IEC61508标准

功能安全国际标准I E C61508 1基本情况近年来，在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准，其中IEc61508——电气／电子／可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个，它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法，没有指定具体的应用领域。

电气／电子／可编程电子系统(E／E／PE)是指以电气／电子／可编程电子技术为基础，包括了电气设备、电子设备、可编程电子设备。

其中，电气设备指电机设备；电子设备指固态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态，采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气／电子／可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E／E ／PE和软件生存周期阶段，为E／E／PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法，用安全完善性等级来说明安全相关系统的安全目标，它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标：(1)被控装置的风险：指被控装置或被控装置与被控装置控制系统相互作用而产生的风险；(2)可容忍的风险：指在以现行社会标准为基础的给定情景下可被接受的风险；(3)残余的风险：指在采取了防护措施后仍然保留的风险；(4)必须的风险降低：指通过电气／电子／可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低，以确保不超过可容忍的风险。

Features• The monostable spool v alves i n conformity with IEC 61508 S tandard (2010 route 2H v ersion) have TÜV (551 series) and EXIDA (551-553 series) certified with integrity levels : SIL 2 for HFT = 0 / SIL 3 for HFT = 1• The spool valves 5/2 and 5/3 have threaded port connections• All the exhaust ports of the spool valve are connectable, providing better environmental protection. Particularly recommended for sensitive areas, such as clean rooms, and applications in the pharmaceutical and food processing sectors• The valve offers environmental protection against the ingress of liquids, dusts or any other foreign matter (environmentally-protected construction)• Epoxy moulded coil for general service applications • The solenoid valves satisfy all relevant EU DirectivesGeneralDifferential pressure 2 - 10,4 bar [1 bar =100 kPa]Flow (Qv at 6 bar) 1/4 = 860 l/min (5/2) ; 760 l/min (5/3)(ANR)1/2 = 3800 l/min (5/2, 5/3)Materials in contact with fluid(✶) Ensure that the compatibility of the fluids in contact with the materials is verified Body Aluminium, black anodised End cover (spring return) Glass-filled PA Spool valve internal parts Zamak, stainless steel, POM, aluminium Seals NBR + PUR Core tube Brass Core and plugnut Stainless steel Shading coilCopperAir operated specificationsPilot operated specifications (5/2)Select 8 for NPT ANSI 1.20.3 or select G for ISO G (228/1) ● Available feature Not available (1) Certified IEC 61508 Functional Safety data, use suffix "SL".(2)UL CSA5/2 function, monostable5/3 function-2019/R 02Low powerReduced powerMedium powerBasic powerPOWER LEVELS - cold electrical holding values (watt)5/2 - 5/3SERIES551 - 553ASCO™ Spool Valvessingle/dual solenoid (mono/bistable function) - pilot operated or air operated aluminium body - 1/4 and 1/2 tappedPilot operated specificationsSelect 8 for NPT ANSI 1.20.3 or select G for ISO G (228/1) ● Available feature Not available (1)UL CSA-2019/R 025/2 - 5/3SERIES 551 - 5535/2 - 5/3SERIES 551 - 553Prefix tableprefixdescriptionpower level1234567LP RP MP BPE FExplosionproof - NEMA 7, 9 - Zinc plated steel conduit (18” continuous leads )---lE F H T EF (18” continuous leads ) + high temperature ---l E F H T L EF + high temperature + 72" continuous