文 | 北京918博天堂系统工程有限公司 周有铮 颁发于《中国仪器仪表》2013年第8期
提要:
职能安全基础尺度IEC 61508 2.0版对蕴含安全仪表系统在内的职能安全产品开发提出了新的要求。本文就系统机能力、硬件安全齐全性、软件安全齐全性、职能安全治理等几个方面对这些要求进行分析,探求这些新要求在安全仪表系统产品开发中的实现方式。
关键词:
职能安全
;IEC 61508
;安全仪表系统
Abstract:
The version 2.0 of basic functional safety standard IEC 61508 raises new requirements on the development of functional safety products including Safety Instrumented Systems. The new requirements are analyzed with systematic capability, hardware safety integrity, software safety integrity and functional safety management addressed, and the practical realization methods regarding the new requirements in the development of Safety Instrumented System product are discussed.
Keywords:
Functional safety, IEC 61508, Safety Instrumented System
1. 引言
近年来,随着职能安全技术的急剧发展,职能安全的理想在工业自动化领域逐步得到器沉,安全仪表系统(SIS)成为实现职能安全、保险安全出产的沉要组成部门。
为了证实一个SIS产品可能满足安全需要,必须凭据肯定的尺度,从职能安全角度对其进行评估。国际电工委员会(IEC)于2000年颁布了IEC 61508《电气/电子/可编程电子安全有关系统的职能安全》尺度,对职能安全、SIL等根基概想进行界说,也对职能安全产品的设计、开发、使用和评估做出了要求。目前,IEC 61508已成为对蕴含SIS在内的职能安全产品进行职能安全评估的基础尺度。
2010年,在总结了近十年的技术发展和利用经验基础上,IEC 61508颁布了2.0版本。新版本尺度不仅与时俱进地更新了险些所有技术有关的内容,也凭据职能安全技术的发展趋向提出了诸多新的要求条款。对于SIS造作商、集成商和用户,若何使产品的设计、集成和使用尽快满足新版尺度成为一个关键问题。本文针对新版IEC 61508尺度中与产品开发有关的新要求,探求这些要求若何在SIS开发过程中得以实现。
2. 系统机能力要求
对失效的预防和节造是确定SIL的关键成分。IEC 61508将失效分为随机硬件失效(random hardware failure)和系统性失效(systematic failure)两大类。其中,系统性失效是指与设计、造作、操作流程或文档中存在的问题有关的失效。系统性失效拥有确定的原因,因而能够采取技术和措施来预防或节造。
在新版IEC 61508中,界说了一个新的概想,即系统机能力(SC, systematic capability),来表征一个组件的系统性安全齐全性是否切合指定的SIL的要求。系统机能力也分为4个级别,SC 1 ~ SC 4,与SIL的4个级别别离对应。也就是说,一个组件拥有SC n,就代表着其系统性安全齐全性满足SIL n。要使一个组件拥有SC n,必要依照尺度的要求,选取满足SIL n的技术和措施来节造和预防系统性失效。
以上要求性质上并非新的内容,但SC概想的提出明确地强调了SIL并非只与系统冗余水平和安全参数有关,而同时也与预防和节造系统性失效的措施有效性缜密有关。当使用两个或多个拥有较低SIL的组件来实现更高SIL时,就必须思考组合后的系统是否拥有足够的SC。例如,如图1所示,两个齐全一样的SIL 2组件,均拥有SC 2系统机能力。当二者并联冗余时,固然硬件故障裕度(HFT)增长了1,但若是肆意一个系统性失效就会导致组合后的系统失落安全职能,则组合后的系统仍只拥有SC 2,也就是说组合后的系统最高仍只能达到SIL 2,而不是SIL 3。要实现SIL 3,就必须选取满足SC 3的技术和措施来预防和节造系统性失效。例如,冗余的两个组件通过使用多样性设计等步骤来预防共因失效。
