ICS 25.040 CCS N 10
GB
中华人民共和国国家标准
GB/T41295.2—2022
功能安全应用指南第2部分：设计和实现
Application guide of functional safetyPart 2 : Design and realisation
2022-03-09发布
2022-10-01实施
国家市场监督管理总局
国家标准化管理委员会 发布 GB/T41295.2—2022
目 次
前言引言 1 范围 2
III
IV
规范性引用文件 3 术语和定义
缩略语总则
7
5
6 安全生命周期
系统设计系统架构设计
7 9
9 系统详细设计和实现 10 软件设计和实现 11 系统集成 12 系统运行和维护规程 13 系统的确认 14 生命周期各个阶段的验证 15 制造 16 功能安全系统评估评测参考文献
10
12
13
1A
14
14
1.5
图 1 系统实现过程的安全生命周期图 2 系统设计要求规范与系统安全要求规范的关系图3 系统设计要求规范的分解图4 过程工业SIL目标分配示例图5安全确认计划内容 GB/T41295.2—2022
前言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是GB/T41295《功能安全应用指南》的第2部分。GB/T41295已经发布了以下部分：
第1部分：危害辨识和需求分析；一第2部分：设计和实现；一第3部分：测试验证；
一第4部分：管理和维护。
一
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任，本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会（SAC/TC124)归口。 本文件起草单位：上海辰竹仪表有限公司、机械工业仪器仪表综合技术经济研究所、国能智深控制
技术有限公司、浙江中控技术股份有限公司、北京康吉森技术有限公司、上海辰竹安全科技有限公司
本文件主要起草人：熊文泽、周婷、孟邹清、田雨聪、周有铮、裘坤、陈小全、黄之炯、左新、庞欣然、 来晓、王璐、张亚彬、刘晓亮、徐神玲、刘瑶、帅冰。
II GB/T 41295.2—2022
引言
自GB/T20438（所有部分）发布以来，电气/电子/可编程电子系统已经越来越多的应用于国内各个领域的安全控制和安全防护，包括石油、化工、电力、轨道交通、汽车、电梯/扶梯等。近年来随着智能制造的兴起，智能化设备（主要由电气/电子/可编程电子为技术基础）的安全问题逐渐成为一个新的研究方向和焦点，进一步提升了对功能安全技术的需求。
GB/T20438（所有部分）给出了实现功能安全的基本框架和结构，作为等同转化的标准，与国内企业的管理体系和设计思路未能完全切合，加之很多国内工程技术人员都是初次接触功能安全技术，对于功能安全概念一时难以理解，这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施，但技术人员难以清楚的理解和认识。GB/T20438（所有部分）发布10多年来，国内一些领先的科研院所和企业已经基于标准要求开展了很多工作，并积累了一定的经验。因此，基于国内目前已有的功能安全评估、功能安全设计、功能安全测试和功能安全管理实践形成本文件，以更好地指导功能安全相关系统的设计、分析、评估和运行维护。
GB/T41295拟制定4个部分：
第1部分：危害辨识和需求分析。目的在于给出功能安全系统设计初期的危害辨识内容和需求如何产生的方法；第2部分：设计和实现。目的在于给出功能安全系统的软硬件设计和实现方法和实施指南
-
一第3部分：测试验证。目的在于给出功能安全系统在生命周期过程各个阶段的测试导则和测
试方法解读；一第4部分：管理和维护。目的在于给出功能安全系统管理和维护过程的导则。
IV GB/T41295.2—2022
功能安全应用指南第2部分：设计和实现
1范围
本文件给出了设计和实现功能安全系统的指导措施，面向的对象包括安全传感器、安全逻辑控制器、安全通信总线和安全执行器等。
本文件适用于功能安全系统研发团队（如制造商），就开发出符合相应安全完整性能力的安全产品给出规范性指导；系统集成商、评估机构和用户用于对适当功能安全系统的选型和评价参照执行。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T19001一2016质量管理体系要求 GB/T20438.1一2017电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求 GB/T20438.2一2017电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/
