GB T 18272.7-2006 工业过程测量和控制 系统评估中系统特性的评定 第7部分 系统安全性评估.pdf

1、ICS 25.040 N 10 每昌中华人民共和国国家标准GB/T 18272.7-2006/IEC 61069-7: 1999 工业过程测量和控制系统评估中系统特性的评定第7部分:系统安全性评估Industrial-process measurement and control-Evaluation of system properties for the purpose of system assessment-Part 7 : Assessment of system safety (IEC 61069-7: 1999 , IDT) 2006-05-08发布中华人民共和国国家质量监督检验

2、检菇总局中国国家标准化管理委员会2006-11-01实施发布GB/T 18272.7-2006/IEC 61069-7: 1999 目次前言.皿引言.N1 范围.2 规范性引用文件-3 术语和定义4 安全性特性-4.1 总则4.2 危险源的种类.2 4.3 危险源后果的受体.4.4 传播途径.4 4. 5 降低风险的措施45 复查系统要求文件。RD). 6 复查系统规范文件(SSD)7 评估程序-7.1 总则7.2 分析系统要求文件和系统规范文件.6 7.3 设计评估计划67.4 评估计划8 评定技术.7 8.1 总则8.2 分析法评定技术.7 8.3 试验法评定技术.9 评估的实施与评估报告

3、的编写方法.8 参考文献.I G/T 18272.7-2006/IEC 61069-7: 1999 前言GB/T 18272(工业过程测量和控制系统评估中系统特性的评定由以下部分组成:第1部分:总则和方法学;一第2部分:评估方法学;一一-第3部分:系统功能性评估;一一第4部分:系统性能评估;第5部分:系统可信性评估;第6部分:系统可操作性评估;一一第7部分:系统安全性评估;一一第8部分:与任务无关的系统特性评估。本部分是其中的第7部分。本部分与GB/T18272其余各部分的关系以及本部分在各部分中的相对位置见图1。本部分等同采用IEC61069-7: 1999(工业过程测量和控制系统评估中系统

4、特性的评定第7部分:系统安全性评估)(英文版)。本部分等同翻译IEC61069-7 :1 9990 本部分在制定时按GB/T1. 1-2000(标准化工作导则第1部分:标准的结构和编写规则和GB/T 20000.2-2001(标准化工作指南第2部分:采用国际标准的规则的有关规定做了如下编辑1生修改:一一删除IEC国际标准前言;一-原引用标准的引导语按GB/T1. 1-2000的规定改成规范性引用文件的引导语;本标准一词改为GB/T18272的本部分。本部分由中国机械工业联合会提出。本部分由全国工业过程测量和控制标准化技术委员会第一分技术委员会归口。本部分由上海工业自动化仪表研究所、浙江中控技术

5、股份有限公司负责起草。本部分参加起草单位:上海自动化仪表股份有限公司、清华大学自动化系、兵器工业系统总体部。本部分主要起草人:徐晓燕、李明华。本部分参加起草人:徐义亨、刘铁椎、杨徊福、李光沐、张庆军、刘华美。而皿GB/T 18272.7-2006/IEC 61069-7: 1999 引- E司GB/T 18272的本部分论述了评估工业过程测量和控制系统的安全性特性所采用的方法。本部分所涉及的安全仅限于工业过程测量和控制系统本身出现的危险源。如果系统的使命包含有可能影响被控过程或装置安全性的活动，则有关这些活动的要求应符合IEC61508的规定。所谓系统评估，就是根据各种迹象判断该系统是否适用于

6、某一特定使命或者某-类使命。要想获取所有迹象，就需要全面地(即在各种影响条件下)评定与系统的特定使命或一类使命相关的所有各种系统特性。但是这种做法不切实际，因此系统评估所依据的基本原理是:确定每一种相关系统特性的临界状态;一通过对评定各种特性的成本效益的研究，制定出评定系统相关特性的计划。在实施系统评估时，关键是要考虑必需以有限的经费和时间最大限度地提高系统适用性的置信度。只有在明确(或规定)了系统的使命或者能够假设系统使命的情况下，评估才能得以进行。没有使命就无法进行评估。但仍可以为其他部门开展的评估工作确定并实施各种评定(如GB/T18272. 1所规定的评估活动)。在这种情况下，由于评定

