GB/T 44062-2024 自动化系统与集成 自动化设备安全评估

ICS3524001

CCSL.67.

中华人民共和国国家标准

GB/T44062—2024

自动化系统与集成自动化设备安全评估

Automationsystemsandintegration—Safetyevaluationforautomateddevices

2024-05-28发布2024-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T44062—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………4

安全档案与论证

5…………………………5

通则

5.1…………………5

安全档案样式和格式

5.2………………7

声明和论证的充分性

5.3………………9

论据的充分性

5.4………………………13

可接受风险

5.5…………………………15

安全文化

5.6……………17

项目范围

5.7……………18

风险评估

6…………………20

通则

6.1…………………20

故障模型

6.2……………21

危害

6.3…………………33

风险评估

6.4……………35

风险消减和消减措施效果评估

6.5……………………38

参考文献

……………………41

Ⅰ

GB/T44062—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国机械工业联合会提出

。

本文件由全国自动化系统与集成标准化技术委员会归口

(SAC/TC159)。

本文件起草单位北京机械工业自动化研究所有限公司青岛市标准化研究院优力标准技术服务

:、、

上海有限公司北京分公司纳恩博北京科技有限公司

()、()。

本文件主要起草人郭栋翟越常平姜江高亚平张斯光杨书评司佳顺袁望坦孙逊

:、、、、、、、、、。

Ⅲ

GB/T44062—2024

引言

为了确保在设计过程中以及整个系统生命周期内以可接受的方式持续全面考虑自动化设备的安

,

全性为安全自动化设备提供佐证提出了可用于确定安全档案可接受性的评估标准本文件主要用于

,,。

指导制造商集成商零部件供应商设计制造和评估自动化设备时出具的安全档案可以佐证自动化设

、、、

备的安全性

。

本文件采用强制性要素必备要素强烈推荐要素推荐要素和合规性作为规范性要素来规范安全

、、、

档案各条款不同类型要素的安全档案偏差方法摘要见表

。1。

表1安全档案偏差方法

规范性要素摘要

强制性要素不准许出现安全档案偏差

安全档案偏差仅适用于因项目的基本性质和或项目的当前部署状态而本质上不适用的要

/

必备要素求安全档案中记录的所有安全用例偏差均已提供理由通过影响分析和生命周期跟

。。

踪监控适用性状态变化的可能性

,

在有可接受理由的情况下允许出现安全档案偏差通过影响分析和生命周期跟踪监控

强烈推荐要素,。,

适用性状态变化的可能性安全档案中记录的所有安全档案偏差均已提供理由

。

推荐要素可选项目无需在安全档案中提及安全档案偏差不需要论据支持

。。

合规性通过自我审计和独立评估对各条款的合规性进行评估

Ⅳ

GB/T44062—2024

自动化系统与集成自动化设备安全评估

1范围

本文件规定了建立和评估自动化设备安全论证的合规性要求主要包括安全档案风险评估等

,、

内容

。

本文件适用于指导制造商集成商零部件供应商设计制造和评估自动化设备

、、、。

2规范性引用文件

本文件没有规范性引用文件

。

3术语和定义

下列术语和定义适用于本文件

。

31

.

可接受acceptable

足以达到安全档案中确定的整体项目风险

。

示例可接受的测试范围是指在获得声称的风险消减可信度后测试范围的数量足以支持安全档案对整体项目

:“”,

风险的声明

。

注这是一个与安全档案的有效性和完整性相关的客观术语而不是与任何特定评估者的个人观点相关的主观

:,

术语

。

32

.

激发故障或危害activationoffaultsorhazards

()()

导致系统因故障或危害而可能失效的输入或情况

。

示例内存中由单一事件扰乱的损坏位视为故障读取存储器位置时故障被激发并导致计算误差该误差会以不

:。,,

正确或不安全的项目行为造成系统失效

。

注故障消减措施例如错误检测编码能防止激发的故障引起失效

:(,)。

33

.

