機械、加工廠和其他設備如果發生故障，可能會帶來火災、爆炸、輻射過量和運動部件等危險事件的風險。 此類工廠、設備和機械發生故障的方式之一是其控製或安全系統設計中使用的機電、電子和可編程電子 (E/E/PE) 設備故障。 這些故障可能由設備的物理故障引起（例如，由隨機發生的磨損和撕裂（隨機硬件故障））； 或系統故障（例如，由於（1）某些特定輸入組合，（2）某些環境條件（3）來自傳感器的不正確或不完整輸入，（ 4) 操作員輸入的數據不完整或錯誤，以及 (5) 由於界面設計不佳而導致的潛在系統故障）。

安全相關係統故障

本文涵蓋安全相關控制系統的功能安全，並考慮了實現所需安全完整性所需的硬件和軟件技術要求。 總體方法符合擬議的國際電工委員會標準 IEC 1508，第 2 部分和第 3 部分 (IEC 1993)。 國際標準IEC 1508草案的總體目標， 功能安全：安全相關係統，是為了確保工廠和設備能夠安全自動化。 制定擬議國際標準的一個關鍵目標是防止或盡量減少以下情況的發生頻率：

• 控制系統故障觸發其他事件，進而可能導致危險（例如，控制系統故障、失控、過程失控導致火災、釋放有毒物質等）
• 警報和監控系統出現故障，從而無法以可以快速識別和理解的形式向操作員提供信息，以便執行必要的緊急行動
• 保護系統中未檢測到的故障，使它們在需要安全操作時不可用（例如，緊急關閉系統中的輸入卡出現故障）。

“電氣、電子和可編程電子安全相關係統”一文闡述了 IEC 1 第 1508 部分中體現的通用安全管理方法，以確保對安全很重要的控制和保護系統的安全。 本文描述了將事故風險降低到可接受水平所需的總體概念工程設計，包括基於 E/E/PE 技術的任何控製或保護系統的作用。

在圖 1 中，來自設備、加工廠或機器的風險（通常稱為 受控設備 (EUC) 無保護裝置）標記在 EUC 風險等級的一端，而滿足所需安全級別所需的目標風險級別則在另一端。 在兩者之間顯示了安全相關係統和外部風險降低設施的組合，以構成所需的風險降低。 這些可以有多種類型——機械（例如減壓閥）、液壓、氣動、物理以及 E/E/PE 系統。 圖 2 強調了隨著事故的進展，每個安全層在保護 EUC 方面的作用。

圖 1. 降低風險：一般概念

圖 2. 總體模型：保護層

如果按照 IEC 1 第 1508 部分的要求對 EUC 進行了危害和風險分析，則已經建立了安全的總體概念設計，因此任何 E/E/ 所需的功能和安全完整性等級 (SIL) 目標PE 控製或保護系統已定義。 安全完整性等級目標是根據目標失效措施定義的（見表 1）。

表 1. 保護系統的安全完整性等級：目標故障措施

安全完整性等級                        需求操作模式（未能按需執行其設計功能的概率）

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

保護系統

本白皮書概述了 E/E/PE 安全相關係統的設計者應考慮的技術要求，以滿足所需的安全完整性等級目標。 重點是使用可編程電子設備的典型保護系統，以便在不失一般性的情況下更深入地討論關鍵問題。 圖 3 顯示了一個典型的保護系統，它描繪了一個單通道安全系統，該系統具有通過診斷設備激活的二次關閉。 在正常操作中，EUC 的不安全狀況（例如機器超速、化工廠高溫）將被傳感器檢測到並傳輸到可編程電子設備，後者將命令執行器（通過輸出繼電器）將系統進入安全狀態（例如，切斷機器電動機的電源，打開閥門以釋放壓力）。

