功能安全国际标准IEC61508

1、功能安全国际标准 IEC615081 基本情况 近年来，在铁路、航空航天、核应用、采矿等行业提出了很多安全理 论和国际标准，其中IEC6150 电气/电子/可编程电子安全相关系 统的功能安全国际标准是比较基本和核心的一个，它是迄今为止的安 全相关系统的理论概括和技术总结。这个标准采用一般的分析方法， 没有指定具体的应用领域。电气电子可编程电子系统(EEPE)是指以电气电子可编程电子技术为基础，包括了电气设备、电子 设备、可编程电子设备。其中，电气设备指电机设备；电子设备指固 态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子 设备。以一个或多个可编程电子设备为基础，用于控制、防护和监

2、督 的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设 备、数据通道、通信通路和其他执行器、输出设备。安全相关系统 (SafetyRelatedSystem是指为了保证控制设备处于安全状态，采用安 全相关技术和风险降低措施执行所需安全功能的系统。电气电子 可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。IEC61508考虑了所有相关的整体、E/ E/ PE和软件生存周期阶段，为 E/ E/ PE安全相关系统实现必要的功能安全提供一个发展安全需求规 范的方法，用安全完善性等级来说明安全相关系统的安全目标，它的 主要目标是预测安全相关系统运行时的故障概率。IEC61508的特

3、点是把风险作为度量危险的指标。这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequenee的组合。IEC61508定义了 4种风险指标：(1) 被控装置的风险：指被控装置或被控装置与被控装置控制系统相互 作用而产生的风险；(2) 可容忍的风险：指在以现行社会标准为基础的给定情景下可被接受 的风险；(3) 残余的风险：指在采取了防护措施后仍然保留的风险；(4) 必须的风险降低：指通过电气电子可编程电子安全相关系统、 其他技术的安全相关系统和外部风险降低设备实现的风险降低，以确 保不超过可容忍的风险。在对安全相关系统进行需求分析和危险分析 之后，可以得到系统

4、的可容忍的风险和现存的风险，两者之差是必须 降低的风险。IEC61508主要讨论的就是怎样利用安全技术和分析方法 降低电气电子可编程电子安全相关系统的风险。2IEC61508的组成IEC61508由7个部分组成：(1) 总的要求；(2) 电气电子可编程电子系统的需求；(3) 软件需求；(4) 定义和缩略语；(5) 决定安全完善性级别的方法实例；(6) 应用 IEC61508-2和 IEC61503 指南；(7) 技术和方法总论。3IEC61508的主要目标(1) 用技术手段改进安全和经济功能；(2) 在安全框架内推动技术发展；(3) 对所有的安全相关系统，包括软、硬件在内，从系统生命周期角度

5、提供一个系统方法；(4) 为安全技术的未来发展提供一个灵活的技术方案；(5) 提供分析安全相关系统安全功能要求的方法；(6) 建立一个基础标准，使其可直接应用于工业，同时，亦可指导其他 领域的标准制定，使这些标准的起草具有一致性 (如基本概念、技术术 语、对规定安全功能的要求等 )；(7) 让使用者和维护者放心使用以计算机为基础的技术；(8) 建立一个统一的标准以利于： 增进系统的安全功能； 发展用于各领域的安全技术和测试； 开展安全评估。4 安全完善性 (SafetyIntegrity)IEC61508用安全完善性等级来说明安全相关系统的安全目标。安全完善性就是在规定的时间周期内和规定的条件

6、下，安全相关系统成功地 完成所需安全功能的能力。安全完善性分为系统故障和随机故障完善 性。表 1 是完善性等级分级标准，同时也是随机故障安全完善性的定量目标，而对于系统故障完善性，标准中是用质量管理、安全管理和技术安全等定性指标作为目标的。定义一个安全相关系统的安全完善 性等级相当重要，应当根据系统安全要求计算出可以容忍的故障率， 然后参照表 1 得出系统安全完善性等级。如果等级定低了会直接威胁 系统的安全性，如果等级定高了会浪费大量的人力、物力和财力。5 安全生命周期 (SafetyLifeeyele) 安全生命周期就是从方案的确定阶段开始到所有的电气电子可编 程电子安全相关系统、其他技术的安全相关系统、外部风险降低设备