功能安全技术讲座第05讲安全相关系统SIL设计的要求_续
“ 功能安全产品实现技术“系列讲座 第1讲 安全相关产品的实现
PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013修改稿收到日期:2013-05-14㊂第一作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第1讲 安全相关产品的实现Chapter Ⅰ Implementation of the Safety Related Products谢亚莲1,2 尹宝娟3(上海工业自动化仪表研究院1,上海 200233;上海仪器仪表自控检验测试所功能安全中心2,上海 200233;环境保护部核与辐射安全中心3,北京 100082)摘 要:根据功能安全的理论,对安全相关产品的实现过程进行了梳理㊂具体给出了实现安全相关产品的脉络,即如何将一个产品设计成满足安全完整性等级要求的安全相关产品㊂设计过程从结构上说,主要包括硬件实现和软件实现;从安全完整性来说,主要包括硬件安全完整性的实现和系统安全完整性的实现㊂关键词:安全相关产品 功能安全 安全完整性等级 随机硬件失效 系统失效中图分类号:TP202 文献标志码:AAbstract :The implementing process of the safety related products is analyzed and summarized in accordance with the theory of functional safety.The main route of the implementation of safety related products is given specifically ,i.e.,how to design a safety related product which meets the safety integrity level (SIL )requirements.From the structural viewpoint ,it mainly includes hardware implementation and software implementation ;while in respect of the safety integrity ,it includes the implementation of hardware safety integrity and the implementation of system safety integrity.Keywords :Safety related product Functional safety Safety integrity level (SIL ) Random hardware failure System failure0 引言功能安全于20世纪80年代末起源于欧洲,其目的是为了控制㊁避免和减轻风险的发生,保证人员㊁财产和环境的安全㊂功能安全技术以可靠性技术为基础,综合了软硬件设计技术㊁试验技术㊁管理科学等,并将这一理念注入到软硬件设计中㊂1995年,欧洲率先推出了功能安全在机械领域的标准EN954;1998年,国际电工委员会(IEC)首次推出了功能安全的基础标准IEC 61508电气/电子/可编程电子安全系统的功能安全的第1部分,2000年,又相继推出了IEC 61508的第2部分和第7部分㊂在中国,2006年IEC 61508的等同标准GB /T 20438电气/电子/可编程电子安全相关系统的功能安全正式面世,标志着功能安全的理念已正式进入中国㊂目前,在石油化工㊁电力㊁机械等各领域,对可构成安全相关系统的安全相关产品有广泛的需求,而如何实现安全相关产品正是本文所要呈现的内容㊂1 安全相关产品的构成暂且定义可构成安全相关系统的㊁满足功能安全设计实现要求的㊁具有安全相关参数的产品是安全相关产品㊂安全相关系统通常由前端传感器单元㊁中间输入单元㊁逻辑单元与输出单元㊁终端执行单元构成,如广泛用于过程工业的压力变送器㊁温度变送器㊁气体探测器㊁液位变送器㊁可编程控制器㊁分布控制系统(distributed control system,DCS)㊁电磁阀㊁执行机构㊁截止阀㊁关断阀等都可成为安全相关产品㊂安全相关产品通常由硬件和软件构成,其示意如图1所示,结构如表1所示㊂图1 安全相关产品构成图Fig.1 The composition of safety related products29安全相关产品的实现 谢亚莲,等‘自动化仪表“第34卷第6期 2013年6月图1中:PE 为可编程电子装置;NP 为非可编程装置;H /W 为硬件;S /W 为软件㊂表1 可编程电子安全相关产品结构Tab.1 Structure of the programmable electronicsafety related productsPE 硬件结构PE 软件结构 PE 嵌入式软件PE 应用软件相关硬件,如CPU㊁I /O 卡㊁A /D 转换等 属系统软件,如通信驱动㊁故障处理㊁数据处理等用户应用软件,如输入/输出功能等2 安全相关产品的实现2.1 安全完整性等级安全完整性等级(safety integrity level,SIL)是指赋予安全相关产品的特有定量指标,也即SIL 等级(SIL1~SIL4)㊂安全完整性包含硬件安全完整性和系统安全完整性,衡量硬件安全完整性等级的一个重要因素是通过对定量参数的计算来评判㊂硬件安全完整性等级的划分如表2所示㊂表2 安全完整性等级对应的目标失效量Tab.2 The amount of target failure corresponding to the SIL安全完整性等级(SIL)要求时的平均失效概率每小时危险失效概率4[10-5,10-4)[10-9,10-8)3[10-4,10-3)[10-8,10-7)2[10-3,10-2)[10-7,10-6)1[10-2,10-1)[10-6,10-5)系统能力是衡量系统安全完整性满足规定的安全完整性等级的信心,表示为SC1~SC4㊂系统安全完整性包含硬件系统安全完整性和软件系统安全完整性,其通过采取控制系统失效的措施和避免系统失效的措施来达到㊂与完整性相关的概念如下㊂①安全完整性:E /E /PE 安全相关系统在规定的条件下㊁规定的时间内满意地执行规定的安全功能的概率㊂②硬件安全完整性:安全相关系统的部分安全完整性,其与硬件随机失效的危险失效相关㊂③系统安全完整性:安全相关系统的部分安全完整性,其与属于危险失效的系统失效相关㊂④软件安全完整性:安全相关系统的部分安全完整性,其与由软件引起的㊁属于危险失效的系统失效相关㊂⑤安全完整性等级:一种离散的等级(四种可能等级之一),对应于安全完整性值的一个范围㊂四个安全完整性等级对应的目标失效量见表2㊂2.2 安全相关产品的实现根据图1所示安全相关产品构成图,通常可简单地认为安全相关产品由硬件和软件构成㊂安全相关产品的实现过程如图2所示㊂图2 安全相关产品的实现Fig.2 The implementation of safety related products由图2可知,达到目标安全完整性等级的安全相关产品的实现,就在于在安全相关产品的开发过程中使其硬件安全完整性等级和软件安全完整性等级达到目标安全完整性等级,即在设计开发过程中采取一些措施和手段降低随机硬件失效中不可诊断的危险失效的份额,同时采取一些措施和手段避免和控制产品在开发过程中引入的系统失效㊂这里硬件随机失效定义为由硬件的一个或几个可能的失效机理引起的㊁在随机时间发生的失效,随机硬件失效是可以量化的㊂系统失效被认为是与确定原因相关的失效,能通过改变设计㊁生产过程㊁操作模式㊁操作指令或其他影响因子来消除,系统失效是不能被量化的㊂2.3 与硬件安全完整性相关的参数安全相关产品的硬件从结构功能上来划分,又是由各子系统构成的㊂因此,要达到安全功能要求的安全完整性等级,除了要满足每个安全功能的危险失效概率要求,各子系统还要满足结构约束的要求,如表3所示㊂表3 结构约束Tab.3 Structural constraints安全失效分数安全结构HFT =0(1oo1)HFT =1(1oo2)HFT =2(1oo3)Type A Type B Type A Type B Type A Type B <60%SIL1不允许SIL2SIL1SIL3SIL260%~90%SIL2SIL1SIL3SIL2SIL4SIL390%~99%SIL3SIL2SIL4SIL3SIL4SIL4≥99%SIL3SIL3SIL4SIL4SIL4SIL4与完整性等级相关的硬件安全完整性由安全相关参数安全失效分数(safe failure fraction,SFF)(针对子系统)㊁硬件故障裕度(HFT)(针对子系统)㊁危险失39安全相关产品的实现 谢亚莲,等PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013效概率(PFDavg /PFH)(针对每个安全功能)构成㊂硬件安全完整性的实现是通过设计合适的结构㊁采用适当的故障诊断措施等来满足上述安全相关参数的要求㊂2.4 系统安全完整性系统安全完整性包含硬件系统安全完整性和软件安全完整性㊂硬件安全完整性等级的系统安全完整性是通过采用避免系统失效的措施和控制系统故障的措施的实现㊂避免系统失效的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录B,推荐针对硬件在不同安全生命周期阶段避免系统失效的措施和方法㊂安全相关产品在下列阶段必须考虑避免系统失效:①设计需求规范;②设计和开发;③集成;④运行和维护;⑤确认㊂控制系统故障的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录A 表A15~表A17㊂IEC 61508标准要求应用质量管理(quality management,QM)的措施来避免在产品生命周期的不同阶段的失效,并根据安全完整性等级(SIL)采用相应的一些措施㊂如果按照推荐的重要度和有效性,采用这些措施可以减少可能的失效,然而设计失效或一般系统失效仍然存在于产品中,即无论这些措施被如何采用,仍然有残余系统失效概率发生,所以要求采取一些措施和技术,以控制系统故障㊂可采取的措施有以下几项㊂①控制由HW 和SW 设计引起的失效;②控制由环境应力或外部影响引起的失效;③控制由操作引起的失效㊂软件安全完整性的实现是通过在软件开发的生命周期中采用避免系统失效的措施㊂避免失效的措施见IEC 61508.3(GB /T 20438⁃3)附录A,需根据要求的安全完整性等级确定采用的措施㊁确定采用措施的有效性㊂3 结束语本文是对安全相关产品的实现的一个概述,希望借此文给读者展示关于安全相关产品实现的一个脉络,后续讲座将就此脉络展开,详述安全相关产品的实现过程㊂对证明安全相关产品实现过程的证据的评审,就是对安全相关产品的安全完整性等级(SIL)的评估㊂(上接第91页)集到的H 2S 浓度㊁位置等信息通过无线传感器网络发送到中控室,由中控室的上位机集中监视现场的H 2S 浓度和工作人员的位置㊁安全情况,有效地防止了H 2S 中毒事故的发生㊂参考文献[1]梁东.