IEC 61508

Opdateret 2017.01.14
EN (IEC) 61508 serien

Denne standardserie blev skrevet efter de to store ulykker i Bopal i Indien og Seveso i norditalien, hvor mange mennesker omkom på grund af fejlfunktioner i kemiske anlæg.
Standardserien er løbende opdateret, hvorfor der i nedenstående artikel kan findes forskelle i forhold til gældende version af standarden. De grundlæggende betragtninger er fortsat fuldt ud gældende
Det er i denne standardserie vi første gang møder begrebet Safety Integrity Level (SIL)
  • SIL 1 med middelsandsylighed for farlig fejl (MTTFd) 11.4    til      114 år
  • SIL 2 med middelsandsylighed for farlig fejl (MTTFd) 114     til    1.140 år
  • SIL 3 med middelsandsylighed for farlig fejl (MTTFd) 1140   til   11.400 år
  • SIL 4 med middelsandsylighed for farlig fejl (MTTFd) 11400 til  11.4000 år
Der er ikke nogen veldefineret forskel på en ulykke og en katastrofe, men nedenstående artikel giver nogle af forklaringerne på de overvejelser som forfatterne var igennem.

Katastrofebegrebet, som indbefatter at adskillige personer omkommer eller kommer til skade, er ikke overført på almindelige maskiner.
Af den grund anvendes SIL 4 normalt ikke på maskiner


Uddrag fra håndbogen Funktionssikre maskiner - hvad er meningen?

8.0           Functional safety vurderingen

Den tætte sammenhæng mellem IEC 62061:2006 og IEC 61508 serien gør det nødvendigt at indsætte en del af afsnit 8 fra IEC 61508-1 i denne håndbog. Det er her procedurerne omkring functional safety vurderingen og ikke mindst verificerings og validerings procedurerne er beskrevet.
Efterfølgende tekster er taget direkte fra IEC 61508
 
8.0             Functional safety vurdering
.
8.1                 Målsætning
 
Målet med kravene af dette afsnit er at udforske og nå til en bedømmelse af den opnåede functional safety ved hjælp af det E/E/PE sikkerhedsrelaterede system.
 
8.2                 Kravene
 
8.2.1              Èn eller flere personer skal udpeges til at udføre functional safety vurderingen for at nå til en bedømmelse af den functional safety, som er opnået ved hjælp af det E/E/PE baserede sikkerhedsrelaterede systemer.
 
8.2.2              De, som udfører functional safety vurderingen, skal have adgang til alle de personer, der er involveret i alle overordnede E/E/PES eller software-sikkerheds-livscyklus-aktiviteter og alle relevante informationer og udrustning (både hardware og software).
 
8.2.3              Functional safety vurderingen skal omfatte alle faser gennem hele den overordnede E/E/PES sikkerheds-livscyklus og software sikkerheds-livscyklus. De personer, der udfører functional safety vurderingen, skal overveje de udførte aktiviteter og det opnåede resultat under hver fase af den overordnede E/E/PES- og software sikkerheds-livscyklus og bedømme i hvilken udstrækning målene og kravene i denne standard er blevet nået.
 
8.2.4              Functional safety vurderingen skal udføres igennem hele den overordnede E/E/PES- og software livscyklus, og må udføres efter hver fase i sikkerheds-livscyklusen eller efter et antal faser i sikkerhedslivscyklusen, som årsag hertil er de altovervejende krav som en functional safety vurdering skal påtage sig forud for at de fastslåede farer bliver aktuelle.
 
8.2.5              Hvis der er anvendt værktøjer som en del af design eller vurderingen for en hvilken som helst overordnet E/E/PES- eller software- sikkerheds livscyklus aktivitet, bør de i sig selv være genstand for en functional safety sikkerheds vurdering.
 
NOTE1          Eksempler på værktøjer er CAD/CAM systemer, compilere og host target systemer.
 
NOTE 2         Graden for hvilken anvendelsen af værktøj vil have behov for at blive evalueret vil afhænge af deres indflydelse på functional safety på de E/E/PE sikkerhedsrelaterede systemer.
 
