如何进行产品SIL设计
SIL即安全完整性等级,是英文Safety integrity level的简称。SIL认证,是国际上公认的一种功能安全认证,是根据国际电工委员会IEC颁布的功能安全标准《IEC61508—E/E/PE安全相关系统的功能安全》(其对应的国标为《GB/T20438》)中对相关产品进行安全考核的认证要求,该标准的基本原理是用基于风险的方法,按部就班地实现风险降低的目标。通常需要做SIL认证的产品都是使用在可能对人、环境或财产造成较高危害的场合。
近些年,随着针对石油、化工、医药、核工业、铁路、轨道交通类等设备安全控制的要求,国家正积极引入SIL功能安全的理念,要求这类产品的安全性能达到一定的规范,与欧盟等发达国家的安全要求一致,等同采用IEC61508标准的中国国家安全标准GB/T20438于2007年1月1日正式实施。随着功能安全标准的影响逐渐扩大,功能安全认证在我国也越来越受到重视。
那么,产品怎样设计才能通过功能安全完整性认证即SIL认证呢?
第一、安全相关产品的设计与一般系统设计的差异,在于确保产品的设计和实现满足规定的安全功能和安全完整性要求。SIL设计的基本原则之一,就是根据E/E/PES安全要求规范进行设计。首先进行风险分析确定SIL的方法,确定的SIL就是E/E/PE设计时要求实现的安全完整性目标。SIL设计的基本原则之二,就是采取必要的技术与措施保证要求的安全完整性。
第二、对硬件结构约束的要求,硬件安全完整性的安全功能所声明的最高安全完整性等级,须同时满足硬件故障裕度和安全失效分数要求。在IEC61508中规定,对于A、B类安全相关子系统的结构约束如下表:
硬件安全完整性:A类安全相关子系统的结构约束
|
安全失效分数 (SFF) |
硬件故障裕度 |
||
|
0 |
1 |
2 |
|
|
<60% |
SIL1 |
SIL2 |
SIL3 |
|
60%~<90% |
SIL2 |
SIL3 |
SIL4 |
|
90%~<99% |
SIL3 |
SIL4 |
SIL4 |
|
≥99% |
SIL3 |
SIL4 |
SIL4 |
硬件安全完整性:B类安全相关子系统的结构约束
|
安全失效分数 (SFF) |
硬件故障裕度 |
||
|
0 |
1 |
2 |
|
|
<60% |
不允许 |
SIL1 |
SIL2 |
|
60%~<90% |
SIL1 |
SIL2 |
SIL3 |
|
90%~<99% |
SIL2 |
SIL3 |
SIL4 |
|
≥99% |
SIL3 |
SIL4 |
SIL4 |
第三、危险失效硬件失效概率的要求,需要使用FMEDA分析估算平均要求时危险失效概率PFD和平均每小时危险失效概率PFH,该概率应该等于或者低于安全要求规范中规定的目标失效量。下表为低要求模式、高要求模式或连续要求模式下安全功能目标失效量。
|
安全完整性等级 (SIL) |
安全功能在要求时的危险失效平均概率PFD |
安全功能的每小时危险失效平均频率PFH |
|
4 |
≥10-5~<10-4 |
≥10-9~<10-8 |
|
3 |
≥10-4~<10-3 |
≥10-8~<10-7 |
|
2 |
≥10-3~<10-2 |
≥10-7~<10-6 |
|
1 |
≥10-2~<10-1 |
≥10-6~<10-5 |
第四、故障检测要求:需要认真分析故障检测时对系统行为的要求,以避免系统危险失效导致事故。
在硬件故障裕度大于零的子系统中,对检测出的危险故障应采取:1)某个规定的动作以达到或维持安全状态;或者2)隔离子系统的故障部分,以保证EUC继续安全工作,同时修理故障部分。如果在计算随机硬件失效概率时设定的平均恢复时间(MRT)内未完成修理,则应采取某一规定的动作以达到或维持安全状态。
在硬件故障裕度等于零的子系统中,对检测出的危险故障应采取:1)某个规定的动作以达到或维持安全状态;或者2)如果在计算随机硬件失效概率时设定的平均恢复时间(MRT)内维修故障子系统。在此期间内,EUC的连续安全应通过附加措施和约束来保证。
第五、在设计和开发活动中,应考虑可维护性和可测试性,以便在最终的E/E/PE安全相关系统中实现这些属性。所有接口的设计应根据良好的人员操作习惯并应适合操作者的认知能力。安全相关系统设计的一个基本原则,是设计时应对操作者和维护人员所犯的可预见的致命失误有充分认识,只要有可能都应能通过设计来防止和消除,或者在完成该动作之前对这些动作进行二次确认。
第六、软件SIL分为4个等级,SIL等级越高,软件的质量管理体系与安全生命周期的严格程度要求就越高。在进行软件设计时,应先根据SIL要求确定软件结构,不同的软件结构适合不同的SIL要求。进行软件结构设计时,需要定义软件的主要组件和子系统。进行软件结构设计时,应根据安全完整性等级要求选择适当的技术与措施,包括适当的编程语言、采用已认证的工具、已认证的翻译器等,以保证详细设计和开发满足软件要求的SIL。详细设计和开发,应在软件安全要求规范、软件结构设计的描述和软件安全确认计划等三份文件的基础上开展。开发的软件应具有模块化、可测试性与安全修改的能力。源代码应可读、可理解和可测试,满足安全计划编制中规定的所有相关要求。每一软件代码模块应复审。每一软件模块应根据规定进行测试,以确定每一模块执行其预定功能而不执行非预定功能。所有模块测试结果应文档化。
随着国家对安全生产的重视,对产品进行功能安全评估的需求也越来越强烈。计为自动化致力于功能安全产品的生产,对新产品的研发,严格遵循GB/T20438功能安全标准的理念,从一开始就按照功能安全产品的全生命周期要求,对产品的危险和风险进行分析,提出整体的安全需求,编制安全计划,严格按照安全需求设计产品,实现E/E/PE安全相关系统,并进行安全调试和安全确认,对后期维护都将灌入SIL的思想。计为自动化Ring-11音叉液位开关产品也于近日通过了北京机械工业仪器仪表综合技术经济研究所安全中心SIL评估并取得了证书,该认证机构得到国家认监委认可,SIL认证在其官网上可查询,广受用户认可,也极大地增强客户对产品的信心,提升了产品的竞争力和企业的知名度,有利于企业的可持续发展。
