安全完整性等級（SIL）雜談（一）

段慧文

【摘 要】 介紹安全完整性等級的相關標準，重點在于舞臺機械控制系統(tǒng)安全相關的內(nèi)容，同時闡述了舞臺機械專業(yè)的國內(nèi)外差距。

【關鍵詞】 安全完整性等級；舞臺機械；控制系統(tǒng)；標準；差距

文章編號： 10.3969/j.issn.1674-8239.2018.07.008

1 概述

1.1 功能安全、安全完整性和安全相關系統(tǒng)

電子/電氣/可編程（E/E/EP）電子器件、軟件系統(tǒng)在工業(yè)控制領域的大量使用，大大提升了自動化程度和生產(chǎn)效率。但由于各種原因（如：研發(fā)人員的知識結構、開發(fā)制造中風險管理意識的不足、自身安全性能存在缺陷產(chǎn)品的流入等），在相關行業(yè)的安全控制系統(tǒng)中，由可靠性造成的人身安全、財產(chǎn)損失和環(huán)境危害等問題經(jīng)常發(fā)生，給社會帶來了無法挽回的損失。

世界各國在過程安全和工業(yè)裝備安全控制中，對廣泛涉及公眾及職業(yè)安全的產(chǎn)品安全性設計非常重視，并且將電子、電氣及可編程電子安全控制系統(tǒng)相關的技術，發(fā)展為一套成熟的安全設計技術，即功能安全技術。

筆者對幾個與安全設計技術有關的名詞作簡單說明：

（1）功能安全

功能安全是與電子單元控制EUC（Electronic Unit Control）或與EUC控制系統(tǒng)有關的整體安全的組成部分， 內(nèi)容包括管理和技術兩方面。在管理上和技術上保證 E/E/PE安全系統(tǒng)、其他技術安全系統(tǒng)和外界風險降低設施來執(zhí)行安全功能。

無論零部件或者整個系統(tǒng)發(fā)生的失效，也不管是隨機失效、系統(tǒng)失效或者是共因失效（同一原因引起的不同故障失效），都不會導致安全系統(tǒng)故障，進而不會對人員或者環(huán)境產(chǎn)生危害，那么該系統(tǒng)在功能上就是安全的。無論是在正常工作狀態(tài)或者是故障工作狀態(tài)，控制系統(tǒng)都必須保證其安全功能。

歐美各國已經(jīng)頒布了涉及到各個領域的、成套的與功能安全相關的產(chǎn)品規(guī)范和設計標準，如：軌道信號控制（EN 5012X）、核電控制（EN 61513）、工業(yè)裝備及機器控制（EN 62601， EN ISO 13849-1/2）、過程工業(yè)控制（EN 61511）等；IEC 61508系列標準已經(jīng)成為各個國家、行業(yè)廣泛認可的基本功能安全標準；中國也逐漸形成了相應的功能安全國家標準，行業(yè)和企業(yè)將逐步按照國家強制標準的要求去升級自身產(chǎn)品的安全性。

（2）安全完整性（safety integrity）

安全完整性指在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。安全相關系統(tǒng)的安全完整性等級越高，安全相關系統(tǒng)不能實現(xiàn)所要求的安全功能的概率就越低；安全完整性著重于安全相關系統(tǒng)執(zhí)行安全功能的可靠性。

安全完整性包括系統(tǒng)安全完整性與隨機安全完整性。系統(tǒng)完整性是安全完整性里的不可定量部分，并且與系統(tǒng)故障導致的硬件、軟件的失效有關。系統(tǒng)故障通常由系統(tǒng)、子系統(tǒng)和設備在安全功能的生命周期內(nèi)各種人為錯誤導致，如規(guī)范錯誤、設計錯誤、制造錯誤、安裝錯誤、操作錯誤、維護錯誤、修改錯誤等。隨機安全完整性是安全完整性的隨機危險失效部分，包括硬件失效、軟件失效以及電氣干擾引起的失效。有些類型的失效，如隨機硬件失效，在失效模式中，可用失效率來量化；對安全防護系統(tǒng)，可用不能工作的概率來衡量；可以量化的部分均與硬件失效（硬件安全完整性）有關；而硬件失效是硬件可靠性不足導致的。系統(tǒng)安全完整性通過質量管理和安全管理條件獲得。由于不可能通過定量的方法來評估系統(tǒng)安全完整性，功能安全標準中用安全完整性等級SIL對技術措施與管理條件進行分級。

