軌道交通行業(yè)中，對于信號系統(tǒng)、車輛子系統(tǒng)等安全相關(guān)的系統(tǒng)有安全完整性（SIL）等級的要求，需要進(jìn)行通用產(chǎn)品層安全評估和工程特定應(yīng)用項(xiàng)目安全評估，已經(jīng)形成了行業(yè)共識。對于初次了解SIL的人，在實(shí)際應(yīng)用中存在著對SIL的錯(cuò)誤理解，并且不恰當(dāng)?shù)貞?yīng)用SIL。本文解答幾個(gè)容易引起困惑的問題。

1. SIL是對產(chǎn)品失效率的要求嗎？
SIL概念在不同行業(yè)的功能安全標(biāo)準(zhǔn)中都有定義，比如EN50129、IEC61508，它對應(yīng)功能失效導(dǎo)致事故的發(fā)生概率置信度，即安全功能失效導(dǎo)向危險(xiǎn)側(cè)的發(fā)生概率。這個(gè)概念可以理解為SIL等級對應(yīng)系統(tǒng)功能失效從而導(dǎo)向危險(xiǎn)側(cè)的發(fā)生概率，它不等于系統(tǒng)總體的失效率，總體失效率包括安全失效和危險(xiǎn)失效。
對于防護(hù)不同等級風(fēng)險(xiǎn)的系統(tǒng)，為規(guī)避系統(tǒng)性失效，功能安全標(biāo)準(zhǔn)牙簽遵循不同嚴(yán)格程度的過程和技術(shù)方法，EN50129中，定義了五個(gè)等級，最嚴(yán)格的SIL4到基本完整性（Basic integrity）。越高的SIL等級，對應(yīng)的技術(shù)和過程要求越嚴(yán)格。以下是EN50129的危害分析方法摘錄：

這些技術(shù)措施來自于業(yè)內(nèi)成熟應(yīng)用的設(shè)計(jì)方法，大多數(shù)方法，即使沒有SIL等級要求，也提高產(chǎn)品質(zhì)量的角度也可以使用，因?yàn)閼?yīng)用這些方法有助于減輕系統(tǒng)性失效。另外，要求使用方法的技術(shù)人員也具備相應(yīng)的能力，比如花高價(jià)買了一個(gè)編譯器軟件，但不懂編譯的配置選項(xiàng)，也存在系統(tǒng)性失效的可能。

2.安全性越高，可靠性越高嗎？
安全性很高的系統(tǒng)，往往對可靠性也要求很高，這個(gè)容易理解，因?yàn)橄Ｍ到y(tǒng)能保證功能的安全性，但也希望它不會經(jīng)常罷工。但不是把安全性等同于可靠性，有種觀點(diǎn)試圖對以前沒有安全要求的系統(tǒng)提出SIL等級的要求，比如指定達(dá)到SIL2或者SIL4來實(shí)現(xiàn)高可靠性的系統(tǒng)。這樣可能會適得其反，因?yàn)橄到y(tǒng)的失效分為導(dǎo)向安全的失效和導(dǎo)向危險(xiǎn)的失效，SIL是解決導(dǎo)向危險(xiǎn)的失效問題，而不是失效率的總體率更低。對于沒有安全性要求的功能強(qiáng)加SIL，在故障條件下增加不必要的要求，造成對故障影響更為敏感，反而會降低可靠性。
但是，功能安全標(biāo)準(zhǔn)中推薦的大多數(shù)技術(shù)方法也能用于提升產(chǎn)品的可靠性，因此，當(dāng)對沒有安全性要求的系統(tǒng)提出要求，期望它能夠被正確地設(shè)計(jì)、開發(fā)實(shí)現(xiàn)時(shí)，可以采用以下的措辭更為準(zhǔn)確。比如對一個(gè)系統(tǒng)的軟件提出完整性的要求：“XX系統(tǒng)軟件應(yīng)使用EN50128 的SIL2推薦技術(shù)和過程來保證所要求功能的完整性”。

