李  成 （1980-）

　　男，上海交通大學(xué)電子信息與電氣工程學(xué)院在讀工程碩士，研究方向工業(yè)自動化。

　　摘要：安全相關(guān)系統(tǒng)是為保證受控設(shè)備安全狀態(tài)而設(shè)計的。為了保證受控設(shè)備的安全性，需要在設(shè)計過程中對受控設(shè)備的風(fēng)險進行有效的預(yù)測以及評估并且采取必要的安全相關(guān)系統(tǒng)來降低風(fēng)險。IEC 61508是國際電工協(xié)會制定的電子、電氣、可編程控制系統(tǒng)功能性安全的標(biāo)準(zhǔn)。本文討論了安全相關(guān)系統(tǒng)中功能安全的要求，并對安全相關(guān)系統(tǒng)的評價的方法進行了分析。

　　1研究背景及現(xiàn)狀

　　電廠作為電力工業(yè)生產(chǎn)的主要部門，其運行安全問題一直受到很高的關(guān)注，如何保證電廠安全運行的研究也越來越多。目前普遍采用多重安全保護措施，包括安全系統(tǒng)來解決生產(chǎn)過程中的安全問題，安全系統(tǒng)是指執(zhí)行必要的安全保護功能，以使被保護對象處于安全狀態(tài)的系統(tǒng)。當(dāng)危險事件發(fā)生時，安全系統(tǒng)將采取適當(dāng)?shù)膭幼骱痛胧乐贡槐Ｗo對象進入危險狀態(tài)，避免災(zāi)難的發(fā)生。安全系統(tǒng)作為保證受控設(shè)備安全狀態(tài)的關(guān)鍵，其自身的安全性、可靠性問題也就成為了研究的焦點。

　　國外在這一領(lǐng)域的研究從上世紀(jì)七十年代開始，歐美各國都開始用系統(tǒng)工程的理論和原理來研究解決安全相關(guān)系統(tǒng)的可靠性問題，希望通過標(biāo)準(zhǔn)和法規(guī)控制危險，使技術(shù)缺陷和人為錯誤導(dǎo)致的危險威脅降至最小。由于各國工業(yè)基礎(chǔ)不同，他們的研究著手點也各不相同。如歐洲機械制造業(yè)比較發(fā)達，他們的研究是從機械設(shè)備、生產(chǎn)線的安全保護開始的。美國的石油化工工業(yè)更為發(fā)達，因此他們的研究是從石化裝置的安全儀表系統(tǒng)開始的。

　　國內(nèi)電廠安全系統(tǒng)的設(shè)計主要依據(jù)為《防止電力生產(chǎn)重大事故的二十五項重點要求》、《火力發(fā)電廠設(shè)計技術(shù)規(guī)程》以及《火力發(fā)電廠熱工自動化設(shè)計技術(shù)規(guī)程》等標(biāo)準(zhǔn)、規(guī)程、規(guī)定。但基本上沒有對聯(lián)鎖保護回路進行安全分析及評價，采用安全系統(tǒng)后也基本上不對整個安全系統(tǒng)進行驗證，看其是否能達到應(yīng)設(shè)置的等級，能將事故的危險性降低多少，選用的組件是否可達到要求等。

　　2000年，功能安全基礎(chǔ)國際標(biāo)準(zhǔn)IEC61508出臺，標(biāo)志著在功能安全方面的研究已經(jīng)有了突破性進展。功能安全作為獨立的安全學(xué)科，已經(jīng)開始自成體系，相關(guān)的標(biāo)準(zhǔn)和法規(guī)體系正在建立之中。

　  IEC61508標(biāo)準(zhǔn)的范圍是考慮有關(guān)系統(tǒng)的E/E/PE安全系統(tǒng)的失效將影響人員以及環(huán)境的安全，另外還考慮到失效的后果會產(chǎn)生嚴(yán)重的經(jīng)濟方面的損失。因此，該標(biāo)準(zhǔn)可用于規(guī)定相關(guān)系統(tǒng)的E/E/PE安全，以利設(shè)備、產(chǎn)品及環(huán)境的防護。

