本文討論了涉及所有類型的電氣、電子和可編程電子系統(包括基於計算機的系統)的安全相關控制系統的設計和實現。 總體方法符合擬議的國際電工委員會 (IEC) 標準 1508 (功能安全:安全相關
系統) (IEC 1993)。
背景
在 1980 世紀 1 年代,基於計算機的系統——通常稱為可編程電子系統 (PES)——越來越多地用於執行安全功能。 這一趨勢背後的主要驅動力是 (2) 改進的功能和經濟效益(特別是考慮到設備或系統的整個生命週期)和 (XNUMX) 某些設計的特殊利益,只有在使用計算機技術時才能實現. 在基於計算機的系統的早期引入過程中,有許多發現:
- 計算機控制的引入沒有經過深思熟慮和計劃。
- 指定的安全要求不充分。
- 在軟件驗證方面製定了不適當的程序。
- 在工廠安裝標準方面,披露了做工不佳的證據。
- 生成的文檔不充分,並且沒有充分驗證工廠中實際存在的內容(與工廠中被認為存在的內容不同)。
- 尚未建立完全有效的操作和維護程序。
- 人們顯然有理由擔心人們是否有能力履行要求他們承擔的職責。
為了解決這些問題,一些機構發布或開始製定指南,以實現 PES 技術的安全開發。 在英國,健康與安全執行局 (HSE) 制定了用於安全相關應用的可編程電子系統指南,在德國,發布了標準草案 (DIN 1990)。 在歐洲共同體內,根據機械指令的要求,開始了與安全相關控制系統(包括使用 PES 的系統)相關的協調歐洲標準工作的一個重要組成部分。 在美國,美國儀器協會 (ISA) 制定了用於過程工業的 PES 標準,美國化學工程師協會下屬的化學過程安全中心 (CCPS) 制定了指南用於化學過程部門。
IEC 目前正在進行一項主要的標準倡議,旨在為電氣、電子和可編程電子 (E/E/PES) 安全相關係統制定通用的國際標準,該標準可用於許多應用領域,包括過程、醫療、運輸和機械部門。 擬議的 IEC 國際標準包括總標題下的七個部分 IEC 1508. 電氣/電子/可編程電子安全相關係統的功能安全. 各部分如下:
- 第 1 部分.一般要求
- 第2部分:電氣、電子和可編程電子系統的要求
- 第三部分軟件要求
- 第四部分定義
- 第 5 部分 安全完整性等級的確定方法示例
- 第 6 部分.第 2 部分和第 3 部分的應用指南
- 第七部分技術措施概述。
最終確定後,這一基於通用的國際標準將構成一份 IEC 基本安全出版物,涵蓋電氣、電子和可編程電子安全相關係統的功能安全,並將對所有 IEC 標準產生影響,涵蓋與未來設計和使用有關的所有應用領域電氣/電子/可編程電子安全相關係統。 擬議標準的一個主要目標是促進各行業標準的製定(見圖 1)。
圖 1. 通用和應用部門標準
PES 的好處和問題
出於安全目的採用 PES 具有許多潛在優勢,但人們認識到,只有使用適當的設計和評估方法才能實現這些優勢,因為:(1) PES 的許多特性無法實現安全完整性(即是執行所需安全功能的系統的安全性能)以與傳統上不太複雜的基於硬件(“硬連線”)系統相同的置信度進行預測; (2) 人們認識到雖然測試對於復雜系統是必要的,但僅靠測試是不夠的。 這意味著即使 PES 實現了相對簡單的安全功能,可編程電子設備的複雜程度也明顯高於它們所取代的硬接線系統; (3) 這種複雜性的增加意味著必須比以前更多地考慮設計和評估方法,並且隨後需要更高的個人能力水平來實現安全相關係統的足夠性能水平。
基於計算機的 PES 的好處包括:
- 能夠以比其他情況高得多的頻率對關鍵組件執行在線診斷驗證檢查
- 提供複雜安全聯鎖裝置的潛力
