功能安全標準的發(fā)展經(jīng)歷了幾個(gè)重要的節點(diǎn)。1996年，ISA首先發(fā)布了ISASP84安全聲明周期，這是功能安全標準的技術(shù)基礎。隨后，在1998年國際電工委員會(huì )（IEC）發(fā)布了IEC61508系列標準，2003年，針對過(guò)程工業(yè)的功能安全標準IEC61511正式發(fā)布，該標準共包含3個(gè)部分，詳細規范了過(guò)程工業(yè)中SIS的構架、定義，系統，硬件和軟件要求。2010年，IEC61508 Ed2.0系列標準發(fā)布，它帶來(lái)了一系列新的理念和評價(jià)方法，而標準也從原來(lái)的7個(gè)部分增加為8個(gè)部分。2016年2月IEC 61511-1Ed 2.0已經(jīng)正式發(fā)布，它將結合目前的前沿技術(shù)發(fā)展，給過(guò)程工業(yè)，甚至于更多的其他相關(guān)涉及財產(chǎn)安全、環(huán)境安全、人身安全的行業(yè)，帶來(lái)規范有效的安全評價(jià)方法和技術(shù)。

IEC 61511系列標準給出了SIS關(guān)于規范、設計、安裝、運行和維護的相關(guān)要求。它明確了所需達到的功能安全水平，但是標準中并不明確這些要求的責任方，而相關(guān)的責任人員需根據安全計劃、項目計劃和管理以及所在國家的法律法規進(jìn)行職責的劃分。

IEC61508和IEC61511是2個(gè)有著(zhù)密切關(guān)系的標準，從屬關(guān)系上來(lái)說(shuō)，IEC61511是IEC61508在過(guò)程領(lǐng)域的應用，IEC61508是所有功能安全標準的基礎和支撐。

在IEC 61511-1 Ed2.0中，仍然保留了2個(gè)基本概念：安全生命周期和安全完整性等級（SIL）。

①安全生命周期對于功能安全而言至關(guān)重要。從功能安全的概念出發(fā)，失效可分為隨機失效和系統失效。對于隨機失效，通過(guò)硬件試驗、可靠性分析、應力篩選等一系列試驗方法可以有效提供其數值，這里不進(jìn)行贅述。而系統失效，引入安全生命周期的概念非常必要，它可以有效幫助設計人員從根本上避免和減少設計失誤。安全生命周期本身是一套系統的方法，是工程實(shí)際中最行之有效的設計方法。具體表現在：明確活動(dòng)和工作職責；辨識每個(gè)階段的完整性需求；辨識所需文檔；幫助實(shí)現功能安全管理（FSM）、系統驗證、系統確認、評估、評審等活動(dòng)。

而上述活動(dòng)也可借由安全生命周期的劃分分配給不同的參與人員，包括最終用戶(hù)、系統集成商、開(kāi)發(fā)人員（硬件和軟件）等。

②SIL就是功能安全定量方法的體現。從IEC61508系列標準中可以找到許多關(guān)于SIL的描述，其中較為重要的兩個(gè)概念：平均失效概率（PFD，PFH）及結構約束。得到準確的PFD和PFH，對于定量評價(jià)系統的有效性和在關(guān)鍵時(shí)刻的表現至關(guān)重要，也是得到SIL的重要參數之一。

在IEC 61511-1 Ed2.0中有3個(gè)顯著(zhù)的變化：

①許多原來(lái)被定義為“應”的活動(dòng)，新版標準則定義為“必須”，如：安全生命周期必須包含應用編程等。

②原標準中的“應用軟件”被改寫(xiě)為了“應用編程”，這從根本上提高了系統集成過(guò)程中對于軟件評估的重視，在考慮SIS的SIL時(shí)，編程過(guò)程，即軟件質(zhì)量成為一個(gè)不容忽視的重要過(guò)程。

