IEC61508-1_一般要求

IEC61508-1一般要求机械工业仪器仪表综合技术经济研究所冯晓升6整体计划编制7整体安全确认计划编制8整体安装和试运行计划编制9安全相关系统E/E/PES实现(见E/E/PES安全生命周期）100其他安全相关系统实现0110外部风险降低设施实现012整体安装和试运行13整体安全确认14整体操作维护和修理16停用和处理1概念2整体范围确定3危险和风险分析4整体安全要求5安全要求分配返回适当的整体安全生命周期阶段15整体修改和改型整体操作和维护计划编制整体安全生命周期目的和要求目的1.用一种系统的方式构造整体安全生命周期中的各阶段，以达到E/E/PE安全相关系统要求的功能安全。目的2.是将贯穿于整体安全生命周期的E/E/PE安全相关系统功能安全的关键信息文档化。•要求1.整体安全生命周期将作为基础,用于声明对本标准的符合性.•要求2.功能安全管理的要求应与整体安全生命周期各阶段并行。•要求3.整体安全生命周期的各个阶段都应实施并满足要求。•要求4.整体安全生命周期的各阶段,应根据各阶段规定的范围、输入和输出，分成一些基本的活动。•要求5.每个整体安全生命周期阶段的范围和输入见表1。•要求6.除非在功能安全计划编制中已做调整或在应用领域标准中另有规定，由整体安全生命周期的各阶段产生的输出，应如表1规定。•要求7.由整体安全生命周期的各阶段产生的输出，应满足各阶段规定的目的和要求。•要求8.应满足每个整体安全生命周期阶段的验证要求。概念目的:提高对EUC及其环境（实际的、法律的等）的理解水平，使之足以能顺利进行安全生命周期的其他活动。要求1.对EUC及其要求的控制功能和实际环境进行全面的了解。2.确定可能的危险源。3.获取确定危险的有关信息（毒性、爆炸条件、腐蚀性、反应性、易燃性等）。4.获取当前的安全法规（国际的和国家的）。5.应考虑相邻近的EUC（已安装的或将被安装的）之间相互作用所产生的危险。6.所要求的信息和结果应文档化。整体范围确定目的1.确定EUC和EUC控制系统的边界。目的2.规定危险和风险分析的范围（如过程危险、环境危险等）。要求1.应确定危险及风险分析范围内所有的物理设备，包括EUC和EUC控制系统。要求2.应确定危险及风险分析时要考虑的外部事件。要求3.应确定与危险有关的子系统。要求4.应确定需要考虑的事故引发事件（如零部件失效、程序故障、人为错误，以及与之有关的可能引起随后一系列意外事故发生的失效机制）的类型。要求5.所要求的信息和结果应文档化。危险和风险分析目的1对于所有可合理预见的情况，包括故障状况和误用，确定EUC和EUC控制系统的危险和危险事件（在所有操作模式下）。2确定导致目的1所确定的危险事件的事件顺序。3确定与目的1确定的危险事件相伴的EUC风险。注1：为使E/E/PE安全相关系统的安全要求建立在系统的基于风险方法的基础之上，本条是必需的。这些要在考虑了EUC和EUC控制系统的前提下才能完成。注2：在有可能对风险、可能的危险、危险事件及其后果进行有效假设的应用领域中，本条中所需的分析可由本标准应用领域版本的编制者进行。危险和风险分析要求1进行危险和风险分析时应考虑整体范围定义阶段中的信息。如在整体安全生命周期、E/E/PES安全生命周期和软件安全生命周期的后期做出的决定，则可能会改变前期所作决定的基础，因此应进行进一步的危险和风险分析。注：可能有必要进行多次危险和风险分析。要求2应该考虑如何排除危险。注：尽管不包括在本标准范围内，但在源头排除EUC已确定的危险是非常重要的，如应用固有安全原理，以及应用优质工程的实践经验。要求3根据合理可预见的情况确定EUC和EUC控制系统的危险和危险事件（包括故障条件和可合理预见的误用）。还包括所有相关的人员因素引起的问题，尤其应注意那些不常见的、异常的EUC操作模式。要求4应确定要求3已确定的导致危险事件的事件顺序。注：一般应考虑用修改过程设计或所用设备的方法排除事件顺序。要求5应对要求3确定的危险事件的可能性进行评价。要求6应确定要求3中规定的危险事件所伴随的潜在后果。