今日頭條
官方微信
官方抖音
案例頻道
李 成 (1980-)
男,上海交通大學(xué)電子信息與電氣工程學(xué)院在讀工程碩士,研究方向工業(yè)自動化。
摘要:安全相關(guān)系統(tǒng)是為保證受控設(shè)備安全狀態(tài)而設(shè)計(jì)的。為了保證受控設(shè)備的安全性,需要在設(shè)計(jì)過程中對受控設(shè)備的風(fēng)險(xiǎn)進(jìn)行有效的預(yù)測以及評估并且采取必要的安全相關(guān)系統(tǒng)來降低風(fēng)險(xiǎn)。IEC 61508是國際電工協(xié)會制定的電子、電氣、可編程控制系統(tǒng)功能性安全的標(biāo)準(zhǔn)。本文討論了安全相關(guān)系統(tǒng)中功能安全的要求,并對安全相關(guān)系統(tǒng)的評價(jià)的方法進(jìn)行了分析。
1研究背景及現(xiàn)狀
電廠作為電力工業(yè)生產(chǎn)的主要部門,其運(yùn)行安全問題一直受到很高的關(guān)注,如何保證電廠安全運(yùn)行的研究也越來越多。目前普遍采用多重安全保護(hù)措施,包括安全系統(tǒng)來解決生產(chǎn)過程中的安全問題,安全系統(tǒng)是指執(zhí)行必要的安全保護(hù)功能,以使被保護(hù)對象處于安全狀態(tài)的系統(tǒng)。當(dāng)危險(xiǎn)事件發(fā)生時(shí),安全系統(tǒng)將采取適當(dāng)?shù)膭幼骱痛胧乐贡槐Wo(hù)對象進(jìn)入危險(xiǎn)狀態(tài),避免災(zāi)難的發(fā)生。安全系統(tǒng)作為保證受控設(shè)備安全狀態(tài)的關(guān)鍵,其自身的安全性、可靠性問題也就成為了研究的焦點(diǎn)。
國外在這一領(lǐng)域的研究從上世紀(jì)七十年代開始,歐美各國都開始用系統(tǒng)工程的理論和原理來研究解決安全相關(guān)系統(tǒng)的可靠性問題,希望通過標(biāo)準(zhǔn)和法規(guī)控制危險(xiǎn),使技術(shù)缺陷和人為錯誤導(dǎo)致的危險(xiǎn)威脅降至最小。由于各國工業(yè)基礎(chǔ)不同,他們的研究著手點(diǎn)也各不相同。如歐洲機(jī)械制造業(yè)比較發(fā)達(dá),他們的研究是從機(jī)械設(shè)備、生產(chǎn)線的安全保護(hù)開始的。美國的石油化工工業(yè)更為發(fā)達(dá),因此他們的研究是從石化裝置的安全儀表系統(tǒng)開始的。
國內(nèi)電廠安全系統(tǒng)的設(shè)計(jì)主要依據(jù)為《防止電力生產(chǎn)重大事故的二十五項(xiàng)重點(diǎn)要求》、《火力發(fā)電廠設(shè)計(jì)技術(shù)規(guī)程》以及《火力發(fā)電廠熱工自動化設(shè)計(jì)技術(shù)規(guī)程》等標(biāo)準(zhǔn)、規(guī)程、規(guī)定。但基本上沒有對聯(lián)鎖保護(hù)回路進(jìn)行安全分析及評價(jià),采用安全系統(tǒng)后也基本上不對整個安全系統(tǒng)進(jìn)行驗(yàn)證,看其是否能達(dá)到應(yīng)設(shè)置的等級,能將事故的危險(xiǎn)性降低多少,選用的組件是否可達(dá)到要求等。
2000年,功能安全基礎(chǔ)國際標(biāo)準(zhǔn)IEC61508出臺,標(biāo)志著在功能安全方面的研究已經(jīng)有了突破性進(jìn)展。功能安全作為獨(dú)立的安全學(xué)科,已經(jīng)開始自成體系,相關(guān)的標(biāo)準(zhǔn)和法規(guī)體系正在建立之中。
IEC61508標(biāo)準(zhǔn)的范圍是考慮有關(guān)系統(tǒng)的E/E/PE安全系統(tǒng)的失效將影響人員以及環(huán)境的安全,另外還考慮到失效的后果會產(chǎn)生嚴(yán)重的經(jīng)濟(jì)方面的損失。因此,該標(biāo)準(zhǔn)可用于規(guī)定相關(guān)系統(tǒng)的E/E/PE安全,以利設(shè)備、產(chǎn)品及環(huán)境的防護(hù)。
2功能安全基本概念
