仪表及控制系统功能安全评估综述

1 国内外发展概况

仪表及控制系统功能安全评估综述

刘建侯

Functional safety of instruments & control systems evaluate summary

（上海工业自动化仪表研究所仪器仪表自控系统检验测试所，上海 200233）

当前，计算机、集成电路等技术已经渗透到各个领域，计算能力的极大提高彻底改变了企业的工业过程控制，也改变了安全控制策略。

在许多情况下，各种应用领域（如石油、化工、钢铁、核电、航天等）的安全生产可用多种不同技术的防护系统（如机械的、液压的、气动的、电气的、电子的、可编程电子的等等）来保证安全，这不仅要考虑系统中所有元器件的问题，而且要考虑由所有安全系统构成的组合安全系统（如传感器、逻辑电路和执行机构等构成的系统）的问题。还要把其它技术的安全系统（如安全阀）以及外部风险降低措施（如排放系统、放火墙等）也同时考虑进去。

同时，在各种应用领域里,还存在许多潜在的危险和风险，需要确定一种最小的风险，应用不同模式的电气/电子/可编程电子安全系统（E/E/PES），并根据应用的不同而确定所需的目标安全量。

国际电工委员会于2000年5月正式发布IEC61508标准，名为Fuctional safety of electrical/electronic/programmable electronic safety-related systems，2003年1月IEC又开始颁布IEC61511标准，名为Function safety-safety instrumented systems for the process industry sector(功能安全-过程工业领域中安全仪表系统)。这两个标准有很密切的关系，IEC61508标准是综合性基础标准，主要供装置的制造商和供应商使用。而IEC61511标准则是针对具体的仪器仪表装置设计者、集成者和用户。

欧盟国家2004年已经把IEC61508标准例入新欧盟标准，作为E/E/PE产品进入欧盟国家的门坎。西方发达国家的E/E/PE产品大多数经过如TÜV这样认证机构的认定，在安全仪表系统的功能安全领域已将IEC61508和IEC61511结合应用。如Rosmount的1151、3144压力变送器、温度变送器等都已经过TÜV的认定。又如丹麦工程公司Novo Noordisk Engineering选择siemens公司为其提供丹麦国内迄今为止最大的故障安全系统，该系统安装在世界上最大的一家胰岛素工厂中，必须达到IEC/EN 61508标准的安全完整性水平SIL2要求。实际上siemens公司的故障安全系统已经符合IEC/EN 61508的SimaticITL3(安全集成级别)的要求。

TM

又如艾默生Emerson) DeltaVSIS智能安全仪表系统以smartSIS为核心，采用智能现场设备的数字化通信进行诊断并自动验证测试关键元件的安全功能，确保系统在必要的时候紧急停车，而在正常运行时不会影响生产。该安全系统声称符合新的国际安全标准IEC61511中SIL3的要求。

国内随着智能仪表、网络技术和数据通信技术的发展，现场总线技术已成为当今自动化

2 IEC61508标准的主要内容

控制技术的发展方向。在今后十年内现场总线控制系统(FCS)将可能代替分散型控制系统(DCS)成为自动化控制领域的主流，而国内在仪表及控制系统功能安全方面的工作还没有正式开展。因此，全国工业过程测量和控制标准化技术委员会正在制定与IEC61508标准等同的国家标准GB/T×××《电气/电子/可编程电子安全系统的功能安全》(已有送审稿)。

制定功能安全标准的总目标就是确保设备、仪表安全地自动运行，关键目标就是防止引发其它事件的控制系统失效，并保证保护系统能够在需要时执行一次安全动作。

IEC61508标准共分7个部分，涉及1000多个规范。它针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统的整体安全生命周期，7部分的主要内容分别为:

第1部分：一般要求

描述了标准适用范围、安全生命周期、危险和风险分析、整体安全要求、安全要求分配、计划编制（包括操作维护、安全确认、安装和试运行计划）、实现E/E/PES（包括建立其它技术安全系统和外部风险降低措施）以及功能安全评估.同时在附录中给出了文档结构的范例。

