【国家标准(GB)】 电气/电子/可编程电子安全相关系统的功能安全 第4部分: 定义和缩略语

ICS25.040
中华人民共和国国家标准
GB/T20438.4—2006/IEC61508-4:1998电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语Functional safetyof electrical/electronic/programmableelectronicsafety-related systems--Part 4: Definitions and abbreviations(IEC61508-4:1998,IDT）
2006-07-25发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-01-01实施
GB/T20438.4-2006/IEC61508-4:1998前言
规范性引用文件
定义和缩略语
安全术语
设备和装置
系统：一般概念·
系统：安全方面
安全功能和安全完整性
故障、失效和错误
生命周期活动
安全量的证实
参考文献
GB/T20438的整体框架
图2可编程电子系统(PES)：结构和术语目
图3电气/电子/可编程电子系统（E/E/PES)：结构和术语图4
失效模型
GB/T20438中使用的缩略语
GB/T20438由下列7部分构成：
第1部分：一般要求；
GB/T20438.4—2006/IEC61508-4:1998第2部分：电气/电子/可编程电子安全相关系统的要求；第3部分：软件要求；
第4部分：定义和缩略语；
一第5部分：确定安全完整性等级的方法示例；第6部分：GB/T20438.2和GB/T20438.3的应用指南；第7部分：技术和措施概述。
本部分是GB/T20438的第4部分。本部分等同采用国际标准IEC61508-4:1998《电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语》（英文版）。本部分与IEC61508-4：1998在技术内容上没有差异，为便于使用做了下列编辑性修改：a）将IEC61508\改为\GB/T20438”。b）“本国际标准”一词改为“本标准”。本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会（SAC/TC124)归口。本部分由机械工业仪器仪表综合技术经济研究所负责起草。本部分主要起草人：冯晓升、王莉、梅恪、郑旭、欧阳劲松等。1
GB/T20438.4—2006/IEC61508-4:1998引言
由电气和电子器件构成的系统，多年来在许多领域中执行其安全功能，以计算机为基础的系统（一般指可编程电子系统（PES)）在许多领域中用于非安全目的，但也越来越多地用于安全目的，为使计算机系统技术更有效安全地使用，有必要进行安全方面的指导GB/T20438针对由电气或电子和可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统（E/E/PES)的整体安全生命周期，提出了一个通用的方法。建立统一方法的目的是为了针对以电子为基础的安全相关系统提出一种一致的、合理的技术方针，主要目标是促进应用领域标准的制定。在许多情况下，可用多种基于不同技术的防护系统来保证安全（如机械的、液压的、气动的、电气的、电子的、可编程电子的，等等）。从安全战略角度，不仅要考虑各独立系统中所有元器件的问题（如传感器、控制器、执行器等），而且要考虑由所有安全相关系统构成的组合安全相关系统的问题。因此GB/T20438对电气/电子/可编程电子（E/E/PE)安全相关系统进行了规定。GB/T20438还提出了一个框架，在这个框架内，基于其他技术的安全相关系统也可同时被考虑进去。在各种应用领域里，存在着许多潜在的危险和风险，包含的复杂性也各不相同，从而需应用不同的E/E/PES。对每个特定的应用，则根据应用的不同而确定所需的安全量。GB/T20438仅是使这些量值规范化。
GB/T20438
一考虑了当使用E/E/PES执行安全功能时，所涉及到的整体安全生命周期、E/E/PES安全生命周期以及软件安全生命周期的各阶段（如初始构思，整个设计、实现、运行、维护及停用）；一一针对飞速发展的技术，建立一个足够健壮而广泛的能满足今后发展需要的框架。一有利于促进E/E/PE安全相关系统在不同领域中相关标准的制定，各应用领域和交叉应用领域相关标准应在GB/T20438的框架下制定，使之具有高水平的一致性（如基础原理、术语等的一致性)并将既安全又经济。
-为达到E/E/PE安全相关系统所需的功能安全，提供了编制安全要求规范的方法。使用了一个安全完整性等级，此安全完整性等级规定了E/E/PE安全相关系统要实现的安全功能的目标安全完整性等级。
