些量都间安全完整性等级相联系。建立了危险失效模式中目标失效量的一个下限,此下限是对单一E/E/PE安全相关系统的要求。这些系统运行在:
1)低要求操作模式下,为了执行它的设计功能,一旦要求时,就把下限设定成平均失效概率为10-5;
2)高要求操作模式或者连续操作模式下,下限设定成危险失效概率为10-/h。注:单一E/E/PE安全相关系统不一定是单通道结构。一采用广泛的原理、技术和措施以达到E/E/PE安全相关系统的功能安全,但不使用失效-安全的概念,这个概念是在很好定义了失效模式,并且复杂性相对较低时的一个数值。由于E/EPE安全相关系统的复杂性均在GB/T20438范围之内,因此不适用失效-安全的概念。V
1范围
GB/T20438.7—2006/IEC61508-7:2000电气/电子/可编程电子安全相关系统的功能安全第7部分:技术和措施概述
1.1GB/T20438的本部分包含了GB/T20438.2和GB/T20438.3有关的各种安全技术和措施的概述。
注:参考文献仅作为各种方法和工具或示例的基本参考,不一定代表当前技术水平。1.2GB/T20438.1,GB/T20438.2、GB/T20438.3和GB/T20438.4是基础安全标准,虽然它们不适用于简单的E/E/PE安全相关系统(见GB/T20438.4一2006的3.4.4),但作为基础安全标准,各技术委员会可以在IEC导则104和ISO/IEC导则51的指导下制定相关标准时使用。对于每个技术委员会,都有责任在其制定的标准中使用基础标准。同时,GB/T20438也是一个可独立使用的标准。在适用的情况下,技术委员会在制定其标准时都应使用基础安全标准。也就是说,本基础安全标准涉及的要求、测试方法或测试条件,只有在相关技术委员会制定标准时加以引用或包含时,才能得到应用。
注:只有在满足所有有关要求时,才能实现E/E/PE安全相关系统的功能安全,因此,仔细考虑和适当参考所有有关要求是很重要的。
1.3图1是GB/T20438的整体框架图,并指出了GB/T20438.7在实现E/E/PE安全相关系统功能安全中所起的作用。
GB/T20438.7-—2006/IEC61508-7:2000第1部分
编制总的安全要求(概名、适用施围、定义、危险和风险分析)(E/E/PE安全相关系统,其他技术安全相关系统及外部风险降低设施)
第1部分
与E/E/PE安全相关系统有关的系统安全要求的分配
E/E/PE安全相
关系统的实现
第2部分
安全软件的实
现阶段
第3部分
第1部分
E/E/PE安全相关系统的安装、试运行和安全性确认下载标准就来标准下载网
7.13和7.14
第1部分
E/E/PE安全相关系统的运行、维护。修改和改型,停用或处理
7.15~7.17
技术要求
第5部分
根据风险制定安全完整
性要求的方法
第7部分
技术和措施概速
第6部分
第2部分和第3部
分的应用指南
图1GB/T20438的总体框架
其他要求
定义和缩略语
第4部分
第5章和随录A
第1部分
功能安全的管理
第6章
第1部分
功能安全评估
第8章
第1部分
2规范性引用文件
GB/T20438.7—2006/IEC61508-7:2000下列文件中的条款通过GB/T20438的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T20438.1一2006电气/电子/可编程电子安全相关系统的功能安全第1部分:一般要求(IEC61508-1:1998,IDT)
GB/T20438.2—2006电气/电子/可编程电子安全相关系统的功能安全第2部分:电气/电子/可编程电子安全相关系统的要求(IEC61508-2:2000,IDT)GB/T20438.3--2006电气/电子/可编程电子安全相关系统的功能安全第3部分:软件要求(IEC61508-3:1998,IDT)
GB/T20438.4—2006申
电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩路语(IEC61508-4:1998,IDT)
