浅析IEC 61508：2010新版变化

王俊丁兰蓉王爱华

（1. 中石化上海工程有限公司，上海 200120；2. 国家电网山东省乐陵市供电公司，山东乐陵 253600）

浅析IEC 61508：2010新版变化

王俊1丁兰蓉1王爱华2

（1. 中石化上海工程有限公司，上海 200120；2. 国家电网山东省乐陵市供电公司，山东乐陵 253600）

通过IEC 61508：2010版和1998版的比较，分析了新旧两版之间的变化。主要对功能安全管理、硬件和软件的功能安全、基本硬件失效概率评估、检验测试覆盖率（PTC）对平均失效概率（PFD）的影响、静态和动态建模方法等方面进行了比较和阐述。

功能安全管理；安全完整性等级；平均停机时间；每小时平均失效概率；检验测试覆盖率；布尔方法；状态/转移模型

EC 61508自1998年发布以来，广泛地应用于石油化工、制药、机械制造、矿业、航空航天等行业。它针对由电气 / 电子 / 可编程电子部件构成的、起安全作用的电气 / 电子 / 可编程电子系统（E / E / PE）的整体安全生命周期，建立了一个基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统（如传感器、通信系统、控制装置、执行器等）中元件与安全系统组合的问题。随着电子电气技术、可靠性和安全功能评估方法的发展，功能安全技术迅速提高，IEC于2010年发布了新版功能安全标准IEC 61508：2010。新版在对功能安全管理要求、软件和硬件的安全完整性等级、功能安全的安全完整性等级建模技术等诸多方面进行了改进和深化。

1 概念方面的变化

1.1 IEC 61508-1的第1.5节图1整体框架的技术要求的第1部分，在编制总的安全要求之后，仅有与E / E / PE安全相关系统的安全要求的分配步骤，新版本中在分配步骤后增加了E / E / PE安全相关系统的系统安全要求定义的步骤。（如图1斜体字部分所示）。

1.2 新版本对IEC 61508-1的第6.2章节功能安全管理的要求进行了调整，提供了更容易理解的标准要求，包括：

图1 IEC 61508 整体框架的技术要求部分Fig.1 Overall framework of the IEC 61508 series for technical requirement part

（1）新增了对E / E / PE安全相关系统或对整体的E / E / PE系统、软件的安全生命周期的一个或几个阶段负责的组织，有必要明确对标准中一项或多项条款负有责任的人员。

（2）新增了应对从事安全相关系统的功能安全的所有人员、部门和机构进行辨别。

（3）新增了所有从事安全相关系统的功能安全的人员都应具备的对于他们工作的胜任能力。

第（2）和（3）项与旧版相比，强调“所有”。

1.3 IEC 61508-2新版本第7.4.2.2 c章节，系统安全完整性的要求可通过以下三种途径中任何一种达到：

途径（1）符合避免系统故障和故障控制的要求；

途径（2）符合设备有“经使用证实”的证据要求；

途径（3）只针对已经存在的软件要素再次被利用执行安全功能时，软件要素要提供安全手册，手册中具备对软件要素的十分精确和完整的描述，使根据已经存在的软件要素评估某个定义的安全功能的完整性成为可能。

而2000版中仅包含第（1）、（2）种途径。

1.4 硬件最高的安全完整性等级受硬件安全完整性约束的限制，2000版标准中只给出了达到硬件的完整性约束的第（1）种途径。而IEC 61508-2：2010新版本第7.4.4章节给出了硬件安全完整性约束可以通过以下两种途径获得：

基于硬件故障裕度和安全失效分数概念的途径。

基于从最终用户反馈来的元器件可靠性数据，提高了指定安全完整性等级的置信度水平和硬件故障裕度。

1.5 IEC 61508-2：2010新版本附录D，新增符合项的安全指南：

对于声明自己的产品符合标准的供应商或产品制造商提出了新的要求。符合项安全指南通过对所有与符合项相关的信息建立文档，使符合项能够按照标准要求集成到安全相关系统或子系统、组件中。安全指南规定了符合项的功能，并明确描述功能和输入 / 输出接口。

