GB T 20438.1-2006 电气 电子 可编程电子安全相关系统的功能安全 第1部分 一般要求.pdf

1、ICS 25.040 N 10 中华人民共租国国家标准GB/T 20438. 1一2006/IEC61508“ 1: 1998 电气电子可编程电子安全相关系统的功能安全第1部分：般要求Functional safety of electrical/ electronic/programmable electronic safety related systems-Part 1 :General requirements CIEC 61508-1 :1998,ID丁）2006“07“25发布2007-01-01实施中华人民共和国国家质量监督检验检班总局岱业中国国家标准化管理委员会叩GB/T 20

2、438.1 2006/IEC 61508-1: 1998 自次简言r.即寻育.”.N I 流网.2 规范你寻月1文件川，.3 3 2主义和缩回各谣”.回国.3 4 GB/T 20438的符合性，35 文销口.，.4 5. I 日的自刷刷，45. 2亵求a.4 6 功能安全的管现.刷.4 6. I 囚的h，“确”，川，.4 6. 2 安求7 整体安全生命周期的要求“”.”确.67. I 一般要求，-.,. 6 7.2 概念”，137.3 整体范围定义剑.137. 4 危险和风险分析.13 7 5 整体安全要求”.14 7. 6 安余要求分配.”.16 7. 7 整体操作和维护计划编ilitJ副.

3、国.19 7. 8 粮体安全确认计划编制.“川.207. 9 3在体安装和试运行计划编制.咽.21 7. 10 实现：E/E/PESh确确，217. 11实现实他技术.，.21 7 12 实现3外部风险降低诞施“”. 21 7. 13 教体安装和试运行.a. 22 7. 14 整体安全确认.川”a.22 7. 15 整体操作、飨护和修现.“A. 22 7. 16 整体修改和政泼，.24 7“ 17 体用或处理.”.257. 18 革命证 . ,., . .,. 26 8 功能安全评估.“268. 1 日的，“., - 26 8. 2 要求.E，.26 附录A（资料做附录）文网然构范例，29附法

4、日（资料性附没）人员能力.自.34 参考文献”.35GB/T 20438. 12006/IEC 61508” 1: 1998 网lGB/T 20438的总体框架”.,. 2 阂21黑体安全生命周期自.嚼.6 图aE/E/PES安全生命周期（实现阶段）.,. a 7 朗4软件安余致命问期（实现阶段）目.8 图5E/E/PES整体安全生命周期刊软件安全生命周期之间的关系. 8 阁6对E/E/PE安全栩关系统、其他技术交余相关系统和外部风除降低设施的安会要求的分自己盼.17 图7操作和然护活动模烈示例自川. 23 因8操作和维修管理模型尔例.国.”.24图9修改规程模型示例”，刷”n!II A. 1

5、 把信息构建成用户群的文销集国.口，32 囱A.2 大型经杂系统和小型简单系统的结构化俗，应.33 我1票要体安全生命周期：概述“.咽”.9 表2安全完整攸等级：在低重要求操作模式下分配给一个E在PE安全相关系统的安全功能目标失效戴，国. 18 我3安全完整性等级：在离望寄求或连续操作模式下分配给个E/E/PE安全相关系统的安全功能目标失效意，.，.18 农4执行功能安全详伯各方的最低独立水平包指整体安全生命周期阶段18和1216（见阁2)J .“. 28 号费5进行功能安全评估各方的最低独立水平旗体安全生命周期阶段9，包括巴E/PES安全生命周期和软件安全线命周期的所有阶段（见图2，图3和白

6、白4).伽，伽.28 表A.l 与粮体安生命周期有关信息的文精纺构示例国晒.30 袋A.2 与E/E/PES安全生命周期；有关俗息的文档络构示例”.” 30 表A.3 与软件安会主k命周期有关的信息文锁结构示例. 31 日GB/T 20438. 12006/IEC 61508唰1:1998 前宙间GB/T 20438囱下列几部分构成z第1部分z一般要求；第2部分z电气电子问编程电子安全相关系统的姿求；一第3部分2软件要求g一一第4部分，J.主义和缩略诱；5部分s确寇安全完整性等级的方法示例；第6部分zGB丁20438.2利GB丁20438.3的成用扮闹；7部分g技术和精旅概渎。本部分是GB/T