图1 冗余系统SC与SIL关系示意图
SC概想的提出,为用户对若何真正实现所需的SIL提供了更清澈的思路,也对造作商和集成商的职能安全设计提出了更刻薄的要求。为了达到要求的SIL,SIS产品的造作商必须在设计开发过程中严格遵守尺度,执行相应SC级别所要求的预防系统失效的技术和措施。集成商在设计安全回路时,除了思考回路的冗余架构和安全参数是否满足要求的SIL,也必须同时达到相应的SC等级。
此表,对于已有使用经验的组件,新版IEC 61508尺度还允许通过提供这些组件满足划定的使用中证实(Proven-in-use)的证据,来证实组件拥有肯定级此外SC。对于未凭据IEC 61508第3部门的要求开发的软件组件而言,若是要在安全有关利用中使用,尺度也划定了可通过提供一些特殊的证据来证实其拥有肯定级此外SC。
3. 硬件安全齐全性要求
硬件安全齐全性是系统安全齐全性与随机硬件失效有关的部门,取决于系统冗余架构、安全失效分数和要求时危险失效概率(PFD/PFH)数值。
与系统性失效分歧,随机硬件失效是由于硬件元器件的职能退化而导致的失效,是随机产生的。由于其必然性和随机性,因而只能通过设计合理的诊断措施来节造硬件随机失效,而不能齐全预防。IEC 61508-1中划定,要宣称拥有肯定的SIL,就必须在给定的系统冗余架构下满足肯定的安全失效分数(SFF)要求和PFD/PFH要求。其中,SFF和PFD/PFH的推算与硬件元器件失效分析和失效能直接有关。
在初版IEC 61508尺度中,随机硬件失效被分为危险失效和安全失效两类。其中,安全失效蕴含了所有不会导致SIS拒动的失效。而在新版IEC 61508尺度中,安全失效被沉新界说为只会导致SIS误动的失效。对于其他既不会导致SIS拒动、也不会导致SIS误动的失效,凭据其是否执行安全职能而分为无关失效和无影响失效,并且这两类失效不参加诊断覆盖率(DC)、SFF和PFD/PFH的推算。如图2所示。
图2 初版和第二版尺度中的失效分类区别
失效分类的变动要求SIS设计过程中对随机硬件失效做更详尽的分析,并且会使推算出的DC和SFF更低。因而SIS设计者必要设计更壮大的诊断措施,保障系统的DC和SFF满足SIL的要求。
此表,对于已有使用经验的组件,新版IEC 61508尺度还允许通过提供现场反馈的靠得住性数据和允许的系统架构来证实组件拥有肯定级此外硬件安全齐全性等级。但靠得住性数据必须拥有肯定的相信度(至少90%),并且对系统架构的HFT要求越发刻薄。
4. 软件安全齐全性要求
软件安全齐全性是与软件失效有关的部门。对于软件,思考的失效仅为系统性失效。在IEC 61508尺度中,与SIS设计有关的软件蕴含系统软件和软件工具两大类,而不蕴含与利用场所有关的利用软件(对这类软件,通常在利用有关尺度中做要求)。新版IEC 61508尺度对这两种软件都有新的要求。
系统软件的安全性命周期各阶段中,必要选取相宜的技术和措施来预防系统性失效。为了使对技术和措施的选择更合理、更美满,新版IEC 61508第3部门中对软件安全性命周期各阶段界说了多个但愿得到满足的属性,并对每种技术和措施给出了可能满足某种属性的严格度等级(R1~R3)
?⒐讨,应结合思考能否满足尺度对措施的强造性要求和能否满足所有属性,来选择相宜的技术和措施,并针对但愿达到的SIL,来选择措施必要执行的严格度。
例如,在软件架构设计阶段,对于各类SIL,表A.2中的“
?榛街琛倍际浅叨惹苛彝萍龅,因而必要选择该措施。在表C.2中,软件架构设计阶段但愿实现“针对软件安全需要规格的齐全性”、“针对软件安全需要规格的正确性”、“预防内涵设计问题”、“简洁和可理解性”、“行为可预测性”、“可测性”和“故障容忍”等若干属性。凭据表C.2,“
?榛街琛关攵陨鲜鍪粜灾谐罢攵匀砑安全需要规格的齐全性”之表的所有属性都有贡献。若是但愿满足SIL 3,则应选择至少R2等级的严格度来执行该措施。除该措施之表,还必须选择相宜的措施来满足“针对软件安全需要规格的齐全性”属性。
