通過(guò)之前皮爾磁的GB/T16855.1標準解讀的內容連載，相信大家已經(jīng)了解到了如何確定類(lèi)別、如何確定平均危險失效間隔時(shí)間MTTFD以及如何確定平均診斷覆蓋率DCavg等知識。有了這些積累，就可以確定安全控制系統中安全功能的性能等級PL了。 

“子系統的概念”

實(shí)現安全功能的安全控制系統通常由不同的子系統組成。這些子系統采用不同的技術(shù)和/或實(shí)現不同的類(lèi)別/性能等級。

如下圖一，這是一個(gè)實(shí)現安全聯(lián)鎖功能的安全控制系統，由安全輸入子系統、安全邏輯子系統和安全輸出子系統三部分組成，宜分別確定每一個(gè)子系統的PFHD。

一般有兩種情況： 

1. 子系統直接給出PFHD的值，可以直接使用。如圖一中的安全邏輯子系統（安全繼電器），就可以通過(guò)該產(chǎn)品的技術(shù)手冊，直接查到PFHD的值。 

2. 對于未直接給出PFHD值的子系統，如圖一中的安全輸入子系統（兩個(gè)安全聯(lián)鎖開(kāi)關(guān)）和安全輸出子系統（兩個(gè)接觸器），宜根據每一個(gè)子系統中確定的類(lèi)別、MTTFD、DCavg來(lái)確定該子系統的PFHD（參見(jiàn)GB/T 16855.1－2018中附錄K）。

圖一 

將所有子系統的PFHD數值相加，通過(guò)求和得出整體PFHtotal的相關(guān)數值； 

式中：

N——安全功能所使用子系統的數量，以圖一為列，N為3PFHDi——第i個(gè)子系統的平均每小時(shí)危險失效概率 

得出總的PFHtotal的值后，對照下表，就可以得出對應的性能等級PL。

在確定PL的同時(shí)，如果使用類(lèi)別2及以上的結構，還需要考慮共因失效。 

共因失效 (common cause failure)，縮寫(xiě)為CCF，是由單一事件引發(fā)的不同產(chǎn)品的失效，這些失效不互為因果。共因失效為冗余安全控制系統兩個(gè)通道都發(fā)生的因相同原因造成的相關(guān)危險失效。GB/T 16855.1－2018中附錄F中提出了一個(gè)包含8種重要防范措施的檢查清單。這8種措施分別被賦予了5~25不等的分值：

• 不同通道的信號路徑之間的物理分離/隔離（15分）

• 采用不同的技術(shù)/設計或物理原則（20分）

• 防止可能發(fā)生的過(guò)電壓、過(guò)電流、過(guò)壓力、過(guò)熱等（15分）以及使用經(jīng)驗證的元件（5分）

• 開(kāi)發(fā)過(guò)程中進(jìn)行失效模式和影響分析（5分）

• 就CCF的原因和后果，對設計者/維護者進(jìn)行培訓（5分）

• 防止污染（機械或流體系統）以及電磁干擾（電氣系統）觸發(fā)共因失效（25分）

• 防止不利環(huán)境條件觸發(fā)共因失效（10分）

對于上面提到的8種措施，每種措施的得分只能得滿(mǎn)分或零分，即使是部分滿(mǎn)足某種措施，該措施對應的得分也為零?；诖嗽瓌t計算出安全控制系統防止CCF的措施得分。

足夠防止CCF(共因失效)的措施要求最低得分為65分。

在實(shí)現PL≥PLr的基礎上，CCF適用時(shí)其得分大于等于65分，實(shí)現安全功能的安全控制系統的設計，才符合GB/T 16855.1或ISO 13849-1的要求。