МЭК 61508

Международный стандарт для систем безопасности

IEC 61508 — это международный стандарт , опубликованный Международной электротехнической комиссией (МЭК), состоящий из методов применения, проектирования, развертывания и обслуживания автоматических систем защиты, называемых системами безопасности. Он называется « Функциональная безопасность электрических/электронных/программируемых электронных систем безопасности» ( E/E/PE или E/E/PES ).

IEC 61508 — это базовый стандарт функциональной безопасности, применимый ко всем отраслям промышленности. Он определяет функциональную безопасность как: «часть общей безопасности, относящуюся к EUC (Equipment Under Control — контролируемое оборудование) и системе управления EUC, которая зависит от правильного функционирования систем безопасности E/E/PE, других технологических систем безопасности и внешних средств снижения риска». Основная концепция заключается в том, что любая система безопасности должна работать правильно или выходить из строя предсказуемым (безопасным) образом.

Стандарт имеет два основополагающих принципа:

Инженерный процесс, называемый жизненным циклом безопасности , определяется на основе передового опыта с целью обнаружения и устранения ошибок и упущений в проекте.
Вероятностный подход к отказу для учета влияния отказов устройств на безопасность.

Жизненный цикл безопасности состоит из 16 фаз, которые можно условно разделить на три группы следующим образом:

Анализ адресов на этапах 1–5
Фазы 6–13 направлены на реализацию
Фазы 14–16 посвящены эксплуатации.

Все фазы связаны с функцией безопасности системы.

Стандарт состоит из семи частей:

Части 1–3 содержат требования стандарта (нормативные)
Часть 4 содержит определения
Части 5–7 представляют собой рекомендации и примеры для разработки и поэтому носят информативный характер.

Центральными элементами стандарта являются концепции вероятностного риска для каждой функции безопасности. Риск является функцией частоты (или вероятности) опасного события и тяжести последствий события. Риск снижается до приемлемого уровня путем применения функций безопасности, которые могут состоять из E/E/PES, связанных механических устройств или других технологий. Многие требования применяются ко всем технологиям, но особое внимание уделяется программируемой электронике, особенно в Части 3.

В стандарте IEC 61508 изложены следующие взгляды на риски:

Нулевого риска достичь невозможно, можно только уменьшить вероятность
Недопустимые риски должны быть снижены ( ALARP )
Оптимальная и экономически эффективная безопасность достигается при ее реализации на протяжении всего жизненного цикла безопасности.

Специальные методы гарантируют, что ошибки и погрешности будут исключены на протяжении всего жизненного цикла. Ошибки, допущенные где-либо, от первоначальной концепции, анализа рисков, спецификации, проектирования, установки, обслуживания и до утилизации, могут подорвать даже самую надежную защиту. IEC 61508 определяет методы, которые следует использовать на каждом этапе жизненного цикла. Семь частей первого издания IEC 61508 были опубликованы в 1998 и 2000 годах. Второе издание было опубликовано в 2010 году.

Анализ опасностей и рисков

Стандарт требует проведения оценки опасностей и рисков для индивидуальных систем: «Риск EUC (контролируемого оборудования) должен быть оценен или рассчитан для каждого определенного опасного события».

Стандарт рекомендует «использовать как качественные, так и количественные методы анализа опасностей и рисков» и предлагает руководство по ряду подходов. Один из них, для качественного анализа опасностей, представляет собой структуру, основанную на 6 категориях вероятности возникновения и 4 категориях последствий.

Категории вероятности возникновения

Категория	Определение	Диапазон (отказов в год)
Частый	Много раз в жизни	> 10 ⁻³
Вероятный	Несколько раз в жизни	10−3 до ¹⁰⁻⁴
Случайный	Один раз в жизни	10−4 до ¹⁰⁻⁵
Удаленный	Маловероятно при жизни	10−5 до ¹⁰⁻⁶
Невероятно	Очень маловероятно, что это произойдет.	10 ⁻⁶ до 10 ⁻⁷
Невероятный	Не могу поверить, что это могло произойти.	< 10 ⁻⁷

Категории последствий

Категория	Определение
Катастрофический	Многочисленные потери жизни
Критический	Потеря одной жизни
Маргинальный	Тяжёлые травмы одного или нескольких человек
Незначительный	В худшем случае — незначительные травмы

Обычно они объединяются в матрицу классов риска.

