王俊丁蘭蓉王愛華

（1. 中石化上海工程有限公司，上海 200120；2. 國家電網(wǎng)山東省樂陵市供電公司，山東樂陵 253600）

淺析IEC 61508：2010新版變化

王俊1丁蘭蓉1王愛華2

（1. 中石化上海工程有限公司，上海 200120；2. 國家電網(wǎng)山東省樂陵市供電公司，山東樂陵 253600）

通過IEC 61508：2010版和1998版的比較，分析了新舊兩版之間的變化。主要對功能安全管理、硬件和軟件的功能安全、基本硬件失效概率評估、檢驗(yàn)測試覆蓋率（PTC）對平均失效概率（PFD）的影響、靜態(tài)和動態(tài)建模方法等方面進(jìn)行了比較和闡述。

功能安全管理；安全完整性等級；平均停機(jī)時間；每小時平均失效概率；檢驗(yàn)測試覆蓋率；布爾方法；狀態(tài)/轉(zhuǎn)移模型

EC 61508自1998年發(fā)布以來，廣泛地應(yīng)用于石油化工、制藥、機(jī)械制造、礦業(yè)、航空航天等行業(yè)。它針對由電氣 / 電子 / 可編程電子部件構(gòu)成的、起安全作用的電氣 / 電子 / 可編程電子系統(tǒng)（E / E / PE）的整體安全生命周期，建立了一個基礎(chǔ)的評價方法。目的是要針對以電子為基礎(chǔ)的安全系統(tǒng)提出一個一致的、合理的技術(shù)方案，統(tǒng)籌考慮單獨(dú)系統(tǒng)（如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等）中元件與安全系統(tǒng)組合的問題。隨著電子電氣技術(shù)、可靠性和安全功能評估方法的發(fā)展，功能安全技術(shù)迅速提高，IEC于2010年發(fā)布了新版功能安全標(biāo)準(zhǔn)IEC 61508：2010。新版在對功能安全管理要求、軟件和硬件的安全完整性等級、功能安全的安全完整性等級建模技術(shù)等諸多方面進(jìn)行了改進(jìn)和深化。

1 概念方面的變化

1.1 IEC 61508-1的第1.5節(jié)圖1整體框架的技術(shù)要求的第1部分，在編制總的安全要求之后，僅有與E / E / PE安全相關(guān)系統(tǒng)的安全要求的分配步驟，新版本中在分配步驟后增加了E / E / PE安全相關(guān)系統(tǒng)的系統(tǒng)安全要求定義的步驟。（如圖1斜體字部分所示）。

1.2 新版本對IEC 61508-1的第6.2章節(jié)功能安全管理的要求進(jìn)行了調(diào)整，提供了更容易理解的標(biāo)準(zhǔn)要求，包括：

圖1 IEC 61508 整體框架的技術(shù)要求部分Fig.1 Overall framework of the IEC 61508 series for technical requirement part

（1）新增了對E / E / PE安全相關(guān)系統(tǒng)或?qū)φw的E / E / PE系統(tǒng)、軟件的安全生命周期的一個或幾個階段負(fù)責(zé)的組織，有必要明確對標(biāo)準(zhǔn)中一項(xiàng)或多項(xiàng)條款負(fù)有責(zé)任的人員。

（2）新增了應(yīng)對從事安全相關(guān)系統(tǒng)的功能安全的所有人員、部門和機(jī)構(gòu)進(jìn)行辨別。

（3）新增了所有從事安全相關(guān)系統(tǒng)的功能安全的人員都應(yīng)具備的對于他們工作的勝任能力。

第（2）和（3）項(xiàng)與舊版相比，強(qiáng)調(diào)“所有”。

1.3 IEC 61508-2新版本第7.4.2.2 c章節(jié)，系統(tǒng)安全完整性的要求可通過以下三種途徑中任何一種達(dá)到：

途徑（1）符合避免系統(tǒng)故障和故障控制的要求；

途徑（2）符合設(shè)備有“經(jīng)使用證實(shí)”的證據(jù)要求；

途徑（3）只針對已經(jīng)存在的軟件要素再次被利用執(zhí)行安全功能時，軟件要素要提供安全手冊，手冊中具備對軟件要素的十分精確和完整的描述，使根據(jù)已經(jīng)存在的軟件要素評估某個定義的安全功能的完整性成為可能。

而2000版中僅包含第（1）、（2）種途徑。

1.4 硬件最高的安全完整性等級受硬件安全完整性約束的限制，2000版標(biāo)準(zhǔn)中只給出了達(dá)到硬件的完整性約束的第（1）種途徑。而IEC 61508-2：2010新版本第7.4.4章節(jié)給出了硬件安全完整性約束可以通過以下兩種途徑獲得：

