变化一、功能安全管理要求的调整
新版本对功能安全管理的要求进行了调整,提供了更容易理解的标准要求,包括:
*提出了为达到E/E/PE安全相关系统的功能安全,组织有必要明确对标准中一项或多项条款负有责任的人员。
*应对从事安全相关系统的功能安全的所有人员进行辨别。
*所有从事安全相关系统的功能安全的人员都应具备对于他们的工作的胜任能力。
变化二、术语的修订
新版本对许多术语的定义都做了重要修订,重新修订的术语都进行了检查,因为修改可能会影响对第一版标准的理解。以下是对关键的和新增加的术语的定义:
*子系统(subsystem):安全相关系统结构设计中的最高等级。依照标准的3.6.7(a)子系统的危险故障将导致安全功能的危险故障。
*危险故障(dangerous failure):实现安全功能的要素、子系统、或系统的故障。分如下两种情况
a)阻止当需要时(按要求操作模式)安全功能的实施或导致安全功能故障(连续操作模式)。例如使被控设备处于危险或潜在危险的状态。
b)降低安全功能正确实施的概率。
*安全故障(safe failure):实现安全功能的要素、子系统、或系统的故障。分如下两种情况
a)导致安全功能的伪操作,使被控设备处于安全状态或保持安全状态。
b)增加安全功能伪操作的概率。
*要素(element):要素是子系统的一部分,由一个或一组元件构成,完成一个或几个要素安全功能。
*要素安全功能(element safety function):由要素完成的那一部分安全功能。
变化三、结构约束的途径
第一版标准中只给出了达到结构约束的一种途径,而在新版本中给出了两种可能的途径:
途径1:基于硬件故障冗余和安全失效分数概念的途径;或
途经2:基于从终端用户反馈的元件可靠性数据,不断增加的置信度等级和指定的安全完整性等级(SIL)的硬件故障冗余。
变化四、系统安全集成
有三种可能的方式符合标准:
1、避免(阻止)和控制系统故障的要求,包括软件的和硬件的要求。
2、设备是“经证明已投入使用”(proven in use)的证据,也包括软件和硬件。
3、只针对已经存在(pre_existing)的软件要素。
变化五、软件要求
新版IEC 61508-3(软件)要求的变化主要在于以下几个方面:
* 引入了生命周期每一个阶段输出的令人期待的概念,例如:完整性、正确性、和可预见性。
* 规定了对于软件研发工具选择和评定的扩展要求。
* 允许非原创应用于安全的软件要素重新用于安全相关应用,但标准规定应提供包括在其他应用中成功运用的证据。
* 修订了附录A和B中的技术和措施,去掉了陈旧的或极少用到的技术,引入了当今正在使用的方法和措施。
变化六、符合项的安全指南
对于声明自己的产品符合标准的供应商或产品制造商提出了新的要求。
符合项安全指南的目的是用文件形式记录所有与符合项相关的信息,这些信息是使符合项能够集成到安全相关系统、子系统、要素所必需的,是符合标准要求的。
变化七、专用集成电路(ASICs)和集成电路(ICs)
对于专用集成电路(ASICs)的要求包括:
* 应当采用一组适当的技术和措施,这些技术和措施的使用本质上是防止在ASICs设计和研发过程中发生错误。
* 在标准附录中给出了对于芯片内部冗余的集成电路的特定结构要求
变化八、E/E/PE需求规范
IEC 61508第一版的安全需求规范只包含一个规范(一个步骤)。IEC 61508第二版则包含了两个规范(两个步骤):
第一步:制定E/E/PE系统安全需求规范(在IEC 61508-1);
第二步:制定E/E/PE系统设计需求规范(在IEC 61508-2);
方森安略(北京)科技有限公司 供稿
