IEC61508标准（精选3篇）

IEC61508标准 第1篇

国际电工委员会(IEC)于2000年发布了IEC61508 Functional Safety of E/E/PE safety-related system,该标准明确提出了安全相关系统的功能安全,并给出了一个全面的电气/电子/可编程电子系统功能安全管理的框架,它是一个技术理念、科学的评估体系和优化的管理手段的集合。在这个框架内,基于其它技术(机械、液压)的安全系统也可同时被考虑进去,有利于各应用领域制定其相应的功能安全标准。同时,该标准也是一个可独立使用的标准,可以在没有应用领域标准的情况下,指导开发安全的电气/电子/可编程电子系统(E/E/PES)[1]。功能安全是一种全新的安全技术和管理理念,功能安全的研究在我国刚刚开始。我国于2006年等同采用了IEC61508,并发布了GB/T20438-2006《电气/电子/可编程电子安全相关系统的功能安全》。

至今,IEC61508发布了近十年时间,经过在欧美等国家的广泛应用,发现该标准的内容尚不够全面、明确,需要进行补充修订。我国引进该标准并开展功能安全研究的时间较短,更应积极关注该标准的修订状况。文章详细分析了IEC61508的精髓内容及目前的修订现状,有利于全面掌握和追踪该标准。

2 标准制订过程

IEC61508主要由德国、美国、澳大利亚、日本等12个国参与制订,另有9个国家参与了审定和投票。IEC61508早在1984年,出台了安全软件相关标准,在此基础之上,有关专家于1986年提出如何规范安全硬件。于是,有关安全软件和安全硬件的标准在1988年发布;之后,人们又提出怎样规范系统性的故障,例如设计缺陷。在1992年,出台了有关安全生命周期和硬件、软件的标准,但该标准过于复杂,且没有条理性;1995年发布了包含7部分的标准雏形,分为规范性要求和资料;1998年,标准的第1、3、4和5部分被批准为国际标准;1999年,第2、6和7部分被批准为国际标准。IEC61508最终完整地于2000年出版发布。该标准是功能安全技术和管理的基础标准,在此基础上衍生了其它行业的功能安全标准,如过程工业的IEC61511、机械工业的IEC62061、核工业的IEC61513等。

3 标准的精髓

IEC61508包含7个部分,第1部分:一般要求;第2部分:电气/电子/可编程电子安全相关系统的要求;第3部分:软件要求;第4部分:定义和缩略语;第5部分:确定安全完整性等级的方法示例;第6部分:第2和第3部分的应用指南;第7部分:技术和措施概述。第1、2、3、4部分为标准的正式内容,是规范性要求;第5、6、7部分为标准的参考内容,属于资料性内容。

功能安全是安全仪表系统是否能有效地执行其安全功能的体现[3],它是一种基于风险的安全技术和管理模式。风险评估是实施功能安全管理的前提,安全完整性等级是功能安全技术的体现,安全生命周期是功能安全管理的方法,因此,风险评估、安全完整性等级和安全生命周期是IEC61508的精髓。以下将分别阐述这三方面内容。

3.1 风险评估

IEC61508中对风险的定义为“出现伤害的概率及该伤害严重性的组合”[2],即风险是一个危险事件(或事故)概率(或频率)及该事件后果(或严重程度)的函数[3]。风险评估包括对危险分析中识别出的危险事件的风险进行分级。安全是相对的,风险是不可能完全消除的。对于可能导致严重后果的危险事件的风险,必须降低到可接受的水平。IEC61508中没有规定具体的危险和风险分析技术,但给出了技术选用应考虑的因素[4]。

从图1可以看出,风险的降低包括3个部分:E/E/PE安全相关系统、其他技术安全相关系统(例如,安全阀等)和外部风险降低设施(例如,排放系统和防火墙等)。可见,对于整体安全措施而言,E/E/PE安全相关系统只是其中一部分。风险评估的结果用于确定安全系统所需的整体安全完整性等级,再将总的安全完整性等级分配到E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施,使系统的风险降低到允许的水平。

