IEC 61508 - IEC 61508

IEC 61508 je mezinárodní standard publikoval Mezinárodní elektrotechnická komise skládající se z metod, jak aplikovat, navrhnout, nasadit a udržovat automatické ochranné systémy zvané systémy související s bezpečností. Má název Funkční bezpečnost elektrických / elektronických / programovatelných elektronických bezpečnostních systémů (E / E / PE, nebo E / E / PES).

IEC 61508 je základní funkční bezpečnostní standard platný pro všechna průmyslová odvětví. Definuje funkční bezpečnost jako: „součást celkové bezpečnosti týkající se EUC (zařízení pod kontrolou) a řídicího systému EUC, která závisí na správném fungování bezpečnostních systémů E / E / PE, jiných bezpečnostních systémů souvisejících s technologií a externí zařízení ke snižování rizik. “ Základní koncept je, že jakýkoli systém související s bezpečností musí fungovat správně nebo musí selhat předvídatelným (bezpečným) způsobem.

Norma má dva základní principy:

  1. Inženýrský proces zvaný bezpečnostní životní cyklus je definován na základě osvědčených postupů za účelem odhalení a odstranění chyb a opomenutí návrhu.
  2. Pravděpodobnostní přístup k selhání, který zohledňuje bezpečnostní dopad selhání zařízení.

Životní cyklus bezpečnosti má 16 fází, které lze zhruba rozdělit do tří skupin následovně:

  1. Fázová 1–5 analýza adres
  2. Realizace adres ve fázích 6–13
  3. Fázové operace 14–16.

Všechny fáze se týkají bezpečnostní funkce systému.

Norma má sedm částí:

  • Části 1–3 obsahují požadavky normy (normativní)
  • Část 4 obsahuje definice
  • Části 5–7 jsou pokyny a příklady pro vývoj, a tedy informativní.

Středem standardu jsou koncepty pravděpodobnostního rizika pro každou bezpečnostní funkci. Riziko je funkcí frekvence (nebo pravděpodobnosti) nebezpečné události a závažnosti následků události. Riziko je sníženo na přijatelnou úroveň použitím bezpečnostních funkcí, které mohou sestávat z E / E / PES, přidružených mechanických zařízení nebo jiných technologií. Mnoho požadavků platí pro všechny technologie, ale zejména v části 3 je kladen velký důraz na programovatelnou elektroniku.

IEC 61508 má na rizika následující pohledy:

  • Nulového rizika nelze nikdy dosáhnout, lze snížit pouze pravděpodobnosti
  • Musí být snížena netolerovatelná rizika (ALARP )
  • Optimální a nákladově efektivní bezpečnosti je dosaženo, když je řešena v celém bezpečnostním životním cyklu

Specifické techniky zajišťují, aby nedocházelo k chybám a omylům během celého životního cyklu. Chyby zavedené kdekoli od počátečního konceptu, analýzy rizik, specifikace, designu, instalace, údržby a až po likvidaci by mohly podkopat i tu nejspolehlivější ochranu. IEC 61508 specifikuje techniky, které by měly být použity pro každou fázi životního cyklu.

Analýza rizik a rizik

Norma vyžaduje, aby bylo u zakázkových systémů provedeno posouzení rizik a rizik: „Riziko EUC (zařízení pod kontrolou) se vyhodnotí nebo odhadne pro každou určenou nebezpečnou událost“.

Norma radí, že „lze použít buď kvalitativní, nebo kvantitativní techniky analýzy rizik a rizik“, a nabízí návod k řadě přístupů. Jedním z nich je pro kvalitativní analýzu rizik rámec založený na 6 kategoriích pravděpodobnosti výskytu a 4 následcích.

