李  成 （1980-）

　　男，上海交通大學電子信息與電氣工程學院在讀工程碩士，研究方向工業(yè)自動化。

　　摘要：安全相關(guān)系統(tǒng)是為保證受控設備安全狀態(tài)而設計的。為了保證受控設備的安全性，需要在設計過程中對受控設備的風險進行有效的預測以及評估并且采取必要的安全相關(guān)系統(tǒng)來降低風險。IEC 61508是國際電工協(xié)會制定的電子、電氣、可編程控制系統(tǒng)功能性安全的標準。本文討論了安全相關(guān)系統(tǒng)中功能安全的要求，并對安全相關(guān)系統(tǒng)的評價的方法進行了分析。

　　1研究背景及現(xiàn)狀

　　電廠作為電力工業(yè)生產(chǎn)的主要部門，其運行安全問題一直受到很高的關(guān)注，如何保證電廠安全運行的研究也越來越多。目前普遍采用多重安全保護措施，包括安全系統(tǒng)來解決生產(chǎn)過程中的安全問題，安全系統(tǒng)是指執(zhí)行必要的安全保護功能，以使被保護對象處于安全狀態(tài)的系統(tǒng)。當危險事件發(fā)生時，安全系統(tǒng)將采取適當?shù)膭幼骱痛胧乐贡槐Ｗo對象進入危險狀態(tài)，避免災難的發(fā)生。安全系統(tǒng)作為保證受控設備安全狀態(tài)的關(guān)鍵，其自身的安全性、可靠性問題也就成為了研究的焦點。

　　國外在這一領(lǐng)域的研究從上世紀七十年代開始，歐美各國都開始用系統(tǒng)工程的理論和原理來研究解決安全相關(guān)系統(tǒng)的可靠性問題，希望通過標準和法規(guī)控制危險，使技術(shù)缺陷和人為錯誤導致的危險威脅降至最小。由于各國工業(yè)基礎(chǔ)不同，他們的研究著手點也各不相同。如歐洲機械制造業(yè)比較發(fā)達，他們的研究是從機械設備、生產(chǎn)線的安全保護開始的。美國的石油化工工業(yè)更為發(fā)達，因此他們的研究是從石化裝置的安全儀表系統(tǒng)開始的。

　　國內(nèi)電廠安全系統(tǒng)的設計主要依據(jù)為《防止電力生產(chǎn)重大事故的二十五項重點要求》、《火力發(fā)電廠設計技術(shù)規(guī)程》以及《火力發(fā)電廠熱工自動化設計技術(shù)規(guī)程》等標準、規(guī)程、規(guī)定。但基本上沒有對聯(lián)鎖保護回路進行安全分析及評價，采用安全系統(tǒng)后也基本上不對整個安全系統(tǒng)進行驗證，看其是否能達到應設置的等級，能將事故的危險性降低多少，選用的組件是否可達到要求等。

　　2000年，功能安全基礎(chǔ)國際標準IEC61508出臺，標志著在功能安全方面的研究已經(jīng)有了突破性進展。功能安全作為獨立的安全學科，已經(jīng)開始自成體系，相關(guān)的標準和法規(guī)體系正在建立之中。

　  IEC61508標準的范圍是考慮有關(guān)系統(tǒng)的E/E/PE安全系統(tǒng)的失效將影響人員以及環(huán)境的安全，另外還考慮到失效的后果會產(chǎn)生嚴重的經(jīng)濟方面的損失。因此，該標準可用于規(guī)定相關(guān)系統(tǒng)的E/E/PE安全，以利設備、產(chǎn)品及環(huán)境的防護。

　　2功能安全基本概念

　　功能安全在IEC 61508中的定義為：與受控設備和受控設備控制系統(tǒng)有關(guān)的整體安全的組成部分，它取決于電氣/ 電子/ 可編程電子安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部風險降低設施功能的正確行使。該標準實際上是一個對安全相關(guān)系統(tǒng)的可靠性進行系統(tǒng)評價的體系。作為功能安全的基礎(chǔ)標準，IEC 61508中提出了功能安全的基本原理、術(shù)語、數(shù)學方法、管理模式，針對以電子為基礎(chǔ)的安全相關(guān)系統(tǒng)提出了一種一致的合理的技術(shù)方針，同時還提出了一個技術(shù)框架，在這個框架內(nèi)，基于其它技術(shù)的安全系統(tǒng)也可同時被考慮進去。

