王俊丁蘭蓉王愛(ài)華

（1. 中石化上海工程有限公司，上海 200120；2. 國(guó)家電網(wǎng)山東省樂(lè)陵市供電公司，山東樂(lè)陵 253600）

淺析IEC 61508：2010新版變化

王俊1丁蘭蓉1王愛(ài)華2

（1. 中石化上海工程有限公司，上海 200120；2. 國(guó)家電網(wǎng)山東省樂(lè)陵市供電公司，山東樂(lè)陵 253600）

通過(guò)IEC 61508：2010版和1998版的比較，分析了新舊兩版之間的變化。主要對(duì)功能安全管理、硬件和軟件的功能安全、基本硬件失效概率評(píng)估、檢驗(yàn)測(cè)試覆蓋率（PTC）對(duì)平均失效概率（PFD）的影響、靜態(tài)和動(dòng)態(tài)建模方法等方面進(jìn)行了比較和闡述。

功能安全管理；安全完整性等級(jí)；平均停機(jī)時(shí)間；每小時(shí)平均失效概率；檢驗(yàn)測(cè)試覆蓋率；布爾方法；狀態(tài)/轉(zhuǎn)移模型

EC 61508自1998年發(fā)布以來(lái)，廣泛地應(yīng)用于石油化工、制藥、機(jī)械制造、礦業(yè)、航空航天等行業(yè)。它針對(duì)由電氣 / 電子 / 可編程電子部件構(gòu)成的、起安全作用的電氣 / 電子 / 可編程電子系統(tǒng)（E / E / PE）的整體安全生命周期，建立了一個(gè)基礎(chǔ)的評(píng)價(jià)方法。目的是要針對(duì)以電子為基礎(chǔ)的安全系統(tǒng)提出一個(gè)一致的、合理的技術(shù)方案，統(tǒng)籌考慮單獨(dú)系統(tǒng)（如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等）中元件與安全系統(tǒng)組合的問(wèn)題。隨著電子電氣技術(shù)、可靠性和安全功能評(píng)估方法的發(fā)展，功能安全技術(shù)迅速提高，IEC于2010年發(fā)布了新版功能安全標(biāo)準(zhǔn)IEC 61508：2010。新版在對(duì)功能安全管理要求、軟件和硬件的安全完整性等級(jí)、功能安全的安全完整性等級(jí)建模技術(shù)等諸多方面進(jìn)行了改進(jìn)和深化。

1 概念方面的變化

1.1 IEC 61508-1的第1.5節(jié)圖1整體框架的技術(shù)要求的第1部分，在編制總的安全要求之后，僅有與E / E / PE安全相關(guān)系統(tǒng)的安全要求的分配步驟，新版本中在分配步驟后增加了E / E / PE安全相關(guān)系統(tǒng)的系統(tǒng)安全要求定義的步驟。（如圖1斜體字部分所示）。

1.2 新版本對(duì)IEC 61508-1的第6.2章節(jié)功能安全管理的要求進(jìn)行了調(diào)整，提供了更容易理解的標(biāo)準(zhǔn)要求，包括：

圖1 IEC 61508 整體框架的技術(shù)要求部分Fig.1 Overall framework of the IEC 61508 series for technical requirement part

（1）新增了對(duì)E / E / PE安全相關(guān)系統(tǒng)或?qū)φw的E / E / PE系統(tǒng)、軟件的安全生命周期的一個(gè)或幾個(gè)階段負(fù)責(zé)的組織，有必要明確對(duì)標(biāo)準(zhǔn)中一項(xiàng)或多項(xiàng)條款負(fù)有責(zé)任的人員。

（2）新增了應(yīng)對(duì)從事安全相關(guān)系統(tǒng)的功能安全的所有人員、部門(mén)和機(jī)構(gòu)進(jìn)行辨別。

（3）新增了所有從事安全相關(guān)系統(tǒng)的功能安全的人員都應(yīng)具備的對(duì)于他們工作的勝任能力。

第（2）和（3）項(xiàng)與舊版相比，強(qiáng)調(diào)“所有”。

1.3 IEC 61508-2新版本第7.4.2.2 c章節(jié)，系統(tǒng)安全完整性的要求可通過(guò)以下三種途徑中任何一種達(dá)到：

途徑（1）符合避免系統(tǒng)故障和故障控制的要求；

途徑（2）符合設(shè)備有“經(jīng)使用證實(shí)”的證據(jù)要求；

途徑（3）只針對(duì)已經(jīng)存在的軟件要素再次被利用執(zhí)行安全功能時(shí)，軟件要素要提供安全手冊(cè)，手冊(cè)中具備對(duì)軟件要素的十分精確和完整的描述，使根據(jù)已經(jīng)存在的軟件要素評(píng)估某個(gè)定義的安全功能的完整性成為可能。

