可靠性系列讲座-2.pdf

《可靠性系列讲座-2.pdf》由会员分享，可在线阅读，更多相关《可靠性系列讲座-2.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09仪器仪表标准化与计量2007215 编者按 本刊“安全控制技术”栏目自2 0 0 5 年开设以来，得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。第二讲 功能安全的基本方法主

2、讲人简介：冯晓升，全国工业过程测量与控制标准化技术委员会主任委员，教授级高工。一九八二年毕业于浙江大学。不仅是I E C T C 6 5 M T 1 3 工作组的中国专家，参与I E C 6 1 5 0 8 标准维护工作，还是I E C T C 6 5 S C 6 5 C W G 1 2 工作组的中国专家，参与工业控制网络功能安全标准I E C 6 1 7 8 4-3 的制定。同时又是等同采用I E C 6 1 5 0 8的中国国家标准G B/T 2 0 4 3 8.1 7 的起草工作组组长，主持了国际功能安全标准的研究与中国国家标准G B/T 2 0 4 3 8.1 7 的制定工作，对功能安

3、全标准及技术有深入研究。冯晓升（机械工业仪器仪表综合技术经济研究所，北京市 1 0 0 0 5 5）Feng Xiaosheng(Instrumentation Technology&Economy Institute,Beijing 100055)Chapter 2:Basic Methods of the Functional SafetyAbstract:The paper mainly introduced the basic methods of the functional safety standard,the three basic methods ofend to end,w

4、hole system,and whole life circle.Key words:Functional Safety End to End Whole System Whole Life Circle【摘 要】【关键词】重点讲述了功能安全标准采用的端到端、全系统、全生命周期三个基本方法。功能安全 端到端 全系统 全生命周期在我们进行I E C 6 1 5 0 8、I E C 6 1 5 1 1 等功能安全系列标准宣传与培训的过程中，经常遇到用户、系统集成商和设备供应商提出各种问题，其中最集中的二类问题就是：新标准出台后，我们该怎样做才能符合标准的要求？系统S I L（安全完整性等级）3

5、级是什么意思，是不是表示控制器必须是S I L 3 级，或者传感器、执行器也必须选择S I L 3 级？实际上，用户、系统集成商和设备供应商在功能安全过程中起着不同的作用，功能安全标准中规定了三者各自的工作内容与目标，同时特别强调了三者的配合与协调。另外，要求某一个安全仪表功能的S I L 等级为3，安全控制技术仪器仪表标准化与计量2007216也并不是简单地把几个S I L 3 级子系统串接起来就可以了，而是必须需要计算与分析，全系统考虑后才能实现。这一讲重点讲述功能安全标准采用的端到端、全系统、全生命周期三个基本方法，并用实例演示全系统安全完整性分配及系统结构配置设计的过程与步骤，以便安全

6、相关系统与设备的用户、系统集成商和供应商了解在实际工作中各自的任务与S I L 设计的方法步骤。1 遵守功能安全的端到端的方法安全相关系统与一般的自动化控制系统的最大区别，在于它在承担过程监控任务的同时，承担了安全生产风险控制的任务，实际起到了风险降低的作用。而功能安全标准采用端到端的方法，将受控设备或系统的风险控制要求与安全相关系统的设计要求直接对接，是安全相关系统实现风险控制的关键步骤，也是实现功能安全的重要方法。图1 风险控制要求与危险控制方案直接对接如图1，功能安全标准的端到端方法，就是系统集成商在实施危险控制的安全相关系统开发之初，就与用户密切配合，对受控设备或系统进行系统的危险识别

7、和风险分析，根据风险分析的结果确定实际风险，并将此实际风险与可接受风险进行对比后，提出危险控制的危险失效率的目标值。从该目标值，可以导出安全相关系统的目标安全完整性等级(s a f e t y i n t e g r i t yl e v e l,以下简称S I L)要求。S I L 是一种离散的等级（四种可能等级之一），用于规定分配给E/E/P E 安全相关系统安全功能的安全完整性要求，在这里，安全完整性等级1 是最低的，安全完整性等级4 是最高的。S I L 1表示使用该控制系统能将受控设备或系统的风险降低1 级，S I L 4 表示使用该控制系统能将受控设备或系统的风险降低4 级。S I

