IEC 61508 是国际电工委员会 (IEC) 发布的一项功能安全国际标准。其全称是 “电气/电子/可编程电子安全相关系统的功能安全” (通常缩写为E/E/PE或E/E/PES)。该标准提供了一个系统框架,以确保系统在整个安全生命周期内的功能安全性和可靠性。
IEC 61508是许多行业特定功能安全标准的基础标准,例如IEC 61511和IEC 62061。它广泛应用于工业自动化、过程控制和机械制造等领域。
1.0IEC 61508 的核心概念
IEC 61508 涵盖以下关键方面:
- 功能安全: 该标准强调系统或设备必须在规定条件下正确执行其安全功能。如果发生故障,则故障必须以可预测且安全的方式发生。
- 安全生命周期: 它引入了一种全面的生命周期方法,涵盖了从最初的概念、设计和开发、操作和维护到退役的所有阶段,确保持续符合安全要求。
- 基于风险的方法: 通过识别危险、评估相关风险并采取适当的控制措施,该标准有助于将风险降低到尽可能低的水平(ALARP)。
- 安全完整性等级 (SIL): SIL 是安全功能可靠性的量化指标,范围从 SIL 1(最低)到 SIL 4(最高)。每个 SIL 级别基于以下三个主要标准确定:
- 系统能力:硬件和软件设计的可靠性
- 架构约束:系统架构的限制
- PFDavg/PFH:危险故障的概率,按需(PFDavg)或每小时(PFH)
最终的 SIL 级别由这三个标准中的最低级别定义。
1.1IEC 61508 的结构和范围
IEC 61508 包含八个部分。第 1 至 7 部分于 1998 年至 2000 年期间发布,IEC/TR 61508-0 于 2005 年新增。该标准自 2002 年开始经过全面审查,并于 2010 年 4 月发布了第二版。
该标准的全称是 “电气/电子/可编程电子安全相关系统(E/E/PE系统)的功能安全”,其结构包括:
- 第 0 部分:功能安全和 IEC 61508
- 第 1 部分:一般要求
- 第 2 部分:E/E/PE安全相关系统的要求
- 第 3 部分:软件要求
- 第 4 部分:定义和缩写
- 第 5 部分:确定安全完整性等级的方法示例
- 第 6 部分:第 2 部分和第 3 部分的应用指南
- 第 7 部分:技术和措施概述
此外,IEC 61508 还衍生出多项行业特定标准,根据特定领域调整了其原则:
- IEC 61511– 适用于过程工业(例如化工厂和石化工厂)
- IEC 62061– 为了机械安全
- ISO 26262– 用于汽车电子系统
- DO-178C– 对于航空电子软件系统
该示例展示了一个典型的电气、电子和可编程电子安全等级系统,通常称为 E/E/PE 安全相关系统。
1.2实施与合规
为了符合 IEC 61508 标准,组织必须:
- 理解并遵循规定的验证和核查流程
- 识别并缓解关键故障模式
- 确保硬件和软件系统在适用的 SIL 等级约束范围内运行
- 在系统设计过程中管理复杂性以降低失败的风险
- 对经常使用或仅在危险事件期间激活的组件应用适当的安全策略
1.3IEC 61508 的实际应用
IEC 61508 广泛应用于安全关键型电气、电子和可编程电子系统。常见的应用示例包括:
- 机械行业: 折弯机, 激光切割机、冲压机、工业机器人安全系统
- 流程工业:紧急关闭系统(ESD)、安全阀、泄压装置
- 电力行业:保护继电器、故障隔离装置、智能断路器
- 运输:铁路信号系统、自动列车控制(ATC)装置、汽车安全模块
- 医疗器械:生命支持系统、安全监控模块
这些系统遵循 IEC 61508 标准,采用功能安全原则设计,有助于防止事故发生并在发生故障时保护人类生命和环境。
1.4为何开发 IEC 61508
20世纪90年代,越来越多的安全功能通过电子或可编程电子系统实现。这些系统通常非常复杂,几乎不可能识别所有可能的故障模式或测试所有运行场景。
关键挑战在于设计能够预防危险故障或在发生故障时能够安全管理的系统。此类故障可能源于:
- 安全相关控制系统的规格不正确
- 安全要求定义不完整(例如,未能定义所有操作模式下的功能)
- 随机硬件故障
- 系统级硬件故障
- 软件设计错误
- 常见原因故障
- 人为错误
- 环境因素(如电磁干扰、极端温度、机械应力)
2.0什么是 IEC 61508 和 SIL(安全完整性等级)?
