SIL认证,是英文Safetyintegritylevel(安全完整性等级)的简称,是国际上公认的一种功能安全认证,也是根据国际电工委员会IEC颁布的功能安全标准《IEC61508—E/E/PE安全相关系统的功能安全》。该标准对应的国标为《GB/T20438》中对相关产品进行安全考核的认证要求,该标准的基本原理是用基于风险的方法,按部就班地实现风险降低的目标。通常需要做SIL认证的产品都是使用在可能对人、环境或财产造成较高危害的场合。
安全完整性是指在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概率。一个安全相关系统必须能够实现要求的安全功能,以期达到或保持受控设备的安全状态。在功能安全中,安全被定义为“不存在不可接受的风险”,即风险可接受就是安全的,这样就把对安全的控制就转变为对风险的控制。功能安全的办法是针对风险,设置一个降低风险的功能,保证功能的正确实施。对产品或系统的SIL认证,就是根据功能安全的标准措施要求,来指导产品的开发、使用和认证,从而达到要求的安全功能完整性等级,提高产品的置信度。
安全完整性等级是一个描述安全相关系统安全功能失效概率的指标,即当要求它起作用时它不能起作用的概率。安全完整性等级分两种情况,一种针对低要求情况,即要求安全相关系统的安全功能起作用的频率小于每年一次,这种情况下安全完整性等级用每当要求时其失效的概率来表示,另一种针对高要求或连续操作的情况,即连续操作或要求安全相关系统的安全功能起作用的频率大于每年一次,这种情况下,安全完整性等级用每小时危险失效率来表示。
在当前社会发展水平下,如果某个给定范围内的风险都是可以接受的,称之为“可容忍风险”。我们将这种没有不可接受风险的状态,称为“安全”。
为了介绍安全完整性等级,还需要明确如下几个术语:
受控设备(Equipment UnderControl,EUC):是指用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备;
功能安全(FunctionalSafety):整体安全中与受控设备和受控设备控制系统相关的部分,它取决于电气/电子/可编程电子安全相关系统和其他风险降低措施正确执行其功能;
安全状态(Safe State):达到安全时受控设备的状态;
安全相关系统(Safety-relatedSystem):是指能满足如下两项要求的系统:执行要求的安全功能足以实现或保持受控设备的安全状态;自身或与其他电气/电子/可编程电子安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性;
安全功能(SafetyFunction):针对特定的危险事件,为实现或保持受控设备的安全状态,由电气/电子/可编程电子安全相关系统或其他风险降低措施实现的功能;安全功能包括在要求时执行的功能,作为一种主动行为规避风险(比如主动关闭电机);采取预防行为的功能(比如防止电机误启动);
有了对这些术语的理解,我们就可以介绍安全完整性。
安全完整性(SafetyIntegrity)是指在规定的时间段内和规定的条件下,安全相关系统成功执行规定的安全功能的概率。安全完整性由硬件安全完整性和系统性安全完整性构成。安全完整性越高,安全相关系统在要求时执行规定的安全功能或实现规定的状态的概率就越高。
在确定安全完整性时应包括所有导致非安全状态的失效原因,比如:硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效,尤其是随机硬件失效,可以用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化。安全完整性还取决于许多不能jingque量化的、只可定性考虑的因素。为了量化安全完整性,定义了四个离散的等级,称为安全完整性等级。
SIL认证是依据IEC 61508标准进行认证的,这是由以下部分组成,电气/电子/可编程电子安全相关系统的功能安全:
第1部分:一般要求
第2部分:电气/电子/可编程电子设备的要求-安全相关系统
第3部分:软件要求
第4部分:定义和缩写
第5部分:确定安全完整性水平的方法示例
第6部分:第2部分和第3部分的应用指南
第7部分:技术和措施概述
为了符合标准,必须符合第1 - 3部分的要求。第4 - 7部分仅供参考,可用于理解和应用标准,但不具备一致性要求。
产品制造商通常满足第2节要求,通过FMEDA分析确定其产品适合在给定的SIL水平内使用。
选择认证其工程流程并获得完整IEC 61508认证的公司也将遵守与软件开发相关的第3节。
关于安全完整性等级,还要说明一点:
安全完整性等级是一个系统性的概念,只有对某个安全系统才能评价其安全完整性等级。系统中的单个元件,比如传感器、电机等,并不具有安全完整性等级的属性,只可以说它们适用于某个安全系统。