謝亞蓮

(上海工業(yè)自動化儀表研究院1，上海 200233;上海儀器儀表自控檢驗測試所功能安全中心2，上海 200233)

0 引言

IEC 61508(GB/T 20438)是完整的、系統(tǒng)性的關(guān)于電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全的基礎(chǔ)標(biāo)準(zhǔn);以基于風(fēng)險的方式確定E/E/PE安全相關(guān)系統(tǒng)的安全要求規(guī)范;采用整體安全生命周期模型作為技術(shù)框架，系統(tǒng)地論述了為保證E/E/PE安全相關(guān)系統(tǒng)的功能安全所需進(jìn)行的活動。

本文通過對危險、風(fēng)險、安全功能、安全完整性、安全相關(guān)系統(tǒng)、安全相關(guān)產(chǎn)品之間的內(nèi)在關(guān)聯(lián)的介紹，有助于大家了解以下幾個概念，即安全相關(guān)產(chǎn)品為什么要具有這樣的安全功能，并達(dá)到這樣的安全完整性與安全完整性等級。

1 功能安全

功能安全，首先是安全的概念，所謂安全就是不存在不可接受的風(fēng)險，這種風(fēng)險是指由危險的發(fā)生而造成的對人身健康的傷害、財產(chǎn)的損失和環(huán)境的破壞。功能安全是屬于受控裝置(equipments under control，EUC)和EUC控制系統(tǒng)的整體安全的一部分。用于避免使在爆炸氣體中的設(shè)備成為潛在點燃源的安全裝置，如處在爆炸氣體中的籠型轉(zhuǎn)子，當(dāng)轉(zhuǎn)子的溫度超過某一限值，將會引起氣體爆炸。要限制籠型轉(zhuǎn)子的溫升，采用一個依賴于電流的安全裝置，即將測量轉(zhuǎn)子的電流作為輸入信號，當(dāng)電流超過某一限定值，采取措施切斷籠型轉(zhuǎn)子的供電電源，從而防止爆炸危險的發(fā)生。這屬于功能安全。采用風(fēng)扇抽風(fēng)強(qiáng)制降溫的方式，也屬于安全的一個例子，但它不能保證防止危險的發(fā)生，不屬于功能安全。

由于EUC和EUC控制系統(tǒng)潛在的危險而導(dǎo)致風(fēng)險的存在，從而引出了對功能安全的需求。功能安全的起因是危險和風(fēng)險，功能安全的目的是將風(fēng)險降低到可接受的范圍內(nèi)，功能安全的實現(xiàn)是通過電氣/電子/可編程安全相關(guān)系統(tǒng)(簡稱E/E/PE安全相關(guān)系統(tǒng))、其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險降低設(shè)施正確執(zhí)行其功能。

功能安全的目的示意圖如圖1所示。

圖1 功能安全目的示意圖Fig.1 The purpose of functional safety

功能安全是“縱深防御”的理念。E/E/PE安全相關(guān)系統(tǒng)通常用于預(yù)防危險的發(fā)生，在危險條件產(chǎn)生時即切斷危險源，使EUC及其控制系統(tǒng)保持在安全狀態(tài);雖然在一些情況下它也用于減輕危險產(chǎn)生的后果，例如氣體探測器檢測到著火或氣體泄漏，采取緊急減壓措施。其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險降低設(shè)施用于在危險發(fā)生后減輕危險所造成的后果，通常它是在控制系統(tǒng)失控、E/E/PE安全相關(guān)系統(tǒng)因危險失效而不能執(zhí)行其安全功能時發(fā)揮作用，例如屬于其他技術(shù)安全相關(guān)系統(tǒng)的減壓閥泄壓，屬于外部風(fēng)險降低設(shè)施的安全殼將危險源密封在殼內(nèi)，阻止其向外擴(kuò)散。

當(dāng)然，功能安全的基礎(chǔ)標(biāo)準(zhǔn)GB/T 20438所關(guān)注的是E/E/PE安全相關(guān)系統(tǒng)，我們所研究和關(guān)注的也是E/E/PE安全相關(guān)系統(tǒng)實現(xiàn)的安全功能、安全功能降低風(fēng)險的能力即安全完整性等級、構(gòu)成E/E/PE安全相關(guān)系統(tǒng)的安全相關(guān)產(chǎn)品等。

2 安全功能與安全相關(guān)系統(tǒng)

安全相關(guān)這個詞語是被用來描述要求執(zhí)行規(guī)定的功能，以確保風(fēng)險保持在一個可接受的水平。這個規(guī)定的功能就被定義為安全功能。因此，執(zhí)行安全功能的系統(tǒng)就是安全相關(guān)系統(tǒng)。

