1、ICS 25.040 N 10 B 中华人民共和国国家标准GB/T 20438.5-2006/IEC 61508-5: 1998 电气电子可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例Functional safety of electrical/ electronic/programmable electronic safety鞠relatedsystems叩Part5: Examples of methods for the determination of safety integrity levels CIEC 61508 5:1998,ID丁)2006心7唰2
2、5发布2007心1心1实施中华人民共和回因家质量监督检验检班总费发布中国国家标准化管理委员会GB/T 20438.5一2006/IEC61508-5: 1998 回次前言. .4 .&.,. m 引言,.刷”NI !网H2 规范性引用文件3 定义和缩略语.”附录A(资料做附录)风险和安余究要性的通用概念. 3 附录以资料性附录合泼可行的低(ALA议川和允许风险概念.u7附录口资料性附录)安全完般性等级的确定:一种定簸方法.10 附录D资料性附条)确定安念完慧在做等级一一一种;Ei生方法:风除自自.12附录以资料候附录)安%l蓝侬等级的确定一一种定做方法g危险察件)意做虫在阵,15参考文高 .,
3、. 16 阁lG日丁20438的总体祖辈架国“.2 因A.l 风险降低:通用概念. . . . . . . . . . . . . 5 周A.2风险和安全究接性概念自. 町,5因A.3 等问子GB/T20438. 1 2006中的朋6. 6 图丑l允许风险和ALA议p.7图巳1安余完事1企分配$安全防护系统ff-;例.11 图以1风险图2总书主图.,u.川,.13 图队2风险阁2示例(只说明一般原理).14图巳1危险事件严重性矩阵示例(只说明般原理).”. 15 :!i: B. 1 意外察件的风险等级示例.”.叫.8 号!B 2 风险等级解特”.9 表D.l 风险阁示例中的有关数据示例(图D.
4、Z) . 14 GB/T 20438.5-2006/IEC 61508喃5:1998 GB/T 20438由下列7部分构成:第1部分:一般哥哥求;前留2部分:咆气电子可编程电子安全相关系统的要求;一一第3部分:软件要求;第4部分:1主义和缩赂语;5部分g确定安全完整性等级的方法示例;第6部分:GB/T 20438. 2和G日T20438. 3的jjZffl指南;7部分:技术和措施概述。本部分是GB/T20438的第5部分。本部分等网采用图脉脉准I丘c61508“5:1998(第1版)也气咆子可编程电子安全相关系统的功能安余驾ii-5部分z确定安全完擦性等级的方法示例(英文版)。本部分附运EA、
5、附录B、附录C、附录。、附录E为资料做附法。本部分与!EC615085:1998在技术内容上没有费袁5手,为便于使用作了下列编辛慧I吱修改a) 将“!EC61508泼为“G巳T20438” b) 卫非“国际标准,叫词改为“本衍t准”c) 删除阔际标P佳中1.2中泼2阙为此f主所表述的f盖!EC61508书E捷B阔和加毒量大等t词的戚F刊情况,与我国的实际不符,所以删除。dl m小数点“”代辛辛作为小数点的i豆辛苦,”。本部分剧中自司机械工ii.联合会提出。本部分由全阂工业过稼视l蟹和校制标准化技术委员会(SAC/TC124)归110 本部分由机械工业仪器仪表综合技术经济研究所负3盖起草。本部分