浅析硫化物对炼油设备的危害及防治对策[J].安全㊁健康和环境,2004(2):10-12.[2]朱燕群,刘克俭.石油加工行业中硫化氢的危害性及安全对策分析[J].职业与健康,2006(16):1248-1250.[3]隋秀香,李相方,尹邦堂,等.井场硫化氢检测系统的研制[J].天然气工业,2011(9):82-84.[4]戴天有,韩涛,王琴惠.硫化氢检测管的研制[J].干旱环境监测,2001(2):70-72.[5]杨燕明,王小如,杨芃原,等.半导体传感器检测含硫化氢可燃性气体的研究 硫化氢与可燃性气体的快速分离[J].化学传感器,1995(3):216-219.[6]刘美.WSN 多目标跟踪节点任务分配及跟踪算法研究[D].广州:华南理工大学,2010.[7]吴强荣.硫化氢检测仪的测量原理与应用[J].中国计量,2009(2):83-84.[8]李保中,郑应伟.硫化氢气体检测仪的使用与管理[J].计量技术,2008(7):59-61.[9]朱亮,严龙,邹兵,等.便携式硫化氢检测仪[J].仪表技术与传感器,2011(3):31-33.行业信息积极推进培训工作,有效拓展服务范畴作为国家人力资源和社会保障部 专业技术人才知识更新工程”的专项培训施教机构之一,上海工业自动化仪表研究院继续教育培训中心在5月先后成功举办了 仪器仪表及系统可靠性与功能安全技术培训班”㊁ 防爆技术高级研修班”㊂来自行业内生产制造企业㊁用户单位以及科研院所的近百名学员参加了此次培训并通过了考核㊂培训中心关注企业对安全生产的实际需求㊂功能安全培训旨在帮助企业相关人员认识功能安全的重要性,掌握自动化仪表功能安全技术㊂防爆技术培训则通过对工业防爆安全管理理念㊁爆炸基础理论以及最新防爆技术的介绍,增强从业人员对安全事故隐患的预防㊁甄别和应急能力㊂49安全相关产品的实现 谢亚莲,等。
功能安全技术与应用
要求: 正确的平安功能〔平安仪表功能SIF〕 良好的可靠性〔平安完整性等级SIL〕
中国安全生产科学研究院 8
功能安全仪表介绍
功能平安标准
中国安全生产科学研究院 9
功能安全仪表介绍
两个重要标准
IEC61508 Functional Safety of electrical / electronic / programmable electronic safety related systems.
目标风险
安全有效性
降低因子
RRF
99.99—99.999 10000-100000
99.9—99.99 1000-10000
99—99.9 100-1000
90—99 10-100
中国安全生产科学研究院 16
功能安全仪表介绍
两个重要概念
平安生命周期
Safty Life Cycle 〔SLC〕 平安生命周期:平安系统从概念设计到停用的整个过程。包括平安系统
功能安全仪表介绍
功能平安技术与应用
本课件PPT仅供大家学习使用 学习完请自行删除,谢谢! 本课件PPT仅供大家学习使用 学习完请自行删除,谢谢! 本课件PPT仅供大家学习使用 学习完请自行删除,谢谢! 本课件中国P安P全T仅生产供科大学研家究学院 习使用
1
学习完请自行删除,谢谢!
功能安全仪表介绍
1
紧急停车系统〔ESD〕 火/气保护系统〔F&G〕 平安联锁系统〔SIS〕 燃烧炉控制系统〔BMS〕 高完整性压力保护系统〔HIPPS〕
中国安全生产科学研究院 4
功能安全仪表介绍
功能安全新标准、新技术及其在产品设计中的应用
16《电气防爆》 2020年12月 第6期0 引言国际上对于安全(Safety )的基本定义是,避免对人体健康的损伤或人身伤害的不可接受风险[1],这种风险是直接或间接地由于对财产或环境的破坏而导致的。
而功能安全是整体安全的一部分,依赖于一个系统或设备对其输入的正确响应,它是通过一个特定的安全回路来保证安全。
例如,在爆炸性环境中限制所处环境中电气设备可能产生的引火源是电气防爆的概念,但是如果增加可燃气体探测器或火焰探测器,在检测到气体浓度过高或发生火灾时执行紧急联锁动作,这是功能安全的例子。
在功能安全技术体系中,其他几个关键概念包括:安全功能(Safety Functional ):针对特定的危险事件,为实现或保持EUC 的安全状态,由E/E/PE 安全相关系统或其他风险降低措施实现的功能。
在以上的例子中,温度检测过热保护就是一个安全功能。
安全完整性(Safety Integrity ):在规定的时间段内和规定的条件下,安全相关系统成功执行规定的安全功能的概率。
SIL 从某种意义上可以理解为对安全功能实现能力的概率要求,是一个综合化的指标,其中既有定性的技术措施也是定量的数值要求;其有四个等级,一到四逐渐升高。
在以上例子中,过热保护回路的要求可以是SIL3。
[收稿日期] 2020-09-23[作者简介]熊文泽,高级工程师,从事功能安全和信息安全相关技术研究十余年。
功能安全新标准、新技术及其在产品设计中的应用熊文泽,孟邹清(机械工业仪器仪表综合技术经济研究所功能安全中心,北京100055)[关键词]功能安全;安全产品SIL 设计;安全一体化[摘 要] 介绍了功能安全的标准化发展过程和最新的国际标准动态,功能安全技术应用于产品设计过程中的方法,提出了3项产品设计实现的关键点,并进行了应用举例;分析了功能安全的未来发展趋势之一——安全一体化技术。
[中图分类号] X931 [文献标识码] A [文章编号]1004-9118(2020)06-0016-07DOI :10.14023/ki.dqfb.2020.06.004New Functional Safety Standards, New Technologies and Their Application in ProductDesignXiong Wen-ze, Meng Zou-qing(Instrumentation technology and economy institute, Beijing 100055)Key words: functional safety; safety product SIL design; safety integrationAbstract: It introduces the development process of functional safety standardization and the latest international standard trends first; Then analyzes in detail how to apply functional safety technology in the process of product design, puts forward three key points of product design implementation, and gives application examples; Finally, it analyzes one of the future development trends of functional safety - Safety integration technology.功能安全新标准、新技术及其在产品设计中的应用安全相关系统(Safety-related system):应满足以下两项要求:执行要求的安全功能足以实现或保持EUC的安全状态;并且自身或与其他E/E/PE安全相关系统、其他风险降低措施一起, 能够实现要求的安全功能所需的安全完整性。
安全仪表系统相关法规和标准解读,SIL认证20171104.log
❒ 火灾 fire,
❒ 爆炸 explosion
❒ 环境污染, environmental pollution, ❒ 中毒 poisoning,
❒ 灼伤 ambustion,
❒ 触电 electric shock,
❒ 噪声 noise,
❒ 窒息 suffocation,
❒ 高处坠落 toppling from the heights and so on
1
目前存在在的问题
• 事故多发,研究表明,安全仪表系统缺失或缺陷是过程工业事故诱发的主因; • 根本原因:缺乏意识,知识不全面,加上没有可操作的应用指南,存在重分析和实施
、轻确认和验证、存在一定的盲目性、随意性和忽视在役管理等现象;
• SIS越来越多地应用到安全系统用以实现安全功能 • 安全系统本身,由于无法预计的失效而导致的危险 • 如何评价SIS本身的失效引起的危险的几率?
