功能安全标准与技术的研究

功能安全标准与技术的研究

The Research on Functional Safety Standards and Technologies

包伟华1, 3张 浩2

（同济大学电子与信息工程学院1，上海 200092；上海电力学院2，上海 200090；

上海自动化仪表股份有限公司3, 上海 200233）

摘 要：主要介绍国际标准IEC61508，着重描述了IEC61508提出的安全生命周期、危险与风险分析、安全完整性等级（SIL）等概念，并进一步讨论了基于IEC61508的IEC61784-3功能安全通信的实现。

关键词：功能安全 安全相关系统 危险与风险分析 安全完整性等级 安全生命周期

Abstract: This paper introduced the international standard IEC 61508, described some important concepts about functional safety in detail, such as safety and safety-related system, Safety lifecycle, safety Integrity Level, hazard and risk analysis etc, and also introduced the development of functional safety communication based on IEC61508 in fieldbus or other industrial networks.

Keyword: Functional Safety Safety-related system Safety lifecycle Safety Integrity Level Hazard and risk analysis

0 引言

在中国向世界制造中心转移的背景下，我国工业制造水平不断提高，生产工艺日益复杂，对工业安全也提出了更高的要求，因此安全技术及安全相关系统无疑将扮演越来越重要的角色。近年来，以计算机为基础的系统已经渗透到几乎所有的工业领域，彻底改变了工厂和工业过程的控制，而且包含电子、电气设备和计算机软硬件的系统被越来越多地用于安全目的。1998年，国际电工委员会正式发布了IEC61508，即《电气/电子/可编程电子安全相关系统的功能安全》，该标准的发布实质上正式承认了以软件为基础的安全相关系统，并且已经成为国际公认的功能安全基础标准，与之对应的我国国家标准GB/T 20438也已经正式发布。

IEC61508作为一个功能安全技术的基础标准，针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统（E/E/PES）的整体安全生命周期，定义了一个基础的方法和技术框架，用于系统地处理安全相关的所有活动。目的是要针对以电子为基础的安全相关系统提出一个一致的、合理的技术方针，不但考虑了不同技术的安全子系统的元件（如传感器、通信系统、控制装置、执行器等）的问题，还考虑构成组合安全系统的所有安全系统。

IEC61508还有一个重要的目标是促进应用领域标准的制订。因此，在IEC61508的基础上，已经制定了一些具体行业或应用领域的功能安全标准，例如，工业过程控制领域的IEC61511，核电领域的IEC61513，机械行业的IEC62021，这些标准都是基于IEC61508标准的特定行业或领域的功能安全标准。基于IEC61508的现场总线功能安全通信行规IEC61784-3目前正在制定中，本文作者也参与了IEC61784-3国际标准的制定。

1 安全及安全相关系统

在讨论安全相关系统（Safety-related system）之前，我们先对IEC61508关于安全和功能

1

安全的定义做一个简单介绍。根据IEC61508标准，“安全”（Safety）就是不存在不可接受的风险；“功能安全”（Functional Safety）指的是与受控设备（EUC）和EUC控制系统有关的整体安全的组成部分。实际上，功能安全具有双重的目的：确保系统的运行，同时确保系统安全地运行。因此，功能安全可视为一种方法，用于开发一个具有可靠性、可用性、可维护性和安全等特性的系统。

一个系统只有在不会危及人的生命或造成环境破坏的时候才是安全的。安全相关系统只有被用于控制可能导致伤害的工业生产过程时，才可能影响安全。因此IEC61508引入了受控设备（EUC）和受控设备控制系统的概念，安全相关系统的设计和应用是为确保受控设备的安全提供服务的。

IEC61508关于安全相关系统的定义如下：

实现必需的安全功能，以实现或维护受控设备的安全状态。

在其自身或与其他技术安全相关系统或外部风险降低设施一起，在必需的安全功能上实现必要的安全完整性。

典型的安全相关系统，例如，联锁保护系统、生产线紧急停车系统、流程工业紧急停车系统、铁路信号系统等等。在过去，安全相关系统和非安全目的的标准控制系统是严格分开的，安全相关系统通常是独立于标准控制系统以外的硬接线安全控制系统。随着现场总线和现场总线控制系统技术的广泛应用，常见的安全传感器和执行器，如安全开关、安全地毯、安全光幕、安全门锁、安全继电器和安全仪表等，包括安全PLC或控制器，在现场总线采取安全通信相关的一些措施以后，可以在标准现场总线的体系结构下，与标准控制系统集成在一起，从而在整个系统中使用标准的工程工具和方法，降低整个系统在设计、安装和维护等各个阶段的成本。

2 安全生命周期

IEC61508提供了一个基于风险分析的方法，决定安全相关系统的安全要求及安全功能的安全完整性等级。因此IEC61508定义了整体安全生命周期的概念，作为构建安全相关系统的框架。系统的安全不仅仅是由系统的设计和实现决定的，还取决于系统的安装、运行和维护等活动。因此，整体安全生命周期不仅仅覆盖安全相关系统的设计，还包括安全相关系统规划、设计、安装、调试、运行、维护、停用等所有的主要阶段，其基本思想是功能安全相关的所有活动都是按一个有计划的系统的方法进行管理的。因此，整体安全生命周期的每个阶段都确定了各自的范围、目的、所要求的输入和符合要求的输出，通过这种结构化的分析方法指导过程风险分析、安全相关系统的设计和评估，使隐藏在安全相关系统中的非安全因素降到最低水平。

整体安全生命周期的模型如图1所示。每个阶段都有一个输入（规定的目的或功能）和一个输出，同时每个阶段都需要进行验证和评估，以确保该阶段的所有活动正确地执行，使该阶段的输出符合下一阶段要求。例如，模型中第3阶段执行的危险和风险分析，其输出的结果在第4阶段用于确定安全相关系统的整体安全完整性等级。因此，该模型能够适应不同安全要求的系统开发，同时每个阶段的活动根据不同的系统而有所不同。

另外，IEC61508标准特别指出，功能安全的管理活动和各个阶段所必须的验证和评估等，也是整体安全生命周期的重要组成部分，出于降低模型复杂性的考虑，没有在整体安全生命周期的模型中体现出来。

2