“功能安全产品实现技术”系列讲座 第10讲实用功能安全设计技术解析

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013修改稿收到日期:2013-05-14㊂第一作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第1讲　安全相关产品的实现Chapter Ⅰ　Implementation of the Safety Related Products谢亚莲1,2　尹宝娟3(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233;环境保护部核与辐射安全中心3,北京　100082)摘　要:根据功能安全的理论,对安全相关产品的实现过程进行了梳理㊂具体给出了实现安全相关产品的脉络,即如何将一个产品设计成满足安全完整性等级要求的安全相关产品㊂设计过程从结构上说,主要包括硬件实现和软件实现;从安全完整性来说,主要包括硬件安全完整性的实现和系统安全完整性的实现㊂关键词:安全相关产品　功能安全　安全完整性等级　随机硬件失效　系统失效中图分类号:TP202 文献标志码:AAbstract :The implementing process of the safety related products is analyzed and summarized in accordance with the theory of functional safety.The main route of the implementation of safety related products is given specifically ,i.e.,how to design a safety related product which meets the safety integrity level (SIL )requirements.From the structural viewpoint ,it mainly includes hardware implementation and software implementation ;while in respect of the safety integrity ,it includes the implementation of hardware safety integrity and the implementation of system safety integrity.Keywords :Safety related product　Functional safety　Safety integrity level (SIL )　Random hardware failure　System failure0　引言功能安全于20世纪80年代末起源于欧洲,其目的是为了控制㊁避免和减轻风险的发生,保证人员㊁财产和环境的安全㊂功能安全技术以可靠性技术为基础,综合了软硬件设计技术㊁试验技术㊁管理科学等,并将这一理念注入到软硬件设计中㊂1995年,欧洲率先推出了功能安全在机械领域的标准EN954;1998年,国际电工委员会(IEC)首次推出了功能安全的基础标准IEC 61508电气/电子/可编程电子安全系统的功能安全的第1部分,2000年,又相继推出了IEC 61508的第2部分和第7部分㊂在中国,2006年IEC 61508的等同标准GB /T 20438电气/电子/可编程电子安全相关系统的功能安全正式面世,标志着功能安全的理念已正式进入中国㊂目前,在石油化工㊁电力㊁机械等各领域,对可构成安全相关系统的安全相关产品有广泛的需求,而如何实现安全相关产品正是本文所要呈现的内容㊂1　安全相关产品的构成暂且定义可构成安全相关系统的㊁满足功能安全设计实现要求的㊁具有安全相关参数的产品是安全相关产品㊂安全相关系统通常由前端传感器单元㊁中间输入单元㊁逻辑单元与输出单元㊁终端执行单元构成,如广泛用于过程工业的压力变送器㊁温度变送器㊁气体探测器㊁液位变送器㊁可编程控制器㊁分布控制系统(distributed control system,DCS)㊁电磁阀㊁执行机构㊁截止阀㊁关断阀等都可成为安全相关产品㊂安全相关产品通常由硬件和软件构成,其示意如图1所示,结构如表1所示㊂图1　安全相关产品构成图Fig.1　The composition of safety related products29安全相关产品的实现　谢亚莲,等‘自动化仪表“第34卷第6期　2013年6月图1中:PE 为可编程电子装置;NP 为非可编程装置;H /W 为硬件;S /W 为软件㊂表1　可编程电子安全相关产品结构Tab.1　Structure of the programmable electronicsafety related productsPE 硬件结构PE 软件结构　PE 嵌入式软件PE 应用软件相关硬件,如CPU㊁I /O 卡㊁A /D 转换等　属系统软件,如通信驱动㊁故障处理㊁数据处理等用户应用软件,如输入/输出功能等2　安全相关产品的实现2.1　安全完整性等级安全完整性等级(safety integrity level,SIL)是指赋予安全相关产品的特有定量指标,也即SIL 等级(SIL1~SIL4)㊂安全完整性包含硬件安全完整性和系统安全完整性,衡量硬件安全完整性等级的一个重要因素是通过对定量参数的计算来评判㊂硬件安全完整性等级的划分如表2所示㊂表2　安全完整性等级对应的目标失效量Tab.2　The amount of target failure corresponding to the SIL安全完整性等级(SIL)要求时的平均失效概率每小时危险失效概率4[10-5,10-4)[10-9,10-8)3[10-4,10-3)[10-8,10-7)2[10-3,10-2)[10-7,10-6)1[10-2,10-1)[10-6,10-5)系统能力是衡量系统安全完整性满足规定的安全完整性等级的信心,表示为SC1~SC4㊂系统安全完整性包含硬件系统安全完整性和软件系统安全完整性,其通过采取控制系统失效的措施和避免系统失效的措施来达到㊂与完整性相关的概念如下㊂①安全完整性:E /E /PE 