标准编号:	GB/T 20438.7-2017
中文名称:	电气/电子/可编程电子安全相关系统的功能安全 第7部分：技术和措施概述
英文名称:	Functional safety of electrical/electronic/programmable electronic safety-related systems—Part 7:Overview of techniques and measures
中标分类:	N10    工业自动化与控制装置综合
行业分类:	GB    国家标准
ICS分类:	25.040 25.040    工业自动化系统 25.040
发布机构:	中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布日期:	2017-12-29
实施日期:	2018-7-1
标准状态:	现行
替代旧标准:	GB/T 20438.7-2006 电气/电子/可编程电子安全相关系统的功能安全 第7部分: 技术和措施概述
翻译语言:	英文
文件格式:	PDF
中文字符数:	101000 字
翻译价格(元):	5600.00 元
交付时间:	付款后 1 个工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.



GB/T 20438 consists of seven parts under the general title of Functional safety of electrical/electronic/programmable electronic safety-related systems:



——Part 1: General requirements;



——Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems;



——Part 3: Software requirements;



——Part 4: Definitions and abbreviations;



——Part 5: Examples of methods for the determination of safety integrity levels;



——Part 6: Guidelines on the application of GB/T 20438.2 and GB/T 20438.3;



——Part 7: Overview of techniques and measures.



This is Part 7 of GB/T 20438.



This part is developed in accordance with the rules given in GB/T 1.1-2009.



This part replaces GB/T 20438.7-2006 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 7: Overview of techniques and measures and the following main technical changes have been made with respect to GB/T 20438.7-2006:



——the overview of techniques and measures for design of ASICs is added (see Annex E);



——the definitions of properties of software lifecycle phases are added (see Annex F);



——the guidance for the development of safety-related object oriented software is added (see Annex G).



This part, by means of translation, is identical to IEC 61508-7: 2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 7: Overview of techniques and measures.



This part was proposed by China Machinery Industry Federation.



This part is under the jurisdiction of SAC/TC 124 National Technical Committee on Industrial Process Measurement and Control of Standardization Administration of China.



The previous edition of this part is as follow:



——GB/T 20438.7-2006.



 

Introduction



Systems comprised of electrical and/or electronic elements have been used for many years to perform safety functions in most application sectors. Computer-based systems (generically referred to as programmable electronic systems) are being used in all application sectors to perform non-safety functions and, increasingly, to perform safety functions. If computer system technology is to be effectively and safely exploited, it is essential that those responsible for making decisions have sufficient guidance on the safety aspects on which to make these decisions.



GB/T 20438 sets out a generic approach for all safety lifecycle activities for systems comprised of electrical and/or electronic and/or programmable electronic (E/E/PE) elements that are used to perform safety functions. This unified approach has been adopted in order that a rational and consistent technical policy be developed for all electrically-based safety-related systems. A major objective is to facilitate the development of product and application sector standards based on the GB/T 20438 series.



Note 1: Examples of product and application sector standards based on the GB/T 20438 series are given in the Bibliography (see references [1], [2] and [3]).



In most situations, safety is achieved by a number of systems which rely on many technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety strategy must therefore consider not only all the elements within an individual system (for example sensors, controlling devices and actuators) but also all the safety-related systems making up the total combination of safety-related systems. Therefore, while GB/T 20438 is concerned with E/E/PE safety-related systems, it may also provide a framework within which safety-related systems based on other technologies may be considered.



It is recognized that there is a great variety of applications using E/E/PE safety-related systems in a variety of application sectors and covering a wide range of complexity, hazard and risk potentials. In any particular application, the required safety measures will be dependent on many factors specific to the application. GB/T 20438, by being generic, will enable such measures to be formulated in future product and application sector standards and in revisions of those that already exist.



GB/T 20438



——considers all relevant overall, E/E/PE system and software safety lifecycle phases (for example, from initial concept, thorough design, implementation, operation and maintenance to decommissioning) when E/E/PE systems are used to perform safety functions;



——has been conceived with a rapidly developing technology in mind; the framework is sufficiently robust and comprehensive to cater for future developments;



——enables product and application sector standards, dealing with E/E/PE safety-related systems, to be developed; the development of product and application sector standards, within the framework of GB/T 20438, should lead to a high level of consistency (for example, of underlying principles, terminology etc.) both within application sectors and across application sectors; this will have both safety and economic benefits;



——provides a method for the development of the safety requirements specification necessary to achieve the required functional safety for E/E/PE safety-related systems;



——adopts a risk-based approach by which the safety integrity requirements can be determined;



——introduces safety integrity levels for specifying the target level of safety integrity for the safety functions to be implemented by the E/E/PE safety-related systems;



Note 2: GB/T 20438 does not specify the safety integrity level requirements for any safety function, nor does it mandate how the safety integrity level is determined. Instead it provides a risk-based conceptual framework and example techniques.



——sets target failure measures for safety functions carried out by E/E/PE safety-related systems, which are linked to the safety integrity levels;



——sets a lower limit on the target failure measures for a safety function carried out by a single E/E/PE safety-related system. For E/E/PE safety-related systems operating in



——a low demand mode of operation, the lower limit is set at an average probability of a dangerous failure on demand of 10-5;



——a high demand or a continuous mode of operation, the lower limit is set at an average frequency of a dangerous failure of 10-9/h.



Note 3: A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.



Note 4: It may be possible to achieve designs of safety-related systems with lower values for the target safety integrity for non-complex systems, but these limits are considered to represent what can be achieved for relatively complex systems (for example programmable electronic safety-related systems) at the present time.