可编程电子安全相关系统的要求
GB/T20438.3一2017电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求 GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩
略语
GB/T20438.6一2017电气/电子/可编程电子安全相关系统的功能安全第6部分：GB/T20438.2 和GB/T20438.3的应用指南
GB/T34040一2017工业通信网络功能安全现场总线行规通用规则和行规定义 GB/T41295.3功能安全应用指南第3部分：测试验证 IEC61508-3-1电气/电子/可编程电子安全相关系统的功能安全第3-1部分：软件要求重复
使用预先存在的软件元素来实现全部或部分安全功能（Functionalsafetyofelectrical/electronic/pro grammable electronic safety-related systems-Part 3-1 : Software requirements—Reuse of pre-existing software elements to implement all or part of a safety function)
3术语和定义
GB/T20438.4一2017界定的以及下列术语和定义适用于本文件。
3.1
功能安全系统functionalsafetysystem 执行安全相关功能的系统，具有功能安全相关的特性，满足特定的安全完整性等级（SIL）。 注：这里的系统是一个广义的概念，包括不同的层次，如安全部件、安全设备或安全控制系统等。在实际的工业过
程中，功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统，［来源：GB/T41295.1—2022,3.6]
1 GB/T41295.2—2022
3.2
功能安全系统研发团队teamforfunctionalsafetysystemresearchanddevelopment 执行功能安全系统设计研发的责任主体。 注：包括功能安全系统硬件开发人员、软件开发人员、验证测试人员、功能安全管理人员等
3.3
功能安全系统制造团队functional safetysystemmanufactureteam 执行功能安全系统生产制造的责任主体，它可能包括功能安全系统制造过程的装配人员、测试人
员、管理人员、加工人员等。
注：为保证系统的安全功能正确制造，功能安全系统制造团队需要得到来自功能安全系统研发团队的有效协助。
3.4
故障插入测试 faultinjectiontest 人为地在功能安全系统中产生一种故障模式，验证系统在故障状态下的响应情况是否符合安全要
求的一种测试方法。
4缩略语
下列缩略语适用于本文件。 ASIC：专用集成电路（ApplicationSpecificIntegratedCircuit） CMMI：能力成熟度模型集成（CapabilityMaturityModelIntegration） CPLD：复杂可编程逻辑器件（ComplexProgrammableLogicDevice) DC：诊断覆盖率（DiagnosticCoverage） FMEA：失效模式与影响分析（Failuremodeandeffectanalysis） FMEDA：失效模式、影响与诊断分析（Failuremode，effectanddiagnosticanalysis） FPGA：现场可编程门阵列（FieldProgrammableGateArray） FTA：故障树分析（Faulttreeanalysis) HFT：硬件故障裕度（HardwareFaultTolerance) MooN:N取M通道架构(MoutofNchannelarchitecture) PFDavg：要求时危险失效平均概率（AverageProbabilityofdangerousFailureonDemand） PFH：危险失效平均频率（Averagefreguencyofdangerousfailure） SFF：安全失效分数（SafeFailureFraction） SIL：安全完整性等级（SafetyIntegrityLevel）
5总则
