SIL 第 3 部分:系统性能力
为了实现 SIL,安全功能的设计必须满足标准中概述的三个特定条件。本文将重点探讨条件 3:系统性能力。
什么是功能安全?
功能安全是指主动检测潜在的危险情况,这要求我们通过某种保护机制或功能来防止或减少可能发生的危险事件的影响。
功能安全是受控设备 (EUC) 整体安全的组成部分,侧重于电子产品和相关软件方面。
IEC 61508是“功能安全或电气/电子/可编程电子安全相关系统”的国际标准。作为功能安全的总体标准,该标准是许多行业特定衍生标准的基础,例如适用于过程行业的 IEC 61511。
这些标准遵循安全生命周期模型,能够规范功能安全管理,并提供各种安全仪表系统 (SIS) 和相关安全仪表功能 (SIF) 的设计措施和技术。
IEC 61511 安全生命周期
安全生命周期的一个关键要素是创建安全要求规范 (SRS)。该文档通常基于生命周期的危害和风险评估阶段所发现的信息而编制,是安全系统设计功能性、完整性和验证性的蓝图。
SIL 是什么?
安全要求规范将记录安全系统设计所需的任何剩余风险降低水平,并指定相应的 SIL 目标级别。
SIL(安全完整性等级)即安全功能提供的相对风险降低水平。行业定义了四个独立 SIL 级别 (1-4),其中 SIL 4 可提供最高级别的安全完整性和相应的风险降低因子。
| SIL | 风险降低因子 — RRF |
| 4 | > 10.000 至 ≤ 100.000 |
| 3 | > 1.000 至 ≤ 10.000 |
| 2 | > 100 至 ≤ 1.000 |
| 1 | >10 至 ≤ 100 |
如何实现特定的 SIL?
为了实现 SIL,安全功能的设计必须满足标准中概述的三个特定条件。
这些严格条件分别是:随机硬件完整性、结构限制和系统性能力。
本文将重点探讨条件 3:系统性能力。如需详细了解随机硬件完整性和结构限制,请点击相应的链接。
PR electronics 提供一系列经 SIL 认证的设备,能够全面满足各种 SIL 应用的需求。
什么是系统性能力?
IEC 61508-2010 对系统性能力的定义如下:
“一种衡量指标,用于在根据适用于某元件的安全手册之规定应用某元件时,确定某元件的安全功能在系统安全完整性方面满足指定安全完整性等级 (SIL) 要求的置信度(以 SC 1 至 SC 4 的等级表示)。”
系统性故障主要是人为错误所致。在安全功能的设计、工程、运行乃至维护阶段,都有可能引入系统性故障,而这些故障将会在特定的情况下发生。
系统性故障的诱因通常是设备或组件规格不当、操作或维护程序出错,或者软件错误。系统性故障将会反复发生,直到通过重新设计解决引发问题的根本原因。
因此,系统完整性可以定义为针对系统性故障的防范级别。
证明系统安全完整性
IEC 61511 提供了 2 种适用于证明系统性能力的方法:
- 使用经 IEC 61508 认证的设备
- 过往使用依据
使用经 IEC 61508 认证的设备
根据所需的 SIL 级别,IEC 61508 针对设备的设计、防错和测试提出了严格要求。此举旨在确保制造商遵循严格且可重复的制造过程,同时建立完善的问责制并维护好相关文档。
标准中提供了一系列表格,表格中包含可供制造商遵循的相关技术和措施,而制造商也可据此证明其设备符合相关的 SIL 级别。
| 技术/措施 |
参见 |
SIL 1 | SIL 2 | SIL 3 | SIL 4 |
| 程序序列监控 | A.9 | HR low |
HR low |
HR medium |
HR high |
| 通过在线监控进行故障检测 | A.1.1 | R low |
R low |
R medium |
R high |
| 通过冗余硬件进行测试 | A.2.1 | R low |
R low |
R medium |
R high |
| 标准测试访问端口和边界扫描结构 | A.2.3 | R low |
R low |
R medium |
R high |
| 代码保护 | A.6.2 | R low |
R low |
R medium |
R high |
| 多样的硬件 | B.1.4 | - low |
- low |
R medium |
R high |
IEC 61508-2010 表 A.15 — 硬件设计引起的系统性故障的控制技术和措施
上表是众多示例中的一个,这些示例分别侧重于特定的设计方面。
根据所需的 SIL 级别,表中将分别指明每种技术/措施的效力:强制性 (M)、强烈推荐 (HR)、推荐 (R) 或者不推荐 (NR)。表中还将指明每种措施对于防范系统性故障所需的有效性。
经 IEC 61508 认证的设备需要在所有这些要求方面接受公认第三方的合规性审核,以确保根据所需的 SIL 级别应用了所有相关的设计、测试和记录技术与措施。
SIL 证书中应指明相关的 SC 级别。
过往使用依据
人们普遍认为,当特定用户具有丰富的设备使用经验,并且设备的故障率足够低时,用户就能够可靠地使用设备。
但是,要想充分证明这个观点,我们需要假设用户建立了一个稳健的系统来全面记录所有故障和故障模式,并对可能影响过往经验的硬件和软件版本实施了严格的版本控制。同时,为了确保数据的一致性,任何拟使用的新应用都必须具有与历史数据相似的操作条件。
IEC 61511 第 11.5.3 条概述了根据过往使用依据选择设备的要求。
“应提供可证明设备适用于安全仪表系统的适当证据,包括:
- 考虑制造商的质量、管理和配置管理系统
- 设备的充分标识和规格
- 设备在类似操作环境中表现出的性能
- 操作经验的多寡。
设备所需的 SIL 级别越高,对于过往使用依据的要求也就越高,特别是在设备包含软件时。
最终用户通常难以提供充分的过往使用依据,因此许多最终用户都选择使用日益普遍的经 IEC 61508 认证的设备来证明系统性能力。
