安全儀表系統(tǒng)的功能安全設計

　　摘要：針對安全儀表系統(tǒng)（SIS）的產(chǎn)品開發(fā)，分析了應用于石化領域的安全儀表系統(tǒng)的基本特性、冗余結構和常見產(chǎn)品類型。在介紹IEC61508標準的基礎上，提出了安全儀表系統(tǒng)產(chǎn)品開發(fā)過程中整體安全生命周期、產(chǎn)品硬件及安全相關軟件的功能安全設計方法；zui后以SIL2級壓力變送器為例
　　
　　引言
　　
　　2000年,IEC61508.1-7《電氣／電子／可編程電子安全相關系統(tǒng)的功能安全》標準的頒布標志著功能安全作為獨立的安全學科進入實際應用階段。在國外，尤其是歐盟，對功能安全的研究已較為深入，且取得安全認證的產(chǎn)品越來越多，范圍也在逐步擴大。
　　
　　在我國，功能安全還只是一個名詞概念，盡管在工業(yè)控制領域有一定的推廣，但是國內(nèi)生產(chǎn)的電氣儀表產(chǎn)品獲得功能安全認證的還很少，尤其是作為安全儀表系統(tǒng)核心部件的邏輯運算器，目前尚無產(chǎn)品獲得認證，這極不利于我國的國民經(jīng)濟發(fā)展和國家戰(zhàn)略安全。本文結合基礎標準IEC61508，對安全儀表系統(tǒng)及其產(chǎn)品的功能安全設計進行了初步探討。
　　
　　一、安全儀表系統(tǒng)
　　
　　安全儀表系統(tǒng)SIS（Safetyinstrumentsystem）是指能實現(xiàn)一個或多個安全功能的系統(tǒng)。在IEC61508標準中，安全儀表系統(tǒng)和緊急停車系統(tǒng)ESD（emergencyshutdowndevice）、安全聯(lián)鎖系統(tǒng)SIS（safetyinterlockssystem）、儀表保護系統(tǒng)IPSinstrumentedprotectivesystem）統(tǒng)稱為安全相關系統(tǒng)SRS（safetyrelatedsystem）。
　　
　　安全儀表系統(tǒng)是一種可編程控制系統(tǒng)，它對生產(chǎn)裝置或設備可能發(fā)生的危險采取緊急措施，并對繼續(xù)惡化的狀態(tài)進行及時響應，使其進入一個預定義的安全停車工況，從而使危險和損失降到zui低程度，保證生產(chǎn)·設備、環(huán)境和人員安全。
　　
　　安全儀表系統(tǒng)通常應用于石油、化工等過程工業(yè)領域，但作為一種高度可靠的安全保護設施，它在其他行業(yè)也有較多應用，包括核電、航空、艦船以及高速鐵路等系統(tǒng)。
　　
　　根據(jù)IEC61508標準，一套完整的安全儀表系統(tǒng)由傳感變送器、邏輯運算器和zui終執(zhí)行元件構成。邏輯運算器作為核心部件，負責按照設定的邏輯進行控制，在一般具體的SIS產(chǎn)品中，安全儀表系統(tǒng)指的都是其中的邏輯運算器。
　　
　　1.1基本特征
　　
　　相比其他工業(yè)控制系統(tǒng)，如DCS、PLC等，SIS具有如下基本特征。
　　
　　①一定的安全完整性等級
　　
　　IEC61508作為基礎標準，充分考慮了安全儀表系統(tǒng)的整體安全生命周期，提出了評估安全儀表系統(tǒng)的安全完整性等級SIL（safetyintegritylevel）的方法，規(guī)范了為實現(xiàn)必要的功能安全所使用的工具與措施。安全儀表系統(tǒng)的設計與開發(fā)過程必須遵循IEC61508，并應通過獨立機構（如德國TUV或美國的exida等）的功能安全評估和認證，取得認證證書，才能在工業(yè)現(xiàn)場中應用。
　　
　　②容錯性的多重冗余系統(tǒng)
　　
　　SIS一般采用多重冗余結構，以提高系統(tǒng)的硬件故障裕度，單一故障不會導致SIS安全功能的喪失。
　　
　　③全面的故障自診斷能力
　　
　　SIS的安全完整性要求還包括避免失效的要求和系統(tǒng)故障控制的要求，同時，構成系統(tǒng)的各個部件均需明確故障診斷措施和失效后的行為。系統(tǒng)整體診斷覆蓋率一般高達90％以上。SIS的硬件具有高度可靠性，能承受大多數(shù)環(huán)境應力，如現(xiàn)場電磁干擾等，從而可以較好地應用于各種工業(yè)環(huán)境。
　　
　　④響應速度快
　　
　　SIS的實時性較好，一般從輸入變化到輸出變化的響應時間在10-50ms左右（此處指的是邏輯運算器的響應速度，不包括現(xiàn)場儀表和執(zhí)行機構），一些小型SIS甚至可達到幾毫秒的響應速度。
