功能安全技术与应用知识讲座__第四讲__安全相关系统_故障错误与失效_冯晓升.pdf

专家讲座Lectures

“故障”“错误”“失效”是安全相关系统的基本理念。

功能安全技术与应用知识讲座

第四讲基本概念安全相关系统

——故障错误与失效

文冯晓升

这一讲，将讨论安全相关系统的故障、错误与失效以就必须按“IEC61508”的定义来讲。按照这个定义，

的基本理念。上一讲介绍的是安全相关系统的行为和要失效是指：功能单元丧失了其执行所要求功能的能力；

求的基本概念。和/或功能单元虽提供某项功能，但不是所要求的功能，

安全相关系统的3大支柱：一是安全功能。针对特也就是提供了错误的功能。其中第二点是与其他定义的

定的危险事件，为达到或保持被保护对象的安全状态，主要区别。还可从另一角度来理解失效，即：设立功能

由E/E/PE安全相关系统或其他风险降低措施实现的功单元的目的，是让其执行要求的功能，安全相关系统作

能。安全状态是指达到安全时被保护对象的状态。二是为一个功能单元，其目的是排除特定的行为，或避免某

安全完整性。在规定的时间段内，在规定的条件下，安个特定的行为，这些行为的出现就是失效。

全相关系统成功执行所规定安全功能的概率。安全完整从一般的观点看，失效是由故障引起的（或由更低

性分为SLI1、SLI2、SIL3、SIL4这4个等级。三是故障一级的功能单元的失效引起的），“IEC61508”认为，失

安全原则。当安全相关系统失效时，被保护的对象应按效是由故障和/或错误（主要是人的失误）引起的。所

预定顺序达到安全状态。以在基于“IEV191-04-01”的定义上，增加了由于软

安全相关系统的操作模式：一是要求模式。将被保件或规范等的不足而导致的系统性失效。这样一来，失

护对象导入规定的安全状态的安全功能，仅当要求时才效就被分为两类：随机的(在硬件中)；系统的(在硬件

执行。要求模式又分为低要求模式和高要求模式。二是或软件中)。前者称随机硬件失效；后者称系统性失效。

连续模式。安全功能将被保护对象保持在安全状态是正失效的主体是一个功能单元。功能单元，是能够完

常操作的一部分。成规定目标的软件实体、硬件实体，或两者相结合的实

我们反复强调的理念是，功能安全就是用保证安全体。在“IEV191-01-01”中，常用“项目”一词代替功

功能能够正确实现的概率，来实现安全的。怎么保障功能单元，一个项目有时可能包括人员在内。

能的正确实现呢？就是控制安全相关系统的失效，使失功能单元是通过完成规定功能达到预定目标的，它

效率低到一个可接受的值以下。怎么控制安全相关系统可能是一个或一组软件、一个或一组硬件，以及软件和

的失效呢？就是尽可能减少错误或故障，或增强系统抗硬件的组合。如果某个功能的实现需要有人参与，则该

故障和错误的能力。功能单元就包括人在内。

沿着这样的思路，还是先建立概念。首先了解什么一个功能单元的基本模型如下图1所示：

是失效。失效即功能单元执行一个要求功能的能力的终图1中，FU代表功能单元，L代表层级。i代表1、

止，或功能单元不按要求起作用。2、3、4等数字。在这张图中，功能单元可被看作是一

这是“IEC61508”的定义，顾名思义，还存在其他个由多层构成的层级结构，每一