ASIL安全性等级分析和总结.docx

v1.0 可编辑可修改 v1.0 可编辑可修改 PAGE PAGE 1 PAGE PAGE 6 安全完整性等级 安全完整性等级 维基百科，自由的百科全书 维基百科，自由的百科全书 跳转到： 导航, 搜索 安全完整性等级（Safety Integrity Level，简称 SIL）是机能安全的一部份，定义为 由于安全机能所降低风险的相对水平，或是风险降低后，风险的相对水平。简单来说， 安全完整性等级就是度量安全仪表系统（Safety Instrumented Function，简称 SIF） 所需要的性能。[1] 在不同安全法规中，对于特定 SIL 需满足的条件也有所不同。依照欧盟的机能安全标准， 定义有 4 种 SIL，分别是 SIL 1、SIL 2、SIL 3 及 SIL 4。在安全机能的执行上，SIL 4 是最可靠的，SIL 1 是最不可靠的。SIL 等级越高，代表设备正确执行安全机能的机率 越高。[2]SIL 的评定依据许多量化指标，不过也和一些非量化指标有关，例如产品开发 流程及安全生命周期管理等。 目录 [隐藏] SIL 的分配 SIL 应用上的误解 SIL 的认证 用到 SIL 的安全标准 参照 参考资料 外部链接 [ [编辑] SIL 的分配 有许多种分配SIL 的方式，一般常会合并使用，包括以下几种： 风险矩阵（Risk Matrices）风险图（Risk Graphs）防护层分析（Layers of Protection Analysis，LOPA） 风险矩阵（Risk Matrices） 风险图（Risk Graphs） 防护层分析（Layers of Protection Analysis，LOPA） SIL 分配可以依照英国卫生安全局（Health and Safety Executive，HSE）发行的相关 资料[3]，用务实、可控制的方式进行测试。依照英国卫生安全局的资料，利用风险矩阵 的方式得到的SIL 分配已被证实可符合 IEC EN 61508 的要求。 [编辑] SIL 应用上的误解 对于安全完整性等级的应用，存在有许多的问题及误解，大致有以下几项： 在应用安全完整性等级时，无法转换不同标准中标示的安全完整性等级。 依照可靠度的估计来估计安全完整性等级。 系统（特别是软件系统）的复杂度，使得安全完整性等级的估计困难到几乎不 可能的程度。 上述误解会带来一些错误的陈述，包括“因为此系统开发时使用的流程是开发 SIL N 系 上述误解会带来一些错误的陈述，包括“因为此系统开发时使用的流程是开发 SIL N 系 统的标准流程，因此此系统是 SIL N 的系统”，或者断章取义的使用SIL，例如“这是 一个 SIL N 的热交换器”。根据 IEC 61508，SIL 的概念和系统的失效率无关，只和 系统的危险失效率（dangerous failure rate）有关。需要透过安全性分析的方式识别 危险失效模式，才能决定其失效率[4]。 SIL 等级越高的设备表示其安全可靠越高，但其价格也一定相对提高。而且若系统的 SIL 等级越高，需要的硬件故障裕度也会提高，以确保在部份设备故障时不会有安全性问题。 [编辑] SIL 的认证 国际电工协会（IEC）标准IEC 61508（后来变成IEC EN 61508）将SIL 依其要求项目分为二大类：硬件安全完整性（hardware safety integrity）及系统安全完整性 （systematic safety integrity）。设备或系统若要达到特定的SIL 等级，需同时符合该等级二大类完整性的要求项目。 SIL 有关硬件安全完整性的条件是以要求的机率分析为基础。若要达到特定的 SIL 等级， 设备的最大危险失效机率（probability of dangerous failure）及最小安全故障失效比率（Safe Failure Fraction）需符合该等级SIL 的要求。待测系统的“危险失效” 需明确的定义，一般会以需求限制的方式表示，而其完整性也会在系统开发的过程中被验证。实际要达到的目标仍会依需求、设备复杂度及使用的冗余种类而不同。 IEC EN 61508 针对低要求操作模式（low demand operation）时，不同的安全完整性等级定义以下的要求失效概率（Probability of Failure on Demand，简称 PFD）及风险减低系数（Risk Reduction Factor，简称RRF）： 安全完整性等级（SIL） 要求失效概率（PFD） 风险减低系数（RRF） 1 连续操作模式下的要求失效概率及风险减低系数如下所示： 连续操作模式下的要求失效概率及风险减低系数如下所示： 安全完整性等级（SIL