, A6 b- o! k# G4 `, K
4C9 B5 r% D$ H, y/ G' h/ z
安全完整性等级SAFETY INTEGRITYLEVEL(SIL)
:~# C3 j& C6 r- R! l
简介:主要讲述功能安全(安全完整性等级)的认证的重要性和必要性。简单叙述了认证使用的标准、认证的模式和认证的内容以及对评估人员的要求。特别强调了功能安全与EMC环境的关系。0B( f2 t/ E: [" l9 K, P6 O
前言
在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备工作不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的火灾、爆炸,核电站的辐射超剂量,飞机的机械漏油等危险事件,会对人员、设备和环境造成灾难性后果。如何将这种灾难控制在可接受的范围之内?这就需要依靠标准和法规来规范。如果一个项目,一个系统或产品获得了功能安全的认证,那么可以增
强客户的信心。&& H- zU$b
2^" C3 ap! y! V
1!y" }8 W6 |; D4 E
功能安全认证的重要性
,~1 t4 B1 h* i: m8 x
安全系统功能安全主要的研究对象是以保护人身财产安全为目的与安全相关的保护系统,其包括安全控制系统和安全保护系统两大类。随着微电子技术、计算机技术和总线技术以及无线通信技术的迅速发展,这些技术被越来越多地应用到安全系统以实现安全功能。而安全系统本身,由于无法预计的失效而导致的危险引起了科学家们的注意。由于上世纪70年代以来在欧美发生的多起工业事故都与安全相关系统失效有关,所以人们意识到安全相关系统的功能安全的重要性。%U) I$ ?, G6 H# R
美国、欧共体等国家相继在各自工业领域开展对功能安全的研究,制定了相应的国家标准,直到2000年IEC61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》标准的颁布,才标志功能安全作为独立的安全学科,进入实际的应用阶段。
IEC61508发布后,欧盟的强制指令(如ATEX指令)、美国职业安全与卫生管理局、美国环保署和英国(HSE)都将其纳入安全法规范畴。"g* B' A: @3 _% Y( q
随后,各个应用领域的功能安全标准也相继制订,2003年颁布IEC61511.1-3《过程工业领域安全仪表系统(SIS)的功能安全》标准,2005年颁布IEC62061《机械安全-安全相关的电气/电子/可编程电子控制系统的功能安全》。IEC61784-3 Datacommunications for measurement and control-Part 2 Profiles forfunctional safety communications in industrynetworks(用于工业网络功能安全通信)正在制订中。这些标准都以安全完整性等级(SIL)来评估仪表和系统的风险程度。4]5 N0 V( u5 H, _4 f5 r! 6 Y
近年来,由于钢铁、石化、核电及过程成套设备等工业产品的飞速发展,防止火灾、爆炸等事故的发生已成为非常突出的问题。国外尤其是欧共体国家,在功能安全的评估方面有着越来越
强烈的要求,所以,要求取得认证的产品越来越多,产品的范围也在逐步扩大。
对于安全事故多发的我国,功能安全和安全完整性等级只是作为一个名词概念,在国内工业领域业内流传。由于安全生产越来越引起国家领导人和民众的广泛关注(人的生命高于一切),已成为衡量现代工业的重要指标,特别是国外工程投资的增加和工程设计的全面介入,带动了我国安全仪表系统功能安全技术的应用需求。因此,对用于安全系统中的相关产品进行安全完整性的认证是非常必要的。
(S/ H+ F# g; B6 T5 _
21^* z9 ^9 }& Q3 P" T9 i( A
国外开展认证工作的情况"f) Q8 U2 k% w, v
#~% M" O- n& E0 g
国外相关的产品如:SIEMENS 的故障安全容错S7F/FH系统等,有的配置专用的安全模块(一般以黄色标识)和相应的组态软件,并由被动的维护、诊断发展到预防性安全措施;RockwellAutomation的Guard PLC;Phoenix 的安全隔离栅等。 SIEMENS 对现场总线推出了PROFIsafe协议、RockwellAutomation 公司推出了CIPsafety 和DeviceNetsafety、Phoenix Contact公司开发了Interbus Safety、Mitsubishi 公司研发了CClink Safety等,这些产品有的已经通过7^! }0 H( u5 u2 t) 1 f
了国际权威机构的认证,有的拿到了专门机构的测试分析报告。#J7 K# k6 _" 1 k
3
安全相关系统功能安全评价标准简介'I; E8 I1 _/ y/ D
3.1IEC61508
本标准是基于安全相关系统的可靠性,它是安全相关系统功能安全的基础标准,有7个部分组成,描述了安全相关系统的软硬件的要求(从危险分析和安全功能的详细说明开始,直到系统停用和处理)。它提出了4个安全完整性等级,提出了影响安全完整性等级的两个因素以及安全故障的比例和目标失效量的测量。
3.2IEC61511
