IEC 61508 概览:SIL 等级、失效分类、安全生命周期

功能安全L1别名 IEC 61508 · SIL 1-4 · 安全完整性等级 · safety integrity level · 随机硬件失效 vs 系统性失效 · 安全生命周期 · functional safety overview

本质与导读

本质 IEC 61508 是 E/E/PE 功能安全的"母标准"——所有行业的具体安全标准(IEC 62061 机器 / IEC 61511 流程 / IEC 61513 核电 / IEC 61800-5-2 电传动 / ISO 26262 汽车)都从它派生。它的核心论点是:控制系统失败 60%+ 是"在投入使用前就内置进系统的"(规范阶段 44%,设计实现 15%,改造 20%),所以光靠运行时监控不够——SIL 等级是用整个生命周期的过程要求 + 量化失效率指标双轨机制,既管随机硬件失效又管系统性失效(规格错误 / 软件 bug / EMI / 人为)。理解 IEC 61508 之后再看具体行业标准就懂了"为什么这么管"。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. Functional Safety 的定义

1.1 与 Safety 的关系

Safety 定义:freedom from unacceptable risk(从不可接受的风险中解放)。这是宽泛概念,不限于电气电子。

Functional Safety 定义:safety 中依赖系统或设备对输入做出正确响应的部分。即"系统正常工作时,它的功能本身就提供安全";系统失败时,需要其它机制补救。

例:压力容器有壁厚保证防爆——这是inherent safety(本征安全),不依赖任何系统。再加一个 PLC 控制阀门在压力超限时打开泻压——这是functional safety(功能安全),依赖 PLC + 阀门正确响应。

1.2 Safety Function 的两层

每个 safety function 都有两层属性:

Functionality(做什么):由 hazard analysis 决定。例:压力 ≥ 2.6 bar 时阀门 Y 在 2s 内打开
Safety integrity(做得多可靠):由 risk assessment 决定。例:这个 safety function 必须达 SIL 2,risk reduction factor ≥ 150

混淆这两层是工程常见错误——以为定义了"做什么"就够了。SIL 2 的"做什么"和 SIL 4 的"做什么"可以一模一样,SIL 等级反映的是"做这个事的可靠性"。

2. SIL 1-4 与风险降低系数

2.1 量化定义

这一节先把“量化定义”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

IEC 61508 概念全景 — SIL = 量化轨(随机硬件失效 / PFH)+ 过程轨(系统性失效 / 生命周期)双轨合成,SIL 1-4 阶梯的 RRF 与 PFH 范围,及 ISO 26262 等派生标准家族

SIL	Risk Reduction (low demand)	PFDavg(每次需求时失败概率)	PFH(每小时失效率)
SIL 4	10,000-100,000×	$1 0^{- 5}$ to $1 0^{- 4}$	$1 0^{- 9}$ to $1 0^{- 8}$
SIL 3	1,000-10,000×	$1 0^{- 4}$ to $1 0^{- 3}$	$1 0^{- 8}$ to $1 0^{- 7}$
SIL 2	100-1,000×	$1 0^{- 3}$ to $1 0^{- 2}$	$1 0^{- 7}$ to $1 0^{- 6}$
SIL 1	10-100×	$1 0^{- 2}$ to $1 0^{- 1}$	$1 0^{- 6}$ to $1 0^{- 5}$

low demand mode(低需求模式,例:紧急停车)看 PFDavg;high demand / continuous mode(连续运行模式,例:伺服扭矩控制)看 PFH。汽车基本是 continuous mode。

2.2 实例

风险情景:无 safety function 时,后果(单人致命)频率约 10 年 1 次。

加 SIL 1 safety function(假设 RRF = 80):频率降到 800 年 1 次
加 SIL 2 safety function(RRF = 500):频率降到 5000 年 1 次
风险降低靠的是减小频率,不是减小后果严重性——后果维度(单人致命)在 IEC 61508 框架里不变

3. 失效分类 — 为什么需要 SIL

3.1 类 A:随机硬件失效

由器件物理降级机制造成,统计学意义清晰:failure rate λ 可量化(器件出厂时由 FMEDA / FIT 数据预测)。处理方式:HFT(hardware fault tolerance)冗余 + 周期性诊断。

工业实践:类 A 失效计算用 Mark Miner / Goble 模型,IEC 61508-2 给出参考。

3.2 类 B:系统性失效

由规格错误 / 软件 bug / EMI / 人为操作错误造成,频率不能像硬件那样统计学预测——一个 bug 不发现就是 0,发现了立即修了又是 0,但生命周期任意时点都可能爆。处理方式:生命周期过程要求(开发流程 / 文档 / 评审 / 测试 / 配置管理),保证类 B 失效"不太可能存在"。

