SIL del 3: Systematic Capability (systematisk kapacitet)

 
SIL-kompatibilitet kräver att utformningen av en säkerhetsfunktion uppfyller tre specifika kriterier enligt standarden. Detta avsnitt fokuserar på nummer 3 – Systematic Capability (systematisk kapacitet).

 

Vad innebär funktionell säkerhet?

Funktionell säkerhet är den aktiva detekteringen av potentiellt farliga förhållanden, vilket resulterar i ett krav på en skyddsmekanism eller -funktion för att förhindra eller minska effekterna av farliga händelser som kan inträffa.

Funktionell säkerhet är en del av den övergripande säkerheten för utrustning under kontroll (EUC) och fokuserar på elektronik och relaterad programvara.

IEC 61508 är en internationell standard för “Funktionell säkerhet hos elektriska, elektroniska och programmerbara elektroniska säkerhetskritiska system”. Som paraplystandard för funktionell säkerhet, utgör standarden grunden för många branschspecifika derivat såsom IEC 61511 för processindustrin.

Standarden följer en säkerhetslivscykelmodell och formaliserar hanteringen av funktionell säkerhet och tillhandahåller åtgärder och teknik för utformningen av säkerhetskritiska instrumentsystem (SIS) och associerade säkerhetskritiska instrumentfunktioner (SIF).

 

IEC 61511 Safety lifecycle

IEC 61511 Säkerhetslivscykel

 

Ett viktigt element i säkerhetslivscykeln är upprättandet av säkerhetskravspecifikationen (SRS). Baserat på information från faro- och riskbedömningsfaserna i livscykeln, utgör detta dokument ett underlag för funktionaliteten, integriteten och valideringen av säkerhetssystemets design.

 

 

Vad är SIL?

Säkerhetskravspecifikationen dokumenterar eventuell kvarvarande riskreduceringsnivå som krävs i säkerhetssystemets design och tilldelar en motsvarande SIL-målnivå.

SIL eller safety integrity level, är en relativ riskreduceringsnivå som tillhandahålls av en säkerhetsfunktion. Fyra separata SIL-nivåer från 1 till 4 definieras, med SIL 4 som erbjuder den högsta nivån av säkerhetsintegritet och motsvarande riskreduktionsfaktor.

 

SIL Risk Reduction Factor (riskreduktionsfaktor) – RRF
4 > 10.000 till ≤ 100.000
3 > 1.000 till ≤ 10.000
2 > 100 till ≤ 1.000
1 >10 till ≤ 100

 

 

Hur uppnås en specifik SIL?

SIL-kompatibilitet kräver att utformningen av en säkerhetsfunktion uppfyller tre specifika kriterier enligt standarden.

 

Dessa strikta kriterier är: Random hardware integrity (slumpmässig hårdvaruintegritet), Architectural constraints (arkitektoniska begränsningar) och Systematic capability (systematisk kapacitet).

 

Detta avsnitt fokuserar på nummer 3 – Systematic Capability (systematisk kapacitet). För information om Random Hardware Integrity (slumpmässig hårdvaruintegritet) och Architectural Constraints (arkitektoniska begränsningar) klicka på relevanta länkar.

 

 

PR electronics erbjuder ett sortiment av SIL-certifierade enheter för att omfatta ett brett utbud av SIL-tillämpningar.

 

 

Vad innebär systematic capability (systematisk kapacitet)?

IEC 61508-2010 definierar systematisk kapacitet som:

 

"Ett mått (uttryckt på en skala från SC 1 till SC 4) på förtroendet för att ett elements systematiska säkerhetsintegritet uppfyller kraven för den angivna säkerhetsintegritetsnivån (SIL), med avseende på den angivna säkerhetsfunktionen för elementet, när elementet tillämpas i enlighet med instruktionerna som anges i den kompatibla säkerhetshandboken för elementet.”

 

Systematiska fel är främst ett resultat av mänskliga fel. Oavsett om det beror på design, teknik, drift eller underhåll av en säkerhetsfunktion, kan systematiska fel introduceras och uppstå under rätt omständigheter.

 

Systematiska fel är ofta ett resultat av felaktiga enhets- eller komponentspecifikationer, fel i drifts- eller underhållsprocedurerna eller buggar i programvaran. Systematiska fel kommer kontinuerligt att uppstå såvida man inte åtgärdar grundorsaken.