8、 L 不仅表明控制系统危险失效率的目标量值，还表明了必须采取的技术与措施。图1 清楚表明了用户、系统集成商与安全专家的工作分工与配合。用户专家对被控对象最熟悉，也最能胜任风险分析提出安全控制要求的责任，系统集成商针对用户提出的要求进行系统设计，初始设计完成后，还要将该系统放入整个风险评估对象中，重新评估风险与可接受风险，最终完成系统设计。有统计资料表明，在安全控制系统危险失效导致的事故中，有4 0%以上是由于安全要求不明导致的。功能安全标准采用的这种端到端的方法，使风险分析与控制系统的目标设计值直接对应，同时也使受控设备或系统的风险等级与控制系统能实现的风险降低级别直接对应。避免了因对受控设备

9、或系统的危险认识不清、安全要求不明造成的系统性危险失效。2 遵守功能安全的全系统的方法功能安全的全系统方法有效避免了随机失效，它要求在设计和开发过程中采取有效措施避免和控制失效，严格满足结构约束条件与诊断覆盖率要求，用可靠性模型技术研究危险失效概率，采取措施在应用软件设计和开发过程中避免和控制失效。2.1 标准要求随机失效主要是由于设备故障导致，为了防止这种失效，系统集成商在设计集成系统、选择所采用的所有器件时，必须全系统考虑每一种因素对系统危险失效的影响。不仅要考虑系统中传感器单元、逻辑单元、最终执行单元以及它们之间的接口与连线等所有器件的随机危险失效率，还要考虑它们的结构与诊断。I E C

10、 6 1 5 0 8 标准规定了安全完整性等级（S I L）与系统的结构约束及诊断之间的关系，如表1。表1 I E C 6 1 5 0 8 标准要求硬件安全完整性：B 类安全相关子系统的结构约束的要求表1 中，硬件故障裕度N 表示N+1 个故障将导致安全功能失效。如果要求某子系统的S I L 级别达3 级，在该子系统的安全失效分数为9 0%9 9%的情况下，硬件故障裕度就必须至少为1，因此这个子系统结构可以选择为1 o o 2，想要提高可用性，还可以选择2 o o 3。随机失效完整性的定量评估与分配应该通过一个概率计算来进行。计算建立在硬件组件的失效率和失效模式等已知数据的基础上。因此，传统的

11、可靠性研究与实践中适用的数据与方法，可以部分地适用于功能安全的研究与计算。在I E C 6 1 5 0 8 中规定了失效概率与S I L 之间的关系，见表2。安全失效分数硬件故障裕度（H F T）（S S F）0 1 2 6 0%不允许 S I L 1S I L 26 0%9 0%S I L 1 S I L 2S I L 39 0%9 9%S I L 2 S I L 3S I L 4 9 9%S I L 3 S I L 4S I L 4Control Tech of Safety&Security仪器仪表标准化与计量2007217表2 I E C 6 1 5 0 8-1 要求（安全完整性等级：

12、在低要求操作模式下分配给一个E/E/P E 安全相关系统的安全功能目标失效量）2.2 实用举例首先举一个极端的例子，可以表明几个S I L 3 级的子系统简单组合并不能实现S I L 3 级系统。假设有一个 S I L 3级的传感器子系统,P F D=0.0 0 5；S I L 3 级逻辑单元的P F D 为0.0 0 1；S I L 2 级的执行器的P F D 为0.0 0 7；将它们简单组合为系统后，系统的P F D 为0.0 0 5+0.0 0 1+0.0 0 7=0.0 1 3 S I L 2。即实际系统的S I L 等级只能达到2 级。为了便于理解，下面介绍一个系统S I L 计算与

