功能安全评估第一部分:设定FSA边界,定义FSA范围及计划FSA

　　1 简介

　　对很多读者来说，功能安全评估(FSA)是功能安全领域中的一个新话题。甚至就那些阅读过并且理解IEC 61508 [1]和IEC 61511[2]关键特性的读者，可能也不是非常熟悉FSA活动的具体细节;并意识到FSA是一个强制性的(硬)要求——如果某某想要声称对IEC 61508的合规，或者在实际当中已经执行了FSA并从中受益。

　　FSA是在传统的安全生命周期活动如验证、确认和功能安全审核之外进行的。这些活动通常直接由安全相关系统的项目团队在执行阶段进行计划和实施。实施FSA的特定目的在于确保功能安全在机构特定的供货范围内已经实现预期的目标，安全生命周期。并且在给安全生命周期中的组织提供的特定范围内，它是专用于保证功能安全已经实现。对一个典型的系统集成商而言，其供货范围仅是端到端安全相关系统的逻辑解算器子系统部分。对一个负责工程、采购和施工的(EPC)公司来说，这通常是端到端安全相关系统，包括输入子系统、逻辑解算器子系统和最终元件(输出)子系统。

　　IEC 61508和IEC 61511都有专门针对FSA的章节条款，即IEC 61508中的第1部分第8章和IEC 61511中第1部分第5.2.6.1节。然而，它们在方法和建议上存在差异——那些寻求实施FSA的人和/或机构需要对此进行审慎的诠释和理解。实施FSA要求员工具有高水准的资质，并通常有较强的客观性，尤其是当应用于安全生命周期的早期阶段。FSA用来评估是否已采用适当的方法、技术和流程来取得预期的功能安全。功能安全评估指南包括两部分，向读者提供一个为分布在全球的ABB安全执行中心(SEC)所使用的关于FSA过程方法论和FSA报告机制的详细内容。这些SEC都有符合IEC 61508的功能安全管理系统( F S M S ) ， 并正在逐步通过T Ü V 莱茵( T Ü VRheinland)的认证。他们为客户实施以逻辑解决器子系统的集成及配置为重点的安全系统解决方案。

　　SEC执行FSA是合规性和取证的要求。有关ABB在SEC功能性安全管理系统 (FSMS)的具体内容， 请参见文献[4]。

　　在指南的第一部分，我们将在安全生命周期模型，机构供货范围，职责以及独立性等级前提下，关注如何定义FSA的边界。然后我们讨论审核与功能安全评估之间的区别，以及如何规划一个功能安全评估。

　　2 设定FSA边界

　　在开发FSA方法论时，首先的一项活动就是为想要实施FSA的机构明确定义其供货范围。该供货范围的确定必须在考虑到涉足安全生命周期的其它机构的前提下，特别是那些其实施阶段正好处在该定义供货范围之前和之后的机构。

　　在第一种情况下要求对IEC 61508第1部分第8条款的要求有一个全面的理解。 该条款定义了实施FSA的机构和员工所要求的独立性等级，同时也提供关于何时、怎样、谁和为什么的信息。当结合读解IEC 61508第1部分的8.2.3节“功能安全评估应当应用到贯穿整体的，E/E/PES的和软件的安全生命周期的所有阶段”时，可以很明显的看到定义一个机构供货范围的相关性和重要性。类似地，当结合读解8.2.3节“当实施功能安全评估应当考虑在整体的，E/E/PES的和软件的安全生命周期的每一个阶段所开展的活动和获得的输出，并判断在多大程度上哪个目标和要求得以满足”时，其它机构和接口所处角色的相关性和重要性也是显而易见的。