7、20438的第1部分。本部分等问采用阂际标撒!EC61508-J :1998电气电子OJ编微电子安全相关系统的功能安全第1部分z一般要求（英文版）。本部分的附录A、附录且为资料做附录。本部分与!EC61508-J ,1998在技术内容上没有经界，为便于使用做了下列编辑性修改：a) 将“!EC61508”改为“G日丁20438”；b) “本国际你准”一i划改为“本标准”。删除阔际标准中1.2 b），网为该项只i盏台斗F!EC 61508-1的法文版。d) 删除E国际标准中1.4中的泼，旦旦为此位所泼泼的是！EC61508在美国和加拿大等凶的应用情况，与我阔的实际不符，所以删除。本部分由中网机械工

8、业联合会提出。本部分由全国工业过程世u量和控制你准化技术委员会（SAC/TC124）归口本部分由机械工illc仪器仪表综合技术绞济衍究所负责起幕。部分主要骂起草人g冯晓升、王莉、梅恪、郑旭、欧阳劲松等。皿GB/T 20438. 12006/IEC 61508翩1:1998 引言由电气和电子器牛构成的系统，多年来在许多领域巾执行其安全功能以计算机为基础的系统（般指可编程咆子系统CPE二号）在许多领域中用于非安日的倒也越来越多地用于安全目的，为使计算机系统技术览有效安全地使用，有必要善进行安全方隘的指导。GB/T 20438针对白电气或电子和可编程电子都怀构成的、起安全作用的电气电子jjf编穰咆子

9、系统CE/E/P丘白的猿体安全生命周期，提出了一个通用的1f讼。建立统一方法的目的缝为了针对以电子为葵础的安全相关系统提出一种致的、食理的技术方针，二k要因标j圣促进应用领域标准的制定。许多情况F，可ffl多种蒸气F斗之间技术的防护系统来保证E安余（生日机械的、液胀的、气动的、电气的、电子的、可编程电子的，等等）。从安全战略角度，不仅要考虑各独立系统中所有元器件的问题（如传感吉普、控制器、执行器等），阳主要考虑由所有安全相关系统构成的组合安全相关系统的问题。网此6日T20438)1才电气电子可编稳电子CE/E/PE）安全相关系统进行了规定。GB/T20438还击庭出了个框架，夜这个相互架内孩子

10、其他技术的安相关系统也吁同时被考虑洗去。在各种成用领域髦，存在辛辛许多潜在的危险和风除，包含的复杂性也备不相闷，从而需ill用不同的E/E/PES，对每个特定的应用，所需的安全措施将依赖于成用中的具体网素。GB/T20438使这些措施规泡化，以便将来寻入到底用部门标液中。N GB/T 20438 考虑了i使用E/E/PES执行Si:余功能时，所涉及到的粮体安余致命周期、E/E/PES安全线命周期以及软件安全生命问期的各阶段（如初始构思，整个没计、实现、必行、维护及佟网）。针对飞速发展的技术建立个足够健壮而广泛的能满足今厉发展需要的框架有利于促进E/E/PES安全相关系统在不问领域中相关你准的制

11、定，各成用领域和交叉应用领域栩你准liLEGB/T 20438的框架下制定，使之凤有商水平的一致做（如基础原贼，术语等的一致性），并将既安余义轰轰济。为达到E/E/PE安全相关系统所需的功能安全，提供了编制安全要求规范的方法。一一使用了一个安念完然i变得级，l比t:.余元援性等级规定了E/E/PEt:.余相关系统资实现的安余功能的闰串串安全完整性等级。采用了一种基于风险的方案来确定安余究5蓝侬等级要求。建立了E/E/PE安余栩关系统的数值化目标失效簸，这些最都闷安全7t整院等级相联系。建立了危险失效模式巾因标失效擎的一个下限，此下限是对lji-E/E/PE安全相关系统的要求“这些是系统主运行在