——sets requirements for the avoidance and control of systematic faults, which are based on experience and judgment from practical experience gained in industry. Even though the probability of occurrence of systematic failures cannot in general be quantified GB/T 20438 does, however, allow a claim to be made, for a specified safety function, that the target failure measure associated with the safety function can be considered to be achieved if all the requirements in the standard have been met;



——introduces systematic capability which applies to an element with respect to its confidence that the systematic safety integrity meets the requirements of the specified safety integrity level;



——adopts a broad range of principles, techniques and measures to achieve functional safety for E/E/PE safety-related systems, but does not explicitly use the concept of fail safe. However, the concepts of “fail safe” and “inherently safe” principles may be applicable and adoption of such concepts is acceptable providing the requirements of the relevant clauses in the standard are met.





Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 7: Overview of techniques and measures



1 Scope



1.1 This part of GB/T 20438 contains an overview of various safety techniques and measures relevant to GB/T 20438.2 and GB/T 20438.3.



The references should be considered as basic references to methods and tools or as examples, and may not represent the state of the art.



1.2 GB/T 20438.1, GB/T 20438.2, GB/T 20438.3 and GB/T 20438.4 are basic safety publications, although this status does not apply in the context of low complexity E/E/PE safety-related systems (see 3.4.3 of GB/T 20438.4-2017). As basic safety publications, they are intended for use by technical committees in the preparation of standards in accordance with the principles contained in IEC Guide 104 and ISO/IEC Guide 51. GB/T 20438.1, GB/T 20438.2, GB/T 20438.3 and GB/T 20438.4 are also intended for use as stand-alone standards. The horizontal safety function of GB/T 20438 does not apply to medical equipment in compliance with the IEC 60601 series.



1.3 One of the responsibilities of a technical committee is, wherever applicable, to make use of basic safety publications in the preparation of its publications. In this context, the requirements, test methods or test conditions of this basic safety publication will not apply unless specifically referred to or included in the publications prepared by those technical committees.



1.4 Figure 1 shows the overall framework of the GB/T 20438 series and indicates the role that this part plays in the achievement of functional safety for E/E/PE safety-related systems.







Figure 1 Overall framework of GB/T 20438



 

2 Normative references



The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.



GB/T 20438.4-2017 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 4: Definitions and abbreviations (IEC 61508-4: 2010, IDT)



3 Definitions and abbreviations



For the purposes of this document, the definitions and abbreviations given in GB/T 20438.4-2017 apply.



 

Annex A

(Informative)

Overview of techniques and measures for E/E/PE safety-related systems: control of random hardware failures (see GB/T 20438.2)



A.1 Electric



Global objective: To control failures in electromechanical components.



A.1.1 Failure detection by on-tine monitoring



Note: This technique/measure is referenced in Tables A.2, A.3, A.7 and A.13 to A.18 of GB/T 20438.2-2017.



Aim: To detect failures by monitoring the behaviour of the E/E/PE safety-related system in response to the normal (on-line) operation of the equipment under control (EUC).



Description: Under certain conditions, failures can be detected using information about (for example) the time behaviour of the EUC. For example, if a switch, which is part of the E/E/PE safety-related system, is normally actuated by the EUC, then if the switch does not change state at the expected time, a failure will have been detected. It is not usually possible to localise the failure.



A.1.2 Monitoring of relay contacts



Note: This technique/measure is referenced in Tables A.2 and A.14 of GB/T 20438.2-2017.



Aim: To detect failures (for example welding) of relay contacts.



Description: Forced contact (or positively guided contact) relays are designed so that their contacts are rigidly linked together. Assuming there are two sets of changeover contacts, a and b, if the normally open contact, a, welds, the normally closed contact, b, cannot close when the relay coil is next de-energised. Therefore, the monitoring of the closure of the normally closed contact b when the relay coil is de-energised may be used to prove that the normally open contact a has opened. Failure of normally closed contact b to close indicates a failure of contact a, so the monitoring circuit should ensure a safe shut-down, or ensure that shut-down is continued, for any machinery controlled by contact a.



References:



Zusammenstellung und Bewertung elektromechanischer Sicherheitsschaltungen für Ver-riegelungseinrichtungen. F. Kreutzkampf, W. Hertel, Sicherheitstechnisches Informations- und Arbeitsblatt 330212, BIA-Handbuch. 17. Lfg. X/91, Erich Schmidt Verlag, Bielefeld.

www.BGIA-HANDBUCHdigital.de/330212



A.1.3 Comparator



Note: This technique/measure is referenced in Tables A.2, A.3 and A.4 of GB/T 20438.2-2017.



Aim: To detect, as early as possible, (non-simultaneous) failures in an independent processing unit or in the comparator.



Description: The signals of independent processing units are compared cyclically or continuously by a hardware comparator. The comparator may itself be externally tested, or it may use self-monitoring technology. Detected differences in the behaviour of the processors lead to a failure message.

Foreword i
Introduction iii
1 Scope
2 Normative references
3 Definitions and abbreviations
Annex A (Informative) Overview of techniques and measures for E/E/PE safety-related systems: control of random hardware failures (see GB/T 20438.2)
Annex B (Informative) Overview of techniques and measures for E/E/PE safety-related systems: Avoidance of systematic failures (see GB/T 20438.2 and GB/T 20438.3)
Annex C (Informative) Overview of techniques and measures for achieving software safety integrity (see GB/T 20438.3)
Annex D (Informative) A probabilistic approach to determining software safety integrity for pre-developed software
Annex E (Informative) Overview of techniques and measures for design of ASICs
Annex F (Informative) Definitions of properties of software lifecycle phases
Annex G (Informative) Guidance for the development of safety-related object oriented software
Bibliography
Index
Figure 1 Overall framework of GB/T 2
Table C.1 Recommendations for specific programming languages
Table D.1 Necessary history for confidence to safety integrity levels
Table D.2 Probabilities of failure for low demand mode of operation
Table D.3 Mean distances of two test points
Table D.4 Probabilities of failure for high demand or continuous mode of operation
Table D.5 Probability of testing all program properties
Table F.1 Software Safety Requirements Specification (see GB/T 20438.3-2017, 7.2 and Table C.1)
Table F.2 Software design and development: software architecture design (see GB/T 20438.3-2017, 7.4.3 and Table C.2)
Table F.3 Software design and development: support tools and programming language (see GB/T 20438.3-2017, 7.4.4 and Table C.3)
Table F.4 Software design and development: detailed design (see GB/T 20438.3-2017, 7.4.5, 7.4.6 and Table C.4)
Table F.5 Software design and development: software module testing and integration (see GB/T 20438.3-2017, 7.4.7, 7.4.8 and Table C.5)
Table F.6 Programmable electronics integration (hardware and software) (see GB/T 20438.3-2017, 7.5 and Table C.6)
Table F.7 Software aspects of system safety validation (see GB/T 20438.3-2017, 7.7 and Table C.7)
Table F.8 Software modification (see GB/T 20438.3-2017, 7.8 and Table C.8)
Table F.9 Software verification (see GB/T 20438.3-2017, 7.9 and Table C.9)
Table F.10 Functional safety assessment (see GB/T 20438.3-2017, Clause 8 and Table C.10)
Table G.1 Object Oriented Software Architecture
Table G.2 Object Oriented Detailed Design
Table G.3 Some Oriented Detailed terms

