功能安全技术与应用知识讲座__第五讲_安全相关系统_失效控制与失效率_冯晓升.pdf

专家讲座Lectures

失效控制与失效率是安全相关系统的基本理念。安全问题

以概率方式存在，且往往以小概率方式存在。我们要做的是结

合事件的后果，将小概率事件的概率控制在允许的范围内。

功能安全技术与应用知识讲座

第五讲安全相关系统——失效控制与失效率

文冯晓升

在功能安全的基本概念中，失效是指功能单元执行中断，则产品会失效，对于一般产品，人们会认为这是

要求功能能力的终止，或功能单元不按要求起作用。功供给的问题，而不是产品本身失效。但对于安全相关系

能单元是指能够完成规定目标的软件实体、硬件实体，统，则必须分析供给中断的可能性与安全相关系统声明

或两者相结合的实体。故障是指，可能导致功能单元执的安全完整性是否配备，否则应采取措施，使供给中断

行要求功能的能力降低，或丧失其能力的异常状况。人的概率降低到可接受的程度。换个角度说，供给应被看

为错误即失误，会引发非期望的结果。作是安全相关系统的必要组成部分。

安全相关系统与一般系统的重要差别之一，是安另外，还须考虑外部事件，如雷击、电磁兼容性

全相关系统具有一个可声明的，优于安全完整性等级1（EMC）、地震等。对于外部事件，一般要考虑其频率和

（SIL1）的安全完整性（即失效控制的程度）。因此，任强度，如抗拒7级、8级或9级地震，要根据风险要求

何安全相关系统都必须具有失效控制机制，将失效率控来定。这里存在一个取舍问题，抗拒的等级越高当然越

制在其声明的安全完整性之内。安全，但费用可能会不成比例大幅增加。如将抗拒9级

失效和故障中的一个概念是：引发失效的原因不论地震的等级降低到8级，费用会节省，但也意味着要承

是从什么地方来，都须进行考虑和控制。受相应的小概率、大强度的风险。日本福岛核电站事故

比如，对产品错误的使用，对于一般产品人们会说：就是一个典型的例子。换个角度说，对外部事件的抗击

“对不起，你用错了，请再看看说明书，或接受一次培训。”能力，应被看作是安全相关系统的必要组成部分。有必

但对于安全相关系统就不行，必须对“合理可预见的误要强调的是，抗击能力的选择是一个取舍问题，如何取

用”（由于已知的人为习惯，而导致的未按照供方预想舍，应按照国家法律法规进行，或在社会上取得共识（如

的方式对产品、过程和服务的使用。此处采用ISO/IEC用标准的方式规定）。

导则51:1999,3.14的定义）进行分析。如果分析结果显示，人为破坏也是要考虑的方面。对于人为破坏的防护，

其造成的失效率与该安全相关系统所声明的失效率不匹主战场还是人与人的较量，在此处，功能安全的角色作

配，则应配备相应措施，使其误用的概率降低到可以接用是提供措施保障，使敌方人为破坏的难度增加或提高

受的程度。其方法可以是强制性的培训，也可以是在说我方防御的能力。

明书中强调培训的重要作用，以及如未培训则对产品免总之，考虑安全相关系统的失效控制思路，是一个

责。也可以设计一个机制，使“合理可预见的误用”不内化倾向的问题，有点像修行，不见人过，只见己非。

会发生（发生概率小于可接受的程度），如加锁和加密自身失效一定要控制在允许水平，外部问题也应当作自

以防止误用，或设计一个类似误用提示确认的机制，即身问题来控制，而且也须控制在允许水平以下。

便发生了“合理可预见的误用”也不会导致失效，比如失效控制大致要考虑以下方面：一般意义上的