1、功能安全的概念 

什么是功能安全？功能安全是与EUC或EUC控制系统有关的整体安全的组成部分,取决于电

气/电子/可编程电子（E/E/PE）安全系统、其它技术安全系统和外界风险降低设施功能的正确行

使。

如何来正确行使？主要内容包括管理和技术两方面。即在技术上和管理上保证E/E/PE安全系统、其它技术安全系统和外界风险降低设施在需要时能执行安全功能。

在过程工业领域如石化、化工等，是用安全仪表系统来表述安全相关系统。即SIS(Safty Instrumented Systems)用来实现一个或几个仪表安全功能的仪表系统,可以由传感器、逻辑解算器和终端元件的任何组合组成. 

仪表安全功能(Safty Instrumented Function)就是具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是安全保护系统,也可以是安全控制系统. 

2、SIS整体安全生命周期 

一个SIS整体安全生命周期包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体的安全计划编制（操作和维护计划、整体安全确认计划、整体安装和试运行计划）、E/E/PES安全相关系统的实现、其他安全相关系统的实现、外部危险降低设施的实现、整体安装和试运行、整体安全确认、整体操作维护和维修、整体修改和改型、停用和处理。

在整体安全生命周期的各阶段都有各自相关的功能安全活动和要求。其中E/E/PES安全相关系统的实现包括两个部分即硬件的实现和软件的实现，这个阶段是通过设计满足系统的SIL要求。所以，我们说功能安全是设计出来的。 

E/E/PES安全相关系统的实现阶段包括安全要求规范（安全功能要求规范和安全完整性要求规范）、安全确认计划、设计和开发、集成、操作和维护规程、安全确认（IEC61508-2）。

软件安全生命周期（实现阶段）包括：软件安全要求规范（安全功能要求规范和安全完整性要求规范）、软件安全确认计划、软件设计和开发、PE集成（硬件和软件）、软件操作和维护规程、软件安全确认（IEC61508-3）。 

3、功能安全的评估 

功能安全评估的目的是调查并判断E/E/PE安全相关系统所达到的功能安全。对SIS的功能安全评估从两个方面来进行。第一，评估为了确保满足功能安全目的所必需的管理活动是否有效。第二，评估安全仪表系统或安全仪表是否达到了要求的SIL。如何确认设计和生产的安全仪表和SIS的SIL达到要求？我们可以从以下几个方面来考虑： 

（1）建立功能安全管理体系 

建立功能安全管理系统目的是确定整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动，这些阶段是达到E/E/PE安全相关系统要求的功能安全所必需的；确定人员、部门和组织对整体的、E/E/PES的和软件的安全生命周期各阶段或各阶段中活动所负的责任。通过体系来保障能达到要求的安全完整性。 

（2）建立与功能安全相关的文件 

文件应规定能够有效执行整体安全生命周期、E/E/PES安全生命周期和软件安全生命周期各阶段所必需的信息；规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息；以及有关的报告和记录功能安全评估时，为了满足IEC61508对文档的要求，在整体安全生命周期的各阶段的各个活动都要给出相关的文档。功能安全评估时需要的文档示例可以在IEC61508.1附录A中找到。 

（3）安全完整性和安全完整性等级的确定 

安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。

安全完整性等级是用来规定分配给SIS安全功能的安全完整性要求的分离等级,记为SIL，共分4个等级,SIL4为高等级。IEC61508-1规定了目标失效量（表1）。

在确定安全完整性时，应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)。

安全相关系统使用方式，按要求产生的频率可分为：低要求模式(≤1次/年)和高要求或连续模式(＞1次/年)。低要求模式和高要求模式SIL的目标失效量是不同的，见表1。 

 表1 安全完整性等级：低要求模式和高要求模式SIL的目标失效量

（4）软硬件SIL的评估 

① 硬件故障裕度的要求 

硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度N意味着N+1个故障会导致全功能的丧失。例如：硬件故障裕度为1，表示如有两台设备，它们的结构应使得两个部件之一的危险失效不得阻止安全动作发生。为了减轻仪表安全功能设计中的潜在缺陷，IEC61511-1表5和表6定义了传感器、逻辑解算器和终端元件低的硬件故裕度。对仪表安全功能而言，传感器、逻辑解算器和终元件应具有低的硬件故障裕度,硬件故障裕度表示了低的部件或子系统冗余。 

② 硬件安全完整性的结构约束 

硬件安全功能所声明的高安全完整性等级受限于硬件故障裕度及执行该安全功能的子系统的安全失效分数(SFF)。IEC61508.2中表2和表3为A类和B类相关子系统的结构约束，表示在失效分数(SFF)确定的情况下，SIL与低硬件故障裕度之间的关系。

在进行SIL评估时，我们首先要根据部件或子系统的失效模式是否已知、数据是否可靠、故障行为是否确定来区别硬件的结构约束是属于A类还是B类。

然后，进行SFF及PFD计算,对应IEC61508.1表2或表3,可以得到相对应的SIL。即部件和相关子系统的安全完整性等级。

确定子系统大硬件安全完整性等级时,必须考虑系统结构约束,即在SFF确定前提下,故障裕度要求与SIL的对应关系。表2为B类相关子系统的结构约束。 

表2 安全完整性等级： B类相关子系统的结构约束 

七、SIL认证的结论 

要满足功能安全标准的要求，必须证明提出的所有要求都符合相关功能安全标准的规定

（如安全完整性等级）并已达到各章和各条的要求。但是对于有些系统和仪表只要有理由认为是不必要的，标准中的这些条款要求是可以不考虑的。 

在功能安全评估结束时，它的结论只有3个，即接受、有条件地接受或不接受。 

八、功能安全与EMC环境的关系  

一个E/E/PES安全相关系统在执行安全功能时，如果遇到电磁骚扰，可能会产生错误、误动作、故障和损坏，从而导致安全相关系统的性能下降或失效，甚至引起危险。在功能安全标准中特别强调了E/E/PES安全相关系统对系统的EMC特性进行评估，以保证要求SIL规定的失效率。目前国际上相关组织正着手研究和制定安全相关系统（设备）的电磁兼容性要求，在这种背景下形成了

IEC61326-3（草案）。IEC61326-3（草案）规定了安全相关系统设备的抗扰度水平的附加要求。而且与安全相关系统（设备）的EMC性能判据也不同于通用标准和IEC61326-1定义的性能判据。

因此，在认证时，产品必须符合与功能安全相关的电磁兼容的要求。 

  九、结束语 

① 安全是工业生产永恒的主题。因此，开展SIL认证，以保障国产仪表和系统在各个应用领域的安全使用，对提高国产仪表和系统的市场核心竞争力有着积极的作用。

② 通过SIL的认证，国内的SIS用户、设计部门、集成商和设备制造商和供应商可以认识和理解功能安全的概念，正确运用相关标准来实现要求的安全功能。通过有效的功能安全的管理和评估来满足相关安全标准以及合同要求，提高自身的竞争能力。 

③ 安全相关系统（设备）的EMC要求与EMC性能判据，都比对非安全相关系统的要求高；安全相关系统（设备），其SIL等级越高EMC的要求也越高。

 服务热线：18924609560（微信同号）