?犐犆犛２５．０４０犆犆犛犖１０

中 華 人 民 共 和 國(guó) 國(guó) 家 標(biāo) 準(zhǔn)

犌犅／犜４１２９５．１—２０２

功能安全應(yīng)用指南

第１部分：危害辨識(shí)和需求分析

犃狆犾犻犮犪狋犻狅狀犵狌犻犱犲狅犳犳狌狀犮狋犻狅狀犪犾狊犪犳犲狋狔—

犘犪狉狋１：犎犪狕犪狉犱犻犱犲狀狋犻犳犻犮犪狋犻狅狀犪狀犱狉犲狇狌犻狉犲犿犲狀狋狊犪狀犪犾狔狊犻狊

２０２０３０９發(fā)布 ２０２１００１實(shí)施

發(fā)布

國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅／犜４１２９５．１—２０２

目 次

前言 Ⅰ

引言 Ⅱ

１范圍 １

２規(guī)范性引用文件 １

３術(shù)語(yǔ)和定義 １

４縮略語(yǔ) ２

５總則 ２

５．１危害辨識(shí)和需求分析所處生命周期的階段 ２

庫(kù)七七標(biāo)準(zhǔn)下載

５．２危害辨識(shí)和需求分析的基本考慮

５．３危害辨識(shí)和需求分析的過(guò)程考慮

５．４危害辨識(shí)和需求分析的變更考慮

…………………２

…………………２

…………………３

５．５危害辨識(shí)和需求分析的文檔化考慮 ３

６危害辨識(shí) ３

６．１危害辨識(shí)的一般過(guò)程 ３

６．２自然環(huán)境在危害辨識(shí)過(guò)程中的影響分析

６．３法律法規(guī)在危害辨識(shí)過(guò)程中的影響分析

６．４工藝過(guò)程在危害辨識(shí)過(guò)程中的影響分析

…………４

…………４

…………４

６．５受控設(shè)備的風(fēng)險(xiǎn)

６．６安全系統(tǒng)的風(fēng)險(xiǎn)

……………………５

……………………５

６．７風(fēng)險(xiǎn)記錄 ５

７需求分析 ５

參考文獻(xiàn) ７

圖１危害辨識(shí)的一般過(guò)程 ４

表１風(fēng)險(xiǎn)記錄表示例 ５

前 言

本文件按照ＧＢ／Ｔ１．１—２０２０《標(biāo)準(zhǔn)化工作導(dǎo)則 第１部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。

本文件是ＧＢ／Ｔ４１２９５《功能安全應(yīng)用指南》的第１部分。ＧＢ／Ｔ４１２９５已經(jīng)發(fā)布了以下部分：

——第１部分：危害辨識(shí)和需求分析；

——第２部分：設(shè)計(jì)和實(shí)現(xiàn)；

——第３部分：測(cè)試驗(yàn)證；

——第４部分：管理和維護(hù)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出。

本文件由全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（ＳＡＣ／ＴＣ１２４）歸口。

本文件起草單位：中國(guó)石油集團(tuán)安全環(huán)保技術(shù)研究院有限公司、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、國(guó)能智深控制技術(shù)有限公司、中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心）、中國(guó)石油大學(xué)（北京）。

本文件主要起草人：熊文澤、魏振強(qiáng)、劉曉亮、田雨聰、史學(xué)玲、郭永振、姜濤、靳江紅、張雪、董紹華、孟鄒清、張亞彬、王璐、安健、李世斌、羅方偉、劉瑤、朱明露。

Ⅰ

引 言

自ＧＢ／Ｔ２０４３８（所有部分）發(fā)布以來(lái)，電氣／電子／可編程電子系統(tǒng)已經(jīng)越來(lái)越多的應(yīng)用于國(guó)內(nèi)各個(gè)領(lǐng)域的安全控制和安全防護(hù)，包括石油、化工、電力、軌道交通、汽車、電梯／扶梯等。近年來(lái)隨著智能制造的興起，智能化設(shè)備（主要由電氣／電子／可編程電子為技術(shù)基礎(chǔ)）的安全問(wèn)題逐漸成為一個(gè)新的研究方向和焦點(diǎn)，進(jìn)一步提升了對(duì)功能安全技術(shù)的需求。