	Последствие
Вероятность	Катастрофический	Критический	Маргинальный	Незначительный
Частый	я	я	я	II
Вероятный	я	я	II	III
Случайный	я	II	III	III
Удаленный	II	III	III	IV
Невероятно	III	III	IV	IV
Невероятный	IV	IV	IV	IV

Где:

Класс I: Неприемлемо ни при каких обстоятельствах;
Класс II: Нежелательно: допустимо только в том случае, если снижение риска неосуществимо или если затраты явно несоразмерны полученному улучшению;
Класс III: Приемлемый, если стоимость снижения риска превысит стоимость улучшения;
Класс IV: Приемлемо в нынешнем виде, хотя может потребоваться контроль.

Уровень безопасности

Уровень полноты безопасности (SIL) обеспечивает цель, которую необходимо достичь для каждой функции безопасности. Оценка риска дает целевой SIL для каждой функции безопасности. Для любой заданной конструкции достигнутый SIL оценивается тремя показателями:

1. Систематическая возможность (SC), которая является мерой качества проектирования. Каждое устройство в проекте имеет рейтинг SC. SIL функции безопасности ограничен наименьшим рейтингом SC используемых устройств. Требования к SC представлены в серии таблиц в Части 2 и Части 3. Требования включают соответствующий контроль качества, процессы управления, методы валидации и верификации, анализ отказов и т. д., чтобы можно было обоснованно обосновать, что конечная система достигает требуемого SIL.

2. Архитектурные ограничения, которые представляют собой минимальные уровни избыточности безопасности, представленные двумя альтернативными методами — Маршрут 1h и Маршрут 2h.

3. Анализ вероятности опасного отказа ^[1]

Вероятностный анализ

Метрика вероятности, используемая на шаге 3 выше, зависит от того, будет ли функциональный компонент подвергаться высокому или низкому спросу:

Высокий спрос определяется как более одного раза в год, а низкий спрос определяется как менее или равный одному разу в год (IEC-61508-4).
Для функций, которые работают непрерывно (непрерывный режим), или функций, которые работают часто (режим высокой нагрузки), SIL определяет допустимую частоту опасных отказов.
Для функций, которые работают с перерывами (режим низкого спроса), SIL определяет допустимую вероятность того, что функция не отреагирует на запрос.

Обратите внимание на разницу между функцией и системой. Система, реализующая функцию, может работать часто (например, ЭБУ для развертывания подушки безопасности), но сама функция (например, развертывание подушки безопасности) может быть востребована периодически.

СИЛ	Режим низкого спроса: средняя вероятность отказа по требованию	Высокий спрос или непрерывный режим: вероятность опасного отказа в час
1	≥ 10−2 ^до < ¹⁰⁻¹	≥ 10−6 ^до < ¹⁰⁻⁵
2	≥ 10−3 ^до < ¹⁰⁻²	≥ 10−7 ^до < ¹⁰⁻⁶
3	≥ 10−4 ^до < ¹⁰⁻³	≥ 10−8 ^до < 10−7 ⁽ 1 опасный отказ за 1140 лет)
4	≥ 10−5 ^до < ¹⁰⁻⁴	≥ 10−9 ^до < ¹⁰⁻⁸

Сертификация МЭК 61508

Сертификация — это подтверждение третьей стороной того, что продукт, процесс или система соответствуют всем требованиям программы сертификации. Эти требования перечислены в документе, называемом схемой сертификации. Программы сертификации IEC 61508 управляются беспристрастными сторонними организациями, называемыми органами по сертификации (CB). Эти CB аккредитованы для работы в соответствии с другими международными стандартами, включая ISO/IEC 17065 и ISO/IEC 17025. Органы по сертификации аккредитованы для проведения аудита, оценки и испытаний органом по аккредитации (AB). Часто в каждой стране есть один национальный AB. Эти AB работают в соответствии с требованиями ISO/IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации органов по оценке соответствия. AB являются членами Международного форума по аккредитации (IAF) для работы в области систем менеджмента, продуктов, услуг и аккредитации персонала или Международного сотрудничества по аккредитации лабораторий (ILAC) для аккредитации лабораторий. Многостороннее соглашение о признании (MLA) между AB обеспечит глобальное признание аккредитованных CB. Программы сертификации IEC 61508 были созданы несколькими глобальными органами по сертификации. Каждый из них определил свою собственную схему, основанную на IEC 61508 и других стандартах функциональной безопасности. Схема перечисляет ссылочные стандарты и определяет процедуры, которые описывают их методы испытаний, политику надзорного аудита, политику публичной документации и другие конкретные аспекты их программы. Программы сертификации IEC 61508 предлагаются по всему миру несколькими признанными CB, включая exida, Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD и UL .

