SIL 认证知识

功能安全（SIL）认证

Certificate for Function Safety （SIL）

李佳嘉

（上海仪器仪表自控系统检验测试所， 上海 200233）

简 介：主要讲述功能安全（安全完整性等级）的认证的重要性和必要性。简单叙述了认证使用的标准、认证的模式和认证的内容以及对评估人员的要求。特别强调了功能安全与EMC环境的关系。

关键词：安全完整性等级（SIL） 功能安全 SIS 整体安全生命周期 硬件故障裕度

0 前言

在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备工作不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的火灾、爆炸,核电站的辐射超剂量，飞机的机械漏油等危险事件,会对人员、设备和环境造成灾难性后果。如何将这种灾难控制在可接受的范围之内？这就需要依靠标准和法规来规范。如果一个项目，一个系统或产品获得了功能安全的认证，那么可以增强客户的信心。

1 功能安全认证的重要性

安全系统功能安全主要的研究对象是以保护人身财产安全为目的与安全相关的保护系统，其包括安全控制系统和安全保护系统两大类。随着微电子技术、计算机技术和总线技术以及无线通信技术的迅速发展，这些技术被越来越多地应用到安全系统以实现安全功能。而安全系统本身，由于无法预计的失效而导致的危险引起了科学家们的注意。由于上世纪70年代以来在欧美发生的多起工业事故都与安全相关系统失效有关，所以人们意识到安全相关系统的功能安全的重要性。

美国、欧共体等国家相继在各自工业领域开展对功能安全的研究，制定了相应的国家标准，直到2000年IEC61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》标准的颁布,才标志功能安全作为独立的安全学科,进入实际的应用阶段。

IEC61508发布后，欧盟的强制指令（如ATEX指令）、美国职业安全与卫生管理局、美国环保署和英国（HSE）都将其纳入安全法规范畴。

随后，各个应用领域的功能安全标准也相继制订，2003年颁布IEC61511.1-3《过程工业领域安全仪表系统(SIS)的功能安全》标准，2005年颁布IEC62061《机械安全-安全相关的电气/电子/可编程电子控制系统的功能安全》。IEC61784-3 Data communications for measurement and control-Part 2 Profiles for functional safety communications in industry networks(用于工业网络功能安全通信)正在制订中。这些标准都以安全完整性等级（SIL）来评估仪表和系统的风险程度。

近年来，由于钢铁、石化、核电及过程成套设备等工业产品的飞速发展，防止火灾、爆炸等

1

事故的发生已成为非常突出的问题。国外尤其是欧共体国家，在功能安全的评估方面有着越来越强烈的要求，所以，要求取得认证的产品越来越多，产品的范围也在逐步扩大。

对于安全事故多发的我国，功能安全和安全完整性等级只是作为一个名词概念，在国内工业领域业内流传。由于安全生产越来越引起国家领导人和民众的广泛关注（人的生命高于一切），已成为衡量现代工业的重要指标，特别是国外工程投资的增加和工程设计的全面介入，带动了我国安全仪表系统功能安全技术的应用需求。因此，对用于安全系统中的相关产品进行安全完整性的认证是非常必要的。

2 国外开展认证工作的情况

国外相关的产品如：SIEMENS的故障安全容错S7 F/FH系统等，有的配置专用的安全模块（一般以黄色标识）和相应的组态软件，并由被动的维护、诊断发展到预防性安全措施；Rockwell Automation的Guard PLC；Phoenix的安全隔离栅等。 SIEMENS对现场总线推出了PROFIsafe 协议、Rockwell Automation公司推出了CIPsafety和DeviceNetsafety、Phoenix Contact公司开发了Interbus Safety、Mitsubishi公司研发了CClink Safety等，这些产品有的已经通过了国际权威机构的认证，有的拿到了专门机构的测试分析报告。

3 安全相关系统功能安全评价标准简介

3.1 IEC61508

本标准是基于安全相关系统的可靠性，它是安全相关系统功能安全的基础标准，有7个部分组成，描述了安全相关系统的软硬件的要求（从危险分析和安全功能的详细说明开始，直到系统停用和处理）。它提出了4个安全完整性等级，提出了影响安全完整性等级的两个因素以及安全故障的比例和目标失效量的测量。

3.2 IEC61511

本标准是IEC61508 在过程工业领域的应用。本标准给出了安全仪表系统的规范、设计、安装、运行和维护要求，以及它的应用指南和确定要求的安全完整性等级的指南，主要适用于包括化工、炼油、油气生产、纸浆和造纸等在内的过程控制领域。它适用于安全仪表系统的设计师、集成商和用户，但并不适用于过程工业领域的安全仪表系统的制造商。

3.3 IEC62061

本标准是IEC61508在机械应用领域中E/E/PES的功能安全要求，它包括机械设计完整性、安全相关电气控制系统的有效性等方面的要求和建议。本标准只考虑高要求（连续）操作模式下的安全完整性等级。

上述标准的区别是IEC61508是一个基础标准，而IEC61511和IEC62061是基于IEC61508在各自工业领域的功能安全应用标准。

4 认证的模式

根据ISO/IEC出版物《认证的原则与实践》，将现行的认证制度归纳为8种模式。

安全完整性等级（SIL）认证的模式应按产品的不同，而分为型式试验+工厂质量体系评定+认证后监督或型式试验+工厂质量体系评定。因为SIL的评估是贯穿于系统和产品的全生命周期的。

2

5 对评估人的要求

在IEC61508.1中对评估人员和部门作了规定。可进行功能安全评估的人、部门或组织必须是独立的，与被评估的项目没有任何关系。对于SIL1的系统可以由个人或部门来完成，SIL2的系统可以由相关的部门进行。只有SIL3以上的系统和产品要求第三方机构来认证。

6 SIL认证涉及的一些基本概念和认证内容

6.1 功能安全的概念

什么是功能安全？功能安全是与EUC或EUC控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子（E/E/PE）安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。

如何来正确行使？主要内容包括管理和技术两方面。即在技术上和管理上保证E/E/PE安全系统、其它技术安全系统和外界风险降低设施在需要时能执行安全功能。

在过程工业领域如石化、化工等，是用安全仪表系统来表述安全相关系统。即SIS(Safty Instrumented Systems)用来实现一个或几个仪表安全功能的仪表系统,可以由传感器、逻辑解算器和终端元件的任何组合组成.

仪表安全功能(Safty Instrumented Function)就是具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是安全保护系统,也可以是安全控制系统.