一采用了一种基于风险的方案来确定安全完整性等级要求。一建立了E/E/PE安全相关系统的数值目标失效量，这些量都同安全完整性等级相联系。一建立了危险失效模式中目标失效量的一个下限，此下限是对单一E/E/PE安全相关系统的要求。
这些系统运行在：
1）低要求操作模式下，为了执行它的设计功能，一旦要求时，就把下限设定成平均失效概率为10-5；
高要求操作模式或者连续操作模式下，下限设定成危险失效概率为10-/h。2）
注：单一E/E/PE安全相关系统不一定是单通道结构。采用广泛的原理、技术和措施以达到E/E/PE安全相关系统的功能安全，但不使用失效-安全的概念，这个概念是在很好定义了失效模式，并且复杂性相对较低时的一个数值。由于E/E/PE安全相关系统的复杂性均在GB/T20438范围之内，因此不适用失效-安全的概念。I
1范围
GB/T20438.4—2006/IEC61508-4:1998电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语1.1GB/T20438的本部分包括了GB/T20438的第1至第7部分所使用的术语和解释。1.2这些定义按标题分组，以便从它们的前后关系上去理解这些相关的术语，但这样的分组并不意味着对定义增加了含义，因此对这些组的标题可不去考虑。1.3GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4是基础的安全标准，尽管它们不适用于简单E/E/PE安全相关系统（见3.4.4），作为基础的安全标准，根据IEC导则104和ISO/IEC导则51中包含的原则，各技术委员会在起草标准时应考虑使用这些标准，因为技术委员会的责任之一是在起草自已标准时凡是适用之处都应贯彻基础安全标准。GB/T20438同时也可作为独立的标准去使用。
1.4图1表示了GB/T20438的整体框架，同时明确了在达到E/E/PE安全相关系统功能安全过程中本部分的作用。
2规范性引用文件
下列文件中的条款通过GB/T20438的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/T20438.1一2006电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求(IEC61508-1:1998,IDT)
GB/T20438.2一2006电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/可编程电子安全相关系统的要求（IEC61508-2：2000，IDT）GB/T20438.3一2006电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求(IEC61508-3:1998,IDT)
GB/T20438.5一2006电气/电子/可编程电子安全相关系统的功能安全第5部分：确定安全完整性等级的方法示例（IEC61508-5：1998，IDT）GB/T20438.6—2006
电气/电子/可缩程电子安全相关系统的功能安全GB/T20438.2和GB/T20438.3的应用指南（IEC61508-6：2000，IDT）第6部分：
GB/T20438.7一2006电气/电子/可编程电子安全相关系统的功能安全第7部分：技术和措施概述(IEC61508-7：2000，IDT)
ISO/IEC2382-14：1998数据处理术语第14部分：可靠性、可维修性和可用性ISO/IEC导则51：1990安全方面在标准中引入安全条款的指南ISO8402：1994质量管理和质量保证术语IEC导则104：1997安全出版物的编写及基本安全出版物和分类安全出版物的应用IEC60050（191)：1990国际电工术语（IEV）第191章：服务质量和可靠性IEC60050（315）：1975国际电工术语（1EV）第351章：自动控制GB/T20438.4—2006/IEC61508-4:1998第1部分
编制总的安全要求（概念、适用范围、定义、危险和风险分析）（E/E/PE安全相关系统，其他技术安全系统及降低外部风险设施）
第1部分
与E/E/PE安全系统有关的系统
安全娶求的分配
E/E/PE安全系统
的实现阶段
第2部分
安全软件的实
现阶段
第3部分
第1部分
E/E/PE安全系统的安装、试运行和安全确认
7.13和7.14
第1部分
E/E/PE安全系绕的运行、维护、改和改型、停用或者处理
7.15~7.17
技术要求
第5部分
根据风险制定安全完整
性要求的方法
第7部分
技术和措施概述
第6部分
第2部分和第3部
分的应用指南
图1GB/T20438的整体框架
其他要求
定义和缩略语
第4部分
第5章和附录A
第1部分
功能安全的管理
第6章
第1部分
功能安全评估
第8章
第1部分
3定义和缩略语
表1给出了GB/T20438中使用的缩略语及定义。GB/T20438.4—2006/IEC61508-4:1998表1GB/T20438中使用的缩略语