Kategorie pravděpodobnosti výskytu

KategorieDefiniceRozsah (selhání za rok)
ČastéMnohokrát za život> 10−3
PravděpodobnýNěkolikrát za život10−3 do 10−4
PříležitostněJednou za život10−4 do 10−5
DálkovýNepravděpodobné za celý život10−5 do 10−6
NepravděpodobnýVelmi nepravděpodobné10−6 do 10−7
NeuvěřitelnýNemůžu uvěřit, že by k tomu mohlo dojít< 10−7

Kategorie důsledků

KategorieDefinice
KatastrofálníMnohočetné ztráty na životech
KritickýZtráta jediného života
OkrajovýTěžká zranění jedné nebo více osob
ZanedbatelnýV nejhorším případě lehká zranění

Ty se obvykle kombinují do matice tříd rizik

Následek
PravděpodobnostKatastrofálníKritickýOkrajovýZanedbatelný
ČastéII
PravděpodobnýIIIII
PříležitostněIIIIIIII
DálkovýIIIIIIIIIV
NepravděpodobnýIIIIIIIVIV
NeuvěřitelnýIVIVIVIV

Kde:

  • Třída I: Nepřijatelné za žádných okolností;
  • Třída II: Nežádoucí: přijatelné, pouze pokud je snížení rizika neproveditelné nebo pokud jsou náklady hrubě nepřiměřené k dosaženému zlepšení;
  • Třída III: Přípustná, pokud by náklady na snížení rizika převýšily zlepšení;
  • Třída IV: Je přijatelná, i když je třeba ji monitorovat.

Úroveň integrity bezpečnosti

The úroveň integrity bezpečnosti (SIL) poskytuje cíl, kterého je třeba dosáhnout pro každou bezpečnostní funkci. Úsilí o posouzení rizik přináší cílové SIL pro každou bezpečnostní funkci. U libovolného daného návrhu je dosažená úroveň SIL hodnocena třemi opatřeními:

1. Systematic Capability (SC), což je měřítkem kvality designu. Každé zařízení v designu má hodnocení SC. SIL bezpečnostní funkce je omezena na nejmenší SC hodnocení použitých zařízení. Požadavky na SC jsou uvedeny v sérii tabulek v části 2 a části 3. Mezi požadavky patří vhodná kontrola kvality, procesy řízení, techniky ověřování a ověřování, analýza poruch atd., Aby bylo možné rozumně zdůvodnit, že konečný systém dosáhne požadovaného SIL .

2. Omezení architektury, což jsou minimální úrovně redundance bezpečnosti, prezentované dvěma alternativními metodami - trasa 1h a trasa 2h.

3. Pravděpodobnost analýzy nebezpečných poruch[1]

Pravděpodobnostní analýza

Metrika pravděpodobnosti použitá v kroku 3 výše závisí na tom, zda bude funkční složka vystavena vysoký nebo nízký poptávka:

  • vysoká poptávka je definována jako více než jednou za rok a nízká poptávka je definována jako méně než nebo rovna jednou za rok (IEC-61508-4).
  • Pro funkce, které pracují nepřetržitě (nepřetržitý režim) nebo funkce, které pracují často (režim vysoké poptávky), určuje SIL povolenou frekvenci nebezpečných poruch.
  • U funkcí, které pracují přerušovaně (režim nízké poptávky), určuje SIL povolenou pravděpodobnost, že funkce na vyžádání neodpoví.

Všimněte si rozdílu mezi funkcí a systémem. Systém implementující funkci může být v provozu často (jako ECU pro nasazení airbagu), ale funkce (jako nasazení airbagu) může být občas vyžadována.

