GB/T 38874.1-2020 农林拖拉机和机械 控制系统安全相关部件 第1部分：设计与开发通则

1 范围

      GB/T 38874的本部分规定了控制系统安全相关部件（SRP/CS）设计与开发通则。

      本部分适用于农林拖拉机、农用自走式机械、农用全挂及半挂机械、农用牵引机械，也适用于市政机械（例如：道路清扫机）。

      本部分不适用于：

      ——农用飞机和农用飞行器；

      ——草坪和园艺设备。

      本部分规定了SRP/CS执行安全相关功能所要求的特性及类别，未规定用于特定场合的性能等级。

      注1：机械特定C类标准可为其范围内的机械安全相关功能指定农业性能等级（AgPL）。否则，AgPL的规范由制造商负责。

      本部分适用于与机电系统有关的电气/电子/可编程电子系统（E/E/PES）的安全部件。本部分涵盖了E/E/PES安全相关系统（包括这些系统间的交互）的故障行为可能造成的危险。本部分不涉及触电、火灾、烟雾、高温、辐射、毒性、易燃、化学反应性、腐蚀、能量释放等相关危险，除非直接由E/E/PES安全系统故障引起。本部分还涵盖了在非E/E/PES危险下E/E/PES安全相关系统的故障行为，涉及防护措施、保障措施或安全相关功能。

      本部分包含以下范围内的示例：

      ——SRP/CS限制电动混合动力系统中的电流，以防止绝缘失效/电击危险；

      ——SRP/CS的电磁干扰；

      ——SRP/CS的防火设计。

      本部分不包含以下范围内的示例：

      ——摩擦导致电击危险产生的绝缘失效；

      ——影响附近机器控制系统的电磁辐射；

      ——腐蚀导致的电缆过热。

      本部分不适用于非电气/电子/可编程电子系统（E/E/PES）（例如：液压、机械或气动）。

      注2：参见ISO 12100中机械安全的设计通则。

      本部分不适用于实施日期之前制造的控制系统安全相关部件。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 38874.2-2020 农林拖拉机和机械 控制系统安全相关部件 第2部分：概念阶段(ISO 25119-2:2018,IDT)

      GB/T 38874.3-2020 农林拖拉机和机械 控制系统安全相关部件 第3部分：软硬件系列开发(ISO 25119-3:2018,IDT)

      GB/T 38874.4-2020 农林拖拉机和机械 控制系统安全相关部件 第4部分：生产、运行、修改与支持规程（ISO 25119-4：2018，IDT）

3 术语和定义

      下列术语和定义适用于本文件。

      ISO和IEC标准化术语数据库地址为：

      ——ISO在线浏览平台：https：//www.iso.org/obp

      ——IEC电子百科：http：//www.electropedia.org/

3.1

      农业性能等级 agricultural performance level；AgPL

      在可预知条件下，控制系统安全相关部件执行安全相关功能的能力等级。

      注：GB/T 38874将每个功能分为5个性能等级，即a、b、c、d、e。在SRP/CS的功能安全性能等级中，“a”为最低等级，“e”为最高等级。

3.2

      农业性能等级要求 required agricultural performance level；AgPL，

      每个安全相关功能要求达到的农业性能等级（AgPL）。

      注：根据故障观察单元（UoO）的潜在行为，安全相关功能可有多个AgPL，。例如：部分功能丧失、全部功能突然丧失以及功能无法启用等可具有3种不同的AgPl.，。

3.3

      类别 category

      控制系统安全相关部件在防止危险失效能力以及故障条件下的后续行为方面的分类，通过部件的结构布局（架构）实现。

3.4

      通道 channel

      执行功能所需的输入、逻辑及输出组件的组合。

3.5

      共因失效 common-cause failure；CCF

      UoO内单一事件引起的多种失效，这些失效无因果关系。

      注：共因失效与共模失效不同，共模失效可由多种原因引起。

3.6

      可控性 controllability

      个体处于危险状况下避免伤害的可能性。

3.7

      危险失效检测率 dangerous deteeted failure rate

      λ_DD

      U_oO内检测到的失效率，检测到的失效不会导致风险增加或使风险增幅最小。如果未检测到，将导致风险立即增加。

3.8

      危险失效 dangerous failure

      SRP/CS不能保持预期功能并由此产生的机械行为可导致危险状况的失效（以及共因失效导致的多种失效）。

3.9

      危险失效率 dangerous failure rate

      λ_D

      单位时间内所有危险失效（3.8）组件所占的比例。

      注：λ_D是MTTFb的倒数。

3.10

      诊断覆盖率 diagnostic coverage；DC

      危险失效检测率λ_DD（3.7）与总危险失效率λ_D（3.9）的比值。

3.11

      诊断测试间隔 diagnostic test interval

      在指定诊断覆盖率（3.10）的安全相关系统中，在线故障检测的测试间隔。

3.12

      E/E/PES架构 E/E/PES architecture

      安全相关功能在电子控制单元（ECU）中的配置以及软硬件分类，包括通信。

3.13

      环境条件 environmental condition

      系统使用时所处的物理环境。

3.14

      暴露 exposure

      个体处于潜在危险状况下的持续时间及频率。

3.15

      失效 failure

      U_oO内元素丧失完成规定功能能力的事件。

      注1：失效后，U_oO出现故障。

      注2：“失效”是事件，“故障”（3.16）是状态，两者区分开。

      注3：失效概念不适合仅由软件组成的U_oO。

3.16

      故障 fault

      U_oO不能执行规定功能的状态，预防性维修或其他计划性活动或缺少外部资源不能完成规定功能的情况除外。

      注1：故障通常由失效（3.15）引起，但在失效前也可能存在故障。

      注2：在GB/T 38874中，故障指随机故障。

3.17

      功能 function

      定义的单个或多个电子控制单元的行为。

3.18

      功能需求 functional requirement

      对E/E/PES系统预期功能的需求。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。