• 2009年6月,国家安监总局发布首批15个重点监管的危险化工工艺(如,光气及 光气化工艺、加氢工艺、聚合工艺)的安全控制方案,明确了安全功能要求(但 没SIL),成为中国强制推进SIS系统应用和监管的里程碑。
• 2013年7月,国家安全监管总局(安监总管三〔2013〕88号)-关于加强化工安全 管理的指导意见
----信息安 application situation abroad
国外对SIS系统应用情况
• 欧美一些国家先后将功能安全技术纳入安全法规范畴, • 世界著名公司(如壳牌、道化学、美孚、新加坡石油等)通过应用标准,
取得了很好的收效。 • 00年马石油要求新建项目应用IEC61508/61511标准,并对在役装置评估; • 2001年壳牌还发布了相应的企业内部强制性应用规范; • BASF、Linde、赛科等著名大公司把SIS评估作为装置试车的基本前提; • 99以来,跟踪IEC标准,制订了一系列功能安全相关的推荐性行业标准和国
功能安全系统设计指南
功能安全系统设计指南
1、依据标准进行功能安全设计时,首先识别系统的功能,并分析其所有可能的功能故障(Malfunction)或失效,可采用的分析方法有HAZOP,FMEA、头脑风暴等。
功能故障在特定的驾驶场景下才会造成伤亡事件,比如近光灯系统,其中一个功能故障就是灯非预期熄灭,如果在漆黑的夜晚行驶在山路上,驾驶员看不清道路状况,可能会掉入悬崖,造成车毁人亡;如果此功能故障发生在白天就不会产生任何的影响。
所以进行功能故障分析后,要进行情景分析,识别与此故障相关的驾驶情景,比如:高速公路超车、车库停车等。
分析驾驶情景建议从公路类型(国道,高速),路面情况,(湿滑、冰雪);车辆状态(转向、超车、制动、加速等),环境条件(风雪雨尘、夜晚、隧道灯),人员情况(乘客、路人)等几个方面去考虑。
功能故障和驾驶场景的组合叫做危害事件。
2、通过危害分析和风险评估,我们得出系统或功能的安全目标和相应的ASIL等级;当ASIL等级确定之后,就需要对每个评定的风险确定安全目标,安全目标是最高级别的安全需求。
安全目标确定以后就需要在系统设计,硬件,软件等方面进行设计和实施,验证。
3、从安全目标可以推导出开发阶段的安全需求,安全需求继承安全目标的ASIL等级。
功能安全FUNCTION SAFE AND SIL
Background:In1996,in response to an increasing number of industrial accidents,the Instrument Society of America(ISA)enacted a standard to drive the classification of Safety Instrumented Systems for the process industry within the United States.This standard,ISA S84.01,introduced the concept of Safety Integrity Levels.Subse-quently,the International Electrotechnical Com-mission(IEC)enacted an industry neutral standard,IEC61508,to help quantify safety in programmable electronic safety-related sys-tems.The combination of these standards has driven industry,most specifically the Hydrocar-bon Processing and Oil&Gas industries,to seek instrumentation solutions that will improve the inherent safety of industry processes.As a byproduct,it was discovered that many of the parameters central to Safety Integrity Levels, once optimized,provided added reliability and up time for the concerned processes.This document will define and describe the key components of safety and reliability for instru-mentation systems as well as draw contrasts between safety and reliability.Additionally,this document will briefly describe available methods for determining Safety Integrity stly,a brief depiction of the governing standards will be presented.What are Safety Integrity Levels(SIL)Safety Integrity Levels(SIL)are measures of the safety of a given process.Specifically,to what extent can the end user expect the process in question to perform safely,and in the case of a failure,fail in a safe manner?The specifics of this measurement are outlined in the standards IEC61508,IEC61511,JIS C0508,and ISA SP84.01.It is important to note that no individ-ual product can carry a SIL rating.Individual components of processes,such as instrumenta-tion,can only be certified for use within a given SIL environment.The need to derive and associate SIL values with processes is driven by Risk Based Safety Analysis(RBSA).RBSA is the task of evaluat-ing a process for safety risks,quantifying them, and subsequently categorizing them as accept-able or unacceptable.Acceptable risks are those that can be morally,monetarily,or other-wise,justified.Conversely,unacceptable risks are those whose consequences are too large or costly.However risks are justified,the goal is to arrive at a safe process.A typical RBSA might proceed as follows.With a desired level of safety being a starting point,a “risk budget”is established specifying the amount of risk of unsafe failure to be tolerated. The process can then be dissected into its func-tional components,with each being evaluated for risk.By combining these risk levels,a com-parison of actual risk can be made against the risk budget.When actual risk outweighs bud-geted risk,optimization is called for. Processes can be optimized for risk by selecting components rated for use within the desired SIL environment.For example,if the desired SIL value for the process is SIL3,then by using components rated for use within a SIL environ-ment this goal may be achieved.It is important to note that simply combining process compo-nents rated to be used in a given SIL rated envi-ronment does not guarantee the process to be rated at the specified SIL.The process SIL must still be determined by an appropriate method.These are Simplified Calculations, Fault Tree Analysis,or Markov Analysis.An example of a tool used to estimate what SIL rating to target for a given process is that of the Risk Assessment Tree(RAT).See the figure below.By combining the appropriate parame-ters for a given process path,the RAT can be used to determine what SIL value should be obtained.As the example below illustrates,by optimizing certain process parameters,the SIL value of the process can be affected.SILs versus ReliabilityWhile the main focus of the SIL