GB/T20438.5一2006电气/电子/可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例(IEC61508-5:1998,IDT)GB/T20438.6一2006电气/电子/可编程电子安全相关系统的功能安全第6部分:
GB/T20438.2和GB/T20438.3的应用指南(IEC61508-6:2000,IDT)IEC导则104:1997安全出版物的编写及基本安全出版物和分类安全出版物的应用ISO/IEC导则51:1990安全方面在标准中引人安全条款的指南3定义和缩略语
GB/T20438的本部分的定义和缩略语已在GB/T20438.4中给出。GB/T20438.7—2006/IEC61508-7:2000附录A
(资料性附录)
E/E/PES的技术和措施概述:随机硬件失效控制(参看GB/T20438.2)
A.1电气
整体目标:控制机电元件中的失效。A.1.1利用在线监视检测失效
注:在GB/T20438.2—2006的表A.2、表A.3、表A.7和表A.14及表A.19中引用了本技术/措施。目的:通过监视E/E/PE安全相关系统在响应受控设备(EUC)正常(在线)运行时的行为来检测失效。
描述:在某些条件下,可用(例如)EUC的时间行为信息来检测失效,例如,一般是由EUC启动E/E/PE安全相关系统组成部分的一只开关,如果在预定的时间开关并不改变状态,则将检测到一次失效,通常要测定失效部位是不可能的。A.1.2继电器触点监视
注:在GB/T20438.2—2006的表A.2和表A.15中引用了本技术/措施。目的:检测继电器触点的失效(例如被熔接)。措述:强制接触(或者可靠的导向接触)继电器可使它们的触点刚性地接在一起,假定有两组转换触点,分别为a和b,a是常开触点,b是常闭触点,被熔接时,随继电器线圈断电,a不能闭合,因此,当继电器线圈断电时,监视常闭触点b的吸合可用来证明常开触点a已打开。常闭触点b闭合的失效表明触点a的一次失效,所以对任何受触点a控制的机器而言,监视电路应保证安全关机或保持关机状态。参考文献:
Zusammenstellung und Bewertung elektromechanischer Sicherheitsschaltungen fur Verriegelungseinrichtungen. F. Kreutzkampf, W. Hertel, Sicherheitstechnisches Informations und Arbeitsblatt330212,BIA-Handbuch.17,Lfg.X/91,ErichSchmidtVerlag,Bielefeld.Anlagensicherung mit Mitteln derMSR-Technik.G,Strohrman,Oldenburg.1983.A.1.3比较器
注:在GB/T20438.2—2006的表A.2、表A.3、表A.4中引用了本技术/措施。目的:为了尽早检测一个独立处理单元或者比较器中的(非同时的)失效。描述:利用一个硬件比较器周期性地或者连续地比较独立处理单元的信号。可以在外部测试比较器,或者它本身可使用自监视技术。监测到的处理器行为的差异将产生一条失效报文。A.1.4多数表决器
注:在GB/T20438.2—2006的表A.2、表A.3和表A.4中引用了本技术/措施。目的:为了检测和防护至少三个硬件通道之一中的失效。描述:使用多数原理(3个中有2个,3个中有3个,或者n个中m个)的一个表决单元被用来检测和防止失效。可在外部测试表决器,也可使用自监视技术。参考文献:
化学过程的安全自动化指南.CCPS,AIChE,NewYork,1993.Anlagensicherung mit Mitteln der MSR-Technik.Praxis der Sicherheitstechnik,Voll,Dechema,1988.
Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Mess-,Steuerungs-und Regelu-ng4
stechnik.VDI/VDEBlatt1to5,1984to1988.A.1.5非工作电流原理(断电跳闸)GB/T20438.7—2006/IEC61508-7:2000注:在GB/T20438.2—2006的表A.2、表A.9、表A.14和表A.15中引用了本技术/措施。目的:为了在切断电源或掉电时执行安全功能。描述:当触点断开并且没有电流流过时就执行安全功能。例如,当使用制动器来刹住一台电机的一个危险运动机件时,制动装置将随安全相关系统中触点闭合而开闸并随安全相关系统中触点打开而闭闸。
参考文献:
化学过程的安全自动化指南.CCPS,AIChE,NewYork,1993.A.2电子
整体目标:控制固态部件中的失效。A.2.1:利用余硬件进行测试
注:在GB/T20438.2—2006的表A3、表A.16、表A.17和表A19中引用了本技术/措施。目的:为了使用硬件余(即使用不必执行过程功能的附加硬件)检测失效。描述:穴余硬件可用来以一个适当的频度检测指定的安全功能。要实现A.1.1或A.2.2,通常必须使用这种方法。
参考文献:
DINVVDEo8Ol:GrundsatzefurRechnerinSystemenmit Sicherheitsaufgaben(安全系统中计算机遵循的准则),Beuth-Verlag,Berlin,1990.A,2.2动态原理
注:在GB/T20438.2—2006的表A.3中引用了本技术/措施。目的:通过动态信号处理来检测静态失效。描述:强制改变其他的静态信号(内部或外部产生的)可帮助检测部件中的静态信号。通常这种技术与机电部件相联系。
参考文献:
Elektronik in der Sicherheitstechnik. H. Jurs,D. Reinert,Sicherheitstechnisches Informations undArbeitsblatt 330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.3访问存取端口和边界扫描结构的标准测试注:在GB/T20438.2-2006的表A3、表A.16和表A.19中引用了本技术/措施。目的:为了控制和观测片IC(集成电路)的每个引脚处发生的情况。描述:边界扫描测试是一种IC设计技术,此技术通过解决怎样增加访问IC内的电路测试点的问题提高IC的可测试性。在由核心逻辑、输入/输出缓冲器组成的一个典型边界扫描IC中,核心逻辑和与每个IC引脚相邻的输人/输出缓冲器之间插人了一个移位寄存器级。一个边界扫描组元中包含一个移位寄存器级。通过标准测试存取端口,边界扫描组元可控制和观测一个IC的每个输人/输出引脚处发生的情况。把芯片内的核心逻辑同接收到的外围部件的激励隔离开然后执行一次内部自测试,可完成IC核心逻辑的内部测试。这些测试可用来检测IC中的失效。参考文献:
IEEE1149.1:1990标准测试存取端口和边界扫描结构A.2.4失效-安全硬件
注:在GB/T20438.2—2006的表A.3中引用了本技术/措施。目的:为了在发生一次失效时,使系统进人一种安全状态。描述:在硬连线系统中,如果一个定义的故障集合将导致一种安全工况,并且它们被检测到,则可认5
GB/T20438.7-2006/IEC61508-7:2000为一个单元是以一种故障-安全方式运行的。示例:定义的故障集合可包括固定型故障,固定开型故障,部件内部和部件之间短路以及定向短路故障。
参考文献:
关键计算机系统的可靠性1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0.Elektronik in der Sicherheitstechnik.H.Jurs,D.Reinert,Sicherheitstechnisches Informations undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.5监视穴余
注:在GB/T20438.2—2006的表A.3中引用了本技术/措施。目的:通过配备几个功能单元,监视每个单元的行为,并在检测到这些单元的行为有任何差异时就启动到一种安全工况的转换,从而检测失效。描述:至少由两个硬件通道来执行安全功能。监视这些通道的输出,当检测到一个故障时(即当各通道的输出信号不相同时)就启动一个安全工况。参考文献:
