7.4.4 硬件安全完整性架构约束
注1:硬件安全完整性契约相关公式在染料C中指定,安全完整性约束在表2和表3中给出。
注2:GB T 204186--2017年在图2概述了实现所需的硬件安全完整性所需的步骤,以及该条款与GB T 20438的其他要求的关系。
对于硬件安全完整性,可以声明的最高安全完整性级别受硬件安全完整性约束的约束,这些约束来自以下两种可能的路由之一(在系统或子系统级别):
路由 1h 基于硬件故障裕度和安全故障分数的概念;
路由 2h 基于最终用户反馈的组件可靠性数据、对指定安全完整性级别的增强置信度和硬件故障容限。
基于GB T 20438的应用标准可以给出优先路线(即路线1H或路线2H)。
注3:以上路由的下标"h'Bi硬件安全完整性是为了区别于系统安全完整性路线)产品用三。
7.4.4.1 一般要求
7.4.4.1.1 硬件屏障余量要求
a) 硬件故障裕度 n 表示导致安全功能丧失的 n 11 个故障(有关详细信息,请参见注 1、表 2 和表 3)。在确定硬件屏障裕度时,不考虑可能控制故障影响的其他措施(例如诊断)
b) 如果一个故障直接导致一个或多个后续故障,则这些故障被视为单个故障;
c) 在确定实现的硬件故障容限时,如果某些故障相对于子系统的安全完整性而言不太可能发生,则可以忽略这些故障。不考虑这种失败的理由应有正当理由,并应建立文件(见注2)。
注1:为了获得足够健壮的架构,需要考虑硬件安全完整性的约束,以及组件和子系统的复杂精度(见7)。4.4.1.1 和 74.4.1.2) 根据这些要求,E PE 安全相关系统执行的安全功能的最大允许安全完整性系统是该安全功能的最大允许值,即使有热可靠性计算表明可以实现更高的安全完整性。同时,需要注意的是,即使所有子系统的硬件故障容限都已达到,仍需通过可靠性计算证明已达到指定的目标故障量,这可能需要提高硬件的衰减度来调整设计要求。
注 2:硬件限制裕量需要适合在正雷电工作条件下使用的子系统架构。 **维修安全相关系统时。 硬件故障裕度要求可以适当放宽,但建议提前评估与卸料桁架相关的关键参数(例如MTTR与提出请求的概率相比)。
注3:某些特定的调试可以排除,因为如果由于设计和结构的固有特性(例如机械执行器连接器)而使组件发生故障的概率非常低,则通常没有必要考虑组件安全性引起的约束(基于硬件障碍)。
注4:路线的选择取决于应用和领域,应考虑以下因素:
功能安全性的丧失可能会造成新的危险或成为现有危险的额外触发因素;
冗余可能不适用于所有功能;
维修并不总是可行的,并且可以快速进行(例如,与检查和测试所需的时间相比,所需的时间可以忽略不计)。
注5:集成电路芯片上冗余的特殊架构要求在所附的酋长中给出。
7.4.4.1.2 如果为安全功能而实施的组件满足以下所有条件,则组件被视为 A 类:
a) 明确定义所有组成部件的失效模式;
b) 可以完全确定组件在发生故障时的行为;
c) 有足够可靠的故障数据来显示故障率,满足声明的检测到和未检测到的危险(见 7。4.9.3~7.4.9.5)。
7.4.4.1.3 如果要实施安全功能的组件满足以下条件之一,则组件应被视为 B 类组件:
a) 至少一个组件部件的失效模式没有明确界定;
b) 无法完全确定组件在发生故障时的行为
c) 没有足够和可靠的故障数据来显示检测到的和最后检测到的符合声明的危险故障的故障率(见 7。4.9.3~7.4.9.5)。
注意:这意味着,如果组件中只有一个组件满足非类条件,则该组件将被视为负责,而不是 A 类。
7.4.4.1.4 在估算某项组件的安全故障评分时,如果该组件用于硬件故障容限为 0 的子系统,并且该子系统的安全功能或部分安全功能需要以高要求或连续运行模式运行,则只有在满足以下条件之一的情况下才能接受诊断
诊断测试、询问和执行特定功能以获得或维持安全状态所花费的时间之和小于过程安全时间;
在苛刻模式下操作时,诊断测试率与所需率的比率等于或大于 100。
7.4.4.1.5 在估算以下组件的安全故障评分时——硬件故障裕度大于0,安全功能或部分安全功能需要在高要求或连续运行模式下运行;
安全功能或某些安全功能需要在低要求操作模式下运行。
如果诊断测试间隔与检测到的故障的修复时间之和小于用于计算特定安全功能安全完整性的 MTTR,则可以接受诊断。