安全仪表系统的功能安全设计

安全仪表系统的功能安全设计摘要：针对安全仪表系统(SIS)的产品开发，分析了应用于石化领域的安全仪表系统的基本特性、冗余结构和常见产品类型。在介绍IEC61508标准的基础上，提出了安全仪表系统产品开发过程中整体安全生命周期、产品硬件及安全相关软件的功能安全设计方法；最后以SIL2级压力变送器为例2000年,IEC61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》标准的颁布标志着功能安全作为独立的安全学科进入实际应用阶段。在国外，尤其是欧盟，对功能安全的研究已较为深入，且取得安全认证的产品越来越多，范围也在逐步扩大。在我国，功能安全还只是一个名词概念，尽管在工业控制领域有一定的推广，但是国内生产的电气仪表产品获得功能安全认证的还很少，尤其是作为安全仪表系统核心部件的逻辑运算器，目前尚无产品获得认证，这极不利于我国的国民经济发展和国家战略安全。本文结合基础标准IEC61508,对安全仪表系统及其产品的功能安全设计进行了初步探讨。一、安全仪表系统安全仪表系统SIS(Safetyinstrumentsystem)是指能实现一个或多个安全功能的系统。在IEC61508标准中，安全仪表系统和紧急停车系统ESD(emergencyshutdowndevice)、安全联锁系统SIS(safetyinterlockssystem)、仪表保护系统IPSinstrumentedprotectivesystem)统称为安全相关系统SRS(safetyrelatedsystem)。安全仪表系统是一种可编程控制系统，它对生产装置或设备可能发生的危险采取紧急措施，并对继续恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产•设备、环境和人员安全。安全仪表系统通常应用于石油、化工等过程工业领域，但作为一种高度可靠的安全保护设施，它在其他行业也有较多应用，包括核电、航空、舰船以及高速铁路等系统。根据IEC61508标准，一套完整的安全仪表系统由传感变送器、逻辑运算器和最终执行元件构成。逻辑运算器作为核心部件，负责按照设定的逻辑进行控制，在一般具体的SIS产品中，安全仪表系统指的都是其中的逻辑运算器。1.1基本特征相比其他工业控制系统，如DCS、PLC等，SIS具有如下基本特征。一定的安全完整性等级IEC61508作为基础标准，充分考虑了安全仪表系统的整体安全生命周期，提出了评估安全仪表系统的安全完整性等级SIL(safetyintegritylevel)的方法，规范了为实现必要的功能安全所使用的工具与措施。安全仪表系统的设计与开发过程必须遵循IEC61508,并应通过独立机构(如德国TUV或美国的exida等)的功能安全评估和认证，取得认证证书，才能在工业现场中应用。容错性的多重冗余系统SIS一般采用多重冗余结构，以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能的丧失。全面的故障自诊断能力SIS的安全完整性要求还包括避免失效的要求和系统故障控制的要求，同时，构成系统的各个部件均需明确故障诊断措施和失效后的行为。系统整体诊断覆盖率一般高达90%以上。SIS的硬件具有高度可靠性，能承受大多数环境应力，如现场电磁干扰等，从而可以较好地应用于各种工业环境。响应速度快SIS的实时性较好，一般从输入变化到输出变化的响应时间在10-50ms左右(此处指的是逻辑运算器的响应速度，不包括现场仪表和执行机构)，一些小型SIS甚至可达到几毫秒的响应速度。事件顺序记录功能为了更好地进行事故分析与事后追忆，SIS一般具有事件顺序记录SoE(sequenceofevents)功能，即可按时间顺序记录各个指定输入刃输出及状态变量的变化时间，记录精度一般精确到毫秒级。1.2冗余结构与典型产品针对目前应用的SIS系统，其结构可划分为以下3类。二重化自诊断冗余结构即1oo2D结构，其自带完善的自诊断系统，由并联的2个通道构成，任何一个通道都可以执行安全功能。典型的例子是Honeywell公司设计的FSC系统和Moore公司设计的QUADLOG系统。三重化表决结构即2oo3/TMR结构，由并联的3个通道构成，其输出信号由3个通道的输出表决后得到，兼具安全性和可靠性。典型的例子是Triconex公司设计的TRICON系统和ICSTriplex公司设计的Regent系统。四重化冗余容错完全自诊断结构即2oo4D/QMR结构，在诊断过程中，4个CPU分成2对，每对由2个CPU构成loo2D结构。当其中一个CPU被诊断出故障时，则该对CPU被切除，由另一对CPU继续以1oo2D的模式进行工作，这是在loo2D基础上的一种改进。目前只有HIMA公司设计的H4lq和H5lq系统采用该结构。二、产品的功能安全设计在SIS产品的设计与开发过程中，必须遵循IEC61508在产品整体安全生命周期、软硬件等诸多方面功能安全的要求。2.1整体安全生命周期安全生命周期(safetyhfecycle)指的是在安全相关系统实现过程中所必需的生命活动。