GB T 20438.4-2006 电气 电子 可编程电子安全相关系统的功能安全 第4部分 定义和缩略语.pdf

1、ICS 25司040N 10 国中华人民共和同国家标准GB/T 20438. 4一2006/IEC61508“ 4: 1998 电气电子可编程电子安全相关系统的功能安全第4部分：定义和缩略语Functional safety of electrical/ electronic/ programmable electronic safety related systems-Part 4: Definitions and abbreviations CIEC 61508“ 4: 1998, IDT) 2006-07-25发布2007翩。1”。1实施中华人民共和国国家质量监督检验检瘟总局串世中国国家

2、标准化管理委员会C(.,. GB/T 20438. 4-2006/I配c61508 4, 1998 自次前3雪.I 寻言f.川.”. II 1 范阁2 规滔位号Ii刊文件3 iE义和缩略语.3 3. 1 安全术溺刷，.3 3 2 设备初装.!II:.川，.43. 3 系统一般概念川.咽.a.5 3.4 系统z安全方面3. 5 安全功能和安金完整性.阳”83. 6 放隙、失效和错误，.10 3. 7 生命周期游动，.123.8 安全髦的证实. 13 参考文献.国16索引.17图IGB/T 20438的接体框架.2 网2可编程电子系统（PESJ：结构和术语”. 6 期3现气电子问编读电子系统（E/

3、E/PES),古构和术语川.6阴4失效模狈.11表IGB/T 20438中使用的缩略语.川，.3GB/T 20438由下列7部分构成z第l部分：般要求：前富GB/T 20438. 42006/IEC 61508-4: 1998 一一第2部分：电气电子可编穗咆于安相关系统的要求；一第3部分z软件要求；一一第4部分：定义和缩略话；5部分确!E安全究整性等级的方法示伊tl:一一第6部分，GB丁20438.2和GB/T20438. 3的应用报商s一第7部分：技术和措脱概述。本部分是GB/T20438的第4部分。本部分等同采用凶际标准！EC61508“4:1998电气电子可编程电子安全相关系统的功能安全

4、第4部分，；主义初缩略诸（英文版本部分与！EC61508 4: 1998；在技术内容上没有爱瓣，为便于使用做了下列编精做修改za) 将“！EC61508”改为“GB/T20438”。b) “本国际标准”一词改为“本标准”。本部分囱中函机械工业联合会提出。本部分自余E国工业过稳视l慧和技制标准化技术委员会（SAC/TC124）归口。本部分囱机械工业仪器仪表综合技术绞济研究所负资起筋。本部分主要起率人z冯晓升、.:E莉、梅恪、郑旭、欧阳劲松等GB/T 20438. 4 2006/IEC 61508-4: 1998 51菌m电气和电子器件构成的系统，多年来在许多领域中执行其安全功能，以计算机为举础的

5、系统（一般指可编辍电子系统（PESJ）在许多领域中用于非安全囚的，但也越来越多地用于安全囚的，为使计算机系统技术览有效安余地使用，有必要要进行安1:方朗的指导的GB丁20438针对自咆气或电子利1ff编程电子部件构成的、起1:作用的电气电子可编程电子系统CE/E/PESJ的整体安全线命周期，提出了一个通用的方法。建立统一方法的园的是为了针对以电子为基础的安全相关系统提出一种致的、合理的技术方针，主要目标是促进应用领域标准的制定。！：许多情况下可用多种基于不同技术的防护系统来保证安全（如机械的、液压的、气动的、电气的、电子的、if编粮电子的，等等）。从紫金战略角f壁，不仅要耳考虑各独立系统中所有

6、元吉普件的问题（如传感器、控制桥、执行苦苦等），问且姿考虑副所有安会栩关系统构成的组合安全相关系统的问题。因此GB/T 20438对电气电子可编程电子（E/E/PEJ安全相关系统进行了规定。GB/T20438还提出了个书主架夜这个旅架内，基于其他技术的安余栩关系统也可同时被考虑进去。！：各种成m领域巢，存夜辛苦许多潜夜的危险和风险刨食的复杂校也备不相同，从附铸成用不问的E/E/PES对每个特泛的应用，则根锻应用的不问而确定所需的安全盘。GB/T20438仪是使这些最值规范化。Il GB丁20438一考虑了当使用E/E/PES执行安余功能时，所涉及到的孩体安余使命周期、E/E/PES安余生命周期

