安全完整性等级
安全完整性等级(Safety Integrity Level,简称SIL)是机能安全的一部份,定义为由于安全机能所降低风险的相对水准,或是风险降低后,风险的相对水准。简单来说,安全完整性等级就是度量安全仪表系统(Safety Instrumented Function,简称SIF)所需要的性能。[1]
在不同安全法规中,对于特定SIL需满足的条件也有所不同。依照欧盟的机能安全标准,定义有4种SIL,分别是 SIL 1、SIL 2、SIL 3及SIL 4。在安全机能的执行上,SIL 4 是最可靠的,SIL 1是最不可靠的。SIL 等级越高,代表设备正确执行安全机能的机率越高。[2]SIL 的评定依据许多量化指标,不过也和一些非量化指标有关,例如产品开发流程及安全生命周期管理等。
SIL的分配
编辑有许多种分配SIL的方式,一般常会合并使用,包括以下几种:
- 风险矩阵(Risk Matrices)
- 风险图(Risk Graphs)
- 防护层分析(Layers of Protection Analysis,LOPA)
SIL分配可以依照英国卫生安全局(Health and Safety Executive,HSE)发行的相关资料[3],用务实、可控制的方式进行测试。依照英国卫生安全局的资料,利用风险矩阵的方式得到的SIL分配已被证实可符合 IEC EN 61508的要求。
SIL应用上的误解
编辑对于安全完整性等级的应用,存在有许多的问题及误解,大致有以下几项:
- 在应用安全完整性等级时,无法转换不同标准中标示的安全完整性等级。
- 依照可靠度的估计来估计安全完整性等级。
- 由于系统(特别是软体系统)太过复杂,使得无法估计安全完整性等级。
上述误解会带来一些错误的陈述,包括“因为此系统开发时使用的流程是开发 SIL N 系统的标准流程,因此此系统是 SIL N 的系统”,或者断章取义的使用SIL,例如“这是一个 SIL N 的热交换器”。根据 IEC 61508,SIL 的概念和系统的失效率无关,只和系统的危险失效率(dangerous failure rate)有关。需要透过安全性分析的方式识别危险失效模式,才能决定其失效率[4]。
SIL等级越高的设备表示其安全可靠越高,但其价格也一定相对提高。而且若系统的SIL等级越高,需要的硬体故障裕度也会提高,以确保在部份设备故障时不会有安全性问题。
SIL的认证
编辑国际电工协会(IEC)标准IEC 61508(后来变成IEC EN 61508)将SIL依其要求项目分为二大类:硬体安全完整性(hardware safety integrity)及系统安全完整性(systematic safety integrity)。设备或系统若要达到特定的SIL等级,需同时符合该等级二大类完整性的要求项目。
SIL有关硬体安全完整性的条件是以要求的机率分析为基础。若要达到特定的SIL等级,设备的最大危险失效机率(probability of dangerous failure)及最小安全故障失效比率(Safe Failure Fraction)需符合该等级SIL的要求。待测系统的“危险失效”需明确的定义,一般会以需求限制的方式表示,而其完整性也会在系统开发的过程中被验证。实际要达到的目标仍会依需求、设备复杂度及使用的冗馀种类而不同。
IEC EN 61508 针对低要求操作模式(low demand operation)时,不同的安全完整性等级定义以下的要求失效概率(Probability of Failure on Demand,简称PFD)及风险减低系数(Risk Reduction Factor,简称RRF):
安全完整性等级(SIL) | 要求失效概率(PFD) | 风险减低系数(RRF) |
---|---|---|
1 | 0.1-0.01 | 10-100 |
2 | 0.01-0.001 | 100-1000 |
3 | 0.001-0.0001 | 1000-10,000 |
4 | 0.0001-0.00001 | 10,000-100,000 |
连续操作模式下的要求失效概率及风险减低系数如下所示:
安全完整性等级(SIL) | 要求失效概率(PFD) | 风险减低系数(RRF) |
---|---|---|
1 | 0.00001-0.000001 | 100,000-1,000,000 |
2 | 0.000001-0.0000001 | 1,000,000-10,000,000 |
3 | 0.0000001-0.00000001 | 10,000,000-100,000,000 |
4 | 0.00000001-0.000000001 | 100,000,000-1,000,000,000 |
