根據(jù)IEC61508的定義,安全完整性是在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi),安全相關(guān)系統(tǒng)成功執(zhí)行所要求的安全功能的概率。為了具體量化安全完整性,IEC61508定義了安全完整性等級(jí)(SIL)的概念,用于規(guī)定分配給電氣/電子/可編程電子安全相關(guān)系統(tǒng)的安全功能的安全完整性要求。安全相關(guān)系統(tǒng)有4種安全完整性等級(jí),安全完整性等級(jí)SIL4是最高的,安全完整性等級(jí)SIL1是最低的。安全相關(guān)系統(tǒng)的安全完整性等級(jí)越高,安全相關(guān)系統(tǒng)不能實(shí)現(xiàn)所要求的安全功能的概率就越低。
注1:安全相關(guān)系統(tǒng)的安全完整性等級(jí)越高,安全相關(guān)系統(tǒng)不能實(shí)現(xiàn)所要求的安全功能的概率就越低。
注2:安全相關(guān)系統(tǒng)有SIL1~SIL4這4 種安全完整性等級(jí)。
注3:在確定安全完整性的過(guò)程中,應(yīng)包括導(dǎo)致非安全狀態(tài)的所有失效(隨機(jī)硬件失效和系統(tǒng)失效)的起因,例如硬件失效,軟件導(dǎo)致的失效以及由電氣干擾引起的失效,其中有些類型的失效,尤其是隨機(jī)硬件失效,在危險(xiǎn)失效模式中,可用失效率這樣的量來(lái)量化,對(duì)一個(gè)安全防護(hù)系統(tǒng)而言,可以用有要求時(shí)不能工作的概率來(lái)量化,但是,系統(tǒng)的安全完整性也取決于許多因素,這些因素?zé)o法精確定量?jī)H可定性考慮。
注4:安全完整性由硬件安全完整性和系統(tǒng)安全完整性構(gòu)成。
注5:“安全完整性”這一定義著重于安全相關(guān)系統(tǒng)執(zhí)行安全功能的可靠性。
IEC61508為每個(gè)安全完整性等級(jí)規(guī)定了必須滿足的要求,但是達(dá)到某個(gè)SIL等級(jí)并不意味著系統(tǒng)就是絕對(duì)安全或可靠。滿足某個(gè)SIL等級(jí)的要求,僅僅是提供了一種安全的可信度,具體而言,就是一個(gè)系統(tǒng)或功能失效的概率低于該SIL等級(jí)規(guī)定的失效概率。
確定安全完整性等級(jí)要基于危險(xiǎn)與風(fēng)險(xiǎn)分析,不恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析技術(shù)會(huì)導(dǎo)致安全相關(guān)系統(tǒng)的安全完整性等級(jí)過(guò)高或過(guò)低。安全完整性等級(jí)過(guò)高會(huì)造成不必要的過(guò)高的安全成本,安全完整性等級(jí)過(guò)低又會(huì)導(dǎo)致安全相關(guān)系統(tǒng)不能滿足安全要求。
IEC61508將安全相關(guān)系統(tǒng)按照操作模式的不同分為:低要求操作模式、高要求操作模式或連續(xù)操作模式,并針對(duì)不同操作模式下的安全完整性等級(jí)規(guī)定了相應(yīng)的目標(biāo)失效量,見(jiàn)下表。低要求操作模式指的是,要求的操作頻率每年不大于一次或不大于兩倍的檢測(cè)測(cè)試頻率,否則均應(yīng)作為高要求操作模式或連續(xù)操作模式。
表1 低要求操作模式下的安全功能目標(biāo)失效量
SIL等級(jí)/低要求操作模式(在要求時(shí)執(zhí)行設(shè)計(jì)功能的平均失效概率)
SIL4/≥10-5至小于10-4(低于10000)年一遇
SIL3/≥10-4至小于10-3(低于1000)年一遇
SIL2/≥10-3至小于10-2(低于100)年一遇
SIL/≥10-2至小于10-1(低于10)年一遇
表2 高要求操作模式下的安全功能目標(biāo)失效量
SIL等級(jí)/低要求操作模式(每小時(shí)危險(xiǎn)失效概率)
SIL4/≥10-9至小于10-8
SIL3/≥10-8至小于10-7
SIL2/≥10-7至小于10-6
SIL/≥10-6至小于10-5
作者:舞長(zhǎng)安
SIL相關(guān)閱讀
SIL定級(jí)與驗(yàn)證知識(shí)十問(wèn)十答
儀表SIL認(rèn)證水很深,五步幫你選對(duì)SIL認(rèn)證儀表
