IEC 61508 - 中文维基百科【维基百科中文版网站】

IEC 61508是一项用于工业领域的国际标准，其名称是《电气/电子/可编程电子安全相关系统的功能安全》（Functional Safety of Electrical/Electronic/Programmable ... IEC61508 電子安全相關係統的國際標準 语言 监视 编辑 IEC61508是一项用于工业领域的国际标准，其名称是《电气/电子/可编程电子安全相关系统的功能安全》（FunctionalSafetyofElectrical/Electronic/ProgrammableElectronicSafety-relatedSystems(E/E/PE,orE/E/PES）。

IEC61508是由国际电工委员会发布，其目的要建立一个可应用于各种工业领域的基本功能安全标准。

它将功能安全定义为：“是受控设备（EUC）或受控设备系统总体安全中的一部分；其安全性是依赖于电气/电子/可编程电子（E/E/PE）安全相关系统、其他技术的安全相关系统或外部风险降低措施的正确机能。

” 目录 1简介 2危害及风险分析 3安全完整性等级 3.1提升可靠度 3.2失效而安全 3.3管理、系统技术、验证及确认 4产业或特定领域标准 4.1车辆软件 4.2铁路软件 4.3制造业 4.4核电厂 4.5机械 5软件测试 6相关条目 7参考文献 8外部链接 8.1论文 9延伸书目 简介编辑 IEC61508标准起源于工业程序控制领域。

该标准涵盖了完整的安全生命周期（英语：Safetylifecycle），当制定相关领域特定的功能安全标准时，需要进一步细化说明[1]。

IEC61508标准定义的安全生命周期包含16个阶段，各阶段所关注的均是系统安全功能，粗略地可以分为3块： 1-5阶段描述了分析过程。

6-13阶段描述了实现过程。

14-16阶段描述了运作及维护过程。

标准由7个部分组成， 1-3部分包括标准需求，偏向规范性的内容。

4-7部分包括开发过程指导和示例，以资料性的内容为主。

IEC61508标准的核心是风险和安全功能的概念。

风险是指危害事件频率（或可能性）以及事件后果严重性的组合。

可以借由应用包括电气/电子/可编程电子（E/E/PES）及其它技术构成的安全功能，使风险降低到可以容忍的水平。

电气/电子/可编程电子以外的技术也可能被用于降低风险，但IEC61508标准的详细需求只覆盖了采用E/E/PES技术的安全功能。

IEC61508对风险的观点如下： 不可能达到零风险。

必须从一开始就要考虑安全性。

将风险降低到合理且可容忍的范围（ALARP）。

危害及风险分析编辑 IEC61508要求需实施危害分析（英语：Hazardanalysis）及风险分析（英语：Riskanalysis(engineering)）：“针对每一个被确认的危害事件，需计算或估计EUC（受控设备）的风险”。

此标准建议“可以实施量化或非量化的危害及风险分析技术”，并在标准中提出了许多的分析方式[2]。

以下是一种量化危害分析的方式，将事件几率区分为6类，事件影响区分为4类： 出现几率的分类 分类 定义 范围（每年的失效率） 频繁（Frequent） 系统生命周期中出现很多次 >10−3可能（Probable） 系统生命周期中出现数次 10−3至10−4偶尔（Occasional） 系统生命周期中出现一次 10−4至10−5微乎其微（Remote） 系统生命周期不太可能出现 10−5至10−6几乎不可能（Improbable） 非常不可能出现 10−6至10−7难以置信（Incredible） 无法相信会出现的事件 <10−7影响的分类 分类 定义 灾难（Catastrophic） 多人死亡 严重（Critical） 一人死亡 临界（Marginal） 一人或多人重伤 轻微（Negligible） 至多造成轻伤 可将上述的几率及影响组合成以下的风险矩阵 影响 几率 灾难 严重 临界 轻微 频繁 I I I II 可能 I I II III 偶尔 I II III III 微乎其微 II III III IV 几乎不可能 III III IV IV 难以置信 IV IV IV IV 其中 I类：在任何情形下都无法接受。

II类：不希望出现，只有在实务上无法降低风险，或是降低风险成本远高于改善所获得的效益时才可以接受。

III类：若降低风险的成本高于改善所获得的效益，可接受这类事件发生。

IV类：可接受这类事件发生，但需加以监控。

安全完整性等级编辑 主条目：安全完整性等级 安全完整性等级主要是依以下三个要素的评估情形，较高的安全完整性等级需要在这三个部分有更好的相容性： 提升可靠度。

失效而安全。

管理、系统技术、验证及确认。

安全完整性等级是针对单一减少偒害的方法（在风险分析中决定），不是针对整个系统，也不是针对个别零件。

提升可靠度编辑 对于连续运转的系统（连续模式）及一年运转超过一次的系统（高需求），需评怙其容许的失效频率。

对于间歇性运转的系统（一年运转不到一次/低需求），失效几率定义为系统无法回应需求动作的几率。

SIL 低需求模式：无法回应需求动作的平均几率 高需求模式或连续模式：每小时出现危险失效的几率 1 ≥10−2至<10−1 ≥10−6至<10−52 ≥10−3至<10−2 ≥10−7至<10−63 ≥10−4至<10−3 ≥10−8至<10−74 ≥10−5至<10−4 ≥10−9至<10−8失效而安全编辑 安全故障失效比率（safefailurefraction，简称SFF）的计算可确认系统失效安全的程度。

安全故障失效比率比较安全失效及危险失效的比例，但安全故障失效比率本身不足于宣告安全完整性等级，在IEC61508标准中有定义各等级的安全完整性等级需要的安全故障失效比率。

