功能安全

功能安全（Functional Safety）也称为机能安全，会简称FuSa，是指和一个系统或是设备整体安全的组成部分^[1] 。其达成安全性的方式是靠系统或组成零件在接受输入讯号后，可以正常的动作^[2]。例如一个马达中加装温度感测器，若温度超过一定值，即停止马达运转，此机能就属于功能安全。

目的

功能安全的目的是避免直接或间接（经由设备或环境）的造成人员伤亡、财产损失或是环境污染。整个功能安全标准着重在电气/电子/可编程化系统（E/E/PE），但除了使用E/E/PE系统之外，也可能会配合不同技术的系统来达到安全功能或降低风险，因此实务上的功能安全手法，需延伸到系统中非E/E/PE系统的部分。

安全性的考量需考虑系统及其相关的环境。功能安全也是如此，需将系统及环境一并考虑。

作法

当一个系统完成了所有需求的安全机能（safety function），且安全机能均符合需要求的性能水准，此系统就已实现了功能安全。一般会有一个程序来达到上述的目的，程序至少包括以下几项：

1. 识别需要的安全机能，也就是要确认有哪些危险，需要哪些安全机能。机能检阅（function review）及正式的危害辨识（HAZID）、危害与可操作性分析（HAZOP）及事件检阅（Accident Review）都可以用来搜集相关的资讯。
2. 评估需由安全机能降低风险的程度，也会评估系统的安全完整性等级（Safety Integrity Level，简称SIL）。安全完整性等级可以视为衡量一特定流程的安全性指标^[3]。
3. 确认即使有不正确的操作输入，或是出现常见的失效（即失效模式），安全机能仍符合设计意图。为达到这项需求，需要有符合资格的工程师管理产品的设计及整个生命周期，进行要认证功能安全标准的各项程序。欧洲的相关标准是IEC EN 61508或是其他由IEC EN 61508衍生的特定工业标准。
4. 借由系统的平均故障间隔（MTBF）及安全故障失效比率（Safe Failure Fraction，SFF）来验证系统符合指定的安全完整性等级（SIL）。危险故障失效比率（unsafe failure fraction）是系统处于危险状态或严重状态的比率。失效模式可以由失效模式与影响分析（FMEA）来分析。而各失效模式的失效率可以用故障模式、影响与诊断分析（FMEDA）来推算。

系统中的模组可以依失效时的状态（安全或危险）及是否有侦测线路可以侦测是否失效，依照IEC 61508的分类，可以分为以下的四种：

• DU模组：失效时会进入危险状态，且没有侦测线路可以侦测是否失效。
• DD模组：失效时会进入危险状态，有侦测线路可以进行预防性维修，或是在失效时导入安全模式（Failure to Safe）。
• SU模组：失效时不会进入危险状态，没有侦测线路可以侦测是否失效。
• SD模组：失效时不会进入危险状态，有侦测线路可以侦测是否失效。

功能安全的认证

任何声称具有功能安全的零件、子系统或系统都需独立地取得一个功能安全标准的认证。取得认证的产品可以说明在特定范围的应用下，其机能安全性可以达到特定的安全完整性等级（SIL），其认证证书会和一份描述其性能范围及限制的测试报告一起提供给客户。

功能安全的基础原则是在军事、核能及太空等产业中订定，之后铁路业及程序控制也发展了各领域不同的标准。功能安全标准适用于所有有安全关键需求的产业中。已有数以千计的产品及程序符合IEC EN 61508或其衍生的法规，从浴室的淋浴器^[4]、车用安全设备、医疗设备、感测器、致动器、ABB^[5]及西门子的^[6]的程序控制器，及由其他公司（像Capula^[7]）所设计，在船舶、飞机及大型工厂的系统整合。

在欧洲，发展了许多有关功能安全认证的组织^[8][9]。在申请IEC EN 61508及相关标准的认证时多半会利用CASS框架，由受到认可的品质审核员进行^{[10][11][12][13]}。

美国联邦航空局（FAA）也有类似的功能安全认证程序，US RTCA DO-178B是针对软件，而DO-254是针对硬件^[14][15]，主要是应用在航空工业。

美国NASA发展了安全关键系统的标准^[16]及指导书^[17]，后来也用在许多其他的产业中。NASA的标准及指导书是以ISO的软件标准ISO 12207为基础，ISO 12207是很好的软件实作标准，而不是安全标准。因此NASA也增加了一些安全相关内容较。也有认证流程，针对依照NASAA指导书开发的系统^[18]。

先进的电机／电子／可编程化医疗设备会依照美国食品药品监督管理局（FDA）的 501(k)申请认证，501(k)是依照医疗产业的IEC EN 62304标准，而后者也是从IEC EN 61508衍生的标准。

汽车工业软件可靠性联会（英语：Motor Industry Software Reliability Association）在订定新标准时，也会以IEC EN 61508为准，再衍生相关的特殊产业标准^[19][20]。

国际标准ISO 26262《道路车辆功能安全》在2011年11月15日正式发布，规范汽车之电机电子系统符合所需汽车安全完整性等级（Automotive Safety Integrity Level，ASIL）。

