SISTEMA工具实战:用免费软件做SIL定级

SISTEMA是德国IFA开发的免费安全分析软件，本文从案例出发，带你掌握SISTEMA的操作逻辑、参数填写和常见坑点。

SISTEMA工具实战：用免费软件做SIL定级

分类：🔵 标准解读

作者：HSE硬件与技术

开场案例

2025年初，某食品包装机械厂的安全工程师小陈接到了一个任务：为新开发的立式包装机做安全功能评估。

机器配置了安全光幕、安全门开关、急停按钮三个安全功能，每个功能需要确定需要的性能等级（PLr），然后验证现有设计是否能达标。

小陈翻了翻ISO 13849-1，找到了风险图和计算公式，埋头计算了整整两天。结果交上去的时候，评审专家问了一句：「你这个DCavg怎么算的？MTTFd取值来源是什么？CCF评分表的23项都做了吗？」

小陈愣住了——算归算，但每个参数的取值依据不够透明，审查方信不过。

后来同行推荐了一个免费软件：SISTEMA。不到半天，同样的三个安全功能全部完成建模与验证，一键生成报告，评审一次性通过。

SISTEMA是什么？怎么用？有什么坑？这篇就来聊一聊。

什么是SISTEMA？

SISTEMA（Safety Integrity Software Tool for the Evaluation of Machine Applications），是德国 IFA（Institute for Occupational Safety and Health） 开发的免费安全软件工具，用于按照 ISO 13849-1 标准对机械安全控制系统的安全功能进行建模和定量评估。

几个关键事实

项目	说明
开发者	IFA（德国法定事故保险机构的职业安全与健康研究所）
授权	完全免费，无需注册，可直接从官网下载
遵循标准	ISO 13849-1（对应国内GB/T 16855.1）
评估维度	PL等级、MTTFd、DCavg、CCF、Category架构
输出	详细评估报告（PDF/HTML），可直接用于CE认证技术文档
最新版本	SISTEMA 2.0（截至2025年底）
语言	德语/英语，国内有汉化辅助包

SISTEMA按照ISO 13849-1评估，输出的是PL等级（Performance Level），而不是IEC 62061的SIL等级。 不过根据ISO 13849-1附录C的对应表，PL与SIL之间有明确的映射关系，通过SISTEMA得到的PL结果也可以对应到SIL要求。

SISTEMA的操作逻辑：三步走

SISTEMA的评估逻辑可以分为三个层次，从上到下依次构建：

安全功能（Safety Function）    ├── 子系统1（Subsystem 1）    │       └── 通道1（Channel 1）    │             └── 模块1（Block 1）：传感器/逻辑/执行元件    │             └── 模块2（Block 2）...    │       └── 通道2（Channel 2）— 如果架构是冗余（Redundant）    ├── 子系统2（Subsystem 2）    └── 子系统3（Subsystem 3）...

第一步：创建安全功能（Safety Function）

定义你要评估的安全功能，例如「安全光幕保护：当光幕被遮挡时，驱动电机在500ms内停止」。

设定目标PLr（Required Performance Level），根据风险评估结果填写，比如PLr = d。

第二步：分解子系统（Subsystem）

一个安全功能通常由三个子系统构成：

子系统	典型元件	举例
输入子系统	传感器/开关	安全光幕、安全门开关、急停按钮
逻辑子系统	安全控制器	安全继电器、安全PLC
输出子系统	执行元件	接触器、安全力矩中断器、制动器

每个子系统需要定义：

架构类型（Category 1/2/3/4）
MTTFd（平均危险失效时间，分三档：低/中/高）
DCavg（诊断覆盖率，分四档：无/低/中/高）
CCF（共因失效评分，≥65分才算合格）

第三步：填入模块参数（Block）

每个通道由多个模块串联组成，每个模块需要填入关键参数。

以一个安全光幕子系统为例：

模块	MTTFd	DCavg	Category	CCF
安全光幕（SICK / Keyence / Banner）	高（≥30年）	中（90%~99%）	4	≥65
连接线缆	高（≥30年）	—	同子系统	—