安全相关系统在规定的条件下㊁规定的时间内满意地执行规定的安全功能的概率㊂②硬件安全完整性:安全相关系统的部分安全完整性,其与硬件随机失效的危险失效相关㊂③系统安全完整性:安全相关系统的部分安全完整性,其与属于危险失效的系统失效相关㊂④软件安全完整性:安全相关系统的部分安全完整性,其与由软件引起的㊁属于危险失效的系统失效相关㊂⑤安全完整性等级:一种离散的等级(四种可能等级之一),对应于安全完整性值的一个范围㊂四个安全完整性等级对应的目标失效量见表2㊂2.2　安全相关产品的实现根据图1所示安全相关产品构成图,通常可简单地认为安全相关产品由硬件和软件构成㊂安全相关产品的实现过程如图2所示㊂图2　安全相关产品的实现Fig.2　The implementation of safety related products由图2可知,达到目标安全完整性等级的安全相关产品的实现,就在于在安全相关产品的开发过程中使其硬件安全完整性等级和软件安全完整性等级达到目标安全完整性等级,即在设计开发过程中采取一些措施和手段降低随机硬件失效中不可诊断的危险失效的份额,同时采取一些措施和手段避免和控制产品在开发过程中引入的系统失效㊂这里硬件随机失效定义为由硬件的一个或几个可能的失效机理引起的㊁在随机时间发生的失效,随机硬件失效是可以量化的㊂系统失效被认为是与确定原因相关的失效,能通过改变设计㊁生产过程㊁操作模式㊁操作指令或其他影响因子来消除,系统失效是不能被量化的㊂2.3　与硬件安全完整性相关的参数安全相关产品的硬件从结构功能上来划分,又是由各子系统构成的㊂因此,要达到安全功能要求的安全完整性等级,除了要满足每个安全功能的危险失效概率要求,各子系统还要满足结构约束的要求,如表3所示㊂表3　结构约束Tab.3　Structural constraints安全失效分数安全结构HFT =0(1oo1)HFT =1(1oo2)HFT =2(1oo3)Type A Type B Type A Type B Type A Type B <60%SIL1不允许SIL2SIL1SIL3SIL260%~90%SIL2SIL1SIL3SIL2SIL4SIL390%~99%SIL3SIL2SIL4SIL3SIL4SIL4≥99%SIL3SIL3SIL4SIL4SIL4SIL4与完整性等级相关的硬件安全完整性由安全相关参数安全失效分数(safe failure fraction,SFF)(针对子系统)㊁硬件故障裕度(HFT)(针对子系统)㊁危险失39安全相关产品的实现　谢亚莲,等PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013效概率(PFDavg /PFH)(针对每个安全功能)构成㊂硬件安全完整性的实现是通过设计合适的结构㊁采用适当的故障诊断措施等来满足上述安全相关参数的要求㊂2.4　系统安全完整性系统安全完整性包含硬件系统安全完整性和软件安全完整性㊂硬件安全完整性等级的系统安全完整性是通过采用避免系统失效的措施和控制系统故障的措施的实现㊂避免系统失效的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录B,推荐针对硬件在不同安全生命周期阶段避免系统失效的措施和方法㊂安全相关产品在下列阶段必须考虑避免系统失效:①设计需求规范;②设计和开发;③集成;④运行和维护;⑤确认㊂控制系统故障的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录A 表A15~表A17㊂IEC 61508标准要求应用质量管理(quality management,QM)的措施来避免在产品生命周期的不同阶段的失效,并根据安全完整性等级(SIL)采用相应的一些措施㊂如果按照推荐的重要度和有效性,采用这些措施可以减少可能的失效,然而设计失效或一般系统失效仍然存在于产品中,即无论这些措施被如何采用,仍然有残余系统失效概率发生,所以要求采取一些措施和技术,以控制系统故障㊂可采取的措施有以下几项㊂①控制由HW 和SW 设计引起的失效;②控制由环境应力或外部影响引起的失效;③控制由操作引起的失效㊂软件安全完整性的实现是通过在软件开发的生命周期中采用避免系统失效的措施㊂避免失效的措施见IEC 61508.3(GB /T 20438⁃3)附录A,需根据要求的安全完整性等级确定采用的措施㊁确定采用措施的有效性㊂3　结束语本文是对安全相关产品的实现的一个概述,希望借此文给读者展示关于安全相关产品实现的一个脉络,后续讲座将就此脉络展开,详述安全相关产品的实现过程㊂对证明安全相关产品实现过程的证据的评审,就是对安全相关产品的安全完整性等级(SIL)的评估㊂(上接第91页)集到的H 2S 浓度㊁位置等信息通过无线传感器网络发送到中控室,由中控室的上位机集中监视现场的H 2S 浓度和工作人员的位置㊁安全情况,有效地防止了H 2S 中毒事故的发生㊂参考文献[1]梁东.浅析硫化物对炼油设备的危害及防治对策[J].安全㊁健康和环境,2004(2):10-12.[2]朱燕群,刘克俭.石油加工行业中硫化氢的危害性及安全对策分析[J].职业与健康,2006(16):1248-1250.[3]隋秀香,李相方,尹邦堂,等.井场硫化氢检测系统的研制[J].天然气工业,2011(9):82-84.[4]戴天有,韩涛,王琴惠.硫化氢检测管的研制[J].干旱环境监测,2001(2):70-72.[5]杨燕明,王小如,杨芃原,等.半导体传感器检测含硫化氢可燃性气体的研究 硫化氢与可燃性气体的快速分离[J].化学传感器,1995(3):216-219.[6]刘美.WSN 多目标跟踪节点任务分配及跟踪算法研究[D].广州:华南理工大学,2010.[7]吴强荣.硫化氢检测仪的测量原理与应用[J].中国计量,2009(2):83-84.[8]李保中,郑应伟.硫化氢气体检测仪的使用与管理[J].计量技术,2008(7):59-61.[9]朱亮,严龙,邹兵,等.便携式硫化氢检测仪[J].仪表技术与传感器,2011(3):31-33.行业信息积极推进培训工作,有效拓展服务范畴作为国家人力资源和社会保障部 专业技术人才知识更新工程”的专项培训施教机构之一,上海工业自动化仪表研究院继续教育培训中心在5月先后成功举办了 仪器仪表及系统可靠性与功能安全技术培训班”㊁ 防爆技术高级研修班”㊂来自行业内生产制造企业㊁用户单位以及科研院所的近百名学员参加了此次培训并通过了考核㊂培训中心关注企业对安全生产的实际需求㊂功能安全培训旨在帮助企业相关人员认识功能安全的重要性,掌握自动化仪表功能安全技术㊂防爆技术培训则通过对工业防爆安全管理理念㊁爆炸基础理论以及最新防爆技术的介绍,增强从业人员对安全事故隐患的预防㊁甄别和应急能力㊂49安全相关产品的实现　谢亚莲,等。