缩略语
E/E/PE
E/E/PES
3.1安全术语
伤害harm
N通道结构中的M(如1002为2通道结构中的1)带诊断的N通道结构中的M
在合理可行的前提下尽可能低
电气/电子/可编程电子
电气/电子/可编程电子系统
受控设备
可编程电子系统
可编程逻辑控制器
安全完整性等级
术语定义和(或)解释
GB/T20438.6-2006附录B
GB/T20438.6--2006附录B
GB/T20438.5—2006附录B
GB/T20438.6—2006附录E
由于对财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤。[ISO/IEC导则511990（修改】]
危险hazard
伤害的潜在根源。
[ISO/IEC导则51：1990]
注：该术语包括短时内发生的对人员的威协（如着火或爆炸），以及对人体健康长时间有影响的那些威胁（如有毒物质的释放)。
hazardous situation
危险情况
人暴露于危险的环境。
危险事件
hazardousevent
导致伤害的危险情况。
风险risk
出现伤害的概率及该伤害严重性的组合。［ISO/IEC导则51：1990（修改）】注：对这一概念的进一步讨论见GB/T20438.5—2006附录A。3.1.6
允许风险tolerablerisk
根据当今社会的水准，在给定的范围内能够接受的风险。注：见GB/T20438.5—2006附录B。3
GB/T20438.4—2006/IEC61508-4:19983.1.7
残余风险residual risk
采取防护措施以后仍存在的风险。3.1.8
安全safety
不存在不可接受的风险。
功能安全functional safety
与EUC和EUC控制系统有关的整体安全的组成部分，它取决于E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确行使。3.1.10
安全状态safestate
达到安全时EUC的状态。
注：从潜在的危险条件到最终的安全状态，EUC可能不得不经过几个中间的安全状态。有时，仅当EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。3.1.11
合理的可预见的误用reasonableforeseeablemisuse由于产品、过程或服务加上人的行为习惯而导致的，或者作为人的行为习惯的一个结果有可能发生的，未按照供方要求的条件和用途对产品、过程和服务的使用。3.2设备和装置
功能单元functional unit
能够完成规定目的的软件、硬件或两者相结合的实体。注：在IEV191-01-01中，常用\项目(item)”一词代替功能单元，一个项目有时可能包括人员在内。[ISO/IEC2382-14-01-01]
软件software
包括程序、规程、数据、规则以及相关的数据处理系统操作文档在内的智能创作。注1：软件与其记录媒体无关。
注2：该定义不带有注1与ISO2382-1不同，而且完整的定义与ISO9000-3不同之处在于增加了一个词“数据”。3.2.3
受控设备equipmentundercontrol;EUC用于制造、加工、运输、制药或其他活动的设备、机器、器械或成套装置。注：EUC控制系统与EUC是不同的并且是分开的。3.2.4
EUC风险 EUCrisk
由EUC或由EUC与EUC控制系统相互作用而产生的风险。注1，本文所说的风险是指与特定的危险事件相伴的风险。在这种危险事件中E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施被用来提供必要的风险降低（即与功能安全相关的风险）。注2:GB/T20438.5—2006的图A.1简要说明了EUC风险。确定EUC风险的主要目的是在未使用E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施之前建立一个风险参考点。注3；风险评估应包括相关的人的因素。4
可编程电子programmableelectronic；PEGB/T20438.4—2006/IEC61508-4:1998可编程电子以计算机技术为基础，可以由硬件、软件及其输人和（或)输出单元构成。注：这个术语包括以一个或多个中央处理器（CPU)及相关的存储器等为基础的微电子装置。举例：下列均是可编程电子装置：微处理器；
一微控制器；
可编程控制器；
专用集成电路（ASIC）：
可编程逻辑控制器（PLC)；
其他以计算机为基础的装置（智能传感器、变送器、执行器）。3.2.6
电气/电子/可编程电子electrical/electronic/programmableelectronic；E/E/PE基于电气(E)和/或电子(E)和/或可编程电子(PE)的技术。注：本术语试图覆盖所有的在电原理下运行的装置或系统。举例：电气/电子/可编程电子装置包括：-电-机装置（电气）；