电气/电子/可编程电子安全相关系统的功能安全 第7部分：技术和措施概述
1范围
1.1 GB/T 20438的本部分包含了GB/T 20438.2和GB/T 20438.3有关的各种安全技术和措施的概述。
参考文献仅作为各种方法和工具或示例的基本参考，不一定代表当前技术水平。
1.2 GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4是基础的安全标准，虽然它不适用于低复杂的E/E/PE安全相关系统(见GB/T 20438.4—2017的3.4.3)，但作为基础安全标准，各技术委员会可以在IEC指南104和ISO/IEC指南51的指导下制定相关标准时使用。GB/T 20438.1、GB/T 20438.2、GB/T 20438.3和GB/T 20438.4也可作为独立标准来使用。GB/T 20438的横向安全功能不适用于在IEC 60601系列指导下的医疗设备。
1.3各技术委员会的责任之一，是在其标准的起草工作中尽可能使用基础的安全标准。在本部分中，本基础安全标准中的要求、测试方法或测试条件只有在这些技术委员会起草的标准中已明确引用或包含时适用。
1.4图1表示了GB/T 20438的整体框架，同时明确了本部分在实现E/E/PE安全相关系统功能安全过程中的作用。

技术要求
第1部分
编制整体安全要求(概念、范围、定义、危险和风险分析)
7.1～7.5
第1部分
将安全要求分配给E/E/PE安全相关系统
7.6
第1部分
E/E/PE安全相关系统的系统安全要求规范
7.10
第2部分
E/E/PE安全相关系统的实现阶段
第3部分
安全相关软件的实现阶段
第1部分
E/E/PE安全相关系统的安装、调试和安全确认
7.13和7.14
第1部分
E/E/PE安全相关系统的操作、维护、修理、修改和改型、退役或处置
7.15～7.17
第5部分
确定安全完整性等级的方法示例
第6部分
第2部分和第3部分的应用指南
第7部分
技术和措施概述
其他要求
第4部分
定义和缩略语
第1部分
文档
第5章和附录A
第1部分
功能安全的管理
第6章
第1部分
功能安全评估
第8章
图1 GB/T 20438的整体框架
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB/T 20438.4—2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略语(IEC 61508-4：2010，IDT)
3定义和缩略语
GB/T 20438.4—2017界定的定义和缩略语适用于本文件。
附录A
(资料性附录)
E/E/PE安全相关系统的技术和措施概述：随机硬件失效控制(参看GB/T 20438.2)
A.1 电气
整体目标：控制机电元件中的失效。
A.1.1 利用在线监视检测失效
注：在GB/T 20438.2—2017的表A.2、表A.3、表A.7和表A.13～表A.18中引用了本技术/措施。
目的：通过监视E/E/PE安全相关系统在响应受控设备(EUC)正常(在线)运行时的行为来检测失效。
描述：在某些条件下，可用(例如)EUC的时间行为信息来检测失效，例如，作为E/E/PE安全相关系统组成部分的一只开关，由EUC正常驱动，如果在预定的时间开关并未改变状态，则将检测到一次失效，通常要定位失效部位是不可能的。
A.1.2继电器触点监视
注：在GB/T 20438.2—2017的表A.2和表A.14中引用了本技术/措施。
目的：检测继电器触点的失效(例如被熔接)。
描述：强制接触(或者正导向接触)继电器使它们的触点刚性的接在一起，假定有两组反向触点，分别为a和b，如果常开触点a被熔接，则当继电器线圈断电时，常闭触点b就不能闭合，因此，当继电器线圈断电时，监视常闭触点b的吸合可用来证明常开触点a已打开。常闭触点b闭合的失效表明触点a的一次失效，所以对任何受触点a控制的机器而言，监视电路应保证安全关机或保持关机状态。
参考文献：

A.1.3 比较器
注：在GB/T 20438.2—2017的表A.2、表A.3、表A.4中引用了本技术/措施。
目的：为了尽早检测一个独立处理单元或者比较器中的(非同时的)失效。
描述：利用一个硬件比较器周期性地或者连续地比较独立处理单元的信号。可以在外部测试比较器，或者它本身可使用自监视技术。监测到的处理器行为的差异将产生一条失效报文。
A.1.4多数表决器
注：在GB/T 20438.2—2017的表A.2、表A.3和表A.4中引用了本技术/措施。
目的：为了检测和防护三个或三个以上硬件通道之一的失效。
描述：表决单元使用多数原理(3个中有2个、3个中有3个、或者n个中有m个)来检测和防护失效。表决器自身可由外部测试，也可使用自监视技术。
参考文献：

