“功能安全產(chǎn)品實(shí)現(xiàn)技術(shù)”系列講座第1講 安全相關(guān)產(chǎn)品的實(shí)現(xiàn)

謝亞蓮 尹寶娟

(上海工業(yè)自動(dòng)化儀表研究院1，上海 200233;上海儀器儀表自控檢驗(yàn)測(cè)試所功能安全中心2，上海 200233;環(huán)境保護(hù)部核與輻射安全中心3，北京 100082)

0 引言

功能安全于20世紀(jì)80年代末起源于歐洲，其目的是為了控制、避免和減輕風(fēng)險(xiǎn)的發(fā)生，保證人員、財(cái)產(chǎn)和環(huán)境的安全。功能安全技術(shù)以可靠性技術(shù)為基礎(chǔ)，綜合了軟硬件設(shè)計(jì)技術(shù)、試驗(yàn)技術(shù)、管理科學(xué)等，并將這一理念注入到軟硬件設(shè)計(jì)中。1995年，歐洲率先推出了功能安全在機(jī)械領(lǐng)域的標(biāo)準(zhǔn)EN954;1998年，國(guó)際電工委員會(huì)(IEC)首次推出了功能安全的基礎(chǔ)標(biāo)準(zhǔn)IEC 61508電氣/電子/可編程電子安全系統(tǒng)的功能安全的第1部分，2000年，又相繼推出了IEC 61508的第2部分和第7部分。在中國(guó)，2006年IEC 61508的等同標(biāo)準(zhǔn)GB/T 20438電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全正式面世，標(biāo)志著功能安全的理念已正式進(jìn)入中國(guó)。目前，在石油化工、電力、機(jī)械等各領(lǐng)域，對(duì)可構(gòu)成安全相關(guān)系統(tǒng)的安全相關(guān)產(chǎn)品有廣泛的需求，而如何實(shí)現(xiàn)安全相關(guān)產(chǎn)品正是本文所要呈現(xiàn)的內(nèi)容。

1 安全相關(guān)產(chǎn)品的構(gòu)成

暫且定義可構(gòu)成安全相關(guān)系統(tǒng)的、滿足功能安全設(shè)計(jì)實(shí)現(xiàn)要求的、具有安全相關(guān)參數(shù)的產(chǎn)品是安全相關(guān)產(chǎn)品。安全相關(guān)系統(tǒng)通常由前端傳感器單元、中間輸入單元、邏輯單元與輸出單元、終端執(zhí)行單元構(gòu)成，如廣泛用于過(guò)程工業(yè)的壓力變送器、溫度變送器、氣體探測(cè)器、液位變送器、可編程控制器、分布控制系統(tǒng)(distributed control system，DCS)、電磁閥、執(zhí)行機(jī)構(gòu)、截止閥、關(guān)斷閥等都可成為安全相關(guān)產(chǎn)品。安全相關(guān)產(chǎn)品通常由硬件和軟件構(gòu)成，其示意如圖1所示，結(jié)構(gòu)如表1所示。

圖1 安全相關(guān)產(chǎn)品構(gòu)成圖Fig.1 The composition of safety related products

圖1中:PE為可編程電子裝置;NP為非可編程裝置;H/W為硬件;S/W為軟件。

表1 可編程電子安全相關(guān)產(chǎn)品結(jié)構(gòu)Tab.1 Structure of the programmable electronic safety related products

2 安全相關(guān)產(chǎn)品的實(shí)現(xiàn)

2.1 安全完整性等級(jí)

安全完整性等級(jí)(safety integrity level，SIL)是指賦予安全相關(guān)產(chǎn)品的特有定量指標(biāo)，也即SIL等級(jí)(SIL1～SIL4)。安全完整性包含硬件安全完整性和系統(tǒng)安全完整性，衡量硬件安全完整性等級(jí)的一個(gè)重要因素是通過(guò)對(duì)定量參數(shù)的計(jì)算來(lái)評(píng)判。硬件安全完整性等級(jí)的劃分如表2所示。