功能安全在IEC 61508中的定義為:與受控設(shè)備和受控設(shè)備控制系統(tǒng)有關(guān)的整體安全的組成部分,它取決于電氣/ 電子/ 可編程電子安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施功能的正確行使。該標(biāo)準(zhǔn)實(shí)際上是一個對安全相關(guān)系統(tǒng)的可靠性進(jìn)行系統(tǒng)評價(jià)的體系。作為功能安全的基礎(chǔ)標(biāo)準(zhǔn),IEC 61508中提出了功能安全的基本原理、術(shù)語、數(shù)學(xué)方法、管理模式,針對以電子為基礎(chǔ)的安全相關(guān)系統(tǒng)提出了一種一致的合理的技術(shù)方針,同時(shí)還提出了一個技術(shù)框架,在這個框架內(nèi),基于其它技術(shù)的安全系統(tǒng)也可同時(shí)被考慮進(jìn)去。
2.1 實(shí)施功能安全本質(zhì)上就是控制風(fēng)險(xiǎn)
安全,按一般的概念是沒有危險(xiǎn),不受威脅,不出事故。按照這樣的概念,安全是不可控制的。因?yàn)檫@是一個絕對安全的概念,而絕對安全是不存在的。在IEC 61508 中,安全的概念是“不存在不可接受的風(fēng)險(xiǎn)”。這是一個相對安全的概念,通過這個定義,安全問題就轉(zhuǎn)化為風(fēng)險(xiǎn)問題了。這樣一來,安全就變得可控制了,因?yàn)轱L(fēng)險(xiǎn)是可控的。
使用安全相關(guān)系統(tǒng)來達(dá)到安全目標(biāo),第一步,要確定受控設(shè)備(EUC)的范圍以及EUC 與外部環(huán)境的相互影響,然后找出EUC 內(nèi)部和EUC 與外部環(huán)境相互作用可能存在的危險(xiǎn)點(diǎn),針對每個危險(xiǎn)點(diǎn)計(jì)算或評估出其風(fēng)險(xiǎn),即該點(diǎn)的EUC 風(fēng)險(xiǎn)。第二步,要明確法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)中要求達(dá)到的風(fēng)險(xiǎn)目標(biāo)或社會有關(guān)方面可以接受的風(fēng)險(xiǎn)目標(biāo)。第三步,是比較EUC風(fēng)險(xiǎn)和允許風(fēng)險(xiǎn),如果EUC 風(fēng)險(xiǎn)大于允許風(fēng)險(xiǎn),則必須使用E/E/PE 安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)、外部風(fēng)險(xiǎn)降低設(shè)施等手段將風(fēng)險(xiǎn)降低到允許風(fēng)險(xiǎn)以下。從根本上講,這就是功能安全的基本工作。
2.2 控制風(fēng)險(xiǎn)與安全完整性
風(fēng)險(xiǎn)是對一個特定危險(xiǎn)事件出現(xiàn)的概率和結(jié)果的估量,可以對不同情況的風(fēng)險(xiǎn)進(jìn)行評價(jià)(EUC風(fēng)險(xiǎn)、要求滿足的允許風(fēng)險(xiǎn)、實(shí)際風(fēng)險(xiǎn))。允許風(fēng)險(xiǎn)根據(jù)社會基礎(chǔ)和有關(guān)社會和政治因素的考慮來確定。安全完整性只應(yīng)用于E/E/PE 安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施,并作為這些系統(tǒng)/功能在規(guī)定安全功能方面取得必要的風(fēng)險(xiǎn)降低的概率的措施。一旦確定了允許風(fēng)險(xiǎn),并估計(jì)了必要的風(fēng)險(xiǎn)降低,就可分配安全相關(guān)系統(tǒng)的安全完整性要求。這樣IEC61508就完成了對安全相關(guān)系統(tǒng)可靠性的量化。
IEC61508中安全完整性(Safety Integrity)是在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi),安全相關(guān)系統(tǒng)成功實(shí)現(xiàn)所要求的安全功能的概率。通俗的說法就是反映了安全相關(guān)系統(tǒng)的可靠程度。安全相關(guān)系統(tǒng)設(shè)計(jì)的主要依據(jù)是安全完整性等級,即SIL等級(在低要求操作模式下分配給一個E/E/PE安全相關(guān)系統(tǒng)的安全功能目標(biāo)失效量)。不同的安全完整性等級需要設(shè)備滿足不同的要求平均故障概率,即PFDavg指標(biāo),反映了要求下的設(shè)備失效的可能性,見表1。在安全相關(guān)系統(tǒng)中,系統(tǒng)總的要求平均故障概率為各子系統(tǒng)的要求平均故障概率之和。
表1 IEC 61508-1要求
3 電廠安全相關(guān)系統(tǒng)設(shè)計(jì)中的應(yīng)用
