安全完整性等級（SIL）雜談（一）

段慧文

【摘 要】 介紹安全完整性等級的相關標準，重點在于舞臺機械控制系統安全相關的內容，同時闡述了舞臺機械專業的國內外差距。

【關鍵詞】 安全完整性等級；舞臺機械；控制系統；標準；差距

文章編號： 10.3969/j.issn.1674-8239.2018.07.008

1 概述

1.1 功能安全、安全完整性和安全相關系統

電子/電氣/可編程（E/E/EP）電子器件、軟件系統在工業控制領域的大量使用，大大提升了自動化程度和生產效率。但由于各種原因（如：研發人員的知識結構、開發制造中風險管理意識的不足、自身安全性能存在缺陷產品的流入等），在相關行業的安全控制系統中，由可靠性造成的人身安全、財產損失和環境危害等問題經常發生，給社會帶來了無法挽回的損失。

世界各國在過程安全和工業裝備安全控制中，對廣泛涉及公眾及職業安全的產品安全性設計非常重視，并且將電子、電氣及可編程電子安全控制系統相關的技術，發展為一套成熟的安全設計技術，即功能安全技術。

筆者對幾個與安全設計技術有關的名詞作簡單說明：

（1）功能安全

功能安全是與電子單元控制EUC（Electronic Unit Control）或與EUC控制系統有關的整體安全的組成部分， 內容包括管理和技術兩方面。在管理上和技術上保證 E/E/PE安全系統、其他技術安全系統和外界風險降低設施來執行安全功能。

無論零部件或者整個系統發生的失效，也不管是隨機失效、系統失效或者是共因失效（同一原因引起的不同故障失效），都不會導致安全系統故障，進而不會對人員或者環境產生危害，那么該系統在功能上就是安全的。無論是在正常工作狀態或者是故障工作狀態，控制系統都必須保證其安全功能。

歐美各國已經頒布了涉及到各個領域的、成套的與功能安全相關的產品規范和設計標準，如：軌道信號控制（EN 5012X）、核電控制（EN 61513）、工業裝備及機器控制（EN 62601， EN ISO 13849-1/2）、過程工業控制（EN 61511）等；IEC 61508系列標準已經成為各個國家、行業廣泛認可的基本功能安全標準；中國也逐漸形成了相應的功能安全國家標準，行業和企業將逐步按照國家強制標準的要求去升級自身產品的安全性。

（2）安全完整性（safety integrity）

安全完整性指在規定的條件下、規定的時間內，安全相關系統成功實現所要求的安全功能的概率。安全相關系統的安全完整性等級越高，安全相關系統不能實現所要求的安全功能的概率就越低；安全完整性著重于安全相關系統執行安全功能的可靠性。

安全完整性包括系統安全完整性與隨機安全完整性。系統完整性是安全完整性里的不可定量部分，并且與系統故障導致的硬件、軟件的失效有關。系統故障通常由系統、子系統和設備在安全功能的生命周期內各種人為錯誤導致，如規范錯誤、設計錯誤、制造錯誤、安裝錯誤、操作錯誤、維護錯誤、修改錯誤等。隨機安全完整性是安全完整性的隨機危險失效部分，包括硬件失效、軟件失效以及電氣干擾引起的失效。有些類型的失效，如隨機硬件失效，在失效模式中，可用失效率來量化；對安全防護系統，可用不能工作的概率來衡量；可以量化的部分均與硬件失效（硬件安全完整性）有關；而硬件失效是硬件可靠性不足導致的。系統安全完整性通過質量管理和安全管理條件獲得。由于不可能通過定量的方法來評估系統安全完整性，功能安全標準中用安全完整性等級SIL對技術措施與管理條件進行分級。

（3）安全相關系統（safety-related system）

該系統需能實現所要求的安全功能、以達到或保持電子控制單元EUC（Electronic Control Unit）的安全狀態；系統自身、或與其他的技術安全相關系統、或外部風險降低設施一起，能夠達到所要求的安全功能所需的安全完整性等級，即與外部風險降低設施一道，能達到必要的風險降低量，滿足所要求的允許風險。