leads ---l E F L EF + 72" continuous leads ---l J B E F EF + Junction box (conduit in 1/2" NPT )---l J B E F M F EF + Junction box (conduit in 1/2" NPT ) + surge suppression coils ---l J C E F EF + Junction box (conduit in 3/4" NPT )---l J C E F H T EF + Junction box (conduit in 3/4" NPT ) + high temperature ---l P V Encapsulated epoxy moulded (EN/IEC 60079-18)*-l -l W B L P I.S./encapsulation with PBT IP67 enclosure (EN/IEC 60079-7, -18, -31)*-l --S C Solenoid with spade plug connector (EN/IEC 60730)-l -l X Other special constructions-l -l Suffix tablesuffixdescriptionpower level12345LP RP MP BPG DNon-electrical, 2 GD, construction safety, gas/dust (EN ISO 80079-36/37)----M S Screw type manual operator-l -l S LCertified IEC 61508 Functional Safety data(1)-l -l l Available feature- Not available * A TEX/IECEx valves using these solenoids are approved according toEN ISO 80079-36 (2016) and EN ISO 80079-37 (2016) [non electrical](1) Not to use with MS suffix (2) Provided with "SL" suffixProduct selection guideSTEP 1Select b asic c atalogue n umber, i ncluding pipe thread indentification letter. Refer to the specifications table on page : 1 or 2Example: G551A017STEP 2Select prefix (combination). Refer to the specifications table and the prefix table, respect the indicated power level.Air o perated v ersion, d oes n ot u se p refix.Example: SCSTEP 3Select suffix (combination) if required. Refer to the suffix table, respect the indicated power level.G D suffix available for air operated ver -sion only (do not use manual operator suffix).Example: MSSTEP 4Select v oltage. R efer t o s tandard v oltages on page: 4Example: 230V / 50HzSTEP 5Final catalogue / ordering number Example:SCG551A017MS 230 V / 50 HzOrdering examples valves:SC G 551 A 017MS 230V /50 Hz PV X 8551 A 01820787115V /50 Hz WBLP G 551 A 017MS 24V /DC G 553 A 118G 551 A 118GD G 551 A 117GD SL SC G 551 A 017SLprefixpipe thread voltage basic numbersuffix-2019/R 03-2019/R 02Explanation of temperature ranges of solenoid valvesValve temperature rangeThe valve temperature range (TS) is determined by the selected seal material, the temperature range for proper operation of the valve and sometimes by the fluid (e.g. steam)Operator ambient temperature range The operator ambient temperature range is determined by the selected power level and the safety codeTotal temperature rangeThe temperature range of the complete solenoid valve is determined by the limitations of both temperature ranges aboveElectrical characteristicsCoil insulation class F Electrical safety IEC 335 Standard voltages DC (=) 24V - 48V AC (~) 24V - 48V - 115V - 230V/50Hz;other voltages and 60Hz are available on request(2)Multiple coil kits are available under ATEX/IECEx, contact usAdditional options• Other pipe threads are available on request• Ex mb (prefix "PV") solenoid can be supplied with various cable lengthsInstallation• Multi language installation/maintenance instructions are included with each valve • The valves can be mounted in any position without affecting operation• Do not connect the