7、以及软件t(.!f:致命周期的各阶段（如初始构思，3整个设计、实现、运行、维护11停用）；一针对飞连发展的技术，建立一个足够健壮削广泛的能满足今后发展需要的框架。有利于促滋E/E/PE安全相关系统夜不同领城市相关标浓的制定，各应用领域和交叉应用领域相关标F使IN.革EGB/T 20438的报架下制定，使之具有满水平的一致憔（如基础原观、术请等的一致做）并将既安全义经济。为达到jE/E/PE安全相关系统所有富的功能安全提供了辑部制安全主要求规泡的方法使用了个安全究整性等级，此安全究整性等级规定了E/E/PE安全中目关系统要实现的安全功能的目标安全完整憔等级。一一采用了一种3辈子风险的方案来确定安

8、余完靠在位等级哥哥求。一建立了E/E/PE安全相关系统的数值目标失效簸，这些续都间安全完整性等级相联系。了危除失效模式中因标失效量的个下限，此下限是对单E/E/PE安全相关系统的要求。这蜘系统治干了在t:) 低望要求操作模式下，为了执行它的设计功能，El.望要求时，就把下限设5l.成平均失效概率为10寸；2) 高要求操作模式或者连续操作模式下，下限设定成危险失效概察为109 /h。拢。单E/E/PE安全相关系统不一定是单通道结构。一采用广泛的原理、技术和措施以达到E/E/PE安全相关系统的功能安全，但不佼府失效也安全的概念，这个概念是夜很好定义了失效模式，并且复杂性相对较低时的个数值。m于E/

9、E!PE安全相关系统的复杂性均在EGB/T 20438范目前之内，因此不适用失效Ji:会的概念。GB/T 20438. 4 2006/IEC 61508-4: 1998 电气电子可捕槌电子安全相共系统的功能安全第4部分：定义和捕略谐1 范国1. 1 GB/T 20438的本部分包括了GB/T20438的第1在第7部分所使用的术谐和解糖。1. 2 这些定义按标题分组以便从它们的前后关系上去现解这将相关的ifti岳，假这样的分组并不意眯辛辛对定义增加了含义，阙此对这些组的标题可不去考虑。1. 3 GB/T 20438. 1、0日丁20438.2, GB/T 20438. 3和GB/T20438.

10、4是蒜础的安念你礁，尽管它们不适用于简单E/E/PE安全相关系统（见3.4.4），作为基础的安全标准，根据！EC导贝tl104利ISO/IEC导则51巾包含的原则，各技术委员会在起京标准时应考虑使用这些标准，因为技术委员会的责任之是夜起草自已标狱时凡是适用之处都iiH贯彻蒸础安余标准。G记丁20438问时也问作为独立的标准去使用。1. 4 朗l表示了GB/T20438的整体板架，同时明确了夜达到E/E/PE安全相关系统功能安余过程中本部分的作用。2 规范性引用文件下列义件中的条款通过GB/T20438的本部分的引用ff可成为本部分的条款。凡是泼日期的引用文件，其后所有的修改垠（不包括勘误的内容

11、）或修订版均不适用于本部分，然而鼓励根据本部分达成协议的各方研究是沓I可使用这些是文件的最新版本。凡是不注目朔的引用文件，其最新版本适用于本部分。GB/T 20438. 1 2006 电气电子闷。编程电子安全相炎系统的功能安全第1部分z一般要求(!EC 61508 1:1998,!DT) GB/T 20438. 2-2006 电气电子可编稼电子安全相关系统的功能安全第2部分电气电子可编程也予安全相关系统的要求OEC61508-2, 2000, IDT) GB/T 20438. 3 2006 也气咆子问编我电子安余相关系统的功能1:3去第3部分软件要求(EC 61508-3:1998,IDTJ