（3）安全相關系統(tǒng)（safety-related system）

該系統(tǒng)需能實現(xiàn)所要求的安全功能、以達到或保持電子控制單元EUC（Electronic Control Unit）的安全狀態(tài)；系統(tǒng)自身、或與其他的技術安全相關系統(tǒng)、或外部風險降低設施一起，能夠達到所要求的安全功能所需的安全完整性等級，即與外部風險降低設施一道，能達到必要的風險降低量，滿足所要求的允許風險。

安全相關系統(tǒng)一般分為安全控制系統(tǒng)和安全防護系統(tǒng)，且具有兩種操作模式（低要求操作模式、高要求或連續(xù)操作模式），可以是EUC控制系統(tǒng)的組成部分，也可用傳感器和/或執(zhí)行器與EUC接口，即通過分開的和獨立的附加系統(tǒng)實現(xiàn)EUC控制系統(tǒng)中的安全功能，達到要求的安全完整性等級。

安全相關系統(tǒng)用于防止危險事件發(fā)生（即安全相關系統(tǒng)一旦執(zhí)行其安全功能，則沒有危險事件發(fā)生），或用來減輕危險事件的影響并降低風險。

1.2 安全完整性等級SIL（Safety Integrity Level）認證

所有電子/電氣/可編程（E/E/EP）設備，包括一些最精密的設備/系統(tǒng)都可能由各種原因產(chǎn)生故障。安全完整性等級SIL就是用來評定故障及其后果的方法，評估結果是根據(jù)故障概率得出的安全完整性等級。安全完整性指在規(guī)定條件下和規(guī)定時間內(nèi)，成功實現(xiàn)控制儀表設備所要求的安全功能的平均概率。安全完整性等級記為SIL，共分4個等級，SIL1至SIL4，SIL4為最高等級。對于一般工業(yè)的過程控制，常見的SIL等級是SIL2、SIL3，而針對核電、鐵路等特別關注安全的行業(yè)，則一般執(zhí)行最高安全等級SIL4。

安全完整性等級SIL認證是基于IEC 61508、IEC 61511、IEC 61513、IEC 13849-1等一系列功能安全標準，對產(chǎn)品的安全完整性等級SIL或者安全性能等級PL（Performance Level）進行評估、驗證和確認的第三方評價。SIL認證主要涉及電氣/電子/可編程電子安全相關系統(tǒng)的功能安全性、安全設備開發(fā)流程的文檔管理（FSM）評估、硬件可靠性計算和評估、軟件評估、環(huán)境試驗、EMC電磁兼容性測試等內(nèi)容。隨著評估系統(tǒng)的不斷完善，其應用領域也逐漸擴展到機械等多個行業(yè)。

對安全完整性等級 SIL的功能安全評估從兩個方面來進行，即評估為確保滿足功能安全目的所必需的管理活動是否有效；評估安全儀表系統(tǒng)或安全儀表是否達到了要求的SIL等級。

1.3 安全完整性等級SIL認證的主要標準

1.3.1 主要參考標準

（1）IEC 61508：電氣/電子/可編程電子安全相關系統(tǒng)的功能安全性

IEC 61508規(guī)定了常規(guī)系統(tǒng)運行和故障預測能力兩方面的基本安全要求。這些要求涵蓋了一般安全管理系統(tǒng)、具體產(chǎn)品設計和符合安全要求的過程設計，其目標是既避免系統(tǒng)性設計故障，又避免隨機性硬件失效。