关键计算机系统的可靠性1.F.J.Redmll,ElsevierAppliedScience,1988,ISBN1-85166-203-0Elektronik in der Sicherheitsechnik.H.Jurs,D.Reinert,Sicherheitstechnisches Informations undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.6带自动检验的电气/电子部件注:在GB/T20438.2-2006的表A.3中引用了本技术/措施。目的:为了通过定期检验安全功能来检测失效。描述:在起动过程之前测试硬件,并且按适当的间隔时间反复测试该硬件。只有在每次测试都无问题时,受控设备(EUC)才继续运行。参考文献:
关键计算机系统的可靠性1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0Elektronikin der Sicherheitstechnik.H, Jurs,D.Reinert,Sicherheitstechnisches Informations undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.7模拟信号监视
注:在GB/T20438.2—2006的表A.3和A.14中引用了本技术/措施。目的:提高所测信号的置信度。描述:凡是有选择时,应使用模拟信号而不使用数字开/关状态。例如,在使用常见的信号电平容差监视时,都是用模拟信号电平来表示跳闻或者安全状态。该技术提供了连续监视以及发送器置信度的较高级别,减少了发送器传感功能必要的验证试验的频度。外部接口,例如脉冲线路也需要测试。参考文献:
基于仪表的系统的UKOOA指南.UKOffshoreOperatorsAssociationLimited,December1995.A.2.8降额
目的:提高硬件部件的可靠性。描述:通过把系统设计成在低于最大规范额定值下运行来保证硬件部件在某一应力级下运行。降额是保证在所有额定工作环境下,部件可在低于它们的最大应力级下工作的实际作法。A.3处理单元
整体目标:辩别导致处理单元结果错误的失效。A,3.1利用软件进行自测试:有限模式数(单通道)注:在GB/T20438.2-2006的表A.4中引用了本技术/措施。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T20438.7—2006/IEC61508-7:2000电气/电子/可编程电子安全相关系统的功能安全
第7部分:技术和措施概述
Functional safety of electrical/electronic/programmable electronicsafety-related systems-Part 7:Overview of techniques and measures(IEC61508-7:2000,IDT)
2006-07-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-01-01实施
华人民共
国家标准
电气/电子/可编程电子安全相关系统的功能安全第7部分:技术和措施概述GB/T20438.7—2006/IEC61508-7:2000*
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码:100045
网址spc.net.cn
电话:6852394668517548
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
880×12301/16
2007年2月第一版
字数154千字
2007年2月第一次印刷
如有印装差错
由本社发行中心调换
侵权必究
版权专有
举报电话:(010)68533533
规范性引用文件
3定义和缩略语
GB/T20438.7—2006/1EC61508-7:2000附录A(资料性附录)E/E/PES的技术和措施概述:随机硬件失效控制A.1
处理单元
不可变的存储区
可变的存储区
I/O单元和接口(外部通信)
数据通路(内部通信)
时序的和逻辑的程序序列监视
通风和加热
通信和大容量存储器
传感器
最终元件(执行器)
对于实际环境采取的措施
附录B(资料性附录)E/E/PES的技术和措施概述:系统失效的避免B.1
一般测量和技术
E/E/PES安全要求规范
E/E/PES的设计和开发
E/E/PES操作和维护规程
E/E/PES集成
E/E/PES安全性确认
附录C(资料性附录)
一般要求
达到软件安全完整性的技术和措施的评述要求和详细的设计
结构设计
开发工具和编程语言
验证和修改
功能安全评估
附录D(资料性附录)
确定预开发软件的软件安全完整性的一种概率法D.1
一般要求
统计测试公式及其应用举例
参考文献
GB/T20438.7—2006/IEC61508-7:2000参考文献
GB/T20438的总体框架
