SIL-认证知识

第八届工业仪表与自动化学术会议1功能安全（SIL）认证CertificateforFunctionSafety（SIL）李佳嘉（上海仪器仪表自控系统检验测试所，上海200233）简介：主要讲述功能安全（安全完整性等级）的认证的重要性和必要性。简单叙述了认证使用的标准、认证的模式和认证的内容以及对评估人员的要求。特别强调了功能安全与EMC环境的关系。关键词：安全完整性等级（SIL）功能安全SIS整体安全生命周期硬件故障裕度0前言在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备工作不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的火灾、爆炸,核电站的辐射超剂量，飞机的机械漏油等危险事件,会对人员、设备和环境造成灾难性后果。如何将这种灾难控制在可接受的范围之内？这就需要依靠标准和法规来规范。如果一个项目，一个系统或产品获得了功能安全的认证，那么可以增强客户的信心。1功能安全认证的重要性安全系统功能安全主要的研究对象是以保护人身财产安全为目的与安全相关的保护系统，其包括安全控制系统和安全保护系统两大类。随着微电子技术、计算机技术和总线技术以及无线通信技术的迅速发展，这些技术被越来越多地应用到安全系统以实现安全功能。而安全系统本身，由于无法预计的失效而导致的危险引起了科学家们的注意。由于上世纪70年代以来在欧美发生的多起工业事故都与安全相关系统失效有关，所以人们意识到安全相关系统的功能安全的重要性。美国、欧共体等国家相继在各自工业领域开展对功能安全的研究，制定了相应的国家标准，直到2000年IEC61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》标准的颁布,才标志功能安全作为独立的安全学科,进入实际的应用阶段。IEC61508发布后，欧盟的强制指令（如ATEX指令）、美国职业安全与卫生管理局、美国环保署和英国（HSE）都将其纳入安全法规范畴。随后，各个应用领域的功能安全标准也相继制订，2003年颁布IEC61511.1-3《过程工业领域安全仪表系统(SIS)的功能安全》标准，2005年颁布IEC62061《机械安全-安全相关的电气/电子/可编程电子控制系统的功能安全》。IEC61784-3Datacommunicationsformeasurementandcontrol-Part2Profilesforfunctionalsafetycommunicationsinindustrynetworks(用于工业网络功能安全通信)正在制订中。这些标准都以安全完整性等级（SIL）来评估仪表和系统的风险程度。近年来，由于钢铁、石化、核电及过程成套设备等工业产品的飞速发展，防止火灾、爆炸等第八届工业仪表与自动化学术会议2事故的发生已成为非常突出的问题。国外尤其是欧共体国家，在功能安全的评估方面有着越来越强烈的要求，所以，要求取得认证的产品越来越多，产品的范围也在逐步扩大。对于安全事故多发的我国，功能安全和安全完整性等级只是作为一个名词概念，在国内工业领域业内流传。由于安全生产越来越引起国家领导人和民众的广泛关注（人的生命高于一切），已成为衡量现代工业的重要指标，特别是国外工程投资的增加和工程设计的全面介入，带动了我国安全仪表系统功能安全技术的应用需求。因此，对用于安全系统中的相关产品进行安全完整性的认证是非常必要的。2国外开展认证工作的情况国外相关的产品如：SIEMENS的故障安全容错S7F/FH系统等，有的配置专用的安全模块（一般以黄色标识）和相应的组态软件，并由被动的维护、诊断发展到预防性安全措施；RockwellAutomation的GuardPLC；Phoenix的安全隔离栅等。SIEMENS对现场总线推出了PROFIsafe协议、RockwellAutomation公司推出了CIPsafety和DeviceNetsafety、PhoenixContact公司开发了InterbusSafety、Mitsubishi公司研发了CClinkSafety等，这些产品有的已经通过了国际权威机构的认证，有的拿到了专门机构的测试分析报告。3安全相关系统功能安全评价标准简介3.1IEC61508本标准是基于安全相关系统的可靠性，它是安全相关系统功能安全的基础标准，有7个部分组成，描述了安全相关系统的软硬件的要求（从危险分析和安全功能的详细说明开始，直到系统停用和处理）。它提出了4个安全完整性等级，提出了影响安全完整性等级的两个因素以及安全故障的比例和目标失效量的测量。3.2IEC61511本标准是IEC61508在过程工业领域的应用。本标准给出了安全仪表系统的规范、设计、安装、运行和维护要求，以及它的应用指南和确定要求的安全完整性等级的指南，主要适用于包括化工、炼油、油气生产、纸浆和造纸等在内的过程控制领域。它适用于安全仪表系统的设计师、集成商和用户，但并不适用于过程工业领域的安全仪表系统的制造商。3.3IEC62061本标准是IEC61508在机械应用领域中E/E/PES的功能安全要求，它包括机械设计完整性、安全相关电气控制系统的有效性等方面的要求和建议。本标准只考虑高要求（连续）操作模式下的安全完整性等级。上述标准的区别是IEC61508是一个基础标准，而IEC61511和IEC62061是基于IEC61508在各自工业领域的功能安全应用标准。4认证的模式根据ISO/IEC出版物《认证的原则与实践》，将现行的认证制度归纳为8种模式。安全完整性等级（SIL）认证的模式应按产品的不同，而分为型式试验+工厂质量体系评定+认证后监督或型式试验+工厂质量体系评定。因为SIL的评估是贯穿于系统和产品的全生命周期的。第八届工业仪表与自动化学术会议35对评估人的要求在IEC61508.1中对评估人员和部门作了规定。可进行功能安全评估的人、部门或组织必须是独立的，与被评估的项目没有任何关系。对于SIL1的系统可以由个人或部门来完成，SIL2的系统可以由相关的部门进行。只有SIL3以上的系统和产品要求第三方机构来认证。6SIL认证涉及的一些基本概念和认证内容6.1功能安全的概念什么是功能安全？