功能安全国际标准IEC61508

合集下载

功能安全国际标准IEC

功能安全国际标准IEC

功能安全国际标准I E C61508 1基本情况近年来,在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准,其中IEc61508——电气/电子/可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个,它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法,没有指定具体的应用领域。

电气/电子/可编程电子系统(E/E/PE)是指以电气/电子/可编程电子技术为基础,包括了电气设备、电子设备、可编程电子设备。

其中,电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础,用于控制、防护和监督的系统,它包括了系统的全部元件,如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态,采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气/电子/可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E/E /PE和软件生存周期阶段,为E/E/PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法,用安全完善性等级来说明安全相关系统的安全目标,它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标:(1)被控装置的风险:指被控装置或被控装置与被控装置控制系统相互作用而产生的风险;(2)可容忍的风险:指在以现行社会标准为基础的给定情景下可被接受的风险;(3)残余的风险:指在采取了防护措施后仍然保留的风险;(4)必须的风险降低:指通过电气/电子/可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低,以确保不超过可容忍的风险。

IEC61508-2010-6 公式解释

IEC61508-2010-6 公式解释

λD λD λD
图3 moon结构系统可靠性框图
moon
CCF
不考虑共因失效的情况下,只有当结构中有n-m+1个通道都发生危险失效的情况下,系 统才发生危险失效。对于第一个发生危险失效的通道,其等效MDT等于单通道(1oo1)结 构的MDT,即 tCE ;对于第二个发生危险失效的通道,其等效MDT等于双通道并联(1oo2) 结构的MDT, 即 tGE ; 对于第三个发生危险失效的通道, 其等效MDT等于三通道并联 (1oo3) 结构的MDT,即 tG2E ;以此类推,对于第 n-m+1个发生危险失效的通道,其等效MDT等于 n-m+1通道并联 (1oo n-m+1) 结构的MDT, 也等于moon结构的MDT, 即 tG( n-m)E 。 因此, moon 结构的PFDavg为:
PFD(probability of dangerous failure on demand)的含义是安全相关系统被要求时执行 安全功能的失效概率,即表示安全功能的不可用性。PFDavg(average probability of dangerous failure on demand)是PFD在给定时间段内的平均值。PFDavg表示为安全功能的不可用性[2]:
PFH Pnnm1D
tCEtGEtG2E tG( n-m1)E
(6).
依据以上公式,下文将分别给出61508中各种结构PFDavg和PFH的推导过程。
3.4 1oo1 结构
1oo1结构只由一个通道构成, 通道的任何危险失效都将引起系统安全功能的失效, 其物 理框图如图4所示。
4
通道 诊断
D tG( n-m)E
PFDavg Pnnm1 (1 eD tCE )(1 eD tGE )(1 eD tG2E )(1 e Pnnm1D

IEC61508标准术语

IEC61508标准术语

IEC61508标准术语基本术语一、IEC 61508标准术语说明:以下术语摘录自功能安全标准IEC61508和国家标准GB/T20438。

4。

故术语标号也未曾改动。

3.1安全术语3.1.1伤害harmphysical injury or damage to the health of people either directly or indirectly as a result of damage to property or to the environment.由于对财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤。

3.1.2危险hazardpotential source of harm伤害的潜在根源3.1.3危险情况hazardous situationcircumstance in which a person is exposed to hazard(s)人暴露于危险的环境。

3.1.4危险事件hazardous eventhazardous situation which results in harm导致伤害的危险情况。

3.1.5风险riskcombination of the probability of occurrence of harm and the severity of that harm 出现伤害的概率及该伤害严重性的组合。

3.1.6允许风险tolerable riskrisk which is accepted in a given context based on the current values of society根据当今社会的水准,在给定的范围内能够接受的风险。

3.1.7残余风险residual riskrisk remaining after protective measures have been taken采取防护措施以后仍存在的风险。

IEC61508标准

IEC61508标准

IEC61508标准概述2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》,与之对应的我国国家标准正在制定中。

该标准分七部分,涉及1000多个规范。

由电气和电子部件构成的系统,多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的,但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。

对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为:第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。

第3部分是对软件的要求,描述避免失效的方法,与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法,简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内,安全系统成功实现所要求的安全功能的概率。

IEC-61508提纲

IEC-61508提纲

IEC-61508提纲一、一般要求1、文档2、功能安全管理3、整体安全生命周期的要求4、功能安全评估二、电气/电子/可编程电子安全相关系统要求1、E/E/PES安全生命周期要求2、功能安全评估三、软件要求1、软件质量管理系统2、软件安全生命周期要求3、功能安全评估四、定义和缩略语五、确定安全完整性等级的方法实例1、必要的风险降低2、E/E/PE安全相关系统的作用3、安全完整性4、风险和安全完整性5、安全完整性等级和软件安全完整性等级6、安全要求分配7、合理可行的低(ALARP)和允许风险概念六、GB/T 20438.2和GB/T 20438.3的应用指南七、技术和措施概述1、E/E/PES的技术和措施概述:随机硬件失效控制2、E/E/PES的技术和措施的概述:系统失效的避免3、达到软件安全完整性的技术和措施的评述4、确定预开发软件的软件安全完整性的一种概率法一、一般要求1、文档1.1目的规定能够有效执行整体安全生命周期、E/E/PES安全生命周期和软件安全生命周期各阶段所必需的信息,能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息,这些信息将被文档化。

