控制工程师论坛

教程与手册

IEC61508概述

dqfxm2003
dqfxm2003

2010-12-01

   2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》,与之对应的我国国家标准正在制定中。该标准分七部分,涉及1000多个规范。    由电气和电子部件构成的系统,多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的,但也越来越多地用于安全目的。当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。    TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑 单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。    TEC61508的七个部分内容分别为:    第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。    第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。    第3部分是对软件的要求,描述避免失效的方法,与第7部分的附录相关。    第4部分是定义和缩略语。    第5部分给出一些确定安全完整性水平的方法示例。    第6部分包括第2和第3部分的应用指南。    第7部分给出测试方法,简短的注释并提供部分参考书目。    (一)IEC61508中的基本定义    1.安全功能 (safety function)    针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。    2.安全完整性 (Safety integrity)    在规定的条件下、规定的时间内,安全系统成功实现所要求的安全功能的概率。这一定义着重于安全系统执行安全功能的可靠性。在确定安全完整性过程中,应包括所有导致非安全状态的因素,如随机的硬件失效,软件导致的失效以及由电气干扰引起的失效,这些失效的类型,尤其是硬件失效可用测量方法来定量,如在危险模式中的失效和系统失效率,或按规定操作的安全防护系统失效的概率。但是,系统的安全完整性还取决于许多因素,这些因素无法精确定量,仅可定性考虑。    3.E/E/PE系统    基于电气/电子和可编程电子装置的用于控制、防护或监视的系统,包括系统中所有的元素如电源、传感器、所有其他输入输出装置及所有通信手段。    4.EUC(Equipment Under Control)    受控设备,指用于制造、运输、医疗或其他领域的设备、机器、装置或装备。    5.可接受凤险 (ACCeptable risk)    风险指的是出现伤害的概率及该伤害严重性的组合。可接受风险指根据当今社会的水准所能够接受的风险。    6.安全 (Safety)    不存在不可接受的风险。    7.安全系统 (Safely-elated-syStem)    是用于两个目的:一是执行要求的安全功能以达到或保持EUC的安全状态;二是自身或与其他E/E/PES安全系统、其他技术安全系统或外部风险降低设施一道,对于要求的安全功能达到必要的安全完整性。    安全系统是在接受命令后采取适当的动作以防止EUC进入危险状态。安全系统的失效应被包括在导致确定的危险事件中。尽管可能有其他系统具备安全功能,但仅是指用其自身能力达到要求的允许风险的安全系统。安全系统可大致分为安全控制系统和安全防护系统。    安全系统可以是EUC控制系统的组成部分,也可用传感器和/或执行器与EUC的接口,既可用在EUC控制系统中执行安全功能的方式达到要求的安全完整性水平,也可用分离的/独立的专门用于安全的系统执行安全功能。    (二)IEC61508的基本概念    TEC61508标准规定随机失效的后果必须定量评估,使用随机存取测量系统 (RAMS)方法计算有效性。量化与故障相关的系统失效是没有用的,应当通过组织指导来避免系统失效,或通过技术措施来控制。    1.风险和安全完整性慨念                            2.功能安全保证的内容    功能安全保证主要包括两部分内容:失效识别和安全完整性水平。    (1)失效识别。    失效就是功能单元失去实现其功能的能力。一些功能是根据所达到的行为进行规定的,在执行功能时,某些特定的行为是不允许的,这些行为的出现就是失效。失效可能是随机失效,这种失效通常由于硬件装置的耗损所致。也可能是系统失效,这在硬件和软件中都可能出现。失效识别就是要分辨出不同部件的各种失效原因,估算出系统失效概率。    (2)安全完整性水平 (SIL) (safety integrity level)。    一种离散的水平,用于规定分配给E/E/PE安全系统的安全功能的安全完整性要求,安全系统的安全完整性水平越高,安全系统实现所要求的安全功能失败的可能性就越低。IEC61508中规定系统有4种安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。                           