SIL 第 3 部分:系統(tǒng)性能力
為了實現(xiàn) SIL,安全功能的設(shè)計必須滿足標(biāo)準(zhǔn)中概述的三個特定條件。本文將重點探討條件 3:系統(tǒng)性能力。
什么是功能安全?
功能安全是指主動檢測潛在的危險情況,這要求我們通過某種保護機制或功能來防止或減少可能發(fā)生的危險事件的影響。
功能安全是受控設(shè)備 (EUC) 整體安全的組成部分,側(cè)重于電子產(chǎn)品和相關(guān)軟件方面。
IEC 61508是“功能安全或電氣/電子/可編程電子安全相關(guān)系統(tǒng)”的國際標(biāo)準(zhǔn)。作為功能安全的總體標(biāo)準(zhǔn),該標(biāo)準(zhǔn)是許多行業(yè)特定衍生標(biāo)準(zhǔn)的基礎(chǔ),例如適用于過程行業(yè)的 IEC 61511。
這些標(biāo)準(zhǔn)遵循安全生命周期模型,能夠規(guī)范功能安全管理,并提供各種安全儀表系統(tǒng) (SIS) 和相關(guān)安全儀表功能 (SIF) 的設(shè)計措施和技術(shù)。
IEC 61511 安全生命周期
安全生命周期的一個關(guān)鍵要素是創(chuàng)建安全要求規(guī)范 (SRS)。該文檔通常基于生命周期的危害和風(fēng)險評估階段所發(fā)現(xiàn)的信息而編制,是安全系統(tǒng)設(shè)計功能性、完整性和驗證性的藍圖。
SIL 是什么?
安全要求規(guī)范將記錄安全系統(tǒng)設(shè)計所需的任何剩余風(fēng)險降低水平,并指定相應(yīng)的 SIL 目標(biāo)級別。
SIL(安全完整性等級)即安全功能提供的相對風(fēng)險降低水平。行業(yè)定義了四個獨立 SIL 級別 (1-4),其中 SIL 4 可提供最高級別的安全完整性和相應(yīng)的風(fēng)險降低因子。
| SIL |
風(fēng)險降低因子 — RRF |
| 4 |
> 10.000 至 ≤ 100.000 |
| 3 |
> 1.000 至 ≤ 10.000 |
| 2 |
> 100 至 ≤ 1.000 |
| 1 |
>10 至 ≤ 100 |
如何實現(xiàn)特定的 SIL?
為了實現(xiàn) SIL,安全功能的設(shè)計必須滿足標(biāo)準(zhǔn)中概述的三個特定條件。
這些嚴(yán)格條件分別是:隨機硬件完整性、結(jié)構(gòu)限制和系統(tǒng)性能力。
本文將重點探討條件 3:系統(tǒng)性能力。如需詳細(xì)了解隨機硬件完整性和結(jié)構(gòu)限制,請點擊相應(yīng)的鏈接。
PR electronics 提供一系列經(jīng) SIL 認(rèn)證的設(shè)備,能夠全面滿足各種 SIL 應(yīng)用的需求。
什么是系統(tǒng)性能力?
