儀器儀表功能安全技術(shù)的進展與趨勢

1、儀器儀表功能安全技術(shù)的進展與趨勢史學玲馮曉升機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，北京100055摘要:關鍵詞：abstract:keywords: 0引言近年來，給安全控制領域供貨的儀器儀表供應商們會發(fā)現(xiàn)，在用戶提出的產(chǎn)品指標要 求中多了一項功能安全的指標：sil (安全完整性等級)。同時，國內(nèi)的儀器儀表供應商們乂 發(fā)現(xiàn)，國外同類產(chǎn)品只耍增加了 sil指標，價格就可以極大提高。以繼電器為例，普通型繼 電器可能100元就能買到，完成同樣功能的s1l2級繼電器價格就可能標到2000元。理解并 掌握儀器儀表功能安全技術(shù)，不但是產(chǎn)品進入安全控制與安全保護領域市場的基本條件，同 時也是企業(yè)獲得更人技術(shù)利

2、潤的最好機會。1. 幾個重要術(shù)語在進入下文之前，有必要首先介紹兒個相關的功能安全術(shù)語。- 功能單元 functional unit能夠完成規(guī)定目的的軟件、硬件或兩者相結(jié)合的實體。- 通道 channel獨立執(zhí)行一個功能的一個或一組元素- 多樣性 diversity執(zhí)行一個要求功能的不同方法。一冗余 redundancy對于執(zhí)行一個要求功能的功能單元或?qū)τ诒硎拘畔⒌臄?shù)據(jù)而言，除了夠用z外述冇多 余。- 安全功能 safety function針對特定的危險事件，為達到或保持euc的安全狀態(tài)，由e/e/pe安全相關系統(tǒng)、其它技術(shù)安全相關系統(tǒng)或外部風險降低設施實現(xiàn)的功能- 安全完整性 safety

3、integrity在規(guī)定的條件下、規(guī)定的吋間內(nèi)，安全相關系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。- 安全失效(safe failure)不可能使安全相關系統(tǒng)處于潛在的危險或喪失功能狀態(tài)的失效。2. sil的含義在論述儀器儀表功能安全技術(shù)之前，深入了解sil的含義是十分重要的。s1l表示安全完整性等級(safety integrity level)o 1ec61508標準対它的定義是：一種離 散的等級(4種可能等級之一)，丿于規(guī)定分配給e/e/pe安全相關系統(tǒng)的安全功能的安全完 整性要求，在這里，安全完整性等級4是最高的，安全完整性等級1是最低的。一個安全相關系統(tǒng)的sil等級表示該系統(tǒng)對危險可以控制

4、到什么程度。功能安全標準 對于四種安全完整性等級的冃標失效量，按照不同的控制模式規(guī)定了兩套數(shù)值。對低要求操 作模式，s1l1就表示在要求時執(zhí)行設計要求的功能的平均失效率不應少于0.10.01, s1l4 則表示同樣悄況下平均失效率不少于0.0001-0.00001 osil反映的是一種對危險的控制能力,也就是說，當產(chǎn)生危險條件時，sil等級越高，你能相信或依靠這個系統(tǒng)的程度就可以越高。 對于一個集成冇軟硬件的安全相關系統(tǒng)，sil的等級不同，也就代表著不同等級的質(zhì)最 圖一安全完整性與失效的關系安全完整性系統(tǒng)失效完塑性隨機失效亢整性故障率sil管理條件、安全管理條件、技術(shù)安全條件。如圖1,安全完整

5、性包括兩個部分：一是隨機失 效完整性，二是系統(tǒng)失效完整性。隨機失效完幣性又是由定最安全目標和部分技術(shù)安全條件 決定，而系統(tǒng)失效完整性則由質(zhì)量管理條件、安全管理條件和技術(shù)安全條件決定。因此，如 果一個系統(tǒng)是sil4,它不僅意味著碩件系統(tǒng)的危險失效率必須符合標準的范圍（1（）"io, （/要求時，低要求操作模式）或10*10-9 （/小吋，髙要求操作模式），它還意味著最高等級 的質(zhì)量/安全管理條件及最高等級的技術(shù)安全方法。sil是一個整體的概念。以前分析安全控制系統(tǒng)的安全性時，一般要分別分析三個方面 的問題：第一是正常工作狀態(tài)下（即系統(tǒng)軟破件均沒冇出現(xiàn)任何故障）系統(tǒng)執(zhí)行的安全功能 問題；

