安全完整性等级（SIL）问答

轨道交通行业中，对于信号系统、车辆子系统等安全相关的系统有安全完整性（SIL）等级的要求，需要进行通用产品层安全评估和工程特定应用项目安全评估，已经形成了行业共识。对于初次了解SIL的人，在实际应用中存在着对SIL的错误理解，并且不恰当地应用SIL。本文解答几个容易引起困惑的问题。

1. SIL是对产品失效率的要求吗？

SIL概念在不同行业的功能安全标准中都有定义，比如EN50129、IEC61508，它对应功能失效导致事故的发生概率置信度，即安全功能失效导向危险侧的发生概率。这个概念可以理解为SIL等级对应系统功能失效从而导向危险侧的发生概率，它不等于系统总体的失效率，总体失效率包括安全失效和危险失效。

对于防护不同等级风险的系统，为规避系统性失效，功能安全标准牙签遵循不同严格程度的过程和技术方法，EN50129中，定义了五个等级，最严格的SIL4到基本完整性（Basic integrity）。越高的SIL等级，对应的技术和过程要求越严格。以下是EN50129的危害分析方法摘录：

这些技术措施来自于业内成熟应用的设计方法，大多数方法，即使没有SIL等级要求，也提高产品质量的角度也可以使用，因为应用这些方法有助于减轻系统性失效。另外，要求使用方法的技术人员也具备相应的能力，比如花高价买了一个编译器软件，但不懂编译的配置选项，也存在系统性失效的可能。

2.安全性越高，可靠性越高吗？

安全性很高的系统，往往对可靠性也要求很高，这个容易理解，因为希望系统能保证功能的安全性，但也希望它不会经常罢工。但不是把安全性等同于可靠性，有种观点试图对以前没有安全要求的系统提出SIL等级的要求，比如指定达到SIL2或者SIL4来实现高可靠性的系统。这样可能会适得其反，因为系统的失效分为导向安全的失效和导向危险的失效，SIL是解决导向危险的失效问题，而不是失效率的总体率更低。对于没有安全性要求的功能强加SIL，在故障条件下增加不必要的要求，造成对故障影响更为敏感，反而会降低可靠性。

但是，功能安全标准中推荐的大多数技术方法也能用于提升产品的可靠性，因此，当对没有安全性要求的系统提出要求，期望它能够被正确地设计、开发实现时，可以采用以下的措辞更为准确。比如对一个系统的软件提出完整性的要求：“XX系统软件应使用EN50128 的SIL2推荐技术和过程来保证所要求功能的完整性”。

3.低SIL等级的部件可以组成高SIL等级的系统吗？

如果系统架构可以保证整个功能失效只有在组合的两个部件同时失效的情况下才会失效，并且这两个功能之间是完全独立的，没有共因失效（包括软件），那么部件的SIL等级可以低于系统的SIL等级。这种架构中通常还有一个表决器单元，用于综合两个部件的输出结果，表决器SIL等级等于系统的SIL等级。下图是一个供参考的SIL分配表，但这个表不能重复分配，例如SIL4系统，不应该由很多个SIL1部件组成。

4.对系统的SIL等级要求越高越好吗？

SIL涉及到安全，同时设计者也要注意成本效益。比如自动监控系统ATS的一些操作指令要求具备安全功能，可以分配SIL，操作命令能够正确执行达到一个确定性水平。但控制中心OCC软件通常不认为是安全系统，比较好的方法是将这些功能在系统架构中隔离使用，最大限度地降低整个系统的软件开发中对系统安全功能的影响（高SIL等级的软件开发需要遵循对应安全完整性等级的过程要求）。其它更复杂的与安全无关的功能，如数据分析和决策支持，常与操作系统的API库相结合，在这些功能规定不必要的SIL，从技术实现上可行性低，也会带来更高的成本投入。

5.容许危害率THR与容许功能危险失效率TFFR的区别是什么？

在铁路领域中，经常会出现多个安全功能失效的组合引起一个相同的危害发生，因此有必要在一组功能中分摊THR，采用故障树方法进行指标的分配，因此铁路行业EN50126标准引入了容许功能危险失效率TFFR的概念。

6.不同SIL等级的软件可以运行在同一处理器上吗？

已经有实践证明在同一处理器上使用不同SIL的软件是可行的。为了能够在同一处理器上使用不同SIL的软件功能，必须能够证明低SIL的功能不能影响高SIL的功能，从而满足空间隔离和时间隔离的要求。例如通过内存保护机制，证明低SIL等级的代码不会写入指定区域之外的内存。在笔者的另一篇文章功能安全之“不同SIL软件的隔离原则”中对软件隔离技术，做了更详细的介绍。

7.定量失效率指标适用于非电子系统吗？

电子系统可以依据通用的可靠性标准如MIL-HDBK-338B，IEC61709预测硬件的随机失效率，对于机电、机械和软件，非随机原因导致失效，可能没有实用的方法计算失效率。此种情况下，安全证明可以通过设计标准、技术规则、制造流程和维护维修规则降低失效概率。

8.SIL是电子系统保证安全的唯一方法吗？

对于低复杂度的电子系统，每个单独的元器件故障模式是确定的，能够完全确定故障状态下系统的预期行为，可以组成安全系统。比如由几个安全继电器构成的组合安全电路，也能达到故障安全的作用，无需证明符合SIL。

原文始发于微信公众号（薄说安全）：安全完整性等级（SIL）问答