12、：1) 低要求操作模式下，为了执行它的设计功能，一旦要求时，就把下限设定成平均失效概率为105; 2) R需要求操作模式或者逐续操作核式下，T限设定成危险失效概京为10g /h 泼：单E/E/PE安余相关系统不定是t串通道结构”采用广泛的原理、技术和摘施方法以达到E/E/PE安全相关系统的功能安全，但未使用失效！.余的概念，I虽然这个概念在很好定义了失效模式和策杂性相对较低时可能非常有用。由于E/E/PE安余相关系统的复杂性均在GB/T20438范围之内，因此不滔用失效m安全的概念。1 范阁GB/T 20438. 1 2006/IEC 61508-1: 1998 电气电子可编程电子安全相关系统

13、的功能提金第1部分：一般要求1. 1 GB/T 20438包含电气咆子可编程电子系统夜执行安余功能时要考虑的各个方iiLGB/T 20438的一个主要哥阔的是促进各应用领域的技术委员会制定应用领域的E国家标准。这样将能充分考虑与成用有关的所布因素，因此可满足应网领域的需要耳。GB/T20438的另一个阔的是我没有戚朋领域倒家你准的情况下能够升发电气电子问编程电子系统。1. 2 GB/T 20438尤其：al 适用于包含有一个政几个电气电子！If编稼电子装聋的安相关系统。注I自对于简单的E/E/PE安全相关统，GB/T20438规定的有段要求是不必裹的，可以不按这些是耍求（见4.2和GB/T 2

14、0438. 4 2006的3.4.4中简单E/E/PE安全相关ff,统的定义。法2：尽管人也是安余相关赢统的叫部分（见GB/T20438. 4200日的3.4.门，目GB/T20438未细政考虑E/E/PE安全相关统设计中人的t1il章。b) 包含了E/E/PE安全相关系统所执行的Ji.余功能失效引起的可能危险，这种可能危险成与E/E/PE设备本身产生的危除（直口电台等）加以院分。不包拟在如下情况时的E/E/PE系统：击恩供必要苦的风除降低能力的单E/E/PE系统，并且一一E/E/PE系统安才是完秘性的要求低于规定的安全完整性等级1( GB/T 20438规定的最低发余完3在生等级）。d) 察

15、针对其失效将对人和或环境安产生影响的E/E/PE安念相关系统；倒是，失效的质果也将对绞济产生严童在影响。从这个角度讲，GB/T20438也涵竟是了用于保护设备和产品的E/E/PE系统。e) 考虑了E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施，以便能系统地、以孩子风防的方式确定E/E/PE安全相关系统的安余规范。们用整体安全生命周期模型作为技术板娘，系统地论述了沟保证E/E/PE安全相关系统功能Ji.余所苦苦的活动。注3：整体安全生命周期的切期阶段如简要豆E1iJ包指其他投安全相关率统和外部风险降低设施，以便能罩统地、以喜辈子风险的方式制定EIE/PE安全相关系统的要求规哉“

16、I主4：整体安全生命周期尽管是针对E/E/PE安全相关惠统饶出的，但网时也提供了一个弯曲2任何资金相关革统的技术框架削不论这种安余相关系统使用何种技牢（例如机械的、漉胀的或气功的）。g) 不对45-领域应用规寇安念究整d院等级（这察以领域成用的详细信息和知识为2基础）这要El负责制定备应用领域标准的技术委员会夜相成的标准中做Ill规定。h) 对子尚无标准的各应用领域提供一个E/E/PE安全相关系统的通用要求。不包括防止米级批般人员对E/E/PE安相关系统的损伤和或x;fE/E/PE安相关系统的Ji.金功能产生不利影响的预防恼施。1. 3 本部分是一般要骂求，它适用于GB/T20438所有部分。

17、G日丁20438其他部分涉及更具体的问磁z第2部分和第3部分对E/E/PE安全相关系统（硬件和软件）提出了更多的和具体的要求；_, .第4部分规定GB/T20438中使用的术治）！：.义和缩曲曲i苦；5部分用很例的Jr讼，对应用望在1部分时如仰确定安全党整性等级提供i!Jr骨；第6部分纷刷了应用第2部分和第3部分的指南5第7部分包销技术和措施概述。GB/T 20438. 1一2006/IEC61508“ 1: 1998 1. 4 GB/T 20438. 1, GB/T 20438. 2、GB/T20438. 3、GB/T20438. 4是获础安全标准鼠然它们不适用于简单的E/E/PE安全相关系

