基于结构约束的硬件安全完整性等级验证研究
2015-01-13方辉
方 辉
(雅保管理(上海)有限公司,上海 201210)
石油化工等过程工业中系统的安全性非常重要,然而生产过程中不可避免地存在着一些固有的可能引发危险事故的风险。为将风险降低到可以接受的程度,安全仪表系统(Safety Instrumented System,SIS)应运而生,其相关理论和技术在近些年获得了快速的发展并逐步成熟,目前在石化等过程行业中的应用已十分普遍。SIS对风险降低的程度可通过安全完整性等级(Safety Integrity Level,SIL)来衡量。按照IEC61508的安全生命周期架构,经过危险和风险分析,利用保护层、风险图及风险矩阵等方法进行SIL分配后,要对所设计的SIS能否满足要求的SIL进行验证[1]。目前国内外对SIL验证方法的研究主要集中在平均需求失效率PFDavg的算法上[2~6],对结构约束却鲜有深入的分析研究,而结构约束是验证SIS能否满足硬件安全完整性等级要求的重要方法。因此笔者力求清楚全面地阐述结构约束的相关概念和要求,并结合实例对利用结构约束确定硬件SIL的具体方法和步骤进行研究,最后提出结构约束的不足和改进方向。
SIS是由仪表构成以实现安全功能的系统,主要由检测元件、逻辑解算器、执行元件和相应的软件组成。当检测元件发现生产装置或工况发生异常且危及安全时,SIS能够及时地响应并采取保护措施,联锁相关执行元件,使被控过程按照规定的条件或程序退出运行,以保障人员和设备的安全。安全仪表功能(Safety Instrumented Function,SIF)是通过SIS实现的安全功能,SIS可以实现一个或多个SIF[7]。SIS和SIF的组成与关系如图1所示。
图1 SIS和SIF的组成与关系
安全完整性是在规定的时间周期内的所有规定条件下,安全相关系统成功地完成所要求的安全功能(如一个SIF)的概率,是安全相关系统达到规定安全功能可能性的一个度量。IEC61508将安全完整性分为硬件安全完整性、软件安全完整性和系统安全完整性3类, SIL1~SIL4共4个等级[1]。SIL级别越高,系统可靠性越高,结构越复杂,对系统中各子系统、部件和人员的要求也越高。在此笔者主要对硬件安全完整性等级的验证进行阐述。
2 结构约束
2.1 硬件安全完整性等级的验证方法
对SIS硬件安全完整性等级的验证可以采用定量或定性的方法。定量方法基于结构、检验测试间隔、检验测试有效性、自动诊断、平均故障修复时间及所有SIF所含部件的失效率等来计算PFDavg,得出SIS的可靠性数据与可以达到的SIL。然而,在目前的理论和技术条件下,系统的安全性和可靠性还无法完全量化,为简化问题先做一些假设和让步,计算过程也比较理想化,如计算只针对随机的硬件失效,通常未考虑软件失效的影响;失效模式未被完全辨识,失效数据未必可靠;一般只计算检验测试周期内的PFDavg。
基于上述原因,IEC61508和IEC61511引入了结构约束的要求,开辟了另外一条通道来实现SIF,以期实现SIS充足的结构鲁棒性。结构约束是一种定性判定方法,可以防止SIS设计者和系统集成者仅凭借PFDavg计算来选定系统结构,对原先无标准规定的硬件结构做出了具体的限定——SIS只有同时满足PFDavg计算和结构约束的要求时,才能确认达到了相应的SIL。
2.2 硬件故障裕度和安全失效分数
硬件故障裕度(Hardware Fault Tolerance,HFT)和安全失效分数(Safety Failure Factor,SFF)是两个与结构约束相关的重要参数。
HFT是一个部件或子系统在有一个或几个硬件危险故障的情况下,仍能继续承担所要求的SIF的能力[1]。如果HFT=1,则设计必须能够耐受一个故障而不影响SIF,常见表决机制与HFT的关系见表1。
表1 常见表决机制与HFT的关系
SFF定义为安全失效与检测到的危险失效之和占所有失效的比率,即[1]:
(1)
式中 ∑λDD——检测到的总危险失效率;
∑λDU——未检测到的总危险失效率;
∑λs——总的安全失效率(包括检测到的和未检测到的);
