QQ好友
新浪微博
微信扫一扫- 简介
- 目录
- 强制性条文
5 安全相关控制功能规范要求(SRCF)
5.1 目的
本条规陈述程序,它规定由SRECS 执行SRCF 要求。
5.2 SRCF 要求规范
5.2.1.1 依据GB/T 15706. 1 、GB/T 15706. 2 和GB/T 16856 提出的风险降低策略,安全功能的任何需要将可能被确定。
5.2.1.2 如果被选择的安全功能由SRECS 执行(全部或部分地) ,那么,应规定相关SRCF( 见3.2.16) 。
5.2.1.3 各SRCF 规范应包括:
功能要求规范(见5.2.3) ;
一一安全完整性要求规范(见5.2.4)。
上述项目应在安全要求规范(SRS) 中形成文件。
法1 :当非电气设备结合电气手段来执行安全功能时,本标准将不考虑应用于非电气设备的目标失效值。电气手段涵盖了所有依据电气原理操作的装置和系统,包括:
一一机电装置;
一一非可编程电子装置;
一一可编程电子装置。
注2: SRS 需要按照版本控制,作为配置管理程序的一部分(见9.3) 。
5.2.1.4 安全要求规范应该经过验证确保在预期应用中的一致性和完整性。
注:例如,它可以通过检验、分析、核对表获得。见GB/T 20438.7 中B.2.6 。
5.2.2可用信息
应使用下列信息来制定各SRCF 功能要求规范和安全完整性要求规范:
一二机器风险评价结果应包括针对各种特定危险的风险降低过程所必需的所有安全功能;
机器操作特性,包括:
操作模式;
循环时间;
响应时间性能;
环境条件;
人机交互(例如修理、设置、清洁) ;
一所有和SRCF 相关的信息,都可能影响SRECS 的设计,例如:
SRCF 预期实现或防止的机器行为的描述;
SRCF 之间以及SRCF 与任何其他功能(元论机器内外)之间的所有界面;
SRCF 要求的故障反应功能。
注:在开始SRECS 重复设计过程前,有些信息可能不可用或未被充分定义,故在设计过程中,可能要求更新SRECS 安全要求规范。
5.2.3 SRCF 功能要求规范
5.2.3.1 SRCF 功能要求规范应描述各个需要执行的SRCF 的细节,包括:
一-SRCF 应激活或禁用的机器条件(例如操作模式) ;
可能是同时激活,但会造成冲突动作的那些功能之间的优先权;
一一各个SRCF 的工作频率;
一一各SRCF 要求的响应时间;
一-SRCFs 同其他机器功能之间的接口;
-要求的响应时间(例如输入、输出装置);
一各SRCF 的描述;
一一故障反应功能以及例如机器重新启动或继续运转等操作的各种限制的描述,以防初始故障即导致机器停止运行;
一一工作环境描述(例如温度、温度、灰尘、化学物质、机械振动和冲击) ;
一一试验以及各种相关设施(例如试验设备、试验接入端口) ;
预期用于SECF 机电装置的操作循环周期、工作循环周期和/或使用类别。
5.2.3.2 除了GB/T 17799.2 要求外,当SRECS 计划用于工业环境时,电磁(EM) 抗扰度等级在附录E
有规定。计划用于另外的EM 环境的SRECS( 例如住宅)应具有其他的EMC 标准规定的抚扰度等级
(例如住宅环境,应具有GB/T 17799. 1) 。
注1.在规定EM 抗扰度等级H才.需要考虑在不同的EMC 标准中的使用的等级是否涵盖了SRECS 应用中可能发生的情况,即使这种情况发生概率很低。
注2: SRECS 功能安全的EM 抗扰度性能准则见6.4.3 。
5.2.4 SRCF 的安全完整性要求规范
5.2.4.1 每个S-RCF 的安全完整性要求应来自调险评价,以确保达到虫、要的风险降低。在本标准中,安全完整性要求表示为SRCF 每小时危险失效概率的目标失效值。
5.2.4.2 每个SRCF 的安全完整性要求应按照表3 依照SIL 规定并形成文档。方法实例见附录A 。