- 提供診斷功能和狀態監控的能力,可用於實時分析和報告工廠和機器的性能
- 將工廠的實際條件與“理想”模型條件進行比較的能力
- 有可能向運營商提供更好的信息,從而改進影響安全的決策
- 使用先進的控制策略使操作員能夠遠離危險或敵對環境
- 從遠程位置診斷控制系統的能力。
在安全相關應用中使用基於計算機的系統會產生許多需要充分解決的問題,例如:
- 故障模式很複雜,並不總是可以預測的。
- 對計算機進行測試是必要的,但其本身不足以確定安全功能將以應用所需的確定性程度執行。
- 微處理器在不同批次之間可能會有細微的差異,因此不同批次可能會顯示不同的行為。
- 未受保護的基於計算機的系統特別容易受到電氣乾擾(輻射干擾;電源中的電氣“尖峰”、靜電放電等)。
- 很難而且通常不可能量化包含軟件的複雜安全相關係統的故障概率。 因為沒有一種量化方法被廣泛接受,所以軟件保證一直基於描述軟件設計、實施和維護中使用的方法的程序和標準。
考慮中的安全系統
正在考慮的安全相關係統類型是電氣、電子和可編程電子系統 (E/E/PES)。 該系統包括所有元素,特別是從傳感器或受控設備上的其他輸入設備發出的信號,並通過數據高速公路或其他通信路徑傳輸到執行器或其他輸出設備(見圖 2)。
圖 2. 電氣、電子和可編程電子系統 (E/E/PES)
術語 電氣、電子和可編程電子設備 已被用於涵蓋各種各樣的設備,並涵蓋以下三個主要類別:
- 電氣設備,例如機電繼電器
- 電子設備,例如固態電子儀器和邏輯系統
- 可編程電子設備,包括各種基於計算機的系統,例如:
- 微處理器
- 微控制器
- 可編程控制器 (PC)
- 專用集成電路 (ASIC)
- 可編程邏輯控制器 (PLC)
- 其他基於計算機的設備(例如,“智能”傳感器、變送器和執行器)。
根據定義,安全相關係統有兩個目的:
- 它實施必要的安全功能,以實現受控設備的安全狀態或維持受控設備的安全狀態。 安全相關係統必須執行系統安全功能要求規範中指定的那些安全功能。 例如,安全功能要求規範可能規定當溫度達到某個值時 x, 閥門 y 應打開以使水進入容器。
- 它單獨或與其他安全相關係統一起實現必要的安全完整性級別,以實現所需的安全功能。 安全功能必須由安全相關係統以適合應用的置信度執行,以實現受控設備所需的安全級別。
圖 3. 安全相關係統的主要特徵
系統故障
為了確保 E/E/PES 安全相關係統的安全運行,有必要識別安全相關係統故障的各種可能原因,並確保針對每種情況採取充分的預防措施。 故障分為兩類,如圖 4 所示。
圖 4. 故障類別
- 隨機硬件故障是由硬件中的各種正常退化機制引起的故障。 在不同的部件中有許多這樣的機制以不同的速率發生,並且由於製造公差導致部件在不同的操作時間之後由於這些機製而失效,所以包括許多部件的設備的總項目的故障發生在不可預測的(隨機)時間。 系統可靠性的度量,例如平均故障間隔時間 (MTBF),很有價值,但通常只關注隨機硬件故障,不包括系統故障。
- 系統故障源於系統的設計、構造或使用中的錯誤,這些錯誤導致系統在某些特定的輸入組合或某些特定的環境條件下發生故障。 如果在出現一組特定情況時發生系統故障,那麼將來每當出現這些情況時,總會出現系統故障。 根據定義,不是由隨機硬件故障引起的安全相關係統的任何故障都是系統故障。 在 E/E/PES 安全相關係統的背景下,系統性故障包括:
- 由於安全功能要求規範中的錯誤或遺漏而導致的系統故障
- 由於硬件的設計、製造、安裝或操作錯誤而導致的系統故障。 這些將包括由環境原因和人為(例如,操作員)錯誤引起的故障