产品安全功能和自身安全功能说明产品安全功能和自身安全功能是指产品本身带有的安全防护措施和功能，用于保护用户和产品本身的安全性。

本文将从硬件安全、软件安全和网络安全等方面详细说明产品的安全功能。

首先，从硬件安全方面来看，一个安全的产品需要具备以下功能：1.物理安全防护：产品应采用坚固的外壳结构设计，防止外界物体对内部电路和元件的破坏，确保产品的稳定运行。

同时，产品还应具备抗震、防水、防尘等功能，以满足各种使用环境的需求。

2.防火防爆设计：对于一些特殊行业或是危险品行业的产品，需要具备防火防爆功能，以避免意外的发生，确保用户和设备的安全。

3.防电磁干扰：产品内部电路应设计为抗干扰能力强的电路，以避免外界电磁干扰对产品的影响。

同时，产品应具备对电磁辐射的抑制措施，以避免对周围环境和用户的干扰。

接下来，从软件安全方面来看，一个安全的产品需要具备以下功能：1.数据加密：产品应具备数据加密功能，保障用户在使用产品时的数据安全性。

可以采用对称加密算法或非对称加密算法等方式，确保数据传输的安全性和完整性。

2.身份认证和权限控制：产品应具备身份认证和权限控制功能，确保只有合法的用户才能使用产品，并且根据用户的权限不同，限制其访问和操作的范围，以防止非法操作和数据泄露。

3.漏洞修复和软件更新：产品应具备自动漏洞修复和软件更新功能，及时修复产品中的安全漏洞，避免被黑客攻击。

同时，产品应定期更新软件，以获得最新的安全性能和功能。

最后，从网络安全方面来看，一个安全的产品需要具备以下功能：1.防止入侵和攻击：产品应具备防火墙和入侵检测系统等功能，可以监控和阻止来自网络的攻击和入侵，保障网络的安全性。