6.4 SRECS 系统安全完整性要求
注:这些要求在"系统级"应用,在该级别,子系统互连以实现SRECS。有关子系统实现的相关要求见6.7.8
6.4.1 避免系统硬件失效的要求
6.4.1.1 应采取以下措施:
a) SRECS 应按照功能安全计划设计和执行(见4.2) ;
b) 子系统的适当选择、组合、安排、组装、安装,包括电线、电缆以及任何内部连接;
c) 按照制造商规范使用SRECS;
d) 使用制造商的应用说明书,例如目录表、安装说明书和使用良好的工程惯例(见GB/T 16855.2 ,D.1);
e) 使用具有可兼容操作特性的子系统(见1SO 13849-2 , D.1) ;
f) SRECS 应按照GB 5226.1 予以保护;
g) 按照GB 5226. 1 规定防止功能接地的损失;
h) 不应使用部件工作未加说明的模式(例如可编程设备的"保留"寄存器) ;
i) 考虑可预见的误用、环境变化或更改。
6.4. 1. 2 另外,考虑到SRECS 的复杂性和由SRECS 执行这些功能需要的S1L ,至少应采用下列一项技术和/或措施:
a) SRECS 硬件设计审查(例如检查或浏览〉:通过审查和/或分析,找出规范和执行之间的差异;
注1 :为了揭示规范与执行之间的差异,与实现、执行和产品使用相关的任何疑点或潜在弱点应以文档记录,以期能得到解决;考虑到,对于检查程序,作者是被动的,而检查员是主动的,而在程序上,作者是主动的,检查员是被动的。
b) 咨询工具诸如模拟或分析的计算机辅助设计包装能力和/或为执行系统设计程序使用的计算机辅助设计工具,该计算机辅助设计工具带可用的和已经试验过的预设计元素;
注2: 这些工具的完整性可以通过具体测试、或广泛的使用满意的历史、或通过独立的正在设计的特定的SRECS
输出验证予以证明。见6.1 1. 3.4 0
c) 模拟:按照子系统的性能和正确的计算以及其子系统交互作用,执行SRECS 设计的系统性和完整性同一化。
示例:SRECS 功能可以通过软件行为模式在计算机上模拟(见6.1 1. 3. 的,如单独的子系统或子系统元素具有各自的模拟行为,它们连接的线路响应通过查看各个子系统或子系统元素的页边数据进行检查。
6.4.2 系统性故障的控制要求
应采取下列措施:
a) 掉电的使用:SRECS 应予以设计该功能,以使在失去供电时,可以达到或保持机器的安全状态;
b) 控制临时子系统失效影响的措施:SRECS 应按下列方式设计,如:
一一-单独子系统或子系统的一部分的电压变化(例如中断,电压降)不会导致危险(例如电压中断将影响电动机的电路,而不应在电源恢复时,造成意外启动)。
注1 :见GB 5226.1 的有关要求。
GB 28526--2012jIEC 62061:2005
特别是:过电压或欠电压应尽早查明,这样,可以通过掉电程序或切换到第二个动力单元使所有输出可以转换到安全状态;
必要时,过电压或欠电压应尽早查明,内部状态可以保存在非易失性存储器中,这样,可以通过掉电程序使所有输出设置为安全状态,或通过掉电程序或切换到第二个动力单元使所有输出可以转换安全状态。
一一来自物理环境或子系统的电磁干扰影响不会导致危险;
。为控制来自任何数据通信过程(包括传输差错、重复、删除、插入、重新排序、程序或数据残缺、延迟和假消息)所引起的错误影响和其他影响的措施;
注2: 更多信息见GB/T 18657.1 、GB/T 24339. 1 、EN 50159-2 和GB/T 20438. 2 。
注3: 术语"假消息"指的是信息的真实内容未经正确鉴别。例如,从不安全的组件发来的消息被错误地鉴别为来
自安全组件的消息ω
d) 当危险故障在某个界面出现时,在因该故障可能出现而造成的危险前,应执行故障反应功能。
当使硬件容错降低至零的故障发生时,该故障反应应在估计的MTTR( 见6.7.4.4.2g) 超过时发生。
