《功能安全技术讲座第04讲安全相关系统SIL设计的要求》由会员分享,可在线阅读,更多相关《功能安全技术讲座第04讲安全相关系统SIL设计的要求(3页珍藏版)》请在金锄头文库上搜索。
1、仪器仪表标准化与计量2007 43 编者按 本刊 “安全控制技术” 栏目自 2005 年开设以来, 得到了广大读者的广泛关注与大力支持。 今年除了继续刊登这方面的优秀技术文章外, 还特别增设一个板块 “功能安全技术系列讲座”, 共六讲, 分别刊登在第一期至第六期, 从功能安全的基本概念、 方法、 技术等各方面逐一深入讲解, 使大家对功能安全有一个全面了解。 主讲人是全国工业过程测量和控制标准化技术委员会主任委员、 机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。第 四 讲 安全相关系统 SIL 设计的要求冯晓升(机械工业仪器仪表综合技术经济研究所, 北京市 100055 )Feng X i
2、aosheng(Instrumentation Technology & Economy In stitute, B eijing 100 055)Chapter 4: The Requirements of the Design of E/E/PESAbstract: The paper introduced the requirem ents of the design of E/E /P ES.Key words: E/E/P ES SIL【摘 要】【关键词】主要讲述进行电气 / 电子 / 可编程电子安全相关系统的 SIL (安全完整性等级) 设计时需要满足的特殊要求。电气 / 电子 /
3、 可编程电子 安全完整性等级这一讲主要讲述进行电气 / 电子 / 可编程电子安全相关系统的 SIL (安全完整性等级) 设计时需要满足的特殊要求。 本文中, 电气 / 电子 / 可编程电子系统是指传感器、 执行器、 可编程电子设备及由这些设备及子系统组成的系统, 简称为 E/E/PES 。安全相关的 E/E/PES 与一般系统设计过程的基本差异, 就在于系统设计的过程中要增加 SIL 设计的内容, 以确保 E/E/PES 的设计和实现满足规定的安全功能和安全完整性要求。1 SIL 设计的基本原则及要求SIL 设计的基本原则之一, 是应根据 E/E/PES 安全要求规范进行设计。 在上一讲我们讲
4、述了基于风险分析确定 SIL 的方法, 确定的 SIL 就是 E/E/PES 设计时要求实现的安全完整性目标。SIL 设计的基本原则之二, 是采取一切必要的技术与措施保证要求的安全完整性。 为了实现安全完整性, 必须同时满足 E/E/PES 的随机安全完整性要求与系统安全完整性要求, 因为随机失效主要是硬件的随机失效。 因此, 分析时, 只提随机安全完整性就简化为硬件安全完整性。 故障检测会影响系统的行为, 因此, 它与硬件以及系统的安全完整性都相关。图 1 表示进行 SIL 设计时为达到要求的安全完整性 , 必须考虑的所有要求。 以后各章会分别予以介绍。图 1 安全完整性与各要求之间的关系安
5、全控制技术仪器仪表标准化与计量2007 442 硬件安全完整性结构约束的要求此要求对应图 1 的 “结构约束” 框图。硬件安全完整性的安全功能所声明的最高安全完整性等级, 受限于硬件故障裕度和执行该安全功能的子系统的安全失效分数。 在 IEC 61508 中规定, 对于B 类安全相关子系统的结构约束如表 1 。表 1 硬件安全完整性 : B 类安全相关子系统的结构约束3 危险失效硬件失效概率的要求此要求对应图 1 的 “随机失效” 框图。需要估算由于随机硬件失效引起安全功能失效的概率。 该概率应该等于或者低于安全要求规范中规定的目标失效量。估算由于随机硬件失效造成的每个安全功能的失效概率应考虑