6、主要起卫在人3玉狗、梅恪、J马晓升、郑旭、欧阳劲松等。m GB/T 20438.5-2006/IEC 61508-5, 1998 号茵由电气和电子器件构成的系统多年来我许多领域中执行其安全功能,以计算机为然础的系统(般指叮编程电子系统(PESl)在许多领域中用于非安阔的,倒也越来越多地用于安全国的,为使计算机系统技术更有效安全的使用,有必要进行安全方圆的指导。GB/T 20438针对由电气线电子和可编程电子部件构成的、起安全作用的电气电子可编程电子系统(E/E/PES)的整体安全生生命周期,Jll:fj了一个通用的方法。建立统的方法的目的是为了针对以电子为慕础的安全相关系统提出一种致的、合理的
7、技术方针,主要阴称是促进成用领域标准的制定。在许多情况下,DJ用多种毒妻子不问技术的防护系统来保liE安全(如饥饿的、液胀的、气动的、电气的、电子的、自I编粮电子的,等等)。从宏余战略角度,不仪姿考虑各系统中jt;器件的问题(如传感器、控制器、执行器等),而且要考虑构成组合安全相关系统的所有安余相关系统。因此GB/T20438对电气电子可编程电子CE/E/PE)安全相关系统进行了规定。GB丁20438还提出了一个框架,在这个枢架内,基于其他技术的安全相关系统也可同时被考虑进去。在各种应用领域里,存在辛苦许多潜在的危险和风险,包1号的复杂虫也备不相同,从而需成则不同的E/E/P丘So对每个特定的
8、应用,则根据成用的不同而确定所镑的安会最GB/T20438仅是使这些戴僚规范化。IV GB/T 20438 一考虑了当使用E/E/PES执行安余功能时,所涉及到的罪整体安全生命周期、E/E/PES安全生命周期以及软件生命周期的各阶段(如初始构恩,整个设计、实现、运行和维护到俘用)。针对飞速发展的技术,建立“个足够健壮丽广泛的能满足今后发展需要的报架。有利于促进E/E/PES安全相关系统在不问领域巾相关标准的制定,各成附锁域和交义应用领域相关标F技成在EGB/T 20438的拍案架下制定,使之具有高水平的一致性(如荼础原煤、术语等的一致饺),并将既安全义绞f汗。一一为达到jE/E/PE安全相关系
9、统所籍的功能安余,挺供了编制安3!:姿求规范的方法。一使用了一个安全完整险等级,此安全究室主性等级规定了E/E/PE安全相关系统要实现的安全功能的目标安全71整性等级。一采网了一种可确定安全究惑性等级亵求的基于风险的方案。一建立了E/E/PE安相关系统的数值目标失效簸,这些续都同幸运:3l:元1重性等级栩联系。一建交了危险失效模式中目标失效矮的一个下限,此下限是对直在E/E/PE安相关系统的要求。这些与系统i举行在21) 低要求操作模式下,为了执行它的设计功能,一且要求时,就把下限设定成平均失效概率为Q5; 2) 商要求操作模式或者连续操作模式下下限设定成危险失效概率为10/h, Ii岛生E/
10、E/PE索余相关系统不,ill恐后再i跑道结构。采用广泛的脱臻、技术和指放以浴室tiE/E/PE安全相关系统的功能安全,倪不使用失效安余的概念,这个概念是在很好定义了失效模式,并且经杂性相对较低时的个数倪。由于E/E/PE安全相关系统的复杂性均在GB/T20438范圈之内,因此不适用失效安全的概念日GB/T 20438.5-2006/IEC 61508-5: 1998 电气电子可编程电子安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例1 范罔1. 1 本部分挺供以下f声息:岛民贵的恭础概念和民L除与安余完整E悦之闷的关系(见陈iAJ; 握主共能确定E/E/PE安全相关系统、其他技术
