IEC 61508 - IEC 61508

IEC 61508 to międzynarodowa norma opublikowana przez Międzynarodową Komisję Elektrotechniczną, obejmująca metody stosowania, projektowania, wdrażania i konserwacji automatycznych systemów zabezpieczających zwanych systemami związanymi z bezpieczeństwem. Nosi on tytuł Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem ( E/E/PE lub E/E/PES ).

IEC 61508 to podstawowa norma bezpieczeństwa funkcjonalnego mająca zastosowanie we wszystkich gałęziach przemysłu. Definiuje bezpieczeństwo funkcjonalne jako: „część ogólnego bezpieczeństwa związanego z EUC (urządzenie pod kontrolą) i systemem sterowania EUC, który zależy od prawidłowego funkcjonowania systemów związanych z bezpieczeństwem E/E/PE, innych systemów związanych z bezpieczeństwem technologii oraz zewnętrzne urządzenia do redukcji ryzyka.” Podstawową koncepcją jest to, że każdy system związany z bezpieczeństwem musi działać poprawnie lub ulegać awarii w przewidywalny (bezpieczny) sposób.

Norma ma dwie podstawowe zasady:

Proces inżynieryjny zwany cyklem życia bezpieczeństwa jest definiowany w oparciu o najlepsze praktyki w celu wykrycia i wyeliminowania błędów projektowych i pominięć.
Podejście probabilistyczne uwzględniające wpływ awarii urządzeń na bezpieczeństwo.

Cykl życia bezpieczeństwa składa się z 16 faz, które z grubsza można podzielić na trzy grupy w następujący sposób:

Fazy 1–5 analiza adresu
Etapy 6–13 realizacja adresu
Fazy 14-16 adres pracy.

Wszystkie fazy dotyczą funkcji bezpieczeństwa systemu.

Norma składa się z siedmiu części:

Części 1–3 zawierają wymagania normy (normatywne)
Część 4 zawiera definicje
Części 5–7 są wskazówkami i przykładami rozwoju, a zatem mają charakter informacyjny.

Centralne dla normy są koncepcje ryzyka probabilistycznego dla każdej funkcji bezpieczeństwa. Ryzyko jest funkcją częstotliwości (lub prawdopodobieństwa) niebezpiecznego zdarzenia oraz dotkliwości konsekwencji zdarzenia. Ryzyko jest zredukowane do dopuszczalnego poziomu poprzez zastosowanie funkcji bezpieczeństwa, które mogą składać się z E/E/PES, powiązanych urządzeń mechanicznych lub innych technologii. Wiele wymagań dotyczy wszystkich technologii, ale duży nacisk kładzie się na programowalną elektronikę, szczególnie w części 3.

IEC 61508 ma następujące poglądy na ryzyko:

Nigdy nie można osiągnąć zerowego ryzyka, można zmniejszyć tylko prawdopodobieństwo
Ryzyko niedopuszczalne musi zostać zmniejszone ( ALARP )
Optymalne, opłacalne bezpieczeństwo osiąga się, gdy uwzględnia się je w całym cyklu życia bezpieczeństwa

Specyficzne techniki zapewniają unikanie błędów i błędów w całym cyklu życia. Błędy wprowadzone w dowolnym miejscu, począwszy od początkowej koncepcji, analizy ryzyka, specyfikacji, projektu, instalacji, konserwacji aż do utylizacji, mogą podważyć nawet najbardziej niezawodną ochronę. IEC 61508 określa techniki, które należy stosować w każdej fazie cyklu życia.

Analiza zagrożeń i ryzyka

Norma wymaga, aby ocena zagrożenia i ryzyka była przeprowadzana dla systemów wykonywanych na zamówienie: „Ryzyko EUC (urządzeń pod kontrolą) należy ocenić lub oszacować dla każdego określonego niebezpiecznego zdarzenia”.

Norma zaleca, aby „można stosować jakościowe lub ilościowe techniki analizy zagrożeń i ryzyka” i zawiera wskazówki dotyczące szeregu podejść. Jednym z nich, dla jakościowej analizy zagrożeń, są ramy oparte na 6 kategoriach prawdopodobieństwa wystąpienia i 4 następstwach.

