【海川化工资讯】——SIL的应用与误用

原文标题：The Use and Misuse of SIL（2009年1月14日发表于伦敦）

原文作者：Roger Short CEng, MIRSE, MIET, Atkins Rail, UK

文章长度约9000字，阅读大概需要约25分钟。

写在前面

本文最初发表于2009年的IRSE News (Issue 142, February), 作者为Roger Short，好友陈胤先生2019年6月22日在其公众号“RAMS工程师”上进行了转载，李小金博士看到这篇文章后，觉得尽管是多年前的文章，但是对于大家准确理解SIL概念仍然有很大的帮助，在征得Roger Short先生的同意后决定对这篇文章进行翻译。

在此感谢Roger Short先生的授权，同时也感谢陈胤先生对翻译提出的宝贵建议与意见。

译者的话

1、本文所讲述的SIL概念及其评价方法主要是针对软件而言的。

2、本文中作者对于失效率（failure rate）和失效概率（failure probability）并没有严格区分，在很多地方是混用的。这种混用在安全分析的场合或者说在时间较短且失效率水平很低的条件下，从工程应用角度来说是可以接受的（相当于用频率近似概率）。但我觉得还是有必要帮助读者区分一下。

以指数分布为例：

上式中：λ为失效率（指数分布时为常数），标准单位为h^(-1)，其他常用单位有FPMH、FPMK、FIT等；F(t)为对应的失效概率，即P(T≤t)，无单位。

容易得出，当λt趋近于0时，F(t)和λt可以看做是等价的。这种假设条件通常在安全分析的场合是可以接受的，但此时我们需要十分注意失效率的单位。

3、对于一些关键性的定义，我保留了原文，便于读者更准确的理解其含义。

以下为文章正文

引言

安全完整性等级（SIL）的概念在安全相关领域的软件及电子系统的接收与确认工作中起到了举足轻重的作用。然而，人们常常只关注于每一个SIL级别所对应的固定的失效概率阈值，而没有将影响这一数值的所有因素进行全面考虑，从而削弱了SIL的内在价值。甚至会由于对SIL的理解偏差而导致对整个安全完整性概念的错误解读和错误应用。

SIL的历史

使用分级的方式对可编程电子系统及其软件的安全性进行度量的理念最早出现于上世纪80年代制定这类系统的国际标准的过程中。
最终形成了可编程电子安全相关系统的国际基础标准：IEC 61508[1]，同时也推动了铁路行业安全相关系统的CENELEC标准[4,5]的产生。

为了解决计算机在安全关键控制场合的应用问题，世界各国的制造商、研究机构、大学在上世纪七八十年代开发了大量的软件工程技术[2,3]。但另一方面，即便这些技术中有很多已经被标准采用并推荐用于降低软件中的错误概率，我们仍然无法预知采用了这些技术的软件中还残存着多少错误，因为我们无法采用类似于硬件的方法来计算软件的危险失效概率（对于硬件我们可以基于电子元器件的失效率计算硬件系统的失效概率）。

虽然到目前为止仍然没有可以准确预计软件错误概率的技术手段，但是领导IEC 61508标准制定的先驱们确信可以通过专家判断法对已有技术在确保软件正确性方面的有效性进行评级。在此基础上根据有效性设置了4个递增的组别，将应用于软件生命周期各阶段的各种技术分配到各个组中。这样选定一个分组并在软件生命周期的各个阶段中应用这个分组中的各项技术，则可以使软件达到该组别所对应的安全完整性要求。

英国铁路行业协会在1991年发布的铁路信号系统安全相关软件的行业标准RIA23就完全采用了上述的SIL概念。实际上除了发布时间早之外，RIA23从IEC 61508中获益匪浅，因为在起草RIA23标准的过程中采纳了很多来自英国的专家组成员的意见，而这些专家最终主导发布了IEC 61508。RIA23之所以先于IEC 61508发布是由于后者作为国际标准，为了使各成员国达成共识，在发布前还需要完成一系列繁杂的程序。