11、安全相关系统和外部风险降低设施的安全究接1金等级的一系列方法(见附法院、附录C、附放日和附运设立)。1. 2 Ji讼的选摔应依赖应用领域和特定环路。附筑队附梁C、附三是D和附泛E列出了这悦和这堡的方法并为说明慕础的原琅已进行简化。这些号附录巳包括夜说明一系列方法的通用原现中仍不提供明确的计算。如俊F自附录!ti!到的方法智昏查询有关Jjj(始材料。住如想获取更多附录自、附最口和附录E中说明的方法的有关信息,参且也参考文献中的4、2和3。对于附加的方法的描述参见参带文献中的5,1. 3 G日IT20438. 1、GB/T20438. 2, GB丁20438.3和IGB/T 20438. 4是基础
12、安全标准,虽然它们不适用于简单的E/E/PE安念相关系统(见GB/T20438. 4-2006 3. 4.们,作为基础标准,可以我!EC学贝u104和ISO/IEC峰则51的指导下,囱相关的技术委负会使用。对于每个技术委负会,都;自资任在其制定的标排在中使用基础标液。同时,GB/T20438也是一个问独fl使用的标猴。1.4 001远是必了GB/T20438的整体框架,l词时明确了在达到巴E/PE安全相关系统功能安全过程中本部分的作用。2 规范性引用文件下列;文件巾的条款通过GB/T20438的本部分的号Iffl llil成为本部分的条款。凡是注目朔的引用义件,其烦厉所有的修改局在(不包括勘误
13、的内容)或修订版均不i适用于本部分,然而,鼓励根据本部分达成协议的各方衍究是否问使用这些文件的最新版本。凡是不注目期的引用文件,又最新版本适用于水部分。GB/T 20438” 1 2006 电气电子可编程电子安全栩关系统的功能安全第l部分:司般要求OEC 61508-1 :1998,IDT) GB/T 20438. 2 2006 咆气咆子可编根咆子安念相关系统的功能安第2部分z对咆气咆子可编程电子安全相关系统的要求(EC61508 2, 2000, IDT) GB/T 20438. 3 2006 电气电子可编穰电子Ji:念相关系统的功能Ji:余第3部分:软件要求CIEC 61508-3, 19
14、98, IDT) (沸IT20438. 4 2006 电气咆子问编粮咆子安余相关系统的功能安余第4部分:JE义和缩赂f!OEC 61508 4,1998,!DT) GB/T 20438. 6 2006 咆气咆子jjJ编根也予安余相关系统的功能安第6部分zGB丁20438.2幸HGB丁20438.3的应用情陶(!EC61508 6:2000,!DT) GB/T 20438. 7 2006 电气电子可编粮电子安全相关系统的功能发会第7部分技术和愤施概述(!EC61508-7: 2000, IDT) ISO/IEC导师151:1990安全方丽在标F使中引人安全条款的f智商!EC导则104:1997
15、安全出版物的编写及基本安全出版物和分类安全出版物的应用3 定义和缩回鲁诺见GB丁20438.4。GB/T 20438.5-2006/IEC 61508-5: 1998 编制冉的直全要求(概堂、拖阁、lE旦、虹附和1风险分析)(E/E/PE童全相提矗统,且他技幸蜜全相提1民统且外部风险降低世蹦7 I7 5 E/E/PE查全相关矗缆的童装、试运行和安全性确认7.13和7.14 E/E/PE责全相荒草统的运行、糠护、悔改和改观、停用戒者,it现7 15唰7.178 图1GB/T 20438的总体框架z c:= GB/T 20438.5-2006/IEC 61508-5: 1998 附录A(资料性附;
16、ii;)风险和安余窍摩性的淄用概念A. 1 一般要求本附录;提供风险和风险与安全先感性之闯关系毒基本概念的有关信息。A.2 必要的风隙降低必要的风险降低(见GB/T20438. 42006中的3”5.14)是降低风险来保植Et特定情况下不超过允许风险(可以定性1JilJE;!量Zl说明)。必要的风险降低的概念在开发E/E/PE安全相关系统的安余事要求方闹非常重主要(特别是安全安求中的安全完?在f全部分)。确定特定危防寒件的允许风险的阔的是说明危险事件的频举(或慨激)和其特定后果哪一个贸合坝。Si:念相关系统成为减少危险窃件的税率(iii概率)和成危防察牛的后泉附设计。允许风除Jji依据首许多。