7、是评估的组成部分，因此可以把本部分作为制定评定计划的指南，提供评定的实施程序。GB/T 18272的基本框架如图1所示。计划规程评估报告固1GB/T 18272的基本框架N 设计评估计划设施专业知识时间经费实施评估计划监督和管理第3部分s系统功能性苦估第4部分z系统性能评估第5部分z系统可信性评估第6部分z系统可操作性评估第7部分z系统安全性评估第8部分z与任务无关的系统特性评估GB/T 18272.7-2006/IEC 61069-7 : 1999 工业过程测量和控制系统评估中系统特性的评定第7部分:系统安全性评估安缸A的控及和安E涉量置盯所测装阳分程或H部过程引本业过盯工控虫的被2励根据本

8、部分达成最新版本适用于本1 范围:通用要求(idtIEC 求和试验(idtIEC 第2部分:评估方法学CidtIEC 6106 GB/ T 18272. 第5部分:系统可信GB/ T 20000. 4-MOD) IEC 61508-1, 1998 3 术语和定义下列术语和定义适用于GB/T18272的本部分。3. 1 系统安全性system safety 系统作为一个物理实体，其本身不会造成危险源的程度。注:系统的安全性不包括被控过程或装置的安全性。如果系统用于执行安全功能(见IEC61 508-1: 1998)，则被控过程或装置的安全性依赖于系统的可信性。3.2 危险源hazard 潜在的伤

9、害源。GB/T 18272.7-2006/IEC 61069-7: 1999 GB/T 20000. 4-2003 , 3. 3 3.3 伤害harm 身体损害和(或)对健康或财产的破坏。4 安全性特性4. 1 总则系统与其环境的相互作用可以有多种形式，有些可能成为危险条件。本部分专注于可以造成危险源的系统条件。必须认识到这些条件在系统的整个生命周期内会发生变化。系统没有危险的程度可以用系统安全性特性来表示。即使组成系统的每一个元件本身没有危险，系统也可能存在危险。例如，每一个独立的元件可能是稳定的，然而这些元件装配形成一个系统时就可能是不稳定的因而是危险的。工业过程测量和控制系统的安全性特性

10、在(机械、电等)各方面都取决于其设计及其可信性(见GB/T 18272. 5一2000)的固有安全性等各种因素。系统安全性的评估应包括在系统生命周期内的安装、运行、退出使用和处置各阶段与系统相关的所有活动。它还应包括环境方面的所有情况。在每一个阶段，至少要考虑以下措施和活动:工作、维护和退出使用的程序;一一给予的符号和文本警告;包装材料的处理，装置产生的废弃物，更换的零件和清洁材料。评估系统安全性时，应考虑、以下各方面:危险源的种类;一一危险源后果的承受者;传播途径;降低风险的措施。注:在系统生命周期的不同阶段，由于某些危险条件的出现，系统的安全等级会发生变化，例如:液压蓄能器中压力被止因阀锁

11、定;充了电的器件(例如电容器); 储存核废料和化学物质的容器暴露在腐蚀环境中。4.2 危险源的种类4.2. 1 总则一个单一的伤害源本身可能是有危险的。然而，伤害源往往会导致二次影响，例如高瘟、高压等，这才是真正的危险。至少应考虑下列各种类型的危险源。4.2.2 机械危险源重力可能成为伤害源，例如在提升或者下落时。压力可能成为伤害源，例如由于管道或者容器破损。弹力可能成为伤害源，例如由于弹簧或机械结构破损。振动可能成为伤害源，例如由于材料疲劳或发出过大声音。温度可能成为伤害源，例如由于热的物体。磨损可能成为伤害源，例如由于释放有毒粒子或者使部件变弱。机械结构可能成为伤害掘，例如由于锐利边缘或粗

