功能安全国际标准IEC61508

　　评论：　更新日期：2009年12月26日

1 基本情况
近年来，在铁路、航空航天、核应用、采矿等行业提出了很多安全理论和国际标准，其中IEc61508—— 电气／电子／可编程电子安全相关系统的功能安全国际标准是比较基本和核心的一个，它是迄今为止的安全相关系统的理论概括和技术总结。这个标准采用一般的分析方法，没有指定具体的应用领域。电气／电子／可编程电子系统(E／E／PE)是指以电气／电子／可编程电子技术为基础，包括了电气设备、电子设备、可编程电子设备。其中，电气设备指电机设备；电子设备指固态非可编程电子设备；可编程电子设备指以计算机技术为基础的电子设备。以一个或多个可编程电子设备为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。安全相关系统(Safety—Related System)是指为了保证控制设备处于安全状态，采用安全相关技术和风险降低措施执行所需安全功能的系统。电气／电子／可编程电子安全相关系统一旦失效可以影响人的安全和环境的安全。 IEC61508考虑了所有相关的整体、E／E／PE和软件生存周期阶段，为E／E／PE安全相关系统实现必要的功能安全提供一个发展安全需求规范的方法，用安全完善性等级来说明安全相关系统的安全目标，它的主要目标是预测安全相关系统运行时的故障概率。 IEC61508的特点是把风险作为度量危险的指标。这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。
IEC61508定义了 4种风险指标：
(1)被控装置的风险：指被控装置或被控装置与被控装置控制系统相互作用而产生的风险；
(2)可容忍的风险：指在以现行社会标准为基础的给定情景下可被接受的风险；
(3)残余的风险：指在采取了防护措施后仍然保留的风险；
(4)必须的风险降低：指通过电气／电子／可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低，以确保不超过可容忍的风险。在对安全相关系统进行需求分析和危险分析之后，可以得到系统的可容忍的风险和现存的风险，两者之差是必须降低的风险。IEC61508主要讨论的就是怎样利用安全技术和分析方法降低电气／电子／可编程电子安全相关系统的风险。
2 IEC61508的组成 IEC61508由7个部分组成：
(1)总的要求；
(2)电气／电子／可编程电子系统的需求；
(3)软件需求；
(4)定义和缩略语；
(5)决定安全完善性级别的方法实例；
(6)应用IEC61508-2和IEC61508—3指南；
(7)技术和方法总论。
3 IEC61508的主要目标
(1)用技术手段改进安全和经济功能；
(2)在安全框架内推动技术发展；
(3)对所有的安全相关系统，包括软、硬件在内，从系统生命周期角度提供一个系统方法；
(4)为安全技术的未来发展提供一个灵活的技术方案；
(5)提供分析安全相关系统安全功能要求的方法；
(6)建立一个基础标准，使其可直接应用于工业，同时，亦可指导其他领域的标准制定，使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等)；
(7)让使用者和维护者放心使用以计算机为基础的技术；
(8)建立一个统一的标准以利于：
① 增进系统的安全功能；
② 发展用于各领域的安全技术和测试；
③ 开展安全评估。
4 安全完善性(Safety Integrity)

IEC61508用安全完善性等级来说明安全相关系统的安全目标。安全完善性就是在规定的时间周期内和规定的条件下，安全相关系统成功地完成所需安全功能的能力。安全完善性分为系统故障和随机故障完善性。表1是完善性等级分级标准，同时也是随机故障安全完善性的定量目标，而对于系统故障完善性，标准中是用质量管理、安全管理和技术安全等定性指标作为目标的。定义一个安全相关系统的安全完善性等级相当重要，应当根据系统安全要求计算出可以容忍的故障率，然后参照表1得出系统安全完善性等级。如果等级定低了会直接威胁系统的安全性，如果等级定高了会浪费大量的人力、物力和财力。
5 安全生命周期(Safety Lifeeyele)
安全生命周期就是从方案的确定阶段开始到所有的电气／电子／可编程电子安全相关系统、其他技术的安全相关系统、外部风险降低设备不再可用时为止的时间。安全生命周期也是IEC61508中很重要的一个概念，通过定义安全生命周期各个阶段的安全性目标和必须达到的要求来对系统开发应用的每一个环节严格把关，实现整个系统的安全。