 

Systematisk integritet kan därmed definieras som försvarsnivån mot systematiska fel.

 

Demonstration av systematisk säkerhetsintegritet

IEC 61511 tillåter 2 metoder för att demonstrera systematisk kapacitet:

 

  • Användning av IEC 61508-certifierade enheter
  • "Prior-use" berättigande

 

Användning av IEC 61508-certifierade enheter

Beroende på erforderlig SIL-nivå, ställer IEC 61508 höga krav på design, undvikande av fel och testning av utrustning. Detta säkerställer att tillverkarna följer en strikt och repeterbar process med fullständig insyn och medföljande dokumentation.

Ett urval av tabeller tillhandahålls med relevant teknik och mätningar som tillverkaren kan följa, för att i sin tur demonstrera efterlevnad med relevant SIL-nivå.

 

Teknik / mätning

Se
IEC 61508-7

SIL 1 SIL 2 SIL 3 SIL 4
Programsekvensövervakning A.9 HR
low
HR
low
HR
medium
HR
high
Feldetektering via online-övervakning A.1.1 R
low
R
low
R
medium
R
high
Test med redundant hårdvara A.2.1 R
low
R
low
R
medium
R
high
Standard test access port och boundary-scan-arkitektur A.2.3 R
low
R
low
R
medium
R
high
Kodskydd A.6.2 R
low
R
low
R
medium
R
high
Diverse hårdvara B.1.4 -
low
-
low
R
medium
R
high

IEC 61508-2010 Tabell A.15 – Tekniker och mätningar för att hantera fel p.g.a. hårdvarudesign

 

 

Tabellen ovan är ett exempel bland många, som alla fokuserar på en viss designaspekt.

Beroende på den erforderliga SIL-nivån kommer varje teknik / mätning att ha en av följande indikationer: Mandatory (M) (obligatoriskt), Highly Recommended (HR) (rekommenderas starkt), Recommended (R) (rekommenderas) eller Not Recommended (NR) (rekommenderas inte). Tabellen anger även åtgärdens erforderliga effektivitet mot systemfel.

IEC 61508-certifierade enheter har genomgått en ackrediterad tredjepartsgranskning av alla överensstämmelsekrav, vilket säkerställer att alla relevanta konstruktions-, test- och dokumentationstekniker och -åtgärder, som är lämpliga för SIL-nivån, har tillämpats.

SIL-certifikat bör ange relevant SC-nivå.

 

IEC 61508 : 2010 full SIL assessment up to SIL 3 SIL assessment up to SIL 3

 

"Prior-use" berättigande

Konsensus kan vara att det finns belägg för tillförlitlig användning av enheten om en viss användare har haft omfattande erfarenhet av en enhet och tillräckligt låg felfrekvens.

 

För att motivera detta fullständigt, kan man kräva att användaren ska ha ett robust system på plats för att helt kunna dokumentera ALLA fel och fellägen, tillsammans med strikt versionskontroll av hårdvaru- och programvaruvarianter som kan påverka tidigare erfarenheter. För att säkerställa konsekventa data bör varje ny föreslagen applikation ha liknande driftsförhållanden som historiska data.

IEC 61511 klausul 11.5.3 beskriver krav för val av enheter baserat på motivering "Prior-use" berättigande.

"Lämpliga bevis ska finnas tillgängliga för att styrka att enheterna är lämpliga för användning i säkerhetsinstrumenterade system inklusive:

 

  • övervägande av tillverkarens kvalitet, hanterings- och konfigurationshanteringssystem
  • adekvat identifiering och specifikation av enheterna
  • demonstration av enheternas prestanda i liknande driftsmiljöer
  • omfattningen av driftserfarenhet."

 

Högre SIL-nivåer ökar kravet på motivering för "Prior-use" berättigande, i synnerhet när programvara inkluderas.

 

Det kan vara svårt för slutanvändaren att bevisa en motivering för "Prior-use" berättigande fullt ut och därför är det många slutanvändare som drar nytta av det växande antalet IEC 61508-certifierade enheter för att demonstrera systematisk kapacitet.

 

Att demonstrera systematisk kapacitet bevisar inte i sig SIL-målkompatibilitet. Även slumpmässig hårdvaruintegritet och arkitektoniska begränsningar måste tas i beaktande.

 

Är denna information användbar?

 

Betygsätt oss

(31 röster)