1.2要求文档中的信息应包括各项功能以及其功能性评估的所有的内容,包括各方面的例如操作流程、方案、结果、期望等等。

文档应该准确简明,让使用者容易理解,能达到预期目的,可存取和可维护。

文档的标题以及内容中的标题应对应文档所描述的实际内容以及一些形式的检索,文档或信息集应有修订检索(版本号),以方便检索和区别于其他文档。

所有有关文档应修补、补充、复审、批准,并按照适当的文档控制方案进行控制。

2、功能安全管理2.1目的确定整体的、E/E/PES的和软件的安全生命周期所有极端的管理和技术活动;确定人员、部门和机构对整体的、E/E/PES的和软件的安全生命周期各阶段或各阶段中活动所负的责任。

2.2要求确定好整体方案的战略、人员(包括各阶段执行和复核的人数以及技术水平)、交流方法、项目实施、信息结构化及文档化的方法、性能评估、项目的及时跟踪、确定责任部门、降低生产中的危险事故方案、发现问题后的修改流程和部门、培训条款和应急信息。

如何根据 IEC61508 标准来验证系统的安全完整性?

如何根据 IEC61508 标准来验证系统的安全完整性?

如何根据 IEC61508 标准来验证系统的安全完整性?IEC 是国际标准化组织(ISO)和电气电子工程师协会(IEC)共同制定的一项安全标准,用于评估和验证系统的安全完整性。

验证系统的安全完整性是非常重要的,因为它可以帮助避免潜在的事故和损害。

以下是根据 IEC 标准来验证系统的安全完整性的步骤:1. 执行系统安全需求分析(SRS):首先,需要进行系统安全需求分析,以确定系统在安全方面的需求和目标。

这包括确定可能的危险源、安全功能和系统失效的影响。

2. 定义系统安全完整性级别(SIL):根据系统的安全需求,确定适当的安全完整性级别。

SIL 是衡量系统安全完整性水平的等级,通常分为四个级别,从最低的 SIL 1 到最高的 SIL 4。

3. 进行系统分析:执行系统分析,以确定系统中的所有元素和子系统,以及它们之间的相互作用。

这可以帮助识别系统的潜在危险和故障。

4. 执行安全性评估:根据 IEC 的要求,进行安全性评估。

安全性评估是评估系统的任何缺陷或故障可能导致的潜在危险和损害的过程。

5. 制定安全完整性计划:根据系统的安全需求和安全完整性级别,制定安全完整性计划。

这个计划包括实施安全功能、进行系统测试和验证,并确保系统能够达到所需的安全完整性级别。

6. 执行测试和验证:按照安全完整性计划,执行系统的测试和验证。

这包括测试系统的安全功能和性能,以确保系统能够在设计要求和安全需求下正常运行。

7. 进行安全完整性审核:进行安全完整性审核,以评估系统是否满足所需的安全完整性级别。

在审核过程中,需要对系统的设计、验证和测试进行审查,并确定是否需要采取进一步的改进措施。

8. 更新系统文档和报告:根据评估结果,更新系统的安全文档和报告。

这些文档和报告应包括系统的安全需求、安全完整性级别、测试和验证结果,以及任何改进措施和建议。

通过遵循以上步骤,根据 IEC61508 标准来验证系统的安全完整性可以确保系统在设计、开发和运行过程中达到所需的安全标准和要求。

在 IEC61508 标准中,如何定义和管理安全功能需求?

在 IEC61508 标准中,如何定义和管理安全功能需求?

在 IEC61508 标准中,如何定义和管理安全功能需求?在 IEC 标准中,如何定义和管理安全功能需求?IEC 是一项针对电气、电子和可编程电子系统(PE 对)的功能安全标准,为确保这些电子系统能够在设计和运行中满足特定的安全要求。

在IEC 标准中,定义和管理安全功能需求是非常关键的一步,以下是如何进行的方法:1. 定义安全功能需求在IEC 中,安全功能需求是指必须满足的条件,以确保系统能够对特定的危险进行预防或减轻。

定义安全功能需求时,需要考虑以下几个方面:- 系统的安全目标:确定系统需要达到的安全目标,并将其转化为具体的安全功能需求。

- 系统边界:确定系统的边界,即系统与外部环境之间的界限,以便定义系统需求。

- 风险分析:通过风险分析确定潜在的危险和系统的安全要求,这将帮助定义安全功能需求。

2. 管理安全功能需求在IEC 中,管理安全功能需求的目的是确保系统满足安全要求并能够持续维持在一定的安全水平。

以下是管理安全功能需求的步骤:- 需求分析:对安全功能需求进行详细的分析和评估,以确保其清晰、可测量、可追踪和可验证。

- 需求跟踪:建立一个跟踪表格,记录每个安全功能需求的状态、变更历史、验证结果等信息,以及与其他需求之间的关联。

- 验证和确认:对安全功能需求进行验证和确认,确保其符合系统的安全目标和要求。

- 变更管理:在整个开发和运行过程中,及时记录和管理安全功能需求的变更,确保任何变更都经过适当的评估和验证。

总结:在IEC 61508标准中,定义和管理安全功能需求是确保系统满足特定安全要求的重要步骤。

通过明确定义安全功能需求,并采取适当的管理措施,可以确保系统在设计和运行中有效地达到所期望的安全水平。

功能安全IEC61508标准新旧版的对比

功能安全IEC61508标准新旧版的对比

功能安全IEC 61508标准新旧版的对比IEC61508是国际通用的功能安全基础标准,其核心内容即为功能安全产品的系统、硬件、软件设计做出详尽的要求,以使其能够按满足功能安全的方式进行设计和开发。

