SIL,PL等基础概念简介

从事工业控制器硬件开发也有近2年时间了。最近开始准备开始开发安全控制器，对IEC61508,IEC62061和ISO13849-1进行了了解。下面对一些重要的概念进行分享。

1.IEC61508

IEC61508
Functional safety of electrical/electronic/programmable electronic safety-related systems
电气电子，可编程电子安全相关系统的安全功能.
主要针对采用电气电子可编程电子等技术实现的功能安全系统。

对IEC61508而已，最重要的关注点就是SIL
SIL即Safety Integrity Level(安全完整性等级)
指的是在所声明的时间段内的全部条件下，安全相关系统满意地执行所需安全功能的可能性。

SIL的计算方法：
①在IEC62061中，我们可以通过进行风险评估得出一个产品的SIL。
由CL和SE可得出SIL等级

OM：Other method 建议使用SRECS以外的方法

其中CL=Fr+Pr+Av。
Fr：Frequency and duration of exposure

考虑所有的运行模式(正规运行、保全等)、危险区域的接入必要性、接入性质(材料供应、设定等)
如果暴露持续时间不到10分钟，可以降低一个暴露等级。

Pr：Probability

在不同的操作模式(正规操作、维护、故障探索等)下，是否可以预测与危险源相关的机械部分的运动
对于与危险源相关的机械部分的干预，可规定或预见的人的行为特征对压力、危险征兆的忽视

Av:Probabilities of avoding or limiting harm
突然出现高速或低速危险事件
有无逃离危险源的空间
组件或系统的性质
能够识别危险源的可能性

上述为CL的各个分支内容，通过分数相加，得到最终的CL值。

而SE则是severity，即严重程度。

通过SE和CL的结合可以得出SIL的值。

②可以通过PFH/PFD得到SIL
PFD：Probability of dangerous failure on demand(Probability)

PFH：average Probability of dangerous failure within one hour

二者区分在于demand mode。
PFH适用于high demand mode，而PFD用于low demand mode。一般认为在机械、工业等行业不存在low demand mode。
PFH计算方法与HFT相关，不同的HFT有不同的计算方法，后面有机会单开一章讲解，现在只需要知道有这个概念。

③最标准的SIL求法则是由HFT和SFF综合得出。

SFF：safe failure fraction
计算方法见下图。
λS是安全失效因数。
λDD是危险失效可检测因数。
λDU是危险失效不可检测因数。

HFT：hardware fault tolerance
投票的定义是
为了执行安全功能，现有路径总数(N)中所需的独立路径数(M)

MooN:
M表示投票数。
N表示冗余数。
HFT=N-M
这样的表示可能比较抽象，举个例子。
AND GATE：2oo2
OR GATE：1oo2
这样可能就方便理解了。

到此IEC61508中的SIL就讲述完了。进入ISO13849-1

2.ISO13849-1

ISO 13849-1
Safety of machinery-safety-related parts of control systems part 1: general principles for design.
控制系统机器安全相关部件的安全功能设计总则
应用范围更广泛，不仅电气电子，液压、气动、机械等均可适用。

与IEC61508中的SIL类似，ISO13849-1中也有一个重要的概念PL。
PL即Performance Level（性能等级）。

IEC62061沿用IEC(国际电工委员会)颁布的IEC61508中定义的SIL（Safety Integrity Level）–安全完整性等级的概念；而ISO13849执行ISO(国际标准化组织)颁发的标准,使用PL (Performance Level) -性能等级的概念。二者判定的都是安全相关系统执行安全功能的可靠性。

PL的计算方法：
①与SIL一样，通过PFH计算，这里就不冗述了。只将PL与PFH的对应关系放上

②通过Category,MTTFd,DC,CCF确定PL。

Category指产品类别，分为B，1，2，3，4五类。
B和1结构如下：分为输入，逻辑，输出三部分。
二者区别在于：B的MTTFd为low或medium。1必须为high。

2的结构如下：增加了监控及监控输出部分
相比上一个结构，这里考虑DC和CCF了。此外它的MTTFd不限制，可为low to high任意。

3，4的结构如下：变为了交叉监控
与前几个类别相比，3在发生单个故障时不会导致安全功能的失效。
3可以检测大部分但不是全部问题，且有可能由于未检出问题的累积造成安全功能的失效。
而4则不存在未检出问题，我们认为4可以检出所有问题或未检出问题不影响安全功能。
同时4要求MTTFd只能为high。

DC：Diagnostic Coverage
I、L、O各个部件采用了怎样的安全设计原则，从Annex E的表1中选出符合DC的部分，将其值设为各个DC。
整个系统的DCavg由下式计算

根据计算结果分为None, Low, Medium, High四种

MTTFd：Mean Time To Dangerous Failure
整个系统(一个通道)的MTTFd由下式计算:
是各个MTTFd的倒数之和的倒数。

单个部件的MTTFd
1)使用制造商准备的数据
2)参照ISO13849-1的Annex C表1

在对单个部品计算MTTFd时可能无法直接得到具体数字，而是得到一个B10d
B10d　：10%的部件发生危险侧故障前的运行次数（适用于消耗品）
从B10d求MTTFd时

NOP　：　目标应用程序每年的总运行次数。（単位：cycle/year）

tcycle:每操作周期的平均时间间隔（单位：hour/cycle）
hop：每天运行时间（单位：hour/day）
dop：年工作天数（单位：day/year）

根据计算结果分为Low、Medium、High三类

CCF：Common Cause Failure
CCF通过对Annex F表1相应点进行打分获知。65分以上满足要求。

根据计算结果分为Yes、No两类

通过这四者结合判断PL

可以看到同样实现PLc，可以用很多种方法实现，可以通过调整category，使用MTTFd Low的这种实现更方便的方法。

到此ISO13849-1中的PL就讲述完了。

希望通过对这两个概念（SIL,PL）的讲解使得您对安全控制相关的基本概念有一个初步认识。