ＧＢ／Ｔ２０４３８（所有部分）給出了實(shí)現(xiàn)功能安全的基本框架和結(jié)構(gòu)，作為等同轉(zhuǎn)化的標(biāo)準(zhǔn)，與國(guó)內(nèi)企業(yè)的管理體系和設(shè)計(jì)思路未能完全切合，加之很多國(guó)內(nèi)工程技術(shù)人員都是初次接觸功能安全技術(shù)，對(duì)于功能安全概念一時(shí)難以理解，這就造成雖然國(guó)際功能安全標(biāo)準(zhǔn)提出了非常好的安全理念和設(shè)計(jì)措施，但技術(shù)人員難以清楚的理解和認(rèn)識(shí)。ＧＢ／Ｔ２０４３８（所有部分）發(fā)布１０多年來(lái)，國(guó)內(nèi)一些領(lǐng)先的科研院所和企業(yè)已經(jīng)基于標(biāo)準(zhǔn)要求開(kāi)展了很多工作，并積累了一定的經(jīng)驗(yàn)。因此，基于國(guó)內(nèi)目前已有的功能安全評(píng)估、功能安全設(shè)計(jì)、功能安全測(cè)試和功能安全管理實(shí)踐形成本文件，以更好地指導(dǎo)功能安全相關(guān)系統(tǒng)的設(shè)計(jì)、分析、評(píng)估和運(yùn)行維護(hù)。

ＧＢ／Ｔ４１２９５擬制定４個(gè)部分。

——第１部分：危害辨識(shí)和需求分析。目的在于規(guī)定功能安全系統(tǒng)設(shè)計(jì)初期的危害辨識(shí)內(nèi)容和需求如何產(chǎn)生的方法。

——第２部分：設(shè)計(jì)和實(shí)現(xiàn)。目的在于規(guī)定功能安全系統(tǒng)的軟硬件設(shè)計(jì)和實(shí)現(xiàn)方法和實(shí)施指南。

——第３部分：測(cè)試驗(yàn)證。目的在于規(guī)定功能安全系統(tǒng)在生命周期過(guò)程各個(gè)階段的測(cè)試導(dǎo)則和測(cè)試方法解讀。

——第４部分：管理和維護(hù)。目的在于規(guī)定功能安全系統(tǒng)管理和維護(hù)過(guò)程的導(dǎo)則。

Ⅱ

功能安全應(yīng)用指南

第１部分：危害辨識(shí)和需求分析

１范圍

本文件提供了功能安全系統(tǒng)應(yīng)用指南中危害辨識(shí)和需求分析指導(dǎo)。本文件適用于功能安全系統(tǒng)開(kāi)發(fā)的概念階段。

２規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

ＧＢ／Ｔ２０４３８．１—２０１７電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全第１部分：一般要求

ＧＢ／Ｔ２０４３８．２—２０１７電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全第２部分：電氣／電子／可編程電子安全相關(guān)系統(tǒng)的要求

ＧＢ／Ｔ２０４３８．３—２０１７電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全第３部分：軟件要求

ＧＢ／Ｔ２０４３８．４—２０１７電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全第４部分：定義和縮略語(yǔ)

３術(shù)語(yǔ)和定義

ＧＢ／Ｔ２０４３８．４—２０１７界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

３．１

危害辨識(shí)犺犪狕犪狉犱犻犱犲狀狋犻犳犻犮犪狋犻狅狀

受控設(shè)備、工藝過(guò)程、運(yùn)行環(huán)境及功能安全系統(tǒng)本身中潛在危險(xiǎn)的發(fā)生風(fēng)險(xiǎn)，通過(guò)理論推導(dǎo)和經(jīng)驗(yàn)

總結(jié)等方法分辨并標(biāo)識(shí)風(fēng)險(xiǎn)的可接受程度。

３．２

需求分析狉犲狇狌犻狉犲犿犲狀狋狊犪狀犪犾狔狊犻狊

根據(jù)危害辨識(shí)（３．１）的結(jié)論，制定功能安全系統(tǒng)的安全需求；根據(jù)功能安全系統(tǒng)的架構(gòu)將安全需求分解到組件的過(guò)程。

