根据IEC61508的定义,安全完整性是在规定的条件下、规定的时间内,安全相关系统成功执行所要求的安全功能的概率。为了具体量化安全完整性,IEC61508定义了安全完整性等级(SIL)的概念,用于规定分配给电气/电子/可编程电子安全相关系统的安全功能的安全完整性要求。安全相关系统有4种安全完整性等级,安全完整性等级SIL4是最高的,安全完整性等级SIL1是最低的。安全相关系统的安全完整性等级越高,安全相关系统不能实现所要求的安全功能的概率就越低。
注1:安全相关系统的安全完整性等级越高,安全相关系统不能实现所要求的安全功能的概率就越低。
注2:安全相关系统有SIL1~SIL4这4 种安全完整性等级。
注3:在确定安全完整性的过程中,应包括导致非安全状态的所有失效(随机硬件失效和系统失效)的起因,例如硬件失效,软件导致的失效以及由电气干扰引起的失效,其中有些类型的失效,尤其是随机硬件失效,在危险失效模式中,可用失效率这样的量来量化,对一个安全防护系统而言,可以用有要求时不能工作的概率来量化,但是,系统的安全完整性也取决于许多因素,这些因素无法精确定量仅可定性考虑。
注4:安全完整性由硬件安全完整性和系统安全完整性构成。
注5:“安全完整性”这一定义着重于安全相关系统执行安全功能的可靠性。
IEC61508为每个安全完整性等级规定了必须满足的要求,但是达到某个SIL等级并不意味着系统就是绝对安全或可靠。满足某个SIL等级的要求,仅仅是提供了一种安全的可信度,具体而言,就是一个系统或功能失效的概率低于该SIL等级规定的失效概率。
确定安全完整性等级要基于危险与风险分析,不恰当的风险分析技术会导致安全相关系统的安全完整性等级过高或过低。安全完整性等级过高会造成不必要的过高的安全成本,安全完整性等级过低又会导致安全相关系统不能满足安全要求。
IEC61508将安全相关系统按照操作模式的不同分为:低要求操作模式、高要求操作模式或连续操作模式,并针对不同操作模式下的安全完整性等级规定了相应的目标失效量,见下表。低要求操作模式指的是,要求的操作频率每年不大于一次或不大于两倍的检测测试频率,否则均应作为高要求操作模式或连续操作模式。
表1 低要求操作模式下的安全功能目标失效量
SIL等级 低要求操作模式(在要求时执行设计功能的平均失效概率)
SIL4 ≥10-5至小于10-4(低于10000)年一遇
SIL3 ≥10-4至小于10-3(低于1000)年一遇
SIL2 ≥10-3至小于10-2(低于100)年一遇
SIL1 ≥10-2至小于10-1(低于10)年一遇
表2 高要求操作模式下的安全功能目标失效量
SIL等级 低要求操作模式(每小时危险失效概率)
SIL4 ≥10-9至小于10-8
SIL3 ≥10-8至小于10-7
SIL2 ≥10-7至小于10-6
SIL1 ≥10-6至小于10-5
作者:舞长安
SIL相关阅读
SIL定级与验证知识十问十答
仪表SIL认证水很深,五步帮你选对SIL认证仪表