目前,定量风险评估是整个功能安全管理的薄弱环节,直接影响了功能安全评估的效果。我国已对重大火灾爆炸事故后果的定量进行了全面研究,建立了6种伤害模型[5],但缺少事故发生概率的数据,而引发这些重大事故的危险事件发生的频率更是缺乏。而且重大危险源评价模型或道化学火灾、爆炸指数评价法中的抵消因子(补偿系数)虽然考虑了安全控制系统的作用,但不是对其基于风险的量化,而是把安全控制系统定位于安全补偿,与受控系统一起考虑安全控制系统的安全补偿作用,没有对安全控制系统自身进行单独、客观的评估。如果整体安全控制系统已经是过安全保护,那么这种考虑就欠合理、不够经济。因此,需要按照功能安全管理的理念进行重大危险源评估,这就要求研究开发定量风险评价方法,同时收集整理危险事件发生概率及后果的基础量化数据,并建立数据库。

3.2 安全完整性等级

根据IEC61508的定义,安全完整性是在规定的条件下和规定的时间内,安全相关系统成功实现所要求的安全功能的概率[2]。为了具体量化安全完整性,IEC61508定义了安全完整性等级(Safety Integrity Level, SIL)的概念,用于规定分配给E/E/PE安全相关系统的安全功能的安全完整性要求,最高为4,最低为1。SIL级别越高,安全相关系统能实现所要求的安全功能的概率就越高。但是,达到某个SIL等级并不意味着系统就是绝对安全或可靠。满足某个SIL等级的要求,仅仅是提供了一种安全的可信度,具体而言,就是一个系统或功能失效的概率低于该SIL等级规定的失效概率。因此,SIL不是降低风险的措施,而是风险降低的目标。

IEC61508将安全相关系统按照操作模式的不同分为:低要求操作模式、高要求操作模式或连续操作模式,并针对不同操作模式下的安全完整性等级规定了相应的目标失效量。见表1和表2。在低要求操作模式下,对一个安全相关系统提出操作要求的频率不大于每年一次和不大于两倍的检验测试频率,否则均应看作高要求操作模式或连续操作模式的安全相关系统。

安全完整性等级的确定基于风险评估的结果,不恰当的风险评估技术会导致安全相关系统的安全完整性等级过高或过低。安全完整性等级过高会造成浪费,过低将不能满足安全要求而导致发生不可接受风险。

3.3 安全生命周期

根据IEC61508的定义,安全生命周期是安全相关系统实现过程中所必需的生命活动,这些活动发生在从一项工程的概念阶段开始,直至所有的E/E/PE安全相关系统、其他技术安全相关系统,以及外部风险降低设施停止使用为止的一段时间内[2]。安全生命周期构建了功能安全管理的框架,其基本思想是功能安全相关的所有活动都是按一个有计划的系统的方法进行管理的[4]。系统的安全不仅是由系统的设计和实现决定的,还取决于系统的安装、运行和维护等活动,包括了为达到必需的安全完整性水平而进行的一切活动。换句话说,安全生命周期包括了安全仪表系统在概念、设计、运行、测试、维修及停用各阶段的所有活动,以达到高水平的功能安全。达到功能安全不是一劳永逸的,而是一个持之以恒、无微不至的过程。

图2为IEC61508标准中对整体安全生命周期的描述。可见,整体安全生命周期的每个阶段都有各自的范围、目的、所要求的输入和符合要求的输出,通过这种结构化的分析方法指导过程风险分析、安全相关系统的设计和评估,使隐藏在安全相关系统中的非安全因素降到最低水平。同时,每个阶段都需要进行验证和评估,以确保该阶段的所有活动正确地执行,使该阶段的输出符合下一阶段要求。例如,模型中第3阶段执行的危险和风险分析,其输出的结果在第4阶段用于确定安全相关系统的整体安全完整性等级。因此,该模型能够适应不同安全要求的系统的开发,同时每个阶段的活动根据不同的系统而有所不同。

另外,IEC61508标准特别指出,功能安全的管理活动和各个阶段所必须的验证和评估等,也是整体安全生命周期的重要组成部分,出于降低模型复杂性的考虑,没有在整体安全生命周期的模型中体现出来。

