TEC61508針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期,建立了一個基礎的評價方法。IEC61511是專門針對流程工業(yè)領域安全儀表系統(tǒng)的功能安全標準。
IEC61508標準概述
2000年5月,國際電工委員會正式發(fā)布了IEC61508標準,名為《電氣/電子/可編程電子安全系統(tǒng)的功能安全》,與之對應的我國國家標準正在制定中。該標準分七部分,涉及1000多個規(guī)范。
由電氣和電子部件構成的系統(tǒng),多年來在許多領域中執(zhí)行安全功能;以計算機為基礎的系統(tǒng)在許多領域中用于非安全目的,但也越來越多地用于安全目的。當前計算機、集成電路等技術的發(fā)展已經(jīng)滲透到所有工業(yè)領域,計算能力的極大增加徹底改變了工廠和工業(yè)過程的控制,也改變了安全控制策略。對于包含有電子、電氣設備,計算機軟、硬件的系統(tǒng),要用于關系到人身財產安全的領域中時,進行規(guī)范的安全指導是十分必要的。
TEC61508針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期,建立了一個基礎的評價方法。目的是要針對以電子為基礎的安全系統(tǒng)提出一個一致的、合理的技術方案,統(tǒng)籌考慮 單獨系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合的問題。
TEC61508的七個部分內容分別為:
第1部分:一般要求,描述了主要概念、組織、生命期、文檔編制、引導證據(jù)及SIL的定義。
第2部分是對電氣/電子/可編程電子安全系統(tǒng)的要求,包括對設備和系統(tǒng)的要求,它的很多內容與第7部分的鑒別方法的應用有關,這些方法解決了隨機或系統(tǒng)失效問題。
第3部分是對軟件的要求,描述避免失效的方法,與第7部分的附錄相關。
第4部分是定義和縮略語。
第5部分給出一些確定安全完整性水平的方法示例。
第6部分包括第2和第3部分的應用指南。
第7部分給出測試方法,簡短的注釋并提供部分參考書目。
(一)IEC61508中的基本定義
1.安全功能 (safety function)
針對規(guī)定的危險事件,為達到或保持受控設備(EUC)的安全狀態(tài),由E/E/PE安全系統(tǒng)、其他技術安全系統(tǒng)或外部風險降低設施實現(xiàn)的功能。
2.安全完整性 (Safety integrity)
在規(guī)定的條件下、規(guī)定的時間內,安全系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。這一定義著重于安全系統(tǒng)執(zhí)行安全功能的可靠性。在確定安全完整性過程中,應包括所有導致非安全狀態(tài)的因素,如隨機的硬件失效,軟件導致的失效以及由電氣干擾引起的失效,這些失效的類型,尤其是硬件失效可用測量方法來定量,如在危險模式中的失效和系統(tǒng)失效率,或按規(guī)定操作的安全防護系統(tǒng)失效的概率。但是,系統(tǒng)的安全完整性還取決于許多因素,這些因素無法精確定量,僅可定性考慮。
3.E/E/PE系統(tǒng)
基于電氣/電子和可編程電子裝置的用于控制、防護或監(jiān)視的系統(tǒng),包括系統(tǒng)中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。
(Equipment Under Control)
受控設備,指用于制造、運輸、醫(yī)療或其他領域的設備、機器、裝置或裝備。
5.可接受鳳險 (ACCeptable risk)
風險指的是出現(xiàn)傷害的概率及該傷害嚴重性的組合。可接受風險指根據(jù)當今社會的水準所能夠接受的風險。
6.安全 (Safety)
不存在不可接受的風險。
[DividePage:NextPage]
7.安全系統(tǒng) (Safely-elated-syStem)
是用于兩個目的:一是執(zhí)行要求的安全功能以達到或保持EUC的安全狀態(tài);二是自身或與其他E/E/PES安全系統(tǒng)、其他技術安全系統(tǒng)或外部風險降低設施一道,對于要求的安全功能達到必要的安全完整性。
安全系統(tǒng)是在接受命令后采取適當?shù)膭幼饕苑乐笶UC進入危險狀態(tài)。安全系統(tǒng)的失效應被包括在導致確定的危險事件中。盡管可能有其他系統(tǒng)具備安全功能,但僅是指用其自身能力達到要求的允許風險的安全系統(tǒng)。安全系統(tǒng)可大致分為安全控制系統(tǒng)和安全防護系統(tǒng)。
安全系統(tǒng)可以是EUC控制系統(tǒng)的組成部分,也可用傳感器和/或執(zhí)行器與EUC的接口,既可用在EUC控制系統(tǒng)中執(zhí)行安全功能的方式達到要求的安全完整性水平,也可用分離的/獨立的專門用于安全的系統(tǒng)執(zhí)行安全功能。