1.6 IEC 61508-3新版本对软件要求的变化主要在于以下几个方面：

（1）引入了生命周期每一个阶段输出的期望的概念，例如：完整性、正确性和可预见性。

（2）规定了对于软件研发工具选择和评定的扩展要求。

（3）允许非原创应用于安全的软件要素重新用于安全相关应用，但标准规定应提供在其他应用中成功运用的证据。

（4）修订了附录A和B中的技术措施，去掉了陈旧的或极少用到的技术，引入了当今正在使用的方法和措施。例如：在附录A.1软件安全要求规范方面，新增了在系统安全要求和软件安全要求之间具有向前的可追溯性，在安全要求和认识到的安全需求之间具有向后的可追溯性；在附录A.2软件设计和开发：软件结构设计方面，新增了在软件安全要求规范和软件架构之间具有前后的可追溯性；多样化的监控技术；多样化的功能冗余；模块化的方法；使用可信的或经验证的软件要素；自动的软件生成；监测最长的循环时间；时间触发框架；事件触发，监测最长响应时间；静态资源分配；有权使用共享资源的静态同步等等新的方法和措施。在附录A.5软件设计和开发：支持工具和编程语言方面删除了使用可信的和经验证的软件模块和组件库；在附录B.2功能和黑盒测试方面，删除了边界值分析。

2 基本硬件失效概率评估

IEC 61508-6：2010新版本附录B2中描述的硬件失效概率评估方法较2000版本更为全面科学。IEC 61508-6：2000版本仅分析了在假设系统部件的失效概率在系统生命周期中是恒定值的情况下的通过可靠性框图方法计算。而IEC 61508-6：2010版本新增了基本的硬件失效概率评估计算，该方法的系统部件的失效概率在系统生命周期中是随时间变化的变量，而非恒定值。以下为新版本中的可靠性框图以及低要求和高要求操作模式下的基本硬件失效概率评估计算。

图2 一个完整安全回路的可靠性框图Fig.2 Reliability block diagram of a whole safety loop

图2 中的可靠性框图（IEC 61508-6 2010 附录B2）表示由3个传感器（A、B、C）、1个逻辑控制器（D）、2个最终元件（E、F）和共因失效（CCF）组成的一个完整的安全回路。

2.1 低要求操作模式

低要求操作模式下，E / E / PE安全相关系统的平均失效概率PFDavg可以简化为MDT（T） / T的比例，其中MDT（T）是指E / E / PE安全相关系统在周期[0， T]的平均停机时间。

通常，安全相关系统的故障失效概率非常低，在同一时间有两个最小割集的可能性非常小（最小割集是指引起顶上事件发生的基本事件的最低限度的集合），可以忽略不计。所以，每个割集的平均停机时间之和约等于整个系统的平均停机时间的保守估计值。从图2中，得到：

上式左右两端除以T，得到：

对于串联结构，在失效概率远小于1情况下，以上PFDavg的计算值接近于真实PFD值。

但对于并联结构，如图2中，E和F多个并联的部件失效引起的安全功能失效，就不能直接计算MDTE和MDTF，而（E，F）子系统的MDT 计算如下：

所以，对于并联结构，常规地加和乘并联部件的PFD值的方法来计算PFDavg已经不再有效。

2.2 连续或高要求操作模式（一般的PFH公式）

当E / E / PE安全相关系统用于连续或高要求操作模式，要求计算每小时平均失效概率PFH，其等于无条件失效频率w（t）在周期[0，T]的单位平均值。

如果E / E / PE安全相关系统工作于连续模式而且是最终的安全屏障，那么整体安全相关系统的失效会导致潜在的危险状况。因此对于会导致丧失整体安全功能的失效，计算时，不能考虑对整体安全相关系统的维修。但如果整体安全相关系统的失效是由其他安全保护屏障或设备失效引起的，而不会直接导致潜在的危险，那么在其风险降低计算中可以考虑安全相关系统的检测和维修。

3 低要求操作模式平均失效概率计算的变化

安全相关系统的安全功能在低要求时的平均失效概率，IEC 61508-6：2010新版中引入平均修理时间MRT，不同于2000版中使用的平均恢复时间MTTR。例如，假定平均恢复时间MTTR为8 h，这其中包含一般小于1 h的诊断测试间隔，剩下的为平均修理时间MRT。除了引入MRT，低要求时，1OO1、1OO2、2OO2、2OO3表决结构的平均失效概率计算没有其他改变。IEC 61508-6 2010版和2000版公式比较如下表所示。

表1 IEC 61508-6 2010版和2000版公式比较Tab.1 Formula comparison for different architecture between IEC 61508-6 2000 and 2010 version

