1.基本情况

　　近年来，在铁路、航空航天、核应用、采矿等行业提 出了很多安全理论和国际标准，其IEc61508——电气／电子／可编程电子安全相关系统的功能安全国际标 准是比较基本和核的一个，它是迄今为止的安全 相关系统的理论概括和技术总结。这个标准采用一般 的分析方法，没有指定具体的应用领域。 电气／电子／可编程电子系统（E／E／PE）是指以电 气／电子／可编程电子技术为基础，包括了电气设备、电 子设备、可编程电子设备。其中，电气设备指电机设 备；电子设备指固态非可编程电子设备；可编程电子设 备指以计算机技术为基础的电子设备。以一个或多个 可编程电子设备为基础，用于控制、防护和监督的系 统，它包括了系统的全部元件，如电源、传感器以及其 他输入设备、数据通道、通信通路和其他执行器、输出 设备。安全相关系统（Safety—Related System）是指为 了保证控制设备处于安全状态，采用安全相关技术和 风险降低措施执行所需安全功能的系统。电气／电子／ 可编程电子安全相关系统一旦失效可以影响人的安全 和环境的安全。 IEC61508考虑了所有相关的整体、E／E／PE和软 件生存周期阶段，为E／E／PE安全相关系统实现必要 的功能安全提供一个发展安全需求规范的方法，用安 全完善性等级来说明安全相关系统的安全目标，它的 主要目标是预测安全相关系统运行时的故障概率。 IEC61508的特点是把风险作为度量危险的指标。这 里的风险（Risk）是指危害发生的概率（Likelihood）和 危害严重性（Consequence）的组合。

　　IEC61508定义了4种风险指标：

　　（1）被控装置的风险：指被控装置或被控装置与 被控装置控制系统相互作用而产生的风险；

　　（2）可容忍的风险：指在以现行社会标准为基础 的给定情景下可被接受的风险；

　　（3）残余的风险：指在采取了防护措施后仍然保 留的风险；

　　（4）必须的风险降低：指通过电气／电子／可编程 电子安全相关系统、其他技术的安全相关系统和外部 风险降低设备实现的风险降低，以确保不超过可容忍 的风险。 在对安全相关系统进行需求分析和危险分析之 后，可以得到系统的可容忍的风险和现存的风险，两者 之差是必须降低的风险。IEC61508主要讨论的就是 怎样利用安全技术和分析方法降低电气／电子／可编程 电子安全相关系统的风险。

　　2.IEC61508的组成

　　IEC61508由7个部分组成：

　　（1）总的要求；

　　（2）电气／电子／可编程电子系统的需求；

　　（3）软件需求；

　　（4）定义和缩略语；

　　（5）决定安全完善性级别的方法实例；

　　（6）应用IEC61508-2和IEC61508—3指南；

　　（7）技术和方法总论。

　　3.IEC61508的主要目标

　　（1）用技术手段改进安全和经济功能；

　　（2）在安全框架内推动技术发展；

　　（3）对所有的安全相关系统，包括软、硬件在内， 从系统生命周期角度提供一个系统方法；

　　（4）为安全技术的未来发展提供一个灵活的技术方案；

　　（5）提供分析安全相关系统安全功能要求的方法；

　　（6）建立一个基础标准，使其可直接应用于工业， 同时，亦可指导其他领域的标准制定，使这些标准的起 草具有一致性（如基本概念、技术术语、对规定安全功 能的要求等）；

　　（7）让使用者和维护者放心使用以计算机为基础 的技术；

　　（8）建立一个统一的标准以利于：

　　① 增进系统的安全功能；

　　② 发展用于各领域的安全技术和测试；

　　③ 开展安全评估。

　　4.安全完善性（Safety Integrity）

　　IEC61508用安全完善性等级来说明安全相关系 统的安全目标。安全完善性就是在规定的时间周期内 和规定的条件下，安全相关系统成功地完成所需安全 功能的能力。安全完善性分为系统故障和随机故障完 善性。表1是完善性等级分级标准，同时也是随机故 障安全完善性的定量目标，而对于系统故障完善性，标 准中是用质量管理、安全管理和技术安全等定性指标 作为目标的。定义一个安全相关系统的安全完善性等 级相当重要，应当根据系统安全要求计算出可以容忍 的故障率，然后参照表1得出系统安全完善性等级。 如果等级定低了会直接威胁系统的安全性，如果等级 定高了会浪费大量的人力、物力和财力。

　　5.安全生命周期（Safety Lifeeyele）

　　安全生命周期就是从方案的确定阶段开始到所有 的电气／电子／可编程电子安全相关系统、其他技术的 安全相关系统、外部风险降低设备不再可用时为止的 时间。安全生命周期也是IEC61508中很重要的一个 概念，通过定义安全生命周期各个阶段的安全性目标 和必须达到的要求来对系统开发应用的每一个环节严 格把关，实现整个系统的安全。