IEC 61508
IEC 61508 ist ein internationaler Standard veröffentlicht von der Internationale Elektrotechnische Kommission bestehend aus Methoden zur Anwendung, Gestaltung, Bereitstellung und Wartung von automatischen Schutzsystemen, die als sicherheitsrelevante Systeme bezeichnet werden. Es trägt den Titel Funktionelle Sicherheit von elektrischen/elektronischen/programmierbaren elektronischen Sicherheitssystemen (E/e/pe, oder E/E/PES).
IEC 61508 ist ein grundlegender funktionaler Sicherheitsstandard für alle Branchen. Es definiert die funktionale Sicherheit als: „Teil der Gesamtsicherheit in Bezug auf das EUC (Geräte unter Kontrolle) und das EUC-Steuerungssystem, das von der korrekten Funktionsweise der E/E/PE-Sicherheitssysteme, anderen technologisch sicherheitsrelevanten Systemen abhängt, abhängt und externe Risikominderungseinrichtungen. “ Das grundlegende Konzept ist, dass jedes sicherheitsrelevante System korrekt funktionieren oder auf eine vorhersehbare (sichere) Weise fehlschlagen muss.
Der Standard hat zwei grundlegende Prinzipien:
- Ein technischer Prozess genannt das Sicherheitslebenszyklus wird basierend auf Best Practices definiert, um Designfehler und Auslassungen zu entdecken und zu beseitigen.
- Ein probabilistischer Fehleransatz zur Berücksichtigung der Sicherheitsauswirkungen von Gerätefehlern.
Der Sicherheitslebenszyklus hat 16 Phasen, die ungefähr wie folgt in drei Gruppen unterteilt werden können:
- Phasen 1–5 Adressanalyse
- Phasen 6–13 Adresse Realisierung
- Phasen 14–16 Adressbetrieb.
Alle Phasen befassen sich mit der Sicherheitsfunktion des Systems.
Der Standard hat sieben Teile:
- Teile 1–3 enthalten die Anforderungen des Standards (normativ)
- Teil 4 enthält Definitionen
- Teile 5–7 sind Richtlinien und Beispiele für die Entwicklung und somit informativ.
Zentral für den Standard sind die Konzepte des probabilistischen Risikos für jede Sicherheitsfunktion. Das Risiko ist eine Funktion der Häufigkeit (oder Wahrscheinlichkeit) des gefährlichen Ereignisses und des Schweregrads des Ereignisses. Das Risiko wird durch Anwenden von Sicherheitsfunktionen auf ein tolerierbares Niveau reduziert, die aus E/E/PES, zugehörigen mechanischen Geräten oder anderen Technologien bestehen können. Viele Anforderungen gelten für alle Technologien, aber es liegt ein starker Schwerpunkt auf programmierbare Elektronik, insbesondere in Teil 3.
IEC 61508 hat die folgenden Ansichten zu Risiken:
- Das Risiko von Null kann niemals erreicht werden, nur Wahrscheinlichkeiten können reduziert werden
- Nicht-tabuierbare Risiken müssen reduziert werden (Alarp)
- Eine optimale, kostengünstige Sicherheit wird erreicht, wenn sie im gesamten Sicherheitslebenszyklus behandelt werden
Spezifische Techniken stellen sicher, dass Fehler und Fehler im gesamten Lebenszyklus vermieden werden. Fehler, die von der anfänglichen Konzept, der Risikoanalyse, der Spezifikation, dem Entwurf, der Installation, der Wartung und der bis zur Entsorgung eingeführt wurden, können selbst den zuverlässigsten Schutz untergraben. IEC 61508 Gibt Techniken an, die für jede Phase des Lebenszyklus verwendet werden sollten. Die sieben Teile der ersten Ausgabe von IEC 61508 wurden 1998 und 2000 veröffentlicht. Die zweite Ausgabe wurde 2010 veröffentlicht.
Gefahren- und Risikoanalyse
Der Standard verlangt, dass für maßgeschneiderte Systeme Gefahren und Risikobewertung durchgeführt werden: "Das Risiko des EUC (Geräte unter Kontrolle) muss für jedes bestimmte gefährliche Ereignis bewertet oder geschätzt werden."