它为电气/电子/可编程电子安全相关系统建立一个通用的方案,并促进各个应用部门标准的开发。

是安全相关系统的总的通用标准,对安全相关系统具有重大意义和重要地位,各个领域的安全相关系统都必须遵循这个标准。

新版IEC 61508-2010标准不仅与时俱进地更新了几乎所有技术相关的内容,也总结了近年的技术发展和应用经验基础,依据功能安全技术的理念发展趋势,从系统性能力、硬件/软件安全完整性要求、功能安全管理方面提出了若干新的要求,由此,引起了IEC 61508标准衍生而出的各领域功能安全应用标准的逐步更新。

IEC 61508标准的更新,对于SIS 制造商、集成商和用户来说,如何使产品的设计、集成和使用尽可能地满足新版标准成为一个关键问题。

当然,满足新标准的产品将具有更高的质量和技术优势,也由于体现了更接近实际的功能安全理念而为用户创造了更多的价值。

在新版ICE61508-2010中,定义了SC(systematic capability)的概念,即系统性能力。

用于表征一个组件的系统性安全完整性是否符合指定SIL的要求。

SC等级也分为4个级别:SC1~SC4,对应于SIL的四个等级。

也就是说,一个组件具有SC N等级,就表示其系统性安全完整性满足SIL N等级。

它表示,SIL并非只与系统冗余程度和SFF有关。

当使用两个或多个具有较低SIL的组件来实现更高的SIL时,就必须考虑组合后的系统是否具有足够的SC等级。

此外,对于已有使用经验的组件,新版IEC 61508-2010标准还允许通过提供这些组件满足规定的“使用中证实(Proven-in-use)”的证据,来证实组件具有一定级别的SC等级。

SC概念的提出,为用户如何真正实现所需的SIL提供了更好的思路,也对制造商和集成商的功能安全设计提出了更苛刻的要求。

IEC61508-1 一般要求

IEC61508-1 一般要求

整体安全要求
5 如果不能满足要求4a)至d)中包含的要求,则应将EUC控制系统指定成 一个安全相关系统。分配给EUC控制系统的安全完整性等级,应基于 EUC控制系统所声明的失效率,它与表2和表3中规定的目标失效量相符。 在这种情况下,本标准中与分配的安全完整性等级有关的要求应用于 EUC控制系统。 注1:例如,如声明EUC控制系统的失效率在10-6/h失效和10-5/h失效之间, 则应满足安全完整性等级1的相关要求。 6 基于必要的风险降低,应对每个安全功能规定安全完整性要求,这就构 成对整体安全完整性要求的规范。
注:安全完整性要求的规范是确定E/E/PE安全相关系统要实现的安全功能 的安全完整性等级的一个过渡阶段。某些确定安全完整性等级的定性方 法是从风险参数直接进展到安全完整性等级的。在这种情况下,必要的 风险降低是隐含的而不是明显的,因为它本身就包含在方法之中。 7 安全功能和安全完整性要求的规范一起构成整体安全要求的规范。
要求11 构成危险和风险分析的信息和结果应文档化。
要求12 对EUC和EUC控制系统而言,从危险和风险分析阶段至停用或处理阶段的整个整体安全生命周 期全过程中,都应保存构成危险和风险分析的信息和结果。 注:保存危险和风险分析阶段的信息和结果是建立改进危险和风险分析问题解决方案的基本方法。
整体安全要求

• • • •
要求4.整体安全生命周期的各阶段,应根据各阶段规定的范围、输入和输出,分成一 些基本的活动。
要求5. 每个整体安全生命周期阶段的范围和输入见表1。 要求6.除非在功能安全计划编制中已做调整或在应用领域标准中另有规定,由整体 安全生命周期的各阶段产生的输出,应如表1规定。 要求7. 由整体安全生命周期的各阶段产生的输出,应满足各阶段规定的目的和要求。 要求8. 应满足每个整体安全生命周期阶段的验证要求。

IEC61508

IEC61508

IEC61508概述2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》,与之对应的我国国家标准正在制定中。

该标准分七部分,涉及1000多个规范。

由电气和电子部件构成的系统,多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的,但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。

对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为:第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL 的定义。

第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。

第3部分是对软件的要求,描述避免失效的方法,与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法,简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内,安全系统成功实现所要求的安全功能的概率。

IEC61508标准

IEC61508标准

IEC61508标准概述2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》,与之对应的我国国家标准正在制定中。

该标准分七部分,涉及1000多个规范。

由电气和电子部件构成的系统,多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的,但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。

对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为:第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。

第3部分是对软件的要求,描述避免失效的方法,与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

页脚内容1第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法,简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内,安全系统成功实现所要求的安全功能的概率。