SISTEMA会自动计算子系统级PFH（每小时危险失效概率），并结合所有子系统最终得到整个安全功能的PFH和PL等级。

数据支撑：MTTFd与DCavg的查表参考

这是SISTEMA里最容易卡住的地方——MTTFd和DCavg填什么值？

MTTFd分档

档位	取值范围	简称	含义
低	3年 ≤ MTTFd ＜ 10年	L	普通继电器、简单开关
中	10年 ≤ MTTFd ＜ 30年	M	一般工业传感器
高	30年 ≤ MTTFd ≤ 100年	H	安全专用元件（安全PLC/光幕/继电器）

容易踩的坑： 有些同事直接从厂商Datasheet找MTTF值就填进去。Datasheet里标注的通常是MTTF（总失效率，含安全失效和危险失效），而SISTEMA要求的 MTTFd是危险失效的MTTF（只算会导致安全功能丧失的那部分）。ISO 13849-1提供了一个估算：安全元件的MTTFd ≈ MTTF × (1/λ_D占比)，对于符合安全标准的产品，通常可以直接参考厂商给出的SISTEMA参数库。

DCavg分档

档位	诊断覆盖率范围	典型实现方式
无	DC < 60%	无自检
低	60% ≤ DC < 90%	周期性功能测试
中	90% ≤ DC < 99%	上电自检、动态信号监测
高	DC ≥ 99%	冗余+交叉比较+在线诊断

安全PLC自带诊断功能，子系统的DCavg一般可以达到「中」或「高」。简单的机械开关如果没有双通道或交叉监测，DCavg往往只能到「无」或「低」。

深度解析：SISTEMA中的四个判断点

1. Category架构的选择

ISO 13849-1定义了五种架构类别，从Cat B（基础）到Cat 4（最高）。

Category	描述	单/双通道	诊断	典型PFH（参考）
B	基本要求	单通道	无	≥10⁻⁵
1	可靠元件（高MTTFd）	单通道	无	≥2×10⁻⁶
2	带定期检测	单通道	有（检测间隔）	≥10⁻⁷
3	单故障冗余	双通道	有	≥10⁻⁸
4	单故障冗余+积累故障控制	双通道	高覆盖	≥10⁻⁹

在SISTEMA中选定Category时，它必须与你的实际硬件接线和诊断逻辑一致。 选了Cat 3但实际是单通道接线，SISTEMA直接判定不通过。

2. CCF评分——容易被忽略的23分关卡

CCF（Common Cause Failure，共因失效）是SISTEMA中非常严格的关卡。ISO 13849-1提供了一个23项评分表，总分≥65分才算合格。

几个常见扣分点：

物理分离不足（同一块PCB、同一个端子排）→ 扣15分
没有使用多样化元件或冗余原理（用两个同型号继电器锁定在一起）→ 扣20分
缺乏EMC保护（供电未加滤波器、信号线无屏蔽）→ 扣10分
缺乏环境防护（潮湿/振动/温度没考虑）→ 扣10分

举例：硬件架构完全符合Cat 4要求，但CCF评分只得了50分，SISTEMA直接亮红，系统最终只能按Cat 3算。

3. 模块参数要从哪里来

SISTEMA本身不带全面的数据库，参数来源主要有三种：

厂商提供的SISTEMA参数库（.sib文件）——很多大厂（SICK、Banner、Pilz、Schmersal、Phoenix Contact）都提供官方参数文件，可以直接导入
ISO 13849-1附录C/D/E的查表值——对于通用元件（继电器、按钮、接触器），标准给出了查表参考值
根据FMEA/FMEDA估算——对于非标或定制元件

建议： 尽量使用厂商提供的.sib参数库，这是最有说服力的。如果厂商没有SISTEMA支持文件，可以在Datasheet的"Safety Data"章节找MTTFd/DC/B10d等参数。

4. 报告的"红色"和"绿色"

SISTEMA会很直观地告诉你结果：

绿色✓：实际PL ≥ PLr，安全功能达标
红色✗：实际PL ＜ PLr，需要重新设计

但有一种情况容易被忽略：数值达标但Category不匹配。比如你要求Cat 3架构，但子系统实际只能达到Cat 2，即使PFH计算值是达标的，SISTEMA也不会通过，因为架构约束是硬性要求。