Der Standard empfiehlt, dass "qualitative oder quantitative Gefahren- und Risikoanalysetechniken verwendet werden können" und bietet Anleitungen zu einer Reihe von Ansätzen. Eines davon ist für die qualitative Analyse von Gefahren ein Rahmen, der auf 6 Kategorien der Wahrscheinlichkeit des Auftretens und 4 Konsequenzen basiert.
Kategorien der Wahrscheinlichkeit des Auftretens
Kategorie | Definition | Reichweite (Fehler pro Jahr) |
---|---|---|
Häufig | Viele Male im Leben | > 10–3 |
Wahrscheinlich | Mehrmals im Leben | 10–3 bis 10–4 |
Gelegentlich | Einmal im Leben | 10–4 bis 10–5 |
Fernbedienung | Unwahrscheinlich im Leben | 10–5 bis 10–6 |
Unwahrscheinlich | Es ist sehr unwahrscheinlich, dass er auftritt | 10–6 bis 10–7 |
Unglaublich | Kann nicht glauben, dass es vorkommen könnte | < 10–7 |
Konsequenzkategorien
Kategorie | Definition |
---|---|
Katastrophal | Mehrfachlebensverlust |
Kritisch | Verlust eines einzigen Lebens |
Rand | Schwere Verletzungen an einem oder mehreren Personen |
Unerheblich | Geringere Verletzungen im schlimmsten Fall |
Diese werden typischerweise zu einer Risikoklassenmatrix kombiniert
Folge | ||||
Wahrscheinlichkeit | Katastrophal | Kritisch | Rand | Unerheblich |
Häufig | I | I | I | II |
Wahrscheinlich | I | I | II | III |
Gelegentlich | I | II | III | III |
Fernbedienung | II | III | III | Iv |
Unwahrscheinlich | III | III | Iv | Iv |
Unglaublich | Iv | Iv | Iv | Iv |
Wo:
- Klasse I: in keinen Umständen inakzeptabel;
- Klasse II: Unerwünscht: nur dann tolerierbar, wenn die Risikominderung nicht praktikabel ist oder die Kosten für die gewonnene Verbesserung stark unverhältnismäßig sind;
- Klasse III: Tolerierbar, wenn die Kosten für die Risikominderung die Verbesserung überschreiten würden;
- Klasse IV: akzeptabel, wie es aussieht, obwohl es möglicherweise überwacht werden muss.
Sicherheitsintegritätsniveau
Das Sicherheitsintegritätsniveau (SIL) liefert ein Ziel, um für jede Sicherheitsfunktion zu erreichen. Ein Risikobewertungsaufwand ergibt eine Ziel -SIL für jede Sicherheitsfunktion. Für jedes bestimmte Design wird das erreichte SIL durch drei Maßnahmen bewertet:
1. Systematische Fähigkeiten (SC), die ein Maß für die Designqualität ist. Jedes Gerät im Design hat eine SC -Bewertung. Die SIL der Sicherheitsfunktion ist auf die kleinste SC -Bewertung der verwendeten Geräte beschränkt. Die Anforderung für SC werden in einer Reihe von Tabellen in Teil 2 und Teil 3 dargestellt .
2. Architekturbeschränkungen, bei denen es sich um eine minimale Sicherheitsablehnung handelt, die über zwei alternative Methoden dargestellt werden - Route 1H und Route 2H.
3. Wahrscheinlichkeit einer gefährlichen Versagensanalyse[1]
Probabilistische Analyse
Die in Schritt 3 verwendete Wahrscheinlichkeitsmetrik hängt davon ab, ob die Funktionskomponente ausgesetzt ist hoch oder niedrig fordern:
- Eine hohe Nachfrage wird als mehr als einmal pro Jahr definiert und eine niedrige Nachfrage wird als weniger oder gleich einmal pro Jahr (IEC-61508-4) definiert.
- Für Funktionen, die kontinuierlich (kontinuierlicher Modus) oder Funktionen, die häufig arbeiten (hoher Nachfragemodus), arbeiten, gibt SIL eine zulässige Häufigkeit eines gefährlichen Fehlers an.