对于1OO2D表决结构的平均失效概率的计算经修改，变为：

式中 β—— 具有共同原因的、没有被检测到的失效分数；

βD—— 具有共同原因的、已被检测到的失效分数；

λDU—— 未检测到的子系统中通道每小时的危险失效率；

λDD—— 检测到的子系统中通道每小时的危险失效率；

λSD—— 子系统中被检测到的通道每小时的安全失效率；

tCE′—— 1OO2D结构中通道的等效平均停止工作时间（h）；

tGE′—— 1OO2D结构中表决组的等效平均停止工作时间（h）；

T1——检验测试时间间隔（h）；

MRT——平均修理时间；

K——在1OO2D系统自动测试电路的成功率。通道的比较 / 切换机制可能不是100%有效，因此，K表示通道之间比较 / 切换机制的效率。

此外，低要求操作模式时，新增1OO3表决结构的平均失效概率的计算。此结构由三个并联的通道构成，无论哪个通道都能处理安全功能。假设任何诊断测试仅报告发现故障，但并不改变任何输出状态或输出表决。此结构在要求时的平均失效概率为：

式中 tCE—— 1OO3结构中单个通道在失效状态的等效平均停止工作时间（h）；

tGE—— 1OO3结构中2个通道同时在失效状态的等效平均停止工作时间（h）；

tG2E—— 1OO3结构中3个通道同时在失效状态的等效平均停止工作时间（h）；

MTTR——平均恢复时间（h） 。

其他参数β、βD、λDU、λDD和T1的含义与式（5）中相同。

4 检验测试覆盖率PTC对平均失效概率PFD的影响

在安全系统中的故障，既没有被诊断测试又没有被检验测试检测到，可能通过其他方式发现，比如从发生的要求操作安全功能的危险事件中，或在设备检修时被发现。如果故障没有被这种方式发现，则应该假设该故障仍保留在设备生命周期中。假定检验测试时间间隔为T1，当执行检验测试时检测到的故障分数指定为检验测试覆盖率PTC，而当执行检验测试时未检测到的故障分数指定为（1-PTC）。只有在要求的时间间隔T2对安全相关系统实施要求时，这些后来的检验测试未检测到的故障才会显示出来。因此，检验测试时间间隔T1和要求的时间间隔T2，决定了有效的停止工作时间。

以下是1OO2结构，考虑T1和T2的影响，计算出平均失效概率PFD如下：

式中 PTC——检验测试覆盖率；

tCE—— 1OO2结构中通道的等效平均停止工作时间（h）；

tGE—— 1OO2结构中表决组的等效平均停止工作时间（h）；

T2——要求之间的时间间隔（h）；

MTTR——平均恢复时间（h） 。

其他参数β、βD、λDU、λDD和T1的含义与式（5）中相同。

IEC 61508-6 B3.2.5节新版与旧版的区别在于明确了T1和T2决定安全相关系统有效的停止工作时间，而不是由安全相关系统预计的要求率，使概念更加清晰，同时以上公式中均引入了检验测试覆盖率（PTC），使计算的平均失效概率更加精确。

5 建模方法的变化

IEC 61508：2010新版中介绍了静态的和动态的建模方法。

5.1 静态建模方法

静态的建模方法即布尔方法。它是将单个元器件失效与整体系统失效相连接的逻辑功能进行表达的技术。可靠性领域的布尔模型主要是可靠性框图（RBD）和故障树（FT）。

可靠性框图是系统单元及其可靠性意义下连接关系的图形表达，表示单元的正常或失效状态对系统状态的影响。可靠性方块图的结构定义了系统中各故障的逻辑交互作用，而不一定要定义各故障的的逻辑连接和物理连接。每个方块可以代表一个组件故障、子系统故障或其它具有代表性的故障。该方块图可以代表整个系统，也可以代表该系统中要求进行故障分析、可靠性分析或可用性分析的任何子集或组合。它还可用作分析工具，显示系统中每个元件是如何工作的，以及每个元件是如何影响整体系统运行的。

故障树是可靠性和安全分析的另外一种技术，它是一种系统化的演绎方法，它以系统不希望发生的一个事件（顶事件）作为分析的目标。第一步去寻找引起顶事件的直接原因（中间事件）；第二步再分别找上述每个直接原因的所有直接原因，依次进行，直至最基础的直接原因（底事件）。用一定的符号建树，表达上面的关系，用以找出系统内可能存在的元件失效、环境影响、软件缺陷和人为失误等各种因素（底事件）和系统失效（顶事件）之间的逻辑关系。