Kategorie prawdopodobieństwa wystąpienia

Kategoria	Definicja	Zakres (awarie rocznie)
Częsty	Wiele razy w życiu	> ^10-3
Prawdopodobny	Kilka razy w życiu	10 ^-3 10 ^-4
Okolicznościowy	Raz w życiu	10 ^-4 10 ^-5
Zdalny	Mało prawdopodobne za życia	10 ^-5 10 ^-6
Nieprawdopodobny	Wystąpienie bardzo mało prawdopodobne	10 ^-6 10 ^-7
Niesamowity	Nie mogę uwierzyć, że to może się zdarzyć	< ^10-7

Kategorie konsekwencji

Kategoria	Definicja
Katastrofalny	Wielokrotna utrata życia
Krytyczny	Utrata jednego życia
Marginalny	Poważne obrażenia jednej lub więcej osób
Nieistotny	W najgorszym przypadku drobne urazy

Są one zazwyczaj łączone w macierz klas ryzyka

	Konsekwencja
Prawdopodobieństwo	Katastrofalny	Krytyczny	Marginalny	Nieistotny
Częsty	i	i	i	II
Prawdopodobny	i	i	II	III
Okolicznościowy	i	II	III	III
Zdalny	II	III	III	IV
Nieprawdopodobny	III	III	IV	IV
Niesamowity	IV	IV	IV	IV

Gdzie:

Klasa I: niedopuszczalne w żadnych okolicznościach;
Klasa II: Niepożądane: tolerowane tylko wtedy, gdy zmniejszenie ryzyka jest niewykonalne lub jeśli koszty są rażąco nieproporcjonalne do uzyskanej poprawy;
Klasa III: tolerowane, jeżeli koszt zmniejszenia ryzyka przekraczałby poprawę;
Klasa IV: do przyjęcia w obecnej formie, choć może wymagać monitorowania.

Poziom nienaruszalności bezpieczeństwa

Poziom nienaruszalności bezpieczeństwa (SIL) stanowi cel do osiągnięcia dla każdej funkcji bezpieczeństwa. Wysiłek związany z oceną ryzyka daje docelowy poziom SIL dla każdej funkcji bezpieczeństwa. Dla dowolnego projektu osiągnięty poziom SIL jest oceniany za pomocą trzech mierników:

1. Systematyczna zdolność (SC), która jest miarą jakości projektu. Każde urządzenie w projekcie ma ocenę SC. SIL funkcji bezpieczeństwa jest ograniczony do najmniejszej wartości SC zastosowanych urządzeń. Wymagania dotyczące SC są przedstawione w szeregu tabel w Części 2 i Części 3. Wymagania obejmują odpowiednią kontrolę jakości, procesy zarządzania, techniki walidacji i weryfikacji, analizę awarii itp., aby można było racjonalnie uzasadnić, że końcowy system osiąga wymagany SIL .

2. Ograniczenia architektoniczne, które są minimalnymi poziomami nadmiarowości bezpieczeństwa przedstawionymi za pomocą dwóch alternatywnych metod - Trasy 1h i Trasy 2h.

3. Analiza prawdopodobieństwa niebezpiecznej awarii

Analiza probabilistyczna

Miernik prawdopodobieństwa użyty w kroku 3 powyżej zależy od tego, czy składnik funkcjonalny będzie narażony na wysokie czy niskie zapotrzebowanie:

wysoki popyt definiuje się jako więcej niż raz w roku, a niski popyt definiuje się jako mniejszy lub równy raz w roku (IEC-61508-4).
Dla funkcji, które działają w sposób ciągły (tryb ciągły) lub funkcji, które działają często (tryb wysokiego zapotrzebowania), SIL określa dopuszczalną częstotliwość niebezpiecznej awarii.
W przypadku funkcji, które działają z przerwami (tryb niskiego zapotrzebowania), SIL określa dopuszczalne prawdopodobieństwo, że funkcja nie zareaguje na żądanie.

Zwróć uwagę na różnicę między funkcją a systemem. System realizujący tę funkcję może być często używany (jak ECU do wyzwolenia poduszki powietrznej), ale funkcja (jak wyzwolenie poduszki powietrznej) może być poszukiwana z przerwami.

