SIL del 1: Tilfældig hardwareintegritet
Opnåelse af SIL kræver, at en sikkerhedsfunktions design lever op til tre specifikke kriterier, som er skitseret i standarden. Dette afsnit omhandler nummer 1 – Tilfældig hardwareintegritet.
Hvad er funktionssikkerhed?
Funktionssikkerhed er aktiv detektering af potentielt farlige forhold, som kan resultere i krav om en beskyttelsesmekanisme eller -funktion til forebyggelse eller reduktion af indvirkningen af farlige hændelser, der kan forekomme.
Funktionssikkerhed er en del af den samlede sikkerhed i udstyr under kontrol (EUC) og fokuserer på elektronik og tilknyttet software.
IEC 61508 er en international standard for "Funktionssikkerhed for elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer". Den danner som paraplystandard for funktionssikkerhed grundlaget for mange branchespecifikke afledninger som f.eks. IEC 61511 i procesindustrien.
Standarden følger en model for sikkerhedslivscyklus og formaliserer håndteringen af funktionssikkerhed, samtidig med at den indeholder forholdsregler og teknikker til design af sikkerhedsinstrumenterede systemer (SIS) og tilknyttede sikkerhedsinstrumenterede funktioner (SIF).
IEC 61511 Sikkerhedslivscyklus
Et vigtigt element i sikkerhedslivscyklussen er udarbejdelsen af sikkerhedskravsspecifikationen (SRS). Dette dokument er så at sige arbejdstegningen til sikkerhedssystemdesignets funktionalitet, integritet og validering, og det er baseret på data fra fare- og risikovurderingstrinnene i livscyklussen.
Hvad er SIL?
Sikkerhedskravsspecifikationen vil dokumentere omfanget af en eventuel restrisikoreduktion, der måtte være krævet i sikkerhedssystemdesignet, og tilknytning af et tilsvarende tilsigtet SIL-niveau.
SIL eller sikkerhedsintegritetsniveau er et relativt niveau for risikoreduktion, som en sikkerhedsfunktion yder. Der er defineret fire separate SIL-niveauer fra 1 til 4, hvor SIL 4 yder det højeste niveau af sikkerhedsintegritet og giver den højeste tilsvarende risikoreduktionsfaktor.
| SIL | Risikoreduktionsfaktor – RRF |
| 4 | > 10.000 til ≤ 100.000 |
| 3 | > 1000 til ≤ 10.000 |
| 2 | > 100 til ≤ 1.000 |
| 1 | >10 til ≤ 100 |
Hvordan opnås et specifikt SIL?
Opnåelse af SIL kræver, at en sikkerhedsfunktions design lever op til tre specifikke kriterier, som er skitseret i standarden.
Disse stringente kriterier er: Tilfældig hardwareintegritet, arkitekturbegrænsninger og systempotentiale
Dette afsnit omhandler nummer 1 – Tilfældig hardwareintegritet. Oplysninger om Arkitekturbegrænsninger og Systempotentiale fås ved at klikke på de relevante links.
PR electronics tilbyder et sortiment af SIL-certificerede enheder, som dækker en lang række SIL-applikationer.
Hvad er tilfældig hardwareintegritet?
Tilfældig hardwareintegritet vedrører tilfældige fejl i hardware. Hvis sikkerhedssystemer er 100% pålidelige, vil restrisikoen blive reduceret til nul, og alle systemer ville være 100% sikre.
Dette er umuligt at opnå, og derfor er vi nødt til at sætte tal på sandsynligheden for, at en sikkerhedsfunktion svigter, når der stilles krav til den. Hvis vi forstår dette, bliver vi samtidig i stand til at fastslå den grad af risikoreduktion, som funktionen sandsynligvis vil yde.
Sikkerhedsinstrumenterede funktioner (SIF'er), der arbejder med "Lav belastning", benytter metoden Gennemsnitlig sandsynlighed for fejl ved belastning (PFDavg) til at sætte tal på pålideligheden, mens SIF'er med "Høj" eller "Kontinuerlig belastning" benytter Sandsynlighed for svigt pr. time (PFH).
Tabel 4 fra IEC 61511 viser, hvordan disse værdier svarer til risikoreduktionsfaktoren (RRF), som SIF'er med lav belastning yder:
| SIL | Risikoreduktionsfaktor – RRF | PFDavg område |
| 4 | > 10.000 til ≤ 100.000 | ≥ 10-5 < 10-4 |
| 3 | > 1000 til ≤ 10.000 | ≥ 10-4 < 10-3 |
| 2 | > 100 til ≤ 1.000 | ≥ 10-3 < 10-2 |
| 1 | >10 til ≤ 100 | ≥ 10-2 < 10-1 |
IEC 61511 - Table 4
Tabel 5 viser de tilsvarende værdier for SIF'er med høj/kontinuerlig belastning:
| SIL | Sandsynlighed for fejl pr. time – PFH |
| 4 | > 10-9 ≤ 10-8 |
| 3 | > 10-8 ≤ 10-7 |
| 2 | > 10-7 ≤ 10-6 |
| 1 | > 10-6 ≤ 10-5 |
IEC 61511 - Table 5
Beregning af PFDavg for en sikkerhedsinstrumenteret funktion kræver analyse af dens bestanddele. En typisk SIF består af et føler-delsystem, et logikmodul-delsystem og et styreelement-delsystem.
Eksempler på SIF-komponenter kan ses nedenfor:
Fejlanalyseteknikker som f.eks. FMEDA (fejltilstandsvirknings- og diagnostikanalyse) bruges i vidt omfang til at fastslå individuelle enheders fejltilstande og diagnostiske muligheder.
Fejlratedata kan kombineres med yderligere variabler med henblik på beregning af en sandsynlighed for svigt i løbet af et defineret anvendelsestidsrum.
Der findes ganske vist simple ligninger til beregning af PFD, men jo flere variabler, der medtages i beregningen, desto mere nøjagtigt og sikkert bliver resultatet.
Variabler med indvirkning på PFD-beregninger:
| Variabel | Kilde |
| Enhedsfejlrater (f.eks. λDU, λDD) | Tilvejebringes oftest af producenten via en FMEDA-rapport |
| Anvendelsestid (MT) | Fastslås af slutbrugeren |
| Prøvningsinterval (TI) | Fastslås af slutbrugeren |
| Prøvningsdækning (CPT) | Fastslås af slutbrugeren eller anbefales af producenten |
| Prøvningsvarighed | Fastslås af slutbrugeren |
| Middeltid til retablering (MTTR) | Fastslås af slutbrugeren |
| Almindelig årsag til fejl (CCF) | Beta-faktor, der skal tages højde for ved brug af redundans |
Eksempel på PFDavg-ligning til lav belastnings-tilstand
PFDavg for en sikkerhedsinstrumenteret funktion er totalen af alle delsystemernes PFDavg -værdier
| Følerdelsystem | Logikmodul | Styreelement |
 |
 |
 |
| 1,5 x 10-3 | 8,6 x 10-5 | 1,8 x 10-2 |
Samlet SIF PFDavg = 1,9 x 10-2 = SIL
SIF'er med høj eller kontinuerlig belastning benytter PFH (sandsynlighed for svigt pr. time) til beregningen
Opfyldelse af den tilsigtede PFDavg/PFH for en sikkerhedsfunktion er i sig selv ikke bevis for opnåelse af det tilsigtede SIL. Der skal også tages højde for Arkitekturbegrænsninger og Systempotentiale.
