發布日期:2022-07-14 點擊率:34
TEC61508針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統(E/E/PE)的整體安全生命周期,建立了一個基礎的評價方法。IEC61511是專門針對流程工業領域安全儀表系統的功能安全標準。
IEC61508標準概述
2000年5月,國際電工委員會正式發布了IEC61508標準,名為《電氣/電子/可編程電子安全系統的功能安全》,與之對應的我國國家標準正在制定中。該標準分七部分,涉及1000多個規范。
由電氣和電子部件構成的系統,多年來在許多領域中執行安全功能;以計算機為基礎的系統在許多領域中用于非安全目的,但也越來越多地用于安全目的。當前計算機、集成電路等技術的發展已經滲透到所有工業領域,計算能力的極大增加徹底改變了工廠和工業過程的控制,也改變了安全控制策略。對于包含有電子、電氣設備,計算機軟、硬件的系統,要用于關系到人身財產安全的領域中時,進行規范的安全指導是十分必要的。
TEC61508針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統(E/E/PE)的整體安全生命周期,建立了一個基礎的評價方法。目的是要針對以電子為基礎的安全系統提出一個一致的、合理的技術方案,統籌考慮 單獨系統(如傳感器、通信系統、控制裝置、執行器等)中元件與安全系統組合的問題。
TEC61508的七個部分內容分別為:
第1部分:一般要求,描述了主要概念、組織、生命期、文檔編制、引導證據及SIL的定義。
第2部分是對電氣/電子/可編程電子安全系統的要求,包括對設備和系統的要求,它的很多內容與第7部分的鑒別方法的應用有關,這些方法解決了隨機或系統失效問題。
第3部分是對軟件的要求,描述避免失效的方法,與第7部分的附錄相關。
第4部分是定義和縮略語。
第5部分給出一些確定安全完整性水平的方法示例。
第6部分包括第2和第3部分的應用指南。
第7部分給出測試方法,簡短的注釋并提供部分參考書目。
(一)IEC61508中的基本定義
1.安全功能 (safety function)
針對規定的危險事件,為達到或保持受控設備(EUC)的安全狀態,由E/E/PE安全系統、其他技術安全系統或外部風險降低設施實現的功能。
2.安全完整性 (Safety integrity)
在規定的條件下、規定的時間內,安全系統成功實現所要求的安全功能的概率。這一定義著重于安全系統執行安全功能的可靠性。在確定安全完整性過程中,應包括所有導致非安全狀態的因素,如隨機的硬件失效,軟件導致的失效以及由電氣干擾引起的失效,這些失效的類型,尤其是硬件失效可用測量方法來定量,如在危險模式中的失效和系統失效率,或按規定操作的安全防護系統失效的概率。但是,系統的安全完整性還取決于許多因素,這些因素無法精確定量,僅可定性考慮。
3.E/E/PE系統
基于電氣/電子和可編程電子裝置的用于控制、防護或監視的系統,包括系統中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。
(Equipment Under Control)
受控設備,指用于制造、運輸、醫療或其他領域的設備、機器、裝置或裝備。
5.可接受鳳險 (ACCeptable risk)
風險指的是出現傷害的概率及該傷害嚴重性的組合。可接受風險指根據當今社會的水準所能夠接受的風險。
6.安全 (Safety)
不存在不可接受的風險。
[DividePage:NextPage]
7.安全系統 (Safely-elated-syStem)
是用于兩個目的:一是執行要求的安全功能以達到或保持EUC的安全狀態;二是自身或與其他E/E/PES安全系統、其他技術安全系統或外部風險降低設施一道,對于要求的安全功能達到必要的安全完整性。
安全系統是在接受命令后采取適當的動作以防止EUC進入危險狀態。安全系統的失效應被包括在導致確定的危險事件中。盡管可能有其他系統具備安全功能,但僅是指用其自身能力達到要求的允許風險的安全系統。安全系統可大致分為安全控制系統和安全防護系統。
