ASIL安全完整性等级.docxVIP

安全完整性等级维基百科，自由的百科全书跳转到： 导航, 搜索安全完整性等级（Safety Integrity Level，简称SIL）是机能安全的一部份，定义为由于安全机能所降低风险的相对水平，或是风险降低后，风险的相对水平。简单来说，安全完整性等级就是度量安全仪表系统（Safety Instrumented Function，简称SIF）所需要的性能。[1]在不同安全法规中，对于特定SIL需满足的条件也有所不同。依照欧盟的机能安全标准，定义有4种SIL，分别是 SIL 1、SIL 2、SIL 3及SIL 4。在安全机能的执行上，SIL 4 是最可靠的，SIL 1是最不可靠的。SIL 等级越高，代表设备正确执行安全机能的机率越高。[2]SIL 的评定依据许多量化指标，不过也和一些非量化指标有关，例如产品开发流程及安全生命周期管理等。目录[隐藏]1 SIL的分配2 SIL应用上的误解3 SIL的认证4 用到SIL的安全标准5 参照6 参考资料7 外部链接[编辑] SIL的分配有许多种分配SIL的方式，一般常会合并使用，包括以下几种：风险矩阵（Risk Matrices）风险图（Risk Graphs）防护层分析（Layers of Protection Analysis，LOPA）SIL分配可以依照英国卫生安全局（Health and Safety Executive，HSE）发行的相关资料[3]，用务实、可控制的方式进行测试。依照英国卫生安全局的资料，利用风险矩阵的方式得到的SIL分配已被证实可符合 IEC EN 61508的要求。[编辑] SIL应用上的误解对于安全完整性等级的应用，存在有许多的问题及误解，大致有以下几项：在应用安全完整性等级时，无法转换不同标准中标示的安全完整性等级。依照可靠度的估计来估计安全完整性等级。系统（特别是软件系统）的复杂度，使得安全完整性等级的估计困难到几乎不可能的程度。上述误解会带来一些错误的陈述，包括“因为此系统开发时使用的流程是开发 SIL N 系统的标准流程，因此此系统是 SIL N 的系统”，或者断章取义的使用SIL，例如“这是一个 SIL N 的热交换器”。根据 IEC 61508，SIL 的概念和系统的失效率无关，只和系统的危险失效率（dangerous failure rate）有关。需要透过安全性分析的方式识别危险失效模式，才能决定其失效率[4]。SIL等级越高的设备表示其安全可靠越高，但其价格也一定相对提高。而且若系统的SIL等级越高，需要的硬件故障裕度也会提高，以确保在部份设备故障时不会有安全性问题。[编辑] SIL的认证国际电工协会（IEC）标准IEC 61508（后来变成IEC EN 61508）将SIL依其要求项目分为二大类：硬件安全完整性（hardware safety integrity）及系统安全完整性（systematic safety integrity）。设备或系统若要达到特定的SIL等级，需同时符合该等级二大类完整性的要求项目。SIL有关硬件安全完整性的条件是以要求的机率分析为基础。若要达到特定的SIL等级，设备的最大危险失效机率（probability of dangerous failure）及最小安全故障失效比率（Safe Failure Fraction）需符合该等级SIL的要求。待测系统的“危险失效”需明确的定义，一般会以需求限制的方式表示，而其完整性也会在系统开发的过程中被验证。实际要达到的目标仍会依需求、设备复杂度及使用的冗余种类而不同。IEC EN 61508 针对低要求操作模式（low demand operation）时，不同的安全完整性等级定义以下的要求失效概率（Probability of Failure on Demand，简称PFD）及风险减低系数（Risk Reduction Factor，简称RRF）：安全完整性等级（SIL）要求失效概率（PFD）风险减低系数（RRF）10.1-0.0110-10020.01-0.001100-100030.001-010,00040.0001-0.0000110,000-100,000连续操作模式下的要求失效概率及风险减低系数如下所示：安全完整性等级（SIL）要求失效概率（PFD）风险减低系数（RRF）10.00001-0.000001100,000-1,000,00020.000001-0000,000-10,000,00030.0000001-0.0000000110,000,000-100,000,000400.000000001100,000,000-1,000,000,000必须透过风险分析的流程，识别及分析控制系统的