(二)IEC61508的基本概念
TEC61508標準規(guī)定隨機失效的后果必須定量評估,使用隨機存取測量系統(tǒng) (RAMS)方法計算有效性。量化與故障相關的系統(tǒng)失效是沒有用的,應當通過組織指導來避免系統(tǒng)失效,或通過技術措施來控制。
1.風險和安全完整性慨念
2.功能安全保證的內容
功能安全保證主要包括兩部分內容:失效識別和安全完整性水平。
(1)失效識別。
失效就是功能單元失去實現(xiàn)其功能的能力。一些功能是根據(jù)所達到的行為進行規(guī)定的,在執(zhí)行功能時,某些特定的行為是不允許的,這些行為的出現(xiàn)就是失效。失效可能是隨機失效,這種失效通常由于硬件裝置的耗損所致。也可能是系統(tǒng)失效,這在硬件和軟件中都可能出現(xiàn)。失效識別就是要分辨出不同部件的各種失效原因,估算出系統(tǒng)失效概率。
(2)安全完整性水平 (SIL) (safety integrity level)。
一種離散的水平,用于規(guī)定分配給E/E/PE安全系統(tǒng)的安全功能的安全完整性要求,安全系統(tǒng)的安全完整性水平越高,安全系統(tǒng)實現(xiàn)所要求的安全功能失敗的可能性就越低。IEC61508中規(guī)定系統(tǒng)有4種安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。
三、現(xiàn)場總線系統(tǒng)的功能安全評價
(一)現(xiàn)場總線系統(tǒng)完成的功能
現(xiàn)場總線系統(tǒng)所起的作用是通信,它包括一組硬件和軟件,允許兩個或多個裝置之間信息交換。在受控過程中,它不應該傳播或建立會產生危險情形的錯誤:它應能找出數(shù)據(jù)的訛誤,保證實時數(shù)據(jù)的傳送,傳遞應有序,避免混亂。同時應能隨時了解可能出現(xiàn)的故障狀態(tài),避免出現(xiàn)因通信錯誤觸發(fā)不合理的安全動作,例如使過程在不該停止時停了下來,或使過程在出現(xiàn)故障時還繼續(xù)工作等。
(二)現(xiàn)場總線系統(tǒng)安全功能評價的方法
要證明一個系統(tǒng)或子系統(tǒng)是否可以用在安全領域,是否符合IEC61508標準,有兩個途徑:一是按照IEC61508的原則設計一個新系統(tǒng);二是沿用以前已經(jīng)使用并證明是安全的系統(tǒng),用"proven in use"方法來驗證。現(xiàn)場總線系統(tǒng)的功能安全評價一般都采取第二種方法。這是一個在"使用中證實"的概念。如果一種產品或系統(tǒng)已經(jīng)在使用中,只要供應商有足夠的證據(jù)證明它是安全的,那么以后相同的產品或系統(tǒng)就允許應用在同等安全的領域。
IEC61508中提出的這種"proven in use"的概念對于供應商和用戶都有極大的激勵作用。目前世界上此重要的設備供應商都開始對自己的產品進行這方面認證工作。但"Proven in use"實際上有很嚴格的限制條件:
(l)Proven in use方法只能用于那些滿足相關要求的功能和接口子系統(tǒng);
(2)子系統(tǒng)的工作條件與原子系統(tǒng)的工作條件完全相同或十分相近;
(3)如果子系統(tǒng)的工作條件不同,則需要用分析和測試的方法來論證該系統(tǒng)的功能安全完整性可能達到的水平,以保證該系統(tǒng)可用于安全領域;
(4)聲明的失效率有足夠的統(tǒng)計學數(shù)據(jù)基礎;
(5)收集有足夠的失效數(shù)據(jù);
(6)考慮了子系統(tǒng)的復雜性,子系統(tǒng)對風險降低的貢獻,子系統(tǒng)失效對整個系統(tǒng)可能造成的后果,新設計等。
[DividePage:NextPage]
四、用戶選擇現(xiàn)場總線時要注意的因素
(一)供應商應提供的資料
如果用戶要集成一個安全系統(tǒng),考慮要使用現(xiàn)場總線時,要充分考慮到現(xiàn)場總線這個子系統(tǒng)對安全系統(tǒng)的安全完整性貢獻。為了達到這個目的,系統(tǒng)設計者、集成者需要現(xiàn)場總線軟硬件供應商提供一些必要信息。如:
(1)詳細解釋功能、接口、應用環(huán)境等的說明書;
(2)在每種失效模式下,硬件隨機失效的可能失效率;
(3)診斷范圍和診斷測試間隔;
(4)硬件失效容差;
(5)硬件和軟件組態(tài)需要的標識信息;
(6)有效的書面證明;
(7)SIL級別。
(二)現(xiàn)場總線子系統(tǒng)SIL與整個系統(tǒng)SIL的關系
