功能安全理解误区——SIL的适用性

在功能安全领域，经常会忽视安全完整性SIL所针对的对象，把达到SIL等级要求认为系统是安全的，其中忽视了一个关键原则，即SIL适用的范围是什么。

1.功能安全SIL等级的适用范围

安全系统可采用多种不同技术结合的方式设计，如机械、液压、气动、电气、电子、可编程电子，在IEC61508功能安全通用标准中，适用范围为E/E/PE系统（电气/电子/可编程电子系统），包括电子系统中的软件；汽车功能安全标准ISO26262针对的是电子电气系统的功能要求，不包括工业中常用的可编程电子系统。在轨道交通行业，功能安全完整性SIL适用于电子系统和运用多种技术的复杂系统中的电子部分。因此，可以得出：

通用领域中，功能安全适用于E/E/PE系统，在特定的行业中，功能安全的适用范围又有所区别，轨道交通行业的适用范围是电子系统。例如

功能安全适用于列车控制系统、制动系统的电子部分、车门系统的电子部分、站台门系统的电子部分等，它们各自的安全功能可以用SIL等级评定；

功能安全不适用于非电子系统，如

• 机械组件，例如车门、车窗、波纹管、贯通道、电缆槽、支架；

• 气动组件，例如压缩机、软管、管道、阀门、气动执行器；

• 液压组件，例如泵、软管、管道、阀门、液压执行器。

在轨道交通RAMS标准EN50126-2中明确指出：

This standard does not allow the allocation of safety integrity levels to non-electronic functions. SILs are defined only for functions relying on electronic systems (or for the electronic part of an electro-mechanical function).

本标准不允许将安全完整性等级分配给非电子功能。SILs只能定义电子系统或机电功能中的电子部分所实现的功能。

因此，在生命周期V模型中，安全需求的分配过程中，功能安全SIL等级只能分配给电子相关系统。

2.为什么SIL只适用于电子系统

安全完整性等级表示为实现和维持安全要求的置信度，它受系统失效和随机失效的影响，因此达到所要求的SIL等级需要考虑系统失效和随机失效的影响。

控制随机失效

在功能安全概念中，对随机失效的控制不仅是达到定量指标，更为重要的是一系列的定性要求，EN50126-2要求至少应考虑：

• 功能可引起的危险失效;

• 系统对于错误的检测方法；

• 保证检测出错误导向安全状态的设计原则；

• 安全导向时间SDT；

• 系统如何退出故障状态，进入或保持在安全状态；

• 系统如何处理故障的影响（恢复系统、应急处理程序）； 

• 要实施的程序和维护措施，以及实施这些措施的周期。

• 辅助功能（诊断）和预防性维护。

控制系统失效

系统失效指在系统需求规范、设计实现、验证、制造、安装和操作维护过程错误引起的失效，通过质量管理和安全管理来控制系统失效产生的风险。在功能安全标准中，根据SIL等级的不同，质量管理和安全管理的要求也不同。另外，仅规定流程的符合性是不够的，在轨道交通领域，功能安全依据EN50128和EN50129来评价软件和电子系统的功能要求。

3.为什么SIL不适用非电子系统

根据第2部分对电子系统的安全完整性要求的解释，为什么非电子系统不适用也就明确了，从控制非电子系统的随机失效和系统失效两个方面：

非电子系统的随机失效

对于非电子系统，随机失效采用的定量计算方法并不适用，非电子系统如机械、机电类部件，这些组件几乎不存在随机失效，因此计算其失效率非常困难，在定量计算中可以忽略其失效率，仅考虑其固有的物理特性。

非电子系统的系统失效

对于系统失效，也没有一个类似于软件EN50128和硬件EN50129这样通行的标准化方法，在EN50126中规定采用遵循Cop准则的方式进行，也就是说需要根据对象属性的不同再去找对应的遵循标准。对于标准组件（如轮对、车轴），业内有广泛接受的标准，但也有一些非标组件并没有完善的标准可遵循。

因此，技术标准从控制随机失效和系统失效两个方面，没有规定非电子系统实现安全的技术措施。

通用标准50126中仅从方法论角度提出了此类组件需要考虑的因素：

由于影响寿命的固有物理特性而导致非电子系统和功能失效的原因，如

• 机械磨损、退化或疲劳（例如，轮对的工作周期数、最小车轮直径）；

• 环境影响（例如热应力、阳光、污染、橡胶或塑料材料的化学降解）；

通过正确应用设计准则以及在设计、制造和维护期间采取适当的质量保证措施，可以最大限度地减少或避免相关影响： 

• 由于应用不当或维护不足（例如裂缝、腐蚀）而导致组件寿命下降；

• 错误处理导致组件缺陷（例如断针、泄漏等）。

4.总结

通过以上分析，常见误区如非电子系统的失效率计算，机电系统的SIL等级分配和功能安全认证，这些问题就容易解答了。总之，达到系统安全的目标是不同技术方法相结合的结果，对于电子系统，功能安全标准规定了一套成熟有效的方法和技术体系，但这套方法对于非电子系统并不适用，机械、液压、气动等部件在各个行业也都有实现其安全的方法，需要具体情况具体分析。

本文始发于微信公众号（薄说安全）：功能安全理解误区——SIL的适用性