SIL 第 1 部分:隨機硬件完整性
為了實現(xiàn) SIL,安全功能的設(shè)計必須滿足標(biāo)準(zhǔn)中概述的三個特定條件。本文將重點探討條件 1:隨機硬件完整性。
什么是功能安全?
功能安全是指主動檢測潛在的危險情況,這要求我們通過某種保護機制或功能來防止或減少可能發(fā)生的危險事件的影響。
功能安全是受控設(shè)備 (EUC) 整體安全的組成部分,側(cè)重于電子產(chǎn)品和相關(guān)軟件方面。
IEC 61508是“功能安全或電氣/電子/可編程電子安全相關(guān)系統(tǒng)”的國際標(biāo)準(zhǔn)。作為功能安全的總體標(biāo)準(zhǔn),該標(biāo)準(zhǔn)是許多行業(yè)特定衍生標(biāo)準(zhǔn)的基礎(chǔ),例如適用于過程行業(yè)的 IEC 61511。
這些標(biāo)準(zhǔn)遵循安全生命周期模型,能夠規(guī)范功能安全管理,并提供各種安全儀表系統(tǒng) (SIS) 和相關(guān)安全儀表功能 (SIF) 的設(shè)計措施和技術(shù)。
IEC 61511 安全生命周期
安全生命周期的一個關(guān)鍵要素是創(chuàng)建安全要求規(guī)范 (SRS)。該文檔通常基于生命周期的危害和風(fēng)險評估階段所發(fā)現(xiàn)的信息而編制,是安全系統(tǒng)設(shè)計功能性、完整性和驗證性的藍圖。
SIL 是什么?
安全要求規(guī)范將記錄安全系統(tǒng)設(shè)計所需的任何剩余風(fēng)險降低水平,并指定相應(yīng)的 SIL 目標(biāo)級別。
SIL(安全完整性等級)即安全功能提供的相對風(fēng)險降低水平。行業(yè)定義了四個獨立 SIL 級別 (1-4),其中 SIL 4 可提供最高級別的安全完整性和相應(yīng)的風(fēng)險降低因子。
| SIL |
風(fēng)險降低因子 — RRF |
| 4 |
> 10.000 至 ≤ 100.000 |
| 3 |
> 1.000 至 ≤ 10.000 |
| 2 |
> 100 至 ≤ 1.000 |
| 1 |
>10 至 ≤ 100 |
如何實現(xiàn)特定的 SIL?
為了實現(xiàn) SIL,安全功能的設(shè)計必須滿足標(biāo)準(zhǔn)中概述的三個特定條件。
這些嚴(yán)格條件分別是:隨機硬件完整性、結(jié)構(gòu)限制和系統(tǒng)性能力。
本文將重點探討條件 1:隨機硬件完整性。如需詳細了解結(jié)構(gòu)限制和系統(tǒng)性能力,請點擊相應(yīng)的鏈接。
PR electronics 提供一系列經(jīng) SIL 認(rèn)證的設(shè)備,能夠全面滿足各種 SIL 應(yīng)用的需求。
什么是隨機硬件完整性?
隨機硬件完整性與隨機硬件故障息息相關(guān)。如果安全系統(tǒng)具有 100% 的可靠性,那么剩余風(fēng)險將降低為零,此時所有系統(tǒng)均具有 100% 的安全性。
但這是不可能實現(xiàn)的,因此我們需要根據(jù)特定需求來量化安全功能失效的可能性。了解這一點將有助于我們確定安全功能可能提供的風(fēng)險降低水平。
對于在“低需求(Low Demand)”模式下運行的安全儀表功能 (SIF),我們使用“需求時的平均失效概率”(PFDavg) 指標(biāo)來量化其可靠性,而對于在“高(High)”或“連續(xù)需求(Continuous Demand)”模式下運行的 SIF,我們使用“每小時失效概率”(PFH) 指標(biāo)進行衡量。
摘自 IEC 61511 的表 4 針對低需求 SIF 詳細說明了失效概率指標(biāo)與風(fēng)險降低因子 (RRF) 之間的關(guān)系:
| SIL |
風(fēng)險降低因子 — RRF |
PFDavg 范圍 |
| 4 |
> 10.000 至 ≤ 100.000 |
≥ 10-5 < 10-4 |
| 3 |
> 1.000 至 ≤ 10.000 |
≥ 10-4 < 10-3 |
| 2 |
> 100 至 ≤ 1.000 |
≥ 10-3 < 10-2 |
| 1 |
>10 至 ≤ 100 |
≥ 10-2 < 10-1 |
IEC 61511 — 表 4
表 5 顯示了高/連續(xù)需求 SIF 的相應(yīng)參數(shù)關(guān)系:
| SIL |
每小時失效概率 — PFH |
| 4 |
> 10-9 ≤ 10-8 |
| 3 |
> 10-8 ≤ 10-7 |
| 2 |
> 10-7 ≤ 10-6 |
| 1 |
> 10-6 ≤ 10-5 |
IEC 61511 — 表 5
在計算安全儀表功能的 PFDavg 時,我們需要分析其組成部分。典型的 SIF 由傳感器子系統(tǒng)、邏輯求解器和最終元件子系統(tǒng)組成。
下面是 SIF 組件的示例:
人們廣泛使用 FMEDA(失效模式影響和診斷分析)等失效分析技術(shù)來確定單個設(shè)備的失效模式和診斷功能。
計算指定任務(wù)時間內(nèi)的失效概率時,我們可以結(jié)合考慮失效率數(shù)據(jù)與其他變量。
雖然我們可通過一些簡單的公式來計算 PFD,但計算中考慮的變量越多,結(jié)果就越準(zhǔn)確和安全。
PFD 計算中需要考慮的變量:
| 變量 |
來源 |
| 設(shè)備故障率(例如 λDU和 λDD) |
通常由制造商通過 FMEDA 報告提供 |
| 任務(wù)時間 (MT) |
由最終用戶決定 |
| 檢驗測試間隔時間 (TI) |
由最終用戶決定 |
| 檢驗測試覆蓋率 (CPT) |
由最終用戶決定或遵從制造商建議 |
| 檢驗測試持續(xù)時間 |
由最終用戶決定 |
| 平均恢復(fù)時間 (MTTR) |
由最終用戶決定 |
| 常見故障原因 (CCF) |
使用冗余時需要考慮 β系數(shù) |
低需求模式的 PFDavg 計算公式示例
安全儀表功能的 PFDavg 是所有子系統(tǒng) PFDavg 值的總和
| 傳感器子系統(tǒng) |
邏輯求解器 |
最終元件 |
 |
 |
 |
| 1,5 x 10-3 |
8,6 x 10-5 |
1,8 x 10-2 |
總 SIF PFDavg = 1,9 x 10-2 = SIL
對于在高需求或連續(xù)需求模式下運行的 SIF,應(yīng)根據(jù) PFH(每小時失效概率)進行計算
單單實現(xiàn)安全功能的目標(biāo) PFDavg/PFH 并不表示已實現(xiàn)目標(biāo) SIL。我們還必須考慮結(jié)構(gòu)限制和系統(tǒng)性能力。