6.2 SIS整体安全生命周期

一个SIS整体安全生命周期包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体的安全计划编制（操作和维护计划、整体安全确认计划、整体安装和试运行计划）、E/E/PES安全相关系统的实现、其他安全相关系统的实现、外部危险降低设施的实现、整体安装和试运行、整体安全确认、整体操作维护和维修、整体修改和改型、停用和处理。

在整体安全生命周期的各阶段都有各自相关的功能安全活动和要求。其中E/E/PES安全相关系统的实现包括两个部分即硬件的实现和软件的实现，这个阶段是通过设计满足系统的SIL要求。所以，我们说功能安全是设计出来的。

E/E/PES安全相关系统的实现阶段包括安全要求规范（安全功能要求规范和安全完整性要求规范）、安全确认计划、设计和开发、集成、操作和维护规程、安全确认（IEC61508-2）。

软件安全生命周期（实现阶段）包括：软件安全要求规范（安全功能要求规范和安全完整性要求规范）、软件安全确认计划、软件设计和开发、PE集成（硬件和软件）、软件操作和维护规程、软件安全确认（IEC61508-3）。

6.3 功能安全的评估

功能安全评估的目的是调查并判断E/E/PE安全相关系统所达到的功能安全。对SIS 的功能安全评估从两个方面来进行。第一，评估为了确保满足功能安全目的所必需的管理活动是否有效。第二，评估安全仪表系统或安全仪表是否达到了要求的SIL。如何确认设计和生产的安全仪表和SIS的SIL达到要求？

我们可以从以下几个方面来考虑：

6.3.1 建立功能安全管理体系

建立功能安全管理系统目的是确定整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动，这些阶段是达到E/E/PE安全相关系统要求的功能安全所必需的；确定人员、部门和组织对整体的、E/E/PES的和软件的安全生命周期各阶段或各阶段中活动所负的责任。通过

3

4

体系来保障能达到要求的安全完整性。

6.3.2 建立与功能安全相关的文件

文件应规定能够有效执行整体安全生命周期、E/E/PES 安全生命周期和软件安全生命周期各阶段所必需的信息；规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息；以及有关的报告和记录

功能安全评估时，为了满足IEC61508对文档的要求，在整体安全生命周期的各阶段的各个活动都要给出相关的文档。功能安全评估时需要的文档示例可以在IEC61508.1附录A 中找到。

6.3.3 安全完整性和安全完整性等级的确定

安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。 安全完整性等级是用来规定分配给SIS 安全功能的安全完整性要求的分离等级,记为SIL，共分4个等级,SIL4为最高等级。IEC61508-1规定了目标失效量（表1）。

在确定安全完整性时，应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)。 安全相关系统使用方式，按要求产生的频率可分为：低要求模式(≤1次/年)和高要求或连续模式(＞1次/年)。低要求模式和高要求模式SIL 的目标失效量是不同的，见表1。

表1 安全完整性等级：低要求模式和高要求模式SIL 的目标失效量 SIL 风险降低 低要求操作模式下

PFDavg(平均失效概率)

高要求或连续操作模式下 PFH(每小时危险失效概率) 1

10-----100 ≥10-2至＜10-1 ≥10-6至＜10-5 2

100----1000 ≥10-3至＜10-2 ≥10-7至＜10-6 3

1000----10000 ≥10-4至＜10-3 ≥10-8至＜10-7 4 10000---100000 ≥10-5至＜10-4 ≥10-9至＜10-8

6.3.4 软硬件SIL 的评估

① 硬件故障裕度的要求

硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度N 意味着N+1个故障会导致全功能的丧失。例如：硬件故障裕度为1，表示如有两台设备，它们的结构应使得两个部件之一的危险失效不得阻止安全动作发生。

为了减轻仪表安全功能设计中的潜在缺陷，IEC61511-1表5和表6定义了传感器、逻辑解算器和终端元件最低的硬件故裕度。对仪表安全功能而言，传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度,硬件故障裕度表示了最低的部件或子系统冗余。

② 硬件安全完整性的结构约束

硬件安全功能所声明的最高安全完整性等级受限于硬件故障裕度及执行该安全功能的子系统的安全失效分数(SFF)。IEC61508.2中表2和表3为A 类和B 类相关子系统的结构约束，表示在失效分数(SFF)确定的情况下，SIL 与最低硬件故障裕度之间的关系。

在进行SIL 评估时，我们首先要根据部件或子系统的失效模式是否已知、数据是否可靠、故障行为是否确定来区别硬件的结构约束是属于A 类还是B 类。

然后，进行SFF 及PFD 计算,对应IEC61508.1表2或表3,可以得到相对应的SIL。即部件和相关子系统的安全完整性等级。

5 在确定子系统最大硬件安全完整性等级时,必须考虑系统结构约束,即在SFF 确定前提下,故障裕度要求与SIL 的对应关系。表2为B 类相关子系统的结构约束。

表2 安全完整性等级： B 类相关子系统的结构约束 硬件故障裕度 安全失效分数

(SFF)

0 1 2 <60%

不允许 SIL1 SIL2 60%-<90%

SIL1 SIL2 SIL3 90%-<99%

SIL2 SIL3 SIL4 ≥99% SIL3 SIL4 SIL4

7 SIL 认证的结论

要满足功能安全标准的要求，必须证明提出的所有要求都符合相关功能安全标准的规定（如安全完整性等级）并已达到各章和各条的要求。但是对于有些系统和仪表只要有理由认为是不必要的， 标准中的这些条款要求是可以不考虑的。

在功能安全评估结束时，它的结论只有3个，即接受、有条件地接受或不接受。

8 功能安全与EMC 环境的关系

一个E/E/PES 安全相关系统在执行安全功能时，如果遇到电磁骚扰，可能会产生错误、误动作、故障和损坏，从而导致安全相关系统的性能下降或失效，甚至引起危险。在功能安全标准中特别强调了E/E/PES 安全相关系统对系统的EMC 特性进行评估，以保证要求SIL 规定的失效率。 目前国际上相关组织正着手研究和制定安全相关系统（设备）的电磁兼容性要求，在这种背景下形成了IEC61326-3（草案）。IEC61326-3（草案）规定了安全相关系统设备的抗扰度水平的附加要求。而且与安全相关系统（设备）的EMC 性能判据也不同于通用标准和IEC61326-1定义的性能判据。

因此，在认证时，产品必须符合与功能安全相关的电磁兼容的要求。

9 结束语

① 安全是工业生产永恒的主题。因此，开展SIL 认证，以保障国产仪表和系统在各个应用领域的安全使用，对提高国产仪表和系统的市场核心竞争力有着积极的作用。

② 通过SIL 的认证，国内的SIS 用户、设计部门、集成商和设备制造商和供应商可以认识和理解功能安全的概念，正确运用相关标准来实现要求的安全功能。通过有效的功能安全的管理和评估来满足相关安全标准以及合同要求，提高自身的竞争能力。

③ 安全相关系统（设备）的EMC 要求与EMC 性能判据，都比对非安全相关系统的要求高；安全相关系统（设备），其SIL 等级越高EMC 的要求也越高。

参考文献

1 IEC61508.1-7：1998《电气/电子/可编程电子安全相关系统的功能安全》

2 IEC61511.1-3:2003《过程工业领域安全仪表系统的功能安全》

功能安全 Functional Safety ISO26262-2 中文翻译

ISO 26262-2 功能安全管理 译者：逯建枫 图1 ISO26262概览 1 范围 ISO26262适用于包含有一个或多个电子电气系统的安全相关系统，且该系统安装于车辆最大总质量为3500kg的一系列乘用车车型上。ISO26262不适用于特殊用途车辆（比如残疾人专用车辆）中的特殊电子电气系统。 在ISO26262发布日期之前已发布生产的、或已在开发过程中的系统及其零部件，不受此标准约束。在对ISO26262发布前生产的系统及其零部件进行开发或更改时，只需要使得更改的部分符合ISO26262的要求即可。 ISO26262阐述了E/E安全相关系统故障或系统相互作用故障可能导致的危害。ISO26262不涉及电击、火灾、烟雾、热量、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关危害，除非以上这些危害是由于E/E安全相关系统故障直接导致的。 ISO26262不涉及E/E系统的名义性能，尽管这些系统（例如主动和被动安全系统、制动系统、自适应巡航系统）有专门的性能标准。

