功能安全的基本方法

种失效，系统集成商在设计集成系统、选择所采用的
所有器件时，必须全系统考虑每一种因素对系统危险
失效的影响。不仅要考虑系统中传感器单元、逻辑单
元、最终执行单元以及它们之间的接口与连线等所有
器件的随机危险失效率，还要考虑它们的结构与诊断。
ＩＥＣ ６１５０８ 标准规定了安全完整性等级（ＳＩＬ）与系统
的结构约束及诊断之间的关系，如表 １。
Abstract: The paper mainly introduced the basic methods of the functional safety standard, the three basic methods of end to end, whole system, and whole life circle. Key words: Functional Safety End to End Whole System Whole Life Circle
目标量值，还表明了必须采取的技术与措施。
图 １ 清楚表明了用户、系统集成商与安全专家的
工作分工与配合。用户专家对被控对象最熟悉，也最
能胜任风险分析提出安全控制要求的责任，系统集成
商针对用户提出的要求进行系统设计，初始设计完成
后，还要将该系统放入整个风险评估对象中，重新评
估风险与可接受风险，最终完成系统设计。
安全相关系统与一般的自动化控制系统的最大区 别，在于它在承担过程监控任务的同时，承担了安全 生产风险控制的任务，实际起到了风险降低的作用。 而功能安全标准采用端到端的方法，将受控设备或系 统的风险控制要求与安全相关系统的设计要求直接对 接，是安全相关系统实现风险控制的关键步骤，也是 实现功能安全的重要方法。
执行器也必须选择 ＳＩＬ３ 级？ 实际上，用户、系统集成商和设备供应商在功能
安全过程中起着不同的作用，功能安全标准中规定了 三者各自的工作内容与目标，同时特别强调了三者的 配合与协调。
另外，要求某一个安全仪表功能的 ＳＩＬ 等级为３，
仪器仪表标准化与计量 1 5 2007·2
Control Tech of Safety & Security
表２ ＩＥＣ ６１５０８－１要求 （安全完整性等级：在低要求操作模式下分配给一个Ｅ／Ｅ／
ＰＥ安全相关系统的安全功能目标失效量）
安全完整性等级
４ ３ ２ １
低要求操作模式（在要求时就执行其 设计功能要求的平均失效概率）
≥ １０－５ 至＜ １０－４ ≥ １０－４ 至＜ １０－３ ≥ １０－３ 至＜ １０－２ ≥ １０－２ 至＜ １０－１
（１）传感器单元的计算 传感器单元的目标失效量 ＰＦＤ 为 ＳＩＬ３ 的 ３０％ →
＜ ３．０Ｅ－０４，选择的传感器失效率 λ＝５．０Ｅ－０６；危险 失效率 λＤ＝ 安全失效率 λＳ＝０．５λ，检验测试时间间隔 Ｔ１＝１ 年（８７６０ 小时），共因失效因子 β＝２０％。
表３ 传感器单元计算表
结构 ＤＣ（诊断 覆盖率）
主讲人简介： 冯晓升，全国工业过程测量与控制标准化技术委员会主任委员，教授级高
工。一九八二年毕业于浙江大学。不仅是ＩＥＣ ＴＣ６５ ＭＴ１３工作组的中国专家，参 与ＩＥＣ ６１５０８标准维护工作，还是ＩＥＣ ＴＣ６５ ＳＣ６５Ｃ ＷＧ１２工作组的中国专家，参 与工业控制网络功能安全标准ＩＥＣ ６１７８４－３的制定。同时又是等同采用ＩＥＣ ６１５０８ 的中国国家标准ＧＢ／Ｔ ２０４３８．１～７的起草工作组组长，主持了国际功能安全标 准的研究与中国国家标准ＧＢ／Ｔ ２０４３８．１～７的制定工作，对功能安全标准及技 术有深入研究。
ＳＦＦ （安全失效分数） ９９．９５％
ＰＦＤ １．８６Ｅ－０６
该数据能够满足ＳＩＬ３ 级系统对逻辑单元的要求。
（３）最终执行单元计算
最终执行单元的目标失效量 ＰＦＤ：５０％ 的 ＳＩＬ３ →
＜ ５Ｅ－０４
选择阀门的数据：失效率 λ＝ ５ ． ０ Ｅ － ０ ６ ， λＤ＝ λＳ＝ ０．５λ，ＤＣ＝６０％ 或 ８０％
