SIL相关概念及其相互关系.docVIP

SIL相关概念及其相互关系 　　[摘 要]介绍了轨道行业安全完整度等级（SIL）相关概念及其相互之间的关系 [关键词]SIL、THR、SIL认证、FTA 中图分类号：U229 文献标识码：A 文章编号：1009-914X（2017）16-0256-01 1 概述 随着国内大量高铁、地铁项目的规划建设，越来越多的国外通信企业参与到国内的项目中来，欧洲的一些与铁路相关的标准陆续引入国内，其中大家最为熟悉的就是EN5012X系列的标准。这几个标准中，EN50126适用于大范围的系统问题，而EN50129适用于整个铁路控制和防护系统中某单个系统的批准过程，EN50128则关注于需要使用的方法，以使软件能满足经全面考虑后所分配到的安全完整度要求，这几个标准的引入，带来了一个新的概念――SIL，即Safety Integrity Level 的缩写。越来越多的铁路信号安全设备制造企业准备通过安全认证的方式，来提高自己产品的竞争力，提升企业形象，规范开发过程。于是，“通过S I L 4认证”在铁路信号行业内成为一个热门话题。本文围绕SIL展开，阐述了SIL及其相关的概念及各概念之间的关系 2 SIL相关概念 2.1 SIL与THR概念 关于SIL（Safety Integrity Level，即安全完整性等级），EN50129对此有较为完整的定义：在所有规定的条件和规定的运行环境下以及规定的时间内，安全相关系统完成指定的安全功能的能力。安全完整性等级越高，它在执行所需的安全功能时，失效的可能性越小。但是，并不存在“安全完整性等级高的功能优于另一个较低等级的功能”，SIL对应的是具体的功能，不同的功能的SIL等级没有直接的可比性。而起，SIL等级高的功能往往应用于要求较高的场所，其失效意味着更高的风险 SIL有四个等级，对应的引申出另一个概念，THR，后者是Tolerable Hazard Rate 的缩写，即可容忍的危害发生概率。该值一般由轨道交通的主管部门确定，THR与SIL的关系如下表所示： 2.2 SIL认证过程 SIL功能认证一般是请第三方专业认证公司对产品的某一功能进行评估认证，确认并证明该功能是否符合某一SIL等级。根据功能的复杂程度、等级的高低、准备的充分性，认证的周期和费用相差甚远。通常来说，SIL认证活动包括三大阶段：概念阶段，详细阶段，最终的认证测?阶段： *概念阶段 即在认证活动初期，认证公司会对待认证的功能载体，也就是产品进行初步审核，确认其概念是否符合轨道行业相关标准。需要明确的是，安全完整性等级SIL仅仅是轨道行业一个关于安全功能的概念，脱离具体的领域和具体的安全功能谈SIL等级没有任何意义，轨道行业可能会有某设备属于SILX级别的说法，其实这种说法是有失严谨的。认证公司待初步确认后，会对安全功能初步进行定性、定量评估； *详细阶段 在该阶段，认证公司会审查产品所有与认证的安全功能相关的功能。对于不同的认证公司，评估的内容和严苛程度也不尽相同，多少会各有侧重。但一般来说，该阶段将会对具体的方案、电路、软件等进行评估，确定待认证的方案是否有足够的措施来检测和控制失效。常见的活动包括，产品故障模式的详细分析，硬件详细设计评估，软件的开发过程及具体技术评估等 *最终的认证测试阶段 对于第三阶段，根据认证公司的认证习惯，有的会把测试活动并入第二阶段进行，第三阶段仅对之前的各种报告和测试结果进行最终审核。测试活动是为了测试该方案已经有足够的措施来保障软、硬件的失效能够得到有效的监控与控制，确保须认证的安全功能能够有效实现。当然，无论测试活动放在哪一阶段，保障测试过程的有效执行其实更为重要 2.3 SIL分配与FTA定量分析 在SIL认证活动各环节，绕不开一个概念，即SIL分配。根据EN50129，SIL等级并不存在等级组合概念，SIL等级仅存在于安全功能层面，当涉及到具体的物理、应用层面时，SIL级别不会发生变化。而根据IEC61508，在一定条件下，一个SIL（N）级别的安全功能，通过组合方式最多可以形成一个SIL（ N+1）级别的功能，但是这种组合操作最多只能执行一次，且组合的两部分必须具备充分的独立性。而所谓的充分独立性，一般是通过共因故障分析来验证，验证两个单元之间、或者单元与环境之间，共因事件发生的概率是否低于即将执行SIL认证的安全功能 SIL分配不同于FTA分析，但是在完成SIL分配后，可以通过FTA工具来进行失效率定量计算。不过在具体操作时，需要对FTA模型进行定性分析，判断FTA的合理性，这一步会重点关注FTA结构中的共因事件是否考虑充分；此外还会对FTA的计算方法进行检查，确定采用合理的计算方法；最后会对