③FAT編程規范性引用，即：出廠(chǎng)試驗成為必備過(guò)程。

這些變化體現了IEC 61511-1 Ed2.0對于安全要求的提升，原標準可選的內容在IEC 61511-1 Ed2.0中成為了必須執行的項目，無(wú)疑增加了系統制造商、集成商的工作量，需要將更多的時(shí)間用于系統的測試，同時(shí)需要將更多的精力投入在控制系統失效的工作上。同時(shí)，為了迎合數字化發(fā)展的進(jìn)程，軟件的重要程度再次提升，在IEC 61508 Ed2.0中就可以明顯感覺(jué)到對編程過(guò)程的重視，并在IEC 61511的升版中再次體現出來(lái)。

大致可以將SIS安全生命周期歸納成4個(gè)階段。

①分析階段。它包括了上圖中1，2，3這3個(gè)部分的工作。

②實(shí)現階段。它包括了上圖中4，5部分以及標準中第9章的相關(guān)內容。

③操作和維護階段。它包括了6，7，8，9這4個(gè)部分的內容。

④管理和計劃。它包括了10，11這2個(gè)部分的內容。

從順序上來(lái)說(shuō)，管理和計劃是先于一切行動(dòng)的起點(diǎn)，它將控制整個(gè)項目的進(jìn)度、質(zhì)量水平以及跟蹤觀(guān)察。

功能安全管理概述

對于任何宣稱(chēng)產(chǎn)品或者系統達到功能安全的廠(chǎng)商或組織，都應該有完整的功能安全管理來(lái)確認他們的聲明是合理有效的。在IEC 61511-1 Ed2.0中，對于功能安全管理提出了多方面的要求：

①組織和資源。主要提出了對涉及SIS生命周期中的人員、部門(mén)、組織或其他單位的職責以及承擔相關(guān)職責所應具備的能力，這些能力可以包括：工程知識、電氣電子可編程電子方面的知識、安全工程知識、法律法規要求、必要的領(lǐng)導技能、風(fēng)險分析和評價(jià)的技能等。

②風(fēng)險評價(jià)和風(fēng)險管理。這些內容可以通過(guò)不同的風(fēng)險評價(jià)方法獲得，例如HAZOP和QRA等，這些方法可從定性到半定量再到定量，以提供準確的評價(jià)結果。

③編制可行的安全計劃。安全計劃中需要詳細描述在項目中所執行的生命周期以及在生命周期中所包含的活動(dòng)，執行活動(dòng)的人員、部門(mén)、組織以及配備的資源等，并且應與所需的SIL相匹配。

④執行和監視。對于項目中涉及的供應商或提供服務(wù)的組織都應按所需的SIL要求提出對應的管理規程并進(jìn)行監督管理，同時(shí)對SIS的失效率參數的合理性也要時(shí)刻進(jìn)行監督。

⑤評估、審核和修改。在IEC 61511-1 Ed2.0中對于如何進(jìn)行評估提供了詳細的建議，而這些建議也可以成為項目執行者編制文件時(shí)的參考。項目中所執行的任何相關(guān)活動(dòng)都應留下備查的記錄，尤其是對于修改部分，應建立完整的規程，至少應包含提出、評審、修改、再評審的過(guò)程。

⑥配置管理。配置管理可有效地控制系統的版本有序，是避免系統失效的基本要求和重要手段。功能安全管理應該在項目過(guò)程中持續有效地執行，并且應貫徹執行統一的準則，并且在實(shí)施過(guò)程中應按計劃、按階段引入功能安全評審，將會(huì )有效提供功能安全管理的水平。

功能安全評審

功能安全管理與功能安全評審密不可分。

①執行功能安全評審，在新版標準中則給出了幾點(diǎn)特別需要注意的事項：

a）執行功能安全評審的人員應該獨立，不應參與到SIS的任何工作。這里的獨立有多層理解，根據不同的SIL要求，可以將獨立的范圍擴大。通?？梢詫ⅹ毩⒎譃?個(gè)層次：技術(shù)獨立、管理獨立、財務(wù)獨立。而通用的做法則是在項目過(guò)程中引入第三方獨立機構來(lái)執行功能安全評審的工作。