18、统（见GB丁20438.42006的3.4.4J.!.l.作为基础安全标准，各技术委员会可以在！EC于则104和ISO/IEC军事则51的指导下制定相关标准时使用。对于每个技术委员会，都有责任夜其制定的标准中使用基础标准。司时，GB丁20438也是一个可独立使用的标液。1. 5 图l若是杀了GB/T20438的总体艇架，同时明确了在达到E/E/PE安全相关系统功能安全过程中本部分的作用。编制品的聋企望草概靠、植凶、且、危险和风险分昕巴巴PE辈辈相关矗统，其他技术茸全相关革统且外部风险降低世施7.17. 5 E/E/PE费量相关赢蜿的！骗、试行和蜜索性确认7. 13刷714 E/E/PE世，相关

19、赢统的运行、维护、悔改和改型、停用或者扯曦7 15 7. 17 G 阁1GB/T 20438的总体樵架 GB/T 20438. 12006/IEC 61508什g1998 2 规范性引用文件下列文件中的条款通过GB/T20438的本部分的引用而成为本部分的条款。凡是ttB期的引用文件，其随后所有的修改革在（不包括勘误的内容）或修订版均不适fll于本部分，然TI币，鼓励根据本部分达成协议的各方研究是否可使用这些文怜的最新版本凡是不注日期的引用文件，其最新版本i适用于本部分。GB/T 20438. 2 2006 电气电子可编草草电子安栩关系统的功能安全第2部分z对电气电子百I编程电子安全相关系统的

20、要要求OEC61508“ 2: 2000, IDT) GB丁20438.3-2006电气电子可编穗电子安余相关系统的功能安余第3部分：软件察求OEC 615083:1998,IDTJ GB/T 20438. 4 2006 电气电子问编税电子$j相关系统的功能安余第4部分z定义和缩赂i者（！EC615084,!998,!DT) GB/T 20438. 5 2006 电气电子可编稼电子安余相关系统的功能安第5部分：确定安余完鹦性等级的方法只j（例（!EC61508 5:1998,!DT) GB/T 20438. 6 2006 电气电子可编程电子安念相关系统的功能安全第6部分：GB/T 20438.

21、 2罪HGB/T 20438. 3的应用指瀚（EC61508-6,2000,JDT) GB/T 20438“ 7-2006 咆气电子可编程电子安全相关系统的功能Ji:.念然7部分：技术和措施概述OEC61508 7 :2000,!DT) ISO/IEC导则51:1990安全方面在标准中引人安全条款的指南!EC等则104:1997安：出版物的编写及荔本安f挂出版物和分类出版物的成fll3 定义和编暗语本部分采用GB/T20438. 4一2006中规寇的义和缩略语。4 与GB/T20438的符合怯4. 1 姿满足GB丁20438的主要求，必须诋明提出的所有热求符合GB/T20438的规定（如安余%

22、1要性等级）井已达到各章和各条的耍求。放叫般不能选择某一个参数来确定满足某一要求的穰度（严格穰度），而是根据与戴体安全致命周期、E/E/PES安全生命阀期或软件安全生命周期各阶段和涌动带关的一些因紫来确定，这些因章是z一后果及风险降低p危险性质；一一安全究擦性等级s一一实现技术类烈；革统规模$叫涉及朋队的数最；物理分布；一一设计的新颖程度4. 2 GB/T 20438规定了对E/E/PE安全栩关系统的要求，以满足！j这种系统相关联的全范围的复杂做倒对于简贱的E/E/PEJi:.相关系统（见（而丁20438.4 2006的3.4.的，如；有能为达到要求的安全吉它整性提供必要的置俏皮的问靠现场经验

23、的情况下，有下列j儿种逃择；一1有关成用领域你f使中实现G日丁20438.IGB丁20438.7察求时，有些要求也许不必婆，不满足这些要求也是可接受的。如我有关领域没有相成标准，则可接应用GB/T20438，如有现出认为GB/T20438中的某些姿求不必要耳，不满足这些赞求也是jjj接受的。4. 3 按GB/T20438书轰烈开发的E/E/PEJi:.：相关系统的应用领域网家标礁，将包含ISO/IEC导则51和！EC导则104巾的姿求。GB/T 20438.1-2006/IEC 61508国1:1998 5 文精5. 1 固的5. 1. 1 规定能够有效执行熟体安全线命周期、E/E/PES安余