而2000版中僅包含第（1）、（2）種途徑。

1.4 硬件最高的安全完整性等級(jí)受硬件安全完整性約束的限制，2000版標(biāo)準(zhǔn)中只給出了達(dá)到硬件的完整性約束的第（1）種途徑。而IEC 61508-2：2010新版本第7.4.4章節(jié)給出了硬件安全完整性約束可以通過(guò)以下兩種途徑獲得：

基于硬件故障裕度和安全失效分?jǐn)?shù)概念的途徑。

基于從最終用戶(hù)反饋來(lái)的元器件可靠性數(shù)據(jù)，提高了指定安全完整性等級(jí)的置信度水平和硬件故障裕度。

1.5 IEC 61508-2：2010新版本附錄D，新增符合項(xiàng)的安全指南：

對(duì)于聲明自己的產(chǎn)品符合標(biāo)準(zhǔn)的供應(yīng)商或產(chǎn)品制造商提出了新的要求。符合項(xiàng)安全指南通過(guò)對(duì)所有與符合項(xiàng)相關(guān)的信息建立文檔，使符合項(xiàng)能夠按照標(biāo)準(zhǔn)要求集成到安全相關(guān)系統(tǒng)或子系統(tǒng)、組件中。安全指南規(guī)定了符合項(xiàng)的功能，并明確描述功能和輸入 / 輸出接口。

1.6 IEC 61508-3新版本對(duì)軟件要求的變化主要在于以下幾個(gè)方面：

（1）引入了生命周期每一個(gè)階段輸出的期望的概念，例如：完整性、正確性和可預(yù)見(jiàn)性。

（2）規(guī)定了對(duì)于軟件研發(fā)工具選擇和評(píng)定的擴(kuò)展要求。

（3）允許非原創(chuàng)應(yīng)用于安全的軟件要素重新用于安全相關(guān)應(yīng)用，但標(biāo)準(zhǔn)規(guī)定應(yīng)提供在其他應(yīng)用中成功運(yùn)用的證據(jù)。

（4）修訂了附錄A和B中的技術(shù)措施，去掉了陳舊的或極少用到的技術(shù)，引入了當(dāng)今正在使用的方法和措施。例如：在附錄A.1軟件安全要求規(guī)范方面，新增了在系統(tǒng)安全要求和軟件安全要求之間具有向前的可追溯性，在安全要求和認(rèn)識(shí)到的安全需求之間具有向后的可追溯性；在附錄A.2軟件設(shè)計(jì)和開(kāi)發(fā)：軟件結(jié)構(gòu)設(shè)計(jì)方面，新增了在軟件安全要求規(guī)范和軟件架構(gòu)之間具有前后的可追溯性；多樣化的監(jiān)控技術(shù)；多樣化的功能冗余；模塊化的方法；使用可信的或經(jīng)驗(yàn)證的軟件要素；自動(dòng)的軟件生成；監(jiān)測(cè)最長(zhǎng)的循環(huán)時(shí)間；時(shí)間觸發(fā)框架；事件觸發(fā)，監(jiān)測(cè)最長(zhǎng)響應(yīng)時(shí)間；靜態(tài)資源分配；有權(quán)使用共享資源的靜態(tài)同步等等新的方法和措施。在附錄A.5軟件設(shè)計(jì)和開(kāi)發(fā)：支持工具和編程語(yǔ)言方面刪除了使用可信的和經(jīng)驗(yàn)證的軟件模塊和組件庫(kù)；在附錄B.2功能和黑盒測(cè)試方面，刪除了邊界值分析。