8.2.6              Functional safety vurderingen skal tage hensyn til følgende
-      Det udførte arbejde siden den foregående functional safety vurdering (som normalt vil have omfattet de foregående faser i livscyklusen)
-      Planerne eller strategien for implementering af yderligere functional safety vurderinger af den overordnede E/E/PES- og software sikkerheds livscyklus.
-      Anbefalingerne fra den tidligere functional safety vurdering og udstrækningen i hvilken, der er blevet lavet forandringer.
 
8.2.7              Functional safety vurderingens aktiviteter for de forskellige faser af den overordnede E/E/PES- og software sikkerhedslivscyklus skal overensstemmende og planlagte.
 
8.2.8              Planen for functional safety vurderingen skal specificere.
-      De personer, der foretager functional safety sikkerheds-vurderingen.
-      Resultatet af hver enkelt functional safety vurdering
-      Gyldighedsområdet for functional safety vurderingen.
 
Note:             Under oprettelsen af gyldighedsområdet for functional safety vurderingen, vil det være nødvendigt at specificere de dokumenter - og deres status - som vil blive anvendt som input for hver vurderingsaktivitet.
 
-      De involverede sikkerhedsorganer
-      De krævede ressourcer
-      Niveauet af uafhængighed for de personer, der foretager functional safety vurderingen i forhold til applikationen.
 
8.2.9              Før en functional safety vurdering kan finde sted, skal planen for functional safety vurderingen være tiltrådt af de personer, der udfører functional safety vurderingen og af de personer, der er ansvarlige for ledelsen af, at functional safety livscyklusens faser bliver vurderet.
 
8.2.10            Som en konklusion af functional safety vurderingen, skal der foretages anbefalinger til accept, begrænset accept eller forkastelse.
 
8.2.11            De personer der udfører functional safety vurderingen skal være kompetente til de aktiviteter der skal foretages, og opmærksomheden bør rettes mod faktorerne for vurderings-kompetencerne i anneks B.
 
8.2.12            Medmindre andet er fastsat i internationale anvendelses sektor-standarder skal minimumsniveauet for uafhængighed for de personer, der udfører functional safety vurderingen være som specificeret i tabel 4 og 5. Anbefalingerne i tabellerne er som følgende
 
-      HR:   Det specificerede niveauet for uafhængighed er på det kraftigste anbefalet som et minimum for den specificerede konsekvens (tabel 4) eller safety integrity level (tabel 5). Hvis et lavere niveau af uafhængighed er valgt så skal den logiske begrundelse for ikke at anvende HR niveauet detaljeret begrundes.
-       
-      NR:  Det specificerede niveau for uafhængighed er fundet utilstrækkeligt og er positivt ikke anbefalet for den specificerede konsekvens (tabel 4) eller safety integrity level (tabel 5). Hvis dette niveau af uafhængighed er valgt, så skal den logiske begrundelse for at anvende det detaljeret begrundes.
-      -:       Der er ingen anbefalinger for eller imod at anvende det specificerede niveau for uafhængighed.
 
NOTE 1:       Forud for anvendelsen af tabel 4 vil det være nødvendigt at definere konsekvenskategorierne under medregning af god praksis i anvendelsessektoren. Konsekvenserne er dem, som ville fremkomme i tilfælde af en fejlfunktion hos et af de E/E/PE sikkerhedsrelaterede systemer, når deres funktion kræves.
 
NOTE 2:        Afhængig af firmaorganisationen og ekspertisen inden for firmaet, kan kravene for uafhængige personer og afdelinger kræves imødegået ved anvendelsen af eksterne organisationer.
I modsætning hertil kan firmaer som har organisationer uddannet i risikovurdering og anvendelsen af sikkerhedsrelaterede systemer, som er uafhængige af og adskilte (ved ledelsesmetoder og andre ressourcer) fra de personer, der er ansvarlige hoved udviklingen, være i stand til at anvende deres egne ressourcer for at imødegå kravene til en uafhængig organisation.
 
NOTE 3:        Se 3.8.10 og 3.8.11 og 3.8.13 i IEC 61508 - 4 for definitioner af respektive: en uafhængig person, en uafhængig afdeling, og en uafhængig organisation.
 