24、绞命周期和软件安余致命周期各阶段所必需的信息，这些信息将被文格化。5. 1. 2 规定能够有效执行功能安:3t管现（见第6：数人骏说（j,1,7. 18）以及功能安余i平的等活动所必稽的信息，这些俗息也将被文格化。ii: l : GB/T 20438要求的文树是信息方丽的文梢，而不是实际文椅，这些信息不要求包括在实际文梢之中，除非在相关条款中做了明确说明uii: 2文销可以有不同的形式（如纸张、胶片或任何可显示于屏幕就显示器上的数据媒体）。注3，有关叮能的文销结构见附最A.位4，见参考文献4。5. 2 裹求5. 2. 1 文挡中股包指E/E/PES的手u软件的以及数体的安全生命阅期中各阶段的足

25、够信息这些信息是有效执行各阶段和验证活动所必需的。注：什么是足够的信息取决于许多因紫包括E/E/PE安余相关罩统的复杂草程度和单统规模以及具体llil.f目的有关姿求。5.2.2 文梢中Ell包括管理功能安金所要求的足够信息（见第6意）注：见5.I. z的放”5.2.3 文附中应包括实现功能安余评估所需的足够倚息，也包括从任何功能安:3tt平仿得到的结果和俄息。ii:见5.I. 2的注。5.2. 4 除了在功能安全计划编制中己作调毅成应用领域标准巾己规定外，祭文档化的信息$i.同GB/T 20438各骂雪中所述一样。5.2.5 相对于标准的条款，文精$i.足够充分以便于执行。注：承担特定活动并

26、被GB/T20438所需要的信息才有必要列于相关部分。5.2.6 文精$i.:准确简明；让使用者容易现解；能达到预期囚的g一可得败和可维护。5.2. 7 文销或俗息祭应有指示内容的标题或名称，以及一些形式的检索，以傻子访问标准巾所需的倦怠。5.2.8 文销的结构问根据公司规粮和成用领域的工作实践来确定。5.2.9 文档或俭息集应有修订检索（版本号），以区别文挡的不同版本。5自2.10 文梢或信息、集成立省构化以便于:l1t找栩关信息，以及占辈子识别文精威信息集的最新修订版（版本）。注。文档的实际结构应根摇多种图章而改变，如草统规模、复杂程度和组织要求。5. 2. 11 所有有关文将成修订、补充

27、、复审、批准并按照适当的文档铃，制方案进行按制。注2在网自动或半白酒J工具产生文恼的情况下，专用规程对保证措施的有效性是必婆的，这些工具在管理版卒筑投制丈档的其他方曾有时应安装到位。6 功能安念的箭混6. 1 因的6. 1. 1 确定整体的、E/E/PES的和软件的安全生命简期所有阶段的管迎和技术滔动。这些阶段是达到E/E/PE安全相关系统要求的功能安全所必需的。6. 1. 2 确定人员、部门和机构对整体的、E/E/PES的和软件的安全生命周期各阶段就各阶段巾活动所负的资衍。校本章中涉及的组织措施用于有效实现技要求并仪针对达到和保持E/E/PE安全相关革统的功能安全。书社奇功能Ift采用的途径

28、a7.6.2.4 7”6.2.3所述的分配成这样进行，即分配所有的安余功能并且满足每个安余功能的安余完？要性要求（根据7.6. 2. 10中规定的基本主耳求）。7.6.2.5 1才每个安功能的安念完整攸裹求成可以指胁是否达到每个目标安全完攘除盖在数：能在要求时就执行其设计功能的平均失究生概率（低要求操作模式时）；或锋小时危险失效概率（商望罢王拉线连续操作模式时）。7.6.2.6 对于概凉的组合可使用适坷的技术来执行Ji;念完憨攸要求的分配。注B可用Ji.慧和或定性的方法进行安全要求分自己w7.6.2. 7 进行分配时应考虑共同原因失效的概率。如果E/E/PE安全相关系统、然他技术安全相关GB/

