ICS25.040 CCS N10 中华人民共和国国家标准 GB/T41295.1—2022 功能安全应用指南 第1部分：危害辨识和需求分析 Application guide of functional safety- Part 1:Hazard identification and requirements analysis 2022-10-01实施 2022-03-09发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41295.1—2022 目 次 前言 引言 范围 规范性引用文件 3 术语和定义 缩略语 4 总则 5.1 危害辨识和需求分析所处生命周期的阶段 5.2 危害辨识和需求分析的基本考虑 5.3 危害辨识和需求分析的过程考虑 5.4 危害辨识和需求分析的变更考虑 5.5 危害辨识和需求分析的文档化考虑 危害辨识 6.1 危害辨识的一般过程 6.2 自然环境在危害辨识过程中的影响分析 6.3 法律法规在危害辨识过程中的影响分析 6.4 工艺过程在危害辨识过程中的影响分析 6.5 受控设备的风险 6.6 安全系统的风险 6.7 风险记录 需求分析 参考文献 图1 危害辨识的一般过程 表1 风险记录表示例 GB/T41295.1—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T41295《功能安全应用指南》的第1部分。GB/T41295已经发布了以下部分： 第1部分：危害辨识和需求分析； 一第2部分：设计和实现； —第3部分：测试验证； 一一第4部分：管理和维护。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国机械工业联合会提出。 本文件由全国工业过程测量和控制标准化技术委员会（SAC/TC124）归口。 本文件起草单位：中国石油集团安全环保技术研究院有限公司、机械工业仪器仪表综合技术经济研 中国石油大学（北京）。 本文件主要起草人：熊文泽、魏振强、刘晓亮、田雨聪、史学玲、郭永振、姜涛、靳江红、张雪、董绍华、 孟邹清、张亚彬、王璐、安健、李世斌、罗方伟、刘瑶、朱明露。 1 GB/T41295.1—2022 引言 自GB/T20438（所有部分）发布以来，电气/电子/可编程电子系统已经越来越多的应用于国内各 个领域的安全控制和安全防护，包括石油、化工、电力、轨道交通、汽车、电梯/扶梯等。近年来随着智能 制造的兴起，智能化设备（主要由电气/电子/可编程电子为技术基础）的安全问题逐渐成为一个新的研 究方向和焦点，进一步提升了对功能安全技术的需求， 业的管理体系和设计思路未能完全切合，加之很多国内工程技术人员都是初次接触功能安全技术，对于 功能安全概念一时难以理解，这就造成虽然国际功能安全标准提出了非常好的安全理念和设计措施，但 技术人员难以清楚的理解和认识。GB/T20438（所有部分）发布10多年来，国内一些领先的科研院所 和企业已经基于标准要求开展了很多工作，并积累了一定的经验。因此，基于国内目前已有的功能安全 评估、功能安全设计、功能安全测试和功能安全管理实践形成本文件，以更好地指导功能安全相关系统 的设计、分析、评估和运行维护。 GB/T41295拟制定4个部分。 第1部分：危害辨识和需求分析。目的在于规定功能安全系统设计初期的危害辨识内容和需 求如何产生的方法。 第2部分：设计和实现。目的在于规定功能安全系统的软硬件设计和实现方法和实施指南。 第3部分：测试验证。目的在于规定功能安全系统在生命周期过程各个阶段的测试导则和测 试方法解读。 一一第4部分：管理和维护。目的在于规定功能安全系统管理和维护过程的导则。 II GB/T41295.1—2022 功能安全应用指南 第1部分：危害辨识和需求分析 1范围 本文件提供了功能安全系统应用指南中危害辨识和需求分析指导。 本文件适用于功能安全系统开发的概念阶段 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T20438.1一2017电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求 GB/T20438.2一2017电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子 可编程电子安全相关系统的要求 GB/T20438.3一2017电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求 GB/T20438.4一2017电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩 略语 3术语和定义 GB/T20438.4一2017界定的以及下列术语和定义适用于本文件 3.1 危害辨识 hazardidentification 受控设备、工艺过程、运行环境及功能安全系统本身中潜在危险的发生风险，通过理论推导和经验 总结等方法分辨并标识风险的可接受程度。 