一、引 言
2000年2月,IEC发布了功能安全基础标准IEC61508,解决了困扰多年的对复杂安全系统功能安全保障的理论与实践问题,在工业界引起强烈反响,一时间,功能安全成为热门话题,IEC、IEE等组织网站都开辟了功能安全专栏,各类杂志相关文章不断,许多专家认为:IEC61508实现了安全技术和管理理论的一大突破,其首次提出的安全完整性等级(SIL)将成为各领域内合同的必备条款。
随后,不同应用领域及子系统的功能安全标准陆续出台,IEC功能安全标准系列正在形成。IEC61508发布后,欧洲首先采用,美国于2003年底开始采用,我国等同采用的国家标准也即将出台。IEC制定该系列标准的目的是规范领域内功能安全技术和管理,以保证人身财产的安全,因此正被欧洲与美国列为强制性标准,相关的认证己经开始。功能安全正成为自动化及安全控制领域一个快速发展的技术热点。
IEC61508作为功能安全的基础标准,可应用于机械制造、流程工业、运输、医药等所有领域。该标准使用的最好方法是在各工业领域制定相应的功能安全标准时引用它。但同时,如领域中没有相应标准,它也可直接应用于各领域。
IEC61508为安全相关系统的供应商和用户建立了一个共同框架,使用户可以用数字化的、更科学的方法提出控制要求并设计相关系统;使供应商能在安全的框架内发展技术、开发产品,并可以通过IEC61508认证公开声明自己产品的安全品质。IEC61508改善了安全设备供应链,释放了新技术在安全控制领域的巨大能量。
目前IEC61508在国际上已经变成用户的一种需要,其原理已被广泛应用于安全管理的实践中。
二、IEC61508标准的起因
从上世纪80年代开始,控制系统中软件的开发日益成为设计者们的第一选择。软件在提高设计速度、降低重复设计的成本、提高功能性方面等都具有明显的优越性,并且使系统引入新装置更容易,目前这种由软硬件结合的系统在控制系统中已占据主导地位,同时也不可避免地越来越多地用于安全相关的应用领域,
但当这样的系统在安全相关的领域应用时,存在着许多不确定的因素。
首先,由于软件工程存在很多软件开发者个性化的东西,它与传统的工程相比更接近于艺术创造,因而很难证实软件的正确性,这对于软件开发进入安全工程,是一个巨大的障碍。
另外,除了软件之外,硬件由于集成了微电子技术,也变得越来越复杂,从而难以认定其正确性(从微观上看,这样的硬件本身也是一个集成了软件和硬件的系统)。
其次,控制系统变得越来越大,越来越复杂,如何证明系统是安全的,如何评价用于安全相关领域的系统,也是一个必须解决的问题。
不论是系统还是单一产品,要想用于安全目的,必须解决的问题是制造商能够在一定程度上保证产品的安全性并证实给用户看;用户对产品要有足够的置信度;而且制造商、用户和第三方评价机构应该有统一的、科学的、大家都能接受的方法来指导产品的开发、使用和认证。
为解决这些问题,IEC成立了两个工作组,一个针对系统,一个针对软件,目的是起草相关标准以指导针对安全问题的自控系统能够达到所期望的安全目标。
1990年,两个工作组合并在一起工作;1995年,IECl508草案出台;2000年,IEC61508标准正式发布。
三、标准的适用范围
IEC61508标准的主要作用是安全管理,其技术理念贯穿于系统的设计和开发的全过程中。从标准名称上看,其范围被限制在电气、电子、可编程电子(以下简称E/E/PE)安全相关系统。但从原理上看,该标准适用于所有用于保证安全的系统。
四、IEC61508的结构
IEC61508的总标准题目是电气、电子、可编程电子安全相关系统的功能安全。它由以下7部分组成:
——E/E/PE安全相关系统的功能安全第1部分:一般要求;
——E/E/PE安全相关系统的功能安全第2部分: E/E/PE安全相关系统的要求;
——E/E/PE安全相关系统的功能安全第3部分:软件要求;
——E/E/PE安全相关系统的功能安全第4部分:定义和缩略语;
——E/E/PE安全相关系统的功能安全第5部分:确定安全完整性等级的方法示例;
——E/E/PE安全相关系统的功能安全第6部分:应用第2部分和第3部分的指南;
——E/E/PE安全相关系统的功能安全第7部分:技术和措施概述。
第1~第4部分是基础的安全标准,作为基础的安全标准,根据IEC指南104和ISO/IEC指南51中包含的原则,各技术委员会在起草标准时应考虑使用这些标准,第5~第7部分是信息部分,是使用前4部分时所需的信息和指导。
