【海川化工资讯】——SIL的应用与误用

只有当满足一定条件，需要执行有缺陷的代码（或者由于遗漏了需求，而需要执行的代码实际并不存在）时，软件中的缺陷才会导致失效。因此，软件的失效分布实际是由软件中缺陷的分布和软件运行时需求的分布共同决定的。需求的分布通常不容易确定，而缺陷的分布基本上未知，因此准确的预计失效分布的可能性是非常小的。

对于软件而言，如果要达到安全可接受的水平，则需要保证危险失效的发生概率要低到可接受的水平，而不仅仅是减少缺陷数量。进一步来说，失效是否是安全的则与软件的实际应用条件关系非常大。以铁路信号系统为例，信号系统最主要的目的之一就是要避免列车相撞，因此任何一个会导致列车停车或无法移动的失效都可以被看作安全失效，而危险失效则是当列车不应该移动时会导致列车移动的失效。在其它行业的应用中，可能对于软件的运行方式更为看重，这时可能判断一个失效是否属于安全失效会更加困难。

虽然在大多数情况下，不是所有的失效都是危险失效，但是标准中建议的那些软件工程方法和技术基本都是用来减少缺陷数量的，而没有考虑这些缺陷引发的失效是否会产生危险。尽管大多数常见的软件工程技术在处理会导致危险失效的缺陷和不会导致危险失效的缺陷时没有什么差别，我们还是可以关注一些可以在某些特定应用场合下避免或消除那些会导致危险失效的技术，尤其是缺陷分析或测试技术。

综上所述，软件出现危险失效的概率即使可以估算，也仅仅是非常粗略的近似值，因为对于某些因素我们可能无法进行度量。

如果我们完全梳理清楚了各因素之间的关系，如果可以为每一个因素找到适当的评价指标，如果我们有足够的数据可以确定这些指标的取值，那么软件的危险失效率可以使用下面的公式进行评估：

式中：

λ_usf = 危险失效率（每小时）

χ = 每单位软件工程量所包含的缺陷数

S_c = 软件工程量，是容量和复杂度的函数

A = 与容量和复杂度相关的乘积系数

F = 引发危险失效的缺陷在全部缺陷中的比例

P_D = 每小时中一个缺陷被激发的概率

SIL的可视化

对于抽象的概念，通常可以借助图像来帮助理解。这里使用两种方式对SIL进行可视化，来帮助我们明确SIL与危险失效概率之间的关系。

作为在很多行业都广泛采用的方式，在最初的危险事件和最终的严重事故之间通常会安排有多层的保护或隔离措施。因此要理解SIL在保证系统安全中的作用，一种方式就是将SIL与James Reason[6]提出的用于事故原因分析的瑞士奶酪模型（“Swiss Cheese” model）对应起来。在这个模型中，使用一摞奶酪片来表示一道道的防御、隔离及安全措施，奶酪中的孔则表示错误和缺陷。

所有奶酪切片排在一起，切片上的孔可以形成一条贯穿整摞奶酪的通道的概率则表示了多个错误或缺陷的组合导致事故发生的概率。

如图5所示的简化示例中使用3片奶酪表示了3类的防止列车相撞的措施：信号系统、铁路运营规程以及驾驶员、信号员的意识。那么提高信号系统的SIL等级就相当于减小对应奶酪切片上孔的大小和数量。

如果将所有按照SIL1需求开发的系统的平均危险失效间隔时间（Mean Time Between Dangerous Failures，MTBDF）绘制在一张图上（假设我们可以知道这些具体的数值），那么我们可以得到一条MTBDF的分布曲线（作者原文是：the distribution of the probability of failures，但根据作者的意图及文中的图像，应该是将MTBDF看作随机变量，绘制其概率密度曲线，下同）。

如果将所有按照SIL2需求开发的系统的MTBDF值层叠的绘制在同一张图上，则可以在SIL1曲线右侧得到另一条与SIL1曲线有部分重叠的分布曲线。

如果我们知道按照每一个SIL等级需求开发的所有系统的MTBDF数值并把它们绘制在一张图中，我们可以得到一个如图6所示的图像，图中有4条相互重叠的分布曲线，这些曲线可以看作是对图4中SIL(A)取值范围的表达。

随机失效与系统失效

对于确信SIL等级对应有定量指标的人而言，可能会说随机失效和系统失效并不像标准制定者想的那样。以EN 50129为例，安全完整性被定义为由随机失效完整性和系统失效完整性两部分组成，其中系统失效完整性是整个安全完整性中与危险的（硬件或软件）系统失效相关的不可量化的部分。标准接下来指出系统失效是由系统/子系统/设备全寿命周期各个阶段中的人为错误（如设计错误）引发的，而随机失效，特别是硬件随机失效，是由于硬件元器件自身固有的可靠特性引发的。

尽管在设计或维修工程师的眼中，系统失效从某种意义上来说确实是非随机的，因为这些缺陷一旦出现，它们对系统的影响就是可以预知的。但对于并不知道缺陷存在的操作者而言，失效的发生和随机失效是没有区别的。硬件的失效是由自身的物理特性决定的：元器件会由于电、热、机械和化学应力的共同影响产生失效。如果元器件的工作环境条件可以准确获知的话，失效是完全可以预测的。元器件失效的随机性实际是由于我们对工作环境条件了解不足造成的，就和由于经验不足导致的设计错误在没有被发现之前的情况类似。

