TUV功能安全工程师必须掌握的IEC61511标准解读

TUV功能安全⼯程师必须掌握的IEC61511标准解读
功能安全技术是过程⼯业中普遍使⽤的安全评价和分析技术，通过HAZOP，事件树等半定性的
分析⽅法可以有效统计和分析系统现有的安全措施和⽔平，并指明需要加强的部分。

通过定性
的分析⽅法，可以对安全仪表系统（SIS）进⾏分析，预计SIS可达到的安全完整性等级
（SIL）。

功能安全标准的发展经历了⼏个重要的节点。

1996年，ISA⾸先发布了ISASP84安全声明周
期，这是功能安全标准的技术基础。

随后，在1998年国际电⼯委员会（IEC）发布了IEC61508
系列标准，2003年，针对过程⼯业的功能安全标准IEC61511正式发布，该标准共包含3个部
分，详细规范了过程⼯业中SIS的构架、定义，系统，硬件和软件要求。

2010年，IEC61508
Ed2.0系列标准发布，它带来了⼀系列新的理念和评价⽅法，⽽标准也从原来的7个部分增加为8
个部分。

2016年2⽉IEC 61511-1Ed 2.0已经正式发布，它将结合⽬前的前沿技术发展，给过程
⼯业，甚⾄于更多的其他相关涉及财产安全、环境安全、⼈⾝安全的⾏业，带来规范有效的安
全评价⽅法和技术。

IEC 61511系列标准给出了SIS关于规范、设计、安装、运⾏和维护的相关要求。

它明确了所需
达到的功能安全⽔平，但是标准中并不明确这些要求的责任⽅，⽽相关的责任⼈员需根据安全
计划、项⽬计划和管理以及所在国家的法律法规进⾏职责的划分。

IEC 61508与IEC 61511之间的关系
IEC61508和IEC61511是2个有着密切关系的标准，从属关系上来说，IEC61511是IEC61508在
过程领域的应⽤，IEC61508是所有功能安全标准的基础和⽀撑。

IEC 61511标准解读
01
2个基本概念
在IEC 61511-1 Ed2.0中，仍然保留了2个基本概念：安全⽣命周期和安全完整性等级（SIL）。

①安全⽣命周期对于功能安全⽽⾔⾄关重要。

从功能安全的概念出发，失效可分为随机失效和系
统失效。

对于随机失效，通过硬件试验、可靠性分析、应⼒筛选等⼀系列试验⽅法可以有效提
供其数值，这⾥不进⾏赘述。

⽽系统失效，引⼊安全⽣命周期的概念⾮常必要，它可以有效帮
助设计⼈员从根本上避免和减少设计失误。

安全⽣命周期本⾝是⼀套系统的⽅法，是⼯程实际
中最⾏之有效的设计⽅法。

具体表现在：明确活动和⼯作职责；辨识每个阶段的完整性需求；
辨识所需⽂档；帮助实现功能安全管理（FSM）、系统验证、系统确认、评估、评审等活动。

⽽上述活动也可借由安全⽣命周期的划分分配给不同的参与⼈员，包括最终⽤户、系统集成
商、开发⼈员（硬件和软件）等。

②SIL就是功能安全定量⽅法的体现。

从IEC61508系列标准中可以找到许多关于SIL的描述，其
中较为重要的两个概念：平均失效概率（PFD，PFH）及结构约束。

得到准确的PFD和PFH，
对于定量评价系统的有效性和在关键时刻的表现⾄关重要，也是得到SIL的重要参数之⼀。

02
3个显著变化
在IEC 61511-1 Ed2.0中有3个显著的变化：
①许多原来被定义为“应”的活动，新版标准则定义为“必须”，如：安全⽣命周期必须包含应⽤编程等。

②原标准中的“应⽤软件”被改写为了“应⽤编程”，这从根本上提⾼了系统集成过程中对于软件评估的重视，在考虑SIS的SIL时，编程过程，即软件质量成为⼀个不容忽视的重要过程。

③FAT编程规范性引⽤，即：出⼚试验成为必备过程。

这些变化体现了IEC 61511-1 Ed2.0对于安全要求的提升，原标准可选的内容在IEC 61511-1 Ed2.0中成为了必须执⾏的项⽬，⽆疑增加了系统制造商、集成商的⼯作量，需要将更多的时间⽤于系统的测试，同时需要将更多的精⼒投⼊在控制系统失效的⼯作上。

同时，为了迎合数字化发展的进程，软件的重要程度再次提升，在IEC 61508 Ed2.0中就可以明显感觉到对编程过程的重视，并在IEC 61511的升版中再次体现出来。