17、现蒙(如伤害的产数乎是康、暴董事在危险中的人数、一个人多人缘踩在E危险中的颇感和持续时间)决定。主意要的因素应是暴露害在危险中的人的感觉和视觉。对于一个特JE!ill用允许风险的扮成,Jji考虑以下一系列输入:一栩关权威安全法规的等则。一与成fl.I有关的不问附体的讨论与协议。一一工业机、准和导则。一自国际讨论和协议;网盖在标准和网际标准夜确定将!EB克朗的允许风除去盖准中起到越来越3重要的作用。一来自济询机构的t最好的独立工!Jll.、专家和科学的建议。一通用的和直接与特定mu自有关的法律事要求“A. 3 E, E/PE安余相关系统的作用且E/PE安f量相关系统ilJ满足必要号的风除降低,以
18、便符合允许风险的要求。安全相关系统一实现所要害求的安全功能俊5附设备达到ti;余状态耳目保持受校设备的安状态;并一一自身就与其他E/E/PE安全相关系统、其他技术Ji:.余相关系统统外部风除降低设施实现所姿求的安全功能的必需的1i:念完3震惊。l1 L Ji!.义的第一部分规定安全相关系统必须究成安全功能要要求视节5中规定的安全功能,例如安全功能要求规被可能说明当温度达到x,阀yll!Ztr汗,允许在流人管道巾。!: 2定义的第二部分规定安全功能应由对应用丽富具有JH高度的安全相关系统来完成,以达到允许风阶一个人可能会是E/E/PE安全相关系统的一个完整部分。女日个人可作为EUC通过屏幕示来获
19、取恼息,并根据这一倚息完成安全操作E/E/PE安全相关系统可在E低要求操作模式或高姿求操作模式成连续操作模式下操作“A.4 安挠蓝怯安全完整性定义为在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概!) 在达到允许风险的过程中,在警察建立必要的风险降低,!EC61506-5中的附录。和附录E输出了定性方法,尽管必要的风险降低引用的例子是隐含的组合而非明显说明的。2) 例如,写字jf(规定后攘的危险摹件,其发生颇感不能大于108次h.3 GB/T 20438.5 2006/IEC 615085:1998 $(见GB/T20438. 4- 2006 4的3.5. 2)。安完整性
20、与执行安全功能的安会栩关系统的做能有关(执行的安全功能将夜安全功能安求规范中说明)。安全完整性可认为m下列两个的素组成:硬件堂;完辈H茫。这部分安全完黎做与在危险的失效模式F的随机使件失效有关(见G日丁20438.4-2006中的3.5咱们安全硬件安念完?要性规定等级的成就可在一个合琐的水平下精确估计,并将其事要求朋锁合概率的通用法规在子系统中进行分自己。E可能铺盖哥使用冗余结构采达到足够的磁件安余党擦悦。一系统安余究赛是悦。这部分安余究3在1与tE危防的失效模式下的系统失效有关见GB/T 20438. 4 2006中的3.S.4)。尽管与系统失效有关的平均失效率可估计,很从泼汁失效和共问原因
21、失效狡僻的失效数据即失效的分布难以预计。这样便增加了特定情况下失效概率计算的不确定性(例如安全防护系统的失效概率),因此需做出逃择敢佳技术的判定将不确定性箴小化。不必注意减少随机硬件失效概率的措施可能对系统失效的概率产生影响这情况。像闷叩硬件的JL余通道的技术样,它在控制随机硬件失效方面非常有效,但在减少系统失效方商作用非常有限。E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施所主要求的安全究赘性必须在相应等级以保证2叫拥而安念相关系统的失效频率足够低以防止危除事件频率跑过望要求的允许风除,和或安全相关系统将失效庄子;在修改:¥:满足允许风除要求的范围内00 A. I说明风险降