對安全相關(guān)系統(tǒng)的要求包含安全功能的要求和安全完整性等級的要求。安全功能的要求來源于危險分析，即必須做什么以避開危險事件;安全完整性等級的要求來源于風(fēng)險評估，即安全功能必須執(zhí)行到什么程度以使殘余風(fēng)險可接受。安全相關(guān)系統(tǒng)需求產(chǎn)生的過程如圖2所示。

圖2 安全相關(guān)系統(tǒng)需求產(chǎn)生示意圖Fig.2 The demand generation of safety-related systems

EUC和EUC控制系統(tǒng)的功能安全中包含一個或多個安全相關(guān)系統(tǒng)，以實現(xiàn)一個或多個安全功能。安全相關(guān)系統(tǒng)通常獨立于裝置控制系統(tǒng)，但也存在裝置控制系統(tǒng)同時作為安全相關(guān)系統(tǒng)執(zhí)行安全功能。一些領(lǐng)域的功能安全標(biāo)準(zhǔn)對安全相關(guān)系統(tǒng)的獨立要求有明確規(guī)定。如在自動扶梯和自動人行道的標(biāo)準(zhǔn)EN 115-2008(國標(biāo)GB 16899-2011)中就明確規(guī)定安全相關(guān)系統(tǒng)和電梯控制系統(tǒng)必須分開。

3 安全相關(guān)產(chǎn)品的目標(biāo)設(shè)定

雖然我們在上述內(nèi)容中講述了危險、風(fēng)險、安全功能和安全相關(guān)系統(tǒng)它們之間的內(nèi)在關(guān)聯(lián)，但是安全相關(guān)產(chǎn)品的設(shè)計者并不需要過多關(guān)注危險和風(fēng)險，而是需要知道作為實現(xiàn)功能安全的基礎(chǔ)——安全相關(guān)產(chǎn)品在安全相關(guān)系統(tǒng)中需實現(xiàn)的功能以及安全完整性需要達(dá)到的目標(biāo)值。

在過程工業(yè)中，存在這樣一個安全相關(guān)系統(tǒng):當(dāng)反應(yīng)爐燒嘴板冷卻水流量低時，執(zhí)行燒嘴板及燃燒室保護(hù)。安全相關(guān)系統(tǒng)的安全功能描述為:當(dāng)反應(yīng)爐燒嘴板冷卻水流量低于低低報警(LL)值，觸發(fā)連鎖，同時關(guān)閉氧氣進(jìn)料閥。輔助功能為打開放空閥，該功能屬于非安全功能。安全功能的安全完整性等級要求達(dá)到SIL2。安全相關(guān)系統(tǒng)配置如表1所示，按常規(guī)安全相關(guān)系統(tǒng)的安全完整性目標(biāo)值分配如圖3所示。

表1 安全相關(guān)系統(tǒng)配置表Tab.1 Configuration of the safety-related system

圖3 安全完整性目標(biāo)值分配示意圖Fig.3 Schematic diagram of the allocation of safety integrity target values

參照表1和圖3，構(gòu)成系統(tǒng)的安全相關(guān)產(chǎn)品及目標(biāo)設(shè)定如下。

3.1 傳感器子系統(tǒng)

傳感器子系統(tǒng)通常包含各種變送器和輸入端安全柵。在過程工業(yè)中，常見的各類變送器包括壓力變送器、溫度變送器、流量計、液位變送器、氧氣分析儀、氣體探測器等;在機(jī)械工業(yè)中，常見的各類變送器包括轉(zhuǎn)速測量儀、位置變送器等。這類安全相關(guān)產(chǎn)品需要確定的目標(biāo)有以下兩項。

①安全功能

需將產(chǎn)品放在安全相關(guān)系統(tǒng)中，分析其在安全相關(guān)系統(tǒng)中為保證安全相關(guān)系統(tǒng)正確執(zhí)行其安全功能應(yīng)具有的功能。該功能便設(shè)定為產(chǎn)品的安全功能。同時，需考慮產(chǎn)品的現(xiàn)場總線通信功能是否也設(shè)定為安全功能等。如流量計，其安全功能為流量測量。

②安全完整性目標(biāo)值

按照市場需求對產(chǎn)品進(jìn)行定位。市場對變送器的要求一般為SIL2，所以按結(jié)構(gòu)約束條件，變送器在結(jié)構(gòu)設(shè)計上要求達(dá)到SIL2。按照安全相關(guān)系統(tǒng)的安全完整性目標(biāo)值分配，傳感器子系統(tǒng)的安全完整性目標(biāo)值通常為30%SIL2，所以變送器設(shè)定的安全完整性目標(biāo)值最好不大于20%SIL2。采用驗證測試時間間隔為1年來計算要求時危險失效概率(PFDavg)和每小時危險失效概率(probability of failure per hour，PFH)。對于安全柵，其在結(jié)構(gòu)設(shè)計上至少應(yīng)達(dá)到SIL2，而它的安全完整性目標(biāo)值最好不大于5%SIL2。

