IEC 61508 - это международный стандарт, опубликованный Международной электротехнической комиссией, состоящий из методов применения, проектирования, развертывания и обслуживания автоматических систем защиты, называемых системами безопасности. Он называется « Функциональная безопасность электрических / электронных / программируемых электронных систем, связанных с безопасностью» ( E / E / PE или E / E / PES).
IEC 61508 - это базовый стандарт функциональной безопасности, применимый во всех отраслях промышленности. Он определяет функциональную безопасность как: «часть общей безопасности, относящейся к EUC (Equipment Under Control) и системе управления EUC, которая зависит от правильного функционирования E / E / PE систем, связанных с безопасностью, других технологических систем, связанных с безопасностью. и внешние средства снижения рисков ». Фундаментальная концепция заключается в том, что любая система, связанная с безопасностью, должна работать правильно или отказываться предсказуемым (безопасным) образом.
В стандарте есть два основных принципа:
Жизненный цикл безопасности состоит из 16 фаз, которые можно условно разделить на три группы:
Все фазы связаны с функцией безопасности системы.
Стандарт состоит из семи частей:
Центральное место в стандарте занимают концепции вероятностного риска для каждой функции безопасности. Риск является функцией частоты (или вероятности) опасного события и серьезности последствий события. Риск снижается до допустимого уровня за счет применения функций безопасности, которые могут состоять из E / E / PES, связанных механических устройств или других технологий. Многие требования применяются ко всем технологиям, но особое внимание уделяется программируемой электронике, особенно в Части 3.
IEC 61508 имеет следующие взгляды на риски:
Специальные методы позволяют избежать ошибок и ошибок на протяжении всего жизненного цикла. Ошибки, внесенные где угодно, от первоначальной концепции, анализа рисков, спецификации, проектирования, установки, обслуживания и до утилизации, могут подорвать даже самую надежную защиту. IEC 61508 определяет методы, которые следует использовать на каждой фазе жизненного цикла.
Стандарт требует, чтобы оценка опасностей и рисков проводилась для заказных систем: «Риск EUC (оборудования под контролем) должен оцениваться или оцениваться для каждого установленного опасного события».
Стандарт сообщает, что «могут использоваться как качественные, так и количественные методы анализа опасностей и рисков» и предлагает руководство по ряду подходов. Один из них, для качественного анализа опасностей, представляет собой структуру, основанную на 6 категориях вероятности возникновения и 4 категориях последствий.
Категории вероятности возникновения
Категория | Определение | Диапазон (отказов в год) |
---|---|---|
Частый | Много раз в жизни | gt; 10 −3 |
Вероятный | Несколько раз в жизни | От 10 −3 до 10 −4 |
Случайный | Один раз в жизни | От 10 −4 до 10 −5 |
Удаленный | Маловероятно при жизни | От 10 −5 до 10 −6 |
Невероятно | Очень маловероятно | От 10 −6 до 10 −7 |
Невероятный | Не могу поверить, что это могло произойти | lt;10 −7 |
Категории последствий
Категория | Определение |
---|---|
Катастрофический | Множественная потеря жизни |
Критический | Потеря одной жизни |
Маргинальный | Серьезные травмы одного или нескольких человек |
Незначительный | В худшем случае - легкие травмы |
Обычно они объединяются в матрицу классов риска.
Последствие | ||||
Вероятность | Катастрофический | Критический | Маргинальный | Незначительный |
Частый | я | я | я | II |
Вероятный | я | я | II | III |
Случайный | я | II | III | III |
Удаленный | II | III | III | IV |
Невероятно | III | III | IV | IV |
Невероятный | IV | IV | IV | IV |
Где:
Уровень полноты безопасности (SIL) определяет цель, которую необходимо достичь для каждой функции безопасности. Усилия по оценке риска позволяют получить целевой уровень SIL для каждой функции безопасности. Для любой данной конструкции достигнутый уровень SIL оценивается по трем параметрам:
1. Системные возможности (SC), которые являются мерой качества дизайна. Каждое устройство в конструкции имеет рейтинг SC. Уровень SIL функции безопасности ограничен наименьшим значением SC используемых устройств. Требования к SC представлены в серии таблиц в Части 2 и Части 3. Требования включают соответствующий контроль качества, процессы управления, методы валидации и верификации, анализ отказов и т. Д., Чтобы можно было разумно обосновать, что конечная система достигает требуемого SIL..
2. Архитектурные ограничения, которые представляют собой минимальные уровни резервирования безопасности, представленные двумя альтернативными методами - Маршрут 1h и Маршрут 2h.
3. Анализ вероятности опасного отказа
Показатель вероятности, используемый на шаге 3 выше, зависит от того, будет ли функциональный компонент подвергаться высокому или низкому спросу:
Обратите внимание на разницу между функцией и системой. Система, реализующая эту функцию, может работать часто (например, ЭБУ для развертывания подушки безопасности), но функция (например, развертывание подушки безопасности) может быть востребована периодически.