∑λTot——总失效率。
换句话说,SFF可以解释为对部件本身安全的一个度量,当失效发生时部件能做出安全反应的程度。
2.3 基于结构约束验证的硬件安全完整性等级
工程实践中,利用结构约束确定一个SIF可以达到的SIL,一般通过以下步骤实现:
a. 辨识SIF;
b. 画表决块图;
c. 确定子系统/部件类型;
d. 计算每个子系统/部件的SFF;
e. 确定每个子系统的SIL;
f. 确定整个SIF的SIL。
其中,步骤a、b是进行结构约束分析的基础和准备,步骤c~e确定各子系统的结构约束,步骤f最终得出整个SIF的结构约束。下面详述这些步骤和应用中的一些关键问题。
2.3.1辨识SIF
SIF是安全完整性的评估对象,描述在某特定危险下,系统应当具备的安全功能。SIF的辨识,先要定义通过某个参量来辨别危险,再决定采取何种措施将危险化解,例如储罐液位过高→关闭进口阀门。危险和风险分析报告(如HAZOP)是SIF辨识的最主要输入源,此外还可以利用的资料包括规格书、因果关系图及P&ID图等。
辨识SIF的核心是要寻找出与某个安全要求直接相关的所有部件/子系统,当情况比较复杂时,建议用问题检查表的方式来梳理思路。典型的问题设计如:该SIS部件保护只针对一个特定的还是多个危险?该SIS部件是单独应对危险进行防护,还是与其他SIS部件共同完成?只有这一种SIS部件针对危险进行防护还是有其他类似的SIS部件预防同一危险?
2.3.2画表决块图
表决块图是用图形化的方式,表示出为实现SIF所需的SIS部件/子系统及其连接关系。复杂的表决块图由3种基本结构组成:单通道串联结构,其中所有部件都必须正常工作该系统才能正常工作,如表决机制NooN是串联结构,其HFT等于0;多通道并联结构,其中任何一个部件能够正常工作则该系统就能正常工作,如表决机制1ooN是并联结构,其HFT等于(N-1);多通道从N中取M结构(MooN),系统共有N个部件,若其中有M个部件能够正常工作,该系统就能正常工作,其HFT等于(N-M),此结构兼顾了系统的可靠性和可用性。
2.3.3确定子系统类型
IEC61508定义了子系统类型,A型子系统指简单的所有失效模式都清楚已知的子系统,B型子系统指复杂的未被完全了解清楚的子系统。实践中,基于逻辑处理器的解算器属于B型;非逻辑处理器的解算器属于A型。换言之,现场仪表的类别取决于它有多少先进的可编程特性。与IEC61508不同,IEC61511采用面向工业的更为直接的分类方式,将可编程(PE)逻辑解算器作为一类,传感器、最终元件和非可编程逻辑解算器作为另一类,前一类的复杂度较后一类更高。确定子系统/部件类型就是要将参与实现SIF的子系统根据上述定义进行分类。
2.3.4计算SFF
评估计算安全失效分数,要按照执行的预期功能,对每个子系统进行相关的故障和失效模式分析,包括故障反应功能、区分出检测到和未检测到的安全失效或危险失效,再依据式(1)计算得出安全失效分数。
2.3.5确定子系统SIL
结构约束规定了具备一定HFT的某类子系统,在一定的SFF下所能达到的最高SIL,比如:按照标准IEC61508中的结构约束要求(图2),一个HFT=1、SFF=75%的B型子系统,其最高能达到SIL2。
图2 IEC61508和IEC61511中的结构约束要求
IEC61508与IEC61511对于结构约束都有要求,但却不是一一对应的关系,这给用户的正确理解和使用造成了不便。
IEC61511不考虑SIL4系统(有关SIL4参见IEC61508),这是因为IEC61511是面向过程工业的设计者、集成商和最终用户,而IEC61508是面向包括核工业在内的所有工业领域的制造商。在过程工业领域,SIL4因其实现和维护的困难性应当被避免。如果危险和风险分析结果要求一个SIF达到SIL4,则应当考虑更改工艺设计或增加其他的保护层(如机械保护系统)来降低部分风险,以降低对SIL的要求,而不是通过SIS来实现SIL4的要求。
IEC61511对于传感器、最终元件和非PE逻辑解算器这些子系统不考虑SFF,其默认此类设备的安全失效分数在60%~90%。