３．３

３．４

系統(tǒng)相關(guān)人員狊狔狊狋犲犿狉犲犾犪狋犲犱狆犲狉狊狅狀犲犾

在功能安全系統(tǒng)的整個(gè)生命周期中，可能與系統(tǒng)發(fā)生直接關(guān)系的人員。

注：包括系統(tǒng)的定義、需求、設(shè)計(jì)、實(shí)施、測(cè)試、操作、維護(hù)、商務(wù)等人員。

運(yùn)行場(chǎng)景狅狆犲狉犪狋犻狅狀狊犮犲狀犪狉犻狅

功能安全系統(tǒng)運(yùn)行時(shí)，相關(guān)的自然環(huán)境、工藝過(guò)程、受控設(shè)備以及功能安全系統(tǒng)所組成的集合。這

個(gè)場(chǎng)景是具象化的，能夠通過(guò)實(shí)體仿真觀察研究的。

１

３．５３．６

安全需求狊犪犳犲狋狔狉犲狇狌犻狉犲犿犲狀狋狊

功能安全系統(tǒng)為了降低風(fēng)險(xiǎn)到可容忍級(jí)別，而需要滿足的功能安全完整性等級(jí)要求。

注：安全需求在ＧＢ／Ｔ２０４３８中被稱之為安全要求，兩者具有相同的含義。

功能安全系統(tǒng)犳狌狀犮狋犻狅狀犪犾狊犪犳犲狋狔狊狔狊狋犲犿

執(zhí)行安全相關(guān)功能的系統(tǒng)，具有功能安全相關(guān)的特性，滿足特定的安全完整性等級(jí)（ＳＩＬ）。

注：這里的系統(tǒng)是一個(gè)廣義的概念，包含不同的層次，如安全部件、安全設(shè)備或安全控制系統(tǒng)等。在實(shí)際的工業(yè)過(guò)程中，功能安全系統(tǒng)可能是一個(gè)變送器、繼電器、安全可編程序控制器或安全儀表系統(tǒng)。

４縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ＤＣ：診斷覆蓋率（ＤｉａｇｎｏｓｔｉｃＣｏｖｅｒａｇｅ）

ＥＭＣ：電磁兼容性（ＥｌｅｃｔｒｏｍａｇｎｅｔｉｃＣｏｍｐａｔｉｂｉｌｉｔｙ）

ＭｏＮ：Ｎ取Ｍ通道架構(gòu)（ＭｏｕｔｏｆＮｃｈａｎｅｌａｒｃｈｉｔｅｃｔｕｒｅ）

ＳＦＦ：安全失效分?jǐn)?shù)（ＳａｆｅＦａｉｌｕｒｅＦｒａｃｔｉｏｎ）ＳＩＬ：安全完整性等級(jí)（ＳａｆｅｔｙＩｎｔｅｇｒｉｔｙＬｅｖｅｌ）

５總則

５．１危害辨識(shí)和需求分析所處生命周期的階段

本文件所提供的危害辨識(shí)和需求分析是指在功能安全系統(tǒng)研發(fā)設(shè)計(jì)前，基于系統(tǒng)的預(yù)期用途和工作環(huán)境對(duì)系統(tǒng)失效可能造成的危害情況進(jìn)行充分的辨識(shí)，從而獲得系統(tǒng)預(yù)期要實(shí)現(xiàn)的安全功能需求。功能安全系統(tǒng)應(yīng)用的整體生命周期宜按照ＧＢ／Ｔ２０４３８．１—２０１７，功能安全系統(tǒng)生命周期宜按照

ＧＢ／Ｔ２０４３８．２—２０１７，功能安全系統(tǒng)軟件生命周期宜按照ＧＢ／Ｔ２０４３８．３—２０１７。

５．２危害辨識(shí)和需求分析的基本考慮

在危害辨識(shí)和需求分析時(shí)，一般遵循如下的基本通則。

——重點(diǎn)關(guān)注會(huì)導(dǎo)致人員生命和健康受到傷害的危害。

——危害辨識(shí)需要綜合考慮各要素的相互影響，需要系統(tǒng)相關(guān)人員共同提出辨識(shí)意見(jiàn)，系統(tǒng)相關(guān)人員包括：

