TEC61508針對由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期,建立了一個基礎(chǔ)的評價方法。IEC61511是專門針對流程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全標(biāo)準(zhǔn)。
IEC61508標(biāo)準(zhǔn)概述
2000年5月,國際電工委員會正式發(fā)布了IEC61508標(biāo)準(zhǔn),名為《電氣/電子/可編程電子安全系統(tǒng)的功能安全》,與之對應(yīng)的我國國家標(biāo)準(zhǔn)正在制定中。該標(biāo)準(zhǔn)分七部分,涉及1000多個規(guī)范。
由電氣和電子部件構(gòu)成的系統(tǒng),多年來在許多領(lǐng)域中執(zhí)行安全功能;以計算機為基礎(chǔ)的系統(tǒng)在許多領(lǐng)域中用于非安全目的,但也越來越多地用于安全目的。當(dāng)前計算機、集成電路等技術(shù)的發(fā)展已經(jīng)滲透到所有工業(yè)領(lǐng)域,計算能力的極大增加徹底改變了工廠和工業(yè)過程的控制,也改變了安全控制策略。對于包含有電子、電氣設(shè)備,計算機軟、硬件的系統(tǒng),要用于關(guān)系到人身財產(chǎn)安全的領(lǐng)域中時,進行規(guī)范的安全指導(dǎo)是十分必要的。
TEC61508針對由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期,建立了一個基礎(chǔ)的評價方法。目的是要針對以電子為基礎(chǔ)的安全系統(tǒng)提出一個一致的、合理的技術(shù)方案,統(tǒng)籌考慮 單獨系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合的問題。
TEC61508的七個部分內(nèi)容分別為:
第1部分:一般要求,描述了主要概念、組織、生命期、文檔編制、引導(dǎo)證據(jù)及SIL的定義。
第2部分是對電氣/電子/可編程電子安全系統(tǒng)的要求,包括對設(shè)備和系統(tǒng)的要求,它的很多內(nèi)容與第7部分的鑒別方法的應(yīng)用有關(guān),這些方法解決了隨機或系統(tǒng)失效問題。
第3部分是對軟件的要求,描述避免失效的方法,與第7部分的附錄相關(guān)。
第4部分是定義和縮略語。
第5部分給出一些確定安全完整性水平的方法示例。
第6部分包括第2和第3部分的應(yīng)用指南。
第7部分給出測試方法,簡短的注釋并提供部分參考書目。
(一)IEC61508中的基本定義
1.安全功能 (safety function)
針對規(guī)定的危險事件,為達到或保持受控設(shè)備(EUC)的安全狀態(tài),由E/E/PE安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險降低設(shè)施實現(xiàn)的功能。
2.安全完整性 (Safety integrity)
在規(guī)定的條件下、規(guī)定的時間內(nèi),安全系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。這一定義著重于安全系統(tǒng)執(zhí)行安全功能的可靠性。在確定安全完整性過程中,應(yīng)包括所有導(dǎo)致非安全狀態(tài)的因素,如隨機的硬件失效,軟件導(dǎo)致的失效以及由電氣干擾引起的失效,這些失效的類型,尤其是硬件失效可用測量方法來定量,如在危險模式中的失效和系統(tǒng)失效率,或按規(guī)定操作的安全防護系統(tǒng)失效的概率。但是,系統(tǒng)的安全完整性還取決于許多因素,這些因素?zé)o法精確定量,僅可定性考慮。
3.E/E/PE系統(tǒng)
基于電氣/電子和可編程電子裝置的用于控制、防護或監(jiān)視的系統(tǒng),包括系統(tǒng)中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。
(Equipment Under Control)
受控設(shè)備,指用于制造、運輸、醫(yī)療或其他領(lǐng)域的設(shè)備、機器、裝置或裝備。
