［编者按］　本刊２００７年在“安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。

２００８年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。

主讲人是机械工业仪器仪表综合技术经济研究所功能安全中心主任史学玲教授。

第十一讲　功能安全问答史学玲（机械工业仪器仪表综合技术经济研究所，北京市 １０００５５）Shi Xueling (Instrumentation Technology & Economy Institute, Beijing 100055)Chapter 11: Questions and Answers of Functional Safety主讲人简介：史学玲，机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中心主任、教授级高工。

近年来主要致力于以ＩＥＣ　６１５０８为基础的功能安全技术研究。

主持并完成了国家软科学研究项目“利用功能安全标准保障安全的政策措施研究”，向政府提出了多行业协同行动的用功能安全标准保障安全的国家执行方案和政策措施建议。

是等同采用ＩＥＣ　６１５１１的中国国家标准起草工作组专家成员。

在多份杂志及学术期刊上发表了多篇功能安全的论文，对功能安全标准及标准实施认证相关的技术、法律、政策等问题有深入研究。

引言自２００７年４月以来，在已经举办的八期“功能安全技术与应用培训班”上，我们结识了来自石油、化工、机械、铁路、医疗设备等领域的２００多名安全控制专家，这些专家经常会与我们就一些问题展开讨论。

在此期讲座中，列出几个经常被提出讨论的问题与讨论结果，以功能安全问答的方式，展示给读者。

问：标准要求安全仪表设备必须提供每一种失效模式下的失效率数据，用什么方法可以确定仪表的失效率与失效模式？答：可以采用ＦＭＥＤＡ（失效模式、影响及诊断分析）方法。

ＦＭＥＤＡ是ＭＩＬ　Ｓｔｄ１６２９Ａ（ＦＭＥＡ，失效模式及影响分析）的扩展，用于在器件级分析失效率与失效模式、确定哪种失效导致安全情况、哪种失效导致危险情况。

与ＦＭＥＡ相比，ＦＭＥＤＡ增加了诊断分析。

通过ＦＭＥＤＡ，可以预知哪种危险失效会被诊断并导向安全。

因此，通过ＦＭＥＤＡ可以获得详细的失效率数据和安全失效分数，但需要由有资格的安全工程师主导进行分析。

问：我的产品通过ＦＭＥＤＡ分析，数据达到了ＳＩＬ３要求，我声明我的产品是ＳＩＬ（安全完整性等级）３级的设备，为什么有人会提出异议？安全控制技术答：ＳＩＬ是针对过程分配的安全相关系统而言，用正确应用适当的设备在系统中获得的，一个设备不能有ＳＩＬ等级。

因此，针对单一设备，“我们的产品是ＳＩＬ３级的设备”，或者“我们的产品被认证为ＳＩＬ３级设备”这些声明方式是不对的。

问：我的产品通过ＦＭＥＤＡ分析，我应该如何宣传我的产品？答：应该这样声明：该设备已经经过ＦＭＥＤＡ分析并发现它适合于应用在安全仪表系统（ＳＩＳ）的ＳＩＬ３级安全仪表功能（ＳＩＦ）中，但没有考虑安装、操作、测试、维护和环境应力的影响与限制。

也可以这样声明：该产品已经经过ＦＭＥＤＡ程序分析，并确定适合用于ＳＩＳ的ＳＩＬ３级ＳＩＦ（安全仪表功能）中。

问：应该到哪里获得计算硬件失效的失效率数据？答：失效率数据缺乏是功能安全标准实施时遇到的一个现实问题，但现在情况越来越好。

目前功能安全领域常用的失效率数据包括：・ＥＸＩＤＡ公司推出的“安全设备可靠性手册”・ＯＲＥＤＡ公司推出的“可靠性数据手册”・美国化工过程安全中心（ＣＣＰＳ）推出的“过程设备可靠性数据”这些数据主要集中在流程工业领域。

问：我们使用ＥＸＩＤＡ的设备可靠性数据时发现，同类设备也存在不同的评估，请问它们的真实含义是什么？答：目前在功能安全领域，不同认证服务机构进行产品功能安全评估时内容不完全相同，而且存在多种评估水平的失效数据。