03
4个重要阶段
⼤致可以将SIS安全⽣命周期归纳成4个阶段。

①分析阶段。

它包括了上图中1，2，3这3个部分的⼯作。

②实现阶段。

它包括了上图中4，5部分以及标准中第9章的相关内容。

③操作和维护阶段。

它包括了6，7，8，9这4个部分的内容。

④管理和计划。

它包括了10，11这2个部分的内容。

从顺序上来说，管理和计划是先于⼀切⾏动的起点，它将控制整个项⽬的进度、质量⽔平以及跟踪观察。

功能安全管理和评审
01
功能安全管理概述
对于任何宣称产品或者系统达到功能安全的⼚商或组织，都应该有完整的功能安全管理来确认他们的声明是合理有效的。

在IEC 61511-1 Ed2.0中，对于功能安全管理提出了多⽅⾯的要求：
①组织和资源。

主要提出了对涉及SIS⽣命周期中的⼈员、部门、组织或其他单位的职责以及承担相关职责所应具备的能⼒，这些能⼒可以包括：⼯程知识、电⽓电⼦可编程电⼦⽅⾯的知识、安全⼯程知识、法律法规要求、必要的领导技能、风险分析和评价的技能等。

②风险评价和风险管理。

这些内容可以通过不同的风险评价⽅法获得，例如HAZOP和QRA等，这些⽅法可从定性到半定量再到定量，以提供准确的评价结果。

③编制可⾏的安全计划。

安全计划中需要详细描述在项⽬中所执⾏的⽣命周期以及在⽣命周期中所包含的活动，执⾏活动的⼈员、部门、组织以及配备的资源等，并且应与所需的SIL相匹配。

④执⾏和监视。

对于项⽬中涉及的供应商或提供服务的组织都应按所需的SIL要求提出对应的管理规程并进⾏监督管理，同时对SIS的失效率参数的合理性也要时刻进⾏监督。

⑤评估、审核和修改。

在IEC 61511-1 Ed2.0中对于如何进⾏评估提供了详细的建议，⽽这些建议也可以成为项⽬执⾏者编制⽂件时的参考。

项⽬中所执⾏的任何相关活动都应留下备查的记录，尤其是对于修改部分，应建⽴完整的规程，⾄少应包含提出、评审、修改、再评审的过程。

⑥配置管理。

配置管理可有效地控制系统的版本有序，是避免系统失效的基本要求和重要⼿段。

功能安全管理应该在项⽬过程中持续有效地执⾏，并且应贯彻执⾏统⼀的准则，并且在实施过程中应按计划、按阶段引⼊功能安全评审，将会有效提供功能安全管理的⽔平。

02
功能安全评审
功能安全管理与功能安全评审密不可分。

①执⾏功能安全评审，在新版标准中则给出了⼏点特别需要注意的事项：
a）执⾏功能安全评审的⼈员应该独⽴，不应参与到SIS的任何⼯作。

这⾥的独⽴有多层理解，根据不同的SIL要求，可以将独⽴的范围扩⼤。

通常可以将独⽴分为3个层次：技术独⽴、管理独⽴、财务独⽴。

⽽通⽤的做法则是在项⽬过程中引⼊第三⽅独⽴机构来执⾏功能安全评审的⼯作。

b）IEC 61511-1 Ed2.0中尤其强调了功能安全评审计划的制定，在原标准中为注意的条款，在新版标准中都变为了必须执⾏的项⽬。

c）在维护和操作阶段也应当周期性地引⼊功能安全评审⼯作，即功能安全⼯作不仅仅是开车的必要条件，在系统投⼊运⾏后，功能安全的评审⼯作依然重要。

⽽这部分的⼯作将包括：评判系统的运⾏情况、收集相关设备的运⾏参数以便更新功能安全相关参数，发现和评估未预料到的隐患并及时纠正。

d）功能安全评审依赖于操作的实时性。

②根据IEC61511-1Ed2.0可以将功能安全评审划分为5个阶段，这5个阶段贯穿系统的安全⽣命周期全过程：
a）在完成风险评估后，辨识出所需的保护层并在完成完全要求规范（SRS）编制后实施。

b）在完成SIS设计后实施。

c）在完成安装、试运⾏、最终确认后，并且已开发完成运⾏和维护规程后实施。

d）在获得运⾏和维护经验数据后实施。

e）在修改后或在SIS停运前实施。

上述的实施阶段只是功能安全评审的最低要求，对于有不明确或者有必要的情况下，功能安全评审就应及时进⾏，避免系统故障的引⼊。

SIS的设计和⼯程应⽤
鉴于IEC 61508 Ed2.0的发布，对于功能安全结构约束的定义有了新的变化，在IEC 61511-1 Ed2.0中，也将延续这种变⾰。

