避免大家未來(lái)安全項(xiàng)目中出錯(cuò),以下是應(yīng)注意的一些最常見(jiàn)的錯(cuò)誤:

1.PFH/PFD：SIL的必要但不充分條件

制造商通常只會(huì)計(jì)算其系統(tǒng)或子系統(tǒng)的PFD/PFH值，并在之后給出一個(gè)SIL。PFH/PFD表示安全相關(guān)系統(tǒng)（或子系統(tǒng)）每小時(shí)（PFH）或者按需（FPD）的危險(xiǎn)失效率。這兩個(gè)值說(shuō)明了隨機(jī)硬件失效，而且通常使用FMEDA計(jì)算。達(dá)到具體的安全完整性水平（SIL）不僅要求控制硬件的隨機(jī)失效，而且還要避免和控制硬件和軟件的系統(tǒng)失效。后者表示為系統(tǒng)水平（SC，值為1至4，對(duì)應(yīng)SIL的 4個(gè)等級(jí)）而且反映了安全相關(guān)系統(tǒng)開(kāi)發(fā)過(guò)程中使用的方法和技術(shù)。因此，SIL始終包括：PFD/PFH以及開(kāi)發(fā)過(guò)程穩(wěn)健性的指標(biāo)，比如SC。

2.SIL并不意味著控制系統(tǒng)的可靠性

有時(shí)系統(tǒng)集成商和裝置制造商要求其供應(yīng)商提供具有一定SIL水平且可以確保系統(tǒng)正常操作的控制系統(tǒng)，以確?？刂葡到y(tǒng)和/或公用設(shè)施具有一定的可靠性。但是安全功能（通過(guò)安全相關(guān)系統(tǒng)執(zhí)行）的目的是讓受控設(shè)備（EUC）處于安全狀態(tài)，而不是提高其可用性。

受控設(shè)備安全狀態(tài)是危害和風(fēng)險(xiǎn)分析的結(jié)果，而且取決于其不同的操作模式。在這種情況下，我們經(jīng)常會(huì)觀察到一些對(duì)于故障安全情景方法和概念理解錯(cuò)誤情況，比如在失效情況下關(guān)閉受控設(shè)備；以及對(duì)于失效時(shí)運(yùn)行情景，比如讓受控設(shè)備盡可能地運(yùn)轉(zhuǎn)。

隨機(jī)硬件失效（和可靠性）是根據(jù)失效率計(jì)算的。在功能安全方面，失效率分為安全和危險(xiǎn)失效。在計(jì)算PFD/PFH值時(shí)，只需考慮危險(xiǎn)失效（阻止安全功能發(fā)揮預(yù)期作用）。因此，SIL僅代表當(dāng)受控設(shè)備處于安全狀態(tài)時(shí)設(shè)備按照預(yù)期實(shí)現(xiàn)安全功能的一定程度的可靠性。

3.看門狗和微控制器

微控制器的看門狗往往只能重置控制器，不能直接獨(dú)立控制任何輸出。當(dāng)微控制器內(nèi)發(fā)生故障時(shí)，要求其輸出行為是確定的。使用內(nèi)部看門狗并不足以獲得該功能，因?yàn)闊o(wú)法保證輸出達(dá)到預(yù)期狀態(tài)：內(nèi)部看門狗是微控制器缺陷的一部分，因此，無(wú)法保證正確運(yùn)行。

4.在使用中證明的軟件

我們還根據(jù)運(yùn)行經(jīng)驗(yàn)，聲稱現(xiàn)有軟件系統(tǒng)能力的方法（IEC 61508中的路線2S）。根據(jù)IEC TS 61508-3-1，所有軟件故障需要在觀察期中檢測(cè)和報(bào)告，而且所有輸入數(shù)據(jù)組合、執(zhí)行順序和時(shí)間關(guān)系也必須記錄在文件中。這種方法通常不切實(shí)際。

5.避免干擾

我們通常遵守非安全組件與安全組件混合的系統(tǒng)設(shè)計(jì)。但是，采用混合安全完整性水平設(shè)計(jì)方法時(shí)，需要提供避免干擾自由的證據(jù)。分析需要在詳細(xì)硬件或軟件層面執(zhí)行（取決于系統(tǒng)），考慮到不安全組件的任何可能失效模式以及對(duì)安全組件的相關(guān)影響（比如，不安全零部件過(guò)壓、錯(cuò)誤數(shù)據(jù)、短路等）。