29、T 20438. 1 2006/IEC 6150岛1:1998 系统和外部风险降低设施对于分配而言于被看作是独立的则它们：实现功能的途後是多种多样的CBP用究余不闷的途径达到栩闷的纺巢）；叫叫经以多种技术为基础的（如用不同类型型的设备主主到相同的结果htt l：要认识到，尽管有多种途径和技术，对失效事件发生时可产线特别严熏后果的商安余窍孩性系统而言，要来取特殊预防措施以抵御低概率的共问燎的事件，例如飞机失事和地震一不能用阙主丢失效将引起所有系统产生危除模式失效的公用那件、服务就支持系统（如同Z源）；不能使网公用的操作、维护或测试规程；一一应在物琅上分开这样可预见的失效不会影响冗余安余相关系统和

30、外部风险降低设施。注2,GB/T 20438渺及对E/E/PE安全相关系统的安余完艘性要求的分配并规定了如何进行这种分自己的要求。GB/T 20438没有细敖带虑对于其他技术安全相关革统和外部风险降低设施的安余完整做要求的分配7.6.2.8 如身生不能满足7.6. 2. 7的所有姿求，除非进行一次分析并显示出这些系统是光分独立的（从安全究鹦性的角度辛苦），否则对于安全究整性分配来说，E/E/PE安全相关系统、其他技术Ji;金相关系统和外部风除降低设施都不能视为独立系统。挫1,相关失效分析的更多信息参见参考文献9和10.tt 2充分独立傲是指与E/E/PE安余相关系统较体安念完赖性要求相比，相关

31、失效的概事足够低。7.6.2.9 当分自己已充分注行后，分配给E/E/PE当3t相关系统每个安全功能的安全完毁性妥求，应按农2和表3中的安全究惑性等级进行规志，并且加以考核以指出目标安全完整攸参数是下列两者之一在要害求时就执行其设计功能的平均失效概率（低姿求操作模式时）；或一句小时危险失效概率（商要求筑施续操作模式时）。tt J，先于这一阶段，就成根据风除降低规定安余完事震惊要求（见7.肘。注2：我2和表3包含了安全觉整性等级的自你失效量。大家公认不可能）.篮地预计E/E/PE安全相关j;统的所乎可方丽的安余完费1也就满足目标失效巅必需的预防措施而言，不得不使用定傲的技术、措施、判断对于革统安

32、全究整性的情况iii!1i尤为如此（见GB/T20438. 4 2C06的3.5.4）的的1岛事的风险降低的必要的风防降低c) 黄金窍自性帮箴E/E/PE黄金相关ti统荡1每个黄金功能且其相荣的费生壳酷性票求的分配对各个E/E/PE章金相关.fi统的世计事求，血。8月20438.2 tu ：在分配前，安余完事在位姿求与每个安全功能是相关的注2一个安全功能可以分配给不止一个安全相关系统。阁6对E/E/PE安余糊关系统、其他技术安余相关系统和外部风险降低设施的安金要求的分配17 GB/T 20438. 12006/IEC 61508“ 1, 1998 表2安念完整性等级：在低要求操作模式下分配给个

33、E/E/PE安金相关系统的安全功能目标失效最安全究整性等级民要求操作模式（在害要求时就执行其设计功能要求的平均失放概率4 ；如10；且10 3 二三10旺102 并10且JO;1 法10卫10注详细解释见下面的注3诙趴表3安全完整性等级：在南要求或连续操作模式下分配给一个E配PE安全相关系统的安全功能目标失效量安全完整性等级商要求或遥续操作模式（每小时危除失效概）4 10且10 3 主10什且三10叫2 以10且to主主106且105t主详细解释兑下隘的注3注9,注3：对低姿求操作模式和商要求成连续操作模式的术语j义见GB/T20438. 4-2006的3.5. 12。i主4，针耐高望寄求就连

34、娥操作模式的农3中的参数，即每小时放除失敖概率有时接指危除失放的频率或危防失效事，以每小时危险失效次数为单位。it 5在规定的任务时间内不能发生修珊的、按高要求成旅续操作模式运行的E/E/PE安念相关系统，某某个安3:功能要求的安全完整性等级刚直aF获得自确定在任务时间内要要求的安全功能的失放概率，除I任务时间即给出票求的每小时失效概率，然府从表3获得要求的安念完猿憔等级。it 6, GB/T 20438在危险失放模式下设毁了个可以商明的自串串失效盘下限c这些问你失效盘是安全究整性等级4的下限（即为能在要求时就执行其设计功能的一个10的平均失效概率，或一个10!h的低除失效概率），对简单草统而