　　2功能安全基本概念

　　功能安全在IEC 61508中的定義為：與受控設(shè)備和受控設(shè)備控制系統(tǒng)有關(guān)的整體安全的組成部分，它取決于電氣/ 電子/ 可編程電子安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險降低設(shè)施功能的正確行使。該標(biāo)準(zhǔn)實際上是一個對安全相關(guān)系統(tǒng)的可靠性進行系統(tǒng)評價的體系。作為功能安全的基礎(chǔ)標(biāo)準(zhǔn)，IEC 61508中提出了功能安全的基本原理、術(shù)語、數(shù)學(xué)方法、管理模式，針對以電子為基礎(chǔ)的安全相關(guān)系統(tǒng)提出了一種一致的合理的技術(shù)方針，同時還提出了一個技術(shù)框架，在這個框架內(nèi)，基于其它技術(shù)的安全系統(tǒng)也可同時被考慮進去。

　　2.1 實施功能安全本質(zhì)上就是控制風(fēng)險

　　安全，按一般的概念是沒有危險，不受威脅，不出事故。按照這樣的概念，安全是不可控制的。因為這是一個絕對安全的概念，而絕對安全是不存在的。在IEC 61508 中，安全的概念是“不存在不可接受的風(fēng)險”。這是一個相對安全的概念，通過這個定義，安全問題就轉(zhuǎn)化為風(fēng)險問題了。這樣一來，安全就變得可控制了，因為風(fēng)險是可控的。

　　使用安全相關(guān)系統(tǒng)來達到安全目標(biāo)，第一步，要確定受控設(shè)備（EUC）的范圍以及EUC 與外部環(huán)境的相互影響，然后找出EUC 內(nèi)部和EUC 與外部環(huán)境相互作用可能存在的危險點，針對每個危險點計算或評估出其風(fēng)險，即該點的EUC 風(fēng)險。第二步，要明確法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)中要求達到的風(fēng)險目標(biāo)或社會有關(guān)方面可以接受的風(fēng)險目標(biāo)。第三步，是比較EUC風(fēng)險和允許風(fēng)險，如果EUC 風(fēng)險大于允許風(fēng)險，則必須使用E/E/PE 安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)、外部風(fēng)險降低設(shè)施等手段將風(fēng)險降低到允許風(fēng)險以下。從根本上講，這就是功能安全的基本工作。

　　2.2 控制風(fēng)險與安全完整性

　　風(fēng)險是對一個特定危險事件出現(xiàn)的概率和結(jié)果的估量，可以對不同情況的風(fēng)險進行評價（EUC風(fēng)險、要求滿足的允許風(fēng)險、實際風(fēng)險）。允許風(fēng)險根據(jù)社會基礎(chǔ)和有關(guān)社會和政治因素的考慮來確定。安全完整性只應(yīng)用于E/E/PE 安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險降低設(shè)施，并作為這些系統(tǒng)/功能在規(guī)定安全功能方面取得必要的風(fēng)險降低的概率的措施。一旦確定了允許風(fēng)險，并估計了必要的風(fēng)險降低，就可分配安全相關(guān)系統(tǒng)的安全完整性要求。這樣IEC61508就完成了對安全相關(guān)系統(tǒng)可靠性的量化。

　　IEC61508中安全完整性（Safety Integrity）是在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。通俗的說法就是反映了安全相關(guān)系統(tǒng)的可靠程度。安全相關(guān)系統(tǒng)設(shè)計的主要依據(jù)是安全完整性等級，即SIL等級（在低要求操作模式下分配給一個E/E/PE安全相關(guān)系統(tǒng)的安全功能目標(biāo)失效量）。不同的安全完整性等級需要設(shè)備滿足不同的要求平均故障概率，即PFDavg指標(biāo)，反映了要求下的設(shè)備失效的可能性，見表1。在安全相關(guān)系統(tǒng)中，系統(tǒng)總的要求平均故障概率為各子系統(tǒng)的要求平均故障概率之和。

