功能安全国际标准IEC61508

功能安全国际标准I E C61508 1基本情况近年来，在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准，其中IEc61508——电气／电子／可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个，它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法，没有指定具体的应用领域。

电气／电子／可编程电子系统(E／E／PE)是指以电气／电子／可编程电子技术为基础，包括了电气设备、电子设备、可编程电子设备。

其中，电气设备指电机设备；电子设备指固态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态，采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气／电子／可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E／E ／PE和软件生存周期阶段，为E／E／PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法，用安全完善性等级来说明安全相关系统的安全目标，它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标：(1)被控装置的风险：指被控装置或被控装置与被控装置控制系统相互作用而产生的风险；(2)可容忍的风险：指在以现行社会标准为基础的给定情景下可被接受的风险；(3)残余的风险：指在采取了防护措施后仍然保留的风险；(4)必须的风险降低：指通过电气／电子／可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低，以确保不超过可容忍的风险。

IEC61508标准术语基本术语一、IEC 61508标准术语说明：以下术语摘录自功能安全标准IEC61508和国家标准GB/T20438。

4。

故术语标号也未曾改动。

3.1安全术语3.1.1伤害harmphysical injury or damage to the health of people either directly or indirectly as a result of damage to property or to the environment.由于对财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤。

3.1.2危险hazardpotential source of harm伤害的潜在根源3.1.3危险情况hazardous situationcircumstance in which a person is exposed to hazard(s)人暴露于危险的环境。

3.1.4危险事件hazardous eventhazardous situation which results in harm导致伤害的危险情况。

3.1.5风险riskcombination of the probability of occurrence of harm and the severity of that harm 出现伤害的概率及该伤害严重性的组合。

3.1.6允许风险tolerable riskrisk which is accepted in a given context based on the current values of society根据当今社会的水准,在给定的范围内能够接受的风险。

3.1.7残余风险residual riskrisk remaining after protective measures have been taken采取防护措施以后仍存在的风险。

IEC61508标准概述2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，与之对应的我国国家标准正在制定中。

该标准分七部分，涉及1000多个规范。

由电气和电子部件构成的系统，多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的，但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域，计算能力的极大增加彻底改变了工厂和工业过程的控制，也改变了安全控制策略。

对于包含有电子、电气设备，计算机软、硬件的系统，要用于关系到人身财产安全的领域中时，进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为:第1部分:一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

第2部分是对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。

第3部分是对软件的要求，描述避免失效的方法，与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法，简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件，为达到或保持受控设备(EUC)的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。

IEC-61508提纲一、一般要求1、文档2、功能安全管理3、整体安全生命周期的要求4、功能安全评估二、电气/电子/可编程电子安全相关系统要求1、E/E/PES安全生命周期要求2、功能安全评估三、软件要求1、软件质量管理系统2、软件安全生命周期要求3、功能安全评估四、定义和缩略语五、确定安全完整性等级的方法实例1、必要的风险降低2、E/E/PE安全相关系统的作用3、安全完整性4、风险和安全完整性5、安全完整性等级和软件安全完整性等级6、安全要求分配7、合理可行的低（ALARP）和允许风险概念六、GB/T 20438.2和GB/T 20438.3的应用指南七、技术和措施概述1、E/E/PES的技术和措施概述：随机硬件失效控制2、E/E/PES的技术和措施的概述：系统失效的避免3、达到软件安全完整性的技术和措施的评述4、确定预开发软件的软件安全完整性的一种概率法一、一般要求1、文档1.1目的规定能够有效执行整体安全生命周期、E/E/PES安全生命周期和软件安全生命周期各阶段所必需的信息，能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息，这些信息将被文档化。

1.2要求文档中的信息应包括各项功能以及其功能性评估的所有的内容，包括各方面的例如操作流程、方案、结果、期望等等。

文档应该准确简明，让使用者容易理解，能达到预期目的，可存取和可维护。

文档的标题以及内容中的标题应对应文档所描述的实际内容以及一些形式的检索，文档或信息集应有修订检索（版本号），以方便检索和区别于其他文档。

所有有关文档应修补、补充、复审、批准，并按照适当的文档控制方案进行控制。

2、功能安全管理2.1目的确定整体的、E/E/PES的和软件的安全生命周期所有极端的管理和技术活动；确定人员、部门和机构对整体的、E/E/PES的和软件的安全生命周期各阶段或各阶段中活动所负的责任。

2.2要求确定好整体方案的战略、人员（包括各阶段执行和复核的人数以及技术水平）、交流方法、项目实施、信息结构化及文档化的方法、性能评估、项目的及时跟踪、确定责任部门、降低生产中的危险事故方案、发现问题后的修改流程和部门、培训条款和应急信息。

如何根据 IEC61508 标准来验证系统的安全完整性？IEC 是国际标准化组织（ISO）和电气电子工程师协会（IEC）共同制定的一项安全标准，用于评估和验证系统的安全完整性。

