仪表及控制系统功能安全评估综述

仪表及控制系统功能安全评估综述Functionalsafetyofinstruments&controlsystemsevaluatesummary刘建侯（上海工业自动化仪表研究所仪器仪表自控系统检验测试所，上海200233）0引言当前，计算机、集成电路等技术已经渗透到各个领域，计算能力的极大提高彻底改变了企业的工业过程控制，也改变了安全控制策略。在许多情况下，各种应用领域（如石油、化工、钢铁、核电、航天等）的安全生产可用多种不同技术的防护系统（如机械的、液压的、气动的、电气的、电子的、可编程电子的等等）来保证安全，这不仅要考虑系统中所有元器件的问题，而且要考虑由所有安全系统构成的组合安全系统（如传感器、逻辑电路和执行机构等构成的系统）的问题。还要把其它技术的安全系统（如安全阀）以及外部风险降低措施（如排放系统、放火墙等）也同时考虑进去。同时，在各种应用领域里,还存在许多潜在的危险和风险，需要确定一种昀小的风险，应用不同模式的电气/电子/可编程电子安全系统（E/E/PES），并根据应用的不同而确定所需的目标安全量。1国内外发展概况国际电工委员会于2000年5月正式发布IEC61508标准，名为Fuctionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems，2003年1月IEC又开始颁布IEC61511标准，名为Functionsafety-safetyinstrumentedsystemsfortheprocessindustrysector(功能安全-过程工业领域中安全仪表系统)。这两个标准有很密切的关系，IEC61508标准是综合性基础标准，主要供装置的制造商和供应商使用。而IEC61511标准则是针对具体的仪器仪表装置设计者、集成者和用户。欧盟国家2004年已经把IEC61508标准例入新欧盟标准，作为E/E/PE产品进入欧盟国家的门坎。西方发达国家的E/E/PE产品大多数经过如TÜV这样认证机构的认定，在安全仪表系统的功能安全领域已将IEC61508和IEC61511结合应用。如Rosmount的1151、3144压力变送器、温度变送器等都已经过TÜV的认定。又如丹麦工程公司NovoNoordiskEngineering选择siemens公司为其提供丹麦国内迄今为止昀大的故障安全系统，该系统安装在世界上昀大的一家胰岛素工厂中，必须达到IEC/EN61508标准的安全完整性水平SIL2要求。实际上siemens公司的故障安全系统已经符合IEC/EN61508的SimaticITL3(安全集成级别)的要求。又如艾默生Emerson)DeltaVTMSIS智能安全仪表系统以smartSIS为核心，采用智能现场设备的数字化通信进行诊断并自动验证测试关键元件的安全功能，确保系统在必要的时候紧急停车，而在正常运行时不会影响生产。该安全系统声称符合新的国际安全标准IEC61511中SIL3的要求。国内随着智能仪表、网络技术和数据通信技术的发展，现场总线技术已成为当今自动化控制技术的发展方向。在今后十年内现场总线控制系统(FCS)将可能代替分散型控制系统(DCS)成为自动化控制领域的主流，而国内在仪表及控制系统功能安全方面的工作还没有正式开展。因此，全国工业过程测量和控制标准化技术委员会正在制定与IEC61508标准等同的国家标准GB/T×××《电气/电子/可编程电子安全系统的功能安全》(已有送审稿)。制定功能安全标准的总目标就是确保设备、仪表安全地自动运行，关键目标就是防止引发其它事件的控制系统失效，并保证保护系统能够在需要时执行一次安全动作。2IEC61508标准的主要内容IEC61508标准共分7个部分，涉及1000多个规范。