ICS25.040 CCS N 10
GB
中华人民共和国国家标准
GB/T41295.1—2022
功能安全应用指南
第1部分：危害辨识和需求分析
Application guide of functional safety-
Part 1:Hazard identification and requirements analysis
2022-10-01实施
2022-03-09发布
国家市场监督管理总局国家标准化管理委员会
发布 GB/T41295.1—2022
目 次
前言引言 1 范围 2 规范性引用文件 3 术语和定义
缩略语 5 总则 5.1 危害辨识和需求分析所处生命周期的阶段 5.2 危害辨识和需求分析的基本考虑 5.3 危害辨识和需求分析的过程考虑 5.4 危害辨识和需求分析的变更考虑 5.5 危害辨识和需求分析的文档化考虑 6危害辨识
4
/
...
.
6.1 危害辨识的一般过程 6.2 自然环境在危害辨识过程中的影响分析 6.3 法律法规在危害辨识过程中的影响分析 6.4 工艺过程在危害辨识过程中的影响分析 6.5 受控设备的风险 6.6 安全系统的风险 6.7 风险记录需求分析参考文献·
图 1 危害辨识的一般过程表1 风险记录表示例 GB/T41295.1—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是GB/T41295《功能安全应用指南》的第1部分。GB/T41295已经发布了以下部分：
第1部分：危害辨识和需求分析；一第2部分：设计和实现；
一第3部分：测试验证；
第4部分：管理和维护。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会（SAC/TC124）归口。 本文件起草单位：中国石油集团安全环保技术研究院有限公司、机械工业仪器仪表综合技术经济研
究所、国能智深控制技术有限公司、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、 中国石油大学（北京）。
本文件主要起草人：熊文泽、魏振强、刘晓亮、田雨聪、史学玲、郭永振、姜涛、靳江红、张雪、董绍华、
孟邹清、张亚彬、王璐、安健、李世斌、罗方伟、刘瑶、朱明露。
1 GB/T 41295.1—2022
引言
自GB/T20438（所有部分）发布以来，电气/电子/可编程电子系统已经越来越多的应用于国内各个领域的安全控制和安全防护，包括石油、化工、电力、轨道交通、汽车、电梯/扶梯等。近年来随着智能制造的兴起，智能化设备（主要由电气/电子/可编程电子为技术基础）的安全问题逐渐成为一个新的研究方向和焦点，进一步提升了对功能安全技术的需求
GB/T20438（所有部分）给出了实现功能安全的基本框架和结构，作为等同转化的标准，与国内企业的管理体系和设计思路未能完全切合，加之很多国内工程技术人员都是初次接触功能安全技术，对于功能安全概念一时难以理解，这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施，但技术人员难以清楚的理解和认识。GB/T20438（所有部分）发布10多年来，国内一些领先的科研院所和企业已经基于标准要求开展了很多工作，并积累了一定的经验。因此，基于国内目前已有的功能安全评估、功能安全设计、功能安全测试和功能安全管理实践形成本文件，以更好地指导功能安全相关系统的设计、分析、评估和运行维护。
GB/T41295拟制定4个部分
第1部分：危害辨识和需求分析。目的在于规定功能安全系统设计初期的危害辨识内容和需求如何产生的方法。 第2部分：设计和实现。目的在于规定功能安全系统的软硬件设计和实现方法和实施指南。
-
-
一第3部分：测试验证。目的在于规定功能安全系统在生命周期过程各个阶段的测试导则和测
试方法解读。 一第4部分：管理和维护。目的在于规定功能安全系统管理和维护过程的导则。
II GB/T41295.1—2022
功能安全应用指南
第1部分：危害辨识和需求分析
1范围
本文件提供了功能安全系统应用指南中危害辨识和需求分析指导。 本文件适用于功能安全系统开发的概念阶段
规范性引用文件
2
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文
件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T20438.1一2017电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求 GB/T20438.2一2017电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/
可编程电子安全相关系统的要求
GB/T20438.3一2017电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求 GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩
略语
3术语和定义
GB/T20438.4一2017界定的以及下列术语和定义适用于本文件。
3.1
危害辨识hazardidentification 受控设备、工艺过程、运行环境及功能安全系统本身中潜在危险的发生风险，通过理论推导和经验
总结等方法分辨并标识风险的可接受程度 3.2
需求分析 Frequirements analysis 根据危害辨识（3.1)的结论，制定功能安全系统的安全需求；根据功能安全系统的架构将安全需求
分解到组件的过程。 3.3
系统相关人员 system related personnel 在功能安全系统的整个生命周期中，可能与系统发生直接关系的人员。 注：包括系统的定义、需求、设计、实施、测试、操作、维护、商务等人员
