作者:Tom.meany,ADI功能安全工程师
根据IEC 61508,安全完整性等级是一种“离散等级(四个可能等级中的一个),对应于一系列安全完整性值,其中......”。实际上,这个定义作为导言并不是很有用,因此我进行了缩减。
安全完整性等级的缩写是SIL。SIL是一种量化预期或要求的安全水平的方式。共有4个等级,相邻等级大致相差一个数量级;对于许多过程控制应用,SIL 1安全功能将使风险降低10倍,SIL 2降低100倍,SIL 3降低1000倍,SIL 4降低10000倍。
下面显示的危害分析用于确定需要什么安全功能,然后通过风险评估确定所需的SIL。风险评估通常考虑诸如可能受伤的人数、受伤的严重程度以及某人暴露于此风险的频率之类的事项。
应当记住,一台设备可能通过了SIL认证,适合用于具有给定SIL的安全功能,但SIL是与安全功能相关联,而不是与设备相关联。实际上,单个系统可以具有许多安全功能,每个安全功能可以有不同的SIL。
设计安全功能时,较高的SIL要求采取更多措施来防止引入错误。这可能包括更好的需求管理、更多的设计评审、使用编码标准,甚至是限制使用某些语言特性(如指针或中断)。
其他安全标准有不同形式的SIL:
* 汽车有ASIL,其代表汽车安全完整性等级,按照安全性的高低分为A、B、C、D四级
* 机械安全标准ISO 13849有a、b、c、d、e五个性能等级。
* 航空电子有设计保证等级E、D、C、B和A,其中A最安全,E的安全性最低。
* 对我来说,4个SIL等级也说明您可以给安全标价。否则就只有一个SIL等级,即SIL 4。但是,如果一切都必须按照SIL 4来开发,产品将非常昂贵,以至于没有人能买得起或用得起,这并不会增加整体安全性。
过去,安全标准最多有7级。如今,有些人倡导将SIL 1和SIL 2,SIL 3和SIL 4结合在一起,只留下两个安全等级。目前,这些人还是少数,对于大多数专家来说,四个安全等级似乎刚刚好,尤其是对于IEC 61508之类的基本安全标准。
每日视频:https://www.youtube.com/watch?v=75XXvV0oJfg(另一个与所讨论主题有所关联的链接,但如果没有其他东西强调人们所冒的风险,那么可想而知功能安全会被滥用。)