第2部分：电气/电子/可编程电子安全系统的要求

主要给出了在E/E/PES安全生命周期中各个阶段任务，如根据规定的安全要求的分配对安全系统提出安全功能和安全完整性要求，编制安全确认计划，具体实施设计与开发、集成、操作与维护、安全确认、修改、验证及功能安全评价等阶段的要求。附录给出了用于E/E/PE安全系统的技术和措施以及诊断覆盖率和安全失效分数的计算方法。

第3部分：软件要求

描述E/E/PE安全系统的软件安全生命周期中安全完整性水平所要求的软件获取、开发、集成、确认、修改、验证和评估内容，同时在附录中给出了在不同阶段采用的软件技术和测量选择指南。

第4部分：定义和缩略语

定义了第1至第7部分所使用的术语和解释。 第5部分：确定安全完整性水平的方法示例

用附录给出了风险与安全完整性之间的关系，根据任何风险必须降低到可行的合理水平一样低(即ALAPP)原理，确定允许风险目标(频率和后果)，给出了一些定性和定量确定安全完整性水平方法。

第6部分：IEC61508-2和IEC61508-3的应用指南。

用附录给出了IEC61508-2和IEC61508-3应用中的功能安全操作步骤；硬件失效概率评估技术示例；系统在低要求操作模式下和高要求操作模式下各种表决组工作的诊断覆盖率及安全失效分数计算示例；量化E/E/PE系统中硬件共同原因失效效应的方法；软件安全完整性的应用示例。

第7部分：技术和测量概述

包括IEC61508-2和IEC61508-3中有关的各种安全技术和测量方法概述。 附录A：E/E/PE的技术和测量概述:硬件随机失效控制 附录B：E/E/PE的技术和测量概述:系统失效的避免 附录C：达到软件完整性的技术和测量方法的评述

3 IEC61511标准的主要内容

4 功能安全标准中几个基本定义

5 功能安全标准中的几个基本概念

附录D：确定预开发软件的软件安全完整性的一种概率法

IEC61511标准共分3个部分，它针对由仪器仪表构成的、起安全作用的整体安全生命周期。

IEC61511-1第1部分：体系、定义、系统，硬件和软件要求 IEC61511-2第2部分：IEC61511应用指南

IEC61511-3第3部分：必须的安全完整性水平确定指南

危险和风险─危险是指伤害的潜在根源；风险是指出现伤害的概率及该伤害严重性的组合。

危险失效─使安全系统处于潜在的危险或丧失功能状态的失效。

安全失效─不可能使安全系统处于潜在的危险或丧失功能状态的失效。

电气/电子/可编程电子(E/E/PE)─基于电气和/或电子和/或可编程电子的技术。

受控设备(EUC)─用于制造、加工、运输、制药或其它活动的设备、机器、器械或成套装置。

EUC控制系统─对来自过程和(或)操作者的输入信号起反应,产生能使EUC按要求的方式工作的输出信号系统。

信道─执行一个功能的一个或一组元素。 安全─不存在不可接受的风险。

功能安全─与EUC或EUC控制系统有关的整体安全的组成部分,它取决于E/E/PE安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。

安全功能─针对特定的危险事件，为达到和保持EUC的安全状态，由E/E/PE安全系统、其它技术安全系统或外部风险降低设施实现的功能。

安全完整性─在规定条件下规定的时间内安全系统成功实现所要求的安全功能的概率。 诊断覆盖率─进行自动诊断测试而导致的硬件危险失效概率的降低部分。

安全系统─实现要求的安全功能使受控设备(EUC)达到或保持安全状态；并且在其自身或与其它E/E/PE安全系统、其它技术安全系统或外部危险降低设施上获得所要求的安全功能所必须的安全完整性。

安全系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC的接口相接，既可用在EUC控制系统中，以执行安全功能的方式达到要求的安全完整性水平，也可用分离的/或的专门用于安全系统的方式执行安全功能。