　　
　　⑤事件順序記錄功能
　　
　　為了更好地進行事故分析與事后追憶，SIS一般具有事件順序記錄SoE（sequenceofevents）功能，即可按時間順序記錄各個輸入刃輸出及狀態(tài)變量的變化時間，記錄精度一般到毫秒級。
　　
　　1.2冗余結構與典型產(chǎn)品
　　
　　針對目前應用的SIS系統(tǒng)，其結構可劃分為以下3類。
　　
　　①二重化自診斷冗余結構
　　
　　即1oo2D結構，其自帶完善的自診斷系統(tǒng)，由并聯(lián)的2個通道構成，任何一個通道都可以執(zhí)行安全功能。典型的例子是Honeywell公司設計的FSC系統(tǒng)和Moore公司設計的QUADLOG系統(tǒng)。
　　
　　②三重化表決結構
　　
　　即2oo3/TMR結構，由并聯(lián)的3個通道構成，其輸出信號由3個通道的輸出表決后得到，兼具安全性和可靠性。典型的例子是Triconex公司設計的TRICON系統(tǒng)和ICSTriplex公司設計的Regent系統(tǒng)。
　　
　　③四重化冗余容錯*自診斷結構
　　
　　即2oo4D/QMR結構，在診斷過程中，4個CPU分成2對，每對由2個CPU構成loo2D結構。當其中一個CPU被診斷出故障時，則該對CPU被切除，由另一對CPU繼續(xù)以1oo2D的模式進行工作，這是在loo2D基礎上的一種改進。目前只有HIMA公司設計的H4lq和H5lq系統(tǒng)采用該結構。
　　
　　二、產(chǎn)品的功能安全設計
　　
　　在SIS產(chǎn)品的設計與開發(fā)過程中，必須遵循IEC61508在產(chǎn)品整體安全生命周期、軟硬件等諸多方面功能安全的要求。
　　
　　2.1整體安全生命周期
　　
　　安全生命周期（safetyhfecycle）指的是在安全相關系統(tǒng)實現(xiàn)過程中所必需的生命活動。這些活動發(fā)生在從一項工程的概念階段開始，直至所有的E/E/PE（電氣／電子／可編程電子）安全相關系統(tǒng)、其他技術安全相關系統(tǒng)，以及外部風險降低設施停止使用為止的一段時間內(nèi)。
　　
　　系統(tǒng)的安全性不僅僅是由系統(tǒng)的設計和實現(xiàn)決定的，同時還取決于系統(tǒng)的安裝、運行和維護等活動。因此，整體安全生命周期不僅覆蓋安全相關系統(tǒng)的設計，還包括安全相關系統(tǒng)的規(guī)劃、設計、安裝、調(diào)試、運行、維護和停用等所有的主要階段。整體安全生命周期的基本思想是與功能安全相關的所有活動都按一個有計劃的、系統(tǒng)的方法進行管理。
　　
　　IEC61508將整體安全生命周期分為16個階段，包括概念、整體范圍定義、危險和風險分析、整體安全要求、安全要求分配、整體操作和維護計劃編制、整體安全確認計劃編制、整體安裝和試運行計劃編制、E/E/PES設計與實現(xiàn)、其他安全相關系統(tǒng)的實現(xiàn)、外部危險降低措施的實現(xiàn)、整體安裝與試運行、整體安全確認、整體操作維護和修理、整體修改和改型、停用和處理，并定義了各階段各自相關的功能安全活動和要求。通過這種結構化的生命周期模型，zui終使得隱藏在安全相關系統(tǒng)中的非安全因素降至zui低水平。
　　
　　對于安全儀表系統(tǒng)產(chǎn)品的開發(fā)與設計來說，需重點關注第9階段，即E/E/PE安全相關系統(tǒng)的設計實現(xiàn)，并注意從以下2方面著手滿足功能安全要求。
　　
　　①建立功能安全管理體系
　　
　　建立功能安全管理體系的目的是明確整體的、E/E/PES的和軟件的安全生命周期所有階段的管理和技術活動；確定人員、部門、組織在各階段活動中的角色和所肩負的責任。
　　
　　管理體系的建立可保障滿足安全儀表系統(tǒng)所要求的安全完整性。
　　
　　②編寫生命周期各階段相關文檔
　　
　　根據(jù)IEC61508生命周期模型，在各階段的各個活動中遞交所有相關文檔。這些文檔應規(guī)定能夠有斌執(zhí)行整體安全生命周期各階段所必需的信息，規(guī)定能夠有效執(zhí)行功能安全管理、驗證以及功能安全評估等活動所必需的信息，以及有關的報告和記錄。
　　
　　2.2硬件設計
　　
　　IEC61508中關于硬件安全完整性的要求包括結構約束和危險隨機硬件失效概率的要求。