22、低的通用概念通F目模式假定:一有一个EUC幸0EUC校和j系统一有关联的人为例亲问趟。一二安余防护特性包指:j) 外部风险降低设施,2丑旦PE安余相关系统33) 其他技术安相关系统。注a阁A.1是说明通用原理的通用风险模型。将2且应闸的风险模式雷母1!1.E/E/PE安全相关系统和或其他技安金相关嘉统和或外部风险降低设施实际取得的必要的风险降低中的特定方式来开发。阙此相关的风险模刻可能不问于的A.L!fl A. l巾的务种风除为a一川C风险:EUC、以JC控制系统和省关人为网笨的特定危险制牛中存在的风险一:(确定这企风院时米考虑,指定的安全防护特性。残余风险:标准文本中,残余风险是使用了附加外
23、部风险降低设施、E/E/PE安全相关系统和其他t支术安丑主相关系统(见GB/T20438. 4一)飞统人为因素的精XE:危险察件中的风险。EUC风险是一种人JEUC本身有关的风险功能,但也考虑EUC控制系统带来的风险降低。为防止对EUC控制系统提出不合理的安全究黎f重要求,GB/T20438对可提出的要求进行了限制(见。B丁20438.1 2006中的7.5.2.5)。必要的风除降低是通过所有安全防护快能的络合获得的。00A. l表示了从EUC风险的开始点获得特定允许风险的必要害的风险降低。A. 5 风险和安全完放性正确IR分并完全王理解风险和安全完镀傲是非常3重要的。只L除是对个特EJ在f企
24、事件出现的概率和统娘的f占庭,jjJ以对耳之间情况的风除进行评价CEUC风贱、要求满足允许风险的风除、实际风险(见自EA.ll人允i午风险银锁校会主在础和有关批会和政治阴簇的考虑采确定。主fi!:觉?在校只IE.用于E/E/PEGB/T 20438.5-2006/IEC 61508-5: 1998 安全相关系统、其他技术安念相关系统和外部风险降低设施,并作为这段系统功能在规定i风险降低平否可行或其成本A司在僻的改造非常平相融时的允许值蹈、风险时,其值越小,栩耻而富,满足ALARP所醋的减小,其俄鹉小g本二五角形班了报小比例的椒靠需要确保风险雄持在这一水平圈B.1允许风险和ALARP 在一定的水
25、平之上,风险被认为是不允许的,并且不能夜优何正常情况下进行判断。低于这一水平,存在一个允许区域,在此范圈内问采取将有关风险降低到E可行的合理水平的擒施,在这JI允许不同于可接受。奖获明这样一种愿雪慧,即允许风险ff在以保证定利益,同时又期想它保持GB/T 20438.5一2006/IEC61508唰5:1998 在可检查并能被减小的滔围内。在此要求个或清楚且是含章E地权衡成本和需要或其他附加资企髦的成本利益评估风险越离,需用于减少风险的花费会成比例的加大。在可允许的极限,应对获得的利益和不成比例的花费进行判断Q此处将实质71.义风险,并对相成努力的问告李登耳求进行判断,既使风险只减小了点。当风
26、险较不明显时,也只能较小比例花费去减小风险,在允许区域的低僚端,会达到成本主司利放的平衡。在E低于允许18:域,风险的水平被认为是非常不明痕,不需要进步改善事。这是个广泛接受区域,在此区域内风除小于我们每天会实际纷历的风险,尤吉普为论证ALA民P进行细致工作,倪育寄提高警惕以确保风险维伴在这一水平。采用寇性成定擎的风险目标时可使用ALARP的概念。B.2. 2说明了71.:I量风险目的的方讼(附录C说明了一种定最方法,附录口和附录在说明了对特定危险确定必要的风险降低的定性方法。说明的方法E可以纺合ALARP概念用于做出决定。注2参带)(献4给出了ALARP的i企步信息。B. 2. 2 允许风险