表2 安全完整性等級(jí)對(duì)應(yīng)的目標(biāo)失效量Tab.2 The amount of target failure corresponding to the SIL

系統(tǒng)能力是衡量系統(tǒng)安全完整性滿足規(guī)定的安全完整性等級(jí)的信心，表示為SC1～SC4。系統(tǒng)安全完整性包含硬件系統(tǒng)安全完整性和軟件系統(tǒng)安全完整性，其通過(guò)采取控制系統(tǒng)失效的措施和避免系統(tǒng)失效的措施來(lái)達(dá)到。與完整性相關(guān)的概念如下。

①安全完整性:E/E/PE安全相關(guān)系統(tǒng)在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi)滿意地執(zhí)行規(guī)定的安全功能的概率。

②硬件安全完整性:安全相關(guān)系統(tǒng)的部分安全完整性，其與硬件隨機(jī)失效的危險(xiǎn)失效相關(guān)。

③系統(tǒng)安全完整性:安全相關(guān)系統(tǒng)的部分安全完整性，其與屬于危險(xiǎn)失效的系統(tǒng)失效相關(guān)。

④軟件安全完整性:安全相關(guān)系統(tǒng)的部分安全完整性，其與由軟件引起的、屬于危險(xiǎn)失效的系統(tǒng)失效相關(guān)。

⑤安全完整性等級(jí):一種離散的等級(jí)(四種可能等級(jí)之一)，對(duì)應(yīng)于安全完整性值的一個(gè)范圍。四個(gè)安全完整性等級(jí)對(duì)應(yīng)的目標(biāo)失效量見(jiàn)表2。

2.2 安全相關(guān)產(chǎn)品的實(shí)現(xiàn)

根據(jù)圖1所示安全相關(guān)產(chǎn)品構(gòu)成圖，通常可簡(jiǎn)單地認(rèn)為安全相關(guān)產(chǎn)品由硬件和軟件構(gòu)成。安全相關(guān)產(chǎn)品的實(shí)現(xiàn)過(guò)程如圖2所示。

圖2 安全相關(guān)產(chǎn)品的實(shí)現(xiàn)Fig.2 The implementation of safety related products

由圖2可知，達(dá)到目標(biāo)安全完整性等級(jí)的安全相關(guān)產(chǎn)品的實(shí)現(xiàn)，就在于在安全相關(guān)產(chǎn)品的開(kāi)發(fā)過(guò)程中使其硬件安全完整性等級(jí)和軟件安全完整性等級(jí)達(dá)到目標(biāo)安全完整性等級(jí)，即在設(shè)計(jì)開(kāi)發(fā)過(guò)程中采取一些措施和手段降低隨機(jī)硬件失效中不可診斷的危險(xiǎn)失效的份額，同時(shí)采取一些措施和手段避免和控制產(chǎn)品在開(kāi)發(fā)過(guò)程中引入的系統(tǒng)失效。

這里硬件隨機(jī)失效定義為由硬件的一個(gè)或幾個(gè)可能的失效機(jī)理引起的、在隨機(jī)時(shí)間發(fā)生的失效，隨機(jī)硬件失效是可以量化的。系統(tǒng)失效被認(rèn)為是與確定原因相關(guān)的失效，能通過(guò)改變?cè)O(shè)計(jì)、生產(chǎn)過(guò)程、操作模式、操作指令或其他影響因子來(lái)消除，系統(tǒng)失效是不能被量化的。

2.3 與硬件安全完整性相關(guān)的參數(shù)

安全相關(guān)產(chǎn)品的硬件從結(jié)構(gòu)功能上來(lái)劃分，又是由各子系統(tǒng)構(gòu)成的。因此，要達(dá)到安全功能要求的安全完整性等級(jí)，除了要滿足每個(gè)安全功能的危險(xiǎn)失效概率要求，各子系統(tǒng)還要滿足結(jié)構(gòu)約束的要求，如表3所示。

