IEC 61508功能安全标准的介绍和修订（二）

工业安全守望者

于 2025-05-07 10:31:05 发布

阅读量933

点赞数 7

文章标签：自动化安全网络安全大数据人工智能

本文链接：https://blog.csdn.net/weixin_55893548/article/details/147755391

版权

9、基于风险的方法

E/E/PE安全相关系统针对特定安全功能所需的安全完整性必须达到以下水平，以确保：

安全相关系统的故障频率足够低，以防止危险事件的频率超过满足可容忍风险所需的频率，和/或

· 安全相关系统修改危险事件的后果，以达到满足可容忍风险的程度。

为了满足可容忍风险，针对由安全相关系统执行的特定安全功能所需的故障频率，是在考虑任何其他基于功能安全标准正确设计并在设备生命周期内正确管理的风险降低措施的基础上确定的。

针对特定安全功能确定这一故障频率，允许确定目标故障测量值，然后根据表2或表3中为每个SIL指定的目标故障测量值来确定SIL。针对特定安全功能确定SIL后，E/E/PE安全相关系统的设计过程即可继续进行（见图7）。

图7. 实现指定SIL的设计策略

安全故障比例 (SFF) 是（安全故障加上危险可检测故障）的平均故障率与（安全故障加上危险故障）的平均故障率之比。比率越高，发生安全故障或已检测到的危险故障的可能性就越大

10、IEC 61508的修订

如本文第1节所述，更新和改进标准的审查过程于2002年启动，并于2010年4月随着IEC 61508第二版（IEC 2010a）的发布而完成。本节提供了修订过程的摘要。

修订IEC标准的程序如下：

1. 征求国家委员会对标准的意见。

2. 根据国家委员会的意见，准备委员会草案（CD）并分发给国家委员会征求意见。

3. 评估国家委员会对CD咨询的意见，准备投票用委员会草案（CDV）并分发给国家委员会进行投票。

4. 如果CDV咨询的投票结果达到所需的接受标准，准备最终委员会草案国际标准（FDIS）。

5. 如果FDIS投票的结果达到所需的接受标准，则可以准备标准的发布。

修订过程中的一个关键考虑因素是确保任何提议的更改为标准增加了实际价值，并在标准的预期收益与用户实施更改的经济成本之间取得平衡。

以下是一些关键更改的考虑。有关IEC 61508的更多信息，包括第一版和第二版的常见问题解答，可以在IEC网站上找到（IEC 2010e）。IEC 61508 Standards+版本（IEC 2010f）也于2010年4月发布，并且：

· 显示了与第一版相关的修订内容

· 提供了解释更改的超链接注释。对于当前使用IEC 61508第一版的用户来说，这一功能应特别有用。

10.1 术语

有几个重要的定义发生了变化，重要的是要检查这些变化，以评估其影响，因为这些变化可能会影响对IEC 61508第一版的理解。例如，术语“子系统”在IEC 61508第一版中并未定义，但该术语的使用并不一致；在IEC 61508第二版中，这是一个定义明确的术语。定义的一个关键特征是，针对特定安全功能，子系统的危险故障将导致安全功能的失效。