IEC 61508標準的主要目標為：對包括軟、硬件在內(nèi)的相關系統(tǒng)安全的所有元、器件，在生命周期范圍內(nèi)提供安全監(jiān)督的系統(tǒng)方法；提供確定相關系統(tǒng)安全功能要求的方法；建立基礎標準，使其可直接應用于所有工業(yè)領域。IEC 61508已經(jīng)被廣泛采用，德國的等效標準為DIN EN 61508。

（2）IEC 61511：工業(yè)領域儀表系統(tǒng)的功能安全要求

IEC 61511是工業(yè)領域儀表系統(tǒng)的功能安全的專門標準，它是國際電工委員會繼IEC 61508功能安全標準之后推出的專業(yè)領域標準，IEC 61511標準解決了儀表應達到怎樣的安全完整性和性能水平的問題。IEC 61511在國內(nèi)的等同標準為GB/T 21109。

（3）ISO 13849.1：機械安全控制系統(tǒng)的安全第1部分：設計用一般原理

ISO 13849.1是機械功能安全領域的全新標準。在系統(tǒng)安全的確定性方面，增加了一些系統(tǒng)故障概率方面的評估參數(shù)，因此可以從零、部件到系統(tǒng)進行全面的安全評估。如增加了系統(tǒng)安全等級PLr（Performance Level，共分a、b、c、d和e五級）、系統(tǒng)平均無危險故障時間 MTTFd（Main Time To dangerous of Failure）、系統(tǒng)診斷檢測范圍DC（Diagnostic Coverage）、共因失效（同一因素引起的幾個機構失效）預防CCF（Common Cause Factor）等參數(shù)。如此，可使安全評估的方法更有效，提升越來越復雜的機械設備控制系統(tǒng)的安全等級，減少意外停機時間，保證連續(xù)生產(chǎn)安全，提升企業(yè)的效率和生產(chǎn)力。

（4）IEC/EN 62061：機械安全電氣、電子和可編程序電子控制系統(tǒng)的功能安全

與EN ISO 13849.1一樣，IEC/EN 62061也是針對電氣控制系統(tǒng)安全的標準，它們的主要區(qū)別是適用于不同的技術領域。IEC/EN 62061僅限于在電氣系統(tǒng)領域，EN ISO 13849-1則適用于傳動、液壓、機械以及電氣系統(tǒng)。使用這兩個標準，可獲得同樣的安全性能與安全完整性等級。

IEC/EN 62061增加了新參數(shù)，如每小時失效概率PFH、系統(tǒng)平均無危險故障時間MTTF、系統(tǒng)診斷檢測范圍DC、安全失效系數(shù)SFF（Safe Failure Factor）等，使認證的方法更直接。

（5）IEC 618005.2：可調(diào)速的電動設備標準.第5.2部分：功能安全要求

IEC 618005.2規(guī)定了集成驅動器的安全功能，其內(nèi)容更具體細致、更有參考價值。如：①停車功能（Stop）：

· 安全斷開的力矩停車，即0類急停（STO- Safe Torque Off）；

· 安全停車1，即1類急停SS1（Safety Stop1）；

· 安全停車2，即2類停車SS2（Safety Stop2）；

· 安全操作停止（Safety Operation Halt）；

· 停車安全，即檢測制動器力矩，保證停車是安全的。

②監(jiān)控功能（主要用于運動控制）：

·加速度安全監(jiān)控；

·行程安全監(jiān)控；

·運動方向安全監(jiān)控；

·速度安全監(jiān)控；

·力矩和力的安全監(jiān)控；

·位置安全監(jiān)控；

·電動機溫度安全監(jiān)控。

IEC 618005.2還針對編碼器、解碼器、交流伺服驅動系統(tǒng)等提出了功能安全要求。

IEC 618005.2的等效國家標準為GB/T 126685.2（對口的標委會是全國電力電子學標準化技術委員會調(diào)速電氣傳動系統(tǒng)半導體電力變流器分技術委員會TC60/SC1）。

