根據IEC61508的定義,安全完整性是在規定的條件下、規定的時間內,安全相關系統成功執行所要求的安全功能的概率。為了具體量化安全完整性,IEC61508定義了安全完整性等級(SIL)的概念,用于規定分配給電氣/電子/可編程電子安全相關系統的安全功能的安全完整性要求。安全相關系統有4種安全完整性等級,安全完整性等級SIL4是最高的,安全完整性等級SIL1是最低的。安全相關系統的安全完整性等級越高,安全相關系統不能實現所要求的安全功能的概率就越低。
注1:安全相關系統的安全完整性等級越高,安全相關系統不能實現所要求的安全功能的概率就越低。
注2:安全相關系統有SIL1~SIL4這4 種安全完整性等級。
注3:在確定安全完整性的過程中,應包括導致非安全狀態的所有失效(隨機硬件失效和系統失效)的起因,例如硬件失效,軟件導致的失效以及由電氣干擾引起的失效,其中有些類型的失效,尤其是隨機硬件失效,在危險失效模式中,可用失效率這樣的量來量化,對一個安全防護系統而言,可以用有要求時不能工作的概率來量化,但是,系統的安全完整性也取決于許多因素,這些因素無法精確定量僅可定性考慮。
注4:安全完整性由硬件安全完整性和系統安全完整性構成。
注5:“安全完整性”這一定義著重于安全相關系統執行安全功能的可靠性。
IEC61508為每個安全完整性等級規定了必須滿足的要求,但是達到某個SIL等級并不意味著系統就是絕對安全或可靠。滿足某個SIL等級的要求,僅僅是提供了一種安全的可信度,具體而言,就是一個系統或功能失效的概率低于該SIL等級規定的失效概率。
確定安全完整性等級要基于危險與風險分析,不恰當的風險分析技術會導致安全相關系統的安全完整性等級過高或過低。安全完整性等級過高會造成不必要的過高的安全成本,安全完整性等級過低又會導致安全相關系統不能滿足安全要求。
IEC61508將安全相關系統按照操作模式的不同分為:低要求操作模式、高要求操作模式或連續操作模式,并針對不同操作模式下的安全完整性等級規定了相應的目標失效量,見下表。低要求操作模式指的是,要求的操作頻率每年不大于一次或不大于兩倍的檢測測試頻率,否則均應作為高要求操作模式或連續操作模式。
表1 低要求操作模式下的安全功能目標失效量
SIL等級/低要求操作模式(在要求時執行設計功能的平均失效概率)
SIL4/≥10-5至小于10-4(低于10000)年一遇
SIL3/≥10-4至小于10-3(低于1000)年一遇
SIL2/≥10-3至小于10-2(低于100)年一遇
SIL/≥10-2至小于10-1(低于10)年一遇
表2 高要求操作模式下的安全功能目標失效量
SIL等級/低要求操作模式(每小時危險失效概率)
SIL4/≥10-9至小于10-8
SIL3/≥10-8至小于10-7
SIL2/≥10-7至小于10-6
SIL/≥10-6至小于10-5
作者:舞長安
SIL相關閱讀
SIL定級與驗證知識十問十答
儀表SIL認證水很深,五步幫你選對SIL認證儀表
