HONEST

TCG/TRPG/ACGN爱好者,并非二次元
总在捣鼓莫名其妙的东西的技术宅
为了毕业和工作忧愁中
最近正在自学电吉他

IEC-61508

概述

IEC-61508《电气/电子/可编程电子安全相关系统的功能安全》(E/E/PE),是功能安全领域最基础、最核心的国际标准。IEC 61508的核心目标是保障功能安全性:防止由电气/电子/可编程电子系统的故障导致的危险事故发生,或减轻其带来的风险。

定义

IEC-61508建立在一连串的定义上,尽管他们的定义并不完全的严谨。

  • 伤害:对人体造成的物理损伤或健康损害,可以是直接的,也可以是因财产或环境遭到破坏而间接造成的。
  • 危险: 伤害的潜在来源。
  • 危险情况:人员暴露于至少一种危险之中的情形。
  • 危险事件:最终造成伤害的危险情况。
  • 风险:有害事件的可能性和事件后果严重程度的组合(乘积?有害事件的期望?)。
  • 容许风险:根据当前社会的普遍价值观,在给定的背景下能够接收的风险水平。(判断有害事件的期望是否超过容许标准的一个阈值,是随着社会认识动态变化的?)
  • 安全: 不存在不可接受的风险。(所有的有害事件的期望小于容许风险的阈值)

IEC-61508的定义并不够好,在很多关键用词和定义上十分的模糊不清。 An Overview of IEC 61508 on E/E/PE Functional Safety – Peter B. Ladkin

功能安全 安全功能 安全完整性:在规定的条件下和规定的时间内,E/E/PE安全相关系统令人满意地执行所要求的安全功能的概率。 安全完整性等级:用于规定分配给E/E/PE安全相关系统的安全功能的安全完整性要求(每小时发生危险失效的概率小于一个阈值)

受控设备 EUC EUC控制系统 EUCCS 安全相关系统 SRS

IEC 61508的基本概念包括:

  1. 一个详细的系统安全生命周期模型,从初始开发到退役。
  2. 功能安全的概念。该标准要求提供所谓的安全功能,以减轻与系统功能相关的风险,特别是在这些风险被认为过高的情况下。
  3. 关注风险降低。该标准隐含地假设不存在零风险——风险无法完全消除。安全功能应在需要的地方执行风险降低。
  4. 对(子)系统类型的四种分类。除了EUC和EUCCS(前两种子系统类型,各只有一个),可能还有安全相关系统(SRS)。此外,可能还有不属于这些的子系统。此分类可能不是排他的:EUCCS可能是也可能不是SRS。EUC不是SRS。
  5. 所需功能的安全完整性等级,或称SIL。SIL分为四个等级,从SIL 1到SIL 4,涵盖从中等严格到非常严格的完整性要求(我们稍后将看到完整性具体可能是什么)。

安全生命周期

alt text 安全关键系统的安全生命周期如上图所示。

第一个安全保障活动发生在第3阶段,即危险和风险分析,有些其他标准称之为初步危险分析。在这一点上,您从概念和范围定义中对系统的功能有了一些抽象的了解。关键系统工程师普遍认为,在这一点上开始找出所有可能导致危险性错误的方式是有意义的。不是如何出错,而是如何危险地出错。假设我们正在设计一辆汽车。那么发动机在启动时可能会熄火,我们可能不希望这样,但这并不是一种危险的故障。但是如果在高速行驶时车轮掉落,这将是一个危险的故障,刹车在施加时失效也是如此。识别所有这些类型的危险故障是第3阶段的活动。在进行初步危险分析后,您对系统可能如何危险地出错有了一些了解。在这一点上,您可以开始制定约束条件,以确保系统不会以这些已识别的方式危险地出错。车轮必须牢固地固定,以至于无法松动,或者必须及时警告驾驶员出现问题。刹车的设计必须确保在需要时能够有效地工作,或者必须提前适当地警告驾驶员。等等。这是第4阶段,这些约束条件构成了整体安全要求。根据整体安全要求,接下来可以考虑每个安全要求必须适用于系统的哪些部分。车轮不掉落的安全要求适用于车轮本身、轮毂、车轴及相关子系统。它与油箱或天窗无关。这是第5阶段,安全要求分配,即将要求分配给适用的子系统。在这一点上,系统开发的要求和需求分析部分被认为已经完成(在非常简单和抽象的所谓瀑布模型中;在螺旋模型中,这与实际实践更为吻合,在系统开发过程中将多次重新审视)。此时,系统开始进行详细设计。第6-8阶段涉及整体规划。第6阶段:系统将如何安装、操作和维护,以及在系统的安装、操作和维护过程中如何确保各种持续的安全要求?车轮螺母是否需要安装锁定销?车轮螺母的紧固程度需要多频繁检查?锁定销孔周围是否存在金属疲劳?刹车管线需要多频繁检查液体泄漏?等等。第7阶段涉及如何检查(验证)系统的安全性。您如何确保刹车管线在检查间隔之间足够坚固以抵抗破裂。您如何确保车轮螺母在检查之间不会松动。第8阶段涉及系统的安装和调试。在这里,化学加工厂的例子比考虑汽车更为合适,实际上,有些人担心IEC 61508受到过程工业的影响,而不是汽车工业的影响。第9-11阶段构成了安全设计活动的核心。我们在上面简要看到,标准通过提供安全功能来确保安全,这些功能在(子)系统中对某项不足够安全的活动做出贡献(无论这可能是什么;我们尚未讨论如何确定这一点)。被要求实施安全功能的(子)系统,或对实现所需的安全完整性等级(SIL)做出贡献的系统,称为安全相关系统(SRS)。第9和第10阶段涉及这些SRS的设计、分析和实施,这些系统分为两种类型:涉及E/E/PE组件的(第9阶段)和不涉及的(第10阶段)。IEC 61508主要关注E/E/PE组件,因此第9阶段将进一步细分,正如我们将看到的。标准承认,可能存在不涉及提供安全功能的降低风险的方法,例如在我们的汽车示例中,通过限制汽车的行驶速度,以使车轮附件不受会使其松动的力量的影响。这些方法在第11阶段进行。标准对第10和第11阶段没有进一步的说明。后续阶段,第12-16阶段在系统构建完成后进行。必须进行安装和调试(如果是加工厂;对于汽车,这可能仅意味着“从工厂发往经销商”)。这是第12阶段。然后,必须检查系统,以验证在构建和安装过程中是否已识别并适当地处理所有所需的安全属性,这是第13阶段。

需要详细的看标准,这个生命周期的每个步骤都要了解一下(可以狠狠的水内容)。抓住其中的关键步骤:9。

alt text

必要的风险降低:两个组分(危害事件的避免和降低危害的后果) alt text

单独风险和联合风险的折衷 ALARP原则(尽可能降低风险) alt text

猜您还喜欢

Haloos使用

约371字,预计1 分钟阅读