IEC 61508 是适用于电气、电子和可编程电子安全相关系统的国际公认的功能安全标准。它为此类系统的设计、开发、运行和维护提供了系统性的安全指导。其关键组成部分之一是 安全完整性等级 (SIL),这是衡量安全功能在危险条件下降低风险的能力的关键指标。
2.1SIL的定义和作用
IEC 61508 将安全完整性定义为:
“安全相关系统在所有规定条件下和规定时间内成功执行所需安全功能的概率。”
SIL等级表示发生危险事件时安全功能所能降低的风险程度。SIL等级共分为四个等级,从SIL 1到SIL 4,等级越高,安全要求越严格,开发和验证流程也越复杂。
| SIL 级别 | 危险概率 | 相应的开发要求 |
| 安全完整性等级 1 | 最高概率 | 最低要求 |
| 安全完整性等级 2 | 中等的 | 建议措施 |
| 安全完整性等级 3 | 低的 | 严格措施 |
| 安全完整性等级 4 | 最低概率 | 最严格的控制 |
2.2如何确定 SIL
IEC 61508 提供了确定 SIL 的定性和定量方法,包括以下内容:
1. 危害与风险评估(第五部分)
- 识别潜在危险
- 评估风险的频率和严重程度
- 确定所需的风险降低水平(附件 A)
2. 故障概率评估
可以使用以下方法定量评估 SIL:
- PFDavg(按需发生危险故障的平均概率)对于低需求模式
- PFH(每小时危险故障概率)对于连续模式
PFDavg – 低需求模式:
| SIL 级别 | PFDavg 范围 |
| 安全完整性等级 4 | ≥ 10⁻⁵ 至 < 10⁻⁴ |
| 安全完整性等级 3 | ≥ 10⁻⁴ 至 < 10⁻³ |
| 安全完整性等级 2 | ≥ 10⁻³ 至 < 10⁻² |
| 安全完整性等级 1 | ≥ 10⁻² 至 < 10⁻¹ |
PFH – 连续模式:
| SIL 级别 | PFH [1/h] 范围 |
| 安全完整性等级 4 | ≥ 10⁻⁹ 至 < 10⁻⁸ |
| 安全完整性等级 3 | ≥ 10⁻⁸ 至 < 10⁻⁷ |
| 安全完整性等级 2 | ≥ 10⁻⁷ 至 < 10⁻⁶ |
| 安全完整性等级 1 | ≥ 10⁻⁶ 至 < 10⁻⁵ |
2.3系统能力和架构约束
系统必须满足特定的设计、测试和验证能力(例如FMEDA、SFF)。
SFF(安全失效分数) =(安全故障 + 检测到的危险故障)/总故障
2.4不同标准的安全完整性等级比较
虽然 SIL 是 IEC 61508 框架的一部分,但其他行业标准也定义了类似的安全级别,这些级别不能直接互换:
| 标准 | 安全等级(低 → 高) |
| IEC 61508 | SIL 1、SIL 2、SIL 3、SIL 4 |
| ISO 26262 | ASIL A、ASIL B、ASIL C、ASIL D |
| DO-178C | E、D、C、B、A 级 |
| IEC 62304 | A、B、C类 |
| EN 50128 | SSIL 0、1、2、3、4 |
2.5SIL 和软件开发
IEC 61508 第 3 部分(“软件要求”)根据 SIL 级别规定了嵌入式软件的开发措施。常见做法及其推荐级别包括:
| 技术/实践 | 安全完整性等级 1 | 安全完整性等级 2 | 安全完整性等级 3 | 安全完整性等级 4 |
| 编码标准的使用 | R | 人力资源 | 人力资源 | 人力资源 |
| 正向可追溯性 | R | R | 人力资源 | 人力资源 |
| FMEA/FMEDA分析 | 选修的 | 受到推崇的 | 强烈推荐 | 强制的 |
笔记: HR = 强烈推荐,R = 推荐,— = 不推荐
2.6如何评估和计算SIL?
