安全完整性等级杂谈(一)

安全完整性等级㈣杂谈（一）段慧文【摘要】介绍安全完整性等级的相关标准，重点在于舞台机械控制系统安全相关的内容，同时阐述了舞台机械专业的国内夕卜差距.【期刊名称】《演艺科技》【年（卷），期】2018（000）007【总页数】7页（P36-42）【关键词】安全完整性等级;舞台机械;控制系统;标准;差距【作者】段慧文【作者单位】【正文语种】中文1概述1.1功能安全、安全完整性和安全相关系统电子/电气/可编程（E/E/EP）电子器件、软件系统在工业控制领域的大量使用，大大提升了自动化程度和生产效率。但由于各种原因（如：研发人员的知识结构、开发制造中风险管理意识的不足、自身安全性能存在缺陷产品的流入等），在相关行业的安全控制系统中，由可靠性造成的人身安全、财产损失和环境危害等问题经常发生，给社会带来了无法挽回的损失。世界各国在过程安全和工业装备安全控制中，对广泛涉及公众及职业安全的产品安全性设计非常重视，并且将电子、电气及可编程电子安全控制系统相关的技术，发展为一套成熟的安全设计技术，即功能安全技术。笔者对几个与安全设计技术有关的名词作简单说明：（1） 功能安全功能安全是与电子单元控制EUC（ElectronicUnitControl）或与EUC控制系统有关的整体安全的组成部分,内容包括管理和技术两方面。在管理上和技术上保证E/E/PE安全系统、其他技术安全系统和外界风险降低设施来执行安全功能。无论零部件或者整个系统发生的失效，也不管是随机失效、系统失效或者是共因失效（同一原因引起的不同故障失效），都不会导致安全系统故障，进而不会对人员或者环境产生危害，那么该系统在功能上就是安全的。无论是在正常工作状态或者是故障工作状态，控制系统都必须保证其安全功能。欧美各国已经颁布了涉及到各个领域的、成套的与功能安全相关的产品规范和设计标准，如：轨道信号控制（EN5012X）、核电控制（EN61513）、工业装备及机器控制（EN62601,ENISO13849-1/2）、过程工业控制（EN61511）等；IEC61508系列标准已经成为各个国家、行业广泛认可的基本功能安全标准；中国也逐渐形成了相应的功能安全国家标准，行业和企业将逐步按照国家强制标准的要求去升级自身产品的安全性。（2） 安全完整性（safetyintegrity）安全完整性指在规定的条件下、规定的时间内，安全相关系统成功实现所要求的安全功能的概率。安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低；安全完整性着重于安全相关系统执行安全功能的可靠性。安全完整性包括系统安全完整性与随机安全完整性。系统完整性是安全完整性里的不可定量部分，并且与系统故障导致的硬件、软件的失效有关。系统故障通常由系统、子系统和设备在安全功能的生命周期内各种人为错误导致，如规范错误、设计错误、制造错误、安装错误、操作错误、维护错误、修改错误等。随机安全完整性是安全完整性的随机危险失效部分，包括硬件失效、软件失效以及电气干扰引起的失效。有些类型的失效，如随机硬件失效，在失效模式中，可用失效率来量化；对安全防护系统，可用不能工作的概率来衡量；可以量化的部分均与硬件失效（硬件安全完整性）有关；而硬件失效是硬件可靠性不足导致的。系统安全完整性通过质量管理和安全管理条件获得。由于不可能通过定量的方法来评估系统安全完整性，功能安全标准中用安全完整性等级SIL对技术措施与管理条件进行分级。（3）安全相关系统（safety-relatedsystem）该系统需能实现所要求的安全功能、以达到或保持电子控制单元EUC（ElectronicControlUnit）的安全状态；系统自身、或与其他的技术安全相关系统、或外部风险降低设施一起，能够达到所要求的安全功能所需的安全完整性等级，即与外部风险降低设施一道，能达到必要的风险降低量，满足所要求的允许风险。安全相关系统一般分为安全控制系统和安全防护系统，且具有两种操作模式（低要求操作模式、高要求或连续操作模式），可以是EUC控制系统的组成部分，也可用传感器和/或执行器与EUC接口，即通过分开的和独立的附加系统实现EUC控制系统中的安全功能，达到要求的安全完整性等级。安全相关系统用于防止危险事件发生（即安全相关系统一旦执行其安全功能，则没有危险事件发生），或用来减轻危险事件的影响并降低风险。