安全相關系統一般分為安全控制系統和安全防護系統，且具有兩種操作模式（低要求操作模式、高要求或連續操作模式），可以是EUC控制系統的組成部分，也可用傳感器和/或執行器與EUC接口，即通過分開的和獨立的附加系統實現EUC控制系統中的安全功能，達到要求的安全完整性等級。

安全相關系統用于防止危險事件發生（即安全相關系統一旦執行其安全功能，則沒有危險事件發生），或用來減輕危險事件的影響并降低風險。

1.2 安全完整性等級SIL（Safety Integrity Level）認證

所有電子/電氣/可編程（E/E/EP）設備，包括一些最精密的設備/系統都可能由各種原因產生故障。安全完整性等級SIL就是用來評定故障及其后果的方法，評估結果是根據故障概率得出的安全完整性等級。安全完整性指在規定條件下和規定時間內，成功實現控制儀表設備所要求的安全功能的平均概率。安全完整性等級記為SIL，共分4個等級，SIL1至SIL4，SIL4為最高等級。對于一般工業的過程控制，常見的SIL等級是SIL2、SIL3，而針對核電、鐵路等特別關注安全的行業，則一般執行最高安全等級SIL4。

安全完整性等級SIL認證是基于IEC 61508、IEC 61511、IEC 61513、IEC 13849-1等一系列功能安全標準，對產品的安全完整性等級SIL或者安全性能等級PL（Performance Level）進行評估、驗證和確認的第三方評價。SIL認證主要涉及電氣/電子/可編程電子安全相關系統的功能安全性、安全設備開發流程的文檔管理（FSM）評估、硬件可靠性計算和評估、軟件評估、環境試驗、EMC電磁兼容性測試等內容。隨著評估系統的不斷完善，其應用領域也逐漸擴展到機械等多個行業。

對安全完整性等級 SIL的功能安全評估從兩個方面來進行，即評估為確保滿足功能安全目的所必需的管理活動是否有效；評估安全儀表系統或安全儀表是否達到了要求的SIL等級。

1.3 安全完整性等級SIL認證的主要標準

1.3.1 主要參考標準

（1）IEC 61508：電氣/電子/可編程電子安全相關系統的功能安全性

IEC 61508規定了常規系統運行和故障預測能力兩方面的基本安全要求。這些要求涵蓋了一般安全管理系統、具體產品設計和符合安全要求的過程設計，其目標是既避免系統性設計故障，又避免隨機性硬件失效。

IEC 61508標準的主要目標為：對包括軟、硬件在內的相關系統安全的所有元、器件，在生命周期范圍內提供安全監督的系統方法；提供確定相關系統安全功能要求的方法；建立基礎標準，使其可直接應用于所有工業領域。IEC 61508已經被廣泛采用，德國的等效標準為DIN EN 61508。

（2）IEC 61511：工業領域儀表系統的功能安全要求

IEC 61511是工業領域儀表系統的功能安全的專門標準，它是國際電工委員會繼IEC 61508功能安全標準之后推出的專業領域標準，IEC 61511標準解決了儀表應達到怎樣的安全完整性和性能水平的問題。IEC 61511在國內的等同標準為GB/T 21109。

（3）ISO 13849.1：機械安全控制系統的安全第1部分：設計用一般原理

ISO 13849.1是機械功能安全領域的全新標準。在系統安全的確定性方面，增加了一些系統故障概率方面的評估參數，因此可以從零、部件到系統進行全面的安全評估。如增加了系統安全等級PLr（Performance Level，共分a、b、c、d和e五級）、系統平均無危險故障時間 MTTFd（Main Time To dangerous of Failure）、系統診斷檢測范圍DC（Diagnostic Coverage）、共因失效（同一因素引起的幾個機構失效）預防CCF（Common Cause Factor）等參數。如此，可使安全評估的方法更有效，提升越來越復雜的機械設備控制系統的安全等級，減少意外停機時間，保證連續生產安全，提升企業的效率和生產力。

