GB/T 44062-2024 英文版/翻译版 自动化系统与集成　自动化设备安

GB/T 44062-2024 英文版/翻译版 自动化系统与集成　自动化设备安全评估

GBT 44062-2024 英文版/翻译版 自动化系统与集成　自动化设备安全评估

1范围
本文件规定了建立和评估自动化设备安全论证的合规性要求,主要包括安全档案、风险评估等内容。
本文件适用于指导制造商、集成商、零部件供应商设计、制造和评估自动化设备。
2规范性引用文件
本文件没有规范性引用文件。
3术语和定义
下列术语和定义适用于本文件。
3.1
可接受 acceptable
足以达到安全档案中确定的整体项目风险。
示例:“可接受的测试范围”是指在获得声称的风险消戏可信度后,测试范围的数量足以支持安全档案对整体项目风险的声明。
注:这是一个与安全档案的有效性和完整性相关的客观术语,而不是与任何特定评估者的个人观点相关的主观术语。
3.2
激发(故障或危害)activation(of faults or hazards)导致系统因故障或危害而可能失效的输入或情况。
示例:内存中由单一事件扰乱的损坏位视为故障。读取存储器位置时,故障被激发并导致计算误差,该误差会以不正确或不安全的项目行为造成系统失效。
注:故障消减措施(例如,错误检测编码)能防止激发的故障引起失效。
3.3
人工智能技术 artificial intelligence technologies
计算算法以及其他相关技术(包括归纳学习、故意非确定性行为、基于规则的系统、计算机视觉、启发式搜索以及其他技术)的一般描述。
3.4
注:该术语属于从广义上进行解释的描述性术语,以盖通常不适用于传统软件安全方法的软件。无论其是否涉及“智能”方面,均不在本文件范围之内。
3.5
论证 argue
构建满足特定要求的安全档案(3.32)的过程。
示例:“开发者应论证所有危害均已消减”,即指示开发者需在安全档案中包含每种危害实际上已消减的声明、论据和证据。
3.6
评估员asSeSS0T
开展评估的一名或多名人员。
3.28
来源 provenance组件、材料、耗材、软件和项目其他方面的背景,尤其是产生区别或质量的背景。注:在本文件中,这指的是设备及其组件实际上提供了所需的功能,并且专门排除了劣质、假冒和其他"未经批准”的部件。这不同于提供可接受功能和其他版本控制活动的部件的变化。
3.29
风险 risk
损失事件发生的概率以及该损失事件的严重性的组合。
注:风险通常是概率和严重性的某种加权组合,可能对概率赋予零或非线性权重。此定义并不意味着排除替代但类似的风险表述。
3.30
稳健 robust
系统即使在超出原定规格的情况下仍能继续运行。
示例:尽管接收到超出规格的输人,遇到运行环境违规,组件故障以及机器学习训练集中未表示的数据,系统仍继续正常或降级运行。注:鲁棒性通常是程度问题,而不是绝对属性。
3.31
安全safe
在实施消减措施后,具有安全档案定义的可受的项目级风险水平。
3.ấ伤涺觜鉴鸺蒙圍嗌'安全档案 safety case由大量的证据支持的结构化论证组成,并提供了一个令人信服的、易于理解的有效档案,证明系统能在指定环境下安全用于特定用途。
3.33
安全档案偏差safety case deviation
将提示要素排除在考虑因素之外的记录。
3.34
安全相关safety related
对安全造成直接或间接影响的系统的功能、组件、性能或其他方面，
3.35
独立于场景的要素element out of context
作为安全档案片段和评估主题的一个独立要素。
3.36
安全性能指标safetyperformance indicator
用于量化安全性能的一个指标。
注:该术语类似于“关键绩效指标”(KPI)一词,但专门针对项目的安全相关方面,
4缩略语
下列缩略语适用于本文件
安全档案与论证
5.1 通则
5.1.1 通用要求
标准出版
制造商应准备一份结构化论证形式的书面安全档案,报告需要有论点,声明由论证和论据支持,证明该项目在界定清晰的运行设计域内及其整个生命周期内均具有可接受的安全性。
5.1.2 强制性要素
本条款涉及如下强制性要素:
根据书面的安全档案来证明合规性:
使用可接受的安全档案格式(参见5.2);
提出一个可接受的完整论点,证明所提供的证据支持所定义的声明(参见 5.3);
提供可接受的论据(参见5.4);
提出可接受的风险(参见5.5);
闸述安全文化(参见5.6);
安全档案的配置管理。
5.1.3 必备要素
本条款涉及如下必备要素。
阐述 EooC(参见 5.7.3)。
未包含在安全档案中的其他证据可根据要求提供给独立评估员或自我审计员。0)示例1:在安全档案中汇总测试结果。可根据要求提供详细信息以及任何其他描述性的证据材料。安全档案中未记录且未提供的任何方面在评估过程中应予以忽略。
5.1.4强烈推荐要素
不适用。
5.1.5推荐要素
不适用。
5.1.6合规性
通过考虑部分合规性检查来检查合规性,包括在安全档案中以可追湖的方式包含适用的每个提示要素。
注1:编写本文件旨在帮助支持构建格式良好的安全档案,需采取额外措施来确保操作安全。例如,最终产品标准可能不仅需要符合本文件,还需符合涉及电气安全、消防安全等课题的其他标准。
5.2安全档案样式和格式
5.2.1 安全档案样式
5.2.1.1 通用要求