SIL	Tryb niskiego zapotrzebowania: średnie prawdopodobieństwo awarii na żądanie	Tryb wysokiego zapotrzebowania lub tryb ciągły: prawdopodobieństwo niebezpiecznej awarii na godzinę
1	≥ 10 ^-2 do < 10 ^-1	≥ 10 ^-6 do < 10 ^-5
2	≥ 10 ^-3 do < 10 ^-2	≥ 10 ^-7 do < 10 ^-6
3	≥ 10 ^-4 do < 10 ^-3	≥ 10 ^-8 do < 10 ^-7 (1 niebezpieczna awaria w 1140 lat)
4	≥ 10 ^-5 do < 10 ^-4	≥ 10 ^-9 do < 10 ^-8

Certyfikacja IEC 61508

Certyfikacja to poświadczenie strony trzeciej, że produkt, proces lub system spełnia wszystkie wymagania programu certyfikacji. Wymagania te są wymienione w dokumencie zwanym schematem certyfikacji. Programy certyfikacji IEC 61508 są obsługiwane przez bezstronne organizacje zewnętrzne zwane jednostkami certyfikującymi (CB). Te jednostki certyfikujące są akredytowane do działania zgodnie z innymi normami międzynarodowymi, w tym ISO/IEC 17065 i ISO/IEC 17025. Jednostki certyfikujące są akredytowane do przeprowadzania audytów, oceny i prac testowych przez jednostkę akredytującą (AB). W każdym kraju jest często jedna krajowa AB. Te jednostki akredytujące działają zgodnie z wymaganiami normy ISO/IEC 17011, która zawiera wymagania dotyczące kompetencji, spójności i bezstronności jednostek akredytujących podczas akredytacji jednostek oceniających zgodność. ABs są członkami Międzynarodowego Forum Akredytacji (IAF) w zakresie akredytacji systemów zarządzania, produktów, usług i personelu lub Międzynarodowej Współpracy w zakresie Akredytacji Laboratoriów (ILAC) w zakresie akredytacji laboratoriów. Wielostronne porozumienie o uznawaniu (MLA) pomiędzy AB zapewni globalne uznanie akredytowanych CB. Programy certyfikacji IEC 61508 zostały ustanowione przez kilka globalnych jednostek certyfikujących. Każdy z nich zdefiniował własny schemat oparty na normie IEC 61508 i innych normach bezpieczeństwa funkcjonalnego. Schemat zawiera wykaz norm i określa procedury opisujące ich metody testowania, politykę audytu nadzoru, politykę dokumentacji publicznej i inne specyficzne aspekty ich programu. Programy certyfikacji IEC 61508 są oferowane na całym świecie przez kilka uznanych CB, w tym Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD i UL .

Warianty specyficzne dla branży/zastosowania

Automobilowy

ISO 26262 jest adaptacją normy IEC 61508 dla samochodowych systemów elektrycznych/elektronicznych. Jest szeroko stosowany przez największych producentów samochodów.

Przed wprowadzeniem normy ISO 26262 rozwój oprogramowania dla systemów samochodowych związanych z bezpieczeństwem był głównie objęty wytycznymi stowarzyszenia Motor Industry Software Reliability Association (MISRA). Projekt MISRA powstał w celu opracowania wytycznych dotyczących tworzenia oprogramowania wbudowanego w systemach elektronicznych pojazdów drogowych. Zestaw wytycznych dotyczących rozwoju oprogramowania opartego na pojazdach został opublikowany w listopadzie 1994 roku. Dokument ten stanowił pierwszą dla przemysłu motoryzacyjnego interpretację zasad powstającej wówczas normy IEC 61508.

Dzisiaj MISRA jest najbardziej znana ze swoich wytycznych dotyczących używania języków C i C++. MISRA C stał się de facto standardem dla wbudowanego programowania w języku C w większości branż związanych z bezpieczeństwem, a także służy do poprawy jakości oprogramowania, nawet tam, gdzie bezpieczeństwo nie jest głównym czynnikiem.

Szyna

IEC 62279 zapewnia specyficzną interpretację normy IEC 61508 dla zastosowań kolejowych. Ma on obejmować rozwój oprogramowania do sterowania i ochrony kolei, w tym systemów łączności, sygnalizacji i przetwarzania.

