Giải thích về IEC 61508: Hướng dẫn về mức độ an toàn chức năng và mức độ toàn vẹn an toàn (SIL)

IEC 61508 là tiêu chuẩn quốc tế về an toàn chức năng do Ủy ban Kỹ thuật Điện quốc tế (IEC) công bố. Tên đầy đủ của tiêu chuẩn này là “An toàn chức năng của các hệ thống liên quan đến an toàn điện/điện tử/điện tử lập trình” (thường được viết tắt là E/E/PE hoặc E/E/PES). Tiêu chuẩn này cung cấp một khuôn khổ có hệ thống để đảm bảo tính an toàn và độ tin cậy về mặt chức năng của các hệ thống trong suốt toàn bộ vòng đời an toàn.

IEC 61508 đóng vai trò là tiêu chuẩn nền tảng cho nhiều tiêu chuẩn an toàn chức năng dành riêng cho ngành, chẳng hạn như IEC 61511 và IEC 62061. Tiêu chuẩn này được áp dụng rộng rãi trong các lĩnh vực bao gồm tự động hóa công nghiệp, kiểm soát quy trình và sản xuất máy móc.

1.0 Các khái niệm cốt lõi của IEC 61508

IEC 61508 bao gồm các khía cạnh chính sau:

• An toàn chức năng: Tiêu chuẩn này nhấn mạnh rằng các hệ thống hoặc thiết bị phải thực hiện đúng chức năng an toàn của chúng trong các điều kiện được xác định. Nếu chúng bị hỏng, sự cố phải xảy ra theo cách có thể dự đoán được và an toàn.
• Vòng đời an toàn: Nó giới thiệu một phương pháp tiếp cận vòng đời toàn diện, bao gồm tất cả các giai đoạn từ khái niệm ban đầu, thiết kế và phát triển, vận hành và bảo trì cho đến khi ngừng hoạt động—đảm bảo tuân thủ liên tục các yêu cầu về an toàn.
• Phương pháp tiếp cận dựa trên rủi ro: Bằng cách xác định các mối nguy hiểm, đánh giá các rủi ro liên quan và áp dụng các biện pháp kiểm soát thích hợp, tiêu chuẩn này giúp giảm rủi ro xuống mức Thấp nhất có thể thực hiện được (ALARP).
• Mức độ toàn vẹn an toàn (SIL): SIL là thước đo định lượng về độ tin cậy của các chức năng an toàn, từ SIL 1 (thấp nhất) đến SIL 4 (cao nhất). Mỗi cấp độ SIL được xác định dựa trên ba tiêu chí chính:
  • Khả năng của hệ thống: Độ tin cậy của thiết kế phần cứng và phần mềm
  • Những hạn chế về kiến trúc: Những hạn chế do kiến trúc hệ thống áp đặt
  • PFDavg / PFH: Xác suất hỏng hóc nguy hiểm, theo yêu cầu (PFDavg) hoặc theo giờ (PFH)
    Mức SIL cuối cùng được xác định bởi mức thấp nhất trong ba tiêu chí này.

1.1 Cấu trúc và phạm vi của IEC 61508

IEC 61508 bao gồm tám phần. Các phần 1 đến 7 được phát hành từ năm 1998 đến năm 2000 và IEC/TR 61508-0 được bổ sung vào năm 2005. Tiêu chuẩn này đã trải qua quá trình đánh giá toàn diện bắt đầu từ năm 2002, dẫn đến việc xuất bản Phiên bản 2 vào tháng 4 năm 2010.

Tên đầy đủ của tiêu chuẩn là “An toàn chức năng của các hệ thống liên quan đến an toàn điện/điện tử/điện tử lập trình (hệ thống E/E/PE)”và cấu trúc của nó bao gồm:

1. Phần 0: An toàn chức năng và IEC 61508
2. Phần 1: Yêu cầu chung
3. Phần 2: Yêu cầu đối với hệ thống liên quan đến an toàn E/E/PE
4. Phần 3: Yêu cầu phần mềm
5. Phần 4: Định nghĩa và từ viết tắt
6. Phần 5: Ví dụ về các phương pháp xác định mức độ toàn vẹn an toàn
7. Phần 6: Hướng dẫn áp dụng Phần 2 và Phần 3
8. Phần 7: Tổng quan về các kỹ thuật và biện pháp