第1-7部分已修订。第0部分计划于2010年开始修订。

还应注意，为了正确使用该术语，有必要了解与特定安全功能相关的危险故障。也就是说，需要了解应用或指定危险故障所基于的假设，以确定例如某个元件是否也是一个子系统。

其他已更改或新增的关键定义示例包括危险故障、安全故障、元件和元件安全功能。

10.2 架构约束

有两种可能的合规途径：

· 途径1H，基于硬件容错和安全故障比例概念；

· 途径2H，基于现场反馈的组件可靠性数据、提高的置信水平和指定安全完整性等级的硬件容错。

途径1H的应用方式发生了变化，并且随着安全和危险故障定义的变化，与IEC 61508第一版中规定的方法相比，安全故障比例的计算可能会有所不同。

途径2H是IEC 61508的新概念，如果选择途径2H，则标准的第7.4.4.3.1条规定了以下要求：

· 对于SIL 4的指定安全功能，硬件容错为2，除非适用第7.4.4.3.2条中的条件；

· 对于SIL 3的指定安全功能，硬件容错为1，除非适用第7.4.4.3.2条中的条件；

· 对于在高需求或连续操作模式下运行的SIL 2的指定安全功能，硬件容错为1，除非适用第7.4.4.3.2条中的条件；

· 对于在低需求操作模式下运行的SIL 2的指定安全功能，硬件容错为0；

· 对于SIL 1的指定安全功能，硬件容错为0。

第7.4.4.3.2条仅针对A类元件规定，如果确定按照7.4.4.3.1条中规定的HFT要求，在需要大于0的HFT的情况下，会引入额外的故障并导致EUC整体安全性下降，则可以实施具有较低HFT的更安全的替代架构。在这种情况下，应对此进行证明并记录。证明应提供以下证据：

· 遵循7.4.4.3.1条中的要求会引入额外的故障并导致EUC整体安全性下降；

· 如果将HFT降低到0，则执行安全功能的元件中的故障模式可以排除，因为与所考虑的安全功能的目标故障测量值相比，相关的危险故障率非常低。也就是说，所有串联元件的危险故障频率之和（声称排除故障的元件）不应超过目标故障测量值的1%。此外，应考虑系统故障的潜在可能性来证明故障排除的适用性。

注释指出，HFT是实现稳健架构所需置信度的首选解决方案。

如果选择途径2H，则用于量化随机硬件故障影响的可靠性数据应：

· 基于现场反馈；

· 按照已发布的标准收集；

· 进行评估以估计不确定性水平；

· 在计算目标故障测量值时解决数据不确定性；

· 改进系统，直到有超过90%的置信度认为已达到目标故障测量值。

在途径2H中使用的所有B类元件应至少具有不低于60%的诊断覆盖率。

10.3 操作模式

关于安全功能在低需求操作模式或高需求/连续操作模式下运行的标准已更改：与验证测试频率相关的要求已被移除。

10.4 系统安全完整性

有三种可能的合规途径：

· 途径1S，系统故障的避免（预防）要求和控制要求（这涵盖了硬件和软件）

· 途径2S，设备“使用证明”（PIU）的证据（这涵盖了硬件和软件）

· 途径3S，仅适用于预先存在的软件元件

要符合IEC 61508-2的要求，必须满足途径1S或途径2S的要求，对于预先存在的软件元件，还需满足途径3S的要求。

10.5 系统能力

系统能力被定义为“对某个元件的系统安全完整性满足指定SIL要求的信心的度量（以SC 1到SC 4的等级表示），针对指定的元件安全功能”。此外，还开发了具有定义系统能力的元件合成的概念。这允许两个满足SC 1系统能力要求的元件被视为具有SC 2系统能力的复合元件，但前提是这两个元件之间具有“足够的独立性”。

10.6 安全性

在进行危害和风险分析时，必须考虑恶意和未经授权的行为。如果认为安全威胁是合理可预见的，则应进行安全威胁分析，如果识别出安全威胁，则应进行漏洞分析以指定安全要求。这一政策的基本原理是将参考其他深入探讨该主题的IEC/ISO标准。

10.7 E/E/PE要求规范

在当前版本的IEC 61508中，E/E/PE要求规范包括单一规范（即单步过程）。现在建议采用两个规范（即两步过程）：

· 第一步：制定E/E/PE系统安全要求规范（在IEC 61508-1中）

· 第二步：制定E/E/PE系统设计要求规范（在IEC 61508-2中）

10.8 数据通信

拟议的要求得到了进一步阐述，现在包括白通道和黑通道架构的概念。简要说明如下：

· 在白通道架构中，整个通信通道（包括协议、服务和网络组件）必须符合IEC 61508以及IEC 61784-3（IEC 2010b）或IEC 62280（IEC 2010c和2010d）的要求。

· 在黑通道架构中，接口必须符合IEC 61784-3或IEC 62280（包括服务和协议）的要求。

图9说明了上述概念。