　　                                    表1   IEC 61508-1要求
　
　　3　電廠安全相關(guān)系統(tǒng)設(shè)計中的應(yīng)用

　　IEC 61508用全生命周期的方法有效避免了安全相關(guān)系統(tǒng)的系統(tǒng)失效。系統(tǒng)失效與質(zhì)量管理條件、安全管理條件及技術(shù)安全條件相關(guān)，標(biāo)準(zhǔn)規(guī)定的全生命周期管理模型，在安全相關(guān)系統(tǒng)的功能安全生命周期內(nèi)，配備了一套完整的管理制度與程序，保證安全相關(guān)系統(tǒng)的功能安全。圖1是安全生命周期圖。前三個步驟主要解決確定保護范圍，即確定EUC的范圍；找出危險源；評估危險源的風(fēng)險；以及確定危險源的允許風(fēng)險。第四個步驟則是確定安全功能和安全功 能的安全完整性等級，即SIL。第五個步驟是將安全功能分配給具體的安全相關(guān)系統(tǒng)，同時對每個安全相關(guān)系統(tǒng)分配安全完整性等級，即確定每個安全相關(guān)系統(tǒng)的SIL。

圖1   整體安全生命周期

　　電廠中的鍋爐、汽輪機和發(fā)電機的安全保護系統(tǒng)，是電廠安全運行的重要保證，安全保護系統(tǒng)應(yīng)具有很高的可靠性、可利用率和安全性。在這些安全保護系統(tǒng)實現(xiàn)的過程中，根據(jù)安全完整性等級來確定系統(tǒng)的配置結(jié)構(gòu)，并結(jié)合工藝現(xiàn)場的實際確定安全相關(guān)系統(tǒng)的控制邏輯。一般的設(shè)計流程見圖2。

　　                                     圖2   實現(xiàn)流程
　　
　　3.1 技術(shù)形式的選擇

　　隨著技術(shù)的發(fā)展，安全相關(guān)系統(tǒng)的設(shè)備配置也在不斷的更新?lián)Q代。由氣動邏輯到繼電器邏輯，由簡單的繼電器系統(tǒng)到以微處理器為主的系統(tǒng)，由單回路聯(lián)鎖系統(tǒng)到三重模塊冗余系統(tǒng)。基于不同技術(shù)的安全相關(guān)系統(tǒng)的性能比較見表2。

表2   基于不同技術(shù)的安全相關(guān)系統(tǒng)性能比較

　　3.2 結(jié)構(gòu)形式的選擇

　　安全相關(guān)系統(tǒng)中隨機失效主要是由于設(shè)備故障導(dǎo)致，為了防止這種失效，系統(tǒng)集成商在設(shè)計集成系統(tǒng)、選擇所采用的所有器件時，必須全系統(tǒng)考慮每一種因素對系統(tǒng)危險失效的影響。不僅要考慮系統(tǒng)中傳感器單元、邏輯單元、最終執(zhí)行單元以及它們之間的接口與連線等所有器件的隨機危險失效率，還要考慮它們的結(jié)構(gòu)與診斷。IEC 61508標(biāo)準(zhǔn)規(guī)定了安全完整性等級（SIL）與系統(tǒng)的結(jié)構(gòu)約束及診斷之間的關(guān)系，見表3。

表3   IEC 61508要求硬件安全完整性等級

　　A類安全相關(guān)子系統(tǒng)結(jié)構(gòu)約束要求

　　表3中，硬件故障裕度N 表示N+1 個故障將導(dǎo)致安全功能失效。如果要求某子系統(tǒng)的SIL級別達3級，在該子系統(tǒng)的安全失效分?jǐn)?shù)為90%～99%的情況下，硬件故障裕度就必須至少為1，因此這個子系統(tǒng)結(jié)構(gòu)可以選擇為1oo2(雙通道2選1表決)，想要提高可用性，還可以選擇2oo3(三通道3選2表決)。隨機失效完整性的定量評估與分配應(yīng)該通過一個概率計算來進行：
 
-λS=（1/h）：發(fā)生使安全系統(tǒng)進入到安全故障狀態(tài)的故障的概率。

-λD=（1/h）：發(fā)生使安全系統(tǒng)進入到危險故障狀態(tài)的故障的概率。

-λDD=（1/h）：發(fā)生使安全系統(tǒng)進入到危險故障狀態(tài)并被在線診斷設(shè)備檢測出的的故障的概率。

-λDU=（1/h）：發(fā)生使安全系統(tǒng)進入到危險故障狀態(tài)并未被在線診斷設(shè)備檢測出的的故障的概率。

　　計算建立在硬件組件的失效率和失效模式等已知數(shù)據(jù)的基礎(chǔ)上。因此，傳統(tǒng)的可靠性研究與實踐中適用的數(shù)據(jù)與方法，可以部分地適用于功能安全的研究與計算。通過SFF來驗證系統(tǒng)是否滿足IEC61508的結(jié)構(gòu)約束。