特別要注意的是,現(xiàn)場總線這個子系統(tǒng)的SIL級別并不代表整個控制系統(tǒng)的SlL。一旦考慮整個系統(tǒng)的SlL時,要考慮的就是系統(tǒng)的所有方面,包括現(xiàn)場設備和特定項目應用邏輯。當它們組合執(zhí)行安全功能時,所有這些子系統(tǒng)和器件要求必須滿足相應功能的SIL,但他們的組合并不一定能夠實現(xiàn)預定的SIL,此時SIL就不是一個子系統(tǒng)或器件直接可用的概念。理解這一點其實很簡單:假定一個高級別SIL的子系統(tǒng)或器件被裝錯了,系統(tǒng)依然會出故障。
IEC61508給出了對安全系統(tǒng)的SlL值計算和分配的模型和算法。用戶單位如果有功能安全的評價機構,可以根據(jù)標準的要求自己對系統(tǒng)和各分系統(tǒng)、器件的SlL進行計算評估,也可以請第三方來對系統(tǒng)進行評估和SIL值分配。
(三)確認識供應商聲稱的SIL級別
1.應用條件是否相同
目前已經(jīng)有多家公司的現(xiàn)場總線系統(tǒng)進行過IEC61508認證,如FF、WorldFIP、Profibus現(xiàn)場總線己經(jīng)通過權威機構認證,達到SIL3級。
但用戶在選擇這種現(xiàn)場總線時,要考慮您采用此子系統(tǒng)的工作條件與它評定時的工作條件是否完全相同或十分相近。如果是,當然供應商所聲稱的SIL級別是相同的。如果子系統(tǒng)的工作條件不同, 則需要用分析和測試的方法來論證該系統(tǒng)的SIL可能達到的水平,以保證該系統(tǒng)可用于安全領域。
2.對評估員或評估機構獨立性的要求
TEC61508規(guī)定,對系統(tǒng)、子系統(tǒng)或器件進行SIL級別評估的必須是相對獨立的人或組織。評估員的獨立水平按SIL的級別不同而不同。對于SILl,只需要同一個組織中的一個獨立人,SIM則需要一個獨立的組織。至于SIL2和3要求的級別受附加條件的影響,如系統(tǒng)復雜性、設計的新穎性、開發(fā)者以前的經(jīng)驗等。還有一個特別條件,就是評估員具有合格的工作能力。
五、結束語
本文提出了現(xiàn)場總線的安全問題,但這并不意味著現(xiàn)場總線本身是不安全的,也不能說現(xiàn)場總線不能滿足工廠控制安全性要求。現(xiàn)場總線提供的預診斷是對安全的極大貢獻。現(xiàn)場總線電纜的抗干擾、電磁兼容性很強,一些現(xiàn)場總線從信號傳輸機制上就充分考慮了安全性因素。數(shù)字信號傳輸所帶來的控制方法的改變更是數(shù)不勝數(shù)。用戶只要充分了解現(xiàn)場總線的相關信息,在系統(tǒng)設計中采取適當?shù)念A防措施,安全使用現(xiàn)場總線系統(tǒng)是完全可以實現(xiàn)的。
電力企業(yè)進行安全性評價工作已有十年,"安全性評價"和"危險點分析"是90年代以來我國電力企業(yè)創(chuàng)造性地運用于安全管理實踐,取得了極大成效的現(xiàn)代安全管理辦法。但如何對控制系統(tǒng)的功能安全進行評價,還是一個新課題。當前功能安全評價已經(jīng)成為全世界工業(yè)控制領域的一個熱點。
[DividePage:NextPage]
IEC61511標準概述
IEC61511是專門針對流程工業(yè)領域安全儀表系統(tǒng)的功能安全標準。它是國際電工委員會繼功能安全基礎標準IEC61508之后推出的領域標準。目前,等同采用IEC61511的中國國家標準已經(jīng)由全國工業(yè)過程測量與控制標準化技術委員會審核批準,正在上報審批階段,即將發(fā)布。
在過程工業(yè)中,多年來,儀表安全系統(tǒng)都被用來執(zhí)行儀表安全功能。問題是,如果要使儀表能有效地用于儀表安全功能,該儀表應達到怎樣的最低標準和性能水平?如何達到?IEC61511就是針對這一問題,論述了過程工業(yè)儀表安全系統(tǒng)的應用。
針對基于使用電氣(E)/電子(E)/可編程電子(PE)技術的儀表安全系統(tǒng),IEC61511標準中規(guī)定了邏輯解算器在設計和使用過程中,須采用的基本原則,以及構成儀表安全系統(tǒng)的傳感器和最終元件所應達到的最低標準,并提出了達到這些最低標準的安全生命周期活動的方法,即,對過程工業(yè)中安全儀表系統(tǒng)的規(guī)范、設計、安裝、運行和維護的要求進行了標準化;對安全儀表系統(tǒng)的系統(tǒng)、硬件、軟件提出要求;在應用和安全整體級別的確定方面提供了相當多的指導。
該標準包含三個部分:
第1部分提出了整體框架、定義、系統(tǒng)、硬件和軟件要求。給出了儀表安全系統(tǒng)的規(guī)范、設計、安裝、運行和維護要求,這確保該系統(tǒng)能把過程置于或保持在某個安全狀態(tài)。
第2部分是第1部分的應用指南。提供了為了滿足IEC61511第1部分中定義的儀表安全功能及其相關的儀表安全系統(tǒng)的規(guī)范、設計、安裝、操作和維護的要求所必要的實現(xiàn)指南。
第3部分給出了如何確定要求的安全完整性等級。內容包括風險的基礎概念、風險與安全完整性的關系,允許風險的確定,以及確定儀表安全功能的安全完整性等級的各種不同方法。