（4）IEC/EN 62061：機械安全電氣、電子和可編程序電子控制系統的功能安全

與EN ISO 13849.1一樣，IEC/EN 62061也是針對電氣控制系統安全的標準，它們的主要區別是適用于不同的技術領域。IEC/EN 62061僅限于在電氣系統領域，EN ISO 13849-1則適用于傳動、液壓、機械以及電氣系統。使用這兩個標準，可獲得同樣的安全性能與安全完整性等級。

IEC/EN 62061增加了新參數，如每小時失效概率PFH、系統平均無危險故障時間MTTF、系統診斷檢測范圍DC、安全失效系數SFF（Safe Failure Factor）等，使認證的方法更直接。

（5）IEC 618005.2：可調速的電動設備標準.第5.2部分：功能安全要求

IEC 618005.2規定了集成驅動器的安全功能，其內容更具體細致、更有參考價值。如：①停車功能（Stop）：

· 安全斷開的力矩停車，即0類急停（STO- Safe Torque Off）；

· 安全停車1，即1類急停SS1（Safety Stop1）；

· 安全停車2，即2類停車SS2（Safety Stop2）；

· 安全操作停止（Safety Operation Halt）；

· 停車安全，即檢測制動器力矩，保證停車是安全的。

②監控功能（主要用于運動控制）：

·加速度安全監控；

·行程安全監控；

·運動方向安全監控；

·速度安全監控；

·力矩和力的安全監控；

·位置安全監控；

·電動機溫度安全監控。

IEC 618005.2還針對編碼器、解碼器、交流伺服驅動系統等提出了功能安全要求。

IEC 618005.2的等效國家標準為GB/T 126685.2（對口的標委會是全國電力電子學標準化技術委員會調速電氣傳動系統半導體電力變流器分技術委員會TC60/SC1）。

應該說，舞臺機械控制系統中SLI3許多有關運動控制的要求，也來自（或參照）該標準。

（6）DIN 56950演藝設備技術機械裝置安全要求和測試

該標準適用于在集會場所、舞臺與制作場所內的用于各種活動的機械設備（簡稱舞臺機械）。機械設備包括演藝設備行業演出設施中的所有技術裝置和操作設備，這些裝置用于提升、下降、懸吊和運送景物；也用于載人；在這些景物靜止或運動時，人可以在這些設備下站立或活動。DIN 56950標準根據上述標準的主要內容、風險分析的方法，對設備進行風險分析并確定安全完整性等級（SIL）。標準附錄中還列舉了幾個舞臺機械風險分析確定安全完整性等級（SIL）的實例。

