top of page
Skribentens bildWinnie Lu | Consultant
4 nov.5 min läsning

Vad är SIL (Safety Integrity Level)?

I denna artikel:

SIL - Safety Integrity Level

Säkerhetsintegritetsnivå (SIL, engelska: Safety Integrity Level) används för att definiera integriteten av en säkerhetsfunktion (SIF, engelska: Safety Instrumented Function). Ju högre SIL-klassning, desto högre är säkerhetsfunktionens integritet, och vice versa. SIL är ett av de grundläggande koncepten inom funktionssäkerhet.


Definition av säkerhetsintegritetsnivå (SIL)
Definition av säkerhetsintegritetsnivå (SIL)

SIL-klassning kan endast utföras för säkerhetsfunktioner som innefattar el-/elektronik-/programmerbara elektroniska (E/E/PE) komponenter. SIL är inte en term som kan tillämpas på säkerhetsfunktioner som endast använder rent mekaniska komponenter, som till exempel tryckavlastningsanordningar.


Ramverket för funktionssäkerhet och begreppet SIL (eller motsvarande) introducerades i industrin under slutet av 1990-talet, nu är det brett tillämpat i olika sektorer som processindustrin, järnvägar, maskinsektorn m.m.


Funktionssäkerhet definierar krav för design, prestanda och underhåll för E/E/PE-säkerhetsfunktioner samt ramverket för att hantera funktionens livscykel. Dessa krav är kopplade till tillförlitligheten hos komponenters hårdvara, behovet av redundans och att undvika systematiska fel under alla faser av livscykeln (design, installation, drift och underhåll, avställning, etc.).



Standarder för funktionssäkerhet 

Funktionssäkerhet började formellt utvecklas som en disciplin under 1980- och 1990-talen och formaliserades slutligen 1998 när den första internationella standarden för funktionssäkerhet publicerades av International Electrotechnical Commission (IEC); detta var IEC 61508 - Funktionssäkerhet för elektriska/elektroniska/programmerbara elektroniska säkerhetsrelaterade system (E/E/PE, eller E/E/PES), som introducerade nyckelkoncept som säkerhetslivscykel, systematisk säkerhetsintegritet och SIL-klassning.


IEC 61508 är en grundläggande standard som är gällande inom alla industrier. Flera andra standarder har publicerats under IEC 61508 som riktlinjer för tillämpning av funktionssäkerhet inom specifika sektorer, några av dessa är:

  • IEC 61511: Funktionssäkerhet – Säkerhetskritiska system för processindustrin.

  • IEC 62061: Maskinsäkerhet – Funktionssäkerhet hos elektriska, elektroniska och programmerbara elektroniska säkerhetskritiska styrsystem.

  • IEC 61513: Kärnteknisk mätutrustning – Kontrollutrustning med säkerhetsfunktion – Allmänna systemfordringar.

  • ISO 26262: Vägfordon – Funktionssäkerhet i el- och elektroniksystem.


För processindustrin är både IEC 61508 och IEC 61511 relevanta, beroende på vilken fas av säkerhetslivscykeln som behandlas och organisationens roll  (tillverkare, operatör, monterare, etc.).



Säkerhetsfunktion (SIF)

Inom processindustrin är en SIF en funktion i säkerhetssystemet (SIS, engelska: Safety Instrumented System). SIS är ett system som används för att implementera en eller flera olika SIFs. En SIF består vanligtvis av en eller flera givare, logikprocessor och slutkomponent(er) (engelska: Final Elements), även om detta inte alltid är fallet.


Syftet med en SIF är att förhindra att de värsta konsekvenserna av en farlig händelse uppstår och, tillsammans med andra riskreducerande åtgärder, säkerställa att risken kopplad till ett specifikt scenario ligger inom den acceptabla risknivån (eller så nära den som möjligt).


En processanläggning har normalt sett flera säkerhetsfunktioner. En grundläggande del av funktionssäkerhetsramverket är att utvärdera om dessa säkerhetsfunktioner kräver en specifik SIL-klassning för att säkerställa acceptabel risk. Om det bedöms att en funktion inom processindustrin ska vara SIL-klassad, ska funktionen utformas enligt IEC 61508 eller IEC 61511.



SIF-arkitektur 

SIF är vanligtvis uppbyggd av en kombination av följande komponenter:


  • Givare/sensor: En anordning som kontinuerligt mäter en processvariabel och vidarebefordrar informationen till logikprocessorn. Vanliga sensorer inom processindustrin är tryck-, temperatur- eller flödesmätare.

  • Logikprocessor: En programmerad processor som behandlar informationen från indataanordningen. Om informationen från indataenheten visar att ett visst gränsvärde har uppnåtts skickas en signal från processorn för att aktivera slutkomponenten.

  • Slutkomponent: Slutkomponent ansvarar för att utföra de nödvändiga åtgärderna för att få den övervakade maskinen / processen / systemet i ett säkert läge. I processindustrin består slutkomponenter vanligtvis av ventiler, ställdon, reläer, brytare och andra mekanismer som fysiskt interagerar med processen.


Typisk säkerhetsfunktion (SIF)
Typisk säkerhetsfunktion (SIF)

SIL är endast en egenskap för en komplett SIF och gäller inte för dess individuella komponenter. En SIF-komponent kan däremot vara kapabel för SIL n, dvs. den kan potentiellt användas i en SIF klassad för SIL n eller lägre.



