安全完整性等级

安全完整性等级Safety Integrity Level,简称SIL)是机能安全的一部分,定义为由于安全机能所降低风险的相对水准,或是风险降低后,风险的相对水准。简单来说,安全完整性等级就是度量安全仪表系统(Safety Instrumented Function,简称SIF)所需要的性能。[1]

在不同安全法规中,对于特定SIL需满足的条件也有所不同。依照欧盟的机能安全标准,定义有4种SIL,分别是 SIL 1、SIL 2、SIL 3及SIL 4。在安全机能的执行上,SIL 4 是最可靠的,SIL 1是最不可靠的。SIL 等级越高,代表设备正确执行安全机能的几率越高。[2]SIL 的评定依据许多量化指标,不过也和一些非量化指标有关,例如产品开发流程及安全生命周期管理等。

SIL的分配

编辑

有许多种分配SIL的方式,一般常会合并使用,包括以下几种:

  • 风险矩阵(Risk Matrices)
  • 风险图(Risk Graphs)
  • 防护层分析(Layers of Protection Analysis,LOPA)

SIL分配可以依照英国卫生安全局(Health and Safety Executive,HSE)发行的相关资料[3],用务实、可控制的方式进行测试。依照英国卫生安全局的资料,利用风险矩阵的方式得到的SIL分配已被证实可符合 IEC EN 61508的要求。

SIL应用上的误解

编辑

对于安全完整性等级的应用,存在有许多的问题及误解,大致有以下几项:

  • 在应用安全完整性等级时,无法转换不同标准中标示的安全完整性等级。
  • 依照可靠度的估计来估计安全完整性等级。
  • 由于系统(特别是软件系统)太过复杂,使得无法估计安全完整性等级。

上述误解会带来一些错误的陈述,包括“因为此系统开发时使用的流程是开发 SIL N 系统的标准流程,因此此系统是 SIL N 的系统”,或者断章取义的使用SIL,例如“这是一个 SIL N 的热交换器”。根据 IEC 61508,SIL 的概念和系统的失效率无关,只和系统的危险失效率(dangerous failure rate)有关。需要透过安全性分析的方式识别危险失效模式,才能决定其失效率[4]

SIL等级越高的设备表示其安全可靠越高,但其价格也一定相对提高。而且若系统的SIL等级越高,需要的硬件故障裕度也会提高,以确保在部分设备故障时不会有安全性问题。

SIL的认证

编辑

国际电工协会(IEC)标准IEC 61508(后来变成IEC EN 61508)将SIL依其要求项目分为二大类:硬件安全完整性(hardware safety integrity)及系统安全完整性(systematic safety integrity)。设备或系统若要达到特定的SIL等级,需同时符合该等级二大类完整性的要求项目。

SIL有关硬件安全完整性的条件是以要求的几率分析为基础。若要达到特定的SIL等级,设备的最大危险失效几率(probability of dangerous failure)及最小安全故障失效比率(Safe Failure Fraction)需符合该等级SIL的要求。待测系统的“危险失效”需明确的定义,一般会以需求限制的方式表示,而其完整性也会在系统开发的过程中被验证。实际要达到的目标仍会依需求、设备复杂度及使用的冗余种类而不同。

IEC EN 61508 针对低要求操作模式(low demand operation)时,不同的安全完整性等级定义以下的要求失效概率(Probability of Failure on Demand,简称PFD)及风险减低系数(Risk Reduction Factor,简称RRF):

安全完整性等级(SIL) 要求失效概率(PFD) 风险减低系数(RRF)
1 0.1-0.01 10-100
2 0.01-0.001 100-1000
3 0.001-0.0001 1000-10,000
4 0.0001-0.00001 10,000-100,000

连续操作模式下的要求失效概率及风险减低系数如下所示:

安全完整性等级(SIL) 要求失效概率(PFD) 风险减低系数(RRF)
1 0.00001-0.000001 100,000-1,000,000
2 0.000001-0.0000001 1,000,000-10,000,000
3 0.0000001-0.00000001 10,000,000-100,000,000
4 0.00000001-0.000000001 100,000,000-1,000,000,000

必须透过风险分析的流程,识别及分析控制系统的风险。然后会利用各种方式减轻风险,直到整体的风险降低到可接受的程度为止。风险的允许程度就是安全需求中的项目之一,表示成一段特定时间的目标危险失效概率(target probability of a dangerous failure),对应不同的SIL等级。

一般会用认证的方式确认一项设备是否符合特定的SIL等级[5]。符合认证的方式可以利用建立一个严谨的开发流程来达成,或者是搜集许多设备运作的历史资料,以实际的设备运作资料来证实此设备已达到特定的SIL等级。

电机及电子设备可以依据IEC 61508进行功能安全的认证,以说服客户此设备可以和客户的应用系统相容。IEC 61511是依据IEC 61508,应用在程序控制产业的标准,主要用在石化产业及危险化学品的制造产业,也用在其他场合。

用到SIL的安全标准

编辑

以下的标准都使用SIL来衡量可靠度或风险降低的程度。

在特定安全标准中的SIL其数字或定义可能和IEC EN 61508中所定义的数字及定义不同[6]

参照

编辑

有许多是以IEC 61508为准的标也用到SIL,例如 IEC 62061、ISO 26262。

参考文献

编辑
  1. ^ Net Safety Monitoring Inc., SAFETY INTEGRITY LEVEL (SIL) - IEC 61508/61511, http://www.net-safety.com/about/whitepaper/wpt0015.pdf页面存档备份,存于互联网档案馆
  2. ^ 刘建侯. 功能安全技術基礎. 北京: 机械工业出版社. 2008: p9. ISBN 978-7-111-24042-6. 
  3. ^ M. Charlwood, S Turner and N. Worsell, UK Health and Safety Executive Research Report 216, “A methodology for the assignment of safety integrity levels (SILs) to safety-related control functions implemented by safety-related electrical, electronic and programmable electronic control systems of machines”, 2004. ISBN 0-7176-2832-9
  4. ^ F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf页面存档备份,存于互联网档案馆) with capture date of 11th October 2010
  5. ^ CASS Scheme, Conformity Assessment of Safety Systems, http://www.cass.uk.net/页面存档备份,存于互联网档案馆
  6. ^ F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf页面存档备份,存于互联网档案馆) with capture dates of 9th July 2010 and 11 October 2010

外部链接

编辑