安全完整性水平贯穿于安全系统生命周期的始终。安全系统的安全完整性水平不仅是安全系统安全性能的度量标准,而且是安全系统生命周期中的主线,将安全系统整体生命周期的各个阶段联系起来。安全完整性水平使得整体安全生命周期这个大框架下的所有活动能够具有良好的一致性。另一方面,如果不采用安全生命周期的方式来进行功能安全管理,那么是很难保证安全完整性水平能够达到目标要求的[2]。

4 标准的修订状况

目前,IEC61508正在修订,该标准第二版的第2部分～第4部分的CDV(Committee Draft for Vote)文件和第5部分～第7部分的CDV文件分别已提交至秘书处,预计出版时间为2010年。该标准第二版的主要变动内容如下。

(1)IEC61508的所有部分

安全功能的范畴扩大,从整体安全功能扩展到由设备(如逻辑解算器和现场设备)执行的(部分)安全功能,此变化适用于标准的所有部分。

安全生命周期的基本结构未改变,但在阶段9增加了“电气/电子/可编程电子(E/E/PE)系统安全要求规范”,该规范中应提出对系统安全功能和安全完整性的要求。此要求规范在旧版中也有相关内容,但未在生命周期结构图中体现出来,可见,该标准第二版强调了安全要求规范的重要性。

(2)IEC61508-1的主要改变

统一了IEC61508和IEC61511的部分术语。例如,E/E/PE安全相关系统与安全仪表系统(SIS)、可编程电子系统(PES)与安全仪表系统、过程控制系统与基本过程控制系统、受控设备与过程、安全功能与安全仪表功能。但目前还在商定中,也许还会有变动。

对功能安全管理、能力、评估、先验性证明提出了更加精确的要求;提出了附加的生命周期,从而强调应用设计者所写的系统安全要求规范的重要性。

对安全完整性等级SIL4级进行了阐述;重新考虑了SIL4应用的明确要求,确定是否可以改变风险参数以避免SIL4安全功能的要求;如果确定需要实现SIL4安全功能,应考虑潜在的共因失效,使用定量方法做进一步的风险评估。

增加了信息安全要求,以保证安全控制系统中传输的信息不被盗窃,提高了安全信息防范要求,维护了用户的利益。

(3)IEC61508-2的主要改变

在标准第2部分中明确定义了三种符合性方法,即对系统安全完整性(系统能力)的要求,可以通过三种方法之一来满足。方法1:系统故障避免的要求和系统故障控制的要求的符合性;方法2:设备可由以往使用经验证明的要求的符合性;方法3:对于软件,与IEC61508-3的7.4.2.1及附录(现有软件组件)的要求的符合性。

该标准第2部分新增了附录D“符合性条款的安全手册”,提供了确保系统满足IEC61508的元件的功能安全相关的所有信息,安全手册能够提供充足的数据以进行判定。安全手册原来主要由安全产品制造商提供。

该标准第2部分还新增了条款7.4.3,元件合成以达到所要求的系统能力,即如果满足独立性的特殊要求,可将两个元件合成。例如,把两个或多个具有SIL1等级的元件合成到具有SIL2等级系统,该条款正处于激烈讨论中。

另外,标准第2部分还提出了对专用集成电路ASIC、FPGA的要求。

(4)IEC61508-3的主要改变

提供附录A和B中描述性技术和措施的更好的推论的属性,并且在增加的附录中列出了现有工具和软件的名称。

(5)IEC61508-4的主要改变

增加了4个新术语:符合性条款(Compliant Item)、系统能力(Systematic Capability)、符合性条款的安全手册(Safety Manual for Compliant Item)、安全判据(Safety Justification)。

(6)其他部分的改变

IEC61508-5/6/7为标准的参考辅助部分。标准的第5部分为风险评估和SIL等级的确定方法,目前正在讨论中;标准的第6部分是该标准第2部分和第3部分的应用指南,主要变化是改进了概率建模的例子和用彩色图代替现有的表格;标准的第7部分是技术和措施的概述,目前亦正在讨论中。