A.1.5空闲电流的原则(断电跳闸)
注：在GB/T 20438.2—2017的表A.16中引用了本技术/措施。
目的：为了在切断电源或掉电时执行安全功能。
描述：当触点断开并且没有电流流过时就执行安全功能。例如，当使用制动器来制止一台电机的危险运动时，制动器将随安全相关系统中触点的闭合而开放，随安全相关系统中触点的打开而制动。
参考文献：

A.2电子
整体目标：控制固态部件中的失效。
A.2.1 利用冗余硬件进行测试
注：在GB/T 20438.2—2017的表A.3、表A.15、表A.16、表A.18中引用了本技术/措施。
目的：为了检测失效而使用硬件冗余(即使用不必执行过程功能的附加硬件)。
描述：冗余硬件可用来以一个适当的频度检测指定的安全功能。要实现A.1.1或A.2.2，通常必须使用这种方法。
A.2.2动态原理
注：在GB/T 20438.2—2017的表A.3中引用了本技术/措施。
目的：通过动态信号处理来检测静态失效。
描述：强制改变其他的静态信号(内部或外部产生的)可帮助检测部件中的静态失效。通常这种技术与机电部件相联系。
参考文献：

A.2.3标准测试访问端口和边界扫描架构
注：在GB/T 20438.2—2017的表A.3、表A.15和表A.18中引用了本技术/措施。
目的：为了控制和观测一片IC(集成电路)的每个引脚处发生的情况。
描述：边界扫描测试是一种IC设计技术，此技术通过解决怎样访问IC内的电路测试点的问题提高IC的可测试性。在由内核逻辑、输入/输出缓冲器组成的一个典型边界扫描IC中，内核逻辑和与每个IC引脚相邻的输入/输出缓冲器之间插入了一个移位寄存器级。各个移位寄存器级都包含在一个边界扫描组元中。通过标准测试存取端口，边界扫描组元可控制和观测一个IC的每个输入/输出引脚处发生的情况。把芯片上的内核逻辑同接收到的外围部件的激励隔离开然后执行一次内部自测试，可完成IC内核逻辑的内部测试。这些测试可用来检测IC中的失效。
参考文献：

A.2.4 (不再使用)
A.2.5监视冗余
注：在GB/T 20438.2—2017的表A.3中引用了本技术/措施。
目的：通过配备几个功能单元，监视每个单元的行为以检测失效，在检测到这些单元的行为有任何差异时就开启到一种安全工况的转换。
描述：至少由两个硬件通道来执行安全功能。监视这些通道的输出，当检测到一个故障时(即当各通道的输出信号不相同时)就启动一个安全工况。
参考文献：

A.2.6 带自动检验的电气/电子部件
注：在GB/T 20438.2—2017的表A.3中引用了本技术/措施。
目的：为了通过定期检验安全功能来检测失效。
描述：在起动过程之前测试硬件，并且按适当的间隔时间反复测试该硬件。只有在每次测试都无问题时，受控设备(EUC)才继续运行。
参考文献：

A.2.7模拟信号监视
注：在GB/T 20438.2—2017的表A.3和表A.13中引用了本技术/措施。
目的：提高所测信号的可信度。
描述：凡在选择时，应优先使用模拟信号而不使用数字开/关状态。例如，在使用常见的信号电平容差监视时，都是用模拟信号电平来表示跳闸或者安全状态。该技术提供了连续监视以及变送器可信度的较高级别，减少了变送器传感功能必要的验证试验的频度。外部接口，例如脉冲线路也需要测试。
A.2.8降额
注：在GB/T 20433.2—2017的7.4.2.13中引用了本技术/措施。
目的：提高硬件部件的可靠性。
描述：通过把系统设计成在低于最大规范额定值下运行来保证硬件部件在某一应力级下运行。降额是保证在所有额定工作环境下，部件可在低于它们的最大应力级下工作的实际作法。
A.3处理单元
整体目标：辨别导致处理单元结果错误的失效。
A.3.1 利用软件进行自测试：有限数量的模板(单通道)
注：在GB/T 20438.2—2017的表A.4中引用了本技术/措施。
目的：尽早检测出处理单元中的失效。
描述：使用不需考虑任何特殊安全要求的标准技术构建硬件。借助附加的软件功能完全可实现失效检测，这种软件功能使用至少两个互补的数据模板(例如十六进制的55和十六进制的AA)来执行自测试。
A.3.2利用软件进行自测试：漫步位(WALKING BIT)(单通道)
注：在GB/T 20438.2—2017的表A.4中引用了本技术/措施。
目的：尽早检测出处理单元的物理存储器(例如寄存器)和指令译码器中的失效。
描述：利用附加软件功能完全可实现失效检测，该软件功能使用可测试物理存储器(数据和地址寄存器)和指令译码的一个数据模板(例如漫步位模板)执行自测试。但诊断覆盖率只有90％。
A.3.3 由硬件支持的自测试(单通道)
注：在GB/T 20438.2—2017的表A.4中引用了本技术/措施。
描述：附加的特殊硬件装置支持自测试功能以便检测失效。例如，该装置可能是一个硬件单元，它根据看门狗原理周期性地监视某个位模板的输出。
A.3.4编码处理(单通道)
注：在GB/T 20438.2—2017的表A.4中引用了本技术/措施。
目的：尽早检测出处理单元中的失效。
描述：设计处理单元时使用了特殊的失效辩别或者失效校正电路技术。迄今，这些技术还只适用于比较简单的电路而未普及；但不排除将来的发展。
参考文献：

