安全儀表系統(tǒng)的功能安全設(shè)計(jì)
摘要:針對安全儀表系統(tǒng)(SIS)的產(chǎn)品開發(fā),分析了應(yīng)用于石化領(lǐng)域的安全儀表系統(tǒng)的基本特性��、冗余結(jié)構(gòu)和常見產(chǎn)品類型��。在介紹IEC61508標(biāo)準(zhǔn)的基礎(chǔ)上����,提出了安全儀表系統(tǒng)產(chǎn)品開發(fā)過程中整體安全生命周期、產(chǎn)品硬件及安全相關(guān)軟件的功能安全設(shè)計(jì)方法����;zui后以SIL2級壓力變送器為例
引言
2000年,IEC61508.1-7《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》標(biāo)準(zhǔn)的頒布標(biāo)志著功能安全作為獨(dú)立的安全學(xué)科進(jìn)入實(shí)際應(yīng)用階段。在國外��,尤其是歐盟�����,對功能安全的研究已較為深入����,且取得安全認(rèn)證的產(chǎn)品越來越多,范圍也在逐步擴(kuò)大�����。
在我國,功能安全還只是一個(gè)名詞概念���,盡管在工業(yè)控制領(lǐng)域有一定的推廣���,但是國內(nèi)生產(chǎn)的電氣儀表產(chǎn)品獲得功能安全認(rèn)證的還很少�,尤其是作為安全儀表系統(tǒng)核心部件的邏輯運(yùn)算器,目前尚無產(chǎn)品獲得認(rèn)證�����,這極不利于我國的國民經(jīng)濟(jì)發(fā)展和國家戰(zhàn)略安全����。本文結(jié)合基礎(chǔ)標(biāo)準(zhǔn)IEC61508,對安全儀表系統(tǒng)及其產(chǎn)品的功能安全設(shè)計(jì)進(jìn)行了初步探討��。
一���、安全儀表系統(tǒng)
安全儀表系統(tǒng)SIS(Safetyinstrumentsystem)是指能實(shí)現(xiàn)一個(gè)或多個(gè)安全功能的系統(tǒng)����。在IEC61508標(biāo)準(zhǔn)中�����,安全儀表系統(tǒng)和緊急停車系統(tǒng)ESD(emergencyshutdowndevice)、安全聯(lián)鎖系統(tǒng)SIS(safetyinterlockssystem)����、儀表保護(hù)系統(tǒng)IPSinstrumentedprotectivesystem)統(tǒng)稱為安全相關(guān)系統(tǒng)SRS(safetyrelatedsystem)。
安全儀表系統(tǒng)是一種可編程控制系統(tǒng)����,它對生產(chǎn)裝置或設(shè)備可能發(fā)生的危險(xiǎn)采取緊急措施,并對繼續(xù)惡化的狀態(tài)進(jìn)行及時(shí)響應(yīng)���,使其進(jìn)入一個(gè)預(yù)定義的安全停車工況���,從而使危險(xiǎn)和損失降到zui低程度,保證生產(chǎn)·設(shè)備�����、環(huán)境和人員安全�����。
安全儀表系統(tǒng)通常應(yīng)用于石油、化工等過程工業(yè)領(lǐng)域�,但作為一種高度可靠的安全保護(hù)設(shè)施,它在其他行業(yè)也有較多應(yīng)用���,包括核電�、航空����、艦船以及高速鐵路等系統(tǒng)。
根據(jù)IEC61508標(biāo)準(zhǔn)�����,一套完整的安全儀表系統(tǒng)由傳感變送器��、邏輯運(yùn)算器和zui終執(zhí)行元件構(gòu)成��。邏輯運(yùn)算器作為核心部件�����,負(fù)責(zé)按照設(shè)定的邏輯進(jìn)行控制�,在一般具體的SIS產(chǎn)品中�,安全儀表系統(tǒng)指的都是其中的邏輯運(yùn)算器。
1.1基本特征
相比其他工業(yè)控制系統(tǒng),如DCS�����、PLC等�����,SIS具有如下基本特征�����。
?��、僖欢ǖ陌踩暾缘燃?br />
IEC61508作為基礎(chǔ)標(biāo)準(zhǔn)���,充分考慮了安全儀表系統(tǒng)的整體安全生命周期,提出了評估安全儀表系統(tǒng)的安全完整性等級SIL(safetyintegritylevel)的方法���,規(guī)范了為實(shí)現(xiàn)必要的功能安全所使用的工具與措施����。安全儀表系統(tǒng)的設(shè)計(jì)與開發(fā)過程必須遵循IEC61508��,并應(yīng)通過獨(dú)立機(jī)構(gòu)(如德國TUV或美國的exida等)的功能安全評估和認(rèn)證,取得認(rèn)證證書�,才能在工業(yè)現(xiàn)場中應(yīng)用。