5 结束语

国际上,SIL已经成为工业领域内商业合同的必备条款,功能安全的认证工作已经开始,技术性贸易壁垒已经显现。在国内,SIL已经成为用户极为关心的安全指标,石油、化工、铁路、机械、矿山等高危行业急需进行功能安全技术培训;用户对SIL的要求甚至已经超过国外,SIL能力成为市场准入的必要条件,安全产品供应商已开始研究和开发相关安全产品;国家安全生产监督管理局和国家标准化管理委员会正在制定相应的法规和标准来规范市场。在功能安全标准的基础上,功能安全技术和产品研发等相关工作正在逐步开展。

目前,IEC61508正在修订,但尚未考虑操作人员错误,未给出影响操作人员决策的充分指标信息,未定义安全相关人机界面是否友好等,随着功能安全技术的深入研究,功能安全标准将逐步完善。最终,功能安全标准与功能安全技术和管理将形成相辅相成,互相促进的良性循环。

参考文献

[1]史学玲.功能安全标准的理论特点与管理模式[J].仪器仪表标准化与计量.2006.4:3.Shi Xueling.Theory Features and Management Mode ofFunctional Safety Standard[J].Instrument Standardiza-tion&Metrology.2006.4:3.

[2]GB/T20438.4-2006/IEC61508-4:1998.电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语[S].GB/T20438.4-2006/IEC61508-4:1998.Functionalsafety of electrical/electronic/programmable electronicsafety-related systems-Part 4:Definitions and abbrevia-tions[S].

[3]阳宪惠.安全仪表系统的功能安全[M].北京:清华大学出版社,2007:4~11.Yang Xianhui.Functional safety-safety instrumented sys-tems[M].Beijing:Tsinghua University Press,2007:4~11.

[4]包伟华,张浩.The Research on Functional Safety Stand-ards and Technologies[A].2007第八届工业仪表与自动化学术会议论文集[C].上海,2007:1~7.Bao Weihua,Zhang Hao.The Research on FunctionalSafety Standards and Technologies[A].Monograph of the8th Science Conference on Industry Instrument and Auto-mation[C].Shanghai,2007:1~7.

IEC61508标准 第2篇

从某种意义上讲，“数字化变电站”主要指变电站二次系统的“数字化”，数字化变电站采用低功率、紧凑型、数字化的新型电流和电压互感器代替常规的互感器，将大电流、大电压变换为低电平信号或数字信号，利用高速以太网构成变电站数据采集及传输系统，实现基于61850的信息建模，采用智能断路器控制技术，使得变电站自动化技术在常规变电站自动化技术的基础上有了巨大的跨越。

61850标准将数字化变电站从结构上分为3个层次：

过程层：又称设备层，过程层的设备是智能化的设备，由电子互感器、智能开关、断路器、变压器等设备组成。

间隔层：由保护装置、测控装置组成，主要功能是：汇总本间隔过程层实时数据、对一次设备的保护控制、执行数据承上启下通信传输等功能。

变电站层：由监控、远动、故障信息子站组成，主要功能是：汇总全站数据、将有关数据传送到电网调度或控制中心、接收电网调度命令、具有站内监控和人机功能、具有对间隔层和过程层设备在线维护等功能。

IEC61850技术特点：

1）首次在电力系统通信协议中运用XML技术

在IEC61850-6提出了以XML为基础的变电站配置描述语言SCL，SCL能描述变电站內各智能电子设备，并能描述智能电子设备之间的关系，IEC61850采用XML来描述变电站的设备和功能，统一变电站数据交换格式，对变电站自动化工程的设计、规划、实施和信息交换都很有好处。

2）分层目录服务

IEC61850中的目录服务有5层，分别是服务器目录、逻辑设备目录、逻辑节点目录、数据对象目录和读数据定义。客户通过服务器目录服务，就可获得各个服务器中的各个逻辑设备名；按照各个逻辑设备名依次利用逻辑设备目录服务，就可获得相应逻辑设备中的各个逻辑节点名；按照各个逻辑节点名依次利用逻辑节点目录服务，就可获得相应逻辑节点中的各个数据对象名；按照各个数据对象名依次利用数据目录服务，就可获得相应数据对象中的各个数据属性名；利用读数据定义服务就可获得相应数据的全部数据属性定义。这样，在线情况下客户可以通过这些服务在客户数据库中建立对方全部的镜像。这些服务用于检索设备中整个分层的定义及全部可访问的信息定义，全部类的实例定义。在正常运行阶段，利用这些服务可监视各个服务器的变动和投运情况，实现配置管理。

