安全完整性等級
安全完整性等級(,簡稱SIL)是機能安全的一部份,定義為由於安全機能所降低風險的相對水準,或是風險降低後,風險的相對水準。簡單來說,安全完整性等級就是度量安全儀表系統(Safety Instrumented Function,簡稱SIF)所需要的性能。[1]
在不同安全法規中,對於特定SIL需滿足的條件也有所不同。依照歐盟的機能安全標準,定義有4種SIL,分別是 SIL 1、SIL 2、SIL 3及SIL 4。在安全機能的執行上,SIL 4 是最可靠的,SIL 1是最不可靠的。SIL 等級越高,代表設備正確執行安全機能的機率越高。[2]SIL 的評定依據許多量化指標,不過也和一些非量化指標有關,例如產品開發流程及安全生命周期管理等。
SIL的分配
有許多種分配SIL的方式,一般常會合併使用,包括以下幾種:
- 風險矩陣(Risk Matrices)
- 風險圖(Risk Graphs)
- 防护层分析(Layers of Protection Analysis,LOPA)
SIL分配可以依照英國衛生安全局(Health and Safety Executive,HSE)發行的相關資料[3],用務實、可控制的方式進行測試。依照英國衛生安全局的資料,利用風險矩陣的方式得到的SIL分配已被證實可符合 IEC EN 61508的要求。
SIL應用上的誤解
對於安全完整性等級的應用,存在有許多的問題及誤解,大致有以下幾項:
- 在應用安全完整性等級時,無法轉換不同標準中標示的安全完整性等級。
- 依照可靠度的估計來估計安全完整性等級。
- 由於系統(特別是軟體系統)太過複雜,使得無法估計安全完整性等級。
上述誤解會帶來一些錯誤的陳述,包括「因為此系統開發時使用的流程是開發 SIL N 系統的標準流程,因此此系統是 SIL N 的系統」,或者斷章取義的使用SIL,例如「這是一個 SIL N 的熱交換器」。根據 IEC 61508,SIL 的概念和系統的失效率無關,只和系統的危險失效率(dangerous failure rate)有關。需要透過安全性分析的方式識別危險失效模式,才能決定其失效率[4]。
SIL等級越高的設備表示其安全可靠越高,但其價格也一定相對提高。而且若系統的SIL等級越高,需要的硬體故障裕度也會提高,以確保在部份設備故障時不會有安全性問題。
SIL的認證
國際電工協會(IEC)標準IEC 61508(後來變成IEC EN 61508)將SIL依其要求項目分為二大類:硬體安全完整性(hardware safety integrity)及系統安全完整性(systematic safety integrity)。設備或系統若要達到特定的SIL等級,需同時符合該等級二大類完整性的要求項目。
SIL有關硬體安全完整性的條件是以要求的機率分析為基礎。若要達到特定的SIL等級,設備的最大危险失效機率(probability of dangerous failure)及最小安全故障失效比率(Safe Failure Fraction)需符合該等級SIL的要求。待測系統的「危險失效」需明確的定義,一般會以需求限制的方式表示,而其完整性也會在系統開發的過程中被驗證。實際要達到的目標仍會依需求、設備複雜度及使用的冗餘種類而不同。
IEC EN 61508 針對低要求操作模式(low demand operation)時,不同的安全完整性等級定義以下的要求失效概率(Probability of Failure on Demand,簡稱PFD)及風險減低係數(Risk Reduction Factor,簡稱RRF):
安全完整性等級(SIL) | 要求失效概率(PFD) | 風險減低係數(RRF) |
---|---|---|
1 | 0.1-0.01 | 10-100 |
2 | 0.01-0.001 | 100-1000 |
3 | 0.001-0.0001 | 1000-10,000 |
4 | 0.0001-0.00001 | 10,000-100,000 |
連續操作模式下的要求失效概率及風險減低係數如下所示:
安全完整性等級(SIL) | 要求失效概率(PFD) | 風險減低係數(RRF) |
---|---|---|
1 | 0.00001-0.000001 | 100,000-1,000,000 |
2 | 0.000001-0.0000001 | 1,000,000-10,000,000 |
3 | 0.0000001-0.00000001 | 10,000,000-100,000,000 |
4 | 0.00000001-0.000000001 | 100,000,000-1,000,000,000 |
必須透過風險分析的流程,識別及分析控制系統的風險。然後會利用各種方式減輕風險,直到整體的風險降低到可接受的程度為止。風險的允許程度就是安全需求中的項目之一,表示成一段特定時間的目標危險失效概率(target probability of a dangerous failure),對應不同的SIL等級。
一般會用認證的方式確認一項設備是否符合特定的SIL等級[5]。符合認證的方式可以利用建立一個嚴謹的開發流程來達成,或者是搜集許多設備運作的歷史資料,以實際的設備運作資料來證實此設備已達到特定的SIL等級。
電機及電子設備可以依據IEC 61508進行功能安全的認證,以說服客戶此設備可以和客戶的應用系統相容。IEC 61511是依據IEC 61508,應用在程序控制產業的標準,主要用在石化產業及危險化學品的製造產業,也用在其他場合。
用到SIL的安全標準
以下的標準都使用SIL來衡量可靠度或風險降低的程度。
- ANSI/ISA S84
- IEC 61508 - 功能安全基础标准
- IEC 61511 - 製程工业功能安全标准
- IEC 62061 - 工业机器功能安全标准
- ISO 26262 - 道路汽车功能安全标准
- EN 50128
- EN 50129
- MISRA - 衡量可靠度
- Defence Standard 00-56 Issue 2 - 衡量事故後果
在特定安全標準中的SIL其數字或定義可能和IEC EN 61508中所定義的數字及定義不同[6]。
參照
有許多是以IEC 61508為準的標也用到SIL,例如 IEC 62061、ISO 26262。
参考文献
- Net Safety Monitoring Inc., SAFETY INTEGRITY LEVEL (SIL) - IEC 61508/61511, http://www.net-safety.com/about/whitepaper/wpt0015.pdf (页面存档备份,存于)
- 劉建侯. . 北京: 機械工業出版社. 2008: p9. ISBN 978-7-111-24042-6.
- M. Charlwood, S Turner and N. Worsell, UK Health and Safety Executive Research Report 216, “A methodology for the assignment of safety integrity levels (SILs) to safety-related control functions implemented by safety-related electrical, electronic and programmable electronic control systems of machines”, 2004. ISBN 0-7176-2832-9
- F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf (页面存档备份,存于) with capture date of 11th October 2010
- CASS Scheme, Conformity Assessment of Safety Systems, http://www.cass.uk.net/ (页面存档备份,存于)
- F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf (页面存档备份,存于) with capture dates of 9th July 2010 and 11 October 2010
外部連結
- Safety Users Group有功能安全相關資訊及資源
- Inside Functional Safety功能安全的技術雜誌
- 61508.org(页面存档备份,存于) 61508協會
- IEC Safety Zone The IEC Functional safety zone
- Functional Safety, A Basic Guide Functional Safety and IEC 61508: A basic guide
- Overview of 61508 (页面存档备份,存于) Overview of IEC 61508
- 安全完整性等級SIL 3 介紹 (页面存档备份,存于)探討IEC 61511-1的SIL 3
- 安全仪表系统的十个事实(一)說明SIL只度量設備的故障安全性本質