pressure supply to the exhaust port 3. The “environmentally-protected” construction is not adapted for a “distributing” function or use in NO function. Contact us for functions available in specific versions• IEC 61508 Functional Safety (suffix SL). Check temperature range of valve body and solenoid for suitability. For probability of failure, contact us• It is necessary to connect pipes or fittings to the exhaust ports to protect the internal parts of the spool valve and its pneumatic operator if used outside or in harsh environments (dusts, liquids etc.)• Threaded pipe connection identifier is 8 = NPT (ANSI 1.20.3); G = G (ISO 228/1)5/2 - 5/3SERIES 551 - 553Dimensions (mm), Weight (kg)TYPE 01:Epoxy mouldedSC: IEC 335 / ISO 4400TYPE 02:Epoxy mouldedSC: IEC 335 / ISO 4400551A017/A017MS/A018/A018MS/A067/A067MS/A068/A068MS553A017/A0017MS/A018/A018MS/A067/A067MS/A068/A068MS-219/R2 TYPE 03:Epoxy encapsulatedPV: EN/IEC 60079-18TYPE 04:Epoxy encapsulatedPV: EN/IEC 60079-18551A017 20787 / A017MS 20787 / A018 20787 / A018MS 20787553A017/A017MS/A018/A018MS/A067/A067MS/A068/A068MS551A067 20787 / A067MS 20787 / A068 20787 / A068MS 207875/2 - 5/3SERIES551 - 553TYPE 05:PBTWBLP: EN/IEC 60079-7 +18 + 31TYPE 06:PBTWBLP: EN/IEC 60079-7 +18 + 31551A017/A017MS/A018/A018MS/A067/A067MS/A068/A068MS553A017/A017MS/A018/A018MS/A067/A067MS/A068/A068MSTYPE 07:Epoxy encapsulatedEF: NEMA type 7, 9 / ICS-6 ANSITYPE 08:Epoxy encapsulatedEF: NEMA type 7, 9 / ICS-6 ANSI551G017 / G017MS / G018 / G018MS553G017 / G017MS / G018 / G018MSTYPE 09:Epoxy encapsulatedJBEF: NEMA type 7, 9TYPE 10:Epoxy encapsulatedJBEF: NEMA type 7, 9551G017 / G017MS / G018 / G018MS553G017 / G017MS / G018 / G018MS1 2 mounting holes: 5,3 mm dia.; Spotfacing: 9 mm dia., depth 5 mm2 2 mounting holes: 6,5 mm dia.; Spotfacing: 11 mm dia., depth 6 mmConnectable pilot exhaust portDimensions (mm), Weight (kg)5/2 - 5/3SERIES551 - 553-219/R2Accessories (551/553 Series))Mounting brackets(set of 2)551 Series catalogue number:88100049553 Series catalogue number:88100773(551)-2019/R 02supply rail with isolation valves Supply rail with isolation valves(551 Series )This mounting arrangement allows valves to be mounted in the positions bellow.Only with supply rail Not possible with supply rail andisolation valves 5/2 - 5/3SERIES 551 - 553Dimensions (mm), Weight (kg)TYPE 11:No prefix, IP65Suffixes: GD (II 2 GD) ; SL (SIL) ;GDSL (SIL, II 2 GD)]Air operated version551A117 / 551A118 / 551A167 / 551A1681 2 mounting holes: 5,3 mm dia.; Spotfacing: 9 mm dia., depth 5 mm2 2 mounting holes: 6,5 mm dia.; Spotfacing: 11 mm dia., depth 6 mmTYPE 12:No prefix, IP65Suffixes: GD (II 2 GD) ; SL (SIL) ;GDSL (SIL, II 2 GD)]Air operated version553A117 / 553A11823(551)ty,designandspecificationsaresubjecttochangewithoutnotice.Allrightsreserved.-219/R3 Accessories (551/553 Series)supply rail with isolation valves with mounting bracketsThis mounting arrangement allows valves to be mounted in the positions bellow.Not possible with supply rail andisolation valvesOnly with supply rail withisolation valves5/2 - 5/3SERIES551 - 553。