要求7对每个确定的危险事件应评价或估计EUC风险。要求8可用定性或定量的危险和风险分析技术。危险和风险分析要求9技术的选用及其使用范围取决于很多因素，包括：——特定的危险及后果；——应用领域及其被认可的成功经验；——法律和安全法规要求；——EUC风险；——作为危险和风险分析依据的准确数据的可用性。要求10危险和风险分析应考虑：——每个确定危险事件和对其起作用的组成成分；——伴随每个危险事件的事件顺序的后果和可能性；——每个危险事件的必要风险降低；——降低和消除危险和风险的措施；——风险分析中的假设，包括估计的要求率和设备失效率。应详细说明操作约束或人为介入的可信度；——安全相关系统在E/E/PES安全生命周期各阶段（如验证和确认活动）引用的关键信息。要求11构成危险和风险分析的信息和结果应文档化。要求12对EUC和EUC控制系统而言，从危险和风险分析阶段至停用或处理阶段的整个整体安全生命周期全过程中，都应保存构成危险和风险分析的信息和结果。注：保存危险和风险分析阶段的信息和结果是建立改进危险和风险分析问题解决方案的基本方法。整体安全要求目的:为达到所要求的功能安全，根据E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施的安全功能要求和安全完整性要求，编制整体安全要求规范。注：在应用领域中，可在对风险、可能的危险、危险事件及其后果进行有效假设的情况下，由本标准应用领域版本的编制者进行本条中所需的分析。整体安全要求要求1应规定安全功能，以保证针对每个确定的危险所要求的功能安全。这些安全功能构成了整体安全功能要求的规范。注：由于在这一阶段，尚不知道实现安全功能的技术和方法，因此在此阶段不规定要执行的安全功能的技术条款。在安全要求分配过程中，安全功能的描述可能需要修改，以反映专用的实现方法。2对每个确定的危险事件应确定必要的风险降低。必要的风险降低可定性（和/或）定量地确定。注：为确定对E/E/PE安全相关系统、其他技术安全相关系统以及外部风险降低设施的安全完整性要求，需要必要的风险降低。GB/TXXXX.5附录C中给出了一个方法。用这种方法，当采用定量法时可确定必要的风险降低。GB/TXXXX.5的附录D和附录E给出了定性的方法。虽然引用的例子中隐含必要的风险降低，但不是明显地说明。3如有应用领域的标准直接确定合适的必要的风险降低方法，可用这个标准来满足本条的要求。整体安全要求4在EUC控制系统的失效对一个或多个E/E/PE或其他技术安全相关系统和/或外部风险降低设施提出要求，以及不想把EUC控制系统指定为一个安全相关系统时，应使用下列要求；a）对EUC控制系统声明的危险失效率应得到通过下列渠道获得的数据的支持。——在相似应用领域中，EUC控制系统的实际操作经验；——对认可的规程进行可靠性分析；——同类设备的可靠性的工业数据库。b）EUC控制系统声明的危险失效率应不低于10-5/h危险失效；注1：理论上，这个要求是说，如果不把EUC控制系统指定为安全相关系统，则对EUC控制系统声明失效率应不低于安全完整性等级1的较高的目标失效量（10-5/h危险失效）。c）在拟定整体安全要求规范时，应确定并考虑所有合理的、可预见的EUC控制系统的危险失效模式；d）EUC控制系统应是独立的，不依赖于E/E/PE安全相关系统、其他技术安全相关系统以及外部风险降低设施。注2：如果把安全相关系统已设计成可提供适当的安全完整性，并考虑了EUC控制系统的额定要求率，则不必将EUC控制系统指定为安全相关系统（并且它的功能不能选定为本标准中的安全功能）。在某些应用中，特别是在需要很高的安全完整性时，通过设计具有比额定失效率低的EUC控制系统，降低要求率是合适的，在这种情况下，如失效率小于安全完整性等级1的目标安全完整性上限时，控制系统将变得与安全有关，并且将使用本标准中的要求。整体安全要求5如果不能满足要求4a）至d）中包含的要求，则应将EUC控制系统指定成一个安全相关系统。