附录 A(规范性附录) E e PE 安全相关系统技术和措施 1 运行中的故障控制
a.1 详情
本附录应与 7 相同4.一起使用。 它限制了所宣布的相关技术和措施的最大诊断覆盖面。 对于每个安全完整性级别,本附录推荐了控制随机硬件、系统、环境和操作故障的技术和措施。 有关架构和措施的更多信息,请参见 GB T 20438附录 B 和 GB T 6 of 2017-20438附录 A,共 7-2017 页。
由于以下两个主要原因,无法列出复杂硬件中每个单独的故障实际原因:
失败与失败之间的因果关系往往难以确定
当使用复杂的硬件和软件时,故障的焦点从随机转移到系统。
安全相关系统的 e e pe 故障按启动时间可分为:
由在系统安装之前或期间开始的故障(例如,软件故障,包括规范和程序故障)引起的故障(例如,软件故障; 硬件故障,包括制造故障和不正确的组件选择);
由故障或人为错误(例如,随机硬件故障或不正确使用导致的故障)引起的故障,在系统安装后开始。
为了避免和控制这些故障,通常需要采取大量的措施,附录A和附录B中的要求将这些措施分为用于避免E PE安全生命周期不同阶段的故障的措施(附录B)和用于控制运行过程中的故障的措施(附录A), 这是 E PE 安全相关系统所固有的。
诊断覆盖率和安全故障评分基于表 A1 和附录 C 中详述的协议。 表a2 表a14 支持表 A1、推荐用于诊断测试的技术和措施,并推荐使用这些技术和措施时可达到的最高诊断覆盖率水平。 这些表格不会取代附录C的任何要求。 表a2 表a14 这并非详尽无遗,但只要提供证据支持所声称的诊断范围,就可以使用其他技术和措施。 一旦宣布了高诊断覆盖率,就应至少应用每个表中的一种高诊断覆盖率技术。
同样,表 A15 表a17 针对每个安全完整性级别,建议采用控制系统故障的技术和措施。 表a15 建议对控制系统故障采取整体措施(参见GB T20438。3)。表a16 建议采取的控制环境失效的措施,表A17 建议采取措施控制操作故障。 大多数控制措施可以与表A进行比较18 用于分级。
gb/t 20438.2017 年 7 月的附录 A 对这些表中的所有技术和措施进行了描述。 gb/t 20438.3 给出了每个安全完整性级别所需的软件技术和措施。 gb/t 20438.2017 年 6 月的附录 B 为确定 E PE 中安全相关系统的架构提供了指导。
仅遵守本附录中的准则并不能保证所需的安全完整性。 重要的是要考虑以下两点:
所选技术和措施的一致性,以及它们的互补性;
哪些技术和措施最适合每个特定的E e e PE安全相关系统在开发中遇到的具体问题。