關于安全系統能力內涵的思考

徐志杰，張傳進，王婧

(1． Kenexis咨詢公司，天津 300270；2. 中國石油國際勘探開發有限公司，北京 100034；3. 中國石油寧夏石化公司，寧夏 銀川 750021)

依據GB/T 20438—2017/IEC 61508：2010《電氣/電子/可編程電子安全相關系統的功能安全》標準[1]，系統能力(SC)表示在硬件或軟件系統組件無系統性失效時的置信度[2]。該標準將此置信度水平定義為一種系統組件的屬性，其從對一組硬件/軟件技術要求和開發過程所要求的符合性中產生，共定義了SC1到SC4四個級別。該標準期望符合安全完整性等級(SIL)要求的功能通過具有不同SC的組件來實現，體現SC的關鍵在于是否遵循了(設備)開發流程和技術要求，該類技術要求可以理解為旨在突出魯棒性。在新的IEC 61511-1：2016Functionalsafety-safetyInstrumentedsystemsfortheprocessindustrysector-Part1，framework，definitions，system，hardwareandsoftwarerequirement[3]中存在著諸多有關系統安全完整性方面的困惑。例如，人們起初看到的經過安全儀表系統(SIS)應用認證設備的SC為2級。如何理解？通常情況下，依據GB/T 20438—2017/IEC 61508：2010來審核制造商的質量管理體系，以便建立SC。如果質量管理體系滿足GB/T 20438—2017/IEC 61508：2010的要求，就會發布SC等級。實現的SC等級取決于制造商質量管理體系的有效性，相關證書可用于說明制造商產品的SC。

1 關注系統性失效的意義

自從“傘式”標準IEC 61508—2：2011Functionalsafetyofelectrical/electronic/programmableelectronicsafetyrelatedsystems—Part2：Require-mentsforelectronical/electronic/programmableelectronicsafety-relatedsystems[4]于2010年更新開始，系統完整性便受到了廣泛關注，但這并非是一件壞事。眾所周知，SIL等級由要求時失效概率(PFD)驅動，它與硬件失效有關。系統內部的失效會如何？這通常是人為錯誤所致而不是隨機發生的，也稱作系統性失效[5]，2010年版的IEC 61508比1998年的第一版在這方面提及的內容更多。

系統性失效指與預先存在故障有關的失效，在特定情況下會經常發生，因此，只能通過修改設計、生產工藝、操作程序、文件或其他相關因素進行消除。典型的系統性失效是軟件“缺陷”，其能夠在每組相同的情況下，在軟件的各副本中重復出現。系統性失效通常由SIS硬件或軟件實施期間的人為錯誤所引起。

作為自動控制工程師，應該關注從所構建的SIS及其硬件中消除系統性失效，供應商、工程承包商和最終用戶都肩負著這種責任。IEC 61511標準委員會在討論第二版流程工業標準(該標準于2016年發布)的內容時，這是一個非常熱門的話題。GB/T 20438—2017/IEC 61508：2010引入了SC這一概念，并將其作為一種對設備的系統安全完整性是否滿足指定SIL等級要求的置信度測量(以SC1至SC4表示)。如今，有很多硬件供應商都在宣傳新設備為SC2認證。這對設備集成商和最終用戶究竟意味著什么?如果使用的設備未經過任何SC認證又應該如何處理?關于這一問題，IEC 61511：2016規定：“對于系統性失效最好采用定性方法”，但這要取決于被詢問的對象是誰？換句話講，這是對GB/T 20438—2017/IEC 61508：2010“母”標準的一種細微改變還是一種重大偏離？為了避免發生歧義，IEC 61511：2016作出進一步聲明：“系統安全完整性與硬件安全完整性有所不同，通常無法量化”，從這一點上講，流程工業標準IEC 61511：2016是正確的。安全完整性是功能安全的目標，是一種多層面的概念。安全完整性架構如圖1所示。

2 系統性失效的具體內涵

為何有關SC2認證設備的各種聲音會如此之多?這是一個很難用一兩句話講清楚的問題，有一點請務必牢記：采用工程判斷的定性方法對于避免系統性失效至關重要。

圖1 安全完整性架構示意

術語SC除了在IEC 61511：2016中被明確以外，在其他任何地方均不用作規范性要求。“系統安全完整性”“系統性失效”和“系統性故障”等詞隨處可見！這些概念都很重要，然而SC卻幾乎被降級成為了“腳注”。

