制訂標準
2000年5月,國際電工委員會正式發布了IEC61508標準,名為《電氣/電子/可程式電子安全系統的功能安全》,與之對應的我國國家標準正在制定中。該標準分七部分,涉及1000多個規範。
由電氣和電子部件構成的系統,多年來在許多領域中執行安全功能;以計算機為基礎的系統在許多領域中用於非安全目的,但也越來越多地用於安全目的。當前計算機、積體電路等技術的發展已經滲透到所有工業領域,計算能力的極大增加徹底改變了工廠和工業過程的控制,也改變了安全控制策略。對於包含有電子、電氣設備,計算機軟、硬體的系統,要用於關係到人身財產安全的領域中時,進行規範的安全指導是十分必要的。
IEC61508針對由電氣/電子/可程式電子部件構成的、起安全作用的電氣/電子/可程式電子系統(E/E/PE)的整體安全生命周期,建立了一個基礎的評價方法。目的是要針對以電子為基礎的安全系統提出一個一致的、合理的技術方案,統籌考慮 單獨系統(如感測器、通信系統、控制裝置、執行器等)中元件與安全系統組合的問題。
影響因素
1.安全功能 (safety function)
針對規定的危險事件,為達到或保持受控設備(EUC)的安全狀態,由E/E/PE安全系統、其他技術安全系統或外部風險降低設施實現的功能。
2.安全完整性 (Safety integrity)
在規定的條件下、規定的時間內,安全系統成功實現所要求的安全功能的機率。這一定義著重於安全系統執行安全功能的可靠性。在確定安全完整性過程中,應包括所有導致非安全狀態的因素,如隨機的硬體失效,軟體導致的失效以及由電氣干擾引起的失效,這些失效的類型,尤其是硬體失效可用測量方法來定量,如在危險模式中的失效和系統失效率,或按規定操作的安全防護系統失效的機率。但是,系統的安全完整性還取決於許多因素,這些因素無法精確定量,僅可定性考慮。
3.E/E/PE系統
基於電氣/電子和可程式電子裝置的用於控制、防護或監視的系統,包括系統中所有的元素如電源、感測器、所有其他輸入輸出裝置及所有通信手段。
4.EUC(Equipment Under Control)
受控設備,指用於製造、運輸、醫療或其他領域的設備、機器、裝置或裝備。
5.可接受風險 (ACCeptable risk)
風險指的是出現傷害的機率及該傷害嚴重性的組合。可接受風險指根據當今社會的水準所能夠接受的風險。
6.安全 (Safety)
不存在不可接受的風險。
7.安全系統 (Safely-elated-syStem)
是用於兩個目的:一是執行要求的安全功能以達到或保持EUC的安全狀態;二是自身或與其他E/E/PES安全系統、其他技術安全系統或外部風險降低設施一道,對於要求的安全功能達到必要的安全完整性。
安全系統是在接受命令後採取適當的動作以防止EUC進入危險狀態。安全系統的失效應被包括在導致確定的危險事件中。儘管可能有其他系統具備安全功能,但僅是指用其自身能力達到要求的允許風險的安全系統。安全系統可大致分為安全控制系統和安全防護系統。
安全系統可以是EUC控制系統的組成部分,也可用感測器和/或執行器與EUC的接口,既可用在EUC控制系統中執行安全功能的方式達到要求的安全完整性水平,也可用分離的/獨立的專門用於安全的系統執行安全功能。
內容介紹
第1部分:一般要求,描述了主要概念、組織、生命期、文檔編制、引導證據及SIL的定義。
第2部分是對電氣/電子/可程式電子安全系統的要求,包括對設備和系統的要求,它的很多內容與第7部分的鑑別方法的套用有關,這些方法解決了隨機或系統失效問題。
第3部分是對軟體的要求,描述避免失效的方法,與第7部分的附錄相關。
第4部分是定義和縮略語。
第5部分給出一些確定安全完整性水平的方法示例。
第6部分包括第2和第3部分的套用指南。
第7部分給出測試方法,簡短的注釋並提供部分參考書目。