3.4
运行场景operationscenario 功能安全系统运行时，相关的自然环境、工艺过程、受控设备以及功能安全系统所组成的集合。这
个场景是具象化的，能够通过实体仿真观察研究的。
1 GB/T41295.1—2022
3.5
安全需求safetyrequirements 功能安全系统为了降低风险到可容忍级别，而需要满足的功能安全完整性等级要求注：安全需求在GB/T20438中被称之为安全要求，两者具有相同的含义
3.6
功能安全系统 functional safety system 执行安全相关功能的系统，具有功能安全相关的特性，满足特定的安全完整性等级（SIL）。 注：这里的系统是一个广义的概念，包含不同的层次，如安全部件、安全设备或安全控制系统等。在实际的工业过
程中，功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统
4缩略语
下列缩略语适用于本文件。 DC：诊断覆盖率（DiagnosticCoverage) EMC：电磁兼容性（ElectromagneticCompatibility) MooN:N取M通道架构(MoutofNchannelarchitecture) SFF：安全失效分数（SafeFailureFraction） SIL：安全完整性等级（SafetyIntegrityLevel）
5总则
5.1危害辨识和需求分析所处生命周期的阶段
本文件所提供的危害辨识和需求分析是指在功能安全系统研发设计前，基于系统的预期用途和工作环境对系统失效可能造成的危害情况进行充分的辨识，从而获得系统预期要实现的安全功能需求
功能安全系统应用的整体生命周期宜按照GB/T20438.1一2017，功能安全系统生命周期宜按照 GB/T20438.2—2017功能安全系统软件生命周期宜按照GB/T20438.3—2017。 5.2 2危害辨识和需求分析的基本考虑
在危害辨识和需求分析时，一般遵循如下的基本通则。
重点关注会导致人员生命和健康受到伤害的危害， - 危害辨识需要综合考虑各要素的相互影响，需要系统相关人员共同提出辨识意见，系统相关人
员包括： ·工艺设计人员； ·现场操作人员； ·系统开发人员； ·维修维护人员； ·商务人员等。
一一安全需求制定时，需要兼顾系统的基本控制功能一安全需求不会产生新的危害，并且需要进行选代分析。
5.3 危害辨识和需求分析的过程考虑
在危害辨识和需求分析时，需要遵循如下的实施过程：
2 GB/T41295.1—2022
选择功能安全系统需要运行场景以及需要控制的范围：收集同类场景已经发生过的危险事件数据，包括已确定的危险事件和导致该危险事件的事件序列；征询系统相关人员对危险事件的意见和对系统的需求；
一记录危害辨识结果，并对不可接受危害，逐一制定安全措施；一分析安全措施的有效性，总结编制安全需求；
征询系统相关人员对安全需求合理性的意见；一安全需求经过审批后作为功能安全系统的开发的依据；根据系统的架构设计，将安全需求的实现方法分配到每一个子系统或者组件中。
-
-
5.4危害辨识和需求分析的变更考虑
在危害辨识和需求分析时，需要考虑如下的变更：
变更一般由系统开发人员发起；需要进行变更影响分析，重点是变更前后运行场景的差异对比；变更具有足够的合理性，合理的变更具有如下几个特征：
一
·所有系统相关人员均不强烈反对此项需求变更， ·此项需求变更能够获得审批授权签字人的认可，
变更有具体的原因，这些原因包括：危害辨识的错误或疏漏，市场竞争原因，现有技术条件无法满足此项需求，需求完全无法被验证等；
变更需要通知所有引用危害辨识记录和安全需求的人员。
5.5 5危害辨识和需求分析的文档化考虑
在危害辨识和需求分析时，需要文档化的内容包括：
运行场景的内容和特征；危害的特征；
- 一
—安全需求；一危害与需求的关联关系；一变更影响分析； ——变更的审批记录；
发布的审批记录。
6危害辨识
6.1危害辨识的一般过程
危害辨识从分析自然环境和工艺过程开始，到获得风险记录为止，一般过程如图1所示。
3 GB/T41295.1—2022
自然环境
工艺过程
受控设备 1 风险记录
法律法规
功能安全系统
图1危害辨识的一般过程
6.2自然环境在危害辨识过程中的影响分析
危害辨识中的自然环境包括：气候、天气、地理、生物环境、人类社会等，对于自然环境的影响，需要
从如下方面进行分析：
重大自然灾害影响，如地震、海啸、洪水、飓风、泥石流、雪崩；轻度自然灾害的影响，如冰苞、暴雨、大风、雷电、太阳活动异常、沙尘暴、雾霾；气候的影响，如温度、风沙、盐雾、潮湿、日照；生物活动影响，如动物闯入、飞鸟、昆虫、植物发芽、发霉：与工艺无关的人类活动影响，如违规闯人、施工、人为破坏电力或通信线路；公共服务影响，如停水、停电、停气、交通中断、通信中断。
-
6.3法律法规在危害辨识过程中的影响分析
法律法规的影响分析，重点不在于技术层面，而在于组织管理层面，需要从如下方面进行分析：
明文规定的关于工艺、设备、系统的要求；条文中对于人员生命财产的安全保护规定； -对环境保护的规定；对伤害程度的定级。
6.4工艺过程在危害辨识过程中的影响分析
工艺过程是运行场景存在风险的直接原因，这是生产生活不可避免的环节，为了辨识危害，需要从如下方面进行分析：
原料和产品在运输和存储过程中有毒物质泄漏，易燃易爆品被引燃引爆，意外的接触导致的剧烈化学反应，例如，金属钠与水，长期大量堆放引发的自燃；高温工艺的温度控制、超温保护、异常热传导；高压工艺的压力控制、超压保护、压力泄漏；高速工艺的速度控制、超速保护、速度骤降；爆炸性环境中的静电火花和电源通断时的电火花；存在明火的环境中，意外泄漏粉尘或者可燃气体；设备运行环境的人员所承受的加速度、温度、噪声、氧气浓度及气压等。
4