列项d) 要求适用于子系统和子系统的所有其他部分输入、输出的界面(例如,光帘的输出信号切换设备,防护装置位置传感器的输出) ,该子系统集成时包含或需要电缆连接。
注4: 不要求对其自身的子系统或子系统元素必须检测j 它的输出故障。在诊断测试执行后,故障反应功能也可以由后续的任何子系统引发。
6.4.3 电磁(EM) 抗扰度
除GB/T 17799. 2 和附录E 给出的EM 现象外, SRECS 应满足以下功能安全性能准则:
一一不应引进非安全条件或危险;
不损失SRCF;
一一由可能会受到暂时或永久骚扰的SRECS 来执行SRCF ,则应在危险可能出现前,达到或维持机械的安全状态。若EM 现象可能导致元件破坏,应(例如通过分析)确保功能安全不受影响,包括通过降低会造成局部破坏的EM 现象的值。
注:对应EM 现象在附录E 给出的所有值而考虑SRECS 的行为。
6.6.3 SRECS 安全完整性评估要求
6.6.3.1 概述
由SRECS 实现的SIL ,对于每一个SRCF 应认为由SRECS 分别完成。
由SRECS 完成的SIL 应由子系统的危险随机硬件失效概率、体系结构限制和构成SRECS 的子系统的系统安全完整性来确定。已实现的SIL 小于或等于系统安全完整性和体系结构限制的任何子系统的最低SILCLs 值。
6.6.3.2 硬件安全完整性
6.6.3.2.1 由于危险随机硬件失效而导致的各SRECS 的危险失效概率应等于或小于安全要求规范规定的目标失效值。
注:与SIL 相关的目标值在表3 中列出。
6.6.3.2.2 由于危险随机硬件失效而导致的各SRECS 危险失效概率的评估,考虑下列因素:
a) 与各SRCF 相关的SRECS 的体系结构在考虑中;
注:这包括子系统的哪些失效模式是串行配置(即任何失效引起相关要执行的SRCF 的失效)和哪些是并行(冗余)
配置(即同时发生的失效)。
b) 各子系统其各个分配功能块的失效率的估计值,在任何模式为执行其配置的功能块可能会引起SRECS 的危险失效。
6.6.3.2.3 危险失效概率的评估应基于各相关子系统危险随机硬件失效概率,源于使用6.7.Z.Z 要求的信息,对于子系统之间的数字数据通信过程,如适用,包括6.7.2. 2(k) 0 SRECS 的危险随机硬件失效概率为参与执行SRCF 的所有子系统危险随机硬件失效概率的和,适当时,还应包括数字数据通信过程危险传输错误的概率:
6.10 软件安全要求规范
6.10.1 概述
若实现安全相关控制功能的SRECS 中任一部分使用软件,应开发软件安全要求规范,并撰写文挡。
6.10.2 要求
6.10.2.1 在SRECS 规范和结构的基础上,对于每个子系统应开发软件安全要求规范。
6.10.2.2 每个子系统的软件安全要求规范都应来自:
a) SRECS 规定的安全要求;
b) 产生于SRECS 体系结构的要求
c) 功能安全计划(见4.2) 的任何要求。这些信息应提供给应用软件开发商。
6.10.2.3 应用软件安全要求规范应详细,使得SRECS 的设计和执行达到要求的安全完整性,并允许验证。
6.10.2.4 应用软件开发人员应该检查规范中的信息,保证所有要求都有充分的规定。特别是软件开发人员应遵照本标准,包括下列信息:
系统的配置或结构;
一容量和响应时间特性;
一一设备和操作者界面;
一一安全要求规范中所规定的机器操作所有相关的模式;
一-外部装置诊断试验(例如:传感器和最终元件)。
6.10.2.5 规定的软件安全要求其表达和结构应能:
一一一清晰、可验证、可试验、可维修和可操作、有相称的安全完整性等级;
可追溯到SRECS 的安全要求规范;
一一没有含糊术语和描述。
6.10.2.6 软件安全要求规范应表达要求的每个子系统的特性,要通过提供正确选择设备的信息。应规定下列基于软件的SRCF 的要求:
一分配到每个子系统的所有功能块的逻辑(如功能性) ;
-一每个功能块的输入输出接口;
输入输出数据的格式和数值范围以及其有关功能块;
描述各功能块限制的相关数据,例如最大响应时间,真实性检查限制值;
一一由子系统实现的SRECS 范围内的其他装置(例如:传感器和最终元件)的诊断功能;
一一一能让机器达到或保持安全状态的功能;
一一有关检测、通告和处理故障的功能;
一一有关SRCF 在线和离线的周期测试的功能;
防止未经授权SRECS 修改功能;
注:接口包括在线和离线编程工具。
6.10.2.7 适当时,在文件中应使用半形式化方法,例如逻辑、功能模块及序列图表。
注:软件文档指导见GB/T 19898 、ISO/IEC 15910和lSO/lEC9254 "
6.12 安全相关电气控制系统集成和测试
注: SRECS 集成一般在安装前进行,但在有些情况下.SRECS 集成在安装后才能进行(例如:应用软件开发到安装
结束后才定下来)。
6.12.1 一般要求
6.12.1.1 SRECS 应按规定的SRECS 设计集成。作为所有子系统和子系统元素的一部分集成到SERCS ,应按照规定的集成试验进行SRECS 试验。这些试验应验证所有模块正确交互,以执行他们的预期功能,不执行非预期功能。
6. 12. 1. 2 安全相关应用软件集成到SRECS 应包括在设计和开发阶段规定的试验,以保证应用软件和硬件及嵌入式软件平台的兼容性,从而满足功能和l 安全性能要求。
注1 :这不表示所有输入结合的测试。测试所有相等级别(见GB/T 20438.7 中B.5和C.5.7) 已经足够。静态分
析、动态分析或失效分析能降低测试案例数目至可接受的水平。使用结构化设计或半正式方法便于测试和验证。
注2: 用结构设计或半正式方法允许降低试验实例的深度和数量。
注3 :也可以使用统计证据降低试验实例的深度和数量。
6.12.1.3 应制作SRECS 集成测试的恰当文件,表述试验结果,是否达到了设计开发阶段规定的目标和准则。如果有失效,失效的原因应该形成文件,并进行纠正行动和重新测试。
6.12.1.4 集成和测试期间,对SRECS 的任何修改或变化应进行影响分析,并应识别所有受影响的部件和附加验证。
6.12.1.5 在SRECS 集成测试期间,应形成下列文件:
a) 所用试验规范的版本;
b) 集成试验可接受的准则;
c) 受试的SRECS 版本;
d) 使用的工具和设备连同校准数据;
e) 每次试验的结果;
f) 期望和实际结果之间的所有差异;
g) 在发生差异的地方,所做的分析和决定是否继续测试或提出改变要求。
6.12.2 SRECS 集成时,决定系统安全完整性试验
6.12.2.1应用软件和硬件集成期间,暴露故障和避免失效的测试应使用。试验期间,应进行评审考虑是否达到了规定的SRECS 特性υ
6.12.2.2 应进行下列试验:
a) 在充分表征操作的数据处,对SRECS 应用功能试验。应观察输出,其响应与规范规定的进行比较。偏离规范和未完成规范的指示应形成文件
b) 在实际功能条件下,验证动态行为的动态试验和满足SRECS 功能规范的显示失效,并评估SRECS 的实用性和鲁棒性。
注:在规定的环境中和有规定的试验数据,执行系统或程序的功能。该试验数据根据已确定的准则,从SRECS
SRS 系统生成。这暴露了SRECS 的行为,并允许与规范进行比较。目的是为了确定SRECS 和/或其子系统是否正确执行了规范要求的所有功能。形成等值级别技术是用于黑箱试验数据的准则例子。依照规范,输入数据空间再分成特定的输入值范围(等值级别)。试验实例形成于:
可允许范围的数据;
不可允许范围的数据;
一-范围限制数据;
一一极限值;
一一上述级别的结合。
在不同的试验活动(模块试验、集成试验和系统试验)中,为选择试验实例,其他准则可以是有效的。
我也要评论