機械、加工廠和其他設備如果發生故障,可能會帶來火災、爆炸、輻射過量和運動部件等危險事件的風險。 此類工廠、設備和機械發生故障的方式之一是其控製或安全系統設計中使用的機電、電子和可編程電子 (E/E/PE) 設備故障。 這些故障可能由設備的物理故障引起(例如,由隨機發生的磨損和撕裂(隨機硬件故障)); 或系統故障(例如,由於(1)某些特定輸入組合,(2)某些環境條件(3)來自傳感器的不正確或不完整輸入,( 4) 操作員輸入的數據不完整或錯誤,以及 (5) 由於界面設計不佳而導致的潛在系統故障)。
安全相關係統故障
本文涵蓋安全相關控制系統的功能安全,並考慮了實現所需安全完整性所需的硬件和軟件技術要求。 總體方法符合擬議的國際電工委員會標準 IEC 1508,第 2 部分和第 3 部分 (IEC 1993)。 國際標準IEC 1508草案的總體目標, 功能安全:安全相關係統,是為了確保工廠和設備能夠安全自動化。 制定擬議國際標準的一個關鍵目標是防止或盡量減少以下情況的發生頻率:
- 控制系統故障觸發其他事件,進而可能導致危險(例如,控制系統故障、失控、過程失控導致火災、釋放有毒物質等)
- 警報和監控系統出現故障,從而無法以可以快速識別和理解的形式向操作員提供信息,以便執行必要的緊急行動
- 保護系統中未檢測到的故障,使它們在需要安全操作時不可用(例如,緊急關閉系統中的輸入卡出現故障)。
“電氣、電子和可編程電子安全相關係統”一文闡述了 IEC 1 第 1508 部分中體現的通用安全管理方法,以確保對安全很重要的控制和保護系統的安全。 本文描述了將事故風險降低到可接受水平所需的總體概念工程設計,包括基於 E/E/PE 技術的任何控製或保護系統的作用。
在圖 1 中,來自設備、加工廠或機器的風險(通常稱為 受控設備 (EUC) 無保護裝置)標記在 EUC 風險等級的一端,而滿足所需安全級別所需的目標風險級別則在另一端。 在兩者之間顯示了安全相關係統和外部風險降低設施的組合,以構成所需的風險降低。 這些可以有多種類型——機械(例如減壓閥)、液壓、氣動、物理以及 E/E/PE 系統。 圖 2 強調了隨著事故的進展,每個安全層在保護 EUC 方面的作用。
圖 1. 降低風險:一般概念
如果按照 IEC 1 第 1508 部分的要求對 EUC 進行了危害和風險分析,則已經建立了安全的總體概念設計,因此任何 E/E/ 所需的功能和安全完整性等級 (SIL) 目標PE 控製或保護系統已定義。 安全完整性等級目標是根據目標失效措施定義的(見表 1)。
表 1. 保護系統的安全完整性等級:目標故障措施
安全完整性等級 需求操作模式(未能按需執行其設計功能的概率)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
保護系統
本白皮書概述了 E/E/PE 安全相關係統的設計者應考慮的技術要求,以滿足所需的安全完整性等級目標。 重點是使用可編程電子設備的典型保護系統,以便在不失一般性的情況下更深入地討論關鍵問題。 圖 3 顯示了一個典型的保護系統,它描繪了一個單通道安全系統,該系統具有通過診斷設備激活的二次關閉。 在正常操作中,EUC 的不安全狀況(例如機器超速、化工廠高溫)將被傳感器檢測到並傳輸到可編程電子設備,後者將命令執行器(通過輸出繼電器)將系統進入安全狀態(例如,切斷機器電動機的電源,打開閥門以釋放壓力)。
圖 3. 典型保護系統
但是,如果保護系統組件出現故障怎麼辦? 這是二次關閉的功能,由本設計的診斷(自檢)功能激活。 然而,該系統並不是完全故障安全的,因為設計在被要求執行其安全功能時只有一定的可用概率(它有一定的按需故障概率或一定的安全完整性等級)。 例如,上述設計可能能夠檢測和容忍某些類型的輸出卡故障,但無法承受輸入卡故障。 因此,其安全完整性將遠低於具有更高可靠性輸入卡、改進診斷或這些的某種組合的設計。
卡故障還有其他可能的原因,包括硬件中的“傳統”物理故障、系統故障(包括需求規範中的錯誤)、軟件中的實施錯誤以及對環境條件(例如濕度)的保護不足。 這種單通道設計中的診斷可能無法涵蓋所有這些類型的故障,因此這將限制實際達到的安全完整性等級。 (覆蓋率衡量設計可以安全檢測和處理的故障百分比。)
技術要求