2.数据传输加密：产品应具备安全的数据传输通道，采用SSL/TLS 等加密协议，确保用户在使用产品时的数据传输安全。

3.安全监控和报警：产品应具备安全监控和报警功能，及时监测和发现异常情况，并向用户发送报警信息，以便用户及时采取措施。

PROCESS AUTOMATION INSTRUMENTATION Vol.35No.2February 2014修改稿收到日期:2013-12-10㊂作者廖丽华(1983-),女,2010年毕业于南京航空航天大学安全技术及工程专业,获硕士学位;主要从事功能安全及软件的验证与确认方面的研究工作㊂功能安全产品实现技术”系列讲座第9讲　安全相关产品的软件实现(三)Chapter Ⅸ　Implementation of the Software for Safety Related Products :Part 3廖丽华1,2　谢亚莲1,2(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233)摘　要:首先介绍了功能安全相关产品软件实现中软件验证与确认的狭义概念㊂然后基于标准IEC 61508⁃3:2010(GB /T 20438.3⁃2013),对软件安全生命周期中代码复审㊁模块测试与集成测试的一系列验证要求进行了分析,并针对每个阶段的活动流程㊁内容要求㊁测试用例设计方法㊁测试规程㊁测试结果的评审等做出详细的说明㊂最后提出安全软件的自身特性㊂关键词:功能安全　安全软件　验证与确认　代码复审　模块测试　集成测试中图分类号:TP202 文献标志码:AAbstract :Firstly ,the narrow concept of software verification and validation for functional safety related products in software implementation are introduced.Then ,on the basis of IEC 61508⁃3:2010(GB /T 20438.3⁃2013),a series of verification requirements in software safety life cycle are analyzed ,e.g.,the code review ,module testing and integration testing ,and aiming at activity processes ,contents requirement ,test case design methodologies ,test procedures and the assessments to the test result in each stage are introduced in detail.Finally ,the own characteristics of safety software are proposed.Keywords :Functional safety　Safety software　Verification and validation　Code review　Module test　Integration test0　引言功能安全软件的一切验证和确认活动主要是为检验与评估软件是否已正确执行其产品的安全功能㊂软件验证主要针对安全完整性等级要求的程度,测试和评估软件安全生命周期在给定阶段的输出,保证该阶段输出对于相应输入的正确性和一致性;软件确认主要是为了证明安全相关产品在软硬件集成后符合软件安全要求规定㊂本文所述的软件验证是指狭义的软件安全生命周期中后期的静态代码复审㊁模块测试㊁集成测试阶段的验证技术,主要是动态的,与上述安全生命周期的早期的几个阶段不同,因为前期的验证主要是静态的㊂本文的软件验证技术主要是软件测试,它是软件代码实现后(除代码复审外)一切验证与确认活动的主要方法,其首要条件是最好考虑到软件验证的独立性,必须由开发人员外的专业领域测试人员进行,避免陷入开发人员既定的编程思维,从而不利于算法优化㊁代码优化,避免代码重用等错误㊂1　代码复审代码复审可依靠多种代码检查方式来完成,包括软件审查㊁人工走查和形式化检查㊂代码复审是针对软件的整个源代码,不管是一般芯片自带的㊁编译器自动生成的和人工开发的代码,都要进行软件走查和人工走查,一般同时进行,相辅相成;而形式化检查是否需要,则按安全完整性等级和软件模块设计规范选择㊂为达到软件安全完整性等级的要求,源代码应需具有以下代码属性:可读㊁可理解㊁可测试性;满足软件模块设计的规定要求;满足编码标准的规定要求;满足安全计划编制中规定的所有相关要求㊂软件走查的主要任务是依据制定好的软件编码标准和已选择的软件测试工具对源代码进行分析,从而生成代码复审报告;然后让开发人员针对违背编码标准的语句在不会影响整个模块设计的前提下(如果确认为模块设计的问题,则重回模块设计阶段修改验证)进行修改,直到顺利通过编码标准为止;最后如果存在软件和硬件的实际需求而无法通过编码标准的语句,则须针对每条语句给予违背编码规则说明文档记录㊂29第9讲　安全相关产品的软件实现(三)　廖丽华,等‘自动化仪表“第35卷第2期　2014年2月人工走查的主要工作是依据‘软件详细设计说明“对源代码进行分析,确保所有代码是执行预定功能且不执行其非预定功能,去除一切重复㊁无用㊁错误的代码;除此之外还要针对软件走查的代码复审报告进行逐条语句验证与确认,该条语句是否确实违背编码规则㊂这个检查工作非常关键,需复审人员耐心地读懂程序并仔细地推敲其是否与‘软件详细设计说明“达成一致性㊁正确性㊁完整性㊂形式化检查一般在安全相关产品规定的软件安全功能和软件系统性能能力较高且软件系统比较复杂的情况下使用,是一种动态的分析方法;使用某种严格的数学方法来证明复杂的软件不存在数据溢出㊁内存泄露㊁未初始化的内存㊁被零除和指针越界等运行时错误㊂该方法也能靠软件测试工具支持㊂代码复审的执行过程如图1所示㊂图1　代码复审的执行过程Fig.1　Execute process of code review2　