综合运用:功能安全国际标准IEC61508(转帖)
gif
2008-9-4 【大 中 小】【打印】
1.基本情况
近年来,在铁路、航空航天、核应用、采矿等行业提 出了很多安全理论和国际标准,其IEc61508——电气/电子/可编程电子安全相关系统的功能
安全国际标 准是比较基本和核的一个,它是迄今为止的安全 相关系统的理论概括和技术总结。这个标准采用一般 的分析方法,没有指定具体的应用领域。
电气/电子/可编程电子系统(E/E/PE)是指以电 气/电子/可编程电子技术为基础,包括了电气设备、电 子设备、可编程电子设备。其中,电气设备
指电机设 备;电子设备指固态非可编程电子设备;可编程电子设 备指以计算机技术为基础的电子设备。以一个或多个 可编程电子设备为基础,用于控制、防
护和监督的系 统,它包括了系统的全部元件,如电源、传感器以及其 他输入设备、数据通道、通信通路和其他执行器、输出 设备。安全相关系统
(Safety—Related System)是指为 了保证控制设备处于安全状态,采用安全相关技术和 风险降低措施执行所需安全功能的系统。电气
/电子/ 可编程电子安全相关系统一旦失效可以影响人的安全 和环境的安全。 IEC61508考虑了所有相关的整体、E/E/PE和软 件生存周期阶
段,为E/E/PE安全相关系统实现必要 的功能安全提供一个发展安全需求规范的方法,用安 全完善性等级来说明安全相关系统的安全目标,它的 主要目
标是预测安全相关系统运行时的故障概率。 IEC61508的特点是把风险作为度量危险的指标。这 里的风险(Risk)是指危害发生的概率
(Likelihood)和 危害严重性(Consequence)的组合。
IEC61508定义了4种风险指标:
(1)被控装置的风险:指被控装置或被控装置与 被控装置控制系统相互作用而产生的风险;
(2)可容忍的风险:指在以现行社会标准为基础 的给定情景下可被接受的风险;
(3)残余的风险:指在采取了防护措施后仍然保 留的风险;
(4)必须的风险降低:指通过电气/电子/可编程 电子安全相关系统、其他技术的安全相关系统和外部 风险降低设备实现的风险降低,以确保不超过可
容忍 的风险。 在对安全相关系统进行需求分析和危险分析之 后,可以得到系统的可容忍的风险和现存的风险,两者 之差是必须降低的风险。
IEC61508主要讨论的就是 怎样利用安全技术和分析方法降低电气/电子/可编程 电子安全相关系统的风险。
2.IEC61508的组成
IEC61508由7个部分组成:
(1)总的要求;
(2)电气/电子/可编程电子系统的需求;
(3)软件需求;
(4)定义和缩略语;
(5)决定安全完善性级别的方法实例;
(6)应用IEC61508-2和IEC61508—3指南;
(7)技术和方法总论。
3.IEC61508的主要目标
(1)用技术手段改进安全和经济功能;
(2)在安全框架内推动技术发展;
(3)对所有的安全相关系统,包括软、硬件在内, 从系统生命周期角度提供一个系统方法;
(4)为安全技术的未来发展提供一个灵活的技术方案;
(5)提供分析安全相关系统安全功能要求的方法;
(6)建立一个基础标准,使其可直接应用于工业, 同时,亦可指导其他领域的标准制定,使这些标准的起 草具有一致性(如基本概念、技术术语、对规
定安全功 能的要求等);
(7)让使用者和维护者放心使用以计算机为基础 的技术;
(8)建立一个统一的标准以利于:
① 增进系统的安全功能;
② 发展用于各领域的安全技术和测试;
③ 开展安全评估。
4.安全完善性(Safety Integrity)
IEC61508用安全完善性等级来说明安全相关系 统的安全目标。安全完善性就是在规定的时间周期内 和规定的条件下,安全相关系统成功地完成所
需安全 功能的能力。安全完善性分为系统故障和随机故障完 善性。表1是完善性等级分级标准,同时也是随机故 障安全完善性的定量目标,而对于系统故障
完善性,标 准中是用质量管理、安全管理和技术安全等定性指标 作为目标的。定义一个安全相关系统的安全完善性等 级相当重要,应当根据系统安全要求计
算出可以容忍 的故障率,然后参照表1得出系统安全完善性等级。 如果等级定低了会直接威胁系统的安全性,如果等级 定高了会浪费大量的人力、物力和财
力。
5.安全生命周期(Safety Lifeeyele)
安全生命周期就是从方案的确定阶段开始到所有 的电气/电子/可编程电子安全相关系统、其他技术的 安全相关系统、外部风险降低设备不再可用时为止
的 时间。安全生命周期也是IEC61508中很重要的一个 概念,通过定义安全生命周期各个阶段的安全性目标 和必须达到的要求来对系统开发应用的每
一个环节严 格把关,实现整个系统的安全。