ISO26262-2部分规定了汽车应用的功能安全管理要求，包括： -相关组织的项目独立要求（全面安全管理），以及 -与安全生命周期的管理活动有关的具体项目要求（即概念阶段、产品开发期间以及生产发布后的管理）。 2 相关标准 略 3 术语、定义和缩略语 见ISO26262-1部分。 4 合规性要求 4.1 一般化要求 若声称符合ISO26262要求时，应当遵守每项要求，除非有以下其中一项： a)计划按照ISO26262-2对安全活动进行裁剪，发现该要求不适用，或者 b)有缘由表明，不合规是可以接受的，且该缘由经评估符合ISO26262-2。 标记为“注释”或“示例”的信息仅用于指导理解或澄清相关要求，不应理解为要求本身或完整需求或详细需求。 安全活动的结果是以工作产品的形式输出的。“先决条件”是指作为前一阶段工作产品提供的信息。考虑到某条款的某些需求是ASIL依赖的或定制的，某些工作产品可能不需要作为先决条件。 “进一步的支持信息”是可以考虑的信息，但在某些情况下，ISO 26262不要求该信息作为前一阶段的工作产品，并且可以由非功能安全人员或组织外部人员提供。 4.2 表格释义 根据上下文信息，表格可能是规范性的或信息性的。表中列出的不同方法，有助于将置信度提升到符合相应要求的水平。表中每个方法都是： a)连续条目（用最左边列中的序列号标记，例如1、2、3），或 b)一个可选条目（用数字和最左边一列中的字母标记，例如2a、2b、2c）。 对于连续条目，应按照ASIL的建议，考虑使用所有方法。如果要采用其他方法，应给出满足相应要求的理由。 对于替代条目，要根据ASIL的要求，采用适当的方法组合；至于表中是否有列出这些方法则无关紧要。若列出的这些方法的ASIL等级不相同，那么应当优先选择等级较高的方法。且要给出所选方法组合符合相应要求的理由。

安全完整性等级认证

SIL（Safety Integrity Level）-安全完整性等级。 SIL认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准，对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。 欧洲电工标准化（CENELEC的缩写）委员会，欧洲三大标准化组织之一。 CENELEC 负责电子工程领域的欧洲标准化。CENELEC连同电信标准化（ETSI）和CEN（所有其他技术领域的标准化）形成了欧洲标准化体系。 SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统两个层次。其中，以SIL4的要求最高。 2主要标准 IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全性 IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计，其目标是既避免系统性设计故障，又避免随机性硬件失效。 IEC61508标准的主要目标为： · 对所有的包括软、硬件在内的安全相关系统的元器件，在生命周期范围提供安全监督的系统方法; · 提供确定安全相关系统安全功能要求的方法; · 建立基础标准，使其可直接应用于所有工业领域。同时，亦可指导其他领域的标准，使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等); · 鼓励运营商和维护部门使用以计算机为基础的技术; · 建立概念统一、协调一致的标准架构和体系。 IEC61511: 过程工业领域安全仪表系统的功能安全要求 IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准，它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准，IEC61511在国内的协调标准为GB/T 21109。在过程工业中，仪表安全系统都被用来执行仪

IAR 功能安全认证工具

功能安全认证工具 IAR系统公司提供了一套可靠的开发与安全相关应用程序的工具。它是基于IAR Embedded Workbench的针对ARM处理器的C / C ++ 编译器和调试器工具套件。 功能安全版本的工具套件由TüV南德意志集团根据IEC61508功能安全国际防护标准认证的，同时这个版本还通过了ISO26262汽车安全相关系统的认证。 如果您采购了这个认证的版本，我们将提供特殊的功能安全支持和更新协议。 主要特点: ●完整的开发工具套件，其中包括了IAR C / C ++ 编译器，汇编器，链接器，库管理 员，文本编辑器，项目管理器和C-SPY调试器。 ●综合的文档，包括证书，安全指南和TüV南德意志集团的报告 ●软件开发认证SIL3（IEC 61508）和ASIL D（ISO26262） ●支持基于ARM内核所有主要供应商的设备 ●阐述符合语言标准 ?严格模式禁用语言扩展 ?宽松模式允许特定扩展的嵌入式编程 ●集成MISRA-C规则检查 ●与IAR visualSTATE集成 ●内置Micrium，Express Logic，Sciopta等公司实时操作系统的插件 ●与子版本Subversion和其他源代码控制系统集成 功能安全版本的支持和更新协议（SUA） ●对长期合同的已售出的版本保证支持 ●优先技术支持 ●提供经过验证的服务包 ●定期报告已知的偏差和问题 注意：针对ARM的IAR Embedded Workbench目前认证的版本是IAR EWARM v6.50.4。 它与IAR EWARM v6.50.3版本中的功能是相同的。在以后的版本中添加的功能不包括在内。有关详细信息，请参阅发行说明。

关于功能安全编程的软件实现方法

关于功能安全编程的软件实现方法 Author: Zhanzr21 @ 21ic BBS 功能安全与信息安全其实是两个概念,两者都很重要但相互独立.在汽车电子设计中,两个安全都很重要,但是功能安全往往涉及到很严重的事故,所以显得更为重要. 功能安全-一般使用Safety这个词 信息安全-使用这个词:Security 但是到了中文两者都是安全,本文只涉及到功能安全,也就是前者Safety. 关于功能安全,业界一直在积极研究与推行相关标准.比如IEC,VDE.应该说功能安全的研究与发展永远不会停止,因为没有任何一种设计能够达到百分百的绝对安全标准. 功能安全与EMC测试联系较为紧密,因为电磁辐射会影响其他部件或者使用者的健康,而如何防范EMC噪音也是评价功能安全的一项指标. 兼容IEC,VDE的标准 IEC(International Electrotechnical Commission)是一个非营利,非政府的标准制定组织.IEC制定的标准主要关注安全,性能,环保,电气能效与再生能力.IEC与ISO和ITU有着紧密联系.这些制定的标准不仅包括对硬件的规定也有软件方面的.另外这些标准一般会根据应用场景细化为若干子标准. 除了老资格,国际化的IEC之外,这个领域中比较知名的,认可度较高还有德国的VDE,英国的IET,美国的IEEE.其中VDE还包括一个测试与认证机构专注于软件功能安全方面的前沿性研究.该机构属于德国的国家注册的认证机构.其主要目的在于给各家电子制品厂商提供标准符合与质量检验服务. IEC的标准中最为人熟知的是IEC 60335-1.这个标准主要覆盖家用或类似场合的电子制品的功能安全与信息安全规范.其原则:被测品应该在各种元器件失效的情况下保持安全.从此标准的角度观察,微控制器(MCU)也属于众多器件之一.如果电子器件影响到最终产品的安全性,那么在连续的两次失效后该制品依然能够保持安全.这意味着该制品必须在微控制器不工作(正在复位或者运行异常)且硬件发生失效的情况下依然能保持安全. 如果安全取决于软件,那么软件被当做第二次失效来考虑.该标准规定了三种软件的安全类型: Class A: 安全根本不取决于软件