●工藝設(shè)計(jì)人員；

●現(xiàn)場(chǎng)操作人員；

●系統(tǒng)開(kāi)發(fā)人員；

●維修維護(hù)人員；

●商務(wù)人員等。

——安全需求制定時(shí)，需要兼顧系統(tǒng)的基本控制功能。

——安全需求不會(huì)產(chǎn)生新的危害，并且需要進(jìn)行迭代分析。

５．３危害辨識(shí)和需求分析的過(guò)程考慮

在危害辨識(shí)和需求分析時(shí)，需要遵循如下的實(shí)施過(guò)程：

２

——選擇功能安全系統(tǒng)需要運(yùn)行場(chǎng)景以及需要控制的范圍；

——收集同類場(chǎng)景已經(jīng)發(fā)生過(guò)的危險(xiǎn)事件數(shù)據(jù)，包括已確定的危險(xiǎn)事件和導(dǎo)致該危險(xiǎn)事件的事件序列；

——征詢系統(tǒng)相關(guān)人員對(duì)危險(xiǎn)事件的意見(jiàn)和對(duì)系統(tǒng)的需求；

——記錄危害辨識(shí)結(jié)果，并對(duì)不可接受危害，逐一制定安全措施；

——分析安全措施的有效性，總結(jié)編制安全需求；

——征詢系統(tǒng)相關(guān)人員對(duì)安全需求合理性的意見(jiàn)；

——安全需求經(jīng)過(guò)審批后作為功能安全系統(tǒng)的開(kāi)發(fā)的依據(jù)；

——根據(jù)系統(tǒng)的架構(gòu)設(shè)計(jì)，將安全需求的實(shí)現(xiàn)方法分配到每一個(gè)子系統(tǒng)或者組件中。

５．４危害辨識(shí)和需求分析的變更考慮

在危害辨識(shí)和需求分析時(shí)，需要考慮如下的變更：

——變更一般由系統(tǒng)開(kāi)發(fā)人員發(fā)起；

——需要進(jìn)行變更影響分析，重點(diǎn)是變更前后運(yùn)行場(chǎng)景的差異對(duì)比；

——變更具有足夠的合理性，合理的變更具有如下幾個(gè)特征：

●所有系統(tǒng)相關(guān)人員均不強(qiáng)烈反對(duì)此項(xiàng)需求變更，

●此項(xiàng)需求變更能夠獲得審批授權(quán)簽字人的認(rèn)可，

●變更有具體的原因，這些原因包括：危害辨識(shí)的錯(cuò)誤或疏漏，市場(chǎng)競(jìng)爭(zhēng)原因，現(xiàn)有技術(shù)條件無(wú)法滿足此項(xiàng)需求，需求完全無(wú)法被驗(yàn)證等；

——變更需要通知所有引用危害辨識(shí)記錄和安全需求的人員。

５．５危害辨識(shí)和需求分析的文檔化考慮

在危害辨識(shí)和需求分析時(shí)，需要文檔化的內(nèi)容包括：

——運(yùn)行場(chǎng)景的內(nèi)容和特征；

——危害的特征；

——安全需求；

——危害與需求的關(guān)聯(lián)關(guān)系；

——變更影響分析；

——變更的審批記錄；

——發(fā)布的審批記錄。

６危害辨識(shí)

６．１危害辨識(shí)的一般過(guò)程

危害辨識(shí)從分析自然環(huán)境和工藝過(guò)程開(kāi)始，到獲得風(fēng)險(xiǎn)記錄為止，一般過(guò)程如圖１所示。

３

圖１危害辨識(shí)的一般過(guò)程

６．２自然環(huán)境在危害辨識(shí)過(guò)程中的影響分析

危害辨識(shí)中的自然環(huán)境包括：氣候、天氣、地理、生物環(huán)境、人類社會(huì)等，對(duì)于自然環(huán)境的影響，需要從如下方面進(jìn)行分析：