根据 IEC 61508,必须考虑三个核心标准来确定适当的 SIL:
- 系统能力– 设计是否满足功能要求
- 架构约束– 设计是否满足冗余和结构要求(例如,SFF)
- 随机硬件故障概率– 使用 PFDavg 或 PFH 进行量化
推荐的评估工具:
- 危害分析(HAZOP)
- 风险矩阵或需求可追溯性矩阵
- 故障模式和影响分析(FMEA)
- 故障模式、影响和诊断分析 (FMEDA)
3.0什么是功能安全
功能安全的关键概念:
为了有效理解IEC 61508及其应用,有必要掌握以下基本概念和核心术语:
功能安全
定义:
功能安全是整体系统安全的一部分,关注系统在接收到指定的输入后是否能够正常运行,从而防止危险事件发生或在发生故障时将风险降低到可接受的水平。
客观的:
主动控制系统在检测到潜在危险时做出响应,确保人员、设备和环境的安全。例如:
烟雾探测器触发自动喷水灭火系统;
工业加热设备过热时自动关闭。
安全完整性等级 (SIL)
SIL 是安全功能性能和可靠性的量化度量,表示系统在需要时可靠地执行安全功能的能力。
SIL 级别共有四个(SIL 1 至 SIL 4),级别越高,安全要求越严格,软件开发和验证也越严格。
| SIL 级别 | 按需危险故障平均概率 (PFDavg) – 低需求模式 | 每小时危险故障概率 (PFH) – 连续模式 |
| 安全完整性等级 1 | ≥ 10⁻² 至 < 10⁻¹ | ≥ 10⁻⁶ 至 < 10⁻⁵ |
| 安全完整性等级 2 | ≥ 10⁻³ 至 < 10⁻² | ≥ 10⁻⁷ 至 < 10⁻⁶ |
| 安全完整性等级 3 | ≥ 10⁻⁴ 至 < 10⁻³ | ≥ 10⁻⁸ 至 < 10⁻⁷ |
| 安全完整性等级 4 | ≥ 10⁻⁵ 至 < 10⁻⁴ | ≥ 10⁻⁹ 至 < 10⁻⁸ |
⚠ 笔记: IEC 61508 中定义的 SIL 级别不应与 ISO 26262 或 IEC 61511 等其他标准中的 SIL 级别混淆。
安全生命周期
IEC 61508 定义了一个结构化流程,用于管理整个项目生命周期(从最初的概念到系统退役)中的功能安全问题。
安全生命周期强调:
危害识别和风险评估
安全要求的定义;
安全设计实施;
验证和确认;
维护和持续改进。
此过程可确保系统在整个生命周期内持续满足安全要求。
3.1功能安全的重要性
为什么功能安全至关重要?
随着系统复杂性的不断增加,尤其是在工业、交通运输和能源等高风险环境中,潜在危险也随之增加。功能安全的目标是主动识别并降低故障风险,以确保:
- 人员和用户的安全;
- 设备运行可靠;
- 最大限度地减少企业的经济损失。
在制造业中,功能安全系统可帮助工厂更好地控制设备、提高效率、减少停机时间,从而提高整体生产力。
为什么要追求认证?
- 法律要求:一些行业和地区依法要求进行功能安全认证。
- 市场准入:未经认证的产品可能会被禁止进入某些市场。
- 客户信任:最终用户和系统集成商通常需要供应商提供独立的第三方认证。
- 保险合规性:许多保险公司要求功能安全认证作为承保条件。
认证标准通常基于 IEC 61508 或其行业特定衍生标准。
3.2IEC 61508:基本功能安全标准
IEC 61508 是功能安全的“母标准”,适用于所有未制定具体标准的行业。它基于风险评估方法,提供从系统设计、实施到验证的全面指导。
IEC 61508 涵盖安全相关系统组件,包括:
- 传感器(信号检测);
- 控制逻辑单元(如PLC或嵌入式控制器);
- 执行器(例如继电器、制动器、报警系统);
- 软件组件(包括固件和应用程序逻辑)。
该标准根据定量风险评估制定了 SIL 要求,内容包括:
- 系统故障;
- 随机硬件故障;
- 软件逻辑或系统故障。
3.3行业特定的功能安全标准(源自 IEC 61508)
| 行业 | 衍生标准 | 描述 |
| 流程工业 | IEC 61511 | 适用于化工和石化工厂等连续控制过程 |
| 机械 | IEC 62061 | 适用于机械设备和机器人系统 |
| 汽车电子 | ISO 26262 | 用于道路车辆电子/电气系统 |
| 航天 | DO-178C / DO-254 | 用于民航软硬件开发和验证 |
| 医疗器械 | IEC 62304 | 涵盖医疗软件生命周期管理 |