SIL | Режим низкого спроса: средняя вероятность отказа по запросу | Высокий спрос или непрерывный режим: вероятность опасного отказа в час |
1 | От ≥ 10 -2 до lt;10 -1 | От ≥ 10 −6 до lt;10 −5 |
2 | От ≥ 10 −3 до lt;10 −2 | От ≥ 10 −7 до lt;10 −6 |
3 | От ≥ 10 −4 до lt;10 −3 | От ≥ 10 −8 до lt;10 −7 (1 опасный отказ за 1140 лет) |
4 | От ≥ 10 −5 до lt;10 −4 | От ≥ 10 −9 до lt;10 −8 |
Сертификация - это подтверждение третьей стороной того, что продукт, процесс или система соответствуют всем требованиям программы сертификации. Эти требования перечислены в документе, который называется схемой сертификации. Программы сертификации IEC 61508 реализуются независимыми сторонними организациями, называемыми органами сертификации (CB). Эти ОС аккредитованы для работы в соответствии с другими международными стандартами, включая ISO / IEC 17065 и ISO / IEC 17025. Органы по сертификации аккредитованы для проведения аудита, оценки и тестирования органом по аккредитации (AB). Часто в каждой стране есть один национальный AB. Эти AB действуют в соответствии с требованиями ISO / IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации органов по оценке соответствия. Органы по аккредитации являются членами Международного форума по аккредитации (IAF) для работы в области систем менеджмента, продуктов, услуг и аккредитации персонала или Международного сотрудничества по аккредитации лабораторий (ILAC) для аккредитации лабораторий. Соглашение о многостороннем признании (MLA) между AB обеспечит глобальное признание аккредитованных CB. Программы сертификации IEC 61508 были созданы несколькими глобальными органами по сертификации. Каждый определил свою схему, основанную на IEC 61508 и других стандартах функциональной безопасности. В схеме перечислены стандарты, на которые даны ссылки, и указаны процедуры, описывающие их методы тестирования, политику надзорного аудита, политику общедоступной документации и другие конкретные аспекты их программы. Программы сертификации IEC 61508 предлагаются во всем мире несколькими признанными CB, включая Intertek, SGS-TÜV Saar, TÜV Nord, TÜV Rheinland, TÜV SÜD и UL.
ISO 26262 - это адаптация стандарта IEC 61508 для автомобильных электрических / электронных систем. Он широко применяется крупными производителями автомобилей.
До выпуска ISO 26262 разработка программного обеспечения для автомобильных систем, связанных с безопасностью, в основном охватывалась рекомендациями Ассоциации надежности программного обеспечения для автомобильной промышленности (MISRA). Проект MISRA был задуман для разработки руководящих принципов по созданию встроенного программного обеспечения в электронных системах дорожных транспортных средств. Набор руководящих принципов по разработке программного обеспечения для транспортных средств был опубликован в ноябре 1994 года. В этом документе была представлена первая интерпретация автомобильной промышленностью принципов тогда еще появившегося стандарта IEC 61508.
Сегодня MISRA наиболее широко известен своими рекомендациями по использованию языков C и C ++. MISRA C стал де-факто стандартом для встроенного программирования C в большинстве отраслей, связанных с безопасностью, а также используется для повышения качества программного обеспечения, даже если безопасность не является главным соображением.
IEC 62279 предоставляет конкретную интерпретацию IEC 61508 для железнодорожных приложений. Он предназначен для разработки программного обеспечения для управления и защиты железных дорог, включая системы связи, сигнализации и обработки.
Сектор перерабатывающей промышленности включает множество типов производственных процессов, таких как нефтеперерабатывающие, нефтехимические, химические, фармацевтические, целлюлозно-бумажные и энергетические. IEC 61511 - это технический стандарт, в котором излагаются методы проектирования систем, обеспечивающих безопасность промышленного процесса с помощью контрольно-измерительных приборов.
IEC 61513 содержит требования и рекомендации по контрольно-измерительным приборам для систем, важных для безопасности атомных электростанций. Он указывает общие требования к системам, которые содержат обычное аппаратное оборудование, компьютерное оборудование или комбинацию обоих типов оборудования. Обзорный список норм безопасности, специфичных для атомных электростанций, публикуется ISO.
IEC 62061 - это реализация стандарта IEC 61508 для конкретного оборудования. Он устанавливает требования, применимые к проектированию на уровне системы всех типов систем электрического управления, связанных с безопасностью оборудования, а также к проектированию несложных подсистем или устройств.
Программное обеспечение, написанное в соответствии с IEC 61508, может нуждаться в модульном тестировании, в зависимости от уровня SIL, которого оно должно достичь. Основное требование в модульном тестировании - убедиться, что программное обеспечение полностью протестировано на функциональном уровне и что все возможные ветви и пути проходят через программное обеспечение. В некоторых приложениях с более высоким уровнем SIL требования покрытия кода программного обеспечения намного жестче, и вместо простого покрытия ветвей используется критерий покрытия кода MC / DC. Чтобы получить информацию о покрытии MC / DC (модифицированное условие / покрытие решений), понадобится инструмент модульного тестирования, который иногда называют инструментом тестирования программных модулей.