IEC 61508-2010 對系統(tǒng)性能力的定義如下:
“一種衡量指標(biāo),用于在根據(jù)適用于某元件的安全手冊之規(guī)定應(yīng)用某元件時,確定某元件的安全功能在系統(tǒng)安全完整性方面滿足指定安全完整性等級 (SIL) 要求的置信度(以 SC 1 至 SC 4 的等級表示)。”
系統(tǒng)性故障主要是人為錯誤所致。在安全功能的設(shè)計、工程、運行乃至維護階段,都有可能引入系統(tǒng)性故障,而這些故障將會在特定的情況下發(fā)生。
系統(tǒng)性故障的誘因通常是設(shè)備或組件規(guī)格不當(dāng)、操作或維護程序出錯,或者軟件錯誤。系統(tǒng)性故障將會反復(fù)發(fā)生,直到通過重新設(shè)計解決引發(fā)問題的根本原因。
因此,系統(tǒng)完整性可以定義為針對系統(tǒng)性故障的防范級別。
證明系統(tǒng)安全完整性
IEC 61511 提供了 2 種適用于證明系統(tǒng)性能力的方法:
- 使用經(jīng) IEC 61508 認(rèn)證的設(shè)備
- 過往使用依據(jù)
使用經(jīng) IEC 61508 認(rèn)證的設(shè)備
根據(jù)所需的 SIL 級別,IEC 61508 針對設(shè)備的設(shè)計、防錯和測試提出了嚴(yán)格要求。此舉旨在確保制造商遵循嚴(yán)格且可重復(fù)的制造過程,同時建立完善的問責(zé)制并維護好相關(guān)文檔。
標(biāo)準(zhǔn)中提供了一系列表格,表格中包含可供制造商遵循的相關(guān)技術(shù)和措施,而制造商也可據(jù)此證明其設(shè)備符合相關(guān)的 SIL 級別。
| 技術(shù)/措施 |
參見
IEC 61508-7
|
SIL 1 |
SIL 2 |
SIL 3 |
SIL 4 |
| 程序序列監(jiān)控 |
A.9 |
HR
low |
HR
low |
HR
medium |
HR
high |
| 通過在線監(jiān)控進行故障檢測 |
A.1.1 |
R
low |
R
low |
R
medium |
R
high |
| 通過冗余硬件進行測試 |
A.2.1 |
R
low |
R
low |
R
medium |
R
high |
| 標(biāo)準(zhǔn)測試訪問端口和邊界掃描結(jié)構(gòu) |
A.2.3 |
R
low |
R
low |
R
medium |
R
high |
| 代碼保護 |
A.6.2 |
R
low |
R
low |
R
medium |
R
high |
| 多樣的硬件 |
B.1.4 |
-
low |
-
low |
R
medium |
R
high |
IEC 61508-2010 表 A.15 — 硬件設(shè)計引起的系統(tǒng)性故障的控制技術(shù)和措施
上表是眾多示例中的一個,這些示例分別側(cè)重于特定的設(shè)計方面。
根據(jù)所需的 SIL 級別,表中將分別指明每種技術(shù)/措施的效力:強制性 (M)、強烈推薦 (HR)、推薦 (R) 或者不推薦 (NR)。表中還將指明每種措施對于防范系統(tǒng)性故障所需的有效性。
經(jīng) IEC 61508 認(rèn)證的設(shè)備需要在所有這些要求方面接受公認(rèn)第三方的合規(guī)性審核,以確保根據(jù)所需的 SIL 級別應(yīng)用了所有相關(guān)的設(shè)計、測試和記錄技術(shù)與措施。
SIL 證書中應(yīng)指明相關(guān)的 SC 級別。
過往使用依據(jù)
人們普遍認(rèn)為,當(dāng)特定用戶具有豐富的設(shè)備使用經(jīng)驗,并且設(shè)備的故障率足夠低時,用戶就能夠可靠地使用設(shè)備。
但是,要想充分證明這個觀點,我們需要假設(shè)用戶建立了一個穩(wěn)健的系統(tǒng)來全面記錄所有故障和故障模式,并對可能影響過往經(jīng)驗的硬件和軟件版本實施了嚴(yán)格的版本控制。同時,為了確保數(shù)據(jù)的一致性,任何擬使用的新應(yīng)用都必須具有與歷史數(shù)據(jù)相似的操作條件。
IEC 61511 第 11.5.3 條概述了根據(jù)過往使用依據(jù)選擇設(shè)備的要求。
“應(yīng)提供可證明設(shè)備適用于安全儀表系統(tǒng)的適當(dāng)證據(jù),包括:
- 考慮制造商的質(zhì)量、管理和配置管理系統(tǒng)
- 設(shè)備的充分標(biāo)識和規(guī)格
- 設(shè)備在類似操作環(huán)境中表現(xiàn)出的性能
- 操作經(jīng)驗的多寡。
設(shè)備所需的 SIL 級別越高,對于過往使用依據(jù)的要求也就越高,特別是在設(shè)備包含軟件時。
最終用戶通常難以提供充分的過往使用依據(jù),因此許多最終用戶都選擇使用日益普遍的經(jīng) IEC 61508 認(rèn)證的設(shè)備來證明系統(tǒng)性能力。
單單證明系統(tǒng)性能力并不表示已實現(xiàn)目標(biāo) SIL。我們還必須考慮隨機硬件完整性和結(jié)構(gòu)限制。
