低、高和连续模式安全功能

在IEC 61508中，基本上有两种类型的安全功能，高需求和低需求。高需求安全函数是指每年发生一次以上（例如每天一次）的需求，而低需求是指预期需求率低于每年一次（例如每10年一次）的需求。

确定安全功能是低需求还是高需求具有以下影响：

· 关键的可靠性指标 – 可能是 PFD 的 PFH

· 确定任何安全功能所需SIL的合适方法

· 为防止引入设计错误（系统错误）而必须采取的措施

· 诊断率

IEC 61508中没有“需求”的定义，但IEC TR 631161将需求定义为“导致安全控制系统执行安全控制功能的事件”。在过程工业中，需求也可以称为过程更新或过程偏差。

IEC 61508定义了第三种工作模式，称为连续模式，但要求类似于高需求模式。在低需求和高需求模式下，需要发生两件事才能有人受伤。1）安全系统需要失效，2）当安全系统处于失效状态时，必须发生需求。在连续模式下，一旦安全系统发生危险故障，就会发生事故，因为它是维护安全的安全系统。

图 1 - 符合 ISO/TR 12489：2013 的连续模式与需求模式

虽然IEC 61508作为基本标准需要涵盖低需求和高需求模式，但行业特定标准并非如此。例如，机械只有高需求，而过程控制的需求大多很低。尽管ISO 26262根本没有操作模式，但安全气囊子系统之类的东西具有高需求和低需求安全功能，因此所有安全功能实际上都是高要求（低需求安全功能在碰撞时展开安全气囊，高要求安全功能是防止意外部署。

图2 - 如何根据IEC 63161计算需求率

上图来自IEC 63161草案，其中将需求率计算为DR=IR.Pr.Fr.（1-AV）

在下一篇博客中，我将处理PFH（高需求）和PFD（低需求）指标。

需求率可用于根据系统要求确定 SIL。假设可接受的最大风险被视为 1e-5/y。假设每 1 个事件中只有 100 个导致死亡 => 可以让需求发生的频率提高 100 倍 => 1e-3/y 而不超过 1e-5/y 数字。进一步假设 EUC（受控设备）每 5 年仅发生故障一次 （0.2/y）。那么，根据IEC 1-3：0表2，安全系统的平均需求故障最大需要为5e-3/1.200 = 2e-61508，即1/2010，在SIL 2范围内。

因此，系统需要达到 RRF（风险降低因子）200 并满足 SIL 2 的系统要求 – 请注意，RRF 为 100 到 999 将在系统要求方面给出 SIL 2 要求（也称为系统能力 SC 1 到 SC 4）。但是，PFH和PFD（见下一篇博客）仍然必须足以实现200的风险降低系数。

关于设置诊断测试速率，请参见IEC 61508-2：2010条款7.4.4.1.4和7.4.4.1.5。实际上，对于非冗余系统，它指出诊断测试间隔（诊断测试速率的倒数）加上达到安全状态的时间之和应小于过程安全时间或诊断测试速率与需求速率之比等于100。对于低要求的安全功能，没有最低诊断测试率，但通常认为一次/天或一次/班次是保守的，应该允许满足硬件可靠性指标（PFD）。

审核编辑：郭婷