“功能安全产品实现技术”系列讲座第1讲安全相关产品的实现

2013-09-10谢亚莲尹宝娟

自动化仪表 2013年6期

谢亚莲尹宝娟

(上海工业自动化仪表研究院1，上海 200233;上海仪器仪表自控检验测试所功能安全中心2，上海 200233;环境保护部核与辐射安全中心3，北京 100082)

0 引言

功能安全于20世纪80年代末起源于欧洲，其目的是为了控制、避免和减轻风险的发生，保证人员、财产和环境的安全。功能安全技术以可靠性技术为基础，综合了软硬件设计技术、试验技术、管理科学等，并将这一理念注入到软硬件设计中。1995年，欧洲率先推出了功能安全在机械领域的标准EN954;1998年，国际电工委员会(IEC)首次推出了功能安全的基础标准IEC 61508电气/电子/可编程电子安全系统的功能安全的第1部分，2000年，又相继推出了IEC 61508的第2部分和第7部分。在中国，2006年IEC 61508的等同标准GB/T 20438电气/电子/可编程电子安全相关系统的功能安全正式面世，标志着功能安全的理念已正式进入中国。目前，在石油化工、电力、机械等各领域，对可构成安全相关系统的安全相关产品有广泛的需求，而如何实现安全相关产品正是本文所要呈现的内容。

1 安全相关产品的构成

暂且定义可构成安全相关系统的、满足功能安全设计实现要求的、具有安全相关参数的产品是安全相关产品。安全相关系统通常由前端传感器单元、中间输入单元、逻辑单元与输出单元、终端执行单元构成，如广泛用于过程工业的压力变送器、温度变送器、气体探测器、液位变送器、可编程控制器、分布控制系统(distributed control system，DCS)、电磁阀、执行机构、截止阀、关断阀等都可成为安全相关产品。安全相关产品通常由硬件和软件构成，其示意如图1所示，结构如表1所示。

图1 安全相关产品构成图Fig.1 The composition of safety related products

图1中:PE为可编程电子装置;NP为非可编程装置;H/W为硬件;S/W为软件。

表1 可编程电子安全相关产品结构Tab.1 Structure of the programmable electronic safety related products

2 安全相关产品的实现

2.1 安全完整性等级

安全完整性等级(safety integrity level，SIL)是指赋予安全相关产品的特有定量指标，也即SIL等级(SIL1～SIL4)。安全完整性包含硬件安全完整性和系统安全完整性，衡量硬件安全完整性等级的一个重要因素是通过对定量参数的计算来评判。硬件安全完整性等级的划分如表2所示。

表2 安全完整性等级对应的目标失效量Tab.2 The amount of target failure corresponding to the SIL

系统能力是衡量系统安全完整性满足规定的安全完整性等级的信心，表示为SC1～SC4。系统安全完整性包含硬件系统安全完整性和软件系统安全完整性，其通过采取控制系统失效的措施和避免系统失效的措施来达到。与完整性相关的概念如下。

①安全完整性:E/E/PE安全相关系统在规定的条件下、规定的时间内满意地执行规定的安全功能的概率。

②硬件安全完整性:安全相关系统的部分安全完整性，其与硬件随机失效的危险失效相关。

③系统安全完整性:安全相关系统的部分安全完整性，其与属于危险失效的系统失效相关。

④软件安全完整性:安全相关系统的部分安全完整性，其与由软件引起的、属于危险失效的系统失效相关。

⑤安全完整性等级:一种离散的等级(四种可能等级之一)，对应于安全完整性值的一个范围。四个安全完整性等级对应的目标失效量见表2。

2.2 安全相关产品的实现

根据图1所示安全相关产品构成图，通常可简单地认为安全相关产品由硬件和软件构成。安全相关产品的实现过程如图2所示。

图2 安全相关产品的实现Fig.2 The implementation of safety related products

由图2可知，达到目标安全完整性等级的安全相关产品的实现，就在于在安全相关产品的开发过程中使其硬件安全完整性等级和软件安全完整性等级达到目标安全完整性等级，即在设计开发过程中采取一些措施和手段降低随机硬件失效中不可诊断的危险失效的份额，同时采取一些措施和手段避免和控制产品在开发过程中引入的系统失效。

这里硬件随机失效定义为由硬件的一个或几个可能的失效机理引起的、在随机时间发生的失效，随机硬件失效是可以量化的。系统失效被认为是与确定原因相关的失效，能通过改变设计、生产过程、操作模式、操作指令或其他影响因子来消除，系统失效是不能被量化的。

2.3 与硬件安全完整性相关的参数

安全相关产品的硬件从结构功能上来划分，又是由各子系统构成的。因此，要达到安全功能要求的安全完整性等级，除了要满足每个安全功能的危险失效概率要求，各子系统还要满足结构约束的要求，如表3所示。

表3 结构约束Tab.3 Structural constraints

与完整性等级相关的硬件安全完整性由安全相关参数安全失效分数(safe failure fraction，SFF)(针对子系统)、硬件故障裕度(HFT)(针对子系统)、危险失效概率(PFDavg/PFH)(针对每个安全功能)构成。

硬件安全完整性的实现是通过设计合适的结构、采用适当的故障诊断措施等来满足上述安全相关参数的要求。

2.4 系统安全完整性

系统安全完整性包含硬件系统安全完整性和软件安全完整性。

硬件安全完整性等级的系统安全完整性是通过采用避免系统失效的措施和控制系统故障的措施的实现。

避免系统失效的措施可查阅 IEC 61508.2(GB/T 20438-2)附录B，推荐针对硬件在不同安全生命周期阶段避免系统失效的措施和方法。安全相关产品在下列阶段必须考虑避免系统失效:

①设计需求规范;②设计和开发;③ 集成;④ 运行和维护;⑤确认。

控制系统故障的措施可查阅 IEC 61508.2(GB/T 20438-2)附录A表A15～表 A17。IEC 61508标准要求应用质量管理(quality management，QM)的措施来避免在产品生命周期的不同阶段的失效，并根据安全完整性等级(SIL)采用相应的一些措施。如果按照推荐的重要度和有效性，采用这些措施可以减少可能的失效，然而设计失效或一般系统失效仍然存在于产品中，即无论这些措施被如何采用，仍然有残余系统失效概率发生，所以要求采取一些措施和技术，以控制系统故障。可采取的措施有以下几项。

①控制由HW和SW设计引起的失效;②控制由环境应力或外部影响引起的失效;③控制由操作引起的失效。

软件安全完整性的实现是通过在软件开发的生命周期中采用避免系统失效的措施。避免失效的措施见IEC 61508.3(GB/T 20438-3)附录A，需根据要求的安全完整性等级确定采用的措施、确定采用措施的有效性。