表C.1建议的专用编程语言
表D.1安全完整性等级的置信度的必要历史表D.2低要求操作模式的失效概率表D.3两个测试点的平均距离
表D.4高要求或者连续操作模式时的失效概率表D.5测试所有程序属性的概率
GB/T20438由下列7部分构成:
第1部分:一般要求;
GB/T20438.7—2006/IEC61508-7:2000第2部分:电气/电子/可编程电子安全相关系统的要求;第3部分:软件要求;
第4部分:定义和缩略语;
第5部分:确定安全完整性等级的方法示例;第6部分:GB/T20438.2和GB/T20438.3的应用指南;第7部分:技术和措施概述。
本部分是GB/T20438的第7部分。本部分等同翻译国际标准IEC61508-7:2000-03(第1版)《电气/电子/可编程电子安全相关系统的功能安全第7部分:技术和措施概述》英文版)。附录A、附录B、附录C、附录D为资料性附录。本部分与IEC61508-7:2000在技术内容上没有差异,为便于使用做了下列编辑性修改:a)将\IEC61508\改为GB/T20438”,本“国际标准”一词改为“本标准”b)
删除国际标准中1.2中注2,因为此注所表述的是IEC61508在美国和加拿大等国的应用情况,与我国的实际不符,所以删除;用小数点“,”代替原标准中作为小数点的逗号“,”。d)
本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)归口。本部分由机械工业仪器仪表综合技术经济研究所负责起草。本部分主要起草人:欧阳劲松、冯晓升、王莉、蔡廷安、马光武、梅恪、郑旭等。日
GB/T20438.7—2006/IEC61508-7:2000引言
由电气和电子器件构成的系统,多年来在许多领域中执行其安全功能,以计算机为基础的系统(一般指可编程电子系统(PES))在许多领域中用于非安全目的,但也越来越多地用于安全目的,为使计算机系统技术更有效安全的使用,有必要进行安全方面的指导。GB/T20438针对由电气或电子和可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PES)的整体安全生命周期,提出了一个通用的方法。建立统一的方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的、合理的技术方针,主要目标是促进应用领域标准的制定。在许多情况下,可用多种基于不同技术的防护系统来保证安全(如机械的、液压的、气动的、电气的、电子的、可编程电子的,等等)。从安全战略角度,不仅要考虑各系统中元器件的问题(如传感器、控制器、执行器等),而且要考虑构成组合安全相关系统的所有安全相关系统。因此GB/T20438对电气/电子/可编程电子E/E/PE)安全相关系统进行了规定。GB/T20438还提出了一个框架,在这个框架内,基于其他技术的安全相关系统也可同时被考虑进去。在各种应用领域里,存在着许多潜在的危险和风险,包含的复杂性也各不相同,从而需应用不同的E/E/PES。对每个特定的应用,则根据应用的不同而确定所需的安全量。GB/T20438仅是使这些量值规范化。
GB/T20438
-考虑了当使用E/E/PES执行安全功能时,所涉及到的整体安全生命周期、E/E/PES安全生命周期以及软件生命周期的各阶段(如初始构思,整个设计、实现、运行和维护到停用)。一针对飞速发展的技术,建立一个足够健壮而广泛的能满足今后发展需要的框架。有利于促进E/E/PES安全相关系统在不同领域中相关标准的制定,各应用领域和交叉应用领域相关标准应在GB/T20438的框架下制定,使之具有高水平的一致性(如基础原理,术语等的一致性),并将既安全又经济。为达到E/E/PE安全相关系统所需的功能安全,提供了编制安全要求规范的方法。一使用了一个安全完整性等级,此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的目标安全完整性等级。
一一采用了一种可确定安全完整性等级要求的基于风险的方案。一建立了E/E/PE安全相关系统的数值目标失效量,这些量都间安全完整性等级相联系。建立了危险失效模式中目标失效量的一个下限,此下限是对单一E/E/PE安全相关系统的要求。这些系统运行在:
1)低要求操作模式下,为了执行它的设计功能,一旦要求时,就把下限设定成平均失效概率为10-5;
2)高要求操作模式或者连续操作模式下,下限设定成危险失效概率为10-/h。注:单一E/E/PE安全相关系统不一定是单通道结构。一采用广泛的原理、技术和措施以达到E/E/PE安全相关系统的功能安全,但不使用失效-安全的概念,这个概念是在很好定义了失效模式,并且复杂性相对较低时的一个数值。由于E/EPE安全相关系统的复杂性均在GB/T20438范围之内,因此不适用失效-安全的概念。V
