SIL1到SIL4的划分标准主要依据国际标准 IEC 61508(适用于电气/电子/可编程电子安全相关系统的通用基础标准)以及其衍生标准,如 IEC 62061(机械安全)、ISO 26262(汽车)、IEC 61511(过程工业)等。
这些等级的核心目的是量化安全相关系统所需的风险降低能力。等级越高,要求系统在危险发生时执行其安全功能的可靠性就越高,对应的风险也越严重。
划分标准主要从以下三个维度进行综合评定:
1. 核心量化指标:风险降低因子与目标失效概率
这是最根本的量化指标。SIL等级对应着系统需要实现的风险降低倍数,以及其安全功能在要求时失效的平均概率。
解释:
风险降低因子:例如,SIL3系统需要将特定危险事件的风险降低1000到10000倍。
PFDavg:对于低要求模式(如紧急停车系统,每年触发几次),衡量的是“平均失效概率”。PFH:对于高要求/连续模式(如飞机的飞控系统),衡量的是“每小时危险失效概率”。数值越小,可靠性要求越高。
2. 系统要求(定性要求)
随着SIL等级提高,在整个安全生命周期中对开发流程和管理严谨性的要求呈指数级增长:
SIL 1 & 2:要求良好的工程实践,有结构化的设计和测试流程,文档需要规范。
SIL 3:要求非常严格。需要独立的第三方进行审计和评估。必须采用高可靠性的设计技术(如故障树分析、多种失效分析),对文档的追溯性、变更管理要求极高。
SIL 4:要求最为严苛。通常需要形式化方法进行设计和验证,确保极高的完整性。开发团队必须高度独立,验证活动需要极其详尽。
3. 硬件可靠性指标(硬件故障容错与失效率)
硬件故障容错:指某个部件失效后,系统仍能保持安全功能的能力。SIL等级越高,通常要求硬件故障容错能力越强。例如,一个传感器在SIL2系统中可能允许单点失效,但在SIL3/4系统中则要求冗余设计。
安全失效分数:衡量系统能够检测和控制危险失效的能力。SIL等级越高,对SFF的要求也越高。
随机硬件失效率:使用的元器件必须具有足够低的固有失效率,并通过计算证明其能满足目标SIL等级的概率要求。
各等级典型应用场景举例
SIL 1:一些非关键的联锁控制,故障后果较轻(可能造成生产中断或轻微设备损伤)。例如:普通工业生产线上的顺序控制。
SIL 2:常见于过程工业和制造业,故障可能导致严重伤害或重大设备损坏。例如:化工厂的燃烧器管理系统、大部分机械安全系统(急停、安全门)。
SIL 3:用于高风险场合,故障可能导致一人或多人死亡。例如:铁路信号系统、石油天然气平台的紧急关断系统、核电厂的某些辅助控制系统。
SIL 4:用于最高风险场合,故障可能导致大量人员伤亡或灾难性社会影响。例如:高速铁路的列车自动防护系统、核电站的反应堆紧急停堆系统。SIL4系统在工业中非常罕见,因为其开发和维护成本极高。
如何确定所需的SIL等级?
SIL等级不是随意选择的,而是通过风险评估来确定的。通常步骤为:
风险分析:识别危险事件及其后果。
风险评估:评估该后果的严重性和发生的可能性。
确定容许风险:根据法律和社会可接受水平,设定一个“容许风险”线。
风险差距:比较现有风险与容许风险之间的差距。
分配SIL:这个风险差距需要通过安全仪表系统来弥补。需要降低的风险越大,分配的SIL等级就越高。
总结表格
请注意:具体项目中选择和实现SIL等级时,必须严格遵守相关行业的具体标准(如IEC 61511, ISO 26262等),并通常需要由功能安全工程师完成认证。
收到的推送极其有限时间会大大延迟
如果您想收到【海川化工研究院】第一手推送
请为我们设个星标吧!
来源:公开信息
免责声明:所载内容来源互联网,微公众号等公开渠道,我们对文中观点保持中立,仅供参考,交流之目的。转载的稿件版权归原作者和机构所有,如有侵权,请联系我们删除。
