МЭК 61508

IEC 61508 — это международный стандарт , опубликованный Международной электротехнической комиссией (IEC), включающий методы применения, проектирования, развертывания и обслуживания систем автоматической защиты, называемых системами, связанными с безопасностью. Он называется « Функциональная безопасность электрических/электронных/программируемых электронных систем безопасности» ( E/E/PE или E/E/PES ).

IEC 61508 — это базовый стандарт функциональной безопасности, применимый во всех отраслях промышленности. Он определяет функциональную безопасность как: «часть общей безопасности, связанной с EUC (контролируемым оборудованием) и системой управления EUC, которая зависит от правильного функционирования E/E/PE систем, связанных с безопасностью, других технологических систем, связанных с безопасностью. и внешние механизмы снижения рисков». Фундаментальная концепция заключается в том, что любая система, связанная с безопасностью, должна работать правильно или выходить из строя предсказуемым (безопасным) образом.

Стандарт имеет два фундаментальных принципа:

Инженерный процесс, называемый жизненным циклом безопасности , определяется на основе передового опыта с целью обнаружения и устранения ошибок и упущений в проекте.
Вероятностный подход к отказу для учета влияния отказов устройств на безопасность.

Жизненный цикл безопасности состоит из 16 этапов, которые условно можно разделить на три группы следующим образом:

Анализ адресов этапов 1–5
Реализация этапов 6–13
Фазы 14–16 адресуют работу.

Все этапы связаны с функцией безопасности системы.

Стандарт состоит из семи частей:

Части 1–3 содержат требования стандарта (норматива).
Часть 4 содержит определения
Части 5–7 представляют собой рекомендации и примеры для разработки и, следовательно, информативны.

Центральное место в стандарте занимают концепции вероятностного риска для каждой функции безопасности. Риск является функцией частоты (или вероятности) опасного события и тяжести последствий события. Риск снижается до допустимого уровня за счет применения функций безопасности, которые могут состоять из E/E/PES, соответствующих механических устройств или других технологий. Многие требования применимы ко всем технологиям, но особое внимание уделяется программируемой электронике, особенно в Части 3.

МЭК 61508 имеет следующие взгляды на риски:

Нулевой риск никогда не может быть достигнут, можно только уменьшить вероятность.
Недопустимые риски должны быть сокращены ( ALARP )
Оптимальная и экономически эффективная безопасность достигается на протяжении всего жизненного цикла безопасности.

Специальные методы гарантируют, что ошибки и ошибки будут исключены на протяжении всего жизненного цикла. Ошибки, допущенные где-либо на этапе первоначальной концепции, анализа рисков, спецификации, проектирования, установки, обслуживания и вплоть до утилизации, могут подорвать даже самую надежную защиту. МЭК 61508 определяет методы, которые следует использовать на каждом этапе жизненного цикла.Семь частей первого издания IEC 61508 были опубликованы в 1998 и 2000 годах. Второе издание было опубликовано в 2010 году.

Анализ опасностей и рисков

Стандарт требует, чтобы оценка опасностей и рисков проводилась для заказных систем: «Риск EUC (оборудования под контролем) должен оцениваться или оцениваться для каждого определенного опасного события».

Стандарт рекомендует, чтобы «можно использовать как качественные, так и количественные методы анализа опасностей и рисков», и предлагает рекомендации по ряду подходов. Одна из них, для качественного анализа опасностей, представляет собой структуру, основанную на шести категориях вероятности возникновения и четырех категориях последствий.

Категории вероятности возникновения

Категория	Определение	Диапазон (отказов в год)
Частый	Много раз в жизни	> 10 ⁻³
Вероятный	Несколько раз в жизни	10 ⁻³ до 10 ⁻⁴
Случайный	Один раз в жизни	10 ⁻⁴ до 10 ⁻⁵
Удаленный	Маловероятно при жизни	10 ⁻⁵ до 10 ⁻⁶
Невероятный	Очень маловероятно, что это произойдет	10 ⁻⁶ до 10 ⁻⁷
Невероятный	Не могу поверить, что это могло произойти	< 10 ⁻⁷

Категории последствий

Категория	Определение
Катастрофический	Множественная гибель людей
Критический	Потеря одной жизни
Маргинальный	Тяжелые травмы одного или нескольких человек
Незначительный	В худшем случае легкие травмы.