IEC61508是一项用于工业领域的国际标准

IEC61508是一项用于工业领域的国际标准
Company
LOGO
IEC61508在铁路中的应用
1308班 谭力天 13120268
Contents
1 3 2 3
国外铁路对IEC61508的应用 IEC61508在铁路安全相关系统中的应用研究 安全文件体系 安全评估体系
4
国外铁路对IEC61508的应用
IEC 61508是一项用于工业领域的国际标 准,其名称是《电气/电子/可编程电子安全相 关系统的功能安全》(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES)。 IEC 61508是由国际电工委员会发布,其 目的要建立一个可应用于各种工业领域的基本 功能安全标准。它将功能安全定义为:“是受 控设备(EUC)或受控设备系统总体安全中的 一部分;其安全性是依赖于电气/电子/可编程 电子(E/E/PE)安全相关系统、其他技术的安 全相关系统或外部风险降低措施的正确机能。 ”
阶段9:E/E/PE功能实现 设计和实现E/E/PE安全相关系统的硬件, 以满足对E/E/PE安全相关系统规定的安全功能 和安全完善性需求。 阶段10:其他技术实现要求同阶段9。 阶段11:风险降低措施实现要求同阶段9。 阶段12:整体安装和委托 ① 安装E/E/PE安全相关系统; ② 委托E/E/PE安全相关系统。 阶段13;整体安全确认 论证E/E/PE安全相关系统在功能安全和安 全完善性方面达到整体安全要求规范。
铁路安全相关系统中的应用研究
我们国家首先吸取IEC61508的精华部分, 结合相应的铁路安全国际标准和我们国家实 际制定的铁路安全标准和评估标准,进而建 立国家铁路安全评估体系。以下是结合 IEC61508对铁路安全相关系统的研制和开 发以及相关的安全文件体系和安全评估体系 所做的一些应用探讨。在IEC61508中有两 个很重要的概念,一个是安全完善性等级, 一个是安全生命周期。安全完善性等级的确 定需要进行安全系统风险分析,它是进行系 统研发的目标和基础,是评估系统能否保证 安全的依据。而安全生命周期描述的是应该 怎样进行安全相关系统的研发。

在 IEC61508 标准中,如何确定安全完整性级别?

在 IEC61508 标准中,如何确定安全完整性级别?

在 IEC61508 标准中,如何确定安全完整
性级别?
IEC是一项国际标准,用于确定电气、电子和可编程电子系统的功能安全性要求。

在IEC中,安全完整性级别是用来评估系统的安全性能的指标。

确定安全完整性级别的步骤如下:
1. 确定系统的安全功能:首先需要明确系统的安全功能,即在正常工作条件下,系统必须满足的功能要求,以确保人员、环境和财产的安全。

2. 确定必要的安全完整性级别:根据系统的安全功能要求,确定必要的安全完整性级别。

安全完整性级别分为4个级别,分别为A、B、C和D,级别D要求最高,级别A要求最低。

3. 进行安全完整性级别评估:根据IEC标准中的指导,对系统的各个安全功能进行评估,以确定其所属的安全完整性级别。

评估
的过程需要考虑系统的安全规定、可靠性要求、操作和维护的要求等方面的因素。

4. 验证和确认安全完整性级别:使用相应的验证方法和技术,验证和确认系统的安全完整性级别。

这包括对系统进行功能测试、可靠性分析和故障模式和影响分析等。

5. 文档化和监督:将安全完整性级别的确定结果进行文档化,并实施监督措施,以确保系统在运行和维护过程中保持所确定的安全完整性级别。

在IEC61508中确定安全完整性级别是确保系统在设计、开发和运行过程中满足功能安全要求的重要步骤。

通过明确安全完整性级别,可以为系统提供合适的安全措施和控制策略,以降低安全风险,并保障人员和环境的安全。

IEC61508和IEC61511标准的功能安全性分析方法及工程应用

IEC61508和IEC61511标准的功能安全性分析方法及工程应用

IEC61508和IEC61511标准的功能安全性分析方法及工程应用1、背景介绍IEC 61508和IEC 61511提出了一种基于风险的方法来识别和规定安全仪表功能(SIF)的性能要求。