- 由於軟件故障導致的系統故障
- 由於維護和修改錯誤導致的系統故障。
安全相關係統的保護
用於表示安全相關係統為防止隨機硬件故障和系統故障而需要採取的預防措施的術語是 硬件安全完整性措施 和 系統的安全完整性措施 分別。 安全相關係統可以針對隨機硬件故障和系統故障採取的預防措施稱為 安全完整性. 這些概念如圖 5 所示。
圖 5. 安全性能術語
在擬議的國際標準 IEC 1508 中,安全完整性分為四個級別,分別表示為安全完整性級別 1、2、3 和 4。安全完整性級別 1 是最低的安全完整性級別,安全完整性級別 4 是最高的。 安全相關係統的安全完整性等級(1、2、3 或 4)將取決於安全相關係統在實現受控設備所需安全等級方面所發揮作用的重要性。 可能需要多個安全相關係統——其中一些可能基於氣動或液壓技術。
安全相關係統的設計
最近對涉及控制系統 (HSE) 的 34 起事件進行的分析發現,所有故障案例中有 60% 是在安全相關控制系統投入使用之前“內置”的(圖 7)。 如果要生產足夠的安全相關係統,則必須考慮所有安全生命週期階段。
圖 7. 控制系統故障的主要原因(按階段)
安全相關係統的功能安全不僅取決於確保正確指定技術要求,還取決於確保技術要求得到有效實施,並確保在設備的整個生命週期內保持初始設計的完整性。 這只有在有效的安全管理系統到位並且參與任何活動的人員能夠勝任他們必須履行的職責的情況下才能實現。 特別是當涉及復雜的安全相關係統時,必須有一個適當的安全管理系統。 這導致了確保以下內容的策略:
- 建立了有效的安全管理體系。
- 為 E/E/PES 安全相關係統指定的技術要求足以處理隨機硬件和系統故障原因。
- 相關人員的能力足以勝任他們必須履行的職責。
為了系統地解決功能安全的所有相關技術要求,開發了安全生命週期的概念。 圖 1508 顯示了新興國際標準 IEC 8 中安全生命週期的簡化版本。安全生命週期的關鍵階段是:
圖 8. 安全生命週期在實現功能安全方面的作用
- 規範
- 設計與實施
- 安裝和調試
- 運維
- 調試後的變化。
安全等級
圖 9 和圖 10 說明了為安全相關係統實現足夠安全完整性級別的設計策略。安全完整性級別基於安全相關係統在實現整體級別中所扮演的角色受控設備的安全性。 安全完整性等級規定了設計中需要考慮的預防措施,以防止隨機硬件和系統故障。
圖 9. 安全完整性級別在設計過程中的作用
安全和安全等級的概念適用於受控設備。 功能安全的概念適用於安全相關係統。 如果要為引起危險的設備實現足夠的安全級別,則必須實現安全相關係統的功能安全。 針對特定情況指定的安全級別是安全相關係統的安全完整性要求規範中的一個關鍵因素。
所需的安全級別取決於許多因素——例如,傷害的嚴重程度、暴露於危險中的人數、人們暴露於危險中的頻率以及暴露的持續時間。 重要的因素將是那些暴露於危險事件的人的看法和看法。 在確定什麼構成特定應用的適當安全級別時,需要考慮許多輸入,其中包括:
- 與具體應用相關的法律要求
- 來自適當的安全監管機構的指導方針
- 與申請中涉及的不同各方進行討論和達成協議
- 行業標準
- 國家和國際標準
- 最好的獨立工業、專家和科學建議。
總結
在設計和使用安全相關係統時,必須記住,造成潛在危險的是受控設備。 安全相關係統旨在降低危險事件的發生頻率(或概率)和/或危險事件的後果。 一旦為設備設置了安全級別,就可以確定安全相關係統的安全完整性級別,正是安全完整性級別允許設計人員指定需要內置到設計中的預防措施,以針對隨機硬件和系統故障進行部署。