?���、谌蒎e(cuò)性的多重冗余系統(tǒng)
SIS一般采用多重冗余結(jié)構(gòu),以提高系統(tǒng)的硬件故障裕度��,單一故障不會導(dǎo)致SIS安全功能的喪失�����。
?�、廴娴墓收献栽\斷能力
SIS的安全完整性要求還包括避免失效的要求和系統(tǒng)故障控制的要求�,同時(shí)����,構(gòu)成系統(tǒng)的各個(gè)部件均需明確故障診斷措施和失效后的行為。系統(tǒng)整體診斷覆蓋率一般高達(dá)90%以上��。SIS的硬件具有高度可靠性���,能承受大多數(shù)環(huán)境應(yīng)力����,如現(xiàn)場電磁干擾等,從而可以較好地應(yīng)用于各種工業(yè)環(huán)境���。
?��、茼憫?yīng)速度快
SIS的實(shí)時(shí)性較好,一般從輸入變化到輸出變化的響應(yīng)時(shí)間在10-50ms左右(此處指的是邏輯運(yùn)算器的響應(yīng)速度��,不包括現(xiàn)場儀表和執(zhí)行機(jī)構(gòu))��,一些小型SIS甚至可達(dá)到幾毫秒的響應(yīng)速度����。
⑤事件順序記錄功能
為了更好地進(jìn)行事故分析與事后追憶���,SIS一般具有事件順序記錄SoE(sequenceofevents)功能�����,即可按時(shí)間順序記錄各個(gè)輸入刃輸出及狀態(tài)變量的變化時(shí)間��,記錄精度一般到毫秒級���。
1.2冗余結(jié)構(gòu)與典型產(chǎn)品
針對目前應(yīng)用的SIS系統(tǒng)���,其結(jié)構(gòu)可劃分為以下3類。
?����、俣鼗栽\斷冗余結(jié)構(gòu)
即1oo2D結(jié)構(gòu)��,其自帶完善的自診斷系統(tǒng)��,由并聯(lián)的2個(gè)通道構(gòu)成��,任何一個(gè)通道都可以執(zhí)行安全功能��。典型的例子是Honeywell公司設(shè)計(jì)的FSC系統(tǒng)和Moore公司設(shè)計(jì)的QUADLOG系統(tǒng)����。
?��、谌鼗頉Q結(jié)構(gòu)
即2oo3/TMR結(jié)構(gòu)���,由并聯(lián)的3個(gè)通道構(gòu)成�,其輸出信號由3個(gè)通道的輸出表決后得到�,兼具安全性和可靠性。典型的例子是Triconex公司設(shè)計(jì)的TRICON系統(tǒng)和ICSTriplex公司設(shè)計(jì)的Regent系統(tǒng)��。
?�、鬯闹鼗哂嗳蒎e(cuò)*自診斷結(jié)構(gòu)
即2oo4D/QMR結(jié)構(gòu)���,在診斷過程中�,4個(gè)CPU分成2對����,每對由2個(gè)CPU構(gòu)成loo2D結(jié)構(gòu)。當(dāng)其中一個(gè)CPU被診斷出故障時(shí)��,則該對CPU被切除�,由另一對CPU繼續(xù)以1oo2D的模式進(jìn)行工作,這是在loo2D基礎(chǔ)上的一種改進(jìn)����。目前只有HIMA公司設(shè)計(jì)的H4lq和H5lq系統(tǒng)采用該結(jié)構(gòu)。
二��、產(chǎn)品的功能安全設(shè)計(jì)
在SIS產(chǎn)品的設(shè)計(jì)與開發(fā)過程中����,必須遵循IEC61508在產(chǎn)品整體安全生命周期���、軟硬件等諸多方面功能安全的要求。
2.1整體安全生命周期
安全生命周期(safetyhfecycle)指的是在安全相關(guān)系統(tǒng)實(shí)現(xiàn)過程中所必需的生命活動��。這些活動發(fā)生在從一項(xiàng)工程的概念階段開始��,直至所有的E/E/PE(電氣/電子/可編程電子)安全相關(guān)系統(tǒng)�、其他技術(shù)安全相關(guān)系統(tǒng),以及外部風(fēng)險(xiǎn)降低設(shè)施停止使用為止的一段時(shí)間內(nèi)�����。
