IEC615087电气电子可编程的功能安全性电子安全相关.docx
《IEC615087电气电子可编程的功能安全性电子安全相关.docx》由会员分享,可在线阅读,更多相关《IEC615087电气电子可编程的功能安全性电子安全相关.docx(248页珍藏版)》请在冰豆网上搜索。
IEC615087电气电子可编程的功能安全性电子安全相关
国际标准IEC61508-7
2000年3月第一版
电气电子/可编程的功能安全性
电子安全相关系统
第7部分:
技术与方法总览
目录
条款
国际电气委员会
电气/电子/可编程电子安全相关系统的功能安全性
第七部分:
技术与方法总览
前言
1)IEC(国际电气技术委员会)是一个世界范围的负责标准化的组织,它由各个国家的电气委员会(国家IEC委员会)。
IEC的目标是在所有关于电气与电子领域的问题上提高国际合作。
为了实现这个目标和其它的组织活动,IEC颁布国际标准。
国际标准的准备工作委托给技术委员会来完成;任何国家的IEC委员会如果对要指定的标准感兴趣,都可以参加的标准制定的准备工作。
IEC与国际标准化组织进行紧密合作,并遵守两个组织已经达成一致的协议中的条件。
2)
3)IEC关于技术问题上的正式决定或者协议,都要尽可能的,反映出相关主题的国际范围内的大多数意见,因为每个技术委员会是所有对此领域感兴趣的国家委员会的代表。
4)
5)文件以建议的形式被制定以使它能在国际上使用,并以标准的形式,技术说明的形式,技术报告或者指南的方式进行颁布并被参与制定的国家委员会所接受。
6)
7)为了提高国际的统一性,IEC国家委员会承担了在国家和地区范围内最大限度的应用IEC标准的工作。
任何IEC标准与相应的国家地区标准相矛盾的地方应在后面清晰的指出来。
8)
9)IEC不以标志性的方式表示承认任何声称符合IEC标准的任何设备并不承担任何责任。
10)
11)应该注意到有可能一些国际标准的基础和要素可能涉及到了专利权的问题。
IEC不对认证这些专利权负责。
12)
国际标准IEC61508-7已经由负责工业过程测量与控制的IEC技术委员会(65)的系统小组委员会65A准备。
这个标准的正文给予下列的文件:
FDlS
投票报告
65A/293/FDIS
65A/229/RVD
关于投票表决通过标准的完整信息可以在报告中的投票表决部分查到,见上表。
这次公布的标准按照ISO/IEC指导建议的第三部分拟定
附件中的A,B,C,D只是起到提供信息的目的。
IEC61508由下列部分组成,通用标题为电气/电子/可编程电子安全相关系统的功能安全性:
-第1部分:
一般要求
-第2部分:
电气/电子/可编程电子安全相关系统的要求
-第3部分:
软件要求
-第4部分:
定义和缩略语
-第5部分:
确定安全整体水平方法的实例
-第6部分:
IEC61508-2和IEC61508-3的应用指南
-第7部分:
技术和措施综述
委员会已经决定这次发布的标准内容将在2006年以前保持不变。
到期后,公布的标准将会
●再次确认;
●
●取消;
●
●用修订版本代替,或者
●
●修订。
●
简介
由电气和/或者电子元件组成的系统来完成安全功能已经在很多领域使用很多年了,基于计算机的系统(通常指可编程的电子系统(PES))正被使用在非安全功能的的所有领域中并且越来越多的开始完成安全功能的任务。
如果计算机系统的技术要被有效安全的开发,那么那些负责决策的人能够对那些决策涉及到的安全领域提供指导就显得非常重要。
这个国际标准制定了一个通用方法,这个通用方法针对由电气和/或电子和/或可编程的电子元件(电气/电子/可编程的电子系统(E/E/PES))组成的系统的安全周期活动,这些元件主要用来执行安全功能。
为了能为所有的给予电气的安全相关系统开发出一个合理并且持久的技术策略,这个统一方法已经被采纳。
一个主要的目标是便于应用方面的标准的开发。
在大多数情况下,安全性有许多保护系统来实现,这些保护系统基于很多技术(例如机械,水力,风力,电气,电力,可编程的电子装置)。
因此任何安全系统必须不仅考虑到一个单独系统内的所有元素(例如传感器,控制装置和制动器)而且要考虑到所有的安全相关的系统,这些安全系统组成了安全相关系统的联合体。