IEC 61508用全生命周期的方法有效避免了安全相關(guān)系統(tǒng)的系統(tǒng)失效。系統(tǒng)失效與質(zhì)量管理?xiàng)l件、安全管理?xiàng)l件及技術(shù)安全條件相關(guān),標(biāo)準(zhǔn)規(guī)定的全生命周期管理模型,在安全相關(guān)系統(tǒng)的功能安全生命周期內(nèi),配備了一套完整的管理制度與程序,保證安全相關(guān)系統(tǒng)的功能安全。圖1是安全生命周期圖。前三個步驟主要解決確定保護(hù)范圍,即確定EUC的范圍;找出危險(xiǎn)源;評估危險(xiǎn)源的風(fēng)險(xiǎn);以及確定危險(xiǎn)源的允許風(fēng)險(xiǎn)。第四個步驟則是確定安全功能和安全功 能的安全完整性等級,即SIL。第五個步驟是將安全功能分配給具體的安全相關(guān)系統(tǒng),同時(shí)對每個安全相關(guān)系統(tǒng)分配安全完整性等級,即確定每個安全相關(guān)系統(tǒng)的SIL。
圖1 整體安全生命周期
電廠中的鍋爐、汽輪機(jī)和發(fā)電機(jī)的安全保護(hù)系統(tǒng),是電廠安全運(yùn)行的重要保證,安全保護(hù)系統(tǒng)應(yīng)具有很高的可靠性、可利用率和安全性。在這些安全保護(hù)系統(tǒng)實(shí)現(xiàn)的過程中,根據(jù)安全完整性等級來確定系統(tǒng)的配置結(jié)構(gòu),并結(jié)合工藝現(xiàn)場的實(shí)際確定安全相關(guān)系統(tǒng)的控制邏輯。一般的設(shè)計(jì)流程見圖2。
圖2 實(shí)現(xiàn)流程
3.1 技術(shù)形式的選擇
隨著技術(shù)的發(fā)展,安全相關(guān)系統(tǒng)的設(shè)備配置也在不斷的更新?lián)Q代。由氣動邏輯到繼電器邏輯,由簡單的繼電器系統(tǒng)到以微處理器為主的系統(tǒng),由單回路聯(lián)鎖系統(tǒng)到三重模塊冗余系統(tǒng)。基于不同技術(shù)的安全相關(guān)系統(tǒng)的性能比較見表2。
表2 基于不同技術(shù)的安全相關(guān)系統(tǒng)性能比較
3.2 結(jié)構(gòu)形式的選擇
安全相關(guān)系統(tǒng)中隨機(jī)失效主要是由于設(shè)備故障導(dǎo)致,為了防止這種失效,系統(tǒng)集成商在設(shè)計(jì)集成系統(tǒng)、選擇所采用的所有器件時(shí),必須全系統(tǒng)考慮每一種因素對系統(tǒng)危險(xiǎn)失效的影響。不僅要考慮系統(tǒng)中傳感器單元、邏輯單元、最終執(zhí)行單元以及它們之間的接口與連線等所有器件的隨機(jī)危險(xiǎn)失效率,還要考慮它們的結(jié)構(gòu)與診斷。IEC 61508標(biāo)準(zhǔn)規(guī)定了安全完整性等級(SIL)與系統(tǒng)的結(jié)構(gòu)約束及診斷之間的關(guān)系,見表3。
表3 IEC 61508要求硬件安全完整性等級
A類安全相關(guān)子系統(tǒng)結(jié)構(gòu)約束要求
表3中,硬件故障裕度N 表示N+1 個故障將導(dǎo)致安全功能失效。如果要求某子系統(tǒng)的SIL級別達(dá)3級,在該子系統(tǒng)的安全失效分?jǐn)?shù)為90%~99%的情況下,硬件故障裕度就必須至少為1,因此這個子系統(tǒng)結(jié)構(gòu)可以選擇為1oo2(雙通道2選1表決),想要提高可用性,還可以選擇2oo3(三通道3選2表決)。隨機(jī)失效完整性的定量評估與分配應(yīng)該通過一個概率計(jì)算來進(jìn)行:
-λS=(1/h):發(fā)生使安全系統(tǒng)進(jìn)入到安全故障狀態(tài)的故障的概率。
-λD=(1/h):發(fā)生使安全系統(tǒng)進(jìn)入到危險(xiǎn)故障狀態(tài)的故障的概率。
-λDD=(1/h):發(fā)生使安全系統(tǒng)進(jìn)入到危險(xiǎn)故障狀態(tài)并被在線診斷設(shè)備檢測出的的故障的概率。
-λDU=(1/h):發(fā)生使安全系統(tǒng)進(jìn)入到危險(xiǎn)故障狀態(tài)并未被在線診斷設(shè)備檢測出的的故障的概率。
計(jì)算建立在硬件組件的失效率和失效模式等已知數(shù)據(jù)的基礎(chǔ)上。因此,傳統(tǒng)的可靠性研究與實(shí)踐中適用的數(shù)據(jù)與方法,可以部分地適用于功能安全的研究與計(jì)算。通過SFF來驗(yàn)證系統(tǒng)是否滿足IEC61508的結(jié)構(gòu)約束。
