7.4.4 硬體安全完整性架構約束
注1:硬體安全完整性契約相關公式在染料C中指定,安全完整性約束在表2和表3中給出。
注2:GB T 204186--2017年在圖2概述了實現所需的硬體安全完整性所需的步驟,以及該條款與GB T 20438的其他要求的關係。
對於硬體安全完整性,可以宣告的最高安全完整性級別受硬體安全完整性約束的約束,這些約束來自以下兩種可能的路由之一(在系統或子系統級別):
路由 1h 基於硬體故障裕度和安全故障分數的概念;
路由 2h 基於終端使用者反饋的元件可靠性資料、對指定安全完整性級別的增強置信度和硬體故障容限。
基於GB T 20438的應用標準可以給出優先路線(即路線1H或路線2H)。
注3:以上路由的下標"h'Bi硬體安全完整性是為了區別於系統安全完整性路線)產品用三。
7.4.4.1 一般要求
7.4.4.1.1 硬體屏障餘量要求
a) 硬體故障裕度 n 表示導致安全功能喪失的 n 11 個故障(有關詳細資訊,請參見注 1、表 2 和表 3)。在確定硬體屏障裕度時,不考慮可能控制故障影響的其他措施(例如診斷)
b) 如果乙個故障直接導致乙個或多個後續故障,則這些故障被視為單個故障;
c) 在確定實現的硬體故障容限時,如果某些故障相對於子系統的安全完整性而言不太可能發生,則可以忽略這些故障。不考慮這種失敗的理由應有正當理由,並應建立檔案(見註2)。
注1:為了獲得足夠健壯的架構,需要考慮硬體安全完整性的約束,以及元件和子系統的複雜精度(見7)。4.4.1.1 和 74.4.1.2) 根據這些要求,E PE 安全相關系統執行的安全功能的最大允許安全完整性系統是該安全功能的最大允許值,即使有熱可靠性計算表明可以實現更高的安全完整性。同時,需要注意的是,即使所有子系統的硬體故障容限都已達到,仍需通過可靠性計算證明已達到指定的目標故障量,這可能需要提高硬體的衰減度來調整設計要求。
注 2:硬體限制裕量需要適合在正雷電工作條件下使用的子系統架構。 **維修安全相關系統時。 硬體故障裕度要求可以適當放寬,但建議提前評估與卸料桁架相關的關鍵引數(例如MTTR與提出請求的概率相比)。
注3:某些特定的除錯可以排除,因為如果由於設計和結構的固有特性(例如機械執行器聯結器)而使元件發生故障的概率非常低,則通常沒有必要考慮元件安全性引起的約束(基於硬體障礙)。
注4:路線的選擇取決於應用和領域,應考慮以下因素:
功能安全性的喪失可能會造成新的危險或成為現有危險的額外觸發因素;
冗餘可能不適用於所有功能;
維修並不總是可行的,並且可以快速進行(例如,與檢查和測試所需的時間相比,所需的時間可以忽略不計)。
注5:積體電路晶元上冗餘的特殊架構要求在所附的酋長中給出。
7.4.4.1.2 如果為安全功能而實施的元件滿足以下所有條件,則元件被視為 A 類:
a) 明確定義所有組成部件的失效模式;
b) 可以完全確定元件在發生故障時的行為;
c) 有足夠可靠的故障資料來顯示故障率,滿足宣告的檢測到和未檢測到的危險(見 7。4.9.3~7.4.9.5)。
7.4.4.1.3 如果要實施安全功能的元件滿足以下條件之一,則元件應被視為 B 類元件:
a) 至少乙個元件部件的失效模式沒有明確界定;
b) 無法完全確定元件在發生故障時的行為
c) 沒有足夠和可靠的故障資料來顯示檢測到的和最後檢測到的符合宣告的危險故障的故障率(見 7。4.9.3~7.4.9.5)。
注意:這意味著,如果元件中只有乙個元件滿足非類條件,則該元件將被視為負責,而不是 A 類。
7.4.4.1.4 在估算某項元件的安全故障評分時,如果該元件用於硬體故障容限為 0 的子系統,並且該子系統的安全功能或部分安全功能需要以高要求或連續執行模式執行,則只有在滿足以下條件之一的情況下才能接受診斷
診斷測試、詢問和執行特定功能以獲得或維持安全狀態所花費的時間之和小於過程安全時間;
在苛刻模式下操作時,診斷測試率與所需率的比率等於或大於 100。
7.4.4.1.5 在估算以下元件的安全故障評分時——硬體故障裕度大於0,安全功能或部分安全功能需要在高要求或連續執行模式下執行;
安全功能或某些安全功能需要在低要求操作模式下執行。
如果診斷測試間隔與檢測到的故障的修復時間之和小於用於計算特定安全功能安全完整性的 MTTR,則可以接受診斷。