它针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统的整体安全生命周期，7部分的主要内容分别为:第1部分：一般要求描述了标准适用范围、安全生命周期、危险和风险分析、整体安全要求、安全要求分配、计划编制（包括操作维护、安全确认、安装和试运行计划）、实现E/E/PES（包括建立其它技术安全系统和外部风险降低措施）以及功能安全评估.同时在附录中给出了文档结构的范例。第2部分：电气/电子/可编程电子安全系统的要求主要给出了在E/E/PES安全生命周期中各个阶段任务，如根据规定的安全要求的分配对安全系统提出安全功能和安全完整性要求，编制安全确认计划，具体实施设计与开发、集成、操作与维护、安全确认、修改、验证及功能安全评价等阶段的要求。附录给出了用于E/E/PE安全系统的技术和措施以及诊断覆盖率和安全失效分数的计算方法。第3部分：软件要求描述E/E/PE安全系统的软件安全生命周期中安全完整性水平所要求的软件获取、开发、集成、确认、修改、验证和评估内容，同时在附录中给出了在不同阶段采用的软件技术和测量选择指南。第4部分：定义和缩略语定义了第1至第7部分所使用的术语和解释。第5部分：确定安全完整性水平的方法示例用附录给出了风险与安全完整性之间的关系，根据任何风险必须降低到可行的合理水平一样低(即ALAPP)原理，确定允许风险目标(频率和后果)，给出了一些定性和定量确定安全完整性水平方法。第6部分：IEC61508-2和IEC61508-3的应用指南。用附录给出了IEC61508-2和IEC61508-3应用中的功能安全操作步骤；硬件失效概率评估技术示例；系统在低要求操作模式下和高要求操作模式下各种表决组工作的诊断覆盖率及安全失效分数计算示例；量化E/E/PE系统中硬件共同原因失效效应的方法；软件安全完整性的应用示例。第7部分：技术和测量概述包括IEC61508-2和IEC61508-3中有关的各种安全技术和测量方法概述。附录A：E/E/PE的技术和测量概述:硬件随机失效控制附录B：E/E/PE的技术和测量概述:系统失效的避免附录C：达到软件完整性的技术和测量方法的评述附录D：确定预开发软件的软件安全完整性的一种概率法3IEC61511标准的主要内容IEC61511标准共分3个部分，它针对由仪器仪表构成的、起安全作用的整体安全生命周期。IEC61511-1第1部分：体系、定义、系统，硬件和软件要求IEC61511-2第2部分：IEC61511应用指南IEC61511-3第3部分：必须的安全完整性水平确定指南4功能安全标准中几个基本定义危险和风险─危险是指伤害的潜在根源；风险是指出现伤害的概率及该伤害严重性的组合。危险失效─使安全系统处于潜在的危险或丧失功能状态的失效。安全失效─不可能使安全系统处于潜在的危险或丧失功能状态的失效。电气/电子/可编程电子(E/E/PE)─基于电气和/或电子和/或可编程电子的技术。受控设备(EUC)─用于制造、加工、运输、制药或其它活动的设备、机器、器械或成套装置。EUC控制系统─对来自过程和(或)操作者的输入信号起反应,产生能使EUC按要求的方式工作的输出信号系统。信道─独立执行一个功能的一个或一组元素。安全─不存在不可接受的风险。功能安全─与EUC或EUC控制系统有关的整体安全的组成部分,它取决于E/E/PE安全系统、其它技术安全系统和外界风险降低设施功能的正确行使。安全功能─针对特定的危险事件，为达到和保持EUC的安全状态，由E/E/PE安全系统、其它技术安全系统或外部风险降低设施实现的功能。安全完整性─在规定条件下规定的时间内安全系统成功实现所要求的安全功能的概率。诊断覆盖率─进行自动诊断测试而导致的硬件危险失效概率的降低部分。安全系统─实现要求的安全功能使受控设备(EUC)达到或保持安全状态；并且在其自身或与其它E/E/PE安全系统、其它技术安全系统或外部危险降低设施上获得所要求的安全功能所必须的安全完整性。安全系统可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC的接口相接，既可用在EUC控制系统中，以执行安全功能的方式达到要求的安全完整性水平，也可用分离的/或独立的专门用于安全系统的方式执行安全功能。