Обычно они объединяются в матрицу классов рисков.

	Последствие
Вероятность	Катастрофический	Критический	Маргинальный	Незначительный
Частый	я	я	я	II
Вероятный	я	я	II	III
Случайный	я	II	III	III
Удаленный	II	III	III	IV
Невероятный	III	III	IV	IV
Невероятный	IV	IV	IV	IV

Где:

Класс I: Неприемлемо ни при каких обстоятельствах;
Класс II: Нежелательно: допустимо только в том случае, если снижение риска невозможно или если затраты явно непропорциональны достигнутому улучшению;
Класс III: Допустимо, если затраты на снижение риска превысят улучшение;
Класс IV: Приемлем в его нынешнем виде, хотя, возможно, его необходимо будет контролировать.

Уровень полноты безопасности

Уровень полноты безопасности (SIL) определяет цель, которую необходимо достичь для каждой функции безопасности. Результатом оценки риска является достижение целевого уровня SIL для каждой функции безопасности. Для любой конкретной конструкции достигнутый уровень SIL оценивается по трем показателям:

1. Систематические возможности (SC), которые являются мерой качества проектирования. Каждое устройство в конструкции имеет рейтинг SC. Уровень SIL функции безопасности ограничен наименьшим номиналом SC используемых устройств. Требования к SC представлены в серии таблиц в Части 2 и Части 3. Требования включают в себя соответствующий контроль качества, процессы управления, методы валидации и верификации, анализ отказов и т. д., чтобы можно было разумно обосновать достижение конечной системой требуемого уровня SIL. .

2. Ограничения архитектуры, представляющие собой минимальные уровни резервирования безопасности, представленные двумя альтернативными методами — маршрутом 1h и маршрутом 2h.

3. Анализ вероятности опасного отказа. ^[1]

Вероятностный анализ

Метрика вероятности, используемая на этапе 3 выше, зависит от того, будет ли функциональный компонент подвергаться высокому или низкому спросу:

высокий спрос определяется как более одного раза в год, а низкий спрос определяется как менее одного раза в год (IEC-61508-4).
Для функций, которые работают непрерывно (непрерывный режим) или функций, которые работают часто (режим высоких требований), SIL определяет допустимую частоту опасных отказов.
Для функций, которые работают с перерывами (режим низкого спроса), SIL определяет допустимую вероятность того, что функция не сможет ответить по требованию.

Обратите внимание на разницу между функцией и системой. Система, реализующая эту функцию, может работать часто (например, ЭБУ для раскрытия подушки безопасности), но функция (например, раскрытие подушки безопасности) может быть востребована периодически.

SIL	Режим низкого спроса: средняя вероятность отказа по требованию	Режим высокой нагрузки или непрерывный режим: вероятность опасного отказа в час
1	≥ 10 ⁻² до < 10 ⁻¹	≥ 10 ⁻⁶ до < 10 ⁻⁵
2	≥ 10 ⁻³ до < 10 ⁻²	≥ 10 ⁻⁷ до < 10 ⁻⁶
3	≥ 10 ⁻⁴ до < 10 ⁻³	≥ 10 ⁻⁸ до < 10 ⁻⁷ (1 опасный сбой за 1140 лет)
4	≥ 10 ⁻⁵ до < 10 ⁻⁴	≥ 10 ⁻⁹ до < 10 ⁻⁸