應該說，舞臺機械控制系統(tǒng)中SLI3許多有關運動控制的要求，也來自（或參照）該標準。

（6）DIN 56950演藝設備技術機械裝置安全要求和測試

該標準適用于在集會場所、舞臺與制作場所內(nèi)的用于各種活動的機械設備（簡稱舞臺機械）。機械設備包括演藝設備行業(yè)演出設施中的所有技術裝置和操作設備，這些裝置用于提升、下降、懸吊和運送景物；也用于載人；在這些景物靜止或運動時，人可以在這些設備下站立或活動。DIN 56950標準根據(jù)上述標準的主要內(nèi)容、風險分析的方法，對設備進行風險分析并確定安全完整性等級（SIL）。標準附錄中還列舉了幾個舞臺機械風險分析確定安全完整性等級（SIL）的實例。

1.3.2 安全完整性等級（SIL）的確定方法

（1）根據(jù)標準ISO 13849.1關于性能等級PL（Performance Level）進行風險分析，如圖1。圖中：

1：評估安全功能對風險降低作用的起始點；

L：對風險降低作用?。?/p>

H：對風險降低作用大；

PL：要求的性能水平，分為a、b、c、d和e五級。

風險參數(shù)：

S：受傷的嚴重性；

S1：輕微；

S：嚴重；

F：危險的頻率和/或暴露時間；

F1：很少到不經(jīng)常，和/或暴露時間短；

F2：經(jīng)常到持續(xù)性，和/或暴露時間長；

P：避免危險或限制危害程度的可能性；

P1：在特定條件下可能；

P2：幾乎不可能。

標準ISO 13849.1給出了PFHd、PL和SIL的對應關系，見表1。

其中，PFHd：小時失效危險概率（Probability of Failure per hour）。

由表1可知，按標準ISO 13849.1進行的評估，性能等級PLe相當于SIL3。

（2）DIN EN 61508.4風險分析中各參數(shù)與SIL等級的關系。

將選擇的不同參數(shù)輸入到下面的風險圖中，得到不同的輸出，可得到DIN EN 61508.4 （VDE 0803.4）中定義的一個安全完整性等級。

由于該風險分析輸入的參數(shù)多而全，有一定的代表性，故舞臺機械行業(yè)的風險評估多按DIN EN 61508.4提供的方法進行。評估方法見表2。

表中：后果風險參數(shù)（C）

CA：輕微受傷；

CB：一個或更多人員嚴重永久傷殘；一個人員死亡；

CC：幾個人員死亡；

CD：很多人員死亡。

頻率與暴露時間風險參數(shù)（F）：考慮危險區(qū)域的頻率和持續(xù)時間

FA：在危險區(qū)域，從很少到經(jīng)常發(fā)生；

FB：在危險區(qū)域，從頻繁到持續(xù)發(fā)生；

避免危險可能性的參數(shù)（P）：考慮避免危險事件的可能性

PA：某些條件下可能；

PB：幾乎不可能。

意外事件風險概率的參數(shù)（W）：W因素的目的是在不考慮任何相關安全系統(tǒng)（E/E/EP），但考慮其他風險降低的措施下，估計意外事件發(fā)生的頻率

W1：意外事件來臨的可能性非常小，只有很少意外事件有可能發(fā)生；

W2：意外事件來臨的可能性小，少量意外事件有可能發(fā)生；

W3：意外事件來臨的可能性相對較大，可能經(jīng)常發(fā)生意外事件。

-----表示無安全要求；

a表示無特殊安全要求；

b表示單一的E/E/PE安全系統(tǒng)還不夠。

（3）IEC 61508-1 7.6中SIL和PFD、PFH對應關系

IEC 61508-1規(guī)定了目標失效量。在確定安全完整性時，應包括導致非安全狀態(tài)的所有失效因素（硬件隨機失效和系統(tǒng)失效）。安全相關系統(tǒng)使用方式，按要求產(chǎn)生的頻率可分為：低要求模式（以功能平均失效率PFD衡量）和高要求或連續(xù)模式（以每小時危險失效率PFH衡量）。低要求模式和高要求模式 SIL的目標失效量是不同的，見表3。