SC是一種置信度(水平)，如同SIL等級一樣，但又截然不同。它是一種設備的屬性，而不是安全儀表功能(SIF)。事實上，SC可以通過選擇用于SIF的經IEC 61508 認證的設備來確定，也可以通過為設備提供先驗使用理由(亦稱為經使用證明理由)來確定。當某臺設備通過先前認證滿足SC約束時，通常認為該設備從先驗使用或者經使用證明的角度滿足或達到了某SIL等級。SC或SIL這兩個不同的術語的使用通常可以區分用于評估某臺設備滿足SC約束的程度。當某臺設備通過如下流程進行認證時，通常認為其具有認證等級的SCN，其中N為數字1～4，對應不同的SIL等級。

2.1 使用經過認證的設備

在GB/T 20438—2017/IEC 61508：2010中，SC是對由一系列規定設計和測試技術的表格所指定設計質量的測量。隨著SIL等級的提高，需要更為嚴格的設計和測試方法，這些方法反映了標準委員會關于必要和有效“故障避免技術”的意見。目的就是要減少有可能導致設備危險失效的設計錯誤的數量。GB/T 20438—2017/IEC 61508：2010中有近400項合規性要求和29個設計、測試和文檔技術表，表格中的每一行均描述了一種技術，并給出了代表4種SIL等級的4個類別。這些類別是R(推薦)，表示設計人員應該考慮該方法或證明其替代方法；或者HR(強烈推薦)，表示設計人員須采用該技術或等效技術。在GB/T 20438-3：2017/IEC 61508-3：2010中，每種SIL等級均指定了不同的軟件設計技術。軟件設計與開發-支持工具與編程語言示例見表1所列，以半形式化方法為例，該方法推薦用于SIL1和SIL2，但強烈推薦用于SIL3和SIL4。

表1 軟件設計與開發-支持工具與編程語言示例

表1給出了每個SIL等級所要求方法之間的差異，為了讓更高的SIL等級實現更高的設計質量需要進行更多的測試。動態分析與測試示例見表2所列。

表2 動態分析與測試示例

表1和表2定義了在認證評估期間如何對SC進行評級。所有SIL3的HR方法或等效方法均須用于新設計，以便實現SC3(SIL3)等級。同理，所有SIL2的HR方法均須用于該設備的新設計，以期實現SC2。

按照GB/T 20438—2017/IEC 61508：2010認證的設備經過了有資質的第三方審核，以確保近400個符合各種設計、測試和文檔的GB/T 20438—2017/IEC 61508：2010要求已達到認證的SC級別。源自不同制造商的諸多不同類型認證設備的存在，使得在廣泛的功能需求中使用認證設備成為一種頗具吸引力的替代性工作，繼而創建先驗使用或經使用證明的理由。

大多數公司(組織)均認為，如果最終用戶在某一特定儀器的特定版本方面有著多年的成功經驗(如，足夠低的危險失效數量)，即使該儀器未通過安全認證，仍可以為使用該儀器提供理由。大多數人認為，在使用儀器之前需要一種系統來記錄每個最終用戶現場的所有現場失效及失效模式。同時，必須保存儀器硬件和軟件的版本記錄，因為重大的設計變更有可能使先前的使用經驗無效。此外，還需要記錄操作條件，并且必須與所建議的安全應用程序相似。

2.2 SC的實際意義

遵照設備安全手冊中的要求使用設備時，設備的系統安全完整性需要滿足指定的SIL等級所要求的置信度(SC1～SC4)。

供應商指定的SC只是測量供應商的設備是否已采取避免和控制系統性失效的措施，但這絕不是系統性失效的終點。即使用戶遵循供應商的安全手冊，最終將該設備集成到安全儀表系統時，仍然會存在很多引入系統性失效的機會。為了實現更高的安全完整性目標，用戶應該信任SC2還是SC3呢?具體要求可參見GB/T 20438-2—2017/IEC 61508-2：2010中第7.4.3條的內容。

3 系統能力的特點及實現方式

3.1 系統能力的特點

對于某種表決結構中使用的具有SC為SCN的設備，其組件的系統性失效不會導致指定的安全功能發生失效，而只會與系統能力為SCN的另一組件的第二個系統性失效相結合(例如：容錯結構為“1oo2”或“2oo3”)，只要這兩個組件之間存在足夠的獨立性，則該容錯結構的SC便為SC(N+1)。

3.2 實現方式

在組件之間的設計及應用期間，可以借助共因失效分析來加以證明，與所考慮的安全功能的SIL等級相比，組件與環境之間發生干擾的可能性要足夠低。對于SC而言，在硬件設計、實施、運行和維護方面，實現充分獨立性的可能方法有以下幾種：

