3IEC61508在铁路领域的应用标准-轨道交通安全技术研究中心.docVIP

IEC61508的基本方法 及铁路相应标准的研究 杨文轩 本文以IEC61508《电气/电子/可编程电子安全相关系统的功能安全》标准作为研究对象，通过了解该标准的主要内容，分析该标准的特点，对该标准中采用的基本方法进行具体研究分析，有助于了解标准具体条款，并对标准的具体要求展开实际应用。 IEC61508 安全完整性等级 安全 风险 全生命周期 多年来，工业控制计算机被用于许多领域执行非安全功能，但越来越多地用于安全目的。在机械、医药、交通等于安全相关的控制领域，众多渐趋复杂的电子相关组件、计算机系统所组成的系统已经由无安全功能转而成为具备安全功能，系统安全成为衡量系统的重要标准之一。2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全相关系统的功能安全》（Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES)）。该标准明确提出了安全相关系统的功能安全，并给出了一种全新的保障安全的原理与方法，是一个技术理念、科学的评估体系和优化的管理手段的集合。在这个框架内，基于其它技术（机械、液压）的安全系统也可同时被考虑进去，并逐渐成为领域内普遍遵守的统一法则。我国于2006年等同采用了IEC61508标准，并发布了GB/0438—2006《电气/电子/可编程电子安全相关系统的功能安全》。 IEC 61508标准的发布目的，是要建立一个可应用于各种工业领域的基本功能安全标准。它将功能安全定义为：受控设备（EUC）或受控设备系统总体安全中的一部分；其安全性是依赖于电气/电子/可编程电子（E/E/PE）安全相关系统、其他技术的安全相关系统或外部风险降低措施的正确机能。标准范围涉及电气/电子/可编程电子安全相关系统。电气/电子/可编程电子系统是以电气/电子/可编程电子技术为基础，用于控制、防护和监督的系统，它包括了系统的全部元件，如电源、传感器以及其它输入设备、数据通道、通信通路和其他执行器、输出设备。与IEC9001（质量管理体系——要求）和 ISO10006（质量管理体系——项目管理指南）标准一样，IEC 61508 标准也倡导工作的文本管理，闭环控制，这就为电气设备、电子设备、可编程电子设备（E/E/PE）功能安全的可追溯创造了条件。 IEC 61508标准起源于工业程序控制领域。该标准涵盖了完整的安全生命周期，当制定相关领域特定的功能安全标准时，需要进一步细化说明。IEC 61508标准的核心是风险和安全功能的概念。风险是指危害事件频率（或可能性）以及事件后果严重性的组合。可应用包括电气/电子/可编程电子（E/E/PES）及其它技术构成的安全功能，使风险降低到可以的水平。电气/电子/可编程电子以外的技术也可能被用于降低风险，但IEC 61508标准的详细需求只覆盖了采用E/E/PES技术的安全功能。 1.2标准的基本原理及特点 IEC61508 的特点是把风险作为度量危险的指标。这里的风险（Risk）是指危害发生的概率（Likelihood）和危害严重性（Consequence）的组合。IEC 61508对风险的观点如下： 不可能达到零风险。 必须从一开始就要考虑安全性。 将风险降低到合理且可容忍的范围（ALARP）。 这些观点指导了标准基本方法的提出，也将指导遵循该标准的工程技术实施的全过程。IEC61508同时定义了被控装置的风险、可容忍的风险、残余的风险和必须的风险降低四种风险指标。风险指标间的关系见图1。标准主要讨论的就是如何利用安全技术和分析方法降低E/E/PES安全相关系统的风险。标准提出功能安全的基本原理是系统地识别危险，并将风险降低到可接受水平。这种危险识别与风险控制的基本原理，成为了安全生产风险体系中的技术基础。 图1 风险指标的关系 该标准中还全面描述了安全完整性与安全相关系统的关系，并提出将安全性贯穿于系统的整个生存周期。 1.3标准主要内容 IEC61508标准由7个部分组成。1-3部分包括标准需求，偏向规范性的内容；4-7部分包括开发过程指导和示例，以资料性的内容为主。各部分的主要内容如下。 总体要求； 对电气/电子/可编程电子系统（E/E/PES）的要求； 软件要求； 定义和缩略语； 确定安全完整性水平的方法实例； IEC61508-2和IEC61508-3的应用指南； 技术和措施综述。 2 IEC61508基本方法研究 安全相关系统涉及众多功能安全问题。在工程中，零部件失去原有设计所规定的功能称为失效。失效包括完全丧失原定功能功能降低和有严重损伤或隐患，继续使用会失去可靠性及安全性。对于采用了硬件、软