2 基本硬件失效概率評(píng)估

IEC 61508-6：2010新版本附錄B2中描述的硬件失效概率評(píng)估方法較2000版本更為全面科學(xué)。IEC 61508-6：2000版本僅分析了在假設(shè)系統(tǒng)部件的失效概率在系統(tǒng)生命周期中是恒定值的情況下的通過(guò)可靠性框圖方法計(jì)算。而IEC 61508-6：2010版本新增了基本的硬件失效概率評(píng)估計(jì)算，該方法的系統(tǒng)部件的失效概率在系統(tǒng)生命周期中是隨時(shí)間變化的變量，而非恒定值。以下為新版本中的可靠性框圖以及低要求和高要求操作模式下的基本硬件失效概率評(píng)估計(jì)算。

圖2 一個(gè)完整安全回路的可靠性框圖Fig.2 Reliability block diagram of a whole safety loop

圖2 中的可靠性框圖（IEC 61508-6 2010 附錄B2）表示由3個(gè)傳感器（A、B、C）、1個(gè)邏輯控制器（D）、2個(gè)最終元件（E、F）和共因失效（CCF）組成的一個(gè)完整的安全回路。

2.1 低要求操作模式

低要求操作模式下，E / E / PE安全相關(guān)系統(tǒng)的平均失效概率PFDavg可以簡(jiǎn)化為MDT（T） / T的比例，其中MDT（T）是指E / E / PE安全相關(guān)系統(tǒng)在周期[0， T]的平均停機(jī)時(shí)間。

通常，安全相關(guān)系統(tǒng)的故障失效概率非常低，在同一時(shí)間有兩個(gè)最小割集的可能性非常?。ㄗ钚「罴侵敢痦斏鲜录l(fā)生的基本事件的最低限度的集合），可以忽略不計(jì)。所以，每個(gè)割集的平均停機(jī)時(shí)間之和約等于整個(gè)系統(tǒng)的平均停機(jī)時(shí)間的保守估計(jì)值。從圖2中，得到：

上式左右兩端除以T，得到：

對(duì)于串聯(lián)結(jié)構(gòu)，在失效概率遠(yuǎn)小于1情況下，以上PFDavg的計(jì)算值接近于真實(shí)PFD值。

但對(duì)于并聯(lián)結(jié)構(gòu)，如圖2中，E和F多個(gè)并聯(lián)的部件失效引起的安全功能失效，就不能直接計(jì)算MDTE和MDTF，而（E，F(xiàn)）子系統(tǒng)的MDT 計(jì)算如下：

所以，對(duì)于并聯(lián)結(jié)構(gòu)，常規(guī)地加和乘并聯(lián)部件的PFD值的方法來(lái)計(jì)算PFDavg已經(jīng)不再有效。

2.2 連續(xù)或高要求操作模式（一般的PFH公式）

當(dāng)E / E / PE安全相關(guān)系統(tǒng)用于連續(xù)或高要求操作模式，要求計(jì)算每小時(shí)平均失效概率PFH，其等于無(wú)條件失效頻率w（t）在周期[0，T]的單位平均值。

如果E / E / PE安全相關(guān)系統(tǒng)工作于連續(xù)模式而且是最終的安全屏障，那么整體安全相關(guān)系統(tǒng)的失效會(huì)導(dǎo)致潛在的危險(xiǎn)狀況。因此對(duì)于會(huì)導(dǎo)致喪失整體安全功能的失效，計(jì)算時(shí)，不能考慮對(duì)整體安全相關(guān)系統(tǒng)的維修。但如果整體安全相關(guān)系統(tǒng)的失效是由其他安全保護(hù)屏障或設(shè)備失效引起的，而不會(huì)直接導(dǎo)致潛在的危險(xiǎn)，那么在其風(fēng)險(xiǎn)降低計(jì)算中可以考慮安全相關(guān)系統(tǒng)的檢測(cè)和維修。

3 低要求操作模式平均失效概率計(jì)算的變化

安全相關(guān)系統(tǒng)的安全功能在低要求時(shí)的平均失效概率，IEC 61508-6：2010新版中引入平均修理時(shí)間MRT，不同于2000版中使用的平均恢復(fù)時(shí)間MTTR。例如，假定平均恢復(fù)時(shí)間MTTR為8 h，這其中包含一般小于1 h的診斷測(cè)試間隔，剩下的為平均修理時(shí)間MRT。除了引入MRT，低要求時(shí)，1OO1、1OO2、2OO2、2OO3表決結(jié)構(gòu)的平均失效概率計(jì)算沒(méi)有其他改變。IEC 61508-6 2010版和2000版公式比較如下表所示。