6、以下因素 :1) 与所考虑的每个安全功能相关的 E/E/PE 安全相关系统的结构 ;2) 在任何能造成 E/E/PE 安全相关系统危险失效但能通过诊断测试检测到这个危险失效的模式下, 估算出的每个子系统的失效率 ;3) 在任何能造成 E/E/PE 安全相关系统危险失效但不能通过诊断测试检测到这种危险失效的模式下,估算出的每个子系统的失效率 ;4) E/E/PE 安全相关系统对共同原因失效的敏感性 ;5) 诊断测试的诊断覆盖率和相关的诊断测试间隔 ;6) 用来揭露未被诊断测试检测到的危险故障而执行检验测试的间隔 ;7) 对已检测到的失效的修理时间 ;8) 任何数据通信过程中未检测到的失效的概率。
7、对于每个安全功能, 将 E/E/PE 安全相关系统的可靠性分开进行量化是十分必要的, 因为使用了不同的部件失效模式, 并且 E/E/PES 的结构 (根据冗余)也可能改变。 可以应用的建模方法很多, 选择最恰当的方法是分析员的事, 要依赖于具体情况, 可采用的方法包括 : 因果图分析、 故障树分析、 马尔可夫模型、可靠性框图等。4 故障检测要求此要求对应图 1 的 “故障检测” 框图。 需要认真分析故障检测时对系统行为的要求, 以避免系统危险失效导致事故。在硬件故障裕度大于零的子系统中, 对检测出的危险故障 (通过诊断测试, 检验测试或其它方法) 应采取 :1 ) 某个规定动作以达到或维持安全
8、状态, 或者2 ) 隔离子系统的故障部分, 以允许 EUC 继续安全工作, 同时修理故障部分。 如果在计算随机硬件失效概率时设定的平均恢复时间 ( MTTR ) 内未完成修理, 那么应该采取某一规定的动作以达到或维持安全状态。对于硬件故障裕度等于零以及安全功能完全依赖该子系统本身的子系统, 当该子系统仅在低要求模式下运行安全功能时, 对检测出的危险故障应采取 :1) 某个规定动作以达到或维持安全状态, 或者2 ) 在计算随机硬件失效概率时设定的平均恢复时间 ( MTTR ) 内, 修理故障子系统。 在此期间内, EUC的连续安全应通过附加措施和约束来保证。 这些措施和约束提供的风险降低至少应等
9、于无任何故障的 E/E/PES 安全相关系统提供的风险降低。 应在 E/E/PES操作和维护规程中对附加措施和约束进行规定。 如果在规定的平均恢复时间 ( MTTR ) 内不能进行修理, 那么应该采取其它规定的动作以达到或维持安全状态。对于硬件故障裕度大于零以及安全功能完全依赖该子系统本身的子系统, 当该子系统在高要求或连续操作模式下运行安全功能时危险故障的检测 (通过诊断测试, 检验测试或其它方法) 将导致规定的动作以达到或维持安全状态。5 避免失效的要求此要求对应图 1 的 “避免失效” 框图。 此条要求不适用于满足 “经使用证实” 要求的子系统。应使用一组恰当的技术和措施, 用于在 E/
10、E/PE安全相关系统硬件的设计和开发期内防止引入故障。根据所需的安全完整性等级, 所选择的设计方法具有的特性应有助于 :1) 透明性、 模块化和控制复杂性的其它特性 ;2) 清晰和精确地表述 :功能性 ;子系统接口 ;排序和时间关联信息 ;并发性和同步化。3) 信息的通信和清晰、 准确的文档化 ;安全失效分数 硬件故障裕度 ( HFT )( SSF ) 0 1 260% 不允许 SIL1 SIL260% 90% SIL1 SIL2 SIL390% 99% SIL2 SIL3 SIL4 99% SIL3 SIL4 SIL4注 1 : 硬件故障裕度 N 表示 N+1 个故障将导致安全功能的丧失。注
11、 2 : 子系统的安全失效分数是子系统的平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比。注 3 : 满足以下条件, 子系统可被视为 B 类 :a) 至少一个组成部件的失效模式未被很好地定义 ; 或b) 故障状况下子系统的行为不能完全确定 ; 或c) 通过现场经验获得的可靠性数据不够充分 , 不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。Control Tech of Safety & Security仪器仪表标准化与计量2007 454) 验证和确认。为保证 E/E/PE 安全相关系统的安全完整性能保持在所需的等级, 在设计阶段就应将维护要求规范化。如适用, 应
