功能安全技术与应用知识讲座__第六讲_相关系统_失效率与失效控制方法论_冯晓升.pdf

专家讲座Lectures

所谓失效率，是指工作到某一时刻尚未失效的产

品，在该时刻后，单位时间内发生失效的概率。控制

失效，其目标就是将失效率降低到可容忍的程度之下。

功能安全技术与应用知识讲座

第六讲安全相关系统

——失效率与失效控制方法论

文冯晓升

安全相关系统的失效控制思路是带有内化倾向的，“IEC60050-191”)。

将所有可能导致失效的问题，全部作为自身的问题来予对于低要求模式的安全相关系统，我们要考核的是

以解决。这就像修行，不见人过，只见己非。失效控制当让其工作时，其不能正确工作的概率，如：SIL1意味

大致需考虑以下几方面：一是一般意义上的内部问题，着当让其工作时，其不能正确工作的概率在1/10~1/100

如安全相关系统的自身随机硬件失效和系统性失效。二之间。对于连续模式和高要求模式的安全相关系统，我

是一般意义上的外部问题，如使用的错误，供给、服务们要考核的是其在单位时间内出错的概率，如：SIL1意

上出现的问题，外部事件的防护问题，包括自然的外部味着其在工作100000h~1000000h之间，出现错误的

事件，如地震、雷击、下雨等；人为非故意的外部问题，可能性小于1次。

如停电问题、EMC（电磁兼容性）问题、飞机失事等，理解了失效率的概念，就有基础来理解各类失效的

以及人为故意破坏的问题等。控制方法。控制失效，目标就是将失效率降低到可容忍

所谓失效率，用略为通俗的话说，是指工作到某一的程度之下。

时刻尚未失效的产品，在该时刻后，单位时间内发生失按前面所说，安全相关系统的失效分为：随机硬件

效的概率。我们所面临的安全问题是概率问题，不能简失效、系统性失效、使用的错误、供给的失效、服务错

单地用“绝对有”和“绝对没有”来理解。安全问题的误导致的失效、自然的外部事件导致的失效、人为非故

存在是以概率方式存在的，而且往往是以小概率的方式意的外部事件导致的失效、人为故意破坏导致的失效等。

存在的。我们要做的是，结合事件的后果，把这个小概以下针对不同类型的失效，分别介绍采用的方法论。

率事件的概率（发生的可能性）控制在允许的范围内。随机硬件失效

安全相关系统按其工作的状态，一般分为安全相关在硬件中，由一种或几种可能的退化机制而产生的，

控制系统和安全相关防护系统。相对应的安全相关系统按随机时间出现的失效。

以下面两种操作模式运行。在各种部件中，存在以不同速率发生的许多退化机

要求模式：仅当要求时，安全功能才将被保护对象制，在这些部件工作不同的时间之后，这些机制可使制

导入规定的安全状态，要求模式又分为低要求模式和高造公差引起部件发生故障，从而使包含许多部件的设备

要求模式。将以可预见的速率，但在不可预见的时间(即随机时间)

连续模式：安全功能将被保护对象保持在安全状态，发生失效。

是正常操作的一部分。随机硬件失效和系统失效的主要区别是，由随机硬

我们用两种类型来考核安全相关系统的失效率，对件失效导致的系统失效率（或其他合适的量度）可用合

于低要求模式的安全相关系统，用要求时危险失效概率理的精确度来