表1 IEC 61508-6 2010版和2000版公式比較Tab.1 Formula comparison for different architecture between IEC 61508-6 2000 and 2010 version

對(duì)于1OO2D表決結(jié)構(gòu)的平均失效概率的計(jì)算經(jīng)修改，變?yōu)椋?/p>

式中 β—— 具有共同原因的、沒(méi)有被檢測(cè)到的失效分?jǐn)?shù)；

βD—— 具有共同原因的、已被檢測(cè)到的失效分?jǐn)?shù)；

λDU—— 未檢測(cè)到的子系統(tǒng)中通道每小時(shí)的危險(xiǎn)失效率；

λDD—— 檢測(cè)到的子系統(tǒng)中通道每小時(shí)的危險(xiǎn)失效率；

λSD—— 子系統(tǒng)中被檢測(cè)到的通道每小時(shí)的安全失效率；

tCE′—— 1OO2D結(jié)構(gòu)中通道的等效平均停止工作時(shí)間（h）；

tGE′—— 1OO2D結(jié)構(gòu)中表決組的等效平均停止工作時(shí)間（h）；

T1——檢驗(yàn)測(cè)試時(shí)間間隔（h）；

MRT——平均修理時(shí)間；

K——在1OO2D系統(tǒng)自動(dòng)測(cè)試電路的成功率。通道的比較 / 切換機(jī)制可能不是100%有效，因此，K表示通道之間比較 / 切換機(jī)制的效率。

此外，低要求操作模式時(shí)，新增1OO3表決結(jié)構(gòu)的平均失效概率的計(jì)算。此結(jié)構(gòu)由三個(gè)并聯(lián)的通道構(gòu)成，無(wú)論哪個(gè)通道都能處理安全功能。假設(shè)任何診斷測(cè)試僅報(bào)告發(fā)現(xiàn)故障，但并不改變?nèi)魏屋敵鰻顟B(tài)或輸出表決。此結(jié)構(gòu)在要求時(shí)的平均失效概率為：

式中 tCE—— 1OO3結(jié)構(gòu)中單個(gè)通道在失效狀態(tài)的等效平均停止工作時(shí)間（h）；

tGE—— 1OO3結(jié)構(gòu)中2個(gè)通道同時(shí)在失效狀態(tài)的等效平均停止工作時(shí)間（h）；

tG2E—— 1OO3結(jié)構(gòu)中3個(gè)通道同時(shí)在失效狀態(tài)的等效平均停止工作時(shí)間（h）；

MTTR——平均恢復(fù)時(shí)間（h） 。

其他參數(shù)β、βD、λDU、λDD和T1的含義與式（5）中相同。

4 檢驗(yàn)測(cè)試覆蓋率PTC對(duì)平均失效概率PFD的影響

在安全系統(tǒng)中的故障，既沒(méi)有被診斷測(cè)試又沒(méi)有被檢驗(yàn)測(cè)試檢測(cè)到，可能通過(guò)其他方式發(fā)現(xiàn)，比如從發(fā)生的要求操作安全功能的危險(xiǎn)事件中，或在設(shè)備檢修時(shí)被發(fā)現(xiàn)。如果故障沒(méi)有被這種方式發(fā)現(xiàn)，則應(yīng)該假設(shè)該故障仍保留在設(shè)備生命周期中。假定檢驗(yàn)測(cè)試時(shí)間間隔為T(mén)1，當(dāng)執(zhí)行檢驗(yàn)測(cè)試時(shí)檢測(cè)到的故障分?jǐn)?shù)指定為檢驗(yàn)測(cè)試覆蓋率PTC，而當(dāng)執(zhí)行檢驗(yàn)測(cè)試時(shí)未檢測(cè)到的故障分?jǐn)?shù)指定為（1-PTC）。只有在要求的時(shí)間間隔T2對(duì)安全相關(guān)系統(tǒng)實(shí)施要求時(shí)，這些后來(lái)的檢驗(yàn)測(cè)試未檢測(cè)到的故障才會(huì)顯示出來(lái)。因此，檢驗(yàn)測(cè)試時(shí)間間隔T1和要求的時(shí)間間隔T2，決定了有效的停止工作時(shí)間。

