功能安全之安全完整性指标分配

admin 2022年7月11日09:26:44评论146 views字数 3703阅读12分20秒阅读模式

轨道交通领域的风险评估中,确定安全系统的SIL等级是一项非常重要的工作,为系统分配合适的SIL指标,既要保证安全功能的全面性,没有漏项,又要避免分配的过细,徒增工作量。

SIL指标分配的基本流程包括以下四个步骤:


第一,确定分析对象

这个很好理解,要确定所分析系统的范围,系统所在的环境是什么,系统与外部其它系统、操作人员的接口是什么,界限如何划分,系统所承担的功能有哪些,有哪些工作模式,有哪些危害不在分析范围内,对分析对象认识的深入程度也决定了安全分析的深度。

第二,危害识别

找到与系统相关的危害,这里需要了解致因、危害、事故这三个概念以及它们之间的关系。下图是轨道交通领域典型的风险模型,危害是一种不希望发生的系统状态,产生危害的原因可能是硬件随机失效,软件设计缺陷,环境电磁干扰或人为误操作,在某个触发事件发生后,危害会引起对人的伤害,造成事故,从整个铁路系统考虑,还可以增加外部保护措施,用于降低危害发生的概率,危害转化为事故的概率和减轻事故产生后果的严重程度。

功能安全之安全完整性指标分配

风险模型

以列车在移动过程中车门打开为例,列车车门非预期打开是一种危害,造成列车车门非预期打开的原因可能是硬件随机故障,也可能是软件设计缺陷等。不同的场景中,危害转换为事故的可能性不同,当列车停靠在站台时,车门非预期打开造成的风险较小,但当列车在高度移动过程中,有乘客靠近车门的条件下,存在较大概率造成人从车上跌落到轨道上,这种危害就转化为事故的可能性较大。危害造成事故后果的严重程度也与危害事件的影响范围有关,运行中单个车门打开可能造成一人死亡或重伤,而运行中多个车门同时打开后果更加严重,可能造成多人死亡或重伤。

危害识别通常采用基于经验的和演绎式的方法相结合的方式,先用基于历史经验数据的检查表或风险记录表进行核对是否存在对应的危害,然后再用演绎式方法如FMEA、HAZOP进行以往形成经验较少的部分进行分析,达成对潜在危害全面覆盖的目的。

注意为了将主要精力集中于关键的,新功能/技术变更引入的危害,避免产生许多不切实际的,定义不精确的危害,导致精力的分散。


第三,风险评估

危害结合它发生的频率和严重程度构成风险,因此轨道交通领域风险一般从频率和严重程度两个方面来评估,在其它涉及安全的领域,风险也会考虑一些其它因素,如汽车领域,由于车辆由司机进行控制,还要考虑司机或其他处于潜在风险的人员对该危害的可控性。如果司机或其他参与者能对危害进行控制并减轻伤害,造成的事故后果也可以降低。

如何判断风险是否能被接受,即风险接受准则,常用的方式有技术规范应用,对比参考系统和确定性风险评估,在笔者的另一篇文章中有介绍,不做过多解释。当没有适合的技术规范和参考系统对比原则应用时,选择确定性的风险评估接受准则。在轨道交通领域,对于风险模型中的危害评价有了一个定量的安全指标THR(Tolerable Hazard Rates)。

轨道交通系统引起的危害,常见的以下类别:

  1. 列车移动带来的危害:列车进入其它列车的区域导致撞车、追尾或侧冲,列车进入未经授权的轨道由于道岔未扳动到位导致脱轨,列车冲出尽头线,……;

  2. 乘客乘降过程的危害:乘客从车上掉落到轨道,乘客被车门或站台门夹住,乘客乘降时列车移动,乘客困在车门和站台门时列车移动……

  3. 列车运行中的危害:列车运行中车门打开,列车撞到轨道上的人,列车撞到轨道上的异物……

  4. 紧急场景的危害:火灾、烟雾、爆炸、尖锐物体、触电、有毒气体释放……

  5. 自然灾害:地震、洪水、暴雨、雷击……

对于不同类别的危害可能造成的人身伤害,社会公众、运营方对这些危害造成的事故允许发生的概率不同,就构成了不同的风险接受水平。


第四,安全要求的确定

对危害制定的安全控制措施有以下类别:

功能安全要求:系统通过检测危害并做出安全动作,如信号系统检测到列车超速后启动紧急制动;

技术安全要求:对系统的具体技术实现要求,如防火要求、防雷要求、电气安全要求,机械强度要求;

操作维护安全要求:通过制定操作维护规章制度或警示措施。

其中功能安全要求是最复杂的,因为实现安全功能的系统往往集成了多种硬件和软件,难以通过通用的技术规则进行约束,因此通过安全完整性等级来区别功能的安全防能力。THR是用户对危害的可接受度,危害的控制与所设计系统的功能失效关联后,对应到安全功能上的指标为可容忍的功能危险失效率TFFR(tolerable functional failure rate(s))。