12、糙表面。4.2.3 电气危险源电压或电流可能成为伤害源，例如由于发生短路(热)或绝缘击穿(电击)。2 GB/T 18272.7-2006/IEC 61069-7: 1999 注:成为危险源的电能可能源自系统内部和(或)为系统供电的电源。4.2.4 电磁场系统能发出不同强度和频率的电磁场，这些电磁场可能成为伤害源。装置的发射极限由相关产品、产品系列和通用电磁兼容性标准规定，例如CISPR22。有关对人造成伤害的限值可参见ENV50166-1 和ENV50166-2。4.2.5光系统能发出不同强度和频率的光，这些光可能成为伤害源。例如，短路或光学发射器(诸如激光源)工作会产生和传播强度可达到危害程

13、度的光。关于激光源可参见IEC60825-1。4.2.6 放射性危险源含有放射性元件(例如传感器)的系统可能成为伤害掘。4.2.7 生物危险源含有生物元件(例如传感器)的系统可能成为伤害源。4.2.8 化学危险源含有化学物质的系统可能成为伤害源(例如毒性或腐蚀)。4.3 危险源后果的壶体4.3. 1 总则受体所能接受的伤害程度取决于:一受体的类型特也受体所处的区域。工业过程测量和控制系统所处的环境可区分成不同的区域，如控制室、工厂或城市。这些区域的分类通常在国际标准、国家标准或者专业标准中都有规定。在每一类区域内，每一种类型的受体都有其各自可接受的伤害和暴露于伤害的程度。受体的不同类型如下所列

14、。4.3.2 人类工业过程测量和控制系统中存在4.2所述的各类危险源，这些危险源可能以不同的方式伤害人类的身体。举例如下:一一机械危险源:重力能造成骨折，过度的压力能导致全身受伤、骨折、眼和(或)耳损伤或肺萎陷，弹力能导致全身受伤或骨折，振动能导致耳损伤，温度能导致灼伤;一一电路短路或电击能引起燃烧、心室纤维颤动或眼损伤;一一一电磁场能导致新陈代谢变化、眼损伤或器官受损;一一光能导致眼损伤或灼伤;一一-放射性能导致新陈代谢变化、眼损伤或器官受损;一一生物物质能渗透并导致新陈代谢变化或消化道变异;一一一化学物质能渗透并导致新陈代谢变化、眼损伤、器官受损、皮肤剌激或神经损害。4.3.3 生物工业过

15、程测量和控制系统中存在4.2所述的各类危险源，这些危险源能以类似于4.3. 2所述的方式伤害植物、动物等各种生物系统和生态系统。它对生物系统的伤害强度不同于对人类的伤害强度。4.3.4 设备工业过程测量和控制系统中存在4.2所述的各类危险源，这些危险源能以不同的方式伤害周围的3 GB/T 18272.7-2006/IEC 61069-7: 1999 设备。举例如下:机械:重力、压力和弹力(视其强度)会导致不重合、弯曲或部件破裂等;振动(视其强度)会导致不重合、金属疲劳、部件松脱等;温度(视其等级)会导致不重合、寿命缩短、机械强度降低、脱气、燃烧等;一一电源(视其强度)会因过载、电流浪涌、飞弧、

16、燃烧等而导致供电波形畸变、崩渍;一一电磁场(视其强度)会导致电磁干扰、数据改变等;一一光或辐射能(视其等级)会因紫外线茹橄琪捅塌垂立材料特性改变;生物:其影响无法预见;径组合而成的。以下是几种4.5 降低风险的避免伤害风险4 然而，这并不总能做-一一减少伤害源;一一阻断传播途径;限制受体处于危害区域1。采取下列方法可能达到减少伤害源的一一应用本质安全元件，例如在电输入上应用本质安全元件;一一应用特殊的配置，例如3选2配置;一一应用限制元件，例如抑制电容器、保护二极管、安全阀;一一增大伤害源与受体之间的距离。采取下列措施可以达到阻断传播途径的目的:一一一隔离屏、防护屏;一一箱盖、外壳;一一保护器

17、件，例如二极管;一一距离，例如爬电距离;非干单一类型的传播途结槽件(例如支架或导一一电源插座，安全插座;一一隔离变压器，安全变压器;防护服。采取下列措施可以达到限制受体处于危险区域的可能性:一一访问控制的限制条件，例如手续，使用钥匙;一一使用警告标志、闪光灯、喇叭;一一保持安全距离，例如使用门、可见障碍物。5 复查系统要求文件(SRD)低风险的措施。手续;一一允许、一一在工、7 评估程序7. 1 总则评估应按GB/T18272.2-2000第7章规定的程序进行。GB/T 18272.7-2006/IEC 61069-7: 1999 00所述的方式列出系统所需的降下为避免任何危险状况而应明确规定

