ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T20438.6—2017/IEC61508-6:2010
代替GB/T20438.6—2006
电气/电子/可编程电子安全相关系统的功能安全　第 6 部分:GB/T 20438.2 和
GB/T 20438.3 的应用指南
Functional safety of electrical/electronic/programmable electronic safety-related systems—Part 6:Guidelines on the application of GB/T 20438.2 and GB/T 20438.3
(IEC 61508-6:2010,Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 6:Guidelines on the application of
IEC61508-2andIEC61508-3,IDT)
2018-07-01实施
2017-12-29发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 中华人民共和 国
国家标准
电气/电子/可编程电子安全相关系统的功能安全 第6部分：GB/T20438.2和
GB/T20438.3的应用指南 GB/T20438.6—2017/IEC61508-6:2010
*
中国标准出版社出版发行北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）
网址：www.spc.org.cn 服务热线：400-168-0010 2017年11月第一版
*
书号：155066·1-57856
版权专有 侵权必究 GB/T20438.6—2017/IEC61508-6.2010
目 次
前言引言
1
V
范围 2规范性引用文件 3定义和缩略语附录A（资料性附录） GB/T20438.2和GB/T20438.3的应用附录B（资料性附录）硬件失效概率评估技术示例附录C（资料性附录）诊断覆盖率和安全失效分数的计算附录D（资料性附录） E/E/PE系统中与硬件相关的共因失效影响的量化方法附录E（资料性附录） GB/T20438.3中软件安全完整性表的应用示例参考文献
11 67
70 83
97
图1 GB/T20438的整体框架图A.1 GB/T20438.2的应用图A.2 GB/T20438.2的应用（图A.1续）图A.3 GB/T20438.3的应用图 B.1 完整安全回路的可靠性框图图B.2 两个传感器通道配置示例图B.3 子系统结构图 B.4 1001物理框图图 B.5 1001可靠性框图图 B.6 1002物理框图图 B.7 1002可靠性框图图 B.8 2002物理框图图B.9 2002可靠性框图图B.10 1002D物理块图图B.11 1002D可靠性框图图 B.12 2003物理框图图B.13 2003可靠性框图· 图B.14 低要求运行模式架构示例图B.15 高要求或连续运行模式的架构示例图B.16 带有2003结构传感器的简单完整的回路的可靠性框图图 B.17 与可靠性框图B.1等效的简单故障树模型图B.18 等效故障树/可靠性框图图B.19 单一周期测试部件瞬时不可用率U(t）图B.20 使用故障树时的PFDw计算原理
10
12 15 18 19
19 19 20 20 20 21 21 22 22 31 43 45 46 46 48 48 GB/T20438.6—2017/IEC61508-6:2010
图B.21 交错测试的影响图B.22 复杂测试模式实例. 图B.23 对一个双部件系统的马尔可夫图形建模图B.24 多相马尔可夫建模原理.· 图B.25 利用多相马尔可夫方法得出的锯齿形曲线图B.26 马尔可夫近似模型图B.27 由于要求本身失效的影响图B.28 测试时间影响建模图B.29 包含DD和DU失效的多相马尔可夫模型图B.30 改变逻辑（2003至1002)而不是对首次失效进行维修图B.31 带吸收态的“可靠度”马尔可夫图· 图B.32 无吸收态的“可用度”马尔可夫图· 图B.33 单个周期性测试部件的佩特里网模型，图B.34 佩特里网建模共因失效和维修资源图B.35 使用可靠性框图构建佩特里网和辅助佩特里（Petri)网用于PFD和PFH计算图B.36 出现失效和修复的单部件的简易的佩特里网模型图B.37 通过形式化语言进行功能和功能障碍建模示例图B.38 不确定性传递原理图 D.1 各个通道失效与共因失效的关系图D.2 冲击模型的故障树实现
49
50
51
52 53 53 54 54 55 56 56 58
..
....59 .61 ..62
...
