IEC 61508 - IEC 61508
IEC 61508 является Международный стандарт опубликовано Международная электротехническая комиссия состоящий из методов применения, проектирования, развертывания и обслуживания автоматических систем защиты, называемых системами безопасности. Это называется Функциональная безопасность электрических / электронных / программируемых электронных систем, связанных с безопасностью (E / E / PE, или же E / E / PES).
IEC 61508 - это базовый стандарт функциональной безопасности, применимый во всех отраслях промышленности. Он определяет функциональную безопасность как: «часть общей безопасности, относящейся к EUC (Equipment Under Control) и системе управления EUC, которая зависит от правильного функционирования E / E / PE систем, связанных с безопасностью, других технологических систем, связанных с безопасностью. и внешние средства снижения рисков ». Фундаментальная концепция заключается в том, что любая система, связанная с безопасностью, должна работать правильно или отказываться предсказуемым (безопасным) образом.
В стандарте есть два основных принципа:
- Инженерный процесс, называемый жизненный цикл безопасности определяется на основе передового опыта с целью обнаружения и устранения ошибок и упущений в конструкции.
- Вероятностный подход к отказу для учета влияния отказов устройств на безопасность.
Жизненный цикл безопасности состоит из 16 фаз, которые можно условно разделить на три группы:
- Фазы 1–5 адресного анализа
- Фазы 6–13 адресуют реализацию
- Фазы 14–16 адресной работы.
Все этапы связаны с функцией безопасности системы.
Стандарт состоит из семи частей:
- Части 1–3 содержат требования стандарта (нормативного).
- Часть 4 содержит определения
- Части 5–7 представляют собой руководящие принципы и примеры для разработки и, следовательно, информативны.
Центральное место в стандарте занимают концепции вероятностного риска для каждой функции безопасности. Риск является функцией частоты (или вероятности) опасного события и серьезности последствий события. Риск снижается до допустимого уровня за счет применения функций безопасности, которые могут состоять из E / E / PES, связанных механических устройств или других технологий. Многие требования применяются ко всем технологиям, но особое внимание уделяется программируемой электронике, особенно в Части 3.
IEC 61508 имеет следующие взгляды на риски:
- Нулевого риска никогда нельзя достичь, можно уменьшить только вероятность
- Необходимо снизить недопустимые риски (ALARP )
- Оптимальная и рентабельная безопасность достигается, когда учитывается на протяжении всего жизненного цикла безопасности.
Конкретные методы позволяют избежать ошибок и ошибок на протяжении всего жизненного цикла. Ошибки, возникшие где угодно, от первоначальной концепции, анализа рисков, спецификации, проектирования, установки, обслуживания и до утилизации, могут подорвать даже самую надежную защиту. IEC 61508 определяет методы, которые следует использовать на каждой фазе жизненного цикла.
Анализ опасностей и рисков
Стандарт требует, чтобы оценка опасностей и рисков проводилась для заказных систем: «Риск EUC (оборудования под контролем) должен оцениваться или оцениваться для каждого установленного опасного события».
Стандарт сообщает, что «могут использоваться как качественные, так и количественные методы анализа опасностей и рисков» и предлагает руководство по ряду подходов. Одна из них, для качественного анализа опасностей, представляет собой структуру, основанную на 6 категориях вероятности возникновения и 4 категориях последствий.
Категории вероятности возникновения
Категория | Определение | Диапазон (отказов в год) |
---|---|---|
Частый | Много раз в жизни | > 10−3 |
Вероятно | Несколько раз в жизни | 10−3 до 10−4 |
Случайный | Один раз в жизни | 10−4 до 10−5 |
Удаленный | Маловероятно при жизни | 10−5 до 10−6 |
Невероятно | Очень маловероятно | 10−6 до 10−7 |
Невероятный | Не могу поверить, что это могло произойти | < 10−7 |
Категории последствий
Категория | Определение |
---|---|
Катастрофический | Множественная потеря жизни |
Критический | Потеря одной жизни |
Маргинальный | Серьезные травмы одного или нескольких человек |
Незначительный | В худшем случае - легкие травмы |
Обычно они объединяются в матрицу классов риска.
Последствие | ||||
Вероятность | Катастрофический | Критический | Маргинальный | Незначительный |
Частый | я | я | я | II |
Вероятно | я | я | II | III |
Случайный | я | II | III | III |
Удаленный | II | III | III | IV |
Невероятно | III | III | IV | IV |
Невероятный | IV | IV | IV | IV |
Где:
- Класс I: неприемлемо ни при каких обстоятельствах;
- Класс II: нежелательный: допустим только в том случае, если снижение риска неосуществимо или если затраты в значительной степени несоразмерны полученному улучшению;
- Класс III: Допустимо, если стоимость снижения риска превышает затраты на улучшение;
- Класс IV: Приемлемо в существующем виде, хотя может потребоваться наблюдение.