3）服务与映射分开

IEC61850中提出了抽象服务通信接口（ASCI）和具体通信服务映射（SCSM），这样就把通信服务要求和具体的通信协议分离开，有利于适应通信技术的不断发展。目前61850-8-1中采用了MMS，以后还可能采用其它协议。即当网络技术发展时只要改动SCSM，而不需要改动ACSI。例如，今后要把LonWorks网络技术包容到61850中的话，61850-7-1到61850-7-4的部分都不需用修改，只要增加61850-8-X把ACSI映射到LonWorks就可以了，只是增加了基于LonWorks的通讯协议，而协议中所传输通信服务的内容没有改变。

4）增加了过程层

IEC61850提出了变电站的3层模型：变电站层、间隔层和过程层。随着电子式电流互感器和电压互感器在电力系统的使用，变电站自动化结构发生了变化，原来的2层结构变成了3层结构，增加了过程层。61850-9-1和61850-9-2就是针对过程层的电流电压采样服务的，其中61850-9-1是针对串行单向多支路点对点链路通信方式的，而61850-9-2是针对过程总线的。

5）使用了面向对象的UML建模技术，具有互操作性，具有面向未来的、开放的体系结构。

IEC61850-9-1：定义了过程层和间隔层之间采样值传输服务（SAV）的ACSI映射到串行一发多收点对点连接上。

IEC61850-9-2：定义了过程层和间隔层之间采样值传输服务（SAV）的ACSI映射到基于以太网的连接上。目前使用的光PT、光CT、合并单元、智能操作箱等间隔层设备在向间隔层装置上送采样值等信息时基本都采用这个基于以太网的IEC61850-9-2映射方式。IEC61850使用ACSI和专用通信服务映射SCSM（SpecificCommunicationServiceMAP）技术解决了标准的稳定性与未来网络技术发展之间的矛盾，即当网络技术发展时只要改动SCSM，而不需要改动ACSI。例如，今后要把LonWorks网络技术包容到61850中的话，61850-7-1到61850-7-4的部分都不需用修改，只要增加61850-8-3把ACSI映射到LonWorks就可以了，只是增加了基于LonWorks的通讯协议，而协议中所传输通信服务的内容没有改变。

湖南省株洲南500kV古亭变电站采用了站内61850规约系统，站内互感器、主变等一次设备都是常规部分，保护装置、故障录波、后台监控、故障信息子站等二次设备采用了IEC61850规约，古亭变完成了站内61850规约通信，这也就是所谓的：61850变电站。只实现了2层结构，没有过程层，间隔层仍然通过电缆与传统互感器和开关互联，间隔层和变电站层遵循了61850标准，通信上实现了互联互通，这种模式变电站也称为61850变电站，不能算完全意识上的数字化变电站。而株洲南变电站在保护故障信息子站实现了站内和调度之间应用61850规约。这也是株洲南站在华中地区得到了很大的突破。

数字化变电站二次系统装置是通过模型文件建立通讯的，模型文件在工程实施当中占据了非常重要的位置，在工程实施当中各个厂家提供装置内部的正确的模型文件非常重要，装置的模型文件必须要按照IEC61850规约规范建立。有了正确的模型文件，能给工程调试减少调试时间，减少调试当中出现的差错，增加应用当中的正确性、可靠性、互操作性。在系统运行查看问题也带来了很大的便利。

在工程实施当中理想化的配置过程：各装置厂商提供基于IED装置、描述装置能力的ICD文件；设计部门提供描述系统规模的SSD文件；系统集成商将全站所有装置的ICD文件和SSD文件进行组态配置，生成全站配置SCD文件并返回给装置厂商；各装置厂商把SCD文件配置成CID文件，并下装到各自的IED装置中。

