安全系统分析理论及方法IEC简介姓名王文博所在学院电子信息工程学院专业班级控制工程1314 学号13125108指导教师周达天一、IEC协会简介国际电工委员会（IEC）成立于1906年，至2013年已有107年的历史。

它是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中的国际标准化工作。

1.1IEC协会的产生1887-1900年召开的6次国际电工会议上，与会专家一致认为有必要建立一个永久性的国际电工标准化机构，以解决用电安全和电工产品标准化问题。

1904年在美国圣路易召开的国际电工会议上通过了关于建立永久性机构的决议。

1906年6月，13个国家的代表集会伦敦，起草了IEC章程和议事规则，正式成立了国际电工委员会。

1947年作为一个电工部门并入国际标准化组织（ISO），1976年又从ISO中分立出来。

目前有超过130个国家参与国际电工委员会，其中67个国家是成员，另外69个国家则是非正式成员的身份加入其分支机构。

国际电工委员会的总部最初位于伦敦，1948年搬到了位于瑞士日内瓦的现总部处。

我国1957年参加IEC，1988年起改为以国家技术监督局的名义参加IEC的工作，现在是以中国国家标准化管理委员会的名义参加IEC的工作。

中国是IEC的95个技术委员会和80个分委员会的P成员。

目前，我国是IEC理事局、执委会和合格评定局的成员。

1.2 IEC协会的宗旨IEC的宗旨是，促进电气、电子工程领域中标准化及有关问题的国际合作，增进国际间的相互了解。

为实现这一目的，IEC出版包括国际标准在内的各种出版物，并希望各成员在本国条件允许的情况下，在本国的标准化工作中使用这些标准。

近20年来，IEC的工作领域和组织规模均有了相当大的发展。

今天IEC成员国已从1960年的35个增加到60个。

他们拥有世界人口的80%，消耗的电能占全球消耗量的95%。

目前IEC的工作领域已由单纯研究电气设备、电机的名词术语和功率等问题扩展到电子、电力、微电子及其应用、通讯、视听、机器人、信息技术、新型医疗器械和核仪表等电工技术的各个方面。

IEC标准已涉及了世界市场中的35%的产品，到本世纪末，这个数字可达50%。

1.3 IEC协会标准IEC标准的权威性是世界公认的。

IEC每年要在世界各地召开一百多次国际标准会议，世界各国的近10万名专家在参与IEC的标准制订、修订工作。

IEC现在有技术委员会(TC)89个；分技术委员会(SC)107个。

IEC标准在迅速增加，1963年只有120个标准，截止到2000年12月底，IEC已制定了4885个国际标准。

二、IEC61508标准IEC 61508是一项用于工业领域的国际标准，其名称是《电气/电子/可编程电子安全相关系统的功能安全》（Functional Safety of Electrical/Electronic/Programmable ElectronicSafety-related Systems (E/E/PE, or E/E/PES）。

2000年5月，国际电工委员会正式发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，与之对应的我国国家标准正在制定中。

该标准分七部分，涉及1000多个规范。

由电气和电子部件构成的系统，多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的，但也越来越多地用于安全目的。

当前计算机、集成电路等技术的发展已经渗透到所有工业领域，计算能力的极大增加彻底改变了工厂和工业过程的控制，也改变了安全控制策略。

对于包含有电子、电气设备，计算机软、硬件的系统，要用于关系到人身财产安全的领域中时，进行规范的安全指导是十分必要的。

2.1 IEC61508的组成IEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。

目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案，统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

IEC61508的七个部分内容分别为:第1部分:一般要求，描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

第2部分是对电气/电子/可编程电子安全系统的要求，包括对设备和系统的要求，它的很多内容与第7部分的鉴别方法的应用有关，这些方法解决了随机或系统失效问题。

第3部分是对软件的要求，描述避免失效的方法，与第7部分的附录相关。

第4部分是定义和缩略语。

第5部分给出一些确定安全完整性水平的方法示例。

第6部分包括第2和第3部分的应用指南。

第7部分给出测试方法，简短的注释并提供部分参考书目。

2.2 IEC61508中的基本定义1.安全功能(safety function)针对规定的危险事件，为达到或保持受控设备(EUC)的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

2.安全完整性(Safety integrity)在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。

这一定义着重于安全系统执行安全功能的可靠性。

在确定安全完整性过程中，应包括所有导致非安全状态的因素，如随机的硬件失效，软件导致的失效以及由电气干扰引起的失效，这些失效的类型，尤其是硬件失效可用测量方法来定量，如在危险模式中的失效和系统失效率，或按规定操作的安全防护系统失效的概率。