6、第二是系統(tǒng)的對靠性問題；第三是非正常工作狀態(tài)下（即系統(tǒng)軟件或碩件出現(xiàn)了故障） 系統(tǒng)的安全問題（也稱故障-安全問題）o iec61508之后，功能安全指的是在安全相關系統(tǒng) 的全生命周期內(nèi)系統(tǒng)執(zhí)行正確功能的能力。它綜合了以上三方面問題，即在評定系統(tǒng)安全完 整性等級時，要考慮系統(tǒng)設計的正確性（安全功能）、系統(tǒng)可靠性及可能出現(xiàn)的所冇非正常 工作狀態(tài)，用技術(shù)與管理兩套體系，保證要求時系統(tǒng)能執(zhí)行正確的功能。3. 儀器儀表的功能安全概念與指標獨立的儀器儀表不存在功能安全問題，但它用于安全控制系統(tǒng)或安全保護系統(tǒng)（以下 簡稱安全相關系統(tǒng)）時，對于應用于安全相關系統(tǒng)執(zhí)行一個或幾個安全功能的儀器儀表，就 需要考慮它

7、執(zhí)行某一特定安全功能的可靠性，川sil表示，即產(chǎn)品的安全完整性能力（sil capable）,或稱為該產(chǎn)品最大可聲明的sil等級。一個安全功能對應一個sil值。這很像山多個連隊組成的一支部隊在阻擊來勢洶洶的惡敵，任何一個連隊拉出來，問 他們能不能阻擋住敵人，誰都回答不了。但組成這支部隊的每一個連隊必須足夠強，才能組 成一支足夠強的部隊，有效阻止敵人的進攻。在談論儀器儀表的安全功能時，一定要明確這個概念：儀器儀表的功能安全技術(shù)，實 際上就是提高產(chǎn)品sil能力的技術(shù)。具有越高等級的sil,就表示該儀器儀表可以被川于更 高的危險控制系統(tǒng)中，有能力承擔更高等級的風險控制任務。但是，要想讓儀器儀表能用于

8、安全控制系統(tǒng)，保證系統(tǒng)的功能安全，光冇sil等級這 個指標還是不夠的。必須同時提供足夠詳細的信息，使系統(tǒng)集成者與用戶能正確、安全的使 用它。這些信息必須足夠詳細，以確保系統(tǒng)集成商能計算、確認系統(tǒng)屮每一個功能回路的 sil值。根據(jù)iec61508,這些足夠的信息包括：a）功能的功能性規(guī)范和安全功能使用的子系統(tǒng)的接口；b）在危險失效可由診斷測試檢測岀的情況下，在任何模式下能引起e/e/pe安全和關 系統(tǒng)危險失效的估算失效率（由隨機硬件失效引起）；c）在危險失效用診斷測試檢測不到的情況下，在任何模式下能引起e/e/pe安全相關 系統(tǒng)危險失效的估算失效率（山隨機硬件失效引起）；d）為保持由于隨機硬件失

9、效引起的佔算失效率的冇效性，了系統(tǒng)應遵照的環(huán)境限制;e）為保持由于隨機硬件失效引起的估算失效率的有效性，了系統(tǒng)不得超過的壽命限 制；f）定期檢驗測試和/或維護要求：g）根據(jù)附錄c得岀的診斷覆蓋率；h）診斷測試間隔；i）診斷發(fā)現(xiàn)故障示為能推導出平均恢復時間（mttr）所必需的附加信息（例如修理 時間）;j）根據(jù)附錄c確定的、能推導出子系統(tǒng)用于e/e/pe安全相關系統(tǒng)屮吋的安全失效分數(shù) （sff）的所有信息；k）了系統(tǒng)的皺件故障裕度；l）為避免系統(tǒng)失效，應遵循的對子系統(tǒng)應用的任何限制；m）某個安全功能所能聲明的最高安全完整性等級，該安全功能使用子系統(tǒng)時，應基于 在子系統(tǒng)碩件和軟件的設計和實現(xiàn)過程小

10、為防止引入系統(tǒng)故障所使用的技術(shù)和措施。使子系統(tǒng)能容許系統(tǒng)故障的設計特性；n）為了使e/e/pe安全相關系統(tǒng)的配置管理符合gb/t20438中6.2.1的要求，需耍識 別子系統(tǒng)硬件和軟件配置的所有信息；o）證明子系統(tǒng)經(jīng)過確認的文檔化證據(jù)。4. 儀器儀表功能安全技術(shù)概要儀器儀表功能安全的所有技術(shù)，都是圍繞著避免故障與失效，提高產(chǎn)品的sil能力這一 個核心目標。對于純硬件組成的儀器儀表產(chǎn)品，技術(shù)的核心集中在如何避免硬件隨機失效，而對于由 軟硬件組合的儀器儀表產(chǎn)品，技術(shù)的核心除了考慮避免硬件隨機失效，還要避免系統(tǒng)失效。 系統(tǒng)失效是一種原因確定的失效，這些失效只有對設計或制造過程、操作規(guī)程、文檔或其它