ratings is the interpretation of a process’inherent safety,an important byproduct of the statistics used in cal-culating SIL ratings is the statement of a prod-uct’s reliability.In order to determine if a product can be used in a given SIL environment, the product must be shown to“BE AVAILABLE”to perform its designated task at some predeter-mined rate.In other words,how likely is it that the device in question will be up and functioning when needed to perform its assigned task? Considerations taken into account when deter-mining“AVAILABIITY”include Mean Time Between Failure(MTBF),Mean Time To Repair (MTTR),and Probability to Fail on Demand (PFD).These considerations,along with varia-tions based upon system architecture(i.e.2oo2 versus2oo3,or TMR installation),determine the reliability of the product.Subsequently,this reli-ability data,combined with statistical measure-ments of the likelihood of the product to fail in a safe manner,known as Safe Failure Fraction (SFF),determine the maximum rated SIL envi-ronment in which the device(s)can be used. SIL ratings can be equated to the Probability to Fail on Demand(PFD)of the process in ques-tion.The following tables gives relationships based on whether the process is required“Con-tinuously”or“On Demand”.Determining SIL Values(Note that the following text is not intended to be a step-by-step“How To”guide.This text is intended to serve as an overview and primer.) As mentioned previously,there are three recog-nized techniques for determining the SIL rating for a given process.These are Simplified Cal-culations,Fault Tree Analysis,and Markov Anal-ysis.Each of these techniques will deliver a useable SIL value;however,generally speaking the Sim-plified Calculations method is more conservative and the least complex.Conversely,Markov Analysis is more exact and much more involved. Fault Tree Analysis falls somewhere in the mid-dle.For each of these techniques,the first step is to determine the PFD for each process component. For a2oo3process configuration,this can be done using the following relationship:PFD ave=(Failure Rate)2*Test IntervalNote that Failure rate=1/MTBFIn the case of the Simplified Calculations method,the next step would be to sum the PFD values for every component in the process. This summed PFD can then be compared to table3above for the SIL rating for the process. In the case of the Fault Tree Analysis method, the next step would be to produce a fault tree diagram.This diagram is a listing of the various process components involved in a hazardous event.The components are linked within the tree via Boolean logic(logical ORing&ANDing relationships).Once this is done,the PFD for each path is determined based upon the logical relationships.Finally,the PFDs are summed to produce the PFD ave for the process.Onceagain,the PFD ave can be referenced in table3 for the proper SIL.The Markov Analysis is a method where a state diagram is produced for the process.This state diagram will include all possible states,includ-ing all“Off Line”states resulting from every fail-ure mode of all process components.With the defined state diagram,the probability of being in any given state,as a function of time,is deter-mined.This determination includes not only MTBF numbers and PFD calculations,but it also includes the Mean Time To Repair(MTTR)num-bers.This allows the Markov Analysis to better predict the availability of a process.With the state probability(PFD ave)determined,they can once again be summed and compared to table3 to determine the process SIL.As the brief descriptions above point out,the Simplified Calculations method will be the easi-est to perform.It will provide the most conser-vative result,and thus should be used as a first approximation of SIL values.If having used the Simplified Calculations method,and find that a less conservative result is desired,then employ the Fault Tree Analysis method.This method is considered by many to be the proper mix of simplicity and complete-ness when performing SIL calculations.For the subject expert,the Markov Analysis will provide the most precise result.It can be very tedious and complicated to perform.A simple application can encompass upwards of50sepa-rate equations needing to be solved.It is sug-gested,that relying upon a Markov Analysis to provide that last little bit of precision necessary to improve a given SIL,is a misguided use of resource.A process that is teetering between two SIL ratings would be better served being redesigned to comfortably achieve the desired SIL rating.Reliability Numbers: What do they mean?It seems that every organization has its own special way of characterizing reliability.How-ever,there are a few standards in the world of reliability datum.These are Mean Time