——重大自然災(zāi)害影響，如地震、海嘯、洪水、颶風(fēng)、泥石流、雪崩；

——輕度自然災(zāi)害的影響，如冰雹、暴雨、大風(fēng)、雷電、太陽(yáng)活動(dòng)異常、沙塵暴、霧霾；

——?dú)夂虻挠绊?，如溫度、風(fēng)沙、鹽霧、潮濕、日照；

——生物活動(dòng)影響，如動(dòng)物闖入、飛鳥(niǎo)、昆蟲(chóng)、植物發(fā)芽、發(fā)霉；

——與工藝無(wú)關(guān)的人類活動(dòng)影響，如違規(guī)闖入、施工、人為破壞電力或通信線路；

——公共服務(wù)影響，如停水、停電、停氣、交通中斷、通信中斷。

６．３法律法規(guī)在危害辨識(shí)過(guò)程中的影響分析

法律法規(guī)的影響分析，重點(diǎn)不在于技術(shù)層面，而在于組織管理層面，需要從如下方面進(jìn)行分析：

——明文規(guī)定的關(guān)于工藝、設(shè)備、系統(tǒng)的要求；

——條文中對(duì)于人員生命財(cái)產(chǎn)的安全保護(hù)規(guī)定；

——對(duì)環(huán)境保護(hù)的規(guī)定；

——對(duì)傷害程度的定級(jí)。

６．４工藝過(guò)程在危害辨識(shí)過(guò)程中的影響分析

工藝過(guò)程是運(yùn)行場(chǎng)景存在風(fēng)險(xiǎn)的直接原因，這是生產(chǎn)生活不可避免的環(huán)節(jié)，為了辨識(shí)危害，需要從如下方面進(jìn)行分析：

——原料和產(chǎn)品在運(yùn)輸和存儲(chǔ)過(guò)程中有毒物質(zhì)泄漏，易燃易爆品被引燃引爆，意外的接觸導(dǎo)致的劇

烈化學(xué)反應(yīng)，例如，金屬鈉與水，長(zhǎng)期大量堆放引發(fā)的自燃；

——高溫工藝的溫度控制、超溫保護(hù)、異常熱傳導(dǎo)；

——高壓工藝的壓力控制、超壓保護(hù)、壓力泄漏；

——高速工藝的速度控制、超速保護(hù)、速度驟降；

——爆炸性環(huán)境中的靜電火花和電源通斷時(shí)的電火花；

——存在明火的環(huán)境中，意外泄漏粉塵或者可燃?xì)怏w；

——設(shè)備運(yùn)行環(huán)境的人員所承受的加速度、溫度、噪聲、氧氣濃度及氣壓等。

４

６．５受控設(shè)備的風(fēng)險(xiǎn)

受控設(shè)備的風(fēng)險(xiǎn)，需要從如下方面進(jìn)行辨識(shí)：

——自然環(huán)境、法律法規(guī)及工藝過(guò)程對(duì)受控設(shè)備的影響；

——老化和腐蝕引起的泄漏、堵塞、斷裂；

——周邊設(shè)施坍塌、異動(dòng)對(duì)受控設(shè)備的撞擊；

——錯(cuò)誤的現(xiàn)場(chǎng)人員操控，維修維護(hù)。

６．６安全系統(tǒng)的風(fēng)險(xiǎn)

功能安全系統(tǒng)自身的風(fēng)險(xiǎn)，需要從如下方面進(jìn)行辨識(shí)：

——自然環(huán)境、法律法規(guī)、工藝過(guò)程對(duì)安全系統(tǒng)的影響；

——錯(cuò)誤的人為操作，例如，在線更新安全邏輯、長(zhǎng)時(shí)間旁路；

——不正確的維修維護(hù)操作，例如，線纜接錯(cuò)、不停車維修；

——配置錯(cuò)誤，例如，未明確安全狀態(tài)、聯(lián)鎖觸發(fā)條件不合理。

６．７風(fēng)險(xiǎn)記錄

風(fēng)險(xiǎn)記錄表示例見(jiàn)表１。

表１風(fēng)險(xiǎn)記錄表示例

風(fēng)險(xiǎn)描述

危險(xiǎn)源

發(fā)生概率

后果嚴(yán)重程度

是否可檢測(cè)

是否可防御

安全措施

此處描述風(fēng)險(xiǎn)發(fā)生的過(guò)程以及可能引發(fā)的后果

導(dǎo)致危害發(fā)生的最終源頭，可以簡(jiǎn)化描述為：自然環(huán)境、工藝、受控設(shè)備、安全系統(tǒng)

