ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T20438.5—2017/IEC61508-5:2010
代替GB/T20438.5—2006
电气/电子/可编程电子安全相关系统的功能安全 第5部分：确定安全完整性
等级的方法示例
Functional safety of electrical/electronic/programmable electronic safety-related
systems-Part 5 : Examples of methods for the determination of
safety integrity levels
（IEC61508-5:2010,IDT)
2018-07-01实施
2017-12-29发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T20438.5—2017/IEC61508-5:2010
目 次
前言引言范围
1
2 规范性引用文件 3定义和缩略语附录A（资料性附录） 风险和安全完整性一通用概念附录B（资料性附录） 确定安全完整性等级要求的方法选择附录C（资料性附录） ALARP和可容忍风险的概念附录D（资料性附录） 确定安全完整性等级一一种定量的方法..· 附录E（资料性附录） 安全完整性等级的确定一风险图方法附录F（资料性附录） 采用保护层分析的半定量法（LOPA）附录G（资料性附录） 确定安全完整性等级 一种定性的方法一危险事件严重程度矩阵，参考文献
14
16
19
21
27
31 33
..
图1 GB/T20438的总体框架图A.1 风险降低：通用概念（低要求运行模式）图A.2 风险和安全完整性概念图A.3 高要求应用的风险图图A.4 连续模式运行的风险图：图A.5 EUC控制系统元件与E/E/PE安全相关系统元件的共因失效（CCF)示例图A.6 两个E/E/PE安全相关系统间的共因失效图A.7 E/E/PE安全相关系统和其他风险降低措施的安全要求分配图 C.1 可容忍风险和ALARP 图 D.1 安全完整性分配一安全相关保护系统的示例图E.1 风险图：通用方案. 图E.2 风险图一示例（仅说明一般原则）图 G.1 危险事件严重程度矩阵一示例（只说明一般原则）
10 11 12 16 20 23 24 32
表 C.1 事故风险分类的示例表C.2 风险级别的解释表E.1 与风险图相关的数据示例（图E.2）表E.2 通用风险图的校准示例表F.1 LOPA报告
17 18 24 25 28 GB/T20438.5—2017/IEC61508-5:2010
前言
GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分：
第1部分：一般要求；第2部分：电气/电子/可编程电子安全相关系统的要求；
一第3部分：软件要求；一第4部分：定义和缩略语：一第5部分：确定安全完整性等级的方法示例；
第6部分：GB/T20438.2和GB/T20438.3的应用指南；第7部分：技术和措施概述
一
本部分为GB/T20438的第5部分本部分按照GB/T1.1一2009给出的规则起草。 本部分代替GB/T20438.5一2006《电气/电子/可编程电子安全相关系统的功能安全第5部分：
确定安全完整性等级的方法示例》，与GB/T20438.5一2006相比，主要技术变化如下：
增加了确定安全完整性等级要求的方法选择；（见附录B)；增加了风险分析的方法：采用保护层分析的半定量法（LOPA)（见附录F）。
本部分使用翻译法等同采用IEC61508-5：2010《电气/电子/可编程电子安全相关系统的功能安全
第5部分：确定安全完整性等级的方法示例》。
本部分由中国机械工业联合会提出。 本部分由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本部分起草单位：机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、杭州
和利时自动化有限公司、北京市劳动保护科学研究所、风控（北京）工程技术有限公司、北京联合普肯工程技术股份有限公司、上海中沪电子有限公司、西门子（中国)有限公司。
本部分主要起草人：史学玲、熊文泽、靳江红、陈勇、杨柳、肖松青、周有铮、梅豪、黄劲松、鲁毅、冯晓升、 罗安、顾峰、李佳、田雨聪、左信、姜雪莲、白焰。
本部分所代替标准的历次版本发布情况为：
GB/T20438.5—2006。
1 GB/T20438.5—2017/IEC61508-5:2010
引言
由电气和电子器件构成的系统，多年来在许多应用领域中执行其安全功能。以计算机为基础的系统（一般指可编程电子系统)在其应用领域中用于执行非安全功能，并且也越来越多地用于执行安全功能。如果要安全并有效地使用计算机技术，有关决策者在安全方面有充足的指导并据此做出决定是十分必要的。
GB/T20438针对由电气和/或电子和/或可编程电子（E/E/PE)组件构成的、用来执行安全功能的
系统安全生命周期的所有活动，提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T20438系列标准的产品和应用领域国家标准的制定。
注1：在参考文献中给出了基于GB/T20438系列标准的产品和应用领域标准的例子（见参考文献[1]，[2]，[3]。 在许多情况下，可用多种基于不同技术（如机械的、液压的、气动的、电气的、电子的、可缩程电子的
等)的系统来保证安全。因而不得不考虑各类安全策略，不仅要考虑单个系统中的所有组件的问题（如传感器、控制器、执行器等），还要考虑不同安全相关系统组合后的问题。因此当GB/T20438在关注电气/电子/可编程电子（E/E/PE)安全相关系统的同时，也提供了一个框架，在这个框架内，基于其他技术的安全相关系统也可被考虑进去。