坑点总结

根据实际使用经验，下面几个是SISTEMA使用中最容易遇到的问题：

序号	坑点	典型表现	建议
1	MTTFd和MTTF混淆	填入Datasheet的总MTTF，计算结果偏乐观	使用厂商安全数据库或按ISO 13849-1附录C换算
2	Category选型脱离实际接线	选了Cat 3但实际单通道接线	Category必须反映实际硬件拓扑
3	CCF评分未做满23项	随意打分或漏项导致＜65分	逐项核实，特别是物理分离和EMC保护
4	模块间逻辑关系错配	串联/并联的逻辑连接不对应实际控制逻辑	确认Control Logic设置（AND/OR）
5	忽视子系统之间的相关性	三个子系统各自通过，但组合后PFH不达标	关注整体PFH，SISTEMA会自动计算
6	版本不兼容	旧版SISTEMA打不开新版的.sib文件	从IFA官网下载最新版（2.0+）
7	测试间隔(T1)填错	年度测试填成每日测试，DCavg虚高	按实际检验计划填写测试间隔
8	语言障碍导致参数误解	德语界面参数含义不明确，填错选项	使用英文版+ISO 13849-1原文对照

品牌/方案对比：主要安全元件厂商的SISTEMA支持情况

品牌	官方.sib参数库	支持完善度	适用产品线
SICK	✅ 有	⭐⭐⭐⭐⭐	安全光幕、安全扫描仪、安全门锁
Pilz（皮尔兹）	✅ 有	⭐⭐⭐⭐⭐	安全继电器、安全PLC、安全传感器
Schmersal（施迈赛）	✅ 有	⭐⭐⭐⭐⭐	安全门开关、安全传感器、安全继电器
Banner	✅ 有	⭐⭐⭐⭐	安全光幕、安全模块
Omron（欧姆龙）	✅ 有	⭐⭐⭐⭐	安全继电器、安全光幕
Siemens（西门子）	✅ 有	⭐⭐⭐⭐	安全PLC（S7-1200F/1500F）
Keyence（基恩士）	✅ 有	⭐⭐⭐	安全光幕，部分产品有参数卡片
Rockwell / Allen-Bradley	✅ 有	⭐⭐⭐	GuardLogix系列

说明： 有官方.sib参数并不意味所有产品都覆盖，使用前先确认你选的具体型号是否在参数文件中。如果没有，可以参照ISO 13849-1附录的表手动填入参数。

实操建议：新手入门SISTEMA的推荐路线

如果你从来没接触过SISTEMA，可以参考下面的顺序：

下载并安装 — IFA官网（https://www.dguv.de/ifa/praxishilfen/practical-solutions-machine-safety/software-sistema/index.jsp）免费下载^[1]
导入官方参数库 — 从厂商官网下载.sib文件，导入到SISTEMA的库管理中
创建第一个简单安全功能 — 推荐从"急停按钮→安全继电器→接触器"开始，这是最典型的Cat 1架构
逐项填写参数 — 注意MTTFd选档、DCavg选档、CCF评分
查看结果 — 观察绿色/红色判定，理解每个子系统的贡献
迭代优化 — 如果红色不通过，尝试调整架构或更换高可靠性元件

不要把SISTEMA当成填表算数的工具。它的价值在于把整个过程变透明：每个参数的来源、每个判定条件都被忠实记录，审查方可以逐项复核。

参考资料

ISO 13849-1:2023, Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
GB/T 16855.1-2023, 机械安全——控制系统安全相关部件——第1部分：设计通则
IFA, SISTEMA User Manual, Version 2.0, 2024
ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
IEC 62061:2021, Safety of machinery — Functional safety of safety-related control systems
Pilz GmbH, SISTEMA Cookbook: A Practical Guide to Safety Function Evaluation, 2024
SICK AG, Safety Integrated Application Manual, 2023
DGUV, Practical Solutions for Machine Safety — SISTEMA Software Description, 2024

引用链接

[1]https://www.dguv.de/ifa/praxishilfen/practical-solutions-machine-safety/software-sistema/index.jsp

可在页面免费下载