SIL的实现不仅与系统软件(嵌入式软件)有关,也与用于组态、配置等职能的软件工拥有关。新版IEC 61508中,着沉强调了这些软件工具对实现安全的沉要性。对于在线的软件工具,即在安全产品运行时可直接影响产品职能的软件工具,必须与安全有关的嵌入式软件一样对待。而对于离线的软件工具,凭据其对安全产品的影响水平的分歧分为T1、T2、T3三类,要求有所分歧。凭据IEC 61508对这三类离线软件工具的界说,T1工具可以为是对安全无影响的,例如代码编纂工具,使用时无需进行特殊思考。T2工具会间接影响安全软件代码的质量,例如代码动态分析工具,必要对工具可能存在的缺点进行分析评估,并在使用中预防。T3工具直接天生安全软件的代码和数据,例如用于天生安全有关二进造代码的编译器,必要选取必要的测试伎俩验证其职能切合其规格,或提供其在类似安全利用中的成功使用证据。
上述尺度条款进一步提高了对SIS系统软件及表部支持软件工具的要求,对预防系统性失效更为有效。对于SIS造作商和集成商,无论是选择现有的软件,还是开发新的软件,都必要针对以上要求进行必要的分析、论证和测试,以证实预防软件系统性失效的措施拥有足够的有效性。
5. 职能安全治理要求
从职能安全治理方面,新版IEC 61508尺度最大的变动体此刻安全性命周期的变动和对安全手册的要求。
图3 ASIC安全性命周期(引自IEC 61508)
新版IEC 61508尺度将原来的总体安全性命周期中的“E/E/PES实现”阶段分为了“E/E/PES安全需要规格”和“E/E/PES实现”两个阶段。其中,新的“E/E/PES实现”阶段增长了“E/E/PES设计需要规格”子阶段。这个变动的重要主张是为了将由用户提出的“E/E/PES安全需要规格”与产品设计者假造的“E/E/PES设计需要规格”明确分辨。前者的沉点在于明确从总体安全需要规格分配而来的E/E/PES所需实现的安全职能需要和安全齐全性需要,而后者必须从系统设计者的角度将用户从利用角度提出的需要转化为可实现的系统设计指标。
安全性命周期的另一个沉大变动是提出了专用集成电路(ASIC)的V-模型,如图3所示。随着ASIC、现场可编程门阵列(FPGA)和复杂可编程逻辑器件(CPLD)等大规
?杀喑搪呒骷在安全产品中的利用日益宽泛,这些器件的开发过程是否切合安全要求对整个产品的职能安全起着举足轻沉的作用,V-模型的提出旨在将职能安全的理想融入这些器件的开发过程中。由于这些器件的开发过程与软件类似,因而尺度也选取了和软件开发过程类似的V-模型。同时,在IEC 61508第2部门附录F(资料性)中,给出了ASIC、FPGA、CPLD等器件在其安全性命周期中需思考的预防系统失效的技术和措施,必要在V-模型的执行过程中遵循。
安全手册是安全产品造作商提供给集成商和用户的指南文档,用于提供产品针对IEC 61508尺度的所有切合项信息,以使产品可能被依照IEC 61508的要求进行集成和使用。新版IEC 61508第2部门和第3部门的附录别离划定了E/E/PES和软件的安全手册要求。由于这些要求是规范性要求,因而造作商必须提供详尽的安全手册,通过这个桥梁为在产品集成和使用中实现职能安全提供方便。
6. 结语
IEC 61508是国际通用的职能安全的基础尺度,其主题内容之一即为对蕴含SIS在内的职能安全产品的系统、硬件、软件设计做出详尽的要求,以使其可能按满足职能安全的方式进行设计和开发。新版IEC 61508基于职能安全理想的发展趋向和技术的更新进取,从系统机能力、硬件/软件安全齐全性要求、职能安全治理等各方面提出了若干新的要求
D芄辉て,由IEC 61508衍生而出的各领域职能安全利用尺度也将逐步进行更新。由于职能安全产品需经过评估认证,尺度增长的新要求对于SIS产品开发的技术和成本提出了新的挑战。然而,这也是一个契机,满足新尺度的产品将拥有更高的质量和技术优势,也由于体现了更靠近现实的职能安全理想而有助于为用于创造更多的价值。
参考文件:
1. IEC 61508:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems, Part 1~7.
2. IEC 61511:2003, Functional safety - Safety instrumented systems for the process industry sector, Part 1~3.
3. D.J. Smith, Reliability, maintainability and risk - Practical methods for engineers, 8th edition, Elsevier, 2011.
4. IEC Functional Safety. http://www.iec.ch/functionalsafety
作者简介:
周有铮,职能安全经理,从事职能安全治理、技术钻研和产品开发工作。
