SIL 第 1 部分:随机硬件完整性
为了实现 SIL,安全功能的设计必须满足标准中概述的三个特定条件。本文将重点探讨条件 1:随机硬件完整性。
什么是功能安全?
功能安全是指主动检测潜在的危险情况,这要求我们通过某种保护机制或功能来防止或减少可能发生的危险事件的影响。
功能安全是受控设备 (EUC) 整体安全的组成部分,侧重于电子产品和相关软件方面。
IEC 61508是“功能安全或电气/电子/可编程电子安全相关系统”的国际标准。作为功能安全的总体标准,该标准是许多行业特定衍生标准的基础,例如适用于过程行业的 IEC 61511。
这些标准遵循安全生命周期模型,能够规范功能安全管理,并提供各种安全仪表系统 (SIS) 和相关安全仪表功能 (SIF) 的设计措施和技术。
IEC 61511 安全生命周期
安全生命周期的一个关键要素是创建安全要求规范 (SRS)。该文档通常基于生命周期的危害和风险评估阶段所发现的信息而编制,是安全系统设计功能性、完整性和验证性的蓝图。
SIL 是什么?
安全要求规范将记录安全系统设计所需的任何剩余风险降低水平,并指定相应的 SIL 目标级别。
SIL(安全完整性等级)即安全功能提供的相对风险降低水平。行业定义了四个独立 SIL 级别 (1-4),其中 SIL 4 可提供最高级别的安全完整性和相应的风险降低因子。
SIL | 风险降低因子 — RRF |
4 | > 10.000 至 ≤ 100.000 |
3 | > 1.000 至 ≤ 10.000 |
2 | > 100 至 ≤ 1.000 |
1 | >10 至 ≤ 100 |
如何实现特定的 SIL?
为了实现 SIL,安全功能的设计必须满足标准中概述的三个特定条件。
这些严格条件分别是:随机硬件完整性、结构限制和系统性能力。
本文将重点探讨条件 1:随机硬件完整性。如需详细了解结构限制和系统性能力,请点击相应的链接。
PR electronics 提供一系列经 SIL 认证的设备,能够全面满足各种 SIL 应用的需求。
什么是随机硬件完整性?
随机硬件完整性与随机硬件故障息息相关。如果安全系统具有 100% 的可靠性,那么剩余风险将降低为零,此时所有系统均具有 100% 的安全性。
但这是不可能实现的,因此我们需要根据特定需求来量化安全功能失效的可能性。了解这一点将有助于我们确定安全功能可能提供的风险降低水平。
对于在“低需求(Low Demand)”模式下运行的安全仪表功能 (SIF),我们使用“需求时的平均失效概率”(PFDavg) 指标来量化其可靠性,而对于在“高(High)”或“连续需求(Continuous Demand)”模式下运行的 SIF,我们使用“每小时失效概率”(PFH) 指标进行衡量。
摘自 IEC 61511 的表 4 针对低需求 SIF 详细说明了失效概率指标与风险降低因子 (RRF) 之间的关系:
SIL | 风险降低因子 — RRF | PFDavg 范围 |
4 | > 10.000 至 ≤ 100.000 | ≥ 10-5 < 10-4 |
3 | > 1.000 至 ≤ 10.000 | ≥ 10-4 < 10-3 |
2 | > 100 至 ≤ 1.000 | ≥ 10-3 < 10-2 |
1 | >10 至 ≤ 100 | ≥ 10-2 < 10-1 |
IEC 61511 — 表 4
表 5 显示了高/连续需求 SIF 的相应参数关系:
SIL | 每小时失效概率 — PFH |
4 | > 10-9 ≤ 10-8 |
3 | > 10-8 ≤ 10-7 |
2 | > 10-7 ≤ 10-6 |
1 | > 10-6 ≤ 10-5 |
IEC 61511 — 表 5
在计算安全仪表功能的 PFDavg 时,我们需要分析其组成部分。典型的 SIF 由传感器子系统、逻辑求解器和最终元件子系统组成。
下面是 SIF 组件的示例:
人们广泛使用 FMEDA(失效模式影响和诊断分析)等失效分析技术来确定单个设备的失效模式和诊断功能。
计算指定任务时间内的失效概率时,我们可以结合考虑失效率数据与其他变量。
虽然我们可通过一些简单的公式来计算 PFD,但计算中考虑的变量越多,结果就越准确和安全。
PFD 计算中需要考虑的变量:
变量 | 来源 |
设备故障率(例如 λDU和 λDD) | 通常由制造商通过 FMEDA 报告提供 |
任务时间 (MT) | 由最终用户决定 |
检验测试间隔时间 (TI) | 由最终用户决定 |
检验测试覆盖率 (CPT) | 由最终用户决定或遵从制造商建议 |
检验测试持续时间 | 由最终用户决定 |
平均恢复时间 (MTTR) | 由最终用户决定 |
常见故障原因 (CCF) | 使用冗余时需要考虑 β系数 |
低需求模式的 PFDavg 计算公式示例
安全仪表功能的 PFDavg 是所有子系统 PFDavg 值的总和
传感器子系统 | 逻辑求解器 | 最终元件 |
1,5 x 10-3 | 8,6 x 10-5 | 1,8 x 10-2 |
总 SIF PFDavg = 1,9 x 10-2 = SIL
对于在高需求或连续需求模式下运行的 SIF,应根据 PFH(每小时失效概率)进行计算
单单实现安全功能的目标 PFDavg/PFH 并不表示已实现目标 SIL。我们还必须考虑结构限制和系统性能力。