3.2 需求分析requirementsanalysis 根据危害辨识（3.1)的结论，制定功能安全系统的安全需求；根据功能安全系统的架构将安全需求 分解到组件的过程。 3.3 系统相关人员 systemrelatedpersonnel 在功能安全系统的整个生命周期中，可能与系统发生直接关系的人员。 注：包括系统的定义、需求、设计、实施、测试、操作、维护、商务等人员。 3.4 运行场景operationscenario 功能安全系统运行时，相关的自然环境、工艺过程、受控设备以及功能安全系统所组成的集合。这 个场景是具象化的·能够通过实体仿真观察研究的 1 GB/T41295.1—2022 3.5 安全需求safetyrequirements 功能安全系统为了降低风险到可容忍级别，而需要满足的功能安全完整性等级要求 注：安全需求在GB/T20438中被称之为安全要求，两者具有相同的含义。 3.6 功能安全系统 functional safety system 执行安全相关功能的系统，具有功能安全相关的特性，满足特定的安全完整性等级（SIL）。 程中，功能安全系统可能是一个变送器、继电器、安全可编程序控制器或安全仪表系统。 4缩略语 下列缩略语适用于本文件。 DC：诊断覆盖率（DiagnosticCoverage） EMC：电磁兼容性（ElectromagneticCompatibility） MooN:N取M通道架构（MoutofNchannelarchitecture) SFF：安全失效分数（SafeFailureFraction） SIL：安全完整性等级（SafetyIntegrityLevel） 5总则 5.1危害辨识和需求分析所处生命周期的阶段 本文件所提供的危害辨识和需求分析是指在功能安全系统研发设计前，基于系统的预期用途和工 作环境对系统失效可能造成的危害情况进行充分的辨识，从而获得系统预期要实现的安全功能需求 功能安全系统应用的整体生命周期宜按照GB/T20438.1一2017，功能安全系统生命周期宜按照 5.2危害辨识和需求分析的基本考虑 在危害辨识和需求分析时，一般遵循如下的基本通则。 重点关注会导致人员生命和健康受到伤害的危害 危害辨识需要综合考虑各要素的相互影响，需要系统相关人员共同提出辨识意见，系统相关人 员包括： ·工艺设计人员； ·现场操作人员； 系统开发人员； ·维修维护人员； ·商务人员等。 一安全需求制定时，需要兼顾系统的基本控制功能 一一安全需求不会产生新的危害，并且需要进行选代分析 5.3危害辨识和需求分析的过程考虑 在危害辨识和需求分析时，需要遵循如下的实施过程： 2 GB/T41295.1-—2022 选择功能安全系统需要运行场景以及需要控制的范围； 一收集同类场景已经发生过的危险事件数据，包括已确定的危险事件和导致该危险事件的事件 序列； 征询系统相关人员对危险事件的意见和对系统的需求； 一记录危害辨识结果，并对不可接受危害，逐一制定安全措施； 分析安全措施的有效性，总结编制安全需求； 一征询系统相关人员对安全需求合理性的意见： 一安全需求经过审批后作为功能安全系统的开发的依据； 一根据系统的架构设计，将安全需求的实现方法分配到每一个子系统或者组件中。 5.4危害辨识和需求分析的变更考虑 在危害辨识和需求分析时，需要考虑如下的变更： 变更一般由系统开发人员发起； 一需要进行变更影响分析，重点是变更前后运行场景的差异对比： 变更具有足够的合理性，合理的变更具有如下几个特征： 所有系统相关人员均不强烈反对此项需求变更， 此项需求变更能够获得审批授权签字人的认可， ? · 变更有具体的原因，这些原因包括：危害辨识的错误或疏漏，市场竞争原因，现有技术条件 无法满足此项需求，需求完全无法被验证等； 一变更需要通知所有引用危害辨识记录和安全需求的人员。 5.5危害辨识和需求分析的文档化考虑 在危害辨识和需求分析时，需要文档化的内容包括： 运行场景的内容和特征； 一危害的特征； 安全需求； 一危害与需求的关联关系； 一变更影响分析； 一变更的审批记录； 发布的审批记录。 6 危害辨识 6.1危害辨识的一般过程 危害辨识从分析自然环境和工艺过程开始，到获得风险记录为止，一般过程如图1所示。 3 GB/T41295.1—2022 自然环境 工艺过程 受控设备 法律法规 1 风险记录 + 功能安全系统 图1危害辨识的一般过程 6.2自然环境在危害辨识过程中的影响分析 危害辨识中的自然环境包括：气候、天气、地理、生物环境、人类社会等，对于自然环境的影响，需要 从如下方面进行分析：