Сертификация МЭК 61508

Сертификация — это подтверждение третьей стороной того, что продукт, процесс или система соответствуют всем требованиям программы сертификации. Эти требования перечислены в документе, который называется схемой сертификации. Программы сертификации IEC 61508 реализуются беспристрастными сторонними организациями, называемыми органами по сертификации (CB). Эти органы по сертификации аккредитованы для работы в соответствии с другими международными стандартами, включая ISO/IEC 17065 и ISO/IEC 17025. Органы по сертификации аккредитованы для выполнения работ по аудиту, оценке и тестированию органом по аккредитации (AB). В каждой стране часто существует один национальный орган по аккредитации. Эти органы по аккредитации действуют в соответствии с требованиями ISO/IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации органов по оценке соответствия. Органы по аккредитации являются членами Международного форума по аккредитации (IAF) для работы в области систем управления, продуктов, услуг и аккредитации персонала или Международного сотрудничества по аккредитации лабораторий (ILAC) для аккредитации лабораторий. Многостороннее соглашение о признании (MLA) между органами по аккредитации обеспечит глобальное признание аккредитованных органов по сертификации. Программы сертификации IEC 61508 были созданы несколькими глобальными органами по сертификации. Каждый из них определил свою собственную схему, основанную на IEC 61508 и других стандартах функциональной безопасности. В схеме перечислены упомянутые стандарты и определены процедуры, которые описывают их методы испытаний, политику надзорного аудита, политику публичной документации и другие конкретные аспекты их программы. Программы сертификации IEC 61508 предлагаются по всему миру несколькими признанными центрами сертификации, включая exida, Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD и UL .

Варианты для конкретной отрасли/приложения

Автомобильная промышленность

ISO 26262 представляет собой адаптацию стандарта IEC 61508 для автомобильных электрических/электронных систем. Он широко применяется крупнейшими производителями автомобилей. ^[2]

До выпуска ISO 26262 разработка программного обеспечения для автомобильных систем, связанных с безопасностью, в основном рассматривалась в соответствии с рекомендациями Ассоциации надежности программного обеспечения автомобильной промышленности (MISRA). ^[3] Проект MISRA был задуман для разработки рекомендаций по созданию встроенного программного обеспечения в электронные системы дорожных транспортных средств. ^[3] В ноябре 1994 года был опубликован набор руководящих принципов по разработке программного обеспечения для транспортных средств. ^[4] Этот документ предоставил первую в автомобильной промышленности интерпретацию принципов тогда еще появившегося стандарта IEC 61508. ^[3]

Сегодня MISRA наиболее широко известна своими рекомендациями по использованию языков C и C++. ^[5] MISRA C стал фактическим стандартом для встроенного программирования на языке C в большинстве отраслей, связанных с безопасностью, а также используется для улучшения качества программного обеспечения даже там, где безопасность не является основным фактором.

Железнодорожный

МЭК 62279 представляет собой специальную интерпретацию МЭК 61508 для применения на железнодорожном транспорте. Он предназначен для разработки программного обеспечения для управления и защиты железных дорог, включая системы связи, сигнализации и обработки. EN 50128 и EN 50657 являются эквивалентами стандартов CENELEC и IEC 62279. ^[6]

Перерабатывающие отрасли

Сектор перерабатывающей промышленности включает в себя множество типов производственных процессов, таких как нефтеперерабатывающие, нефтехимические, химические, фармацевтические, целлюлозно-бумажные и энергетические предприятия. МЭК 61511 — это технический стандарт, устанавливающий методы проектирования систем, обеспечивающих безопасность промышленного процесса за счет использования контрольно-измерительных приборов.

Электростанции

МЭК 61513 содержит требования и рекомендации по контрольно-измерительным приборам и управлению системами, важными для безопасности атомных электростанций. Он указывает общие требования к системам, которые содержат обычное проводное оборудование, компьютерное оборудование или комбинацию обоих типов оборудования. Обзорный список норм безопасности, специфичных для атомных электростанций, публикуется ISO. ^[7]

Машины

МЭК 62061 представляет собой реализацию стандарта МЭК 61508, специфичную для машинного оборудования. Он устанавливает требования, применимые к проектированию на системном уровне всех типов электрических систем управления, связанных с безопасностью машин, а также к проектированию несложных подсистем или устройств.

Тестирование программного обеспечения

Программное обеспечение, написанное в соответствии со стандартом IEC 61508, может нуждаться в модульном тестировании в зависимости от требуемого уровня SIL. Основное требование при модульном тестировании — убедиться, что программное обеспечение полностью протестировано на функциональном уровне и что все возможные ветки и пути проходят через программное обеспечение. В некоторых приложениях более высокого уровня SIL требования к покрытию кода программного обеспечения намного жестче, и покрытия кода MC/DC вместо простого покрытия ветвей используется критерий . Чтобы получить информацию о покрытии MC/DC (модифицированное покрытие условий/решений), понадобится инструмент модульного тестирования, иногда называемый инструментом тестирования программного модуля.