因此,由于这个国际标准关心的是电气/电子/可编程电子装置(E/E/PES)安全相关系统,它同时可以提供了一个框架,在这个框架以内,基于其它技术的安全相关系统也可以被考虑。
意识到在不同应用领域里的E/E/PES应用的多样性和广泛的复杂性,危险性和潜在风险,在任何的特定应用里,安全性方法的确切规定将依赖于特定应用的许多隐私。
通用性的国际标准将使这样的规定在将来的相关应用领域的国际标准中被详细阐明。
国际标准
-当E/E/PES被用于执行安全性功能时,需要考虑所有相关的E/E/PES和软件安全周期阶段(例如,从初始概念,经过设计,开发,运行和维护到淘汰);
-这个标准的设计考虑到了快速发展的技术;标准的框架是充分鲁棒的并且全面适应了将来发展的需要;
-使处理安全相关的E/E/PES应用领域标准能够得以发展;在这个标准框架内的的应用领域国际标准的发展应该在应用领域和交叉应用领域保持高度一致(例如,在根本的原则,技术上,等等);他们将具有安全感和经济上的双重利益;
-提供了一个安全要求说明发展的方法,这个方法对于E/E/PE安全相关系统的需要的功能安全是必要的。
-使用安全状态水平来指定对于要被E/EP安全相关系统所执行的安全功能的安全状态的目标水平;
-采用基于风险的方法来确定安全状态水平要求;
-为E/E/PE安全相关系统设定数字的目标失败的衡量方法,它与安全状态水平有关;
-在一个失败的危险模式下,为目标失败的衡量方法设定一个下限,这种模式可以要求一个单独的E/E/PE安全相关系统;对于运行在以下情形下的E/E/PE安全相关系统;
-当运行在一个低端命令模式时,下限的失败概率通常被设置为10-5,来执行它的命令的设计功能;
-当运行在一个高端命令模式或者连续模式时,下限的危险失败概率通常被设置为10-9每小时;
注-一个单独的E/E/PE安全相关系统不是一定具有单通道架构。
-采用广泛的原理,技术和方法来取得E/E/PE安全相关系统的功能安全性,但是不依赖于故障的功能安全性概念,当故障模式被完好定义并且复杂性水平相对比较低时,这个概念可能很有价值–但是故障安全的概念在这里被认为是不合适的,因为E/E/PE安全相关系统得完全复杂性范围处于标准范围以内,将由E/E/PE安全相关相关系统执行的功能;已经就要就会执行它的设计功能的故障;每小时中的一个危险故障。
电器/电子/可编程电子安全相关系统的功能安全性
第七部分:
技术和方法总览
1.范围
1.1IEC61508的这一部分包含了一个与IEC61508-2和IEC61508-3相关的关于各种安全技术和方法的总览。
注-这份参考资料应该被看成是方法和工具的基本参考或者离子并且它们可能不代表技术发展水平。
1.2IEC61508-1,IEC61508-2,IEC61508-3和IEC61508-4时基本的安全性公开标准,尽管这个情况不适用于低复杂性E/E/PE安全相关系统的背景中(见IEC61508-4的3.4.4)。
作为基本的安全性公开标准,它们可能被筹备与IEC指南104和ISO/IEC指南51原理相一致的标准的技术委员会使用。
IEC61508同样将被用作单机标准。
技术委员会的一个责任是,无论在哪里应用,要在它自己的公开标准中使用安全性公开标准。
在这种背景下,这种基本安全公开标准的需求,测试方法或者测试条件将不能使用,除非已经在那些技术委员会准备的公开标准中特别提到或者包括进去。
注1-一个E/E/PE安全相关系统的功能安全只能在所有的相关要求已经满足的情况下才能取得。
因此,很重要的一条就是所有的相关要求要被仔细地考虑,充分的参考。
注2-在美国和加拿大,直到IEC61511(也就是IEC61508)建议的过程领域应用作为国际标准在美国和加拿大公布,现存的基于IEC61508(也就是ANSI/ISA584.01-1996)的国家过程安全标准可以作为IEC61508的替代标准来使用。
1.3图1显示了这个标准的第1部分到第7部分的所有框架并指出了IEC61508-7在E/E/PE安全相关系统的功能安全方面取得的成绩中所扮演的角色。
