SIL认证涉及的一些基本概念和认证内容

1、功能安全的概念

什么是功能安全？功能安全是与EUC或EUC控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子（E/E/PE）安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。

如何来正确行使？主要内容包括管理和技术两方面。即在技术上和管理上保证E/E/PE安全系统、其它技术安全系统和外界风险降低设施在需要时能执行安全功能。

在过程工业领域如石化、化工等，是用安全仪表系统来表述安全相关系统。即SIS(Safty Instrumented Systems)用来实现一个或几个仪表安全功能的仪表系统,可以由传感器、逻辑解算器和终端元件的任何组合组成. 仪表安全功能(Safty Instrumented Function)就是具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是安全保护系统,也可以是安全控制系统.

一个SIS整体安全生命周期包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体的安全计划编制（操作和维护计划、整体安全确认计划、整体安装和试运行计划）、E/E/PES安全相关系统的实现、其他安全相关系统的实现、外部危险降低设施的实现、整体安装和试运行、整体安全确认、整体操作维护和维修、整体修改和改型、停用和处理。

在整体安全生命周期的各阶段都有各自相关的功能安全活动和要求。其中E/E/PES安全相关系统的实现包括两个部分即硬件的实现和软件的实现，这个阶段是通过设计满足系统的SIL要求。所以，我们说功能安全是设计出来的。 E/E/PES安全相关系统的实现阶段包括安全要求规范（安全功能要求规范和安全完整性要求规范）、安全确认计划、设计和开发、集成、操作和维护规程、安全确认（IEC61508-2）。

软件安全生命周期（实现阶段）包括：软件安全要求规范（安全功能要求规范和安全完整性要求规范）、软件安全确认计划、软件设计和开发、PE集成（硬件和软件）、软件操作和维护规程、软件安全确认（IEC61508-3）。

3 、功能安全的评估

功能安全评估的目的是调查并判断E/E/PE安全相关系统所达到的功能安全。对SIS的功能安全评估从两个方面来进行。第一，评估为了确保满足功能安全目的所必需的管理活动是否有效。第二，评估安全仪表系统或安全仪表是否达到了要求的SIL。如何确认设计和生产的安全仪表和SIS的SIL达到要求？我们可以从以下几个方面来考虑：

（1）建立功能安全管理体系

建立功能安全管理系统目的是确定整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动，这些阶段是达到E/E/PE安全相关系统要求的功能安全所必需的；确定人员、部门和组织对整体的、E/E/PES的和软件的安全生命周期各阶段或各阶段中活动所负的责任。通过体系来保障能达到要求的安全完整性。

（2）建立与功能安全相关的文件

文件应规定能够有效执行整体安全生命周期、E/E/PES安全生命周期和软件安全生命周期各阶段所必需的信息；规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息；以及有关的报告和记录功能安全评估时，为了满足IEC61508对文档的要求，在整体安全生命周期的各阶段的各个活动都要给出相关的文档。功能安全评估时需要的文档示例可以在IEC61508.1附录A中找到。

（3）安全完整性和安全完整性等级的确定

安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。

安全完整性等级是用来规定分配给SIS安全功能的安全完整性要求的分离等级,记为SIL，共分4个等级,SIL4为最高等级。IEC61508-1规定了目标失效量（表1）。

在确定安全完整性时，应包括导致非安全状态的所有失效因素(硬件随机失效和系统失效)。

安全相关系统使用方式，按要求产生的频率可分为：低要求模式(≤1次/年)和高要求或连续模式(＞1次/年)。低要求模式和高要求模式SIL的目标失效量是不同的，见表1。

（4）软硬件SIL的评估

① 硬件故障裕度的要求

硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度N意味着N+1个故障会导致全功能的丧失。例如：硬件故障裕度为1，表示如有两台设备，它们的结构应使得两个部件之一的危险失效不得阻止安全动作发生。为了减轻仪表安全功能设计中的潜在缺陷，IEC61511-1表5和表6定义了传感器、逻辑解算器和终端元件最低的硬件故裕度。对仪表安全功能而言，传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度,硬件故障裕度表示了最低的部件或子系统冗余。

② 硬件安全完整性的结构约束

硬件安全功能所声明的最高安全完整性等级受限于硬件故障裕度及执行该安全功能的子系统的安全失效分数(SFF)。IEC61508.2中表2和表3为A类和B类相关子系统的结构约束，表示在失效分数(SFF)确定的情况下，SIL与最低硬件故障裕度之间的关系。

在进行SIL评估时，我们首先要根据部件或子系统的失效模式是否已知、数据是否可靠、故障行为是否确定来区别硬件的结构约束是属于A类还是B类。

然后，进行SFF及PFD计算,对应IEC61508.1表2或表3,可以得到相对应的SIL。即部件和相关子系统的安全完整性等级。

确定子系统最大硬件安全完整性等级时,必须考虑系统结构约束,即在SFF确定前提下,故障裕度要求与SIL的对应关系。表2为B类相关子系统的结构约束。