Przemysł przetwórczy

Sektor przemysłu przetwórczego obejmuje wiele rodzajów procesów produkcyjnych, takich jak rafinerie, petrochemia, chemia, farmaceutyka, celuloza i papier oraz energetyka. IEC 61511 to norma techniczna, która określa praktyki w inżynierii systemów, które zapewniają bezpieczeństwo procesu przemysłowego poprzez zastosowanie oprzyrządowania.

Elektrownie

IEC 61513 zawiera wymagania i zalecenia dotyczące oprzyrządowania i sterowania dla systemów ważnych dla bezpieczeństwa elektrowni jądrowych. Wskazuje ogólne wymagania dla systemów, które zawierają konwencjonalny sprzęt przewodowy, sprzęt komputerowy lub kombinację obu typów sprzętu. Przeglądowa lista norm bezpieczeństwa specyficznych dla elektrowni jądrowych jest publikowana przez ISO.

Maszyneria

IEC 62061 jest implementacją normy IEC 61508 specyficzną dla maszyn. Zawiera wymagania, które mają zastosowanie do projektowania na poziomie systemu wszystkich typów elektrycznych systemów sterowania związanych z bezpieczeństwem maszyn, a także do projektowania niezłożonych podsystemów lub urządzeń.

Oprogramowanie testowe

Oprogramowanie napisane zgodnie z normą IEC 61508 może wymagać testów jednostkowych , w zależności od wymaganego poziomu SIL. Głównym wymaganiem w testach jednostkowych jest upewnienie się, że oprogramowanie jest w pełni przetestowane na poziomie funkcji i że wszystkie możliwe gałęzie i ścieżki są obierane przez oprogramowanie. W niektórych aplikacjach o wyższym poziomie SIL wymagania dotyczące pokrycia kodu oprogramowania są znacznie surowsze i zamiast prostego pokrycia gałęzi stosuje się kryterium pokrycia kodu MC/DC . Aby uzyskać informacje o zasięgu MC/DC (zmodyfikowany stan/pokrycie decyzji), potrzebne jest narzędzie do testowania jednostkowego, czasami określane jako narzędzie do testowania modułów oprogramowania.

Zobacz też

Bezpieczeństwo funkcjonalne
Standardy bezpieczeństwa
FMEDA
Fałszywy poziom podróży
System wyzwalany czasowo (architektura oprogramowania używana do osiągnięcia zgodności z normą IEC 61508)
Jakość oprogramowania

Bibliografia

^ Ocena bezpieczeństwa i niezawodności systemów sterowania . JEST. 2010. ISBN 978-1-934394-80-9.
^ Hamann, Reinhold; Sauler, Jürgen; Kriso, Stefana; Grote, Walterze; Mössinger, Jürgen (2009-04-20). „Zastosowanie normy ISO 26262 w rozwoju rozproszonym ISO 26262 w rzeczywistości” . Seria papieru technicznego SAE . 400 Commonwealth Drive, Warrendale, PA, Stany Zjednoczone: SAE International. doi : 10.4271/2009-01-0758 .CS1 maint: lokalizacja ( link )
^ ^a ^b ^c "Strona internetowa MISRA > MISRA Strona główna > Krótka historia MISRA" . www.misra.org.uk . Źródło 2021-02-23 .
^ Wytyczne dotyczące rozwoju oprogramowania opartego na pojazdach . MISRA. 1994. ISBN 0952415607.
^ „Witryna internetowa MISRA > Aktualności” . www.misra.org.uk . Źródło 2021-02-23 .
^ „ISO - 27.120.20 - Elektrownie jądrowe. Bezpieczeństwo” . www.iso.org . Źródło 2021-02-23 .

Dalsza lektura

Powiązane normy bezpieczeństwa

ISO 26262 (jest adaptacją normy IEC 61508 z niewielkimi różnicami)
IEC 60730 (gospodarstwo domowe)
DO-178C (lotniczy)