定义和缩写
第4部分
文档第五条款
和附录A
功能安全管理
第6条
第1部分
功能安全评价
第8条
第1部分
第1部分
第2部分第2部分和第3部分应用指南
E/E/PE安全相关系统的安全要求的分配
7.6
E/E/PE安全相关系统的安全要求的分配
7.6
E/E/PE安全相关系统的安装、调试和安全确认,
7.13和7.14
第1部分
E/E/PE安全相关系统的运行和维护、改动和翻新、退役或者废弃,
7.15to7.17
第1部分
用来开发安全完整性要求的基于风险的方法
第5部分
综合安全要求的开发(概念、范围定义、危险和风险分析)
(E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施)
7.1-7.5P
第1部分
技术要求
用来开发安全完整性要求的基于风险的方法
第7部分
E/E/PE安全相关系统的安全要求的分配
7.6
第1部分
第6部分
其他要求
第2部分
第3部分
2.标准参考文献
下面的标准文件包含了很多条款,通过参考正文中的文献,这些条款构成了IEC61508这一部分的条款。
对于过期的参考文献,并不适用于下面任何公开标准的更正,或者修订。
然而,同意遵守IEC61508的团体将被鼓励研究将下面指出的大多数的最新文件版本进行应用的可能性。
对于更新的参考文献,标准文件的最新版本指的是已经应用的文件。
ISO和IEC的会员维护当前合法国际标准的登记注册。
IEC61508-1:
1998,电气/电子/可编程电子安全相关系统的功能安全–第1部分:
一般要求
IEC61508-2,电气/电子/可编程电子安全相关系统的功能安全–第2部分:
电气/电子/可编程电子安全相关系统的要求
IEC61508-3:
1998,电气/电子/可编程电子安全相关系统的功能安全–第3部分:
软件要求
IEC61508-4:
1998,电气/电子/可编程电子安全相关系统的功能安全–第4部分:
定义和缩略语
IEC61508-5:
1998,电气/电子/可编程电子安全相关系统的功能安全–第5部分:
确定安全状态水平的发放实例
IEC61508-6:
电气/电子/可编程电子安全相关系统的功能安全–第6部分:
IEC61508-2和IEC61508-3应用的指南
IEC指南104:
1997,安全性公开标准,基本安全性公开标准的使用和群体安全性公开标准的准备
IEC/ISO指南51:
1990,标准中关于安全性方面的涵盖的指南
3.义和缩略语
为了实现IEC61508的目标,使用在IEC61508-4种给出的定义和缩略语。
附件A
(补充信息)
E/E/PES的技术和方法总览:
随机硬件故障的控制
(见IEC61508-2)
A.1电器的
全球目标:
为了控制电器元件的故障。
A.1.1利用在线监控进行故障检测
注-这个技术/方法被IEC61508-2的表A.2,A.3,A.7和A.14到A.19中参考。
目的:
通过监控E/E/PE安全相关系统的行为对常规(在线)的控制中的设备(EUC)运行的响应,来检测故障。
描述:
在特定条件下,故障可以用EUC的(例如)时间表现的信息来检测。
例如,如果一个开关,它是E/E/PE安全相关系统的一部分,被EUC在正常情况下激活,如果开关没有在预期的时间改变状态,将会检测出一个故障。
通常这不太可能是本地故障。
A.1.2继电器接点的监控
注-这个技术/方法被IEC61508-2的表A.2和A.15参考。
目的:
检测继电器接点的故障(例如焊接)。
描述:
被动接点(或者主动引导接点)的继电器的设计是为了它们的接点能够紧密地连在一起。
假设有两套对调接点的装置,a和b,如果正常打开型接点,a,焊接,正常关闭型接点b,当紧挨着的继电器线圈不能被断开,则不能闭合。
因此,当继电器线圈断开时,对正常关闭型的接点b关闭情况的监控可以被用来证明正常打开型接点a已经打开。
正常关闭接点b的闭合故障指示了接点a的故障,所以对任何由接点a控制的机器,监控电流应该保证能够正常关闭,或者保证关闭在进行中。
参考文献:
ZusammenstellungundBewertungelektromechanischerSicherheitsschaltungenfürVerroeg-
elungseinrichtungen.F.Kreutzkampf,W.Hertel,SicherheitstechnischesInformations-undArbeitsblatt330212,BIA-Handbuch.17.Lfg.X/91,ErichSchmidtVerlag,Bielefeld.
AnlagensicherungmitMittelnderMSR-Technik.G.Strohrman,Oldenburg,1983.
A.1.3比较器
注-这个技术/方法被IEC61508-2的表A.2,A3和A.4参考。
目的:
为了能尽早尽可能的在独立处理单元或者比较器中检测出(非并发)的故障。
描述:
独立处理单元的信号被一个硬件比较器循环连续比较。
比较器本身可能被外部测试,或者它可能使用
了自我监控技术。
在处理器的运行状态上检测出的差异将产生一个失败的信息。
A.1.4交叉投票表决器
注-这个技术/方法被IEC61508-2的表A.2,A3和A.4参考。
目的:
在至少三个硬件通道中的一个来检测并屏蔽故障。
描述:
一个投票单元采用少数服从多数原则(2相对于3,3相对于3,或者m相对于n)来检测并屏蔽故障。
投票器本身可能有外部检测,或者它采用其它的自我监控技术。
参考文献:
GuidelinesforSafeAutomationofChemicalProcesses.CCPS,AIChE,NewYork,1993.
化学过程安全自动化指南CCPS,AIChE,NewYork,1993.
AnlagensicherungmitMittelnderMSR-Technik.PraxisderSicherheitstechnik,Vol1,Decherna,1988.,
SicherungvonAnlagenderVerfahrenstechnikmitMittelnderMess-,Steuerungs-undRegelungstechnik.VDINDEBlatt1to5,1984to1988.
A.1.5停止当前工作模式(中断返回)
注–IEC61508-2的表A.2,A9,A14和A15参考了这个技术/方法。
目标:
如果电源被切断或者不可使用,则执行安全功能.
描述:
如果接点打开并且没有电流通过,则执行安全功能。
例如,如果使用制动器来停止马达的危险性动作,则通过闭合安全相关系统的接点来打开制动器,通过打开安全相关系统的接点来关闭制动器。
参考文献:
化学处理的自动化指南,CCPS,AIChE,纽约,1993。
A.2电子
总体目标:
控制固态元件的故障。
注–IEC61508-2的表A.3,A16,A.17和A19参考了这个技术/方法
目标:
为了用硬件冗余检测故障,例如,使用其余的不需要执行处理功能的硬件。
描述:
荣誉硬件可以用来检测指定安全功能的平率是否合适。
这个方法通常在实现A.1.1或者A.2.2时是必要的。
参考文献:
ElektronikinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitstechnischesInformations-undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1990.
A.2.2动力学原理
注–IEC61508-2的表A.3参考了这个技术/方法
目的:
为了用动态信号处理来检测静态故障
描述:
另外的静态信号的强制变化(内部或者外部产生的)帮助检测元件中的静态故障。
这个技术通常与机械电子元件联系在一起。
参考文献:
ElektronikinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitstechnischesInformations-undArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.