13、分配实例。假设有一个系统要求S I L 3 级，由传感器单元、逻辑单元(P L C)和最终执行单元(执行器)三部分组成。传感器单元的要求时的失效率(P F D)占整个系统P F D 的3 0%，P L C 占1 0%2 0%，执行器占5 0%。计算确定传感器、P L C 和最终执行单元的结构配置与失效率分配方案。（1）传感器单元的计算传感器单元的目标失效量P F D 为S I L 3 的3 0%3.0 E-0 4，选择的传感器失效率=5.0 E-0 6；危险失效率D=安全失效率S=0.5，检验测试时间间隔T 1=1 年（8 7 6 0 小时），共因失效因子=2 0。表3 传感器单元计算表注：D

14、 U为诊断测试未检测到的失效概率如表3，传感器单元的诊断覆盖率（D C）为0 时，该单元的S I L 值只能达到1 级，当D C 为9 0%时，系统结构未变，但S I L 能力就能达到2 级，只有结构变化为1 o o 2，并且D C 达9 0%时，P F D 才可能满足系统S I L 3的要求。因此，只有当传感器的D C 达到9 0%（I E C 6 1 5 0 8规定，传感器考虑了D C故障模型、漂移和振动等失效模式时，D C 可认为达到9 0%），传感器采用了输入比较/表决（1 o o 2，2 o o 3 或更好的冗余）的情况下，传感器单元才可能满足S I L 3 级系统的要求。（2）逻辑

15、单元计算逻辑单元的目标失效量 P F D:S I L 3的2 0%2.0 E-0 4，检验测试间隔时间T 1=1 年(8 7 6 0 小时)选择某公司的S N C 控制器，供应商提供的数据如表4。表4 逻辑单元的失效率数据该数据能够满足S I L 3 级系统对逻辑单元的要求。（3）最终执行单元计算最终执行单元的目标失效量P F D:5 0%的S I L 3 5 E-0 4选择阀门的数据：失效率=5.0 E-0 6,D=S=0.5，D C=6 0%或8 0 检验测试时间间隔T 1=1 年(8 7 6 0 小时),=2 0 表5 最终执行单元计算表从表5 可以看出，最终执行单元的结构必须至少选择1

16、 o o 2，D C 必须达到8 0%以上，才能保证S I L 3 级系统的要求。（4）整个系统计算按照以上结构与配置，整个系统的计算如表6。表6 整个系统计算表（5）结果评价从表6 可以看出，整个系统的P F D 为6.6 E-0 4，符合I E C 6 1 5 0 8 标准要求的S I L 3 的P F D 应小于1.0 E-0 3 的要求,见表2。传感器单元、逻辑单元和最终执行单元都选择1 o o 2 结构，它们的硬件故障裕度为1，也就是说，2 个故障才会导致该子系统安全功能的丧失。安全失效分数S F F 为9 5.7%，符合I E C 6 1 5 0 8-2 对S I L 3 级安全相

17、关子系统的结构约束要求,见表1。结论：系统硬件失效率可量化部分的S I L 级别达到了S I L 3 级要求。安全完整性等级低要求操作模式（在要求时就执行其设计功能要求的平均失效概率）41 0-5至1 0-4 31 0-4至1 0-3 21 0-3至1 0-2 11 0-2至1 0-1结构 D C(诊断DUP F D覆盖率)=D(1-D C)=(D U T 1)/21 o o 1 0%2.5 E-0 61.1 E-0 2 （S I L 1）1 o o 1 9 0%2.2 5 E-0 61.1 E-0 3 （S I L 2）1 o o 2 9 0%2.2 5 E-0 6P F D=(D U T

18、1)/22.2 E-0 4（3.0 E-0 4 S I L 3）结构S F F（安全失效分数）P F D 1 o o 29 9.9 5%1.8 6 E-0 6结构 D C(诊断DUP F D 覆盖率)=D(1-D C)=(D U T 1)/21 o o 1 6 0%1.0 E-0 64.3 8 E-0 3 （S I L 2）1 o o 2 8 0%0.5 E-0 6P F D=(D U T 1)/2 =0.2 0.5 E-0.6 8 7 6 0/2 =4.3 8 E-0 4（5.0 E-0 4 S I L 3）P F D S D D D U输入子系统 2.2 E-0 4 2.5 E-0 6 2