1.2安全完整性等级SIL（SafetyIntegrityLevel）认证所有电子/电气/可编程（E/E/EP）设备，包括一些最精密的设备/系统都可能由各种原因产生故障。安全完整性等级SIL就是用来评定故障及其后果的方法，评估结果是根据故障概率得出的安全完整性等级。安全完整性指在规定条件下和规定时间内，成功实现控制仪表设备所要求的安全功能的平均概率。安全完整性等级记为SIL,共分4个等级,SIL1至SIL4,SIL4为最高等级。对于一般工业的过程控制，常见的SIL等级是SIL2、SIL3，而针对核电、铁路等特别关注安全的行业，则一般执行最高安全等级SIL4。安全完整性等级SIL认证是基于IEC61508、IEC61511、IEC61513、IEC13849-1等一系列功能安全标准，对产品的安全完整性等级SIL或者安全性能等级PL（PerformanceLevel）进行评估、验证和确认的第三方评价。SIL认证主要涉及电气/电子/可编程电子安全相关系统的功能安全性、安全设备开发流程的文档管理（FSM）评估、硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。随着评估系统的不断完善，其应用领域也逐渐扩展到机械等多个行业。对安全完整性等级SIL的功能安全评估从两个方面来进行，即评估为确保满足功能安全目的所必需的管理活动是否有效；评估安全仪表系统或安全仪表是否达到了要求的SIL等级。1.3安全完整性等级SIL认证的主要标准1.3.1主要参考标准（1） IEC61508:电气/电子/可编程电子安全相关系统的功能安全性IEC61508规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计，其目标是既避免系统性设计故障，又避免随机性硬件失效。IEC61508标准的主要目标为：对包括软、硬件在内的相关系统安全的所有元、器件，在生命周期范围内提供安全监督的系统方法；提供确定相关系统安全功能要求的方法；建立基础标准，使其可直接应用于所有工业领域。IEC61508已经被广泛采用，德国的等效标准为DINEN61508。（2） IEC61511:工业领域仪表系统的功能安全要求IEC61511是工业领域仪表系统的功能安全的专门标准，它是国际电工委员会继IEC61508功能安全标准之后推出的专业领域标准，IEC61511标准解决了仪表应达到怎样的安全完整性和性能水平的问题。IEC61511在国内的等同标准为GB/T21109。（3） ISO13849.1:机械安全控制系统的安全第1部分：设计用一般原理ISO13849.1是机械功能安全领域的全新标准。在系统安全的确定性方面，增加了一些系统故障概率方面的评估参数，因此可以从零、部件到系统进行全面的安全评估。如增加了系统安全等级PLr（PerformanceLevel，共分a、b、c、d和e五级）、系统平均无危险故障时间MTTFd（MainTimeTodangerousofFailure）、系统诊断检测范围DC（DiagnosticCoverage）、共因失效（同一因素引起的几个机构失效）预防CCF（CommonCauseFactor）等参数。如此，可使安全评估的方法更有效，提升越来越复杂的机械设备控制系统的安全等级，减少意外停机时间，保证连续生产安全，提升企业的效率和生产力。（4） IEC/EN62061:机械安全电气、电子和可编程序电子控制系统的功能安全与ENISO13849.1一样，IEC/EN62061也是针对电气控制系统安全的标准，它们的主要区别是适用于不同的技术领域。IEC/EN62061仅限于在电气系统领域，ENISO13849-1则适用于传动、液压、机械以及电气系统。使用这两个标准，可获得同样的安全性能与安全完整性等级。IEC/EN62061增加了新参数，如每小时失效概率PFH、系统平均无危险故障时间MTTF、系统诊断检测范围DC、安全失效系数SFF（SafeFailureFactor）等，使认证的方法更直接。（5） IEC618005.2:可调速的电动设备标准.第5.2部分：功能安全要求IEC618005.2规定了集成驱动器的安全功能，其内容更具体细致、更有参考价值。