必须透过风险分析的流程,识别及分析控制系统的风险。然后会利用各种方式减轻风险,直到整体的风险降低到可接受的程度为止。风险的允许程度就是安全需求中的项目之一,表示成一段特定时间的目标危险失效概率(target probability of a dangerous failure),对应不同的SIL等级。
一般会用认证的方式确认一项设备是否符合特定的SIL等级[5]。符合认证的方式可以利用建立一个严谨的开发流程来达成,或者是搜集许多设备运作的历史资料,以实际的设备运作资料来证实此设备已达到特定的SIL等级。
电机及电子设备可以依据IEC 61508进行功能安全的认证,以说服客户此设备可以和客户的应用系统相容。IEC 61511是依据IEC 61508,应用在程序控制产业的标准,主要用在石化产业及危险化学品的制造产业,也用在其他场合。
用到SIL的安全标准
编辑以下的标准都使用SIL来衡量可靠度或风险降低的程度。
- ANSI/ISA S84
- IEC 61508 - 功能安全基础标准
- IEC 61511 - 制程工业功能安全标准
- IEC 62061 - 工业机器功能安全标准
- ISO 26262 - 道路汽车功能安全标准
- EN 50128
- EN 50129
- MISRA - 衡量可靠度
- Defence Standard 00-56 Issue 2 - 衡量事故后果
在特定安全标准中的SIL其数字或定义可能和IEC EN 61508中所定义的数字及定义不同[6]。
参照
编辑- ALARP
- 误动作等级(STL)
- 高完整性压力保护系统:其主要零件均需通过SIL-3认证。
- 工业安全系统
有许多是以IEC 61508为准的标也用到SIL,例如 IEC 62061、ISO 26262。
参考文献
编辑- ^ Net Safety Monitoring Inc., SAFETY INTEGRITY LEVEL (SIL) - IEC 61508/61511, http://www.net-safety.com/about/whitepaper/wpt0015.pdf (页面存档备份,存于互联网档案馆)
- ^ 刘建侯. 功能安全技術基礎. 北京: 机械工业出版社. 2008: p9. ISBN 978-7-111-24042-6.
- ^ M. Charlwood, S Turner and N. Worsell, UK Health and Safety Executive Research Report 216, “A methodology for the assignment of safety integrity levels (SILs) to safety-related control functions implemented by safety-related electrical, electronic and programmable electronic control systems of machines”, 2004. ISBN 0-7176-2832-9
- ^ F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf (页面存档备份,存于互联网档案馆) with capture date of 11th October 2010
- ^ CASS Scheme, Conformity Assessment of Safety Systems, http://www.cass.uk.net/ (页面存档备份,存于互联网档案馆)
- ^ F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf (页面存档备份,存于互联网档案馆) with capture dates of 9th July 2010 and 11 October 2010
外部链接
编辑- Safety Users Group有功能安全相关资讯及资源
- Inside Functional Safety功能安全的技术杂志
- 61508.org(页面存档备份,存于互联网档案馆) 61508协会
- IEC Safety Zone The IEC Functional safety zone
- Functional Safety, A Basic Guide Functional Safety and IEC 61508: A basic guide
- Overview of 61508 (页面存档备份,存于互联网档案馆) Overview of IEC 61508
- 安全完整性等级SIL 3 介绍 (页面存档备份,存于互联网档案馆)探讨IEC 61511-1的SIL 3
- 安全仪表系统的十个事实(一)说明SIL只度量设备的故障安全性本质