功能安全技术与应用知识讲座第五讲安全相关系统.docVIP

功能安全技术与应用知识讲座第五讲安全相关系统 　　失效控制与失效率是安全相关系统的基本理念。安全问题以概率方式存在，且往往以小概率方式存在。我们要做的是结合事件的后果，将小概率事件的概率控制在允许的范围内。 　　在功能安全的基本概念中，失效是指功能单元执行要求功能能力的终止，或功能单元不按要求起作用。功能单元是指能够完成规定目标的软件实体、硬件实体，或两者相结合的实体。故障是指，可能导致功能单元执行要求功能的能力降低，或丧失其能力的异常状况。人为错误即失误，会引发非期望的结果。 　　安全相关系统与一般系统的重要差别之一，是安全相关系统具有一个可声明的，优于安全完整性等级1（SIL1）的安全完整性（即失效控制的程度）。因此，任何安全相关系统都必须具有失效控制机制，将失效率控制在其声明的安全完整性之内。 　　失效和故障中的一个概念是：引发失效的原因不论是从什么地方来，都须进行考虑和控制。 　　比如，对产品错误的使用，对于一般产品人们会说：“对不起，你用错了，请再看看说明书，或接受一次培训。”但对于安全相关系统就不行，必须对“合理可预见的误用”（由于已知的人为习惯，而导致的未按照供方预想的方式对产品、过程和服务的使用。此处采用ISO/IEC导则51：1999，3.14的定义）进行分析。如果分析结果显示，其造成的失效率与该安全相关系统所声明的失效率不匹配，则应配备相应措施，使其误用的概率降低到可以接受的程度。其方法可以是强制性的培训，也可以是在说明书中强调培训的重要作用，以及如未培训则对产品免责。也可以设计一个机制，使“合理可预见的误用”不会发生（发生概率小于可接受的程度），如加锁和加密以防止误用，或设计一个类似误用提示确认的机制，即便发生了“合理可预见的误用”也不会导致失效，比如误用提示确认。换个角度说，使用的过程，应被看作是安全相关系统的必要组成部分。 　　再比如，产品如需水、电、气等的供给，如果供给中断，则产品会失效，对于一般产品，人们会认为这是供给的问题，而不是产品本身失效。但对于安全相关系统，则必须分析供给中断的可能性与安全相关系统声明的安全完整性是否配备，否则应采取措施，使供给中断的概率降低到可接受的程度。换个角度说，供给应被看作是安全相关系统的必要组成部分。 　　另外，还须考虑外部事件，如雷击、电磁兼容性（EMC）、地震等。对于外部事件，一般要考虑其频率和强度，如抗拒7级、8级或9级地震，要根据风险要求来定。这里存在一个取舍问题，抗拒的等级越高当然越安全，但费用可能会不成比例大幅增加。如将抗拒9级地震的等级降低到8级，费用会节省，但也意味着要承受相应的小概率、大强度的风险。日本福岛核电站事故就是一个典型的例子。换个角度说，对外部事件的抗击能力，应被看作是安全相关系统的必要组成部分。有必要强调的是，抗击能力的选择是一个取舍问题，如何取舍，应按照国家法律法规进行，或在社会上取得共识（如用标准的方式规定）。 　　人为破坏也是要考虑的方面。对于人为破坏的防护，主战场还是人与人的较量，在此处，功能安全的角色作用是提供措施保障，使敌方人为破坏的难度增加或提高我方防御的能力。 　　总之，考虑安全相关系统的失效控制思路，是一个内化倾向的问题，有点像修行，不见人过，只见己非。自身失效一定要控制在允许水平，外部问题也应当作自身问题来控制，而且也须控制在允许水平以下。 　　失效控制大致要考虑以下方面：一般意义上的内部问题，包括安全相关系统的自身随机硬件失效和系统性失效；一般意义上的外部问题，包括使用的错误、供给出现的问题、服务上出现的问题等；外部事件的防护问题，包括自然的外部事件（如地震、雷击、下雨等）；人为非故意的外部问题（如停电、EMC、飞机失事等）、人为破坏的问题等。 　　以上方面，对于等级高的安全相关系统，如安全完整性等级3、4（SIL3、SIL4），或面对极大的风险时，在考虑后，可能需要增加一系列附加的措施；对于低等级的安全相关系统或面对小的风险，在考虑后，可能无需增加太多的措施。但一定是在考虑评估后作出结论。 　　上述的各类问题，都是安全相关系统必须面对和解决的，但由于问题不同，解决的思想方法也不同。 　　以下即是针对不同问题，予以解决的基本思想方法，目的是控制失效。需说明的是，此处仅是方法论，具体做法和要求，会在后面结合安全生命周期来介绍。在介绍方法论之前，须先了解有关失效率的理念。 　　失效率（引用“IEC61508”的术语）是指：一个实体（单个元器件或系统）的可靠性参数（λ（t）） ，即λ（t）.dt表示该实体在[0，t]之间未发生失效情况下，在[t， t+dt]内发生失效的概率。用略为通俗的话说，所谓失效率是指工作到某一时刻尚未失效的产品，在该时刻后，单位时间内发生失效的概率。一般用符号