人工智能技术artificialintelligencetechnologies

计算算法以及其他相关技术包括归纳学习故意非确定性行为基于规则的系统计算机视觉启

(、、、、

发式搜索以及其他技术的一般描述

)。

注该术语属于从广义上进行解释的描述性术语以涵盖通常不适用于传统软件安全方法的软件无论其是否涉

:,。

及智能方面均不在本文件范围之内

“”,。

34

.

论证argue

构建满足特定要求的安全档案332的过程

(.)。

示例开发者应论证所有危害均已消减即指示开发者需在安全档案中包含每种危害实际上已消减的声明论据

:“”,、

和证据

。

35

.

评估员assessor

开展评估的一名或多名人员

。

1

GB/T44062—2024

36

.

评估assessment

审查和评价安全档案

。

注本文件包含两种类型的评估自我评估和第三方独立评估

::。

37

.

自动化automation

机器设备系统或过程生产管理过程在没有人或较少人的直接参与下按照人的要求经过自动

、(、),,

检测信息处理分析判断操纵控制实现预期的目标的过程

、、、,。

38

.

自主autonomous

系统在没有人为直接监督或直接干预的情况下运行

。

注在本文件中自动化和自主通常能互换

:,“”“”。

39

.

自主性autonomy

系统自主运行的能力或功能

。

310

.

声明claim

能证伪的陈述有助于确立安全性的可接受性

,。

311

.

合规性conformance

独立评估结果表明该项目的安全档案符合本文件的要求

。

312

.

危害性等级criticalitylevel

对未消减危害相关的风险进行分类的级别

。

注危害性等级旨在作为一个通用术语包括完整性等级方法和保证等级方法例如和

:,,SIL、DALASIL。

313

.

演示demonstration

通过操作项目功能或组件表明该项目的特定属性功能或其他方面与安全档案相符

、,、。

314

.

论据evidence

用于支持论证的数据或其他信息

。

315

.

故障包容区域faultcontainmentregion

无论区域外出现任何随机逻辑或电气故障均能正常运行的组件集合

“”。

注需要两个故障包容区域来确保在出现随机失效时进行故障检测和或故障消减

:(FCR)FCR/。

316

.

故障模型faultmodel

进行故障分析时所考虑的所有故障及其类型的说明

()。

注故障模型能包括多个不同类型的并发故障

:。

317

.

现场工程反馈fieldengineeringfeedback

从系统运行中获取数据为安全档案提供支持并识别潜在的安全档案问题

,。

2

GB/T44062—2024

318

.

识别identify

创建枚举列表列举具有足够特异性的条款的指定类别属性或其他要素

,、。

319

.

事故incident

发生可能导致损失事件的安全相关失效

。

注1事故不一定会导致损失事件在其他情况下只要事故可能导致损失事件就足以引起重视

:。,,。

注2所有损失事件也是事故因此事故一词等同于事故和损失事件

:。,“”“”。

320

.

独立失效independentfailure

()()

两个或多个故障包容区域不存在相关的共因和或共模故障条件

(FCR)、/。

注假设随着时间的推移没有故障累积同时故障激发的概率可用无条件概率的简单乘积来表示

:,。

321

.

独立审查和评估independentreviewandassessment

()()

评估员或审查员没有对审查或评估过程的结果造成影响的直接或实质性间接诱因

。

322

.

项目item

本文件合规性评估的产品组件系统之系统或其他产品相关范围

、、(SoS)。

注项目可能需要包括基础设施开发过程生命周期支持过程供应链质量保证措施以及确保超出已部署产品

:“”、、、,

本身边界的安全的其他方面项目包括整个产品或仅包括产品的一部分但在任何情况下都将包括项目中

。“”,,

所包含的产品部分的合规性所需的所有方面

。

323

.

生命攸关lifecritical

系统的一个损失事件可能会导致有人丧命

。

注这严格来说是一个严重性概念即使开发者证明由于操作中不可能发生某种危害因此相关风险较低该危害

:。,,

也可能生命攸关

。

324

.