一使用电晶体的非可编程电子装置（电子）；-以计算机技术为基础的电子装置(可编程电子)(见3.2.5)。3.2.7
有限可变语言limitedvariabilitylanguage能力范围局限于应用的，用于工商业可编程电子控制器的，文本的或图形的软件编程语言。举例：
下列引自IEC61131-3和其他地方的有限可变语言，用来表示PLC系统的应用程序。梯形图：一种图形语言，由线条（指出电流流向）将一系列输入符号（代表相似装置的行为，如常开接点和常闭接点)和输出符号(代表相似继电器的行为)连接构成。布尔代数：带有增加某些记忆指令能力的、基于布尔运算符（如AND.OR和NOT）的低级语言。一功能块图：除布尔运算符外，可使用更复杂的功能，如数据传输文件、块传输读/写、移位寄存器和序列发生器指令等。
一顺序功能图：有顺序的程序的图形表示，由相互联系的步骤、动作和带转换条件的定向连接线构成。3.3系统：一般概念
系统system
按照设计相互作用的一组元素，可能包括相互作用的硬件、软件和人等。系统中的某一元素也可自成一个另外的系统，称为子系统，子系统可以是控制系统也可以是被控系统。注1.人可以是系统的一部分（另见3.4注5)。注2本定义不同于IEV351-01-01。3.3.2
可编程电子系统programmableelectronicsystem；PEs基于一个或多个可编程电子装置的控制、防护或监视系统，包括系统中所有的元素，诸如电源、传感器和其他输入装置，数据高速公路和其他通信路径，以及执行器和其他输出装置（见图2）。注：图2a)所示为一个PES的结构。图2b)所示为GB/T20438中表示PES的方式，在这里可编程电子被表示成与EUC及其接口中的传感器和执行器不同的一个单元。但在PES中，可编程电子可能出现在许多地方。图2c）所示为一个PES具有两个分立的可编程电子单元。图2d)所示为一个PES具有两个并联的可编程电于单元（即双通道），且只有单个传感器和单个执行器。5
GB/T20438.4—2006/IEC61508-4:1998PES的范田
输入接口A-D转换器
输入装置
（如传感器）
b）具有单个可编程电子
装置的单个PES（即
由一个单通道可编程
电子装置构成的一个
可编程电子
（见注）
a）PES基本结构
c）具有按申联方式连接的
双可编程电子装置的单
个PES（如智能传感器
和可编程控制器）
输出接口D-A转换器
输出装置/最终元件
（如执行器）
d）具有双可编程电子装置
但共享传感器和最终元
件的单个PES（即由两
个可编程电子通道构成
的一个PES）
注：可编程电子位于图的中央位置，但在PES中可位于几个不同的位置。图2可编程电子系统(PES)：结构和术语3.3.3
电气/电子/可编程电子系统electrical/electronic/programmableelectronicsystem；E/E/PES基于一个或多个电气/电子/可编程电子（E/E/PE）装置的用于控制、防护或监视的系统，包括系统中所有的元素，诸如电源、传感器和其他输入装置，数据高速公路和其他通信途径，以及执行器和其他输出装置（见图3)。
E/E/PES的范围
输入接口
A-D转换器
输入装置
（如传够器）
E/E/PE装置
输出接口
D-A转换器
输出装置/最终元件
（如执行器）
注：E/E/PE装置位于图的中央位置，但在E/E/PES中可位于儿个不同的位置。图3电气/电子/可编程电子系统（E/E/PES)：结构和术语3.3.4
EUCcontrolsystem
EUC控制系统
对来自过程和（或）操作者的输入信号起反应，产生能使EUC按要求的方式工作的输出信号的系统。
注：EUC控制系统包括输入装置和最终元件。6
farchitecture
在一个系统中硬件和软件元素的特定配置。3.3.6
module
GB/T20438.4—2006/IEC61508-4:1998程序、分立部件、封装程序的一个功能集，或一组归并在一起的分立部件。3.3.7
软件模块
softwaremodule
由规程和（或）数据说明组成的构造，并能与其他这样的构造相互作用。3.3.8
通道channel
独立执行一个功能的一个或一组元素。举例：两通道(或双通道)配置是指具有两个能独立执行相同功能的通道构成的配置。注1：在通道中的元索可能包括输入/输出模块、逻辑系统（见3.4.5）、传感器和最终元件。注2：该术语可用来描述一个完整的系统或一个系统的一部分（如传感器或最终元件）。3.3.9
Ediversity
多样性
执行一个要求功能的不同方法。举例：可用不同的物理方法或不同的设计途径来达到多样性。3.3.10
尤余redundancy
对于执行一个要求功能的功能单元或对于表示信息的数据而言，除了够用之外还有多余。举例：功能部件加倍和奇偶校验位的附加都是允余的例子。注1：允余主要用于提高可靠性或可用性。注2:IEV191-15-01中的定义不够完整。[ISO/IEC2382-14-01-12]
