SIL验算之结构约束

最新推荐文章于 2024-10-08 15:41:48 发布

可靠的豪鹏科技

最新推荐文章于 2024-10-08 15:41:48 发布

阅读量936

点赞数 8

分类专栏： HAZOP SIL验算文章标签：数据库数据结构

本文链接：https://blog.csdn.net/2301_81826310/article/details/142141548

版权

HAZOP 同时被 2 个专栏收录

3 篇文章 0 订阅

订阅专栏

SIL验算

3 篇文章 0 订阅

订阅专栏

SIL验算中硬件完整性结构约束SIL评估的探讨

在安全仪表系统（SIS）的功能安全领域，IEC61508和IEC61511作为重要的核心标准，为安全完整性等级（SIL）验算提供了详尽的指导。这两个标准在国内的对应版本分别为GB/T 20438和GB/T 21109。虽然它们共同致力于提升系统安全性能的目标，但在结构约束的SIL等级评估方面，它们各自展现了不同的方法论。本文旨在深入剖析这些差异，并提出一些基础观点与问题，以期激发业界专家的思考与讨论，推动知识的交流与共享，进而促进整个行业的进步与发展。

GB/T 20438标准广泛适用于电气、电子以及可编程电子安全相关系统，它全面覆盖了系统设计、硬件、软件、编程以及全生命周期管理等关键环节。相对地，GB/T 21109标准专注于过程工业领域的安全仪表系统，为系统、硬件和应用编程提供了一套详细的框架和定义。通过对比这两个标准在结构约束评估方面的差异和侧重点，希望在实际应用中为SIL验算提供一些指导和意见。

关键词：安全仪表系统SIS 、功能安全、SIL验算、硬件完整性约束、IEC61508、IEC61511、GB/T 20438、GB/T 21109。

前言

在SIS系统SIL验算软件领域，豪鹏科技以其深厚的专业知识和先进的SIL验算软件，服务于广大的客户群体。作为一家领先的软件开发商，我们始终秉承提供卓越的专业服务和技术指导，致力于解决客户面临的各种技术挑战。

在日常运营中，我们注意到许多客户在进行SIL验算时，经常会遇到硬件完整性结构约束评估的难题。特别是当结构约束评估结果为零时，客户往往感到困惑和无助。为了解决这些问题，我们投入了大量的时间和资源，进行了深入的研究和分析。

我们专家团队十多年深入研究，积累了丰富的经验和知识。为了让更多的同行和业内专家能够分享这些信息而撰写了本文。以期通过探讨SIL验算中的硬件完整性结构约束问题，帮助客户和同行通过专业知识更好地理解和应对这些挑战。

二、标准概述

IEC61508和GB/T 20438标准广泛适用于电气、电子以及可编程电子安全相关系统，它全面覆盖了系统设计、硬件、软件、编程以及全生命周期管理等关键环节。相对地，IEC61511和GB/T 21109标准专注于过程工业领域的安全仪表系统，为系统、硬件和应用编程提供了一套详细的框架和定义。通过对比这两个标准在结构约束评估方面的差异和侧重点，希望在实际应用中为SIL验算提供一些指导和意见

三、结构约束评估的重要性

在SIL验算时，除了重点验算PFD（危险失效率）平均值外，硬件完整性的结构约束评估也是一个重要的评估指标，它是确保安全仪表系统（SIS）达到预期安全性能的关键环节。结构约束评估不仅影响着系统设计的可靠性和稳健性，而且直接关系到在实际操作中对潜在风险的控制能力。

硬件完整性是指系统在面对各种故障和异常情况时，仍能保持关键安全功能的能力。它是功能安全的基础，因为即使软件和其他非硬件部分设计得再完美，如果硬件部分存在缺陷，整个系统的安全性也难以得到保障。硬件完整性的评估涉及到对系统硬件的故障裕度、失效模式、以及故障检测和隔离机制的全面考量。

结构约束评估对系统安全性能的影响是深远的。首先，它确保了系统设计中充分考虑了各种可能的硬件故障情况，并通过适当的冗余和容错设计来降低这些故障对系统安全功能的影响。其次，结构约束评估有助于识别和强化系统中的薄弱环节，通过改进设计或增加保护措施来提升整体的安全性。此外，结构约束评估还为系统的维护和测试提供了依据，确保系统在全生命周期内都能维持所需的安全性能。

