IEC 61508是一項用於工業領域的國際標準,其名稱是《電氣/電子/可程式電子安全相關系統的功能安全》(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES)。

IEC 61508是由國際電工委員會發佈,其目的要建立一個可應用於各種工業領域的基本功能安全標準。它將功能安全定義為:「是受控設備(EUC)或受控設備系統總體安全中的一部分;其安全性是依賴於電氣/電子/可程式電子(E/E/PE)安全相關系統、其他技術的安全相關系統或外部風險降低措施的正確機能。」

簡介

IEC 61508標準起源於工業程序控制領域。該標準涵蓋了完整的安全生命周期英語Safety life cycle,當制定相關領域特定的功能安全標準時,需要進一步細化說明[1]

IEC 61508標準定義的安全生命周期包含16個階段,各階段所關注的均是系統安全功能,粗略地可以分為3塊:

  1. 1-5階段描述了分析過程。
  2. 6-13階段描述了實現過程。
  3. 14-16階段描述了運作及維護過程。

標準由7個部分組成,

  1. 1-3部分包括標準需求,偏向規範性的內容。
  2. 4-7部分包括開發過程指導和示例,以資料性的內容為主。

IEC 61508標準的核心是風險和安全功能的概念。風險是指危害事件頻率(或可能性)以及事件後果嚴重性的組合。可以藉由應用包括電氣/電子/可程式電子(E/E/PES)及其它技術構成的安全功能,使風險降低到可以容忍的水平。電氣/電子/可程式電子以外的技術也可能被用於降低風險,但IEC 61508標準的詳細需求只覆蓋了採用E/E/PES技術的安全功能。

IEC 61508對風險的觀點如下:

  • 不可能達到零風險。
  • 必須從一開始就要考慮安全性。
  • 將風險降低到合理且可容忍的範圍(ALARP)。

危害及風險分析

IEC 61508要求需實施危害分析英語Hazard analysis風險分析英語Risk analysis (engineering):「針對每一個被確認的危害事件,需計算或估計EUC(受控設備)的風險」。

此標準建議「可以實施量化或非量化的危害及風險分析技術」,並在標準中提出了許多的分析方式[2]。以下是一種量化危害分析的方式,將事件概率區分為6類,事件影響區分為4類:

出現概率的分類

More information 分類, 定義 ...
分類 定義 範圍(每年的失效率)
頻繁(Frequent) 系統生命週期中出現很多次 > 10−3
可能(Probable) 系統生命週期中出現數次 10−3 至 10−4
偶爾(Occasional) 系統生命週期中出現一次 10−4 至 10−5
微乎其微(Remote) 系統生命週期不太可能出現 10−5 至 10−6
幾乎不可能(Improbable) 非常不可能出現 10−6 至 10−7
難以置信(Incredible) 無法相信會出現的事件 < 10−7
Close

影響的分類

More information 分類, 定義 ...
分類 定義
災難(Catastrophic) 多人死亡
嚴重(Critical) 一人死亡
臨界(Marginal) 一人或多人重傷
輕微(Negligible) 至多造成輕傷
Close

可將上述的概率及影響組合成以下的風險矩陣

影響
概率 災難 嚴重 臨界 輕微
頻繁 I I I II
可能 I I II III
偶爾 I II III III
微乎其微 II III III IV
幾乎不可能 III III IV IV
難以置信 IV IV IV IV

其中

  • I類:在任何情形下都無法接受。
  • II類:不希望出現,只有在實務上無法降低風險,或是降低風險成本遠高於改善所獲得的效益時才可以接受。
  • III類:若降低風險的成本高於改善所獲得的效益,可接受這類事件發生。
  • IV類:可接受這類事件發生,但需加以監控。

安全完整性等級

安全完整性等級主要是依以下三個要素的評估情形,較高的安全完整性等級需要在這三個部份有更好的相容性:

  1. 提昇可靠度。
  2. 失效而安全。
  3. 管理、系統技術、驗證及確認

安全完整性等級是針對單一減少偒害的方法(在風險分析中決定),不是針對整個系統,也不是針對個別零件。

提昇可靠度

對於連續運轉的系統(連續模式)及一年運轉超過一次的系統(高需求),需評怙其容許的失效頻率。對於間歇性運轉的系統(一年運轉不到一次/低需求),失效概率定義為系統無法回應需求動作的概率。

SIL 低需求模式:
無法回應需求動作的平均概率
高需求模式或連續模式:
每小時出現危險失效的概率
1 ≥ 10−2 至 < 10−1 ≥ 10−6 至 < 10−5
2 ≥ 10−3 至 < 10−2 ≥ 10−7 至 < 10−6
3 ≥ 10−4 至 < 10−3 ≥ 10−8 至 < 10−7
4 ≥ 10−5 至 < 10−4 ≥ 10−9 至 < 10−8

失效而安全

安全故障失效比率(safe failure fraction,簡稱SFF)的計算可確認系統失效安全的程度。安全故障失效比率比較安全失效及危險失效的比例,但安全故障失效比率本身不足於宣告安全完整性等級,在 IEC 61508標準中有定義各等級的安全完整性等級需要的安全故障失效比率。

管理、系統技術、驗證及確認

管理及系統技術確保可以避免在生命週期中任一部份出現的錯誤。即使是可靠度最高的保護方式,也可能被從初期概念、風險分析、規格、設計、安裝、維護一直到丟棄過程中導入的錯誤所破壞。IEC61508列出在生命週期的各階段需要應用的相關技術。

產業或特定領域標準

車輛軟件

汽車產業軟件可靠性協會英語Motor Industry Software Reliability Association(MISRA)的方針中涵蓋了有關車輛安全相關系統的軟件開發[3]。MISRA計劃是要提供車輛用嵌入式軟件開發的方針。在1994年11月時發行了一套車用嵌入式軟件開發的方針,是第一個在車輛產業對應IEC 61508的標準,1998年時MISRA提出了MISRA C,是兼顧嵌入式系統的安全性及可移植性的C語言開發標準。

ISO 26262是將IEC 61508延伸到車輛的電機/電子系統的安全標準。

鐵路軟件

EN 50128德語EN 50128全名為《鐵路應用-鐵路控制及保護軟件》(Railway applications - Software for railway control and protection)是將IEC 61508應用在鐵路應用的歐盟技術標準,內容涵蓋鐵路控制及保護軟件的開發,包括通訊、訊號及處理系統等。

製造業

製造業包括許多種類的製造工藝:包括煉油廠、石化、化工、製藥、紙漿、造紙及電力等。IEC 61511英語IEC 61511是這些工程系統的技術標準,確保使用儀表設備時工業流程的安全性。

核電廠

IEC 61513全名為《功能安全-核能工業的安全儀表系統》(Functional safety – safety instrumented systems for the Nuclear Industries)提供了核電廠的設備及安全控制系統相關的要求及建議事項,其中的要求包括針對傳體硬件的設備、以電腦為基礎的設備以及同時使用上述二種技術的設備。

機械

IEC 62061全名為《機械安全與安全有關的電氣、電子和可程式電子控制系統的功能安全標準》(Safety of machinery, Functional safety of safety-related electrical, electronic and programmable electronic control systems),是IEC 61508在機械安全的功能安全標準[4],IEC 62061提供了各類型和機械安全有關的電機控制系統的要求,適用於系統層級的設計,也適用於非複雜的子系統及設備。

軟件測試

依IEC 61508開發的軟件依其需達到的安全完整性等級(SIL)不同,有可能需要經過單元測試。單元測試的目的是在確認軟件在模組層次已進行了完整測試。若是有些安全完整性等級較高的應用,軟件的代碼覆蓋要求更高,而且也需使用修改條件判斷覆蓋(MCDC)準則,而不是簡單的分支覆蓋(branch coverage)。若要得到MCDC覆蓋率的資訊,一般都需要單元測試軟件,甚至是軟件模組測試軟件。

相關條目

參考文獻

外部連結

延伸書目

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.