损失loss

人员死亡人身伤害动物死亡动物伤害财产损失环境破坏或其他实质性不良后果

、、、、、。

注1判定哪些损失为不利损失这是系统特定的但人员死亡和重大人身伤害应始终被视为不利损失

:“”,。。

注2安全档案可能会选择将因项目失效导致的财务成本也视为实质性不利后果

:“”。

325

.

消减mitigate

降低至可接受的风险水平

。

注

可接受的风险水平取决于安全档案中确定的需消减的特定风险的危急程度例如生命攸关与非生命攸关及

:(,)

其对项目级风险的贡献只要证明危害带来的风险足够低且未经消减便已经达到可接受的水平只要能够证

。,,

明风险未经消减便已达到足够低的水平则仍认为风险已消减消减一词等同于以可接受的方式消减

,“”。“”“”

参见可接受的定义在实施了消减方法如有并且有关消减的相关安全档案论据更新跟踪直至终止

(“”)。()(“”)

之前不能认为风险已消减可接受的风险是已执行部分或未执行消减的风险参见

,“”。“”()(5.5.1)。

326

.

不确定性nondeterminism

不可重复的行为特征

。

注不确定性可能是由实时调度扰动伪随机算法的使用或其他因素造成的

:、。

3

GB/T44062—2024

327

.

验证测试prooftest

级别高于内置自测的测试用于检测潜在故障

(BIST),。

注验证测试历史上指的是在正常系统运行期间无法进行的机械测试例如压力测试容器或移动应急阀验证测试

:,。

通常涉及执行失效保护执行用于检测失效的传感器或以其他方式执行离线测试

、。

328

.

来源provenance

组件材料耗材软件和项目其他方面的背景尤其是产生区别或质量的背景

、、、,。

注在本文件中这指的是设备及其组件实际上提供了所需的功能并且专门排除了劣质假冒和其他未经批准

:,,、“”

的部件这不同于提供可接受功能和其他版本控制活动的部件的变化

。。

329

.

风险risk

损失事件发生的概率以及该损失事件的严重性的组合

。

注风险通常是概率和严重性的某种加权组合可能对概率赋予零或非线性权重此定义并不意味着排除替代但类

:,。

似的风险表述

。

330

.

稳健robust

系统即使在超出原定规格的情况下仍能继续运行

。

示例尽管接收到超出规格的输入遇到运行环境违规组件故障以及机器学习训练集中未表示的数据系统仍继

:、、,

续正常或降级运行

。

注鲁棒性通常是程度问题而不是绝对属性

:,。

331

.

安全safe

在实施消减措施后具有安全档案定义的可接受的项目级风险水平

,。

332

.

安全档案safetycase

由大量的证据支持的结构化论证组成并提供了一个令人信服的易于理解的有效档案证明系统

,、,

能在指定环境下安全用于特定用途

。

333

.

安全档案偏差safetycasedeviation

将提示要素排除在考虑因素之外的记录

。

334

.

安全相关safetyrelated

对安全造成直接或间接影响的系统的功能组件性能或其他方面

、、。

335

.

独立于场景的要素elementoutofcontext

作为安全档案片段和评估主题的一个独立要素

。

336

.

安全性能指标safetyperformanceindicator

用于量化安全性能的一个指标

。

注该术语类似于关键绩效指标一词但专门针对项目的安全相关方面

:“”(KPI),。

4缩略语

下列缩略语适用于本文件

。

4

GB/T44062—2024

设计失效模式与影响分析

DFMEA:(DesignFailureModeandEffectsAnalysis)

非关联要素

EooC:(ElementoutofContext)

事件树分析法

ETA:(EventTreeAnalysis)

故障包容区域

FCR:(FaultContainmentRegion)

失效模式与影响分析

FMEA:(FailureModeandEffectsAnalysis)

失效模式影响及危害性分析

FMECA:、(FailureMode,EffectsandCriticalityAnalysis)