（高清版）GBT 41295.1-2022 功能安全應(yīng)用指南 第1部分：危害辨識和需求分析

功能安全應(yīng)用指南第1部分：危害辨識和需求分析2022-03-09發(fā)布2022-10-01實施國家市場監(jiān)督管理總局GB/T41295.1—2022 I Ⅱ 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25總則 25.1危害辨識和需求分析所處生命周期的階段 25.2危害辨識和需求分析的基本考慮 5.3危害辨識和需求分析的過程考慮 5.4危害辨識和需求分析的變更考慮 5.5危害辨識和需求分析的文檔化考慮 6危害辨識 36.1危害辨識的一般過程 36.2自然環(huán)境在危害辨識過程中的影響分析 6.3法律法規(guī)在危害辨識過程中的影響分析 46.4工藝過程在危害辨識過程中的影響分析 6.5受控設(shè)備的風險 6.6安全系統(tǒng)的風險 6.7風險記錄 7需求分析 參考文獻 圖1危害辨識的一般過程 4表1風險記錄表示例 5I本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T41295《功能安全應(yīng)用指南》的第1部分。GB/T41295已經(jīng)發(fā)布了以下部分：——第1部分：危害辨識和需求分析；——第2部分：設(shè)計和實現(xiàn)；——第3部分：測試驗證；——第4部分：管理和維護。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中國機械工業(yè)聯(lián)合會提出。本文件由全國工業(yè)過程測量和控制標準化技術(shù)委員會(SAC/TC124)歸口。本文件起草單位：中國石油集團安全環(huán)保技術(shù)研究院有限公司、機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所、國能智深控制技術(shù)有限公司、中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心)、中國石油大學(xué)(北京)。Ⅱ自GB/T20438(所有部分)發(fā)布以來，電氣/電子/可編程電子系統(tǒng)已經(jīng)越來越多的應(yīng)用于國內(nèi)各個領(lǐng)域的安全控制和安全防護，包括石油、化工、電力、軌道交通、汽車、電梯/扶梯等。近年來隨著智能制造的興起，智能化設(shè)備(主要由電氣/電子/可編程電子為技術(shù)基礎(chǔ))的安全問題逐漸成為一個新的研究方向和焦點，進一步提升了對功能安全技術(shù)的需求。GB/T20438(所有部分)給出了實現(xiàn)功能安全的基本框架和結(jié)構(gòu)，作為等同轉(zhuǎn)化的標準，與國內(nèi)企業(yè)的管理體系和設(shè)計思路未能完全切合，加之很多國內(nèi)工程技術(shù)人員都是初次接觸功能安全技術(shù)，對于功能安全概念一時難以理解，這就造成雖然國際功能安全標準提出了非常好的安全理念和設(shè)計措施，但技術(shù)人員難以清楚的理解和認識。GB/T20438(所有部分)發(fā)布10多年來，國內(nèi)一些領(lǐng)先的科研院所和企業(yè)已經(jīng)基于標準要求開展了很多工作，并積累了一定的經(jīng)驗。因此，基于國內(nèi)目前已有的功能安全評估、功能安全設(shè)計、功能安全測試和功能安全管理實踐形成本文件，以更好地指導(dǎo)功能安全相關(guān)系統(tǒng)GB/T41295擬制定4個部分。 第1部分：危害辨識和需求分析。目的在于規(guī)定功能安全系統(tǒng)設(shè)計初期的危害辨識內(nèi)容和需求如何產(chǎn)生的方法?！?部分：設(shè)計和實現(xiàn)。目的在于規(guī)定功能安全系統(tǒng)的軟硬件設(shè)計和實現(xiàn)方法和實施指南?！?部分：測試驗證。目的在于規(guī)定功能安全系統(tǒng)在生命周期過程各個階段的測試導(dǎo)則和測試方法解讀?！?部分：管理和維護。目的在于規(guī)定功能安全系統(tǒng)管理和維護過程的導(dǎo)則。1功能安全應(yīng)用指南第1部分：危害辨識和需求分析本文件提供了功能安全系統(tǒng)應(yīng)用指南中危害辨識和需求分析指導(dǎo)。本文件適用于功能安全系統(tǒng)開發(fā)的概念階段。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20438.1—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語3術(shù)語和定義GB/T20438.4—2017界定的以及下列術(shù)語和定義適用于本文件。受控設(shè)備、工藝過程、運行環(huán)境及功能安全系統(tǒng)本身中潛在危險的發(fā)生風險，通過理論推導(dǎo)和經(jīng)驗總結(jié)等方法分辨并標識風險的可接受程度。