IEC61508和IEC61511标准都是针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统的整体安全生命周期建立的一个基础评价方法.标准的总目标就是确保设备、仪表安全地自动运行，防止引发其它事件的控制系统失效，并且使保护系统在需要时能执行一次安全动作（如紧急制动系统）。

要满足标准的要求，一般不能选择某一个参数来确定满足某一要求的严格程度，而是要根据与整体安全生命周期各阶段和活动有关的一些因素来确定。这些因素是：风险频率和后

偶尔发生 频繁发生 不可能发生 很可能发生 极小可能发生 难以相信会发生

频率(Ft)

大灾难

等级4

等级3

等级2

等级1

风险等级

不允许风险

可忽略的风险

严重

表2 风险等级解释

4 4 3 3 2 3 1 2 1 1 1 1 解释

如果风险降低的成本超过取得的改善时允许的风险

后果

不严重

不期望风险,当风险降低不可行或成本与取得的改善严重不相称时为允许

可忽略

4 4 4 4 3 4 3 3 2 2 1 2 果及风险降低；危险性质；安全完整性水平；实现技术类型；系统规模；物理分布和设计新颖程度等。

5.1 风险和安全完整性概念

风险是对一个特定危险事件出现的概率和结果的估量。安全系统总是有风险的，但必须在允许风险的范围内才是安全的，而允许风险可以根据社会基础和有关政治因素的考虑来确定。一旦确定了允许风险，并估计了必要的风险降低，就可以分配安全系统的安全完整性要求。安全完整性只应用于安全系统，并作为这些系统在规定安全功能方面取得必要风险降低的概率的测量。风险和安全完整性概念可以用图1表示。

图1 风险和安全完整性概念

从图1可以看出，受控设备发生意外危险事件的风险可以通过每一种工业领域的规定情况，考虑大量社会、政治和经济因素,根据意外事件发生的频率和后果建立风险等级表（如表1所示）。根据ALARP原理要求任何风险必须降低到可行的合理水平一样低的概率，允许风险目标是由一系列确定的后果与允许频率(Ft)匹配获得，而后果与允许频率的匹配可通过风险等级确定。表2列出了4种风险等级，可根据实际情况对频率用定量描述，如对很可能发生事件规定频率大于每年10次。

表1 意外事件的风险等级示例

一种定量确定安全完整性水平的方法是：在没有任何防护因素时危险事件可能出现的频

安全完整性水平 安全完整性水平

1 2 3 4 1 2 3 4

低要求操作模式下(在要求时就执行其设计功能要求的平均失效概率)

率(Fnp)和危险事件后果将构成EUC风险。因此，对于单一安全防护系统要获得必要的风险降低,必须将危险率从Fnp至少减小到Ft.所以，可以根据安全防护系统满足必要的风险降低(△R)要求确定失效概率(PFDavg)，即

PFDavg≤Ft/Fnp=△R

式中：PFDavg—安全防护系统要求的失效平均概率，即在低要求操作模式下的安全防护系统的安全完整性失效量（在这种模式下，对一个安全系统提出操作要求的频率大于每年一次或大于二倍的检验测试频率）；Ft─允许风险频率；Fnp─安全防护系统的要求率。

通过危险事件频率和后果的分析，满足必要的风险降低，通过失效概率PFDavg估算，可以在表3或表4中分配得到相应的安全完整性水平。

表3 在低要求操作模式下分配给一个E/E/PE安全系统的安全功能目标失效量

表4 在高要求操作模式下分配给一个E/E/PE安全系统的安全功能目标失效量

高要求或连续操作模式下(每小时危险失效概率)