8.2.13            I sammenhæng med tabel 4 og tabel 5 er enten HR1 eller HR2 anvendelig (ikke begge), afhængig af antallet af de faktorer, der er specificeret i anvendelsen:
Hvis HR1 er anvendelig, så bør HR2 læses som ikke krævet:
Hvis HR2 er anvendelig så bør HR1 læses som NR (ikke anbefalet).
Hvis ingen anvendelses sektorstandard eksisterer skal den logiske begrundelse for valg af HR1 eller HR2 detaljeret beskrives.
Faktorer, som vil gå i retning af at gøre HR2 mere anvendelig end HR1, er:
-      mangel på tidligere erfaring med lignende design
-      større grad af kompleksitet
-      større grad af nyheder i designet
-      større grad af nyhed i teknologien
-      mangel på graden af standardisering af design og særpræg.
 
8.2.14            I sammenhæng med tabel 5 skal minimumsniveauet af uafhængighed baseres på sikkerhedsfunktionen, som udføres af det E/E/PE sikkerhedsrelaterede system, som har det højeste sikkerheds integritets niveau.
 
Tabel 4 - Minimumsniveau af uafhængighed for dem som udfører
 functional safety vurderingen
(overordnet sikkerheds livscyklus fase 1 til 8 og 12 til 16 (se figur 2))
 
Minimumsniveau for uafhængighed
Konsekvens (se note 2)
A
B
C
D
Uafhængig person
HR
HR1
NR
NR
Uafhængig afdeling
 
HR2
HR1
NR
Uafhængig organisation
Se note 2 i 8.2.12
 
 
HR2
HR
NOTE 1: Se 8.2.12 (Inklusive note) og 8.2.13 for detaljer til forståelse af denne tabel
 
NOTE 2: Typiske konsekvenser kunne være:
-      Konsekvens A: Mindre skader (for eksempel midlertidig tab af en funktion)
-      Konsekvens B: Alvorlig permanent skade for én eller flere personer, dødsfald for én person
-      Konsekvens C: Dødsfald for adskillige personer
-      Konsekvens D: Rigtig mange personer dræbt.
Tabel 5 - Minimumsniveau af uafhængighed for dem, som udfører
functional safety vurdering
(overordnet sikkerheds livscyklus fase 9 inklusive alle faser af E/E/PERS og software sikkerhedslivscyklus (se figur 2,3 og 4))
 
Minimumsniveau for uafhængighed
Sikkerhedsintegritets niveau
1
2
3
4
Uafhængig person
HR
HR1
NR
NR
Uafhængig afdeling
 
HR2
HR1
NR
Uafhængig organisation
(se note 2 i 8.2.12)
 
 
HR2
HR
NOTE - Se 8.2.12 (Inklusive noter), 8.2.13 og 8.2.14 for detaljer til forståelse af denne tabel.
 
 
 
 
8.1             IEC 61508 del 4
For at få den fulde forståelse af afsnit 8.0 er det nødvendigt at få nogle definitioner sat helt på plads. Efterfølgende definitioner er direkte citater fra IEC 61508-4
 
3.8                 Definitioner
 
3.8.10            Uafhængig person
En person, - som er adskilt og distanceret (langt væk fra) fra de aktiviteter som finder sted under specifikationsfasen af den overordnede E/E/PES - sikkerhedslivscyklus eller software-sikkerhedslivscyklus, som er genstand for functional safety vurderingen eller valideringen, - og som ikke har direkte ansvar for disse aktiviteter.
 
3.8.11            Uafhængig afdeling
En afdeling, - som er adskilt og distanceret fra de afdelinger, som er ansvarlige for de aktiviteter, som finder sted under specifikationsfasen af den overordnede E/E/PES - sikkerhedslivscyklus eller software- sikkerhedslivscyklus, - som er genstand for functional safety vurderingen eller valideringen.
 
3.8.12            Uafhængig organisation
En organisation som er adskilt og distanceret, ved ledelse eller andre ressourcer, fra de organisationer, der har ansvar for de aktiviteter, som finder sted under specifikationsfasen af den overordnede E/E/PES sikkerhedslivscyklus eller software-sikkerhedslivscyklus, - som er genstand for functional safety vurderingen eller valideringen.