圖 3. 典型保護系統

但是，如果保護系統組件出現故障怎麼辦？ 這是二次關閉的功能，由本設計的診斷（自檢）功能激活。 然而，該系統並不是完全故障安全的，因為設計在被要求執行其安全功能時只有一定的可用概率（它有一定的按需故障概率或一定的安全完整性等級）。 例如，上述設計可能能夠檢測和容忍某些類型的輸出卡故障，但無法承受輸入卡故障。 因此，其安全完整性將遠低於具有更高可靠性輸入卡、改進診斷或這些的某種組合的設計。

卡故障還有其他可能的原因，包括硬件中的“傳統”物理故障、系統故障（包括需求規範中的錯誤）、軟件中的實施錯誤以及對環境條件（例如濕度）的保護不足。 這種單通道設計中的診斷可能無法涵蓋所有這些類型的故障，因此這將限制實際達到的安全完整性等級。 （覆蓋率衡量設計可以安全檢測和處理的故障百分比。）

技術要求

IEC 2 草案的第 3 部分和第 1508 部分提供了一個框架，用於識別硬件和軟件中的各種潛在故障原因，並用於選擇能夠克服那些適合安全相關係統所需安全完整性等級的潛在故障原因的設計特徵。 例如，圖3中保護系統的總體技術方案如圖4所示。圖中表明了克服故障和故障的兩種基本策略：（1） 故障避免，注意防止產生故障； 和 (2) 容錯，其中專門創建設計以容忍特定故障。 上面提到的單通道系統是（有限的）容錯設計的一個例子，其中診斷用於檢測某些故障並在危險故障發生之前將系統置於安全狀態。

圖 4. 設計規範：設計解決方案

故障規避

故障避免試圖防止將故障引入系統。 主要方法是使用系統的方法來管理項目，以便在設計期間以及隨後的運行和維護期間將安全視為系統的可定義和可管理的質量。 該方法類似於質量保證，基於反饋的概念並涉及：(1) 規劃 （確定安全目標，確定實現目標的方式方法）； (2) 測量 實施過程中對計劃的成就和（3）應用 反饋 糾正任何偏差。 設計評審是故障避免技術的一個很好的例子。 在 IEC 1508 中，使用安全生命週期和對硬件和軟件採用安全管理程序的要求促進了這種避免故障的“質量”方法。 對於後者，這些通常表現為軟件質量保證程序，例如 ISO 9000-3 (1990) 中描述的程序。

此外，IEC 2 的第 3 部分和第 1508 部分（分別涉及硬件和軟件）對在各個安全生命週期階段被認為對避免故障有用的某些技術或措施進行了分級。 表 2 給出了第 3 部分中軟件設計和開發階段的示例。 設計人員將使用該表來幫助選擇故障避免技術，具體取決於所需的安全完整性等級。 對於表中的每項技術或措施，每個安全完整性級別都有一個建議，從 1 到 4。建議範圍包括強烈推薦 (HR)、推薦 (R)、中立——既不支持也不反對 (—) 和不推薦（天然橡膠）。

表 2. 軟件設計和開發

HR = 強烈推薦； R = 推薦； NR = 不推薦；— = 中性：技術/措施既不支持也不反對 SIL。
注：應根據安全完整性等級選擇編號的技術/措施。

容錯能力

隨著安全完整性目標的增加，IEC 1508 要求提高容錯級別。 然而，該標準承認，當系統（以及構成這些系統的組件）很複雜時（在 IEC 1508 中指定為 B 類），容錯能力更為重要。 對於不太複雜、“經過充分驗證”的系統，可以放寬容錯程度。

對隨機硬件故障的容忍度

表 3 顯示了在如圖 3 所示的保護系統中使用複雜硬件組件（例如微處理器）時針對隨機硬件故障的容錯要求。設計人員可能需要考慮診斷、容錯和手動驗證檢查以克服此類故障，具體取決於所需的安全完整性等級。

表 3. 安全完整性等級 - B 類組件的故障要求¹

1 與安全相關的未檢測到的故障應通過驗證檢查來檢測。

2 對於沒有在線介質診斷覆蓋的部件，系統應能夠在出現單一故障時執行安全功能。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。