≥10-6至＜10-5

≥10-7至＜10-6

≥10-8至＜10-7

≥10-9至＜10-8

≥10-2至＜10-1

≥10-3至＜10-2

≥10-4至＜10-3

≥10-5至＜10-4

5.2 功能安全保证的内容

为了使安全系统的功能安全得到保证，必须规定安全系统的安全功能和安全完整性水平要求。首先要对安全系统进行失效识别，并按上述危险和风险分析方法进行分析，获得必要的风险降低。同时，在整体安全生命周期的各阶段（包括危险和风险分析、整体安全要求、安全要求分配、设计与开发、安全系统的实现与集成、操作与维护、安全确认、安全验证和功能安全的评估等）采取一系列管理措施，保证每一个安全功能得到实施和落实。整体安全生命周期各阶段功能安全保证内容主要如下： 5.2.1 危险和风险分析阶段

确定EUC和EUC控制系统的危险和危险事件以及危险事件的事件顺序和EUC风险，并按可行的合理水平一样低原理（即ALARP）进行危险和风险分析，确定风险频率、后果和允许风险目标，计算必要的风险降低或失效平均概率。 5.2.2 整体安全要求阶段

检查编制的整体安全要求规范（包括安全功能要求和安全完整性要求）。 5.2.3 安全要求分配阶段

检查是否为指定的E/E/PE安全系统、其它技术安全系统和外部风险降低设施分配安全功能(包括功能安全和安全完整性)，并给每个安全功能分配安全完整性水平。 5.2.4 安全系统的设计与开发阶段

① 检查设计文档规定达到安全完整性水平所必须的技术和措施；

② 检查软件结构设计、模块设计和软件模块测试及结构集成测试，选择合适的软件开发工具和编码标准；

③ 检查源代码清单和代码复审报告,验证所有软件模块、组件和子系统是否已满足软件安全要求；

④ 检查所有部件是否采用降额措施，一般降额系数至少为0.67；

⑤ 在考虑硬件故障裕度和计算安全失效分数情况下，对不同类型的子系统（包括A类和B类）检查硬件安全完整性的结构约束,确定硬件安全完整性；

⑥ 检查预计的硬件安全功能失效概率是否等于或低于目标失效量。 5.2.5 安全系统的实现与集成阶段（包括数据通信和软件）

① 检查所有子系统是否作为安全系统进行标识和文档化；

② 在可编程电子硬件上集成软件,检查集成测试结果,验证和测试集成的可编程电子是否满足预定的安全完整性水平要求；

③ 检查子系统应遵照的环境和寿命； ④ 检查是否定期检验测试和维护；

⑤ 检查引入的技术措施及允许故障的设计特性。 5.2.6 安全确认计划阶段

① 检查编制的E/E/PE安全系统的安全确认计划；

② 检查每一安全功能和安全完整性通过或未通过的准则； ③ 检查测试所需的环境、工具、设备和校准计划； ④ 检查抗电磁干扰极限测试准则等；

⑤ 确认所有E/E/PE安全系统满足安全功能要求和安全完整性要求,同时,考虑了E/E/PE安全系统的安全要求分配；

⑥ 检查集成系统是否符合在预定安全完整性水平上对软件安全规定要求； ⑦ 检查软件修改规程和软件修改请求。 5.2.7 安全系统的操作与维护阶段

① 检查编制的E/E/PE安全系统的整体操作和维护计划； ② 检查是否可持续满足E/E/PE安全系统所需的功能； ③ 检查是否建立E/E/PE安全系统的操作修理和维护文档； ④ 检查集成软件操作和修改规程。 5.2.8 安全系统的安全验证阶段

检查编制的验证计划，按验证计划进行测试和评价,收集验证活动的信息并文档化，以保证提供的验证报告与标准的正确性和一致性。 5.2.9 安全系统的功能安全评估阶段

调查硬件和软件功能安全评估计划和评估报告，对安全系统所获得的功能安全作出判断(E/E/PE安全系统所达到的功能安全)。与此同时，还需要对安全完整性水平进行计算和评估。 5.3 安全要求

