如何理解安全完整性与SIL等级.pdf

如何理解安全完整性与SIL等级.pdf

《如何理解安全完整性与SIL等级.pdf》由会员分享，可在线阅读，更多相关《如何理解安全完整性与SIL等级.pdf（4页珍藏版）》请在冰豆网上搜索。

如何理囊簪参盒完整性与SJL,等级HowtOUnderstandSafetyIntegrityandSIL史学玲孟邹清邓意（机械工业仪器仪表综合技术经济研究所，北京市100055）ShiXuelingMengZouqingDengYi（InstrumentationTechnology&EconomyInstituteBeijing100055）【摘要】首先介绍安全完整性相关的基本概念，然后通过分析安全完整性与安全要求、$1k等级及可靠性之间的关系，阐述安全完整性与$1k等级实际含义。

【关键词】安全完整性$1kAbstract：

Thepaperintroducedthebasicconceptsofsafetyintegrity,andanalysedtherelationshipbetweensafetyintegrityandsafetyrequirements，SILandthereliability，expatiatedthemeaningofsafetyintegrityandSILKeywords：

SafetyIntegritySIL前言等同采用1EC61508“电气电子可编程电子安全相关系统的功能安全”的中国国家标准（GBT2043817）已于2006年7月25日批准，将于2007年1月1日正式实施。

对安全相关系统的供应商、系统集成商和用户来说，执行该标准的一个基本前提，就是正确理解安全完整性与SIL（安全完整性等级，safetyintegrityleve1）的真实内涵。

1安全完整性及相关定义IEC61508-4中，与安全完整性相关的定义有：

安全完整性（safetyintegrity）在规定的条件下、规定的时间内，安全相关系统成功实现所要求的安全功能的概率。

注1：

安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。

注2：

安全相关系统有4种安全完整性等级。

注3：

在确定安全完整性的过程中，应包括导致非安全状态的所有失效（随机硬件失效和系统失效）的起因，例如硬件失效，软件导致的失效以及由电气干扰引起的失效，其中有些类型的失效，尤其是随机硬件失效，在危险失效模式中，可用失效率这样的量来量化，对一个安全防护系统而言，可以用有要求时不能工作的概率来量化，但是，系统的安全完整性也取决于许多因素，这些因素无法精确定量仅可定性考虑。

注4：

安全完整性由硬件安全完整性和系统安全完整性构成。

注5：

这一定义着重于安全相关系统执行安全功能的可靠性。

收稿日期：

006-1124作者简介：

史学玲（1961一），女，吉林舒兰人，机械工业仪器仪表综合技术经济研究所研发与咨询室主任，教授级高工。

研究方向：

现场总线与功能安全技术。

10l位一位蔑蕾准化与计l6安全相关系统（safety-relatedsystem）所指的系统：

必需要能实现要求的安全功能以达到或保持EUC的安全状态l自身或与其它EEPE安全相关系统、其它技术安全相关系统或外部风险降低设施一道，能够达到要求的安全功能所需的安全完整性。

注1：

这条术语是指这样的系统，即所谓安全相关系统是它们，及与外部凤险降低设施一道达到必要的风险降低量，以满足所要求的允许风险。

注2：

安全相关系统是在接受命令时采取适当的动作以防止EUC进入危险状态。

安全相关系统的失效被包括在导致危险或危害的事件中。

尽管存在可能具备安全功能的其他系统，但已指定的安全相关系统仅是指靠其自身能力达到要求的允许风险的安全相关系统。

安全相关系统一般分为安全控制系统和安全防护系统并且具有两种操作模式（低要求操作模式、高要求或连续操作模式）。

注3：

安全相关系统可以是EUC控制系统的组成部分，也可用传感器和或执行器与EUC接口，即可通过实现EUC控制系统中的安全功能（也可能通过分开的和独立的附加系统）达到要求的安全完整性等级，或者利用分离的、独立的、专门的安全相关系统实现安全功能。

注4：

安全相关系统可能包括：

a）被用于防止危险事件发生（即安全相关系统一旦执行其安全功能则没有危险事件发生）；b）被用来减轻危险事件的影响，即通过减轻后果的办法来降低风险。

C）同时具有a）和b）的组合功能。

注5；人也可作为安全相关系统的一部分，例如，人可以接收来自可编程电子装置的信息，并通过可编维普资讯http:

/程电子装置按接收信息要求执行安全动作。

注6：

该术语包括执行安全功能所需的全部硬件、软件以及支持服务（如电源）（传感器，其它输入装置，最终元件（执行器）和其它输出装置也包括在安全相关系统中）。

注7：

安全相关系统的技术基础范围可以十分广泛，包括电气、电子、可编程电子、液压和气动等。

安全完整性等级（SIL（safetyintegrityleve1）一种离散的等级（四种可能等级之一），用于规定分配给EEPE安全相关系统的安全功能的安全完整性要求，在这里，安全完整性等级4是最高的，安全完整性等级1是最低的。

安全功能（safetyfunction）针对特定的危险事件，为达到或保持EUC的安全状态，由EEPE安全相关系统、其它技术安全相关系统或外部风险降低设施实现的功能。