3 對於具有在線高診斷覆蓋率的組件，系統應能夠在出現單一故障時執行安全功能。 對於沒有在線高診斷覆蓋率的組件，系統應能夠在出現兩個故障時執行安全功能。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。

4 元件應能在出現兩個故障時執行安全功能。 應通過在線高診斷覆蓋率檢測故障。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。 定量硬件分析應基於最壞情況假設。

¹故障模式未明確定義或無法測試，或現場經驗故障數據不佳的組件（例如，可編程電子組件）。

IEC 1508 通過提供設計規範表（見表 4）來幫助設計人員，其中設計參數根據許多常用保護系統架構的安全完整性等級編制索引。

表 4. 安全完整性等級 2 的要求 - 保護系統的可編程電子系統架構

表的第一列代表具有不同容錯度的架構。 一般來說，靠近表底部的架構比靠近頂部的架構具有更高的容錯度。 1oo2（二選一）系統能夠承受任何一個故障，2oo3 也是如此。

第二列描述了任何內部診斷的百分比覆蓋率。 診斷級別越高，捕獲的故障越多。 在保護系統中，這很重要，因為如果故障組件（例如，輸入卡）在合理的時間內（通常為 8 小時）得到修復，功能安全性幾乎沒有損失。 （注意：對於連續控制系統而言情況並非如此，因為任何故障都可能立即導致不安全狀況和潛在的事故發生。）

第三列顯示驗證測試之間的間隔。 這些是需要進行的特殊測試，以徹底運行保護系統以確保沒有潛在故障。 通常，這些由設備供應商在工廠停工期間執行。

第四列顯示虛假跳閘率。 虛假跳閘是指在沒有過程偏差的情況下導致工廠或設備關閉的跳閘。 安全的代價通常是更高的誤跳閘率。 一個簡單的冗餘保護系統——1oo2——在所有其他設計因素不變的情況下，具有比單通道 (1oo1) 系統更高的安全完整性等級和更高的誤跳閘率。

如果未使用表中的其中一種架構，或者如果設計人員想要執行更基本的分析，則 IEC 1508 允許此替代方案。 然後可以使用諸如馬爾可夫建模之類的可靠性工程技術來計算安全完整性等級的硬件元素（Johnson 1989；Goble 1992）。

對系統性和常見原因故障的容忍度

此類故障在安全系統中非常重要，是實現安全完整性的限制因素。 在冗餘系統中，一個組件或子系統，甚至整個系統被複製，以從低可靠性部件獲得高可靠性。 可靠性的提高是因為，從統計學上講，兩個系統同時因隨機故障而失效的可能性是各個系統可靠性的產物，因此要低得多。 另一方面，系統故障和共因故障會導致冗餘系統同時發生故障，例如，軟件中的規範錯誤會導致重複的部分同時發生故障。 另一個例子是冗餘系統的公共電源發生故障。

IEC 1508 提供了根據安全完整性級別排名的工程技術表，這些安全完整性級別被認為可以有效地提供針對系統性和常見原因故障的保護。

提供防禦系統故障的技術示例是多樣性和分析冗餘。 多樣性的基礎是，如果設計人員使用不同的技術或軟件語言在冗餘系統中實現第二個通道，則冗餘通道中的故障可被視為獨立的（即，偶然故障的可能性很低）。 然而，特別是在基於軟件的系統領域，有人認為這種技術可能無效，因為大多數錯誤都在規範中。 分析冗餘試圖利用工廠或機器中的冗餘信息來識別故障。 對於系統故障的其他原因——例如，外部應力——該標準提供了表格，這些表格給出了針對安全完整性等級索引的良好工程實踐（例如，信號線和電源線的分離）的建議。

結論

基於計算機的系統提供了許多優勢——不僅經濟，而且還有提高安全性的潛力。 然而，與使用傳統系統組件的情況相比，實現這種潛力所需的對細節的關注要多得多。 本文概述了設計人員要成功利用該技術需要考慮的主要技術要求。