11、相關因素進行修改后，才有可能排除這種失效。概要地說，儀器儀表的功能安全技術(shù)主要冇以下兒部分：a）控制隨機硬件失效的技術(shù)隨機硬件失效是在硬件中111一種或兒種機能退化可能產(chǎn)牛的，按隨機時間出現(xiàn)的失效。 隨機硬件失效是sil屮唯一可用可靠性工程方法定量確定的部分，根據(jù)每個組成部件的失效 率、系統(tǒng)結(jié)構(gòu)、系統(tǒng)狀態(tài)、約束條件等參量，分析計算，可優(yōu)化ill pfd （耍求時的失效率）, 從而控制硬件的隨機失效。此部分工作因為需要大量模型、計算、參數(shù)、數(shù)據(jù)庫支持，一般需要專用工具才能計算 與優(yōu)化。機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所承擔的科技部科研院所開發(fā)課題就開發(fā)了一 個專用工具，用于完成此部分任務。b）提

12、高硬件故障裕度的技術(shù)硬件故障裕度的定義為：硬件故障裕度n意味著n+1個故障會導致全功能的喪失，在 確定硬件故障裕度時不考慮其它可能控制故障影響的措施，如診斷；若一個故障可直接引起 一個或兒個后續(xù)故障的發(fā)生，這些故障可視為單個故障；在確定硬件故障裕度時，如果相對 于了系統(tǒng)安全完整性而言某些故障岀現(xiàn)的可能性很小，這些故障可不考慮。不考慮這類故障 的合理性應被證明和文檔化。提高故障裕度的最好方法是采用冗余結(jié)構(gòu)。故障裕度為0吋就如一個單通道系統(tǒng)，出現(xiàn) 一個故障就會導致系統(tǒng)的功能喪失，対于這樣的系統(tǒng)，除非其安全失效分數(shù)很高（90%處）, 一般悄況下，sil只能達到0或1級。故障裕度為1就如雙重冗余系統(tǒng)，

13、兩個故障同時出現(xiàn) 才會導致系統(tǒng)的功能喪失，這樣的系統(tǒng)如果其安全失效分數(shù)在60%90%之間，sil就能達 到2級。故障裕度為2就如三重冗余系統(tǒng)，3個故障同吋岀現(xiàn)才會導致系統(tǒng)的功能喪失，如 果該系統(tǒng)的安全失效分數(shù)在60%90%z間，sil能達到3級。有一點要著重強調(diào)的：在此雙重冗余、三重冗余都是考慮了技術(shù)多樣性原則，不存在共 同原因失效的理想狀態(tài)。如果對于某三垂兀余系統(tǒng)，一個故障會導致他們同時失效，該三垂 兀余系統(tǒng)的故障裕度為o,只能被看作是無兀余系統(tǒng)。c）捉髙安全失效分數(shù)的技術(shù)對儀器儀表產(chǎn)品來說，安全失效分數(shù)的定義為該產(chǎn)品的平均安全失效率加檢測到的平均 危險失效率與子系統(tǒng)總平均失效率之比。當系統(tǒng)

14、的結(jié)構(gòu)確定后，提高安全失效分數(shù)也能達到提高sil等級的冃的。如故障裕度為 1時，安全失效分數(shù)小于60%, sil為1級；安全失效分數(shù)在60%與90%z間時，sil為2 級；安全失效分數(shù)在90%與99%之間時，sil為3級；如果安全失效分數(shù)達到99%以上， sil就可以達到4級了。提高安全失效分數(shù)的辦法有很多，最重要的就是提高診斷覆蓋率，也就是提高診斷測試 檢測到的危險失效總概率在危險失效總概率中的比例。1ec61508標準規(guī)定了不同部件対所 聲明的診斷覆蓋率或安全失效分數(shù)的耍求，提出了在操作過程中耍檢測的故障或失效，以及 在推導安全失效分數(shù)中要分析的故障或失效。這些部件涉及機電裝置、分離器件（