基于硬件故障裕度和安全失效分?jǐn)?shù)概念的途徑。

基于從最終用戶反饋來的元器件可靠性數(shù)據(jù)，提高了指定安全完整性等級的置信度水平和硬件故障裕度。

1.5 IEC 61508-2：2010新版本附錄D，新增符合項(xiàng)的安全指南：

對于聲明自己的產(chǎn)品符合標(biāo)準(zhǔn)的供應(yīng)商或產(chǎn)品制造商提出了新的要求。符合項(xiàng)安全指南通過對所有與符合項(xiàng)相關(guān)的信息建立文檔，使符合項(xiàng)能夠按照標(biāo)準(zhǔn)要求集成到安全相關(guān)系統(tǒng)或子系統(tǒng)、組件中。安全指南規(guī)定了符合項(xiàng)的功能，并明確描述功能和輸入 / 輸出接口。

1.6 IEC 61508-3新版本對軟件要求的變化主要在于以下幾個方面：

（1）引入了生命周期每一個階段輸出的期望的概念，例如：完整性、正確性和可預(yù)見性。

（2）規(guī)定了對于軟件研發(fā)工具選擇和評定的擴(kuò)展要求。

（3）允許非原創(chuàng)應(yīng)用于安全的軟件要素重新用于安全相關(guān)應(yīng)用，但標(biāo)準(zhǔn)規(guī)定應(yīng)提供在其他應(yīng)用中成功運(yùn)用的證據(jù)。

（4）修訂了附錄A和B中的技術(shù)措施，去掉了陳舊的或極少用到的技術(shù)，引入了當(dāng)今正在使用的方法和措施。例如：在附錄A.1軟件安全要求規(guī)范方面，新增了在系統(tǒng)安全要求和軟件安全要求之間具有向前的可追溯性，在安全要求和認(rèn)識到的安全需求之間具有向后的可追溯性；在附錄A.2軟件設(shè)計和開發(fā)：軟件結(jié)構(gòu)設(shè)計方面，新增了在軟件安全要求規(guī)范和軟件架構(gòu)之間具有前后的可追溯性；多樣化的監(jiān)控技術(shù)；多樣化的功能冗余；模塊化的方法；使用可信的或經(jīng)驗(yàn)證的軟件要素；自動的軟件生成；監(jiān)測最長的循環(huán)時間；時間觸發(fā)框架；事件觸發(fā)，監(jiān)測最長響應(yīng)時間；靜態(tài)資源分配；有權(quán)使用共享資源的靜態(tài)同步等等新的方法和措施。在附錄A.5軟件設(shè)計和開發(fā)：支持工具和編程語言方面刪除了使用可信的和經(jīng)驗(yàn)證的軟件模塊和組件庫；在附錄B.2功能和黑盒測試方面，刪除了邊界值分析。

2 基本硬件失效概率評估

IEC 61508-6：2010新版本附錄B2中描述的硬件失效概率評估方法較2000版本更為全面科學(xué)。IEC 61508-6：2000版本僅分析了在假設(shè)系統(tǒng)部件的失效概率在系統(tǒng)生命周期中是恒定值的情況下的通過可靠性框圖方法計算。而IEC 61508-6：2010版本新增了基本的硬件失效概率評估計算，該方法的系統(tǒng)部件的失效概率在系統(tǒng)生命周期中是隨時間變化的變量，而非恒定值。以下為新版本中的可靠性框圖以及低要求和高要求操作模式下的基本硬件失效概率評估計算。

圖2 一個完整安全回路的可靠性框圖Fig.2 Reliability block diagram of a whole safety loop

圖2 中的可靠性框圖（IEC 61508-6 2010 附錄B2）表示由3個傳感器（A、B、C）、1個邏輯控制器（D）、2個最終元件（E、F）和共因失效（CCF）組成的一個完整的安全回路。

2.1 低要求操作模式

低要求操作模式下，E / E / PE安全相關(guān)系統(tǒng)的平均失效概率PFDavg可以簡化為MDT（T） / T的比例，其中MDT（T）是指E / E / PE安全相關(guān)系統(tǒng)在周期[0， T]的平均停機(jī)時間。

通常，安全相關(guān)系統(tǒng)的故障失效概率非常低，在同一時間有兩個最小割集的可能性非常?。ㄗ钚「罴侵敢痦斏鲜录l(fā)生的基本事件的最低限度的集合），可以忽略不計。所以，每個割集的平均停機(jī)時間之和約等于整個系統(tǒng)的平均停機(jī)時間的保守估計值。從圖2中，得到：

