李  成 （1980-）

　　男，上海交通大學電子信息與電氣工程學院在讀工程碩士，研究方向工業自動化。

　　摘要：安全相關系統是為保證受控設備安全狀態而設計的。為了保證受控設備的安全性，需要在設計過程中對受控設備的風險進行有效的預測以及評估并且采取必要的安全相關系統來降低風險。IEC 61508是國際電工協會制定的電子、電氣、可編程控制系統功能性安全的標準。本文討論了安全相關系統中功能安全的要求，并對安全相關系統的評價的方法進行了分析。

　　1研究背景及現狀

　　電廠作為電力工業生產的主要部門，其運行安全問題一直受到很高的關注，如何保證電廠安全運行的研究也越來越多。目前普遍采用多重安全保護措施，包括安全系統來解決生產過程中的安全問題，安全系統是指執行必要的安全保護功能，以使被保護對象處于安全狀態的系統。當危險事件發生時，安全系統將采取適當的動作和措施，防止被保護對象進入危險狀態，避免災難的發生。安全系統作為保證受控設備安全狀態的關鍵，其自身的安全性、可靠性問題也就成為了研究的焦點。

　　國外在這一領域的研究從上世紀七十年代開始，歐美各國都開始用系統工程的理論和原理來研究解決安全相關系統的可靠性問題，希望通過標準和法規控制危險，使技術缺陷和人為錯誤導致的危險威脅降至最小。由于各國工業基礎不同，他們的研究著手點也各不相同。如歐洲機械制造業比較發達，他們的研究是從機械設備、生產線的安全保護開始的。美國的石油化工工業更為發達，因此他們的研究是從石化裝置的安全儀表系統開始的。

　　國內電廠安全系統的設計主要依據為《防止電力生產重大事故的二十五項重點要求》、《火力發電廠設計技術規程》以及《火力發電廠熱工自動化設計技術規程》等標準、規程、規定。但基本上沒有對聯鎖保護回路進行安全分析及評價，采用安全系統后也基本上不對整個安全系統進行驗證，看其是否能達到應設置的等級，能將事故的危險性降低多少，選用的組件是否可達到要求等。

　　2000年，功能安全基礎國際標準IEC61508出臺，標志著在功能安全方面的研究已經有了突破性進展。功能安全作為獨立的安全學科，已經開始自成體系，相關的標準和法規體系正在建立之中。

　  IEC61508標準的范圍是考慮有關系統的E/E/PE安全系統的失效將影響人員以及環境的安全，另外還考慮到失效的后果會產生嚴重的經濟方面的損失。因此，該標準可用于規定相關系統的E/E/PE安全，以利設備、產品及環境的防護。

　　2功能安全基本概念

　　功能安全在IEC 61508中的定義為：與受控設備和受控設備控制系統有關的整體安全的組成部分，它取決于電氣/ 電子/ 可編程電子安全相關系統、其它技術安全相關系統和外部風險降低設施功能的正確行使。該標準實際上是一個對安全相關系統的可靠性進行系統評價的體系。作為功能安全的基礎標準，IEC 61508中提出了功能安全的基本原理、術語、數學方法、管理模式，針對以電子為基礎的安全相關系統提出了一種一致的合理的技術方針，同時還提出了一個技術框架，在這個框架內，基于其它技術的安全系統也可同時被考慮進去。

　　2.1 實施功能安全本質上就是控制風險

　　安全，按一般的概念是沒有危險，不受威脅，不出事故。按照這樣的概念，安全是不可控制的。因為這是一個絕對安全的概念，而絕對安全是不存在的。在IEC 61508 中，安全的概念是“不存在不可接受的風險”。這是一個相對安全的概念，通過這個定義，安全問題就轉化為風險問題了。這樣一來，安全就變得可控制了，因為風險是可控的。

　　使用安全相關系統來達到安全目標，第一步，要確定受控設備（EUC）的范圍以及EUC 與外部環境的相互影響，然后找出EUC 內部和EUC 與外部環境相互作用可能存在的危險點，針對每個危險點計算或評估出其風險，即該點的EUC 風險。第二步，要明確法律、法規、規章、標準中要求達到的風險目標或社會有關方面可以接受的風險目標。第三步，是比較EUC風險和允許風險，如果EUC 風險大于允許風險，則必須使用E/E/PE 安全相關系統、其它技術安全相關系統、外部風險降低設施等手段將風險降低到允許風險以下。從根本上講，這就是功能安全的基本工作。

　　2.2 控制風險與安全完整性

　　風險是對一個特定危險事件出現的概率和結果的估量，可以對不同情況的風險進行評價（EUC風險、要求滿足的允許風險、實際風險）。允許風險根據社會基礎和有關社會和政治因素的考慮來確定。安全完整性只應用于E/E/PE 安全相關系統、其它技術安全相關系統和外部風險降低設施，并作為這些系統/功能在規定安全功能方面取得必要的風險降低的概率的措施。一旦確定了允許風險，并估計了必要的風險降低，就可分配安全相關系統的安全完整性要求。這樣IEC61508就完成了對安全相關系統可靠性的量化。