系統(tǒng)的安全性不僅僅是由系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)決定的�,同時(shí)還取決于系統(tǒng)的安裝、運(yùn)行和維護(hù)等活動�����。因此��,整體安全生命周期不僅覆蓋安全相關(guān)系統(tǒng)的設(shè)計(jì)��,還包括安全相關(guān)系統(tǒng)的規(guī)劃����、設(shè)計(jì)、安裝��、調(diào)試����、運(yùn)行、維護(hù)和停用等所有的主要階段���。整體安全生命周期的基本思想是與功能安全相關(guān)的所有活動都按一個(gè)有計(jì)劃的�����、系統(tǒng)的方法進(jìn)行管理��。
IEC61508將整體安全生命周期分為16個(gè)階段��,包括概念��、整體范圍定義��、危險(xiǎn)和風(fēng)險(xiǎn)分析�����、整體安全要求���、安全要求分配�����、整體操作和維護(hù)計(jì)劃編制���、整體安全確認(rèn)計(jì)劃編制、整體安裝和試運(yùn)行計(jì)劃編制�����、E/E/PES設(shè)計(jì)與實(shí)現(xiàn)���、其他安全相關(guān)系統(tǒng)的實(shí)現(xiàn)�、外部危險(xiǎn)降低措施的實(shí)現(xiàn)����、整體安裝與試運(yùn)行、整體安全確認(rèn)���、整體操作維護(hù)和修理�、整體修改和改型、停用和處理�����,并定義了各階段各自相關(guān)的功能安全活動和要求�。通過這種結(jié)構(gòu)化的生命周期模型����,zui終使得隱藏在安全相關(guān)系統(tǒng)中的非安全因素降至zui低水平。
對于安全儀表系統(tǒng)產(chǎn)品的開發(fā)與設(shè)計(jì)來說�����,需重點(diǎn)關(guān)注第9階段����,即E/E/PE安全相關(guān)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn),并注意從以下2方面著手滿足功能安全要求����。
①建立功能安全管理體系
建立功能安全管理體系的目的是明確整體的����、E/E/PES的和軟件的安全生命周期所有階段的管理和技術(shù)活動���;確定人員、部門��、組織在各階段活動中的角色和所肩負(fù)的責(zé)任�。
管理體系的建立可保障滿足安全儀表系統(tǒng)所要求的安全完整性。
?���、诰帉懮芷诟麟A段相關(guān)文檔
根據(jù)IEC61508生命周期模型,在各階段的各個(gè)活動中遞交所有相關(guān)文檔���。這些文檔應(yīng)規(guī)定能夠有斌執(zhí)行整體安全生命周期各階段所必需的信息��,規(guī)定能夠有效執(zhí)行功能安全管理����、驗(yàn)證以及功能安全評估等活動所必需的信息�,以及有關(guān)的報(bào)告和記錄。
2.2硬件設(shè)計(jì)
IEC61508中關(guān)于硬件安全完整性的要求包括結(jié)構(gòu)約束和危險(xiǎn)隨機(jī)硬件失效概率的要求�����。
硬件故障裕度是指部件或子系統(tǒng)在出現(xiàn)一個(gè)或幾個(gè)硬件故障的情況下,功能單元繼續(xù)執(zhí)行所要求的儀表安全功能的能力���。若硬件故障裕度為N�,則(N+l)個(gè)故障會導(dǎo)致全功能的喪失�。在設(shè)計(jì)安全儀表系統(tǒng)產(chǎn)品時(shí),應(yīng)注意以下幾個(gè)方面�。
?��、傧到y(tǒng)結(jié)構(gòu)
設(shè)計(jì)在進(jìn)行SIS產(chǎn)品設(shè)計(jì)時(shí)�����,首先應(yīng)明確該產(chǎn)品的系統(tǒng)結(jié)構(gòu)或冗余方式����。表1所示為安全完整性結(jié)構(gòu)約束�����。
新開發(fā)的邏輯運(yùn)算器產(chǎn)品定義為B類子系統(tǒng)���,其結(jié)構(gòu)為單通道(HFT=0)��,安全失效分?jǐn)?shù)(SFF)為90%���。查表1可知���,該產(chǎn)品所能聲明的zui高安全完整性等級為SIL2。
?���、贔MEDA評估
