呼和浩特治疗白癜风的医院 https://disease.39.net/bjzkbdfyy/231008/h5hho8b.html7.6安全要求分配
注:这个阶段是图2的方框5。
7.6.1目的
7.6.1.1为指定的E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施分配安全功能,这些安全功能包含于整体安全要求(安全功能要求和安全完整性要求)规范之中。
注:如不考虑其他风险降低的量值,则对E/E/PE安全相关系统的分配就无法进行,因此要考虑其他技术安全相关系统和外部风险降低设施。
7.6.1.2对每个安全功能分配安全完整性等级,
注:基于风险降低规定7.5中的安全完整性要求。
7.6.2要求
7.6.2.1应规定用于达到功能安全要求所指定的安全相关系统,用下列系统达到必要的风险降低:
——外部风险降低设施;
——E/E/PE安全相关系统;
——其他技术安全相关系统。
注:本条仅适用于安全相关系统中有E/E/PES的情况。
7.6.2.2在给E/E/PE安全相关系统,其他技术安全相关系统和外部风险降低设施分配安全功能时,应考虑在整体安全生命周期的所有阶段中可能利用的技能和资源。
注1:通常会低估使用复杂技术的安全相关系统的全部内涵,如实现复杂技术时,从规范到维护和操作的所有前段都要求高等级的能力,而用其他简单技术的解决方案可能有同等效果,且由于降低了复杂性而带来一些好处。
注2:可用的操作、维护技能和资源以及操作环境对在实际操作中达到所要求的功能安全是关键性的。
7.6.2.3把按7.5建立的每个安全功能及其相应的安全完整性要求。分配给指定的E/E/PE安全相关系统,并考虑其他技术安全相关系统和外部风险降低设施所产生的风险降低,以达到安全功能必要的风险降低。这种分配要重复进行,如果发现不能达到必要的风险降低则应修改体系结构并进行重新分配。
注1:根据必要的风险降低(见7.5)规定的每个安全功能及其相应的安全完整性要求应分配给一个或多个E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施,决定把一个特定功能分配给一个还是几个安全相关系统取决于许多因素,但主要取决于安全功能达到风险的降低,要求的风险降低越大,该功能就越可能分配给更多的安全相关系统。
注2:对于安全要求分配,图6给出了本条采用的途径。
7.6.2.47.6.2.3所述的分配应这样进行,即分配所有的安全功能并且满足每个安全功能的安全完整性要求(根据7.6.2.10中规定的基本要求)。
7.6.2.5对每个安全功能的安全完整性要求应可以指出是否达到每个目标安全完整性参数:
——能在要求时就执行其设计功能的平均失效概率(低要求操作模式时):或
——每小时危险失效概率(高要求或连续操作模式时)。
7.6.2.6对于概率的组合可使用适当的技术来执行安全完整性要求的分配。
注:可用定量和/或定性的方法进行安全要求分配。
7.6.2.7进行分配时应考虑共同原因失效的概率,如果E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施对于分配而言被看作是独立的,则它们:
一一实现功能的途径是多种多样的(即用完全不同的途径达到相同的结果);
一一是以多种技术为基础的(如用不同类型的设备达到相同的结果);
注1:要认识到,尽管有多种途径和技术,对失效事件发生时可产生特别严重后果的高安全完整性系统而言,要采取特殊预防措施以抵御低概率的共同原因事件,例如飞机失事和地震。
——不能用因其失效将引起所有系统产生危险模式失效的公用部件、服务或支持系统(如电源);
——不能使用公用的操作,维护或测试规程;
——应在物理上分开,这样可预见的失效不会影响冗余安全相关系统和外部风险降低设施。
注2:GB/T涉及对E/E/PE安全相关系统的安全完整性要求的分配并规定了如何进行这种分配的要求。
GB/T没有细致考虑对于其他技术安全相关系统和外部风险降低设施的安全完整性要求的分配。
7.6.2.8如果不能满足7.6.2.7的所有要求,除非进行一次分析并显示出这些系统是充分独立的(从安全完整性的角度看),否则对于安全完整性分配来说,E/E/PE安全相关系统,其他技术安全相关系统和外部风险降低设施都不能视为独立系统。
注1:相关失效分析的更多信息参见参考文献[9]和[10]。
注2:充分独立性是指与E/E/PE安全相关系统整体安全完整性要求相比,相关失效的概率足够低。
7.6.2.9当分配已充分进行后,分配给E/E/PE安全相关系统每个安全功能的安全完整性要求,应按表2和表3中的安全完整性等级进行规定,并且加以考核以指出目标安全完整性参数是下列两者之一:
——在要求时就执行其设计功能的平均失效概率(低要求操作模式时);或
——每小时危险失效概率(高要求或连续操作模式时)。
注1:先于这一阶段,就应根据风险降低规定安全完整性要求(见7.5)。
注2:表2和表3包含了安全完整性等级的目标失效量,大家公认不可能定量地预计E/E/PE安全相关系统的所有方面的安全完整性,就满足目标失效量必需的预防措施而言,不得不使用定性的技术,措施,判断,对于系统安全完整性的情况而言尤为如此(见GB/T.4-的3.5.4)。
注1:在分配前,安全完整性要求与每个安全功能是相关的。
注2:一个安全功能可以分配给不止一个安全相关系统。
图6对E/E/PE安全相关系统,其他技术安全相关系统和外部风险降低设施的安全要求的分配
表2安全完整性等级:在低要求操作模式下分配给一个E/E/PE安全相关系统的安全功能目标失效量
表3安全完整性等级:在高要求或连续操作模式下分配给一个E/E/PE安全相关系统的安全功能目标失效量
注3:对低要求操作增式和高要求成压瑞模作模式的术语定文见GB/T.4-的3.12。
注4:(针对高要准福法续操作模式的表》中的参数;即题小时危险失及狐事有时是指危险失效的频率或危给失效率,以每小时危险失效水数为单位。
注5:在规定的许开时间内不能发生修理的.按高要求或诈维操作核式运行的E/E/PE安全相关系统。其某个安全功能要求的安全完整性等很可如下获每3确定在任务时间内要求的安全功能的失效框率,除以任务时间即给出要求牌每小时失效概率。然后从表3共得要求的安全突整件等级。
注6:GB/T在危险失效模式下设置了一个可以声明的日账失效量下限,这些日标失效量是安全完整性等表4的下降非为能在要求时就执行其设计功能的一个初的手均失败概率,或一个10-*/h的危险失效框率),对简单系统剧言,有可能设计一个组目标失效量的安全楼关系统,但要考虑表中所示的校复杂系统(如可编控电子安全机关系统)日前德达到的限值、
注7:当使用两个或多条C/E//PB安全相关系绝时,声明的目标失效量可能优于表2和表3给出的那些值,其条件是要达到满足美求的独立本平。
注8:要注意安全完整性等及3.2.3.4的失效量是目标失效量。普遍承认在评估目标夫较量是否被清足的时候。
只有对于硬件安全完整性才固定量化和应用可靠性预测技术(见GBT.4-的35.5)。就携足目标失就量必需的预防价的而言,不得不使用定性的技术,判断。
注9:每一个安全功能的安全储髓性要求都符被库核,从而指出每个目标安全完整性参数是否
——能在要求时就执行其设计机施的平均失效概率:或
——每小时危脸失效概率5高要求或泡续操作模式时)。
7.6.2.10对用于实现不同安全完整性等级的安全功能的E/E/PE安全相关系统,除非显示出这些安全功能的实现之间是充分独立的,否则在实现独立性存在不足时,硬件和软件的那些部分应作为具有最高安全完整性等级的安全功能来对待。因此适用于最高安全完酸性等级的要求适用于所有这些部分。
注:另见GB/T.的7.4.2.4和GB/T.3-的7.4.2.8。
7.6.2.11仅当满足下列e)或同时满足b)和c)时,才能允许由一个具有安全完整性等级4的单一E/E/PE安全相关系统构成一个体系结构:
a)通过结合适当的分析方法和测试,已经用实例清楚地说明了目标安全完整性失效量。
b)已具有作为E/E/PE安全相关系统一部分的部件的广泛操作经验;这些操作经验可在相同的环境中获得,并至少已用于复杂性程度可比报的一个系统中。
c)具有足够多的从E/E/PE安全相关系统的部件中获得的硬件失效数据,从而对所声明的硬件安全完整性目标失效量的可信度是足够的。这些数据与建议的环境、应用和复杂程度相关。
7.6.2.12对于工作在下列情况的安全相关系统分配给单一的E/E/PE安全相关系统的目标安全完整性失效量不低于表2和表3规定的值:
——低要求操作模式下,为能在要求时就执行其设计功能,下限设于:平均失效概率为0.;
——高要求或连续操作模式,下限设于:危险失效概率为0.00000/h。
7.6.2..6.2.1~7.6.2.12中获得的安全要求分配的信息和结果连同所作的任何假设和证明都要文档化。
注:对每个E/E/PE安全相关系统,都要有安全功能和安全完整性等级的足够的信息,这些信息将构成GB/T中编制E/E/PE安全相关系统安全要求的基础。
转载请注明:http://www.qiaomojiyea.com/qyzl/12376.html
当前位置: 飞机 > 飞机价格 > 国标204381电子安全系统功能安全