　　IEC61508中安全完整性（Safety Integrity）是在規定的條件下、規定的時間內，安全相關系統成功實現所要求的安全功能的概率。通俗的說法就是反映了安全相關系統的可靠程度。安全相關系統設計的主要依據是安全完整性等級，即SIL等級（在低要求操作模式下分配給一個E/E/PE安全相關系統的安全功能目標失效量）。不同的安全完整性等級需要設備滿足不同的要求平均故障概率，即PFDavg指標，反映了要求下的設備失效的可能性，見表1。在安全相關系統中，系統總的要求平均故障概率為各子系統的要求平均故障概率之和。

　　                                    表1   IEC 61508-1要求
　
　　3　電廠安全相關系統設計中的應用

　　IEC 61508用全生命周期的方法有效避免了安全相關系統的系統失效。系統失效與質量管理條件、安全管理條件及技術安全條件相關，標準規定的全生命周期管理模型，在安全相關系統的功能安全生命周期內，配備了一套完整的管理制度與程序，保證安全相關系統的功能安全。圖1是安全生命周期圖。前三個步驟主要解決確定保護范圍，即確定EUC的范圍；找出危險源；評估危險源的風險；以及確定危險源的允許風險。第四個步驟則是確定安全功能和安全功 能的安全完整性等級，即SIL。第五個步驟是將安全功能分配給具體的安全相關系統，同時對每個安全相關系統分配安全完整性等級，即確定每個安全相關系統的SIL。

圖1   整體安全生命周期

　　電廠中的鍋爐、汽輪機和發電機的安全保護系統，是電廠安全運行的重要保證，安全保護系統應具有很高的可靠性、可利用率和安全性。在這些安全保護系統實現的過程中，根據安全完整性等級來確定系統的配置結構，并結合工藝現場的實際確定安全相關系統的控制邏輯。一般的設計流程見圖2。

　　                                     圖2   實現流程
　　
　　3.1 技術形式的選擇

　　隨著技術的發展，安全相關系統的設備配置也在不斷的更新換代。由氣動邏輯到繼電器邏輯，由簡單的繼電器系統到以微處理器為主的系統，由單回路聯鎖系統到三重模塊冗余系統。基于不同技術的安全相關系統的性能比較見表2。

表2   基于不同技術的安全相關系統性能比較

　　3.2 結構形式的選擇

　　安全相關系統中隨機失效主要是由于設備故障導致，為了防止這種失效，系統集成商在設計集成系統、選擇所采用的所有器件時，必須全系統考慮每一種因素對系統危險失效的影響。不僅要考慮系統中傳感器單元、邏輯單元、最終執行單元以及它們之間的接口與連線等所有器件的隨機危險失效率，還要考慮它們的結構與診斷。IEC 61508標準規定了安全完整性等級（SIL）與系統的結構約束及診斷之間的關系，見表3。

表3   IEC 61508要求硬件安全完整性等級

　　A類安全相關子系統結構約束要求

　　表3中，硬件故障裕度N 表示N+1 個故障將導致安全功能失效。如果要求某子系統的SIL級別達3級，在該子系統的安全失效分數為90%～99%的情況下，硬件故障裕度就必須至少為1，因此這個子系統結構可以選擇為1oo2(雙通道2選1表決)，想要提高可用性，還可以選擇2oo3(三通道3選2表決)。隨機失效完整性的定量評估與分配應該通過一個概率計算來進行：
 
-λS=（1/h）：發生使安全系統進入到安全故障狀態的故障的概率。

-λD=（1/h）：發生使安全系統進入到危險故障狀態的故障的概率。

-λDD=（1/h）：發生使安全系統進入到危險故障狀態并被在線診斷設備檢測出的的故障的概率。

-λDU=（1/h）：發生使安全系統進入到危險故障狀態并未被在線診斷設備檢測出的的故障的概率。

　　計算建立在硬件組件的失效率和失效模式等已知數據的基礎上。因此，傳統的可靠性研究與實踐中適用的數據與方法，可以部分地適用于功能安全的研究與計算。通過SFF來驗證系統是否滿足IEC61508的結構約束。

　　3.3 安全完整性等級及可用性評價

　　電廠中安全相關系統較多，以1oo1緊急切斷裝置為例，使用IEC61508中的工具來對其安全完整性等級進行分析。

圖3   1oo1緊急切斷裝置

　　所有部件均為A類設備，無在線診斷設備，假設參數如下：

1) 檢驗測試時間間隔（TI）=一年（8760h）

2) λDD=0（無在線診斷設備）

3) λDU=λD-λDD=λD

4) 開關：λ=1.0x10-6；λS=0.6x10-6；λD=0.4x10-6

5) 線路：λ=1.1x10-8；λS=1.0x10-8；λD=0.1x10-8

6) 斷路器：λ=1.5x10-6；

  λS=1.38x10-6；

  λD=0.12x10-6

7) 平均恢復時間（MTTR）=0

　　PFDavg開關=1.75x10-3（SIL2）

　　PFDavg線路=4.38x10-6（SIL3）

　　PFDavg斷路器=5.26x10-4（SIL3）

　　PFDavg=PFDavg開關+ PFDavg線路+ PFDavg斷路器=2.28x10-3（SIL2）

　　=79%，系統冗余度為零（SIL=2），滿足A類設備結構約束。

　　平均發生安全故障的時間間隔

    =57.36年。

　　4 結論及應用意義

　　在傳統的電廠保護系統的設計中，安全保護系統的設計方法是“在實際應用中已被證明是安全可靠的”方法,是經驗總結出的方法。今后,系統的設計將更多地注重于在設計的全過程中考慮功能安全,并根據不同的安全目標來設計相應的系統。