1范围
GB/T20438.7—2006/IEC61508-7:2000电气/电子/可编程电子安全相关系统的功能安全第7部分:技术和措施概述
1.1GB/T20438的本部分包含了GB/T20438.2和GB/T20438.3有关的各种安全技术和措施的概述。
注:参考文献仅作为各种方法和工具或示例的基本参考,不一定代表当前技术水平。1.2GB/T20438.1,GB/T20438.2、GB/T20438.3和GB/T20438.4是基础安全标准,虽然它们不适用于简单的E/E/PE安全相关系统(见GB/T20438.4一2006的3.4.4),但作为基础安全标准,各技术委员会可以在IEC导则104和ISO/IEC导则51的指导下制定相关标准时使用。对于每个技术委员会,都有责任在其制定的标准中使用基础标准。同时,GB/T20438也是一个可独立使用的标准。在适用的情况下,技术委员会在制定其标准时都应使用基础安全标准。也就是说,本基础安全标准涉及的要求、测试方法或测试条件,只有在相关技术委员会制定标准时加以引用或包含时,才能得到应用。
注:只有在满足所有有关要求时,才能实现E/E/PE安全相关系统的功能安全,因此,仔细考虑和适当参考所有有关要求是很重要的。
1.3图1是GB/T20438的整体框架图,并指出了GB/T20438.7在实现E/E/PE安全相关系统功能安全中所起的作用。
GB/T20438.7-—2006/IEC61508-7:2000第1部分
编制总的安全要求(概名、适用施围、定义、危险和风险分析)(E/E/PE安全相关系统,其他技术安全相关系统及外部风险降低设施)
第1部分
与E/E/PE安全相关系统有关的系统安全要求的分配
E/E/PE安全相
关系统的实现
第2部分
安全软件的实
现阶段
第3部分
第1部分
E/E/PE安全相关系统的安装、试运行和安全性确认下载标准就来标准下载网
7.13和7.14
第1部分
E/E/PE安全相关系统的运行、维护。修改和改型,停用或处理
7.15~7.17
技术要求
第5部分
根据风险制定安全完整
性要求的方法
第7部分
技术和措施概速
第6部分
第2部分和第3部
分的应用指南
图1GB/T20438的总体框架
其他要求
定义和缩略语
第4部分
第5章和随录A
第1部分
功能安全的管理
第6章
第1部分
功能安全评估
第8章
第1部分
2规范性引用文件
GB/T20438.7—2006/IEC61508-7:2000下列文件中的条款通过GB/T20438的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T20438.1一2006电气/电子/可编程电子安全相关系统的功能安全第1部分:一般要求(IEC61508-1:1998,IDT)
GB/T20438.2—2006电气/电子/可编程电子安全相关系统的功能安全第2部分:电气/电子/可编程电子安全相关系统的要求(IEC61508-2:2000,IDT)GB/T20438.3--2006电气/电子/可编程电子安全相关系统的功能安全第3部分:软件要求(IEC61508-3:1998,IDT)
GB/T20438.4—2006申
电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩路语(IEC61508-4:1998,IDT)
GB/T20438.5一2006电气/电子/可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例(IEC61508-5:1998,IDT)GB/T20438.6一2006电气/电子/可编程电子安全相关系统的功能安全第6部分:
GB/T20438.2和GB/T20438.3的应用指南(IEC61508-6:2000,IDT)IEC导则104:1997安全出版物的编写及基本安全出版物和分类安全出版物的应用ISO/IEC导则51:1990安全方面在标准中引人安全条款的指南3定义和缩略语
GB/T20438的本部分的定义和缩略语已在GB/T20438.4中给出。GB/T20438.7—2006/IEC61508-7:2000附录A
(资料性附录)
E/E/PES的技术和措施概述:随机硬件失效控制(参看GB/T20438.2)
A.1电气
整体目标:控制机电元件中的失效。A.1.1利用在线监视检测失效
注:在GB/T20438.2—2006的表A.2、表A.3、表A.7和表A.14及表A.19中引用了本技术/措施。目的:通过监视E/E/PE安全相关系统在响应受控设备(EUC)正常(在线)运行时的行为来检测失效。
描述:在某些条件下,可用(例如)EUC的时间行为信息来检测失效,例如,一般是由EUC启动E/E/PE安全相关系统组成部分的一只开关,如果在预定的时间开关并不改变状态,则将检测到一次失效,通常要测定失效部位是不可能的。A.1.2继电器触点监视