也是当前石油工业系统等行业采用较多的功能安全性分析标准。

为了达到我们所需的风险降低要求,通常情况下企业会实施安全仪表系统(SIS)和其他类型系统的安全分析、评估工作。

一般情况下,我们需要在安全要求规范(SRS)中描述SIFs的安全要求。

例如功能关闭、紧急关闭、防火或气体功能等的SIFs安全要求。

这些功能的SIFs安全要求可以通过典型的因果关系图、可靠性数据验证与评估等手段得到的按需失效概率(PFD)来确定。

根据PFD,即可确定系统的安全完整性等级(SIL)。

本文以石油工业系统的PSD关断功能为例,介绍按需失效概率(PFD)的确定过程。

石油工业系统的PSD(工艺关断)关断功能由PSD逻辑单元、容器以及XV1、XV2、XV3、XV4等阀门组成。

原料的进料受XV1阀门控制,并流入容器内。

原料经过容器处理后产生的气体由XV3阀门控制并输出,处理后产生的液体由XV4阀门控制并输出。

如下图1所示。

图1 PSD关断功能图根据PSD关断功能安全要求,如果其SIL等级要求为1级,PFD要求值是小于0.02。

为分析该系统的PSD关断功能是否满足安全要求,需要建立该PSD关断功能的安全性模型。

根据上面PSD关断功能图可知,PSD关断功能的重要作用是正常或者应急情况下关断设备,保证系统的安全。

PSD设备关断的功能流程如下:PSD系统接收和处理信号(例如来自ESD或者PSD指示信号)后,激活XV1、XV2、XV3和XV4阀的关闭,以隔离容器。

例如PSD关断功能中的重要一个功能场景是:火炬分液罐中的LAHH(高液位警报)关断。

火炬分液罐中的LAHH关断要求可关闭容器的进料,因此通常需要关闭相关装置或入口分离器的入口管线。

由于通常很难检测出具体过量进料供给的来源,火炬分液罐中的LAHH通常会通过PSD系统和可能的ESD系统启动全局关闭功能,以提高功能的可靠性,如图2所示。

功能安全国际标准IEC61508

功能安全国际标准IEC61508

功能安全国际标准I E C61508 1基本情况近年来,在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准,其中IEc61508——电气/电子/可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个,它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法,没有指定具体的应用领域。

电气/电子/可编程电子系统(E/E/PE)是指以电气/电子/可编程电子技术为基础,包括了电气设备、电子设备、可编程电子设备。

其中,电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础,用于控制、防护和监督的系统,它包括了系统的全部元件,如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态,采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气/电子/可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E/E/PE和软件生存周期阶段,为E/E/PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法,用安全完善性等级来说明安全相关系统的安全目标,它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标:(1)被控装置的风险:指被控装置或被控装置与被控装置控制系统相互作用而产生的风险;(2)可容忍的风险:指在以现行社会标准为基础的给定情景下可被接受的风险;(3)残余的风险:指在采取了防护措施后仍然保留的风险;(4)必须的风险降低:指通过电气/电子/可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低,以确保不超过可容忍的风险。

综合运用:功能安全国际标准IEC61508(一)-安全评价师考试.doc

综合运用:功能安全国际标准IEC61508(一)-安全评价师考试.doc

1.基本情况近年来,在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准,其IEc61508电气/电子/可编程电子安全相关系统的功能安全国际标准是比较基本和核的一个,它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法,没有指定具体的应用领域。

电气/电子/可编程电子系统(E /E/PE)是指以电气/电子/可编程电子技术为基础,包括了电气设备、电子设备、可编程电子设备。

其中,电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础,用于控制、防护和监督的系统,它包括了系统的全部元件,如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—Related System)是指为了保证控制设备处于安全状态,采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气/电子/可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E /E/PE和软件生存周期阶段,为E/E/PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法,用安全完善性等级来说明安全相关系统的安全目标,它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了 4种风险指标:(1)被控装置的风险:指被控装置或被控装置与被控装置控制系统相互作用而产生的风险;(2)可容忍的风险:指在以现行社会标准为基础的给定情景下可被接受的风险;(3)残余的风险:指在采取了防护措施后仍然保留的风险;(4)必须的风险降低:指通过电气/电子/可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低,以确保不超过可容忍的风险。

