TUV功能安全工程师必须掌握的IEC 61511标准解读

功能安全标准的发展经历了几个重要的节点。1996年，ISA首先发布了ISASP84安全声明周期，这是功能安全标准的技术基础。随后，在1998年国际电工委员会（IEC）发布了IEC61508系列标准，2003年，针对过程工业的功能安全标准IEC61511正式发布，该标准共包含3个部分，详细规范了过程工业中SIS的构架、定义，系统，硬件和软件要求。2010年，IEC61508 Ed2.0系列标准发布，它带来了一系列新的理念和评价方法，而标准也从原来的7个部分增加为8个部分。2016年2月IEC 61511-1Ed 2.0已经正式发布，它将结合目前的前沿技术发展，给过程工业，甚至于更多的其他相关涉及财产安全、环境安全、人身安全的行业，带来规范有效的安全评价方法和技术。

IEC 61511系列标准给出了SIS关于规范、设计、安装、运行和维护的相关要求。它明确了所需达到的功能安全水平，但是标准中并不明确这些要求的责任方，而相关的责任人员需根据安全计划、项目计划和管理以及所在国家的法律法规进行职责的划分。

IEC61508和IEC61511是2个有着密切关系的标准，从属关系上来说，IEC61511是IEC61508在过程领域的应用，IEC61508是所有功能安全标准的基础和支撑。

在IEC 61511-1 Ed2.0中，仍然保留了2个基本概念：安全生命周期和安全完整性等级（SIL）。

①安全生命周期对于功能安全而言至关重要。从功能安全的概念出发，失效可分为随机失效和系统失效。对于随机失效，通过硬件试验、可靠性分析、应力筛选等一系列试验方法可以有效提供其数值，这里不进行赘述。而系统失效，引入安全生命周期的概念非常必要，它可以有效帮助设计人员从根本上避免和减少设计失误。安全生命周期本身是一套系统的方法，是工程实际中最行之有效的设计方法。具体表现在：明确活动和工作职责；辨识每个阶段的完整性需求；辨识所需文档；帮助实现功能安全管理（FSM）、系统验证、系统确认、评估、评审等活动。

而上述活动也可借由安全生命周期的划分分配给不同的参与人员，包括最终用户、系统集成商、开发人员（硬件和软件）等。

②SIL就是功能安全定量方法的体现。从IEC61508系列标准中可以找到许多关于SIL的描述，其中较为重要的两个概念：平均失效概率（PFD，PFH）及结构约束。得到准确的PFD和PFH，对于定量评价系统的有效性和在关键时刻的表现至关重要，也是得到SIL的重要参数之一。

在IEC 61511-1 Ed2.0中有3个显著的变化：

①许多原来被定义为“应”的活动，新版标准则定义为“必须”，如：安全生命周期必须包含应用编程等。

②原标准中的“应用软件”被改写为了“应用编程”，这从根本上提高了系统集成过程中对于软件评估的重视，在考虑SIS的SIL时，编程过程，即软件质量成为一个不容忽视的重要过程。

③FAT编程规范性引用，即：出厂试验成为必备过程。

这些变化体现了IEC 61511-1 Ed2.0对于安全要求的提升，原标准可选的内容在IEC 61511-1 Ed2.0中成为了必须执行的项目，无疑增加了系统制造商、集成商的工作量，需要将更多的时间用于系统的测试，同时需要将更多的精力投入在控制系统失效的工作上。同时，为了迎合数字化发展的进程，软件的重要程度再次提升，在IEC 61508 Ed2.0中就可以明显感觉到对编程过程的重视，并在IEC 61511的升版中再次体现出来。

大致可以将SIS安全生命周期归纳成4个阶段。

①分析阶段。它包括了上图中1，2，3这3个部分的工作。

②实现阶段。它包括了上图中4，5部分以及标准中第9章的相关内容。

③操作和维护阶段。它包括了6，7，8，9这4个部分的内容。

④管理和计划。它包括了10，11这2个部分的内容。

从顺序上来说，管理和计划是先于一切行动的起点，它将控制整个项目的进度、质量水平以及跟踪观察。

功能安全管理概述

对于任何宣称产品或者系统达到功能安全的厂商或组织，都应该有完整的功能安全管理来确认他们的声明是合理有效的。在IEC 61511-1 Ed2.0中，对于功能安全管理提出了多方面的要求：

①组织和资源。主要提出了对涉及SIS生命周期中的人员、部门、组织或其他单位的职责以及承担相关职责所应具备的能力，这些能力可以包括：工程知识、电气电子可编程电子方面的知识、安全工程知识、法律法规要求、必要的领导技能、风险分析和评价的技能等。

②风险评价和风险管理。这些内容可以通过不同的风险评价方法获得，例如HAZOP和QRA等，这些方法可从定性到半定量再到定量，以提供准确的评价结果。

③编制可行的安全计划。安全计划中需要详细描述在项目中所执行的生命周期以及在生命周期中所包含的活动，执行活动的人员、部门、组织以及配备的资源等，并且应与所需的SIL相匹配。