在实际安全仪表系统运营中，结构约束评估能够指导工程师制定有效的安全策略和措施。通过对硬件完整性的深入分析，工程师可以为系统设计提供可信的安全基础，进而可以提升安全仪表系统的可靠性和稳定性。

四、IEC61508和GB/T 20438的硬件完整性结构约束

GB/T 20438在结构约束和完整性等级方面对软硬件在安全相关系统中的设计和开发提出了具体要求：

结构约束通常是指在设计安全相关系统时，需要考虑的硬件和软件的结构性措施，以确保系统的安全功能能够在各种预期的故障条件下保持有效。完整性等级（Integrity Level）则是衡量系统能够抵御故障和错误，从而保持安全功能的一种度量。

在GB/T 20438.3-2017中，提到了硬件故障裕度（Hardware Fault Tolerance, HFT）和安全失效分数（Safety Failure Fraction, SFF），这两个概念是评估结构约束的关键因素。硬件故障裕度指的是系统在发生一定数量的故障后仍能保持安全功能的能力。安全失效分数是指安全失效率和可检测的危险失效率占总失效率的百分比，即在故障出现时，系统能够检测到这些故障的概率。

GB/T 20438-2017将组件分为A类和B类，并定义了它们的特性：

可以明确，如果不满足A类元器件的三个条件的任何一条，即属于B类元器件；组件含有B类元器件时，整个组件视为B类组件。

A类组件具有明确定义的失效模式，故障状况下子系统的行为能够完全确定，并且有足够的数据支持其失效率的声明。

B类组件可能存在未明确定义的失效模式，故障状况下子系统的行为不能完全确定，或者相关数据不够充分、可靠。

对于A类和B类组件，标准GB/T 20438.3-2017提供了不同设备结构完整性矩阵算法表，根据硬件故障裕度和安全失效分数，以及它们与结构约束的最大允许安全完整性等级（SIL）之间的关系。例如，A类组件可能允许更高的SIL等级，因为它们具有更高的可靠性和故障检测能力。

在这三个参数中，安全失效分数这个参数存在一些不确定。

SFF=（λ-λdu）/(λs+λd)，

通过这个算法，如果SIL证书只给出du值，则SFF=0，在B型设备中就无法达到SIL-1等级。

五、IEC61511和GB/T 21109的硬件完整性结构约束

为了应用GB/T 21109硬件故障裕度要求，我们需要理解GB/T 21109.1- 2022的3.2.7.8中SIS子系统的概念：

GB/T 21109强调了在设计SIS时，硬件故障裕度是一个系统级的概念，需要在整个系统层面上进行考虑和满足，而不是仅仅关注子系统内的单个器件。这样的设计方法有助于提高整个系统的容错能力和安全性。通过在关键的子系统中部署多个相同功能的设备（如传感器、控制器、执行器等），即使其中一些设备发生故障，系统仍能继续执行其安全功能。

GB/T 21109（IEC 61508）考虑了此间所述的因素，并采用两条不同的路径（称为 1H和 2H）规定了GB/T 20438.2-2017中要求的故障裕度范围。

在为过程领域编制这一特定领域的标准时，GB/T 21109认为路径2H更适用于过程领域。因此，GB/T 21109.1-2022中的故障裕度要求以GB/T 20438.2-2017中的路径2H为基础。

六、实际应用中的考量

在安全仪表系统（SIS）的设计和应用中，存在所谓的"低要求模式"（Low Demand Mode），这是指系统在正常运行条件下不需要频繁地执行其安全功能。在这种模式下，安全仪表功能（SIF）的回路通常被分配较低的安全完整性等级（SIL），如SIL1或SIL2。这意味着系统的设计允许有一定的容错空间，但并不要求高度的冗余或复杂的安全措施。

在化工行业，SIS系统一般属低要求模式。这通常意味着安全仪表功能（SIF）回路的安全完整性等级（SIL）被定级为SIL1或SIL2。根据现行的安全标准，对于这一等级的SIF回路，原则上允许不采用冗余配置，以满足基本的安全功能需求。

然而，在某些情况下，为了更有效地控制和管理风险，企业可能会选择实施冗余策略。通过引入额外的设备或系统，冗余配置能够提高整体的容错能力和可靠性，从而在发生单一故障时，依然保障安全功能的执行，确保风险水平被有效控制在可接受的目标范围内，这时应参考以下内容：