Between Failure(MTBF),Mean Time To Repair (MTTR),and Probability to Fail on Demand (PFD).Bently Nevada has chosen to provide all of these pieces of data for the3500Monitoring System.The following is a brief explanation of these terms.MTBF.This is usually a statistical representation of the likelihood of a component,device,or systemto fail.The value is expressed as a period of time(i.e.14.7years).This value is almost always cal-culated from theoretical information(LaboratoryValue).Unfortunately,this often leads to somevery unrealistic values.Occasionally,MTBF val-ues will have observed data as their basis(Dem-onstrated Value).For example,MTBF can bebased upon failures rates determined as a resultof accelerated lifetime stly,MTBF canbe based upon reported failures(ReportedValue).Because of the difficulty in determiningDemonstrated Values,and the likelihood that thetrue operating conditions within any given plantare truly replicated in this determination,as wellas the uncertainty associated with Reported Val-ues it is recommended that Laboratory Values bethe basis of comparison for MTBF.However,MTBF alone is a poor statement of a device’s reli-ability.It should be used primarily as a compo-nent of the PFD calculation.MTTR.Mean Time To Repair is the average time to repair a system,or component,that has failed.This value is highly dependent upon the circum-stances of operation for the system.A monitoringsystem operating in a remote location without anyspare components may have a tremendouslylarger MTTR than the same system being oper-ated next door to the system’s manufacturer.Sothe ready availability of easily installed spares can significantly improve MTTR.PFD.The Probability to Fail on Demand is a statisti-cal measurement of how likely it is that a process,system,or device will be operating and ready toserve the function for which it is intended.Amongother things,it is influenced by the reliability of theprocess,system,or device,the interval at which itis tested,as well as how often it is required tofunction.Below are some representative samplePFD values.They are order of magnitude valuesrelative to one another.Many end users have developed calculations to determine the economic benefit to inspections and testing based upon some of the reliability numbers used to determine SIL values.These calculations report the return on investment for common maintenance expenditures such as visual equipment inspections.The premise of these calculations is to reduce the number of maintenance activities performed on systems that:•Have a high degree of reliability,or•Those that protect processes where mon-etary loss from failure would not outweighthe cost of maintenance.The Cost of Reliability: There is much confusion in the marketplace on the subject of SIL values.Many have confused the SIL value as a strict indicator of reliability. As described earlier in this text,reliability indi-cators are a very useful byproduct of SIL value determination,but are not the main focus of the measurement.A sample calculation would be the Reliability Integrity Level(RIL):whereRIL2=Reliability Integrity Levela1=Maintenance Cost Savings as a percentage1b=Dollar Loss of Process per unit of timec=MTTRd=Probability of failure per unit of timee=Current cost of maintenance activity per unit of time11The savings as a percentage of totalmaintenance cost2In this sample calculation,a RIL greaterthan one would indicate that a given pro-cess is reliable enough to discontinue themaintenance activity.Of course,manytimes a process offers benefits that gobeyond simple monetary considerations.Why use a Certifiedproduct?A product certified for use within a given SILenvironment offers several benefits to the cus-tomer.The most common of these would be theability to purchase a“Black Box”with respect toSIL requirements.Reliability calculations forsuch products are already performed and avail-able to the end user.This can significantly cutlead times in the implementation of a SIL ratedprocess.Additionally,the customer can restassured that associated reliability statisticshave been reviewed by a neutral third party.The most important benefit to using a certifiedproduct is that of the associated certificationreport.Each certified product carries with it areport from the certifying body.This report con-tains important information ranging from restric-tions of use to diagnostics coverage within thecertified device to reliability statistics.Addition-ally,ongoing testing requirements of the deviceare clearly outlined.A copy of the certificationreport should accompany any product certifiedfor functional safety.Governing Specifications:There exist several specifications dealing withSafety and Reliability.SIL values are specifiedin both ISA SP84.01and