12、GB/T 20438. 5 2006 电气也子可编程电子安全相关系统的功能安全第5部分：确定安全究接性等级的方法示例CIEC61508-5, 1998, ID丁）GB/T 20438. 6 2006 电气电子问编程电子安全相关系统的功能安全第6部分2GB/T 20438. 2和GB/T20438. 3的应用指商（！EC615086: 2000, IDT) GB/T 20438. 7-2006 电气电子问编程电子安全相关系统的功能安会第7部分，技术和措施概述OEC61508 7 :2000,IDTJ ISO/IEC 2382”14:1998数据处理术语第14部分z可靠性、可维修性和可用做ISO/

13、I以：将则51:1990安全1r图在你F使中寻人安全条款的指陶ISO 8402 :1994质量管想和质量保证术语!EC导则104:1997 安余刷版物的编写及恭本ti:余出版物和分类交念刷版物的应用!EC 60050(191), 1990 阂际电工术语（！EV)第191革服务质盘和可靠攸!EC 60050(315J: 1975 网际电工术诋OEV)第351意z向动控制GB/T 20438. 42006/IEC 61508叶1998编制且的企堕草（撒章、激附租阁、jl!旦、危险制风险分听CE/E/PE觉企相提罩缆，其他技束安全革统且阵低外部风险世踹7.1月，75 E/E/PE蜜企赢绒的青装、试滋

14、行和坐确认1. 13和7.14E/E/PE蜜盘l统的iii行、穰护、悔改和改型、停用戒带她瑕7 157 17 G 倒1GB/T 20438的整体楼架c:) GB/T 20438. 42006/IEC 61508唰4:1998 3 .iE:义和锻赂语表l纷出了。日T20438中使用的缩回各谱及J,I.义。表1GB/T 20438中使用的编赂读缩略击异全称术由导定义和（戒）解释MooN N通道结构中的M（如！oo2为2通道主古构中的I)GB/T 20438. 6 -2006附录日卡响-Meo ND 4皆诊断的N通道结构中的MGB/T 20438”6-2006附录日护伪ALARP 在合理可行的前提下

15、尽可能低GB/T 20438. 5- 2006附录日E/E/PE 电气电子可编程电子3. 2. 6 E/E/PES 电气电子可编程电于革统3.3.3 EUC 受控设每3. 2. 3 PES 在吁编程电子且在统3. 3. 2 PLC E可编程逻串自控制者GB/T 20438. 62006附录ESIL 安全究整性等级3. 5. 6 3. 1 安全术语3. 1. 1 伤密harm 由于对财产或环境的破坏而导致的直接或间接地对人体健康的损答或对人身的损伤。ISO/IEC军事则51:1990（修改）3. 1. 2 危险hazard 伤害的潜在根源。ISO/IEC导则51:1990注：该术语包措短时内发生

16、的对人员的成协（直口普火或爆炸），以及对人体健康长时间有影响的那些威胁（如高密物质的草草放L3. 1. 3 危险情况hazardous situation 人暴露善于危除的环境。3. 1. 4 危险事件hazardous event 呼致伤害革的危险情况。3. 1. 5 凤险risk出现伤霖的概来及该伤客F.！重性的忽合ISO/IEC导则51:1990（修改）注s对这一概念的进一步讨论几GB/T20438. 5-2006附录A,3. 1. 6 允许风险tolerable ri咏根据当今社会的水准，在给定的范围内能够接受的风险。注见GB/T20438“ 5 zc 86附录日GB/T 20438.