表3 結(jié)構(gòu)約束Tab.3 Structural constraints

與完整性等級(jí)相關(guān)的硬件安全完整性由安全相關(guān)參數(shù)安全失效分?jǐn)?shù)(safe failure fraction，SFF)(針對(duì)子系統(tǒng))、硬件故障裕度(HFT)(針對(duì)子系統(tǒng))、危險(xiǎn)失效概率(PFDavg/PFH)(針對(duì)每個(gè)安全功能)構(gòu)成。

硬件安全完整性的實(shí)現(xiàn)是通過(guò)設(shè)計(jì)合適的結(jié)構(gòu)、采用適當(dāng)?shù)墓收显\斷措施等來(lái)滿足上述安全相關(guān)參數(shù)的要求。

2.4 系統(tǒng)安全完整性

系統(tǒng)安全完整性包含硬件系統(tǒng)安全完整性和軟件安全完整性。

硬件安全完整性等級(jí)的系統(tǒng)安全完整性是通過(guò)采用避免系統(tǒng)失效的措施和控制系統(tǒng)故障的措施的實(shí)現(xiàn)。

避免系統(tǒng)失效的措施可查閱 IEC 61508.2(GB/T 20438-2)附錄B，推薦針對(duì)硬件在不同安全生命周期階段避免系統(tǒng)失效的措施和方法。安全相關(guān)產(chǎn)品在下列階段必須考慮避免系統(tǒng)失效:

①設(shè)計(jì)需求規(guī)范;②設(shè)計(jì)和開(kāi)發(fā);③ 集成;④ 運(yùn)行和維護(hù);⑤確認(rèn)。

控制系統(tǒng)故障的措施可查閱 IEC 61508.2(GB/T 20438-2)附錄A表A15～表 A17。IEC 61508標(biāo)準(zhǔn)要求應(yīng)用質(zhì)量管理(quality management，QM)的措施來(lái)避免在產(chǎn)品生命周期的不同階段的失效，并根據(jù)安全完整性等級(jí)(SIL)采用相應(yīng)的一些措施。如果按照推薦的重要度和有效性，采用這些措施可以減少可能的失效，然而設(shè)計(jì)失效或一般系統(tǒng)失效仍然存在于產(chǎn)品中，即無(wú)論這些措施被如何采用，仍然有殘余系統(tǒng)失效概率發(fā)生，所以要求采取一些措施和技術(shù)，以控制系統(tǒng)故障?？刹扇〉拇胧┯幸韵聨醉?xiàng)。

①控制由HW和SW設(shè)計(jì)引起的失效;②控制由環(huán)境應(yīng)力或外部影響引起的失效;③控制由操作引起的失效。

軟件安全完整性的實(shí)現(xiàn)是通過(guò)在軟件開(kāi)發(fā)的生命周期中采用避免系統(tǒng)失效的措施。避免失效的措施見(jiàn)IEC 61508.3(GB/T 20438-3)附錄A，需根據(jù)要求的安全完整性等級(jí)確定采用的措施、確定采用措施的有效性。

3 結(jié)束語(yǔ)

本文是對(duì)安全相關(guān)產(chǎn)品的實(shí)現(xiàn)的一個(gè)概述，希望借此文給讀者展示關(guān)于安全相關(guān)產(chǎn)品實(shí)現(xiàn)的一個(gè)脈絡(luò)，后續(xù)講座將就此脈絡(luò)展開(kāi)，詳述安全相關(guān)產(chǎn)品的實(shí)現(xiàn)過(guò)程。對(duì)證明安全相關(guān)產(chǎn)品實(shí)現(xiàn)過(guò)程的證據(jù)的評(píng)審，就是對(duì)安全相關(guān)產(chǎn)品的安全完整性等級(jí)(SIL)的評(píng)估。