功能安全国际标准IEC615081基本情况近年来，在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准，其中IEc61508——电气／电子／可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个，它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法，没有指定具体的应用领域。

电气／电子／可编程电子系统(E／E／PE)是指以电气／电子／可编程电子技术为基础，包括了电气设备、电子设备、可编程电子设备。

其中，电气设备指电机设备；电子设备指固态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态，采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气／电子／可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E／E／PE和软件生存周期阶段，为E／E／PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法，用安全完善性等级来说明安全相关系统的安全目标，它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标：(1)被控装置的风险：指被控装置或被控装置与被控装置控制系统相互作用而产生的风险；(2)可容忍的风险：指在以现行社会标准为基础的给定情景下可被接受的风险；(3)残余的风险：指在采取了防护措施后仍然保留的风险；(4)必须的风险降低：指通过电气／电子／可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低，以确保不超过可容忍的风险。

IEC61508 标准对于硬件失效的分类有哪
些？
IEC 标准对于硬件失效的分类主要包括以下几类：
1. 可控硬件失效（Controlled Hardware Failure）：指硬件失效产生的风险可以通过预防控制措施来减轻或消除的情况。

这类硬件失效主要包括集成电路故障、电子元件故障、连接故障等。

2. 不可控硬件失效（Uncontrolled Hardware Failure）：指硬件失效产生的风险无法通过预防控制措施来完全消除的情况。

这类硬件失效主要包括元器件老化、物理破坏、信号干扰等。

3. 杂散硬件失效（us Hardware Failure）：指硬件失效产生的风险表现为异常信号或数据产生，但与设备的正常操作无关。

这类硬件失效主要包括电磁干扰、温度波动引起的误差等。

4. 多重失效（Multiple Failure）：指两个或多个硬件失效同时发生，相互之间存在交互作用而导致系统故障的情况。

这类硬件失效主要包括冗余设计中的冗余通道失效、相互干扰导致的失效等。

5. 隐藏失效（Hidden Failure）：指硬件失效导致的系统失效不会立即被发现，从而增加了系统故障的风险。

这类硬件失效主要包括故障依赖、触发条件的非显性失效等。

以上是 IEC61508 标准对于硬件失效的主要分类，通过对不同类型的硬件失效进行分析和分类，可以帮助设计和测试人员更好地预防和控制硬件失效，提高系统的可靠性和安全性。

如何根据 IEC61508 标准来验证系统的安全完整性？IEC 是国际标准化组织（ISO）和电气电子工程师协会（IEC）共同制定的一项安全标准，用于评估和验证系统的安全完整性。

验证系统的安全完整性是非常重要的，因为它可以帮助避免潜在的事故和损害。

以下是根据 IEC 标准来验证系统的安全完整性的步骤：1. 执行系统安全需求分析（SRS）：首先，需要进行系统安全需求分析，以确定系统在安全方面的需求和目标。

这包括确定可能的危险源、安全功能和系统失效的影响。

2. 定义系统安全完整性级别（SIL）：根据系统的安全需求，确定适当的安全完整性级别。

SIL 是衡量系统安全完整性水平的等级，通常分为四个级别，从最低的 SIL 1 到最高的 SIL 4。

3. 进行系统分析：执行系统分析，以确定系统中的所有元素和子系统，以及它们之间的相互作用。

这可以帮助识别系统的潜在危险和故障。

4. 执行安全性评估：根据 IEC 的要求，进行安全性评估。

安全性评估是评估系统的任何缺陷或故障可能导致的潜在危险和损害的过程。

5. 制定安全完整性计划：根据系统的安全需求和安全完整性级别，制定安全完整性计划。

这个计划包括实施安全功能、进行系统测试和验证，并确保系统能够达到所需的安全完整性级别。

6. 执行测试和验证：按照安全完整性计划，执行系统的测试和验证。

这包括测试系统的安全功能和性能，以确保系统能够在设计要求和安全需求下正常运行。

7. 进行安全完整性审核：进行安全完整性审核，以评估系统是否满足所需的安全完整性级别。

在审核过程中，需要对系统的设计、验证和测试进行审查，并确定是否需要采取进一步的改进措施。

8. 更新系统文档和报告：根据评估结果，更新系统的安全文档和报告。

这些文档和报告应包括系统的安全需求、安全完整性级别、测试和验证结果，以及任何改进措施和建议。

通过遵循以上步骤，根据 IEC61508 标准来验证系统的安全完整性可以确保系统在设计、开发和运行过程中达到所需的安全标准和要求。

在 IEC61508 标准中，如何定义和管理安全功能需求？在 IEC 标准中，如何定义和管理安全功能需求？IEC 是一项针对电气、电子和可编程电子系统（PE 对）的功能安全标准，为确保这些电子系统能够在设计和运行中满足特定的安全要求。

在IEC 标准中，定义和管理安全功能需求是非常关键的一步，以下是如何进行的方法：1. 定义安全功能需求在IEC 中，安全功能需求是指必须满足的条件，以确保系统能够对特定的危险进行预防或减轻。