上式左右兩端除以T，得到：

對于串聯(lián)結(jié)構(gòu)，在失效概率遠(yuǎn)小于1情況下，以上PFDavg的計算值接近于真實(shí)PFD值。

但對于并聯(lián)結(jié)構(gòu)，如圖2中，E和F多個并聯(lián)的部件失效引起的安全功能失效，就不能直接計算MDTE和MDTF，而（E，F(xiàn)）子系統(tǒng)的MDT 計算如下：

所以，對于并聯(lián)結(jié)構(gòu)，常規(guī)地加和乘并聯(lián)部件的PFD值的方法來計算PFDavg已經(jīng)不再有效。

2.2 連續(xù)或高要求操作模式（一般的PFH公式）

當(dāng)E / E / PE安全相關(guān)系統(tǒng)用于連續(xù)或高要求操作模式，要求計算每小時平均失效概率PFH，其等于無條件失效頻率w（t）在周期[0，T]的單位平均值。

如果E / E / PE安全相關(guān)系統(tǒng)工作于連續(xù)模式而且是最終的安全屏障，那么整體安全相關(guān)系統(tǒng)的失效會導(dǎo)致潛在的危險狀況。因此對于會導(dǎo)致喪失整體安全功能的失效，計算時，不能考慮對整體安全相關(guān)系統(tǒng)的維修。但如果整體安全相關(guān)系統(tǒng)的失效是由其他安全保護(hù)屏障或設(shè)備失效引起的，而不會直接導(dǎo)致潛在的危險，那么在其風(fēng)險降低計算中可以考慮安全相關(guān)系統(tǒng)的檢測和維修。

3 低要求操作模式平均失效概率計算的變化

安全相關(guān)系統(tǒng)的安全功能在低要求時的平均失效概率，IEC 61508-6：2010新版中引入平均修理時間MRT，不同于2000版中使用的平均恢復(fù)時間MTTR。例如，假定平均恢復(fù)時間MTTR為8 h，這其中包含一般小于1 h的診斷測試間隔，剩下的為平均修理時間MRT。除了引入MRT，低要求時，1OO1、1OO2、2OO2、2OO3表決結(jié)構(gòu)的平均失效概率計算沒有其他改變。IEC 61508-6 2010版和2000版公式比較如下表所示。

表1 IEC 61508-6 2010版和2000版公式比較Tab.1 Formula comparison for different architecture between IEC 61508-6 2000 and 2010 version

對于1OO2D表決結(jié)構(gòu)的平均失效概率的計算經(jīng)修改，變?yōu)椋?/p>

式中 β—— 具有共同原因的、沒有被檢測到的失效分?jǐn)?shù)；

βD—— 具有共同原因的、已被檢測到的失效分?jǐn)?shù)；

λDU—— 未檢測到的子系統(tǒng)中通道每小時的危險失效率；

λDD—— 檢測到的子系統(tǒng)中通道每小時的危險失效率；

λSD—— 子系統(tǒng)中被檢測到的通道每小時的安全失效率；

tCE′—— 1OO2D結(jié)構(gòu)中通道的等效平均停止工作時間（h）；

tGE′—— 1OO2D結(jié)構(gòu)中表決組的等效平均停止工作時間（h）；

T1——檢驗(yàn)測試時間間隔（h）；

MRT——平均修理時間；

K——在1OO2D系統(tǒng)自動測試電路的成功率。通道的比較 / 切換機(jī)制可能不是100%有效，因此，K表示通道之間比較 / 切換機(jī)制的效率。

此外，低要求操作模式時，新增1OO3表決結(jié)構(gòu)的平均失效概率的計算。此結(jié)構(gòu)由三個并聯(lián)的通道構(gòu)成，無論哪個通道都能處理安全功能。假設(shè)任何診斷測試僅報告發(fā)現(xiàn)故障，但并不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決。此結(jié)構(gòu)在要求時的平均失效概率為：