模块测试测试软件模块是对代码实现和软件模块设计的验证,与代码复审相结合,用于确保软件模块设计满足其相关规范㊂该阶段重点是选用合适的测试方法对软件模块的具体实现㊁内部的逻辑结构㊁数据流向等进行全面的测试,除了功能需求,还要增加非正常逻辑的测试,而这些是影响到软件单元测试充分性的关键,最终确保软件执行其预定功能且不执行其非预定功能㊂功能安全软件的模块测试在开始前一般应具备以下条件:模块测试规范及计划(模块设计阶段已生成);所提交的被测软件版本受控(源代码清单);源代码已正确通过编码规则检查(代码复审报告);源代码已正确通过编译或汇编;软件详细设计说明;已搭建好的测试环境(包括测试的运行环境和测试工具环境)㊂采用的测试方法为白盒,在其基础上确定测试需要的其他配套技术及方法,如测试数据生成与验证技术㊁测试数据输入技术㊁测试结果获取技术㊂设计测试用例一般需考虑下面几个方法:边界值分析;控制流分析;接口分析;等价类方法;形式化证明或断言;量化的统计证据㊂功能安全软件的模块测试活动流程如图2所示㊂模块测试各阶段的输入㊁输出如图3所示㊂图2　软件模块测试活动流程Fig.2　Activity process of software moduletesting图3　模块测试中各阶段的主要数据流Fig.3　The main dataflow of each stage during module testing根据模块测试计划中测试须达到的覆盖率水平等进行结果核对,判断是否出现异常或需要补充测试用例情况,如出现相应的情况应做出对应的处理,其具体流程如图4所示㊂图4　结果核对活动的控制流程Fig.4　The controlling flowchart of result verification activities最后应对测试执行活动㊁模块测试文档(包括模块测试报告㊁测试用例㊁测试记录㊁测试日志和测试异常报告等)进行评审㊂评审一般包括下面几点内容:测试执行活动的有效性;测试结果的正确性㊁完备性和合理性;整个测试过程是否达到了模块测试规范的要求;测试中所有生成的文档是否符合规范㊂结束模块测试工作一般应具备以下条件:已按要求完成了模块测试规范所规定的测试任务;实际测试过程遵循了原定的软件测试计划要求;客观㊁详细地记录了测试过程和测试中发现的所有问题;测试文档齐39第9讲　安全相关产品的软件实现(三)　廖丽华,等PROCESS AUTOMATION INSTRUMENTATION Vol.35No.2February 2014全㊁符合规范;测试的全过程自始至终在控制下进行;测试中的问题或异常有合理解释或正确有效的处理;全部测试工具㊁被测软件㊁测试支持软件和评审结果已纳入配置管理㊂3　集成测试功能安全软件由于通常是嵌入式软件,所以集成有两个概念,一个是纯粹的软件模块集成,一个是硬件和软件相结合的可编程电子集成,本文所述的集成是没有硬件参与的软件集成㊂软件集成测试主要是验证所有软件模块相互作用以实现其预定功能而不实现非预定功能,确保软件系统满足安全功能和系统性能力的特定要求㊂功能安全软件的集成测试活动流程如表1所示㊂对具体的安全相关产品的软件,可根据软件安全功能和软件系统性能力选择适当的集成测试技术㊂软件集成测试一般应符合以下要求:①对集成软件进行必要的静态分析;②采用自底向上增量集成法,测试新组装的软件集成;③逐项测试软件概要设计文档规定的软件的功能㊁性能等特性;④测试软件之间㊁软件和硬件之间的所有接口;⑤测试运行条件(如数据结构㊁输入/输出通道容量㊁内存空间㊁调用频率等)在边界状态下和人为设定的状态下软件的功能和性能;⑥应按概要设计文档要求,对软件的功能㊁性能进行强度测试;⑦对执行安全功能代码进行安全性分析,明确每一个故障状态和导致故障的可能原因,并对执行安全功能代码进行针对性㊁重复性的测试㊂表1　软件集成测试活动流程Tab.1　The controlling flowchart of result verification activities任务活动输入材料活动内容输出材料制定集成测试计划软件概要设计说明;系统集成测试规范;软件架构设计说明将软件划分为可管理的集成集;指定集成测试的总方法;指定完备的测试要求;指定测试完成的标准;指定总的进度安排详细的集成测试计划指定测试资源的要求集成测试的总体资源需求设计集成测试用例集成测试计划;软件集成测试规范;软件源代码清单;软件概要设计说明获取模块层次结构图;按需求获取测试规程;确定测试用例设计方法;根据产品信息,按需扩大测试用例集的说明集成测试用例;集成测试的增强需求;附加的测试用例说明;实现集成计划集成测试用例;测试流程;测试的总体资源需求;软件数据结构说明搭建测试环境;编制测试脚本,更新测试过程测试脚本;测试过程设计并实施驱动或桩驱动程序执行集成测试测试用例说明;测试脚本与驱动程序;集成测试规范说明;配置完备的测试环境运行测试;记录并判定测试结果;分析每次失败原因,采取对应措施包含在测试总结报告中的执行信息(包括测试输出㊁测试事件描述㊁故障分析结果㊁错误修正活动㊁不能修改错误的理由㊁资源消耗数据㊁执行轨迹总结信息等)核对测试完成准则判定测试完成的准则;执行信息;测试规范说明对测试过程的正常终止情况进行核对;对测试过程的异常终止情况进行核对;补充测试集记录于测试总结报告内的核对信息,包括终止条件及任何测试用例的附加情况;附加的或修订后的测试规格说明;附加的测试数据评价测试效果和被测的软件集成测试计划;执行信息;核对信息;附加的测试用例说明描述测试状态;描述软件系统状态;完成测试总结报告;保存测试中的所有文档测试结果分析报告;全部测试工具㊁被测软件㊁测试支持软件和评审结果已纳入配置管理4　结束语功能安全软件的验证与确认贯穿于安全相关产品软件实现的全过程㊂由于该活动是可重复性的,所以配置管理至关重要,以便后期如果出现事故查找故障出处㊂同时,还要注重安全软件本身的特性:①无移植性,针对软件使用的特定环境而开发的功能安全软件,其如需移植,则必须重新测试使用平台;②灵活性,在保证完成安全功能的前提下要保持软件操作等的灵活性;③效率性,安全软件主要是实现安全功能,如果没有产品特别需求,这个不需太强求;④正确性,这个是必须要遵循的,整个验证和确认过程都是为了证明这一点㊂49第9讲　安全相关产品的软件实现(三)　廖丽华,等。

