电气电子可编程电子安全相关系统的功能安全 第2部分：电气电子可编程电子安全相关系统的要求 GBT 20438.2-2006.pdf

GB/T20438.2-2006/EC61508-2:2000表八10程序顺序（看门狗）31表A11通风和加热系统（若需要）31表A.12时钟表八.13通信和大容量存储2器32表A14传感器32表A.15最终元件（执行器）32表A.16用于控制由硬件和软件设计引起的系统失效的技术和措施34表A.17用于控制由环境应力或影响引起的系统失效的技术和措施35表A.18用于控制系统工作失效的技术和措施36表A,19控制系统失效的技术和措施的有效性36表B.1在E/E/PES要求规范中对避免失误的建议（见7.2）39表B.2在E/E/PES设计和开发过程中为避免引入故障的建议（见7.4）39表B.3在E/E/PES集成过程中为避免故障的建议（见7.5）40表B.4在E/E/PES操作和维护规程中为避免故障的建议（见7.6）41表B.5在E/E/PES安全确认过程中为避免故障的建议（见7.7）41表B.6避免系统失效的技术和措施的有效性42图1GB/T20438的总体框架2图2E/EPES安全生命周期（实现阶段）4图3GB/T20438.2和GB/T20438.3的范围和关系5图4可编程电子中软件结构和硬件结构的关系9图5单通道安全功能的硬件安全完整性限制示例12图6多通道安全功能的硬件安全完整性的限制示例14GB/T20438.2-2006/1EC61508-2:2000引言由电气和电子器件构成的系统，多年来在许多领域中执行其安全功能，以计算机为基础的系统（一般指可编程电子系统(PES)在许多领域中用于非安全目的，但也越来越多地用于安全目的，为使计算机系统技术更有效安全地使用，有必要进行安全方面的指导。GB/T20438针对由电气或电子和可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PES)的整体安全生命周期，提出了一个通用的方法，建立统一方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的、合理的技术方针，主要目标是促进应用领域标准的制定。在许多情况下，可用多种基于不同技术的防护系统来保证安全（如机械的、液压的、气动的、电气的、电子的、可编程电子的，等等)。从安全战略角度，不仅要考虑各系统中元器件的问题（如传感器、控制器、执行器等)，而且要考虑构成组合安全相关系统的所有安全相关系统。因此GB/T20438对电气/电子/可编程电子(E/E/PE)安全相关系统进行了规定。GB/T20438还提出了一个框架，在这个框架内，基于其他技术的安全相关系统也可同时被考虑进去。在各种应用领域里，存在着许多潜在的危险和风险，包含的复杂性也各不相同，从而需应用不同的E/E/PES。对每个特定的应用，则根据应用的不同而确定所需的安全量。GB/T20438仅是使这些量值规范化。GB/T20438一考虑了当使用E/E/PES执行安全功能时，所涉及到的整体安全生命周期、E/E/PES安全生命周期以及软件生命周期的各阶段（如初始构思，整个设计、实现、运行和维护到停用）。一针对飞速发展的技术，建立一个足够健壮而广泛的能满足今后发展需要的框架。一有利于促进E/E/PES安全相关系统在不同领域中相关标准的制定，各应用领域和交叉应用领域相关标准应在GB/T20438的框架下制定，使之具有高水平的一致性（如基础原理、术语等的一致性)，并将既安全又经济。一为达到E/E/PE安全相关系统所需的功能安全，提供了编制安全要求规范的方法。一使用了一个安全完整性等级，此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的日标安全完整性等级。一采用了一种可确定安全完整性等级要求的基于风险的方案。一建立了E/E/PE安全相关系统的数值目标失效量，这些量都同安全完整性等级相联系。一建立了危险失效模式中目标失效量的一个下限，此下限是对单一E/E/PE安全相关系统的要求。这些系统运行在：1)低要求操作模式下，为了执行它的设计功能，一旦要求时，就把下跟设定成平均失效概率为10-5：2)高要求操作模式或者连续操作模式下，下限设定成危险失效概率为10-”/。注：单一E/E/PE安全相关系统不一定是单通道结构。一采用广泛的原理、技术和措施以达到E/E/PE安全相关系统的功能安全，但不使用失效-安全的概念，这个概念是在很好定义了失效模式，并且复杂性相对较低时的一个数值。由于E/E/P正安全相关系统的复杂性均在GB/T20438范围之内，因此不适用失效-安全的概念。