Варианты, специфичные для отрасли/применения

Автомобильный

ISO 26262 — это адаптация IEC 61508 для автомобильных электрических/электронных систем. Он широко применяется основными производителями автомобилей. ^[2]

До запуска ISO 26262 разработка программного обеспечения для автомобильных систем, связанных с безопасностью, в основном охватывалась руководящими принципами Ассоциации по надежности программного обеспечения для автомобильной промышленности (MISRA). ^[3] Проект MISRA был задуман для разработки руководящих принципов создания встроенного программного обеспечения в электронных системах дорожных транспортных средств. ^[3] Набор руководящих принципов для разработки программного обеспечения на основе транспортных средств был опубликован в ноябре 1994 года. ^[4] Этот документ предоставил первую интерпретацию автомобильной промышленностью принципов тогда еще только появлявшегося стандарта IEC 61508. ^[3]

Сегодня MISRA наиболее широко известна своими рекомендациями по использованию языков C и C++. ^[5] MISRA C стала фактическим стандартом для программирования встроенных систем на языке C в большинстве отраслей, связанных с безопасностью, а также используется для улучшения качества программного обеспечения, даже там, где безопасность не является основным фактором.

Железнодорожный

IEC 62279 представляет собой конкретную интерпретацию IEC 61508 для железнодорожных приложений. Он предназначен для разработки программного обеспечения для управления и защиты железной дороги, включая системы связи, сигнализации и обработки. EN 50128 и EN 50657 являются эквивалентными стандартами CENELEC IEC 62279. ^[6]

Перерабатывающая промышленность

Сектор перерабатывающей промышленности включает в себя множество типов производственных процессов, таких как нефтеперерабатывающие заводы, нефтехимическая, химическая, фармацевтическая, целлюлозно-бумажная и энергетическая. IEC 61511 — это технический стандарт, устанавливающий практику проектирования систем, которые обеспечивают безопасность промышленного процесса посредством использования контрольно-измерительных приборов.

Электростанции

IEC 61513 содержит требования и рекомендации по приборам и управлению для систем, важных для безопасности атомных электростанций. Он указывает общие требования к системам, которые содержат обычное жесткое оборудование, компьютерное оборудование или комбинацию обоих типов оборудования. Обзорный список норм безопасности, специфичных для атомных электростанций, опубликован ISO. ^[7]

Машины

IEC 62061 — это реализация IEC 61508, ориентированная на конкретное машинное оборудование. Он содержит требования, применимые к проектированию на системном уровне всех типов электрических систем управления, связанных с безопасностью машинного оборудования, а также к проектированию несложных подсистем или устройств.

Тестирование программного обеспечения

Программное обеспечение, написанное в соответствии с IEC 61508, может нуждаться в модульном тестировании в зависимости от SIL, которого оно должно достичь. Основное требование к модульному тестированию — гарантировать, что программное обеспечение полностью протестировано на уровне функций и что все возможные ветви и пути пройдены через программное обеспечение. В некоторых приложениях с более высоким уровнем SIL требования к покрытию программного кода намного жестче, и вместо простого покрытия ветвей используется критерий покрытия кода MC/DC . Чтобы получить информацию о покрытии MC/DC (модифицированное покрытие условий/решений), понадобится инструмент модульного тестирования, иногда называемый инструментом тестирования модулей программного обеспечения.

Смотрите также

Функциональная безопасность
Стандарты безопасности
FMEDA
Уровень ложного срабатывания
Система с временным запуском (архитектура программного обеспечения, используемая для достижения соответствия IEC 61508)
Качество программного обеспечения

Ссылки

^ Оценка безопасности и надежности систем управления . ISA. 2010. ISBN 978-1-934394-80-9.
^ Хаманн, Рейнхольд; Заулер, Юрген; Крисо, Стефан; Гроте, Вальтер; Мёссингер, Юрген (2009-04-20). «Применение ISO 26262 в распределенной разработке ISO 26262 в реальности». Серия технических документов SAE . 1. Уоррендейл, Пенсильвания: SAE International. doi :10.4271/2009-01-0758.
^ abc "Веб-сайт MISRA > Главная страница MISRA > Краткая история MISRA". www.misra.org.uk . Архивировано из оригинала 2021-06-25 . Получено 2021-02-23 .
^ Руководство по разработке программного обеспечения для транспортных средств . MISRA. 1994. ISBN 0952415607.
^ "Веб-сайт MISRA > Новости". www.misra.org.uk . Получено 2021-02-23 .
^ Хадж-Мабрук, Хабиб (1 ноября 2020 г.). «Применение рассуждений на основе прецедентов к оценке безопасности критического программного обеспечения, используемого на железнодорожном транспорте». Наука о безопасности . 131 : 104928. doi : 10.1016/j.ssci.2020.104928. ISSN 0925-7535.
^ "ISO - 27.120.20 - Атомные электростанции. Безопасность". www.iso.org . Получено 2021-02-23 .