安全要求主要包括安全功能要求和安全完整性要求。 5.3.1 安全功能要求

① 达到要求功能安全所需的所有安全功能描述，针对每一安全功能应提供详细要求（包括用什么方式达到或保持EUC安全状态，是否要求连续控制，在什么时期控制，规定的操

6 评价安全完整性水平的主要参数

作模式是否适合安全系统等）；

② 输入输出信息通过量与响应时间指标； ③ 安全系统和操作员界面；

④ 对安全系统设计产生影响的所有信息； ⑤ 安全系统与其它系统之间的所有接口； ⑥ 操作的所有模式；

⑦ 详细说明安全系统的失效行为和要求的响应（如报警、自动关机等）； ⑧ 对硬件和软件之间要求的约束应加以标识和文档化； ⑨ 安全系统和相关子系统的与约束条件；

⑩ 启动和再启动安全系统的有关规程的任何特殊要求。 5.3.2 安全完整性要求

① 每一安全功能的安全完整性水平,以及规定安全功能的目标失效量； ② 每一安全功能的操作模式(低要求、高要求或连续操作； ③ 在安全生命周期中可能遇到的极端环境条件；

④ 达到的电磁兼容性要求的抗电磁干扰极限（见IEC61000-1-1）应依据电磁环境（见IEC61000-2-5）和所需的安全完整性水平得出，应使抗干扰水平高于EMC产品标准中规定的水平。

6.1 诊断覆盖率（Diagnostic coverage）和安全失效分数（Ssfe failure fraction）

诊断覆盖率（DC）指进行自动诊断测试而导致硬件危险失效概率的降低部分。 进行子系统诊断覆盖率和安全失效分数的计算步骤：

①首先在不存在诊断测试的情况下进行失效模式和效应分析（FMEA），确定子系统中每个部件或组件的每个失效模式对E/E/PE安全系统的影响。

② 根据上述FMEA结果对失效模式按照安全失效和危险失效进行分类：

安全失效─E/E/PE安全系统的安全完整性没有受到伤害，例如，失效导致安全关机或对E/E/PE安全系统的安全完整性没有影响；

危险失效─导致E/E/PE安全系统或系统的部分丧失功能或导致E/E/PE安全系统的安全完整性产生了不同方式的损害。

③ 通过对每一部件或组件的失效概率λ估算（这些失效率可来自工业数据，最好是实际现场使用数据），以及FMEA的分析结果，计算各部件或组件的安全失效概率λS和危险失效概率λD。

λS=λDD+λDU

④ 对每一部件或组件估算诊断测试检测到的危险失效分数(DFF),并计算诊断测试检测到的危险失效概率λDD。

DFF=∑λDD/（∑λS+∑λD） λDD=DCD•λD

⑤ 对子系统计算危险失效总概率∑λD，诊断测试检测到的危险失效总概率∑λDD,以及安全失效总概率∑λS。

⑥ 计算子系统诊断覆盖率DC

开路S D与危险失效的分割 每种失效模式:安全失效

短路

S D S D

变 值改

S

D 类 数量 型

名

称

DC (1)

诊断覆盖率: 安全失效与危险失效的分割以及

危险失效诊断覆盖率DCD=∑λdd/∑λD 安全失效诊断覆盖率DCS=∑λsd/∑λS ⑦ 计算子系统安全失效分数SSF

SFF=(∑λS+∑λDD)/( ∑λS+∑λD)

在实际操作时需要一个详细的硬件原理方框图，通过对子系统的FMEA确定每一个部件及元件的失效模式。并用表格形式把部件中的元件名称、数量、类型、以及对每一个元件的失效模式按安全失效（S）和危险失效（D）分割列成表格，同时在右面可以对每一个元件按照安全失效覆盖率（DCS）和危险失效覆盖率（DCD）分别计算λS、λDD+λDU、λS+λDD、λDU、λSD和λDD。其计算表格形式如表5所示。 其中：(2)λS=λDD+λDU；(3)λS+λDD =λS+λD•DC=λS+（λDD+λDU）•DC表示有效的安全失效率；(4)λDU =(1-DCD)•λD；(5) λsD=DCS•λS；(6)λDD=DCD•λD。

