安全管理網

功能安全國際標準IEC61508

　　評論：　更新日期：2009年12月26日

1 基本情況
近年來，在鐵路、航空航天、核應用、采礦等行業提出了很多安全理論和國際標準，其中IEc61508—— 電氣／電子／可編程電子安全相關系統的功能安全國際標準是比較基本和核心的一個，它是迄今為止的安全相關系統的理論概括和技術總結。這個標準采用一般的分析方法，沒有指定具體的應用領域。電氣／電子／可編程電子系統(E／E／PE)是指以電氣／電子／可編程電子技術為基礎，包括了電氣設備、電子設備、可編程電子設備。其中，電氣設備指電機設備；電子設備指固態非可編程電子設備；可編程電子設備指以計算機技術為基礎的電子設備。以一個或多個可編程電子設備為基礎，用于控制、防護和監督的系統，它包括了系統的全部元件，如電源、傳感器以及其他輸入設備、數據通道、通信通路和其他執行器、輸出設備。安全相關系統(Safety—Related System)是指為了保證控制設備處于安全狀態，采用安全相關技術和風險降低措施執行所需安全功能的系統。電氣／電子／可編程電子安全相關系統一旦失效可以影響人的安全和環境的安全。 IEC61508考慮了所有相關的整體、E／E／PE和軟件生存周期階段，為E／E／PE安全相關系統實現必要的功能安全提供一個發展安全需求規范的方法，用安全完善性等級來說明安全相關系統的安全目標，它的主要目標是預測安全相關系統運行時的故障概率。 IEC61508的特點是把風險作為度量危險的指標。這里的風險(Risk)是指危害發生的概率(Likelihood)和危害嚴重性(Consequence)的組合。
IEC61508定義了 4種風險指標：
(1)被控裝置的風險：指被控裝置或被控裝置與被控裝置控制系統相互作用而產生的風險；
(2)可容忍的風險：指在以現行社會標準為基礎的給定情景下可被接受的風險；
(3)殘余的風險：指在采取了防護措施后仍然保留的風險；
(4)必須的風險降低：指通過電氣／電子／可編程電子安全相關系統、其他技術的安全相關系統和外部風險降低設備實現的風險降低，以確保不超過可容忍的風險。在對安全相關系統進行需求分析和危險分析之后，可以得到系統的可容忍的風險和現存的風險，兩者之差是必須降低的風險。IEC61508主要討論的就是怎樣利用安全技術和分析方法降低電氣／電子／可編程電子安全相關系統的風險。
2 IEC61508的組成 IEC61508由7個部分組成：
(1)總的要求；
(2)電氣／電子／可編程電子系統的需求；
(3)軟件需求；
(4)定義和縮略語；
(5)決定安全完善性級別的方法實例；
(6)應用IEC61508-2和IEC61508—3指南；
(7)技術和方法總論。
3 IEC61508的主要目標
(1)用技術手段改進安全和經濟功能；
(2)在安全框架內推動技術發展；
(3)對所有的安全相關系統，包括軟、硬件在內，從系統生命周期角度提供一個系統方法；
(4)為安全技術的未來發展提供一個靈活的技術方案；
(5)提供分析安全相關系統安全功能要求的方法；
(6)建立一個基礎標準，使其可直接應用于工業，同時，亦可指導其他領域的標準制定，使這些標準的起草具有一致性(如基本概念、技術術語、對規定安全功能的要求等)；
(7)讓使用者和維護者放心使用以計算機為基礎的技術；
(8)建立一個統一的標準以利于：
① 增進系統的安全功能；
② 發展用于各領域的安全技術和測試；
③ 開展安全評估。
4 安全完善性(Safety Integrity)

IEC61508用安全完善性等級來說明安全相關系統的安全目標。安全完善性就是在規定的時間周期內和規定的條件下，安全相關系統成功地完成所需安全功能的能力。安全完善性分為系統故障和隨機故障完善性。表1是完善性等級分級標準，同時也是隨機故障安全完善性的定量目標，而對于系統故障完善性，標準中是用質量管理、安全管理和技術安全等定性指標作為目標的。定義一個安全相關系統的安全完善性等級相當重要，應當根據系統安全要求計算出可以容忍的故障率，然后參照表1得出系統安全完善性等級。如果等級定低了會直接威脅系統的安全性，如果等級定高了會浪費大量的人力、物力和財力。
5 安全生命周期(Safety Lifeeyele)
安全生命周期就是從方案的確定階段開始到所有的電氣／電子／可編程電子安全相關系統、其他技術的安全相關系統、外部風險降低設備不再可用時為止的時間。安全生命周期也是IEC61508中很重要的一個概念，通過定義安全生命周期各個階段的安全性目標和必須達到的要求來對系統開發應用的每一個環節嚴格把關，實現整個系統的安全。