SIL Režim nízké poptávky:
průměrná pravděpodobnost selhání na vyžádání
Vysoký požadavek nebo nepřetržitý režim:
pravděpodobnost nebezpečné poruchy za hodinu
1≥ 10−2 až <10−1≥ 10−6 až <10−5
2≥ 10−3 až <10−2≥ 10−7 až <10−6
3≥ 10−4 až <10−3≥ 10−8 až <10−7 (1 nebezpečné selhání za 1140 let)
4≥ 10−5 až <10−4≥ 10−9 až <10−8

Certifikace IEC 61508

Certifikace je osvědčení třetí strany, že produkt, proces nebo systém splňuje všechny požadavky certifikačního programu. Tyto požadavky jsou uvedeny v dokumentu nazvaném certifikační schéma. Certifikační programy IEC 61508 provozují nestranné organizace zvané třetí stranou certifikační orgány (CB). Tyto certifikační orgány jsou akreditovány k provozování podle dalších mezinárodních standardů, včetně ISO / IEC 17065 a ISO / IEC 17025. Certifikační orgány jsou akreditovány k provádění auditů, hodnocení a testování akreditační orgán (AB). V každé zemi je často jeden národní AB. Tyto certifikační orgány fungují podle požadavků normy ISO / IEC 17011, což je norma, která obsahuje požadavky na odbornost, konzistenci a nestrannost akreditačních orgánů při akreditaci subjektů posuzování shody. AB jsou členy Mezinárodního akreditačního fóra (IAF) pro práci v systémech managementu, produktů, služeb a personální akreditace nebo Mezinárodní spolupráce v akreditaci laboratoří (ILAC) pro akreditaci laboratoří. Mnohostranné ujednání o uznání (MLA) mezi AB zajistí globální uznání akreditovaných CB. Certifikační programy IEC 61508 zavedlo několik globálních certifikačních orgánů. Každý z nich definoval své vlastní schéma založené na IEC 61508 a dalších standardech funkční bezpečnosti. Schéma uvádí uvedené normy a specifikuje postupy, které popisují jejich testovací metody, zásady dohledového auditu, zásady veřejné dokumentace a další konkrétní aspekty jejich programu. Certifikační programy IEC 61508 globálně nabízejí několik uznávaných certifikačních společností, včetně společností exida, TÜV Rheinland, TÜV Sud a TÜV Nord. Většina certifikací aktuálně vyráběných automatických ochranných zařízení (senzory, logické řešiče a koncová zařízení) byla dokončena společnostmi exida a TÜV Rheinland.

Varianty specifické pro dané odvětví / aplikaci

Automobilový software

ISO 26262 je adaptací normy IEC 61508 pro automobilové elektrické / elektronické systémy. Je široce přijímán hlavními výrobci automobilů.

Před zavedením normy ISO 26262 se na vývoj softwaru pro automobilové systémy související s bezpečností vztahovaly převážně pokyny asociace Motor Industry Software Reliability Association [1]. Projekt MISRA byl koncipován s cílem vyvinout pokyny pro tvorbu zabudovaného softwaru do elektronických systémů silničních vozidel. V listopadu 1994 byla zveřejněna sada pokynů pro vývoj softwaru pro vozidla.[2] Tento dokument poskytl první interpretaci zásad automobilového průmyslu týkající se principů tehdy vznikající normy IEC 61508.

Dnes je MISRA nejznámější pro své pokyny, jak používat jazyky C a C ++. MISRA C se stal de facto standardem pro vestavěné programování C ve většině průmyslových odvětví souvisejících s bezpečností a také se používá ke zlepšení kvality softwaru, i když bezpečnost není hlavním hlediskem. MISRA rovněž vypracovala pokyny pro používání vývoje založeného na modelech.

Železniční software

Norma IEC 62279 poskytuje specifickou interpretaci normy IEC 61508 pro železniční aplikace. Je určena na pokrytí vývoje softwaru pro řízení a ochranu železnic, včetně komunikačních, zabezpečovacích a zpracovatelských systémů.

Zpracovatelský průmysl

Sektor zpracovatelského průmyslu zahrnuje mnoho typů výrobních procesů, jako jsou rafinerie, petrochemický, chemický, farmaceutický, celulózový a papírenský průmysl a energetika. IEC 61511 je technická norma, která stanoví postupy při konstrukci systémů, které zajišťují bezpečnost průmyslového procesu pomocí přístrojového vybavení.