定义安全功能需求时，需要考虑以下几个方面：- 系统的安全目标：确定系统需要达到的安全目标，并将其转化为具体的安全功能需求。

- 系统边界：确定系统的边界，即系统与外部环境之间的界限，以便定义系统需求。

- 风险分析：通过风险分析确定潜在的危险和系统的安全要求，这将帮助定义安全功能需求。

2. 管理安全功能需求在IEC 中，管理安全功能需求的目的是确保系统满足安全要求并能够持续维持在一定的安全水平。

以下是管理安全功能需求的步骤：- 需求分析：对安全功能需求进行详细的分析和评估，以确保其清晰、可测量、可追踪和可验证。

- 需求跟踪：建立一个跟踪表格，记录每个安全功能需求的状态、变更历史、验证结果等信息，以及与其他需求之间的关联。

- 验证和确认：对安全功能需求进行验证和确认，确保其符合系统的安全目标和要求。

- 变更管理：在整个开发和运行过程中，及时记录和管理安全功能需求的变更，确保任何变更都经过适当的评估和验证。

总结：在IEC 61508标准中，定义和管理安全功能需求是确保系统满足特定安全要求的重要步骤。

通过明确定义安全功能需求，并采取适当的管理措施，可以确保系统在设计和运行中有效地达到所期望的安全水平。

IEC61508标准概述2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，与之对应的我国国家标准正在制定中。

该标准分七部分，涉及1000多个规范。

由电气和电子部件构成的系统，多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的，但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域，计算能力的极大增加彻底改变了工厂和工业过程的控制，也改变了安全控制策略。

对于包含有电子、电气设备，计算机软、硬件的系统，要用于关系到人身财产安全的领域中时，进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为:第1部分:一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

第2部分是对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。

第3部分是对软件的要求，描述避免失效的方法，与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法，简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件，为达到或保持受控设备(EUC)的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。

功能安全IEC 61508标准新旧版的对比IEC61508是国际通用的功能安全基础标准，其核心内容即为功能安全产品的系统、硬件、软件设计做出详尽的要求，以使其能够按满足功能安全的方式进行设计和开发。

它为电气/电子/可编程电子安全相关系统建立一个通用的方案，并促进各个应用部门标准的开发。

是安全相关系统的总的通用标准，对安全相关系统具有重大意义和重要地位，各个领域的安全相关系统都必须遵循这个标准。

新版IEC 61508-2010标准不仅与时俱进地更新了几乎所有技术相关的内容，也总结了近年的技术发展和应用经验基础，依据功能安全技术的理念发展趋势，从系统性能力、硬件/软件安全完整性要求、功能安全管理方面提出了若干新的要求，由此，引起了IEC 61508标准衍生而出的各领域功能安全应用标准的逐步更新。

IEC 61508标准的更新，对于SIS 制造商、集成商和用户来说，如何使产品的设计、集成和使用尽可能地满足新版标准成为一个关键问题。

当然，满足新标准的产品将具有更高的质量和技术优势，也由于体现了更接近实际的功能安全理念而为用户创造了更多的价值。

在新版ICE61508-2010中，定义了SC（systematic capability）的概念，即系统性能力。

用于表征一个组件的系统性安全完整性是否符合指定SIL的要求。

SC等级也分为4个级别：SC1~SC4，对应于SIL的四个等级。

也就是说，一个组件具有SC N等级，就表示其系统性安全完整性满足SIL N等级。

它表示，SIL并非只与系统冗余程度和SFF有关。

当使用两个或多个具有较低SIL的组件来实现更高的SIL时，就必须考虑组合后的系统是否具有足够的SC等级。

此外，对于已有使用经验的组件，新版IEC 61508-2010标准还允许通过提供这些组件满足规定的“使用中证实（Proven-in-use）”的证据，来证实组件具有一定级别的SC等级。

SC概念的提出，为用户如何真正实现所需的SIL提供了更好的思路，也对制造商和集成商的功能安全设计提出了更苛刻的要求。

IEC61508概述2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，与之对应的我国国家标准正在制定中。

该标准分七部分，涉及1000多个规范。

由电气和电子部件构成的系统，多年来在许多领域中执行安全功能；以计算机为基础的系统在许多领域中用于非安全目的，但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域，计算能力的极大增加彻底改变了工厂和工业过程的控制，也改变了安全控制策略。