1)功能多樣性，使用不同方法來實現相同結果。

2)技術多樣化，使用不同類型的設備實現相同結果。

3)共用部件/服務，確保沒有共用部件或服務或支持系統(如電源)，其故障有可能導致所有系統出現危險失效模式。

4)通用程序，確保沒有通用的運行、維護或測試程序。

因此，即便知曉系統性失效可以像擊敗冗余設備一樣輕松擊敗單一設備，但文獻[1]似乎更傾向于具有多樣性的容錯設備。在該問題上，也許會聽到帶有供應商偏見的專家聲稱，只要使用多樣化的設備，系統性失效是“不可能發生的”。筆者對該種說法持有保留意見。

4 系統能力與系統性失效之間的關系

采用路徑1[6]，通過避免和控制系統性失效的手段來實現：

1)多樣化設備之間的容錯(“1oo2”或“2oo3”)表決可以實現SC(N+1)；然而，相同設備之間的容錯只能實現SCN。

2)在路徑1條件下，相同設備容錯(“1oo2”或“2oo3”)實現SC(N+1)的方法是證明有充足的手段來避免系統性失效(參見GB/T 20438—2017/IEC 61508：2010中第7.4.6條)和控制系統性失效(參見GB/T 20438：—2017/IEC 61508：2010中第7.4.7條)。為了避免系統性失效并以足夠高的可信度要求實現指定的SIL等級，參考GB/T 20438-1—2017/IEC 61508-1：2010中附錄A和附錄B的規定，該規定是強制性、高度推薦性還是推薦性？供應商提供的證書上帶有 SC2編號，表明該供應商已采用GB/T 20438—2017/IEC 61508：2010中的此類技術對設備進行了評估。

采用路徑2[6]。對容錯(“1oo2”或“2oo3”)結構中相同設備的SC(N+1)聲稱“經使用證明”。但重要的是：

1)認識到“安全完整性”既包括“硬件安全完整性”又包括“系統性安全完整性”，但是切不可將術語SIL等級與SC混為一談。

2)SC盡管使用相同的整數記數方式，但事實上卻是實現系統安全完整性的置信度水平。標準通常允許“定性技術和判斷應針對預防性措施而提出，以實現系統的安全完整性”。采用供應商的SC代替IEC 61511：2016生命周期中的技術和判斷是很危險的。

3)SC雖然未出現在GB/T 20438—2017/IEC 61508：2010的附錄A或附錄B中，但它們卻以不同的方式避免和控制系統性失效，以實現所要求的SIL等級。需要指出的是：所有這些措施都是定性的。

人們可以通過研究一系列的措施和技術來避免和控制系統性失效。這不足為奇—因為人為錯誤是根本原因，所以解決方案是為了避免單一人為錯誤傳播至已實施的系統，具體包括：

1)對硬件和軟件實施的嚴格驗證和確認導致了對可能表現為系統性失效的人為錯誤的高度“診斷覆蓋率”。

2)避免復雜性，并在設備(無共享工藝連接，I/O隔離)和系統(軟件模塊化，沒有跨系統的讀寫能力等)之間保持“清晰的分隔線”。

用于SIS全生命周期管理的某些軟件(例如：美國Kenexis咨詢公司的VertigoTM)允許用戶選擇使用供應商提供的SC，但并非默認值。同時，還可依靠安全生命周期本身，包括諸多驗證及相關步驟，以根除系統性失效。

5 結束語

當使用旨在防止系統設計錯誤的程序來設計實現安全功能的設備時，就可以實現所期望的系統能力。所需程序的嚴謹性取決于SIL等級，然后通過針對過程控制和儀表供應商的質量管理評估體系評價其安全性是否符合GB/T 20438—2017/IEC 61508：2010的要求，如果質量管理體系滿足該標準的要求，便可以發布SIL等級，實現的SIL等級取決于供應商質量管理體系的有效性。一般情況下，符合IEC 61508的證書都會給出產品的SC。

盡管如何使用SIL等級來量化安全完整性很容易理解，但如何量化SC卻并非易事。隨機失效很容易被量化(在一個數量級以內)，但無法單獨控制。SIL等級可以通過選擇失效率可以量化的設備，同時在硬件結構中采用冗余來實現。系統性失效的設計、開發、運行和維護期間的失效通常無法量化，但可以采用適宜的工程技術和措施加以控制。也就是說，SC可通過應用避免和控制系統性失效的技術和措施來實現和評估。