不清楚各种评估水平代表的真实含义，很容易误导用户并导致用户的使用错误。

在ＥＸＩＤＡ的《安全设备可靠性手册》中，列出了一系列的评估，它们是：・ＦＭＥＤＡ评估ＦＭＥＤＡ评估只针对硬件随机失效，没有包括软件和安装、操作、测试、维护和环境应力的影响与限制，也就是说，完成ＦＭＥＤＡ评估的产品，只能说明其硬件部分达到了某一ＳＩＬ等级要求，系统失效部分没有考虑，不能保证产品在使用中不出现系统失效。

ＦＭＥＤＡ评估包括了硬件失效模式、硬件诊断能力的详细分析。

・ＥＸＩＤＡ　ＦＭＥＤＡ评估ＥＸＩＤＡ　ＦＭＥＤＡ评估除了通常的ＦＭＥＤＡ评估内容外，还包括硬件使用寿命及检验测试有效性的分析，所以如此评估后得出的失效数据更接近实际情况。

・ＩＥＣ　６１５１１　ＰＲＩＯＲ　ＵＳＥ评估这类评估是根据ＩＥＣ　６１５１１标准，主要针对在流程工业领域已经有足够的使用历史、实践证明是好用的产品，如果有统计数据表明该产品工作小时足够、现场故障记录完整、故障数据获取过程和产品版本的修改过程合理正确，并且有软硬件故障分析结论，根据ＩＥＣ　６１５０８要求进行配置管理系统评估后，可以确定该产品能达到的ＳＩＬ等级。

这类评估是由用户而不是设备供应商进行。

这类评估的结果有效消除了系统失效的数据，因此，可以很好保证产品在使用中的安全性。

但条件是要使用的目标应用条件与评估时产品的应用条件必须完全相同，只要有一点不同，所导致的数据就可能完全不同。

需要专门分析这一点不同可能导致的所有失效可能性。

・ＩＥＣ　６１５０８　ＰＲＯＶＥＮ　ＩＮ　ＵＳＥ评估这类评估是根据ＩＥＣ　６１５０８标准，对以往开发的子系统，如果功能明确、有充分文档依据表明子系统的具体配置此前确实应用过，以及考虑过任何所需的附加分析和测试时，才能被认为是经使用证实的子系统。

ＥＸＩＤＡ在进行此项评估时，除了进行ＩＥＣ　６１５１１ＰＲＩＯＲ　ＵＳＥ的评估内容，还要对硬件的随机失效进行详细分析，包括硬件失效模式、诊断能力、使用寿命、检验测试有效性分析，同时还要对现场失效回报、设计修正历史、硬件设计过程进行评估。

评估水平大大高于前几项评估。

因为产品经过使用证实其安全性达到要求，因此，该类评估并不需要对软件等可能导致系统失效的部分进行深入评估。

・ＩＥＣ　６１５０８　Ｃｅｒｔｉｆｉｃａｔｉｏｎ评估这是所有评估中水平最高的一种评估。

该项评估针对的是新开发的电气、电子、可编程电子产品，因此，除了对硬件随机失效进行完全评估外，它还需要对所有可能导致系统失效的部分进行评估。

它包括的内容除了ＩＥＣ　６１５０８　ＰＲＯＶＥＮ　ＩＮ　ＵＳＥ所包括的内容外，还包括了硬件测试技术、软件要求、软件危险程度、软件设计技术、安全手册的确认、软件测试技术、产品测试技术包括环境测试以及制造过程的完整评估。

几种评估的比较见表１。

Control Tech of Safety & Security由表１可见，ＩＥＣ　６１５０８　Ｃｅｒｔｉｆｉｃａｔｉｏｎ是最完全的评估，只有通过这类评估，设备才可以声称符合ＩＥＣ６１５０８标准的ＳＩＬ等级。

问：我有一系列产品想请ＴUＶ做功能安全认证，请问ＴUＶ莱茵公司进行功能安全认证的一般程序是什么？答：ＴUＶ莱茵在功能安全产品认证方面有很丰富的经验，他们对产品及系统进行功能安全认证，一般需要经过概念审查、要点检查与认证３个步骤。