上一頁

本文討論了涉及所有類型的電氣、電子和可編程電子系統（包括基於計算機的系統）的安全相關控制系統的設計和實現。 總體方法符合擬議的國際電工委員會 (IEC) 標準 1508 (功能安全：安全相關 

系統) (IEC 1993)。

背景

在 1980 世紀 1 年代，基於計算機的系統——通常稱為可編程電子系統 (PES)——越來越多地用於執行安全功能。 這一趨勢背後的主要驅動力是 (2) 改進的功能和經濟效益（特別是考慮到設備或系統的整個生命週期）和 (XNUMX) 某些設計的特殊利益，只有在使用計算機技術時才能實現. 在基於計算機的系統的早期引入過程中，有許多發現：

• 計算機控制的引入沒有經過深思熟慮和計劃。
• 指定的安全要求不充分。
• 在軟件驗證方面製定了不適當的程序。
• 在工廠安裝標準方面，披露了做工不佳的證據。
• 生成的文檔不充分，並且沒有充分驗證工廠中實際存在的內容（與工廠中被認為存在的內容不同）。
• 尚未建立完全有效的操作和維護程序。
• 人們顯然有理由擔心人們是否有能力履行要求他們承擔的職責。

為了解決這些問題，一些機構發布或開始製定指南，以實現 PES 技術的安全開發。 在英國，健康與安全執行局 (HSE) 制定了用於安全相關應用的可編程電子系統指南，在德國，發布了標準草案 (DIN 1990)。 在歐洲共同體內，根據機械指令的要求，開始了與安全相關控制系統（包括使用 PES 的系統）相關的協調歐洲標準工作的一個重要組成部分。 在美國，美國儀器協會 (ISA) 制定了用於過程工業的 PES 標準，美國化學工程師協會下屬的化學過程安全中心 (CCPS) 制定了指南用於化學過程部門。

IEC 目前正在進行一項主要的標準倡議，旨在為電氣、電子和可編程電子 (E/E/PES) 安全相關係統制定通用的國際標準，該標準可用於許多應用領域，包括過程、醫療、運輸和機械部門。 擬議的 IEC 國際標準包括總標題下的七個部分 IEC 1508. 電氣/電子/可編程電子安全相關係統的功能安全. 各部分如下：

• 第 1 部分.一般要求
• 第2部分：電氣、電子和可編程電子系統的要求
• 第三部分軟件要求
• 第四部分定義
• 第 5 部分 安全完整性等級的確定方法示例
• 第 6 部分.第 2 部分和第 3 部分的應用指南
• 第七部分技術措施概述。

最終確定後，這一基於通用的國際標準將構成一份 IEC 基本安全出版物，涵蓋電氣、電子和可編程電子安全相關係統的功能安全，並將對所有 IEC 標準產生影響，涵蓋與未來設計和使用有關的所有應用領域電氣/電子/可編程電子安全相關係統。 擬議標準的一個主要目標是促進各行業標準的製定（見圖 1）。

圖 1. 通用和應用部門標準

PES 的好處和問題

出於安全目的採用 PES 具有許多潛在優勢，但人們認識到，只有使用適當的設計和評估方法才能實現這些優勢，因為：(1) PES 的許多特性無法實現安全完整性（即是執行所需安全功能的系統的安全性能）以與傳統上不太複雜的基於硬件（“硬連線”）系統相同的置信度進行預測； (2) 人們認識到雖然測試對於復雜系統是必要的，但僅靠測試是不夠的。 這意味著即使 PES 實現了相對簡單的安全功能，可編程電子設備的複雜程度也明顯高於它們所取代的硬接線系統； (3) 這種複雜性的增加意味著必須比以前更多地考慮設計和評估方法，並且隨後需要更高的個人能力水平來實現安全相關係統的足夠性能水平。

基於計算機的 PES 的好處包括：

• 能夠以比其他情況高得多的頻率對關鍵組件執行在線診斷驗證檢查
• 提供複雜安全聯鎖裝置的潛力
• 提供診斷功能和狀態監控的能力，可用於實時分析和報告工廠和機器的性能
• 將工廠的實際條件與“理想”模型條件進行比較的能力
• 有可能向運營商提供更好的信息，從而改進影響安全的決策
• 使用先進的控制策略使操作員能夠遠離危險或敵對環境
• 從遠程位置診斷控制系統的能力。

