好的,我们来清晰、系统地探讨安全完整性等级(SIL)及其核心定义标准------IEC 61508。
- 安全完整性等级(SIL)定义
核心概念:安全完整性等级(Safety Integrity Level, SIL)是一个定性的离散等级(由四个级别组成),用于指定分配给安全功能的安全完整性要求。
目的:SIL的核心目标是衡量一个安全相关的系统(Safety Instrumented System, SIS)或其他安全相关设备在其设计、制造、安装、操作和维护的整个生命周期中,在面对危险时能够正确执行其预定安全功能的可能性。简言之,它量化了系统"失效安全"而非"安全失效"的能力。
等级划分:SIL分为四个等级:
SIL 1: 最低的安全完整性要求。表示目标安全功能需要将危险失效概率降低到相对较低的阈值(例如,风险降低10倍)。
SIL 2: 中等安全完整性要求。需要比SIL 1更高的安全性能。
SIL 3: 高安全完整性要求。需要比SIL 2显著更高的安全性能。
SIL 4: 最高安全完整性要求。用于最关键的、失效后果灾难性的场景(例如,核电某些保护系统)。它在过程工业中很少见。
指标含义:SIL等级越高,意味着对安全功能的可靠性要求越严格,系统发生危险失效(即在需要时不能正确执行安全功能)的概率必须越低。
- IEC 61508:功能安全的基石
标准名称:IEC 61508: Functional safety of electrical/electronic/programmable electronic safety-related systems(电气/电子/可编程电子安全相关系统的功能安全)。
地位与作用:
通用标准 / 元标准:IEC 61508 是功能安全领域的基础性、跨行业国际标准。它建立了一套完整、系统化的方法来确保E/E/PE设备在整个生命周期内的功能安全。虽然它本身是通用标准,但它是许多行业专用功能安全标准(如IEC 61511过程工业,ISO 26262汽车,EN 50126/8/9轨道交通等)的基础和参考框架 12。
核心贡献 - 引入SIL:IEC 61508 定义并系统地建立了SIL的概念、分级体系和评估方法12。
安全生命周期(Safety Lifecycle):标准定义了一个涵盖从概念设计到最终停用处置所有阶段的完整安全生命周期模型。每个阶段都有明确的活动、职责和要求,目的是在系统开发、运营和维护的每个环节都系统地管理和降低风险。
SIL分配与实现的核心原则:
基于风险:安全功能的SIL等级必须通过对被控设备的风险分析来确定。目标是将剩余风险降低到可容忍的水平。
整体视角:SIL等级是对整个安全功能回路(包括传感器、逻辑控制器和执行机构)的要求,而不仅仅针对某一部分。
量化指标:
硬件安全完整性:通常针对随机硬件失效,以要求的功能失效概率(PFDavg - 平均要求时失效概率)或危险失效率(PFH - 每小时危险失效概率)为量化目标。
系统性安全完整性:针对设计错误、软件缺陷、人为失误、环境影响等系统性失效,主要通过强制性的、严格的开发流程、设计方法、验证/确认活动和管理规程来保证。
独立性与等级差异:如果一个E/E/PE安全相关系统包含多个具有不同SIL要求的安全功能(SIFs),并且这些功能在物理上或功能上没有足够独立性(如共享传感器、控制器),那么整个系统必须满足其中最高的SIL等级要求 2。
SIL 等级的量化目标示例 (IEC 61508 Part 1)
SIL 要求时失效概率 (PFDavg) <br>(用于"低要求模式"如安全仪表功能SIF) 每小时危险失效概率 (PFH) <br>(用于"高要求或连续模式")
SIL 1 ≥ 10⁻² 到 < 10⁻¹ ≥ 10⁻⁶ 到 < 10⁻⁵
SIL 2 ≥ 10⁻³ 到 < 10⁻² ≥ 10⁻⁷ 到 < 10⁻⁶
SIL 3 ≥ 10⁻⁴ 到 < 10⁻³ ≥ 10⁻⁸ 到 < 10⁻⁷
SIL 4 ≥ 10⁻⁵ 到 < 10⁻⁴ ≥ 10⁻⁹ 到 < 10⁻⁸
(注:表格提供了一般范围,具体应用可能略有不同;PFDavg常用于过程工业安全仪表系统,PFH常用于紧急停车系统、机械安全等)
总结
安全完整性等级 (SIL) 是一个用于量化安全功能可靠性要求的1到4级的分级体系,等级越高,对安全功能在危险时正确执行的概率要求越高。
IEC 61508 是定义SIL概念并提供如何实现功能安全的通用国际标准。它引入了基于安全生命周期的整体方法,要求通过降低随机硬件失效概率(量化指标)和管理系统性失效(严格的流程、方法论与管理)来达到所需的SIL等级12。它是众多行业功能安全标准的基石。