Уровень полноты безопасности
В уровень полноты безопасности (SIL) определяет цель для каждой функции безопасности. Усилия по оценке риска позволяют получить целевой SIL для каждой функции безопасности. Для любой данной конструкции достигнутый уровень SIL оценивается по трем параметрам:
1. Системный потенциал (SC), который является мерой качества дизайна. Каждое устройство в конструкции имеет рейтинг SC. SIL функции безопасности ограничен наименьшим значением SC для используемых устройств. Требования к SC представлены в серии таблиц в Части 2 и Части 3. Требования включают соответствующий контроль качества, процессы управления, методы валидации и верификации, анализ отказов и т. Д., Чтобы можно было разумно обосновать, что конечная система достигает требуемого SIL. .
2. Архитектурные ограничения, которые представляют собой минимальные уровни резервирования безопасности, представленные двумя альтернативными методами - Маршрут 1h и Маршрут 2h.
3. Анализ вероятности опасного отказа[1]
Вероятностный анализ
Метрика вероятности, использованная на шаге 3 выше, зависит от того, будет ли функциональный компонент подвергаться воздействию высоко или же низкий требовать:
- высокий спрос определяется как более чем один раз в год, а низкий спрос определяется как меньший или равный одному разу в год (IEC-61508-4).
- Для функций, которые работают непрерывно (непрерывный режим) или функций, которые работают часто (режим высокой нагрузки), SIL определяет допустимую частоту опасных отказов.
- Для функций, которые работают с перебоями (режим низкого спроса), SIL определяет допустимую вероятность того, что функция не сработает по запросу.
Обратите внимание на разницу между функцией и системой. Система, реализующая эту функцию, может работать часто (например, ЭБУ для развертывания подушки безопасности), но функция (например, развертывание подушки безопасности) может быть востребована периодически.
SIL | Режим низкого спроса: средняя вероятность отказа по запросу | Высокий спрос или непрерывный режим: вероятность опасного отказа в час |
1 | ≥ 10−2 до <10−1 | ≥ 10−6 до <10−5 |
2 | ≥ 10−3 до <10−2 | ≥ 10−7 до <10−6 |
3 | ≥ 10−4 до <10−3 | ≥ 10−8 до <10−7 (1 опасный сбой за 1140 лет) |
4 | ≥ 10−5 до <10−4 | ≥ 10−9 до <10−8 |
Сертификация IEC 61508
Сертификация - это подтверждение третьей стороной того, что продукт, процесс или система соответствуют всем требованиям программы сертификации. Эти требования перечислены в документе, который называется схемой сертификации. Программы сертификации IEC 61508 осуществляются независимыми сторонними организациями, называемыми органы по сертификации (CB). Эти ОС аккредитованы для работы в соответствии с другими международными стандартами, включая ISO / IEC 17065 и ISO / IEC 17025. Органы по сертификации аккредитованы для проведения аудита, оценки и тестирования. орган по аккредитации (AB). Часто в каждой стране есть один национальный AB. Эти AB действуют в соответствии с требованиями ISO / IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации органов по оценке соответствия. Органы по аккредитации являются членами Международного форума по аккредитации (IAF) для работы в области систем менеджмента, продуктов, услуг и аккредитации персонала или Международного сотрудничества по аккредитации лабораторий (ILAC) для аккредитации лабораторий. Соглашение о многостороннем признании (MLA) между AB обеспечит глобальное признание аккредитованных CB. Программы сертификации IEC 61508 были созданы несколькими глобальными органами по сертификации. Каждый разработал свою схему, основанную на IEC 61508 и других стандартах функциональной безопасности. В схеме перечислены стандарты, на которые даны ссылки, и указаны процедуры, описывающие их методы тестирования, политику надзорного аудита, политику общедоступной документации и другие конкретные аспекты их программы. Программы сертификации IEC 61508 предлагаются во всем мире несколькими признанными органами по сертификации, включая exida, TÜV Rheinland, TÜV Sud и TÜV Nord. Большинство сертификатов производимого в настоящее время автоматического защитного оборудования (датчики, логические решающие устройства и оконечные устройства) были завершены exida и TÜV Rheinland.
Варианты для конкретной отрасли / области применения
Автомобильное программное обеспечение
ISO 26262 является адаптацией стандарта IEC 61508 для автомобильных электрических / электронных систем. Он широко используется крупными производителями автомобилей.
До выпуска ISO 26262 разработка программного обеспечения для автомобильных систем, связанных с безопасностью, в основном охватывалась рекомендациями Ассоциации по надежности программного обеспечения в автомобильной промышленности. [1] Проект MISRA был задуман для разработки руководящих принципов по созданию встроенного программного обеспечения в электронных системах дорожных транспортных средств. Набор руководящих принципов по разработке программного обеспечения для транспортных средств был опубликован в ноябре 1994 года.[2] В этом документе была представлена первая интерпретация в автомобильной промышленности принципов недавно появившегося стандарта IEC 61508.
Сегодня MISRA наиболее широко известен своими рекомендациями по использованию языков C и C ++. MISRA C стал де-факто стандартом для встроенного программирования C в большинстве отраслей, связанных с безопасностью, а также используется для повышения качества программного обеспечения, даже если безопасность не является главным соображением. MISRA также разработало руководство по использованию разработки на основе моделей.