实际上图1所示的就是目前我们开发具有SIL要求的安全相关软件的方式：根据标准在各种推荐技术的表格中选择适用的技术。

从各个表格中选择一种技术所得到的组合方式的数量是非常大的，大概可以达到3×(10^15)。

这种在系统开发中采用某些技术以达到安全完整性要求的理念，已经被扩展并覆盖到系统的设计、安装及维护阶段，并可以防止电子系统中其它一些“系统性”失效的发生。EN 50129中针对这些技术提供了10个表格，但与EN 50128不同的是，这些表格中的技术多数不是可选的，在开发安全相关系统时这些表格中的大部分技术通常都需要使用，因此可供选用的技术组合数量实际上要比EN 50128中少很多。

SIL与失效概率

在SIL概念逐渐形成的过程中，为每一个SIL级别确定了一个量化的概率数值。IEC 61508和EN 50129[5]中都包含了这个表明SIL与危险失效率对应关系的著名表格（如表1所示）。

表1 IEC 61508中规定的SIL与失效概率的对应关系

如果仔细的阅读IEC 61058、EN 50128、EN 50129，会发现这些标准实际上并没有声明只要在软件生命周期中按照各SIL等级建议应用相应的技术措施就一定可以达到对应的危险失效概率水平。但很多读者会对标准进行这样的误读。笔者在对很多大型铁路项目的安全案例评审过程中发现这样的误读不在少数。

这种SIL和特定概率值的关联关系是对SIL概念产生上述误读的主要原因。这种认为采用某些技术组合就可以达到SIL对应的危险失效概率水平的说法本身就是对安全性、可靠性领域中常用的“概率”概念的误读。表1中并没有说明表格中的概率水平是如何达到的，但似乎可以确定这些数据的得出是基于专家判断而不是经验数据。因为当时没有人有能力确定按照这些建议措施开发得到的安全相关系统在实际使用时是否达到了对应的失效率水平，甚至直到今天我们能够获取的统计数据仍然十分有限。

如果想要验证危险失效概率达到了10^(-9)每小时，那么需要运行约10^10小时（相当于约100万年）而不能发生危险失效。目前基本上没有几个安全相关系统可以声称已经积累了如此多的运行数据。SSI（Solid State Interlock）铁路计算机联锁系统的轨旁模块（Trackside Functional Module，TFM）从1984年开始应用，在接下来的24年里已经在世界范围内投入使用约30000件，累计运行了约3×(10^10)小时。目前世界上能找到的具有如此多运行经验的类似系统应该也很少，但即便把所有这些系统的数据加在一起，也仅能证实少部分SIL4对应的技术组合。

由于可以满足指定SIL级别要求的技术组合非常多，因此**降低了SIL对应的失效概率区间的可信度，而SIL原本就是按照很窄的失效概率区间排列的。我们可以有成千上万种方法开发出符合IEC 61508要求的SIL4级别的软件，但它们都可以保证最终的危险失效概率在10^(-8)~10^(-9)每小时之间吗？

SIL的含义

现在将SIL级别与失效概率划等号的做法太常见了，因此我们有必要仔细考量一下不同的标准对于SIL的含义到底是如何描述的。

IEC 61058将SIL定义为一个离散的水平（共有四种可能的水平），其中安全完整性等级4具有最高等级的安全完整性，完整性等级1则最低。同时标准中对安全完整性的定义为安全相关系统在规定时间内在所有规定条件下正确执行所需安全功能的概率（英文原文：… the probability of a safety-related system satisfactorily performing the required safety functions under all the stated conditions within a stated period of time）。

铁路行业标准EN 50128[3]和EN 50129则在定义SIL时尽量避免使用概率这一术语，而将SIL定义为对一个系统在系统失效方面能够满足给定安全功能要求的置信程度的以数值方式表示的度量（英文原文：… a number which indicates the required degree of confidence that a system will meet its specified safety functions with respect to systematic failures）。这里的置信程度（confidence）在标准中仅用于表达其字面的含义，而不作w可以用来评估和计算的统计学术语使用。但实际工作中却有人据此认为软件达到了对应的SIL量级而不加质疑的使用。

