SIL 第 2 部分：結構限制

什么是功能安全？

功能安全是指主動檢測潛在的危險情況，這要求我們通過某種保護機制或功能來防止或減少可能發生的危險事件的影響。

功能安全是受控設備 (EUC) 整體安全的組成部分，側重于電子產品和相關軟件方面。

IEC 61508是“功能安全或電氣/電子/可編程電子安全相關系統”的國際標準。作為功能安全的總體標準，該標準是許多行業特定衍生標準的基礎，例如適用于過程行業的 IEC 61511。

這些標準遵循安全生命周期模型，能夠規范功能安全管理，并提供各種安全儀表系統 (SIS) 和相關安全儀表功能 (SIF) 的設計措施和技術。

IEC 61511 安全生命周期

安全生命周期的一個關鍵要素是創建安全要求規范 (SRS)。該文檔通常基于生命周期的危害和風險評估階段所發現的信息而編制，是安全系統設計功能性、完整性和驗證性的藍圖。

SIL 是什么？

安全要求規范將記錄安全系統設計所需的任何剩余風險降低水平，并指定相應的 SIL 目標級別。

SIL（安全完整性等級）即安全功能提供的相對風險降低水平。行業定義了四個獨立 SIL 級別 (1-4)，其中 SIL 4 可提供最高級別的安全完整性和相應的風險降低因子。

如何實現特定的 SIL？

為了實現 SIL，安全功能的設計必須滿足標準中概述的三個特定條件。

這些嚴格條件分別是：隨機硬件完整性、結構限制和系統性能力。

本文將重點探討條件 2：結構限制。如需詳細了解隨機硬件完整性和系統性能力，請點擊相應的鏈接。

PR electronics 提供一系列經 SIL 認證的設備，能夠全面滿足各種 SIL 應用的需求。

什么是結構限制？

準確、可靠地獲取電氣/電子和可編程電子設備的故障率數據是一項歷史性難題。由于現場故障的衡量和報告方法不一致，加上制造商提供的故障率數據往往過于樂觀，人們根據這些假設得出的設計在適當性和安全方面通常有所欠缺。

為了抵消這個問題，功能安全標準根據所需的 SIL 級別提出了結構限制。也就是使用硬件故障裕度 (HFT) 來彌補聲稱的故障率，從而增強安全系統設計的完整性。

硬件故障裕度即通過添加冗余元素來允許發生一定程度的故障，例如 1oo1 = HFT0、1oo2 = HFT1。

最新版本的 IEC 61511 針對滿足安全功能的結構限制提出了 3 種途徑：

• IEC 61508 途徑 1H
• IEC 61508 途徑 2H
• IEC 61511 第 11 條下的 11.4.5-11.4.9（派生自 IEC 61508 途徑 2H）

IEC 61508 途徑 1H

此途徑主要適用于沒有歷史數據的新設備。所需的硬件故障裕度將根據設備類型和安全失效分數進行計算。

根據行業定義，所有設備均可歸類為 A 型和 B 型 2 種類型。A 型設備指那些故障模式已廣為人知的簡單設備，而 B 型設備是指那些通常包含微處理器/軟件的復雜設備。

安全失效分數 (SFF) 即安全失效率和可檢測的危險失效率占總失效率的百分比。

摘自標準的下表顯示了不同目標 SIL 時的最小硬件故障裕度。

IEC 61508 途徑 1H 表

IEC 61511 v IEC 61508 途徑 2H

有關結構限制的 IEC 61511 表是根據 IEC 61508 途徑 2H 方法而得出。

IEC 61511 — 不同 SIL 時的 HFT 要求

IEC 61508 (-2010) 第二版中新增的途徑 2H 要求根據歷史現場可靠性數據的質量來確定硬件故障裕度。

IEC 61508 規定，所使用數據的質量應基于在類似應用和環境中使用的設備的現場反饋，以及按照已發布標準（例如 IEC 60300-3-2 或 ISO 14224）收集的數據，并根據以下條件進行評估：

• 現場反饋的數量；以及
• 專家判斷；以及在需要時
• 進行特定檢驗。

IEC 61508-2010 途徑 2H 還要求所用的數據具有較高的置信度 (90%)。

IIEC 61511 第 11.4.9 條規定：“用于計算故障率的可靠性數據的統計置信度上限應不低于 70%。”

盡管 IEC 61508 途徑 2H 和 IEC 61511 方法均可使用，但我們必須充分理解、記錄并確認可供證實方法合理性的證據。
單單滿足安全功能的結構限制并不表示已實現目標 SIL。我們還必須考慮隨機硬件完整性和系統性能力。
IEC 61511 第 11.4.9 條規定：“用于計算故障率的可靠性數據的統計置信度上限應不低于 70%。”

盡管 IEC 61508 途徑 2H 和 IEC 61511 方法均可使用，但我們必須充分理解、記錄并確認可供證實方法合理性的證據。
單單滿足安全功能的結構限制并不表示已實現目標 SIL。我們還必須考慮隨機硬件完整性和系統性能力。