b）IEC 61511-1 Ed2.0中尤其強調了功能安全評審計劃的制定，在原標準中為注意的條款，在新版標準中都變?yōu)榱吮仨殘绦械捻椖俊?/span>

c）在維護和操作階段也應當周期性地引入功能安全評審工作，即功能安全工作不僅僅是開(kāi)車(chē)的必要條件，在系統投入運行后，功能安全的評審工作依然重要。而這部分的工作將包括：評判系統的運行情況、收集相關(guān)設備的運行參數以便更新功能安全相關(guān)參數，發(fā)現和評估未預料到的隱患并及時(shí)糾正。

d）功能安全評審依賴(lài)于操作的實(shí)時(shí)性。

②根據IEC61511-1Ed2.0可以將功能安全評審劃分為5個(gè)階段，這5個(gè)階段貫穿系統的安全生命周期全過(guò)程：

a）在完成風(fēng)險評估后，辨識出所需的保護層并在完成完全要求規范（SRS）編制后實(shí)施。

b）在完成SIS設計后實(shí)施。

c）在完成安裝、試運行、最終確認后，并且已開(kāi)發(fā)完成運行和維護規程后實(shí)施。

d）在獲得運行和維護經(jīng)驗數據后實(shí)施。

e）在修改后或在SIS停運前實(shí)施。上述的實(shí)施階段只是功能安全評審的最低要求，對于有不明確或者有必要的情況下，功能安全評審就應及時(shí)進(jìn)行，避免系統故障的引入。

鑒于IEC 61508 Ed2.0的發(fā)布，對于功能安全結構約束的定義有了新的變化，在IEC 61511-1 Ed2.0中，也將延續這種變革。因此，在判斷硬件故障裕度（HFT）時(shí)有了更多的選擇。在IEC 61508-2 Ed2.0中有兩種不同的方法，分別為Route1H和Route2H，其判定HFT的要求分別見(jiàn)下表所列。

可見(jiàn)，Route2H取消了關(guān)于安全失效分數的要求，而這兩種方法在IEC 61511-1 Ed2.0中都是可行的。而想要設計出符合功能安全要求的SIS，仍然需要設計人員有足夠豐富的功能安全知識和儀表應用經(jīng)驗。

SIS的應用編程和SRS

前文中提到，在IEC 61511-1 Ed2.0中特別強調了將應用軟件變?yōu)閼镁幊?，這就說(shuō)明軟件編程質(zhì)量在SIS中的重要性更加明確。在新版標準中提出了對于應用編程的一系列要求：適當的生命周期劃分；系統化的方法；必要的檢驗測試手段；可追溯性；驗證與確認。針對上述要求，設計和開(kāi)發(fā)人員有必要引入行之有效的系統性方法，而目前廣為接受的方法就是改進(jìn)型V模型系統性方法。

對于應用編程，可以參照IEC 61508-3 Ed2.0中的要求實(shí)施，需要特別注意的是，在IEC 61511-1 Ed2.0中，針對通信提出了關(guān)于信息安全的要求。對于信息安全的要求需要從硬件和軟件兩個(gè)部分去考慮，關(guān)鍵的網(wǎng)絡(luò )設備應經(jīng)過(guò)相關(guān)測試并驗證其有效性。而通信協(xié)議本身也應經(jīng)過(guò)評估和必要的攻防測試，這部分內容在IEC 62443系列標準中有詳細的要求，而該部分也是IEC 61511-1 Ed2.0中與時(shí)俱進(jìn)的有力表現。

在IEC 61511-1 Ed2.0中，對于每個(gè)安全儀表功能（SIF）定義了共計29條要求，這些內容大多在原版中有相應的要求，而其中有以下4條內容是新版中額外增加的內容：

以上內容在IEC 61511-1 Ed2.0第10.3.1條中有明確提及，根據SIF的具體情況，在編制SRS時(shí)，應完整考慮這些要求，以提高SIS的設計準確性。

新版標準修訂內容

在IEC 61511-1 Ed2.0中，還有一些修訂部分內容，通過(guò)研讀，將其羅列如下：