IEC61508-7电气电子可编程的功能安全性电子安全相关

IEC61508-7电气电子可编程的功能安全性电子安全相关

国际标准IEC 61508-72000年3月第一版电气电子/可编程的功能安全性电子安全相关系统第7部分:技术与方法总览目录前言 (7)简介 (9)条款1.范围 (11)2.标准参考文献 (13)3.义和缩略语 (13)附件A(补充信息)E/E/PES 的技术和方法总览:随机硬件故障的控制(见 IEC 61508-2) (14)A.1 电器的 (14)A.1.1利用在线监控进行故障检测 (14)A.1.2 继电器接点的监控 (14)A.1.3 比较器 (14)A.1.4 交叉投票表决器 (15)A.1.5 停止当前工作模式(中断返回) (15)A.2 电子 (15)A.2.2 动力学原理 (16)A.2.3 标准测试登陆端口和边界检测架构 (16)A.2.4 自动防故障装置硬件 (16)A.2.5 监控的冗余 (17)A.2.6 具有自动检查装置的电器/电子元件 (17)A.2.7 相似信号监控 (18)A.2.8降低额定 (18)A.3 处理单元 (18)A.3.1 通过软件进行自我检测:有限数量的模式(单通道) (18)A.3.2 使用软件进行自我检测:步进位(单通道) (19)A.3.3由硬件支持的自我检测(单通道) (19)A.3.4编码处理(单通道) (19)A.3.5 使用软件进行相互比较 (20)A.4 持久存储范围 (20)A.4.1 字存储多位冗余(例如使用带有修正的海明码进行ROM监控) (20)A.4.2 修正的校验和 (21)A.4.3 单字签名(8位) (21)A.4.4 双字签名(16位) (22)A.4.5 阻止复制(例如具有硬件或者软件比较的双重 ROM ) (22)A.5 恒定的存储器范围 (22)A.5.1 RAM测试“检查板”或者“过程” (22)A.5.2 RAM测试“步行区” (23)A.5.3 RAM测试“galpat”或者“transparent galpat” (24)A.5.4 RAM 测试“Abraham” (24)A.5.6 用带有修正的海明码进行 RAM 监控,或者用带有错误检测纠正编码(EDC)进行 RAM 监控 (25)A.5.7具有硬件或者软件比较和可读/可写功能的双重RAM (25)A.6 I/O 单元和接口(外部通讯) (26)A.6.1测试模式 (26)A.6.2 编码保护 (26)A.6.3 多通道平行输出 (27)A.6.4 监控的输出 (27)A.6.5 输入比较/投票 (28)A.7 数据路径(内部通讯) (28)A.7.1 一位硬件冗余 (28)A.7.2 多位硬件冗余 (28)A.7.3 完全的硬件冗余 (29)A.7.4使用测试模式进行检查 (29)A.7.5传输冗余 (29)A.7.6 信息冗余 (30)A.8 电源 (30)A.8.1 具有安全断电的超电压保护 (30)A.8.2 电压控制(第二个) (31)A.8.3 具有安全断电方式的节电方式 (31)A.9 临时和逻辑程序序列监控 (31)A.9.1 具有分时扫描的看门狗(无时窗) (31)A.9.2 具有分时扫描和时窗的看门狗 (32)A.9.3 程序序列的逻辑监控 (32)A.9.4 程序序列的临时监控和逻辑监控的结合 (32)A.9.5 具有在线检查的临时监控 (33)A.10 通风和加热 (33)A.10.1 温度传感器 (33)A.10.2 风扇控制 (33)A.10.3 经过外部热扩散的安全关闭激励 (33)A.10.5 强迫通风冷却和状态指示的连接 (34)A.11 通讯和大面积存储 (34)A.11.1 电器能量线与信息线的分离 (34)A.11.2 复合线的空间分离 (34)A.11.3 干扰免疫性的提高 (34)A.11.4 Antivalent 信号传输 (35)A.12传感器 (35)A.12.1 参比传感器 (35)A.12.2 正向激励开关 (36)A.13 决定性元素(制动器) (36)A.13.1 监控 (36)A.13.2 复合制动器的横向监控 (36)A.14 应对物理环境的方法 (37)附件B(作为信息使用)E/E/PES 的技术和方法总览:系统故障的避免(见 IEC 61508-2和IEC 61508-3) (38)B.1 通用方法和技术 (38)B.1.1 项目管理 (38)B.1.2 文档 (39)B.1.3 将非安全相关系统与安全相关系统隔开 (41)B.1.4 多样化的硬件 (41)B.2 E/E/PES安全需求规范 (42)B.2.1 结构化的规范 (42)B.2.2形式方法 (42)B.2.3 不完全的形式方法 (43)B.2.3.1概要 (43)B.2.3.2 有限状态机器/状态转移图表 (43)B.2.3.3 时间Petri网络 (44)B.2.4 计算机辅助规范工具 (45)B.2.4.1 概要 (45)B.2.4.2面向非特定方法的工具 (45)B.2.4.3 具有分层分析的面向模型的流程 (45)B.2.4.4实体模型 (45)B.2.4.5 激励和答案 (46)B.2.5清单 (46)B.2.6 规范的检查 (48)B.3 E/E/PES设计与开发 (48)B.3.1 指南与标准的遵守 (48)B.3.2 结构化设计 (49)B.3.3 使用试验证明效果良好的元件 (50)B.3.4 模块化 (51)B.3.5 计算机辅助设计工具 (51)B.3.6 仿真 (52)B.3.7 检查(复查与分析) (53)B.3.8 演示 (53)B.4 E/E/PES运行与维护流程 (54)B.4.1 运行和维护指导 (54)B.4.2 用户友好性 (54)B.4.3 维护的友好性 (55)B.4.4 限制操作可能性 (55)B.4.5 只能由熟练的操作人员进行操作 (55)B.4.6 预防操作人员所产生的错误 (56)B.4.7(未被使用) (56)B.4.8 发生改变 (56)B.4.9 输入确认 (56)B.5 E/E/PES 的集成 (57)B.5.1 功能测试 (57)B.5.2 黑盒测试 (57)B.5.3 统计测试 (58)B.5.4行业领域经验 (59)B.6 E/E/PES 安全确认 (60)B.6.1 在环境条件下的功能测试 (60)B.6.2 干预波动免疫测试 (60)B.6.3(没有被使用) (61)B.6.4 静态分析 (61)B.6.5 动态分析 (61)B.6.6 错误分析 (62)B.6.6.1 故障模块与效果分析 (62)B.6.6.2 起因结果图表 (63)B.6.6.3事件树分析 (63)B.6.6.4 错误模式,影响与危害程度分析 (63)B.6.6.5 故障树分析 (64)B.6.7 最坏案例分析 (65)B.6.8扩充的功能测试 (65)B.6.9 最差案例测试 (65)B.6.10 错误插入测试 (66)附件C(补充知识性的)取得软件安全完整性的技术和方法总览(见 IEC 61508-3) (67)C.1 概要 (67)C.2 要求和详细设计 (67)C.2.1 结构化的方法 (67)C.2.1.1概要 (67)C.2.1.2 核心控制需求表现 (68)C.2.1.3 JSD - 杰克逊系统的开发 (69)C.2.1.4 MASCOT - 软件构造的组件方法,运行和测试 (69)C.2.1.5 实时 Yourdon (70)C.2.1.6 SADT –结构化分析与设计技术 (71)C.2.2 数据流图表 (72)C.2.3 结构图表 (72)C.2.4 形式方法 (73)C.2.4.1概要 (73)C.2.4.2 CCS –通讯系统计算 (74)C.2.4.3 CSP - 通讯顺序过程 (75)C.2.4.4 HOL –较高序列逻辑 (75)C.2.4.5 LOTOS (76)C.2.4.6 OBJ (76)C.2.4.7 临时逻辑 (77)C.2.4.8 VDM,VDM++ - Vienna 开发方法 (77)C.2.4.9 Z (79)C.2.5 保护性的编程 (79)C.2.6 设计与编码标准 (81)C.2.6.1 概要 (81)C.2.6.2 编码标准 (81)C.2.6.3 没有动态变量或者动态对象 (82)C.2.6.4 在动态变量或者动态对象创建期间的在线检查 (82)C.2.6.5 有限使用中断 (83)C.2.6.6 有限的制用指针 (83)C.2.6.7 有限使用迭代 (83)C.2.7 结构化编程 (83)C.2.8 信息隐藏/封装 (84)C.2.9 组件方法 (85)C.2.10 使用信任/验证的软件组件和组成要素 (85)C.3 架构设计 (87)C.3.1 错误检测与诊断 (87)C.3.2 错误检测与纠正代码 (88)C.3.3 错误断言编程 (88)C.3.5 软件的多样性(多样化编程) (89)C.3.6 恢复阻塞 (90)C.3.7 向后恢复 (90)C.3.8 向前恢复 (91)C.3.9 重试错误恢复机制 (91)C.3.10 记住执行的案例 (92)C.3.11 合体的降级 (92)C.3.12 人工智能错误纠正 (93)C.3.13 动态重新配置 (93)C.4 开发工具和编程语言 (94)C.4.1 强壮类型编程语言 (94)C.4.3 认证工具和认证解释器 (95)C.4.4 工具和解释器:使用中增加的可信度: (96)C.4.4.1 源程序与可执行代码的比较 (96)C.4.6 合适的编程语言 (97)C.5 验证和修改 (101)C.5.1 概率测试 (101)C.5.2 数据记录和分析 (102)C.5.3 接口测试 (103)C.5.4 边界值分析 (103)C.5.5 错误猜测 (104)C.5.6 错误播种(错误插值) (104)C.5.7 等价类和输入分割测试 (105)C.5.8 基于结构的测试 (105)C.5.9 控制流分析. (106)C.5.10 数据流分析 (107)C.5.11 潜在电流分析 (107)C.5.12 符号执行 (108)C.5.13 形式验证 (108)C.5.15 Fagan 检查 (110)C.5.17 原型 /animation (110)C.5.18 过程仿真 (111)C.5.19 性能需求 (112)C.5.20 性能建模 (112)C.5.21 雪崩/压力测试 (113)C.5.22 响应定时与存储约束 (114)C.5.23 影响分析 (114)C.5.24 软件配置管理 (114)C.6 功能安全估计 (115)C.6.1 决策表 (真实表) (115)C.6.2 危害和操作性能研究 ( HAZOP ) (115)C.6.3 通常故障起因分析 (117)C.6.4 马尔科夫模型 (118)C.6.5 可靠性方块图 (119)C.6.6 Monte-Carlo 仿真 (119)附录 D(提供信息性质的)用于确定预先开发的软件的软件安全完整性的一个概率方法 (121)D.1 概述 (121)D.2 统计测试公式与它们使用的例子 (122)D.2.1 低请求运行模式的简单统计测试 (122)D.2.1.1 先决条件 (122)D.2.1.2 结果 (122)D.2.1.3 例子 (122)D.2.2 一个低请求运行模式的输入空间(域)测试 (122)D.2.2.1 先决条件 (122)D.2.2.2 结果 (122)D.2.2.3 例子 (123)D.2.3 高请求或者连续运行模式的简单统计测试 (123)D.2.3.1 先决条件 (123)D.2.3.2 结果 (123)D.2.3.3 例子 (124)D.2.4 完全测试 (124)D.2.4.1 先决条件 (124)D.2.4.2 结果 (124)D.2.4.3 例子 (125)D.3 参考文献 (125)参考文献: (127)索引 (130)表C.l–特定编程语言的建议 (100)表D.l–安全完整性水平可信度的必要历史纪录 (121)表D.2–低请求运行模式的故障概率 (122)表D.3–两个测试点间的平均距离 (123)表D.4–高命令或者连续运行模式的故障概率 (124)表D.5–测试所有程序属性的概率 (125)国际电气委员会电气/电子/可编程电子安全相关系统的功能安全性第七部分:技术与方法总览前言1)IEC(国际电气技术委员会)是一个世界范围的负责标准化的组织,它由各个国家的电气委员会(国家IEC 委员会)。