这里我们解释一下系统应具备的配置文件：

1）ICD文件：IED能力描述文件，由装置厂商提供给系统集成厂商，该文件描述IED提供的基本数据模型及服务，但不包含IED实例名称和通信参数。ICD文件应包含模型自描述信息，如LD和LN实例应包含中文“desc”属性，通用模型GAPC和GGIO实例中的DOI应包含中文“desc”属性，数据类型模板LNType中DO应包含中文“desc”属性。ICD文件应包含版本修改信息，明确描述修改时间、修改版本号等内容。

2）SSD文件：系统规范文件，应全站唯一，该文件描述变电站一次系统结构以及相关联的逻辑节点，最终包含在SCD文件中；

3）SCD文件：全站系统配置文件，应全站唯一，该文件描述所有IED的实例配置和通信参数、IED之间的通信配置以及变电站一次系统结构，由系统集成厂商完成。SCD文件应包含版本修改信息，明确描述修改时间、修改版本号等内容；

4）CID文件：IED实例配置文件，每个装置有一个，由装置厂商根据SCD文件中本IED相关配置生成。

株洲南变电站是单纯的61850站，没有涉及到一次设备，所以没有SSD文件。株洲南变电站保护故障信息子站与主站的通信服务建模。

1）定值调用

对于保护的一组定值，可以定义成1个数据集Setting，由于定义的数据集成员是不同逻辑节点下的数据对象，因此，将它定义到总的逻辑节点LLN0下，实际应用中一个CPU有多个定值区，可以建立多个数据集用来存放其他定值区的定值。

2）故障报告和自检报告

故障报告的事件信息和自检报告的告警信息可通过子站保存供主站查询，可通过61850定义的报告控制块定义，报告控制块分为带缓存的报告控制块和不带缓存的报告控制块2种，需要根据实际保护设备的原理，首先建立相应的数据集，然后建立每个数据集相对应的报告控制块实例。故障报告和自检报告对应的数据集也分散在各个逻辑节点下，因此和定值一样，归于LLN0下。记录（log）建模的方法和报告类似，有相应的记录控制块（LCB)管理。

3）扰动数据传输

61850中对文件传输服务模型做了定义，一般的文件应包含文件名称、文件大小和最近修改时间等属性，提供服务有读文件、修改文件、删除文件和取文件属性值等。

4）遥测和遥信

对于重要开关量（如硬压板节点、高频收信节点等），子站采用定期轮询的方法从保护设备采集开关状态，并与上一次的状态相比较，如果有变位，立刻触发一个报告上送给主站。

IEC61508标准 第3篇

近年来,在铁路、航空航天、采矿、石油和天然气、核电站、医用设备等行业和机械行业,都依靠功能安全实现设备安全,并提出了很多安全理论和国际标准,其中由IEC(国际电工委员会)分技术委员会65A于2010年4月正式发布的第二版IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》系列国际标准是迄今为止安全相关系统的理论概括和技术总结。

IEC 61508系列标准针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整个安全生命周期,建立了一个基础的评价方法。其目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑单独系统(如:传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大提高彻底改变了工厂和工业过程的控制,也改变了安全控制策略。多年来,由电气和电子部件组成的系统在众多应用领域中都应具有安全功能。以计算机为基础的系统(比如可编程的电子系统)在许多领域中用于非安全目的,但也越来越多地用于安全目的。

安全功能的理念已经渗透到整个工业部门之中,因此,在包含有电子、电气设备,计算机软、硬件的安全相关系统中采用IEC 61508系列标准是非常必要。它可以为降低安全相关系统中不可避免的风险提供保证,从而更好地实现设备的安全性,为人们的安全与健康提供保护。本文就IEC61508系列标准的内容作一介绍。

2 功能安全的定义和作用

让我们首先来看看“安全”的定义:免受因对财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤等不可接受的风险。

功能安全是指针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。功能安全是系统整体安全的组成部分,它取决于安全相关系统或设备对输入信号的正确反应。