功能安全标准化发展现状分析

本文由ｋｋｄｔｋ贡献 ｐｄｆ１。 Ｃｏｎｔｒｏｌ　Ｔｅｃｈ　ｏｆ　Ｓａｆｅｔｙ　＆　Ｓｅｃｕｒｉｔｙ 功能安全标准化发展现状分析 Ａｎａｌｙｓｉｓ　ｏｆ　Ｄｅｖｅｌｏｐｍｅｎｔ　Ｓｔａｔｕｓ　ｏｆ　Ｆｕｎｃｔｉｏｎａｌ　Ｓａｆｅｔｙ　Ｓｔａｎｄａｒｄｉｚａｔｉｏｎ　王春喜　石镇山 （机械工业仪器仪表综合技术经济研究所，北京市　１０００５５）　Ｗａｎｇ　Ｃｈｕｎｘｉ　Ｓｈｉ　Ｚｈｅｎｓｈａｎ　（Ｉｎｓｔｒｕｍｅｎｔａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ　＆　Ｅｃｏｎｏｍｙ　Ｉｎｓｔｉｔｕｔｅ，　Ｂｅｉｊｉｎｇ　１０００５５）　【摘　要】　通过对比国内外功能安全标准化发展及应用情况，说明我国在此领域发展相对发达国家较为落 后，提出应加强功能安全标准和技术的研究，积极开展功能安全产品认证，推动我国功能安全　标准体系的建立。并对功能安全标准体系的建立研究课题，得出结论和建议。 【关键词】　功能安全标准化 功能安全认证体系 Ａｂｓｔｒａｃｔ：　Ｃｏｍｐａｒｅｄ　ｗｉｔｈ　ｔｈｅ　ｄｅｖｅｌｏｐｍｅｎｔ　ａｎｄ　ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　ｆｕｎｃｔｉｏｎａｌ　ｓａｆｅｔｙ　ｉｎ　ｔｈｅ　ｄｅｖｅｌｏｐｅｄ　ｃｏｕｎｔｒｉｅｓ，　Ｃｈｉｎａ　ｆａｌｌｓ　ｆａｒ　ｂｅｈｉｎｄ　ｉｎ　ｔｈｉｓ　？ｅｌｄ．　Ｔｈｅ　ｐａｐｅｒ　ｐｕｔｓ　ｆｏｒｗａｒｄ　ｔｈｅ　ｒｅｓｅａｒｃｈ　ｏｆ　ｔｈｅ　ｓｔａｎｄａｒｄ　ａｎｄ　ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　ｆｕｎｃｔｉｏｎａｌ　ｓａｆｅｔｙ　ｓｈｏｕｌｄ　ｂｅ　ｓｔｒｅｎｇｔｈｅｎｅｄ，　ａｎｄ　ｔｈｅ　ｃｅｒｔｉｆｉｃａｔｉｏｎ　ｏｆ　ｓａｆｅｔｙ　ｐｒｏｄｕｃｔｓ　ｓｈｏｕｌｄ　ｂｅ　ｐｒｏｍｏｔｅｄ．　Ｔｈｅ　ｐｒｏｊｅｃｔ　ｏｆ　ｅｓｔａｂｌｉｓｈｉｎｇ　ｆｕｎｃｔｉｏｎａｌ　ｓａｆｅｔｙ　ｓｔａｎｄａｒｄ　ｓｙｓｔｅｍ　ｉｎ　ｏｕｒ　ｉｎｄｕｓｔｒｉａｌ　？ｅｌｄ　ｐｒｅｓｅｎｔｓ　ｔｈｅ　ｃｏｎｃｌｕｓｉｏｎｓ　ａｎｄ　ｓｕｇｇｅｓｔｉｏｎｓ　ｂｙ　ｒｅｓｅａｒｃｈｉｎｇ．　Ｋｅｙ　ｗｏｒｄｓ：　Ｆｕｎｃｔｉｏｎａｌ　Ｓａｆｅｔｙ　Ｓｔａｎｄａｒｄｉｚａｔｉｏｎ　Ｆｕｎｃｔｉｏｎａｌ　Ｓａｆｅｔｙ　Ｃｅｒｔｉ？ｃａｔｉｏｎ　Ｓｙｓｔｅｍ 本文对国外功能安全标准化现状和实施情况进　行了认真调研，并分析了我国石油化工、机器人等典　型行业功能安全标准化基本情况。通过对比国外情　况，目的在于发现我国功能安全标准化当前存在的问　题，并提出我国功能安全标准体系的发展方向。本文　是机械工业仪器仪表综合技术经济研究所正在开展的　国家标准化研究课题《工业产品及系统功能安全标准　体系研究和建立》调研报告的主要内容。　１　功能安全标准化概述　２０００年，ＩＥＣ发布了功能安全基础标准ＩＥＣ 收稿日期：２０１０－０９－０７　作者简介：王春喜（１９７４－），长期从事我国仪器仪表行业管理、仪　器仪表及自动化领域国际和国内标准化工作及相关课题研究。现　任机械工业仪器仪表综合技术经济研究所标准与检测中心副主　任、全国测量控制设备及系统实验室质量主管、全国工业过程测　量和控制标准化技术委员会（ＳＡＣ／ＴＣ１２４）副秘书长、全国智能建筑　及居住区数字化标准化技术委员会（ＳＡＣ／ＴＣ４２６）副秘书长。　石镇山（１９６２－），教授级高级工程师，主要从事仪器仪表发展战略　研究和信息咨询，电工电子产品安全测试技术研究开发。 ６１５０８“电气、电子、可编程电子安全相关系统的功　能安全”，解决了基于电气／电子／可编程电子技术的　安全系统或装置的功能安全保障理论与实践问题，在　工业界引起强烈反响。功能安全保障技术，涉及机械　制造、流程工业、运输、医药、矿山等行业，是在安　全控制或安全保护系统设计、维护、运行等活动中规　范相关组织和人员的技术和行为，以达到防止各类装　置、机械、器械尤其是成套设备系统发生不可接受危　险的目的的技术。以安全完整性等级（ＳＩＬ）和全安　全生命周期管理为特色的该项安全保障技术实现了安　全技术和管理理论的一大突破。随后，不同应用领域　的功能安全标准陆续出台：ＩＥＣ　６１５１１、ＩＥＣ　６１５１３、　ＩＥＣ　６２０６１等，同时安全系统的子系统、设备功能安　全标准也开始出台，如ＩＥＣ　６１７８４－３等，ＩＥＣ功能安全　标准体系已基本形成。　ＩＥＣ　６１５０８、ＩＥＣ　６１５１１等标准发布后，欧洲首先　采用，美国于２００３年底开始采用。欧洲与美国将其列　为强制性法规的内容，一批专门从事功能安全评估、 ２２ 仪器仪表标准化与计量 ２０１０　．　５ 安全控制技术 培训、认证的中介服务机构已经新兴了一个产业；具　备功能安全能力（ＳＩＬ　１～

功能安全SIL认证介绍

安全完整性(SIL)评测简介 机械工业仪器仪表综合技术经济研究所 测量控制设备及系统实验室 功能安全中心 产品评测项目 2015.6 中国?北京 西城区广安门外大街甲397, 100055