本标准是IEC61508在过程工业领域的应用。本标准给出了安全仪表系统的规范、设计、安装、运行和维护要求,以及它的应用指南和确定要求的安全完整性等级的指南,主要适用于包括化工、炼油、油气生产、纸浆和造纸等在内的过程控制领域。它适用于安全仪表系统的设计师、集成商和用户,但并不适用于过程工业领域的安全仪表系统的制造商。
3.3IEC62061
本标准是IEC61508在机械应用领域中E/E/PES的功能安全要求,它包括机械设计完整性、安全相关电气控制系统的有效性等方面的要求和建议。本标准只考虑高要求(连续)操作模式下的安全完整性等级。5H8 n" l+ g. d/ X! n
上述标准的区别是IEC61508是一个基础标准,而IEC61511 和IEC62061是基于IEC61508在各自工业领域的功能安全应用标准。9V/ ~; ~9 K! T. B' A% d
:W- B! M) n7 ^L! V1 |&s
4
认证的模式
(c" f+ q/ ]$ X3 C1 k3 |
根据ISO/IEC出版物《认证的原则与实践》,将现行的认证制度归纳为8 种模式。7e8 B5 I$ y2 n4 g
安全完整性等级(SIL)认证的模式应按产品的不同,而分为型式试验+工厂质量体系评定+认证后监督或型式试验+工厂质量体系评定。因为SIL的评估是贯穿于系统和产品的全生命周期的。
1`6 r3 h7 i: i; ]9 b
5对评估人的要求
+ek5oN4 ~# L3 }8 c.e
在IEC61508.1中对评估人员和部门作了规定。可进行功能安全评估的人、部门或组织必须是独立的,与被评估的项目没有任何关系。对于SIL1的系统可以由个人或部门来完成,SIL2 的系统可以由相关的部门进行。只有SIL3以上的系统和产品要求第三方机构来认证。
. * q, h% l+ ?0 B; n6 x
6$ i1 Z- `; B) y) t% v
SIL认证涉及的一些基本概念和认证内容
6.1
功能安全的概念.I7 z5 g* ^; ]
功能安全是与EUC或EUC控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子(E/E/PE)安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。1S" Y; ^7 v$ s: C$ U
主要内容包括管理和技术两方面。即在技术上和管理上保证E/E/PE安全系统、其它技术安全系统和外界风险降低设施在需要时能执行安全功能。
在过程工业领域如石化、化工等,是用安全仪表系统来表述安全相关系统。即SIS(SaftyInstrumentedSystems)用来实现一个或几个仪表安全功能的仪表系统,可以由传感器、逻辑解算器和终端元件的任何组合组成.
仪表安全功能(Safty InstrumentedFunction)就是具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是安全保护系统,也可以是安全控制系统.
其中E/E/PES安全相关系统的实现包括两个部分即硬件的实现和软件的实现,这个阶段是通过设计满足系统的SIL要求。E/E/PES安全相关系统的实现阶段包括安全要求规范(安全功能要求规范和安全完整性要求规范)、安全确认计划、设计和开发、集成、操作和维护规程、安全确认(IEC61508-2)3h/ }+ y$ V" KQ/ C'f
6.2
功能安全的评估7{" g+ m9 z' r* _
功能安全评估的目的是调查并判断E/E/PE安全相关系统所达到的功能安全。对SIS的功能安全评估从两个方面来进行。第一,评估为了确保满足功能安全目的所必需的管理活动是否有效。第二,评估安全仪表系统或安全仪表是否达到了要求的SIL。1~+ WV8 M# h+ q$ Q9 w: [)p
安全完整性和安全完整性等级的确定:
安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。安全完整性等级是用来规定分配给SIS安全功能的安全完整性要求的分离等级,记为SIL,共分4个等级,SIL4为最高等级。IEC61508-1规定了目标失效量(表1)。在确定安全完整性时,应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)。安全相关系统使用方式,按要求产生的频率可分为:低要求模式(≤1次/年)和高要求或连续模式(>1次/年)。低要求模式和高要求模式SIL的目标失效量是不同的,见表1。0a. Z" j' D1 c. L
表1安全完整性等级:低要求模式和高要求模式SIL的目标失效量
SIL | 风险降低&yt, s. O. m+ J;H | 低要求操作模式下PFDavg(平均失效概率) | 高要求或连续操作模式下PFH(每小时危险失效概率)1`1 p8 `7 x4 ]0 q# k, F( v* j |
1"o* T7 C" R# X. ~) K | 10-----100 | ≥10-2至<10-10P" k" X% ^% `$ i5 ?+ s8 @ | ≥10-6至<10-5:l4 K9 ~$ O. u- B6 ]' E9 h |
2-`/ O3 M* Q: o! I4 T0 L) G% W5 c | 100----1000;NQ& E. w# y+q | ≥10-3至<10-2 | ≥10-7至<10-6 |
3 | 1000----10000 | ≥10-4至<10-3 | ≥10-8至<10-7 |