18、评估的目的，GB/T18272.1-2000的4.1对此有详细说明。目的中必须包括在工业过程测量和控制系统的预定使用现场检查系统是否符合现行国家规程的要求。为使系统安全性评估能正常进行，系统要求文件和系统规范文件提供的信息必须完整和准确。若在评估的某一阶段有信息丢失或信息不完整的情况发生，应就有关问题与系统要求文件和系统规范文件的编制者取得联系，以获取所需要的补充信息。这些补充信息应正确记录在相关文件中。5 GB/T 18272.7-2006/IEC 61069-7: 1999 7.2 分析系统要求文件和系统规范文件7.2.1 整理信息评估系统安全性需要按GB/T18272. 2-2000中7

19、.2的规定从系统要求文件和系统规范文件中摘录必要信息。将系统要求文件规定的要求与系统规范文件给出的系统提供的安全性等级合在一起相互对照，以定量和定性的方式并在可能的情况下以数值范围准确、简洁地说明下列内容:一一一工业过程测量和控制系统的物理边界;-一一危险源的种类以及从系统向周围环境传播的途径;可能在系统内形成危险状态的影响条件;一一尽可能减小危险状态后果的降低风险措施;一一将能够形成危险状态的各种现象同时出现的概率减到最低的降低风险措施;一一-系统模块和元件安全性的分配;一一不同的系统模块和元件相互作用的方式以及这些相互作用导致系统层面出现缺乏安全性的可能性;系统不符合要求的项目;事先了解的

20、全部情况以及安全性特性的评估范围。7.2.2 安全性的影晌条件在GB/T18272. 1-2000的4.4所述的外部范畴中，影响条件可以产生于下列范畴z一一服务，例如维护、文件的提供和工具的使用;一一人，例如培训、技能、态度或误用;一环境，例如机械冲击、振动、热、火、水分、湿度、液体、粉尘、腐蚀性气体或液体、电磁干扰、电路变化(电流回路断开)或安装在限制进入区域。应评估系统生命周期内安装、运行、退出运行和处置各阶段的系统安全性以及各种允许运行模式下各相关阶段的系统安全性。7.2.3 汇总经过整理的信息按上述要求整理后的信息应以一定的形式汇编成册，供设计评估计划时使用。7.3 设计评估计划7.3

21、. 1 比较系统要求文件和系统规范文件设计评估计划的第一步是分析按7.2的规定从系统要求文件和系统规范文件中收集的信息。按照7.2.1所述的方法将系统要求文件与系统规范文件进行比较后，编制一份按危险源项目排列的清单，对照安全性要求列出为达到安全性提供的措施。这个清单中的每一项都是潜在的评估项目。必需核查每一个潜在的评估项目，确定对此项目的评定应该进行到什么程度才能达到提高置信度水平的要求。7.3.2 评估项目按下列原则对清单上的全部潜在评估项目进行筛选，产生一份待评估项目清单:-一一基于例如系统已取得证书和原有知识基础上的现有置信度水平;一一基于例如系统中所用模块、元件和接口的标准化程度基础上

22、的系统的成熟度;一一要求的置信度水平，如可能定量表示。重要注:国际和(或)国家规章制定机构要求进行的评估项目必须按这些规章规定的规则进行评估和评定。7.3.3 评估工作清单经7.3.2筛选后，给每一个项目添加下列内容，就可得到一份评估工作清单:一一为支持评估而要求进行的分析和/或评定的类型;6 G/T 18272.7-2006/IEC 61069-7: 1999 各项评估工作的优先等级;执行要求的分析和/或评定所需的知识和技能;一一评定其他特性产生的永久影响对评估进度表的制约;一一挑选的人员的可用性;一一执行必要的分析和/或评定所需的工具和设施;预计每项必要的分析和/或评定所需的成本和时间。按