分配给EUC控制系统的安全完整性等级，应基于EUC控制系统所声明的失效率，它与表2和表3中规定的目标失效量相符。在这种情况下，本标准中与分配的安全完整性等级有关的要求应用于EUC控制系统。注1：例如，如声明EUC控制系统的失效率在10-6/h失效和10-5/h失效之间，则应满足安全完整性等级1的相关要求。6基于必要的风险降低，应对每个安全功能规定安全完整性要求，这就构成对整体安全完整性要求的规范。注：安全完整性要求的规范是确定E/E/PE安全相关系统要实现的安全功能的安全完整性等级的一个过渡阶段。某些确定安全完整性等级的定性方法是从风险参数直接进展到安全完整性等级的。在这种情况下，必要的风险降低是隐含的而不是明显的，因为它本身就包含在方法之中。7安全功能和安全完整性要求的规范一起构成整体安全要求的规范。安全要求分配目的1为指定的E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施分配安全功能，这些安全功能包含于整体安全要求（安全功能要求和安全完整性要求）规范之中。注：如不考虑其他风险降低的量值，则对E/E/PE安全相关系统的分配就无法进行，因此要考虑其他技术安全相关系统和外部风险降低设施。2本条的第二个目的是对每个安全功能分配安全完整性等级。注：基于风险降低规定安全完整性要求。安全要求分配要求1应规定用于达到功能安全要求所指定的安全相关系统，用下列系统达到必要的风险降低：——外部风险降低设施；——E/E/PE安全相关系统；——其他技术安全相关系统。注：本条仅适用于安全相关系统中有E/E/PES的情况。2在给E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施分配安全功能时，应考虑在整体安全生命周期的所有阶段中可能利用的技能和资源。注1：通常会低估使用复杂技术的安全相关系统的全部内涵。如实现复杂技术时，从规范到维护和操作的所有阶段都要求高等级的能力。而用其他简单技术的解决方案可能有同等效果，且由于降低了复杂性而带来一些好处。注2：可用的操作、维护技能和资源以及操作环境对在实际操作中达到所要求的功能安全是关键性的。安全要求分配3把建立的每个安全功能及其相应的安全完整性要求，分配给指定的E/E/PE安全相关系统，并考虑其他技术安全相关系统和外部风险降低设施所产生的风险降低，以达到安全功能必要的风险降低。这种分配要重复进行，如果发现不能达到必要的风险降低则应修改体系结构并进行重新分配。注1：根据必要的风险降低，规定的每个安全功能及其相应的安全完整性要求应分配给一个或多个E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施。决定把一个特定功能分配给一个还是几个安全相关系统取决于许多因素，但主要取决于安全功能达到风险的降低。要求的风险降低越大，该功能就越可能分配给更多的安全相关系统。注2：对于安全要求分配，图6给出了本条采用的途径。每个安全功能及其相关的安全完整性要求的分配规定安全完整性要求的方法a）必要的风险降低b）必要的风险降低c）安全完整性等级其他技术安全相关系统E/E/PE安全相关系统#1E/E/PE安全相关系统#1＃2#2E/E/PE安全相关系统#1外部风险降低设施E/E/PE安全相关系统#2E/E/PE安全相关系统#2对各个E/E/PE安全相关系统的设计要求，见GB/TXXXX.2注1：在分配前，安全完整性要求与每个安全功能是相关的。注2：一个安全功能可以分配给不止一个安全相关系统。图:对E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施的安全要求的分配安全要求分配4要求3所述的分配应这样进行，即分配所有的安全功能并且满足每个安全功能的安全完整性要求。5对每个安全功能的安全完整性要求应可以指出是否达到每个目标安全完整性参数：——能在要求时就执行其设计功能的平均失效概率（低要求操作模式时），或——每小时危险失效概率（高要求或连续操作模式时）。6对于概率的组合可使用适当的技术来执行安