关于SIL的一些常见问题的核心构建
功能安全,大家往往会直接联想到SIL,虽然两者不能直接划上等号,但也算是最具代表性的等价关系。
A.安全完整性等级
SIL认证,Safety Integrity Level,安全完整性的Level,由四个离散的等级组成,SIL4代表最高级别安全完整性,SIL1代表最低级别安全完整性。比如我们常常会说某SIL N(N=1,2,3,4)系统(产品),就意味着该系统(产品)具有可以使用在安全完整性为N(N=1,2,3,4)级的安全功能回路之中。要注意的是,在上述语句的表达中,笔者没有说成 “意味着某系统(产品)是SIL N的”,之所以没有这么说是因为这种说法是错误的。因为SIL并不是系统或者产品的本身属性,而是该系统或者产品能够支持的最高安全完整性等级的能力。
安全完整性SIL | 安全功能在要求时危险失效平均概率(FVDavg) |
SIL4 | 10^-4 >SIL4≥10^-5 |
SIL3 | 10^-3 >SIL3≥10^-4 |
SIL2 | 10^-2 >SIL2≥10^-3 |
SIL1 | 10^-1 >SIL1≥10^-2 |
B.安全完整性SI(Safety Integrity)
所谓完整性,是指概率,即系统能够按要求执行安全功能的概率。很显然,SIL4代表执行安全功能的最高概率,SIL3次之,SIL1最低。
安全完整性的组成
功能安全所主要考量的失效按照其产生原因可以分为两类,随机硬件失效(Random hardware failure)和系统性失效(Systematic failure)
1.随机硬件安全完整性----安全相关系统安全完整性中,与危险失效模式下的随机硬件失效有关的部分。其完整性是可以被量化的,同时依据表中的约束划分为Hardware SIL N,(N=1,2,3,4)
组件安全失效分数 | 硬件故障裕度 | ||
0 | 1 | 2 | |
<60% | SIL1 | SIL2 | SIL3 |
60%-<90% | SIL2 | SIL3 | SIL4 |
90%-<99% | SIL3 | SIL4 | SIL4 |
≥99% | SIL3 | SIL4 | SIL4 |
2.系统安全完整性----安全相关系统安全完整性中,与危险失效模式下的系统性失效有关的部分。在这里注明一下,与可量化的硬件安全完整性不同,系统性安全完整性通常不能量化(至少在IEC61508标准中对于系统安全完整性只有定性的分析),系统安全完整性不仅包括硬件部分同时也包括软件部分,用以表达系统或产品应对系统性失效的能力等级称为系统性能力,Systematic capability,SC N(N=1,2,3,4)
将上述几种属性以较简洁的计算表达方式记载式(1)如下:
HW SIL X ∩ SC Y = SIL N (1)
式中:HW SIL --硬件安全完整性等级
SC—系统性能力;
SIL—(整体)安全完整性等级;
X=1,2,3,4;
Y=1,2,3,4
N=Min{X,Y}
举个例子,假设某功能安全型仪表,硬件安全完整性依据计算得到在非冗余情况下能够支持SIL2 ,系统性能力(软硬件)依据1S原则执行评估满足SC1,那么该仪表在不冗余的情况下所能支持的最大(整体)安全完整性等级就是SIL1;而在双重冗余的情况下是可能达到SIL2的(还要考虑具体失效率的计算以及共因失效的影响);那么,如果再进行三重冗余会不会达到SIL3呢?答案是一定不行,因为系统性能力SC的等级至多只能被叠加一次,因此想通过多次冗余低系统性能力的产品以求达到高完整性等级的想法是不可行的。
综述,本文就功能安全概念中的安全完整性等级SIL进行阐述并对其相关(子)属性进行讨论最后通过属性之间的组合描述组成SIL的过程!