功能安全技术讲座第七讲安全仪表及设备的功能安全认证前准备

【编者按】本刊２００７年在。安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。２００８年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。主讲人是机械工业仪器仪表综合技术经济研究所功能安全主任史学玲教授。

主讲人简介：

史学玲，机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中

心主任、教授级高工。近年来主要致力于以ＩＥＣ６１５０８为基础的功能安全技术

研究。主持并完成了国家软科学研究项目“利用功能安全标准保障安全的政策

措施研究”，向政府提出了多行业协同行动的用功能安全标准保障安全的国家执

行方案和政策措施建议。是等同采用ＩＥＣ６１５１１的中国国家标准起草工作组专

家成员。在多份杂志及学术期刊上发表了多篇功能安全的论文，对功能安全标

准及标准实施认证相关的技术，法律、政策等问题有深入研究。

第七讲安呈仪表及设蚤的功雒安呈［］ｔｉｅ前准备

Ｃｈａｐｔｅｒ７：ＰｒｅｐａｒｉｎｇｆｏｒＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙＣｅｒｔｉｆｉｃａｔｉｏｎｏｆＳａｆｅｔｙＩｎｓｔｒｕｍｅｎｔａｎｄＤｅｖｉｃｅ

史学玲

（机械工业仪器仪表综合技术经济研究所，北京市１０００５５）

ＳｈｉＸｕｅｌｉｎｇ

（ＩｎｓｔｒｕｍｅｎｔａｔｉｏｎＴｅｃｈｎｏｌｏｇｙ＆ＥｃｏｎｏｍｙＩｎｓｔｉｔｕｔｅ．Ｂｅｉｊｉｎｇ１０００５５）【摘要】概要介绍在安全仪表及设备的功能安全认证前准备阶段常用的安全例证方法

【关键词】ＩＥＣ６１５０８功能安全认证安全例证

Ａｂｓｔｒａｃｔ：Ｔｈｅｐａｐｅｒｉｎｔｒｏｄｕｃｅｄｓａｆｅｔｙｃａｓｅｍｅｔｈｏｄｏｌｏｇｙｕｓｅｄｉｎｔｈｅｐｈａｓｅｏｆｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｃｅｒｔｉｆｉｃａｔｉｏｎｏｆｓａｆｅｔｙｉｎｓｔｒｕｍｅｎｔａｎｄｄｅｖｉｃｅ．

Ｋｅｙｗｏｒｄｓ：ＩＥＣ６１５０８ＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙＣｅｒｔｉｆｉｃａｔｉｏｎＳａｆｅｔｙＣａｓｅ

前言

很多读者关心功能安全认证，提出的问题如：“我们已经（或正在）开发安全产品，怎样做，才能使该产品通过国际权威第三方的功能安全认证？ＩＥＣ６１５０８标准如此复杂，从何入手，才能证明产品与标准的符合性？如何证明自己产品能达到的最大安全完整性等级（ＳＩＬ）？”…等同采用ＩＥＣ６１５０８的中国国家标准ＧＢ／Ｔ２０４３８于２００７年１月１日正式实施，等同采用ＩＥＣ６１５ｌｌ的中国国家标准ＧＢ／Ｔ２１１０９也于２００７年１２月１日正式实施，随着这些功能安全标准的影响逐渐扩大，功能安全认证已经成为我国安全仪表与设备生产厂商和用户越来越关注的焦点。

１认证前准备的必要性

在签约请认证公司来做产品的功能安全认证前，

３

■一　万方数据

　万方数据

论述清楚每个要求是如何被满足的，以及确认活动与测试是如何实现的。为了充分可追溯，每一个设计论点和确认／测试活动及证据文档联接，罗列工作成果。

声明、论点、证据之间的关系可以有如图ｌ与图２的两种结构：

图１一个论点支持的声明结构

图２多个论点支持的声明结构

ＡＣＡＥ方法强调对系统功能与属性的声明，并用适当的论点来支持这些声明。这种方法结构简单，又可以允许建立一个复杂的安全例证，方便理解，且可追溯。它同时还允许多样性的论点方法存在。

ｂ．安全例证的ＲＡＥ模型方法

还有一种简化的安全例证方法为ＲＡＥ法，主要用于标准符合性证明。

ＲＡＥ法中的Ｒ（Ｒｅｑｕｉｒｅｍｅｎｔ）代表符合标准的每一项要求，可以取代ＡＣＡＥ法中的ＡＣ。ＡＥ分别代表论点与证据，与前述要求一致。目前有许多ＩＥＣ６１５０８标准的认证文件就采用了此种方法。虽然要素比ＡＣＡＥ少了一项，但基本方法与思想是一致的。

４安全例证的基本原则

掌握安全例证的基本原则，对于希望产品通过功能安全认证的设备供应商是十分重要的，严格遵循这些基本原则，可以节省认证费用、提高认证文件的有效性。

ａ．与设计开发同步进行

安全例证的第一个基本原则是。与设计开发同步进行”。安全例证是一个活的文件，在设计开发及全安全生命周期中不断完善。它记录安全论点，随着时间推移，基本结构保持不断，但证据状态要改变。例如

证据中测试在前期是计划，在后期就变为测试的实际数据。在实际工作中，安全例证可以分为几个文档，也可以参考支持文档，如设计文档、分析报告和测试报告等等。

在这个原则基础上，安全仪表与设备为了通过功能安全评估，一般会采取这样的工作步骤：首先确定仪表或系统的安全功能，确定希望声明的最高ＳＩＬ等级・确定系统结构和总的安全例证框架，进行设计选

项的预评估，考虑成本与风险、长期支持的可能怯与设计平行进行安全例证的编制，研究子系统规范的安全例证要求部分，进行子系统安全例证复审，综合整理形成最终的安全例证。

ｂ．成层结构

成层结构是一种自顶向下的结构。安全仪表及设备开发时采用成层结构，要求从系统总的设计要求开始，就制定总的风险控制目标，将目标分解到各安全功能，提出每一个安全功能的ＳＩＬ要求，然后确定系统结构，分解导出每个子系统安全功能要求与ＳＩＬ要求，最后确定硬件功能，导出硬件ＳＩｋ确定软件功能，导出软件ＳＩＬ。如图３。

总的设ｉｔ。要求Ｉ总风险控制目标

室全塑堡！Ｉｌ室全塑堡！ｌＳＩＬ

厂焉磊丽广］

－

衍系躺ＬＩ蕊嚣ｌｌ蔼瓣

ＦＭＥＤＡ

危险失效率，故障裕率，

安全失效分数，ＳＩＬ

硬件功能

（导出要求）

软件功能

（导出要求）

图３成层结构示意图

成层结构允许随时推进安全例证，并帮助建立每一级的安全要求。对于有多个子承包人的大型项目，该“自项向下”的分层方法可以帮助识别子系统的要求，子系统的安全例证可以做成一个外包合同要求，由其它的承包人完成。

Ｃ．为认证而设计

在安全仪表及设备的功能安全认证过程中，会对设计和安全例证文件进行一次综合的评估，以确定设计是否实现了安全功能和属性、确定是否满足设计标准要求、确定设计是否切实可行、相关的安全论点是否可信。因此，要使安全例证令人信服的方法，就是树立为认证而设计的思想方法，采用简单设计使得分析方便，避免新奇，使用已经证实的部件来构筑产品，确保支持论点的证据容易获得。

为了保证安全仪表及设备通过功能安全认证，还

（下转第１０页）

５

—■■●

　万方数据