См. также

Функциональная безопасность
Стандарты безопасности
ФМЕДА
Ложный уровень поездки
Система с синхронизацией по времени (архитектура программного обеспечения, используемая для обеспечения соответствия стандарту IEC 61508)
Качество программного обеспечения

Ссылки

^ Оценка безопасности и надежности систем управления . ИСА. 2010. ISBN 978-1-934394-80-9 .
^ Хаманн, Рейнхольд; Саулер, Юрген; Крисо, Стефан; Гроте, Уолтер; Мессингер, Юрген (20 апреля 2009 г.). «Применение ISO 26262 в распределенной разработке. ISO 26262 в реальности» . Серия технических документов SAE . 1 . Уоррендейл, Пенсильвания: SAE International. дои : 10.4271/2009-01-0758 .
^ Перейти обратно: ^а ^б ^с «Веб-сайт MISRA > Главная страница MISRA > Краткая история MISRA» . www.misra.org.uk . Проверено 23 февраля 2021 г.
^ Руководство по разработке программного обеспечения для транспортных средств . МИСРА. 1994. ISBN 0952415607 .
^ «Веб-сайт MISRA > Новости» . www.misra.org.uk . Проверено 23 февраля 2021 г.
^ Хадж-Мабрук, Хабиб (1 ноября 2020 г.). «Применение рассуждений на основе конкретных случаев для оценки безопасности критического программного обеспечения, используемого на железнодорожном транспорте» . Наука безопасности . 131 : 104928. doi : 10.1016/j.ssci.2020.104928 . ISSN 0925-7535 .
^ «ИСО – 27.120.20 – Станции атомные. Безопасность» . www.iso.org . Проверено 23 февраля 2021 г.

Дальнейшее чтение

Сопутствующие стандарты безопасности

ISO 26262 (является адаптацией IEC 61508). ^[1] с небольшими отличиями ^[2])
МЭК 60730 ^[3] (Семья)
DO-178C (Аэрокосмическая промышленность)

Учебники

У. Гобл, «Оценка безопасности и надежности систем управления» (3-е издание). ISBN 978-1-934394-80-9 , твердый переплет, 458 страниц).
И. ван Берден, В. Гобл, «Методы проектирования и проверка конструкции автоматизированных систем безопасности» (1-е издание) ISBN 978-1-945541-43-8 , 430 страниц).
MJM Houtermans, «SIL и функциональная безопасность в двух словах» (Лучшие практики в области рисков, 1-е издание, электронная книга в формате PDF, ePub и iBook, 40 страниц) SIL и функциональная безопасность в двух словах - электронная книга, знакомящая с SIL и функциональной безопасностью
М. Медофф, Р. Фаллер, «Функциональная безопасность — процесс разработки, соответствующий стандарту IEC 61508 SIL 3» (3-е издание, ISBN 978-1-934977-08-8 Твердый переплет, 371 страница, www.exida.com)
К. О'Брайен, Л. Стюарт, Л. Бредемайер, «Заключительные элементы в автоматизированных системах безопасности — системы, соответствующие стандарту IEC 61511, и продукты, соответствующие стандарту IEC 61508» (1-е издание, 2018 г.), ISBN 978-1-934977-18-7 , твердый переплет, 305 страниц, www.exida.com)
Мюнх, Юрген; Арбалет, Уве; Сото, Мартин; Ковальчик, Мартин. «Определение и управление программным процессом», Springer, 2012.
М. Панч, «Функциональная безопасность в горнодобывающей промышленности – комплексный подход с использованием AS(IEC)61508, AS(IEC) 62061 и AS4024.1». (1-е издание, ISBN 978-0-9807660-0-4 , в мягкой обложке А4, 150 страниц).
Д.Смит, К. Симпсон, «Справочник по критически важным системам безопасности: простое руководство по функциональной безопасности, IEC 61508 (издание 2010 г.) и родственные стандарты, включая IEC 61511 для процессов и IEC 62061 и ISO 13849» (3-е издание) ISBN 978-0-08-096781-3 , твердый переплет, 288 страниц).