　　
　　硬件故障裕度是指部件或子系統(tǒng)在出現(xiàn)一個或幾個硬件故障的情況下，功能單元繼續(xù)執(zhí)行所要求的儀表安全功能的能力。若硬件故障裕度為N，則（N+l）個故障會導致全功能的喪失。在設計安全儀表系統(tǒng)產(chǎn)品時，應注意以下幾個方面。
　　
　　①系統(tǒng)結構
　　
　　設計在進行SIS產(chǎn)品設計時，首先應明確該產(chǎn)品的系統(tǒng)結構或冗余方式。表1所示為安全完整性結構約束。

　　
　　新開發(fā)的邏輯運算器產(chǎn)品定義為B類子系統(tǒng)，其結構為單通道（HFT=0），安全失效分數(shù)（SFF）為90%。查表1可知，該產(chǎn)品所能聲明的zui高安全完整性等級為SIL2。
　　
　　②FMEDA評估
　　
　　失效模式影響和診斷分析FMEDA（faifuremodeseffectsanddjagnosticanalysis）是傳統(tǒng)FMEA的擴展使用。在安全儀表系統(tǒng)產(chǎn)品開發(fā)時，必須對所有使用到的電子元器件逐一進行FMEDA分析，明確每種失效模式?jīng)Q效影響及故障診斷措施，并結合現(xiàn)場返修部件統(tǒng)計數(shù)據(jù)或元器件失效率手冊，計算出各種顯，阻隱性、安全危險失效率。這些數(shù)據(jù)是計算安全失效分數(shù)SFF、故障診斷覆蓋率DC、平均失效概率PFD等安全完整性等級相關參數(shù)的基礎。安全完整性等級如表2所示。
　　
　　③完善故障診斷措施
　　
　　表l中，安全失效分數(shù)SFF體現(xiàn)的是故障自診斷要求，對于HFT=0或1的子系統(tǒng)，SFF只有大于90%才有可能達到SIL3，這就需要系統(tǒng)具有高度完善的自診斷措施。故障診斷要求如表3所示。
　　
　　2.3安全相關軟件設計
　　
　　在SIS產(chǎn)品的軟件設計與開發(fā)過程中，除了滿足軟件整體安全生命周期中各環(huán)節(jié)的管理和文檔要求外，還應注意以下幾個方面。
　　
　　①軟件開發(fā)流程
　　
　　V一模式的開發(fā)生命周期示意圖如圖1所示。它由制定軟件安全需求、軟件結構、軟件系統(tǒng)設計、模型設計、編碼、模型測試、集成測試（模型）、集成測試（部件、子系統(tǒng)和可編程電子）和確認測試等若干個步驟組成，且這些步驟間存在交叉驗證關系。
　　
　　②軟件結構設計
　　
　　在軟件安全規(guī)范、軟件結構設計和模塊設計等環(huán)節(jié)，IEC61508推薦使用半形式化、結構化方法，如有限狀態(tài)機制／狀態(tài)轉(zhuǎn)換圖、邏輯／功能塊、數(shù)據(jù)流圖等半形式化方法，結構方法則包括JSD、MASCOT、SADT和Yourdon等。
　　
　　③編程語言和編譯器
　　
　　安全相關系統(tǒng)推薦使用PASCAL、ADA、MODULAZ等強類型編程語言。而常見的C語言并不是強類型語言，它有弱類型的一面，例如其可把字符型變量賦給一個整型變量，可在一個字符型變量、整型變量、長整型變量和浮點變量間實施運算；同時，C語言還有一個自動的類型提升等。因此，使用C語言時，可以通過語言子集（如MISRAC子集）限制這些使用，以達到類似于使用強類型編程語言的編程效果。
　　
　　編譯器（翻譯器）有2種途徑滿足安全完整性要求，即經(jīng)認證或通過使用提高其置信度。目前，各編譯器一般未就安全性進行過任何認證，因此，比較適宜的是后者，即通過一定年限的使用，使得編譯器顯示的置信度滿足安全要求。
　　
　　④輔助工具
　　
　　為了驗證軟件代碼的質(zhì)量，需進行靜態(tài)分析和動態(tài)分析與測試，此時可引入一些輔助軟件工具，主要是代碼規(guī)則檢測類工具，如PC-Lint、QAC、LogiscoPe、Test-bed、Codewizard等。
　　
　　三、結束語
　　
　　在構建和諧社會的旗幟下，安全生產(chǎn)已越來越引起人們的廣泛關注，安全性已成為衡量現(xiàn)代工業(yè)的一項重要指標，安全儀表系統(tǒng)也必將在國民生產(chǎn)和現(xiàn)代化建設中發(fā)揮越來越重要的作用。如何研制開發(fā)具有自主知識產(chǎn)權的國產(chǎn)安全儀表系統(tǒng)，從而打破國外產(chǎn)品長期壟斷、價格居高不下的局面，是當前工控人面臨的新課題。
　　
　　G-2011-01