IEC 2 草案的第 3 部分和第 1508 部分提供了一個框架,用於識別硬件和軟件中的各種潛在故障原因,並用於選擇能夠克服那些適合安全相關係統所需安全完整性等級的潛在故障原因的設計特徵。 例如,圖3中保護系統的總體技術方案如圖4所示。圖中表明了克服故障和故障的兩種基本策略:(1) 故障避免,注意防止產生故障; 和 (2) 容錯,其中專門創建設計以容忍特定故障。 上面提到的單通道系統是(有限的)容錯設計的一個例子,其中診斷用於檢測某些故障並在危險故障發生之前將系統置於安全狀態。
圖 4. 設計規範:設計解決方案
故障規避
故障避免試圖防止將故障引入系統。 主要方法是使用系統的方法來管理項目,以便在設計期間以及隨後的運行和維護期間將安全視為系統的可定義和可管理的質量。 該方法類似於質量保證,基於反饋的概念並涉及:(1) 規劃 (確定安全目標,確定實現目標的方式方法); (2) 測量 實施過程中對計劃的成就和(3)應用 反饋 糾正任何偏差。 設計評審是故障避免技術的一個很好的例子。 在 IEC 1508 中,使用安全生命週期和對硬件和軟件採用安全管理程序的要求促進了這種避免故障的“質量”方法。 對於後者,這些通常表現為軟件質量保證程序,例如 ISO 9000-3 (1990) 中描述的程序。
此外,IEC 2 的第 3 部分和第 1508 部分(分別涉及硬件和軟件)對在各個安全生命週期階段被認為對避免故障有用的某些技術或措施進行了分級。 表 2 給出了第 3 部分中軟件設計和開發階段的示例。 設計人員將使用該表來幫助選擇故障避免技術,具體取決於所需的安全完整性等級。 對於表中的每項技術或措施,每個安全完整性級別都有一個建議,從 1 到 4。建議範圍包括強烈推薦 (HR)、推薦 (R)、中立——既不支持也不反對 (—) 和不推薦(天然橡膠)。
表 2. 軟件設計和開發
|
技術/措施 |
安全等級 1 |
安全等級 2 |
安全等級 3 |
安全等級 4 |
|
1. 形式化方法包括,例如,CCS、CSP、HOL、LOTOS |
- |
R |
R |
HR |
|
2. 半形式化方法 |
HR |
HR |
HR |
HR |
|
3.結構化。 方法論包括,例如,JSD、MASCOT、SADT、SSADM 和 YOURDON |
HR |
HR |
HR |
HR |
|
4.模塊化方法 |
HR |
HR |
HR |
HR |
|
5.設計和編碼標準 |
R |
HR |
HR |
HR |
HR = 強烈推薦; R = 推薦; NR = 不推薦;— = 中性:技術/措施既不支持也不反對 SIL。
注:應根據安全完整性等級選擇編號的技術/措施。
容錯能力
隨著安全完整性目標的增加,IEC 1508 要求提高容錯級別。 然而,該標準承認,當系統(以及構成這些系統的組件)很複雜時(在 IEC 1508 中指定為 B 類),容錯能力更為重要。 對於不太複雜、“經過充分驗證”的系統,可以放寬容錯程度。
對隨機硬件故障的容忍度
表 3 顯示了在如圖 3 所示的保護系統中使用複雜硬件組件(例如微處理器)時針對隨機硬件故障的容錯要求。設計人員可能需要考慮診斷、容錯和手動驗證檢查以克服此類故障,具體取決於所需的安全完整性等級。
表 3. 安全完整性等級 - B 類組件的故障要求1
1 與安全相關的未檢測到的故障應通過驗證檢查來檢測。
2 對於沒有在線介質診斷覆蓋的部件,系統應能夠在出現單一故障時執行安全功能。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。
3 對於具有在線高診斷覆蓋率的組件,系統應能夠在出現單一故障時執行安全功能。 對於沒有在線高診斷覆蓋率的組件,系統應能夠在出現兩個故障時執行安全功能。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。
4 元件應能在出現兩個故障時執行安全功能。 應通過在線高診斷覆蓋率檢測故障。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。 定量硬件分析應基於最壞情況假設。
1故障模式未明確定義或無法測試,或現場經驗故障數據不佳的組件(例如,可編程電子組件)。
IEC 1508 通過提供設計規範表(見表 4)來幫助設計人員,其中設計參數根據許多常用保護系統架構的安全完整性等級編制索引。
表 4. 安全完整性等級 2 的要求 - 保護系統的可編程電子系統架構