- Für Funktionen, die zeitweise arbeiten (niedriger Nachfragemodus), gibt SIL eine zulässige Wahrscheinlichkeit an, dass die Funktion auf die Bedarf nicht reagiert.
Beachten Sie den Unterschied zwischen Funktion und System. Das System, das die Funktion implementiert, kann häufig in Betrieb sein (wie ein ECU zum Bereitstellen einer Luftbag), aber die Funktion (wie die Bereitstellung von Air-Bag-Bereitstellungen) könnte zeitweise nach Bedarf gefragt sein.
Sil | Niedriger Nachfragemodus: durchschnittliche Wahrscheinlichkeit eines Versagens bei Bedarf | Hoher Nachfrage oder kontinuierlicher Modus: Wahrscheinlichkeit eines gefährlichen Versagens pro Stunde |
1 | ≥ 10–2 zu <10–1 | ≥ 10–6 zu <10–5 |
2 | ≥ 10–3 zu <10–2 | ≥ 10–7 zu <10–6 |
3 | ≥ 10–4 zu <10–3 | ≥ 10–8 zu <10–7 (1 gefährliches Versagen in 1140 Jahren) |
4 | ≥ 10–5 zu <10–4 | ≥ 10–9 zu <10–8 |
IEC 61508 Zertifizierung
Die Bescheinigung von Dritten ist die Bescheinigung, dass ein Produkt, ein Prozess oder ein System alle Anforderungen des Zertifizierungsprogramms erfüllt. Diese Anforderungen sind in einem Dokument namens Zertifizierungsschema aufgeführt. IEC 61508 -Zertifizierungsprogramme werden von unparteiischen Organisationen Dritter betrieben, die genannt werden Zertifizierungsstellen (CB). Diese CBS sind akkreditiert, um nach anderen internationalen Standards zu operieren, einschließlich ISO/IEC 17065 und ISO/IEC 17025. Zertifizierungsstellen sind für die Durchführung der Prüfung, Bewertung und Prüfung von Arbeiten durch eine akkreditiert Akkreditierungsstelle (Ab). In jedem Land gibt es oft einen nationalen AB. Diese ABS arbeiten gemäß den Anforderungen von ISO/IEC 17011, einem Standard, der Anforderungen an die Kompetenz, Konsistenz und Unparteilichkeit von Akkreditierungsstellen bei der Akkreditierung von Konformitätsbewertungsstellen enthält. ABS sind Mitglieder des International Accreditation Forum (IAF) für Arbeiten in Managementsystemen, Produkten, Dienstleistungen und Personalakkreditierung oder der internationalen Laborakkreditierungskooperation (ILAC) für die Laborakkreditierung. Eine multilaterale Erkennungsvereinbarung (MLA) zwischen ABS wird die globale Anerkennung akkreditierter CBS sicherstellen. IEC 61508 Zertifizierungsprogramme wurden von mehreren globalen Zertifizierungsstellen festgelegt. Jedes hat sein eigenes Schema basierend auf IEC 61508 und anderen funktionalen Sicherheitsstandards definiert. Das Schema listet die referenzierten Standards auf und gibt Verfahren an, die ihre Testmethoden, die Überwachungsprüfungsrichtlinie, die Richtlinien für öffentliche Dokumentationen und andere spezifische Aspekte ihres Programms beschreiben. IEC 61508 -Zertifizierungsprogramme werden weltweit von mehreren anerkannten CBs angeboten, einschließlich Intertek, SGS-TÜV SAAR, Tüv Nord, Tüv Rheinland, Tüv Süd und Ul.