A.3.5利用软件进行相互比较
注：在GB/T 20438.2—2017的表A.4中引用了本技术/措施。
目的：尽早检测出处理单元中的失效，本方法使用了动态软件比较。
描述：两个处理单元互相交换数据(包括结果、中间结果和测试数据)。在每个单元中使用软件对数据进行一次对比，检测到的差异将产生一条失效报文。
A.4不可变内存范围
整体目标：检测不可变内存中信息的修改。
A.4.1字保存多位冗余(例如使用改进的汉明码进行ROM监视)
注1：在GB/T 20438.2—2017的表A.5中引用了本技术/措施。
注2：参见A.5.6使用改进的汉明码进行RAM监视，或者通过错误检测和纠正码(EDC)检测数据失效和C.3.2错误检测和纠正码。
目的：检测一个16位字中所有的一位失效，所有的双位失效，某些3位失效和某些全部位的失效。
描述：为了产生汉明距离至少为4的一个改进的汉明码，可用几个冗余位来扩充存储器的每一个字。每当读一个字时，检验冗余位就能确定是否发生了错误。当发现有一个差异时，就会产生一条失效信息。此程序也可通过计算数据字及其地址的连接冗余位来检测寻址失效。
参考文献：

A.4.2修改的校验和
注：在GB/T 20438.2—2017的表A.5中引用了本技术/措施。
目的：检测所有奇数位失效，即全部可能位的大约50％失效。
描述：借助一种合适的算法来创立一个校验和，此算法使用了一个内存块中的全部字。校验和可作为一个附加字存储在ROM中，或者把一个附加字附加给内存块以保证校验和算法产生一个预定的值。在后面的内存测试中，再使用同一算法建立一个校验和，并把结果同存储的或者定义的值进行对比。如果发现有差异，则产生一条失效报文。
A.4.3单字(8位)的签名
注：在GB/T 20438.2—2017的表A.5中引用了本技术/措施。
目的：检测一个字的所有一位失效和所有多位失效，可检测所有可能位失效的约99.6％。
描述：(既可使用硬件也可使用软件)通过一种循环冗余校验(CRC)算法把一个内存块的内容压缩成一个内存字。一种典型的CRC算法是把块的整个内容当作字节串行或者位串行数据流来处理，根据这种算法，使用一个多项式发生器来执行一个连续的多项式除法。除得的余项就代表压缩的存储内容——即是存储器的“签名”——并被存储起来。在后面的测试中又计算一次签名，并把这个签名同早先存储的签名进行比较。当它们有差异时，就产生一条失效报文。
A.4.4双字(16位)的签名
注：在GB/T 20438 2—2017的表A.5中引用了此技术/措施。
目的：检测一个字中所有的一位失效和所有的多位失效，可检测所有可能位失效的99.998％。
描述：本程序使用一种循环冗余校验(CRC)算法来计算一个签名，而结果值至少有两个字长，像单字情况中那样，扩展的签名被存储、重新计算和比较。当存储的和重算的签名之间有差异时就产生一条失效报文。
A.4.5块复制(例如利用硬件或者软件进行比较的双重ROM)
注：在GB/T 20438.2—2017的表A.5中引用了本技术/措施。
目的：检测全部位失效。
描述：在两个存储器中复制地址空间。第一个存储器以正常方式工作。第二个存储器包含同样的信息并且同第一个并行存取。比较它们的输出，当检测到有差异时就产生一条失效报文。为了检测某类位错误，必须在两个存储器中的一个中逆向存储数据，当读数时，再次反向。
A.5可变的存储区
整体目标：检测寻址、写、存储和读过程中的失效。
注：软错误列在GB/T 20438.2—2017的表A.1中，作为运行期间可以被检测出的故障，或者进行分析以导出安全失效分数。软错误的起因包括：(1)封装损坏导致的Alpha粒子，(2)中子，(3)外部EMI噪声，(4)内部串扰。外部EMI噪声由其他国际标准要求覆盖。
Alpha粒子和中子的影响宜由运行时安全完整性措施来控制，对硬差错有效的安全完整性措施对软错误不一定有效，例如，漫步路径法(walk-path)，乒乓测试法(galpat)等RAM测试法都无效。但是象奇偶校验和ECC等能复读存储器单元的监控技术是有效的。
当辐射事件引起足够的电荷干扰扭转或翻转低能量的半导体存储单元、寄存器、锁存器或触发器的数据状态时，软错误就会发生。之所以被称为软错误，是因为电路本身并未受到辐射的永久损坏。软错误分为单位翻转(SBU)或单事件翻转(SEU)和多位翻转(MBU)。
如果受干扰电路是存储单元或触发器的存储元件，状态被保存直到下一次(预期的)写操作，新数据就会被正确存储。在组合电路中，这个影响是一个小故障，因为从部件来的连续的能量流会驱动此节点。对连接线和通信线的影响也可能是一个小故障。不过，由于较大的电容，α粒子和中子的影响被认为是微不足道。
软错误可能和各类可变内存相关，比如动态内存(DRAM)、静态内存(SRAM)、微处理器中的寄存器组、快速缓冲贮存区(cache)、流水线(pipelines)、设备(如ADC、DMA、MMU)配置寄存器、中断控制器、复杂定时器等。对alpha粒子和中子的灵敏度由核心电压和几何结构共同作用的结果。在2.5 V核心电压，特别是低于1.8 V的核心电压更小的geometries需要更多评估和更加有效的保护措施。
根据下面从a到i的报告记录，内存(嵌入式)的软错误率在700 Fit/Mbit到1 200 Fit/Mbit范围之间。这是通过比较采用硅工艺实现的器件得到的一个参考值。直到最近SBU差错被认为是主要的差错，但是最近的报道(参见下列a)称；在65nm以下技术下，所有软错误率(SER)里面MBU占据的比例越来越高。
下列文献和资料有软错误的详细描述：