1.3.2 安全完整性等級（SIL）的確定方法

（1）根據標準ISO 13849.1關于性能等級PL（Performance Level）進行風險分析，如圖1。圖中：

1：評估安全功能對風險降低作用的起始點；

L：對風險降低作用小；

H：對風險降低作用大；

PL：要求的性能水平，分為a、b、c、d和e五級。

風險參數：

S：受傷的嚴重性；

S1：輕微；

S：嚴重；

F：危險的頻率和/或暴露時間；

F1：很少到不經常，和/或暴露時間短；

F2：經常到持續性，和/或暴露時間長；

P：避免危險或限制危害程度的可能性；

P1：在特定條件下可能；

P2：幾乎不可能。

標準ISO 13849.1給出了PFHd、PL和SIL的對應關系，見表1。

其中，PFHd：小時失效危險概率（Probability of Failure per hour）。

由表1可知，按標準ISO 13849.1進行的評估，性能等級PLe相當于SIL3。

（2）DIN EN 61508.4風險分析中各參數與SIL等級的關系。

將選擇的不同參數輸入到下面的風險圖中，得到不同的輸出，可得到DIN EN 61508.4 （VDE 0803.4）中定義的一個安全完整性等級。

由于該風險分析輸入的參數多而全，有一定的代表性，故舞臺機械行業的風險評估多按DIN EN 61508.4提供的方法進行。評估方法見表2。

表中：后果風險參數（C）

CA：輕微受傷；

CB：一個或更多人員嚴重永久傷殘；一個人員死亡；

CC：幾個人員死亡；

CD：很多人員死亡。

頻率與暴露時間風險參數（F）：考慮危險區域的頻率和持續時間

FA：在危險區域，從很少到經常發生；

FB：在危險區域，從頻繁到持續發生；

避免危險可能性的參數（P）：考慮避免危險事件的可能性

PA：某些條件下可能；

PB：幾乎不可能。

意外事件風險概率的參數（W）：W因素的目的是在不考慮任何相關安全系統（E/E/EP），但考慮其他風險降低的措施下，估計意外事件發生的頻率

W1：意外事件來臨的可能性非常小，只有很少意外事件有可能發生；

W2：意外事件來臨的可能性小，少量意外事件有可能發生；

W3：意外事件來臨的可能性相對較大，可能經常發生意外事件。

-----表示無安全要求；

a表示無特殊安全要求；

b表示單一的E/E/PE安全系統還不夠。

（3）IEC 61508-1 7.6中SIL和PFD、PFH對應關系

IEC 61508-1規定了目標失效量。在確定安全完整性時，應包括導致非安全狀態的所有失效因素（硬件隨機失效和系統失效）。安全相關系統使用方式，按要求產生的頻率可分為：低要求模式（以功能平均失效率PFD衡量）和高要求或連續模式（以每小時危險失效率PFH衡量）。低要求模式和高要求模式 SIL的目標失效量是不同的，見表3。

表中，PFD：實現設計要求功能平均失效率；PFH：每小時危險失效率。

應當著重說明的是，與可靠性的要求相比，安全完整性所涵蓋的因素更加全面，因此，用于安全領域也更加可靠。系統安全完整性等級是一種離散的等級（四種可能等級之一），這是因為系統的安全完整性通常是無法量化的（而可靠性所衡量的平均故障間隔時間、可靠度等，則可以通過概率統計等數學方法給出量化值），所以，系統安全完整性一般與硬件的安全完整性分開來考慮。

2 DIN 56950附錄D中列出的實例

為了詳細了解舞臺機械設備安全完整性等級SIL確定的思路與步驟，現將標準中的風險評估實例刊錄于后，以便于理解。

例子顯示了按照DIN EN ISO 13849-1和DIN EN 61508（VDE 0803）的風險評估方法評估帶安全功能設備的相關風險并確定其安全完整性等級。

2.1 低速、單卷揚機吊物

（1）設備配置及要求如下：

使用未調速的三相異步電機，雙制動，以0.15 m/s的速度升降載荷，如圖2：

（2）要求：在電氣系統中發生故障時不應導致危險狀況。

（3）風險評估

需要避免的意外事件是由于電動機的供電中有一個相位斷電導致載荷跌落（電機無法驅動載荷）。控制系統應能夠確定相位斷電的情況并安全地啟動制動器。

后果（C或S）：意外事件在舞臺面上發生，當發生故障時，可能造成一個或多個人員的嚴重傷害，或甚至有可能造成人員死亡，這樣的話該后果風險參數為：

按DIN EN 61508-5（VDE 0803-5）為C2，按DIN EN ISO 13849-1為S2。

危險的頻率以及在危險區域中的暴露時間（F）：在舞臺上，人員經常暴露在危險區域中，因此風險參數為：按DIN EN 61508-5（VDE 0803-5）為F2，按DIN EN ISO 13849-1為F2。

避免危險事件的可能性（P）：危險事件可以通過啟用緊急停車來避免。由于速度較低，可以估計可能性：按DIN EN 61508-5（VDE 0803-5）為P1，按DIN EN ISO 13849-1為P1。