表中，PFD：實現(xiàn)設計要求功能平均失效率；PFH：每小時危險失效率。

應當著重說明的是，與可靠性的要求相比，安全完整性所涵蓋的因素更加全面，因此，用于安全領域也更加可靠。系統(tǒng)安全完整性等級是一種離散的等級（四種可能等級之一），這是因為系統(tǒng)的安全完整性通常是無法量化的（而可靠性所衡量的平均故障間隔時間、可靠度等，則可以通過概率統(tǒng)計等數(shù)學方法給出量化值），所以，系統(tǒng)安全完整性一般與硬件的安全完整性分開來考慮。

2 DIN 56950附錄D中列出的實例

為了詳細了解舞臺機械設備安全完整性等級SIL確定的思路與步驟，現(xiàn)將標準中的風險評估實例刊錄于后，以便于理解。

例子顯示了按照DIN EN ISO 13849-1和DIN EN 61508（VDE 0803）的風險評估方法評估帶安全功能設備的相關風險并確定其安全完整性等級。

2.1 低速、單卷揚機吊物

（1）設備配置及要求如下：

使用未調(diào)速的三相異步電機，雙制動，以0.15 m/s的速度升降載荷，如圖2：

（2）要求：在電氣系統(tǒng)中發(fā)生故障時不應導致危險狀況。

（3）風險評估

需要避免的意外事件是由于電動機的供電中有一個相位斷電導致載荷跌落（電機無法驅動載荷）?？刂葡到y(tǒng)應能夠確定相位斷電的情況并安全地啟動制動器。

后果（C或S）：意外事件在舞臺面上發(fā)生，當發(fā)生故障時，可能造成一個或多個人員的嚴重傷害，或甚至有可能造成人員死亡，這樣的話該后果風險參數(shù)為：

按DIN EN 61508-5（VDE 0803-5）為C2，按DIN EN ISO 13849-1為S2。

危險的頻率以及在危險區(qū)域中的暴露時間（F）：在舞臺上，人員經(jīng)常暴露在危險區(qū)域中，因此風險參數(shù)為：按DIN EN 61508-5（VDE 0803-5）為F2，按DIN EN ISO 13849-1為F2。

避免危險事件的可能性（P）：危險事件可以通過啟用緊急停車來避免。由于速度較低，可以估計可能性：按DIN EN 61508-5（VDE 0803-5）為P1，按DIN EN ISO 13849-1為P1。

意外事件的概率（W）：由于對這個參數(shù)沒有可靠的經(jīng)驗，只能估計參數(shù)W3。

按DIN EN 61508-5（VDE 0803-5）為W3，而DIN EN ISO 13849-1 沒有對應的等級。

在參數(shù)C2，F(xiàn)2，P1和W3的基礎上，根據(jù)DIN EN 61508-5（VDE 0803-5）中的風險圖顯示的安全功能應選擇SIL2。

在參數(shù)S2，F(xiàn)2和P1，根據(jù)DIN EN ISO 13849-1對于安全功能要求的性能等級應為“PLd”，相當于SIL2。

2.2 高速、多卷揚機同步吊物

（1）設備配置及要求

一組卷揚機懸吊一個景物，以1.2 m/s的速度在演員上空進行自動同步運行，當設備運動超過同步公差時，使用計算機控制來提供保護，見圖3。

（2）要求：計算機控制系統(tǒng)用于完成安全功能，即在卷揚機的同步分組運行中，全行程監(jiān)控是否符合同步公差的要求。一旦達到了規(guī)定的同步公差值，吊機組應停止移動，并且應該清晰顯示是哪個吊機超出了公差。