　　電廠作為電力生產的主要部門，保證電廠安全運行是非常重要的任務。目前電廠控制系統已經廣泛的采用電子計算機和網絡技術。

　　工藝流程中安全相關系統對系統安全性、可靠性、可用性的要求更高，必須保證系統能安全、可靠、不間斷地工作。原有的安全技術規范和條例已經難以滿足技術的發展需要和對安全越來越高的要求。所以電廠安全相關系統設計的過程中還需要借鑒國際上的安全標準，對系統可靠性、可用性進行科學的評價，并結合目前實際情況，建立和完善自己的安全標準和安全評估體系。

　　通過在電廠安全相關系統設計過程中引入IEC 61508功能安全的概念和方法，可以保證安全相關系統達到相應的安全等級。此外還可以對現有的安全相關系統的安全等級進行有效的評價。

　　5 發展趨勢

　　目前各應用領域的功能安全標準正在陸續出臺。先后發布的標準包括：針對流程工業的IEC61511，針對機械領域不同應用的IEC62061、EN954-2、EN/IEC60204-1，針對核領域的IEC61513，針對鐵路領域的EN50126/7/8，針對熔爐的有PREN-51056等。構成安全相關系統的電氣、電子、可編程電子部件及子系統的功能安全標準也在制定之中，已經完成的標準如IEC 61784-3等。一些國家或地區針對功能安全開始了一些研究項目，如歐洲協作項目SIPI 61508。目標是通過安全相關系統改善過程工業的安全水平，為歐盟通過執行統一的IEC 61508標準方法來獲得安全的工業過程提供一系列指南。這些指南將加速理解，并推動功能安全標準IEC 61508的解釋和執行。

　　一些公司和組織開始開發符合IEC 61508的安全相關系統。如基金會現場總線(FF)正在開發滿足IEC6108的基于現場總線網絡的安全相關系統。還有就是用互聯網來推動工業以太網的發展，如操作或者管理水凈化處理工廠的遠程監控系統。功能安全標準的影響正在快速擴大，相關產業也在迅速的擴大。

　　可以看出功能安全已經得到了各行業的充分的重視，將安全標準和安全評估體系應用到電廠的安全相關系統的設計中也是今后的發展趨勢。

　　參考文獻

　　[1] Riccardo Mariani, Gabriele Boschi, Federico Colucci, Using an innovative SoC-level FMEA methodology to design in compliance with IEC61508, Design, Automation & Test in Europe Conference & Exhibition, 2007. DATE '07, 16-20 April 2007 Page(s):1 – 6, Digital Object Identifier 10.1109/DATE.2007.364641

　　[2] P H Jesty, D D Wardt, R S Rivett* and R J Evans, safety analysis of programmable automotive systems, System Safety, 2006. The 1st Institution of Engineering and Technology International, Conference on, Jun. 2006 Page(s):136 - 145

　　[3] Hickling, E.M.; King, A.G.; Bell, R, Human factors in electrical, electronic and programmable electronic safety-related, Systems, System Safety, 2006. The First Institution of Engineering and Technology International, Conference on, 6-8 June 2006 Page(s):7 pp.

　　[4] Elia, A.; Ferrarini, L.; Veber, C, Analysis of Ethernet-based safe automation networks according to IEC 61508, Emerging Technologies and Factory Automation, 2006. ETFA '06. IEEE Conference on, 20-22 Sept. 2006 Page(s):333 – 340, Digital Object Identifier 10.1109/ETFA.2006.355419

　　[5] Sammarco, J. J, Programmable Electronic and Hardwired Emergency Shutdown Systems: A Quantified Safety Analysis, Industry Applications, IEEE Transactions on, Volume 43, Issue 4, July-aug. 2007 Page(s):1061 – 1068, Digital Object Identifier 10.1109/TIA.2007.900477

　　[6] 史學玲. 功能安全標準的歷史過程與發展趨勢[J]. 儀器儀表標準化與計量，2006.

　　[7] 燕飛,唐濤. IEC61508及其在鐵路安全相關系統研制開發中的應用研究[J].鐵道學報，2005.

　　[8] 李佳玉,員春欣. IEC61508功能安全國際標及安全性分析[J].中國鐵路，2001.

　　[9] 馮曉升. IEC61508電器的／電子的／可編程電子安全一相關系統的功能安全簡介[J].儀器儀表標準化與計量，2000.