表5 诊断覆盖率及安全失效概率和危险失效概率计算示例

λS

λDU

λSD

λDD

λDD+λDU

λS+λDD

(2)

计算的失效率(10-9)

注：① 实际上不可能检测到所有部件的失效模式，而且有些部件无诊断覆盖率。对于简单部件的安全失效和危险失效划分能确定，而复杂部件只能将失效分为安全失效50%，危险失效50%。

②表5中的符号是：S─安全失效；D─危险失效；DC─诊断覆盖率； λS─安全失效率；λD─危险失效率；λDD─检测到的危险失效率； λDU─未检测到的危险失效率；λSD─检测到的安全失效率。 6.2 硬件要求的平均失效概率

6.2.1 硬件要求的平均失效概率计算基于以下假设

-1-5

① 子系统出现失效的平均概率低于10，或者子系统每小时的失效概率小于10； ② 失效率为常数；

③ 传感器(输入)子系统仅包含实际的传感器、其它部件、接线,不包含其它配置。逻辑子系统包括首先组合信号的部件和把最终信号传递给最终元件子系统的所有其它部件，最终元件子系统包括用来处理来自逻辑子系统的最终信号的所有部件和连线以及最终执行元件；

④ 在一个经表决过的组中所有信道具有相同的失效率和诊断覆盖率；

⑤ 子系统中一个信道的硬件总失效率是此信道危险失效率和安全失效率的总和； ⑥ 每个安全功能都已经很好地检验和修复；

⑦ 检验测试的间隔至少要比诊断测试的间隔大一个数量级；

⑧ 每个子系统都有一个检验测试间隔和平均恢复时间。一般情况，失效的平均恢复时间包括诊断测试间隔，而不包括检验测试间隔，但实际上对未检测到的失效，在计算中使用平均恢复时间时不包括诊断测试间隔，由于平均恢复时间总是加到检验测试间隔中，因此该

(3) (4) (5) (6)

λλT

PFD=1-e

λDU

tCE=λ(21+MTTR)+λDDMTTR

DD

λDU =1(1-DC)； λDD=1DC

λDtCE

≈λDtCE

λ图2 1001可靠性模块

误差并不重要；

⑨ 预计的要求间隔至少比平均恢复时间大一个数量级；

⑩ 所有在低要求操作模式以及高要求或连续操作模式下运行的1001、1002、2002、1002D、2003子系统表决组，在平均恢复时间内（如假设8h,其中1h为诊断测试间隔）已被检测和修复，此时，硬件安全完整性（对应要求时的平均失效概率）取决于诊断覆盖率，当诊断覆盖率提高，可使要求的平均失效概率降低；

6.2.2 计算要求的平均失效概率(或每小时的失效概率)

计算要求的平均失效概率，首先要确定子系统的操作模式结构。IEC61508给出了5种结构模式，即1001、1002、2002、1002D、2003，它们分别代表单一信道、并联信道、并列信道、两个并联表决信道和3个并联表决信道。绘制它们的物理块图和可靠性块图，通过信道的危险失效率λD由未被检测到的危险失效率λDU和检测到的危险失效率λDD两部分组成，信道的等效平均停止工作时间tCE等于两部分各自的停止工作时间tC1+tC2相加，它与各部分对信道失效概率的贡献直接成比例。计算等效停止工作时间tCE和危险失效率λD，最后得到结构在要求时的平均失效概率。不同结构模式子系统在平均恢复时间8小时，检验测试时间间隔分别为6个月、1年、2年10年要求时的平均失效概率已经制成表格，表格及具体计算方法可参考IEC61508第6部分附录B。

E/E/PE安全系统要求时的平均失效概率是通过计算和组合提供安全功能的所有子系统在要求时的平均失效概率确定的。它可以表示为

PFDSYS=PFDS+PFDL+PFDFE 式中:

PFDSYS─E/E/PE安全系统的安全功能在要求时的平均失效概率； PFDS─传感器子系统在要求时的平均失效概率； PFDL─逻辑子系统在要求时的平均失效概率；

PFDFE─最终元件子系统在要求时的平均失效概率。 ① 在低要求操作结构模式为1001时

这种结构包括一个单信道，任何危险失效就会导致一个安全功能失效。其可靠性模块如图2所示。

在要求时的平均失效概率PFDG＝（λDU＋λDD）tCE

可以求出1001结构在要求时的平均失效概率为PFDG＝（λDU＋λDD）tCE

② 低要求操作结构模式为1002时

λPFDS=

DU

tCE=λ(31+MTTR)+λDDMTTR

DD

在要求时的平均失效概率为

∑PFDGi

i

Tλ这种结构由两个并联的信道构成，无论那一个信道都能处理安全功能，只有当两个信道

都存在危险失效时，安全功能才失效。

T

PFDG=2(1-β)λDU((1-β)λDU+(1-βD)λDD+λSD)tCE’tGE’+βDλDDMTTR+βλDU(1+MTTR)

2

式中：

β、βD─具有共同原因的，未被检测到和检测到的失效分数，并假设β＝2βD； λ─子系统中一个信道的失效率； λDU─未检测到的危险失效率； λDD─检测到的危险失效率；

λD─子系统中信道的危险失效率(每小时),等于0.5λ； T1─检验测试时间间隔； MTTR─平均恢复时间；

tCE’─1001、1002、2002、1002D、2003结构中信道等效平均工作时间； tGE’─1002、2003结构中表决组的等效平均工作时间； DC─诊断覆盖率。

以此类推，同样可以推导出2002、1002D、2003结构时要求的平均失效概率，以及在高要求或连续操作模式时每小时的失效概率。 6.2.3 平均失效概率具体计算步骤

① 画出传感器子系统各部件、逻辑子系统各部件、最终元件子系统各部件的方块图。将每一个子系统描绘成如1001、1002、2002、1002D、2003一样的表决组；

② 根据低要求操作模式及高要求或连续操作模式结构1001、1002、2002、1002D、2003表决组的数学模型，可以分别推导出在该模型结构时要求的平均失效概率（IEC61508-6附录B提供了相关的参考表B.2～B.5和B.10～B.13。它们分别提供了六个月、一年、两年以及十年检验测试时间间隔的数据。这些表假定,一旦失效被揭露出，则每次失效的平均恢复时间为8h）。

③ 为了获得要求的平均失效概率，对于每一个子系统中的表决组要预先选择结构（如2003），并计算以下参数:

─每个信道的诊断覆盖率DC；

─每个信道的预计失效率λ(每小时),(如5.0E-06)；

─表决组中信道之间相互作用的共同失效原因，未被检测到和检测到的失效分数，即β-系数，β和βD，(如分别为2%和1%)。

④ 根据上述已知结构和参数，从表B.2～B.5相关表中获得表决组要求的平均失效概率； ⑤ 如果安全功能依赖于传感器或执行器的多个表决组，传感器或最终元件子系统在要求时的组合平均失效概率PFDS 或PFDFE已于下列式子中给出，其中PFDGI、PFDGJ分别为传感器与最终元件的每个表决组在要求时的平均失效概率:

j

PFDFE=

∑PFDGJ

7 仪表和控制系统在安全生命周期的不同阶段中采用的技术和测量概述

下面以一个低要求操作模式并需要一个安全完整性水平为SIL2系统的安全功能为例。假设检验测试时间间隔为一年，按前面的作法对系统结构的初试评估是：针对1组3个模拟压力传感器结构为表决2003；逻辑子系统为冗余结构1002D；用于驱动1个停机阀和1个通风阀结构为1001。并且，已求得模拟压力传感器结构的DC＝90%、λ＝5.0E-6、β＝20%和βD＝10%，逻辑子系统结构的DC=99%、，λ=1.0E-5、β=2%和βD =1%，最终元件子系统结构的DC=60%、λ=5.0E-6，就可以通过查IEC61508-6附录B中表B.2～B.5相关表，分别得到：