IEC61511对于传感器、最终元件和非PE逻辑解算器允许在特定的情况下HFT值减1,如所选用设备的硬件是基于“以往使用”的,则只允许对过程参数调整,并且其调整受到跳线和密码的保护;如果满足上述特定要求,HFT-SIL的关系就与IEC61508中A型子系统SFF在60%~90%之间一致。这项规定在某种程度上放宽了IEC61508对硬件结构的要求,在过程工业中具有重要的实践意义。也使得在满足特定先决条件的情况下,采用1oo1表决机制的子系统(HFT=0)可以达到SIL2,而1oo2表决机制的子系统(HFT=1)可以达到SIL3,显然这些特定的先决条件相比于增加硬件冗余度或提高部件的SFF更容易实现。
IEC61511对于非PE逻辑处理的解算器/现场设备,如果占主导的失效模式是未被检测出的危险失效,而不是安全失效或被检测出的危险失效(即SFF低于50%),就需要将HFT加1。
两者的共同之处在于:B型子系统/PE逻辑解算器比 A型子系统/传感器、最终元件和非PE逻辑解算器在同样的SIL和SFF情况下要求具有更高的HFT;若其他条件不变,当SFF降低时所要求的HFT就提高;若其他条件不变,当SIL提高时所要求的HFT就提高,反之亦然。
2.3.6确定整个SIF可以达到的SIL
在表决块图上将上一步得出的各子系统的SIL标出,进而可利用合并规则计算整个SIF可以达到的SIL。
对于若干个部件/子系统串联组成的子系统/SIF,其可以达到的最高SIL与部件/子系统中SIL最低的相同。
对于若干个部件/子系统并联组成的子系统/SIF,其可以达到的最高SIL等于部件中最高的SIL加上因部件并联带来的HFT的增加值,典型的两个部件并联(1oo2)后的子系统HFT增加1。
需要注意的是,若一个子系统由不同类型的部件组成,例如由一个压力变送器和一个液位变送器组成的传感器子系统,就不能简单套用结构约束要求(图2),因为不同类型的部件可能有不同的SFF。这种情况下,应先确定不同类型部件的SIL,再通过上述合并规则得出子系统的SIL。如果最终得出的SIL无法达到需求值,就要提高某些子系统的HFT或采用SFF更高更可靠的部件。
3 实例分析
以表决块图的方式表示一个已经辨识出的SIF(图3),并假设已取得各部件的SFF,来确定此SIF可达到的SIL。基于IEC61508对其进行分析的过程是:压力变送器带有智能芯片,应当为B型部件,2oo2的表决机制HFT为0,查表可知这部分子系统达到SIL1;安全相关可编程控制器为B型部件,结合SFF值查表可知其可以达到SIL2;根据串联规则,这两个子系统组成的支路可以达到SIL1。温度开关和安全相关继电器都为A型部件,在给出的SFF下各自都可以达到SIL2,于是此串联支路可以达到SIL2。两条支路之间是1oo2的关系,根据并联规则,1oo2可额外创造一个HFT,故合并后的子系统SIL为两条支路中最高的SIL加上1,即SIL3。同理可得执行机构部分可以达到SIL3。最终整个SIF可以满足SIL3的要求(图4)。
图3 以表决块图表示的某个SIF
图4 确定SIF的SIL分析过程
4 结构约束的不足和发展方向
结构约束是PFDavg计算的很好补充,但也有缺陷。首先,它仍然只针对硬件随机失效;其次,SFF值具有误导性,有时SFF只计算了整个部件中的某些部分,IEC61508覆盖了电气、电子和可编程元件,因此厂家有时只计算这部分元件的SFF,并且假定所有机械部件都是功能完美的,这种情况下,SFF无法反映整个部件;再者,SFF的定量计算是理想化的,但是PFDavg会受到不确定不可靠数据的影响,SFF也一样,而结构约束的目的是补偿在PFDavg估计中的不确定性,如果用于计算PFDavg的可靠性数据是不确定的,那用来计算SFF的数据通常来说就更加不确定了。OREDA项目研究表明[8,9],对收集安全失效数据的重视远不及对收集危险失效数据的重视。