验证系统的安全完整性是非常重要的，因为它可以帮助避免潜在的事故和损害。

以下是根据 IEC 标准来验证系统的安全完整性的步骤：1. 执行系统安全需求分析（SRS）：首先，需要进行系统安全需求分析，以确定系统在安全方面的需求和目标。

这包括确定可能的危险源、安全功能和系统失效的影响。

2. 定义系统安全完整性级别（SIL）：根据系统的安全需求，确定适当的安全完整性级别。

SIL 是衡量系统安全完整性水平的等级，通常分为四个级别，从最低的 SIL 1 到最高的 SIL 4。

3. 进行系统分析：执行系统分析，以确定系统中的所有元素和子系统，以及它们之间的相互作用。

这可以帮助识别系统的潜在危险和故障。

4. 执行安全性评估：根据 IEC 的要求，进行安全性评估。

安全性评估是评估系统的任何缺陷或故障可能导致的潜在危险和损害的过程。

5. 制定安全完整性计划：根据系统的安全需求和安全完整性级别，制定安全完整性计划。

这个计划包括实施安全功能、进行系统测试和验证，并确保系统能够达到所需的安全完整性级别。

6. 执行测试和验证：按照安全完整性计划，执行系统的测试和验证。

这包括测试系统的安全功能和性能，以确保系统能够在设计要求和安全需求下正常运行。

7. 进行安全完整性审核：进行安全完整性审核，以评估系统是否满足所需的安全完整性级别。

在审核过程中，需要对系统的设计、验证和测试进行审查，并确定是否需要采取进一步的改进措施。

8. 更新系统文档和报告：根据评估结果，更新系统的安全文档和报告。

这些文档和报告应包括系统的安全需求、安全完整性级别、测试和验证结果，以及任何改进措施和建议。

通过遵循以上步骤，根据 IEC61508 标准来验证系统的安全完整性可以确保系统在设计、开发和运行过程中达到所需的安全标准和要求。

在 IEC61508 标准中，如何定义和管理安全功能需求？在 IEC 标准中，如何定义和管理安全功能需求？IEC 是一项针对电气、电子和可编程电子系统（PE 对）的功能安全标准，为确保这些电子系统能够在设计和运行中满足特定的安全要求。

在IEC 标准中，定义和管理安全功能需求是非常关键的一步，以下是如何进行的方法：1. 定义安全功能需求在IEC 中，安全功能需求是指必须满足的条件，以确保系统能够对特定的危险进行预防或减轻。

定义安全功能需求时，需要考虑以下几个方面：- 系统的安全目标：确定系统需要达到的安全目标，并将其转化为具体的安全功能需求。

- 系统边界：确定系统的边界，即系统与外部环境之间的界限，以便定义系统需求。

- 风险分析：通过风险分析确定潜在的危险和系统的安全要求，这将帮助定义安全功能需求。

2. 管理安全功能需求在IEC 中，管理安全功能需求的目的是确保系统满足安全要求并能够持续维持在一定的安全水平。

以下是管理安全功能需求的步骤：- 需求分析：对安全功能需求进行详细的分析和评估，以确保其清晰、可测量、可追踪和可验证。

- 需求跟踪：建立一个跟踪表格，记录每个安全功能需求的状态、变更历史、验证结果等信息，以及与其他需求之间的关联。

- 验证和确认：对安全功能需求进行验证和确认，确保其符合系统的安全目标和要求。

- 变更管理：在整个开发和运行过程中，及时记录和管理安全功能需求的变更，确保任何变更都经过适当的评估和验证。

总结：在IEC 61508标准中，定义和管理安全功能需求是确保系统满足特定安全要求的重要步骤。

通过明确定义安全功能需求，并采取适当的管理措施，可以确保系统在设计和运行中有效地达到所期望的安全水平。

功能安全IEC 61508标准新旧版的对比IEC61508是国际通用的功能安全基础标准，其核心内容即为功能安全产品的系统、硬件、软件设计做出详尽的要求，以使其能够按满足功能安全的方式进行设计和开发。

它为电气/电子/可编程电子安全相关系统建立一个通用的方案，并促进各个应用部门标准的开发。

是安全相关系统的总的通用标准，对安全相关系统具有重大意义和重要地位，各个领域的安全相关系统都必须遵循这个标准。

新版IEC 61508-2010标准不仅与时俱进地更新了几乎所有技术相关的内容，也总结了近年的技术发展和应用经验基础，依据功能安全技术的理念发展趋势，从系统性能力、硬件/软件安全完整性要求、功能安全管理方面提出了若干新的要求，由此，引起了IEC 61508标准衍生而出的各领域功能安全应用标准的逐步更新。

IEC 61508标准的更新，对于SIS 制造商、集成商和用户来说，如何使产品的设计、集成和使用尽可能地满足新版标准成为一个关键问题。

当然，满足新标准的产品将具有更高的质量和技术优势，也由于体现了更接近实际的功能安全理念而为用户创造了更多的价值。

在新版ICE61508-2010中，定义了SC（systematic capability）的概念，即系统性能力。

用于表征一个组件的系统性安全完整性是否符合指定SIL的要求。

SC等级也分为4个级别：SC1~SC4，对应于SIL的四个等级。

也就是说，一个组件具有SC N等级，就表示其系统性安全完整性满足SIL N等级。

它表示，SIL并非只与系统冗余程度和SFF有关。

当使用两个或多个具有较低SIL的组件来实现更高的SIL时，就必须考虑组合后的系统是否具有足够的SC等级。

此外，对于已有使用经验的组件，新版IEC 61508-2010标准还允许通过提供这些组件满足规定的“使用中证实（Proven-in-use）”的证据，来证实组件具有一定级别的SC等级。

SC概念的提出，为用户如何真正实现所需的SIL提供了更好的思路，也对制造商和集成商的功能安全设计提出了更苛刻的要求。