根據(jù)危害辨識(3.1)的結(jié)論，制定功能安全系統(tǒng)的安全需求；根據(jù)功能安全系統(tǒng)的架構(gòu)將安全需求分解到組件的過程。在功能安全系統(tǒng)的整個生命周期中，可能與系統(tǒng)發(fā)生直接關(guān)系的人員。功能安全系統(tǒng)運行時，相關(guān)的自然環(huán)境、工藝過程、受控設(shè)備以及功能安全系統(tǒng)所組成的集合。這個場景是具象化的，能夠通過實體仿真觀察研究的。2安全需求safetyrequirements功能安全系統(tǒng)為了降低風險到可容忍級別，而需要滿足的功能安全完整性等級要求。注：安全需求在GB/T20438中被稱之為安全要求，兩者具有相同的含義。功能安全系統(tǒng)functionalsafetysystem執(zhí)行安全相關(guān)功能的系統(tǒng)，具有功能安全相關(guān)的特性，滿足特定的安全完整性等級(SIL)。注：這里的系統(tǒng)是一個廣義的概念，包含不同的層次，如安全部件、安全設(shè)備或安全控制系統(tǒng)等。在實際的工業(yè)過程中，功能安全系統(tǒng)可能是一個變送器、繼電器、安全可編程序控制器或安全儀表系統(tǒng)。4縮略語下列縮略語適用于本文件。DC:診斷覆蓋率(DiagnosticCoverage)EMC:電磁兼容性(ElectromagneticCompatibility)MooN:N取M通道架構(gòu)(MoutofNchannelarchitecture)SFF:安全失效分數(shù)(SafeFailureFraction)SIL:安全完整性等級(SafetyIntegrityLevel)5總則5.1危害辨識和需求分析所處生命周期的階段本文件所提供的危害辨識和需求分析是指在功能安全系統(tǒng)研發(fā)設(shè)計前，基于系統(tǒng)的預(yù)期用途和工作環(huán)境對系統(tǒng)失效可能造成的危害情況進行充分的辨識，從而獲得系統(tǒng)預(yù)期要實現(xiàn)的安全功能需求。功能安全系統(tǒng)應(yīng)用的整體生命周期宜按照GB/T20438.1—2017,功能安全系統(tǒng)生命周期宜按照GB/T20438.2—2017,功能安全系統(tǒng)軟件生命周期宜按照GB/T20438.3—2017。5.2危害辨識和需求分析的基本考慮——重點關(guān)注會導(dǎo)致人員生命和健康受到傷害的危害?！：Ρ孀R需要綜合考慮各要素的相互影響，需要系統(tǒng)相關(guān)人員共同提出辨識意見，系統(tǒng)相關(guān)人●現(xiàn)場操作人員；●系統(tǒng)開發(fā)人員；●維修維護人員；——安全需求制定時，需要兼顧系統(tǒng)的基本控制功能。——安全需求不會產(chǎn)生新的危害，并且需要進行迭代分析。5.3危害辨識和需求分析的過程考慮在危害辨識和需求分析時，需要遵循如下的實施過程：3——選擇功能安全系統(tǒng)需要運行場景以及需要控制的范圍；——收集同類場景已經(jīng)發(fā)生過的危險事件數(shù)據(jù)，包括已確定的危險事件和導(dǎo)致該危險事件的事件序列；——征詢系統(tǒng)相關(guān)人員對危險事件的意見和對系統(tǒng)的需求；——記錄危害辨識結(jié)果，并對不可接受危害，逐一制定安全措施；——分析安全措施的有效性，總結(jié)編制安全需求；——征詢系統(tǒng)相關(guān)人員對安全需求合理性的意見；——安全需求經(jīng)過審批后作為功能安全系統(tǒng)的開發(fā)的依據(jù)；——根據(jù)系統(tǒng)的架構(gòu)設(shè)計，將安全需求的實現(xiàn)方法分配到每一個子系統(tǒng)或者組件中。5.4危害辨識和需求分析的變更考慮在危害辨識和需求分析時，需要考慮如下的變更：——變更一般由系統(tǒng)開發(fā)人員發(fā)起；——需要進行變更影響分析，重點是變更前后運行場景的差異對比；——變更具有足夠的合理性，合理的變更具有如下幾個特征：●所有系統(tǒng)相關(guān)人員均不強烈反對此項需求變更，●此項需求變更能夠獲得審批授權(quán)簽字人的認可，●變更有具體的原因，這些原因包括：危害辨識的錯誤或疏漏，市場競爭原因，現(xiàn)有技術(shù)條件無法滿足此項需求，需求完全無法被驗證等；——變更需要通知所有引用危害辨識記錄和安全需求的人員。5.5危害辨識和需求分析的文檔化考慮在危害辨識和需求分析時，需要文檔化的內(nèi)容包括：——運行場景的內(nèi)容和特征；——危害的特征；——安全需求；——危害與需求的關(guān)聯(lián)關(guān)系；——變更影響分析；——變更的審批記錄；——發(fā)布的審批記錄。6危害辨識6.1危害辨識的一般過程危害辨識從分析自然環(huán)境和工藝過程開始，到獲得風險記錄為止，一般過程如圖1所示。