17、 4-2006月EC61508叶：19983. 1. 7 残余风除residual risk 采取防护措施以后仍存在的风险。3. 1. 8 安全safety 不存在不可接受的风险。3. 1. 9 功能安金functional safety 生音EUC手OEUC 拟制系统有关的理媒体安余的组成部分，它取决于E/E/PE1:相关系统、其他技术安念相关系统和外部风除降低设施功能的正确行俊。3. 1. 10 安全状态safe state 达到安全时EUC的状态。11，从潜在的危险搔件到最终的安会状态，EUC可能不得不绕过几个中间的安全状态，有时，仅l!iEUC处于波续控制下才存在个安余状态。这样的连续

18、控制可能是短时间的或是不确泛的一段时间3. 1. 11 合理的可预见的误用r础souableforeseeable misuse 囱于产品过程或服务加上人的行为习惯而导致的，或者作为人的行为习惯的一个绪泉有可能发生的，米按照供方3要求的条件利用途对产品、过稼和服务的使用。3. 2 设备和袋就3. 2. 1 功能单元functional unit 能够究成规定囚的的软件、硬件或两者相结合的实体。波：在!EV191”。I01中，常用“项目（item）”一词代替功能单元，个项目有时可能包括人员夜内eISO/IEC 2382 14 01 01 3.2.2 软件software 包括程序、规程、数据、规

19、则以及相关的数据处理系统操作文挡在内的智能创作。改J，软件与其记录媒体无关。112，该定义不带有泼1与ISO23821不闷，而底完黎的定义与ISO90003 ;f肉之处在于增加了一个词“数据3.2.3 受挫设备叫uipmentunder control; EUC 用于制造、加工、运输、制药或其他活动的设备、机器、器械或成王军装置。注：EUC控制系统与EUC是平同的并且是分开的3.2.4 4 EUC风险配UCrisk 由EUC或自EUC与EUC控制系统相互作用问产生的风险”注I本文所说的风险是指与中夺寇的危险事件相伴的风险。在这种危mil事件中E/E/PE安全栩关系统、其他技术安念相关fi统和外

20、部风除降低设施被用来提供必要的风除降低（即与功能安全相关的风除）。/12,GB/T 20438自5-200日的倒A.1简婆说明了EUC风险a确定EUC风险的主要害隘的是在来使用E/E/PE安:i:相关系统、其他技术安全相关累统和外部风险降低设施之前建立一个风险费考点放3，风除评估成包括相关的人的倒素”GB/T 20438. 42006/IEC 61508-4: 1998 3.2.5 可编程电子programmable electronic; PE 叮编摄电子以计算机技术为基础，可以幽硬件、软件及其输入和（Wt）输出单沁构成自注z这个术谱包括以一个或多个中央处理器（CPUl及栩关的存储器等为藏础

21、的微电子装置景。举例：下列均是可编程电子装置3.2.6 一微处草草器，微校制器sE吁编程按制苦苦，专用集成电路（ASIC);可编程逻辑控制器PLC);其他以计算机为慕刷的装置（橱能传感梅、变送器、执行器）电气电子可编稳电子electrical/ el时Ironic/programmableelectronic; E/E/PE J在于电气CE）和或电子（宜）和或可编程电子PEJ的技术。ii：本本扭身i式则覆盏所高的在电原理F运行的装置或系统。举例电气电子可编程电子装置草包括：电机装置（电气）；一使用电晶体的非可编程电子装置辈（电子h以计算机技术为基础的电子装置量（可编摄电于）（见3.2.5).3

22、.2. 7 有限可变语言limited variability language 能力范自司局限于应用的，用于工商放可编草草电子控制器的，文本的或因彤的软件编稳语言。举例g下列寻自!EC61131 3和其他地方的高限问变谣言，用来表示PLC系统的庇朋稼序。梯形图，一种刚形谐窝，囱钱条（指出咆流流向）将一系列输入符号（代狡栩似装置的行为，如闹好接点和常闭接点）平日输出符号（代表相似继电器的行为）连接构成布尔代数g带有增加某些记忆指令能力的、慕于市尔运算符（如AND、OR和NOTJ的低级语言臼功能块图z除布尔运算符外，可使用更复杂的功能，如数据传输文件、块传输读写、移位寄存楼租序列发生梅指令等a顺