4$t2 X( D1 b( a% N | 10000---100000%z" N, Q; l! d; { | ≥10-5至<10-4:F) |* V0 n: ?; g- i6 K- _ | ≥10-9至<10-80W( {, U! M$ f8 W |
6.3
软硬件SIL的评估
①硬件故障裕度的要求,[6 O0 Q6 K, X! ~
硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下,功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度N意味着N+1个故障会导致全功能的丧失。例如:硬件故障裕度为1,表示如有两台设备,它们的结构应使得两个部件之一的危险失效不得阻止安全动作发生。$zz; [# E&M^# t$ c
为了减轻仪表安全功能设计中的潜在缺陷,IEC61511-1表5和表6定义了传感器、逻辑解算器和终端元件最低的硬件故裕度。对仪表安全功能而言,传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度,硬件故障裕度表示了最低的部件或子系统冗余。*~& n% @7 C# S$ c5 d, y
②硬件安全完整性的结构约束5K# f" h+ h* N
硬件安全功能所声明的最高安全完整性等级受限于硬件故障裕度及执行该安全功能的子系统的安全失效分数(SFF)。IEC61508.2中表2和表3为A类和B类相关子系统的结构约束,表示在失效分数(SFF)确定的情况下,SIL与最低硬件故障裕度之间的关系。
在进行SIL评估时,我们首先要根据部件或子系统的失效模式是否已知、数据是否可靠、故障行为是否确定来区别硬件的结构约束是属于A类还是B类。然后,进行SFF及PFD计算,对应IEC61508.1表2或表3,可以得到相对应的SIL。即部件和相关子系统的安全完整性等级。
在确定子系统最大硬件安全完整性等级时,必须考虑系统结构约束,即在SFF确定前提下,故障裕度要求与SIL的对应关系。表2为B类相关子系统的结构约束。
表2安全完整性等级:B类相关子系统的结构约束
安全失效分数(SFF) | 9o$ Vh, O1 f! n)V | 硬件故障裕度&B7 s7 A* Z. d1 z | |
0 | 1 | 2 | |
<60%6n9 N) S" z5 B | 不允许$P4 Y( d3 ^. [' b5 T# r! L4 R | SIL1"h2 c- t^, _& x* t:z | SIL2%^- f& }: A1 e1 D) f0 H |
60%-<90%$A( d5 f6 W1 ]* l/ W, e | SIL16M2 x' }/ b" a. J3| | SIL2 | SIL3 |
90%-<99%9V3 w0 p: Q4 a6 n: q' O7 g& ?: @ | SIL2'X3 t9 W$ E* s% M1 u/ T' A0 p | SIL3 | SIL4 |
≥99% | SIL3 | SIL44v2 Z4 t8 N- R | SIL4+z- G4 U' ~" h( A |
7!z% dl9 L* k$ Q. X9x
SIL认证的结论2E" ^( n, e1 i! i7 C7 o
% S/ J+ b7 r- H1 C7 w: M1 r
要满足功能安全标准的要求,必须证明提出的所有要求都符合相关功能安全标准的规定(如安全完整性等级)并已达到各章和各条的要求。但是对于有些系统和仪表只要有理由认为是不必要的,标准中的这些条款要求是可以不考虑的。在功能安全评估结束时,它的结论只有3个,即接受、有条件地接受或不接受。
8
功能安全与EMC环境的关系
3 C# b5 |$ P1 r2 G4 S
! m, ]l) t: t( h0 p/g
一个E/E/PES安全相关系统在执行安全功能时,如果遇到电磁骚扰,可能会产生错误、误动作、故障和损坏,从而导致安全相关系统的性能下降或失效,甚至引起危险。在功能安全标准中特别强调了E/E/PES安全相关系统对系统的EMC特性进行评估,以保证要求SIL规定的失效率。目前国际上相关组织正着手研究和制定安全相关系统(设备)的电磁兼容性要求,在这种背景下形成了IEC61326-3(草案)。IEC61326-3(草案)规定了安全相关系统设备的抗扰度水平的附加要求。而且与安全相关系统(设备)的EMC性能判据也不同于通用标准和IEC61326-1定义的性能判据。
因此,在认证时,产品必须符合与功能安全相关的电磁兼容的要求。
①安全是工业生产永恒的主题。因此,开展SIL认证,以保障国产仪表和系统在各个应用领域的安全使用,对提高国产仪表和系统的市场核心竞争力有着积极的作用。
②通过SIL的认证,国内的SIS用户、设计部门、集成商和设备制造商和供应商可以认识和理解功能安全的概念,正确运用相关标准来实现要求的安全功能。通过有效的功能安全的管理和评估来满足相关安全标准以及合同要求,提高自身的竞争能力。1O' ?; r% f: ^- l" ~4 x
③安全相关系统(设备)的EMC要求与EMC性能判据,都比对非安全相关系统的要求高;安全相关系统(设备),其SIL等级越高EMC的要求也越高。:c9 U* B6 S, x5 |
7 ]% A0 }0 P4 s; u: j
接:http://d.namipan.com/d/1c0aa9b1f64e3e83c0a04ff63060d143bc84439c28ed0200