在安全相關應用中使用基於計算機的系統會產生許多需要充分解決的問題，例如：

• 故障模式很複雜，並不總是可以預測的。
• 對計算機進行測試是必要的，但其本身不足以確定安全功能將以應用所需的確定性程度執行。
• 微處理器在不同批次之間可能會有細微的差異，因此不同批次可能會顯示不同的行為。
• 未受保護的基於計算機的系統特別容易受到電氣乾擾（輻射干擾；電源中的電氣“尖峰”、靜電放電等）。
• 很難而且通常不可能量化包含軟件的複雜安全相關係統的故障概率。 因為沒有一種量化方法被廣泛接受，所以軟件保證一直基於描述軟件設計、實施和維護中使用的方法的程序和標準。

考慮中的安全系統

正在考慮的安全相關係統類型是電氣、電子和可編程電子系統 (E/E/PES)。 該系統包括所有元素，特別是從傳感器或受控設備上的其他輸入設備發出的信號，並通過數據高速公路或其他通信路徑傳輸到執行器或其他輸出設備（見圖 2）。

圖 2. 電氣、電子和可編程電子系統 (E/E/PES)

術語 電氣、電子和可編程電子設備 已被用於涵蓋各種各樣的設備，並涵蓋以下三個主要類別：

1. 電氣設備，例如機電繼電器
2. 電子設備，例如固態電子儀器和邏輯系統
3. 可編程電子設備，包括各種基於計算機的系統，例如：

• 微處理器
• 微控制器
• 可編程控制器 (PC)
• 專用集成電路 (ASIC)
• 可編程邏輯控制器 (PLC)
• 其他基於計算機的設備（例如，“智能”傳感器、變送器和執行器）。

根據定義，安全相關係統有兩個目的：

1. 它實施必要的安全功能，以實現受控設備的安全狀態或維持受控設備的安全狀態。 安全相關係統必須執行系統安全功能要求規範中指定的那些安全功能。 例如，安全功能要求規範可能規定當溫度達到某個值時 x， 閥門 y 應打開以使水進入容器。
2. 它單獨或與其他安全相關係統一起實現必要的安全完整性級別，以實現所需的安全功能。 安全功能必須由安全相關係統以適合應用的置信度執行，以實現受控設備所需的安全級別。

這個概念如圖 3 所示。

圖 3. 安全相關係統的主要特徵

系統故障

為了確保 E/E/PES 安全相關係統的安全運行，有必要識別安全相關係統故障的各種可能原因，並確保針對每種情況採取充分的預防措施。 故障分為兩類，如圖 4 所示。

圖 4. 故障類別

1. 隨機硬件故障是由硬件中的各種正常退化機制引起的故障。 在不同的部件中有許多這樣的機制以不同的速率發生，並且由於製造公差導致部件在不同的操作時間之後由於這些機製而失效，所以包括許多部件的設備的總項目的故障發生在不可預測的（隨機）時間。 系統可靠性的度量，例如平均故障間隔時間 (MTBF)，很有價值，但通常只關注隨機硬件故障，不包括系統故障。
2. 系統故障源於系統的設計、構造或使用中的錯誤，這些錯誤導致系統在某些特定的輸入組合或某些特定的環境條件下發生故障。 如果在出現一組特定情況時發生系統故障，那麼將來每當出現這些情況時，總會出現系統故障。 根據定義，不是由隨機硬件故障引起的安全相關係統的任何故障都是系統故障。 在 E/E/PES 安全相關係統的背景下，系統性故障包括：

• 由於安全功能要求規範中的錯誤或遺漏而導致的系統故障
• 由於硬件的設計、製造、安裝或操作錯誤而導致的系統故障。 這些將包括由環境原因和人為（例如，操作員）錯誤引起的故障
• 由於軟件故障導致的系統故障
• 由於維護和修改錯誤導致的系統故障。