6.單源測(cè)試規(guī)范

在開(kāi)發(fā)安全關(guān)鍵性軟件時(shí)，現(xiàn)在，最先進(jìn)的方法是使用自動(dòng)化工具確定效率和安全性。但是，我們已多次發(fā)現(xiàn)此類工具的一些錯(cuò)誤使用。單元測(cè)試規(guī)范首先應(yīng)該根據(jù)軟件單元/模塊規(guī)范編寫(xiě)，而不是通過(guò)源代碼白盒分析。目的是測(cè)試軟件單元的預(yù)期功能行為。代碼層面的測(cè)試覆蓋率是否滿足的證據(jù)必須提供，在這種情況下要求白盒分析，但這并不是單元測(cè)試的唯一目標(biāo)。

7.無(wú)SIL資質(zhì)的智能傳感器

在現(xiàn)代復(fù)雜的安全相關(guān)系統(tǒng)中，智能傳感器的使用越來(lái)越重要。傳感器的功能應(yīng)當(dāng)具有要求的完整性或者應(yīng)當(dāng)合理證明不影響總體安全功能。有些系統(tǒng)設(shè)計(jì)錯(cuò)誤地基于這樣的假設(shè)：復(fù)雜智能傳感器的失效模式（比如,帶邏輯處理器、通信協(xié)議等）可以使用某些外部安全裝置在規(guī)定的診斷覆蓋率和失效檢測(cè)/反應(yīng)時(shí)間內(nèi)診斷出并得到緩解。

8.電源保護(hù)/監(jiān)督

我們看到電源保護(hù)/監(jiān)督缺失相關(guān)的問(wèn)題復(fù)發(fā)。安全標(biāo)準(zhǔn)沒(méi)有具體說(shuō)明應(yīng)該如何具體實(shí)施過(guò)壓/欠壓措施，但是應(yīng)該根據(jù)要求的SIL水平制定適當(dāng)?shù)谋Ｗo(hù)機(jī)制。對(duì)于要求HFT>1的架構(gòu)，使用非冗余過(guò)壓保護(hù)機(jī)制，是一個(gè)典型的復(fù)發(fā)問(wèn)題。電源電壓監(jiān)測(cè)（包括要求的反應(yīng)，比如關(guān)閉和安全狀態(tài)）應(yīng)當(dāng)采用單獨(dú)的零部件完成，該零部件能夠在更廣泛的電壓范圍內(nèi)使用，不會(huì)受到過(guò)壓/欠壓條件影響。即使短時(shí)過(guò)壓也可能不明顯地造成微控制器組件永久損壞。因此，過(guò)壓后對(duì)微處理器重置并不是妥當(dāng)?shù)拇胧?；只要欠壓沒(méi)有持續(xù)，在欠壓條件之后重置是可行的。

9.溫度過(guò)高

溫度過(guò)高檢測(cè)和相應(yīng)反應(yīng)（進(jìn)入安全狀態(tài)，停電等）無(wú)法采用一個(gè)在溫度過(guò)高條件下在規(guī)定范圍以外運(yùn)行的零部件完成（比如，微控制器）。單純重置此處無(wú)用，應(yīng)該假設(shè)溫度過(guò)高條件持續(xù)，或者在打開(kāi)期間溫度已經(jīng)偏高。安全標(biāo)準(zhǔn)（比如EN50129）中有時(shí)不對(duì)低溫予以規(guī)定，但是應(yīng)用條件（用戶手冊(cè)）應(yīng)當(dāng)確保僅在規(guī)定的溫度范圍內(nèi)驅(qū)動(dòng)設(shè)備（對(duì)于所有零部件）。

10.SIL與SIL不同

多個(gè)標(biāo)準(zhǔn)使用縮寫(xiě)SIL（安全完整性水平）。但在各個(gè)標(biāo)準(zhǔn)中，其流程、架構(gòu)和技術(shù)要求不同。有些標(biāo)準(zhǔn)使用其他縮寫(xiě)，比如ASIL（汽車SIL）。

有些使用相同的縮寫(xiě)（SIL），很容易混淆和誤解。

比如，SIRF（Sicherheitsrichtlinie Fahrzeug; EBA）使用的SAS水平（德文:“Sicherheitsanforderungsstufe”代表安全完整性水平）與EN 50128 /EN 50129標(biāo)準(zhǔn)中所述的SIL水平（“安全完整性水平”）不同。SIRF (SAS)僅使用EN 50129附件E中列出的一部分措施，省去了組織和流程措施，而且沒(méi)有規(guī)定的危害率限制。IEC 61508中的SIL與EN 50129中的SIL不同。有時(shí)，SIL會(huì)被解釋為軟件完整性水平而不是安全完整性水平（比如，EN 50657），增加了復(fù)雜性。