3.4系统：安全方面
安全相关系统
safety-related system
所指的系统：
必需要能实现要求的安全功能以达到或保持EUC的安全状态；并自身或与其他E/E/PE安全相关系统、其他技术安全相关系统或外部风险降低设施一道，能够达到要求的安全功能所需的安全完整性。注1：这条术语是指这样的系统，即所谓安全相关系统是指它们，及与外部风险降低设施一道（见3.4.3)达到必要的风险降低量，以满足所要求的允许风险（3.1.6)，另见GB/T20438.5—2006附录A。注2：安全相关系统是在接受命令时采取适当的动作以防止EUC进人危险状态。安全相关系统的失效被包括在导致危险或危害的事件中。尽管存在可能具备安全功能的其他系统，但已指定的安全相关系统仅是指靠其自身能力达到要求的允许风险的安全相关系统。安全相关系统一般分为安全控制系统和安全防护系统，并且具有两种操作模式（见3.5.12)。
注3：安全相关系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC接口，即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离、独立、专门的安全相关系统实现安全功能。注4：安全相关系统可能包括：
a）被用于防止危险事件发生（即安全相关系统一旦执行其安全功能则没有危险事件发生）。b）被用来减轻危险事件的影响，即通过减轻后果的办法来降低风险。7
GB/T20438.4—2006/IEC61508-4:1998c）同时具有a)和b)的组合功能。注5：人也可作为安全相关系统的一部分（3.3.1)，例如，人可以接收来自可编程电子装置的信息，并通过可编程电子装置按接收信息要求执行安全动作。注6：该术语包括执行安全功能所需的全部硬件、软件以及支持服务（如电源）。（传感器，其他输入装置，最终元件（执行器）和其他输出装置也包括在安全相关系统中。）注7：安全相关系统的技术基础范围可以十分广泛，包括电气、电子、可编程电子、液压和气动等。3.4.2
其他技术安全相关系统othertechnology safety-related system基于电气/电子/可编程电子技术之外的安全相关系统。举例：安全阀就是一种其他技术安全相关系统。3.4.3
外部风险降低设施
E external risk reduction facility不使用E/E/PE安全相关系统或其他技术安全相关系统，且与上述系统分开并不同的降低或减轻风险的手段。
举例：排放系统、防火墙和堤都是外部风险降低设施。3.4.4
简单E/E/PE安全相关系统lowcomplexityE/E/PEsafety-relatedsystem一种E/E/PE安全相关系统（见3.2.6和3.4.1），其中：一已很好确定了每个单独部件的失效模式：能完全确定在故障状况下系统的行为。注：在故障状况下系统行为可用试验和/或分析的方法确定。举例：包括一个或几个限位开关，可能还要通过一些承插式机电继电器控制一个或多个接触器来切断电机电源的系统就是一个简单E/E/PE安全相关系统。3.4.5
逻辑系统免费标准下载网bzxz
logicsystem
系统的一部分，用于执行功能逻辑，但不包括传感器和最终元件。注：GB/T20438中使用下列逻辑系统：一用于机电技术的电气逻辑系统；一—用于电子技术的电子逻辑系统；用于可编程电子系统的可编程电子逻辑系统。3.5安全功能和安全完整性
安全功能safetyfunction
针对特定的危险事件，为达到或保持EUC的安全状态，由E/E/PE安全相关系统、其他技术安全相关系统或外部风险降低设施实现的功能（见3.4.1）。3.5.2
safety integrity
安全完整性
在规定的条件下和规定的时间内，安全相关系统成功实现所要求的安全功能的概率。注1：安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低，注2：安全相关系统有4种安全完整性等级（见3.5.6)。注3；在确定安全完整性的过程中，应包括导致非安全状态的所有失效（随机硬件失效和系统失效）的起因，例如硬件失效，软件导致的失效以及由电气干扰引起的失效，其中有些类型的失效，尤其是随机硬件失效，在危险失效模式中，可用失效率这样的量来量化，对一个安全防护系统而言，可以用有要求时不能工作的概率来量化，但是，系统的安全完整性也取决于许多因素，这些因素无法精确定量仅可定性考虑。注4：安全完整性由硬件安全完整性（见3.5.5)和系统安全完整性（见3.5.4)构成。注5：这一定义着重于安全相关系统执行安全功能的可靠性（见1EV191-12-01对可靠性的定义）。8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。