IEC61508-5確定安全完整性水平的方法示例.doc

IEC 61508-5 确定安全完整性水平的方法示例 IEC 61508简介 1、IEC 61508产生背景 在现代过程工业生产中，由于设备繁复，工艺复杂，要求整个控制系统不允许存在任何安全薄弱环节，一旦系统中的过程成套仪表以及其他设备在工作不正常（失效），就有可能造成控制系统的故障和设备停车，发生诸如化工厂的火灾、爆炸，核电站的辐射超剂量、飞机的机械漏油等危险事件，会对人员、设备和环境造成灾难性后果。这就需要依靠标准和法规来进行规范，使这种灾难控制在可接受的范围之内。 IEC61508标准是迄今为止最为全面的安全相关系统的理论概括和技术总结，成为了涉及电气/电子/可编程电子(E/E/PE)安全相关系统功能安全的基本和核心标准。标准自1999年推出以来,迅速得到了各个国家的响应和推广，我国也于2006年直接将其转化成了GB/T20438标准并等同采用。 2、IEC 61508概况 2000年5月，国际电工委员会（International Electrotechnical Commission）正式发布了IEC 61508标准，名为《电气/电子/可编程电子安全系统的功能安全》。IEC 61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。 本标准是基于安全相关系统的可靠性，它是安全相关系统功能安全的基础标准，有七个部分组成，描述了安全相关系统的软硬件的要求（从危险分析和安全功能的详细说明开始，直到系统停用和处理）。IEC 61508的七个部分内容分别为： 第1部分：一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。 第2部分：对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。 第3部分：对软件的要求，描述避免失效的方法，与第7部分的附录相关。 第4部分：定义和缩略语。 第5部分：给出一些确定安全完整性水平的方法示例。 第6部分：包括第2和第3部分的应用指南。 第7部分：给出测试方法，简短的注释并提供部分参考书目。 二、IEC 61508-5 确定安全完整性水平的方法示例 1、如何理解安全完整性与SIL等级 （1）安全完整性及相关定义 IEC 61508-4中，与安全完整性相关的定义有： 安全完整性(safety integrity)：在规定的条件下、规定的时间内，安全相关系统成功实现所要求的安全功能的概率。 注1：安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。 注2：安全相关系统有4种安全完整性等级。 注3：在确定安全完整性的过程中，应包括导致非安全状态的所有失效（随机硬件失效和系统失效）的起因，例如硬件失效，软件导致的失效以及由电气干扰引起的失效，其中有些类型的失效，尤其是随机硬件失效，在危险失效模式中，可用失效率这样的量来量化，对一个安全防护系统而言，可以用有要求时不能工作的概率来量化，但是，系统的安全完整性也取决于许多因素，这些因素无法精确定量仅可定性考虑。 注4：安全完整性由硬件安全完整性和系统安全完整性构成。 注5：这一定义着重于安全相关系统执行安全功能的可靠性。 安全相关系统(safety-related system)：所指的系统必需要能实现要求的安全功能以达到或保持EUC的安全状态；自身或与其它E／E／PE安全相关系统、其它技术安全相关系统或外部风险降低设施一道，能够达到要求的安全功能所需的安全完整性。 注1：这条术语是指这样的系统，即所谓安全相关系统是它们，及与外部凤险降低设施一道达到必要的风险降低量，以满足所要求的允许风险。 注2：安全相关系统是在接受命令时采取适当的动作以防止EUC进入危险状态。安全相关系统的失效被包括在导致危险或危害的事件中。尽管存在可能具备安全功能的其他系统，但已指定的安全相关系统仅是指靠其自身能力达到要求的允许风险的安全相关系统。安全相关系统一般分为安全控制系统和安全防护系统并且具有两种操作模式（低要求操作模式、高要求或连续操作模式）。 注3：安全相关系统可以是EU C控制系统的组成部分，也可用传感器和／或执行器与EUC接口，即可通过实现EU C控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立的、专门的安全相关系统实现安全功能。 注4：安全相关系统可能包括： a)被用于防止危险事件发生（即安全相关系统一旦执行其安全功能则没有危险事件