23、照7.3.1和7.3.2确定的原则，可能需要考虑几种可以相互补充的评定技术。利用这个评估工作清单，连同为评估其他特性而确定的类似清单一起，就可以形成一个最终的系统评估计划。注:应对系统进行评估，以确定系统本身对其周围环境造成危害的程度。7.4 评估计划最终的评估计划至少应规定和(或)列出下列要点:一一一7.1所述的评估目的;一一7.3.2所考虑的原则;一一7.3.3所述的待评估项目;要求达到的置信度水平;一一评估进度表，要考虑到试验可能产生的永久性影响。8 评定技术8. 1 总则应该选用可以将评定结果与系统要求文件规定的要求作定性和(或)定量比较的评定技术。所选择的评定技术可能只需利用系统文件

24、进行分析，也可能需要接触实际系统以实验为依据。这两种评定技术所产生的结果可以是定量的或者是定性的，也可以是定性定量结合的。本部分推荐了几种评定技术。也可以采用其他方法，但在任何情况下评估报告都应提供描述所用技术的文件的出处。应考虑7.2.2所述的影响系统安全性的条件。推荐采用8.2和8.3的技术评估安全性。8.2 分析法评定技术测量和控制系统的安全性评定技术主要是分析法评定技术。对每一种危险源应采取下列步骤:一一在系统要求文件所述或强制性规章规定的工作条件下检查是否存在危险源，对于存在的每一种危险源，检查是否有证书，证书是否仍然有效;一一如果没有符合要求的证书，就应进行相应的风险分析，例如IE

25、C60300-3-9所述的分析。为支持此种分析，可采用8.3的评定技术。8. 3 试验法评定技术试验法评定技术是分析法评定技术的补充。每当分析法技术不能保证系统的安全性等级时就应进行试验法评定，以便对缺乏数据的那些方面进行评估。制定规章的机构有要求时必须始终进行试验法评定(见7.3.2)。为此，有多种技术可供使用，下面列出其中的几种作为指南。机械:例如GB4208所述的外壳试验方法;一一电气:例如GB/T1408系列和GB/T16935.1所述的绝缘配合和抗电强度试验;电磁场:例如GB9254所述的测量技术;7 GB/T 18272.7-2006/IEC 61069-7: 1999 一-热量z

26、例如GB/T5169系列和GB/T11020所述的着火危险试验。9 评估的实施与评估报告的编写方法8 评估的实施与评估报告的编写方法应符合GB/T18272. 1-2000中5.5和5.6的规定。此外，评估报告还应陈述以下要点:一一整理从系统要求文件和系统规范文件中摘录的数据，例如安全性要求、环境条件、工作条件和维护条件等;一-系统分析，系统的物理结构和功能结构，施加在系统模块、元件和组件上的应力，其相互关系等;一二建议作进一步分析和/或评定的评估工作清单。GB/T 18272.7一2006/IEC61069-7: 1999 参考文献lJ GB/T 1408. 1一1999固体绝缘材料电气强度

27、试验方法工频下的试验(eqvIEC 60243-1: 1988) 2J IEC 60300-3-9: 1995 可信性管理第3部分:应用指南第9节:技术系统的风险分析3J GB 4208一1993外壳防护等级OP代码)(eqvIEC 60529 :1 989) 4J GB/T 5169 (所有章节和图表)电工电子产品着火危险试验第2部分:试验方法(lEC60695-2) 5J GB/T 11020-1989 测定固体电气绝缘材料暴露在引燃源后燃烧性能的试验方法(eqvIEC 60707 :1 981) 6J IEC60825-1:1993 激光产品的安全第1部分:设备分类、要求和用户指南7J

28、GB 9254-1998 信息技术设备的无线电骚扰限值和测量方法(idtCISPR 22: 1997) 8J ENV 50166-1: 1995人体电磁场照射低频(0Hz10 kHz) 9J ENV 50166-2: 1四99归5人体电磁场照射高频(10kHz户、寸.乌白82htgosu国OON|h.NhN-H筒。华人民共和国家标准工业过程测量和控制系统评估中系统特性的评定第7部分:系统安全性评估GB/T 18272.7 -2006/IEC 61069-7 :1 999 国白，峰中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045 网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销导印张1字数22千字2006年10月第-次印刷开本880X1230 1/16 2006年10月第一版* 定价12.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533书号:155066. 1-28035 18272.7-2006