IEC61508功能安全标准进化简史
-致敬2020
时光如流水,又到年终总结时。去年学习了SIL验算的小白工程师们,2020年,你们完成了什么任务,有了哪些进步,学到了什么样的经验和教训?听到这些个令人头疼的问题,有没有想分分钟替换了下面的模板,交给领导完事。
“我叫唐三藏,又名唐僧。为弘扬佛法,普度众生超度亡魂。根据《公元627年大唐工作安排》(唐发[627]1号)的精神,成立唐三藏取经办公室,奉命到西天拜佛求经。取经办公室师徒4人历时14年,行程十万八千里,经历九九八十一难,终于取得了我佛大乘真经,圆满地完成了取经任务。”(此处奇怪的知识点:唐僧十四年的九九八十一难,平均每年5.78难)。
然而,论打怪升级做任务,即便是有保镖徒弟护身的唐僧,怕也感慨2020的特别艰辛吧。2020,时光不仅仅是流水,时光还是全世界都混乱惊惧并存,无奈和坚忍交替,失望中掺杂希望,跌宕起伏五味杂陈的一年。大多数的亲历2020年的人仍依旧记忆如新:刷过口罩抢过菜,囤积过大米或者厕纸,画地为过牢,坐家观过天,敬过居家小神兽,愁过去不了的医院看不了的病,看着各种奇怪反智新闻问过自己,这世界为什么忽然变得这么难懂?这60年一轮的庚子年(多数人也许只能经历一次)好好刷了一下自己的存在感,以后的几十年甚至百年之后,都不会被忘记在历史长河中了
2020年也从所未有这样深刻地体现出,认知层面的分歧会带来怎样截然不同的后果。就像安全这件事,虽然知道安全重要,然而什么是安全,什么是危险,什么样的危险采用什么有效措施可以保证安全,不同的人从经验学到不同的观念,对于立场不同的人,认知也必然不同。首先确立行业内统一定义的标准才是执行安全的正确打开方式,安全标准也不是一夜之间一蹴而就编出来得,所有的约束和规定后面都有前人多年积累的经验教训和惨痛的事故为背书。
以史为鉴,观察下安全标准形成的历史,看看我们能发掘出什么样的脉络。
对于过程工业,Hazop/SIL分析中使用两个基本标准IEC61508/IEC61511。IEC61508是由国际电工委员会(IEC)发行的行业相关标准。该标准分为八个部分:
●IEC61508-0,功能安全和IEC61508
● IEC61508-1,一般要求
● IEC61508-2,E/E/PE安全相关系统的要求
● IEC61508-3,软件要求
● IEC61508-4,定义和缩写
● IEC61508-5,确定安全完整性等级的实例和方法
● IEC61508-6,IEC61508-2和IEC61508-3的应用指南
● IEC61508-7,技术和措施概述
IEC61508在英国已被采用为BSEN61508,其中“EN”表示也被欧洲电工标准化组织CENELEC采用。Part1-7于1998-2000年之间陆续发表(目前已经更新到2010版),Part 0发表于2005年。
70年代起,简易的单/双通道冗余系统被设计出来执行安全性能,并建立了故障准则(Fault criteria),安全失效(Failure to safety)的概念,对于非可编程元件总结出了标准BS5304 “Code of practice: Safe guarding of machinery”-1975
80年代至90年代中期,随着计算机技术的发展,更多可编程电子部件的应用,和人们认知的发展,发现由于系统失效或者故障、软件的问题、安全相关元器件、零部件的失效或故障、引发的危险越来越频繁,甚至会造成巨大的人员及财产损失。为了更好的解决这些出现的问题,一些关键概念发展起来,成为了后来IEC61508形成的基石,例如,
●功能安全的有效管理(Effective management of functional safety)
● 安全生命周期方法(safety lifecycle approach)
●危险的随机硬件故障(dangerous random hardware failures)
● 危险的系统故障(dangerous systematic failures)
● 安全完整性等级(Safety Integrity Level)
● 量化目标失效措施(Quantified Target Failure Measures)等等,
还提出了应说明并判断参与任何安全生命周期活动的人员的能力,同时需要对所有安全生命周期活动包括功能安全评估,功能安全审核,验证和确认,采取保证措施,这些措施不仅涉及硬件也是与软件相关。
从一堆眼花缭乱的名词中间,不难看出从这些新兴的实践和理念中,最终形成的IEC61508标准试图建立一个体系,首先定义了功能安全(functional safety)这一概念,意即“功能安全是与受控设备(Equipment Under Control)和受控设备控制系统有关的整体安全的组成部分,它取决于E/E/PE(Electrical/Electronic/Programmable Equipment)安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确执行”,围绕这一概念,其后详细规定了功能安全的具体要求、分类(SIL:Safety Integrity Level)和做法;对设备的整个生命周期的安全要求则包含了从设备的安全需求规范(Safety Requirement Specification)开始到产品验证(Product Validation)的开发全过程,还包括了过程中的所有相关的功能安全管理及文档规范;从初期BS5304的定性方法转入量化与安全相关的控制系统及风险等级分类,让设计者和最终用户可以定量评估和了解设备的风险情况,在可控的安全范围内将其安全性能使用到最合适的程度。
IEC61508是一个可以独立使用的标准,但同时也可以作为一个基础衍生出别的行业标准,与IEC61508相关的行业特定标准包括:
● IEC61511过程工业
● IEC61513核电站
● IEC62061机械部门
● IEC61800-5-2动力驱动系统
随着计算机技术的发展和应用,IEC61508逐渐成形,不断被修订调整以更好地服务于安全需求,而基于IEC61508开发的SIL验算软件,追求不断进化的RiskCloud,在风云诡异的2020年经历了很多风风雨雨。
还记得电影《甲方乙方》里面那句台词吗?葛优说,“1997年要过去了,我很怀念它“,还有短短的几天,2020年就要结束了,你会怀念它吗?
再次送上以下文章
小白学SIL验算
RiskCloud与《SIL定级与验证》征集SIL证书送书活动
参考文献:
Ron Bell. 2006. Introduction to IEC 61508. In Proceedings of the 10th Australian workshop on Safety critical systems and software - Volume 55 (SCS '05). Australian Computer Society, Inc., AUS, 3–12.
欢迎交流探讨