当代的功能安全标准

以下列出主要使用的功能安全标准：

• 国际电工委员会功能安全性标准，IEC EN 61508 Parts 1 to 3：是功能安全标准的核心，适用于安全关键的E/E/PE系统及以利用E/E/PE达到其安全功能的系统。
• UK Defence Standard 00-56 Issue 2
• 美国联邦航空局的软件标准，US RTCA DO-178B, Software Considerations in Airborne Systems and Equipment Certification
• 美国联邦航空局的硬件标准，US RTCA DO-254, Design Assurance Guidance for Airborne Electronic Hardware
• EUROCAE ED-12B European Airborne Flight Safety Systems
• 国际电工委员会医疗设备的软件标准，IEC 62304, Medical Device Software - Software Life Cycle Processes
• 国际电工委员会核电厂设备功能安全性标准，IEC 61513, Nuclear power plants – Instrumentation and control for systems important to safety：是以EN 61508 为基础，通用的系统安全性需求。
• 国际电工委员会核石化制程产业功能安全性标准，IEC 61511
  • IEC 61511-1, Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and software requirements, , based on EN 61508
  • IEC 61511-2, Functional safety – Safety instrumented systems for the process industry sector – Part 2: Guidelines for the application of IEC 61511-1, , based on EN 61508
  • IEC 61511-3, Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels, based on EN 61508
• 国际电工委员会机械产业功能安全性标准，IEC 62061, Safety of machinery - Functional safety of safety-related electrical, electronic and programmable electronic control systems, based on EN 61508
• EN 50128, Railway Industry Specific
• EN 50129, Railway Industry Specific
• NASA Safety Critical Guidelines
• 国际标准组织的汽车功能安全标准，ISO 26262, Road vehicles - Functional safety

相关条目

• IEC 61508
• ALARP
• 危害与可操作性分析（HAZOP）
• HAZID
• 安全完整性等级（SIL）
• 误动作等级（STL）
• 代码覆盖率
• 失效模式与影响分析（FMEA）
• 失效模式效应与关键性分析法（FMECA）
• 机械安全
• 预期机能安全（SOTIF）

参考资料

1. 刘建侯. 功能安全技術基礎. 北京: 机械工业出版社. 2008: p8. ISBN 978-7-111-24042-6. 引文格式1维护：冗余文本 (link)
2. 陈骏为. E/E/PE安全功能產品標準－IEC 61508. 电子工程专辑. 2008-01-01 [2010-12-31]. （原始内容存档于2008-05-17） （中文）.
3. 邓意. 功能安全和安全完整性等级评估 (PDF). 第七届工业仪表及自动化学会会议. 上海工业自动化仪表研究院. [2010-12-31] （中文）.^{[永久失效链接]}
4. TMV2 and TM3 Approval of Kohler- Radacontrols Shower lists EN 61508 compliance, http://www.radacontrols.com/onlinecatalog/pdf/p4639_2.pdf （页面存档备份，存于互联网档案馆）
5. ABB Industrial IT, EN 61508 compliant. http://www.abb.co.uk/cawp/seitp202/275AC9A14F5C6F69C1256FA90060650B.aspx （页面存档备份，存于互联网档案馆）
6. TUV Nord EN 61508 Certification of Siemens Integrity VeOSity controller and software, http://www.ghs.com/products/industrial_safety.html （页面存档备份，存于互联网档案馆）
7. 存档副本. [2009-07-25]. （原始内容存档于2009-08-13）.
8. The 61508 Association http://www.61508.org （页面存档备份，存于互联网档案馆）
9. Institution of Engineering and Technology, Safety Zone http://www.theiet.org/ （页面存档备份，存于互联网档案馆）
10. CASS框架，CASS是Conformity Assessment of Safety Systems（安全系统合格评定）的缩写, http://www.cass.uk.net/ （页面存档备份，存于互联网档案馆）
11. SIRA Certification 存档副本. [2011-01-04]. （原始内容存档于2011-07-16）.
12. 61508 Association, Conformity Assessment http://www.61508.org/ca.htm （页面存档备份，存于互联网档案馆）
13. TUV Anlagentechnik, Dept ASI, http://www.tüvasi.com/downloads/Certification_Information_2003_05_16.pdf^{[永久失效链接]}
14. V. Hilderman, T. Bagha,"Avionics Certification", A Complete Guide to DO-178B and DO-254, ISBN 978-1-885544-25-4
15. C. Spritzer, "Digital Avionics Handbook, Second Edition - 2 Volume Set (Electrical Engineering Handbook", CRC Press. ISBN 9780849350085
16. NASA Software Safety Standard NASA STD 8719.13A
17. NASA-GB-1740.13-96, NASA Guidebook for Safety Critical Software.
18. S. Nelson, Certification Processes for Safety-Critical and Mission-Critical Aerospace Software, June 2003, NASA/CR–2003-212806 http://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/20040014965_2004000657.pdf （页面存档备份，存于互联网档案馆）
19. E. Pofahl, "The application of IEC 61508 in the automotive industry", Ford Motor Company
20. “Development Guidelines for Vehicle Based Software”, MISRA, 1994 ( http://www.misra.org.uk/ （页面存档备份，存于互联网档案馆） )

外部链接

• 中国功能安全中心（页面存档备份，存于互联网档案馆）
• IEC Functional safety zone
• Functional Safety and IEC 61508: A basic guide
• Safety Users Group - Functional Safety-Information Resources
• Certified Functional Safety Expert (CFSE)（页面存档备份，存于互联网档案馆） - Organization providing certification for Functional Safety professionals
• Inside Functional Safety - Technical magazine focusing on functional safety
• 61508.org The 61508 Association（页面存档备份，存于互联网档案馆）
• Functional Safety and IEC 61508（页面存档备份，存于互联网档案馆） TÜV NORD SysTec GmbH