SIL相关知识

1.什么是SIL............................................................................................. 2

1.1安全完整性Safety Integrity ....................................................... 2 1.2安全完整性等级：SIL(Safety Integrity Level) ............................ 2 1.3 SIL应用概念 .............................................................................. 2 1.4 SIL依据标准 .............................................................................. 3 2.认证的模式 .......................................................................................... 4 3. 对评估人的要求 ................................................................................ 4 4. SIL认证涉及的一些基本概念和认证内容 ......................................... 5

4.1功能安全的概念 ........................................................................ 5 4.2 SIS(Safty Instrumented Systems)整体安全生命周期 ................. 6

4.3 功能安全的评估 ............................................................... 6 4.3.1建立功能安全管理体系 ................................................. 7 4.3.2 建立与功能安全相关的文件 ........................................ 7 4.3.3 安全完整性和安全完整性等级的确定 ......................... 7 4.3.4软硬件SIL的评估 .......................................................... 8

5．SIL认证的结论 ................................................................................ 10 6．功能安全与EMC环境的关系......................................................... 10 附 莱茵公司SIL认证流程 ................................................................... 11

1.什么是SIL

1.1安全完整性Safety Integrity

在规定的时间内、在所有规定的条件下, 成功实现所要求的安全功能的平均概率

1.2安全完整性等级：SIL(Safety Integrity Level)

定义：一种离散的等级，用于规定分配给SIS的安全仪表功能的完整性要求作为衡量安全功能重要因素，是安全系统的核心.代表着使过程风险降低的数量级

1.3 SIL应用概念

安全对经济,环境和人类自身的健康发展之至关重要.因而安全相关系统SafetyRelated System 被广泛应用。

安全相关系统监视生产过程的状态，在危险条件出现时采取相应措施，防止危险环境事件发生，避免潜在危险对人身，设备，环境造成伤害或减轻其后果造成的损失。

安全相关系统是保障生产安全的重要措施，应能在危险发生时正确执行其安全功能。但由于系统结构，硬件，软件及周围环境等原因，安全系统本身会不可避免地存在着安全性问题。

安全系统功能安全主要的研究对象是以保护人身财产安全为目的与安全相关的保护系统，其包括安全控制系统和安全保护系统两大类。随着微电子技术、计算机技术和总线技术以及无线通讯技术的迅速发展，这些技术被越来越多地应用到安全系统以实现安全功能。而安全系统本身，由于无法预计的失效而导致的危险引起了科学家们的注意。由于上世纪七十年代以来在欧美发生了多起工业事故都与安全相关系统失效有关，所以人们意识到安全相关系统的功能安全的重要性。

1.4 SIL依据标准

IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》,该标准分七部分，涉及1000多个规范。

IEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期，建立了一个基础的评价方法。

各个应用领域的功能安全标准也相继制订。IEC62279即Railway applications – Communications, signalling and processing systems – Software for railway control and protection systems。铁路设施-通信，信号及处理系统-铁路控制与保护系统用软件的功能安全标准。

功能安全的基本标准IEC61508将SIL分为4级，即SIL1，SIL2，SIL3和SIL4。级别越高要求其危险失效概率越低。

2.认证的模式

根据ISO/IEC 出版物《认证的原则与实践》，将现行的认证制度归纳为8 种模式。

安全完整性等级（SIL）认证的模式应按产品的不同，而分为型式试验+工厂质量体系评定+认证后监督或型式试验+工厂质量体系评定。因为SIL 的评估是贯穿于系统和产品的全生命周期的。

3. 对评估人的要求

在IEC61508.1 中对评估人员和部门作了规定。可进行功能安全评估的人、部门或组织

必须是独立的，与被评估的项目没有任何关系。对于SIL1 的系统可以由个人或部门来完成，

SIL2 的系统可以由相关的部门进行。只有SIL3 以上的系统和产品要求第三方机构来认证。

4. SIL认证涉及的一些基本概念和认证内容

4.1功能安全的概念

功能安全是与EUC 或EUC 控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子（E/E/PE）安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。

如何来正确行使？主要内容包括管理和技术两方面。即在技术上和管理上保证E/E/PE安全系统、其它技术安全系统和外界风险降低设施在需要时能执行安全功能。

在过程工业领域如石化、化工等，是用安全仪表系统来表述安全相关系统。即SIS(Safty Instrumented Systems)用来实现一个或几个仪表安全功能的仪表系统,可以由传感器、逻辑解算器和终端元件的任何组合组成。

仪表安全功能(Safty Instrumented Function)就是具有某个特定SIL 的,用以达到功能

安全的安全功能,它既可以是安全保护系统,也可以是安全控制系统。

4.2 SIS(Safty Instrumented Systems)整体安全生命周期

一个SIS 整体安全生命周期包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体的安全计划编制（操作和维护计划、整体安全确认计划、整体安装和试运行计划）、E/E/PES 安全相关系统的实现、其他安全相关系统的实现、外部危险降低设施 的实现、整体安装和试运行、整体安全确认、整体操作维护和维修、整体修改和改型、停用和处理。

E/E/PES 安全相关系统的实现阶段包括安全要求规范（安全功能要求规范和安全完整性要求规范）、安全确认计划、设计和开发、集成、操作和维护规程、安全确认（IEC61508-2）。

软件安全生命周期（实现阶段）包括：软件安全要求规范（安全功能要求规范和安全完整性要求规范）、软件安全确认计划、软件设计和开发、PE 集成（硬件和软件）、软件操作和维护规程、软件安全确认（IEC61508-3）。