安全系統可以是EUC控制系統的組成部分,也可用傳感器和/或執行器與EUC的接口,既可用在EUC控制系統中執行安全功能的方式達到要求的安全完整性水平,也可用分離的/獨立的專門用于安全的系統執行安全功能。
(二)IEC61508的基本概念
TEC61508標準規定隨機失效的后果必須定量評估,使用隨機存取測量系統 (RAMS)方法計算有效性。量化與故障相關的系統失效是沒有用的,應當通過組織指導來避免系統失效,或通過技術措施來控制。
1.風險和安全完整性慨念
2.功能安全保證的內容
功能安全保證主要包括兩部分內容:失效識別和安全完整性水平。
(1)失效識別。
失效就是功能單元失去實現其功能的能力。一些功能是根據所達到的行為進行規定的,在執行功能時,某些特定的行為是不允許的,這些行為的出現就是失效。失效可能是隨機失效,這種失效通常由于硬件裝置的耗損所致。也可能是系統失效,這在硬件和軟件中都可能出現。失效識別就是要分辨出不同部件的各種失效原因,估算出系統失效概率。
(2)安全完整性水平 (SIL) (safety integrity level)。
一種離散的水平,用于規定分配給E/E/PE安全系統的安全功能的安全完整性要求,安全系統的安全完整性水平越高,安全系統實現所要求的安全功能失敗的可能性就越低。IEC61508中規定系統有4種安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。
三、現場總線系統的功能安全評價
(一)現場總線系統完成的功能
現場總線系統所起的作用是通信,它包括一組硬件和軟件,允許兩個或多個裝置之間信息交換。在受控過程中,它不應該傳播或建立會產生危險情形的錯誤:它應能找出數據的訛誤,保證實時數據的傳送,傳遞應有序,避免混亂。同時應能隨時了解可能出現的故障狀態,避免出現因通信錯誤觸發不合理的安全動作,例如使過程在不該停止時停了下來,或使過程在出現故障時還繼續工作等。
(二)現場總線系統安全功能評價的方法
要證明一個系統或子系統是否可以用在安全領域,是否符合IEC61508標準,有兩個途徑:一是按照IEC61508的原則設計一個新系統;二是沿用以前已經使用并證明是安全的系統,用"proven in use"方法來驗證。現場總線系統的功能安全評價一般都采取第二種方法。這是一個在"使用中證實"的概念。如果一種產品或系統已經在使用中,只要供應商有足夠的證據證明它是安全的,那么以后相同的產品或系統就允許應用在同等安全的領域。
IEC61508中提出的這種"proven in use"的概念對于供應商和用戶都有極大的激勵作用。目前世界上此重要的設備供應商都開始對自己的產品進行這方面認證工作。但"Proven in use"實際上有很嚴格的限制條件:
(l)Proven in use方法只能用于那些滿足相關要求的功能和接口子系統;
(2)子系統的工作條件與原子系統的工作條件完全相同或十分相近;
(3)如果子系統的工作條件不同,則需要用分析和測試的方法來論證該系統的功能安全完整性可能達到的水平,以保證該系統可用于安全領域;
(4)聲明的失效率有足夠的統計學數據基礎;
(5)收集有足夠的失效數據;
(6)考慮了子系統的復雜性,子系統對風險降低的貢獻,子系統失效對整個系統可能造成的后果,新設計等。
[DividePage:NextPage]
四、用戶選擇現場總線時要注意的因素
(一)供應商應提供的資料
如果用戶要集成一個安全系統,考慮要使用現場總線時,要充分考慮到現場總線這個子系統對安全系統的安全完整性貢獻。為了達到這個目的,系統設計者、集成者需要現場總線軟硬件供應商提供一些必要信息。如:
(1)詳細解釋功能、接口、應用環境等的說明書;
(2)在每種失效模式下,硬件隨機失效的可能失效率;
(3)診斷范圍和診斷測試間隔;
(4)硬件失效容差;
(5)硬件和軟件組態需要的標識信息;
(6)有效的書面證明;
(7)SIL級別。
(二)現場總線子系統SIL與整個系統SIL的關系