对于包含有电子、电气设备，计算机软、硬件的系统，要用于关系到人身财产安全的领域中时，进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为：第1部分：一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL 的定义。

第2部分是对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。

第3部分是对软件的要求，描述避免失效的方法，与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法，简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件，为达到或保持受控设备(EUC)的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。

IEC61508标准概述2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，与之对应的我国国家标准正在制定中。

该标准分七部分，涉及1000多个规范。

由电气和电子部件构成的系统，多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的，但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域，计算能力的极大增加彻底改变了工厂和工业过程的控制，也改变了安全控制策略。

对于包含有电子、电气设备，计算机软、硬件的系统，要用于关系到人身财产安全的领域中时，进行规范的安全指导是十分必要的。

TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

TEC61508的七个部分内容分别为:第1部分:一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

第2部分是对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。

第3部分是对软件的要求，描述避免失效的方法，与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

页脚内容1第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法，简短的注释并提供部分参考书目。

(一)IEC61508中的基本定义1.安全功能 (safety function)针对规定的危险事件，为达到或保持受控设备(EUC)的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性 (Safety integrity)在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。

在 IEC61508 标准中，如何确定安全完整
性级别？
IEC是一项国际标准，用于确定电气、电子和可编程电子系统的功能安全性要求。

在IEC中，安全完整性级别是用来评估系统的安全性能的指标。

确定安全完整性级别的步骤如下：
1. 确定系统的安全功能：首先需要明确系统的安全功能，即在正常工作条件下，系统必须满足的功能要求，以确保人员、环境和财产的安全。

2. 确定必要的安全完整性级别：根据系统的安全功能要求，确定必要的安全完整性级别。

安全完整性级别分为4个级别，分别为A、B、C和D，级别D要求最高，级别A要求最低。

3. 进行安全完整性级别评估：根据IEC标准中的指导，对系统的各个安全功能进行评估，以确定其所属的安全完整性级别。

评估
的过程需要考虑系统的安全规定、可靠性要求、操作和维护的要求等方面的因素。

4. 验证和确认安全完整性级别：使用相应的验证方法和技术，验证和确认系统的安全完整性级别。

这包括对系统进行功能测试、可靠性分析和故障模式和影响分析等。

5. 文档化和监督：将安全完整性级别的确定结果进行文档化，并实施监督措施，以确保系统在运行和维护过程中保持所确定的安全完整性级别。

在IEC61508中确定安全完整性级别是确保系统在设计、开发和运行过程中满足功能安全要求的重要步骤。

通过明确安全完整性级别，可以为系统提供合适的安全措施和控制策略，以降低安全风险，并保障人员和环境的安全。

IEC61508和IEC61511标准的功能安全性分析方法及工程应用1、背景介绍IEC 61508和IEC 61511提出了一种基于风险的方法来识别和规定安全仪表功能（SIF）的性能要求。