3.3 安全完整性等級及可用性評價(jià)
電廠中安全相關(guān)系統(tǒng)較多,以1oo1緊急切斷裝置為例,使用IEC61508中的工具來對其安全完整性等級進(jìn)行分析。
圖3 1oo1緊急切斷裝置
所有部件均為A類設(shè)備,無在線診斷設(shè)備,假設(shè)參數(shù)如下:
1) 檢驗(yàn)測試時(shí)間間隔(TI)=一年(8760h)
2) λDD=0(無在線診斷設(shè)備)
3) λDU=λD-λDD=λD
4) 開關(guān):λ=1.0x10-6;λS=0.6x10-6;λD=0.4x10-6
5) 線路:λ=1.1x10-8;λS=1.0x10-8;λD=0.1x10-8
6) 斷路器:λ=1.5x10-6;
λS=1.38x10-6;
λD=0.12x10-6
7) 平均恢復(fù)時(shí)間(MTTR)=0
PFDavg開關(guān)=1.75x10-3(SIL2)
PFDavg線路=4.38x10-6(SIL3)
PFDavg斷路器=5.26x10-4(SIL3)
PFDavg=PFDavg開關(guān)+ PFDavg線路+ PFDavg斷路器=2.28x10-3(SIL2)
=79%,系統(tǒng)冗余度為零(SIL=2),滿足A類設(shè)備結(jié)構(gòu)約束。
平均發(fā)生安全故障的時(shí)間間隔
=57.36年。
4 結(jié)論及應(yīng)用意義
在傳統(tǒng)的電廠保護(hù)系統(tǒng)的設(shè)計(jì)中,安全保護(hù)系統(tǒng)的設(shè)計(jì)方法是“在實(shí)際應(yīng)用中已被證明是安全可靠的”方法,是經(jīng)驗(yàn)總結(jié)出的方法。今后,系統(tǒng)的設(shè)計(jì)將更多地注重于在設(shè)計(jì)的全過程中考慮功能安全,并根據(jù)不同的安全目標(biāo)來設(shè)計(jì)相應(yīng)的系統(tǒng)。
電廠作為電力生產(chǎn)的主要部門,保證電廠安全運(yùn)行是非常重要的任務(wù)。目前電廠控制系統(tǒng)已經(jīng)廣泛的采用電子計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)。
工藝流程中安全相關(guān)系統(tǒng)對系統(tǒng)安全性、可靠性、可用性的要求更高,必須保證系統(tǒng)能安全、可靠、不間斷地工作。原有的安全技術(shù)規(guī)范和條例已經(jīng)難以滿足技術(shù)的發(fā)展需要和對安全越來越高的要求。所以電廠安全相關(guān)系統(tǒng)設(shè)計(jì)的過程中還需要借鑒國際上的安全標(biāo)準(zhǔn),對系統(tǒng)可靠性、可用性進(jìn)行科學(xué)的評價(jià),并結(jié)合目前實(shí)際情況,建立和完善自己的安全標(biāo)準(zhǔn)和安全評估體系。
通過在電廠安全相關(guān)系統(tǒng)設(shè)計(jì)過程中引入IEC 61508功能安全的概念和方法,可以保證安全相關(guān)系統(tǒng)達(dá)到相應(yīng)的安全等級。此外還可以對現(xiàn)有的安全相關(guān)系統(tǒng)的安全等級進(jìn)行有效的評價(jià)。
5 發(fā)展趨勢
目前各應(yīng)用領(lǐng)域的功能安全標(biāo)準(zhǔn)正在陸續(xù)出臺。先后發(fā)布的標(biāo)準(zhǔn)包括:針對流程工業(yè)的IEC61511,針對機(jī)械領(lǐng)域不同應(yīng)用的IEC62061、EN954-2、EN/IEC60204-1,針對核領(lǐng)域的IEC61513,針對鐵路領(lǐng)域的EN50126/7/8,針對熔爐的有PREN-51056等。構(gòu)成安全相關(guān)系統(tǒng)的電氣、電子、可編程電子部件及子系統(tǒng)的功能安全標(biāo)準(zhǔn)也在制定之中,已經(jīng)完成的標(biāo)準(zhǔn)如IEC 61784-3等。一些國家或地區(qū)針對功能安全開始了一些研究項(xiàng)目,如歐洲協(xié)作項(xiàng)目SIPI 61508。目標(biāo)是通過安全相關(guān)系統(tǒng)改善過程工業(yè)的安全水平,為歐盟通過執(zhí)行統(tǒng)一的IEC 61508標(biāo)準(zhǔn)方法來獲得安全的工業(yè)過程提供一系列指南。這些指南將加速理解,并推動功能安全標(biāo)準(zhǔn)IEC 61508的解釋和執(zhí)行。