5功能安全标准中的几个基本概念IEC61508和IEC61511标准都是针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统的整体安全生命周期建立的一个基础评价方法.标准的总目标就是确保设备、仪表安全地自动运行，防止引发其它事件的控制系统失效，并且使保护系统在需要时能执行一次安全动作（如紧急制动系统）。要满足标准的要求，一般不能选择某一个参数来确定满足某一要求的严格程度，而是要根据与整体安全生命周期各阶段和活动有关的一些因素来确定。这些因素是：风险频率和后果及风险降低；危险性质；安全完整性水平；实现技术类型；系统规模；物理分布和设计新颖程度等。5.1风险和安全完整性概念风险是对一个特定危险事件出现的概率和结果的估量。安全系统总是有风险的，但必须在允许风险的范围内才是安全的，而允许风险可以根据社会基础和有关政治因素的考虑来确定。一旦确定了允许风险，并估计了必要的风险降低，就可以分配安全系统的安全完整性要求。安全完整性只应用于安全系统，并作为这些系统在规定安全功能方面取得必要风险降低的概率的测量。风险和安全完整性概念可以用图1表示。图1风险和安全完整性概念从图1可以看出，受控设备发生意外危险事件的风险可以通过每一种工业领域的规定情况，考虑大量社会、政治和经济因素,根据意外事件发生的频率和后果建立风险等级表（如表1所示）。根据ALARP原理要求任何风险必须降低到可行的合理水平一样低的概率，允许风险目标是由一系列确定的后果与允许频率(Ft)匹配获得，而后果与允许频率的匹配可通过风险等级确定。表2列出了4种风险等级，可根据实际情况对频率用定量描述，如对很可能发生事件规定频率大于每年10次。表1意外事件的风险等级示例后果频率(Ft)大灾难严重不严重可忽略频繁发生1112很可能发生1122偶尔发生1233极小可能发生2334不可能发生3344难以相信会发生4444表2风险等级解释风险等级解释等级1不允许风险等级2不期望风险,当风险降低不可行或成本与取得的改善严重不相称时为允许等级3如果风险降低的成本超过取得的改善时允许的风险等级4可忽略的风险一种定量确定安全完整性水平的方法是：在没有任何防护因素时危险事件可能出现的频率(Fnp)和危险事件后果将构成EUC风险。因此，对于单一安全防护系统要获得必要的风险降低,必须将危险率从Fnp至少减小到Ft.所以，可以根据安全防护系统满足必要的风险降低(△R)要求确定失效概率(PFDavg)，即PFDavg≤Ft/Fnp=△R式中：PFDavg—安全防护系统要求的失效平均概率，即在低要求操作模式下的安全防护系统的安全完整性失效量（在这种模式下，对一个安全系统提出操作要求的频率大于每年一次或大于二倍的检验测试频率）；Ft─允许风险频率；Fnp─安全防护系统的要求率。通过危险事件频率和后果的分析，满足必要的风险降低，通过失效概率PFDavg估算，可以在表3或表4中分配得到相应的安全完整性水平。表3在低要求操作模式下分配给一个E/E/PE安全系统的安全功能目标失效量安全完整性水平低要求操作模式下(在要求时就执行其设计功能要求的平均失效概率)4≥10-5至＜10-43≥10-4至＜10-32≥10-3至＜10-21≥10-2至＜10-1表4在高要求操作模式下分配给一个E/E/PE安全系统的安全功能目标失效量安全完整性水平高要求或连续操作模式下(每小时危险失效概率)4≥10-9至＜10-83≥10-8至＜10-72≥10-7至＜10-61≥10-6至＜10-55.2功能安全保证的内容为了使安全系统的功能安全得到保证，必须规定安全系统的安全功能和安全完整性水平要求。首先要对安全系统进行失效识别，并按上述危险和风险分析方法进行分析，获得必要的风险降低。同时，在整体安全生命周期的各阶段（包括危险和风险分析、整体安全要求、安全要求分配、设计与开发、安全系统的实现与集成、操作与维护、安全确认、安全验证和