功能安全标准和安全完整性等级

1、功能安全主要标准

为了促进和规范安全相关的控制和保护系统的设计、制造和应用，不同应用领域及子系统/产品部件的功能安全标准陆续出台，其中 IEC61508 已经成为国际公认的功能安全技术的基础标准。而在各种应用领域里，存在着许多不同的潜在的危险和风险，复杂程度也各不相同，从而需要应用不同的E/E/PES，机械领域常用的标准包括 ISO13849-1 和 IEC62061。

IEC61508：电气/电子/可编程电子安全相关系统的功能安全

IEC61508 针对电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统（E/E/PES）的整体安全生命周期，定义了一个基础的方法和技术框架，用于系统地处理安全相关的所有活动。

该标准提出了功能安全的基本原理、术语、数学方法、管理模式，针对以电子为基础的安全相关系统提出了一种一致的合理的技术方针，同时还提出了一个技术框架，在这个框架内，基于其它技术的安全系统也同时被考虑进去。该标准可以促进各应用领域制定各自的功能安全标准，充分考虑与应用有关的所有因素。该标准也是一个可独立使用的标准，可以在没有应用领域标准的情况下，指导开发安全的E/E/PES。

ISO13849-1：机械安全-控制系统有关安全部件 第1部分：设计通则

ISO13849-1 提供了包括软件设计在内的控制系统有关安全部件（SRP/CS）设计和集成的安全要求和指导原则。对于这些SRP/CS的部件，规定了包括执行安全功能所需的性能等级在内的特征。适用于所有种类机械的SRP/CS，不管其采用的何种技术和能量（电、液压、气动、机械等）。

IEC62061：机械安全-与安全有关的电气，电子和可编程电子控制系统的功能安全

IEC62061 是一个针对机械设备的安全标准，直接吸收IEC61508的标准。虽然有些术语在IEC62061中发生变化，为了匹配机械设备的安全领域，采用安全生命周期的原理和基于风险的方法都和IEC61508是一样的。IEC62061标准把注意力集中于机械设备安全功能的量化，按照每小时的失效概率（PFH）来决定安全完整性等级（SIL）。

2、安全完整性等级SIL

根据IEC 61508的定义，安全完整性是在规定的条件下、规定的时间内，安全相关系统成功执行所要求的安全功能的概率。为了具体量化安全完整性，IEC61508定义了安全完整性等级(SIL)的概念，用于规定分配给电气/电子/可编程电子安全相关系统的安全功能的安全完整性要求。安全相关系统有4种安全完整性等级，安全完整性等级4是最高的，安全完整性等级1是最低的。安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。

IEC61508 为每个安全完整性等级规定了必须满足的要求，但是达到某个SIL等级并不意味着系统就是绝对安全或可靠。满足某个SIL等级的要求，仅仅是提供了一种安全的可信度，具体而言，就是一个系统或功能失效的概率低于该SIL等级规定的失效概率。

确定安全完整性等级要基于危险与风险分析，不恰当的风险分析技术会导致安全相关系统的安全完整性等级过高或过低。安全完整性等级过高会造成不必要的过高的安全成本，安全完整性等级过低又会导致安全相关系统不能满足安全要求。

IEC61508将安全相关系统按照操作模式的不同分为：低要求操作模式、高要求操作模式或连续操作模式，并针对不同操作模式下的安全完整性等级规定了相应的目标失效量，见下表1和表2。低要求操作模式指的是，要求的操作频率每年不大于一次或不大于两倍的检测测试频率，否则均应作为高要求操作模式或连续操作模式。

剩余80%未阅读，请登录查看大全章节内容