.63 64 65 72 81
表 B.1 本附录中使用的术语及其范围（应用于10o1、1002、2o02、1002D、1003、20o3）表 B.2 检验测试时间间隔为6个月，平均恢复时间为8h时，要求时的平均失效概率表B.3 检验测试时间间隔为1年，平均恢复时间为8h时，要求时的平均失效概率表B.4 检验测试时间间隔为2年，平均恢复时间为8h时，要求时的平均失效概率表B.5 检验测试时间间隔为10年，平均恢复时间为8h时，要求时的平均失效概率表B.6 低要求运行模式示例中传感器子系统在要求时的平均失效概率（检验测试时间间隔
16 23 25 27 29
为1年，MTTR为8h）
31
表B.7 低要求运行模式示例中逻辑子系统在要求时的平均失效概率（检验测试时间间隔
为1年，MTTR为8h）
32
表B.8 低要求运行模式示例中最终元件子系统在要求时的平均失效概率（检验测试时间间隔
为1年，MTTR为8h）
32 33
表B.9 非完善检验测试的示例表B.10 检验测试时间间隔为1个月、平均恢复时间为8h的平均危险失效频率（高要求或连续
.
运行模式下）
35
表B.11 检测测试时间间隔为3个月，平均恢复时间为8h的平均危险失效概率（高要求或连续
运行模式下）
37
表B.12检验测试时间间隔为6个月、平均恢复时间为8h的平均危险失效概率（高要求或连续
运行模式下）
..39
表B.13 检验测试时间间隔为1年以及平均恢复时间为8h的平均危险失效概率（高要求或连续
....... 41
运行模式下） .
表B.14 高要求或连续运行模式架构示例中传感器子系统平均危险失效频率（检验测试的时间
间隔为6个月，MTTR为8h）
43
1 GB/T20438.6—2017/IEC61508-6:2010
表B.15高要求或连续运行模式架构示例中逻辑子系统平均危险失效频率（检验测试的时间
间隔为6个月，MTTR为8h）
44
表B.16高要求或连续运行模式架构示例中最终元件子系统平均危险失效频率（检验测试的
时间间隔为6个月，MTTR为8h）..
44 68 69 75 77 78 78 79 79 84 84 86 86 87 87 88 88 89 89 90 91 92 92 93 94 94 95 95 96
表C.1 诊断覆盖率和安全失效分数的计算范例表C.2 不同组件的诊断覆盖率和有效性表 D.1 可编程电子或传感器或最终元件的评分表 D.2 Z值：可编程电子.. 表D.3 Z值：传感器或最终元件表D.4 βim和βDin的计算表 D.5 穴余级别高于1002的系统的β的计算，表D.6 可编程电子的示例值表E.1 软件安全要求规范表E.2 软件设计与开发：软件架构设计表E.3 软件设计与开发：支持工具和编程语言表E.4 软件设计与开发：详细设计表E.5 软件设计和开发：软件模块测试和集成表E.6 可编程电子集成（硬件和软件）表E.7 系统安全确认的软件方面表E.8 软件修改表E.9 软件验证表E.10 功能安全评估表E.11 软件安全要求规范表E.12 软件设计与开发：软件架构设计表E.13 软件设计与开发：支持工具及编程语言表E.14 软件设计与开发：详细设计表E.15 软件设计与开发：软件模块测试和集成表E.16 可编程电子集成（硬件和软件）：表E.17 软件方面的系统安全确认（软件安全确认）表E.18 修改表E.19 软件验证表E.20 功能安全评估
-
II GB/T20438.6—2017/IEC61508-6:2010
前言
GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》分为七个部分：一第1部分：一般要求；一第2部分：电气/电子/可编程电子安全相关系统的要求；一第3部分：软件要求；一第4部分：定义和缩略语：一第5部分：确定安全完整性等级的方法示例；一第6部分：GB/T20438.2和GB/T20438.3的应用指南；
第7部分：技术和措施概述本部分为GB/T20438的第6部分本部分按照GB/T1.1一2009给出的规则起草。 本部分代替GB/T20438.6一2006《电气/电子/可编程电子安全相关系统的功能安全第6部分：
GB/T20438.2和GB/T20438.3的应用指南》，与GB/T20438.6一2006相比，主要技术变化如下：
增加了评估硬件失效概率的方法，如故障树、马尔科夫模型、佩特里网等（见附录B)；增加了不同结构共因失效因子的方法（见附录D.7）。
