今天,化工石化及炼油企业要求设备制造商获得其生产的安全器件(device) 的IEC61508 SIL认证的趋势越来越明显。这是一个很好的趋势, 其中有很多原因。其中一个原因是,为了获得器件的SIL认证,公司必须首先确定该器件的失效率和失效模式。这通常通过进行失效模式、影响&诊断分析(FMEDA)来完成。FMEDA报告具有很多优点,包括FMEDA报告将详细说明该器件的结构约束及其λDU(未检测到的危险失效率)。对于维护参数的任何给定值(测试间隔,测试覆盖率和修复时间),我们可以确定该器件的PFDavg(要求时的平均失效概率)。器件的结构约束和PFDavg,以及IEC 61508认证,对评估给定器件是否适用于具有给定SIL要求的安全功能具有至关重要的作用。这两个特性,连同IEC 61508认证,是安全工程师进行评估时所关注的。
根据器件(也称装置,本文中两者意义相同)的结构约束能很容易确定对给定SIL要求的安全功能的适合使用的冗余度(HFT)等级。对器件的PFDavg的解释更复杂。PFDavg并不能确定产品的安全完整性等级(SIL),它确定的是器件对安全功能的PFDavg的贡献。因此,器件的PFDavg必须和与其将使用的其他器件的PFDavg 一起考虑,以确定该安全功能的SIL等级。本文将分别讨论这两个特性,但首先让我们先阐述关于什么是和什么不是SIL 3的更基本的概念。将器件称为SIL 1器件,SIL 2器件,或SIL 3器件是非常方便的。不幸的是,这是一个危险的简化。实际上,并没有诸如SIL 1器件,SIL 2器件或SIL 3器件的东西。唯一可以真正归类为SIL 1或SIL 2或SIL 3的是安全功能。这就是为什么认证器件在其证书上分类为SIL 1能力(SIL 1 Capable),SIL 2能力(SIL 2 Capable)或SIL 3能力(SIL 3 Capable)。这是一个非常真切的区别,当你进一步阅读本文后,你会对该区别认识得非常清楚。
A 结构约束(Architectural Constraints)
器件的结构约束与器件类型(类型A或类型B)及其安全失效分数(SFF)有关。 A类器件是使用离散元素的“非复杂”的子系统。 B类器件是使用微控制器或可编程逻辑的“复杂”子系统。更多详细信息,请参见IEC 61508-2的7.4.3.1.3章节。
表描述 类型A器件的 结构约束:
如上所述,器件的结构约束与其安全失效分数(SFF)和器件类型(类型A或类型B)有关,这两个参数皆应在器件的FMEDA中定义。从表1中可以看出,安全失效分数(SFF)在60%和90%之间的类型A器件可以作为单个器件在SIL 2的安全功能中使用。当用于冗余结构(如1oo2)时,它也适用于SIL 3安全功能。但是,当SFF在60%和90%之间,将这样的装置称为或作为“SIL 3装置”是误导的。如果要认证这样的装置,其证书应该这样指出:“SIL 2能力@ HFT = 0”和“SIL 3能力@ HFT = 1”。(未完待续)