IEC61508标准(3)

IEC61508标准,电子电气标准

(l)Proven in use方法只能用于那些满足相关要求的功能和接口子系统;

(2)子系统的工作条件与原子系统的工作条件完全相同或十分相近;

(3)如果子系统的工作条件不同，则需要用分析和测试的方法来论证该系统的功能安全完整性可能达到的水平，以保证该系统可用于安全领域;

(4)声明的失效率有足够的统计学数据基础;

(5)收集有足够的失效数据;

(6)考虑了子系统的复杂性，子系统对风险降低的贡献，子系统失效对整个系统可能造成的后果，新设计等。

四、用户选择现场总线时要注意的因素

(一)供应商应提供的资料

如果用户要集成一个安全系统，考虑要使用现场总线时，要充分考虑到现场总线这个子系统对安全系统的安全完整性贡献。为了达到这个目的，系统设计者、集成者需要现场总线软硬件供应商提供一些必要信息。如:

(1)详细解释功能、接口、应用环境等的说明书；

(2)在每种失效模式下，硬件随机失效的可能失效率;

(3)诊断范围和诊断测试间隔;

(4)硬件失效容差;

(5)硬件和软件组态需要的标识信息;

(6)有效的书面证明;

(7)SIL级别。

(二)现场总线子系统SIL与整个系统SIL的关系

特别要注意的是，现场总线这个子系统的SIL级别并不代表整个控制系统的SlL。一旦考虑整个系统的SlL时，要考虑的就是系统的所有方面，包括现场设备和特定项目应用逻辑。当它们组合执行安全功能时，所有这些子系统和器件要求必须满足相应功能的SIL，但他们的组合并不一定能够实现预定的SIL，此时SIL就不是一个子系统或器件直接可用的概念。理解这一点其实很简单:假定一个高级别SIL的子系统或器件被装错了，系统依然会出故障。

IEC61508给出了对安全系统的SlL值计算和分配的模型和算法。用户单位如果有功能安全的评价机构，可以根据标准的要求自己对系统和各分系统、器件的SlL进行计算评估，也可以请第三方来对系统进行评估和SIL值分配。

(三)确认识供应商声称的SIL级别

1.应用条件是否相同

目前已经有多家公司的现场总线系统进行过IEC61508认证，如FF、WorldFIP、Profibus 现场总线己经通过权威机构认证，达到SIL3级。

但用户在选择这种现场总线时，要考虑您采用此子系统的工作条件与它评定时的工作条件是否完全相同或十分相近。如果是，当然供应商所声称的SIL级别是相同的。如果子系统的工作条件不同，则需要用分析和测试的方法来论证该系统的SIL可能达到的水平，以保证该系统可用于安全领域。

2.对评估员或评估机构独立性的要求

TEC61508规定，对系统、子系统或器件进行SIL级别评估的必须是相对独立的人或组织。评估员的独立水平按SIL的级别不同而不同。对于SILl，只需要同一个组织中的一个独立人，SIM则需要一个独立的组织。至于SIL2和3要求的级别受附加条件的影响，如系统复杂性、设计的新颖性、开发者以前的经验等。还有一个特别条件，就是评估员具有合格的工作能力。

五、结束语

本文提出了现场总线的安全问题，但这并不意味着现场总线本身是不安全的，也不能说现