23、序功能图：有顺序的程序的凶形司捷尔，囱相互联翠的步骤、湖作和带转换条件的发向连接线构成。3.3 系统：般概念3. 3. 1 系统system 按照设汁相互作用的银元素，问能包括丰u主作用的硬件、软件和人等。系统中的某一元素t也可自成一个另外的系统，称为子系统，子系统可以是控制系统也可以是被控系统。注I人可以是系统的部分（另见3.4法5）“浊2，本jJ且不同于IEV351吨。1-01,3. 3. 2 可编程咆子系统programmable electronic system; PES 身在于个或多个llJ编草草电子装置的控制、防护或监视系统，包括系统中所有的元素，诸如电源、传感器和其他输入装置，

24、数据高速公路和其他通俗路径，以及执行器和其他输出装Ji（见图2）。ii阁2a）所示为个PES的结构图2bl所承为GB!T20438中表示PES的方式，在这!I可编税电子被逼捷尔成与EUC及其接口中的传感器和执行帮不闷的个单元。但在PES中，可编稳电子可能出现在许多地方。自自2cl所示为一个PES具有两个分立的可编辍电子单元”图2d）所m为一个PES具有两个并联的可编程电子麟元（即Xl1通道），J3.只街单个传！瞎指幸nJ单个执行稽。GB/T 20438. 4却06/lEC61508-4: 1998 、：输入接口A-D特皇岛嚣通f宵0 0 0 0 输装置（如传煽器于一。b）具有单个可编程电子装麓

25、的单个PES(!ill Ell一个单激越盟问编貌电于辈辈就构成的一个PESl 可编Ill咆气F（见注的PES基本结构一。c）具街t童串联方式连接的月ilJ编程电子装置E的单个PES（如智能传感梅和i1J编粮按制糖tL ilJ编稼咆于佼于阔的中央位置，但在PES中可位于几个不间的位毁。输刷接口D-A转型h爆0 0 0 0 输出装置；最费元件（如执行蜡）CffiBJ-o d）具乎可双百1编程电子草草堂俗共事传感器和簸终元件的居在个PES（即由两个可编和111,于激据是构成的一个PES)阁2E可编程电子系统（PES）：结构和术语3.3.3 咆气电子可编程电子系统el帆trical/electroni

26、c/programmable electronic system: E/E/PES 1盖子一个或$个电气电子可编德电子（在E/PE）装置量的用于控制、防护或监视的系统，包t语系统中所有的元素，诸如电源、传感苦苦和其他输入装簸，数据营商量草公路和其他通信途径，以及执行器和其他输出装策（几日前3）。、；输入搂口A-D转换器现宵田园PE装置泼，E/E/PE袋里重饺子阔的中央位置t.11!在E/E/PES中可位于几个不问的价堂。输出揍口D-A转鞭器。0 0 0 输出辑置最终元件如执行渺图3电气电子可编程电子系统（E/E/PES），结构和术语3.3.4 EUC投制系统EUC control system

27、 对来白过糕和（或）操作者的输入信号起lfi.底，产生能使EUC饺姿求的方式工作的输出信号的系统!t:EUC控制系统也插输入装置租最终元件。3.3.5 结构architecture 在一个系统中硬件和软件元素的特定配景。3.3.6 模块module GB/T 20438. 4-2006/IEC 61508-4: 1998 草草序、分立部件、封装革景序的一个功能集，就gi归并在一起的分交部件。3.3. 7 软件模块software module 出去见草草和（或）数据说明主且成的中句造，：能与其他这样的构造相交作用。3.3.8 i且i菌channel独立执行个功能的一个成一组元紊。举例z附通道（

28、或双通道）自己谦是指具有问个能独立执行相问功能的通道构成的自己置量。注I夜通道中的元素可能包括输入输出模块、逻辑革统（见3.4.5）、传感器和最终冗件a注2，该谱可用米描述一个究攘的革统或一个革统的一部分（如传感器或最终觉件）。3.3.9 多样性diversity 执行一个要求功能的不同方法。举例可用不间的物理1f法或不阀的设计途径来达到多样做。3. 3, 10 冗余redundancy 对于执行一个要求功能的功能单元或对于农豆豆信息的数据而言，除了够用之外还有多余。举例t功能部件加倍和奇偶校骏俄的附加都是冗余的例于。If 1，冗余吏耍用于提高可靠性或可用性eIf 2, IEV 191 15-