A.5.1 “检测板(checkerboard)”法或“跨步(march)”法RAM测试
注：在GB/T 20438.2—2017的表A.6中引用了本技术/措施。
目的：检测主要的静态位失效。
描述：把含有数个0和数个1的一个检测板写入面向位的存储器的存储单元中。成对地检查存储单元以保证它们的内容相同和正确无误。这个成对的第1单元的地址是可变的，而此对的第2单元的地址则由第1单元的地址逐位取反形成。第1次运行时，存储器地址区从可变地址朝高地址方向扩展，而第2次运行时则朝低地址方向扩展，在预先指定一个反向值的情况下，两次运行应是一样的。如出现有差异则产生一条失效报文。
在一次“跨步”法RAM测试中，一个面向位的存储器的单元将由一个均匀的位流初始化。在第一次运行时，按升序检查这些单元，检查每个单元的内容是否正确并将它的内容反向。在第二次运行时按降序和同样的方式处理第一次运行中建立的后台。在第3次或第4次运行中反向预赋值的情况下，将重复头两次运行。如果出现有差异就会产生一条失效报文。
A.5.2“漫步路径(walkpath)”法RAM测试
注：在GB/T 20438.2—2017的表A.6中引用了本技术/措施。
目的：为了检测静态和动态位失效，以及存贮单元之间的串扰。
描述：用一个均匀的位流初始化要测试的存储范围，第1个单元被反向并检查其余的存储区以确保后台是正确无误的。此后第1单元再次反向从而使它回复到它的初始值，对下一个单元也重复整个操作过程。在反向的后台预赋值情况下执行“漫游位模型”的第2次运行。当出现有差异时就会产生一条失效报文。
A.5.3“跳步模式(galpat)”法或者“透明跳步模式(transparent galpat)”法RAM测试
注：在GB/T 20438.2—2017的表A.6中引用本技术/措施。
目的：为了检测静态位失效和大比例动态耦合。
描述：在“galpat” RAM测试法中，先一致地(即全为0或者为1)初始化选择的存储范围。测试最初存储单元，然后倒置第1个存储单元，并检查所有剩余的单元以确保它们的内容正确无误。每读取一个剩余单元之后，也检验反向的单元。对选定的存储范围中的每个单元都重复此操作过程。在相反的初始化情况下执行第二次运行。任何差异就会产生一条失效报文。
“透明的galpat”测试法是上面的操作过程的一种变种：更换初始化所选存储范围内的所有单元，现存内容保持不变，使用签名来比较单元集合的内容。选择在所选范围内要测试的第1个单元，计算范围中其余所有单元的签名S1，并把它存储起来。然后把要测试的单元反向，重新计算所有其余单元的签名S2(在每读取一个剩余单元之后，也检验反向的单元。)比较S2和S1，任何差异就产生一条失效报文。重新反向被测单元使之重建原先的内容，重新计算其余所有单元的签名S3，把S3同S1进行比较，任何差异就产生一条失效报文。按同样的方法测试所选存储范围中的所有存储单元。
A.5.4“Abraham”RAM测试法
注：在GB/T 20438.2—2017的表A.6中引用了本技术/措施。
目的：为了检测存储单元之间所有的固定型失效和耦合失效。
描述：检测故障的比例超过“galpat” RAM测试法。整个存储器测试需要执行的操作次数约为30n，n是存储器中的单元数。为了在操作循环过程中使用透明法进行测试，需要通过分割存储器并在不同时间段测试每个分区。
参考文献：

A.5.5一位冗余(例如，使用一个奇偶校验位进行RAM监视)
注：GB/T 20438.2—2017的表A.6中引用了本技术/措施。
目的：为了在被测试的存储范围内检测所有可能的位失效的50％。
描述：把存储器的每个字都扩展1位(奇偶校验位)，此位给每个字补齐偶数个或奇数个逻辑1。每次读数据字时将检验它的奇偶性。如发现1的个数有错时，就产生一条失效报文。应这样选择偶或奇偶性，使得在一次失效事件中，无论是0字(全0)还是1字(全1)都不是有效的，此时字也不是有效代码。当计算数据字和它的地址连接的奇偶性时，奇偶校验也可用来检测寻址失效。
A.5.6利用一个修改的汉明码进行RAM监视，或者利用差错检测和纠错码(EDC)检测数据失效
注1：在GB/T 20438.2—2017的表A.6中引用了本技术/措施。
注2：可参看A.4.1“字存储多位冗余(例如，利用修改的汉明码进行ROM监视)”和C.3.2“差错检测和纠错码”。
目的：为了检测所有的奇位失效，所有的2位失效，某些3位和多位失效。
描述：把存储器的每次操作扩展几个冗余位从而产生具有一个汉明距离至少为4的一个修改过的汉明码。每次数据被读取时，通过检验冗余位可以确定是否发生了一次讹错。当发现有差异时，就产生一条失效报文。当计算数据字和它的地址连接的冗余位时，此程序也可用来检测寻址失效。
参考文献：