功能安全可以检测出潜在危险状态,并启动防护设备或调控装置,以防止危害的扩大或降低危害的影响,如:感应装置通过传感器监测到烟雾后,则智能化地启动灭火装置;在容器内可燃液体超标,则启动关闭按钮,即当达到潜在危险级别,阀门将自动关闭,以防止更多的可燃液体进入容器以及造成液体溢出。

然而,检测防火墙或耐高温绝缘材料的方法是由其自身性质所决定的。尽管它在概念上属于功能安全,其本身也可以防止同类危害的发生,但它并不属于功能安全范畴。

IEC 61508适用于包括E/E/PE器件的任何安全相关系统。该适用性是恰当的,因为在IEC61508-1中的任何要求在技术上不是特定的。的确,在实施技术决定之前,在早期开发阶段可以实现(如:最初的想法,总体范围定义,危害和风险分析以及规定总体安全要求)。甚至在最后阶段,如:实现阶段,特殊的功能安全要求可直接应用于非E/E/PE器件,如机械元件以及E/E/PE器件。例如:在IEC 61508-2中硬件可靠性和故障公差要求真接与所有E/E/PE元件的性质相关。对于不太复杂的E/E/PE安全相关系统,它可能符合IEC 61508要求,但不满足该标准的每一个要求。

3 IEC 61508的目的和构成

3.1 目的

IEC 61508系列标准的主要目的是:用技术手段改进安全和经济功能;在安全框架内推动技术发展;对所有的安全相关系统,包括软、硬件在内,从系统生命周期角度提供一个系统方法;为安全技术的未来发展提供一个灵活的技术方案;提供分析安全相关系统安全功能要求的方法;建立一个基础标准,使其可直接应用于工业,同时,亦可指导其他领域的标准制定,使这些标准的起草具有一致性(如:基本概念、技术术语、对规定安全功能的要求等);让使用者和维护者放心使用以计算机为基础的技术;建立一个统一的标准以利于增强系统的安全功能、发展用于各领域的安全技术和测试、开展安全评估。

3.2 构成

IEC 61508系列标准由7部分组成,该标准仅1～4部分包括规范性要求。这7部分的内容分别如下:

(1) IEC 61508-1 ed2.0 (2010-04)

第1部分:总的要求,描述了主要概念、组织、生命期、文档编制、引导证据及相关的定义。

(2) IEC 61508-2 ed2.0 (2010-04)

第2部分:电气/电子/可编程电子安全相关系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。

(3) IEC 61508-3 ed2.0 (2010-04)

第3部分:软件要求,描述避免失效的方法,与第7部分的附录相关。

(4) IEC 61508-4 ed2.0 (2010-04)

第4部分:定义和缩略语。

(5) IEC 61508-5 ed2.0 (2010-04)

第5部分;确定安全整体水平的方法实例。

(6) IEC 61508-6 ed2.0 (2010-04)

第6部分:应用IEC61508-2和IEC615083指南。

(7) IEC 61508-7 ed2.0 (2010-04)

第7部分:技术和方法总论。

4 IEC 61508的风险识别和控制

通常,设备和相关控制系统的重大危害必须由专业人员或系统开发人员通过危害分析方法进行识别。通过分析识别出功能安全是否能充分保证每一个重大危害都能充分防护,如果能够,那么,在设计系统时就必须考虑适用的方法。功能安全仅是处理危害的一种方法,而其消除或降低危害的其他方法,如通过设计实现系统内在安全具有更重要的意义。IEC 61508规定了4种风险指标来实现系统的功能安全:

(1)被控装置的风险:指被控装置或被控装置与被控装置控制系统相互作用而产生的风险;

(2)可容忍的风险:指在以现行社会标准为基础的给定情景下可被接受的风险;

(3)残余的风险:指在采取了防护措施后仍然保留的风险;

(4)必须的风险降低:指通过电气/电子/可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低,以确保不超过可容忍的风险。在对安全相关系统进行需求分析和危险分析之后,可以得到系统的可容忍的风险和现存的风险,两者之差是必须降低的风险。IEC 61508主要讨论的就是怎样利用安全技术和分析方法降低电气/电子/可编程电子安全相关系统的风险。