29、01中的定且不够完貌。ISO/IEC 2382-14-01-12 3. 4 系统：安全方商3. 4. 1 安全相关系统safety-related system 所指的系统：必需要耳能实现察求的安全功能以达到1llt保持EUC的安余状态；井底自身或与其他E/E/PE安余相关系统、其他技术安全相关系统或外部风除降低设施A道，能够达到主要求的安全功能所需的安全究鹦性。注lz这条术谱是指这样的事缆，即所谓安余相关系统是指它们，及与夕部风险降低设施in:(j日，3.4. 3）达到必姿的风险降低簸，以满足所要求的允许风险（3.1.6）.另见。BIT20438. 5 -2006附录A。位2安全相关系统是在

30、接受命令时采取适当的动作以防止EUC进入危险状态u安全相关系统的失妓被包括在导致危险或危赛的事件中。尽管存夜可能具备安余功能的其他系统，很已指定的安亲相关系统仅是指靠其自身能力达到辈革求的允许风险的安全相关革统。安全搁关系统一般分为安全控制系统和安全防护赢统，并且具有两种操作模式（见3.5. 12）。投机安相关系统可以思EUC控制系统的组成部分，也可用传感器和或执行椿句EUC接口即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全究艘性等级，或者利用分离J虫立、专门的安念相关系统实现安余功能回If 4安全相关系统问能包指：的被用于防止危防事件发生（即安全相关

31、系统威执行其安余功能则役有危除事件）.b) 被用来减税危除感件的影响，即通过减轻厨占祀的办讼来降低风险GB/T 20438. 4-2006/IEC 61508-4, 1998 c) 问时具有af口bl的割舍功能。t主s，人也可作为安全相关革统的部分（3.3. I），例如人可以接收罪自可编辍电子装寰的信息，并通过可编稳电于装置按接收惰息要事执行安余动作枝弘该术请包括执行安3l:功能所帘的余部带董仲、软件以及支持服务（如电源，（传感器，其他输入装置段，最终元件（执行器）和其他输出装置量也假括在安全相关系统中。）法7货会相关1在统的生直;f:在础在E圈可以十分广泛，包拍电气电子、ilJ编程电子、液压

32、和气动等命3.4.2 其他技术安金相关系统other t时hnologysafety-related system 基于电气电子ii编程电子技术之外的安相关系统。举例、安3l:阀就是种其他技术安全相关系统q3.4.3 外部风险降低设施eJternal risk reduction facility 不使用El日PE安余相关系统统其他技术安全相关系统，且与上述系统分开并不同的降低或减轻风险的手段。举例1排放系统、防此境和堤都是外部风险降低设施3.4.4 简赖E/E/P配安全相关系统low compleJity E/E/PE safety-related system 种巨E/PEJi:余相关系统

33、（见.1.2. 6和3.4. 1），其中3一巳f良好确定了每个单独部件的失效模式一首旨主百余确定在故障状况下系统的行为，注在故障状况下矗统行为可用试验租或分析的方法确定。举例包括一个或几个限位开关，可能还要通过4段承捅式机咆缴电器控制一个或多个接触楼来切断电机电源的罪统就是一个简单E/E/PE安余相关系统。3.4.5 i呈输系统logic system 系统的一部分，用于执行功能逻辑，但不包搅传感器和最终元件。注：GB/T20438巾使用下列逻事毒草统s用于机电技术的电气逻辑lf,统$用于电子技术的眠于i璧鹅！统，一一用于llJ编程电子；在统的llJ编程电子逻辑革统。3. 5 安全功能和安全完

34、整性3. 5. 1 安全功能safety function 针对特定的危除喜事件，为达刻我保持EUC的安全状态，由巴尼PE安余相关系统飞其他技术型号余相关系统成外部风防降低设施实现的功能（见3.4. 1)。3.5.2 安全完!I性safetyinte目rity按规定的条件下和规定的时间内，安余相关系统成功实现所要求的安全功能的概率。i.:t ，安余相关显统的安全完整性奇事银越高，安全相关统不能实现所要求的安全功能的概率就越低注2安全栩关系统有4种安全完整性等级（见3.5.6）。技3，在确定安念完整傲的过裸甲，店包括导致非安余状态的所有失效随割tl!H中央效利系统失效的起隙，例如破件失敬，软件导