Внешние ссылки

МЭК 61508-1:2010 Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью. Часть 1.
«IEC 61508» в Международной электротехнической комиссии.
Зона функциональной безопасности МЭК
61508 Ассоциация Межотраслевая группа организаций, заинтересованная в разработке надежного и экономически эффективного метода демонстрации соответствия стандарту IEC 61508 и связанным с ним стандартам.

^ «Взаимосвязь между ISO 26262 и IEC 61508» . ez.analog.com . Проверено 11 апреля 2021 г.
^ «Автомобильная vs промышленная функциональная безопасность» . ez.analog.com . Проверено 11 апреля 2021 г.
^ «IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Интернет-магазин IEC» . webstore.iec.ch . Проверено 11 апреля 2021 г.

[1] Оценка безопасности и надежности систем управления . ИСА. 2010. ISBN 978-1-934394-80-9 .

[2] Хаманн, Рейнхольд; Саулер, Юрген; Крисо, Стефан; Гроте, Уолтер; Мессингер, Юрген (20 апреля 2009 г.). «Применение ISO 26262 в распределенной разработке. ISO 26262 в реальности» . Серия технических документов SAE . 1 . Уоррендейл, Пенсильвания: SAE International. дои : 10.4271/2009-01-0758 .

[:0-3] Перейти обратно: ^а ^б ^с «Веб-сайт MISRA > Главная страница MISRA > Краткая история MISRA» . www.misra.org.uk . Проверено 23 февраля 2021 г.

[4] Руководство по разработке программного обеспечения для транспортных средств . МИСРА. 1994. ISBN 0952415607 .

[5] «Веб-сайт MISRA > Новости» . www.misra.org.uk . Проверено 23 февраля 2021 г.

[6] Хадж-Мабрук, Хабиб (1 ноября 2020 г.). «Применение рассуждений на основе конкретных случаев для оценки безопасности критического программного обеспечения, используемого на железнодорожном транспорте» . Наука безопасности . 131 : 104928. doi : 10.1016/j.ssci.2020.104928 . ISSN 0925-7535 .

[7] «ИСО – 27.120.20 – Станции атомные. Безопасность» . www.iso.org . Проверено 23 февраля 2021 г.

[8] «Взаимосвязь между ISO 26262 и IEC 61508» . ez.analog.com . Проверено 11 апреля 2021 г.

[9] «Автомобильная vs промышленная функциональная безопасность» . ez.analog.com . Проверено 11 апреля 2021 г.

[10] «IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Интернет-магазин IEC» . webstore.iec.ch . Проверено 11 апреля 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[1]

[2]

[3]

v т и стандарты МЭК
МЭК	60027 60034 60038 60062 60063 60068 60112 60228 60269 60297 60309 60320 60364 60446 60559 60601 60870 60870-5 60870-6 60906-1 60908 60929 60958 61030 61131 61131-3 61131-9 61158 61162 61334 61355 61360 61400 61499 61508 61511 61784 61850 61851 61883 61960 61968 61970 62014-4 62026 62056 62061 62196 62262 62264 62304 62325 62351 62365 62366 62379 62386 62455 62680 62682 62700 63110 63119 63382
ИСО/МЭК	646 1989 2022 4909 5218 6429 6523 7810 7811 7812 7813 7816 7942 8613 8632 8652 8859 9126 9293 9496 9529 9592 9593 9899 9945 9995 10021 10116 10165 10179 10279 10646 10967 11172 11179 11404 11544 11801 12207 13250 13346 13522-5 13568 13816 13818 14443 14496 14651 14882 15288 15291 15408 15444 15445 15504 15511 15693 15897 15938 16262 16485 17024 17025 18004 18014 18181 19752 19757 19770 19788 20000 20802 21000 21827 22275 22537 23000 23003 23008 23270 23360 24707 24727 24744 24752 26300 27000 27000-серия 27002 27040 29110 29119 33001 38500 39075 42010 80000 81346
Связанный	Международная электротехническая комиссия