随机失效完整性的定量评估与分配应该通过一个 概率计算来进行。计算建立在硬件组件的失效率和失 效模式等已知数据的基础上。因此，传统的可靠性研 究与实践中适用的数据与方法，可以部分地适用于功 能安全的研究与计算。在 ＩＥＣ ６１５０８ 中规定了失效概 率与 ＳＩＬ 之间的关系，见表 ２。
1 6 仪器仪表标准化与计量 2007·2
２ 遵守功能安全的全系统的方法
功能安全的全系统方法有效避免了随机失效，它
要求在设计和开发过程中采取有效措施避免和控制失
效，严格满足结构约束条件与诊断覆盖率要求，用可
靠性模型技术研究危险失效概率，采取措施在应用软
件设计和开发过程中避免和控制失效。
２．１ 标准要求
随机失效主要是由于设备故障导致，为了防止这
图１ 风险控制要求与危险控制方案直接对接 如图 １，功能安全标准的端到端方法，就是系统集 成商在实施危险控制的安全相关系统开发之初，就与 用户密切配合，对受控设备或系统进行系统的危险识 别和风险分析，根据风险分析的结果确定实际风险， 并将此实际风险与可接受风险进行对比后，提出危险 控制的危险失效率的目标值。从该目标值，可以导出 安全相关系统的目标安全完整性等级（ｓａｆｅｔｙ ｉｎｔｅｇｒｉｔｙ ｌｅｖｅｌ， 以下简称ＳＩＬ）要求。ＳＩＬ是一种离散的等级（四 种可能等级之一），用于规定分配给 Ｅ／Ｅ／ＰＥ 安全相关 系统安全功能的安全完整性要求，在这里，安全完整 性等级 １ 是最低的，安全完整性等级 ４ 是最高的。ＳＩＬ１ 表示使用该控制系统能将受控设备或系统的风险降低 １ 级，ＳＩＬ４ 表示使用该控制系统能将受控设备或系统 的风险降低 ４ 级。ＳＩＬ不仅表明控制系统危险失效率的
也并不是简单地把几个ＳＩＬ３级子系统串接起来就可以 了，而是必须需要计算与分析，全系统考虑后才能实 现。
这一讲重点wk.baidu.com述功能安全标准采用的端到端、全 系统、全生命周期三个基本方法，并用实例演示全系 统安全完整性分配及系统结构配置设计的过程与步骤， 以便安全相关系统与设备的用户、系统集成商和供应 商了解在实际工作中各自的任务与ＳＩＬ 设计的方法步 骤。 １ 遵守功能安全的端到端的方法
安全控制技术
［编者按］ 本刊“安全控制技术”栏目自２００５ 年开设以来，得到了广大读者的广泛关注与大力支持。今年除了 继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第 一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了 解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副 所长冯晓升教授。
有统计资料表明，在安全控制系统危险失效导致
的事故中，有 ４０％ 以上是由于安全要求不明导致的。功
能安全标准采用的这种端到端的方法，使风险分析与
控制系统的目标设计值直接对应，同时也使受控设备
或系统的风险等级与控制系统能实现的风险降低级别
直接对应。避免了因对受控设备或系统的危险认识不
清、安全要求不明造成的系统性危险失效。
ＳＩＬ３
ＳＩＬ４
ＳＩＬ４
表 １ 中，硬件故障裕度 Ｎ 表示 Ｎ＋１ 个故障将导致 安全功能失效。如果要求某子系统的ＳＩＬ 级别达３ 级， 在该子系统的安全失效分数为 ９０％～９９％ 的情况下，硬 件故障裕度就必须至少为 １，因此这个子系统结构可 以选择为 １ｏｏ２，想要提高可用性，还可以选择 ２ｏｏ３。
安全控制技术
传感器单元才可能满足ＳＩＬ３ 级系统的要求。
（２）逻辑单元计算
逻辑单元的目标失效量 Ｐ Ｆ Ｄ ： Ｓ Ｉ Ｌ ３ 的 ２ ０ ％ →＜
２．０Ｅ－０４，检验测试间隔时间 Ｔ１＝１ 年（８７６０ 小时）
选择某公司的 ＳＮＣ 控制器，供应商提供的数据如
表 ４。
表４ 逻辑单元的失效率数据
结构 １ｏｏ２
ΣλＤＤ ΣλＤＵ
输入子系统 ２．２Ｅ－０４ ２．５Ｅ－０６ ２．２５Ｅ－０６ ０．２５Ｅ－０６
表１ ＩＥＣ ６１５０８标准要求