1 机构简介 机械工业仪器仪表综合技术经济研究所（简称ITEI）是中央直属的科研院所，主要负责国内仪表自动化的研究、测试和推广服务。功能安全技术研发中心（简称“功能安全中心”）是ITEI的技术部门之一，主要负责功能安全技术的研究，以及安全产品和系统的测试、评估等工作。功能安全中心拥有国内最权威的安全专家团队，其核心成员皆是IEC国际功能安全标准制订与修订的专家组成员，有着深厚的可靠性基础和工业安全经验。功能安全技术研发中心可提供培训、辅导、面向项目的咨询服务、工程安全分析工具、详细的产品确认和验证分析以及一系列的安全与可靠性资源 测量控制设备及系统实验室（简称MCDL）为中国合格评定国家认可委员会(简称CNAS)授权，可在国内开展相关标准的检验测试服务，并颁发CNAS认可的认证报告和证书。MCDL隶属于ITEI，其中功能安全产品相关的评测由功能安全中心负责开展，对经过评测的产品可以颁发安全完整性等级（SIL）适用性证书和报告。 2目的与范围 本评测项目主要针对单个的产品或零部件，本评测的目的是通过分析、检查、测试和现场审核等方式，证明产品是否具有相应的SIL 适用能力（包括SIL1/2/3/4）。 一般情况下，本评测依据的标准为三个部分：

功能安全基础标准——IEC61508（国标GB/T20438）； 行业领域功能安全标准，如IEC61511，ISO13849等； 产品标准，如产品的质量规范、国家/国际检测要求等； 通过这些要求来满足随机硬件失效量目标控制量和系统性失效控制的双重要求，因此在评测的过程中需考察产品设计过程中以下三个方面： 一、产品安全完整性技术论据（机械、电子、电气和软件等） 二、产品研发过程管理（研发流程、文档化、管理规程等） 三、产品生产质量管理过程 3 评测方式 在评测开始前，功能安全中心将成立专门的评测团队，负责本次项目的技术分析、测试和完成报告等工作。 在评测开始前，制造商需提供产品的详细设计资料（包括图纸、设计规范、元器件选型等），并成立专门的配合团队，包括产品的主要研发技术人员、管理人员和质量控制人员，这些人员需解答评估团队的问题，接受质询和开展测试，以此来证明产品的标准符合性。 4 评测流程 具体的评测计划见：XXX公司XXX产品安全完整性评测计划。

安全完整性等级认证(SIL)

1SIL认证简介 SIL（Safety Integrity Level）-安全完整性等级。 SIL认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准，对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。 欧洲电工标准化（CENELEC的缩写）委员会，欧洲三大标准化组织之一。 CENELEC 负责电子工程领域的欧洲标准化。CENELEC连同电信标准化（ETSI）和CEN（所有其他技术领域的标准化）形成了欧洲标准化体系。 SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统两个层次。其中，以SIL4的要求最高。 2主要标准 IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全性 IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计，其目标是既避免系统性设计故障，又避免随机性硬件失效。 IEC61508标准的主要目标为： · 对所有的包括软、硬件在内的安全相关系统的元器件，在生命周期范围提供安全监督的系统方法; · 提供确定安全相关系统安全功能要求的方法; · 建立基础标准，使其可直接应用于所有工业领域。同时，亦可指导其他领域的标准，使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等); · 鼓励运营商和维护部门使用以计算机为基础的技术; · 建立概念统一、协调一致的标准架构和体系。 IEC61511: 过程工业领域安全仪表系统的功能安全要求 IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准，它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准，IEC61511在国内的协调标准为GB/T 21109。在过程工业中，仪表安全系统都被用来执行仪表安全功能，IEC61511标准解决了仪表应达到怎样的安全完整性和性能水平的问题。

ISO26262功能安全认证咨询流程及条件简介

一、ISO26262是什么？ ISO26262从2005年11月起正式开始制定，经历了约6年的时间，已于2011年11月正式颁布，成为国际标准。ISO26262是IEC61508对E/E系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。ISO26262主要用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/E系统的安全相关系统。ISO26262唯一不适用于为残疾人设计的特殊目的车辆的E/E系统。ISO26262为汽车安全提供了一个生命周期（管理、开发、生产、经营、服务、报废）理念，并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程（包括需求规划、设计、实施、集成、验证、确认和配置）。 二、ISO26262主要包括哪些部分？ Part1:定义 Part2:功能安全管理 Part3:概念阶段 Part4:产品研发:系统级 Part5:产品研发:硬件级 Part6:产品研发:软件级 Part7:生产和操作 Part8:支持过程

Part9:基于ASIL和安全的分析 Part10:ISO26262导则 三、ISO26262能为我们带来什么？ 3.1提供了汽车生命周期(管理，研发，生产，运行，服务，拆解)和生命周期中必要的改装活动。 3.2提供了决定风险等级的具体风险评估方法(汽车安全综合等级，ASILs)。 3.3使用ASILs方法来确定获得可接受的残余风险的必要安全要求。 3.4提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。 四、ISO26262认证前提条件？ 4.1适用于具有电力、电子和软件控制并组成安全相关系统的道路车辆产品的研发、生产、检测和服务有 关的企业。 4.2需要具体与之相关的项目产品，且项目产品具备全生命周期的管理控制实践记录。 4.3需要具备成熟能力的流程管理。 4.4产品需要具备安全设计、安全分析和安全测试评估报告。 4.5人员需要具备在流程管理和产品安全设计、分析等有关的资格能力。 五、ISO26262认证实施流程？

关于IEC 61508的功能安全认证项目FSCP

关于IEC61508的功能安全认证项目FSCP（functional safety certification program）的认证进程 我刚刚结束一个安全继电器的工作，完成了TüV SüD的功能安全认证项目FSCP （functional safety certification program），拿下了国内首个德国TüV FS MARK。 我该如何开始呢？谁将提供的认证？在什么时候，没有一个认证机构需要参与进来？——这是开始认证过程时可能遇到的所有问题。 结合个人经历，我总结了认证项目的启动的正常进展，会分几次进行介绍： 第1步：充分了解市场信息，明确您的客户需要什么认证，是否需要一个独立的第三方的评估和认证。 第2步：认证机构介入后，它需要开始了解这个项目的概念。这个过程是一个沟通的过程，可以在项目的开始阶段就避免走上错误的道路。 一般认证公司都会建议功能安全项目从研发初始就开始开展认证评估就是这个原因。但是，会有不少的公司会选择先把产品样机完成后，才选择开始认证——后果...应该会有很大比例的项目，有从头再来的经历。 第3步：获得和认证相关的标准副本。认证机构会为研发工程师提供标准的解析，以帮助工程师理解标准。尽管如此，当您第一次开展FSCP时，这些工作还是漫长和繁重的。有能力的公司如果有可能可以让认证机构提供培训，以加速这个阶段的工作。 第4步：工程师依据相关标准的规定，比较项目内部流程（包括管理和技术活动）的差距；此时，认证机构在你的开发过程中提供的公正和独立的评估。 第5步：通过上述评估，在项目开始之前能够确定项目的差距。一般认证机构会建议项目团队进行一次功能安全培训项目，这样其实可以使项目组的每个成员都能充分了解功能安全认证体系的全貌，使大家都站在同一个起跑线上。 这个环节，其实我个人感觉很深。针对我们这个项目来说，项目进程中，特别是项目前期，我参加过很多培训，如莱茵的IEC61508和ISO13849的普及课程，械工业仪器仪表综合技术经济研究所的IEC61508培训等。这些培训在项目的初期的特定时期还是起了必要的