注:在GB/T20438.2—2006的表A.2和表A.15中引用了本技术/措施。目的:检测继电器触点的失效(例如被熔接)。措述:强制接触(或者可靠的导向接触)继电器可使它们的触点刚性地接在一起,假定有两组转换触点,分别为a和b,a是常开触点,b是常闭触点,被熔接时,随继电器线圈断电,a不能闭合,因此,当继电器线圈断电时,监视常闭触点b的吸合可用来证明常开触点a已打开。常闭触点b闭合的失效表明触点a的一次失效,所以对任何受触点a控制的机器而言,监视电路应保证安全关机或保持关机状态。参考文献:
Zusammenstellung und Bewertung elektromechanischer Sicherheitsschaltungen fur Verriegelungseinrichtungen. F. Kreutzkampf, W. Hertel, Sicherheitstechnisches Informations und Arbeitsblatt330212,BIA-Handbuch.17,Lfg.X/91,ErichSchmidtVerlag,Bielefeld.Anlagensicherung mit Mitteln derMSR-Technik.G,Strohrman,Oldenburg.1983.A.1.3比较器
注:在GB/T20438.2—2006的表A.2、表A.3、表A.4中引用了本技术/措施。目的:为了尽早检测一个独立处理单元或者比较器中的(非同时的)失效。描述:利用一个硬件比较器周期性地或者连续地比较独立处理单元的信号。可以在外部测试比较器,或者它本身可使用自监视技术。监测到的处理器行为的差异将产生一条失效报文。A.1.4多数表决器
注:在GB/T20438.2—2006的表A.2、表A.3和表A.4中引用了本技术/措施。目的:为了检测和防护至少三个硬件通道之一中的失效。描述:使用多数原理(3个中有2个,3个中有3个,或者n个中m个)的一个表决单元被用来检测和防止失效。可在外部测试表决器,也可使用自监视技术。参考文献:
化学过程的安全自动化指南.CCPS,AIChE,NewYork,1993.Anlagensicherung mit Mitteln der MSR-Technik.Praxis der Sicherheitstechnik,Voll,Dechema,1988.
Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Mess-,Steuerungs-und Regelu-ng4
stechnik.VDI/VDEBlatt1to5,1984to1988.A.1.5非工作电流原理(断电跳闸)GB/T20438.7—2006/IEC61508-7:2000注:在GB/T20438.2—2006的表A.2、表A.9、表A.14和表A.15中引用了本技术/措施。目的:为了在切断电源或掉电时执行安全功能。描述:当触点断开并且没有电流流过时就执行安全功能。例如,当使用制动器来刹住一台电机的一个危险运动机件时,制动装置将随安全相关系统中触点闭合而开闸并随安全相关系统中触点打开而闭闸。
参考文献:
化学过程的安全自动化指南.CCPS,AIChE,NewYork,1993.A.2电子
整体目标:控制固态部件中的失效。A.2.1:利用余硬件进行测试
注:在GB/T20438.2—2006的表A3、表A.16、表A.17和表A19中引用了本技术/措施。目的:为了使用硬件余(即使用不必执行过程功能的附加硬件)检测失效。描述:穴余硬件可用来以一个适当的频度检测指定的安全功能。要实现A.1.1或A.2.2,通常必须使用这种方法。
参考文献:
DINVVDEo8Ol:GrundsatzefurRechnerinSystemenmit Sicherheitsaufgaben(安全系统中计算机遵循的准则),Beuth-Verlag,Berlin,1990.A,2.2动态原理
注:在GB/T20438.2—2006的表A.3中引用了本技术/措施。目的:通过动态信号处理来检测静态失效。描述:强制改变其他的静态信号(内部或外部产生的)可帮助检测部件中的静态信号。通常这种技术与机电部件相联系。
参考文献:
Elektronik in der Sicherheitstechnik. H. Jurs,D. Reinert,Sicherheitstechnisches Informations undArbeitsblatt 330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.3访问存取端口和边界扫描结构的标准测试注:在GB/T20438.2-2006的表A3、表A.16和表A.19中引用了本技术/措施。目的:为了控制和观测片IC(集成电路)的每个引脚处发生的情况。描述:边界扫描测试是一种IC设计技术,此技术通过解决怎样增加访问IC内的电路测试点的问题提高IC的可测试性。在由核心逻辑、输入/输出缓冲器组成的一个典型边界扫描IC中,核心逻辑和与每个IC引脚相邻的输人/输出缓冲器之间插人了一个移位寄存器级。一个边界扫描组元中包含一个移位寄存器级。通过标准测试存取端口,边界扫描组元可控制和观测一个IC的每个输人/输出引脚处发生的情况。把芯片内的核心逻辑同接收到的外围部件的激励隔离开然后执行一次内部自测试,可完成IC核心逻辑的内部测试。这些测试可用来检测IC中的失效。参考文献:
IEEE1149.1:1990标准测试存取端口和边界扫描结构A.2.4失效-安全硬件
注:在GB/T20438.2—2006的表A.3中引用了本技术/措施。目的:为了在发生一次失效时,使系统进人一种安全状态。描述:在硬连线系统中,如果一个定义的故障集合将导致一种安全工况,并且它们被检测到,则可认5
GB/T20438.7-2006/IEC61508-7:2000为一个单元是以一种故障-安全方式运行的。示例:定义的故障集合可包括固定型故障,固定开型故障,部件内部和部件之间短路以及定向短路故障。
参考文献:
关键计算机系统的可靠性1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0.Elektronik in der Sicherheitstechnik.H.Jurs,D.Reinert,Sicherheitstechnisches Informations undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.5监视穴余
注:在GB/T20438.2—2006的表A.3中引用了本技术/措施。目的:通过配备几个功能单元,监视每个单元的行为,并在检测到这些单元的行为有任何差异时就启动到一种安全工况的转换,从而检测失效。描述:至少由两个硬件通道来执行安全功能。监视这些通道的输出,当检测到一个故障时(即当各通道的输出信号不相同时)就启动一个安全工况。参考文献:
关键计算机系统的可靠性1.F.J.Redmll,ElsevierAppliedScience,1988,ISBN1-85166-203-0Elektronik in der Sicherheitsechnik.H.Jurs,D.Reinert,Sicherheitstechnisches Informations undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.6带自动检验的电气/电子部件注:在GB/T20438.2-2006的表A.3中引用了本技术/措施。目的:为了通过定期检验安全功能来检测失效。描述:在起动过程之前测试硬件,并且按适当的间隔时间反复测试该硬件。只有在每次测试都无问题时,受控设备(EUC)才继续运行。参考文献:
关键计算机系统的可靠性1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0Elektronikin der Sicherheitstechnik.H, Jurs,D.Reinert,Sicherheitstechnisches Informations undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.A.2.7模拟信号监视
注:在GB/T20438.2—2006的表A.3和A.14中引用了本技术/措施。目的:提高所测信号的置信度。描述:凡是有选择时,应使用模拟信号而不使用数字开/关状态。例如,在使用常见的信号电平容差监视时,都是用模拟信号电平来表示跳闻或者安全状态。该技术提供了连续监视以及发送器置信度的较高级别,减少了发送器传感功能必要的验证试验的频度。外部接口,例如脉冲线路也需要测试。参考文献:
基于仪表的系统的UKOOA指南.UKOffshoreOperatorsAssociationLimited,December1995.A.2.8降额
目的:提高硬件部件的可靠性。描述:通过把系统设计成在低于最大规范额定值下运行来保证硬件部件在某一应力级下运行。降额是保证在所有额定工作环境下,部件可在低于它们的最大应力级下工作的实际作法。A.3处理单元
整体目标:辩别导致处理单元结果错误的失效。A,3.1利用软件进行自测试:有限模式数(单通道)注:在GB/T20438.2-2006的表A.4中引用了本技术/措施。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。