15、包括數(shù)字 i/o,模擬i/o,電源）、總線（包括-般要求、內(nèi)存管理單元、直接內(nèi)存訪問、總線仲裁等）、 cpu （包括寄存器、內(nèi)部ram、編碼和執(zhí)行、標記寄存器、地址計算、程序計數(shù)器、堆棧 指針等）、通信和大容量存儲器、傳感器、最終元件等等。以機電裝置為例。如果檢測了 “未加電或斷電”、“他點被熔接”兩種故障，其安全失 效分數(shù)就視為低（60%）；如果檢測了 “未加電或斷電”、“單個觸點被熔接”兩種故障，其 安全失效分數(shù)就視為小（90%）；如果檢測了 “未加電或斷電”、“各觸點被熔接”、“不可靠 的導向觸點”、“不可靠的開啟”等故障或失效，其安全失效分數(shù)就視為高（99%）。d）控制由硬件和軟件設計

16、引起系統(tǒng)失效的技術(shù)rti于硬件和軟件設計時存在的技術(shù)缺陷，會直接導致系統(tǒng)失效。因此在設計時采取什 么技術(shù)、不能采取什么技術(shù)必須仔細分析，同時必須了解每一種技術(shù)對于避免系統(tǒng)失效的有 效性程度，sil34級產(chǎn)品必須采用有效性等級高的技術(shù)，sil1級產(chǎn)品可以選擇有效性一般 的技術(shù)。iec61508中規(guī)定，為了控制山硬件和軟件設計引起的系統(tǒng)失效，必須采用程序順序監(jiān) 視、利川在線監(jiān)視檢測失效、利川兀余硬件進行測試、訪問端口和邊界掃描結(jié)構(gòu)的標準測試、 代碼保護、多種硬件、故障檢測和診斷、差錯校驗和糾錯碼、失效斷言編程、安全包技術(shù)、 多種程序設計、恢復程序塊、反向恢復、正向恢復、重試故障恢復機制、存儲執(zhí)行用

17、例、故 障弱化、人工智能故障糾正、動態(tài)再配置等技術(shù)與措施。e）控制由環(huán)境應力或影響引起系統(tǒng)失效的技術(shù)環(huán)境因素，如電壓波動、電磁干擾、環(huán)境溫度、濕度、水、振動、灰塵、腐蝕物等的影 響可能肓接導致系統(tǒng)失效，因此，研究并應用抗環(huán)境應力的技術(shù)與措施，同時研究其對控制 系統(tǒng)失效的有效性等級，是儀器儀表功能安全的i項重要技術(shù)。為了控制由環(huán)境應力或彫響引起的系統(tǒng)失效，必須采用的技術(shù)與措施包括:防電壓擊穿、 電壓波動、過壓、低壓的措施；分隔開電力線和信息線；提高抗干擾性；采取抗物理環(huán)境（如 溫度、濕度、水、振動、灰塵、腐蝕物）的措施;程序順序監(jiān)視；抗溫升扭施；多線路的空 間分隔。為了控制山環(huán)境應力或影響引起的

18、系統(tǒng)失效，應該在以下技術(shù)措施，即利用在線監(jiān)視檢 測失效、利用冗余硬件進行測試、代碼保護、抗合成信號傳輸、多種硬件、軟件結(jié)構(gòu)等技術(shù) 與措施屮選擇至少應用一種。f）控制因操作引起系統(tǒng)失效的技術(shù)操作員動作失誤也是導致系統(tǒng)失效的重要原因。為了避免在操作中因失誤引起系統(tǒng)失效，必須采取修改保護措施。為了避免在操作中因失誤引起系統(tǒng)失效,應該在“利丿ij在線監(jiān)視檢測失效”、“輸入確認”、 “失效斷言編程”等技術(shù)屮至少應用一種。g）在系統(tǒng)安全生命周期不同階段，避免系統(tǒng)失效的技術(shù)在儀器儀表的整個生命周期中，有許多原因會導致系統(tǒng)失效，但不nj能為避免系統(tǒng)失效 進行定量分析。通常可以將系統(tǒng)失效分為兩類： 失效由產(chǎn)品安裝z前或產(chǎn)品安裝z中的故障誘發(fā)（例如，軟件故障包括規(guī)范和程 序故障；硬件故障包括制造故障和部件的不正確選擇） 失效由產(chǎn)站安裝之后的故障誘發(fā)（例如：硬件隨機失效，或使用不當引起的失效） 為了在系統(tǒng)安全生命周期的安全要求規(guī)范