|
PE系統配置 |
每個通道的診斷覆蓋率 |
離線驗證測試間隔(TI) |
誤跳閘平均時間 |
|
單 PE,單 I/O,分機。 西部數據 |
高 |
6個月 |
1.6年 |
|
雙PE,單I/O |
高 |
6個月 |
10年 |
|
雙 PE、雙 I/O、2oo2 |
高 |
3個月 |
1,281年 |
|
雙 PE、雙 I/O、1oo2 |
與機身相同顏色 |
2個月 |
1.4年 |
|
雙 PE、雙 I/O、1oo2 |
低 |
5個月 |
1.0年 |
|
雙 PE、雙 I/O、1oo2 |
Medium |
18個月 |
0.8年 |
|
雙 PE、雙 I/O、1oo2 |
高 |
36個月 |
0.8年 |
|
雙 PE、雙 I/O、1oo2D |
與機身相同顏色 |
2個月 |
1.9年 |
|
雙 PE、雙 I/O、1oo2D |
低 |
4個月 |
4.7年 |
|
雙 PE、雙 I/O、1oo2D |
Medium |
18個月 |
18年 |
|
雙 PE、雙 I/O、1oo2D |
高 |
48 +月 |
168年 |
|
三重 PE、三重 I/O、IPC、2oo3 |
與機身相同顏色 |
1 個月 |
20年 |
|
三重 PE、三重 I/O、IPC、2oo3 |
低 |
3個月 |
25年 |
|
三重 PE、三重 I/O、IPC、2oo3 |
Medium |
12個月 |
30年 |
|
三重 PE、三重 I/O、IPC、2oo3 |
高 |
48 +月 |
168年 |
表的第一列代表具有不同容錯度的架構。 一般來說,靠近表底部的架構比靠近頂部的架構具有更高的容錯度。 1oo2(二選一)系統能夠承受任何一個故障,2oo3 也是如此。
第二列描述了任何內部診斷的百分比覆蓋率。 診斷級別越高,捕獲的故障越多。 在保護系統中,這很重要,因為如果故障組件(例如,輸入卡)在合理的時間內(通常為 8 小時)得到修復,功能安全性幾乎沒有損失。 (注意:對於連續控制系統而言情況並非如此,因為任何故障都可能立即導致不安全狀況和潛在的事故發生。)
第三列顯示驗證測試之間的間隔。 這些是需要進行的特殊測試,以徹底運行保護系統以確保沒有潛在故障。 通常,這些由設備供應商在工廠停工期間執行。
第四列顯示虛假跳閘率。 虛假跳閘是指在沒有過程偏差的情況下導致工廠或設備關閉的跳閘。 安全的代價通常是更高的誤跳閘率。 一個簡單的冗餘保護系統——1oo2——在所有其他設計因素不變的情況下,具有比單通道 (1oo1) 系統更高的安全完整性等級和更高的誤跳閘率。
如果未使用表中的其中一種架構,或者如果設計人員想要執行更基本的分析,則 IEC 1508 允許此替代方案。 然後可以使用諸如馬爾可夫建模之類的可靠性工程技術來計算安全完整性等級的硬件元素(Johnson 1989;Goble 1992)。
對系統性和常見原因故障的容忍度
此類故障在安全系統中非常重要,是實現安全完整性的限制因素。 在冗餘系統中,一個組件或子系統,甚至整個系統被複製,以從低可靠性部件獲得高可靠性。 可靠性的提高是因為,從統計學上講,兩個系統同時因隨機故障而失效的可能性是各個系統可靠性的產物,因此要低得多。 另一方面,系統故障和共因故障會導致冗餘系統同時發生故障,例如,軟件中的規範錯誤會導致重複的部分同時發生故障。 另一個例子是冗餘系統的公共電源發生故障。
IEC 1508 提供了根據安全完整性級別排名的工程技術表,這些安全完整性級別被認為可以有效地提供針對系統性和常見原因故障的保護。
提供防禦系統故障的技術示例是多樣性和分析冗餘。 多樣性的基礎是,如果設計人員使用不同的技術或軟件語言在冗餘系統中實現第二個通道,則冗餘通道中的故障可被視為獨立的(即,偶然故障的可能性很低)。 然而,特別是在基於軟件的系統領域,有人認為這種技術可能無效,因為大多數錯誤都在規範中。 分析冗餘試圖利用工廠或機器中的冗餘信息來識別故障。 對於系統故障的其他原因——例如,外部應力——該標準提供了表格,這些表格給出了針對安全完整性等級索引的良好工程實踐(例如,信號線和電源線的分離)的建議。
結論
基於計算機的系統提供了許多優勢——不僅經濟,而且還有提高安全性的潛力。 然而,與使用傳統系統組件的情況相比,實現這種潛力所需的對細節的關注要多得多。 本文概述了設計人員要成功利用該技術需要考慮的主要技術要求。