Branchen-/anwendungsspezifische Varianten
Automobil
ISO 26262 ist eine Anpassung von IEC 61508 für Elektro-/elektronische Systeme für Automobile. Es wird von den Hauptautoherstellern weit verbreitet.[2]
Vor dem Start von ISO 26262 wurde die Entwicklung von Software für sicherheitsrelevante Automobilsysteme überwiegend von den Richtlinien der Motor Industry Software Reliability Association (MISRA) abgedeckt.[3] Das Misra -Projekt wurde konzipiert, um Richtlinien für die Schaffung von zu entwickeln eingebettete Software In elektronischen Systemen im Straßenfahrzeug.[3] Im November 1994 wurde eine Reihe von Richtlinien für die Entwicklung einer fahrzeugbasierten Software veröffentlicht.[4] Dieses Dokument lieferte die erste Interpretation der Automobilindustrie der Prinzipien des und dann entstehenden IEC 61508 Standard.[3]
Heute Misra ist am weitesten verbreitet für seine Richtlinien zur Verwendung der C- und C ++ - Sprachen.[5] Misra c hat sich in den meisten sicherheitsrelevanten Branchen zum De-facto-Standard für eingebettete C-Programme entwickelt und wird auch zur Verbesserung der Softwarequalität verwendet, selbst wenn Sicherheit nicht die Hauptüberlegung ist.
Schiene
IEC 62279 bietet eine spezifische Interpretation von IEC 61508 für Eisenbahnanwendungen. Es soll die Entwicklung von Software für die Steuerung und den Schutz der Eisenbahn und Schutz umfassen, einschließlich Kommunikations-, Signal- und Verarbeitungssystemen.
Prozessindustrie
Der Sektor der Prozessindustrie umfasst viele Arten von Herstellungsprozessen, wie Raffinerien, petrochemische, chemische, pharmazeutische, Zellstoff und Papier sowie Strom. IEC 61511 ist ein technischer Standard, der Praktiken in der Technik von Systemen enthält, die die Sicherheit eines industriellen Prozesses durch die Verwendung von Instrumenten gewährleisten.
Kraftwerke
IEC 61513 enthält Anforderungen und Empfehlungen für die Instrumentierung und Kontrolle für Systeme, die für die Sicherheit von Kernkraftwerken wichtig sind. Es zeigt die allgemeinen Anforderungen an Systeme an, die herkömmliche, fest verdrahtete Geräte, computergestützte Geräte oder eine Kombination beider Arten von Geräten enthalten. Eine Übersichtsliste von Sicherheitsnormen, die für Kernkraftwerke spezifisch sind, wird von ISO veröffentlicht.[6]
Maschinen
IEC 62061 ist die maschinenspezifische Implementierung von IEC 61508. Es enthält Anforderungen, die für das Design der Systemebene für alle Arten von Sicherheitssteuerungssystemen für Maschinen und auch für die Gestaltung nicht komplexer Subsysteme oder Geräte gelten.
Testsoftware
Software, die gemäß IEC 61508 geschrieben wurde, muss möglicherweise sein Einheit getestetAbhängig von der SIL muss es erreichen. Die Hauptanforderung bei Unit -Tests besteht darin, sicherzustellen, dass die Software auf Funktionsebene vollständig getestet wird und dass alle möglichen Zweige und Pfade über die Software aufgenommen werden. In einigen höher SIL -Level Anwendungen, die Anforderung der Softwarecodeabdeckung ist viel schwieriger und ein MC/DC -Codeabdeckung Kriterium wird eher als einfache Zweigabdeckung verwendet. Um die MC/DC -Abdeckungsinformationen (modifizierte Bedingung/Entscheidungsabdeckung) zu erhalten, benötigt man ein Tool für Einheitentests, das manchmal als Softwaremodul -Test -Tool bezeichnet wird.
Siehe auch
- Funktionssicherheit
- Sicherheitsstandards
- FMeda
- Falsche Reisestufe
- Zeitlich ausgelöste System (Eine Softwarearchitektur, die zur Erzielung von IEC 61508 Compliance verwendet wird)
- Softwarequalität
Verweise
- ^ Sicherheitsbewertung und Zuverlässigkeit der Steuerungssysteme. IST EIN. 2010. ISBN 978-1-934394-80-9.
- ^ Hamann, Reinhold; Sauler, Jürgen; Kriso, Stefan; Grote, Walter; Mössinger, Jürgen (2009-04-20). "Anwendung von ISO 26262 in verteilter Entwicklung ISO 26262 in Wirklichkeit". SAE Technische Papierserie. Warrendale, PA: SAE International. doi:10.4271/2009-01-0758.
