SIL3认证安全完整性等级认证怎么做

sil3认证是什么意思？

sil3 或安全完整性等级(sil认证)是基于与防止特定危险事件的安全仪表功能 (sif) 相关的风险降低值，或必须如何降低风险才能达到可接受的水平。

sil认证确定基于定量和定性因素，例如：

1.发展历程

2.安全生命周期管理

安全仪表系统( sis)的实施是解决危险的常用方法，必须始终确定对此类仪表保护的*终需求。如果需要，必须确定适当的安全完整性等级( sil)以达到所需的安全等级，这个过程对于实现安全至关重要。

安全完整性等级 sil3：

安全完整性等级( sil )基于与防止特定危险事件的安全仪表功能(sif) 相关的风险降低值，或必须如何降低风险以达到可接受的水平。

因此，它是安全功能提供的风险降低的相对水平，换言之，提供了对安全仪表功能 (sif) 性能的衡量。

在iec 61508标准中，安全性被定义为“免于不可接受的伤害风险”，而风险是伤害发生概率和伤害严重程度的组合（r=fxc，其中 f是事故频率，c是它们的后果，评估为成本；因此 r 定义为每时间单位的成本）。

并非所有功能安全标准都对给定的 sil 提供相同的要求，iec61508 定义了四个 sil，其中 sil 4 *可靠，sil 1 *低。

sil是几个****中使用的可靠性和风险降低量度：

ansi/isa s84（过程工业部门安全仪表系统的功能安全）

iec61508（电气/电子/可编程电子安全相关系统的功能安全）

ec 61511（过程工业部门的安全仪表系统）

iec 61513（核工业）

iec 62061（机械安全）

en 50128（铁路应用——铁路控制和保护软件）

en 50129（铁路应用——用于信号的安全相关电子系统）

en 50402（固定气体检测系统）

iso 26262（汽车行业）

misra，各种（汽车应用中的安全分析、建模和编程指南）

国防标准 00-56 第 2 期——事故后果

sil的确定基于定量和定性因素，例如开发过程和安全生命周期管理。例如，安全生命周期包括危害和风险评估阶段，在该阶段必须识别所有重大危害事件，然后进行评估以确定安全仪表功能(sif) 实现目标所需的风险降低水平风险水平。

sil 表示 sif 所需的风险降低或性能，此评估称为 sil确定，定义了 sif 所需的性能或“目标 sil”，以及目标平均按需故障概率 (pfd)，表示目标 sil范围内允许的*大值。

常用的sil确定方法有：

 安全层矩阵（slm）；风险图（rg）；保护层分析（lopa）；故障树分析（fta）；和事件树分析（eta），它们通常结合使用，lopa是大型工业设施*常用的，slm*简单，fta和eta*灵活，因此适用于复杂的情况。

slm 和 rg 用于初步筛选评估，由于其灵活性和注重细节，fta特别适用于在确定 sil 2、sil 3 或 sil 4 级别时所需的重新评估。

一般而言，sil的分配如下：

    计算与特定危害相关的风险，而没有 sif的风险降低效果。然后，将确定的风险与认为可接受的风险目标进行比较。sif 的风险降低必须解决未缓解风险和可容忍风险之间的差异，sil目标对应于所需风险降低的相关关系，其中所需的降低越大，所需的 sil 越高。

    国际电工委员会( iec )标准 iec61508 将要求分为硬件安全完整性和系统安全完整性两类。根据标准，设备必须满足这两个类别的要求才能达到特定的sil。对于硬件安全完整性，要求是统计的，具有要达到的特定目标，例如危险故障的*大概率和*小安全故障分数。

在i ec en 61508中，针对低需求操作的不同 sil的pfd（按需故障概率）和rrf（风险降低因子）的要求是：

以及对运行或连续运行的高要求（每小时故障概率）

对 sil 3认证需求：

加工厂很少需要s il 3 安全功能。

    在过程工厂，大多数 sif 不会要求高于sil 1。对于要求高于 sil 2的安全功能，必须解决几个问题，关于使用正确的可靠性计算公式，考虑共因故障，使用为共同原因因素选择适当值的正确方法，在计算 pfd时包括人为错误，在评估中包括所有相关因素，评估所用方法的适当性（如果合适或不；rg、lopa 和 slm 不适合 sil3，这需要使用故障树审查评估。