Ngoài ra, một số tiêu chuẩn dành riêng cho ngành đã được bắt nguồn từ IEC 61508, điều chỉnh các nguyên tắc của tiêu chuẩn này cho các lĩnh vực cụ thể:

• Tiêu chuẩn IEC 61511– Đối với ngành công nghiệp chế biến (ví dụ: nhà máy hóa chất và hóa dầu)
• Tiêu chuẩn IEC 62061– An toàn cho máy móc
• Tiêu chuẩn ISO26262– Dùng cho hệ thống điện tử ô tô
• DO-178C– Đối với hệ thống phần mềm điện tử hàng không

Ví dụ này cho thấy một hệ thống điện, điện tử và điện tử lập trình tiêu biểu được đánh giá an toàn thường được gọi là hệ thống liên quan đến an toàn E/E/PE.

1.2 Thực hiện và tuân thủ

Để đạt được sự tuân thủ theo IEC 61508, các tổ chức phải:

• Hiểu và tuân thủ các quy trình xác thực và xác minh được quy định
• Xác định và giảm thiểu các chế độ lỗi quan trọng
• Đảm bảo rằng các hệ thống phần cứng và phần mềm hoạt động trong phạm vi giới hạn của mức SIL áp dụng
• Quản lý sự phức tạp trong quá trình thiết kế hệ thống để giảm nguy cơ thất bại
• Áp dụng các chiến lược an toàn phù hợp cho các thành phần được sử dụng thường xuyên hoặc chỉ được kích hoạt trong các sự kiện nguy hiểm

1.3 Ứng dụng thực tế của IEC 61508

IEC 61508 được sử dụng rộng rãi trong các hệ thống điện, điện tử và điện tử lập trình quan trọng về an toàn. Các ví dụ ứng dụng phổ biến bao gồm:

• Ngành công nghiệp máy móc: Máy ép phanh, máy cắt laser, máy dập, hệ thống an toàn robot công nghiệp
• Ngành công nghiệp chế biến: Hệ thống dừng khẩn cấp (ESD), van an toàn, thiết bị giảm áp
• Ngành điện: Rơ le bảo vệ, thiết bị cách ly lỗi, máy cắt mạch thông minh
• Vận tải: Hệ thống tín hiệu đường sắt, thiết bị điều khiển tàu tự động (ATC), mô-đun an toàn ô tô
• Thiết bị y tế: Hệ thống hỗ trợ sự sống, mô-đun giám sát an toàn

Bằng cách tuân thủ IEC 61508, các hệ thống này được thiết kế với các nguyên tắc an toàn chức năng giúp ngăn ngừa tai nạn và bảo vệ tính mạng con người cũng như môi trường trong trường hợp xảy ra sự cố.

1.4 Tại sao IEC 61508 được phát triển

Vào những năm 1990, ngày càng có nhiều chức năng an toàn được triển khai thông qua các hệ thống điện tử hoặc điện tử có thể lập trình. Các hệ thống này thường có độ phức tạp cao, khiến việc xác định mọi chế độ hỏng hóc có thể xảy ra hoặc kiểm tra mọi tình huống vận hành trở nên bất khả thi.

Thách thức chính là thiết kế các hệ thống có thể ngăn ngừa các sự cố nguy hiểm hoặc quản lý chúng một cách an toàn nếu chúng xảy ra. Các sự cố như vậy có thể bắt nguồn từ:

• Thông số kỹ thuật không chính xác cho các hệ thống kiểm soát liên quan đến an toàn
• Định nghĩa yêu cầu an toàn không đầy đủ (ví dụ: không xác định được chức năng trên tất cả các chế độ vận hành)
• Lỗi phần cứng ngẫu nhiên
• Lỗi phần cứng cấp hệ thống
• Lỗi thiết kế phần mềm
• Nguyên nhân phổ biến gây ra lỗi
• Lỗi của con người
• Các yếu tố môi trường (ví dụ, nhiễu điện từ, nhiệt độ khắc nghiệt, ứng suất cơ học)

2.0 IEC 61508 và SIL (Mức độ toàn vẹn an toàn) là gì?

IEC 61508 là tiêu chuẩn an toàn chức năng được công nhận quốc tế áp dụng cho các hệ thống liên quan đến an toàn điện, điện tử và điện tử có thể lập trình. Tiêu chuẩn này cung cấp hướng dẫn an toàn có hệ thống cho việc thiết kế, phát triển, vận hành và bảo trì các hệ thống như vậy. Một trong những thành phần chính của tiêu chuẩn này là Mức độ toàn vẹn an toàn (SIL), một thước đo quan trọng về khả năng giảm thiểu rủi ro của chức năng an toàn trong điều kiện nguy hiểm.