也是当前石油工业系统等行业采用较多的功能安全性分析标准。

为了达到我们所需的风险降低要求，通常情况下企业会实施安全仪表系统（SIS）和其他类型系统的安全分析、评估工作。

一般情况下，我们需要在安全要求规范（SRS）中描述SIFs的安全要求。

例如功能关闭、紧急关闭、防火或气体功能等的SIFs安全要求。

这些功能的SIFs安全要求可以通过典型的因果关系图、可靠性数据验证与评估等手段得到的按需失效概率（PFD）来确定。

根据PFD，即可确定系统的安全完整性等级（SIL）。

本文以石油工业系统的PSD关断功能为例，介绍按需失效概率（PFD）的确定过程。

石油工业系统的PSD（工艺关断）关断功能由PSD逻辑单元、容器以及XV1、XV2、XV3、XV4等阀门组成。

原料的进料受XV1阀门控制，并流入容器内。

原料经过容器处理后产生的气体由XV3阀门控制并输出，处理后产生的液体由XV4阀门控制并输出。

如下图1所示。

图1 PSD关断功能图根据PSD关断功能安全要求，如果其SIL等级要求为1级，PFD要求值是小于0.02。

为分析该系统的PSD关断功能是否满足安全要求，需要建立该PSD关断功能的安全性模型。

根据上面PSD关断功能图可知，PSD关断功能的重要作用是正常或者应急情况下关断设备，保证系统的安全。

PSD设备关断的功能流程如下：PSD系统接收和处理信号（例如来自ESD或者PSD指示信号）后，激活XV1、XV2、XV3和XV4阀的关闭，以隔离容器。

例如PSD关断功能中的重要一个功能场景是：火炬分液罐中的LAHH（高液位警报）关断。

火炬分液罐中的LAHH关断要求可关闭容器的进料，因此通常需要关闭相关装置或入口分离器的入口管线。

由于通常很难检测出具体过量进料供给的来源，火炬分液罐中的LAHH通常会通过PSD系统和可能的ESD系统启动全局关闭功能，以提高功能的可靠性，如图2所示。

功能安全国际标准I E C61508 1基本情况近年来，在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准，其中IEc61508——电气／电子／可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个，它是迄今为止的安全相关系统的理论概括和技术总结。

这个标准采用一般的分析方法，没有指定具体的应用领域。

电气／电子／可编程电子系统(E／E／PE)是指以电气／电子／可编程电子技术为基础，包括了电气设备、电子设备、可编程电子设备。

其中，电气设备指电机设备；电子设备指固态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子设备。

以一个或多个可编程电子设备为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。

安全相关系统(Safety—RelatedSystem)是指为了保证控制设备处于安全状态，采用安全相关技术和风险降低措施执行所需安全功能的系统。

电气／电子／可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。

IEC61508考虑了所有相关的整体、E／E／PE和软件生存周期阶段，为E／E／PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法，用安全完善性等级来说明安全相关系统的安全目标，它的主要目标是预测安全相关系统运行时的故障概率。

IEC61508的特点是把风险作为度量危险的指标。

这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。

IEC61508定义了4种风险指标：(1)被控装置的风险：指被控装置或被控装置与被控装置控制系统相互作用而产生的风险；(2)可容忍的风险：指在以现行社会标准为基础的给定情景下可被接受的风险；(3)残余的风险：指在采取了防护措施后仍然保留的风险；(4)必须的风险降低：指通过电气／电子／可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低，以确保不超过可容忍的风险。

功能安全IEC 61508标准新旧版的对比IEC61508是国际通用的功能安全基础标准，其核心内容即为功能安全产品的系统、硬件、软件设计做出详尽的要求，以使其能够按满足功能安全的方式进行设计和开发。

它为电气/电子/可编程电子安全相关系统建立一个通用的方案，并促进各个应用部门标准的开发。

是安全相关系统的总的通用标准，对安全相关系统具有重大意义和重要地位，各个领域的安全相关系统都必须遵循这个标准。

新版IEC 61508-2010标准不仅与时俱进地更新了几乎所有技术相关的内容，也总结了近年的技术发展和应用经验基础，依据功能安全技术的理念发展趋势，从系统性能力、硬件/软件安全完整性要求、功能安全管理方面提出了若干新的要求，由此，引起了IEC 61508标准衍生而出的各领域功能安全应用标准的逐步更新。

IEC 61508标准的更新，对于SIS 制造商、集成商和用户来说，如何使产品的设计、集成和使用尽可能地满足新版标准成为一个关键问题。

当然，满足新标准的产品将具有更高的质量和技术优势，也由于体现了更接近实际的功能安全理念而为用户创造了更多的价值。

在新版ICE61508-2010中，定义了SC（systematic capability）的概念，即系统性能力。

用于表征一个组件的系统性安全完整性是否符合指定SIL的要求。

SC等级也分为4个级别：SC1~SC4，对应于SIL的四个等级。

也就是说，一个组件具有SC N等级，就表示其系统性安全完整性满足SIL N等级。

它表示，SIL并非只与系统冗余程度和SFF有关。

当使用两个或多个具有较低SIL的组件来实现更高的SIL时，就必须考虑组合后的系统是否具有足够的SC等级。

此外，对于已有使用经验的组件，新版IEC 61508-2010标准还允许通过提供这些组件满足规定的“使用中证实（Proven-in-use）”的证据，来证实组件具有一定级别的SC等级。

