qy球友会

        1、什么是功能安全评估？

        功能安全评估是保证系统满足功能安全的重要工作。开展功能安全评估工作的人员、机构，必须足够专业、具有独立性。在开展功能安全评估工作时应考虑全生命周期的所有活动以及输出，判断系统在多大程度上能够满足IEC 61508、 GB/T 20438的目标和要求。这里提到的独立性，IEC61508.1第8条、GB/T 20438.1的第8条均给出了明确要求。可根据系统安全功能的后果、安全完整性等级实际情况，结合IEC61508.1、 GB/T 20438.1给出的规定选择。从IEC61508.1、 GB/T 20438.1可知，这里的独立性不是指一定需要独立的第三方机构，可以是独立的人、独立的部门、独立的组织。例如，公司有对安全相关系统的风险评估和应用非常熟悉的内部组织机构，并从负责主要开发的组织中独立和分离出来（用管理或者其他方式）相关人员，可以能够利用自己的资源来满足独立组织的要求。

        IEC 61508给出的功能安全评估定义如下：

        功能安全评估：通过调查，依据证据来判断一个或多个E/E/PE安全相关系统和/或其他风险降低措施实现的功能安全。

        2、执行功能安全评估的独立性要求

        IEC 61508.4给出的独立性定义如下：

        独立人员：与整体的、E/E/PE系统的或软件的安全生命周期特定阶段中的活动分开且不直接负责，但又从事功能安全评估或确认的人。

        独立部门：与对整体的、E/E/PE系统的或软件的安全生命周期的特定阶段中的活动负责的部门分开，但又从事功能安全评估或确认的部门。

        独立组织：用管理或其他办法对与整体的、E/E/PE系统的或软件的安全生命周期特定阶段中的活动负责的组织分开，但又从事功能安全评估或确认的组织。

        从上述定义及功能安全评估的解释可以看到，执行整体的、E/E/PE系统的或软件的功能安全评估工作，不是一定需要独立的第三方机构，可以是独立的人、独立的部门、独立的组织。这里的独立的人、独立的部门、独立的组织可以是企业自身通过一定管理或者其他手段构建。

        IEC 61508标准对于不同的安全功能后果、完整性等级都给出了选择执行功能安全评估的人、机构的独立性规定。如下表1、表2所示。例如，假设E/E/PE安全相关系统的失效事件的后果是A级，根据表1，可知选择独立的人员执行即可。如果后果是B级，根据表1，可选择独立的人员、独立部门，具体选择哪个更合适，可参考IEC 61508.1的8.2.16。一般是判断X2是否比X1更合适的原则是，是否缺乏以往类似设计经验、更复杂、设计更新颖、技术更新颖等，如果是，那么选择X2更合适。

        注：这里的后果是指由包括E/E/PE安全相关系统在内的所有风险降低措施的失效事件产生的后果。

        3、如何执行功能安全评估，有哪些工具和方法？ IEC 61508.6/GB 20438.6给出了较多的方法用于功能安全评估，包括可靠性框图法、布尔法、故障树法、Petri网法、马尔可夫法等。关于如何基于可靠性框图进行功能安全评估，可了解安全相关系统（低要求运行模式）的安全性评估示例-基于IEC61508、GB/T 20438标准。关于故障数、马尔可夫等方法，可了解可靠性设计分析软件PosVim相关介绍。