2.1 Định nghĩa và vai trò của SIL

IEC 61508 định nghĩa tính toàn vẹn an toàn là:

“Xác suất một hệ thống liên quan đến an toàn thực hiện thành công chức năng an toàn cần thiết trong mọi điều kiện được chỉ định và trong thời gian được chỉ định.”

Mức SIL biểu thị mức độ giảm thiểu rủi ro do chức năng an toàn cung cấp khi xảy ra sự kiện nguy hiểm. Có bốn mức SIL, từ SIL 1 đến SIL 4, với các mức cao hơn tương ứng với các yêu cầu an toàn nghiêm ngặt hơn và các quy trình phát triển và xác minh phức tạp hơn.

Cấp độ SIL	Xác suất nguy hiểm	Yêu cầu phát triển tương ứng
SIL 1	Xác suất cao nhất	Yêu cầu tối thiểu
SIL 2	Trung bình	Các biện pháp được đề xuất
SIL 3	Thấp	Biện pháp nghiêm ngặt
SIL 4	Xác suất thấp nhất	Kiểm soát chặt chẽ nhất

2.2 SIL được xác định như thế nào

IEC 61508 cung cấp cả phương pháp định tính và định lượng để xác định SIL, bao gồm:

1. Đánh giá nguy cơ và rủi ro (Phần 5)

• Xác định các mối nguy tiềm ẩn
• Đánh giá tần suất và mức độ nghiêm trọng của rủi ro
• Xác định mức độ giảm thiểu rủi ro cần thiết (Phụ lục A)

2. Đánh giá xác suất thất bại

SIL có thể được đánh giá định lượng bằng cách sử dụng:

• PFDavg (Xác suất trung bình của sự cố nguy hiểm theo yêu cầu)cho các chế độ có nhu cầu thấp
• PFH (Xác suất hỏng hóc nguy hiểm mỗi giờ)cho các chế độ liên tục

PFDavg – Chế độ nhu cầu thấp:

Cấp độ SIL	Phạm vi PFDavg
SIL 4	≥ 10⁻⁵ đến < 10⁻⁴
SIL 3	≥ 10⁻⁴ đến < 10⁻³
SIL 2	≥ 10⁻³ đến < 10⁻²
SIL 1	≥ 10⁻² đến < 10⁻¹

PFH – Chế độ liên tục:

Cấp độ SIL	Phạm vi PFH [1/h]
SIL 4	≥ 10⁻⁹ đến < 10⁻⁸
SIL 3	≥ 10⁻⁸ đến < 10⁻⁷
SIL 2	≥ 10⁻⁷ đến < 10⁻⁶
SIL 1	≥ 10⁻⁶ đến < 10⁻⁵

2.3 Khả năng hệ thống và hạn chế về kiến trúc

Hệ thống phải đáp ứng các khả năng thiết kế, thử nghiệm và xác minh cụ thể (ví dụ: FMEDA, SFF).

SFF (Tỷ lệ hỏng an toàn) = (Lỗi an toàn + Lỗi nguy hiểm được phát hiện) / Tổng số lỗi

2.4 So sánh mức độ toàn vẹn an toàn giữa các tiêu chuẩn

Trong khi SIL là một phần của khuôn khổ IEC 61508, các tiêu chuẩn công nghiệp khác xác định các mức độ an toàn tương tự không thể hoán đổi trực tiếp cho nhau:

Tiêu chuẩn	Mức độ an toàn (Thấp → Cao)
Tiêu chuẩn IEC 61508	SIL 1, SIL 2, SIL 3, SIL 4
Tiêu chuẩn ISO26262	ASIL A, ASIL B, ASIL C, ASIL D
DO-178C	Mức E, D, C, B, A
Tiêu chuẩn IEC 62304	Lớp A, B, C
Tiêu chuẩn EN 50128	SSIL 0, 1, 2, 3, 4

