根據(jù)IEC61508的定義,安全完整性是在規(guī)定的條件下、規(guī)定的時間內(nèi),安全相關(guān)系統(tǒng)成功執(zhí)行所要求的安全功能的概率。為了具體量化安全完整性,IEC61508定義了安全完整性等級(SIL)的概念,用于規(guī)定分配給電氣/電子/可編程電子安全相關(guān)系統(tǒng)的安全功能的安全完整性要求。安全相關(guān)系統(tǒng)有4種安全完整性等級,安全完整性等級SIL4是最高的,安全完整性等級SIL1是最低的。安全相關(guān)系統(tǒng)的安全完整性等級越高,安全相關(guān)系統(tǒng)不能實現(xiàn)所要求的安全功能的概率就越低。
注1:安全相關(guān)系統(tǒng)的安全完整性等級越高,安全相關(guān)系統(tǒng)不能實現(xiàn)所要求的安全功能的概率就越低。
注2:安全相關(guān)系統(tǒng)有SIL1~SIL4這4 種安全完整性等級。
注3:在確定安全完整性的過程中,應包括導致非安全狀態(tài)的所有失效(隨機硬件失效和系統(tǒng)失效)的起因,例如硬件失效,軟件導致的失效以及由電氣干擾引起的失效,其中有些類型的失效,尤其是隨機硬件失效,在危險失效模式中,可用失效率這樣的量來量化,對一個安全防護系統(tǒng)而言,可以用有要求時不能工作的概率來量化,但是,系統(tǒng)的安全完整性也取決于許多因素,這些因素無法精確定量僅可定性考慮。
注4:安全完整性由硬件安全完整性和系統(tǒng)安全完整性構(gòu)成。
注5:“安全完整性”這一定義著重于安全相關(guān)系統(tǒng)執(zhí)行安全功能的可靠性。
IEC61508為每個安全完整性等級規(guī)定了必須滿足的要求,但是達到某個SIL等級并不意味著系統(tǒng)就是絕對安全或可靠。滿足某個SIL等級的要求,僅僅是提供了一種安全的可信度,具體而言,就是一個系統(tǒng)或功能失效的概率低于該SIL等級規(guī)定的失效概率。
確定安全完整性等級要基于危險與風險分析,不恰當?shù)娘L險分析技術(shù)會導致安全相關(guān)系統(tǒng)的安全完整性等級過高或過低。安全完整性等級過高會造成不必要的過高的安全成本,安全完整性等級過低又會導致安全相關(guān)系統(tǒng)不能滿足安全要求。
IEC61508將安全相關(guān)系統(tǒng)按照操作模式的不同分為:低要求操作模式、高要求操作模式或連續(xù)操作模式,并針對不同操作模式下的安全完整性等級規(guī)定了相應的目標失效量,見下表。低要求操作模式指的是,要求的操作頻率每年不大于一次或不大于兩倍的檢測測試頻率,否則均應作為高要求操作模式或連續(xù)操作模式。
表1 低要求操作模式下的安全功能目標失效量
SIL等級 低要求操作模式(在要求時執(zhí)行設(shè)計功能的平均失效概率)
SIL4 ≥10-5至小于10-4(低于10000)年一遇
SIL3 ≥10-4至小于10-3(低于1000)年一遇
SIL2 ≥10-3至小于10-2(低于100)年一遇
SIL1 ≥10-2至小于10-1(低于10)年一遇
表2 高要求操作模式下的安全功能目標失效量
SIL等級 低要求操作模式(每小時危險失效概率)
SIL4 ≥10-9至小于10-8
SIL3 ≥10-8至小于10-7
SIL2 ≥10-7至小于10-6
SIL1 ≥10-6至小于10-5
作者:舞長安
SIL相關(guān)閱讀
SIL定級與驗證知識十問十答
儀表SIL認證水很深,五步幫你選對SIL認證儀表