5.可接受鳳險 (ACCeptable risk)
風(fēng)險指的是出現(xiàn)傷害的概率及該傷害嚴(yán)重性的組合。可接受風(fēng)險指根據(jù)當(dāng)今社會的水準(zhǔn)所能夠接受的風(fēng)險。
6.安全 (Safety)
不存在不可接受的風(fēng)險。
[DividePage:NextPage]
7.安全系統(tǒng) (Safely-elated-syStem)
是用于兩個目的:一是執(zhí)行要求的安全功能以達到或保持EUC的安全狀態(tài);二是自身或與其他E/E/PES安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險降低設(shè)施一道,對于要求的安全功能達到必要的安全完整性。
安全系統(tǒng)是在接受命令后采取適當(dāng)?shù)膭幼饕苑乐笶UC進入危險狀態(tài)。安全系統(tǒng)的失效應(yīng)被包括在導(dǎo)致確定的危險事件中。盡管可能有其他系統(tǒng)具備安全功能,但僅是指用其自身能力達到要求的允許風(fēng)險的安全系統(tǒng)。安全系統(tǒng)可大致分為安全控制系統(tǒng)和安全防護系統(tǒng)。
安全系統(tǒng)可以是EUC控制系統(tǒng)的組成部分,也可用傳感器和/或執(zhí)行器與EUC的接口,既可用在EUC控制系統(tǒng)中執(zhí)行安全功能的方式達到要求的安全完整性水平,也可用分離的/獨立的專門用于安全的系統(tǒng)執(zhí)行安全功能。
(二)IEC61508的基本概念
TEC61508標(biāo)準(zhǔn)規(guī)定隨機失效的后果必須定量評估,使用隨機存取測量系統(tǒng) (RAMS)方法計算有效性。量化與故障相關(guān)的系統(tǒng)失效是沒有用的,應(yīng)當(dāng)通過組織指導(dǎo)來避免系統(tǒng)失效,或通過技術(shù)措施來控制。
1.風(fēng)險和安全完整性慨念
2.功能安全保證的內(nèi)容
功能安全保證主要包括兩部分內(nèi)容:失效識別和安全完整性水平。
(1)失效識別。
失效就是功能單元失去實現(xiàn)其功能的能力。一些功能是根據(jù)所達到的行為進行規(guī)定的,在執(zhí)行功能時,某些特定的行為是不允許的,這些行為的出現(xiàn)就是失效。失效可能是隨機失效,這種失效通常由于硬件裝置的耗損所致。也可能是系統(tǒng)失效,這在硬件和軟件中都可能出現(xiàn)。失效識別就是要分辨出不同部件的各種失效原因,估算出系統(tǒng)失效概率。
(2)安全完整性水平 (SIL) (safety integrity level)。
一種離散的水平,用于規(guī)定分配給E/E/PE安全系統(tǒng)的安全功能的安全完整性要求,安全系統(tǒng)的安全完整性水平越高,安全系統(tǒng)實現(xiàn)所要求的安全功能失敗的可能性就越低。IEC61508中規(guī)定系統(tǒng)有4種安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。
三、現(xiàn)場總線系統(tǒng)的功能安全評價
(一)現(xiàn)場總線系統(tǒng)完成的功能
現(xiàn)場總線系統(tǒng)所起的作用是通信,它包括一組硬件和軟件,允許兩個或多個裝置之間信息交換。在受控過程中,它不應(yīng)該傳播或建立會產(chǎn)生危險情形的錯誤:它應(yīng)能找出數(shù)據(jù)的訛誤,保證實時數(shù)據(jù)的傳送,傳遞應(yīng)有序,避免混亂。同時應(yīng)能隨時了解可能出現(xiàn)的故障狀態(tài),避免出現(xiàn)因通信錯誤觸發(fā)不合理的安全動作,例如使過程在不該停止時停了下來,或使過程在出現(xiàn)故障時還繼續(xù)工作等。
(二)現(xiàn)場總線系統(tǒng)安全功能評價的方法
要證明一個系統(tǒng)或子系統(tǒng)是否可以用在安全領(lǐng)域,是否符合IEC61508標(biāo)準(zhǔn),有兩個途徑:一是按照IEC61508的原則設(shè)計一個新系統(tǒng);二是沿用以前已經(jīng)使用并證明是安全的系統(tǒng),用"proven in use"方法來驗證。現(xiàn)場總線系統(tǒng)的功能安全評價一般都采取第二種方法。這是一個在"使用中證實"的概念。如果一種產(chǎn)品或系統(tǒng)已經(jīng)在使用中,只要供應(yīng)商有足夠的證據(jù)證明它是安全的,那么以后相同的產(chǎn)品或系統(tǒng)就允許應(yīng)用在同等安全的領(lǐng)域。