・概念审查在概念审查阶段，需要检查产品规范与设计及安全概念，看相关标准的要求是不是遵守了，看安全概念是不是能够满足要求安全等级的功能安全要求。

在结构和功能块一级进行失效影响分析，以确定是否采用了足够的失效检测和控制措施。

如果需要，还会进行一下预算，确定定量部分（ＨＦＴ，ＳＦＦ，ＰＦＤ，ＰＦＨ）是否符合ＩＥＣ　６１５０８的规定。

确认与审批要求规范、测试计划及要点检查时的测试方案。

还需要评估确定所有避免失效的要求（质量保证）都能够满足。

通过概念审查，表明产品设计在原理层面上符合要求。

・要点检查此阶段需要查证和分析产品的所有安全相关功能。

根据想要达到的安全等级（ＳＩＬ）进行详细的ＦＭＥＡ分析，此分析不仅包括部件内部的失效，还要包括外部电路，包括有意或无意的错误操作与使用。

要分析产品在这些反常条件下的行为。

需要进行进一步的测试：——根据ＩＥＣ　６１５０８计算定量的部分，必须达到ＳＩＬ要求的目标失效量；——气候、机械、电气测试环境适应性；——电气安全和设备；——整个生命周期中应用的避免失效措施（质量保证）的评估。

要点检查完成后要提交一份最终测试报告。

总之，在要点检查阶段，需要检查测试硬件／软件及机械部件的功能安全；电气安全；环境条件与ＥＭＣ；在设计开发阶段的质量管理状况；验证与确认计划；部件级、子系统级、系统级的ＦＭＥＤＡ；失效检测与反应（内部自测试）；验证／计划ＰＦＤ、ＳＦＦ值；表１ ＥＸＩＤＡ收集失效率数据时采用的几种评估内容比较软件审批；用户文件及安全手册的检查。

检查阶段应完成检查与测试报告。

・最终认证在认证阶段，主要依据检查与测试报告的结果，确认是否有足够的证据表明已经采取了有效措施避免和控制硬件及软件失效；系统的所有安全功能是否都能实现；所有定量指标都达到要求。

如果结果符合标准要求，则可通过认证。

检查与认证的内容包括硬件、软件、用户文件、安全手册及使用的程序设计工具。

在硬件、软件的检查与认证过程中，需要对设计方案等细节、质量管理等做详细检查。

所有系统必须满足下列要求：——在设计与开发阶段，采取避免和控制失效的措施，特别是避免和控制硬件及软件系统失效的措施；——结构约束（安全失效分数和硬件故障裕度，诊断的覆盖率）　；——危险失效率（ＰＤＦ）；——还要考虑应用（响应时间，安全状态）。

问：我有一个新开发的压力变送器，想请ＥＸＩＤＡ公司认证，但我担心花了钱最后又达不到认证要求，有没有变通的方法？答：ＥＸＩＤＡ比较灵活，可以请他们先做ＦＭＥＤＡ分析，对硬件部分的失效模式及失效率进行分析后，相关的数据就可以进入ＥＸＩＤＡ的“安全设备可靠性手册”中，第一步宣传目标就可以达到，随后再进行软件等系统失效的评估，最终完成ＩＥＣ　６１５０８ｃｅｒｔｉｆｉｃａ－ｔｉｏｎ认证。

问：我集成的系统中，选用的设备失效率全部都符合要求，最后计算的每一个功能安全回路ＰＦＤ也符合要求，是不是就可以说：实现功能安全了？答：不，系统中每个安全功能回路的硬件随机失效部分控制住了，只是开始。

有统计表明，多于６０％的安全仪表系统失效是由于设计、安装、操作、测试、维护、文档错误导致的，因此，还需要考虑设计者的资格、要求和使用供应商的安全手册、环境压力、腐蚀、响应时间、安装／装配、布线／接地、电源／冗余、维护指导、测试间隔、程序和工作表、产品复审等级等等多方面。

结束语ＩＥＣ　６１５０８标准是功能安全基础标准，涉及石化、化工、电力、冶金、铁路、医疗仪器、机械等多个领域，不同用户面临不同的行业特点，但在功能安全方面，有许多共同的问题需要业界专家的共同探讨。