4自然環(huán)境自然環(huán)境受控設(shè)備法律法規(guī)風險記錄功能安全系統(tǒng)工藝過程圖1危害辨識的一般過程6.2自然環(huán)境在危害辨識過程中的影響分析從如下方面進行分析：——與工藝無關(guān)的人類活動影響，如違規(guī)闖入、施工、人為破壞電力或通信線路；6.3法律法規(guī)在危害辨識過程中的影響分析法律法規(guī)的影響分析，重點不在于技術(shù)層面，而在于組織管理層面，需要從如下方面進行分析：——明文規(guī)定的關(guān)于工藝、設(shè)備、系統(tǒng)的要求；——條文中對于人員生命財產(chǎn)的安全保護規(guī)定；——對環(huán)境保護的規(guī)定；——對傷害程度的定級。6.4工藝過程在危害辨識過程中的影響分析工藝過程是運行場景存在風險的直接原因，這是生產(chǎn)生活不可避免的環(huán)節(jié)，為了辨識危害，需要從如下方面進行分析：——原料和產(chǎn)品在運輸和存儲過程中有毒物質(zhì)泄漏，易燃易爆品被引燃引爆，意外的接觸導(dǎo)致的劇——高溫工藝的溫度控制、超溫保護、異常熱傳導(dǎo)；——高壓工藝的壓力控制、超壓保護、壓力泄漏；——高速工藝的速度控制、超速保護、速度驟降；——爆炸性環(huán)境中的靜電火花和電源通斷時的電火花；——存在明火的環(huán)境中，意外泄漏粉塵或者可燃氣體；——設(shè)備運行環(huán)境的人員所承受的加速度、溫度、噪聲、氧氣濃度及氣壓等。5為“其他措施”為“其他措施”6.5受控設(shè)備的風險受控設(shè)備的風險，需要從如下方面進行辨識：——自然環(huán)境、法律法規(guī)及工藝過程對受控設(shè)備的影響；——周邊設(shè)施坍塌、異動對受控設(shè)備的撞擊；——錯誤的現(xiàn)場人員操控，維修維護。6.6安全系統(tǒng)的風險功能安全系統(tǒng)自身的風險，需要從如下方面進行辨識：——自然環(huán)境、法律法規(guī)、工藝過程對安全系統(tǒng)的影響；——錯誤的人為操作，例如，在線更新安全邏輯、長時間旁路；——不正確的維修維護操作，例如，線纜接錯、不停車維修；——配置錯誤，例如，未明確安全狀態(tài)、聯(lián)鎖觸發(fā)條件不合理。6.7風險記錄風險記錄表示例見表1。表1風險記錄表示例風險描述危險源發(fā)生概率后果嚴重程度是否可檢測是否可防御安全措施此處描述風險發(fā)生的過程以及可能引發(fā)的后果導(dǎo)致危害發(fā)生的最終源頭，可以簡化描述為：自控設(shè)備、安全系統(tǒng)10年很小：1次/年~1次/10年偶爾：1次/月~1次/年經(jīng)常：1次/周~1次/月頻繁：1次/天~1次/周特大：死亡10人及以上，或經(jīng)濟損失5000萬元及以上重大：死亡3人～9人或10人以上重傷，或經(jīng)濟損失1000萬元~5000萬元嚴重：死亡1人～2人或3人~9人重傷，或經(jīng)濟損失500萬元~1000萬元普通：1人～2人重傷，或經(jīng)濟損失100萬元～500萬元輕微：無重傷死亡但造成停產(chǎn)停工，或經(jīng)濟損失100萬元以內(nèi)是/否是/否僅描述安全系統(tǒng)相關(guān)的安全措施。其他安全措施可記錄7需求分析制定安全需求的依據(jù)是風險記錄的安全措施，制定安全需求至少需要考慮如下因素：——安全需求是針對功能安全系統(tǒng)的要求，需要其他裝置完成的安全要求不需要列出；——安全需求宜考慮信息安全，并進行脆弱性分析；——安全需求宜考慮實體防護，例如，機柜等；——每一項對應(yīng)風險降低的安全需求確定安全完整性等級；——安全需求能夠被驗證。6系統(tǒng)安全要求規(guī)格書可以包括如下的具體內(nèi)容?！a(chǎn)品的功能要求，需要考慮區(qū)分安全功能和非安全功能，需要對安全需求進行編號，需要描述——安全完整性等級的要求，所有安全需求中安全完整性等級要求最高的作為整個系統(tǒng)的安全完整性等級要求?！Y(jié)構(gòu)方面包括：●系統(tǒng)的分類，無法明確描述所有失效模式的系統(tǒng)，定義為B類系統(tǒng)；●冗余架構(gòu)，以MooN的形式描述，N是系統(tǒng)的通道數(shù)量，M是能夠讓系統(tǒng)進入安全狀態(tài)的最少通道數(shù)量。●低要求模式，僅當要求時才執(zhí)行將受控設(shè)備導(dǎo)入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率不大于每年一次；●高要求模式，將受控設(shè)備導(dǎo)入規(guī)定安全狀態(tài)的安全功能僅當要求時才執(zhí)行，并且要求的頻率大于每年一次；●連續(xù)模式，安全功能將受控設(shè)備保持在安全狀態(tài)是正常運行的一部分。 ●診斷覆蓋率(DC)和安全失效分數(shù)(SFF)的要求，根據(jù)安全完整性等級的要求確定；●故