SIL认证_功能安全认证

SIL认证_功能安全认证 SIL认证简介 SIL（Safety Integrity Level）认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准，对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。 SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统两个层次。其中，以SI4的要求最高。 SIL认证主要标准 IEC 61508:电气/电子/可编程电子安全相关系统的功能安全性 IEC6150标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计，其目标是既避免系统性设计故障，又避免随机性硬件失效。 IEC61508标准的主要目标为： · 对所有的包括软、硬件在内的安全相关系统的元器件，在生命周期范围提供安全监督的系统方法; · 提供确定安全相关系统安全功能要求的方法; · 建立基础标准，使其可直接应用于所有工业领域。同时，亦可指导其他领域的标准，使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等); · 鼓励运营商和维护部门使用以计算机为基础的技术; · 建立概念统一、协调一致的标准架构和体系。

IEC61511:过程工业领域安全仪表系统的功能安全要求 IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准，它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准， IEC61511在国内的协调标准为GB/T 21109。在过程工业中，仪表安全系统都被用来执行仪表安全功能，IEC61511标准解决了仪表应达到怎样的安全完整性和性能水平的问题。 对于与安全相关的装置安全功能的确认，SIL等级是全世界广泛认可的安全完整性定义方法。针对过程控制行业，与之相关的国际标准主要有IEC 61508 标准（设计和运行安全仪表系统的基础根据），IEC 61511 标准主要关注过程控制应用的系统，针对装置设计人员遵照 IEC 61511 标准并根据 IEC 61508 标准来完成设计。 ISO13849-1:机械安全.控制系统的相关安全部分.第1部分:设计用一般原理 新版 ISO13849-1 标准即将在2011年底正式生效实施，这将是机械功能安全领域全新的里程碑。在以往要求系统的确定性上，增加了一些系统故障概率方面的评估，从而可以实现从零部件到系统进行全面性安全评估。同时该标准也为设计人员提供了更多的，可以量化的设计实现方法，如增加了系统安全等级(PLr)、系统平均无危险故障时间 (MTTFd)、系统诊断检测范围 (DC)、共因故障预防 (CCF)等参数，从而有效的解决了原有 EN954-1 标准无法实现定量化判断系统安全性的问题。 新版 ISO13849-1 标准针对一些新型的控制方法，提供了更有效的安全评估解决方案。可提升控制系统越来越复杂的机械设备的安全等级，保证生产安全性和高效率，并且结合新技术和设计经验，帮助企业在总体效率、生产力和灵活

ePLAN V 中一个不得不说的功能 安全参考

ePLAN Electric P8 2.0中一个不得不说的功能（安全参） 为了说明＂安全参考＂这个功能，先来了解下＂功能安全（functional safety）＂这个自动化领域相对较时髦的术语。以下引用了＂北京机械工业仪器仪表综合技术经济研究所的邓意先生＂在＂第七届工业仪表与自动化学术会议＂上的报告，我是从维基百科上看到的。 0 引言 随着我国工业的发展和国外先进技术的引进，功能安全这个概念给越来越多的为人所知。功能安全这个词汇源于2000年2 月，国际电工委员会（IEC）发布的功能安全基础标准IEC61508。这个标准解决了困扰多年对复杂安全系统功能安全保障的理论与实践问题。其首次提出的安全完整性等级（SIL），并已逐渐成为各领域内合同的必备条款。IEC61508作为功能安全的基础标准，可应用于机械制造、流程工业、运输、医药等所有领域。该标准使用的最好方法是在各工业领域制定相应的功能安全标准时引用它。但同时，如领域中没有相应标准，它也可直接应用于各领域。 1 功能安全的概念 为了理解功能安全这个概念，我们先从安全的定义开始。安全是把身体、人身健康和直接或者间接对财产或者环境的损害从不可接受的风险解放出来。功能安全是依靠一个系统或者设备对其输入正常响应而获得全面安全的一部分。它与系统能否正确执行其设计功能相关。例如过热保护装置，是指将一个热传感器用在电动机线圈里，在过热的时候可以停止电动机运转，这就是功能安全的一个实例。 2 安全完整性等级的概念 在 1996 年，随着工业事故数量的增加，美国仪表协会（ISA）（曹大平注:ISA - the Instrumentation，system and Automation Society）颁布法律制定了一个标准来分级规范美国的工业过程；IEC又制定了工业国际标准IEC61508 来量化可编程电子领域的功能安全。这两个标准结合起来共同规范工业生产，还发现一旦把 SIL 这些主要决定因素最优化，就会额外提供更多的可靠性和有关过程的正常运行时间，还说明并且描述了检测仪表系统的安全性和可靠性以及绘制出安全性和可靠性之间的对比关键部分。 安全完整性等级（SIL）是用来衡量一个特定过程的安全性指标。需要明确最终用户对用这些方法来保障安全性的期望有多大，如果功能失效了会发生什么情况？这些衡量的细节部分都在 IEC 61508、 IEC 61511、JIS C 0508和 ISA SP84。01 等这些标准里面给出了描述。标准指示不能根据个别产品来测定 SIL。工业过程的个别构成组件，例如仪表使用方面，只能在特定的 SIL 环境里认证和使用。对工业过程 SIL 的评估应基于危险的安全分析（RBSA）。RBSA 的任务是评价一个工业过程的安全风险，将其量化，并把这些风险分类成可接受和不可接受两部分。可接受的风险是那些能够证明在思想上，财政上，或其他方面是合理的。相反的，不可接受的风险是那些推论太大或者花销巨大的。不管怎么样，风险是能够判断的，其目的是为了达到工业安全生产。 现在我们对安全有了初步的认识，那么EPLAN 中的＂安全参考＂与＂功能安全＂有什么关系呢? 在欧美，＂安全＂已经深入人心，电气设备或产品必须进行安全认证。在欧洲地区进行销售的设备需要进行CE认证；而在北美地区销售的设备需要进行UL认证，这都会涉及到对系统的安全性能检测，其目的是确保设计和生产的设备能够达到相应的安全等级。 要实现系统或设备的＂功能安全＂，设计时通常从两个方面来完成，其一是系统本身的冗余设计；其二是采用安全元器件，比如安全PLC、安全总线、安全继电器、安全输入输出元件（安全门联锁、安全光电开关、安全光栅或光幕）等。 冗余设计是指通过多重备份来增加系统的可靠性。比如，用于电机控制的接触器主触点，有可能因为某种原因会发生触点熔接，无法分断主回路导致风险。此时可以用两个接触器的主触点进行串联控制电机，这样风险将会大大地降低。又如，为了防止操作人员在尚未停稳的转动设备中添加或取放物品，采用双按钮控制方式，也就是两只