27、因标获得允许风除目标的一个方法是对于一系列确志的后果,分自己允许频惑。厉果与允许频率的llG四日成夜有关机构中讨论并达成一数(如安全管E理政府机构、产:1E风险的机构和承受风险的机构考虑ALARP概念,后身边与允许频率的匹配可通过风险等级确定。斗坚日,1是一系列后果和频率的四种风险号事级(1,2,3,4)的示例。表B.2使用ALARP概念解释了每一风险等级。四种风险等级中的每一种描述都依据自自队1。这些接风防等级5E义中的风除是采取风除降低措施后出现的风险根据网队1,风险等级如下3一风防等级1夜不允许区域;风险等级2和风险等级3在ALARP区域,风险等级2正好在ALARP区域内;一风除等级4夜
28、广泛可接受区域。对每一种规定的情况或j1J比较的工ill.领域将考虑大擎的社会、政治和经济附素,并开发类似于袋坠,1的衷。每一后果将与频率栩匹自己,并将风防等级填入袋中。例如,我队1中的频率可指明很可能将续出现的事件可能被规定频率大予每年10次。一个危险的后果是个体死亡或大量tF蓬伤害或严袁职业病。我肌1意外事件的风防等级示例后果频率一宁一w 大灾难严鳖不严Ii:可忽略频繁发生I I I ? 很可能发占主I I 2 2 偶而发生1 2 3 .3 一极小可能发生2 3 3 4 二不问能发生3 3 4 4 难以相信会发放4 4 4 4 注lz风院等级L2,3,4的实际数与领域有关,并根据实际频率是
29、频繁、可能等,因此成将卒漾着作是一个说明如何填均此类泼的立后例,而不是对来来应用的舰范u技f;从本表中的频率确定安余完直在性等级的方法在附录C中说明。8 GB/T 20438.52006/IEC 61508-5: 1998 司!lB.2 凤R章等级解释风险等级费再章辛等级1不允许风险等级2不期望风险当风险降低不可行政成丰与取得的改替严;在不相称时为允许等级3如果风险降低的成本超过取得的改善时允许的风除等级4可忽略风险GB/T 20438.5-2006/IEC 61508-5, 1998 附录C(资料性附漾)安全完整性等级的确定g一种定量方法巳1般要求本附录描述了如何通过采用一种主运最方法来确定
30、安全完导要性等级,并说明如何使用我队1中的信息。一种J!:I量方法是一种特定值当:以数据形式规),了允许风除(如一个特定的后果不能以大于lX/10年的频率出现);一一对安全相关系统的安全完整性等级的数字因你进行规定,该因你已在GB/T20438中规定(兑GB/T 20438. 12006中的表2和表3),本附录的目的不是统供明确的方法而是说明一般挂在狸。直O!在风险模式为因A.1和l到A.2中说明的模式则更适用。c. 2 一极努法说明一般原珊的模式已在网A.1中表示。方法中的关键步骤如下,这接步骤需要哥对白E/E/P拟安全相关系统实现的每一安全功能米实施:一从类似表日.1的表中确定允许风险p确
31、定EUC风院;确寇满足允许风险的必要的风险降低;将必要的风险降低分配到E/E/PE安余相关系统、其他技术安念相关系统和外部风除降低设施(见GB丁20438.1一2006咐的7.6)。表队11JL填人风除频察和规定的数字允许风除目标CF.),与EUC存在的风险有关的频率,filt首EUC控制系统利人的因絮CEUC风险),在没有任何防护因素时可使用定量风除评估方法进行估计。没有防护因素时危险事件可能出现的频凉CF,)是EUC风除两个构成部分之一;另一构成部分是危险事件的后果。F,jjJ fE下列确定从可比较的情况分衍失效率:有关数据朦的数据g使用适当的预t十方法进行计算。标F除对EUC控制系统声明