以下是1OO2結(jié)構(gòu)，考慮T1和T2的影響，計(jì)算出平均失效概率PFD如下：

式中 PTC——檢驗(yàn)測(cè)試覆蓋率；

tCE—— 1OO2結(jié)構(gòu)中通道的等效平均停止工作時(shí)間（h）；

tGE—— 1OO2結(jié)構(gòu)中表決組的等效平均停止工作時(shí)間（h）；

T2——要求之間的時(shí)間間隔（h）；

MTTR——平均恢復(fù)時(shí)間（h） 。

其他參數(shù)β、βD、λDU、λDD和T1的含義與式（5）中相同。

IEC 61508-6 B3.2.5節(jié)新版與舊版的區(qū)別在于明確了T1和T2決定安全相關(guān)系統(tǒng)有效的停止工作時(shí)間，而不是由安全相關(guān)系統(tǒng)預(yù)計(jì)的要求率，使概念更加清晰，同時(shí)以上公式中均引入了檢驗(yàn)測(cè)試覆蓋率（PTC），使計(jì)算的平均失效概率更加精確。

5 建模方法的變化

IEC 61508：2010新版中介紹了靜態(tài)的和動(dòng)態(tài)的建模方法。

5.1 靜態(tài)建模方法

靜態(tài)的建模方法即布爾方法。它是將單個(gè)元器件失效與整體系統(tǒng)失效相連接的邏輯功能進(jìn)行表達(dá)的技術(shù)。可靠性領(lǐng)域的布爾模型主要是可靠性框圖（RBD）和故障樹(shù)（FT）。

可靠性框圖是系統(tǒng)單元及其可靠性意義下連接關(guān)系的圖形表達(dá)，表示單元的正?；蚴顟B(tài)對(duì)系統(tǒng)狀態(tài)的影響。可靠性方塊圖的結(jié)構(gòu)定義了系統(tǒng)中各故障的邏輯交互作用，而不一定要定義各故障的的邏輯連接和物理連接。每個(gè)方塊可以代表一個(gè)組件故障、子系統(tǒng)故障或其它具有代表性的故障。該方塊圖可以代表整個(gè)系統(tǒng)，也可以代表該系統(tǒng)中要求進(jìn)行故障分析、可靠性分析或可用性分析的任何子集或組合。它還可用作分析工具，顯示系統(tǒng)中每個(gè)元件是如何工作的，以及每個(gè)元件是如何影響整體系統(tǒng)運(yùn)行的。

故障樹(shù)是可靠性和安全分析的另外一種技術(shù)，它是一種系統(tǒng)化的演繹方法，它以系統(tǒng)不希望發(fā)生的一個(gè)事件（頂事件）作為分析的目標(biāo)。第一步去尋找引起頂事件的直接原因（中間事件）；第二步再分別找上述每個(gè)直接原因的所有直接原因，依次進(jìn)行，直至最基礎(chǔ)的直接原因（底事件）。用一定的符號(hào)建樹(shù)，表達(dá)上面的關(guān)系，用以找出系統(tǒng)內(nèi)可能存在的元件失效、環(huán)境影響、軟件缺陷和人為失誤等各種因素（底事件）和系統(tǒng)失效（頂事件）之間的邏輯關(guān)系。

5.2 動(dòng)態(tài)建模方法

由于布爾模型的一些缺陷（與時(shí)間無(wú)關(guān)），對(duì)于一些隨時(shí)間變化狀態(tài)情況復(fù)雜的系統(tǒng)，可以采用其他動(dòng)態(tài)的概率模型。動(dòng)態(tài)（狀態(tài) / 轉(zhuǎn)移）模型包含了根據(jù)發(fā)生的事件（失效、維修和測(cè)試等）來(lái)描述系統(tǒng)狀態(tài)間跳轉(zhuǎn)的所有模型。一般情況下該方法主要須經(jīng)歷如下兩個(gè)步驟：

（1）識(shí)別待研究系統(tǒng)的所有狀態(tài)；

（2）分析系統(tǒng)從一個(gè)狀態(tài)跳轉(zhuǎn)到另一個(gè)狀態(tài)的過(guò)程。

一般的過(guò)程是根據(jù)系統(tǒng)發(fā)生的各種事件（失效、維修或測(cè)試等）建立一個(gè)自動(dòng)的行為狀態(tài)模型。對(duì)于安全控制系統(tǒng)來(lái)說(shuō)，一般僅有幾個(gè)離散的狀態(tài)。這種動(dòng)態(tài)模型可以采用圖形化、特定形式的語(yǔ)言或通用編程語(yǔ)言來(lái)表達(dá)。一般采用如下兩種模型：馬爾可夫模型和佩特里網(wǎng)模型（利用蒙特卡洛仿真處理）。