三、现场总线系统的功能安全评价    (一)现场总线系统完成的功能    现场总线系统所起的作用是通信,它包括一组硬件和软件,允许两个或多个装置之间信息交换。在受控过程中,它不应该传播或建立会产生危险情形的错误:它应能找出数据的讹误,保证实时数据的传送,传递应有序,避免混乱。同时应能随时了解可能出现的故障状态,避免出现因通信错误触发不合理的安全动作,例如使过程在不该停止时停了下来,或使过程在出现故障时还继续工作等。    (二)现场总线系统安全功能评价的方法    要证明一个系统或子系统是否可以用在安全领域,是否符合IEC61508标准,有两个途径:一是按照IEC61508的原则设计一个新系统;二是沿用以前已经使用并证明是安全的系统,用"proven in use"方法来验证。现场总线系统的功能安全评价一般都采取第二种方法。这是一个在"使用中证实"的概念。如果一种产品或系统已经在使用中,只要供应商有足够的证据证明它是安全的,那么以后相同的产品或系统就允许应用在同等安全的领域。    IEC61508中提出的这种"proven in use"的概念对于供应商和用户都有极大的激励作用。目前世界上此重要的设备供应商都开始对自己的产品进行这方面认证工作。但"Proven in use"实际上有很严格的限制条件:    (l)Proven in use方法只能用于那些满足相关要求的功能和接口子系统;    (2)子系统的工作条件与原子系统的工作条件完全相同或十分相近;    (3)如果子系统的工作条件不同,则需要用分析和测试的方法来论证该系统的功能安全完整性可能达到的水平,以保证该系统可用于安全领域;    (4)声明的失效率有足够的统计学数据基础;    (5)收集有足够的失效数据;    (6)考虑了子系统的复杂性,子系统对风险降低的贡献,子系统失效对整个系统可能造成的后果,新设计等。   四、用户选择现场总线时要注意的因素    (一)供应商应提供的资料    如果用户要集成一个安全系统,考虑要使用现场总线时,要充分考虑到现场总线这个子系统对安全系统的安全完整性贡献。为了达到这个目的,系统设计者、集成者需要现场总线软硬件供应商提供一些必要信息。如:    (1)详细解释功能、接口、应用环境等的说明书;    (2)在每种失效模式下,硬件随机失效的可能失效率;    (3)诊断范围和诊断测试间隔;    (4)硬件失效容差;    (5)硬件和软件组态需要的标识信息;    (6)有效的书面证明;    (7)SIL级别。    (二)现场总线子系统SIL与整个系统SIL的关系    特别要注意的是,现场总线这个子系统的SIL级别并不代表整个控制系统的SlL。一旦考虑整个系统的SlL时,要考虑的就是系统的所有方面,包括现场设备和特定项目应用逻辑。当它们组合执行安全功能时,所有这些子系统和器件要求必须满足相应功能的SIL,但他们的组合并不一定能够实现预定的SIL,此时SIL就不是一个子系统或器件直接可用的概念。理解这一点其实很简单:假定一个高级别SIL的子系统或器件被装错了,系统依然会出故障。    IEC61508给出了对安全系统的SlL值计算和分配的模型和算法。用户单位如果有功能安全的评价机构,可以根据标准的要求自己对系统和各分系统、器件的SlL进行计算评估,也可以请第三方来对系统进行评估和SIL值分配。    (三)确认识供应商声称的SIL级别    1.应用条件是否相同    目前已经有多家公司的现场总线系统进行过IEC61508认证,如FF、WorldFIP、Profibus现场总线己经通过权威机构认证,达到SIL3级。    但用户在选择这种现场总线时,要考虑您采用此子系统的工作条件与它评定时的工作条件是否完全相同或十分相近。如果是,当然供应商所声称的SIL级别是相同的。如果子系统的工作条件不同, 则需要用分析和测试的方法来论证该系统的SIL可能达到的水平,以保证该系统可用于安全领域。    2.对评估员或评估机构独立性的要求    TEC61508规定,对系统、子系统或器件进行SIL级别评估的必须是相对独立的人或组织。评估员的独立水平按SIL的级别不同而不同。对于SILl,只需要同一个组织中的一个独立人,SIM则需要一个独立的组织。至于SIL2和3要求的级别受附加条件的影响,如系统复杂性、设计的新颖性、开发者以前的经验等。还有一个特别条件,就是评估员具有合格的工作能力。   五、结束语    本文提出了现场总线的安全问题,但这并不意味着现场总线本身是不安全的,也不能说现场总线不能满足工厂控制安全性要求。现场总线提供的预诊断是对安全的极大贡献。现场总线电缆的抗干扰、电磁兼容性很强,一些现场总线从信号传输机制上就充分考虑了安全性因素。数字信号传输所带来的控制方法的改变更是数不胜数。用户只要充分了解现场总线的相关信息,在系统设计中采取适当的预防措施,安全使用现场总线系统是完全可以实现的。    电力企业进行安全性评价工作已有十年,"安全性评价"和"危险点分析"是90年代以来我国电力企业创造性地运用于安全管理实践,取得了极大成效的现代安全管理办法。但如何对控制系统的功能安全进行评价,还是一个新课题。当前功能安全评价已经成为全世界工业控制领域的一个热点。      
回帖

评论11

总共 , 当前 /, 12【下一页】
首页 | 登录 | 注册 | 返回顶部↑
手机版 | 电脑版
版权所有 Copyright(C) 2016 CE China