32、的最小失效来提出约束(见G日IT20438. 1 2006中的7.5.2.5)。如果声明的EUC控制系统失效率低于最小炎效率,则EUCr;i:制系统jjJ认为是安全相关系统,并满足GB/T 20438中对安相关系统的惑求。c. 3 计算示例10 阁c.1提供了一个如何计算单一安余防护系统的目标安余完整性的示例。将这一情况PFD呵运F飞IF呻式中:PFD叫一安余防护系统姿求的平均失效概率,是在低姿求操作模式下操作的安全防护系统的安全究果真性失放最(见GB/T20438. 12006中的表2和GB/T20438. 42006中的3.5.12); F, 允许风险锁率,F叩一一安余防护系统的要求率。G
33、B/T 20438.5-2006/IEC 61508-5, 1998 另外在图c.1中gc :Jl!:危险事件的后果;凡是具有防护网兹的风险频率mE可以辛苦出,因为F叩与PFD,的关系以及由此引起的与安全防护系统的安全Jt整性等级的关系,确定EUC的F即是很重要的。获得安全究整性等级(当后果C保扮不变时)的必姿步骤通常如下(自sc. 1所必),本内容是针对全部必要害的风险降低烧通过敏安全防护系统得的情况,该安余防护系统必须将危险率从F.,3.少诚小受F,确定不附加任何防护因家(F.,l的EUC风险的频率网素。确定不附加任何防护因素的厉果巳一一通过使用我B.1.确定无论频率还是后然是否达到允许风
34、险等级。然盾,通过使用远是B.1得到风险等级1,则要求进一步的风险降低。风院等级4.lilt风除等级3箴允许风险。风险等级2则有需进一步调资。注:表B.1用于检查f是否需要进步的风险降低措施,因为可能不采用附加防护因素也能获得允许风险。根据普安全防护系统满足必要的风险降低(DJ()的要求确定失效的概率CPFD叫)。对于描述的特定情况中的固定后果,PFD叫出CF,/F,l山DR。对于PFD叫(F,/F.,),可通过GB/T20438. 1 2006中的我2获得安全完移攸等级(如对于PFD,且10210寸,安全完整性等级为2)。EUC和EUC!理割草统民isk:相关系统(饭也iiJ以与另一技术安全
35、相关系统和或外部风险降低设施结合)。上述考虑导tU司已l所展危险事件严意性矩陈应注意m阵已通过对示例数据计算来说明一般照理。对每一特I背况,或类似工业领域,应开发类似于自自巴1的饭阵。独立SRS和外部风3 仨川C C CJ CJ CJ E (包括分费的I C CJ Sill CJ SILi SIL2 E/E/PE SRS) SIL! Sill SIL2 SIL! SIL2 SIL吨的fl!; E扣高低中高事件可般性DJ事件可能性DJ事件可能性DJ较小的A 一个SIL3E/E/PE安全相关果统不能在这一等级上挺供足够的风险降低,需要附加风险降低措施“叫一个SIL3E/E/PE安余相关系统不能在这
36、一等级上提供足够的风盼降低,要求进行危险和风险分析以确定是沓需要附加的风险降低措施。CJ 可能不需要一个独鼠的E/E/PE安fr:相关系统。口事件的概盖在没有任何安全相关系统或外部风险降低设贼下危险事件ill现的慨事E SRS紫金相关革锐,事件的概率相独立保护层的数量章是由与特)E)jiz闸的关系来定义的。回E.1危阶事件严重性矩陈示例(只说明一能原现)15 GB/T 20438.52006/IEC 61508” 5, 1998 16 参考文献l ANSI/ISA 584:1996 过税工业领域安全仪表系统的!iilJ!l.2 Grundlegende Sicherheitberatungunge ftir MSR-schutzeinrichtungen DIN V 19250, Bou th var la匾,Berlin,FRG,1994. C幻化工过程安全自动化指酶,盖起凶化工工程研究所化工过程安全巾心出版4 核电站可允许的风除,健康和安全执委会车用软件开发指陶发动机工fk可靠性协会