35、苔，有可能没计个低因怀失放蠢的安全相关），统但要考虑表中所泌的较复杂系统（如BJ编稼电子安余相关系统）目前能达到的限债。放714使用两个或多个E/E/PE安全相关系统时，声明的目标失效垦可能优于农2和褒3给出的那贼僚，其条件是姿达到满足婆求的烛立准平。应8，耍注意安全完整性等级1_2,3,4的失效量是目标失效量普遍感认在评估目标失破量是否被满足的时候，只有对于硬件安全究ll性才dJj毒化和应用可靠性预测技术（见GB!T20438. 4 2006的3.5. 5）。就满足目标失效巅必霞的预防措施而盲不得不使用定性的技术、判断。改9，每个安余功能的安i:完要在性姿求都将被考核，从附指出每个目标安全完

36、？在性参数是资能在要求时就执行其设计功能的平均失效概惑p成每小时危险失效概率（离主位或连续操作模式时），7. 6. 2. 10 对用于实现不同安余完敢做等级的安余功能的E/E/PE安余相关系统，除非显示出这些安全功能的实现之间是充分独立的，t野则在实现独立件：存在不足时，硬件和软件的那些部分成作为具有鳞商安余究雪慧做等级的安cf:功能来对待Q网此适用于最商安才去究事实技等级的要求适用于所有这J.f.如部分。注另见Gll丁20438.22006的7.4.2.4和GB丁20438.32006的7、4.2.8,7. 6. 2. 11 仅消息下列a）或同时满足川和cl时，才能允许刷一个具有安金尧鼓性等

37、级4的在E/PE安相关系统构成个体系结构：18 a) 通过结合适当的分析方法制测试，已经网实例情楚地说明了的际安全究室主性失效髦。bl 已具有作为E/E/PEJi.余相关系统一部分的部件的广泛操作经尊贵；这极操作级骏盯在相同的环境中获得，并少已用于发杂性辍应首T比拟的一个系统中。GB/T 20438. 1-2006/IEC 61508-1 , 1998 c) 具有足够多的从E/E/PE安全相关系统的部件中获得的便件失效数据，从而对所向明的硬件安全完穗悦目标失效攘的可信度是足够的。这些数t暗与建议的环境、应用和复杂稼度相关。7. 6. 2. 12 1才子工作夜下列情况的安余相关系统分配纷单一的E

38、/E/PE安全相关系统的自你安：ft:需要性失效续不低于表2和表3规定的僚2且要求操作模式下，为能夜姿求时就执行其设计功能，下限设子：平均失效概率为10VF寄望拉线连续操作倏式，下限t毁于z危险失效慨率为109/h, 7.6.2.13 7.6.2.1 7.6” 2. 12叶获得的安全要求分自己的简息和结果连同所作的任何假设和议明都要义稍化。注，对每个E/E/PE安全相关统都要有安全功能和安全究整性等级的足够的依息。这些信息将构成GB丁20438中编制E/E/PE安全相关系统安全要求的基础。7. 7 整体操作和维护计划编制Ii 1：这阶段是顾2的方依币。注2凶7所主民为操作和维护活动模型的一才、

39、例子。按3，即日liiF为操作和维护管理模型国的一个例子。7. 7. 1 目的拟jE/E/PE安全相关系统的操作和然护汁划，以保证书E操作和维护期间保仰所要求的功能安念。7. 7.2 要求7. 7. 2. 1 计划成规定以下内容：a) 保持E/E/PEJi:i是相关系统所要求的功能Ji:余的日常行动。bl 为防止非安全状态、减少对E/E/PE安全相关系统的要求或降低危险宰你i-1E的后果采取的必要行动和约束（如在启动、正常操作、例行测试、可预见的干扰、故陈和关机过程响的）。注l,F列约束、条件和动作是与E/E/PE安全相关系统有关的e一在E/E/PE安全相关系统失放戚故隙时对EUC操作的约束在巳IE/PE安走相关系