35、致的失效以及由电气干扰引起的失效，其中萌生是类型的失效，尤其是随机艘件失效，lE危险失效模式中，闯闯失效率这样的f盖率撤化，对一个安全防护系统而苔，可以用再要求时不能工作的概率来量化，但是，矗统的资金尧整性也取决于许多因章这些因素无法精确定量仅可定性带Jti;.注4，安全完整性向硬件安全完整做（见3.5. 5）和系统安3l:究要做（见3国乱的梅成。放5.这币ii义辈辈建于安全相关系统执行安全功能的可称做（见!EV191-12 01对可靠性的声主义）。GB月20438.42006/IEC61508-4: 1998 3.5.3 软件安念壳在性software楠fetyintegrity 在所有规定

36、条件下和规定时间内我必软件在l1f编牵挂电子系统中执行其安全功能的I可能做的簸值。3.5.4 系统安全完毁性systematic safety integrity 在危险失效模式中均系统失效有关的安全相关系统安全究籍性的部分（见3.5. 2的注3）。泼ldl!i常元法量化系统的安余究狼性（般可以与硬件安全完整性分开注2，见3.5. 2,3, 5, 5和3,6, 6. 3.5.5 硬件资金窍自性hardware safety integrity :tE危险失效模式中与随机使f牛失效有关的安全相关系统安全究整性的部分a该1本术语涉及危除模式中的失效，即安余栩关系统的这类失效将削弱真安余完孩性与本术

37、语有关的两个参数是整体危险失效率和在要求时操作失娥的概率，当为保扮安全削必须保挎连续控制l时，使用前一可籍性参数夜余防护系统范阁中使用厉可靠性参数。注2，见3.5. 2,3. 5. 4和3.6. 5, 3.5.6 安全宪整性等级safety integrity level; SIL 一种商徽的等级（四种可能等级之一），用于规定分配给E/E/PE安念相关系统的安念功能的安全完？在做要求。在这泉，安究!Mi金等级4是最高的，安余完靠在校等级1是簸低的。注2四种安全究整性等级的囚你失效量t见3.5. 13）规定rGB/T 20438 1 2006的农2和我3中3.5. 7 软件安余5号靠自性等级so

38、ftware safety integrity level 一种离散的等级（阴种可能理事级之一），用于规定在安念相关系统中软件的安全究藏性。注2见3,5, 3和3,5, 6, 3.5.8 安金要求规范safety requirement specification 一种技术规定，包括安全相关系统必须主要执行1余功能的所有婆求。注该规范分为下列两种g安余功能要耳求规范（兑3.5. 9) 安全究穰性要求规范（见3、5.!Ol, 3.5.9 安念功能要求规范safety function requirement specification 一种技术规定，包指安余相关系统必须要执行的1余功能姿求。注1

39、：这个规范是安全姿求规范的一部分（安全功能部分见3.5.的，包含幽安全相关革统必须要害执行的安全功能的精确细节。注2，只要能消楚地袋达安全功能，规1(,可用文本、流程阁、矩阵、逻辑图等形式文挡化。3. 5. 10 安余窍富性事要求规范safety integrity requirement specification 种技术规定，包括安全相关系统必须要Z执行的安全功能的安全究鹦性要求。泼s这个规范是安余要求规袍的一部分（安余完接做部分，见3.5.8）。3. 5. 11 安金相关软件safety-related software 在安全相关系统中用于实现安功能的软件。GB/T 20438. 4

40、2006/IEC 61508-4: 1998 3. 5. 12 操作模式mode of operati棚安全相关系统使用的方式，根据J主要求产生的颇感而离，可为下列两种之一zf底要求模式：在这种模式下，对一个安全相关系统t!.!l:fl操作要求的频恕不大于每年一次和不大于二三倍的检骏测试频率。商要求或连续模式：在这种模式下，对一个安全相关系统挺出操作要求的频察大于每年一次或大于二二f带的校骏测试频率。注I商要求lilt连续模式包括为保得功能安全实现连续控制的安全相关系统回Ii 2运行于低要求筷式和高要求或连续模式下的安全相关蕉统的目标失敏捷夜3.5. 13中定义m3. 5. 13 目标失效量t