在EN 50129中提到“由于无法使用量化的方法对系统失效对应的安全完整性进行评估，因此安全完整性等级用于对方法、工具及技术进行分组。有效的运用这一方法，可以在实现一个达到所需安全完整性等级的系统的过程中提供适当的置信水平”（英文原文：… “Because it is not possible to assess systematic failure integrity by quantitative methods, Safety Integrity Levels are used to group methods, tools and techniques which, when used effectively, are considered to provide an appropriate level of confidence in the realisation of a system to a stated integrity level”）。在EN 50128中的与表1相对应的表格中则使用从“低”到“非常高”的描述。

除了上述对于量化的处理方式不同之外，IEC标准和EN标准都采用下面两种方式来应用SIL：

作为软件在正确执行所需安全功能时所要求达到的失效概率和置信程度需求的度量（如图2中SIL(R)所示）。

作为对软件在正确执行所需安全功能时能达到的失效概率和置信程度的预计结果

对于方式(a)，有很多如风险图（Risk Graph）之类的技术可供使用。这些技术都是基于对应用的风险进行评估，这些风险源于人工判断以及对于风险的模糊的和不完整的认知所带来的固有的不确定性。这种方式从本质上来说就是对概率的运算。

对于方式(b)所提到的对期望性能的预计，则通常的做法是证明：软件是以符合标准的形式进行开发的，开发过程中采用了标准中针对该SIL等级所建议的各项技术及方法。

如图2所示，在不考虑软件大小的条件下，软件达到的SIL等级与所需的SIL等级是相等的。

SIL误用来预计危险失效率

实际上，各种基于SIL的软件标准都表示：对于给定的SIL等级，如果采用了标准中任意一种对该SIL等级所建议的技术或方法的组合，则软件可以达到相应的SIL等级的要求。由于标准中没有提及软件的大小（软件的大小一般指对软件容量、复杂度或其它维度的度量），这就相当于：无论软件的大小如何，选用同样组合开发出来的软件不管是在危险失效率、失效概率还是在置信程度上都是一样的。尽管EN 50128没有将SIL与数值对应起来，尽管EN 50129明确的表明SIL是针对系统失效的无法以量化方法进行评估，但在大多数情况下，当一个系统给出了SIL时，都被当作是对系统危险失效率的保证，而这个失效率的数值就来自于如表1所示的表中。

这样，对于一个SIL4的系统，无论其大小、复杂度、成熟度，都被认为对应的危险失效概率是在≥10^(-9)和

这个不仅仅是把软件度量技术应用于IEC 61508或EN 50128标准时会出现差异的问题，而且也与相关技术领域内的工程判断与经验相矛盾。如果想要理解“认为每一个SIL都对应唯一的危险失效概率取值”这种想法是多么的不合理，我们需要考虑清楚导致软件缺陷的因素以及决定缺陷是否会导致危险失效的因素都有哪些。

软件缺陷的起源

图3中总结出了可能造成软件缺陷或其它设计问题的一些主要原因。大多数缺陷是由于人为错误或者是将需求转化为产品过程中的理解错误导致的。当然也有一些缺陷是由于软件工具或者物理环境的干扰导致的。

可以看出，软件中的缺陷通常是由于几种原因导致的：实施软件工作活动中的人为错误，对应软件应用条件及其使用环境的错误理解或者忽略，以及其它一些技术原因。

实施软件工作活动中的人为错误导致的缺陷数量可以通过将每一项活动的错误率和需要执行的活动数量相乘进行估算。其中错误率与人员的能力、使用的技术、以及软件的复杂程度相关，而需要执行的活动数量则与软件的容量和复杂程度相关。

软件缺陷与失效

在对SIL进行定义时，人们考虑了各种不同的方法。这些方法都关注于软件在相关安全功能中的行为而不是软件中的缺陷数量。在本文中，软件的缺陷是指会导致失效的任意软件特性；失效则采用美国土木工程协会（American Society of Civil Engineers）给出的通用定义：失效是指不可接受的性能期望值与观测值之差（英文原文：“failure is an unacceptable difference between expected and observed performance”）。从这个角度而言，缺陷不仅包括会导致软件未按设计要求运行的错误代码，还包括设计或规范中遗漏和错误的要求。