意外事件的概率（W）：由于對這個參數沒有可靠的經驗，只能估計參數W3。

按DIN EN 61508-5（VDE 0803-5）為W3，而DIN EN ISO 13849-1 沒有對應的等級。

在參數C2，F2，P1和W3的基礎上，根據DIN EN 61508-5（VDE 0803-5）中的風險圖顯示的安全功能應選擇SIL2。

在參數S2，F2和P1，根據DIN EN ISO 13849-1對于安全功能要求的性能等級應為“PLd”，相當于SIL2。

2.2 高速、多卷揚機同步吊物

（1）設備配置及要求

一組卷揚機懸吊一個景物，以1.2 m/s的速度在演員上空進行自動同步運行，當設備運動超過同步公差時，使用計算機控制來提供保護，見圖3。

（2）要求：計算機控制系統用于完成安全功能，即在卷揚機的同步分組運行中，全行程監控是否符合同步公差的要求。一旦達到了規定的同步公差值，吊機組應停止移動，并且應該清晰顯示是哪個吊機超出了公差。

（3）風險評估：按DIN EN 61508.4風險分析中各參數與SIL等級進行評估。在這種情況下需要避免的意外事件是：運載同一載荷（比如布景，桁架梁等）吊機的運行超出同步誤差，結果是造成載荷的損壞和墜落。

后果（C）：該意外事件會在舞臺面上發生，當發生故障時，可能造成一個或多個人員的嚴重傷害或死亡，這樣，該后果風險參數為：CB。

危險的頻率以及在危險區域暴露的時間（F）：在舞臺上，人員經常處于危險區域中，因此風險參數為：FB。

避免危險事件的可能性（P）：由于很高的速度，幾乎不可能避免危險事件，因此該風險參數為：PB。

意外事件的概率（W）：由于對這個參數沒有可靠的經驗，參數W只能估計為：W3。

在參數CB、FB、PB、W3的基礎上，選擇結果為：SIL3。

3 舞臺機械（含控制）系統具有那些基本條件才能達到SIL3

這方面并無具體資料參考，只能從上述標準的字里行間，以及歐洲著名劇場建設咨詢單位的招標文件內尋找。

（1）機械設計

①按相關標準進行機械設計，使其在整個生命周期內不因機械本身的設計問題產生故障。如：足夠的強度與剛度；承載鋼絲繩對額定載荷的安全系數應≥10。鋼絲繩的繩端固定應至少有鋼絲繩最小破斷力的80%；承載的環鏈條對額定載荷的安全系數應≥8；升降臺靜止時地板的安全工作載荷：500 kg/m2；升降臺驅動系統的所有零、部件應按額定載荷的兩倍、使用壽命400小時進行計算；或按靜止狀態下系統載荷的1.5倍進行計算。

②懸吊和升降設備應配有兩套獨立控制的制動器，第二套制動器可以延時動作。應能夠對制動器分別進行檢測與控制。

③在機械裝置下方（如：舞臺升降臺下面），為工作人員提供安全保護空間、安全通道、防護裝置和適當照明。

④有完善的機構或裝置，如防松繩、防跳槽、防擠壓、防剪切的安全保障及防墜落保護裝置，以配合安全開關（或安全回路）的檢測與控制。

⑤配置雙編碼器（增量編碼器和絕對值編碼器），以滿足各種運動參數的檢測和控制要求。

⑥有可靠的現場執行機構和元件，如行程開關、安全開關、編碼器等。

⑦裝設載荷傳感器，以滿足載荷安全檢測與控制的要求。

⑧設備有較好的可接近性和維修性等。

（2）電氣控制：在設計電氣設備時，應根據相關的安全完整性等級（SIL3）選擇適當的安全措施。

①有完善的設備故障保護如：防短路、過流、失壓、錯相、接地、防雷、電動機失速等。

②任何情況下，應防止設備的自動重啟。

③機械設備所有的運動都要通過控制設備啟動和終止。

④有可靠的安全系統和功能，包括：安全儀表系統SIS（Safety Instrument Function）；安全停車系統；安全停止功能；緊急停止功能；過程關閉系統；啟動功能等。

⑤完善的檢測（主要是運動參數）和控制（參數及偏差）功能：速度及速度偏差控制；超載和欠載控制；位置限制；同步及同步偏差控制；行程及規定軌跡線的偏差控制；超行程控制；

⑥故障診斷功能：

⑦維修開關：

⑧聲音及信號顯示等。

（3）完整的使用信息和操作維護手冊。

（未完待續）

（編輯 薛云霞）