A.2.3标准测试登陆端口和边界检测架构
注–IEC61508-2的表A.3,A16和A.19参考了这个技术/方法。
目标:
边界检测测试是一个IC设计技术
描述:
这个技术通过解决如何获取登陆其范围以内的电流测试点这个问题提高了IC的可测性。
在一个由核心逻辑模块,输入和输出缓冲器组成的典型的边界检测IC里,一个移位寄存器被放于近邻IC管脚的核心逻辑模块和输入输出缓冲器之间。
每个边缘检测单元内部都包含了移位寄存器。
通过标准测试登陆端口,边缘检测单元可以控制并观测每个IC的输入输出的发生的情况。
IC核心逻辑模块的内部测试通过将,单片核心逻辑模块与从周围元件所接收的激励分离开来然后执行一个内部测试,这样一个过程来完成。
这些测试可以用来检测IC中的故障。
参考文献:
IEEE1149.1:
1990,标准测试登陆端口与边界检测架构
A.2.4自动防故障装置硬件
注-IEC61508-2的表A.3参考了这个技术/方法。
目的:
如果故障出现,将系统置于安全状态。
描述:
在硬件连接数控系统中,一个单元可能运行在一个自动防故障模式下,如果
-定义的一套故障将导致一个安全的状态,并且
-它们被检测出来
-
-
例如定义的一套故障可能包括绑定故障,开路故障,元件内部和元件间的短路和定向短路。
参考文献:
DependabilityofCriticalComputerSystems1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0.
ElektronikinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitstechnischesInformationsund
Arbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.
A.2.5监控的冗余
注-IEC61508-2的表A.3参考了这个技术/方法。
目标:
为了检测故障,可以由如下办法实现——通过提供集中功能部件,监控每个部件的状态来检测故障,如果检测到任何行为上的差异可以通过发起一个跳变到一个安全状态。
描述:
安全功能被至少两个硬件通道执行。
这些通道的输出被监控,当检测到一个故障时(例如,如果所有的通道发出的输出信号不相同),将开始一个安全状态。
参考文献:
DependabilityofCriticalComputerSystems1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0.
ElektronikinderSicherheitstechnik.H.Jürs,D.Reinert,SicherheitstechnischesInformationsundArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.
A.2.6具有自动检查装置的电器/电子元件
注–IEC61508-2的表A.3参考了这个技术/方法。
目标:
通过安全功能的周期检查来检测故障
描述:
在过程开始前已经被测试,并在合适的间隔周期反复测试。
仅在每个测试成功的条件下EUC才能继续运行。
参考文献:
DependabilityofCriticalComputerSystems1.F.J.Redmill,ElsevierAppliedScience,1988,ISBN1-85166-203-0.
ElektronikinderSicheiheitstechnik.H..Jürs,D.Reinert,SicherheitstechnischesInformationsundArbeitsblatt330220,BIA-Handbuch,Erich-SchmidtVerlag,Bielefeld,1993.
A.2.7相似信号监控
注IEC61508-2的表A.3和A.14参考了这个技术/方法。
目标:
提高测量信号的可信度
描述:
任何时候有了一个选择,相似信号相对于数字开/关优先使用。
例如,差错或者安全状态由相似信号电平代表,通常具有信号电平承受监控。
这个技术提供了连续监控和发射器中较高的可信度,并减少了必要的发射器感知功能的检验频率。
外部接口,例如脉冲管,同样需要测试。
参考文献:
UKOOAGuidelinesforInstrument-BasedSystems,UKOffshoreOperators
AssociationLimited,December1995.
A.2.8降低额定
目标:
提高硬件元件的可靠性
描述:
硬件元件运行在有系统设计所保证的最大等级以下。
降低额定是保证在所有正常运行的环境下,元件能够在最大压力水平下工作的很好的手段。
A.3处理单元
总体目标:
识别处理单元中导致错误结果的的故障
A.
升级会员 