A.5.7具有硬件或者软件比较和读/写测试的双重RAM
注：在GB/T 20438.2—2017的表A.6中引用本技术/措施。
目的：为了检测全位失效。
描述：在两个存储器中复制地址空间。第一个存储器以常规方式工作。第2个存储器包含同样的信息并且同第一个存储器并行存取。比较两个输出，当检测到差异时就产生一条失效报文。为了检测某些类型的位错误，两个存储器中的一个存储的数据必须反向，当读出时再次反向。
A.6 I/O单元和接口(外部通信)
整体目标：为了检测输入和输出单元(数字、模拟、串行或者并行)中的失效以及防止不允许的输出传送给过程。
A.6.1测试模式
注：在GB/T 20438.2—2017的表A.7、表A.13和表A.14中引用了本技术/措施。
目的：为了检测静态失效(固定型失效)和串扰。
描述：它是一种与数据流无关的输入和输出单元的循环测试。它用一种定义的测试模式来比较观测值和对应的预计值。测试模式信息、测试模式接受及测试模式评价都必须相互独立。受控设备不应受到不允许的测试模式的影响。
A.6.2代码保护
注：在GB/T 20438.2—2017表A.7、表A.15、表A.16和表A.18中引用了本技术/措施。
目的：为了检测输入/输出数据流中随机硬件和系统性失效。
描述：本程序可保护输入和输出信息免受系统和随机硬件引起的失效。代码保护提供了以信息冗余和时间冗余为基础的、与数据流有关的输入、输出单元的失效检测。典型地是把冗余信息叠加在输入或输出数据上。它提供了监视输入或输出电路正确运行的一种方法。许多技术都能用，例如，在一个传感器输出信号上可以叠加一个载频信号。为了监视逻辑单元和最后的执行器之间流经的一个信号的有效性，逻辑单元可以检验附加到一个输出通道上的载频或者冗余码位的存在。
A.6.3 多通道并行输出
注：在GB/T 20438.2—2017的表A.7中引用了本技术/措施。
目的：为了检测随机硬件失效(固定型失效)、外部影响引起的失效、定时失效、寻址失效、漂移失效和瞬态失效。
描述：它是用于检测随机硬件失效的一个具有独立输出的、与数据流有关的多道并行输出。通过外部比较器进行失效检测。当发生一次失效时，立即关掉受控设备。这种措施只有在诊断测试间隔期间数据流改变时才有效。
A.6.4受监视的输出
注：在GB/T 20438.2—2017的表A.7中引用了本技术/措施。
目的：为了检测个体失效、由外部影响引起的失效、定时失效、寻址失效、漂移失效(模拟信号)和瞬态失效。
描述：输出同无关的输入之间有关数据流的比较从而保证同一个定义的容差范围(时间、值)相符。检测到的一次失效并不总是同输出故障有关。只有在诊断测试间隔期间数据流改变时，此措施才有效。
A.6.5输入比较/表决
注：在GB/T 20438.2—2017的表A.7和表A.13中引用本技术/措施。
目的：为了测量个体失效、由外部影响引起的失效、定时失效、寻址失效、漂移失效(对于模拟信号)和瞬态失效。
描述：独立输入的一种与数据流有关的比较，从而确保同一个定义的容差范围(时间、值)相符。有2选1、3选2或者更多的冗余方法。此措施只有在诊断测试间隔期间数据改变时才有效。
A.7数据通路(内部通信)
整体目标：为了检测由信息传送中的一个故障引起的失效。
A.7.1一位硬件冗余
注：在GB/T 20438.2—2017的表A.8中引用了一技术/措施。
目的：为了检测所有的奇位失效，即数据流中所有可能失效位的50％。
描述：用一行(位)扩充总线并且借助奇偶校验可把这个附加行(位)用于检测失效。
A.7.2 多位硬件冗余
注：在GB/T 20438.2—2017的表A.8中引用了本技术/措施。
目的：为了检测通信过程中总线上和串行传输链路中的失效。
描述：用2行(位)或多行(位)扩充总线，为了借助汉明码技术检测失效，将使用这些附加行(位)。
A.7.3完全硬件冗余
注：在GB/T 20438.2—2017的表A.8中引用了本技术/措施。
目的：利用比较两条总线上的信号检测通信过程中的失效。
描述：为了检测失效，总线数量被加倍并使用了附加行(位)。
A.7.4使用测试模式进行检查
注：在GB/T 20438.2—2017的表A.8中引用了本技术/措施。
目的：为了检测静态失效(固定型失效)和串扰。
描述：这是一种与数据流无关的数据通路循环测试。它使用一个定义的测试模式来比较观察值和相应的预期值。
测试模式信息、测试模式接受、测试模式评价必须彼此完全无关。受控设备不应受到测试模式不允许的影响。
A.7.5传输冗余
注：在GB/T 20438.2—2017的表A.8中引用了本技术/措施。
目的：为了检测总线通信中的瞬态失效。
描述：依次把信息传送几次。这种重复法只对于瞬态失效才有用。
A.7.6信息冗余
注：在GB/T 20438.2—2017的表A.8中引用了本技术/措施。
目的：为了测量总线通信中的失效。
描述：成块地并连同每个块的一个计算出的检验和传输数据。接收机重新计算接收数据的检验和，并把结果同接收到的检验和作比较。
A.8电源
整体目标：为了检测或者允许一个电源故障引起的失效。
A.8.1使用安全断电的过压保护
注：在GB/T 20438.2—2017的表A.9中引用了本技术/措施。
目的：为了保护安全相关系统免受过压。
描述：及早检测过压使之能通过掉电例行程序或者转换到第二电源把所有输出转换到一个安全工况。
参考文献：

