IEC 61508
IEC 61508是一项用于工业领域的国际标准,其名称是《电气/电子/可编程电子安全相关系统的功能安全》(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES)。
IEC 61508是由国际电工委员会发布,其目的要建立一个可应用于各种工业领域的基本功能安全标准。它将功能安全定义为:“是受控设备(EUC)或受控设备系统总体安全中的一部分;其安全性是依赖于电气/电子/可编程电子(E/E/PE)安全相关系统、其他技术的安全相关系统或外部风险降低措施的正确机能。”
简介
编辑IEC 61508标准起源于工业程序控制领域。该标准涵盖了完整的安全生命周期,当制定相关领域特定的功能安全标准时,需要进一步细化说明[1]。
IEC 61508标准定义的安全生命周期包含16个阶段,各阶段所关注的均是系统安全功能,粗略地可以分为3块:
- 1-5阶段描述了分析过程。
- 6-13阶段描述了实现过程。
- 14-16阶段描述了运作及维护过程。
标准由7个部分组成,
- 1-3部分包括标准需求,偏向规范性的内容。
- 4-7部分包括开发过程指导和示例,以资料性的内容为主。
IEC 61508标准的核心是风险和安全功能的概念。风险是指危害事件频率(或可能性)以及事件后果严重性的组合。可以借由应用包括电气/电子/可编程电子(E/E/PES)及其它技术构成的安全功能,使风险降低到可以容忍的水平。电气/电子/可编程电子以外的技术也可能被用于降低风险,但IEC 61508标准的详细需求只覆盖了采用E/E/PES技术的安全功能。
IEC 61508对风险的观点如下:
- 不可能达到零风险。
- 必须从一开始就要考虑安全性。
- 将风险降低到合理且可容忍的范围(ALARP)。
危害及风险分析
编辑IEC 61508要求需实施危害分析及风险分析:“针对每一个被确认的危害事件,需计算或估计EUC(受控设备)的风险”。
此标准建议“可以实施量化或非量化的危害及风险分析技术”,并在标准中提出了许多的分析方式[2]。以下是一种量化危害分析的方式,将事件机率区分为6类,事件影响区分为4类:
出现机率的分类
分类 | 定义 | 范围(每年的失效率) |
---|---|---|
频繁(Frequent) | 系统生命周期中出现很多次 | > 10−3 |
可能(Probable) | 系统生命周期中出现数次 | 10−3 至 10−4 |
偶尔(Occasional) | 系统生命周期中出现一次 | 10−4 至 10−5 |
微乎其微(Remote) | 系统生命周期不太可能出现 | 10−5 至 10−6 |
几乎不可能(Improbable) | 非常不可能出现 | 10−6 至 10−7 |
难以置信(Incredible) | 无法相信会出现的事件 | < 10−7 |
影响的分类
分类 | 定义 |
---|---|
灾难(Catastrophic) | 多人死亡 |
严重(Critical) | 一人死亡 |
临界(Marginal) | 一人或多人重伤 |
轻微(Negligible) | 至多造成轻伤 |
可将上述的机率及影响组合成以下的风险矩阵
影响 | ||||
机率 | 灾难 | 严重 | 临界 | 轻微 |
频繁 | I | I | I | II |
可能 | I | I | II | III |
偶尔 | I | II | III | III |
微乎其微 | II | III | III | IV |
几乎不可能 | III | III | IV | IV |
难以置信 | IV | IV | IV | IV |
其中
- I类:在任何情形下都无法接受。
- II类:不希望出现,只有在实务上无法降低风险,或是降低风险成本远高于改善所获得的效益时才可以接受。
- III类:若降低风险的成本高于改善所获得的效益,可接受这类事件发生。
- IV类:可接受这类事件发生,但需加以监控。
安全完整性等级
编辑安全完整性等级主要是依以下三个要素的评估情形,较高的安全完整性等级需要在这三个部份有更好的相容性:
- 提升可靠度。
- 失效而安全。
- 管理、系统技术、验证及确认。
安全完整性等级是针对单一减少偒害的方法(在风险分析中决定),不是针对整个系统,也不是针对个别零件。
提升可靠度
编辑对于连续运转的系统(连续模式)及一年运转超过一次的系统(高需求),需评怙其容许的失效频率。对于间歇性运转的系统(一年运转不到一次/低需求),失效机率定义为系统无法回应需求动作的机率。
SIL | 低需求模式: 无法回应需求动作的平均机率 |
高需求模式或连续模式: 每小时出现危险失效的机率 |
1 | ≥ 10−2 至 < 10−1 | ≥ 10−6 至 < 10−5 |
2 | ≥ 10−3 至 < 10−2 | ≥ 10−7 至 < 10−6 |
3 | ≥ 10−4 至 < 10−3 | ≥ 10−8 至 < 10−7 |
4 | ≥ 10−5 至 < 10−4 | ≥ 10−9 至 < 10−8 |
失效而安全
编辑安全故障失效比率(safe failure fraction,简称SFF)的计算可确认系统失效安全的程度。安全故障失效比率比较安全失效及危险失效的比例,但安全故障失效比率本身不足于宣告安全完整性等级,在 IEC 61508标准中有定义各等级的安全完整性等级需要的安全故障失效比率。
管理、系统技术、验证及确认
编辑管理及系统技术确保可以避免在生命周期中任一部份出现的错误。即使是可靠度最高的保护方式,也可能被从初期概念、风险分析、规格、设计、安装、维护一直到丢弃过程中导入的错误所破坏。IEC61508列出在生命周期的各阶段需要应用的相关技术。
产业或特定领域标准
编辑车辆软体
编辑汽车产业软体可靠性协会(MISRA)的方针中涵盖了有关车辆安全相关系统的软体开发[3]。MISRA计划是要提供车辆用嵌入式软体开发的方针。在1994年11月时发行了一套车用嵌入式软体开发的方针,是第一个在车辆产业对应IEC 61508的标准,1998年时MISRA提出了MISRA C,是兼顾嵌入式系统的安全性及可移植性的C语言开发标准。
ISO 26262是将IEC 61508延伸到车辆的电机/电子系统的安全标准。
铁路软体
编辑EN 50128全名为《铁路应用-铁路控制及保护软体》(Railway applications - Software for railway control and protection)是将IEC 61508应用在铁路应用的欧盟技术标准,内容涵盖铁路控制及保护软体的开发,包括通讯、讯号及处理系统等。