19、.2 5 E-0 6 0.2 5 E-0 6逻辑子系统 1.8 6 E-0 6 6.4 E-0 6 1.4 2 E-0 6 4.3 E-0 9输出子系统 4.3 8 E-0 4 2.5 E-0 6 2.0 E-0 6 0.5 E-0 6整个系统 6.6 E-0 4 1 1.4 E-0 6 5.6 7 E-0 6 0.7 6 E-0 6 1.0 E-0 3安全控制技术仪器仪表标准化与计量20072182.3 说明从以上计算的过程可以看出，当用户提出S I L 3 级功能要求时，系统集成商必须从整个安全功能回路，通过严格的计算和分析，全系统地考虑功能安全问题。首先必须确保量化的目标失效量在S I

20、L 3 级允许的范围之内；同时还要考虑系统结构，保证硬件故障裕度水平，即使系统出现故障时依然保持安全功能的能力；还需要考虑每一个部件的安全失效分数和诊断覆盖率，尽量减少诊断未检测到的危险失效率。3 遵守功能安全的全生命周期的方法功能安全标准用全生命周期的方法有效避免了安全相关系统的系统失效。系统失效与质量管理条件、安全管理条件及技术安全条件相关，标准规定的全生命周期管理模型，在安全相关系统的功能安全生命周期内，配备了一套完整的管理制度与程序，保证安全相关系统的功能安全。图2 清楚地表明了在安全相关系统的全生命周期内，用户、系统集成商、设备供应商各自的责任与工作内容。分析阶段的工作，包括概念、整

21、体范围定义、危险和风险分析、整体安全要求、安全要求分配，都是最终用户的工作范围。最终用户也可能会请专业的顾问或顾问公司来完成这部分工作。而实现阶段，包括整体计划编制（包括整体安装和试运行、整体安全确认、整体操作维护和修理）、安全相关系统设计主要由系统集成商负责，但系统集成商在编制计划和设计的整个过程中，需要与设备供应商、最终用户密切配合。最后的操作阶段则主要由最终用户负责，最终用户也可能会把操作业务整体交给承包商完成，但所有操作必须严格按照系统集成商在设计阶段制定的计划执行。4 满足功能安全对数据资料的附加要求从以上介绍与计算过程还可以看出，功能安全标准实施后，安全相关系统的用户、系统集成商和

22、设备供应商都必须注意到的一个很重要的方面是，有一些数据资料是安全相关系统设计、编制确认与测试报告、制定安全手册或功能安全评估认证时必须知道与获得的。因此，设备或系统供应商在向用户提供安全相关系统或设备时，必须同时提交该设备或系统相应的数据与资料。同样，用户在选择安全相关设备与系统时，也必须注意供应商能否提交相应的数据资料，没有数据的设备，是无法应用在安全相关场合的。需要的数据与资料包括：（1）认证证书按照I E C 6 1 5 0 8 标准设计的硬件或软件，必须提供标准的符合性认证证书。在使用中验证的硬件或软件，则必须提供验证证据的评估结果。（2）重要参数硬件故障裕度（H F T），安全失效分

23、数（S F F），失效率()，危险失效率(D),安全失效率(S)，内部诊断检测到的危险失效率(D D)，诊断未检测到的危险失效率(U D)，检验测试间隔(T 1),共因失效因子（3）系统应用条件系统操作模式，应用环境等。5 结束语功能安全的端到端、全系统和全生命周期的方法，是避免安全相关系统功能失效的重要保障，它涉及多项技术、多个部门与组织，对相关人员的资格能力提出了要求。同时，它还要求安全相关系统与设备的供应商提供相应的证明文件与失效率数据。这些都该引起我们的高度重视。下期预告：下一讲将重点介绍基于风险的S I L 确定技术，它是确定系统安全要求规范的关键技术，敬请关注！图2 I E C 6 1 5 0 8 的生命周期模型Control Tech of Safety&Security