IEC61508.IEC61511is the specification that is specific to the Pro-cess Industry.In the table below,some of thevarious specifications are cross referenced soas to give an understanding of how they relateto one another.INDEPENDENT PROTEC-TION LAYERPFDControl Loop1,0x10-1Relief Valve1,0x10-2Human Performance(Trained,No stress)1,0x10-2Human Performance(Under stress)0,5x1,0Operator Response ToAlarms1,1x10-1DIN V19250IEC61508/61511VDI/VDE2180 Demand3Demand2Demand11No Safety Require-ments No Safety Require-ments21No Safety Require-ments No Safety Require-ments321No Special SafetyRequirementsNo Special SafetyRequirements432SIL1Risk Area I (Lower Risk)543654SIL2765SIL3Risk Area II(Higher Risk)87687SIL4Can not be covered bySIS only8SIS Not Sufficient。
《安全联锁系统》PPT课件
独立原则 冗余准则 ➢ 最终执行元件的设计原则 阀门独立原则 阀门冗余准则 电磁阀配合准则 电动机启动器配合准则
安全ppt
11
第二节 安全联锁系统的设计原则
➢ 逻辑单元的设计原则
逻辑单元独立原则 逻辑单元冗余准则
➢ 通信接口的设计原则
安全ppt
12
第二节 安全联锁系统的设计原则
❖ 安全联锁系统安全等级的确定
➢ 风险分配的基本思想 ➢ 安全完整性水平(Safe integrality Level, SIL)计
算流程
安全完整性水平 SIL计算流程
1)风险定义; 2)风险分析; 3)风险计算; 4)风险评估。
安全ppt
13
第三节 安全联锁系统的逻辑设计及 表达
❖逻辑功能的表达符号
基本安全联所系统逻辑结构 带自诊断基本安全联所系统逻辑结构 2取1安全联所系统逻辑结构 带自诊断的2取1安全联所系统逻辑结构 3取2带安全联所系统逻辑结构 双重化2取1带自诊断安全联所系统逻辑结构
安全ppt
IEC61508 SIL 1 2 2 3 3 3
10
第二节 安全联锁系统的设计原则
❖ 安全联锁系统组等级
SIL 1
SIL 2
SIL 3
安全联锁系 统性能要求
平均失效率 可用度
10-1~10-2 0.9~0.99
10-2~10-3
10-3~10-4
0.99~0.999 0.999~0.9999
安全ppt
9
第二节 安全联锁系统的设计原则
安全仪表系统的逻辑结构选择表 逻辑单元结构
路简单、元器件数量少的方案。 3.信号报警、安全联锁设备应当安装在震动小、
安全仪表系统概念和其功能安全
• 平台上有2-G-100A和2-G-100B两台LPG凝液泵,在泵的 出口各装 有一个安全阀,PSV504和PSV505。 对A泵进行检修, B泵维持生 产。另一张检修工作票-对PSV504安全进行校验 。
• 发生爆炸时,因防火墙当初按照火灾而非爆炸设计,碎片又摧毁了一 些凝液管道,引发火灾。
• 自动灭火系统正处于手动启动状态。 • 控制室失去功能,广播系统不能发布撤退指令;大火阻止了前往救生
安全仪表系统概念和其功能安全
Байду номын сангаас
一、安全仪表系统 二、功能安全 三、国内外进展 四、SIL等级确定与评估 五、前期工作 六、石油化工行业功能安全现状 七、下一步计划
一、安全仪表系统
(一)相关概念
安全相关系统(SRS) Safety Related System
用于安全目的的系统称之为安全相关系统。安全相关系统的作用是监 视生产过程的状态,在出现危险条件时采取相应措施,防止危险发生或者 减轻危险造成的后果,避免潜在风险对人身、设备、环境造成伤害。安全 相关系统在工业生产和日常生活中随处可见,如安全帽、安全阀、紧急停 车系统、汽车的安全气囊等等。
安全功能:是指针对特定的危险事件,为达到或保持过程的安全状态, 由安全仪表系统(SIS)、其他技术安全相关系统或外部风险降低设施实现 的功能。
功能安全:与过程和基本过程控制系统(BPCS)有关的整体安全的 组成部分,它取决于安全仪表系统(SIS)和其他保护层的正确行使职能。
如果 SIS 本身的随机、公共原因和系统故障没有使其 所执行的安全功能失效,没有造成人员伤亡,未引起外溢 污染环境,没有毁坏关键设备,SIS就做到了功能安全。
工艺技术规范
44.1%
安装 &开车 5.9%
功能安全培训
SITIIAS功能安全技术及应用李佳嘉 高级工程师机械工业仪器仪表可靠性技术中心 上海仪器仪表自控系统检验测试所漕宝路103号 TEL:64368180-308 FAX:64849355 E-mail: lijiajia@ http:// 1Lijiajia, SITIIAS, Shanghai, ChinaSITIIAS日程第一天(上午):概述和基本概念 第一天(下午):功能安全管理 第二天(上午):硬件安全性设计 第二天(下午):软件安全性设计2Lijiajia, SITIIAS, Shanghai, China1SITIIAS目录1.功能安全概述 2.安全术语 3.安全概念-原理-结构 4.IEC61508-1功能安全3Lijiajia, SITIIAS, Shanghai, ChinaSITIIAS功能安全概述4Lijiajia, SITIIAS, Shanghai, China2SITIIAS 功能安全-----引言在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不 允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备工作 不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的 中毒、火灾、爆炸,核电站的辐射超剂量、飞机的机械漏油等危险事件,会 对人员、设备或环境造成灾难性后果。
5Lijiajia, SITIIAS, Shanghai, ChinaSITIIAS血的教训– 装置规模的日趋扩大 – 高温、高压、易燃、易爆、大型机组等连续性生产装置的安全保护 – 追求企业的效益最大化 – 对安全认识的提高6Lijiajia, SITIIAS, Shanghai, China3SITIIAS工业灾难----切尔诺贝利核电站1986年4月26日凌晨1时许,随着一声震天动地的巨响火光四起烈焰 冲天,火柱高达30多米,切尔诺贝利核电站4号反应堆发生爆炸,其厂房屋顶被 炸飞,墙壁坍塌.当时前苏联官方说事故中有31人当场死亡.200多人受到严 重的放射性辐射.8吨多辐射物质混合着炙热的石墨残片和核燃料碎片喷涌而 出,释放出的辐射量相当于日本广岛原子弹爆炸量的200多倍.大量的放射性 物质外泻,使周围环境的放射剂量高达200伦琴/小时为安全剂量的2万倍 .1700多吨石墨成了熊熊大火的燃料,火灾现场温度高达2000度以上。
“ 功能安全产品实现技术“系列讲座 第4讲 安全相关产品的硬件实现( 一)
PROCESS AUTOMATION INSTRUMENTATION Vol.34No.9September 2013修改稿收到日期:2013-05-14㊂作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第4讲 安全相关产品的硬件实现(一)Chapter Ⅳ Implementation of the Hardware for Safety⁃related Products :Part 1谢亚莲1,2(上海工业自动化仪表研究院1,上海 200233;上海仪器仪表自控检验测试所功能安全中心2,上海 200233)摘 要:分层次介绍了与功能安全相关的㊁能够体现功能安全设计理念的术语和定义㊁架构约束条件㊂功能安全的设计理念就在于提出了安全完整性的指标,并给出了通过采取诊断措施和结构冗余的方法来实现安全完整性㊂然后针对安全相关产品,并基于标准IEC 61508.2Edition 2的要求,给出了编制安全相关产品设计要求规范的具体要求㊂关键词:安全相关系统 子系统 组件 危险失效 安全失效 硬件故障裕度 架构约束中图分类号:TP202 文献标志码:AAbstract :The terms ,definitions ,and architectural constraints related to functional safety are introduced hierarchically ;these contents reflect the design concept of functional safety ,i.e.,proposing the indexes of safety integrity ,and the method of diagnosis test and structural redundancy for implementing safety integrity.Then ,aiming at the safety⁃related products ,and based on requirements of IEC 61508.2Edition 2,specific requirements for working out the design requirement and specification of safety⁃related products are given.Keywords :Safety⁃related system Subsystem Element Dangerous failure Safety failure Hardware fault tolerance Architectural constraints 0 引言在第一讲中我们讲到安全相关产品的实现包括硬件实现和软件实现,硬件实现又包括硬件安全完整性的实现和系统安全完整性的实现㊂这些硬件安全完整性的要求和系统安全完整性的要求就是安全相关产品在硬件实现过程中有别于非安全相关产品的特殊要求㊂硬件安全完整性与硬件随机失效相关,可以被量化㊂它是通过引入功能安全的理念对产品进行针对性设计来实现的,譬如进行故障诊断设计以提高诊断覆盖率㊁降低不可检测到的危险失效,从而提高安全失效分数㊂系统安全完整性与系统失效相关,不可以被量化,它是通过在产品的安全生命周期的每个阶段进行项目管理,在相关阶段采取一些必要的措施和技术以控制系统失效和避免系统失效来实现的㊂我们根据IEC 