利用狀態(tài)轉(zhuǎn)移模型進(jìn)行仿真的優(yōu)點(diǎn)是：能夠處理較為復(fù)雜的系統(tǒng)，且能應(yīng)付各種維修策略和描述隨時(shí)間推移的過(guò)程，計(jì)算精度高；缺點(diǎn)是：建模過(guò)程復(fù)雜，形成的圖形化模型不夠直觀清晰。

6 總結(jié)

隨著功能安全技術(shù)的深入研究，功能安全標(biāo)準(zhǔn)將逐步完善。我國(guó)的功能安全標(biāo)準(zhǔn)也將吸取國(guó)內(nèi)外的經(jīng)驗(yàn)成果和發(fā)展趨勢(shì)，及時(shí)調(diào)整以適應(yīng)飛速發(fā)展的技術(shù)要求。本文淺析IEC 61508：2010版和1998版的比較，介紹了新舊兩版在功能安全管理、硬件和軟件的功能安全、基本硬件失效概率評(píng)估、檢驗(yàn)測(cè)試覆蓋率PTC對(duì)平均失效概率PFD的影響、靜態(tài)和動(dòng)態(tài)建模方法等方面的變化。IEC 61508是安全相關(guān)系統(tǒng)的功能安全的通用標(biāo)準(zhǔn)，石油化工、制藥、機(jī)械制造等各個(gè)領(lǐng)域的安全相關(guān)系統(tǒng)都必須遵循此標(biāo)準(zhǔn)。因此，對(duì)IEC 61508：2010版的學(xué)習(xí)和應(yīng)用十分重要。

[1]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求2006版[S].

[2]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的要求 2006版[S].

[3]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求2006版[S].

[4]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(yǔ) 2006版[S].

[5]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等級(jí)的方法示例 2006版[S].

[6]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第6部分：GB / T 20438.2和GB / T 20438.3的應(yīng)用指南 2006版[S].

[7]GB / T 20438電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全第7部分：技術(shù)和措施概述 2006版[S].

[8]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part1—7 Edition2.0 2010-04.

[9]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part1： General requirements Edition1 1998-12.

[10]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part2： Requirements for elec trical / electronic / programmable electronic safety-related systems Edition1 2000-05.

[11]IEC61508 Functional safety of electrical / electronic / programmabl e electronic safety-related Systems-Part3： Software requirements Edition1 1998-12.

[12]IEC61508 Functional safety of electrical / electronic / programm able electronic safety-related Systems-Part4： Definitions and abbreviations Edition1 1998-12.

[13]IEC61508 Functional safety of electrical / electronic / programmab le electronic safety-related Systems-Part5： Examples of methods for the determination of safety integrity levels Edition1 1998-12.

[14]IEC61508 Functional safety of electrical / electronic / programm able electronic safety-related Systems-Part6： Guidelines on the application of IEC 61508-2 and IEC 61508-3 Edition1 2000-04.

[15]IEC61508 Functional safety of electrical / electronic / program mable electronic safety-related Systems-Part7： Overview of techniques and measures Edition1 2000-03.

Brief Analysis of Changes in IEC 61508:2010

Wang Jun, Ding Lanrong, Wang Aihua
（1. SINOPEC Shanghai Engineering Co., Ltd, Shanghai 200120; 2. National Electrical Network, Leling Municipal Power Supply Co., Leling 253600）

With the comparison of 2010 version and 1998 version of IEC 61508, the changes in new version were analyzed in this article. Main contents in IEC 61508:2010 were described, including function safety management, assessment of basic hardware failure probability, inf l uence of PTC to PFD and methods of static and dynamic modeling.

function safety management; safety integrity level; MDT; PFH; PTC; Boolean model; state/transition model

TQ 056

A

2095-817X（2017）01-0058-006 I

2016-03-10

國(guó)家科技支撐計(jì)劃課題（2015BAF22B02）。

王?。?975—），女，高級(jí)工程師，主要從事石油化工過(guò)程控制及儀表設(shè)計(jì)工作。