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.7July 2013修改稿收到日期:2013-05-14㊂作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第2讲　功能安全与安全相关产品Chapter Ⅱ　Functional Safety and Safety⁃related Products谢亚莲1,2(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233)摘　要:介绍了引入功能安全的原因和功能安全的目的,以及危险㊁风险㊁安全功能㊁安全完整性和安全相关系统之间的内在关联㊂通过一个安全相关系统的实例,给出了几类安全相关产品确定安全功能和设定安全完整性目标值的方法;同时指出了执行机构和阀的特殊性,并针对这种特殊性,引入了部分行程测试这一解决方法㊂关键词:功能安全　危险　风险　安全功能　安全完整性等级中图分类号:TP202 文献标志码:AAbstract :The reasons for introducing functional safety and the purposes of functional safety ,as well as the inherent relationship among hazards ,risks ,safety function ,safety integrity ,and safety⁃related system are described.With a safety related system as practical example ,the methods of determining safety functions and setting target values of safety integrity for several types of safety related products are given.Inaddition ,the particularities of the actuator and valve are pointed out ,and in accordance with these particularities ,the solution of partial stroke test is introduced.Keywords :Functional safety　Hazard　Risk　Safety function　Safety integrity level0　引言IEC 61508(GB /T 20438)是完整的㊁系统性的关于电气/电子/可编程电子安全相关系统的功能安全的基础标准;以基于风险的方式确定E /E /PE 安全相关系统的安全要求规范;采用整体安全生命周期模型作为技术框架,系统地论述了为保证E /E /PE 安全相关系统的功能安全所需进行的活动㊂本文通过对危险㊁风险㊁安全功能㊁安全完整性㊁安全相关系统㊁安全相关产品之间的内在关联的介绍,有助于大家了解以下几个概念,即安全相关产品为什么要具有这样的安全功能,并达到这样的安全完整性与安全完整性等级㊂1　功能安全功能安全,首先是安全的概念,所谓安全就是不存在不可接受的风险,这种风险是指由危险的发生而造成的对人身健康的伤害㊁财产的损失和环境的破坏㊂功能安全是属于受控装置(equipments under control,EUC)和EUC 控制系统的整体安全的一部分㊂用于避免使在爆炸气体中的设备成为潜在点燃源的安全装置,如处在爆炸气体中的笼型转子,当转子的温度超过某一限值,将会引起气体爆炸㊂要限制笼型转子的温升,采用一个依赖于电流的安全装置,即将测量转子的电流作为输入信号,当电流超过某一限定值,采取措施切断笼型转子的供电电源,从而防止爆炸危险的发生㊂这属于功能安全㊂采用风扇抽风强制降温的方式,也属于安全的一个例子,但它不能保证防止危险的发生,不属于功能安全㊂由于EUC 和EUC 控制系统潜在的危险而导致风险的存在,从而引出了对功能安全的需求㊂功能安全的起因是危险和风险,功能安全的目的是将风险降低到可接受的范围内,功能安全的实现是通过电气/电子/可编程安全相关系统(简称E /E /PE 安全相关系统)㊁其他技术安全相关系统和外部风险降低设施正确执行其功能㊂功能安全的目的示意图如图1所示㊂29功能安全与安全相关产品　谢亚莲‘自动化仪表“第34卷第7期　2013年7月图1　功能安全目的示意图Fig.1　The purpose of functional safety功能安全是 纵深防御”的理念㊂E /E /PE 安全相关系统通常用于预防危险的发生,在危险条件产生时即切断危险源,使EUC 及其控制系统保持在安全状态;虽然在一些情况下它也用于减轻危险产生的后果,例如气体探测器检测到着火或气体泄漏,采取紧急减压措施㊂其他技术安全相关系统和外部风险降低设施用于在危险发生后减轻危险所造成的后果,通常它是在控制系统失控㊁E /E /PE 安全相关系统因危险失效而不能执行其安全功能时发挥作用,例如属于其他技术安全相关系统的减压阀泄压,属于外部风险降低设施的安全壳将危险源密封在壳内,阻止其向外扩散㊂当然,功能安全的基础标准GB /T 20438所关注的是E /E /PE 安全相关系统,我们所研究和关注的也是E /E /PE 安全相关系统实现的安全功能㊁安全功能降低风险的能力即安全完整性等级㊁构成E /E /PE 安全相关系统的安全相关产品等㊂2　安全功能与安全相关系统安全相关这个词语是被用来描述要求执行规定的功能,以确保风险保持在一个可接受的水平㊂这个规定的功能就被定义为安全功能㊂因此,执行安全功能的系统就是安全相关系统㊂对安全相关系统的要求包含安全功能的要求和安全完整性等级的要求㊂安全功能的要求来源于危险分析,即必须做什么以避开危险事件;安全完整性等级的要求来源于风险评估,即安全功能必须执行到什么程度以使残余风险可接受㊂安全相关系统需求产生的过程如图2所示㊂图2　安全相关系统需求产生示意图Fig.2　The