软件安全完整性（softwaresafetyintegrity）在所有规定条件下和规定时间内表示软件在可编程电子系统中执行其安全功能的可能性的量值。

系统安全完整性（systematicsafetyintegrity）在危险失效模式中与系统失效有关的安全相关系统安全完整性的一部分。

注：

通常无法量化系统的安全完整性（一般可以与硬件安全完整性分开）。

硬件安全完整性（hardwaresafetyintegrity）在危险失效模式中与随机硬件失效有关的安全相关系统安全完整性的一部分。

注：

本术语涉及危险模式中的失效，即安全相关系统的这类失效将削弱其安全完整性，与本术语有关的两个参数是整体危险失效率和在要求时操作失效的概率，当为保持安全而必须保持连续控制时，使安全完整性与安全要求的关系如图l。

图1安全完整性与安全要求的关系3安全完整性与SIL等级的关系安全完整性包括系统安全完整性与随机安全完整性两部分。

系统完整性是安全完整性里不可定量部分，并且与系统故障导致的硬件、软件的危险失效有关。

系统故障通常由系统、子系统和设备在安全功能的生命周期内各种人为错误导致，如规范错误、设计错误、制造错误、安装错误、操作错误、维护错误、修改错误等。

随机安全完整性是安全完整性的随机危险失效部分，其中唯一可以量化的部分就是硬件失效相关的硬件安全完整性。

硬件失效是硬件部分有限的可靠性导致的。

系统安全完整性通过质量管理和安全管理条件获得。

由于不可能通过定量的方法来评估系统安全完整性，功能安全标准中用SIL对技术措施与管理条件进行了分级。

安全完整性与SIL等级的关系如图2。

安全完整性广J系统随机安全完整性SIL安全完整性故障率用前一可靠性参数，在安全防护系统范围中使用后一可靠性参数。

2安全完整性与安全要求的关系对安全相关系统、子系统或设备的要求可以分为与安全无关的要求和与安全有关的要求两部分来考虑。

与安全相关的要求一般称为安全要求，安全要求应包含在一个独立的安全要求规范中。

安全要求又分为安全功能要求与安全完整性要求。

安全功能要求是实际的系统、子系统或者设备需要执行的安全功能。

而安全完整性要求则规定了每一个安全功能的SIL要求。

图2安全完整性与$1L等级的关系4安全完整性与可靠性的关系41可靠性的基本定义在描述安全完整性与可靠性之间关系之前，首先来看可靠性的基本定义。

可靠性的经典定义是“产品在规定条件下和规定时间内，完成规定功能的能力”。

产品：

指作为单独研究和分别试验对象的任何元件、设备或系统，可以是零件，部件，也可以是由它们装配而成的机器，或由许多机器组成的机组和成套设备，甚至还把人的作用也包括在内。

在具体使用“产里卤维普资讯http:

/品”这一词时，其确切含义应加以说明。

例如汽车板簧、汽车发动机、汽车整车等。

规定条件：

包括储存环境条件、装配条件、运输条件、使用环境条件、维修条件、保障条件等。

规定时间：

这里的时间是一个广义的概念，除了包括任务时间、试验时间、工作时间、储存时间等一般性的时间概念以外，还可以指动作次数、运输距离等可以与时间成比例的参数。

是可靠性区别于产品其他质量属性的重要特征，一般也可认为可靠性是产品功能在时间上的稳定程度。

因此以数学形式表示的可靠性各特征量都是时间的函数。

规定功能：

是指产品应具备的技术指标。

产品丧失规定功能称为失效，对可修复产品通常也称为故障。

怎样才算是失效或故障，有时很容易判定，但更多情况则很难判定。

当产品指的是某个螺栓，显然螺栓断裂就是失效；当产品指的是某个设备，对某个零件损坏而该设备仍能完成规定功能就不能算失效或故障，有时虽有某些零件损坏或松脱，但在规定的短时间内可容易地修复也可不算是失效或故障。

若产品指的是某个具有性能指标要求的机器，当性能下降到规定的指标后，虽然仍能继续运转，但已应算是失效或故障。

究竟怎样算是失效或故障，有时要涉及厂商与用户不同看法的协商，有时要涉及当时的技术水平和经济政策等而作出合理的规定。

能力：

可以用概率、工作寿命等参数来度量。

一般来说，能力的概率度量值称为可靠度；而工作寿命度量值，对于可修复产品，用平均故障间隔时间MTBF表示，对于不可修复产品，则用平均故障前时间MTTF表示。

42安全完整性与可靠性的比较可靠性是一个广义的概念，其针对对象是“产品”，可以是任何元件、设备或系统，可以是零件、部件，也可以是由它们装配而成的机器，或由许多机器组成的机组和成套设备，甚至还把人的作用也包括在内；可靠性衡量的是“产品”在规定条件下和规定时间内，完成规定“功能”的能力。

其功能也是一个泛泛的概念，不同领域的产品有不同的要求功能。

可靠性数学表达式为：

可靠度（R（t）或平均故障间隔时间（MTBF）等，这是对于产品本身特性的一个度量，虽然，它也是考虑了特定的地点、特定的时间、特定的环境等因素，但是可以说仍然是一个相对独立性的参数。

而安全完整性是一个相对专业的概念，针对的对象是“安全相关系统”，衡量的是“安全相关系统”在规定的条件下和规定的时间内，完成规定的“安全功能”的概率。

对要求的功能领域也有一个明确的界定。

安全完整性是应用于安全领域的一个专有概念，比可靠性更有针对性。

12l倥一倥爱际准化与计一1一安全完