Podręczniki

W. Goble, „Control Systems Safety Evaluation and Reliability” (3 wydanie ISBN 978-1-934394-80-9 , twarda oprawa, 458 stron).
I. van Beurden, W. Goble, „Techniki projektowania systemów bezpieczeństwa i weryfikacji projektu” (wydanie 1 ISBN 978-1-945541-43-8 , 430 stron).
MJM Houtermans, „SIL i bezpieczeństwo funkcjonalne w pigułce” (Najlepsze praktyki w zakresie ryzyka, wydanie 1, eBook w formacie PDF, ePub i iBook, 40 stron) SIL i bezpieczeństwo funkcjonalne w pigułce - eBook przedstawiający SIL i bezpieczeństwo funkcjonalne
M. Medoff, R. Faller, „Bezpieczeństwo funkcjonalne — proces rozwoju zgodny z normą IEC 61508 SIL 3” (wydanie trzecie, ISBN 978-1-934977-08-8 Oprawa twarda, strony 371, www.exida.com)
C. O'Brien, L. Stewart, L. Bredemeyer, "Elementy końcowe w przyrządowych systemach bezpieczeństwa - systemy zgodne z normą IEC 61511 i produkty zgodne z normą IEC 61508" (wydanie 1, 2018, ISBN 978-1-934977-18-7 , oprawa twarda , 305 stron, www.exida.com)
Munch, Jürgen; Armbrust, Ove; Soto, Martín; Kowalczyk, Marcin. „Definicja i zarządzanie procesem oprogramowania”, Springer, 2012.
M.Punch, „Bezpieczeństwo funkcjonalne w przemyśle wydobywczym – zintegrowane podejście wykorzystujące AS(IEC)61508, AS(IEC) 62061 i AS4024.1.” (Wydanie 1, ISBN 978-0-9807660-0-4 , w miękkiej okładce A4, 150 stron).
D.Smith, K Simpson, „Safety Critical Systems Handbook: A Straightforward Guide to Functional Safety, IEC 61508 (wydanie 2010) i powiązane normy, w tym proces IEC 61511 oraz maszyny IEC 62061 i ISO 13849” (wydanie trzecie ISBN 978-0- 08-096781-3 , Twarda okładka, 288 stron).

Zewnętrzne linki

IEC 61508-1:2010 Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem — część 1
"IEC 61508" w Międzynarodowej Komisji Elektrotechnicznej
Strefa bezpieczeństwa funkcjonalnego IEC
61508 Stowarzyszenie Międzybranżowa grupa organizacji zainteresowanych uzyskaniem niezawodnej i efektywnej kosztowo metody wykazania zgodności z normą IEC 61508 i powiązanymi normami.

^ „Związek między ISO 26262 i IEC 61508” . ez.analog.com . Pobrano 2021-04-11 .
^ „Motoryzacja a przemysłowe bezpieczeństwo funkcjonalne” . ez.analog.com . Pobrano 2021-04-11 .
^ „IEC 60730-1: 2013 + AMD1: 2015 + AMD2: 2020 CSV | IEC Webstore” . sklep.iec.ch . Pobrano 2021-04-11 .

[1] Ocena bezpieczeństwa i niezawodności systemów sterowania . JEST. 2010. ISBN 978-1-934394-80-9.

[2] Hamann, Reinhold; Sauler, Jürgen; Kriso, Stefana; Grote, Walterze; Mössinger, Jürgen (2009-04-20). „Zastosowanie normy ISO 26262 w rozwoju rozproszonym ISO 26262 w rzeczywistości” . Seria papieru technicznego SAE . 400 Commonwealth Drive, Warrendale, PA, Stany Zjednoczone: SAE International. doi : 10.4271/2009-01-0758 .CS1 maint: lokalizacja ( link )

[:0-3] "Strona internetowa MISRA > MISRA Strona główna > Krótka historia MISRA" . www.misra.org.uk . Źródło 2021-02-23 .

[4] Wytyczne dotyczące rozwoju oprogramowania opartego na pojazdach . MISRA. 1994. ISBN 0952415607.

[5] „Witryna internetowa MISRA > Aktualności” . www.misra.org.uk . Źródło 2021-02-23 .

[6] „ISO - 27.120.20 - Elektrownie jądrowe. Bezpieczeństwo” . www.iso.org . Źródło 2021-02-23 .

[7] „Związek między ISO 26262 i IEC 61508” . ez.analog.com . Pobrano 2021-04-11 .

[8] „Motoryzacja a przemysłowe bezpieczeństwo funkcjonalne” . ez.analog.com . Pobrano 2021-04-11 .

[9] „IEC 60730-1: 2013 + AMD1: 2015 + AMD2: 2020 CSV | IEC Webstore” . sklep.iec.ch . Pobrano 2021-04-11 .

Languages

In other projects