但是，系统的安全完整性还取决于许多因素，这些因素无法精确定量，仅可定性考虑。

3.E/E/PE系统基于电气/电子和可编程电子装置的用于控制、防护或监视的系统，包括系统中所有的元素如电源、传感器、所有其他输入输出装置及所有通信手段。

4.EUC(Equipment Under Control)受控设备，指用于制造、运输、医疗或其他领域的设备、机器、装置或装备。

5.可接受凤险(ACCeptable risk)风险指的是出现伤害的概率及该伤害严重性的组合。

可接受风险指根据当今社会的水准所能够接受的风险。

6.安全(Safety)不存在不可接受的风险。

7.安全系统(Safely-elated-syStem)是用于两个目的:一是执行要求的安全功能以达到或保持EUC的安全状态;二是自身或与其他E/E/PES安全系统、其他技术安全系统或外部风险降低设施一道，对于要求的安全功能达到必要的安全完整性。

安全系统是在接受命令后采取适当的动作以防止EUC进入危险状态。

安全系统的失效应被包括在导致确定的危险事件中。

尽管可能有其他系统具备安全功能，但仅是指用其自身能力达到要求的允许风险的安全系统。

安全系统可大致分为安全控制系统和安全防护系统。

安全系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC的接口，既可用在EUC控制系统中执行安全功能的方式达到要求的安全完整性水平，也可用分离的/独立的专门用于安全的系统执行安全功能。

2.3 IEC61508的基本概念IEC61508标准规定随机失效的后果必须定量评估，使用随机存取测量系统(RAMS)方法计算有效性。

量化与故障相关的系统失效是没有用的，应当通过组织指导来避免系统失效，或通过技术措施来控制。

1.风险和安全完整性慨念2.功能安全保证的内容功能安全保证主要包括两部分内容:失效识别和安全完整性水平。

(1)失效识别。

失效就是功能单元失去实现其功能的能力。

一些功能是根据所达到的行为进行规定的，在执行功能时，某些特定的行为是不允许的，这些行为的出现就是失效。

失效可能是随机失效，这种失效通常由于硬件装置的耗损所致。

也可能是系统失效，这在硬件和软件中都可能出现。

失效识别就是要分辨出不同部件的各种失效原因，估算出系统失效概率。

(2)安全完整性水平(SIL) (safety integrity level)。

一种离散的水平，用于规定分配给E/E/PE安全系统的安全功能的安全完整性要求，安全系统的安全完整性水平越高，安全系统实现所要求的安全功能失败的可能性就越低。

IEC61508中规定系统有4种安全完整性水平，SIL4是最高的，安全完整性水平1是最低的。

三、伤害及风险分析IEC 61508要求需实施危害分析及风险分析(工程)：“针对每一个被确认的危害事件，需计算或估计EUC（受控设备）的风险”。

此标准建议“可以实施量化或非量化的危害及风险分析技术”，并在标准中提出了许多的分析方式。

以下是一种量化危害分析的方式，将事件机率区分为6类，事件影响区分为4类。

表1 出现几率的分类表2 事件影响的分类可将上述的机率及影响组合成以下的风险矩阵表3 风险矩阵其中I类：在任何情形下都无法接受。

II类：不希望出现，只有在实务上无法降低风险，或是降低风险成本远高于改善所获得的效益时才可以接受。

III类：若降低风险的成本高于改善所获得的效益，可接受这类事件发生。

IV类：可接受这类事件发生，但需加以监控。

四、安全完整性等级安全完整性等级主要是依以下三个要素的评估情形，较高的安全完整性等级需要在这三个部份有更好的相容性：4.1 提升可靠度对于连续运转的系统（连续模式）及一年运转超过一次的系统（高需求），需评怙其容许的失效频率。

对于间歇性运转的系统（一年运转不到一次/低需求），失效机率定义为系统无法回应需求动作的机率。

表4 提升可靠度4.2 失效而安全安全故障失效比率（safe failure fraction,简称SFF）的计算可确认系统失效安全的程度。

安全故障失效比率比较安全失效及危险失效的比例，但安全故障失效比率本身不足于宣告安全完整性等级，在IEC 61508标准中有定义各等级的安全完整性等级需要的安全故障失效比率。

4.3 管理、系统技术、验证及确认管理及系统技术确保可以避免在生命周期中任一部份出现的错误。

即使是可靠度最高的保护方式，也可能被从初期概念、风险分析、规格、设计、安装、维护一直到丢弃过程中导入的错误所破坏。

IEC61508列出在生命周期的各阶段需要应用的相关技术。

五、参考文献：[1] 陈骏为. E/E/PE安全功能产品标准－IEC 61508. 电子工程专辑. EE Times Group. [2012-05-30].[2] Felix Redmill. An Introduction to the Safety Standard IEC 61508. Redmill Consultancy. [2012-06-04].[3] Motor Industry Software Reliability Association.[4] 工厂自动化领域SIL认证标准. 电子质量周刊. 2011.11, (19) [2012-05-30].。