安全完整性等級

安全完整性等級Safety Integrity Level,簡稱SIL)是機能安全的一部份,定義為由於安全機能所降低風險的相對水準,或是風險降低後,風險的相對水準。簡單來說,安全完整性等級就是度量安全儀表系統(Safety Instrumented Function,簡稱SIF)所需要的性能。[1]

在不同安全法規中,對於特定SIL需滿足的條件也有所不同。依照歐盟的機能安全標準,定義有4種SIL,分別是 SIL 1、SIL 2、SIL 3及SIL 4。在安全機能的執行上,SIL 4 是最可靠的,SIL 1是最不可靠的。SIL 等級越高,代表設備正確執行安全機能的機率越高。[2]SIL 的評定依據許多量化指標,不過也和一些非量化指標有關,例如產品開發流程及安全生命周期管理等。

SIL的分配

有許多種分配SIL的方式,一般常會合併使用,包括以下幾種:

  • 風險矩陣(Risk Matrices)
  • 風險圖(Risk Graphs)
  • 防護層分析(Layers of Protection Analysis,LOPA)

SIL分配可以依照英國衛生安全局(Health and Safety Executive,HSE)發行的相關資料[3],用務實、可控制的方式進行測試。依照英國衛生安全局的資料,利用風險矩陣的方式得到的SIL分配已被證實可符合 IEC EN 61508的要求。

SIL應用上的誤解

對於安全完整性等級的應用,存在有許多的問題及誤解,大致有以下幾項:

  • 在應用安全完整性等級時,無法轉換不同標準中標示的安全完整性等級。
  • 依照可靠度的估計來估計安全完整性等級。
  • 由於系統(特別是軟體系統)太過複雜,使得無法估計安全完整性等級。

上述誤解會帶來一些錯誤的陳述,包括「因為此系統開發時使用的流程是開發 SIL N 系統的標準流程,因此此系統是 SIL N 的系統」,或者斷章取義的使用SIL,例如「這是一個 SIL N 的熱交換器」。根據 IEC 61508,SIL 的概念和系統的失效率無關,只和系統的危險失效率(dangerous failure rate)有關。需要透過安全性分析的方式識別危險失效模式,才能決定其失效率[4]

SIL等級越高的設備表示其安全可靠越高,但其價格也一定相對提高。而且若系統的SIL等級越高,需要的硬體故障裕度也會提高,以確保在部份設備故障時不會有安全性問題。

SIL的認證

國際電工協會(IEC)標準IEC 61508(後來變成IEC EN 61508)將SIL依其要求項目分為二大類:硬體安全完整性(hardware safety integrity)及系統安全完整性(systematic safety integrity)。設備或系統若要達到特定的SIL等級,需同時符合該等級二大類完整性的要求項目。

SIL有關硬體安全完整性的條件是以要求的機率分析為基礎。若要達到特定的SIL等級,設備的最大危險失效機率(probability of dangerous failure)及最小安全故障失效比率(Safe Failure Fraction)需符合該等級SIL的要求。待測系統的「危險失效」需明確的定義,一般會以需求限制的方式表示,而其完整性也會在系統開發的過程中被驗證。實際要達到的目標仍會依需求、設備複雜度及使用的冗餘種類而不同。

IEC EN 61508 針對低要求操作模式(low demand operation)時,不同的安全完整性等級定義以下的要求失效概率(Probability of Failure on Demand,簡稱PFD)及風險減低係數(Risk Reduction Factor,簡稱RRF):

安全完整性等級(SIL) 要求失效概率(PFD) 風險減低係數(RRF)
1 0.1-0.01 10-100
2 0.01-0.001 100-1000
3 0.001-0.0001 1000-10,000
4 0.0001-0.00001 10,000-100,000

連續操作模式下的要求失效概率及風險減低係數如下所示:

安全完整性等級(SIL) 要求失效概率(PFD) 風險減低係數(RRF)
1 0.00001-0.000001 100,000-1,000,000
2 0.000001-0.0000001 1,000,000-10,000,000
3 0.0000001-0.00000001 10,000,000-100,000,000
4 0.00000001-0.000000001 100,000,000-1,000,000,000

必須透過風險分析的流程,識別及分析控制系統的風險。然後會利用各種方式減輕風險,直到整體的風險降低到可接受的程度為止。風險的允許程度就是安全需求中的項目之一,表示成一段特定時間的目標危險失效概率(target probability of a dangerous failure),對應不同的SIL等級。

一般會用認證的方式確認一項設備是否符合特定的SIL等級[5]。符合認證的方式可以利用建立一個嚴謹的開發流程來達成,或者是搜集許多設備運作的歷史資料,以實際的設備運作資料來證實此設備已達到特定的SIL等級。

電機及電子設備可以依據IEC 61508進行功能安全的認證,以說服客戶此設備可以和客戶的應用系統相容。IEC 61511是依據IEC 61508,應用在程序控制產業的標準,主要用在石化產業及危險化學品的製造產業,也用在其他場合。

用到SIL的安全標準

以下的標準都使用SIL來衡量可靠度或風險降低的程度。

在特定安全標準中的SIL其數字或定義可能和IEC EN 61508中所定義的數字及定義不同[6]

參照

有許多是以IEC 61508為準的標也用到SIL,例如 IEC 62061、ISO 26262。

參考文獻

  1. ^ Net Safety Monitoring Inc., SAFETY INTEGRITY LEVEL (SIL) - IEC 61508/61511, http://www.net-safety.com/about/whitepaper/wpt0015.pdf頁面存檔備份,存於網際網路檔案館
  2. ^ 劉建侯. 功能安全技術基礎. 北京: 機械工業出版社. 2008: p9. ISBN 978-7-111-24042-6. 
  3. ^ M. Charlwood, S Turner and N. Worsell, UK Health and Safety Executive Research Report 216, 「A methodology for the assignment of safety integrity levels (SILs) to safety-related control functions implemented by safety-related electrical, electronic and programmable electronic control systems of machines」, 2004. ISBN 0-7176-2832-9
  4. ^ F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf頁面存檔備份,存於網際網路檔案館) with capture date of 11th October 2010
  5. ^ CASS Scheme, Conformity Assessment of Safety Systems, http://www.cass.uk.net/頁面存檔備份,存於網際網路檔案館
  6. ^ F. Redmill, "Understanding the Use, Misuse, and Abuse of SILs" http://www.csr.ncl.ac.uk/FELIX_Web/3A.SILs.pdf頁面存檔備份,存於網際網路檔案館) with capture dates of 9th July 2010 and 11 October 2010

外部連結