安全相關係統的保護

用於表示安全相關係統為防止隨機硬件故障和系統故障而需要採取的預防措施的術語是 硬件安全完整性措施 和 系統的安全完整性措施 分別。 安全相關係統可以針對隨機硬件故障和系統故障採取的預防措施稱為 安全完整性. 這些概念如圖 5 所示。

圖 5. 安全性能術語

在擬議的國際標準 IEC 1508 中，安全完整性分為四個級別，分別表示為安全完整性級別 1、2、3 和 4。安全完整性級別 1 是最低的安全完整性級別，安全完整性級別 4 是最高的。 安全相關係統的安全完整性等級（1、2、3 或 4）將取決於安全相關係統在實現受控設備所需安全等級方面所發揮作用的重要性。 可能需要多個安全相關係統——其中一些可能基於氣動或液壓技術。

安全相關係統的設計

最近對涉及控制系統 (HSE) 的 34 起事件進行的分析發現，所有故障案例中有 60% 是在安全相關控制系統投入使用之前“內置”的（圖 7）。 如果要生產足夠的安全相關係統，則必須考慮所有安全生命週期階段。

圖 7. 控制系統故障的主要原因（按階段）

安全相關係統的功能安全不僅取決於確保正確指定技術要求，還取決於確保技術要求得到有效實施，並確保在設備的整個生命週期內保持初始設計的完整性。 這只有在有效的安全管理系統到位並且參與任何活動的人員能夠勝任他們必須履行的職責的情況下才能實現。 特別是當涉及復雜的安全相關係統時，必須有一個適當的安全管理系統。 這導致了確保以下內容的策略：

• 建立了有效的安全管理體系。
• 為 E/E/PES 安全相關係統指定的技術要求足以處理隨機硬件和系統故障原因。
• 相關人員的能力足以勝任他們必須履行的職責。

為了系統地解決功能安全的所有相關技術要求，開發了安全生命週期的概念。 圖 1508 顯示了新興國際標準 IEC 8 中安全生命週期的簡化版本。安全生命週期的關鍵階段是：

圖 8. 安全生命週期在實現功能安全方面的作用

• 規範
• 設計與實施
• 安裝和調試
• 運維
• 調試後的變化。

安全等級

圖 9 和圖 10 說明了為安全相關係統實現足夠安全完整性級別的設計策略。安全完整性級別基於安全相關係統在實現整體級別中所扮演的角色受控設備的安全性。 安全完整性等級規定了設計中需要考慮的預防措施，以防止隨機硬件和系統故障。

圖 9. 安全完整性級別在設計過程中的作用

圖 10. 安全生命週期在規範和設計過程中的作用

安全和安全等級的概念適用於受控設備。 功能安全的概念適用於安全相關係統。 如果要為引起危險的設備實現足夠的安全級別，則必須實現安全相關係統的功能安全。 針對特定情況指定的安全級別是安全相關係統的安全完整性要求規範中的一個關鍵因素。

所需的安全級別取決於許多因素——例如，傷害的嚴重程度、暴露於危險中的人數、人們暴露於危險中的頻率以及暴露的持續時間。 重要的因素將是那些暴露於危險事件的人的看法和看法。 在確定什麼構成特定應用的適當安全級別時，需要考慮許多輸入，其中包括：

• 與具體應用相關的法律要求
• 來自適當的安全監管機構的指導方針
• 與申請中涉及的不同各方進行討論和達成協議
• 行業標準
• 國家和國際標準
• 最好的獨立工業、專家和科學建議。

總結

在設計和使用安全相關係統時，必須記住，造成潛在危險的是受控設備。 安全相關係統旨在降低危險事件的發生頻率（或概率）和/或危險事件的後果。 一旦為設備設置了安全級別，就可以確定安全相關係統的安全完整性級別，正是安全完整性級別允許設計人員指定需要內置到設計中的預防措施，以針對隨機硬件和系統故障進行部署。

上一頁