- ^ a b c "Misra Website> Misra Home> Eine kurze Geschichte von Misra". www.misra.org.uk. Abgerufen 2021-02-23.
- ^ Entwicklungsrichtlinien für vehikelbasierte Software. Misra. 1994. ISBN 0952415607.
- ^ "MISRA -Website> Nachrichten". www.misra.org.uk. Abgerufen 2021-02-23.
- ^ "ISO - 27.120.20 - Kernkraftwerke. Sicherheit". www.iso.org. Abgerufen 2021-02-23.
Weitere Lektüre
Verwandte Sicherheitsstandards
- ISO 26262 (ist eine Anpassung von IEC 61508[1] mit geringfügigen Unterschieden[2])
- IEC 60730[3] (Haushalt)
- Do-178c (Luft- und Raumfahrt)
Lehrbücher
- W. Goble, "Sicherheitsbewertung und Zuverlässigkeit der Steuerungssysteme" (3. Auflage ISBN978-1-934394-80-9, Hardcover, 458 Seiten).
- I. Van Beurden, W. Goble, "Sicherheit instrumentiertes System Design-Techniken und Designverifizierung" (1. Auflage ISBN978-1-945541-43-8, 430 Seiten).
- M.J.M. Houtermans, "SIL und funktionelle Sicherheit Kinter Schell" (Best Practices, 1. Ausgabe, E -Book in PDF, EPUB und Ibook -Format, 40 Seiten) SIL und funktionelle Sicherheit kinst
- M. Medoff, R. Faller, "Funktionelle Sicherheit - Ein IEC 61508 SIL 3 -konforme Entwicklungsprozess" (3. Auflage, Ausgabe, ISBN978-1-934977-08-8 Hardcover, 371 Seiten, www.exida.com)
- C. O'Brien, L. Stewart, L. Bredemeyer, "Finale Elemente in Safety Instrumented Systems - IEC 61511 Konforme Systeme und IEC 61508 -konforme Produkte" (1. Auflage, 2018, ISBN978-1-934977-18-7, Hardcover, 305 Seiten, www.exida.com)
- Münch, Jürgen; Armbrust, Ove; Soto, Martín; Kowalczyk, Martin. „Softwareprozessdefinition und -management“, Springer, 2012.
- M.Punch, "Funktionelle Sicherheit für die Bergbauindustrie - Ein integrierter Ansatz mit AS (IEC) 61508, AS (IEC) 62061 und AS4024.1." (1. Auflage, ISBN978-0-9807660-0-4, in A4-Taschenbuch, 150 Seiten).
- D.Smith, K Simpson, "Handbuch für Sicherheitskritiker: Ein einfacher Leitfaden für die Funktionssicherheit, IEC 61508 (Ausgabe 2010) und verwandte Standards, einschließlich Prozess IEC 61511 und Maschinen IEC 62061 und ISO 13849" (3. Auflage " ISBN978-0-08-096781-3, Hardcover, 288 Seiten).
Externe Links
- IEC 61508-1: 2010 Funktionelle Sicherheit von elektrischen/elektronischen/programmierbaren elektronischen Sicherheitssystemen-Teile 1
- "IEC 61508" bei Internationale Elektrotechnische Kommission
- IEC -Funktionssicherheitszone
- 61508 Assoziation Eine branchenübergreifende Gruppe von Organisationen mit Interesse daran, eine zuverlässige und kostengünstige Methode zu erreichen, um die Einhaltung der IEC 61508 und die damit verbundenen Standards zu demonstrieren.
- ^ "Beziehung zwischen ISO 26262 und IEC 61508". ez.analog.com. Abgerufen 2021-04-11.
- ^ "Automotive gegen industrielle funktionale Sicherheit". ez.analog.com. Abgerufen 2021-04-11.
- ^ "IEC 60730-1: 2013+AMD1: 2015+AMD2: 2020 CSV | IEC Webstore". webstore.iec.ch. Abgerufen 2021-04-11.