SIL 第 3 部分：系統性能力

什么是功能安全？

功能安全是指主動檢測潛在的危險情況，這要求我們通過某種保護機制或功能來防止或減少可能發生的危險事件的影響。

功能安全是受控設備 (EUC) 整體安全的組成部分，側重于電子產品和相關軟件方面。

IEC 61508是“功能安全或電氣/電子/可編程電子安全相關系統”的國際標準。作為功能安全的總體標準，該標準是許多行業特定衍生標準的基礎，例如適用于過程行業的 IEC 61511。

這些標準遵循安全生命周期模型，能夠規范功能安全管理，并提供各種安全儀表系統 (SIS) 和相關安全儀表功能 (SIF) 的設計措施和技術。

IEC 61511 安全生命周期

安全生命周期的一個關鍵要素是創建安全要求規范 (SRS)。該文檔通常基于生命周期的危害和風險評估階段所發現的信息而編制，是安全系統設計功能性、完整性和驗證性的藍圖。

SIL 是什么？

安全要求規范將記錄安全系統設計所需的任何剩余風險降低水平，并指定相應的 SIL 目標級別。

SIL（安全完整性等級）即安全功能提供的相對風險降低水平。行業定義了四個獨立 SIL 級別 (1-4)，其中 SIL 4 可提供最高級別的安全完整性和相應的風險降低因子。

如何實現特定的 SIL？

為了實現 SIL，安全功能的設計必須滿足標準中概述的三個特定條件。

這些嚴格條件分別是：隨機硬件完整性、結構限制和系統性能力。

本文將重點探討條件 3：系統性能力。如需詳細了解隨機硬件完整性和結構限制，請點擊相應的鏈接。

PR electronics 提供一系列經 SIL 認證的設備，能夠全面滿足各種 SIL 應用的需求。

什么是系統性能力？

IEC 61508-2010 對系統性能力的定義如下：

“一種衡量指標，用于在根據適用于某元件的安全手冊之規定應用某元件時，確定某元件的安全功能在系統安全完整性方面滿足指定安全完整性等級 (SIL) 要求的置信度（以 SC 1 至 SC 4 的等級表示）。”

系統性故障主要是人為錯誤所致。在安全功能的設計、工程、運行乃至維護階段，都有可能引入系統性故障，而這些故障將會在特定的情況下發生。

系統性故障的誘因通常是設備或組件規格不當、操作或維護程序出錯，或者軟件錯誤。系統性故障將會反復發生，直到通過重新設計解決引發問題的根本原因。

因此，系統完整性可以定義為針對系統性故障的防范級別。

證明系統安全完整性

IEC 61511 提供了 2 種適用于證明系統性能力的方法：

• 使用經 IEC 61508 認證的設備
• 過往使用依據

使用經 IEC 61508 認證的設備

根據所需的 SIL 級別，IEC 61508 針對設備的設計、防錯和測試提出了嚴格要求。此舉旨在確保制造商遵循嚴格且可重復的制造過程，同時建立完善的問責制并維護好相關文檔。

標準中提供了一系列表格，表格中包含可供制造商遵循的相關技術和措施，而制造商也可據此證明其設備符合相關的 SIL 級別。

IEC 61508-2010 表 A.15 — 硬件設計引起的系統性故障的控制技術和措施

上表是眾多示例中的一個，這些示例分別側重于特定的設計方面。

根據所需的 SIL 級別，表中將分別指明每種技術/措施的效力：強制性 (M)、強烈推薦 (HR)、推薦 (R) 或者不推薦 (NR)。表中還將指明每種措施對于防范系統性故障所需的有效性。

經 IEC 61508 認證的設備需要在所有這些要求方面接受公認第三方的合規性審核，以確保根據所需的 SIL 級別應用了所有相關的設計、測試和記錄技術與措施。

SIL 證書中應指明相關的 SC 級別。

過往使用依據

人們普遍認為，當特定用戶具有豐富的設備使用經驗，并且設備的故障率足夠低時，用戶就能夠可靠地使用設備。

但是，要想充分證明這個觀點，我們需要假設用戶建立了一個穩健的系統來全面記錄所有故障和故障模式，并對可能影響過往經驗的硬件和軟件版本實施了嚴格的版本控制。同時，為了確保數據的一致性，任何擬使用的新應用都必須具有與歷史數據相似的操作條件。

IEC 61511 第 11.5.3 條概述了根據過往使用依據選擇設備的要求。

“應提供可證明設備適用于安全儀表系統的適當證據，包括：

• 考慮制造商的質量、管理和配置管理系統
• 設備的充分標識和規格
• 設備在類似操作環境中表現出的性能
• 操作經驗的多寡。

設備所需的 SIL 級別越高，對于過往使用依據的要求也就越高，特別是在設備包含軟件時。

最終用戶通常難以提供充分的過往使用依據，因此許多最終用戶都選擇使用日益普遍的經 IEC 61508 認證的設備來證明系統性能力。

單單證明系統性能力并不表示已實現目標 SIL。我們還必須考慮隨機硬件完整性和結構限制。