五、标准的思想方法
IEC61508标准倡导了一种全新的保障安全的理念。这个理念就是基于风险的方法。
在许多情况下,研究安全问题,并非研究安全自身的正确性,而是假设产品或系统能够可靠地执行其功能,则安全目的就可以达到。虽然安全与可靠性并非同一概念,但在这里,安全和可靠性产生了非常重要的关联。即用功能的可靠执行来保证安全。
IEC61508中规定,针对要防护的对象,即标准中所说的受控设备(equipment under control,以下简称EUC),首先要确定它的风险点,即哪些环节会出现影响安全的问题,然后确定每个点风险的大小及相互的关系,同时根据法律、法规或合同或使用方的要求得出可接受的风险值,从而确定哪些风险应该降低及应降低多少,然后根据上述要求选择风险降低的方法和措施,针对这些方法和措施提出它的安全要求技术规范,这个安全要求技术规范被分为两方面内容:一是安全功能技术条件,二是安全完整性技术条件,即达至安全所需要的功能是什么和该功能能够被正确实现的概率有多大。
这样一来,对安全问题的评估就被简化为对风险的评估,即概率的评估,通过这样的评估,人们就能够得出系统是否安全的结论。
这种基于风险的方法是一种全过程的对风险的理解。在概念上,所谓安全就是没有不可接受的风险,绝对的安全或者说零风险是不可能的,存在风险是绝对的,只要这个风险是现今社会发展阶段可接受的,就认为是安全的。如果这个风险不可接受,就是不安全的,就要用相应的方法或措施来降低它。而评价这个方法或措施是否合适,也是要评价其对风险降低的贡献,即正确执行安全功能的概率。各类风险的关系可用图1来表示:
当EUC风险大于可接受的风险时,必须采取措施来降低。当采取措施后的残余风险小于可接受的风险时,则认为已经处于安全状态,
随着2000年IEC61508的7个标准被通过并批准为国际标准,这个基于风险的概念被国际普遍接受。
六、标准的基本原理
IEC61508标准的基本原理就是基于风险的方法,按部就班地实现风险降低的目标,首先明确EUC的边界。然后在边界范围内,找出其对外界(人或环境)可能产生伤害的危险点。针对每个危险点分析确定其风险值并与允许的风险值进行比较,如超出允许风险就必须用相应措施来降低。确定了措施,还必须对采取措施后仍存在的残余风险进行分析评估。如果残余风险低于允许风险,则达到目的,否则需要重新设计,这种用来降低风险的措施就是安全功能,实现安全功能的系统就是安全相关系统。常见的安全相关系统有安全仪表系统、安全联锁与紧急停车系统等等。这种实现安全功能的系统可以是独立的,也可以是与控制系统一体的。但推荐前者,因为如果是后者,将大大提高对控制系统的要求。
该原理的基本步骤可以概要地表示如下:
(1)确定EUC范围及范围内的风险点并分析风险值;
(2)确定每个风险的允许值;
(3)确定是否需要采取措施来降低风险(加入安全功能);
(4)对所需要的风险降低确定安全要求和安全完整性等级(SIL);
(5)根据(4)的要求设计安全功能以满足安全要求;
(6)实现安全功能;
(7)对安全功能进行确认。
七、全安全生命周期
全安全生命周期是IEC61508的重要基础。标准提供了系统生命周期的一种模型,将整个周期分成了不同的阶段,并根据各阶段的顺序,提出了各阶段的技术要求及安全管理要求。
全安全生命周期的目的是将所关注的安全问题与系统的功能问题分开,这样可以避免一种假象,即将功能的可靠性误解为可以自动保障安全。例如一个矿井内危险气体有一氧化碳和瓦斯,但在设计安全系统时只考虑了瓦斯,这样即使系统可靠性再高,安全问题并没有解决。只有在安全系统概念提出开始直到系统停用的整个生命周期内,每一步都按照标准要求严格去做,才能提高所有的操作条件和失效模式下的安全置信度。
但悖论是,安全活动实际上是不能脱离其它活动而单独存在的,因此安全问题必须从系统的角度,在生命周期的所有阶段中综合考虑。
IEC61508的全安全生命周期如图2所示。
这个全安全生命周期不仅仅针对系统的开发阶段,而且是针对生命周期的全过程。按这个生命周期实施的活动往往需要反复进行,所有后面阶段的变化,都应返回前面阶段,根据这些变化而重新评估或修改。所以整个过程是一个渐进的、反复的过程。
八、风险分析与风险降低
标准要求将EUC及其控制系统产生的风险用相应的措施降低到可接受的水平。所以首先要对<