| 核工业 | IEC 61513 | 用于核电站仪表和控制系统 |
| 家用电器/消费品 | IEC 60730 | 关注自动控制装置的安全 |
4.0为什么 IEC 61508 是工业 4.0 的关键标准
随着工业 4.0 的发展以及自动化和互联互通程度的不断提高,IEC 61508 已成为确保功能安全的关键标准。它对于以下方面尤为重要:
- 管理系统复杂性:IEC 61508 提供了一种结构化的方法来处理工业 4.0 系统日益复杂的架构,包括传感器、执行器和控制系统的协调操作,确保复杂性不会损害安全性。
- 风险缓解:随着自动化程度的提高,系统故障的风险也随之增加。IEC 61508 为整个系统生命周期(从设计到退役)的风险识别和缓解提供指导,确保持续可靠的安全。
- 确保互操作性:工业 4.0 需要无缝集成各种系统和设备。IEC 61508 提供了统一的安全框架,确保不同供应商和平台能够在不影响安全性的情况下实现互操作。
- 增强自主系统的可靠性:随着软件控制工业系统的广泛应用,软件可靠性至关重要。IEC 61508 对安全关键型软件开发提出了明确的要求,帮助企业构建稳定可靠的智能系统。
- 证明合规性:遵循 IEC 61508 不仅可以帮助企业满足监管和行业标准,还可以向市场和监管机构展示其对安全的承诺,从而提升品牌声誉和竞争优势。这在竞标安全关键合同或进入受监管市场时尤为重要。
IEC 61508 不仅为跨行业的功能安全奠定了基础,而且还为数字化转型时代构建有弹性、可靠和可认证的系统提供了路线图。
5.0《IEC 61508 IEC 61508:2010 PDF》推荐资源
6.0IEC 61508 和 SIL – 常见问题 (FAQ)
6.1什么是 IEC 61508?它适用于哪些行业?
IEC 61508 是针对电气、电子和可编程电子 (E/E/PE) 安全相关系统的国际功能安全标准。它是许多行业特定标准的基础或“母”标准,适用于工业自动化、过程控制、能源、交通运输和医疗设备等行业。
6.2什么是SIL(安全完整性等级)?有多少个等级?
SIL 是衡量安全功能维持或降低风险所需性能的指标。它分为四个级别:
- 安全完整性等级 1(最低诚信度)
- 安全完整性等级 2
- 安全完整性等级 3
- 安全完整性等级 4(最高诚信)
每个级别对应特定范围的故障概率以及日益严格的开发和验证要求。
6.3所需的 SIL 等级如何确定?
根据IEC 61508,SIL确定基于三个核心标准:
- 系统能力– 功能符合安全要求
- 架构约束– 结构完整性和冗余度(例如,SFF)
- 随机硬件故障概率– 使用 PFDavg 或 PFH 进行量化
常见的评估工具包括HAZOP、FMEA、FMEDA和风险矩阵。
6.4什么是功能安全?它与一般安全有何不同?
功能安全 是系统安全的一部分,确保通过适当的系统行为自动响应危险情况。它侧重于:
- 预防或减轻风险 失败时
- 自动启动安全机制(例如紧急关闭、灭火)
被动安全 (例如防火门、警告标签) 不是 被视为功能安全的一部分。
6.5为什么要追求 SIL 认证?
- 遵守法律规定:在某些行业或国家是强制性的
- 市场准入:未经认证的产品可能被限制进入关键行业
- 客户信任:客户和集成商通常需要第三方认证的组件
- 保险要求:许多保险公司要求功能安全合规
6.6为什么 IEC 61508 在工业 4.0 背景下如此重要?
IEC 61508 在确保 安全自动化和系统互操作性 在现代智能工厂中。它通过以下方式提供帮助:
- 构建复杂系统安全设计
- 降低整个生命周期的风险
- 定义软件可靠性期望
- 支持与供应商无关的系统集成
- 展示安全合规性并建立信任
参考
dra.com/iec-61508/#61508-1
www.tuvsud.com/en-sg/services/function-safety/iec-61508
www.perforce.com/blog/qac/what-iec-61508-safety-integrity-levels-sils
www.gt-engineering.it/en/insights/ functional-safety-300321/iec-61508-all-parts/