3.低SIL等級的部件可以組成高SIL等級的系統(tǒng)嗎？
如果系統(tǒng)架構(gòu)可以保證整個(gè)功能失效只有在組合的兩個(gè)部件同時(shí)失效的情況下才會失效，并且這兩個(gè)功能之間是完全獨(dú)立的，沒有共因失效（包括軟件），那么部件的SIL等級可以低于系統(tǒng)的SIL等級。這種架構(gòu)中通常還有一個(gè)表決器單元，用于綜合兩個(gè)部件的輸出結(jié)果，表決器SIL等級等于系統(tǒng)的SIL等級。

4.對系統(tǒng)的SIL等級要求越高越好嗎？
SIL涉及到安全，同時(shí)設(shè)計(jì)者也要注意成本效益。比如自動(dòng)監(jiān)控系統(tǒng)ATS的一些操作指令要求具備安全功能，可以分配SIL，操作命令能夠正確執(zhí)行達(dá)到一個(gè)確定性水平。但控制中心OCC軟件通常不認(rèn)為是安全系統(tǒng)，比較好的方法是將這些功能在系統(tǒng)架構(gòu)中隔離使用，最大限度地降低整個(gè)系統(tǒng)的軟件開發(fā)中對系統(tǒng)安全功能的影響（高SIL等級的軟件開發(fā)需要遵循對應(yīng)安全完整性等級的過程要求）。其它更復(fù)雜的與安全無關(guān)的功能，如數(shù)據(jù)分析和決策支持，常與操作系統(tǒng)的API庫相結(jié)合，在這些功能規(guī)定不必要的SIL，從技術(shù)實(shí)現(xiàn)上可行性低，也會帶來更高的成本投入。

5.容許危害率THR與容許功能危險(xiǎn)失效率TFFR的區(qū)別是什么？
在鐵路領(lǐng)域中，經(jīng)常會出現(xiàn)多個(gè)安全功能失效的組合引起一個(gè)相同的危害發(fā)生，因此有必要在一組功能中分?jǐn)俆HR，采用故障樹方法進(jìn)行指標(biāo)的分配，因此鐵路行業(yè)EN50126標(biāo)準(zhǔn)引入了容許功能危險(xiǎn)失效率TFFR的概念。

6.不同SIL等級的軟件可以運(yùn)行在同一處理器上嗎？
已經(jīng)有實(shí)踐證明在同一處理器上使用不同SIL的軟件是可行的。為了能夠在同一處理器上使用不同SIL的軟件功能，必須能夠證明低SIL的功能不能影響高SIL的功能，從而滿足空間隔離和時(shí)間隔離的要求。例如通過內(nèi)存保護(hù)機(jī)制，證明低SIL等級的代碼不會寫入指定區(qū)域之外的內(nèi)存。在筆者的另一篇文章功能安全之“不同SIL軟件的隔離原則”中對軟件隔離技術(shù)，做了更詳細(xì)的介紹。

7.定量失效率指標(biāo)適用于非電子系統(tǒng)嗎？
電子系統(tǒng)可以依據(jù)通用的可靠性標(biāo)準(zhǔn)如MIL-HDBK-338B，IEC61709預(yù)測硬件的隨機(jī)失效率，對于機(jī)電、機(jī)械和軟件，非隨機(jī)原因?qū)е率?，可能沒有實(shí)用的方法計(jì)算失效率。此種情況下，安全證明可以通過設(shè)計(jì)標(biāo)準(zhǔn)、技術(shù)規(guī)則、制造流程和維護(hù)維修規(guī)則降低失效概率。

8.SIL是電子系統(tǒng)保證安全的唯一方法嗎？
對于低復(fù)雜度的電子系統(tǒng)，每個(gè)單獨(dú)的元器件故障模式是確定的，能夠完全確定故障狀態(tài)下系統(tǒng)的預(yù)期行為，可以組成安全系統(tǒng)。比如由幾個(gè)安全繼電器構(gòu)成的組合安全電路，也能達(dá)到故障安全的作用，無需證明符合SIL。文章來源地址http://www.zghlxwxcb.cn/news/detail-762783.html

到了這里，關(guān)于軌道交通信號安全完整性等級（SIL）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！