④执行和监视。对于项目中涉及的供应商或提供服务的组织都应按所需的SIL要求提出对应的管理规程并进行监督管理，同时对SIS的失效率参数的合理性也要时刻进行监督。

⑤评估、审核和修改。在IEC 61511-1 Ed2.0中对于如何进行评估提供了详细的建议，而这些建议也可以成为项目执行者编制文件时的参考。项目中所执行的任何相关活动都应留下备查的记录，尤其是对于修改部分，应建立完整的规程，至少应包含提出、评审、修改、再评审的过程。

⑥配置管理。配置管理可有效地控制系统的版本有序，是避免系统失效的基本要求和重要手段。功能安全管理应该在项目过程中持续有效地执行，并且应贯彻执行统一的准则，并且在实施过程中应按计划、按阶段引入功能安全评审，将会有效提供功能安全管理的水平。

功能安全评审

功能安全管理与功能安全评审密不可分。

①执行功能安全评审，在新版标准中则给出了几点特别需要注意的事项：

a）执行功能安全评审的人员应该独立，不应参与到SIS的任何工作。这里的独立有多层理解，根据不同的SIL要求，可以将独立的范围扩大。通常可以将独立分为3个层次：技术独立、管理独立、财务独立。而通用的做法则是在项目过程中引入第三方独立机构来执行功能安全评审的工作。

b）IEC 61511-1 Ed2.0中尤其强调了功能安全评审计划的制定，在原标准中为注意的条款，在新版标准中都变为了必须执行的项目。

c）在维护和操作阶段也应当周期性地引入功能安全评审工作，即功能安全工作不仅仅是开车的必要条件，在系统投入运行后，功能安全的评审工作依然重要。而这部分的工作将包括：评判系统的运行情况、收集相关设备的运行参数以便更新功能安全相关参数，发现和评估未预料到的隐患并及时纠正。

d）功能安全评审依赖于操作的实时性。

②根据IEC61511-1Ed2.0可以将功能安全评审划分为5个阶段，这5个阶段贯穿系统的安全生命周期全过程：

a）在完成风险评估后，辨识出所需的保护层并在完成完全要求规范（SRS）编制后实施。

b）在完成SIS设计后实施。

c）在完成安装、试运行、最终确认后，并且已开发完成运行和维护规程后实施。

d）在获得运行和维护经验数据后实施。

e）在修改后或在SIS停运前实施。上述的实施阶段只是功能安全评审的最低要求，对于有不明确或者有必要的情况下，功能安全评审就应及时进行，避免系统故障的引入。

鉴于IEC 61508 Ed2.0的发布，对于功能安全结构约束的定义有了新的变化，在IEC 61511-1 Ed2.0中，也将延续这种变革。因此，在判断硬件故障裕度（HFT）时有了更多的选择。在IEC 61508-2 Ed2.0中有两种不同的方法，分别为Route1H和Route2H，其判定HFT的要求分别见下表所列。

可见，Route2H取消了关于安全失效分数的要求，而这两种方法在IEC 61511-1 Ed2.0中都是可行的。而想要设计出符合功能安全要求的SIS，仍然需要设计人员有足够丰富的功能安全知识和仪表应用经验。

SIS的应用编程和SRS

前文中提到，在IEC 61511-1 Ed2.0中特别强调了将应用软件变为应用编程，这就说明软件编程质量在SIS中的重要性更加明确。在新版标准中提出了对于应用编程的一系列要求：适当的生命周期划分；系统化的方法；必要的检验测试手段；可追溯性；验证与确认。针对上述要求，设计和开发人员有必要引入行之有效的系统性方法，而目前广为接受的方法就是改进型V模型系统性方法。

对于应用编程，可以参照IEC 61508-3 Ed2.0中的要求实施，需要特别注意的是，在IEC 61511-1 Ed2.0中，针对通信提出了关于信息安全的要求。对于信息安全的要求需要从硬件和软件两个部分去考虑，关键的网络设备应经过相关测试并验证其有效性。而通信协议本身也应经过评估和必要的攻防测试，这部分内容在IEC 62443系列标准中有详细的要求，而该部分也是IEC 61511-1 Ed2.0中与时俱进的有力表现。

在IEC 61511-1 Ed2.0中，对于每个安全仪表功能（SIF）定义了共计29条要求，这些内容大多在原版中有相应的要求，而其中有以下4条内容是新版中额外增加的内容：

以上内容在IEC 61511-1 Ed2.0第10.3.1条中有明确提及，根据SIF的具体情况，在编制SRS时，应完整考虑这些要求，以提高SIS的设计准确性。

新版标准修订内容

在IEC 61511-1 Ed2.0中，还有一些修订部分内容，通过研读，将其罗列如下：