失效模式影響和診斷分析FMEDA(faifuremodeseffectsanddjagnosticanalysis)是傳統(tǒng)FMEA的擴(kuò)展使用。在安全儀表系統(tǒng)產(chǎn)品開發(fā)時(shí)��,必須對所有使用到的電子元器件逐一進(jìn)行FMEDA分析����,明確每種失效模式?jīng)Q效影響及故障診斷措施,并結(jié)合現(xiàn)場返修部件統(tǒng)計(jì)數(shù)據(jù)或元器件失效率手冊��,計(jì)算出各種顯�,阻隱性、安全危險(xiǎn)失效率���。這些數(shù)據(jù)是計(jì)算安全失效分?jǐn)?shù)SFF���、故障診斷覆蓋率DC�����、平均失效概率PFD等安全完整性等級相關(guān)參數(shù)的基礎(chǔ)�����。安全完整性等級如表2所示�����。
③完善故障診斷措施
表l中����,安全失效分?jǐn)?shù)SFF體現(xiàn)的是故障自診斷要求,對于HFT=0或1的子系統(tǒng)�,SFF只有大于90%才有可能達(dá)到SIL3,這就需要系統(tǒng)具有高度完善的自診斷措施�����。故障診斷要求如表3所示�����。
2.3安全相關(guān)軟件設(shè)計(jì)
在SIS產(chǎn)品的軟件設(shè)計(jì)與開發(fā)過程中,除了滿足軟件整體安全生命周期中各環(huán)節(jié)的管理和文檔要求外���,還應(yīng)注意以下幾個(gè)方面�����。
?��、佘浖_發(fā)流程
V一模式的開發(fā)生命周期示意圖如圖1所示。它由制定軟件安全需求����、軟件結(jié)構(gòu)、軟件系統(tǒng)設(shè)計(jì)�、模型設(shè)計(jì)、編碼�、模型測試、集成測試(模型)����、集成測試(部件、子系統(tǒng)和可編程電子)和確認(rèn)測試等若干個(gè)步驟組成��,且這些步驟間存在交叉驗(yàn)證關(guān)系���。
?、谲浖Y(jié)構(gòu)設(shè)計(jì)
在軟件安全規(guī)范、軟件結(jié)構(gòu)設(shè)計(jì)和模塊設(shè)計(jì)等環(huán)節(jié)�����,IEC61508推薦使用半形式化�����、結(jié)構(gòu)化方法���,如有限狀態(tài)機(jī)制/狀態(tài)轉(zhuǎn)換圖��、邏輯/功能塊��、數(shù)據(jù)流圖等半形式化方法,結(jié)構(gòu)方法則包括JSD�����、MASCOT����、SADT和Yourdon等�����。
?����、劬幊陶Z言和編譯器
安全相關(guān)系統(tǒng)推薦使用PASCAL����、ADA��、MODULAZ等強(qiáng)類型編程語言��。而常見的C語言并不是強(qiáng)類型語言����,它有弱類型的一面,例如其可把字符型變量賦給一個(gè)整型變量�,可在一個(gè)字符型變量、整型變量�、長整型變量和浮點(diǎn)變量間實(shí)施運(yùn)算;同時(shí)��,C語言還有一個(gè)自動的類型提升等。因此����,使用C語言時(shí),可以通過語言子集(如MISRAC子集)限制這些使用�����,以達(dá)到類似于使用強(qiáng)類型編程語言的編程效果�����。
編譯器(翻譯器)有2種途徑滿足安全完整性要求�����,即經(jīng)認(rèn)證或通過使用提高其置信度����。目前,各編譯器一般未就安全性進(jìn)行過任何認(rèn)證�����,因此��,比較適宜的是后者��,即通過一定年限的使用�����,使得編譯器顯示的置信度滿足安全要求���。
?��、茌o助工具
為了驗(yàn)證軟件代碼的質(zhì)量,需進(jìn)行靜態(tài)分析和動態(tài)分析與測試���,此時(shí)可引入一些輔助軟件工具�,主要是代碼規(guī)則檢測類工具��,如PC-Lint��、QAC���、LogiscoPe��、Test-bed�、Codewizard等。
三�����、結(jié)束語
在構(gòu)建和諧社會的旗幟下����,安全生產(chǎn)已越來越引起人們的廣泛關(guān)注,安全性已成為衡量現(xiàn)代工業(yè)的一項(xiàng)重要指標(biāo)����,安全儀表系統(tǒng)也必將在國民生產(chǎn)和現(xiàn)代化建設(shè)中發(fā)揮越來越重要的作用。如何研制開發(fā)具有自主知識產(chǎn)權(quán)的國產(chǎn)安全儀表系統(tǒng)�����,從而打破國外產(chǎn)品長期壟斷���、價(jià)格居高不下的局面���,是當(dāng)前工控人面臨的新課題。
G-2011-01
儀表網(wǎng)手機(jī)版
儀表網(wǎng)小程序
公眾號.jpg)
公眾號:ybzhan
掃碼關(guān)注視頻號
手機(jī)版
官方微信
采購中心
