SIL 第 3 部分：系統(tǒng)性能力

什么是功能安全？

功能安全是指主動(dòng)檢測(cè)潛在的危險(xiǎn)情況，這要求我們通過某種保護(hù)機(jī)制或功能來防止或減少可能發(fā)生的危險(xiǎn)事件的影響。

功能安全是受控設(shè)備 (EUC) 整體安全的組成部分，側(cè)重于電子產(chǎn)品和相關(guān)軟件方面。

IEC 61508是“功能安全或電氣/電子/可編程電子安全相關(guān)系統(tǒng)”的國(guó)際標(biāo)準(zhǔn)。作為功能安全的總體標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是許多行業(yè)特定衍生標(biāo)準(zhǔn)的基礎(chǔ)，例如適用于過程行業(yè)的 IEC 61511。

這些標(biāo)準(zhǔn)遵循安全生命周期模型，能夠規(guī)范功能安全管理，并提供各種安全儀表系統(tǒng) (SIS) 和相關(guān)安全儀表功能 (SIF) 的設(shè)計(jì)措施和技術(shù)。

IEC 61511 安全生命周期

安全生命周期的一個(gè)關(guān)鍵要素是創(chuàng)建安全要求規(guī)范 (SRS)。該文檔通?；谏芷诘奈：惋L(fēng)險(xiǎn)評(píng)估階段所發(fā)現(xiàn)的信息而編制，是安全系統(tǒng)設(shè)計(jì)功能性、完整性和驗(yàn)證性的藍(lán)圖。

SIL 是什么？

安全要求規(guī)范將記錄安全系統(tǒng)設(shè)計(jì)所需的任何剩余風(fēng)險(xiǎn)降低水平，并指定相應(yīng)的 SIL 目標(biāo)級(jí)別。

SIL（安全完整性等級(jí)）即安全功能提供的相對(duì)風(fēng)險(xiǎn)降低水平。行業(yè)定義了四個(gè)獨(dú)立 SIL 級(jí)別 (1-4)，其中 SIL 4 可提供最高級(jí)別的安全完整性和相應(yīng)的風(fēng)險(xiǎn)降低因子。

如何實(shí)現(xiàn)特定的 SIL？

為了實(shí)現(xiàn) SIL，安全功能的設(shè)計(jì)必須滿足標(biāo)準(zhǔn)中概述的三個(gè)特定條件。

這些嚴(yán)格條件分別是：隨機(jī)硬件完整性、結(jié)構(gòu)限制和系統(tǒng)性能力。

本文將重點(diǎn)探討條件 3：系統(tǒng)性能力。如需詳細(xì)了解隨機(jī)硬件完整性和結(jié)構(gòu)限制，請(qǐng)點(diǎn)擊相應(yīng)的鏈接。

PR electronics 提供一系列經(jīng) SIL 認(rèn)證的設(shè)備，能夠全面滿足各種 SIL 應(yīng)用的需求。

什么是系統(tǒng)性能力？

IEC 61508-2010 對(duì)系統(tǒng)性能力的定義如下：

“一種衡量指標(biāo)，用于在根據(jù)適用于某元件的安全手冊(cè)之規(guī)定應(yīng)用某元件時(shí)，確定某元件的安全功能在系統(tǒng)安全完整性方面滿足指定安全完整性等級(jí) (SIL) 要求的置信度（以 SC 1 至 SC 4 的等級(jí)表示）。”

系統(tǒng)性故障主要是人為錯(cuò)誤所致。在安全功能的設(shè)計(jì)、工程、運(yùn)行乃至維護(hù)階段，都有可能引入系統(tǒng)性故障，而這些故障將會(huì)在特定的情況下發(fā)生。

系統(tǒng)性故障的誘因通常是設(shè)備或組件規(guī)格不當(dāng)、操作或維護(hù)程序出錯(cuò)，或者軟件錯(cuò)誤。系統(tǒng)性故障將會(huì)反復(fù)發(fā)生，直到通過重新設(shè)計(jì)解決引發(fā)問題的根本原因。