功能安全是与EUC或EUC控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子（E/E/PE）安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。如何来正确行使？主要内容包括管理和技术两方面。即在技术上和管理上保证E/E/PE安全系统、其它技术安全系统和外界风险降低设施在需要时能执行安全功能。在过程工业领域如石化、化工等，是用安全仪表系统来表述安全相关系统。即SIS(SaftyInstrumentedSystems)用来实现一个或几个仪表安全功能的仪表系统,可以由传感器、逻辑解算器和终端元件的任何组合组成.仪表安全功能(SaftyInstrumentedFunction)就是具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是安全保护系统,也可以是安全控制系统.6.2SIS整体安全生命周期一个SIS整体安全生命周期包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体的安全计划编制（操作和维护计划、整体安全确认计划、整体安装和试运行计划）、E/E/PES安全相关系统的实现、其他安全相关系统的实现、外部危险降低设施的实现、整体安装和试运行、整体安全确认、整体操作维护和维修、整体修改和改型、停用和处理。在整体安全生命周期的各阶段都有各自相关的功能安全活动和要求。其中E/E/PES安全相关系统的实现包括两个部分即硬件的实现和软件的实现，这个阶段是通过设计满足系统的SIL要求。所以，我们说功能安全是设计出来的。E/E/PES安全相关系统的实现阶段包括安全要求规范（安全功能要求规范和安全完整性要求规范）、安全确认计划、设计和开发、集成、操作和维护规程、安全确认（IEC61508-2）。软件安全生命周期（实现阶段）包括：软件安全要求规范（安全功能要求规范和安全完整性要求规范）、软件安全确认计划、软件设计和开发、PE集成（硬件和软件）、软件操作和维护规程、软件安全确认（IEC61508-3）。6.3功能安全的评估功能安全评估的目的是调查并判断E/E/PE安全相关系统所达到的功能安全。对SIS的功能安全评估从两个方面来进行。第一，评估为了确保满足功能安全目的所必需的管理活动是否有效。第二，评估安全仪表系统或安全仪表是否达到了要求的SIL。如何确认设计和生产的安全仪表和SIS的SIL达到要求？我们可以从以下几个方面来考虑：6.3.1建立功能安全管理体系建立功能安全管理系统目的是确定整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动，这些阶段是达到E/E/PE安全相关系统要求的功能安全所必需的；确定人员、部门和组织对整体的、E/E/PES的和软件的安全生命周期各阶段或各阶段中活动所负的责任。通过第八届工业仪表与自动化学术会议4体系来保障能达到要求的安全完整性。6.3.2建立与功能安全相关的文件文件应规定能够有效执行整体安全生命周期、E/E/PES安全生命周期和软件安全生命周期各阶段所必需的信息；规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息；以及有关的报告和记录功能安全评估时，为了满足IEC61508对文档的要求，在整体安全生命周期的各阶段的各个活动都要给出相关的文档。功能安全评估时需要的文档示例可以在IEC61508.1附录A中找到。6.3.3安全完整性和安全完整性等级的确定安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。安全完整性等级是用来规定分配给SIS安全功能的安全完整性要求的分离等级,记为SIL，共分4个等级,SIL4为最高等级。IEC61508-1规定了目标失效量（表1）。在确定安全完整性时，应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)。安全相关系统使用方式，按要求产生的频率可分为：低要求模式(≤1次/年)和高要求或连续模式(＞1次/年)。低要求模式和高要求模式SIL的目标失效量是不同的，见表1。表1安全完整性等级：低要求模式和高要求模式SIL的目标失效量SIL风险降低低要求操作模式下PFDavg(平均失效概率)高要求或连续操作模式下PFH(每小时危险失效概率)110-----100≥10-2至＜10-1≥10-6至＜10-52100----1000≥10-3至＜10-2≥10-7至＜10-631000----10000≥10-4至＜10-3≥10-8至＜10-7410000---100000≥10-5至＜10-4≥10-9至＜10-86.3.4软硬件SIL的评估①硬件故障裕度的要求硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度N意味着N+1个故障会导致全功能的丧失。例如：硬件故障裕度为1，表示如有两台设备，它们的结构应使得两个部件之一的危险失效不得阻止安全动作发生。为了减轻仪表安全功能设计中的潜在缺陷，IEC61511-1表5和表6定义了传感器、逻辑解算器和终端元件最低的硬件故裕度。对仪表安全功能而言，传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度,硬件故障裕度表示了最低的部件或子系统冗余。②硬件安全完整性的结构约束硬件安全功能所声明的最高安全完整性等级受限于硬件故障裕度及执行该安全功能的子系统的安全失效分数(SFF)。IEC61508.2中表2和表3为A类和B类相关子系统的结构约束，表示在失效分数(SFF)确定的情况下，SIL与最低硬件故障裕度之间的关系。在进行SIL评估时，我们首先要根据部件或子系统的失效模式是否已知、数据是否可靠、故障行为是否确定来区别硬件的结构约束是属于A类还是B类。然后，进行SFF及PFD计算,对应IEC61508.1表2或表3,可以得到相对应的SIL。即部件和相关子系统的安全完整性等级。第八届工业仪表与自动化学术会议5在确定子系