demand generation of safety⁃related systems EUC 和EUC 控制系统的功能安全中包含一个或多个安全相关系统,以实现一个或多个安全功能㊂安全相关系统通常独立于装置控制系统,但也存在装置控制系统同时作为安全相关系统执行安全功能㊂一些领域的功能安全标准对安全相关系统的独立要求有明确规定㊂如在自动扶梯和自动人行道的标准EN 115⁃2008(国标GB 16899⁃2011)中就明确规定安全相关系统和电梯控制系统必须分开㊂3　安全相关产品的目标设定虽然我们在上述内容中讲述了危险㊁风险㊁安全功能和安全相关系统它们之间的内在关联,但是安全相关产品的设计者并不需要过多关注危险和风险,而是需要知道作为实现功能安全的基础 安全相关产品在安全相关系统中需实现的功能以及安全完整性需要达到的目标值㊂在过程工业中,存在这样一个安全相关系统:当反应炉烧嘴板冷却水流量低时,执行烧嘴板及燃烧室保护㊂安全相关系统的安全功能描述为:当反应炉烧嘴板冷却水流量低于低低报警(LL)值,触发连锁,同时关闭氧气进料阀㊂辅助功能为打开放空阀,该功能属于非安全功能㊂安全功能的安全完整性等级要求达到SIL2㊂安全相关系统配置如表1所示,按常规安全相关系统的安全完整性目标值分配如图3所示㊂表1　安全相关系统配置表Tab.1　Configuration of the safety⁃related system子系统名称构成系统的组件名称传感器子系统 涡街流量计模拟量输入安全栅逻辑单元子系统 输入模块输出模块PLC终端执行元件子系统气动调节阀执行机构定位器电磁阀图3　安全完整性目标值分配示意图Fig.3　Schematic diagram of the allocation ofsafety integrity target values参照表1和图3,构成系统的安全相关产品及目标设定如下㊂39功能安全与安全相关产品　谢亚莲PROCESS AUTOMATION INSTRUMENTATION Vol.34No.7July 20133.1　传感器子系统传感器子系统通常包含各种变送器和输入端安全栅㊂在过程工业中,常见的各类变送器包括压力变送器㊁温度变送器㊁流量计㊁液位变送器㊁氧气分析仪㊁气体探测器等;在机械工业中,常见的各类变送器包括转速测量仪㊁位置变送器等㊂这类安全相关产品需要确定的目标有以下两项㊂①安全功能需将产品放在安全相关系统中,分析其在安全相关系统中为保证安全相关系统正确执行其安全功能应具有的功能㊂该功能便设定为产品的安全功能㊂同时,需考虑产品的现场总线通信功能是否也设定为安全功能等㊂如流量计,其安全功能为流量测量㊂②安全完整性目标值按照市场需求对产品进行定位㊂市场对变送器的要求一般为SIL2,所以按结构约束条件,变送器在结构设计上要求达到SIL2㊂按照安全相关系统的安全完整性目标值分配,传感器子系统的安全完整性目标值通常为30%SIL2,所以变送器设定的安全完整性目标值最好不大于20%SIL2㊂采用验证测试时间间隔为1年来计算要求时危险失效概率(PFDavg)和每小时危险失效概率(probability of failure per hour,PFH)㊂对于安全栅,其在结构设计上至少应达到SIL2,而它的安全完整性目标值最好不大于5%SIL2㊂3.2　逻辑单元子系统逻辑单元子系统通常由输入模块㊁PLC 和输出模块组成㊂PLC 的安全功能和安全完整性的目标设定可参考关于可编程控制器功能安全的相关标准IEC 61131⁃6,在此不再叙述㊂3.3　终端元件子系统在过程工业中,较为常见的终端元件子系统是阀组㊂气动调节阀阀组的构成包含气动执行机构㊁电磁阀㊁定位器㊁气动调节阀等㊂同上述传感器子系统一样,需要确定的各终端单元目标也有以下两项㊂①安全功能对于终端元件子系统各单元,它们的安全功能比较清晰,如电磁阀执行开启和关闭功能㊁执行机构执行角行程或直行程㊁定位器能按照输入信号正确控制阀的开度等㊂也就是说各终端单元的主要功能就是它们的安全功能㊂②安全完整性目标值㊂虽然在安全相关系统的安全完整性目标分配上,终端元件的目标失效值为60%SIL2,但若给气动执行机构和调节阀分配安全完整性目标值,而仍然沿袭固有的设计理念,那么这样的目标安全完整性是难以通过传统的机械设计来实现,除非它本身就满足目标安全完整性㊂若完全依靠机械设计,结构约束条件要想达到SIL2的要求是比较困难的㊂因为机械类设备的平均无故障工作时间(mean time between failures,MTBF)和失效模式分布取决于设备的结构㊁材料㊁制造工艺㊁正常工作时的流体介质等,这些因素导致的结果是难以预测的,也就难以展开针对结构约束条件和目标安全完整性的机械设计㊂目前,较为先进的设计理念是引入诊断功能的智能化设计,采用部分行程测试法(partial stroke test,PST),关注由执行机构和阀杆卡死引起或由阀泄漏引起的阀操作失效㊂对这类失效进行诊断,从而提高安全失效分数(safety failure fraction,SFF),使阀和执行机构的安全完整性等级提高到SIL2甚至SIL3㊂部分行程测试法使工厂能够周期性地检查和确认阀和执行机构的完整性和安全性特征,而不需关停工艺线㊂综合上述,对于由机械结构构成的气动执行机构和阀设定安全完整性目标值没有实际意义,而设计具有诊断故障功能的阀门定位器更为有效㊂关于安全相关产品目标值设定的方法同样适用于DCS 系统,即只需关注系统实现的安全功能与安全功能实现相关的各个模块,然后再将安全完整性目标值分解给各个模块㊂4　结束语对功能安全的起因㊁目的,以及危险㊁风险㊁安全功能和安全相关系统的内在关联只需概念性了解就可以了,我们的目的是设计安全功能㊁安全完整性和安全完整性等级(SIL)都具有市场竞争力的安全相关产品,因为安全相关产品是实现功能安全的基础㊂在讲述了安全相关产品实现的过程㊁安全相关产品的目标设定之后,后续的讲座将就功能安全管理㊁安全相关产品的软件硬实现方法进行展开㊂‘自动化仪表“　中文核心期刊　中国科技核心期刊邮发代号:4-304;　2013年定价:15元/月,全年价:180元;　国外代号:M 72149功能安全与安全相关产品　谢亚莲。