11.通過(guò)冗余提高SIL

沒(méi)有安全證據(jù)的系統(tǒng)或使用同類冗余系統(tǒng)組合，無(wú)法提高系統(tǒng)的SIL水平。比如，單純結(jié)合多個(gè)SIL2系統(tǒng)/通道（比如，通過(guò)多個(gè)SIL2控制系統(tǒng)達(dá)到系統(tǒng)SIL3）無(wú)法提高SIL至SIL4。一個(gè)原因是，SIL2軟件流程與SIL4軟件流程對(duì)于系統(tǒng)性軟件失效的防止方式（完整性）不同。IEC 61508標(biāo)準(zhǔn)規(guī)定，如果一個(gè)雙通道結(jié)構(gòu)使用兩個(gè)獨(dú)立的系統(tǒng)，則可將系統(tǒng)的系統(tǒng)能力提高1級(jí)。如果是同類冗余，則無(wú)法提高。其他標(biāo)準(zhǔn)（比如，EN 50129）則沒(méi)有提供這種可能性。

12.故障樹(shù)分析（FTA）中的常見(jiàn)原因

在故障樹(shù)分析（FTA）中往往會(huì)忽略常見(jiàn)原因。同時(shí)能影響一個(gè)系統(tǒng)多個(gè)組件的故障（比如，斷電）必須作為基本事件包含到故障樹(shù)的所有相關(guān)分支中。替代辦法：使用FTA工具中的“β系數(shù)”執(zhí)行常見(jiàn)原因。

13.SIL的定義

SIL（安全完整性水平）的定義適用于從某些風(fēng)險(xiǎn)分析/分類中導(dǎo)出的功能。對(duì)于一個(gè)系統(tǒng)/零部件，我們經(jīng)常會(huì)聽(tīng)到這樣的說(shuō)法，比如“SIL 2控制器”, “SIL3 制動(dòng)系統(tǒng)”等，正確表述SIL僅與具體（安全）功能有關(guān)。風(fēng)險(xiǎn)分析的目的是確定哪些功能是安全的。更加正確的定義是“系統(tǒng)能夠?qū)崿F(xiàn)高達(dá)SILx”的安全功能。這意味著系統(tǒng)符合標(biāo)準(zhǔn)中的流程、架構(gòu)和技術(shù)要求。

14.系統(tǒng)范圍

系統(tǒng)范圍需要從安全角度分析，而且它們與其他系統(tǒng)部件的接口在項(xiàng)目開(kāi)始往往沒(méi)有明確界定。比如，沒(méi)有明確哪些零部件屬于系統(tǒng)部分，哪些傳感器/執(zhí)行機(jī)構(gòu)變體應(yīng)該考慮在內(nèi)等。沒(méi)有界定范圍是無(wú)法開(kāi)始安全分析的，沒(méi)有避免多個(gè)迭代那么每次范圍都會(huì)變化。

15.SIL包含診斷

故障檢測(cè)和監(jiān)測(cè)塊（診斷）屬于具有特定SIL水平的安全功能，但是卻有單獨(dú)SIL水平。有些標(biāo)準(zhǔn)允許把要求的完整性水平降低1級(jí)，但是從功能安全的角度而言，診斷是安全功能的一部分。完整性要求也適用于診斷。后續(xù)分解分析也能夠降低完整性水平，但通常不排除任何安全要求。

16.啟動(dòng)過(guò)程中的系統(tǒng)自測(cè)

有些完整性/診斷措施是在系統(tǒng)每次啟動(dòng)時(shí)執(zhí)行（比如，RAM測(cè)試，F(xiàn)lash CRC檢查，輸出測(cè)試等）。這些測(cè)試非常重要，因?yàn)樗鼈冇糜跍y(cè)試診斷措施論證或者安全分析中的故障檢測(cè)時(shí)間（測(cè)試時(shí)間間隔）。但是有時(shí)，運(yùn)行條件會(huì)變化（新項(xiàng)目，新要求等）。定期關(guān)機(jī)的系統(tǒng)，較長(zhǎng)時(shí)間處于上電狀態(tài)。比如，現(xiàn)在軌道系列如今往往持續(xù)通電，每天早上無(wú)需重啟。在這種情況下，預(yù)期的診斷措施便無(wú)效。根據(jù)安全分析需要，應(yīng)該在安全手冊(cè)、操作文件等中明確對(duì)定期重啟做出規(guī)定。