Железнодорожное программное обеспечение
IEC 62279 предоставляет конкретную интерпретацию IEC 61508 для железнодорожных приложений. Он предназначен для разработки программного обеспечения для управления и защиты железных дорог, включая системы связи, сигнализации и обработки.
Обрабатывающие отрасли
Сектор перерабатывающей промышленности включает множество типов производственных процессов, таких как нефтеперерабатывающие заводы, нефтехимия, химия, фармацевтика, целлюлозно-бумажная промышленность и электроэнергетика. IEC 61511 представляет собой технический стандарт, устанавливающий методы проектирования систем, обеспечивающих безопасность промышленного процесса с помощью контрольно-измерительных приборов.
Атомная электростанция
IEC 61513 содержит требования и рекомендации по контрольно-измерительным приборам для систем, важных для безопасности атомных электростанций. В нем указаны общие требования к системам, которые содержат обычное аппаратное оборудование, компьютерное оборудование или комбинацию обоих типов оборудования.
Машинное оборудование
IEC 62061 является конкретной реализацией МЭК 61508. Он устанавливает требования, применимые к проектированию системного уровня для всех типов систем электрического управления, связанных с безопасностью, а также к проектированию несложных подсистем или устройств.
Программное обеспечение для тестирования
Программное обеспечение, написанное в соответствии с IEC 61508, может потребовать единичное тестирование, в зависимости от требуемого уровня SIL. Главное требование в модульном тестировании - убедиться, что программное обеспечение полностью протестировано на функциональном уровне и что все возможные ветви и пути проходят через программное обеспечение. В некоторых высших Уровень SIL приложений, требования к покрытию программного кода намного жестче и Покрытие кода MC / DC используется критерий, а не простое покрытие ветвей. Чтобы получить информацию о покрытии MC / DC (модифицированное условие / покрытие решений), понадобится инструмент модульного тестирования, который иногда называют инструментом тестирования программных модулей.
Смотрите также
- Функциональная безопасность
- Стандарты безопасности
- FMEDA
- Уровень ложного срабатывания
- Система с синхронизацией по времени (Архитектура программного обеспечения, используемая для достижения соответствия IEC 61508)
Рекомендации
- ^ Оценка безопасности и надежности систем управления. ЭТО. 2010 г. ISBN 978-1-934394-80-9.
- ^ Рекомендации по разработке программного обеспечения для транспортных средств. MISRA. 1994 г. ISBN 0952415607.
дальнейшее чтение
Учебники
- В. Гобл, "Оценка безопасности и надежности систем управления" (3-е издание) ISBN 978-1-934394-80-9, Твердый переплет, 458 стр.).
- И. ван Берден, В. Гобл, "Методы проектирования и проверки проектирования автоматизированных систем безопасности" (1-е издание ISBN 978-1-945541-43-8, 430 с.).
- M.J.M. Houtermans, «SIL и функциональная безопасность в двух словах» (Risknowlogy Best Practices, 1-е издание, электронная книга в формате PDF, ePub и iBook, 40 страниц) SIL и функциональная безопасность в двух словах - электронная книга, знакомящая с SIL и функциональной безопасностью
- М. Медофф, Р. Фаллер, «Функциональная безопасность - процесс разработки, соответствующий стандарту IEC 61508 SIL 3» (3-е издание, ISBN 978-1-934977-08-8 Твердая обложка, 371 страница, www.exida.com)
- К. О'Брайен, Л. Стюарт, Л. Бредемейер, «Заключительные элементы в автоматизированных системах безопасности - системы, соответствующие IEC 61511 и продукты, соответствующие требованиям IEC 61508» (1-е издание, 2018 г., ISBN 978-1-934977-18-7, Твердая обложка, 305 стр., Www.exida.com)
- Мюнх, Юрген; Армбраст, Уве; Сото, Мартин; Ковальчик, Мартин. «Определение и управление программным процессом», Springer, 2012 г.
- М.Панч, «Функциональная безопасность в горнодобывающей промышленности - комплексный подход с использованием AS (IEC) 61508, AS (IEC) 62061 и AS4024.1». (1-е издание, ISBN 978-0-9807660-0-4, в мягкой обложке А4, 150 страниц).
- Д. Смит, К. Симпсон, "Справочник по критически важным системам: прямое руководство по функциональной безопасности, МЭК 61508 (издание 2010 г.) и родственные стандарты, включая процессы МЭК 61511 и МЭК 62061 и ISO 13849" (3-е издание ISBN 978-0-08-096781-3, Переплет, 288 стр.).
внешняя ссылка
- IEC 61508-1: 2010 Функциональная безопасность электрических / электронных / программируемых электронных систем, связанных с безопасностью - Части 1
- «МЭК 61508» в Международная электротехническая комиссия
- Зона функциональной безопасности IEC
- 61508 Ассоциация Межотраслевая группа организаций, заинтересованных в создании надежного и экономичного метода демонстрации соответствия IEC 61508 и связанным стандартам.