61508.2:2010Edition 2中的要求和方法来讲述安全相关产品的硬件实现㊂以安全相关产品的安全生命周期为脉络,展开安全相关产品的实现过程㊂1 功能安全的设计理念在展开安全相关产品的设计开发之前,我们先要了解安全相关产品的设计理念及其特有的安全相关参数㊂有了这样的理念后,在安全相关产品的研发活动中,才能有针对性地引进必要的措施和手段㊂1)安全相关系统㊁子系统和组件(1)安全相关系统(safety⁃related system):指定系统需同时满足以下两项条件①为达到和保持受控设备(equipment under control,EUC)的安全状态,实现必要的安全功能;②或与其他安全相关系统以及其他风险降低措施共同作用,实现要求的安全功能的必要的安全完整性㊂(2)子系统(subsystem):安全相关系统顶层架构设计实体,子系统的危险失效可导致一个安全功能的危险失效㊂(3)组件(element):子系统的一部分,由单个元器件或一组元器件构成,执行一个或几个组件安全功能㊂29安全相关产品的硬件实现(一) 谢亚莲‘自动化仪表“第34卷第9期 2013年9月安全相关系统㊁子系统和组件的关系如图1所示㊂由子系统构成安全相关系统,如传感器子系统㊁逻辑控制子系统㊁终端执行单元子系统;实现各子系统功能的功能模块即为组件,如安全栅㊁压力变送器等㊂我们所说的安全相关产品通常即为组件㊂图1 安全相关系统㊁子系统和组件之间的关系Fig.1 The relationship among safety-related systems ,subsystems and elements2)安全失效㊁危险失效与安全失效分数在可靠性理论中定义失效为: 产品丧失完成规定功能的能力的事件”㊂可靠性只研究电子元器件㊁机械器件㊁产品的失效,而不对失效做类型划分㊂而功能安全是防止危险发生和减轻危险发生所造成的伤害与损失的工程,功能安全的目的就是怎样在潜在的危险中保证相对的安全㊂因此,功能安全将失效划分为安全失效和危险失效,危险失效又可分为可检测到的危险失效和不可检测到的危险失效㊂安全相关产品的设计目标就是尽量降低不可检测到的危险失效㊂(1)安全失效(safety failure,记为λs ):在实现安全功能中扮演一个角色的一个组件和/或子系统和/或系统的失效,失效需满足以下条件中的任意一项㊂①导致安全功能的误动作;②增加安全功能误动作的概率,误动作是使EUC 进入安全状态或保持安全状态㊂(2)危险失效(dangerous failure,记为λD ):在实现安全功能中扮演一个角色的一个组件和/或子系统和/或系统的失效,失效需满足以下条件中的任意一项㊂①当需要时阻止一个安全功能正确动作(要求模式)或引起安全功能失效(连续模式),使得EUC 进入到危险或潜在危险状态;②降低安全功能正确动作的概率㊂(3)可检测的危险失效(dangerous failure detected,记为λDd ):由内部和/或外部诊断措施检测到的危险失效㊂(4)不可检测到的危险失效(dangerous failureundetected,记为λDu ):内部和/或外部诊断措施都不能检测到的危险失效㊂(5)无关失效(no part failure):一个在实现安全功能中不扮演任何角色的元器件的失效㊂(6)无影响失效(no effect failure):一个组件的失效,该组件在实现安全功能中扮演一个角色,但对安全功能没有直接影响㊂(7)安全失效分数(safety failure fraction,SFF):一个安全相关组件的属性,定义为安全失效加上可检测的危险失效占安全失效加上危险失效的比值,其公式为:SFF =(ΣλS +ΣλDd )/(ΣλS +ΣλDd +ΣλDu )(1)在安全失效分数计算中不包括无关失效和无影响失效㊂3)架构约束为了使组件和子系统在执行安全功能时具有足够健壮的结构,功能安全提出了硬件安全完整性的架构约束条件㊂与架构约束相关的术语和定义如下㊂(1)A 类组件:如果一个组件实现安全功能所必须的元器件满足以下全部要求,则其可以被视为A 类组件㊂①所有组成组件的元器件的失效模式都被明确定义;②故障状况下组件的行为能够完全确定;③有充足而可靠的失效数据可显示满足所声明的检测到的和未检测到的危险失效的失效率㊂如:分立元器件皆属于A 类元器件,由分立器件构成的组件为A 类组件㊂(2)B 类组件:如果一个组件实现安全功能所必须的元器件满足以下任意一个要求,则其可被视为B 类组件㊂①至少一个组成元器件的失效模式未被明确定义;②故障状况下组件的行为不能完全确定;③没有充足而可靠的失效数据可显示出满足所声明的检测到的和未检测到的危险失效的失效率㊂如:可编程元件㊁RAM㊁ROM 皆属于B 类元器件,具有智能功能的组件为B 类组件㊂(3)硬件故障裕度(hardware fault tolerance,HFT):硬件故障裕度N 意味着至少(N +1)个失效才会引起安全功能的丧失㊂硬件故障裕度即是采用冗余的方法实现某一功能或安全功能㊂给出上述的术语和定义都是为了表述架构约束,以下两个架构约束表格是安全相关产品架构设计的基础㊂A 类安全相关组件和B 类安全相关组件的架构约束条件如表1和表2所示㊂根据组件或子系统的类型39安全相关产品的硬件实现(一) 谢亚莲PROCESS AUTOMATION INSTRUMENTATION Vol.34No.9September 2013以及要求的安全完整性等级,确定可达到的安全失效分数和故障裕度,从而确定硬件架构㊂表1 A 类安全相关组件或子系统执行的安全功能的最大允许安全完整性等级Tab.1 Maximum allowable safety integrity level for a safetyfunction carried out by a type A safety⁃related element or subsystem组件的安全失效分数硬件故障裕度12 <60%SIL 1SIL 2SIL 3 60%~<90%SIL 2SIL 3SIL 4 90%~<99%SIL 3SIL 4SIL 4 ≥99%SIL 3SIL 4SIL 4表2 B 类安全相关组件或子系统执行的安全功能的最大允许安全完整性等级Tab.2 Maximum allowable safety integrity level for asafety function carried out by a type B safety⁃related element or subsystem组件的安全失效分数硬件故障裕度12 <60%不允许SIL 1SIL 2 60%~<90%SIL 1SIL 2SIL 3 90%~<99%SIL 2SIL 3SIL 4 ≥99%SIL 3SIL 4SIL 4上述的术语和定义体现了功能安全设计理念,功能安全的设计理念就在于提出了安全完整性和安全完整性等级的指标,并给出了通过采取诊断措施和结构冗余的方法来实现安全完整性和安全完整性等级㊂安全相关产品设计围绕着实现安全功能和实现安全完整性目标值进行㊂2 产品设计要求规范(安全要求规范)在第二讲中我们讲述了安全相关产品的目标设定,在确定了安全相关产品的目标值后就进入到安全相关产品的设计和开发㊂安全相关产品的安全生命周期的第一阶段是编制产品设计要求规范㊂产品设计要求规范包括安全功能要求规范和安全完整性要求规范㊂在编制产品设计要求规范中,首先应包括以下几项㊂①安全相关产品描述,安全相关产品的工业应用描述;②适用于安全相关产品的标准㊁技术指令㊂然后,安全功能要求规范应包括以下几项㊂①安全相关产品执行的所有功能,划分开安全功能和非安全功能;②响应时间指标;③测量和控制的准确性和稳定性要求;④安全相关产品的所有状态模式,如配置状态㊁运行状态㊁故障状态;⑤所有的外部接口和内部接口描述;⑥失效后以及诊断发现危险失效时要求采取的动作和响应(例如报警㊁自动关机等);⑦安全相关产品启动和重启规程的任何规定要求㊂其次,安全完整性要求规范应包括以下几项㊂①安全相关产品的工作模式(要求模式或连续模式);②安全相关产品的目标安全完整性㊁安全完整性等级;③检验测试频率;④安全相关产品的安全结构㊁框图,该结构应满足安全完整性的架构约束;⑤使检验测试得以实施的要求㊁约束㊁功能和设施;⑥在安全相关产品的安全生命周期中,包括制造㊁存储㊁运输㊁运行㊁操作和维护中满足的极端环境条件的能力(例如:温度㊁湿度㊁振动㊁冲击等);⑦电气安全要求;⑧抗电磁干扰的要求㊂为了在安全相关产品设计要求规范的编制中避免错误,应根据IEC 61508.2表B.1采用一组适当的技术和措施㊂对环境条件㊁电气安全要求㊁抗电磁干扰要求可参照相应的产品标准㊁功能安全标准等㊂IEC61326⁃3⁃1‘测量㊁控制和试验室使用的电气设备的EMC 要求 用于执行安全功能的安全相关系统和设备的抗干扰要求⁃通用工业应用“就是针对功能安全设备的EMC 试验要求标准㊂安全相关产品的设计要求规范应清晰㊁准确㊁无歧义,且文字要便于在安全相关产品的安全生命周期内任一阶段采用该信息的各方理解㊂如在设计过程中有所变更,应满足功能安全管理中对变更的要求,及时更新对设计要求规范㊂3 结束语要设计安全相关产品,首先需建立功能安全的设计理念,了解安全相关产品与非安全相关产品的本质区别㊂在清晰了解了安全相关产品的概念之后,我们在安全相关产品的设计和开发过程中就将围绕实现安全相关产品的安全功能和安全完整性这两个目标进行,尤其是特有的安全完整性目标㊂49安全相关产品的硬件实现(一) 谢亚莲。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
仪器仪表标准化与计量2007・514
[编者按] 本刊“安全控制技术”栏目自2005年开设以来,得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外,还特别增设一个板块“功能安全技术系列讲座”,共六讲,分别刊登在第一期至第六期,从功能安全的基本概念、方法、技术等各方面逐一深入讲解,使大家对功能安全有一个全面了解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。
第五讲 安全相关系统SIL设计的要求(续)
冯晓升(机械工业仪器仪表综合技术经济研究所,北京市 100055)Feng Xiaosheng(Instrumentation Technology & Economy Institute, Beijing 100055)
Chapter 5: The Requirements of the Design of E/E/PES
Abstract: The paper introduced the requirements of the design of E/E/PES.Key words: E/E/PES SIL
【摘 要】【关键词】主要讲述进行电气/电子/可编程电子安全相关系统的SIL(安全完整性等级)设计时需要满足
的特殊要求。电气/电子/可编程电子 安全完整性等级