可以看到，对于失效而言，可能从某个角度来看都是确定性，而从另一个角度来看则是随机的。这之间的差别就是失效的发生概率是否可以预计出来。

SIL已经变成一个梗（meme）了吗？

“meme”这个词最早出自1976年Richard Dawkins所著的《The Selfish Gene》一书中。其含义是指“在诸如语言、观念、信仰、行为方式等的传递过程中与基因在生物进化过程中所起的作用相类似的那个东西”，更流行说法是“一种像病毒一样在人群中传播很快很广的想法”（译者注：我查了很久，感觉现在大家常说的“梗”应该是最接近这个解释的词语了）。SIL的概念现在在行业内也是众所周知：所有搞安全相关系统的人张口闭口都是SIL，说出来就是专家，说不出来就是外行。就像基因或病毒传播久了就会变异一样，SIL的误用在这个口口相传的过程中也变得越来越多。

最常见的误用形式就是使用SIL来替代概率：特别是在不需要数学表达的场合下，说SIL4要比说10的-9次方省事儿多了。这种说法即使是在经常应用相关标准或从事相关咨询的专家的口中也是经常出现的。

SIL这个梗现在甚至连安全相关系统之外的领域都在使用，更有甚者成了安全、高质量的代名词。最明显的例子就是竟然出现了宣称达到SIL4的轨道紧固件，以及SIL4级接触网支柱的采购需求。

在我看来，SIL应该具有更深层次的工程指导意义，而不仅仅是一个概念模糊的褒义词。

SIL及其对技术的限制

要求安全相关系统必须通过证明符合国际标准的方式来验证达到了某一SIL等级的做法可能会给某些特定需求下的技术解决方案的实施与应用带来不必要的限制。

客户可能会拒绝将一些老型号的产品用于新的应用场合，因为这类产品是在引入标准前开发的，由于不符合标准要求而无法申明SIL等级。这类产品有时也会作为无法替代的老旧设备而被勉强接受，但言下之意这些产品没有SIL等级因而是没有那么安全的。人们潜意识里都认为IEC 61508及相关铁路行业标准的引入代表着安全相关系统的技术水平有了很大提升，SIL则是对这种技术进步的证明。

但事实上标准只是将开发那些所谓的老旧系统时用到的各种技术进行了评级和标准化。技术还是那些技术，与若干年前没什么两样，标准只是对其中一些经过老旧系统的验证表明能起到效果的技术进行了汇编与总结。

必须满足SIL要求的做法在某种程度上也在抑制安全相关系统或软件方面的技术发展。一项新的技术，如果它没有出现在标准的推荐技术之中，即使再有效也无法用于SIL的验证，这样就不会有创新的动力。

SIL适用于功能还是系统？

尽管熟悉标准的人会强调“系统的SIL等级”这种提法是对SIL概念的误用，因为SIL原本就应该与安全功能对应而不是与系统对应。但“系统的SIL等级”还是随处可见。在这个问题上其实不太好界定是不是对SIL的误用。实际上，EN 50129中对安全完整性的定义为安全相关系统在规定时间和规定工作环境内在所有规定条件下都能完成所需的安全功能的能力（英文原文：… the ability of a safety-related system to achieve its required safety functions under all the stated conditions within a stated operational environment and within a stated period of time），而而强调概率观点的IEC 61508中对安全完整性的定义为安全相关系统在规定时间内在所有规定条件下成功执行需求规定的安全功能的概率（英文原文：… the probability of a safety-related system satisfactorily performing the required specified safety functions under all the stated conditions within a stated period of time）。而要验证一个安全功能达到了所需的SIL等级，有必要提供执行该功能的系统的特性数据作为证明。

正确的表述系统的安全完整性等级的方式应该是：一个用于执行特定功能或功能组的SIL2系统，但对其它功能不做申明。然而由于标准自身的原因，特别是EN 50128和EN 50129，包含了大量的用于整个系统或整个软件开发过程的推荐技术，因此设计人员宣称整个系统而不是某个功能是满足SIL要求的这种说法就可以理解了。
如果可把注意力集中在如何在低SIL等级甚至无SIL等级的硬件和软件中实现相对高SIL等级的功能，那么就可以在开发和安全保证过程中避免一些不必要的花费。这种情况在指定功能的危险失效率非常低或者在整个系统的总体失效率中只占非常非常小的比例时是可以实现的。最典型的例子就是数据传输设备，通过加入适当的错误检测码，可以将设备能够正常通信但传输数据出错的失效概率降低到几乎为零。类似的方法也可以较为有效的用于其他领域，比如设计一个具有人机接口的系统，要求整个系统达到给定的SIL等级，该SIL等级是由众多接口功能中的一个或两个接口功能提出的，这些功能可以使成本上涨或者阻止所需功能的实现。

沙漠里的游鱼 发表于 2018-11-19 14:02

结论

将每一个SIL等级与一个固定不变的概率对应起来，很容易使人误认为系统实际的安全性能肯定会达到对应的限值范围。也很容易让工程师错误的将注意力都集中在对比检查单查找不符合项上，而忽略系统中由于容量、复杂度、成熟度等技术细节所带来的潜在问题。

虽然现在对于SIL的理解众说纷纭，很难形成统一的思想，但只要有人不断站出来指出其中的错误就应该问题不大。但更令人担心的是这种要求必须符合SIL标准的作法可能会对未来技术的创新以及已有成熟系统的应用造成严重的阻碍。