式中 tCE—— 1OO3結(jié)構(gòu)中單個通道在失效狀態(tài)的等效平均停止工作時間（h）；

tGE—— 1OO3結(jié)構(gòu)中2個通道同時在失效狀態(tài)的等效平均停止工作時間（h）；

tG2E—— 1OO3結(jié)構(gòu)中3個通道同時在失效狀態(tài)的等效平均停止工作時間（h）；

MTTR——平均恢復(fù)時間（h） 。

其他參數(shù)β、βD、λDU、λDD和T1的含義與式（5）中相同。

4 檢驗(yàn)測試覆蓋率PTC對平均失效概率PFD的影響

在安全系統(tǒng)中的故障，既沒有被診斷測試又沒有被檢驗(yàn)測試檢測到，可能通過其他方式發(fā)現(xiàn)，比如從發(fā)生的要求操作安全功能的危險事件中，或在設(shè)備檢修時被發(fā)現(xiàn)。如果故障沒有被這種方式發(fā)現(xiàn)，則應(yīng)該假設(shè)該故障仍保留在設(shè)備生命周期中。假定檢驗(yàn)測試時間間隔為T1，當(dāng)執(zhí)行檢驗(yàn)測試時檢測到的故障分?jǐn)?shù)指定為檢驗(yàn)測試覆蓋率PTC，而當(dāng)執(zhí)行檢驗(yàn)測試時未檢測到的故障分?jǐn)?shù)指定為（1-PTC）。只有在要求的時間間隔T2對安全相關(guān)系統(tǒng)實(shí)施要求時，這些后來的檢驗(yàn)測試未檢測到的故障才會顯示出來。因此，檢驗(yàn)測試時間間隔T1和要求的時間間隔T2，決定了有效的停止工作時間。

以下是1OO2結(jié)構(gòu)，考慮T1和T2的影響，計算出平均失效概率PFD如下：

式中 PTC——檢驗(yàn)測試覆蓋率；

tCE—— 1OO2結(jié)構(gòu)中通道的等效平均停止工作時間（h）；

tGE—— 1OO2結(jié)構(gòu)中表決組的等效平均停止工作時間（h）；

T2——要求之間的時間間隔（h）；

MTTR——平均恢復(fù)時間（h） 。

其他參數(shù)β、βD、λDU、λDD和T1的含義與式（5）中相同。

IEC 61508-6 B3.2.5節(jié)新版與舊版的區(qū)別在于明確了T1和T2決定安全相關(guān)系統(tǒng)有效的停止工作時間，而不是由安全相關(guān)系統(tǒng)預(yù)計的要求率，使概念更加清晰，同時以上公式中均引入了檢驗(yàn)測試覆蓋率（PTC），使計算的平均失效概率更加精確。

5 建模方法的變化

IEC 61508：2010新版中介紹了靜態(tài)的和動態(tài)的建模方法。

5.1 靜態(tài)建模方法

靜態(tài)的建模方法即布爾方法。它是將單個元器件失效與整體系統(tǒng)失效相連接的邏輯功能進(jìn)行表達(dá)的技術(shù)。可靠性領(lǐng)域的布爾模型主要是可靠性框圖（RBD）和故障樹（FT）。

可靠性框圖是系統(tǒng)單元及其可靠性意義下連接關(guān)系的圖形表達(dá)，表示單元的正?；蚴顟B(tài)對系統(tǒng)狀態(tài)的影響。可靠性方塊圖的結(jié)構(gòu)定義了系統(tǒng)中各故障的邏輯交互作用，而不一定要定義各故障的的邏輯連接和物理連接。每個方塊可以代表一個組件故障、子系統(tǒng)故障或其它具有代表性的故障。該方塊圖可以代表整個系統(tǒng)，也可以代表該系統(tǒng)中要求進(jìn)行故障分析、可靠性分析或可用性分析的任何子集或組合。它還可用作分析工具，顯示系統(tǒng)中每個元件是如何工作的，以及每個元件是如何影響整體系統(tǒng)運(yùn)行的。

故障樹是可靠性和安全分析的另外一種技術(shù)，它是一種系統(tǒng)化的演繹方法，它以系統(tǒng)不希望發(fā)生的一個事件（頂事件）作為分析的目標(biāo)。第一步去尋找引起頂事件的直接原因（中間事件）；第二步再分別找上述每個直接原因的所有直接原因，依次進(jìn)行，直至最基礎(chǔ)的直接原因（底事件）。用一定的符號建樹，表達(dá)上面的關(guān)系，用以找出系統(tǒng)內(nèi)可能存在的元件失效、環(huán)境影響、軟件缺陷和人為失誤等各種因素（底事件）和系統(tǒng)失效（頂事件）之間的邏輯關(guān)系。

5.2 動態(tài)建模方法

由于布爾模型的一些缺陷（與時間無關(guān)），對于一些隨時間變化狀態(tài)情況復(fù)雜的系統(tǒng)，可以采用其他動態(tài)的概率模型。動態(tài)（狀態(tài) / 轉(zhuǎn)移）模型包含了根據(jù)發(fā)生的事件（失效、維修和測試等）來描述系統(tǒng)狀態(tài)間跳轉(zhuǎn)的所有模型。一般情況下該方法主要須經(jīng)歷如下兩個步驟：