IEC61508中提出的這種"proven in use"的概念對于供應(yīng)商和用戶都有極大的激勵作用。目前世界上此重要的設(shè)備供應(yīng)商都開始對自己的產(chǎn)品進行這方面認(rèn)證工作。但"Proven in use"實際上有很嚴(yán)格的限制條件:
(l)Proven in use方法只能用于那些滿足相關(guān)要求的功能和接口子系統(tǒng);
(2)子系統(tǒng)的工作條件與原子系統(tǒng)的工作條件完全相同或十分相近;
(3)如果子系統(tǒng)的工作條件不同,則需要用分析和測試的方法來論證該系統(tǒng)的功能安全完整性可能達到的水平,以保證該系統(tǒng)可用于安全領(lǐng)域;
(4)聲明的失效率有足夠的統(tǒng)計學(xué)數(shù)據(jù)基礎(chǔ);
(5)收集有足夠的失效數(shù)據(jù);
(6)考慮了子系統(tǒng)的復(fù)雜性,子系統(tǒng)對風(fēng)險降低的貢獻,子系統(tǒng)失效對整個系統(tǒng)可能造成的后果,新設(shè)計等。
[DividePage:NextPage]
四、用戶選擇現(xiàn)場總線時要注意的因素
(一)供應(yīng)商應(yīng)提供的資料
如果用戶要集成一個安全系統(tǒng),考慮要使用現(xiàn)場總線時,要充分考慮到現(xiàn)場總線這個子系統(tǒng)對安全系統(tǒng)的安全完整性貢獻。為了達到這個目的,系統(tǒng)設(shè)計者、集成者需要現(xiàn)場總線軟硬件供應(yīng)商提供一些必要信息。如:
(1)詳細(xì)解釋功能、接口、應(yīng)用環(huán)境等的說明書;
(2)在每種失效模式下,硬件隨機失效的可能失效率;
(3)診斷范圍和診斷測試間隔;
(4)硬件失效容差;
(5)硬件和軟件組態(tài)需要的標(biāo)識信息;
(6)有效的書面證明;
(7)SIL級別。
(二)現(xiàn)場總線子系統(tǒng)SIL與整個系統(tǒng)SIL的關(guān)系
特別要注意的是,現(xiàn)場總線這個子系統(tǒng)的SIL級別并不代表整個控制系統(tǒng)的SlL。一旦考慮整個系統(tǒng)的SlL時,要考慮的就是系統(tǒng)的所有方面,包括現(xiàn)場設(shè)備和特定項目應(yīng)用邏輯。當(dāng)它們組合執(zhí)行安全功能時,所有這些子系統(tǒng)和器件要求必須滿足相應(yīng)功能的SIL,但他們的組合并不一定能夠?qū)崿F(xiàn)預(yù)定的SIL,此時SIL就不是一個子系統(tǒng)或器件直接可用的概念。理解這一點其實很簡單:假定一個高級別SIL的子系統(tǒng)或器件被裝錯了,系統(tǒng)依然會出故障。
IEC61508給出了對安全系統(tǒng)的SlL值計算和分配的模型和算法。用戶單位如果有功能安全的評價機構(gòu),可以根據(jù)標(biāo)準(zhǔn)的要求自己對系統(tǒng)和各分系統(tǒng)、器件的SlL進行計算評估,也可以請第三方來對系統(tǒng)進行評估和SIL值分配。
(三)確認(rèn)識供應(yīng)商聲稱的SIL級別
1.應(yīng)用條件是否相同
目前已經(jīng)有多家公司的現(xiàn)場總線系統(tǒng)進行過IEC61508認(rèn)證,如FF、WorldFIP、Profibus現(xiàn)場總線己經(jīng)通過權(quán)威機構(gòu)認(rèn)證,達到SIL3級。
但用戶在選擇這種現(xiàn)場總線時,要考慮您采用此子系統(tǒng)的工作條件與它評定時的工作條件是否完全相同或十分相近。如果是,當(dāng)然供應(yīng)商所聲稱的SIL級別是相同的。如果子系統(tǒng)的工作條件不同, 則需要用分析和測試的方法來論證該系統(tǒng)的SIL可能達到的水平,以保證該系統(tǒng)可用于安全領(lǐng)域。
2.對評估員或評估機構(gòu)獨立性的要求