功能安全的国内外研究概况

功能安全的国内外研究概况 功能安全是依赖于系统或设备对输入的正确操作，它是全部安全的一部分。当每一个特定的安全功能获得实现，并且每一个安全功能必需的性能等级被满足的时候，功能安全目标就达 到了。 从另一个角度理解，当安全系统满足以下条件时就认为是功能安全的，即当任一随机故障、系统故障或共因失效都不会导致安全系统的故障，从而引起人员的伤害或死亡、环境的破坏、 设备财产的损失，也就是装置或控制系统的安全功能无论在正常情况或者有故障存在的情况下 都应该保证正确实施。 例如，盛有可燃性液体的容器内液位开关的动作，当液位到达潜在的危险值时，液位开关就会关闭阀门阻止更多的液体进入容器，从而阻止了液体从容器溢出。这一过程的正确执行， 可看做是功能安全。 靠被动系统的方式获得的安全不是功能安全。防火门或对高温的隔离本质上是采取的被动方式，虽然也可以对同样的危险起到保护作用，但不是功能安全。当然这种防护有时也可以通 过功能安全来实现。 国外首先对电气/电子/可编程电子相关系统（E/E/PES）功能安全的基础标准开展了研究， 并在该标准的基础上，又对其他应用领域的安全相关系统的功能安全进行了研究，建立了功能 安全的标准体系（如下图）：

图1 功能安全的标准体系 目前，欧共体的主要发达国家不但对自身产品提出了功能安全的要求，而且对进入欧共体国家的产品也提出了功能安全的要求，几乎主要制造仪表和系统的公司（如Siemens，Honeywell，Rosemont，P+F等）都有定量的安全完整性（SIL）的要求，可以结合自身进行功能安全评估，对于SIL指标要求高的产品，都要交给第三方的评估机构（如BV，TüV，Exida 等）进行功能安全认证。 在国内，中国国家标准化委员会在2004开始对IEC 61508-2000和IEC 61511-2003标准进行等同翻译，2006年颁布了国家标准GB/T 20438-2006《电气/电子/可编程电子安全相关系统的功能安全》，2007年颁布了GB/T 21109-2007《过程工业领域安全仪表系统功能安全》。由于国外对设备和系统功能安全的严格要求，并且随着国际和国家相关标准和法规的发布，我国的设备和系统的功能安全研究和评估工作也正在迅速发展中。 必维国际检验集团的功能安全服务涉及石油化工、轨道交通、汽车电子、公共设施、核电仪控、智能电网、工厂自动化等众多安全相关领域，涉及产品包括电梯安全控制板、铁路信号系统、汽车制动装置、机械设备安全控制系统、电子感应防护装置、安全仪表系统（SIS）等。目前，必维已与几十家制造企业开展了功能安全认证的合作，其中包括苏州纽威、浙江方

功能安全性检查SIL认证

功能安全性检查SIL认证 功能安全性检查SIL认证是衡量SIF或SIS的安全系统性能或PFD的指标。和SIL 相关的离散完整性级别有四个，即SIL1、SIL2、SIL3、SIL4。功能安全性检查SIL 级别越高，安全系统需求失败的概率越低，系统性能越好。重要的是还要注意，随着SIL水平的增加，通常系统的成本和复杂性也会增加。 SIL认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。 SIL认证等级的确定: 安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。安全完整性等级是用来规定分配给SIS安全功能的安全完整性要求的分离等级,记为SIL，共分4个等级,SIL4为最高等级。IEC61508-1规定了目标失效量。 在确定安全完整性时，应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)。 安全相关系统使用方式，按要求产生的频率可分为：低要求模式(≤1次/年)和高要求或连续模式(＞1次/年)。低要求模式和高要求模式SIL的目标失效量是不同的，见下表。 SIL等级风险降低低要求操作模式下 PFDavg（平均失效概率）高要求或连续操作模式下 PFH（每小时危险失效概率） SIL110-100≥10-2至<10-1≥10-6至<10-5 SIL 2100-1000≥10-3至<10-2≥10-7至<10-6 SIL 31000-10000≥10-4至<10-3≥10-8至<10-7 SIL 410000-100000≥10-5至<10-4≥10-9至<10-8 SIL认证流程： 1、评估安全计划、验证确认计划和安全需求规范文档根据标准的要求来评估安全计划、验证确认计划和安全需求规范文档的完整性和正确性。安全计划需要包括跟功能安全管理相关的所有信息或者一些其他的管理文档。 2、评估每个部件的适宜性--所有为系统选择的部件和跟安全功能相关的部件都要符合旧C 61511或者EC 61508。客户（或者终端用户）为系统选择了所有部件，部件共分两种：经过第三方认证的、没有经过认证的。 对于认证过的部件，将基于证书和技术报告来评估适宜性。将验证验证过的产品在使用上跟期望一致。 对于没有认证过的部件，将进行更为详细的分析。分析部件是否适合用在安全应用上。要求的文档将在启动会议上讨论。 3、评估设计--对详细设计文档（包括如详细设计说明书、FMEA分析报告等），将分析选择的部件是否正确地安装和使用，是否设计适合声明的SIL等级。 4、文档评审--客户需要提供足够的文档确保终端用户能按照标准要求、测试和维护程序及变更管理来安装、运行、操作和维护系统。世通将审查这些文档的完整性和正确性。 5、SIL计算--基于可用数据，世通将评估可靠性模型（例：1oo2, 2oo3）及SIL计

网银系统安全功能验证

高级个人用户 核查内容： 1）安全警告 在登录页面随机产生4位登录时需要输入的附加码，如果客户密码输入次数 2）安全审计 审计数据的产生来自“查询服务”中的“浏览流水记录”，记录了交易日期、交易时间、卡号、交易金额、IP地址、交易摘要、流水状态等。 3）抗抵赖机制 个人用户使用CFCA中心发放的数字证书，在每笔转账交易发生时需要数字签名。现数字证书分两种：证书文件本地存放和USBKEY证书保存，当证书本地存放时，追加数字签名不需密码，而使用USBKEY时，数字签名的追加需要USBKEY 的密码，充分做到每笔交易均需客户确认，提供有效的抗抵赖服务。 4）用户数据保护 用户可以设置每笔转账的最大限额和客户账户一天的最大转账限额，当日内提交的所有指令的金额的总和小于等于日累计转账限额，否则指令不能提交。 基本数据鉴别方面使用客户证书，客户只要妥善保护好自己的证书，别人就无法假冒。在每笔转帐交易发生时，需要输入“网络支付密码”，即开户时的交易密码，确保即使证书被非法使用，转帐交易也无法发送成功，从而保证了客户的资金交易安全。 数据传输保护方面系统采用SSL加密传输，以保证数据传输的安全。 5）标识与鉴别 （1）鉴别失败的处理：网银的用户名/口令反复输入错误6次后会自动锁定帐户，并有操作员告警信息。 （2）口令设置机制依据CFCA自身密码要求，设置为至少6位，复杂度设置为可大小写区分。（针对usbkey） （3）多重鉴别机制：使用客户自定义用户名、口令、证书等多重鉴别机制。 6）时间戳