（1）識別待研究系統(tǒng)的所有狀態(tài)；

（2）分析系統(tǒng)從一個狀態(tài)跳轉(zhuǎn)到另一個狀態(tài)的過程。

一般的過程是根據(jù)系統(tǒng)發(fā)生的各種事件（失效、維修或測試等）建立一個自動的行為狀態(tài)模型。對于安全控制系統(tǒng)來說，一般僅有幾個離散的狀態(tài)。這種動態(tài)模型可以采用圖形化、特定形式的語言或通用編程語言來表達(dá)。一般采用如下兩種模型：馬爾可夫模型和佩特里網(wǎng)模型（利用蒙特卡洛仿真處理）。

利用狀態(tài)轉(zhuǎn)移模型進(jìn)行仿真的優(yōu)點(diǎn)是：能夠處理較為復(fù)雜的系統(tǒng)，且能應(yīng)付各種維修策略和描述隨時間推移的過程，計算精度高；缺點(diǎn)是：建模過程復(fù)雜，形成的圖形化模型不夠直觀清晰。

6 總結(jié)

隨著功能安全技術(shù)的深入研究，功能安全標(biāo)準(zhǔn)將逐步完善。我國的功能安全標(biāo)準(zhǔn)也將吸取國內(nèi)外的經(jīng)驗(yàn)成果和發(fā)展趨勢，及時調(diào)整以適應(yīng)飛速發(fā)展的技術(shù)要求。本文淺析IEC 61508：2010版和1998版的比較，介紹了新舊兩版在功能安全管理、硬件和軟件的功能安全、基本硬件失效概率評估、檢驗(yàn)測試覆蓋率PTC對平均失效概率PFD的影響、靜態(tài)和動態(tài)建模方法等方面的變化。IEC 61508是安全相關(guān)系統(tǒng)的功能安全的通用標(biāo)準(zhǔn)，石油化工、制藥、機(jī)械制造等各個領(lǐng)域的安全相關(guān)系統(tǒng)都必須遵循此標(biāo)準(zhǔn)。因此，對IEC 61508：2010版的學(xué)習(xí)和應(yīng)用十分重要。

[1]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求2006版[S].

[2]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的要求 2006版[S].

[3]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求2006版[S].

[4]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語 2006版[S].

[5]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等級的方法示例 2006版[S].

[6]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB / T 20438.2和GB / T 20438.3的應(yīng)用指南 2006版[S].

[7]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述 2006版[S].

[8]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part1—7 Edition2.0 2010-04.

[9]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part1： General requirements Edition1 1998-12.

[10]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part2： Requirements for elec trical / electronic / programmable electronic safety-related systems Edition1 2000-05.

[11]IEC61508 Functional safety of electrical / electronic / programmabl e electronic safety-related Systems-Part3： Software requirements Edition1 1998-12.

[12]IEC61508 Functional safety of electrical / electronic / programm able electronic safety-related Systems-Part4： Definitions and abbreviations Edition1 1998-12.

[13]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part5： Examples of methods for the determination of safety integrity levels Edition1 1998-12.

[14]IEC61508 Functional safety of electrical / electronic / programm able electronic safety-related Systems-Part6： Guidelines on the application of IEC 61508-2 and IEC 61508-3 Edition1 2000-04.

[15]IEC61508 Functional safety of electrical / electronic / program mable electronic safety-related Systems-Part7： Overview of techniques and measures Edition1 2000-03.

Brief Analysis of Changes in IEC 61508:2010

Wang Jun, Ding Lanrong, Wang Aihua
（1. SINOPEC Shanghai Engineering Co., Ltd, Shanghai 200120; 2. National Electrical Network, Leling Municipal Power Supply Co., Leling 253600）

With the comparison of 2010 version and 1998 version of IEC 61508, the changes in new version were analyzed in this article. Main contents in IEC 61508:2010 were described, including function safety management, assessment of basic hardware failure probability, inf l uence of PTC to PFD and methods of static and dynamic modeling.

function safety management; safety integrity level; MDT; PFH; PTC; Boolean model; state/transition model

TQ 056

A

2095-817X（2017）01-0058-006 I

2016-03-10

國家科技支撐計劃課題（2015BAF22B02）。

王?。?975—），女，高級工程師，主要從事石油化工過程控制及儀表設(shè)計工作。