在各种应用领域里，存在着许多潜在的危险和风险，包含的复杂性也各不相同，从而需应用不同的 E/E/PE安全相关系统。对每个特定的应用，将根据特定应用的许多因素来确定所需的安全措施。 GB/T20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438 一考虑了当使用E/E/PE系统执行安全功能时，所涉及的整体安全生命周期、E/E/PE系统安全
生命周期以及软件安全生命周期的各阶段（如初始概念、整体设计、实现、运行和维护到退役）；一针对飞速发展的技术，建立一个足够健全且广泛满足未来发展需求的框架；
使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定；在GB/T20438的框架下，产品和应用领域的国家标准的制定在应用领域和交叉应用领域宜具有高度一致性（如基本原理，术语等）；这将既具有安全性又具有经济效益；为实现E/E/PE安全相关系统所需的功能安全，提供了编制安全要求规范的方法；
-
一采用了一种可确定安全完整性要求的基于风险的方法；一引入安全完整性等级，用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级；注2：GB/T20438没有规定每个安全功能的安全完整性等级的要求，也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例建立了E/E/PE安全相关系统执行安全功能的目标失效量，这些量都同安全完整性等级相联系；建立了单一E/E/PE安全相关系统执行安全功能时，目标失效量的一个下限值。这些E/E PE安全相关系统运行在：
低要求运行模式下，下限设定成要求时危险失效平均概率为10-”；高要求或连续运行模式下，下限设定成危险失效平均频率为10-"/h。
-
注3：单一E/E/PE安全相关系统不一定是单通道架构注4：对于非复杂系统，通过安全相关系统的设计实现史优目标安全完整性是可能的。但对于相对复杂的系统（例
如可编程电子安全相关系统），这些限值代表了目前能够达到的水平。
I1 GB/T 20438.5—2017/IEC 61508-5:2010
基于工业实践中获取的经验和判断，设定了避免和控制系统性故障的要求；即使发生系统性故障的可能性一般不能量化，但GB/T20438允许为一个特定的安全功能做出声明，即如果标准中的所有要求都满足，认为与安全功能相关的目标失效量已达到；
一引入了系统性能力，该能力表明一个组件为满足规定的安全完整性等级要求时，系统性安全完
整性的置信度；一采用多种原理、技术和措施以实现E/E/PE安全相关系统的功能安全，但没有明确地使用失
效-安全的概念。然而，如果能够满足标准中相关条款的要求，则“失效-安全”的概念和“本质安全”原则可能被应用，并且采用这些概念是可接受的。
三 GB/T20438.5—2017/IEC61508-5:2010
电气/电子/可编程电子安全相关系统的功能安全 第5部分：确定安全完整性
等级的方法示例
1范围
1.1GB/T20438的本部分提供以下信息：
风险的基础概念和风险与安全完整性之间的关系（参见附录A）；提供确定E/E/PE安全相关系统安全完整性等级的一系列方法（参见附录C、附录D、附录E、 附录F和附录G)。
选择的方法应取决于应用领域和所考虑的特定环境。附录C、附录D、附录E、附录F和附录G列
出了定性和定量的方法并为说明基础的原理进行了简化。通过这些附录，说明了一系列方法的通用原理，但不提供明确的计算。如使用附录中提到的方法需查询有关原始材料。
注：如想获取更多关于附录B和附录E中说明的方法的有关信息，见参考文献[5]和[8]。对于附加方法的描述见
参考文献[6]。
1.2 2GB/T20438.1、GB/T20438.2、GB/T20438.3和GB/T20438.4是基础的安全标准，虽然它不适用于低复杂的E/E/PE安全相关系统（见GB/T20438.4一2017的3.4.3），但作为基础安全标准，各技术委员会可以在IEC指南104和ISO/IEC指南51的指导下制定相关标准时使用。GB/T20438.1、 GB/T20438.2、GB/T20438.3和GB/T20438.4也可作为独立标准来使用。GB/T20438的横向安全功能不适用于IEC60601涵盖的医疗设备。 1.3各技术委员会的责任之一，是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中，本基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包含时适用。 1.4图1表示了GB/T20438的整体框架，同时明确了本部分在实现E/E/PE安全相关系统功能安全过程中的作用。
1 GB/T20438.5—2017/IEC61508-5:2010
技术要求
第1部分
第5部分
编制整体安全要求（概念、范围、定
确定安全完整性等级的方
义、危险和风险分析）
法示例
7.1 ~ 7.5
其他要求
第1部分
将安全要求分配给E/E/PE安全相关
系统 7.6
第4部分定义和缩略语
第1部分
E/E/PE安全相关系统的系统安全要
求规范 7. 10
第1部分文档第5章和附录A
第6部分第2部分和第3部分的应用指南
第3部分安全相关软件的实现阶段
第2部分 E/E/PE安全相关系统的实现阶
第1部分功能安全的管理
段
第6章
第7部分技术和措施概述
第1部分功能安全评估
第1部分
E/E/PE安全相关系统的安装、调试
和安全确认 7. 13 和 7. 14
第8章
第1部分
E/E/PE安全相关系统的操作、维护、修理、
修改和改型、退役或处置
7. 15 ~ 7. 17
图1GB/T20438的整体框架