如：①停车功能（Stop）：•安全断开的力矩停车，即0类急停(STO-SafeTorqueOff);•安全停车1，即1类急停SS1(SafetyStop1);•安全停车2,即2类停车SS2(SafetyStop2);•安全操作停止(SafetyOperationHalt);•停车安全，即检测制动器力矩，保证停车是安全的。②监控功能(主要用于运动控制)：•加速度安全监控；•行程安全监控；•运动方向安全监控；•速度安全监控；•力矩和力的安全监控；•位置安全监控；•电动机温度安全监控。IEC618005.2还针对编码器、解码器、交流伺服驱动系统等提出了功能安全要求。IEC618005.2的等效国家标准为GB/T126685.2(对口的标委会是全国电力电子学标准化技术委员会调速电气传动系统半导体电力变流器分技术委员会TC60/SC1)。应该说，舞台机械控制系统中SLI3许多有关运动控制的要求，也来自(或参照)该标准。DIN56950演艺设备技术机械装置安全要求和测试该标准适用于在集会场所、舞台与制作场所内的用于各种活动的机械设备(简称舞台机械)。机械设备包括演艺设备行业演出设施中的所有技术装置和操作设备，这些装置用于提升、下降、悬吊和运送景物；也用于载人；在这些景物静止或运动时，人可以在这些设备下站立或活动。DIN56950标准根据上述标准的主要内容、风险分析的方法，对设备进行风险分析并确定安全完整性等级（SIL）。标准附录中还列举了几个舞台机械风险分析确定安全完整性等级（SIL）的实例。1.3.2安全完整性等级（SIL）的确定方法（1）根据标准ISO13849.1关于性能等级PL（PerformanceLevel）进行风险分析，如图1。图中：1：评估安全功能对风险降低作用的起始点；L：对风险降低作用小；H:对风险降低作用大；PL：要求的性能水平，分为a、b、c、d和e五级。风险参数：S:受伤的严重性；S1:轻微；S:严重；F：危险的频率和/或暴露时间；F1:很少到不经常，和/或暴露时间短；F2:经常到持续性，和/或暴露时间长；P:避免危险或限制危害程度的可能性；P1：在特定条件下可能；P2:几乎不可能。标准ISO13849.1给出了PFHd、PL和SIL的对应关系，见表1。表1PFHd、PL和SIL的对应关系？图1对性能等级PL进行风险分析其中，PFHd:小时失效危险概率（ProbabilityofFailureperhour）。由表1可知，按标准ISO13849.1进行的评估，性能等级PLe相当于SIL3。（2）DINEN61508.4风险分析中各参数与SIL等级的关系。将选择的不同参数输入到下面的风险图中，得到不同的输出，可得到DINEN61508.4（VDE0803.4）中定义的一个安全完整性等级。由于该风险分析输入的参数多而全，有一定的代表性，故舞台机械行业的风险评估多按DINEN61508.4提供的方法进行。评估方法见表2。表2基于C、F、P、X和W的评估法？表中：后果风险参数（C）CA:轻微受伤；CB:一个或更多人员严重永久伤残；一个人员死亡；CC:几个人员死亡；CD:很多人员死亡。频率与暴露时间风险参数（F）:考虑危险区域的频率和持续时间FA:在危险区域，从很少到经常发生；FB:在危险区域，从频繁到持续发生；避免危险可能性的参数（P）:考虑避免危险事件的可能性PA:某些条件下可能；PB:几乎不可能。意外事件风险概率的参数（W）:W因素的目的是在不考虑任何相关安全系统（E/E/EP），但考虑其他风险降低的措施下，估计意外事件发生的频率W1:意外事件来临的可能性非常小，只有很少意外事件有可能发生；W2:意外事件来临的可能性小，少量意外事件有可能发生；W3:意外事件来临的可能性相对较大，可能经常发生意外事件。-----表示无安全要求；a表示无特殊安全要求；b表示单一的E/E/PE安全系统还不够。（3）IEC61508-17.6中SIL和PFD、PFH对应关系IEC61508-1规定了目标失效量。在确定安全完整性时，应包括导致非安全状态的所有失效因素（硬件随机失效和系统失效）。安全相关系统使用方式，按要求产生的频率可分为：低要求模式（以功能平均失效率PFD衡量）和高要求或连续模式（以每小时危险失效率PFH衡量）。低要求模式和高要求模式SIL的目标失效量是不同的，见表3。