2.5 SIL và Phát triển phần mềm

IEC 61508 Phần 3 (“Yêu cầu phần mềm”) chỉ định các biện pháp phát triển cho phần mềm nhúng tùy thuộc vào mức SIL. Các thông lệ chung và mức khuyến nghị của chúng bao gồm:

Kỹ thuật/Thực hành	SIL 1	SIL 2	SIL 3	SIL 4
Sử dụng các tiêu chuẩn mã hóa	R	Nhân sự	Nhân sự	Nhân sự
Khả năng truy xuất nguồn gốc về phía trước	R	R	Nhân sự	Nhân sự
Phân tích FMEA / FMEDA	Không bắt buộc	Khuyến khích	Khuyến khích mạnh mẽ	Bắt buộc

Ghi chú: HR = Rất khuyến khích, R = Khuyến khích, — = Không khuyến khích

2.6 Làm thế nào để đánh giá và tính toán SIL?

Theo IEC 61508, ba tiêu chí cốt lõi phải được xem xét để xác định SIL phù hợp:

• Khả năng của hệ thống– Thiết kế có đáp ứng được các yêu cầu về chức năng hay không
• Những hạn chế về kiến trúc– Thiết kế có đáp ứng được các yêu cầu về dự phòng và cấu trúc (ví dụ: SFF) không
• Xác suất lỗi phần cứng ngẫu nhiên– Định lượng bằng PFDavg hoặc PFH

Công cụ đánh giá được đề xuất:

• Phân tích mối nguy (HAZOP)
• Ma trận rủi ro hoặc Ma trận truy xuất yêu cầu
• Phân tích chế độ lỗi và tác động (FMEA)
• Chế độ lỗi, tác động và phân tích chẩn đoán (FMEDA)

3.0 An toàn chức năng là gì

Các khái niệm chính về an toàn chức năng:
Để hiểu hiệu quả IEC 61508 và ứng dụng của nó, cần nắm vững các khái niệm cơ bản và thuật ngữ cốt lõi sau:

An toàn chức năng
Sự định nghĩa:
An toàn chức năng là một phần của an toàn hệ thống tổng thể, tập trung vào việc hệ thống có hoạt động chính xác khi nhận được các đầu vào được chỉ định hay không, do đó ngăn ngừa các sự kiện nguy hiểm hoặc giảm rủi ro xuống mức có thể chấp nhận được trong trường hợp xảy ra lỗi.
Khách quan:
Chủ động kiểm soát hệ thống để phản ứng khi phát hiện mối nguy tiềm ẩn, đảm bảo an toàn cho con người, thiết bị và môi trường. Ví dụ:

Máy phát hiện khói kích hoạt hệ thống phun nước tự động;

Thiết bị sưởi ấm công nghiệp tự động tắt khi xảy ra hiện tượng quá nhiệt.

Mức độ toàn vẹn an toàn (SIL)
SIL là thước đo định lượng về hiệu suất và độ tin cậy của chức năng an toàn, cho biết khả năng hệ thống thực hiện các chức năng an toàn một cách đáng tin cậy khi cần thiết.
Có bốn cấp độ SIL (SIL 1 đến SIL 4), cấp độ cao hơn cho thấy các yêu cầu an toàn nghiêm ngặt hơn và quá trình phát triển và xác minh phần mềm cũng chặt chẽ hơn.

Cấp độ SIL	Xác suất trung bình của sự cố nguy hiểm theo yêu cầu (PFDavg) – Chế độ nhu cầu thấp	Xác suất hỏng hóc nguy hiểm mỗi giờ (PFH) – Chế độ liên tục
SIL 1	≥ 10⁻² đến < 10⁻¹	≥ 10⁻⁶ đến < 10⁻⁵
SIL 2	≥ 10⁻³ đến < 10⁻²	≥ 10⁻⁷ đến < 10⁻⁶
SIL 3	≥ 10⁻⁴ đến < 10⁻³	≥ 10⁻⁸ đến < 10⁻⁷
SIL 4	≥ 10⁻⁵ đến < 10⁻⁴	≥ 10⁻⁹ đến < 10⁻⁸

⚠ Ghi chú: Mức SIL được xác định trong IEC 61508 không nên bị nhầm lẫn với mức SIL trong các tiêu chuẩn khác như ISO 26262 hoặc IEC 61511.