　　3.3 安全完整性等級及可用性評價

　　電廠中安全相關(guān)系統(tǒng)較多，以1oo1緊急切斷裝置為例，使用IEC61508中的工具來對其安全完整性等級進行分析。

圖3   1oo1緊急切斷裝置

　　所有部件均為A類設(shè)備，無在線診斷設(shè)備，假設(shè)參數(shù)如下：

1) 檢驗測試時間間隔（TI）=一年（8760h）

2) λDD=0（無在線診斷設(shè)備）

3) λDU=λD-λDD=λD

4) 開關(guān)：λ=1.0x10-6；λS=0.6x10-6；λD=0.4x10-6

5) 線路：λ=1.1x10-8；λS=1.0x10-8；λD=0.1x10-8

6) 斷路器：λ=1.5x10-6；

  λS=1.38x10-6；

  λD=0.12x10-6

7) 平均恢復(fù)時間（MTTR）=0

　　PFDavg開關(guān)=1.75x10-3（SIL2）

　　PFDavg線路=4.38x10-6（SIL3）

　　PFDavg斷路器=5.26x10-4（SIL3）

　　PFDavg=PFDavg開關(guān)+ PFDavg線路+ PFDavg斷路器=2.28x10-3（SIL2）

　　=79%，系統(tǒng)冗余度為零（SIL=2），滿足A類設(shè)備結(jié)構(gòu)約束。

　　平均發(fā)生安全故障的時間間隔

    =57.36年。

　　4 結(jié)論及應(yīng)用意義

　　在傳統(tǒng)的電廠保護系統(tǒng)的設(shè)計中，安全保護系統(tǒng)的設(shè)計方法是“在實際應(yīng)用中已被證明是安全可靠的”方法,是經(jīng)驗總結(jié)出的方法。今后,系統(tǒng)的設(shè)計將更多地注重于在設(shè)計的全過程中考慮功能安全,并根據(jù)不同的安全目標(biāo)來設(shè)計相應(yīng)的系統(tǒng)。

　　電廠作為電力生產(chǎn)的主要部門，保證電廠安全運行是非常重要的任務(wù)。目前電廠控制系統(tǒng)已經(jīng)廣泛的采用電子計算機和網(wǎng)絡(luò)技術(shù)。

　　工藝流程中安全相關(guān)系統(tǒng)對系統(tǒng)安全性、可靠性、可用性的要求更高，必須保證系統(tǒng)能安全、可靠、不間斷地工作。原有的安全技術(shù)規(guī)范和條例已經(jīng)難以滿足技術(shù)的發(fā)展需要和對安全越來越高的要求。所以電廠安全相關(guān)系統(tǒng)設(shè)計的過程中還需要借鑒國際上的安全標(biāo)準(zhǔn)，對系統(tǒng)可靠性、可用性進行科學(xué)的評價，并結(jié)合目前實際情況，建立和完善自己的安全標(biāo)準(zhǔn)和安全評估體系。

　　通過在電廠安全相關(guān)系統(tǒng)設(shè)計過程中引入IEC 61508功能安全的概念和方法，可以保證安全相關(guān)系統(tǒng)達到相應(yīng)的安全等級。此外還可以對現(xiàn)有的安全相關(guān)系統(tǒng)的安全等級進行有效的評價。