-4

传感器子系统 PFDS=2.3×10

-6

逻辑子系统 PFDL=4.8×10

-3-3-3

最终元件子系统 PFDFE=4.4×10+8.8×10=1.3×10

-4-6-3-2

安全功能 PFDSYS=2.3×10+4.8×10+1.3×10=1.3×10≡安全完整性水平1 为了改进系统使其更好地适应安全完整性水平2,需要完成下列工作之一:

① 将检验测试的时间间隔改为6个月 PFDS=1.1×10-4 PFDL=2.6×10-6

PFDFE=2.2×10-3+4.4×10-4=6.6×10-3 PFDSYS=6.7×10-3≡安全完整性水平2

② 由于停机阀结构1001可靠性较低,改为1002结构(假设β=10%和βD =5%)，则 PFDS=2.3×10-4 PFDL=4.8×10-6

PFDFE=4.4×10-3+9.7×10-4=5.4×10-3 PFDSYS=5.6×10-3≡安全完整性水平2

① 在IEC51508-3标准附录A和附录B中用表格形式给出了不同阶段每一安全完整性水平所需的软件技术和测量.

② 在IEC51508-6标准附录B中用表格形式给出了确定E/E/PE安全系统结构的指南(即如何通过安全系统的结构模型计算硬件要求的平均失效概率)，指南不能保证所要求的安全完整性，但是，在安全生命周期不同阶段所选择的技术和测量要一致，并有互补性。同时，在设计和开发阶段，对每个特殊的E/E/PE安全系统，当遇到的具体问题不相同时，要选择最适合的技术和测量。

③ 在IEC 61508-7标准中，用表格的形式给出了E/E/PE安全系统硬件和软件的所有具体技术和测量指南。每一种技术和测量都有安全完整性水平1～4的推荐，同时，为诊断测试推荐的技术和测量，使用这些技术和测量可实现最高等级的诊断覆盖率。其中：

附录A：在操作过程中用来控制失效的测量，包括推荐的控制随机失效、控制系统失效、环境失效、操作失效等的全部测量。

附录B：在E/E/PE安全生命周期不同阶段用来避免失效的那些测量。 在表格中：─HR表示应极力推荐的技术和测量； ─R表示低于HR推荐的技术和测量；

9 结束语

8 发展趋势

─----表示未推荐的或不能使用的技术和测量； ─NR表示绝对不能推荐的技术和测量。

综上所述，虽然国外许多制造商的产品已通过权威机构的IEC61508或IEC61511认证,达到了SIL2或SIL3级的水平，但是用户在选择产品时，还是要考虑采用的子系统工作条件与评定时的工作条件是否相同或十分相近,如果是，则供应商声称的SIL级别是相同的，如果不同，需要用分析和测试的方法来论证该系统的SIL级别可能达到的水平，以保证该系统可用于安全领域。总之，对仪表及控制系统的功能安全进行评价，无论在国内还是国外都还是一个新课题，功能安全评价方法已经成为全世界工业控制领域关注的一个热点。

IEC61508和IEC61511标准已经在欧美等发达国家得到肯定，有许多国家的公司，其中包括FF、WorldFip、Profibus等现场总线系统进行过IEC61508的认证。这必然会成为推动我国在仪器仪表、核电、航空航天、钢铁、石油化工、制造、医疗等工业领域功能安全标准的推广。

功能安全标准今后还可在以下几个方面得到很好的应用：紧急事件关闭系统；燃烧系统和燃气系统；涡轮机控制；煤气燃烧管理；自动吊车安全负荷指示器；机器的联锁保护和制动系统；医疗装置；动态位置(在进海设施中舰船活动范围的控制)；航空器飞行控制面层的线路操作；轨道信号传输系统；用于限速保护的可变速马达驱动器；汽车指示灯、反锁制动器和发动机管理系统；远程监控、操作或网络激活程序设立。