通用功能安全标准IEC 61508

通用功能安全标准IEC 61508

SpaceX 重型火箭发射和侧推进器着陆等事件。Elon Musk 是积极警告 AI 存在 危险的人之一(通过 Google 可搜索到一长串相关文章)。我可能应该选择 《2001 太空漫游》之类的东西,但我选择了《红矮星号》中的对讲机。也许 不是 Elon 所警告的,但谁知道呢,或许他确实看过《红矮星号》呢?毕竟他 显然看过《银河系漫游指南》。
反对 AI 的一个主要意见是它过于复杂。功能安全喜欢简单。引自 《可靠系统的软件》一书。我搜索了这本书,但找不到这句引言。我搜索了 一下,在《代码完成》一书中找到了,出自 C. A. R. Hoare——“软件设计有 两种方法:一种是使其非常简单,因而显然没有缺陷;另一种是使其非常复 杂,因而没有明显缺陷”。我明白他们的观点,深度学习算法可能需要让汽车 撞树 5 万次之后,才会发现这是一个坏主意。而骑三轮车的小孩一般只需撞 一两次就会得出结论。非确定性对安全性是难以接受的。从上面的书中再引 一句话——“开发人员必须熟悉最佳实践,只有理由充分时才能偏离这些实践” 。 在汽车功能安全标准 ISO 26262 中,我没有发现任何地方提到 AI,因 此理论上关于汽车的指南要回到 IEC 61508 标准。然而,新的汽车技术中似 乎广泛使用 AI。我还没有阅读 ISO 26262 修订版 2 全文(预计 2018 年发布), 但我必须与 ADI 公司负责汽车功能安全的同事讨论此问题。也许 AI 只提供 驾驶辅助,而不是用于安全应用。也许它会被新的 SOTIF 标准(预期功能的 安全性)以某种方式覆盖。我认为 AI 的好处可能变得非常大,上述指南将不 得不改变。事实上,IEC 61508-7:2010 C.3.9 条款提出了这样的愿望:“在一个 系统的不同通道中,监督行动可由基于人工智能(AI)的系统提供非常有效的 支持”。 今天的视频选择有很多可能性。在我写这篇文章的那一周,发生了
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

功能安全国际标准IEC61508
1基本情况
近年来,在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准,其中IEc61508——电气/电子/可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个,它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法,没有指定具体的应用领域。

电气/电子/可编程电子系统(E/E/PE)是指以电气/电子/可编程电子技术为基础,包括了电气设备、电子设备、可编程电子设备。

其中,电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础,用于控制、防护和监督的系统,它包括了系统的全部元件,如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态,采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气/电子/可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E/E/PE和软件生存周期阶段,为E/E/PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法,用安全完善性等级来说明安全相关系统的安全目标,它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率
(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标:
(1)被控装置的风险:指被控装置或被控装置与被控装置控制系统相互作用而产生的风险;
(2)可容忍的风险:指在以现行社会标准为基础的给定情景下可被接受的风险;
(3)残余的风险:指在采取了防护措施后仍然保留的风险;
(4)必须的风险降低:指通过电气/电子/可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低,以确保不超过可容忍的风险。

在对安全相关系统进行需求分析和危险分析之后,可以得到系统的可容忍的风险和现存的风险,两者之差是必须降低的风险。

IEC61508主要讨论的就是怎样利用安全技术和分析方法降低电气/电子/可编程电子安全相关系统的风险。

2IEC61508的组成IEC61508由7个部分组成:
(1)总的要求;
(2)电气/电子/可编程电子系统的需求;
(3)软件需求;
(4)定义和缩略语;
(5)决定安全完善性级别的方法实例;
(6)应用IEC61508-2和IEC61508—3指南;
(7)技术和方法总论。

3IEC61508的主要目标
(1)用技术手段改进安全和经济功能;
(2)在安全框架内推动技术发展;
(3)对所有的安全相关系统,包括软、硬件在内,从系统生命周期角度提供一个系统方法;
(4)为安全技术的未来发展提供一个灵活的技术方案;
(5)提供分析安全相关系统安全功能要求的方法;
(6)建立一个基础标准,使其可直接应用于工业,同时,亦可指导其他领域的标准制定,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等);
(7)让使用者和维护者放心使用以计算机为基础的技术;
(8)建立一个统一的标准以利于:
①增进系统的安全功能;
②发展用于各领域的安全技术和测试;
③开展安全评估。

4安全完善性(SafetyIntegrity)
IEC61508用安全完善性等级来说明安全相关系统的安全目标。

安全完善性就是在规定的时间周期内和规定的条件下,安全相关系统成功地完成所需安全功能的能力。

安全完善性分为系统故障和随机故障完善性。

表1是完善性等级分级标准,同时也是随机故障安全完善性的定
量目标,而对于系统故障完善性,标准中是用质量管理、安全管理和技术安全等定性指标作为目标的。

定义一个安全相关系统的安全完善性等级相当重要,应当根据系统安全要求计算出可以容忍的故障率,然后参照表1得出系统安全完善性等级。

如果等级定低了会直接威胁系统的安全性,如果等级定高了会浪费大量的人力、物力和财力。

5安全生命周期(SafetyLifeeyele)
安全生命周期就是从方案的确定阶段开始到所有的电气/电子/可编程电子安全相关系统、其他技术的安全相关系统、外部风险降低设备不再可用时为止的时间。

安全生命周期也是IEC61508中很重要的一个概念,通过定义安全生命周期各个阶段的安全性目标和必须达到的要求来对系统开发应用的每一个环节严格把关,实现整个系统的安全。

相关文档
最新文档