表3不同操作模式下SIL和PFD、PFH的对应关系高要求或连续操作模式（按每小时危险失效率PFH）SIL110-2<PFD<10-110-6vPFH<10-5SIL210-3<PFD<10-210-7<PFH<10-6SIL310-4<PFD<10-310-8<PFH<10-7SIL410-5<PFD<10-410-9<PFH<10-8SIL低要求操作模式（实现设计要求功能平均失效率PFD）表中，PFD:实现设计要求功能平均失效率；PFH:每小时危险失效率。应当着重说明的是，与可靠性的要求相比，安全完整性所涵盖的因素更加全面，因此，用于安全领域也更加可靠。系统安全完整性等级是一种离散的等级（四种可能等级之一），这是因为系统的安全完整性通常是无法量化的（而可靠性所衡量的平均故障间隔时间、可靠度等，则可以通过概率统计等数学方法给出量化值），所以，系统安全完整性一般与硬件的安全完整性分开来考虑。2DIN56950附录D中列出的实例为了详细了解舞台机械设备安全完整性等级SIL确定的思路与步骤，现将标准中的风险评估实例刊录于后，以便于理解。例子显示了按照DINENISO13849-1和DINEN61508（VDE0803）的风险评估方法评估带安全功能设备的相关风险并确定其安全完整性等级。2.1低速、单卷扬机吊物（1）设备配置及要求如下：使用未调速的三相异步电机，双制动，以0.15m/s的速度升降载荷，如图2:图2三相异步电机（2） 要求：在电气系统中发生故障时不应导致危险状况。（3） 风险评估需要避免的意外事件是由于电动机的供电中有一个相位断电导致载荷跌落（电机无法驱动载荷）。控制系统应能够确定相位断电的情况并安全地启动制动器。后果（C或S）：意外事件在舞台面上发生，当发生故障时，可能造成一个或多个人员的严重伤害，或甚至有可能造成人员死亡，这样的话该后果风险参数为：按DINEN61508-5（VDE0803-5）为C2，按DINENISO13849-1为S2。危险的频率以及在危险区域中的暴露时间（F）:在舞台上，人员经常暴露在危险区域中，因此风险参数为：按DINEN61508-5（VDE0803-5）为F2,按DINENISO13849-1为F2。避免危险事件的可能性（P）:危险事件可以通过启用紧急停车来避免。由于速度较低，可以估计可能性：按DINEN61508-5（VDE0803-5）为P1，按DINENISO13849-1为P1。意外事件的概率（W）：由于对这个参数没有可靠的经验，只能估计参数W3。按DINEN61508-5（VDE0803-5）为W3,而DINENISO13849-1没有对应的等级。在参数C2，F2，P1和W3的基础上，根据DINEN61508-5（VDE0803-5）中的风险图显示的安全功能应选择SIL2。在参数S2，F2和P1，根据DINENISO13849-1对于安全功能要求的性能等级应为“PLd”，相当于SIL2。2.2高速、多卷扬机同步吊物（1） 设备配置及要求一组卷扬机悬吊一个景物，以1.2m/s的速度在演员上空进行自动同步运行，当设备运动超过同步公差时，使用计算机控制来提供保护，见图3。（2） 要求：计算机控制系统用于完成安全功能，即在卷扬机的同步分组运行中，全行程监控是否符合同步公差的要求。一旦达到了规定的同步公差值，吊机组应停止移动，并且应该清晰显示是哪个吊机超出了公差。（3） 风险评估：按DINEN61508.4风险分析中各参数与SIL等级进行评估。在这种情况下需要避免的意外事件是：运载同一载荷（比如布景，桁架梁等）吊机的运行超出同步误差，结果是造成载荷的损坏和坠落。后果（C）:该意外事件会在舞台面上发生，当发生故障时，可能造成一个或多个人员的严重伤害或死亡，这样，该后果风险参数为：CB。危险的频率以及在危险区域暴露的时间（F）:在舞台上，人员经常处于危险区域中，因此风险参数为：FB。避免危险事件的可能性（P）:由于很高的速度，几乎不可能避免危险事件，因此该风险参数为：PB。意外事件的概率（W）：由于对这个参数没有可靠的经验，参数W只能估计为：W3。在参数CB、FB、PB、W3的基础上，选择结果为：SIL3。图3卷扬机悬吊景物的场景3舞台机械（含控制）系统具有那些基本条件才能达到SIL3这方面并无具体资料参考，只能从上述标准的字里行间，以及欧洲著名剧场建设咨