本部分使用翻译法等同采用IEC61508-6：2010《电气/电子/可编程电子安全相关系统的功能安全第6部分：GB/T20438.2和GB/T20438.3的应用指南》。
本部分做了下列编辑性修改：
为与现有标准系列一致，将标准名称改为《电气/电子/可编程电子安全相关系统的功能安全第6部分：GB/T20438.2和GB/T20438.3的应用指南》
本部分由中国机械工业联合会提出。 本部分由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本部分起草单位：机械工业仪器仪表综合技术经济研究所、北京国电智深控制技术有限公司、北京
和利时系统工程有限公司、上海黑马安全自动化系统有限公司、皮尔磁工业自动化贸易（上海）有限公司、横河电机（中国)有限公司、上海工业自动化仪表研究院、上海中沪电子有限公司、西门子（中国)有限公司。
本部分主要起草人：史学玲、熊文泽、潘钢、杨柳、黄之炯、李佳嘉、周有、姜雪莲、钱大涛、冯晓升、 罗安、李佳、刘晓东、方来华、田雨聪、顾、鲁毅、梅豪、许鹏、申斐。
本部分所代替标准的历次版本发布情况为：
GB/T20438.6—2006。
V GB/T20438.6—2017/IEC61508-6:2010
引言
由电气和电子器件构成的系统，多年来在许多应用领域中执行其安全功能。以计算机为基础的系
统（一般指可编程电子系统）在其应用领域中用于执行非安全功能，并且也越来越多地用于执行安全功能。如果要安全并有效地使用计算机技术，有关决策者在安全方面有充足的指导并据此做出决定是十分必要的
GB/T20438针对由电气和/或电子和/或可编程电子（E/E/PE)组件构成的、用来执行安全功能的系统安全生命周期的所有活动，提出了一个通用的方法。采用统一的方法的目的是为了针对所有以电为基础的安全相关系统提出一种一致的、合理的技术方针。主要目标是促进基于GB/T20438系列标准的产品和应用领域国家标准的制定
注1：在参考文献中给出了基于GB/T20438系列标准的产品和应用领域标准的例子（见参考文献[1]，[2]，[3])。 在许多情况下，可用多种基于不同技术（如机械的、液压的、气动的、电气的、电子的、可编程电子的
等)的系统来保证安全。因而不得不考虑各类安全策略，不仅要考虑单个系统中的所有组件的问题（如传感器、控制器、执行器等），还要考虑不同安全相关系统组合后的问题。因此当GB/T20438在关注电气/电子/可编程电子（E/E/PE)安全相关系统的同时，也提供了一个框架，在这个框架内，基于其他技术的安全相关系统也可被考进去，
在各种应用领域里，存在着许多潜在的危险和风险，包含的复杂性也各不相同，从而需应用不同的
E/E/PE安全相关系统。对每个特定的应用，根据特定应用的许多因素来确定所需的安全措施。 GB/T20438作为基本原则可在未来的产品和应用领域国家标准制定和已有标准的修订中规范这些措施。
GB/T 20438
考虑了当使用E/E/PE系统执行安全功能时，所涉及的整体安全生命周期、E/E/PE系统安全生命周期以及软件安全生命周期的各阶段（如初始概念、整体设计、实现、运行和维护到退役）；针对飞速发展的技术，建立一个足够健全且广泛满足未来发展需求的框架；
一使涉及E/E/PE安全相关系统的产品和应用领域的国家标准得以制定；在GB/T20438的框
架下，产品和应用领域的国家标准的制定在应用领域和交叉应用领域具有高度一致性（如基本原理，术语等）；这将既具有安全性又具有经济效益；为实现E/E/PE安全相关系统所需的功能安全，提供了编制安全要求规范的方法；
一采用了一种可确定安全完整性要求的基于风险的方法；一引入安全完整性等级，用于规定E/E/PE安全相关系统所要执行的安全功能的目标安全完整
性等级；注2：GB/T20438没有规定每个安全功能的安全完整性等级的要求，也没有规定如何确定安全完整性等级。而是
提供了一种基于风险概念的框架和技术范例。 建立了E/E/PE安全相关系统执行安全功能的目标失效量，这些量都同安全完整性等级相联系；建立了单一E/E/PE安全相关系统执行安全功能时，目标失效量的一个下限值；这些E/E/PE 安全相关系统运行在：
低要求运行模式下，下限设定成要求时危险失效平均概率为10-"；高要求或连续运行模式下，下限设定成危险失效平均频率为10-"/h，
注3：单一E/E/PE安全相关系统不一定是单通道架构注4：对于非复杂系统，通过安全相关系统的设计实现更优目标安全完整性是可能的。但对于相对复杂的系统（例
如可编程电子安全相关系统），这些限值代表了目前能够达到的水平。
VI