在IEC 61508中，基本上有兩種類型的安全功能，高需求和低需求。高需求安全函數(shù)是指每年發(fā)生一次以上（例如每天一次）的需求，而低需求是指預(yù)期需求率低于每年一次（例如每10年一次）的需求。

確定安全功能是低需求還是高需求具有以下影響：

· 關(guān)鍵的可靠性指標(biāo) – 可能是 PFD 的 PFH

· 確定任何安全功能所需SIL的合適方法

· 為防止引入設(shè)計(jì)錯(cuò)誤（系統(tǒng)錯(cuò)誤）而必須采取的措施

· 診斷率

IEC 61508中沒(méi)有“需求”的定義，但I(xiàn)EC TR 631161將需求定義為“導(dǎo)致安全控制系統(tǒng)執(zhí)行安全控制功能的事件”。在過(guò)程工業(yè)中，需求也可以稱為過(guò)程更新或過(guò)程偏差。

IEC 61508定義了第三種工作模式，稱為連續(xù)模式，但要求類似于高需求模式。在低需求和高需求模式下，需要發(fā)生兩件事才能有人受傷。1）安全系統(tǒng)需要失效，2）當(dāng)安全系統(tǒng)處于失效狀態(tài)時(shí)，必須發(fā)生需求。在連續(xù)模式下，一旦安全系統(tǒng)發(fā)生危險(xiǎn)故障，就會(huì)發(fā)生事故，因?yàn)樗蔷S護(hù)安全的安全系統(tǒng)。

圖 1 - 符合 ISO/TR 12489：2013 的連續(xù)模式與需求模式

雖然IEC 61508作為基本標(biāo)準(zhǔn)需要涵蓋低需求和高需求模式，但行業(yè)特定標(biāo)準(zhǔn)并非如此。例如，機(jī)械只有高需求，而過(guò)程控制的需求大多很低。盡管ISO 26262根本沒(méi)有操作模式，但安全氣囊子系統(tǒng)之類的東西具有高需求和低需求安全功能，因此所有安全功能實(shí)際上都是高要求（低需求安全功能在碰撞時(shí)展開安全氣囊，高要求安全功能是防止意外部署。

圖2 - 如何根據(jù)IEC 63161計(jì)算需求率

上圖來(lái)自IEC 63161草案，其中將需求率計(jì)算為DR=IR.Pr.Fr.（1-AV）

在下一篇博客中，我將處理PFH（高需求）和PFD（低需求）指標(biāo)。

需求率可用于根據(jù)系統(tǒng)要求確定 SIL。假設(shè)可接受的最大風(fēng)險(xiǎn)被視為 1e-5/y。假設(shè)每 1 個(gè)事件中只有 100 個(gè)導(dǎo)致死亡 => 可以讓需求發(fā)生的頻率提高 100 倍 => 1e-3/y 而不超過(guò) 1e-5/y 數(shù)字。進(jìn)一步假設(shè) EUC（受控設(shè)備）每 5 年僅發(fā)生故障一次 （0.2/y）。那么，根據(jù)IEC 1-3：0表2，安全系統(tǒng)的平均需求故障最大需要為5e-3/1.200 = 2e-61508，即1/2010，在SIL 2范圍內(nèi)。

因此，系統(tǒng)需要達(dá)到 RRF（風(fēng)險(xiǎn)降低因子）200 并滿足 SIL 2 的系統(tǒng)要求 – 請(qǐng)注意，RRF 為 100 到 999 將在系統(tǒng)要求方面給出 SIL 2 要求（也稱為系統(tǒng)能力 SC 1 到 SC 4）。但是，PFH和PFD（見下一篇博客）仍然必須足以實(shí)現(xiàn)200的風(fēng)險(xiǎn)降低系數(shù)。

關(guān)于設(shè)置診斷測(cè)試速率，請(qǐng)參見IEC 61508-2：2010條款7.4.4.1.4和7.4.4.1.5。實(shí)際上，對(duì)于非冗余系統(tǒng)，它指出診斷測(cè)試間隔（診斷測(cè)試速率的倒數(shù)）加上達(dá)到安全狀態(tài)的時(shí)間之和應(yīng)小于過(guò)程安全時(shí)間或診斷測(cè)試速率與需求速率之比等于100。對(duì)于低要求的安全功能，沒(méi)有最低診斷測(cè)試率，但通常認(rèn)為一次/天或一次/班次是保守的，應(yīng)該允許滿足硬件可靠性指標(biāo)（PFD）。

審核編輯：郭婷