Guide till Safety Integrity Level (SIL)
Safety Integrity Level (SIL) är ett mått som används för att avgöra hur tillförlitlig en säkerhetsfunktion måste vara för att minska en identifierad risk till en acceptabel nivå. Metoden används ofta i processindustrin, men principerna är även centrala inom maskinsäkerhet.
I denna guide går vi igenom vad SIL innebär, hur begreppet hänger ihop med SIF (Safety Instrumented Function), PFD (Probability of Failure on Demand), PFH (Probability of Dangerous Failure per Hour), riskreducering, samt hur arbetet praktiskt kan struktureras och dokumenteras i ett riskbedömningsverktyg som Cedoc.
Varför är SIL viktigt?
Att förstå och arbeta strukturerat med SIL är avgörande när konsekvenserna av ett fel är stora. Rätt nivå av säkerhetsfunktion kan vara skillnaden mellan en kontrollerad process och en allvarlig incident.
Vad är Safety Integrity Level (SIL)?
SIL är en klassificering som beskriver hur tillförlitlig en säkerhetsfunktion måste vara för att uppnå tillräcklig riskreduktion.
Begreppet kommer från standarderna EN 61508 och EN 61511, där fyra nivåer definieras:
| SIL-nivå | Riskreduktion (RRF) | Typisk PFD |
| SIL1 | 10 – 100 | 0.1 – 0.01 |
| SIL2 | 100 – 1000 | 0.01 – 0.001 |
| SIL3 | 1000 – 10000 | 0.001 – 0.0001 |
| SIL4 | 10000 – 100000 | 0.0001 – 0.00001 |
En högre integrity level innebär att säkerhetsfunktionen måste vara mer tillförlitlig. Valet av SIL blir därmed en central del i att dimensionera rätt säkerhetsnivå i ett system.
SIL och kopplingen till maskinsäkerhet
Även om SIL främst används inom processindustrin är måttet som används inom maskinsäkerhet oftast Performance Level (PLr) enligt ISO 13849-1. SIL används där främst när EN 62061 tillämpas.
I praktiken innebär det att arbetet med riskreduktion, säkerhetsfunktioner och verifiering följer liknande principer – oavsett om man utgår från SIL eller PLr.
Functional safety och standarderna bakom SIL
Functional Safety omfattar metoder och krav för att säkerhetsfunktioner ska fungera korrekt när de behövs. Safety Integrity beskriver den tillförlitlighet som krävs för dessa säkerhetsfunktioner.
Grundstandarden är EN 61508, som är en standard för funktionella säkerhetssystem. Den kompletteras av EN 61511, som riktar sig mot processindustrin.
Standarderna definierar:
- hur en säkerhetsfunktion ska analyseras
- hur ett säkerhetssystem ska konstrueras
- hur man verifierar dess Safety Integrity
Båda standarderna beskriver också hur en SIF ska specificeras, analyseras och valideras.
I praktiken används SIL för att definiera hur robust ett säkerhetssystem måste vara för att uppnå tillräcklig nivå av Safety Integrity.
Arbetet följer även en säkerhetslivscykel (Safety Lifecycle), där säkerhetsfunktioner hanteras från riskanalys och kravspecifikation till konstruktion, verifiering, driftsättning, drift, underhåll, ändringar och slutlig avveckling. Syftet är att säkerställa att säkerhetsfunktionerna fortsätter att uppfylla sina SIL-krav under hela systemets livstid.
Vad är en Safety Instrumented Function (SIF)?
SIF är en specifik säkerhetsfunktion som automatiskt försätter en process i ett säkert tillstånd när en farlig situation uppstår.
SIF består normalt av tre huvuddelar:
- Sensor – upptäcker ett farligt tillstånd
- Logic solver – fattar beslut i systemet
- Final element – exempelvis en ventil eller brytare
Tillsammans bildar dessa komponenter ett ”Safety Instrumented”-skydd.
Varje SIF tilldelas ett SIL-krav (Target SIL) baserat på hur stor riskreduktion funktionen måste uppnå.
I ett system kan det finnas många olika SIF, där varje SIF har olika krav på Safety Integrity-nivå beroende på processens risknivå.
Hur bestäms vilken SIL en SIF behöver?
Tilldelningen av SIL görs genom strukturerad analys av risker i processen. I praktiken innebär det att risker identifieras, struktureras och dokumenteras, ofta i ett verktyg där analys, åtgärder och krav kan följas upp över tid.
Vanliga metoder är:
- HAZOP
- PHA
- LOPA
- riskmatriser
LOPA är en av de vanligaste metoderna för att fastställa SIL enligt EN 61511. Processen innebär att man analyserar processens tolerans för fel, existerande ”layers of protection” samt konsekvens vid incident.
Resultatet avgör vilken SIF som krävs och vilken nivå av riskreduktion den måste leverera.
PFD och riskreducering
När en SIF är definierad behöver man beräkna dess tillförlitlighet. PFD används för att beskriva tillförlitligheten hos säkerhetsfunktioner med låg efterfrågefrekvens. För funktioner som verkar kontinuerligt eller med hög efterfrågefrekvens används istället PFH (Probability of Dangerous Failure per Hour).