Дальнейшее чтение

Сопутствующие стандарты безопасности

ISO 26262 (является адаптацией IEC 61508 ^[1] с небольшими отличиями ^[2] )
IEC 60730 ^[3] (Бытовое)
DO-178C (авиакосмическая промышленность)

Учебники

У. Гобл, «Оценка безопасности и надежности систем управления» (3-е издание ISBN 978-1-934394-80-9 , твердый переплет, 458 страниц).
И. ван Берден, В. Гобл, «Проектирование систем безопасности с приборами — методы и проверка проекта» (1-е издание ISBN 978-1-945541-43-8 , 430 страниц).
MJM Houtermans, «SIL и функциональная безопасность в двух словах» (Risknowlogy Best Practices, 1-е издание, электронная книга в формате PDF, ePub и iBook, 40 страниц) SIL и функциональная безопасность в двух словах — электронная книга, знакомящая с SIL и функциональной безопасностью
М. Медофф, Р. Фаллер, «Функциональная безопасность — процесс разработки, соответствующий стандарту IEC 61508 SIL 3» (3-е издание, ISBN 978-1-934977-08-8, твердый переплет, 371 страница, www.exida.com)
C. O'Brien, L. Stewart, L. Bredemeyer, «Конечные элементы в системах безопасности — системы, соответствующие IEC 61511, и продукты, соответствующие IEC 61508» (1-е издание, 2018 г., ISBN 978-1-934977-18-7 , твердый переплет, 305 страниц, www.exida.com)
Мюнх, Юрген; Армбруст, Уве; Сото, Мартин; Ковальчик, Мартин. «Определение и управление программным процессом», Springer, 2012.
М. Панч, «Функциональная безопасность в горнодобывающей промышленности – комплексный подход с использованием AS(IEC)61508, AS(IEC) 62061 и AS4024.1» (1-е издание, ISBN 978-0-9807660-0-4 , в мягкой обложке формата А4, 150 страниц).
Д. Смит, К. Симпсон, «Справочник по критически важным системам безопасности: простое руководство по функциональной безопасности, IEC 61508 (издание 2010 г.) и связанным с ним стандартам, включая стандарты по процессам IEC 61511 и по машинам IEC 62061 и ISO 13849» (3-е издание ISBN 978-0-08-096781-3 , твердый переплет, 288 страниц).

Внешние ссылки

IEC 61508-1:2010 Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью. Часть 1
«IEC 61508» в Международной электротехнической комиссии
Зона функциональной безопасности IEC
Ассоциация 61508 Межотраслевая группа организаций, заинтересованных в разработке надежного и экономически эффективного метода демонстрации соответствия стандарту IEC 61508 и связанным с ним стандартам.

^ "Связь между ISO 26262 и IEC 61508". ez.analog.com . Получено 2021-04-11 .
^ «Автомобильная и промышленная функциональная безопасность». ez.analog.com . Получено 11.04.2021 .
^ "IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Интернет-магазин IEC". webstore.iec.ch . Получено 11.04.2021 .

[1] Оценка безопасности и надежности систем управления . ISA. 2010. ISBN 978-1-934394-80-9.

[2] Хаманн, Рейнхольд; Заулер, Юрген; Крисо, Стефан; Гроте, Вальтер; Мёссингер, Юрген (2009-04-20). «Применение ISO 26262 в распределенной разработке ISO 26262 в реальности». Серия технических документов SAE . 1. Уоррендейл, Пенсильвания: SAE International. doi :10.4271/2009-01-0758.

[:0-3] "Веб-сайт MISRA > Главная страница MISRA > Краткая история MISRA". www.misra.org.uk . Архивировано из оригинала 2021-06-25 . Получено 2021-02-23 .

[4] Руководство по разработке программного обеспечения для транспортных средств . MISRA. 1994. ISBN 0952415607.

[5] "Веб-сайт MISRA > Новости". www.misra.org.uk . Получено 2021-02-23 .

[6] Хадж-Мабрук, Хабиб (1 ноября 2020 г.). «Применение рассуждений на основе прецедентов к оценке безопасности критического программного обеспечения, используемого на железнодорожном транспорте». Наука о безопасности . 131 : 104928. doi : 10.1016/j.ssci.2020.104928. ISSN 0925-7535.

[7] "ISO - 27.120.20 - Атомные электростанции. Безопасность". www.iso.org . Получено 2021-02-23 .

[8] "Связь между ISO 26262 и IEC 61508". ez.analog.com . Получено 2021-04-11 .

[9] «Автомобильная и промышленная функциональная безопасность». ez.analog.com . Получено 11.04.2021 .

[10] "IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Интернет-магазин IEC". webstore.iec.ch . Получено 11.04.2021 .