一些公司和組織開始開發(fā)符合IEC 61508的安全相關(guān)系統(tǒng)。如基金會現(xiàn)場總線(FF)正在開發(fā)滿足IEC6108的基于現(xiàn)場總線網(wǎng)絡(luò)的安全相關(guān)系統(tǒng)。還有就是用互聯(lián)網(wǎng)來推動工業(yè)以太網(wǎng)的發(fā)展,如操作或者管理水凈化處理工廠的遠(yuǎn)程監(jiān)控系統(tǒng)。功能安全標(biāo)準(zhǔn)的影響正在快速擴(kuò)大,相關(guān)產(chǎn)業(yè)也在迅速的擴(kuò)大。
可以看出功能安全已經(jīng)得到了各行業(yè)的充分的重視,將安全標(biāo)準(zhǔn)和安全評估體系應(yīng)用到電廠的安全相關(guān)系統(tǒng)的設(shè)計(jì)中也是今后的發(fā)展趨勢。
參考文獻(xiàn)
[1] Riccardo Mariani, Gabriele Boschi, Federico Colucci, Using an innovative SoC-level FMEA methodology to design in compliance with IEC61508, Design, Automation & Test in Europe Conference & Exhibition, 2007. DATE '07, 16-20 April 2007 Page(s):1 – 6, Digital Object Identifier 10.1109/DATE.2007.364641
[2] P H Jesty, D D Wardt, R S Rivett* and R J Evans, safety analysis of programmable automotive systems, System Safety, 2006. The 1st Institution of Engineering and Technology International, Conference on, Jun. 2006 Page(s):136 - 145
[3] Hickling, E.M.; King, A.G.; Bell, R, Human factors in electrical, electronic and programmable electronic safety-related, Systems, System Safety, 2006. The First Institution of Engineering and Technology International, Conference on, 6-8 June 2006 Page(s):7 pp.
[4] Elia, A.; Ferrarini, L.; Veber, C, Analysis of Ethernet-based safe automation networks according to IEC 61508, Emerging Technologies and Factory Automation, 2006. ETFA '06. IEEE Conference on, 20-22 Sept. 2006 Page(s):333 – 340, Digital Object Identifier 10.1109/ETFA.2006.355419
[5] Sammarco, J. J, Programmable Electronic and Hardwired Emergency Shutdown Systems: A Quantified Safety Analysis, Industry Applications, IEEE Transactions on, Volume 43, Issue 4, July-aug. 2007 Page(s):1061 – 1068, Digital Object Identifier 10.1109/TIA.2007.900477
[6] 史學(xué)玲. 功能安全標(biāo)準(zhǔn)的歷史過程與發(fā)展趨勢[J]. 儀器儀表標(biāo)準(zhǔn)化與計(jì)量,2006.
[7] 燕飛,唐濤. IEC61508及其在鐵路安全相關(guān)系統(tǒng)研制開發(fā)中的應(yīng)用研究[J].鐵道學(xué)報(bào),2005.
[8] 李佳玉,員春欣. IEC61508功能安全國際標(biāo)及安全性分析[J].中國鐵路,2001.
[9] 馮曉升. IEC61508電器的/電子的/可編程電子安全一相關(guān)系統(tǒng)的功能安全簡介[J].儀器儀表標(biāo)準(zhǔn)化與計(jì)量,2000.
北京市公安局海淀分局備案號:11010802023656號