安全完整性等级(Safety Integrity Level,简称SIL)是机能安全的一部分,定义为由于安全机能所降低风险的相对水准,或是风险降低后,风险的相对水准。简单来说,安全完整性等级就是度量安全仪表系统(Safety Instrumented Function,简称SIF)所需要的性能。
在不同安全法规中,对于特定SIL需满足的条件也有所不同。依照欧盟的机能安全标准,定义有4种SIL,分别是 SIL 1、SIL 2、SIL 3及SIL 4。在安全机能的执行上,SIL 4 是最可靠的,SIL 1是最不可靠的。SIL 等级越高,代表设备正确执行安全机能的几率越高。SIL 的评定依据许多量化指标,不过也和一些非量化指标有关,例如产品开发流程及安全生命周期管理等。
有许多种分配SIL的方式,一般常会合并使用,包括以下几种:
SIL分配可以依照英国卫生安全局(英语:Health and Safety Executive)(Health and Safety Executive,HSE)发行的相关资料,用务实、可控制的方式进行测试。依照英国卫生安全局的资料,利用风险矩阵的方式得到的SIL分配已被证实可符合 IEC EN 61508的要求。
对于安全完整性等级的应用,存在有许多的问题及误解,大致有以下几项:
上述误解会带来一些错误的陈述,包括“因为此系统开发时使用的流程是开发 SIL N 系统的标准流程,因此此系统是 SIL N 的系统”,或者断章取义的使用SIL,例如“这是一个 SIL N 的热交换器”。根据 IEC 61508,SIL 的概念和系统的失效率无关,只和系统的危险失效率(dangerous failure rate)有关。需要透过安全性分析的方式识别危险失效模式,才能决定其失效率。
SIL等级越高的设备表示其安全可靠越高,但其价格也一定相对提高。而且若系统的SIL等级越高,需要的硬件故障裕度也会提高,以确保在部分设备故障时不会有安全性问题。
国际电工协会(IEC)标准IEC 61508(后来变成IEC EN 61508)将SIL依其要求项目分为二大类:硬件安全完整性(hardware safety integrity)及系统安全完整性(systematic safety integrity)。设备或系统若要达到特定的SIL等级,需同时符合该等级二大类完整性的要求项目。
SIL有关硬件安全完整性的条件是以要求的几率分析为基础。若要达到特定的SIL等级,设备的最大危险失效几率(probability of dangerous failure)及最小安全故障失效比率(Safe Failure Fraction)需符合该等级SIL的要求。待测系统的“危险失效”需明确的定义,一般会以需求限制的方式表示,而其完整性也会在系统开发的过程中被验证。实际要达到的目标仍会依需求、设备复杂度及使用的冗余种类而不同。
IEC EN 61508 针对低要求操作模式(low demand operation)时,不同的安全完整性等级定义以下的要求失效概率(Probability of Failure on Demand,简称PFD)及风险减低系数(Risk Reduction Factor,简称RRF):
连续操作模式下的要求失效概率及风险减低系数如下所示:
必须透过风险分析的流程,识别及分析控制系统的风险。然后会利用各种方式减轻风险,直到整体的风险降低到可接受的程度为止。风险的允许程度就是安全需求中的项目之一,表示成一段特定时间的目标危险失效概率(target probability of a dangerous failure),对应不同的SIL等级。
一般会用认证的方式确认一项设备是否符合特定的SIL等级。符合认证的方式可以利用建立一个严谨的开发流程来达成,或者是搜集许多设备运作的历史资料,以实际的设备运作资料来证实此设备已达到特定的SIL等级。
电机及电子设备可以依据IEC 61508进行功能安全的认证,以说服客户此设备可以和客户的应用系统相容。IEC 61511是依据IEC 61508,应用在程序控制产业的标准,主要用在石化产业及危险化学品的制造产业,也用在其他场合。
以下的标准都使用SIL来衡量可靠度或风险降低的程度。
在特定安全标准中的SIL其数字或定义可能和IEC EN 61508中所定义的数字及定义不同。
有许多是以IEC 61508为准的标也用到SIL,例如 IEC 62061、ISO 26262。