所有账目信息以后台核心业务主机为准。 7）评估对象访问 会话的超时管理方面用户在15分钟内没有任何请求，服务端会自动锁定会话，并需要重新登陆。 垃圾会话数据的处理一方面利用J2EE的虚拟内存机制，另一方面在程序设计时考虑释放连接请求方面的设计以保证系统性能，使系统保持正常工作。 8）基于安全属性的访问控制证实 在客户端以某一合法用户身份登陆，按照客户端软件功能说明书执行各项操作，其安全属性与说明书说明相符。 9）输入输出检查 对操作界面各个字段进行故意人为输入非许可要素，证实输出提示内容准确，与预期结果相符。 企业用户 核查内容： 1）安全警告 在登录页面随机产生4位登录时需要输入的附加码，如果客户密码输入次数累计达到6次，系统会将此客户冻结至晚零时，有效防止密码猜测。 2）安全审计 审计数据的产生来自“查询服务”中的“汇款查询”和“网银交易流水查询”，其中“汇款查询”记录了汇款日期、注册卡号、收款人全称、收款人账号、收款人开户行、金额、用途、汇款状态、银行反馈等，“网银交易流水查询”记录了交易日期、交易时间、账号、交易金额、IP地址、交易摘要、流水状态等。 3）抗抵赖机制 企业用户使用CFCA中心发放的数字证书，在每笔转账交易发生时需要数字签名。企业用户强制使用USBKEY保存证书，做转帐操作时，数字签名的追加需要USBKEY的密码，充分做到每笔操作均需用户确认，提供有效的抗抵赖服务。 4）用户数据保护

SIL 认证知识

功能安全（SIL）认证 Certificate for Function Safety （SIL） 李佳嘉 （上海仪器仪表自控系统检验测试所， 上海 200233） 简 介：主要讲述功能安全（安全完整性等级）的认证的重要性和必要性。简单叙述了认证使用的标准、认证的模式和认证的内容以及对评估人员的要求。特别强调了功能安全与EMC环境的关系。 关键词：安全完整性等级（SIL） 功能安全 SIS 整体安全生命周期 硬件故障裕度 0 前言 在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备工作不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的火灾、爆炸,核电站的辐射超剂量，飞机的机械漏油等危险事件,会对人员、设备和环境造成灾难性后果。如何将这种灾难控制在可接受的范围之内？这就需要依靠标准和法规来规范。如果一个项目，一个系统或产品获得了功能安全的认证，那么可以增强客户的信心。 1 功能安全认证的重要性 安全系统功能安全主要的研究对象是以保护人身财产安全为目的与安全相关的保护系统，其包括安全控制系统和安全保护系统两大类。随着微电子技术、计算机技术和总线技术以及无线通信技术的迅速发展，这些技术被越来越多地应用到安全系统以实现安全功能。而安全系统本身，由于无法预计的失效而导致的危险引起了科学家们的注意。由于上世纪70年代以来在欧美发生的多起工业事故都与安全相关系统失效有关，所以人们意识到安全相关系统的功能安全的重要性。 美国、欧共体等国家相继在各自工业领域开展对功能安全的研究，制定了相应的国家标准，直到2000年IEC61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》标准的颁布,才标志功能安全作为独立的安全学科,进入实际的应用阶段。 IEC61508发布后，欧盟的强制指令（如ATEX指令）、美国职业安全与卫生管理局、美国环保署和英国（HSE）都将其纳入安全法规范畴。 随后，各个应用领域的功能安全标准也相继制订，2003年颁布IEC61511.1-3《过程工业领域安全仪表系统(SIS)的功能安全》标准，2005年颁布IEC62061《机械安全-安全相关的电气/电子/可编程电子控制系统的功能安全》。IEC61784-3 Data communications for measurement and control-Part 2 Profiles for functional safety communications in industry networks(用于工业网络功能安全通信)正在制订中。这些标准都以安全完整性等级（SIL）来评估仪表和系统的风险程度。 近年来，由于钢铁、石化、核电及过程成套设备等工业产品的飞速发展，防止火灾、爆炸等 1

功能安全技术讲座第七讲安全仪表及设备的功能安全认证前准备

【编者按】本刊２００７年在。安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。２００８年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。主讲人是机械工业仪器仪表综合技术经济研究所功能安全主任史学玲教授。 主讲人简介： 史学玲，机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中 心主任、教授级高工。近年来主要致力于以ＩＥＣ６１５０８为基础的功能安全技术 研究。主持并完成了国家软科学研究项目“利用功能安全标准保障安全的政策 措施研究”，向政府提出了多行业协同行动的用功能安全标准保障安全的国家执 行方案和政策措施建议。是等同采用ＩＥＣ６１５１１的中国国家标准起草工作组专 家成员。在多份杂志及学术期刊上发表了多篇功能安全的论文，对功能安全标 准及标准实施认证相关的技术，法律、政策等问题有深入研究。 第七讲安呈仪表及设蚤的功雒安呈［］ｔｉｅ前准备 Ｃｈａｐｔｅｒ７：ＰｒｅｐａｒｉｎｇｆｏｒＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙＣｅｒｔｉｆｉｃａｔｉｏｎｏｆＳａｆｅｔｙＩｎｓｔｒｕｍｅｎｔａｎｄＤｅｖｉｃｅ 史学玲 （机械工业仪器仪表综合技术经济研究所，北京市１０００５５） ＳｈｉＸｕｅｌｉｎｇ （ＩｎｓｔｒｕｍｅｎｔａｔｉｏｎＴｅｃｈｎｏｌｏｇｙ＆ＥｃｏｎｏｍｙＩｎｓｔｉｔｕｔｅ．Ｂｅｉｊｉｎｇ１０００５５）【摘要】概要介绍在安全仪表及设备的功能安全认证前准备阶段常用的安全例证方法 【关键词】ＩＥＣ６１５０８功能安全认证安全例证 Ａｂｓｔｒａｃｔ：Ｔｈｅｐａｐｅｒｉｎｔｒｏｄｕｃｅｄｓａｆｅｔｙｃａｓｅｍｅｔｈｏｄｏｌｏｇｙｕｓｅｄｉｎｔｈｅｐｈａｓｅｏｆｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｃｅｒｔｉｆｉｃａｔｉｏｎｏｆｓａｆｅｔｙｉｎｓｔｒｕｍｅｎｔａｎｄｄｅｖｉｃｅ． Ｋｅｙｗｏｒｄｓ：ＩＥＣ６１５０８ＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙＣｅｒｔｉｆｉｃａｔｉｏｎＳａｆｅｔｙＣａｓｅ 前言 很多读者关心功能安全认证，提出的问题如：“我们已经（或正在）开发安全产品，怎样做，才能使该产品通过国际权威第三方的功能安全认证？ＩＥＣ６１５０８标准如此复杂，从何入手，才能证明产品与标准的符合性？如何证明自己产品能达到的最大安全完整性等级（ＳＩＬ）？”…等同采用ＩＥＣ６１５０８的中国国家标准ＧＢ／Ｔ２０４３８于２００７年１月１日正式实施，等同采用ＩＥＣ６１５ｌｌ的中国国家标准ＧＢ／Ｔ２１１０９也于２００７年１２月１日正式实施，随着这些功能安全标准的影响逐渐扩大，功能安全认证已经成为我国安全仪表与设备生产厂商和用户越来越关注的焦点。 １认证前准备的必要性 在签约请认证公司来做产品的功能安全认证前， ３ ■一　万方数据