事实上，重新评估可能导致将 sif 的 sil 3 要求重新分配给较低sil 范围内的目标 pfd，从而降低资本和运营成本）。

sil 3

当需要 sil 3时，必须准确检查硬件配置和人机交互与安全功能的组合，确定需要特别注意的需求频率和系统方法（通过使用需求树），涵盖正常操作，异常运行、启动、关闭和从工厂外部发起的需求（服务、电力等），因为这些因素加在一起非常重要。

sil 3认证测定:

任何预期的 sil 3 sif 都需要重新评估，对于 sil 3，sil确定的三个方面值得特别提及：团队能力、警报和人员暴露。

1.关于团队能力

      有效的 sil确定需要许多专业人员的投入，例如通过与***和所有相关学科的代表会面来管理，根据专业技能和个人态度选择，因为他们必须一起工作。此类会议可以很好地用于初步筛选目的，并且可以提供足够的细节来证明sil 1 安全功能的合理性，但对于需要更多细节的更高 sil 来说，任命一名独立专业人员进行评估可能更合适。

2.关于警报

     sil确定必须考虑操作员对警报响应的潜在风险降低，这可能受到警报进入功能时他的可用性、*终响应时间不足以及在功能中的警报数量的影响。同时。操作员可能难以决定要做什么，必须尽一切努力确保他有所有正确的指示来做出正确的决定并采取正确的行动。

3.关于人员暴露以及故障对工人的潜在后果

  有必要考虑处于危险中的人可能在可能发生伤害的工厂区域内的时间比例，同时考虑到，即使对于高危险区，在那里度过的工作日比例非常小（例如低于10%），也可以在事故发生时要求该人员前往危险区进行调查。在这种情况下，比例会发生巨大变化，因为实际上它会 ****发生危险事件。

达到sil 3认证要求:

   长期（也就是说，在功能的整个持续时间内）实现和保持 sil 3 性能是一项非常艰巨的任务。因此，当确定了对 sil 3 sif的需求时，参与风险降低项目的人员发现自己处于复杂的境地，即通过硬件和人机交互的结合来证明 sil 3性能，这种情况非常可能会在公司利益相关者或外部监管机构进一步审查时进行讨论。

例如

    sil 3的主要含义之一是它需要高度重复，这种情况与****中描述为“硬件容错”的条件有关。或多个故障发生）确定需要多个传感器和多个输出装置，以保证在定期测试之间发生故障的情况下该功能将继续工作。此外，实现sil 3 所需的 pfdavg（即在 0.001 到 0.0001 范围内）意味着 sif 在 1 年 (8760 小时)期间内无法成功响应的时间*长为 8.76 小时或更短，该值必须包括组织不知道该功能不起作用的时间。

此外，只有在计算 pfd 时满足以下四个条件时，才能达到 sil3：

1)使用的故障率是适当适用于该情况的故障率，如直接现场故障率；

2)对依赖性进行适当的评估，以保证计算不会过于乐观；

3)说明测试期间功能不可用；

4)考虑到人与安全功能的交互，因为人参与了 sif的维护、校准和测试以及他们出错的可能性（例如，对 sil 1 几乎没有影响） pfd) 可能使 sil 3 无法实现。

因此，与 sil 1 功能不同，sil 3功能需要准确设计人工任务和评估人为错误的概率（并将其包含在 pfdavg 计算中）。此类活动需要专业技能。

sil 3的总结如下：

sil 3 是一种安全完整性等级，适用于非常特殊和罕见的情况，其中需要sif 的高水平风险降低 性能。

sil 3 的实际需求必须通过准确和彻底的sil确定以及重新评估来确定，同时还要考虑与实现和维持 sil 3 级别相关的额外成本。

实现 sil 3有几个含义，其中包括设计硬件和人机交互组合的安全性能，因此需要来自不同学科的专家参与降低风险的项目。

总之，sil 3既是一个目标，也是一个挑战，接近它需要使用个人和组织拥有的**技能和专有技术。当确定了对 sil 3安全完整性等级的需求时，技术和人类行为必须适应具有挑战性的目标。

实现安全，即“免于不可接受的伤害风险”，必须是每项生产活动的基本目标，而 sil 3 是降低风险的新前沿。