SC概念的提出，为用户如何真正实现所需的SIL提供了更好的思路，也对制造商和集成商的功能安全设计提出了更苛刻的要求。

IEC61508和IEC61511标准的功能安全性分析方法及工程应用1、背景介绍IEC 61508和IEC 61511提出了一种基于风险的方法来识别和规定安全仪表功能（SIF）的性能要求。

也是当前石油工业系统等行业采用较多的功能安全性分析标准。

为了达到我们所需的风险降低要求，通常情况下企业会实施安全仪表系统（SIS）和其他类型系统的安全分析、评估工作。

一般情况下，我们需要在安全要求规范（SRS）中描述SIFs的安全要求。

例如功能关闭、紧急关闭、防火或气体功能等的SIFs安全要求。

这些功能的SIFs安全要求可以通过典型的因果关系图、可靠性数据验证与评估等手段得到的按需失效概率（PFD）来确定。

根据PFD，即可确定系统的安全完整性等级（SIL）。

本文以石油工业系统的PSD关断功能为例，介绍按需失效概率（PFD）的确定过程。

石油工业系统的PSD（工艺关断）关断功能由PSD逻辑单元、容器以及XV1、XV2、XV3、XV4等阀门组成。

原料的进料受XV1阀门控制，并流入容器内。

原料经过容器处理后产生的气体由XV3阀门控制并输出，处理后产生的液体由XV4阀门控制并输出。

如下图1所示。

图1 PSD关断功能图根据PSD关断功能安全要求，如果其SIL等级要求为1级，PFD要求值是小于0.02。

为分析该系统的PSD关断功能是否满足安全要求，需要建立该PSD关断功能的安全性模型。

根据上面PSD关断功能图可知，PSD关断功能的重要作用是正常或者应急情况下关断设备，保证系统的安全。

PSD设备关断的功能流程如下：PSD系统接收和处理信号（例如来自ESD或者PSD指示信号）后，激活XV1、XV2、XV3和XV4阀的关闭，以隔离容器。

例如PSD关断功能中的重要一个功能场景是：火炬分液罐中的LAHH（高液位警报）关断。

火炬分液罐中的LAHH关断要求可关闭容器的进料，因此通常需要关闭相关装置或入口分离器的入口管线。

由于通常很难检测出具体过量进料供给的来源，火炬分液罐中的LAHH通常会通过PSD系统和可能的ESD系统启动全局关闭功能，以提高功能的可靠性，如图2所示。

IEC61508标准术语基本术语一、IEC 61508标准术语说明：以下术语摘录自功能安全标准IEC61508和国家标准GB/T20438。

4。

故术语标号也未曾改动。

3.1安全术语3.1.1伤害harmphysical injury or damage to the health of people either directly or indirectly as a result of damage to property or to the environment.由于对财产或环境的破坏而导致的直接或间接地对人体健康的损害或对人身的损伤。

3.1.2危险hazardpotential source of harm伤害的潜在根源3.1.3危险情况hazardous situationcircumstance in which a person is exposed to hazard(s)人暴露于危险的环境。

3.1.4危险事件hazardous eventhazardous situation which results in harm导致伤害的危险情况。

3.1.5风险riskcombination of the probability of occurrence of harm and the severity of that harm出现伤害的概率及该伤害严重性的组合。

3.1.6允许风险tolerable riskrisk which is accepted in a given context based on the current values of society根据当今社会的水准,在给定的范围内能够接受的风险。

3.1.7残余风险residual riskrisk remaining after protective measures have been taken采取防护措施以后仍存在的风险。