上一讲讲述了安全相关系统SIL(安全完整性等级)设计时需要满足的各项要求,这一讲主要论述安全相关系统SIL设计时必须采取的技术与措施要求。在进行安全相关的系统或设备如传感器、继电器、处理单元、执行器等设计时,为了声明系统或设备能够达到的最高SIL级别,必须同时考虑这两部分要求。有不少人提出这样的问题:SIL1级系统与SIL3级系统的区别在哪里?如果我想设计一个SIL4级系统,我应该注意哪些方面?实际上,除了硬件的随机失效是可以量化的外,功能安全标准中对于更多的不可量化的技术与措施进行了SIL分级。标准规定不同SIL等级的设备及系统,必须分别采取不同的技术与措施。所有技术与措施的目的都在于实现功能安全,避免和控制失效。由于故障与失效之间的原因或影响关系通常难以确定,当使用复杂硬件和软件时,失效的重点将从随机失效转变为系统失效,因此,无法列出导致复杂硬件失效的所有独立的物理原因。IEC 61508标准所列技术与措施并不详尽,当然还可使用其它技术和措施,只要能提供相应的证据,保证支持所声明的诊断覆盖率。1 提高诊断覆盖率的方法为了控制硬件失效,提高硬件SIL等级,必须采取一系列技术与措施来检测故障与失效,这些技术措施的有效性与诊断覆盖率各有不同,IEC 61508中列出了每一类部件需要检测的故障或失效。下面以机电装置、电子子系统、总线系统、处理单元、传感器和最终执行单元对诊断及采用的技术与措施为例来说明这种差别方式。
Control Tech of Safety & Security仪器仪表标准化与计量2007・5
15
对于机电装置如电气子系统,可以通过在线监视检测失效、继电器触点监视、比较器、多数表决器和无功电流原理来检测故障与失效。对于检测了“未加电或断电”、“触点被熔接”这两类故障的设备,诊断覆盖率可判定为低(60%);对于检测了“未加电或断电”、“单个触点被熔接”这两类故障的设备,诊断覆盖率可判定为中(90%);对于检测了“未加电或断电”、“各触点被熔接”、“不可靠的导向触点”、“不可靠的开启”这四类故障的设备,诊断覆盖率可判定为高(99%)。对于电子子系统,推荐采取在线监视检测失效、比较器、多数表决器、利用冗余硬件进行测试、动态原理、访问端口和边界扫描结构的标准测试、监视冗余、带自动检验的硬件、模拟信号监视等诊断技术与措施来检测故障与失效。对于I/O单元和接口,推荐采用测试模式、代码保护、多通道平行输出、监视输出与输入比较/表决等技术与措施来检测故障与失效。对于数据路径(内部通信),推荐采用1位硬件冗余、多位硬件冗余、完全硬件冗余、使用测试模式进行检查、传输冗余与信息冗余等技术与措施来检测故障与失效。对于通风和加热系统,推荐采用温度传感器、风扇控制、通过热保险丝启动安全断电、来自温度传感器和条件报警的交错报文、强制风冷的连接和状态指示等技术与措施诊断故障与失效。对于这些分离元件,检测了“stuck-at”故障的设备,诊断覆盖率可判定为低(60%);检测了“DC故障模型”和“漂移与振动”的设备,诊断覆盖率可判定为高(99%)。对于总线系统,诊断了“地址stuck-at”、“数据或地址stuck-at”、“无或连续访问”、“仲裁信号stuck-at”故障的总线,诊断覆盖率可判定为低(60%);诊断了“超时”、“错误的地址解码”、“数据和地址的DC故障模型”、“访问时间错误”、“无或连续仲裁”故障的总线,诊断覆盖率可判定为中(90%);诊断了“超时”、“错误的地址解码”、“影响内存数据的所有故障”、“数据或地址错误”、“访问时间错误”、“无或连续仲裁”故障的总线,诊断覆盖率可判定为高(99%)。对于如处理单元、看门狗等CPU单元,诊断了“数据和地址stuck-at”、“错误编码或不执行”、“stuck-at”故障的单元,诊断覆盖率可判定为低(60%);诊断了“数据和地址的DC故障模型”、“错误编码或错误执行”、“DC故障模型”故障的单元,诊断覆盖率可判定为中(99%);诊断了“数据和地址的DC故障模型”、“内存单元的动态交叉”、“无寻址、错误寻址或多重寻址”、“未定义失效假设”、“DC故障模型”的处理单元,诊断覆盖率可判定为高(99%)。对于中断处理单元,诊断了“无或连续中断”故障的单元,诊断覆盖率可判定为低(60%);诊断了“无或连续中断”、“中断的交叉”故障的单元,诊断覆盖率可判定为中(90%)。对于不可变内存,诊断了“数据和地址固定故障(stuck-at)”故障的单元,诊断覆盖率可判定为低(60%);诊断了“数据和地址的DC故障模型”故障的单元,诊断覆盖率可判定为中(90%);诊断了“影响内存数据的所有故障”的单元,诊断覆盖率可判定为高(99%)。对于可变内存,诊断了“数据和地址固定故障”的单元,诊断覆盖率可判定为低(60%);诊断了“数据和地址的DC故障模型”、“软错误引起的信息改变”故障的单元,诊断覆盖率可判定为中(90%);诊断了“数据和地址的DC故障模型”、“内存单元的动态交叉”、“无寻址、错误寻址或多重寻址”、“软错误引起的信息改变”故障的单元,诊断覆盖率可判定为高(99%)。对于传感器,诊断了“固定故障”的单元,诊断覆盖率可判定为低(60%);诊断了“DC故障模型”、“漂移和振动”故障的单元,诊断覆盖率可判定为中(90%)。对于最终元件如执行器,诊断了“固定故障stuckat”故障的单元,诊断覆盖率可判定为低(60%);诊断了“DC故障模型”、“漂移和振动”的单元,可判定为中(90%)。SIL等级越高,要求的诊断覆盖率就越高。因此SIL3级设备诊断的故障类型必定多于SIL1级设备,采取的技术措施的有效性也一定高于SIL1级系统。2 控制由硬件和软件设计引起失效的技术措施必须采用程序顺序监视技术,检测出有缺陷的程序序列。该技术为SIL1~4级所极力推荐的。若不使用这种技术或措施,则应详细说明不使用的理由。对于SIL1级系统,可采用程序顺序的时序或逻辑监视,但对于SIL4级系统,就必须通过程序中的多个检测点进行程序顺序的时序和逻辑监视。应在“利用在线监视检测失效”、“利用冗余硬件进行测试”、“访问端口和边界扫描结构的标准测试”、“代码保护”、“多种硬件”、“故障检测和诊断”、“差错校验和纠错码”、“失效断言编程”、“安全包技术”、“多种程序设计”等技术中至少选择一种,应用于控制硬件或软件设计引起的系统失效。3 控制由环境用力或影响引起的失效必须采用防电压击穿、电压波动、过压、低压的措施,检测或允许一个电源引起的失效;必须分隔开电力线和信息线,以减小信息线中大电流感生的串音;必须提高抗干扰性,以减小对安全相关系统的电磁干扰;必须采用抗物理环境(如温度、湿度、水、振动、灰尘、腐蚀物)的措施,以防止实际环境的影响引起失效;这些技术为SIL1~4级所极力推荐,若不使用这种技术或措施,则应详细说明不使用的理由。要采用抗温升措施,控制通风和加热中的失效。
安全控制技术仪器仪表标准化与计量2007・516
对于SIL1系统,可以使用温度传感器检测超标温度;对于SIL4系统,则要求通过热保险丝触发安全关闭这样有效性高的技术。应在“利用冗余硬件进行测试”、“代码保护”、“抗合成信号传输”、“多种硬件”等技术中至少选择一种,应用于控制由环境应用或影响引起的失效。4 控制操作过程失效的技术措施必须采取修改保护技术,防止修改安全相关系统的硬件与软件。例如利用传感器信号的似真性检查、技术过程检测以及自动起动测试,自动控制地检测修改或变换。当检测到一个修改时,就采取应急动作。应在“利用在线监测检测失效”、“输入确认”、“失效断言编程”等技术中至少选择一种,应用于控制系统工作失效。5 在安全要求规范中避免失误的技术措施为了达到所需要的功能安全,从安全要求规范入手,避免失误是十分必要的。必须有项目管理。在开发和测试安全相关系统时采用一种组织模型、一些规则和措施。包括:建立一个组织模型,特别是质量保证的组织模型;定义一个设计机构;定义一个序列计划;定义一个内部检验的标准化程序;配置管理与采用质保措施定量评估。对于SIL1系统,要求有行动和责任的定义、进度表编制和资源分配、相关人员培训、修改后的一致性检查等措施;但对于SIL4系统,就要求与设计无关的确认、项目监视、标准化的确认规程、配置管理、失效统计、计算机辅助工程、计算机辅助软件工程等措施保障,才能达到要求。必须编制文档,通过把开发过程中的每一步编写成文件从而避免失效和便于评估系统安全性。对于SIL1系统,要求有图形和自然语言描述,例如方块图、流程图;而对于SIL4系统,就要求有与整个文档组织的内容和编排相协调的指南、内容检查列表、计算机辅助文档管理、形式化变更控制等措施。要求分离开安全相关系统与非安全相关系统。对SIL1系统,只要安全相关系统与非安全相关系统之间有定义完善的接口就可以接受,但对于SIL4级系统,就要求完全将二者分离,非安全相关系统不应对安全相关系统进行写访问,而且物理位置完全分开,以避免共同原因的影响。应在“规范的检查”、“半形式化的方法”、“检查列表”、“计算机辅助规范工具”、“形式化方法”等技术中至少选择一种,应用于安全要求规范中避免失误。6 在设计和开发过程中避免引入故障的技术措施必须遵循指南和标准进行系统设计,采用项目管理、编制文档等措施,进行结构化、模块化设计。这些措施的严格程序及技术应用的深度,取决于SIL等级,SIL级别越高,技术措施的严格程序及有效性要求越高。应在“全用经充分试验过的部件”、“半形式化方法”、“检查列表”、“计算机辅助设计工具”、“仿真”、“硬件检查或硬件走查”等技术中至少选择一种,应用于在设计和开发过程中避免引入故障。7 在集成过程中避免故障的技术措施必须采用项目管理、编制文档和功能测试技术,避免在集成阶段产生失效以及揭示在本阶段和前面阶段产生的失效。这些措施的严格程序及技术应用的深度,取决于SIL等级,SIL级别越高,技术措施的严格程序及有效性要求越高。应在“黑盒测试”、“现场经验”、“统计测试”等技术方法中至少选择一种,应用于在集成过程中避免故障。8 在操作和维护规程中避免失效的技术与措施必须制定操作和维护说明书,充分考虑用户友善性、维护友善性,采用项目管理并编制文档。这些措施的严格程序及技术应用的深度,取决于SIL等级,SIL级别越高,技术措施的严格程序及有效性要求越高。应在“有限的操作可能性”、“防止操作员出错”、“仅可由熟练操作员进行操作”等要求中选择至少一种,应用于在操作和维护规程中避免失效。9 在安全确认过程中避免失效的技术措施在进行安全确认过程中,必须采取功能测试、在环境条件下测试功能技术以评估安全相关系统是否能耐受典型的环境影响;必须采取浪涌抗扰性测试检验安全相关系统应付峰值浪涌的能力;采用故障插入测试技术评估系统执行安全功能的可靠性。同时针对不同等级SIL系统,执行不同等级的项目管理与文档编制管理要求。应在“静态分析、动态分析和失效分析”、“仿真和失效分析”、“最差情况分析、动态分析和失效分析”、“静态分析和失效分析”等分析技术中选择至少一种,应用于在安全确认过程中避免失效。应在“扩展的功能测试”、“黑盒测试”、“故障插入测试”、“静态测试”、“最差情况测试”、“现场经验”等测试技术中至少选择一种,用于在安全确认过程中避免失效。10 结束语为了实现功能安全,需要采用大量的技术措施避免和控制失效。本文1~4章论述了用于控制随机硬件、系统、环境和操作失效的技术与措施,5~9章论述为了避免生命周期不同阶段中系统失效的技术与措施。结合上一讲的内容,集中反映了安全相关系统及硬件SIL设计时需要考虑的主要方面。(下一讲将介绍安全控制软件的功能安全要求。)□