Vòng đời an toàn
IEC 61508 định nghĩa một quy trình có cấu trúc để quản lý các vấn đề an toàn chức năng trong toàn bộ vòng đời của dự án—từ khái niệm ban đầu cho đến khi ngừng hoạt động hệ thống.
Vòng đời an toàn nhấn mạnh:

Nhận dạng mối nguy hiểm và đánh giá rủi ro

Định nghĩa về yêu cầu an toàn;

Triển khai thiết kế an toàn;

Xác minh và xác nhận;

Bảo trì và cải tiến liên tục.
Quá trình này đảm bảo hệ thống liên tục đáp ứng các yêu cầu về an toàn trong suốt vòng đời của nó.

3.1 Tầm quan trọng của An toàn chức năng

Tại sao an toàn chức năng lại quan trọng?
Với sự gia tăng tính phức tạp của hệ thống, đặc biệt là trong các môi trường rủi ro cao như công nghiệp, giao thông vận tải và năng lượng, các mối nguy hiểm tiềm ẩn cũng tăng lên. Mục tiêu của an toàn chức năng là chủ động xác định và giảm thiểu rủi ro hỏng hóc để đảm bảo:

• An toàn cho người và người sử dụng;
• Vận hành thiết bị đáng tin cậy;
• Giảm thiểu thiệt hại kinh tế cho doanh nghiệp.

Trong sản xuất, hệ thống an toàn chức năng giúp nhà máy kiểm soát thiết bị tốt hơn, nâng cao hiệu quả và giảm thời gian chết máy, do đó nâng cao năng suất chung.

Tại sao nên theo đuổi chứng chỉ?

• Yêu cầu pháp lý:Một số ngành công nghiệp và khu vực bắt buộc phải có chứng nhận an toàn chức năng theo luật định.
• Tiếp cận thị trường:Các sản phẩm không có chứng nhận có thể bị cấm tại một số thị trường.
• Niềm tin của khách hàng:Người dùng cuối và đơn vị tích hợp hệ thống thường yêu cầu chứng nhận của bên thứ ba độc lập từ nhà cung cấp.
• Tuân thủ bảo hiểm:Nhiều công ty bảo hiểm yêu cầu chứng nhận an toàn chức năng là điều kiện để được bảo hiểm.
  Tiêu chuẩn chứng nhận thường dựa trên IEC 61508 hoặc các tiêu chuẩn phái sinh dành riêng cho ngành.

3.2 IEC 61508: Tiêu chuẩn an toàn chức năng cơ bản

IEC 61508 là “tiêu chuẩn mẹ” về an toàn chức năng, áp dụng cho tất cả các ngành công nghiệp không có tiêu chuẩn cụ thể. Tiêu chuẩn này dựa trên phương pháp đánh giá rủi ro và cung cấp hướng dẫn toàn diện từ thiết kế và triển khai hệ thống đến xác minh.

IEC 61508 bao gồm các thành phần hệ thống liên quan đến an toàn bao gồm:

• Cảm biến (phát hiện tín hiệu);
• Các đơn vị logic điều khiển (như PLC hoặc bộ điều khiển nhúng);
• Bộ truyền động (ví dụ: rơ le, phanh, hệ thống báo động);
• Các thành phần phần mềm (bao gồm phần mềm cơ sở và logic ứng dụng).

Tiêu chuẩn này đặt ra các yêu cầu SIL dựa trên đánh giá rủi ro định lượng nhằm giải quyết:

• Lỗi hệ thống;
• Lỗi phần cứng ngẫu nhiên;
• Lỗi logic phần mềm hoặc lỗi hệ thống.