TFFR是对安全功能危险失效发生概率的衡量指标,对应的安全完整性(SIL)指标为

功能安全之安全完整性指标分配

SIL指标是定性和定量相结合的一种评价方法,不同等级的指标对应着不同的开发流程要求和生命周期不同阶段需要采用的技术措施要求。等级越高,要求越严格。

如何从THR(可容忍的危害发生概率)推导出SIL指标,是一个需求分配的过程,分为不同的情况:

1.一对一的危害控制

危害与控制危害的安全功能是一对一的关系,那么,THR等于对应功能的TFFR,这是最简单的情况。

2.一对多的危害控制

以两个安全功能为例,包括两个安全功能为“AND”关系,即两个安全功能同时失效导致危害的发生;两个安全功能为“OR”关系,即两个安全功能其中之一失效则危害发生。

当危害与两个安全功能是"OR"关系时,顶层危害THR等于两个安全功能TFFR之和。

当危害与两个安全功能是"AND"关系时,顶层危害THR与两个参数有关,一个是安全功能的TFFR,另一个是安全拒绝时间SDT(Safety Down Time),SDT可以理解为单个安全功能单元检测到故障并实行安全动作的时间。

以下是EN50126标准中对这种安全功能分配的故障树原理。

功能安全之安全完整性指标分配

在上面的故障树中,看起来有点复杂,简单可以理解为:进行AND分配时,目标是能够尽可能早检测到一个安全功能(X)的危险失效,这样可以在第二个安全功能(Y)失效前,能够控制危害的发生。因此,检测时间越短,危害发生的概率越低。如果对于导向危险的故障能够实现在线检测,那么SDT时间可以是几十个ms,但没有在线检测机制,依赖于系统的上电自检,那么SDT就变成了24小时或更长时间,这样整体危害的发生概率就变高。

 实现AND门的安全功能分配还有一个前提,是安全功能X和Y之间不能存在共因失效,在上图中X和Y之间如果存在共同的部分,例如物理电路上的耦合连接或功能之间的接口交互,进行共因失效原因分析和控制。如何避免共因失效,这个也是一个比较复杂的话题,涉及到对随机性共因失效和系统性共因失效的影响分析。
3.与非电子系统相关的危害控制

当危害的控制措施涉及到非电子系统(非E/E/PE)时,由于SIL指标是对电子系统(HW/SW)的要求,分配到非电子系统没有意义,也就不能用功能安全的软件和硬件标准进行衡量,需要根据非电子系统的技术特性,选择产品特定的标准和设计规则。

4.与运营操作人员相关的危害控制

当危害的控制措施涉及到运营人员或其它与危害控制相关的人,例如需要操作人对系统的一种故障提示进行及时的回应,做出安全操作。SIL指标不能分配给人,这种情况下需要建立一个流程,确保相应的人能够知晓这些要求,以便操作人员知晓其安全责任。这些要求通常在操作手册或其它补充的安全应用条件中提出。


以上是安全指标分配整个过程这个过程是定义安全系统计的顶层全指标,也是产品设计的输入。理解整个配过程,便于有针对性定义安全目标,能够起到指导产品设计的目的,又避免增加不必要的成本。目前的应用中,存在几种误区:

1.产品的安全指标分配得越高越好,实际的产品开发并不能达到其分配的要求。其实对于一些技术较为简单的产品,采用技术标准符合性和参考系统设计的风险控制方式,可能比单纯分配SIL指标更为实用;

2.产品的可靠性指标和安全性指标混淆,可靠性和安全性有相关性,但可靠性并不等同于安全性,产品的可靠性提升,有助于提高其安全性,但安全性达标,解决的是不发生危险事故的问题,不能解决系统可靠性低导致的故障率高,误报率高的问题;

3.安全指标分配到不适用的对象上,比如上文提到的非电子系统,或者一类机电结合系统(电子部分仅起控制功能),这样的情况下单纯要求SIL指标并不能解决系统的安全性问题,还应结合产品适合的技术标准进行设计。


可见,需要对安全完整性的概念建立一个全面的认识,有助于用好这个工具。对于从事安全系统应用,开发和评估相关工作的人都很重要,尤其是企业中的从事功能安全的工程师,通过这个公众号也希望能够给更多从事相关工作的人以启发。

下面是一个功能安全第三方工作的职位招聘,招聘功能安全评估员从事功能安全系统第三方认证工作,希望你

1.对功能安全系统相关标准、技术、开发过程、V&V某一方面有独到的理解和热情;

2.希望通过个人对标准、技术的理解影响他人,在项目中为用户提升价值;

3.有3到5年功能安全系统的研发/测试/安全保障项目经验,不限于轨道交通或汽车行业;

4.大学本科以上学历,自动化、电气、安全工程、可靠性工程、软件工程等相关专业。

有兴趣可以发邮件 [email protected]


原文始发于微信公众号(薄说安全):功能安全之安全完整性指标分配

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月11日09:26:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   功能安全之安全完整性指标分配http://cn-sec.com/archives/1170335.html

发表评论

匿名网友 填写信息