A.8.2电压控制(次级)
注：在GB/T 20438.2—2017的表A.9中引用了本技术/措施。
目的：为了监视次级电压并当电压超过规定范围时就启动一个安全工况。
描述：监视次级电压，当它超出规定范围时，就启动一次掉电或转换到第2电源。
A.8.3具有安全断电的掉电
注：在GB/T 20438.2—2017的表A.9中引用了本技术/措施。
目的：在所有安全关键信息被保存的情况下切断电源。
描述：及早检测过压或欠压使之内部状态能保存在非易失性存储器中(如必要的话)，并使所有的输出能通过掉电例程设置或转换到一个安全工况，或者转换到第2电源。
A.9时序的和逻辑的程序序列监视
注：在GB/T 20438.2—2017的表A.15、表A.16和表A.18中引用了本技术/措施。
整体目标：为了检测一个有缺陷的程序序列。当在错误的序列或时段中处理一个程序的各个单元(例如软件模块、子程序或者命令)时或者当处理机的时钟有毛病时，就会存在一个有缺陷的程序序列。
A.9.1 具有分离时基而无时间窗的看门狗
注：在GB/T 20438.2—2017的表A.10和表A.11中引用了本技术/措施。
目的：为了监视程序序列的行为和合理性。
描述：为了监视计算机的行为和程序序列的合理性，定期触发具有分离时基的外部定时单元(例如看门狗)。在程序中正确地设置触发点是很重要的。不按一个固定的周期触发看门狗，但规定了最大时间间隔。
A.9.2具有分离时基和时间窗的看门狗
注：在GB/T 20438.2—2017的表A.10和表A.11中引用了本技术/措施。
目的：为了监视程序序列的行为和似真性。
描述：为了监视计算机的行为和程序序列的似真性，定期触发具有分离时基的外部定时单元(例如看门狗)。在程序中正确设置触发点是很重要的。给出了看门狗的一个上、下限。如果程序序列占用的时间比预定的时间长或者短，就会采取应急行动。
A.9.3程序序列的逻辑监视
注：在GB/T 20438.2—2017的表A.10和表A.11中引用了本技术/措施。
目的：为了监视各个程序段的正确顺序。
描述：使用软件(计数程序、临界程序)或者使用外部监视设备监视各个程序段的正确顺序。在程序中正确设置校验点是很重要的。
A.9.4程序序列的时序和逻辑监视的组合
注：GB/T 20438.2—2017的表A.10和表A.11中引用了本技术/措施。
目的：为了监视各个程序段的行为和正确的顺序。
描述：只有在也正确执行程序段的顺序时才会触发监视程序序列的一台时序设备(例如看门狗计时器)。
A.9.5具有在线检验的时序监视
注：在GB/T 20438.2—2017的表A.10和表A.11中引用本技术/措施。
目的：为了检测时序监视中的失效。
描述：在起动时检验时序监视，并且只有当时序监视正常工作时，才可能启动。例如，在起动时，可以用一个加热的电阻来检验一个热传感器。
A.10通风和加热
注：在GB/T 20438.2—2017的表A.16和表A.18中引用了本技术/措施。
整体目标：为了控制通风和加热中的失效。和/或监视它们是否与安全有关。
A.10.1 温度传感器
目的：当系统开始在规定的温度范围之外工作之前，检测温度过高还是温度过低。
描述：温度传感器监视E/E/PES的大多数临界点处的温度。在温度偏离规定范围之前就采取应急行动。
A.10.2风扇控制
目的：为了检测风扇运转的不正常。
描述：监视风扇的运转是否正常。当一台风扇工作不正常时，就要采取维护(或者最终得采取应急)行动。
A.10.3通过热熔断器启动安全断电
目的：在系统的工作温度超过技术条件的规定之前，就断掉安全相关系统的电源。
描述：一个热熔断器被用来切断安全相关系统的供电，对一个可编程电子系统(PES)来说，可通过一个存储有应急行动所需的全部信息的掉电例行程序来引起断电。
A.10.4来自温度传感器和条件报警的交错报文
目的：为了指示安全相关系统正工作在技术条件规定的温度范围之外。
描述：监视温度，当温度超出规定范围时就产生一个报警。
A.10.5强制通风制冷的连接和状态指示
目的：利用强制风冷却防止过热。
描述：监视温度，当温度高于规定的上限时就引起强制风冷却。并告之用户系统此时的状态。
A.11 通信和大容量存储器
整体目标：为了控制在与外部源和海量存储器通信过程中的失效。
A.11.1 分隔开电力线和信息线
注：在GB/T 20438.2—2017的表A.16中引用了本技术/措施。
目的：为了最小化信息线中大电流感生的串扰。
描述：分隔开电力供电线同传送信息的线路。可能在信息线上感生电压脉冲的电场随距离增大而减小。
A.11.2 多线路的空间分隔
注：在GB/T 20438.2—2017的表A.16中引用了本技术/措施。
目的：为了最小化多线路中大电流感生的串扰。
描述：载有重复信号的线路彼此分隔开。可能在多线路上感生电压脉冲的电场随距离增大而减小。这种措施也减少了共同原因失效。
A.11.3提高抗干扰性
注：在GB/T 20438.2—2017的表A.16和表A.18中引用了本技术/措施。
目的：为了减小对安全相关系统的电磁干扰。
描述：可以使用比如屏蔽和滤波这样的设计技术来提高安全相关系统对电力线或信号线或者静电放电产生的辐射或者传导电磁干扰的抗扰性。
注：参见表16和表17安全相关系统的抗干扰要求和工业应用中实施安全相关功能(功能安全)的设备抗干扰要求。
参考文献：

A.11.4反价的(Antivalent)信号传输
注：在GB/T 20438.2—2017的表A.7和表A.16中引用了本技术/措施。
目的：为了检测在多信号传输线中相同的感应电压。
描述：使用反价的(Antivalent)信号(例如逻辑1和0)来传输所有的重复信息。可以通过一个反价比较器来检测共同原因失效(例如由电磁发射引起的)。
参考文献：

A.12传感器
整体目标：为了控制安全相关系统的传感器中的失效。
A.12.1参考传感器
注：在GB/T 20438.2—2017的表A.13中引用了本技术/措施。
目的：为了检测传感器的工作不正常。
描述：使用了一个独立的参考传感器来监测过程传感器的工作。参考传感器以适当的时间间隔检验所有的输入信号从而检测过程传感器的失效。
参考文献：

A.12.2启动可靠的开关
注：在GB/T 20438.2—2017的表A.13中引用了本技术/措施。
目的：通过开关凸轮和触点之间的直接机械连接断开一个触点。
描述：通过开关凸轮和触点之间的直接机械连接，启动可靠的开关将断开它的常闭触点。这就保证了任何时候，只要开关凸轮处于吸合位置，开关触点一定是断开的。
参考文献：

A.13最终元件(执行器)
整体目标：为了控制安全相关系统的最终元件中的失效。
A.13.1 监视
注：在GB/T 20433.2—2017的表A.14中引用了本技术/措施。
目的：为了检测一个执行器的工作不正常。
描述：监视执行器的工作(例如通过一个继电器的启动可靠的触点，参见A.1.2中继电器触点监视)。此监视采用的冗余可用来触发应急行动。