因此，系統(tǒng)完整性可以定義為針對(duì)系統(tǒng)性故障的防范級(jí)別。

證明系統(tǒng)安全完整性

IEC 61511 提供了 2 種適用于證明系統(tǒng)性能力的方法：

• 使用經(jīng) IEC 61508 認(rèn)證的設(shè)備
• 過往使用依據(jù)

使用經(jīng) IEC 61508 認(rèn)證的設(shè)備

根據(jù)所需的 SIL 級(jí)別，IEC 61508 針對(duì)設(shè)備的設(shè)計(jì)、防錯(cuò)和測(cè)試提出了嚴(yán)格要求。此舉旨在確保制造商遵循嚴(yán)格且可重復(fù)的制造過程，同時(shí)建立完善的問責(zé)制并維護(hù)好相關(guān)文檔。

標(biāo)準(zhǔn)中提供了一系列表格，表格中包含可供制造商遵循的相關(guān)技術(shù)和措施，而制造商也可據(jù)此證明其設(shè)備符合相關(guān)的 SIL 級(jí)別。

IEC 61508-2010 表 A.15 — 硬件設(shè)計(jì)引起的系統(tǒng)性故障的控制技術(shù)和措施

上表是眾多示例中的一個(gè)，這些示例分別側(cè)重于特定的設(shè)計(jì)方面。

根據(jù)所需的 SIL 級(jí)別，表中將分別指明每種技術(shù)/措施的效力：強(qiáng)制性 (M)、強(qiáng)烈推薦 (HR)、推薦 (R) 或者不推薦 (NR)。表中還將指明每種措施對(duì)于防范系統(tǒng)性故障所需的有效性。

經(jīng) IEC 61508 認(rèn)證的設(shè)備需要在所有這些要求方面接受公認(rèn)第三方的合規(guī)性審核，以確保根據(jù)所需的 SIL 級(jí)別應(yīng)用了所有相關(guān)的設(shè)計(jì)、測(cè)試和記錄技術(shù)與措施。

SIL 證書中應(yīng)指明相關(guān)的 SC 級(jí)別。

過往使用依據(jù)

人們普遍認(rèn)為，當(dāng)特定用戶具有豐富的設(shè)備使用經(jīng)驗(yàn)，并且設(shè)備的故障率足夠低時(shí)，用戶就能夠可靠地使用設(shè)備。

但是，要想充分證明這個(gè)觀點(diǎn)，我們需要假設(shè)用戶建立了一個(gè)穩(wěn)健的系統(tǒng)來全面記錄所有故障和故障模式，并對(duì)可能影響過往經(jīng)驗(yàn)的硬件和軟件版本實(shí)施了嚴(yán)格的版本控制。同時(shí)，為了確保數(shù)據(jù)的一致性，任何擬使用的新應(yīng)用都必須具有與歷史數(shù)據(jù)相似的操作條件。

IEC 61511 第 11.5.3 條概述了根據(jù)過往使用依據(jù)選擇設(shè)備的要求。

“應(yīng)提供可證明設(shè)備適用于安全儀表系統(tǒng)的適當(dāng)證據(jù)，包括：

• 考慮制造商的質(zhì)量、管理和配置管理系統(tǒng)
• 設(shè)備的充分標(biāo)識(shí)和規(guī)格
• 設(shè)備在類似操作環(huán)境中表現(xiàn)出的性能
• 操作經(jīng)驗(yàn)的多寡。

設(shè)備所需的 SIL 級(jí)別越高，對(duì)于過往使用依據(jù)的要求也就越高，特別是在設(shè)備包含軟件時(shí)。

最終用戶通常難以提供充分的過往使用依據(jù)，因此許多最終用戶都選擇使用日益普遍的經(jīng) IEC 61508 認(rèn)證的設(shè)備來證明系統(tǒng)性能力。

單單證明系統(tǒng)性能力并不表示已實(shí)現(xiàn)目標(biāo) SIL。我們還必須考慮隨機(jī)硬件完整性和結(jié)構(gòu)限制。