評估體系
IEC61508標準規定隨機失效的後果必須定量評估,使用隨機存取測量系統 (RAMS)方法計算有效性。量化與故障相關的系統失效是沒有用的,應當通過組織指導來避免系統失效,或通過技術措施來控制。
1.風險和安全完整性慨念
2.功能安全保證的內容
功能安全保證主要包括兩部分內容:失效識別和安全完整性水平。
(1)失效識別。
失效就是功能單元失去實現其功能的能力。一些功能是根據所達到的行為進行規定的,在執行功能時,某些特定的行為是不允許的,這些行為的出現就是失效。失效可能是隨機失效,這種失效通常由於硬體裝置的耗損所致。也可能是系統失效,這在硬體和軟體中都可能出現。失效識別就是要分辨出不同部件的各種失效原因,估算出系統失效機率。
(2)安全完整性水平 (SIL) (safety integrity level)。
一種離散的水平,用於規定分配給E/E/PE安全系統的安全功能的安全完整性要求,安全系統的安全完整性水平越高,安全系統實現所要求的安全功能失敗的可能性就越低。IEC61508中規定系統有4種安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。
功能評價
(一)現場匯流排系統完成的功能
現場匯流排系統所起的作用是通信,它包括一組硬體和軟體,允許兩個或多個裝置之間信息交換。在受控過程中,它不應該傳播或建立會產生危險情形的錯誤:它應能找出數據的訛誤,保證實時數據的傳送,傳遞應有序,避免混亂。同時應能隨時了解可能出現的故障狀態,避免出現因通信錯誤觸發不合理的安全動作,例如使過程在不該停止時停了下來,或使過程在出現故障時還繼續工作等。
(二)現場匯流排系統安全功能評價的方法
要證明一個系統或子系統是否可以用在安全領域,是否符合IEC61508標準,有兩個途徑:一是按照IEC61508的原則設計一個新系統;二是沿用以前已經使用並證明是安全的系統,用"proven in use"方法來驗證。現場匯流排系統的功能安全評價一般都採取第二種方法。這是一個在"使用中證實"的概念。如果一種產品或系統已經在使用中,只要供應商有足夠的證據證明它是安全的,那么以後相同的產品或系統就允許套用在同等安全的領域。
IEC61508中提出的這種"proven in use"的概念對於供應商和用戶都有極大的激勵作用。目前世界上此重要的設備供應商都開始對自己的產品進行這方面認證工作。但"Proven in use"實際上有很嚴格的限制條件:
(l)Proven in use方法只能用於那些滿足相關要求的功能和接口子系統;
(2)子系統的工作條件與原子系統的工作條件完全相同或十分相近;
(3)如果子系統的工作條件不同,則需要用分析和測試的方法來論證該系統的功能安全完整性可能達到的水平,以保證該系統可用於安全領域;
(4)聲明的失效率有足夠的統計學數據基礎;
(5)收集有足夠的失效數據;
(6)考慮了子系統的複雜性,子系統對風險降低的貢獻,子系統失效對整個系統可能造成的後果,新設計等。
四、用戶選擇現場匯流排時要注意的因素
(一)供應商應提供的資料
如果用戶要集成一個安全系統,考慮要使用現場匯流排時,要充分考慮到現場匯流排這個子系統對安全系統的安全完整性貢獻。為了達到這個目的,系統設計者、集成者需要現場匯流排軟硬體供應商提供一些必要信息。如:
(1)詳細解釋功能、接口、套用環境等的說明書;
(2)在每種失效模式下,硬體隨機失效的可能失效率;
(3)診斷範圍和診斷測試間隔;
(4)硬體失效容差;
(5)硬體和軟體組態需要的標識信息;
(6)有效的書面證明;
(7)SIL級別。
(二)現場匯流排子系統SIL與整個系統SIL的關係