（3）風險評估：按DIN EN 61508.4風險分析中各參數(shù)與SIL等級進行評估。在這種情況下需要避免的意外事件是：運載同一載荷（比如布景，桁架梁等）吊機的運行超出同步誤差，結果是造成載荷的損壞和墜落。

后果（C）：該意外事件會在舞臺面上發(fā)生，當發(fā)生故障時，可能造成一個或多個人員的嚴重傷害或死亡，這樣，該后果風險參數(shù)為：CB。

危險的頻率以及在危險區(qū)域暴露的時間（F）：在舞臺上，人員經(jīng)常處于危險區(qū)域中，因此風險參數(shù)為：FB。

避免危險事件的可能性（P）：由于很高的速度，幾乎不可能避免危險事件，因此該風險參數(shù)為：PB。

意外事件的概率（W）：由于對這個參數(shù)沒有可靠的經(jīng)驗，參數(shù)W只能估計為：W3。

在參數(shù)CB、FB、PB、W3的基礎上，選擇結果為：SIL3。

3 舞臺機械（含控制）系統(tǒng)具有那些基本條件才能達到SIL3

這方面并無具體資料參考，只能從上述標準的字里行間，以及歐洲著名劇場建設咨詢單位的招標文件內(nèi)尋找。

（1）機械設計

①按相關標準進行機械設計，使其在整個生命周期內(nèi)不因機械本身的設計問題產(chǎn)生故障。如：足夠的強度與剛度；承載鋼絲繩對額定載荷的安全系數(shù)應≥10。鋼絲繩的繩端固定應至少有鋼絲繩最小破斷力的80%；承載的環(huán)鏈條對額定載荷的安全系數(shù)應≥8；升降臺靜止時地板的安全工作載荷：500 kg/m2；升降臺驅動系統(tǒng)的所有零、部件應按額定載荷的兩倍、使用壽命400小時進行計算；或按靜止狀態(tài)下系統(tǒng)載荷的1.5倍進行計算。

②懸吊和升降設備應配有兩套獨立控制的制動器，第二套制動器可以延時動作。應能夠對制動器分別進行檢測與控制。

③在機械裝置下方（如：舞臺升降臺下面），為工作人員提供安全保護空間、安全通道、防護裝置和適當照明。

④有完善的機構或裝置，如防松繩、防跳槽、防擠壓、防剪切的安全保障及防墜落保護裝置，以配合安全開關（或安全回路）的檢測與控制。

⑤配置雙編碼器（增量編碼器和絕對值編碼器），以滿足各種運動參數(shù)的檢測和控制要求。

⑥有可靠的現(xiàn)場執(zhí)行機構和元件，如行程開關、安全開關、編碼器等。

⑦裝設載荷傳感器，以滿足載荷安全檢測與控制的要求。

⑧設備有較好的可接近性和維修性等。

（2）電氣控制：在設計電氣設備時，應根據(jù)相關的安全完整性等級（SIL3）選擇適當?shù)陌踩胧?/p>

①有完善的設備故障保護如：防短路、過流、失壓、錯相、接地、防雷、電動機失速等。

②任何情況下，應防止設備的自動重啟。

③機械設備所有的運動都要通過控制設備啟動和終止。

④有可靠的安全系統(tǒng)和功能，包括：安全儀表系統(tǒng)SIS（Safety Instrument Function）；安全停車系統(tǒng)；安全停止功能；緊急停止功能；過程關閉系統(tǒng)；啟動功能等。

⑤完善的檢測（主要是運動參數(shù)）和控制（參數(shù)及偏差）功能：速度及速度偏差控制；超載和欠載控制；位置限制；同步及同步偏差控制；行程及規(guī)定軌跡線的偏差控制；超行程控制；

⑥故障診斷功能：

⑦維修開關：

⑧聲音及信號顯示等。

（3）完整的使用信息和操作維護手冊。

（未完待續(xù)）

（編輯 薛云霞）