硬件安全完整性：Ｂ类安全相关子系统的结构约束的要求
安全失效分数
硬件故障裕度（Ｈ Ｆ Ｔ ）
（ＳＳＦ） ＜６０％
０ 不允许
１ ＳＩＬ１
２ ＳＩＬ２
６０％～＜９０％ ９０％～＜９９％
ＳＩＬ１ ＳＩＬ２
ＳＩＬ２ ＳＩＬ３
ＳＩＬ３ ＳＩＬ４
≥ ９９％
检验测试时间间隔 Ｔ１＝１ 年（８７６０ 小时），β＝２０％
表５ 最终执行单元计算表
结构 ＤＣ（诊断 覆盖率）
１ｏｏ１ ６０％
λＤ Ｕ ＝λＤ（１－ＤＣ） １．０Ｅ－０６
ＰＦＤ ＝（λＤＵ × Ｔ１）／２ ４．３８Ｅ－０３ （ＳＩＬ２）
１ｏｏ２ ８０％
０．５Ｅ－０６
ＰＦＤ＝β（λＤＵ × Ｔ１）／２ ＝０．２×０．５Ｅ－０．６
为了便于理解，下面介绍一个系统 ＳＩＬ 计算与分 配实例。
假设有一个系统要求 ＳＩＬ３ 级，由传感器单元、逻 辑单元（ＰＬＣ）和最终执行单元（执行器）三部分组成。传 感器单元的要求时的失效率（ＰＦＤ）占整个系统 ＰＦＤ 的 ３０％，ＰＬＣ 占 １０％～２０％，执行器占 ５０％。计算确定传 感器、ＰＬＣ 和最终执行单元的结构配置与失效率分配 方案。
第二讲 功能安全的基本方法
Chapter 2: Basic Methods of the Functional Safety 冯晓升
（机械工业仪器仪表综合技术经济研究所，北京市 １０００５５） Feng Xiaosheng
(Instrumentation Technology & Economy Institute, Beijing 100055) 【摘 要】 重点讲述了功能安全标准采用的端到端、全系统、全生命周期三个基本方法。 【关键词】 功能安全 端到端 全系统 全生命周期
注：λＤＵ为诊断测试未检测到的失效概率
如表 ３，传感器单元的诊断覆盖率（ＤＣ）为 ０ 时， 该单元的 ＳＩＬ 值只能达到 １ 级，当 ＤＣ 为 ９０％ 时，系统 结构未变，但ＳＩＬ 能力就能达到２级，只有结构变化为 １ｏｏ２，并且 ＤＣ 达 ９０％ 时，ＰＦＤ 才可能满足系统 ＳＩＬ３ 的要求。
因此，只有当传感器的 ＤＣ 达到 ９０％（ＩＥＣ ６１５０８ 规定，传感器考虑了 ＤＣ 故障模型、漂移和振动等失 效模式时，ＤＣ 可认为达到 ９０％），传感器采用了输入 比较 ／ 表决（１ｏｏ２，２ｏｏ３ 或更好的冗余）的情况下，
×８７６０／２ ＝４．３８Ｅ－０４ （＜５．０Ｅ－０４ → ＳＩＬ３）
从表 ５ 可以看出，最终执行单元的结构必须至少
选择 １ｏｏ２，ＤＣ 必须达到 ８０％ 以上，才能保证 ＳＩＬ３ 级
系统的要求。
（４）整个系统计算
按照以上结构与配置，整个系统的计算如表 ６。
表６ 整个系统计算表
ＰＦＤ ΣλＳ
２．２ 实用举例 首先举一个极端的例子，可以表明几个 ＳＩＬ３ 级的
子系统简单组合并不能实现ＳＩＬ３ 级系统。 假设有一个 Ｓ Ｉ Ｌ ３ 级的传感器子系统， Ｐ Ｆ Ｄ ＝
０．００５；ＳＩＬ３ 级逻辑单元的 ＰＦＤ 为 ０．００１；ＳＩＬ２ 级的 执行器的 ＰＦＤ 为 ０．００７；将它们简单组合为系统后，系 统的 ＰＦＤ 为 ０．００５＋０．００１＋０．００７＝０．０１３ → ＳＩＬ２。即 实际系统的 ＳＩＬ 等级只能达到 ２ 级。
１ｏｏ１ ０％ １ｏｏ１ ９０％ １ｏｏ２ ９０％
λＤ Ｕ ＝λＤ（１－ＤＣ） ２．５Ｅ－０６
ＰＦＤ
＝（λＤＵ × Ｔ１）／２ １．１Ｅ－０２ （ＳＩＬ１）
２．２５Ｅ－０６ １．１Ｅ－０３ （ＳＩＬ２）
２．２５Ｅ－０６
ＰＦＤ＝β（λＤＵ × Ｔ１）／２ ２．２Ｅ－０４
（＜３．０Ｅ－０４ → ＳＩＬ３）
在我们进行 ＩＥＣ ６１５０８、ＩＥＣ ６１５１１ 等功能安全 系列标准宣传与培训的过程中，经常遇到用户、系统 集成商和设备供应商提出各种问题，其中最集中的二 类问题就是：新标准出台后，我们该怎样做才能符合 标准的要求？系统ＳＩＬ（安全完整性等级）３ 级是什么 意思，是不是表示控制器必须是 ＳＩＬ３ 级，或者传感器、