　　5 發(fā)展趨勢

　　目前各應(yīng)用領(lǐng)域的功能安全標(biāo)準(zhǔn)正在陸續(xù)出臺。先后發(fā)布的標(biāo)準(zhǔn)包括：針對流程工業(yè)的IEC61511，針對機械領(lǐng)域不同應(yīng)用的IEC62061、EN954-2、EN/IEC60204-1，針對核領(lǐng)域的IEC61513，針對鐵路領(lǐng)域的EN50126/7/8，針對熔爐的有PREN-51056等。構(gòu)成安全相關(guān)系統(tǒng)的電氣、電子、可編程電子部件及子系統(tǒng)的功能安全標(biāo)準(zhǔn)也在制定之中，已經(jīng)完成的標(biāo)準(zhǔn)如IEC 61784-3等。一些國家或地區(qū)針對功能安全開始了一些研究項目，如歐洲協(xié)作項目SIPI 61508。目標(biāo)是通過安全相關(guān)系統(tǒng)改善過程工業(yè)的安全水平，為歐盟通過執(zhí)行統(tǒng)一的IEC 61508標(biāo)準(zhǔn)方法來獲得安全的工業(yè)過程提供一系列指南。這些指南將加速理解，并推動功能安全標(biāo)準(zhǔn)IEC 61508的解釋和執(zhí)行。

　　一些公司和組織開始開發(fā)符合IEC 61508的安全相關(guān)系統(tǒng)。如基金會現(xiàn)場總線(FF)正在開發(fā)滿足IEC6108的基于現(xiàn)場總線網(wǎng)絡(luò)的安全相關(guān)系統(tǒng)。還有就是用互聯(lián)網(wǎng)來推動工業(yè)以太網(wǎng)的發(fā)展，如操作或者管理水凈化處理工廠的遠程監(jiān)控系統(tǒng)。功能安全標(biāo)準(zhǔn)的影響正在快速擴大，相關(guān)產(chǎn)業(yè)也在迅速的擴大。

　　可以看出功能安全已經(jīng)得到了各行業(yè)的充分的重視，將安全標(biāo)準(zhǔn)和安全評估體系應(yīng)用到電廠的安全相關(guān)系統(tǒng)的設(shè)計中也是今后的發(fā)展趨勢。

　　參考文獻

　　[1] Riccardo Mariani, Gabriele Boschi, Federico Colucci, Using an innovative SoC-level FMEA methodology to design in compliance with IEC61508, Design, Automation & Test in Europe Conference & Exhibition, 2007. DATE '07, 16-20 April 2007 Page(s):1 – 6, Digital Object Identifier 10.1109/DATE.2007.364641

　　[2] P H Jesty, D D Wardt, R S Rivett* and R J Evans, safety analysis of programmable automotive systems, System Safety, 2006. The 1st Institution of Engineering and Technology International, Conference on, Jun. 2006 Page(s):136 - 145

　　[3] Hickling, E.M.; King, A.G.; Bell, R, Human factors in electrical, electronic and programmable electronic safety-related, Systems, System Safety, 2006. The First Institution of Engineering and Technology International, Conference on, 6-8 June 2006 Page(s):7 pp.

　　[4] Elia, A.; Ferrarini, L.; Veber, C, Analysis of Ethernet-based safe automation networks according to IEC 61508, Emerging Technologies and Factory Automation, 2006. ETFA '06. IEEE Conference on, 20-22 Sept. 2006 Page(s):333 – 340, Digital Object Identifier 10.1109/ETFA.2006.355419

　　[5] Sammarco, J. J, Programmable Electronic and Hardwired Emergency Shutdown Systems: A Quantified Safety Analysis, Industry Applications, IEEE Transactions on, Volume 43, Issue 4, July-aug. 2007 Page(s):1061 – 1068, Digital Object Identifier 10.1109/TIA.2007.900477

　　[6] 史學(xué)玲. 功能安全標(biāo)準(zhǔn)的歷史過程與發(fā)展趨勢[J]. 儀器儀表標(biāo)準(zhǔn)化與計量，2006.

　　[7] 燕飛,唐濤. IEC61508及其在鐵路安全相關(guān)系統(tǒng)研制開發(fā)中的應(yīng)用研究[J].鐵道學(xué)報，2005.

　　[8] 李佳玉,員春欣. IEC61508功能安全國際標(biāo)及安全性分析[J].中國鐵路，2001.

　　[9] 馮曉升. IEC61508電器的／電子的／可編程電子安全一相關(guān)系統(tǒng)的功能安全簡介[J].儀器儀表標(biāo)準(zhǔn)化與計量，2000.