制造业
编辑制造业包括许多种类的制造工艺:包括炼油厂、石化、化工、制药、纸浆、造纸及电力等。IEC 61511是这些工程系统的技术标准,确保使用仪表设备时工业流程的安全性。
核电厂
编辑IEC 61513全名为《功能安全-核能工业的安全仪表系统》(Functional safety – safety instrumented systems for the Nuclear Industries)提供了核电厂的设备及安全控制系统相关的要求及建议事项,其中的要求包括针对传体硬体的设备、以电脑为基础的设备以及同时使用上述二种技术的设备。
机械
编辑IEC 62061全名为《机械安全与安全有关的电气、电子和可编程电子控制系统的功能安全标准》(Safety of machinery, Functional safety of safety-related electrical, electronic and programmable electronic control systems),是IEC 61508在机械安全的功能安全标准[4],IEC 62061提供了各类型和机械安全有关的电机控制系统的要求,适用于系统层级的设计,也适用于非复杂的子系统及设备。
软体测试
编辑依IEC 61508开发的软体依其需达到的安全完整性等级(SIL)不同,有可能需要经过单元测试。单元测试的目的是在确认软体在模组层次已进行了完整测试。若是有些安全完整性等级较高的应用,软体的代码覆盖要求更高,而且也需使用修改条件判断覆盖(MCDC)准则,而不是简单的分支覆盖(branch coverage)。若要得到MCDC覆盖率的资讯,一般都需要单元测试软体,甚至是软体模组测试软体。
相关条目
编辑参考文献
编辑- ^ 陈骏为. E/E/PE安全功能產品標準-IEC 61508. 电子工程专辑. EE Times Group. 2008-01-01 [2012-05-30]. (原始内容存档于2008-05-17).
- ^ Felix Redmill. An Introduction to the Safety Standard IEC 61508 (PDF). Redmill Consultancy. [2012-06-04]. (原始内容存档 (PDF)于2012-08-13).
- ^ Motor Industry Software Reliability Association. [2012-05-30]. (原始内容存档于2012-07-04).
- ^ 工厂自动化领域SIL认证标准. 电子质量周刊. 2011年11月, (19) [2012-05-30]. (原始内容存档于2016-03-04).
外部链接
编辑- 功能安全中心(页面存档备份,存于互联网档案馆)
- 61508 Association(页面存档备份,存于互联网档案馆)
- IEC Functional safety zone(页面存档备份,存于互联网档案馆)
- Inside Functional Safety - Technical magazine focusing on functional safety
- CFSE Governance Board website(页面存档备份,存于互联网档案馆)
- [1](页面存档备份,存于互联网档案馆) - Motor Industry Software Reliability Association
论文
编辑- A revised proposal for IEC 61508. This paper was presented at the Embedded Systems Show 2006 in Birmingham, UK.
- An article about meeting the IEC 61508 part 3 (software development) requirements for tool certification, specially compilers.(页面存档备份,存于互联网档案馆)
- Open IEC 61508 Certification of Products - This paper describes an assessment for product designs and the product development process that produces a full safety case as well as additional public documentation.
- Satisfying SIL Requirements: Ensure Functional Safety of E/E/PE Safety-Related Systems (from Parasoft)
延伸书目
编辑- M.Medoff, R.Faller, "Functional Safety - An IEC 61508 SIL 3 Compliant Development Process" - www.exida.com
- C. O'Brien, "Final Elements and the IEC 61508 and IEC 61511 Functional Safety Standards" - www.exida.com
- M.Punch, "Functional Safety for the Mining Industry – An Integrated Approach Using AS(IEC)61508, AS(IEC) 62061 and AS4024.1." (1st Edition, ISBN 978-0-9807660-0-4, in A4 paperback, 150 pages). www.marcuspunch.com(页面存档备份,存于互联网档案馆)
- D.Smith, K Simpson, "Safety Critical Systems Handbook: A Straightforward Guide to Functional Safety, IEC 61508 (2010 Edition) And Related Standards, Including Process IEC 61511 and Machinery IEC 62061 and ISO 13849" (3rd Edition ISBN 978-0-08-096781-3, Hardcover, 288 Pages).