41、arget failure measure 相对于Ji:余完裂做第求更喜达到预计的危除模式失效概惑，规定为下列两种之一z一一按要求执行设计功能的平均失效概率（对于低姿求操作模式）。每小时危险失效的惯.$（对于商要求或连续操作模式）；技：目标失效i量的数假tEGB/T 20438町12006的表2和我3中给郎。3. 5. 14 必要的风险降低necessary risk reduction 为保证不超过允许风险，自E/E/PE安余相关系统、其他技术安余梢关系统和外部风险降低设施达到的风险降低。3. 6 故障、失效和错误3. 6. 1 故障fault 使功能单元执行要求的功能的能力降低戏失去其能力

42、的异常状况。注！EV191 05 01 ）且“故障”是一种流能力执行安求功能的特征状态，不包括预防性维护或其他计草的行功期间的无能为成外部资源的缺少产线的无能力.ro.圈儿ISO/JEC 2:l82-14-0HO 3.6.2 故障娥免fault avoidance 在安余相关系统安it生命周期的任例阶段中为避免1:放障TI百使用的技术和规程。3.6.3 故障裕度fault tolerance 在出现故降线错误的悄况下，功能单元继续执行一个盖在求功能的能力。放，！EV191一15-05巾的定义仅指子项目故隙，见轧6.I的泣。ISO/!EC 2:1自2”1404063.6.4 10 失效failu

43、re 功能单元执行A个主要求功能的能力的终止。Ii h与!EV19104一01的定义相同.f！且增加了淀。ISO/IEC 2382 14 01 11 注2,G日丁20438和1EV50091J中故降和失放的关单见图4,Ii 3为了排除特定的行为需要害执行必要的功能，并根据哥哥溅兔的行为来规定某将功能。这赐行为的出现就接失放。Ii 4失效或是随机的（在硬件中）或是系统的（在硬件或软件中），见3.6. 5 1剖3.6. 6回GB/T 20438. 4-2006/IEC 61508-4: 1998 L UI) FU t级,. l锻口口口口巴巴ul口巴(L怨：i=l.2. 3怨，FU功能单元a）一个功

44、能单元的银态b）静遍的观点t级1-1锺i植ktl级主l。GB!f20438和ISOnEc2382 14的观点d) !EC 60050 C191l的观点注1，白日时所示，一个功能单元可看作是一个多层的分级结构，每个级别可叫作一个功能单元。在t级中，一个“原因”本身可能表现为该级功能单元的一个错谈（与正确值或正确状态的偏离），并且如果不纠错或防止发生，则吁能号鹉该功能感元的失效结果它将进入“F”状态，在浓种状态下它不能再执行要求的功能（见bl。z级功能单1注的这种“F”状态本身也可瓷碗为a1级功能单元中的一个精馍，如不纠锵成防止发生也可能引起这个gl级功能单元的一次失效。注2：在这个原因和影响链巾

45、，网一个事物（“实体X”）可被看作是一个z级功能闻自元的1状态（“F”状态），此状态是因t失效才进人的，同样也可把它看作是zl级功能单元的失效应在阁。“实体X”与6日丁20438和ISO/IEC 238214中“故阻罪”概念相综合强调它的原阴方丽如c）所示，与!EC60050(19）中的“故障”相约舍，强调它的状态方面，如dJ所示。“F”状态在！EC60050(191)中称为“故障飞但它在GB/T20438和ISO/IEC2382 14中没有定义“注3街些情况下，一个失效或一4个铺设问自封部事件（如闪电或静电噪音）引起，而不是由内部故障引起也同样地，个故障（在两个术语中7问能在没有预先失效的情况下发生，设计错误就是这类故障的例子。图4失效模型3.6.5 随机硬件失效random hard