В функциональной безопасности уровень полноты безопасности ( SIL ) определяется как относительный уровень снижения риска, обеспечиваемый функцией безопасности (SIF), т. е. измерение производительности, требуемой от SIF. [1]
В функциональных стандартах безопасности, основанных на стандарте IEC 61508 , определены четыре уровня SIL, при этом SIL4 является наиболее надежным, а SIL1 — наименее надежным. Применимый уровень SIL определяется на основе ряда количественных факторов в сочетании с качественными факторами, такими как оценки рисков и управление жизненным циклом безопасности . Однако другие стандарты могут иметь другие определения номеров SIL. [2]
Назначение или распределение SIL — это упражнение в анализе риска, в котором риск, связанный с конкретной опасностью, от которой должна защищать SIF, рассчитывается без полезного эффекта снижения риска SIF. Затем этот несниженный риск сравнивается с допустимым целевым уровнем риска. Разница между несниженным риском и допустимым риском, если несниженный риск выше допустимого, должна быть устранена путем снижения риска, обеспечиваемого SIF. Эта величина требуемого снижения риска коррелирует с целевым уровнем SIL. По сути, каждый порядок величины требуемого снижения риска коррелирует с увеличением SIL, вплоть до максимального значения SIL4. Если оценка риска устанавливает, что требуемый SIL не может быть достигнут с помощью SIF SIL4, то должны быть разработаны альтернативные меры, такие как неинструментальные защитные меры (например, предохранительный клапан ). [1]
Существует несколько методов, используемых для назначения SIL. Обычно они используются в комбинации и могут включать: [1]
Из представленных выше методов LOPA является наиболее часто используемым на крупных промышленных предприятиях, например, на химических заводах .
Задание может быть проверено с использованием как прагматического, так и контролируемого подходов, применяя отраслевые руководства, такие как опубликованные UK HSE . [3] Процессы назначения SIL, использующие руководство HSE для ратификации заданий, разработанных на основе матриц рисков, были сертифицированы на соответствие IEC 61508 .
Существует несколько проблем, присущих использованию уровней целостности безопасности. Их можно суммировать следующим образом: [ необходима цитата ]
Это приводит к таким ошибочным утверждениям, как тавтология «Эта система является системой SIL N, поскольку процесс, принятый во время ее разработки, был стандартным процессом для разработки системы SIL N», или использование концепции SIL вне контекста, например «Это теплообменник SIL 3 » или «Это программное обеспечение имеет SIL 2». Согласно IEC 61508, концепция SIL должна быть связана с опасной частотой отказов системы, а не только с ее частотой отказов или частотой отказов составной части, такой как программное обеспечение. Определение опасных режимов отказов с помощью анализа безопасности является неотъемлемой частью правильного определения частоты отказов. [ необходима цитата ]
Стандарт Международной электротехнической комиссии (МЭК) IEC 61508 определяет SIL с использованием требований, сгруппированных в две широкие категории: полнота безопасности оборудования и полнота систематической безопасности . Устройство или система должны соответствовать требованиям обеих категорий для достижения заданного SIL.
Требования SIL к целостности безопасности оборудования основаны на вероятностном анализе устройства. Для достижения заданного SIL устройство должно соответствовать целям максимальной вероятности опасного отказа и минимальной доли безопасного отказа. Понятие «опасный отказ» должно быть строго определено для рассматриваемой системы, обычно в форме ограничений требований, целостность которых проверяется на протяжении всей разработки системы. Фактически требуемые цели варьируются в зависимости от вероятности спроса, сложности устройства(-ий) и типов используемой избыточности.
PFD ( вероятность опасного отказа по требованию ) и RRF ( коэффициент снижения риска ) работы с низким спросом для различных уровней полноты безопасности (SIL), определенных в IEC EN 61508, следующие:
Для непрерывной работы они изменяются следующим образом, где PFH — вероятность опасного отказа в час.
Опасности системы управления должны быть идентифицированы, а затем проанализированы с помощью анализа риска. Смягчение этих рисков продолжается до тех пор, пока их общий вклад в опасность не будет считаться приемлемым. Допустимый уровень этих рисков указывается как требование безопасности в форме целевой «вероятности опасного отказа» в заданный период времени, указанной как дискретный SIL.
Схемы сертификации, такие как схема CASS (оценка соответствия систем, связанных с безопасностью), используются для установления того, соответствует ли устройство определенному SIL. [4] Третьими сторонами, которые могут предоставить сертификацию, являются CSA Group Testing (ранее известная как SIRA), TüV и Exida среди прочих. Также возможна самостоятельная сертификация. Требования этих схем могут быть выполнены либо путем установления строгого процесса разработки, либо путем установления того, что устройство имеет достаточную историю эксплуатации, чтобы утверждать, что оно было проверено в использовании. Сертификация достигается путем доказательства функциональной безопасности (FSC) организации, как правило, путем оценки ее программы управления функциональной безопасностью (FSM), а также оценки проектирования и жизненного цикла сертифицируемого продукта, которая проводится на основе спецификаций, проектной документации, спецификаций и результатов испытаний, прогнозов интенсивности отказов , FMEA и т. д. [5]
Электрические и электронные устройства могут быть сертифицированы для использования в приложениях функциональной безопасности в соответствии с IEC 61508. Существует ряд стандартов, ориентированных на конкретные приложения, основанных на IEC 61508 или адаптированных из него, например, IEC 61511 для сектора перерабатывающей промышленности. Этот стандарт используется в нефтехимической и опасной химической промышленности, среди прочих. [5]
В следующих стандартах SIL используется как мера надежности и/или снижения риска.