【功能安全】功能安全产品的设计流程自动化程度的提高为人们日常生活中的方方面面都带来了更多的舒适性和灵活性，但我们也需要注意到这些好处背后的安全风险。

尤其是工业领域中让人引以为傲的高精密生产线，它们应当是易于使用，并能提供高度舒适和安全的操作性。

本文深切认为技术系统不应当为人们和环境带来超出允许风险范围的安全风险。

完全没有风险是不现实的，所以风险可接受与否在于其严重程度。

每个领域对可接受风险程度都有自己的定义，并使用不同的安全等级对其进行衡量。

对于电气和可编程系统来说，得益于一系列标准建立，由此形成了关于功能安全的共识。

这些标准适用于不同的应用领域，但它们都基于由IEC61508标准派生出的安全理念。

图1：常见的功能安全标准概览IEC61508标准覆盖了系统的整个生命周期，并着重为系统中可能出现危险的部分制订了相关规范。

该标准旨在提供从零开始设计系统的最安全方式。

实现功能安全的普遍措施是添加额外的元器件，用于监控功能的正常运行以及在发生不正常的情况时对系统进行控制。

这个理念常用于工业自动化或过程工业领域中。

IEC61508标准定义了功能安全的操作模式：低要求操作模式、高要求操作模式和连续模式。

操作模式则由每年对于安全功能的使用频率决定。

同时，针对功能安全领域中的标准控制功能的设计方法是可选的。

IEC61508标准中定义的连续模式包含这些信息。

通常做法是从分析所有可能对系统产生影响的关键问题开始。

所有被定位的问题必须使用参数进行衡量，如暴露时间、受伤的严重程度以及脱离伤害的可能性。

这是典型的风险分析措施，必须在没有额外电气保护系统的情况下对受控设备施行。

系统整个生命周期的所有部分均必须使用该措施。

凭借风险图，风险分析将提供要求的安全完整性等级(Safety Integrity Level，SIL)。

在遵循ISO13849标准的情况下，风险图将提供要求的性能等级(Performance Level， PL)。

功能安全功能安全是指确保系统在正常操作、故障和故障恢复期间，能够保持运行的安全性。

在许多行业中，功能安全是非常重要的，特别是在涉及人员生命安全或财产损失的领域。

功能安全的概念和实践已经存在了很长时间，但它在现代信息技术和自动化系统中的重要性越来越突出。

许多行业都引入了功能安全标准和规范，以确保系统的设计和运行能够满足特定的安全要求。

在功能安全的概念中，有几个重要的方面需要考虑。

首先是系统的可靠性和可用性。

系统必须设计成能够在故障情况下继续正常运行，避免停机和数据丢失。

其次是系统的安全性和完整性。

系统必须能够防止未经授权的访问和数据篡改，并确保系统的数据完整性。

最后是系统的故障恢复能力。

系统必须能够自动检测和纠正故障，以避免系统崩溃。

为了确保功能安全，必须采取一系列的措施和方法。

首先是系统的设计。

在设计阶段，必须考虑到所有可能的故障和故障恢复情况，以确保系统能够在面对故障时正确操作。

其次是系统的测试和验证。

在开发和部署系统之前，必须进行全面的测试和验证，以确保系统达到预期的功能安全要求。

最后是系统的监控和维护。

一旦系统投入运行，必须进行定期的监控和维护，以确保系统能够持续满足功能安全要求。

在不同的行业中，有许多不同的功能安全标准和规范。

例如，在汽车行业中，ISO 26262是一种用于功能安全的国际标准，要求设计和开发具有功能安全性能的电子和电气系统。

在医疗行业中，IEC 60601是一种用于医疗电气设备的国际标准，要求这些设备具有高度的功能安全性。

在核电行业中，IEC 61508是一种适用于电气、电子和可编程电子系统的国际标准，要求这些系统具有可靠的功能安全性能。

功能安全的实现还需要考虑到人因因素。

人操作错误是导致许多故障和事故的主要原因。

因此，在设计和开发功能安全系统时，必须考虑到人工因素，并采取适当的措施来减少因为人的错误而导致的故障。

总之，功能安全是确保系统在正常操作、故障和故障恢复期间能够保持运行的安全性。