12、使用自动测试工具和集成开发工具。 设计期间, 应编制 E/E/PES 的集成测试计划。 编制测试计划的文档应包括 :1) 所执行测试的类型和所遵循的规程 ;2) 测试环境、 工具、 配置和程序 ;3) 测试是否通过的准则。设计期间, 根据开发者提出的前提条件可执行的那些活动, 应该与在用户立场上所要求的活动加以区分。6 系统故障控制的要求此要求对应图 1 中的 “故障控制” 框图。 本条要求不适用于满足 “经使用证实” 要求的子系统。为控制系统故障, E/E/PES 的设计特点应使得E/E/PE 安全相关系统能容许 :1) 如果不能排除硬件设计故障的可能性, 硬件中的任何残余设计故障 ;2)
13、环境应力, 包括电磁干扰 ;3) EUC 操作员造成的失误 ;4) 软件中的任何残余设计故障 ;5) 任何数据通信过程中产生的错误和其它影响。在设计和开发活动中应考虑可维护性和可测试性 ,以便在最终的 E/E/PE 安全相关系统中实现这些属性。E/E/PE 安全相关系统的设计应充分考虑人员的能力和局限性, 并应适合分配给操作者和维护人员的行动。所有接口的设计应根据良好的人员操作习惯并应适合操作者的认知能力和培训水平。安全相关系统设计的一个基本原则, 是设计时应对操作者和维护人员所犯的可预见的致命失误有充分认识, 只要有可能都应能通过设计来防止和消除, 或者在完成该动作之前对这些动作进行二次确认
14、。7 设备 “经使用证实” 的证据此要求对应图 1 的 “经使用证实” 框图。 IEC 61508制定时, 充分考虑了当前安全控制系统应用现状, 对于有充分证据证明是安全的设备及系统, 特别提出了本条要求。对于以往开发的子系统, 只有在功能性规定明确、有充分文档依据表明子系统的具体配置此前确实应用过 (使用时的所有失效记录均登记在册) 以及考虑过任何所需的附加分析和测试时, 才能被认为是经使用证实的子系统。 文档依据应显示 E/E/PE 安全相关系统子系统的任何失效 (由随机硬件和系统故障造成)的可能性足够低, 可以达到使用子系统的安全功能所需的安全完整性等级。为了确定任何未被检测到的系统故障
15、的可能性足够低, 可以达到使用子系统的安全功能所需的安全完整性等级, 要求的文档应显示出具体子系统以往的使用条件与在 E/E/PE 安全相关系统中子系统将要经历的条件相同或者非常接近。 以往使用条件 (操作行规)包括可能影响子系统硬件和软件内系统故障可能性的所有因素, 例如环境、 使用模式、 执行的功能、 配置、与其它系统的接口、 操作系统、 翻译器、 人为因素。如果以往的使用条件与在 E/E/PE 安全相关系统内将要经历的条件存在差异, 应当对这些差异加以标识, 并结合恰当的分析方法和测试对这些差异进行明确地例示, 以便确定任何未被揭露出的系统故障的可能性足够低, 以致可以达到使用子系统的安
16、全功能所需的安全完整性等级。要求的文档证据应确定以往子系统的专用配置的使用程度 (用工作小时表示) 在统计学基础上足以支持所声明的失效率。 最低限度, 需要足够的工作时间才能确立所声明的失效率数据的置信度单边下限值至少能达到 70 , 任何工作时间不超过一年的单个子系统在统计分析中不作为计算总工作时间的一部分。在确定是否满足上述要求时, 仅考虑以前的将子系统的全部失效有效地检测和报告的操作。 在根据可用信息的广度和深度确定是否满足上述要求时, 应考虑以下因素 :1) 子系统的复杂性 ;2) 子系统对降低风险所起的作用 ;3) 子系统失效产生的后果 ;4) 设计的新颖性。在 E/E/PE 安全相关系统中, 对 “经使用证实” 的安全相关子系统的应用只局限于在满足相关要求的子系统的那些功能和接口。8 结束语为了设计一个 E/E/PE 安全相关系统, 如传感器、执行器、 可编程控制设备及由这些设备与子系统组成的系统, 一般都需要以下几