3.3 Tiêu chuẩn an toàn chức năng dành riêng cho ngành (Lấy từ IEC 61508)

Ngành công nghiệp	Tiêu chuẩn phái sinh	Sự miêu tả
Ngành công nghiệp chế biến	Tiêu chuẩn IEC 61511	Đối với các quy trình kiểm soát liên tục như nhà máy hóa chất và hóa dầu
Máy móc	Tiêu chuẩn IEC 62061	Đối với thiết bị máy móc và hệ thống robot
Điện tử ô tô	Tiêu chuẩn ISO26262	Dành cho hệ thống điện tử/điện tử của xe cơ giới
Hàng không vũ trụ	DO-178C / DO-254	Để phát triển và xác minh phần mềm/phần cứng hàng không dân dụng
Thiết bị y tế	Tiêu chuẩn IEC 62304	Bao gồm quản lý vòng đời phần mềm y tế
Ngành công nghiệp hạt nhân	Tiêu chuẩn IEC 61513	Đối với hệ thống điều khiển và đo lường nhà máy điện hạt nhân
Thiết bị gia dụng/Hàng tiêu dùng	Tiêu chuẩn IEC 60730	Tập trung vào sự an toàn của các thiết bị điều khiển tự động

4.0 Tại sao IEC 61508 là Tiêu chuẩn quan trọng cho Công nghiệp 4.0

Với sự phát triển của Công nghiệp 4.0 và sự gia tăng tự động hóa và kết nối, IEC 61508 đã trở thành một tiêu chuẩn quan trọng để đảm bảo an toàn chức năng. Nó đặc biệt quan trọng đối với:

• Quản lý độ phức tạp của hệ thống:IEC 61508 cung cấp phương pháp tiếp cận có cấu trúc để xử lý các kiến trúc ngày càng phức tạp của hệ thống Công nghiệp 4.0, bao gồm hoạt động phối hợp của các cảm biến, bộ truyền động và hệ thống điều khiển, đảm bảo tính phức tạp không ảnh hưởng đến sự an toàn.
• Giảm thiểu rủi ro:Khi tự động hóa tăng lên, rủi ro hỏng hóc hệ thống cũng tăng theo. IEC 61508 cung cấp hướng dẫn để xác định và giảm thiểu rủi ro trong suốt vòng đời hệ thống—từ thiết kế đến ngừng hoạt động—đảm bảo an toàn liên tục và đáng tin cậy.
• Đảm bảo khả năng tương tác:Công nghiệp 4.0 đòi hỏi sự tích hợp liền mạch của nhiều hệ thống và thiết bị khác nhau. IEC 61508 cung cấp một khuôn khổ an toàn thống nhất, đảm bảo rằng các nhà cung cấp và nền tảng khác nhau có thể tương tác mà không ảnh hưởng đến sự an toàn.
• Nâng cao độ tin cậy của hệ thống tự động:Với việc áp dụng rộng rãi các hệ thống công nghiệp được điều khiển bằng phần mềm, độ tin cậy của phần mềm là rất quan trọng. IEC 61508 xác định các yêu cầu rõ ràng cho việc phát triển phần mềm quan trọng đối với an toàn, giúp các doanh nghiệp xây dựng các hệ thống thông minh ổn định và đáng tin cậy.
• Thể hiện sự tuân thủ:Việc áp dụng IEC 61508 không chỉ giúp doanh nghiệp đáp ứng các tiêu chuẩn của ngành và quy định mà còn thể hiện cam kết của họ đối với vấn đề an toàn đối với thị trường và cơ quan quản lý, thúc đẩy danh tiếng thương hiệu và lợi thế cạnh tranh. Điều này đặc biệt quan trọng khi đấu thầu các hợp đồng quan trọng liên quan đến an toàn hoặc thâm nhập vào các thị trường được quản lý.

IEC 61508 không chỉ đặt nền tảng cho an toàn chức năng trong mọi ngành công nghiệp mà còn cung cấp lộ trình xây dựng các hệ thống bền bỉ, đáng tin cậy và có thể chứng nhận trong thời đại chuyển đổi số.

5.0 Tài nguyên được đề xuất về 《IEC 61508 IEC 61508:2010 PDF》

🔗 Tải xuống IEC 61508:2010 PDF

🔗 IEC 61508 & An toàn chức năng-2022

6.0 IEC 61508 & SIL – Những câu hỏi thường gặp (FAQ)

 

Tài liệu tham khảo

dra.com/iec-61508/#61508-1

www.tuvsud.com/en-sg/services/functional-safety/iec-61508

www.perforce.com/blog/qac/what-iec-61508-safety-integrity-levels-sils

www.gt-engineering.it/en/insights/functional-safety-300321/iec-61508-all-parts/