5.2 动态建模方法

由于布尔模型的一些缺陷（与时间无关），对于一些随时间变化状态情况复杂的系统，可以采用其他动态的概率模型。动态（状态 / 转移）模型包含了根据发生的事件（失效、维修和测试等）来描述系统状态间跳转的所有模型。一般情况下该方法主要须经历如下两个步骤：

（1）识别待研究系统的所有状态；

（2）分析系统从一个状态跳转到另一个状态的过程。

一般的过程是根据系统发生的各种事件（失效、维修或测试等）建立一个自动的行为状态模型。对于安全控制系统来说，一般仅有几个离散的状态。这种动态模型可以采用图形化、特定形式的语言或通用编程语言来表达。一般采用如下两种模型：马尔可夫模型和佩特里网模型（利用蒙特卡洛仿真处理）。

利用状态转移模型进行仿真的优点是：能够处理较为复杂的系统，且能应付各种维修策略和描述随时间推移的过程，计算精度高；缺点是：建模过程复杂，形成的图形化模型不够直观清晰。

6 总结

随着功能安全技术的深入研究，功能安全标准将逐步完善。我国的功能安全标准也将吸取国内外的经验成果和发展趋势，及时调整以适应飞速发展的技术要求。本文浅析IEC 61508：2010版和1998版的比较，介绍了新旧两版在功能安全管理、硬件和软件的功能安全、基本硬件失效概率评估、检验测试覆盖率PTC对平均失效概率PFD的影响、静态和动态建模方法等方面的变化。IEC 61508是安全相关系统的功能安全的通用标准，石油化工、制药、机械制造等各个领域的安全相关系统都必须遵循此标准。因此，对IEC 61508：2010版的学习和应用十分重要。

[1]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第1部分：一般要求2006版[S].

[2]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第2部分：电气 / 电子 / 可编程电子安全相关系统的要求 2006版[S].

[3]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第3部分：软件要求2006版[S].

[4]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第4部分：定义和缩略语 2006版[S].

[5]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第5部分：确定安全完整性等级的方法示例 2006版[S].

[6]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第6部分：GB / T 20438.2和GB / T 20438.3的应用指南 2006版[S].

[7]GB / T 20438电气 / 电子 / 可编程电子安全相关系统的功能安全第7部分：技术和措施概述 2006版[S].

[8]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part1—7 Edition2.0 2010-04.

[9]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part1： General requirements Edition1 1998-12.

[10]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part2： Requirements for elec trical / electronic / programmable electronic safety-related systems Edition1 2000-05.

[11]IEC61508 Functional safety of electrical / electronic / programmabl e electronic safety-related Systems-Part3： Software requirements Edition1 1998-12.

[12]IEC61508 Functional safety of electrical / electronic / programm able electronic safety-related Systems-Part4： Definitions and abbreviations Edition1 1998-12.

[13]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part5： Examples of methods for the determination of safety integrity levels Edition1 1998-12.

[14]IEC61508 Functional safety of electrical / electronic / programm able electronic safety-related Systems-Part6： Guidelines on the application of IEC 61508-2 and IEC 61508-3 Edition1 2000-04.

[15]IEC61508 Functional safety of electrical / electronic / program mable electronic safety-related Systems-Part7： Overview of techniques and measures Edition1 2000-03.

Brief Analysis of Changes in IEC 61508:2010

Wang Jun, Ding Lanrong, Wang Aihua
（1. SINOPEC Shanghai Engineering Co., Ltd, Shanghai 200120; 2. National Electrical Network, Leling Municipal Power Supply Co., Leling 253600）

With the comparison of 2010 version and 1998 version of IEC 61508, the changes in new version were analyzed in this article. Main contents in IEC 61508:2010 were described, including function safety management, assessment of basic hardware failure probability, inf l uence of PTC to PFD and methods of static and dynamic modeling.

function safety management; safety integrity level; MDT; PFH; PTC; Boolean model; state/transition model

TQ 056

A

2095-817X（2017）01-0058-006 I

2016-03-10

国家科技支撑计划课题（2015BAF22B02）。

王俊（1975—），女，高级工程师，主要从事石油化工过程控制及仪表设计工作。