特別要注意的是,現場總線這個子系統的SIL級別并不代表整個控制系統的SlL。一旦考慮整個系統的SlL時,要考慮的就是系統的所有方面,包括現場設備和特定項目應用邏輯。當它們組合執行安全功能時,所有這些子系統和器件要求必須滿足相應功能的SIL,但他們的組合并不一定能夠實現預定的SIL,此時SIL就不是一個子系統或器件直接可用的概念。理解這一點其實很簡單:假定一個高級別SIL的子系統或器件被裝錯了,系統依然會出故障。
IEC61508給出了對安全系統的SlL值計算和分配的模型和算法。用戶單位如果有功能安全的評價機構,可以根據標準的要求自己對系統和各分系統、器件的SlL進行計算評估,也可以請第三方來對系統進行評估和SIL值分配。
(三)確認識供應商聲稱的SIL級別
1.應用條件是否相同
目前已經有多家公司的現場總線系統進行過IEC61508認證,如FF、WorldFIP、Profibus現場總線己經通過權威機構認證,達到SIL3級。
但用戶在選擇這種現場總線時,要考慮您采用此子系統的工作條件與它評定時的工作條件是否完全相同或十分相近。如果是,當然供應商所聲稱的SIL級別是相同的。如果子系統的工作條件不同, 則需要用分析和測試的方法來論證該系統的SIL可能達到的水平,以保證該系統可用于安全領域。
2.對評估員或評估機構獨立性的要求
TEC61508規定,對系統、子系統或器件進行SIL級別評估的必須是相對獨立的人或組織。評估員的獨立水平按SIL的級別不同而不同。對于SILl,只需要同一個組織中的一個獨立人,SIM則需要一個獨立的組織。至于SIL2和3要求的級別受附加條件的影響,如系統復雜性、設計的新穎性、開發者以前的經驗等。還有一個特別條件,就是評估員具有合格的工作能力。
五、結束語
本文提出了現場總線的安全問題,但這并不意味著現場總線本身是不安全的,也不能說現場總線不能滿足工廠控制安全性要求。現場總線提供的預診斷是對安全的極大貢獻。現場總線電纜的抗干擾、電磁兼容性很強,一些現場總線從信號傳輸機制上就充分考慮了安全性因素。數字信號傳輸所帶來的控制方法的改變更是數不勝數。用戶只要充分了解現場總線的相關信息,在系統設計中采取適當的預防措施,安全使用現場總線系統是完全可以實現的。
電力企業進行安全性評價工作已有十年,"安全性評價"和"危險點分析"是90年代以來我國電力企業創造性地運用于安全管理實踐,取得了極大成效的現代安全管理辦法。但如何對控制系統的功能安全進行評價,還是一個新課題。當前功能安全評價已經成為全世界工業控制領域的一個熱點。
[DividePage:NextPage]
IEC61511標準概述
IEC61511是專門針對流程工業領域安全儀表系統的功能安全標準。它是國際電工委員會繼功能安全基礎標準IEC61508之后推出的領域標準。目前,等同采用IEC61511的中國國家標準已經由全國工業過程測量與控制標準化技術委員會審核批準,正在上報審批階段,即將發布。
在過程工業中,多年來,儀表安全系統都被用來執行儀表安全功能。問題是,如果要使儀表能有效地用于儀表安全功能,該儀表應達到怎樣的最低標準和性能水平?如何達到?IEC61511就是針對這一問題,論述了過程工業儀表安全系統的應用。
針對基于使用電氣(E)/電子(E)/可編程電子(PE)技術的儀表安全系統,IEC61511標準中規定了邏輯解算器在設計和使用過程中,須采用的基本原則,以及構成儀表安全系統的傳感器和最終元件所應達到的最低標準,并提出了達到這些最低標準的安全生命周期活動的方法,即,對過程工業中安全儀表系統的規范、設計、安裝、運行和維護的要求進行了標準化;對安全儀表系統的系統、硬件、軟件提出要求;在應用和安全整體級別的確定方面提供了相當多的指導。
該標準包含三個部分:
第1部分提出了整體框架、定義、系統、硬件和軟件要求。給出了儀表安全系統的規范、設計、安裝、運行和維護要求,這確保該系統能把過程置于或保持在某個安全狀態。
第2部分是第1部分的應用指南。提供了為了滿足IEC61511第1部分中定義的儀表安全功能及其相關的儀表安全系統的規范、設計、安裝、操作和維護的要求所必要的實現指南。
第3部分給出了如何確定要求的安全完整性等級。內容包括風險的基礎概念、風險與安全完整性的關系,允許風險的確定,以及確定儀表安全功能的安全完整性等級的各種不同方法。
下一篇: PLC、DCS、FCS三大控
上一篇: IEC61508及其衍生、引