4.3 功能安全的评估

功能安全评估的目的是调查并判断E/E/PE 安全相关系统所达到的功能安全。对SIS 的功能安全评估从两个方面来进行。第一，评估为了确保满足功能安全目的所必需的管理活动是否有效。第二，评估安全仪表系统或安全仪表是否达到了要求的SIL。

4.3.1建立功能安全管理体系

建立功能安全管理系统目的是确定整体的、E/E/PES 的和软件的安全生命周期所有阶段的管理和技术活动，这些阶段是达到E/E/PE 安全相关系统要求的功能安全所必需的；确定人员、部门和组织对整体的、E/E/PES 的和软件的安全生命周期各阶段或各阶段中活动所负的责任。通过体系来保障能达到要求的安全完整性。

4.3.2 建立与功能安全相关的文件

文件应规定能够有效执行整体安全生命周期、E/E/PES 安全生命周期和软件安全生命周期各阶段所必需的信息；规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息；以及有关的报告和记录。

功能安全评估时，为了满足IEC61508 对文档的要求，在整体安全生命周期的各阶段的各个活动都要给出相关的文档。

4.3.3 安全完整性和安全完整性等级的确定

安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。安全完整性等级是用来规定分配给SIS 安全功能的安全完整性要求的分离等级,记为SIL，共分4 个等级,SIL4 为最高等级。IEC61508-1 规定了目标失效量。

4.3.4软硬件SIL的评估

硬件故障裕度的要求

硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度N 意味着N+1 个故障会导致全功能的丧失。例如：硬件故障裕度为1，表示如有两台设备，它们的结构应使得两个部件之一的危险失效不得阻止安全动作发生。

为了减轻仪表安全功能设计中的潜在缺陷，IEC61511-1 表5 和表6 定义了传感器、逻辑解算器和终端元件最低的硬件故裕度。对仪表安全功能而言，传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度,硬件故障裕度表示了最低的部件或子系统冗余。

硬件安全完整性的结构约束

硬件安全功能所声明的最高安全完整性等级受限于硬件故障裕度及执行该安全功能的子系统的安全失效分数(SFF)。IEC61508.2 中表2

和表3 为A 类和B 类相关子系统的结构约束，表示在失效分数(SFF)确定的情况下，SIL 与最低硬件故障裕度之间的关系。

在进行SIL 评估时，我们首先要根据部件或子系统的失效模式是否已知、数据是否可靠、故障行为是否确定来区别硬件的结构约束是属于A 类还是B 类。然后，进行SFF 及PFD 计算,对应IEC61508.1 表2 或表3,可以得到相对应的SIL。即部件和相关子系统的安全完整性等级。

在确定子系统最大硬件安全完整性等级时,必须考虑系统结构约束,即在SFF 确定前提下,故障裕度要求与SIL 的对应关系。

5．SIL认证的结论

要满足功能安全标准的要求，必须证明提出的所有要求都符合相关功能安全标准的规定（如安全完整性等级）并已达到各章和各条的要求。但是对于有些系统和仪表只要有理由认为是不必要的，标准中的这些条款要求是可以不考虑的。

在功能安全评估结束时，它的结论只有3 个，即接受、有条件地接受或不接受。

6．功能安全与EMC环境的关系

一个E/E/PES 安全相关系统在执行安全功能时，如果遇到电磁骚扰，可能会产生错误、误动作、故障和损坏，从而导致安全相关系统的性能下降或失效，甚至引起危险。在功能安

全标准中特别强调了E/E/PES 安全相关系统对系统的EMC 特性进行评估，以保证要求SIL规定的失效率。目前国际上相关组织正着手研究和制定安全相关系统（设备）的电磁兼容性要求，在这种背景下形成了IEC61326-3（草案）。IEC61326-3（草案）规定了安全相关系统设备的抗扰度水平的附加要求。而且与安全相关系统（设备）的EMC 性能判据也不同于通用标准和IEC61326-1 定义的性能判据。

因此，在认证时，产品必须符合与功能安全相关的电磁兼容的要求。

附 莱茵公司SIL认证流程

SIL2/SIL3 主要认证流程 第一阶段 概念评估 检查、评估安全概念 出具概念评估报告

第二阶段 主 检

进一步的功能、安全和环境测试 出具测试报告

第三阶段 发 证 进入测试产品发证流程 颁发证书

概念评估阶段主要任务

l 检查并评审产品需求规范和安全设计概念

l 在产品各个生命周期阶段，尤其在开发过程中（质量管理），检查并评估故障避免措施的计划

l 编辑并评估检测和控制故障需采取的措施（诊断）FMEDA, 评价是否安全完整等级能够达到预期的目的 l 文件系统的审核（设计和质量管理）

l 电气安全，电磁兼容，环境测试需求的定义 l 为主检阶段出具项目计划 l 根据概念评估的结果出具报告 主检阶段主要任务

l 测试所有的安全相关的功能，功能性的和最坏情况分析（软硬件）

l 检测和控制故障的验证(故障插入测试），FMEDA的验证与执行。 l 软件验证测试的评审（模块，集成测试，系统测试）

l 对开发过程中创建的产品文档评审（设计文档，测试、验证、审核记录）

l 安全相关的可靠性数据的定义及计算 (SIL CL, PL, PFD/PFH, SFF etc.)

l 电气安全的测试 l 环境测试(incl. EMC)

l 用户文档的检查（安装，操作手册，安全手册） l 提供测试报告 颁发证书

基于测试报告，认证机构（莱茵TÜV）颁发证书