因此，在判断硬件故障裕度（HFT）时有了更多的选择。

在IEC 61508-2 Ed2.0中有两种不同的⽅法，分别为Route1H和Route2H，其判定HFT的要求分别见下表所列。

可见，Route2H取消了关于安全失效分数的要求，⽽这两种⽅法在IEC 61511-1 Ed2.0中都是可⾏的。

⽽想要设计出符合功能安全要求的SIS，仍然需要设计⼈员有⾜够丰富的功能安全知识和仪表应⽤经验。

IEC 61511-1 Ed2.0中特别强调了以下这些要求：
①SIS中所使⽤的设备应符合IEC61508-2和IEC61508-3的设计要求；即在特定的SIL要求下，仪表的设计需要符合IEC61508Ed2.0要求，⽽这不仅仅是平均失效概率达到要求这么简单。

②如果想沿⽤那些经过验证的设备也并⾮不可，但是应提供⾜够的⽂档资料证明这些设备适⽤于新的SIS。

③与上⼀条相关，对于那些经过验证的设备就需要有系统的⽅法来收集现场经验数据，⽽⽅法和要求可以在ISA TR 84.00.04：2015和NAMUR recommendation NE 130（“Prior use”—device for SISs）中找到。

④系统或⼦系统的安全⼿册中应覆盖操作、维护、故障检测和限制要求等内容。

⑤在旁通时（例如维修或测试时），需要有补充措施以确保安全运⾏。

⑥应明确定义SIS所允许的最⼤旁通时间。

⑦SIS应能对辨识出的安全风险提供必要的恢复功能，这些安全风险可能存在于硬件、应⽤软件和相关软件中。

SIS的应⽤编程和SRS
01
SIS的应⽤编程
前⽂中提到，在IEC 61511-1 Ed2.0中特别强调了将应⽤软件变为应⽤编程，这就说明软件编程质量在SIS中的重要性更加明确。

在新版标准中提出了对于应⽤编程的⼀系列要求：适当的⽣命周期划分；系统化的⽅法；必要的检验测试⼿段；可追溯性；验证与确认。

针对上述要求，设计和开发⼈员有必要引⼊⾏之有效的系统性⽅法，⽽⽬前⼴为接受的⽅法就是改进型V模型系统性⽅法。

对于应⽤编程，可以参照IEC 61508-3 Ed2.0中的要求实施，需要特别注意的是，在IEC 61511-1 Ed2.0中，针对通信提出了关于信息安全的要求。

对于信息安全的要求需要从硬件和软件两个部分去考虑，关键的⽹络设备应经过相关测试并验证其有效性。

⽽通信协议本⾝也应经过评估和必要的攻防测试，这部分内容在IEC 62443系列标准中有详细的要求，⽽该部分也是IEC 61511-1 Ed2.0中与时俱进的有⼒表现。

02
安全要求规范
在IEC 61511-1 Ed2.0中，对于每个安全仪表功能（SIF）定义了共计29条要求，这些内容⼤多在原版中有相应的要求，⽽其中有以下4条内容是新版中额外增加的内容：
新的I/O列表的要求；
对于旁通定义提出了更具体的要求；
SIS过程测量（精确度和跳变点）；
重新提出了对于应⽤编程的要求。

以上内容在IEC 61511-1 Ed2.0第10.3.1条中有明确提及，根据SIF的具体情况，在编制SRS 时，应完整考虑这些要求，以提⾼SIS的设计准确性。

新版标准修订内容
在IEC 61511-1 Ed2.0中，还有⼀些修订部分内容，通过研读，将其罗列如下：
①要求通过运⾏和维护以收集SIS的实际性能表现，这有助于提⾼现有系统的安全性，并且为以后的系统提供真实可信的功能安全数据。

②响应时间被明确定义，并命名为过程安全时间。

③⼯⼚验收试验（FAT）成为规范性要求。

④EMC相关标准以及IEC61682ED1.0ALARM管理成为了不可或缺的参考⽂件。

⑤随机失效的量值应考虑验证测试有效性、数值可信度和数值的不确定度。

⑥在功能安全评估完成前，不能进⾏变更。

⑦在进⾏过程危害和风险评估时需同时进⾏安全风险评估，该部分内容可参照ISATR84.00.09和IEC 62443-2执⾏。

⑧安全包括对硬件、应⽤编程和相关软件的故意攻击以及⾮预期的⼈员误操作。

来源：化⼯活动家。