TEC61508規(guī)定,對系統(tǒng)、子系統(tǒng)或器件進行SIL級別評估的必須是相對獨立的人或組織。評估員的獨立水平按SIL的級別不同而不同。對于SILl,只需要同一個組織中的一個獨立人,SIM則需要一個獨立的組織。至于SIL2和3要求的級別受附加條件的影響,如系統(tǒng)復(fù)雜性、設(shè)計的新穎性、開發(fā)者以前的經(jīng)驗等。還有一個特別條件,就是評估員具有合格的工作能力。
五、結(jié)束語
本文提出了現(xiàn)場總線的安全問題,但這并不意味著現(xiàn)場總線本身是不安全的,也不能說現(xiàn)場總線不能滿足工廠控制安全性要求。現(xiàn)場總線提供的預(yù)診斷是對安全的極大貢獻。現(xiàn)場總線電纜的抗干擾、電磁兼容性很強,一些現(xiàn)場總線從信號傳輸機制上就充分考慮了安全性因素。數(shù)字信號傳輸所帶來的控制方法的改變更是數(shù)不勝數(shù)。用戶只要充分了解現(xiàn)場總線的相關(guān)信息,在系統(tǒng)設(shè)計中采取適當(dāng)?shù)念A(yù)防措施,安全使用現(xiàn)場總線系統(tǒng)是完全可以實現(xiàn)的。
電力企業(yè)進行安全性評價工作已有十年,"安全性評價"和"危險點分析"是90年代以來我國電力企業(yè)創(chuàng)造性地運用于安全管理實踐,取得了極大成效的現(xiàn)代安全管理辦法。但如何對控制系統(tǒng)的功能安全進行評價,還是一個新課題。當(dāng)前功能安全評價已經(jīng)成為全世界工業(yè)控制領(lǐng)域的一個熱點。
[DividePage:NextPage]
IEC61511標(biāo)準(zhǔn)概述
IEC61511是專門針對流程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全標(biāo)準(zhǔn)。它是國際電工委員會繼功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508之后推出的領(lǐng)域標(biāo)準(zhǔn)。目前,等同采用IEC61511的中國國家標(biāo)準(zhǔn)已經(jīng)由全國工業(yè)過程測量與控制標(biāo)準(zhǔn)化技術(shù)委員會審核批準(zhǔn),正在上報審批階段,即將發(fā)布。
在過程工業(yè)中,多年來,儀表安全系統(tǒng)都被用來執(zhí)行儀表安全功能。問題是,如果要使儀表能有效地用于儀表安全功能,該儀表應(yīng)達到怎樣的最低標(biāo)準(zhǔn)和性能水平?如何達到?IEC61511就是針對這一問題,論述了過程工業(yè)儀表安全系統(tǒng)的應(yīng)用。
針對基于使用電氣(E)/電子(E)/可編程電子(PE)技術(shù)的儀表安全系統(tǒng),IEC61511標(biāo)準(zhǔn)中規(guī)定了邏輯解算器在設(shè)計和使用過程中,須采用的基本原則,以及構(gòu)成儀表安全系統(tǒng)的傳感器和最終元件所應(yīng)達到的最低標(biāo)準(zhǔn),并提出了達到這些最低標(biāo)準(zhǔn)的安全生命周期活動的方法,即,對過程工業(yè)中安全儀表系統(tǒng)的規(guī)范、設(shè)計、安裝、運行和維護的要求進行了標(biāo)準(zhǔn)化;對安全儀表系統(tǒng)的系統(tǒng)、硬件、軟件提出要求;在應(yīng)用和安全整體級別的確定方面提供了相當(dāng)多的指導(dǎo)。
該標(biāo)準(zhǔn)包含三個部分:
第1部分提出了整體框架、定義、系統(tǒng)、硬件和軟件要求。給出了儀表安全系統(tǒng)的規(guī)范、設(shè)計、安裝、運行和維護要求,這確保該系統(tǒng)能把過程置于或保持在某個安全狀態(tài)。
第2部分是第1部分的應(yīng)用指南。提供了為了滿足IEC61511第1部分中定義的儀表安全功能及其相關(guān)的儀表安全系統(tǒng)的規(guī)范、設(shè)計、安裝、操作和維護的要求所必要的實現(xiàn)指南。
第3部分給出了如何確定要求的安全完整性等級。內(nèi)容包括風(fēng)險的基礎(chǔ)概念、風(fēng)險與安全完整性的關(guān)系,允許風(fēng)險的確定,以及確定儀表安全功能的安全完整性等級的各種不同方法。