特別要注意的是,現場匯流排這個子系統的SIL級別並不代表整個控制系統的SlL。一旦考慮整個系統的SlL時,要考慮的就是系統的所有方面,包括現場設備和特定項目套用邏輯。當它們組合執行安全功能時,所有這些子系統和器件要求必須滿足相應功能的SIL,但他們的組合併不一定能夠實現預定的SIL,此時SIL就不是一個子系統或器件直接可用的概念。理解這一點其實很簡單:假定一個高級別SIL的子系統或器件被裝錯了,系統依然會出故障。
IEC61508給出了對安全系統的SlL值計算和分配的模型和算法。用戶單位如果有功能安全的評價機構,可以根據標準的要求自己對系統和各分系統、器件的SlL進行計算評估,也可以請第三方來對系統進行評估和SIL值分配。
(三)確認識供應商聲稱的SIL級別
1.套用條件是否相同
目前已經有多家公司的現場匯流排系統進行過IEC61508認證,如FF、WorldFIP、Profibus現場匯流排己經通過權威機構認證,達到SIL3級。
但用戶在選擇這種現場匯流排時,要考慮您採用此子系統的工作條件與它評定時的工作條件是否完全相同或十分相近。如果是,當然供應商所聲稱的SIL級別是相同的。如果子系統的工作條件不同, 則需要用分析和測試的方法來論證該系統的SIL可能達到的水平,以保證該系統可用於安全領域。
2.對評估員或評估機構獨立性的要求
IEC61508規定,對系統、子系統或器件進行SIL級別評估的必須是相對獨立的人或組織。評估員的獨立水平按SIL的級別不同而不同。對於SILl,只需要同一個組織中的一個獨立人,SIM則需要一個獨立的組織。至於SIL2和3要求的級別受附加條件的影響,如系統複雜性、設計的新穎性、開發者以前的經驗等。還有一個特別條件,就是評估員具有合格的工作能力。
五、結束語
本文提出了現場匯流排的安全問題,但這並不意味著現場匯流排本身是不安全的,也不能說現場匯流排不能滿足工廠控制安全性要求。現場匯流排提供的預診斷是對安全的極大貢獻。現場匯流排電纜的抗干擾、電磁兼容性很強,一些現場匯流排從信號傳輸機制上就充分考慮了安全性因素。數位訊號傳輸所帶來的控制方法的改變更是數不勝數。用戶只要充分了解現場匯流排的相關信息,在系統設計中採取適當的預防措施,安全使用現場匯流排系統是完全可以實現的。
電力企業進行安全性評價工作已有十年,"安全性評價"和"危險點分析"是90年代以來我國電力企業創造性地運用於安全管理實踐,取得了極大成效的現代安全管理辦法。但如何對控制系統的功能安全進行評價,還是一個新課題。當前功能安全評價已經成為全世界工業控制領域的一個熱點。
IEC 61508是一項用於工業領域的國際標準,其名稱是《電氣/電子/可程式電子安全相關係統的功能安全》。
IEC 61508意圖作為一個基本的功能安全標準套用於各種工業行業。它將功能安全定義為:相關受控設備(EUC)總體安全的一部分;依賴於電氣/電子/可程式電子(E/E/PE)安全相關係統功能正確的EUC控制系統;以及其它安全相關係統技術和外部風險降低措施。”
IEC 61508標準起源於工業過程控制領域。該標準涵蓋了完整的安全生命周期,當制定相關領域特定的功能安全標準時,需要進一步細化說明。
IEC 61508標準定義的安全生命周期包含16個階段,粗略地可以分為3塊:1-5階段描述了分析過程;6-13階段描述了實現過程;14-16階段描述了運營過程。所有階段關注的均是系統安全功能。標準有7個部分組成,1-3部分包括標準需求(規範性的);4-7部分包括開發過程指導和示例,因此是資料性的。
IEC 61508標準的核心是風險概念和安全功能。風險是指危害事件頻率(或可能性)以及事件後果嚴重性。通過套用包括E/E/PES和/或其它技術構成的安全功能,使風險降低到可以容忍的水平。另外,其它技術也可能被用於降低風險,但IEC 61508標準的詳細需求只覆蓋了採用E/E/PES技術的安全功能。