極?。海迹贝危?/p>

１０年

很?。海贝危辍?/p>

１次／１０年

偶爾：１次／月～

１次／年

經(jīng)常：１次／周～

１次／月

頻繁：１次／天～

１次／周

特大：死亡１０人及以上，或經(jīng)濟(jì)損失５００萬(wàn)元及以上

重大：死亡３人～９人或１０人以

上重傷，或經(jīng)濟(jì)損失１００萬(wàn)元～

５００萬(wàn)元

嚴(yán)重：死亡１人～２人或３人～

９人重傷，或經(jīng)濟(jì)損失５０萬(wàn)元

～１００萬(wàn)元

普通：１人～２人重傷，或經(jīng)濟(jì)損失１０萬(wàn)元～５０萬(wàn)元

輕微：無(wú)重傷死亡但造成停產(chǎn)停

工，或經(jīng)濟(jì)損失１０萬(wàn)元以內(nèi)

是／否

是／否

僅描述安全系統(tǒng)相關(guān)的安全措施。其他安全措施可記錄為“其他措施”

７需求分析

制定安全需求的依據(jù)是風(fēng)險(xiǎn)記錄的安全措施，制定安全需求至少需要考慮如下因素：

——安全需求是針對(duì)功能安全系統(tǒng)的要求，需要其他裝置完成的安全要求不需要列出；

——安全需求宜考慮信息安全，并進(jìn)行脆弱性分析；

——安全需求宜考慮實(shí)體防護(hù)，例如，機(jī)柜等；

——每一項(xiàng)對(duì)應(yīng)風(fēng)險(xiǎn)降低的安全需求確定安全完整性等級(jí)；

——安全需求能夠被驗(yàn)證。

５

系統(tǒng)安全要求規(guī)格書可以包括如下的具體內(nèi)容。

——遵守產(chǎn)品標(biāo)準(zhǔn)和安全標(biāo)準(zhǔn)，符合的法律、文化、政策要求。

——產(chǎn)品的功能要求，需要考慮區(qū)分安全功能和非安全功能，需要對(duì)安全需求進(jìn)行編號(hào)，需要描述對(duì)操作、維護(hù)、啟動(dòng)、重啟的要求。

——安全完整性等級(jí)的要求，所有安全需求中安全完整性等級(jí)要求最高的作為整個(gè)系統(tǒng)的安全完

整性等級(jí)要求。

——結(jié)構(gòu)方面包括：

●系統(tǒng)的分類，無(wú)法明確描述所有失效模式的系統(tǒng)，定義為Ｂ類系統(tǒng)；

●冗余架構(gòu)，以ＭｏＮ的形式描述，Ｎ是系統(tǒng)的通道數(shù)量，Ｍ是能夠讓系統(tǒng)進(jìn)入安全狀態(tài)的最少通道數(shù)量。

——運(yùn)行模式方面，包括：

●低要求模式，僅當(dāng)要求時(shí)才執(zhí)行將受控設(shè)備導(dǎo)入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率不大于每年一次；

●高要求模式，將受控設(shè)備導(dǎo)入規(guī)定安全狀態(tài)的安全功能僅當(dāng)要求時(shí)才執(zhí)行，并且要求的頻率大于每年一次；

●連續(xù)模式，安全功能將受控設(shè)備保持在安全狀態(tài)是正常運(yùn)行的一部分。

——診斷方面，包括：

●診斷覆蓋率（ＤＣ）和安全失效分?jǐn)?shù)（ＳＦＦ）的要求，根據(jù)安全完整性等級(jí)的要求確定；

●診斷的范圍，需要考慮供電、輸入回路、輸出回路、時(shí)鐘、通信通道、存儲(chǔ)、可編程組件；

●故障響應(yīng)時(shí)間，任意一個(gè)可被系統(tǒng)自診斷發(fā)現(xiàn)的故障，從故障發(fā)生到系統(tǒng)針對(duì)該故障完成響應(yīng)處理的時(shí)間間隔；

●平均維修時(shí)間，故障被發(fā)現(xiàn)，到故障被排除的平均時(shí)長(zhǎng)；

●自診斷周期，任何一個(gè)可被系統(tǒng)