这些活动发生在从一项工程的概念阶段开始，直至所有的E/E/PE(电气/电子/可编程电子)安全相关系统、其他技术安全相关系统，以及外部风险降低设施停止使用为止的一段时间内。系统的安全性不仅仅是由系统的设计和实现决定的，同时还取决于系统的安装、运行和维护等活动。因此，整体安全生命周期不仅覆盖安全相关系统的设计，还包括安全相关系统的规划、设计、安装、调试、运行、维护和停用等所有的主要阶段。整体安全生命周期的基本思想是与功能安全相关的所有活动都按一个有计划的、系统的方法进行管理。IEC61508将整体安全生命周期分为16个阶段，包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体操作和维护计划编制、整体安全确认计划编制、整体安装和试运行计划编制、E/E/PES设计与实现、其他安全相关系统的实现、外部危险降低措施的实现、整体安装与试运行、整体安全确认、整体操作维护和修理、整体修改和改型、停用和处理，并定义了各阶段各自相关的功能安全活动和要求。通过这种结构化的生命周期模型，最终使得隐藏在安全相关系统中的非安全因素降至最低水平。对于安全仪表系统产品的开发与设计来说，需重点关注第9阶段，即E/E/PE安全相关系统的设计实现，并注意从以下2方面着手满足功能安全要求。建立功能安全管理体系建立功能安全管理体系的目的是明确整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动；确定人员、部门、组织在各阶段活动中的角色和所肩负的责任。管理体系的建立可保障满足安全仪表系统所要求的安全完整性。编写生命周期各阶段相关文档根据IEC61508生命周期模型，在各阶段的各个活动中递交所有相关文档。这些文档应规定能够有斌执行整体安全生命周期各阶段所必需的信息，规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息，以及有关的报告和记录。2.2硬件设计IEC61508中关于硬件安全完整性的要求包括结构约束和危险随机硬件失效概率的要求。硬件故障裕度是指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。若硬件故障裕度为N,则(N+l)个故障会导致全功能的丧失。在设计安全仪表系统产品时，应注意以下几个方面。系统结构设计在进行SIS产品设计时，首先应明确该产品的系统结构或冗余方式。表1所示为安全完整性结构约束。新开发的逻辑运算器产品定义为B类子系统，其结构为单通道(HFT=0)，安全失效分数(SFF)^90%。查表1可知，该产品所能声明的最高安全完整性等级为SIL2。②FMEDA评估失效模式影响和诊断分析FMEDA（faifuremodeseffectsanddjagnosticanalysis）是传统FMEA的扩展使用。在安全仪表系统产品开发时，必须对所有使用到的电子元器件逐一进行FMEDA分析，明确每种失效模式决效影响及故障诊断措施，并结合现场返修部件统计数据或元器件失效率手册，计算出各种显，阻隐性、安全危险失效率。这些数据是计算安全失效分数SFF、故障诊断覆盖率DC、平均失效概率PFD等安全完整性等级相关参数的基础。安全完整性等级如表2所示。完善故障诊断措施表l中，安全失效分数SFF体现的是故障自诊断要求，对于HFT=0或1的子系统，SFF只有大于90%才有可能达到SIL3,这就需要系统具有高度完善的自诊断措施。故障诊断要求如表3所示。2.3安全相关软件设计在SIS产品的软件设计与开发过程中，除了满足软件整体安全生命周期中各环节的管理和文档要求外，还应注意以下几个方面。软件开发流程V一模式的开发生命周期示意图如图1所示。它由制定软件安全需求、软件结构、软件系统设计、模型设计、编码、模型测试、集成测试（模型）、集成测试（部件、子系统和可编程电子）和确认测试等若干个步骤组成，且这些步骤间存在交叉验证关系。软件结构设计在软件安全规范、软件结构设计和模块设计等环节，IEC61508推荐使用半形式化、结构化方法，如有限状态机制/状态转换图、逻辑/功能块、数据流图等半形式化方法，结构方法则包括JSD、MASCOT、SADT和Yourdon等。编程语言和编译器安全相关系统推荐使用PASCAL、ADA、MODULAZ等强类型编程语言。而常见的C语言并不是强类型语言，它有弱类型的一面，例如其可把字符型变量赋给一个整型变量，可在一个字符型变量、整型变量、长整型变量和浮点变量间实施运算；同时，C语言还有一个自动的类型提升等。因此，使用C语言时，可以通过语言子集（如MISRAC子集）限制这些使用，以达到类似于使用强类型编程语言的编程效果。编译器（翻译器）有2种途径满足安全完整性要求，即经认证或通过使用提高其置信度。目前，各编译器一般未就安全性进行过任何认证，因此，比较适宜的是后者，即通过一定年限的使用，使得编译器显示的置信度满足安全要求。辅助工具为了验证软件代码的质量，需进行静态分析和动态分析与测试，此时