SIL 第 2 部分:結(jié)構(gòu)限制
為了實現(xiàn) SIL,安全功能的設(shè)計必須滿足標(biāo)準(zhǔn)中概述的三個特定條件。本文將重點探討條件 2:結(jié)構(gòu)限制。
什么是功能安全?
功能安全是指主動檢測潛在的危險情況,這要求我們通過某種保護機制或功能來防止或減少可能發(fā)生的危險事件的影響。
功能安全是受控設(shè)備 (EUC) 整體安全的組成部分,側(cè)重于電子產(chǎn)品和相關(guān)軟件方面。
IEC 61508是“功能安全或電氣/電子/可編程電子安全相關(guān)系統(tǒng)”的國際標(biāo)準(zhǔn)。作為功能安全的總體標(biāo)準(zhǔn),該標(biāo)準(zhǔn)是許多行業(yè)特定衍生標(biāo)準(zhǔn)的基礎(chǔ),例如適用于過程行業(yè)的 IEC 61511。
這些標(biāo)準(zhǔn)遵循安全生命周期模型,能夠規(guī)范功能安全管理,并提供各種安全儀表系統(tǒng) (SIS) 和相關(guān)安全儀表功能 (SIF) 的設(shè)計措施和技術(shù)。
IEC 61511 安全生命周期
安全生命周期的一個關(guān)鍵要素是創(chuàng)建安全要求規(guī)范 (SRS)。該文檔通常基于生命周期的危害和風(fēng)險評估階段所發(fā)現(xiàn)的信息而編制,是安全系統(tǒng)設(shè)計功能性、完整性和驗證性的藍圖。
SIL 是什么?
安全要求規(guī)范將記錄安全系統(tǒng)設(shè)計所需的任何剩余風(fēng)險降低水平,并指定相應(yīng)的 SIL 目標(biāo)級別。
SIL(安全完整性等級)即安全功能提供的相對風(fēng)險降低水平。行業(yè)定義了四個獨立 SIL 級別 (1-4),其中 SIL 4 可提供最高級別的安全完整性和相應(yīng)的風(fēng)險降低因子。
| SIL |
風(fēng)險降低因子 — RRF |
| 4 |
> 10.000 至 ≤ 100.000 |
| 3 |
> 1.000 至 ≤ 10.000 |
| 2 |
> 100 至 ≤ 1.000 |
| 1 |
>10 至 ≤ 100 |
如何實現(xiàn)特定的 SIL?
為了實現(xiàn) SIL,安全功能的設(shè)計必須滿足標(biāo)準(zhǔn)中概述的三個特定條件。
這些嚴(yán)格條件分別是:隨機硬件完整性、結(jié)構(gòu)限制和系統(tǒng)性能力。
本文將重點探討條件 2:結(jié)構(gòu)限制。如需詳細(xì)了解隨機硬件完整性和系統(tǒng)性能力,請點擊相應(yīng)的鏈接。
PR electronics 提供一系列經(jīng) SIL 認(rèn)證的設(shè)備,能夠全面滿足各種 SIL 應(yīng)用的需求。
什么是結(jié)構(gòu)限制?
準(zhǔn)確、可靠地獲取電氣/電子和可編程電子設(shè)備的故障率數(shù)據(jù)是一項歷史性難題。由于現(xiàn)場故障的衡量和報告方法不一致,加上制造商提供的故障率數(shù)據(jù)往往過于樂觀,人們根據(jù)這些假設(shè)得出的設(shè)計在適當(dāng)性和安全方面通常有所欠缺。
為了抵消這個問題,功能安全標(biāo)準(zhǔn)根據(jù)所需的 SIL 級別提出了結(jié)構(gòu)限制。也就是使用硬件故障裕度 (HFT) 來彌補聲稱的故障率,從而增強安全系統(tǒng)設(shè)計的完整性。
硬件故障裕度即通過添加冗余元素來允許發(fā)生一定程度的故障,例如 1oo1 = HFT0、1oo2 = HFT1。
最新版本的 IEC 61511 針對滿足安全功能的結(jié)構(gòu)限制提出了 3 種途徑:
- IEC 61508 途徑 1H
- IEC 61508 途徑 2H
- IEC 61511 第 11 條下的 11.4.5-11.4.9(派生自 IEC 61508 途徑 2H)
IEC 61508 途徑 1H
此途徑主要適用于沒有歷史數(shù)據(jù)的新設(shè)備。所需的硬件故障裕度將根據(jù)設(shè)備類型和安全失效分?jǐn)?shù)進行計算。
根據(jù)行業(yè)定義,所有設(shè)備均可歸類為 A 型和 B 型 2 種類型。A 型設(shè)備指那些故障模式已廣為人知的簡單設(shè)備,而 B 型設(shè)備是指那些通常包含微處理器/軟件的復(fù)雜設(shè)備。
安全失效分?jǐn)?shù) (SFF) 即安全失效率和可檢測的危險失效率占總失效率的百分比。
摘自標(biāo)準(zhǔn)的下表顯示了不同目標(biāo) SIL 時的最小硬件故障裕度。
IEC 61508 途徑 1H 表
IEC 61511 v IEC 61508 途徑 2H
有關(guān)結(jié)構(gòu)限制的 IEC 61511 表是根據(jù) IEC 61508 途徑 2H 方法而得出。
IEC 61511 — 不同 SIL 時的 HFT 要求
IEC 61508 (-2010) 第二版中新增的途徑 2H 要求根據(jù)歷史現(xiàn)場可靠性數(shù)據(jù)的質(zhì)量來確定硬件故障裕度。
IEC 61508 規(guī)定,所使用數(shù)據(jù)的質(zhì)量應(yīng)基于在類似應(yīng)用和環(huán)境中使用的設(shè)備的現(xiàn)場反饋,以及按照已發(fā)布標(biāo)準(zhǔn)(例如 IEC 60300-3-2 或 ISO 14224)收集的數(shù)據(jù),并根據(jù)以下條件進行評估:
- 現(xiàn)場反饋的數(shù)量;以及
- 專家判斷;以及在需要時
- 進行特定檢驗。
IEC 61508-2010 途徑 2H 還要求所用的數(shù)據(jù)具有較高的置信度 (90%)。
IIEC 61511 第 11.4.9 條規(guī)定:“用于計算故障率的可靠性數(shù)據(jù)的統(tǒng)計置信度上限應(yīng)不低于 70%。”
盡管 IEC 61508 途徑 2H 和 IEC 61511 方法均可使用,但我們必須充分理解、記錄并確認(rèn)可供證實方法合理性的證據(jù)。
單單滿足安全功能的結(jié)構(gòu)限制并不表示已實現(xiàn)目標(biāo) SIL。我們還必須考慮隨機硬件完整性和系統(tǒng)性能力。
IEC 61511 第 11.4.9 條規(guī)定:“用于計算故障率的可靠性數(shù)據(jù)的統(tǒng)計置信度上限應(yīng)不低于 70%。”
盡管 IEC 61508 途徑 2H 和 IEC 61511 方法均可使用,但我們必須充分理解、記錄并確認(rèn)可供證實方法合理性的證據(jù)。
單單滿足安全功能的結(jié)構(gòu)限制并不表示已實現(xiàn)目標(biāo) SIL。我們還必須考慮隨機硬件完整性和系統(tǒng)性能力。