3.2 邏輯單元子系統(tǒng)

邏輯單元子系統(tǒng)通常由輸入模塊、PLC和輸出模塊組成。PLC的安全功能和安全完整性的目標(biāo)設(shè)定可參考關(guān)于可編程控制器功能安全的相關(guān)標(biāo)準(zhǔn)IEC 61131-6，在此不再敘述。

3.3 終端元件子系統(tǒng)

在過程工業(yè)中，較為常見的終端元件子系統(tǒng)是閥組。氣動調(diào)節(jié)閥閥組的構(gòu)成包含氣動執(zhí)行機(jī)構(gòu)、電磁閥、定位器、氣動調(diào)節(jié)閥等。同上述傳感器子系統(tǒng)一樣，需要確定的各終端單元目標(biāo)也有以下兩項。

①安全功能

對于終端元件子系統(tǒng)各單元，它們的安全功能比較清晰，如電磁閥執(zhí)行開啟和關(guān)閉功能、執(zhí)行機(jī)構(gòu)執(zhí)行角行程或直行程、定位器能按照輸入信號正確控制閥的開度等。也就是說各終端單元的主要功能就是它們的安全功能。

②安全完整性目標(biāo)值。

雖然在安全相關(guān)系統(tǒng)的安全完整性目標(biāo)分配上，終端元件的目標(biāo)失效值為60%SIL2，但若給氣動執(zhí)行機(jī)構(gòu)和調(diào)節(jié)閥分配安全完整性目標(biāo)值，而仍然沿襲固有的設(shè)計理念，那么這樣的目標(biāo)安全完整性是難以通過傳統(tǒng)的機(jī)械設(shè)計來實現(xiàn)，除非它本身就滿足目標(biāo)安全完整性。若完全依靠機(jī)械設(shè)計，結(jié)構(gòu)約束條件要想達(dá)到SIL2的要求是比較困難的。因為機(jī)械類設(shè)備的平均無故障工作時間(mean time between failures，MTBF)和失效模式分布取決于設(shè)備的結(jié)構(gòu)、材料、制造工藝、正常工作時的流體介質(zhì)等，這些因素導(dǎo)致的結(jié)果是難以預(yù)測的，也就難以展開針對結(jié)構(gòu)約束條件和目標(biāo)安全完整性的機(jī)械設(shè)計。

目前，較為先進(jìn)的設(shè)計理念是引入診斷功能的智能化設(shè)計，采用部分行程測試法(partial stroke test，PST)，關(guān)注由執(zhí)行機(jī)構(gòu)和閥桿卡死引起或由閥泄漏引起的閥操作失效。對這類失效進(jìn)行診斷，從而提高安全失效分?jǐn)?shù)(safety failure fraction，SFF)，使閥和執(zhí)行機(jī)構(gòu)的安全完整性等級提高到SIL2甚至SIL3。部分行程測試法使工廠能夠周期性地檢查和確認(rèn)閥和執(zhí)行機(jī)構(gòu)的完整性和安全性特征，而不需關(guān)停工藝線。

綜合上述，對于由機(jī)械結(jié)構(gòu)構(gòu)成的氣動執(zhí)行機(jī)構(gòu)和閥設(shè)定安全完整性目標(biāo)值沒有實際意義，而設(shè)計具有診斷故障功能的閥門定位器更為有效。

關(guān)于安全相關(guān)產(chǎn)品目標(biāo)值設(shè)定的方法同樣適用于DCS系統(tǒng)，即只需關(guān)注系統(tǒng)實現(xiàn)的安全功能與安全功能實現(xiàn)相關(guān)的各個模塊，然后再將安全完整性目標(biāo)值分解給各個模塊。

4 結(jié)束語

對功能安全的起因、目的，以及危險、風(fēng)險、安全功能和安全相關(guān)系統(tǒng)的內(nèi)在關(guān)聯(lián)只需概念性了解就可以了，我們的目的是設(shè)計安全功能、安全完整性和安全完整性等級(SIL)都具有市場競爭力的安全相關(guān)產(chǎn)品，因為安全相關(guān)產(chǎn)品是實現(xiàn)功能安全的基礎(chǔ)。在講述了安全相關(guān)產(chǎn)品實現(xiàn)的過程、安全相關(guān)產(chǎn)品的目標(biāo)設(shè)定之后，后續(xù)的講座將就功能安全管理、安全相關(guān)產(chǎn)品的軟件硬實現(xiàn)方法進(jìn)行展開。