3.3 SIL 是双轨

正是因为类 B 不能纯统计,SIL 不光是"failure rate ≤ X" 这一个数。SIL 等级 = 量化目标 + 过程要求:

量化:PFDavg / PFH 必须在 SIL 等级表的范围内
过程:开发流程必须满足该 SIL 对应的 IEC 61508-3 软件要求 + IEC 61508-2 硬件要求(例:SIL 3 软件要求强制半形式化方法,SIL 4 强制形式化方法)

工业里说"SIL 2 capable" 通常指过程能力,不是单纯硬件指标。这是为什么 IEC 61508 系统级认证比单纯做 FMEDA 复杂。

4. 派生标准家族

IEC 61508 是通用母标准,各行业基于它派生具体应用标准:

派生标准	行业
IEC 62061	机器(machinery)安全
IEC 61511	流程工业(process,化工 / 石油)
IEC 61513	核电站 I&C 系统
IEC 61800-5-2	可调速电传动(servo / VFD)
ISO 26262	汽车(独立分支,但同一思路)
IEC 62279 / EN 50126/8/9	铁路信号
ISO 25119	农林机械

行业派生标准核心是把 IEC 61508 的通用 SIL 概念映射到具体应用+ 细化要求。例:汽车 ISO 26262 用 ASIL A-D 替代 SIL 1-4(因为 ASIL 增加了 Controllability 维度),但生命周期 V-model 概念完全沿袭 IEC 61508。

5. HSE 数据:60% 失效在投入使用前就埋下

英国 HSE(Health & Safety Executive)研究 34 起化工 / 机器控制系统事故,失效追溯到生命周期阶段:

阶段	占比
规范	44%
设计与实现	15%
安装与调试	6%
投运后改造	20%
运行与维护	15%

60%+ 的失效是"投入使用前就建进系统的"(规范 44% + 设计实现 15% + 安装 6% ≈ 65%)。意味着光靠运行期监控诊断救不了——必须在前期就管控质量。这是 IEC 61508 强制安全生命周期管理的根本论据。

6. 三个安全生命周期的关系

6.1 Overall Safety Lifecycle

最外层,从概念阶段到拆机回收。包含:

概念(Concept)
危害分析与风险评估
安全功能定义与分配
验证(Validation)
操作与维护(Operation & Maintenance)
修改(Modification)
拆机(Decommissioning)

6.2 E/E/PE System Safety Lifecycle

Overall 的子集,聚焦 E/E/PE 系统本身。包含:

安全要求规范(Specification)
设计与开发
集成测试
验证
安装与调试

6.3 Software Safety Lifecycle

E/E/PE System Safety Lifecycle 的子集(对软件部分)。包含:

软件安全要求规范
软件架构设计
模块设计与编码
模块测试
集成测试
软件验证

工程实践上,三个 lifecycle 不是串行而是嵌套——做软件 module test 同时,系统级 integration test 也在跑,Overall lifecycle 的 modification 流程随时可能因为新 hazard 触发回溯。配置管理(configuration management)是粘合剂,让任何阶段的变更可追溯到对应 hazard。

核心要点

IEC 61508 是 E/E/PE 功能安全母标准,具体行业标准(机器 / 流程 / 核电 / 汽车 / 电传动 / 铁路)都从它派生
Safety function 有两层:functionality(做什么,从 hazard analysis 来)+ safety integrity(做得多可靠,从 risk assessment 来)
SIL 1-4 等级是双轨:量化 PFDavg/PFH + 过程要求(开发流程 / 软件方法学)
失效分两类:类 A 随机硬件(可统计 FMEDA)+ 类 B 系统性(不能统计,靠生命周期管理)
HSE 数据:60%+ 失效在投运前就内置进系统,所以光监控诊断救不了,必须前期质量管控
三个嵌套生命周期(Overall / E/E/PE / Software)+ configuration management 是 IEC 61508 的核心结构

Engineering Objects

引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

standard · standard_iec_61508 — IEC 61508 Functional Safety

Cross-references

← 索引
功能安全(Functional Safety):FuSa 总框架(汽车视角)
工业 vs 汽车功能安全:IEC 61508 体系 vs ISO 26262 详细对照
HARA:汽车 ASIL 评估(等价于 IEC 61508 risk assessment)
DFA / FMEDA / FTA:类 A 失效统计分析方法
软件 ASIL D:类 B 失效的开发流程方法
Safety Case:跨标准通用的安全论证写法
ASPICE:软件开发流程标准与 IEC 61508-3 的关系
SEooC:IEC 61508 的元件提供商概念在汽车的对应