5 IEC 61508的应用实例

IEC 61508标准适用于与安全相关的系统,如:由电气/电子、可编程电子(E/E/PE)器件组成的一个或多个系统。该标准涉及由E/E/PE安全相关系统运行中功能安全故障引起的潜在危害,而这些危害明显由E/E/PE设备本身所引起(如电震动)。该标准通常作为基础,适用于所有E/E/PE安全相关系统,无论作何用途。

目前人们普遍认为,危害和故障的结果也能对经济产生严重的影响,在这样的情况下,该标准能用于规范任何E/E/PE安全相关系统,从而对设备或产品以及人们的安全进行保护。IEC 61508-1的范围给出了详细内容。IEC 61508可适用于以下领域:

(1)紧急情况关闭系统;

(2)消防和气体系统;

(3)涡轮机控制;

(4)气体燃烧器管理;

(5)起重机自动安全载重指示器;

(6)机械保护联锁和紧急停止系统;

(7)医疗器件;

(8)动态位置控制(如当接近近海设备时船的位置控制);

(9)铁路信号传输系统(包括运动着的每一列火车的信号传输);

(10)作为保护措施,用于限速的变速马达控制系统;

(11)网络允许的加工厂的遥控监测、经营或设计系统;

(12)在不正确的结果影响安全的地方,基于信息的决策支持工具。

(13)实施安全功能的相关方法包括:电动-机械接力,非可编程固态电子学和可编程电子学。可编程电子安全相关系统实际上包括可编程控制器、可编程逻辑控制器、微处理器、特殊用途的集成电路,或其他可编程器件,如智能器件:传感器/发射机/激励器等。

在每一种情况下,该标准应用于整个E/E/PE安全相关系统,为了实现安全功能有效地规定和实施,有必要将系统作为一个整体来考虑。E/E/PE安全相关系统的物理范围仅由安全功能来确定。

6 IEC 61508标准导读

IEC 61508-5附录A提供了降低风险和安全完整性的说明材料。在IEC 61508-1中,用7个条款介绍了风险生命周期的总体要求。此外,关于功能安全的检查、管理和评估依次体现在第7.18条、第6条和第8条。

IEC 61508-6附录A中,用8页的篇幅介绍了IEC61508-2和IEC 61508-3,其中IEC 61508-2,电气/电子/可编程电子系统的安全生命期基本要求包含7个条款,同样,IEC 61508-3中,软件安全生命期的基本要求包含7个条款。

IEC 61508其他特殊要求可以在介绍生命周期和客观目的段落中找到必备条件等内容,其目的就是在介绍基本要求之前,明确其必备条件。

为了做好通用系统部分与现有工业化进程中检测风险指标和控制风险的衔接,IEC 61508系列标准就运行环境(包括电磁屏蔽)、系统评估方法和功能安全等方面的技术和方法总论做了专门的研究,例如:电气/电子/可编程电子系统在内的为所有的横向安全相关系统,包括软、硬件在内,从系统生命周期角度提供一个系统方法。

7 结语

作为功能安全的基础标准,IEC 61508中提出了功能安全的基本原理、术语、数学方法、管理模式,针对以电子为基础的安全相关系统提出了一种一致的合理的技术方案,同时还提出了一个技术框架,在这个框架内,基于其他技术的安全系统也可同时被考虑进去。

IEC 61508标准的范围是考虑有关E/E/PE安全相关系统的失效将影响人员以及环境的安全,另外还考虑到失效的后果会产生严重的经济方面的损失。因此,在科学技术高速发展的今天,在铁路、航空航天、采矿、石油和天然气、核电站、医用设备等行业和机械行业电气/电子/可编程电子安全相关系统、其他技术的安全相关系统应采用该新版标准,以实现设备、产品、环境和人员的安全与防护。

摘要：本文基于功能安全的定义和作用,主要介绍了新版IEC61508国际标准的目的和构成框架、风险识别和控制方法,并通过标准应用实例和导读,为相关行业提供帮助,以实现设备、产品、环境和人员的安全与防护。