SIL del 2: Arkitekturbegrænsninger

 

Hvad er funktionssikkerhed?

Funktionssikkerhed er aktiv detektering af potentielt farlige forhold, som kan resultere i krav om en beskyttelsesmekanisme eller -funktion til forebyggelse eller reduktion af indvirkningen af farlige hændelser, der kan forekomme.

 

Funktionssikkerhed er en del af den samlede sikkerhed i udstyr under kontrol (EUC) og fokuserer på elektronik og tilknyttet software.

 

IEC 61508 er en international standard for "Funktionssikkerhed for elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer". Den danner som paraplystandard for funktionssikkerhed grundlaget for mange branchespecifikke afledninger som f.eks. IEC 61511 i procesindustrien.

 

Standarden følger en model for sikkerhedslivscyklus og formaliserer håndteringen af funktionssikkerhed, samtidig med at den indeholder forholdsregler og teknikker til design af sikkerhedsinstrumenterede systemer (SIS) og tilknyttede sikkerhedsinstrumenterede funktioner (SIF).

 

IEC 61511 Sikkerhedslivscyklus

 

Et vigtigt element i sikkerhedslivscyklussen er udarbejdelsen af sikkerhedskravsspecifikationen (SRS). Dette dokument er så at sige arbejdstegningen til sikkerhedssystemdesignets funktionalitet, integritet og validering, og det er baseret på data fra fare- og risikovurderingstrinnene i livscyklussen.

 

 

Hvad er SIL?

Sikkerhedskravsspecifikationen vil dokumentere omfanget af en eventuel restrisikoreduktion, der måtte være krævet i sikkerhedssystemdesignet, og tilknytning af et tilsvarende tilsigtet SIL-niveau.

 

SIL eller sikkerhedsintegritetsniveau er et relativt niveau for risikoreduktion, som en sikkerhedsfunktion yder. Der er defineret fire separate SIL-niveauer fra 1 til 4, hvor SIL 4 yder det højeste niveau af sikkerhedsintegritet og giver den højeste tilsvarende risikoreduktionsfaktor.

 

SIL	Risikoreduktionsfaktor – RRF
4	> 10.000 til ≤ 100.000
3	> 1000 til ≤ 10.000
2	> 100 til ≤ 1.000
1	>10 til ≤ 100

 

 

Hvordan opnås et specifikt SIL?

Opnåelse af SIL kræver, at en sikkerhedsfunktions design lever op til tre specifikke kriterier, som er skitseret i standarden.

 

Disse stringente kriterier er: Tilfældig hardwareintegritet, arkitekturbegrænsninger og systempotentiale.

 

Dette afsnit omhandler nummer 2 – Arkitekturbegrænsninger. Oplysninger om Tilfældig hardwareintegritet og Systempotentiale fås ved at klikke på de relevante links.

 

 

PR electronics tilbyder et sortiment af SIL-certificerede enheder, som dækker en lang række SIL-applikationer

 

 

Hvad er arkitekturbegrænsninger?

Det har historisk set været meget vanskeligt at fremskaffe præcise og brugbare data for fejlrater på elektriske/elektroniske og programmerbare elektroniske enheder. Uens måling og rapportering af fejl i felten med overdrevent optimistiske fejlrater fra producenternes side har betydet, at designs baseret på disse antagelser ofte kunne være både uegnede og farlige.

Dette kompenseres der imidlertid for, idet funktionssikkerhedsstandarder pålægger arkitekturbegrænsninger i overensstemmelse med det krævede SIL-niveau. Dermed blev der benyttet en hardwarefejltolerance (HFT) som supplement til påståede fejlrater, og der blev opnået større integritet i sikkerhedssystemdesignet.

 

Hardwarefejltolerance er tilføjelse af redundante elementer for at tage højde for svigt, f.eks. 1oo1 = HFT0, 1oo2=HFT1.

Den seneste udgave af IEC 61511 giver 3 muligheder for at tilfredsstille en sikkerhedsfunktions arkitekturbegrænsninger:

 

• IEC 61508 mulighed 1H
• IEC 61508 mulighed 2H
• IEC 61511 11.4.5 til 11.4.9 i klausul 11 (afledt af IEC 61508 mulighed 2H)

 

IEC 61508 mulighed 1H

Denne mulighed dækker hovedsageligt nye enheder, der ikke foreligger nogen historikdata for. Den krævede hardwarefejltolerance er baseret på enhedstypen og en beregning af en andel af ufarlige svigt.

Der er 2 definerede enhedstyper, Type A og Type B. Type A-enheder er simple enheder med umiddelbart forståelige fejltilstande, mens Type B-enheder er komplekse enheder, som ofte indeholder mikroprocessorer/software.

Andelen af ufarlige svigt (SFF) er procentdelen af sikre og farlige detekterede svigt i forhold til det samlede antal svigt.

 

 

 

Tabeller i standarderne indeholder mindstekravene til hardwarefejltolerance baseret på tilsigtet SIL.

 

IEC 61508 mulighed 1H-tabel

 

 

 

IEC 61511 ift. IEC 61508 mulighed 2H

Tabellen fra IEC 61511 med arkitekturbegrænsninger er baseret på IEC 61508 mulighed 2H-tilgangen.

 

IEC 61511 – HFT-krav iht. SIL

 

Mulighed 2H er en tilføjelse til den anden udgave af IEC 61508 (-2010) og fastlægger hardwarefejltolerance på grundlag af kvaliteten af historikdata for driftssikkerhed i indsats.

Af IEC 61508 fremgår det, at kvaliteten af de benyttede data bør baseres på felttilbagemeldinger vedr. udstyr, der er i brug i tilsvarende applikationer og omgivelser, baseres på data, der er indsamlet i overensstemmelse med offentliggjorte standarder (f.eks. IEC 60300-3-2 eller ISO 14224); og evalueres i henhold til:

 

• mængden af felttilbagemeldinger; og
• udførelse af ekspertbedømmelse; og om nødvendigt
• udførelse af specifikke tests.

 

De benyttede data skal desuden have et højt konfidensniveau (90%), for at IEC 61508-2010 mulighed 2H tilfredsstilles.

 

Af IEC 61511 klausul 11.4.9 fremgår "driftssikkerhedsdataene, der benyttes til beregning af mål for svigt, skal bestemmes ud fra en øvre grænse for statistisk konfidens på mindst 70%."

 

Selv om både IEC 61508 mulighed 2H og IEC 61511 kan anvendes, er det vigtigt til fulde at forstå, dokumentere og validere de beviser, der bruges til at retfærdiggøre disse metoder.

Opfyldelse af arkitekturbegrænsningerne for en sikkerhedsfunktion er i sig selv ikke bevis for opnåelse af det tilsigtede SIL. Der skal også tages højde for Tilfældig hardwareintegritet og Systempotentiale.