针对这些不足,专家学者们开展了许多卓有成效的研究,如Lundteigen M A和Rausand M提出引入诊断失效率这一新参数来替代SFF[10]。Munkeby E进行了SFF和PFD关系的研究,将PFD的定量计算方法引入SFF的确定中[11]。笔者认为,由于SIL只有针对整个SIF来讲才有意义,应当把更多的注意力放在对系统失效的研究上,从建立整个SIF的可靠性模型、各部件之间的交互及软件可靠性评估等方面进行探索。
5 结束语
笔者基于IEC61508和IEC61511,研究了利用结构约束进行硬件安全完整性等级验证的方法和相关问题,在SIS选型设计之后,验证其是否满足目标SIL的要求,是保证必要的风险降低和实现功能安全的重要环节。结构约束作为一种定性的验证方法,可以弥补PFDavg计算法的部分不足,从系统的硬件结构角度提高了鲁棒性。该方法具备一定的实践指导意义,希望能给过程工业功能安全领域的相关人士提供一定的借鉴。
[1] IEC61508,Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva:International Electrotechnical Commission,2010.
[2] IEC61511,Functional Safety:Safety Instrumented Systems for the Process Industry Sector[S]. Geneva:International Electrotechnical Commission,2003.
[3] 舒逸聃,赵劲松.安全仪表系统安全完整性等级验证研究进展[J].计算机与应用化学,2011,28(12):1585~1588.
[4] 吴宁宁,陈瞭,吴明光,等.安全仪表系统的Markov建模方法研究[J].计算机与应用化学,2009,26(6):821~824.
[5] 徐明,阳宪惠.基于特征值分解计算平均要求时失效概率[J].清华大学学报(自然科学版),2008,48(z2):1805~1809.
[6] Bukowski J V.A Comparison of Techniques for Computing PFD Average[C].Reliability and Maintainability Symposium.New York:IEEE,2005:590~595.
[7] Brissaud F,Barros A,Berenguer C.Probability of Failure of Safety-Critical Systems Subject to Partial Tests[C]. Reliability and Maintainability Symposium.New York:IEEE,2010:14B4.
[8] Langseth H,Haugen K,Sandtorv H.Analysis of OREDA Data for Maintenance Optimization[J].Reliability Engineering & System Safety,1998,60(2):103~110.
[9] Sandtorv H A,Hokstad P,Thompson D W.Practical Experiences with a Data Collection Project: the OREDA Project[J].Reliability Engineering & System Safety,1996,51(2):159~167.
[10] Lundteigen M A,Rausand M.Assessment of Hardware Safety Integrity Requirements[R].Trondheim:The 30th ESReDA Seminar,2006.
[11] Munkeby E.Effect of Safe Failures on the Reliability of Safety Instrumented Systems[D].Trondheim:Norwegian University of Science and Technology,2008.