安全档案应使用确定的、一致的声明、论点和论据格式。
5.2.1.2 强制性要素
本条款涉及如下强制性要素:
a)定义所使用的声明和论证语法、语义及任何图形元素;注:表示法可能没有正式定义的语义。但需提供有关安全档案表示法和方法的最佳可用信息,以促进开发者团队和评估员之间采用尽可能统一的解释，
b)定义所使用的证据类型、格式、数据字典和模式:
o)评估员访问整个安全档案的权限。安全档案中未提供给评估员的部分在合规性评估中不应使用。
准出版衫
5.2.1.3 必备要素
本条款涉及如下必备要素:
a)遵守安全档案中定义的格式;
b) 评估员可使用任何有助于理解安全档案的浏览工具、搜索工具、报告和分析用工具;注:实际上,开发者和自我审计员可能会使用工具和其他支持来简化安全档案的工作。能根据要求提供这些相同的工具和其他支持。
确定关于论据的归纳要素完整性的推理方法。
5.2.1.4 强烈推荐要素
本条款涉及如下强烈推荐要素。
a)使用既定的方法以高度结构化的方式组织安全档案,例如:
1)对象管理组织(OMG)结构化保证档案元模型(SACM);
2)目标结构化构造符号(GSN):
3)论点、论证与论据(CAE):
4) 图尔敏分析。
b)使用工具支持来帮助理解和导航安全档案。
5.2.1.5 推荐要素
本条款涉及如下推荐要素:
a)对安全档案导航的相关部分使用图形界面,以提高导航性;
b) 使用基于文本的结构化符号而非自由格式文本,以提高提供工具支持的能力。
5.2.1.6 合规性
通过检查安全论证、论据和设计记录来检查合规性。
5.2.2.3 必备要素
不适用。
5.2.2.4强烈推荐要素
中国标准
不适用。
5.2.2.5 推荐要素
本条款涉及如下推荐要素:
a)解释每类论据的描述性或教程示例;
避免不受约束的自由文本作为论据的数据类型。
5.2.2.6合规性
通过检查安全论证,论据和设计记录来检查合规性。注:每条论据具有不同的明确类型,在可行的情况下,需减少同类型论据的使用数量,这有助于简化安全档案,以提高安全档案的可理解性。
5.2.3论点和论证格式
5.2.3.1 通用要求
安全档案中的论点和论证指向应清晰且一致。
5.2.3.2 强制性要素
本条款涉及如下强制性要素:
5.2.3.5 推荐要素
不适用。
5.2.3.6 合规性
通过检查安全论证、论据和设计记录来检查合规性。
5.3 声明和论证的充分性
5.3.1 论点的充分性
5.3.1.1 通用要求
安全档案论点应涵盖所有与安全相关的危害和风险，
5.3.1.3必备要素
不适用。
5.3.1.4 强烈推荐要素
排除与已识别的危害和风险无关的声明。注1:这是一项向后追溯要求,以避免与项目安全实际无关的声明。注2:对于 EooC安全档案,将安全档案片段追踪到导出的 EooC边界界面的前提是EooC的至少一些用户将拥有更高级别的项目安全档案。
5.3.1.5 推荐要素
不适用。
5.3.1.6 合规性
通过检查安全论证、论据和设计记录来检查合规性，
注:本条中使用的“声明”一词是一个通用术语,包括子声明。
5.3.2 论证对声明的支持
5.3.2.1 通用要求
安全档案论证应支持所有已识别的声明。
5.3.2.2 强制性要素
本条款涉及如下强制性要素:
a)通过以可接受的方式进行论证,支持安全档案声明。
识别为确定论证的充分性而使用的标准。
5.3.2.3 必备要素
6 风险评估
出版社
6.1通则
6.1.1 通用要求
安全档案应识别相关风险并论证可接受的消减措施。
6.1.2强制性要素
本条款涉及如下强制性要素:
a)识别故障模型(参见6.2);
b)识别危害(参见6.3):
风险评估(参见 6.4):
风险消减和评估消减效果(参见6.5)。
6.1.3 必备要素
不适用。
6.1.4强烈推荐要素
本条款涉及如下强烈推荐要素:
确定和使用项目总风险求和法;
计算出的事故发生概率提供了整个因果链的概率和置信度。除非与置信度相结合,否则认为b)概率是无限的。
6.1.5推荐要素
贝叶斯概率估计作为需要估计风险发生概率的风险的评估方法。
6.1.6 合规性
6.2.7.4 强烈推荐要素
根据历史数据和设备规格识别其他故障机制。
6.2.7.5 推荐要素
不适用。
6.2.7.6 合规性
通过检查设计和验证并确认证据以及演示来检查合规性，
6.2.8 机械和非电子故障模型
6.2.8.1 通用要求
机械和非电子故障模型应包括一系列可接受的潜在运行时故障和失效以及制造故障和失效。
6.2.8.2 强制性要素
不适用。
6.2.8.3 必备要素
符合最终产品标准或其他相关公认的惯例,至少包括以下项目,因为它们与本文件范围内的安全相关失效有关:
6.2.8.5 推荐要素
不适用。
6.2.8.6 合规性
通过检查设计和验证并确认证据以及演示来检查合规性。
6.2.9 程序性故障模型
6.2.9.1 通用要求
程序性故障模型应包括一系列可接受并程序规避的潜在故障和失效。
6.2.9.2 强制性要素
6.5.3.5 推荐要素
不适用。
6.5.3.6 合规性
通过检查论证来检查合规性,该论证对危害日志中每一条载有如下内容的条目进行了追踪:为确保剩余项目级风险可接受,风险已得到消减和评估。
注:消除危害是一种可接受的风险消减方式。即使为消除危害已对设计做了更改,但是危害日志也会显示“已消除"状态,而不是删除危害日志中的有关条目,以免以后更改设计时无意恢复了该危害。