5.1功能安全系统的研发设计过程需要按照GB/T20438.2一2017和GB/T20438.3一2017等相关功能安全基础标准的要求开展功能安全系统研发和验证工作。为保证预期的SIL目标和要求得以切实实现，本文件给出了相关的应用指南。
注：某些领域有其特定领域的功能安全标准，这些领域的功能安全标准继承了GB/T20438.2—2017和GB/T20438.3
2017的整体架构和核心理念，因此在符合这些领域功能安全要求时，也可参考本文件的相关内容。
5.2功能安全系统还宜满足其产品标准中关于基本安全（如电气安全）、环境适应性以及可靠性/稳定性的特定要求，这些要求是实现相应安全完整性的前提， 5.3功能安全系统的生产制造过程需要考虑第15章或相关领域功能安全标准中的规定。
2 GB/T41295.22022
6安全生命周期
6.1一般原则 6.1.1功能安全系统研发团队需要在安全研发的初期建立功能安全管理体系和定义安全生命周期阶段。 6.1.2功能安全管理体系和安全生命周期的建立需要结合功能安全标准要求以及研发团队的已有经验。 6.2应用考虑 6.2.1功能安全管理体系需要考虑GB/T20438.1一2017中第6章的要求，功能安全研发部门可以参考公司已有的质量/安全管理体系来建立功能安全管理体系。
注：GB/T19001一2016或CMMI等体系的构建和实施是实现功能安全管理的有力保障。 6.2.2功能安全管理体系需要包含系统或软件变更的需求，需要考虑GB/T20438.2一2017中7.8和 GB/T20438.3一2017中7.8的要求。当变更发生后，宜按照制定的变更规程执行影响分析，留存变更记录。 6.2.3典型的安全生命周期过程需要考虑GB/T20438.2一2017和GB/T20438.3一2017中第7章的要求，功能安全系统研发团队按照该章的要求建立满足自已研发特性的安全生命周期 6.2.4功能安全系统实现过程的安全生命周期需求包括：系统设计要求规范（包括软件安全要求规范）、系统的架构设计、系统的详细设计和实现、软件设计和实现、系统集成（包括子系统软硬件集成和子系统间集成）、系统运行和维护规程（包括用户手册、安全手册等）、系统的安全确认（包括软件确认）、系统的制造。功能安全系统的安全生命周期见图1。
16 6 14 7 系统设计要求规范
+ 系统架构设计
8
V 系统详细设计和
V 软件设计和实现 V
7.2. 8
生命周期
实现 V
安全确认计划
功能
评
估 安 各
系统集成
评 全 个
11
阶段的 12 验证
√ 系统运行和维护规程 7 系统的安全确认 V 系统的制造
管理
ay
13
15
图1 系统实现过程的安全生命周期
6.2.5对系统的修改和验证的要求贯穿于以上生命周期的所有阶段。
3 GB/T41295.2—2022
7系统设计
7.1一般原则
7.1.1功能安全系统设计要求规范的基本要求需要考虑GB/T20438.2一2017中7.2和B.1的要求。 7.1.2系统设计要求规范中需要包括系统的所有设计要求，包括安全相关要求和非安全相关要求。宜将安全相关要求和非安全相关要求明确区分开来，对于非安全相关要求可以不必按照生命周期后续活动执行。 7.1.3对与某些与应用联系非常紧密的产品（例如，轨道交通产品，汽车电子产品），安全要求和非安全要求的界定需要根据具体的应用加以分析，并将分析过程文档化。 7.1.4宜对所有的安全要求保持追溯，典型的追溯方法包括：采用专业的要求管理工具，采用特定的编号系统等。 7.1.5在系统设计要求规范和软件安全要求规范编制完成后，需要按照GB/T20438.2一2017中图2 和GB/T20438.3一2017中图6的V模型，在每一阶段开展对其的验证，验证形式包括内部测试、外部测试、会议审查、专家评定或建模分析等。验证完成后形成正式的验证记录。 7.1.6需要按照GB/T20438.2一2017中7.3编制系统安全确认计划。 7.2 应用考虑 7.2.1 系统设计要求与系统安全要求的关系，如图2所示。
来自用户、国家/行业标准等的
整体安全要求及分配
要求，如可用性要求
GB/T20438.1—2017中7.5和7.6
系统安全要求规范 GB/T 20438.1—2017中7.10
非安全相关要求规范，如非安全
相关通信接口要求
系统设计要求规范
软件安全要求规范 GB/T20438.3—2017中7.2
GB/T20438.2—2017中7.2和本章
图2系统设计要求规范与系统安全要求规范的关系
7.2.2一般情况下，系统设计要求规范可以包括功能级的要求和单独的硬件要求，对于复杂的系统也可以单独编制硬件安全要求规范。 7.2.3系统设计要求规范宜进行如图3的分解。
4