Säkerhetssystem (SIS)

Beroende på verksamheten kan SIS omfatta några få SIFs till hundratals om det är en komplex processanläggning. Det är viktigt att notera att en komplex processanläggning kan ha flera SIS som implementerar olika SIFs.


Illustration av ett säkerhetssystem (SIS)
Illustration av ett säkerhetssystem (SIS)

SIS fungerar oberoende från det ordinarie styrsystemet och fokuserar på att säkerställa säkerhet för de potentiella scenarier som kräver en säkerhetsfunktion med hög SIL-klassning.



SIL-klassning 

En SIF tilldelas ett SIL-krav baserat på riskbedömning eller, i vissa specifika fall, en föreskriven metod. Riskbedömning utförs normalt med LOPA (engelska: Layers of Protection Analysis), riskgraf eller felträdsanalys. Under analysen utvärderas vilket SIL-krav som krävs för att den specifika SIF:en ska kunna uppfylla riskacceptanskriterierna.


Under designfasen, innan SIL-klassningen, är det viktigt att utvärdera om en inneboende säkrare alternativ är möjligt, vilket i korthet innebär att undvika, eliminera eller reducera risken för ett oönskat scenario, snarare än att försöka kontrollera / hantera den.


Ett högt SIL-krav kan innebära betydande utmaningar under design- och verifieringsprocessen samt ökade underhålls- och testkrav under anläggningens drift. Det innebär också att det finns en hög risk förknippad med ett specifikt scenario, vilket kräver en mycket hög integritet eller riskreduktionsfaktor för att uppnå acceptanskriteriet.



Hur tolkar man olika SIL-klassningar och vad motsvarar de?

SIL 1 representerar den lägsta nivån av riskreduktion. SIF med SIL 1-krav används vanligtvis i processer eller applikationer där konsekvenserna av en oönskad händelse inte är allvarliga, eller där det finns andra riskreducerande åtgärder med hög tillförlitlighet (t.ex. mekaniska avlastningsanordningar). SIF med SIL 1-krav kräver mindre rigorös testning och behöver mindre redundans jämfört med högre SIL-krav. SIL 1-klassat SIF har en PFD (engelska: Probability of Failure on Demand) på 0.1-0.01 (10% - 1% sannolikhet för att säkerhetsfunktionen misslyckas på begäran).


SIL 2 indikerar en måttlig nivå av riskreduktion. SIL 2 kan kräva högre redundanskrav för att säkerställa högre tolerans mot maskinvarufel och mer rigorös testning måste utföras i jämförelse med system med SIL 1-krav. SIL 2-klassat SIF har en PFD på 0.01-0.001 (1% - 0.1% sannolikhet för att säkerhetsfunktionen misslyckas på begäran).


SIL 3 innebär en betydande nivå av riskreduktion. En SIF designad för SIL 3-kapacitet har ännu striktare krav, inklusive högre redundanskrav, mer rigorös testning och högre krav mot feltolerans. Dessa system är avsedda för användning i processer eller applikationer där ett fel kan leda till katastrofala konsekvenser och där andra riskreducerande åtgärder saknas, eller anses ha låg tillförlitlighet. En SIF med SIL 3 är väldigt ovanlig inom processindustrin. SIL 3-klassat SIF har en PFD på 0.001-0.0001 (0.1% - 0.01% sannolikhet för att säkerhetsfunktionen misslyckas på begäran).


SIL 4 system är mycket sällsynta och används vanligtvis endast för de mest kritiska och farliga industriella processerna. Branscher som kärnkraft och vissa delar av flyg- och försvarsindustrin kan använda SIL 4-system. Kraven för att uppnå SIL 4 är dock så strikta att de praktiskt taget är ouppnåeliga inom vanlig processindustri. Om ett SIL 4-krav identifieras för en vanlig processverksamhet beror det ofta på ett designproblem eller en felbedömning av SIL-klassningen. SIL 4-klassat SIF har en PFD på 0.0001-0.00001 (0.01% - 0.001% sannolikhet för att säkerhetsfunktionen misslyckas på begäran).



Slutsats

Sammanfattningsvis är SIL ett mått på tillförlitligheten hos en säkerhetsfunktion (SIF). Denna tillförlitlighet mäts i termer av hårdvarans tillförlitlighet hos SIF-komponenterna och deras redundans, men också i förmågan att undvika systematiska fel som kan uppstå på grund av brister i b.la. organisationsledningen, mjukvaruprogrammering eller tillverkning.


SIL är ett begrepp som är förankrat i det ramverk som definieras av funktionssäkerhet, där IEC 61508 är den grundläggande standarden som tillämpas för alla industrier, och IEC 61511 särskilt för processindustrin.


Funktionssäkerhet och SIL-klassning är väsentliga delar, men samtidigt inte enda sättet, i arbetet med att uppnå en hög säkerhet, och de bör alltid användas som ett av flera verktyg för att uppnå en övergripande säkerhetsstrategi.

Image by Thought Catalog

SUBSCRIBE TO RECEIVE OUR NEWS & INSIGHTS

Thanks for submitting!

© 2022 ORS Consulting. All Rights Reserved.

Privacy Policy

bottom of page