IEC61508标准.doc

IEC61508标准 概述 ??? 2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，与之对应的我国国家标准正在制定中。该标准分七部分，涉及1000多个规范。　　由电气和电子部件构成的系统，多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的，但也越来越多地用于安全目的。当前计算机、集成电路等技术的发展已经渗透到所有工业领域，计算能力的极大增加彻底改变了工厂和工业过程的控制，也改变了安全控制策略。对于包含有电子、电气设备，计算机软、硬件的系统，要用于关系到人身财产安全的领域中时，进行规范的安全指导是十分必要的。　　TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑?单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。　　TEC61508的七个部分内容分别为:　　第1部分:一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。　　第2部分是对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。　　第3部分是对软件的要求，描述避免失效的方法，与第7部分的附录相关。　　第4部分是定义和缩略语。　　第5部分给出一些确定安全完整性水平的方法示例。　　第6部分包括第2和第3部分的应用指南。　　第7部分给出测试方法，简短的注释并提供部分参考书目。　　(一)IEC61508中的基本定义　　1.安全功能?(safety?function)　　针对规定的危险事件，为达到或保持受控设备(EUC)的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。　　2.安全完整性?(Safety?integrity)　　在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。这一定义着重于安全系统执行安全功能的可靠性。在确定安全完整性过程中，应包括所有导致非安全状态的因素，如随机的硬件失效，软件导致的失效以及由电气干扰引起的失效，这些失效的类型，尤其是硬件失效可用测量方法来定量，如在危险模式中的失效和系统失效率，或按规定操作的安全防护系统失效的概率。但是，系统的安全完整性还取决于许多因素，这些因素无法精确定量，仅可定性考虑。　　3.E/E/PE系统　　基于电气/电子和可编程电子装置的用于控制、防护或监视的系统，包括系统中所有的元素如电源、传感器、所有其他输入输出装置及所有通信手段。　　4.EUC(Equipment?Under?Control)　　受控设备，指用于制造、运输、医疗或其他领域的设备、机器、装置或装备。　　5.可接受凤险?(ACCeptable?risk)　　风险指的是出现伤害的概率及该伤害严重性的组合。可接受风险指根据当今社会的水准所能够接受的风险。　　6.安全?(Safety)　　不存在不可接受的风险。　　7.安全系统?(Safely-elated-syStem)　　是用于两个目的:一是执行要求的安全功能以达到或保持EUC的安全状态;二是自身或与其他E/E/PES安全系统、其他技术安全系统或外部风险降低设施一道，对于要求的安全功能达到必要的安全完整性。　　安全系统是在接受命令后采取适当的动作以防止EUC进入危险状态。安全系统的失效应被包括在导致确定的危险事件中。尽管可能有其他系统具备安全功能，但仅是指用其自身能力达到要求的允许风险的安全系统。安全系统可大致分为安全控制系统和安全防护系统。　　安全系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC的接口，既可用在EUC控制系统中执行安全功能的方式达到要求的安全完整性水平，也可用分离的/独立的专门用于安全的系统执行安全功能。　　(二)IEC61508的基本概念　　TEC61508标准规定随机失效的后果必须定量评估，使用随机存取测量系统?(RAMS)方法计算有效性。量化与故障相关的系统失效是没有用的，应当通过组织指导来避免系统失效，或通过技术措施来控制。　　1.风险和安全完整性慨念　　　　2.功能安全保证的内容　　?功能安全保证主要包括两部分内容:失效识别和安全完整性水平。　　?(1)失效识别。　　?失效就是功能单元失去实现其功能的能力。一些功能是根据所达到的行为进行规定的，在执行功能时，某些特定的行为是不允许的，这些行为的出现就是失效。失效可能是随机失效，这种失效通常由于硬件装置