PFD beskriver sannolikheten att en SIF inte fungerar när den behövs, exempelvis:
Om en SIF har PFD = 0.01 innebär det att den i genomsnitt misslyckas 1 gång på 100 aktiveringar.
Riskreduktionen kan beräknas som: RRF = 1 / PFD, alltså RRF = 1 / 0.01 = 100. Det motsvarar SIL2 enligt IEC 61508.
Vid beräkning summerar man bidrag från alla komponenter i en SIF:
- sensor
- logiksystem
- slutsteg
I en enkel SIF kan den totala PFD ofta beräknas som summan av sensor-, logic solver- och final element-komponenternas PFD. I mer komplexa system påverkas beräkningen även av exempelvis redundans, diagnostik och testintervall.
Hardware och Systematic Safety Integrity
En viktig del av Safety Integrity är skillnaden mellan hardware integrity och systematic integrity.
I EN 61508 definieras krav för båda.
Hardware integrity handlar om sannolikheten för felaktigheter i hårdvaran. Här analyserar man:
- redundans
- diagnostik
- arkitekturbegränsningar
Systematic integrity handlar istället om fel i utvecklingsprocess, kravhantering och design.
Standarderna kräver spårbarhet i hela utvecklingsprocessen. Det innebär att varje SIF måste dokumenteras och verifieras mot sina krav.
När behövs SIL?
En SIF och ett specifikt SIL behövs när andra skydd inte räcker. Det kan exempelvis vara att processens tolerans är låg, konsekvenserna är för allvarliga eller att de mekaniska skydden är otillräckliga.
Innan en SIF definieras analyserar man också andra skydd som:
- mekaniska barriärer
- operatörsingripande
- processkontroll
Om dessa inte reducerar risk tillräckligt kan en SIF-relaterad lösning behövas.
Certifiering och standarder för säkerhetssystem
Komponenter för säkerhetssystem certifieras ofta enligt EN 61508. Hela säkerhetssystem verifieras däremot mot kraven i den aktuella applikationen och certifieras inte alltid.
Några viktiga standarder är:
- EN 61508 – generell funktionell säkerhet
- EN 61511 – processindustri
- EN IEC 62061:2021 – maskinsäkerhet
Safety Lifecycle i praktiken
Med ett strukturerat verktyg blir dessa steg både spårbara och enklare att upprepa i flera projekt.
Följande aktiviteter utgör en del av säkerhetslivscykeln enligt EN 61508 och EN 61511. Den exakta processen varierar mellan olika projekt, men omfattar vanligtvis följande steg:
- Genomför HAZOP
- Genomför PHA
- Bestäm SIF med LOPA
- Ta fram SRS (Safety Requirement Specification)
- Beräkna och verifiera PFD för varje SIF
- Kontrollera arkitekturkrav enligt IEC
- Validera säkerhetsfunktionen
- Planera test och underhåll
Denna metod hjälper dig att säkerställa att SIL uppnås i praktiken.
SIL i olika industrier
Kraven på SIL varierar mellan olika industrier. Inom kemisk industri och i kemiska processer används SIF ofta för att förhindra övertryck och för att stoppa reaktioner. Här är SIL2 en vanligt förekommande SIL-nivå.
SIL4 är mycket ovanligt inom processindustrin och används främst inom vissa sektorer, exempelvis kärnkraft, järnväg eller flyg, där extremt höga säkerhetskrav gäller.
SIL och riskbedömning i Cedoc
När man arbetar med maskinsäkerhet börjar allt med en strukturerad riskbedömning, där risker identifieras, bedöms och kopplas till säkerhetsåtgärder.
I Cedoc identifierar användaren först risker i maskinen och dokumenterar dem i riskbedömningssteget, följt av en riskuppskattning baserad på:
- allvarlighet
- sannolikhet
Därefter genererar programmet ett risktal.
Om en säkerhetsfunktion behöver uppfylla ett SIL-krav kan detta dokumenteras och följas upp i samma riskhanteringsprocess. I Cedoc sker detta inom samma arbetsflöde som riskbedömningen. Det innebär att du kan:
- Identifiera, analysera och dokumentera risker
- Koppla risker till säkerhetsfunktioner (SIF)
- Dokumentera och verifiera PFD
- Ta fram PLr enligt maskindirektivet eller maskinförordningen
Det gör att arbetet med SIL, funktionell säkerhet och maskinsäkerhet kan hanteras i ett sammanhängande arbetsflöde i samma verktyg.
Sammanfattning
SIL är en metod för att säkerställa att automatiska säkerhetsfunktioner fungerar när de behövs. Genom att analysera SIF, beräkna och verifiera säkerhetsfunktionernas tillförlitlighet samt följa säkerhetslivscykeln kan du säkerställa rätt nivå av Safety Integrity.
I praktiken börjar arbetet alltid med en strukturerad riskbedömning – något som kan hanteras effektivt i Cedoc, där både riskidentifiering, dokumentation och beräkning av säkerhetskrav kan göras i ett sammanhängande arbetsflöde, från riskidentifiering till verifierad säkerhetsfunktion.