Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 61508-4-2010 电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义与缩略语
💡 工程洞察:IEC 61508-4是整个功能安全系列标准的术语基石。精确理解200余项定义至关重要,因为功能安全概念——特别是PFDavg等概率指标和HFT等架构约束——都依赖于与日常用法截然不同的精确技术含义。
一、第4部分的范围与作用
IEC 61508-4-2010是电气/电子/可编程电子(E/E/PE)安全相关系统功能安全系列标准中的定义和术语部分。虽然第1至第3部分提供了管理、设计和验证的规范性要求,但第4部分建立了支撑所有其他部分的精确词汇体系。该标准按主题分类包含200余个定义术语,涵盖安全概念、系统架构、失效模式、概率指标和生命周期阶段。
这一部分至关重要,因为功能安全工程要求无歧义的沟通。”安全状态”、”危险失效”、”诊断覆盖率”和”安全失效份额”等术语具有精确的技术含义,直接决定是否符合SIL要求。误解这些定义是功能安全评估中不符合项的最常见来源之一。
⚠ 重要区分:IEC 61508-4中”失效”一词以精确的方式进行细分:”危险未检测”(DU)失效直接贡献于低要求模式的PFDavg计算,而”危险已检测”(DD)失效通过验证测试管理,不会以相同方式影响不可用度。
二、关键定义与术语
该标准将定义按主题类别组织。下表列出了实际功能安全工程中最关键的定义:
| 术语 | 定义(简述) | 工程意义 |
|---|---|---|
| 安全完整性等级(SIL) | 规定安全功能目标风险降低的离散等级(1–4) | 确定架构约束、诊断覆盖率和系统能力要求 |
| 安全失效份额(SFF) | 安全或危险已检测失效占总失效的比例 | 限制给定SIL目标的硬件架构约束 |
| 诊断覆盖率(DC) | 由自动诊断检测到的危险失效的比例 | 直接决定SFF;SIL 2典型目标≥90%,SIL 3 ≥99% |
| 验证测试 | 为检测安全系统中DU失效而进行的定期测试 | 验证测试间隔直接影响PFDavg计算和风险降低 |
| 共因失效(CCF) | 由单一共享原因导致的多个通道失效 | β因子建模对冗余架构至关重要(通常β=2–10%) |
| 要求模式(低/高/连续) | 安全功能需要执行的频率 | 确定适用PFDavg(低要求)还是PFH(高/连续) |
| 系统能力(SC) | 对系统安全完整性的置信度度量 | 需要经过验证的工具、技术和措施以避免系统设计错误 |
2.1 SIL定义与目标指标
该标准定义了四个安全完整性等级及其特定的目标失效指标。对于低要求操作模式,要求的平均失效概率(PFDavg)目标为:SIL 1(≥ 10-2至< 10-1)、SIL 2(≥ 10-3至< 10-2)、SIL 3(≥ 10-4至< 10-3)和SIL 4(≥ 10-5至< 10-4)。对于高要求或连续模式,每小时危险失效概率(PFH)目标相应更为严格。这些目标指标并非任意设定——它们代表了通过风险分析确定的未经缓解的危险与可接受水平之间的可容忍风险差距。
三、工程设计洞察与应用
理解第4部分的术语对于正确应用IEC 61508的规范性要求至关重要。以”诊断覆盖率”定义的实际影响为例。在为SIL 3应用设计1oo2(二选一)架构时,架构师必须验证每个通道的诊断覆盖率满足最低阈值。如果DC低于90%,安全失效份额降至90%以下,这将限制第2部分规定的架构约束路线下的硬件容错(HFT)要求。在实践中,这意味着诊断覆盖率不足迫使要么增加冗余,要么使用更高质量的组件——两者都带来显著的成本影响。
“验证测试”的定义具有深远实际意义。验证测试必须检测DU失效并将系统恢复到”如新”状态。该标准区分了全面验证测试(覆盖所有DU失效,覆盖率=1.0)和部分验证测试(仅覆盖子集)。部分验证测试在工业中越来越普遍,因为全面测试通常需要工艺停车。当采用部分验证测试时,残余DU失效率必须纳入PFDavg计算,通常需要延长假设的诊断间隔或采取补偿措施。
🔥 重要警告:功能安全工程中一个常见的误解是将”诊断覆盖率”等同于”验证测试覆盖率”。在IEC 61508-4中,这是两个不同的概念:诊断覆盖率指正常运行期间的自动在线检测,而验证测试覆盖率指离线测试。它们服务于不同的目的,两者都必须在安全生命周期中得到解决。
💡 工程实践:在计算冗余安全仪表功能的PFDavg时,需要特别注意共因失效的β因子。5%的β值(设计良好的多样化通道的典型值)意味着所有危险失效的5%同时影响两个通道,从而抵消了冗余优势。使用多样化技术(例如,一个采用隔膜密封技术的压力变送器,另一个采用谐振线技术)可以将β降低到2%或更低。
“系统能力”(SC)的定义在现代功能安全中越来越重要。IEC 61508-4明确指出,系统能力不是定量度量而是定性置信度水平。达到SC 2要求设计过程中采用正式设计评审、失效模式分析和结构化测试等技术(见第2和第3部分)。SC 3需要额外的措施,包括形式化方法、多样性和独立评估。过程工业(通过IEC 61511)和机械领域(IEC 62061)的趋势是要求所有SIL应用至少达到SC 2。
四、常见问题
问1:”安全失效”和”危险失效”之间有什么区别?
安全失效会导致安全系统启动误动作(例如,阀门在不该关闭时关闭),导致工艺停车但不丧失安全性。危险失效会阻止安全系统在需要时响应(例如,阀门在有需求时无法关闭),产生潜在危险。在PFDavg计算中,只有危险失效(特别是DU失效)才计入要求的失效概率。
问2:什么决定安全功能是”低要求”还是”高要求”?
分类取决于对安全功能的要求频率。低要求模式意味着要求的频率不超过每年一次,且不超过验证测试频率的两倍。高要求模式意味着要求更频繁地发生。连续模式意味着安全功能始终处于活动状态(例如,燃气燃烧器控制系统)。该区分决定了适用哪个目标指标(PFDavg还是PFH)。
问3:什么是系统的”安全状态”?
安全状态是被控设备(EUC)及其控制系统在安全性得到保障时所处的状态。例如,对于工艺加热器,安全状态可能是”燃料阀关闭,吹扫循环完成”。安全功能必须设计为在规定的过程安全时间内达到并维持安全状态。一个关键的设计考虑是误跳闸后发生什么——操作员复位程序必须防止过早重启。
问4:IEC 61508-4如何定义”架构”?
架构被定义为安全相关系统中硬件和软件元素的排列方式。该标准在容错要求的背景下定义了特定的架构类型(1oo1、1oo2、2oo2、2oo3等)。第4部分阐明,架构约束由所需的硬件容错(HFT)和安全失效份额(SFF)共同决定,构成了通向SIL验证的架构约束路线的基础。