管理、系统技术、验证及确认编辑 管理及系统技术确保可以避免在生命周期中任一部分出现的错误。

即使是可靠度最高的保护方式，也可能被从初期概念、风险分析、规格、设计、安装、维护一直到丢弃过程中导入的错误所破坏。

IEC61508列出在生命周期的各阶段需要应用的相关技术。

产业或特定领域标准编辑 车辆软件编辑 汽车产业软件可靠性协会（英语：MotorIndustrySoftwareReliabilityAssociation）（MISRA）的方针中涵盖了有关车辆安全相关系统的软件开发[3]。

MISRA计划是要提供车辆用嵌入式软件开发的方针。

在1994年11月时发行了一套车用嵌入式软件开发的方针，是第一个在车辆产业对应IEC61508的标准，1998年时MISRA提出了MISRAC，是兼顾嵌入式系统的安全性及可移植性的C语言开发标准。

ISO26262是将IEC61508延伸到车辆的电机/电子系统的安全标准。

铁路软件编辑 EN50128（德语：EN50128）全名为《铁路应用-铁路控制及保护软件》（Railwayapplications-Softwareforrailwaycontrolandprotection）是将IEC61508应用在铁路应用的欧盟技术标准，内容涵盖铁路控制及保护软件的开发，包括通讯、讯号及处理系统等。

制造业编辑 制造业包括许多种类的制造工艺：包括炼油厂、石化、化工、制药、纸浆、造纸及电力等。

IEC61511（英语：IEC61511）是这些工程系统的技术标准，确保使用仪表设备时工业流程的安全性。

核电厂编辑 IEC61513全名为《功能安全－核能工业的安全仪表系统》（Functionalsafety–safetyinstrumentedsystemsfortheNuclearIndustries）提供了核电厂的设备及安全控制系统相关的要求及建议事项，其中的要求包括针对传体硬件的设备、以电脑为基础的设备以及同时使用上述二种技术的设备。

机械编辑 IEC62061全名为《机械安全与安全有关的电气、电子和可编程电子控制系统的功能安全标准》（Safetyofmachinery,Functionalsafetyofsafety-relatedelectrical,electronicandprogrammableelectroniccontrolsystems），是IEC61508在机械安全的功能安全标准[4]，IEC62061提供了各类型和机械安全有关的电机控制系统的要求，适用于系统层级的设计，也适用于非复杂的子系统及设备。

软件测试编辑 依IEC61508开发的软件依其需达到的安全完整性等级（SIL）不同，有可能需要经过单元测试。

单元测试的目的是在确认软件在模组层次已进行了完整测试。

若是有些安全完整性等级较高的应用，软件的代码覆盖要求更高，而且也需使用修改条件判断覆盖（MCDC）准则，而不是简单的分支覆盖（branchcoverage）。

若要得到MCDC覆盖率的资讯，一般都需要单元测试软件，甚至是软件模组测试软件。

相关条目编辑 功能安全 安全标准 误动作等级（STL） 机械安全参考文献编辑 ^陈骏为.E/E/PE安全功能產品標準－IEC61508.电子工程专辑.EETimesGroup.2008-01-01[2012-05-30].（原始内容存档于2008-05-17）.  ^FelixRedmill.AnIntroductiontotheSafetyStandardIEC61508(PDF).RedmillConsultancy.[2012-06-04].（原始内容存档(PDF)于2012-08-13）.  ^MotorIndustrySoftwareReliabilityAssociation.[2012-05-30].（原始内容存档于2012-07-04）.  ^工厂自动化领域SIL认证标准.电子质量周刊.2011年11月,(19)[2012-05-30].（原始内容存档于2016-03-04）.  外部链接编辑 功能安全中心（页面存档备份，存于互联网档案馆） 61508Association（页面存档备份，存于互联网档案馆） IECFunctionalsafetyzone（页面存档备份，存于互联网档案馆） InsideFunctionalSafety-Technicalmagazinefocusingonfunctionalsafety CFSEGovernanceBoardwebsite（页面存档备份，存于互联网档案馆） [1]（页面存档备份，存于互联网档案馆）-MotorIndustrySoftwareReliabilityAssociation论文编辑 ArevisedproposalforIEC61508.ThispaperwaspresentedattheEmbeddedSystemsShow2006inBirmingham,UK. AnarticleaboutmeetingtheIEC61508part3(softwaredevelopment)requirementsfortoolcertification,speciallycompilers.（页面存档备份，存于互联网档案馆） OpenIEC61508CertificationofProducts-Thispaperdescribesanassessmentforproductdesignsandtheproductdevelopmentprocessthatproducesafullsafetycaseaswellasadditionalpublicdocumentation. SatisfyingSILRequirements:EnsureFunctionalSafetyofE/E/PESafety-RelatedSystems(fromParasoft)延伸书目编辑 M.Medoff,R.Faller,"FunctionalSafety-AnIEC61508SIL3CompliantDevelopmentProcess"-www.exida.comC.O'Brien,"FinalElementsandtheIEC61508andIEC61511FunctionalSafetyStandards"-www.exida.comM.Punch,"FunctionalSafetyfortheMiningIndustry–AnIntegratedApproachUsingAS(IEC)61508,AS(IEC)62061andAS4024.1."(1stEdition,ISBN978-0-9807660-0-4,inA4paperback,150pages).www.marcuspunch.com（页面存档备份，存于互联网档案馆）D.Smith,KSimpson,"SafetyCriticalSystemsHandbook:AStraightforwardGuidetoFunctionalSafety,IEC61508(2010Edition)AndRelatedStandards,IncludingProcessIEC61511andMachineryIEC62061andISO13849"(3rdEditionISBN978-0-08-096781-3,Hardcover,288Pages). 取自“https://www.so.studiodahu.com/w/index.php?title=IEC_61508&oldid=63129625”