Jaderné elektrárny

IEC 61513 poskytuje požadavky a doporučení pro vybavení a řízení systémů důležitých pro bezpečnost jaderných elektráren. Udává obecné požadavky na systémy, které obsahují konvenční hardwarové zařízení, počítačové vybavení nebo kombinaci obou typů zařízení.

Stroje

IEC 62061 je implementace IEC 61508. specifická pro strojní zařízení. Poskytuje požadavky, které jsou použitelné pro návrh na úrovni systému všech typů elektrických řídicích systémů souvisejících s bezpečností strojního zařízení a také pro návrh nekomplexních subsystémů nebo zařízení.

Testovací software

Může být zapotřebí software napsaný v souladu s normou IEC 61508 jednotka testována, v závislosti na úrovni SIL, které musí dosáhnout. Hlavním požadavkem v Unit Testing je zajistit, aby byl software plně testován na funkční úrovni a aby všechny možné větve a cesty procházely softwarem. V některých vyšší Úroveň SIL aplikací, požadavek na pokrytí softwarovým kódem je mnohem přísnější a Pokrytí kódu MC / DC spíše než pouhé pokrytí větví se používá kritérium. K získání informací o pokrytí MC / DC (upravené podmínky / pokrytí rozhodnutí) bude potřeba nástroj Unit Testing, někdy označovaný jako nástroj Testování softwarového modulu.

Viz také

Reference

  1. ^ Vyhodnocení a spolehlivost bezpečnostních systémů. JE. 2010. ISBN  978-1-934394-80-9.
  2. ^ Pokyny pro vývoj softwaru založeného na vozidlech. MISRA. 1994. ISBN  0952415607.

Další čtení

Učebnice

  • W. Goble, „Vyhodnocení a spolehlivost bezpečnosti řídicích systémů“ (3. vydání ISBN  978-1-934394-80-9, Vázaná kniha, 458 stran).
  • I. van Beurden, W. Goble, „Techniky a ověřování designu bezpečnostních přístrojových systémů“ (1. vydání) ISBN  978-1-945541-43-8, 430 stran).
  • M.J.M. Houtermans, „SIL a funkční bezpečnost v kostce“ (Risknowlogy Best Practices, 1. vydání, eBook ve formátu PDF, ePub a iBook, 40 stránek) SIL a funkční bezpečnost v kostce - eBook představující SIL a funkční bezpečnost
  • M. Medoff, R. Faller, „Funkční bezpečnost - vývojový proces vyhovující normě IEC 61508 SIL 3“ (3. vydání, ISBN  978-1-934977-08-8 Pevná vazba, 371 stránek, www.exida.com)
  • C. O'Brien, L. Stewart, L. Bredemeyer, „Final Elements in Safety Instrumented Systems - IEC 61511 Compliant Systems and IEC 61508 Compliant Products“ (1. vydání, 2018, ISBN  978-1-934977-18-7, Vázaná kniha, 305 stran, www.exida.com)
  • Münch, Jürgen; Armbrust, Ove; Soto, Martín; Kowalczyk, Martin. „Definice a správa softwarových procesů“, Springer, 2012.
  • M.Punch, "Funkční bezpečnost pro těžební průmysl - integrovaný přístup využívající AS (IEC) 61508, AS (IEC) 62061 a AS4024.1." (1. vydání, ISBN  978-0-9807660-0-4, brožovaný papír A4, 150 stran).
  • D.Smith, K Simpson, „Příručka bezpečnostních kritických systémů: Přímý průvodce funkční bezpečností, IEC 61508 (vydání 2010) a související normy, včetně procesu IEC 61511 a strojů IEC 62061 a ISO 13849“ (3. vydání) ISBN  978-0-08-096781-3, Vázaná kniha, 288 stránek).

externí odkazy