　　2.1 實施功能安全本質(zhì)上就是控制風險

　　安全，按一般的概念是沒有危險，不受威脅，不出事故。按照這樣的概念，安全是不可控制的。因為這是一個絕對安全的概念，而絕對安全是不存在的。在IEC 61508 中，安全的概念是“不存在不可接受的風險”。這是一個相對安全的概念，通過這個定義，安全問題就轉(zhuǎn)化為風險問題了。這樣一來，安全就變得可控制了，因為風險是可控的。

　　使用安全相關(guān)系統(tǒng)來達到安全目標，第一步，要確定受控設備（EUC）的范圍以及EUC 與外部環(huán)境的相互影響，然后找出EUC 內(nèi)部和EUC 與外部環(huán)境相互作用可能存在的危險點，針對每個危險點計算或評估出其風險，即該點的EUC 風險。第二步，要明確法律、法規(guī)、規(guī)章、標準中要求達到的風險目標或社會有關(guān)方面可以接受的風險目標。第三步，是比較EUC風險和允許風險，如果EUC 風險大于允許風險，則必須使用E/E/PE 安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)、外部風險降低設施等手段將風險降低到允許風險以下。從根本上講，這就是功能安全的基本工作。

　　2.2 控制風險與安全完整性

　　風險是對一個特定危險事件出現(xiàn)的概率和結(jié)果的估量，可以對不同情況的風險進行評價（EUC風險、要求滿足的允許風險、實際風險）。允許風險根據(jù)社會基礎(chǔ)和有關(guān)社會和政治因素的考慮來確定。安全完整性只應用于E/E/PE 安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部風險降低設施，并作為這些系統(tǒng)/功能在規(guī)定安全功能方面取得必要的風險降低的概率的措施。一旦確定了允許風險，并估計了必要的風險降低，就可分配安全相關(guān)系統(tǒng)的安全完整性要求。這樣IEC61508就完成了對安全相關(guān)系統(tǒng)可靠性的量化。

　　IEC61508中安全完整性（Safety Integrity）是在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。通俗的說法就是反映了安全相關(guān)系統(tǒng)的可靠程度。安全相關(guān)系統(tǒng)設計的主要依據(jù)是安全完整性等級，即SIL等級（在低要求操作模式下分配給一個E/E/PE安全相關(guān)系統(tǒng)的安全功能目標失效量）。不同的安全完整性等級需要設備滿足不同的要求平均故障概率，即PFDavg指標，反映了要求下的設備失效的可能性，見表1。在安全相關(guān)系統(tǒng)中，系統(tǒng)總的要求平均故障概率為各子系統(tǒng)的要求平均故障概率之和。

　　                                    表1   IEC 61508-1要求
　
　　3　電廠安全相關(guān)系統(tǒng)設計中的應用

　　IEC 61508用全生命周期的方法有效避免了安全相關(guān)系統(tǒng)的系統(tǒng)失效。系統(tǒng)失效與質(zhì)量管理條件、安全管理條件及技術(shù)安全條件相關(guān)，標準規(guī)定的全生命周期管理模型，在安全相關(guān)系統(tǒng)的功能安全生命周期內(nèi)，配備了一套完整的管理制度與程序，保證安全相關(guān)系統(tǒng)的功能安全。圖1是安全生命周期圖。前三個步驟主要解決確定保護范圍，即確定EUC的范圍；找出危險源；評估危險源的風險；以及確定危險源的允許風險。第四個步驟則是確定安全功能和安全功 能的安全完整性等級，即SIL。第五個步驟是將安全功能分配給具體的安全相關(guān)系統(tǒng)，同時對每個安全相關(guān)系統(tǒng)分配安全完整性等級，即確定每個安全相關(guān)系統(tǒng)的SIL。

圖1   整體安全生命周期

　　電廠中的鍋爐、汽輪機和發(fā)電機的安全保護系統(tǒng)，是電廠安全運行的重要保證，安全保護系統(tǒng)應具有很高的可靠性、可利用率和安全性。在這些安全保護系統(tǒng)實現(xiàn)的過程中，根據(jù)安全完整性等級來確定系統(tǒng)的配置結(jié)構(gòu)，并結(jié)合工藝現(xiàn)場的實際確定安全相關(guān)系統(tǒng)的控制邏輯。一般的設計流程見圖2。

　　                                     圖2   實現(xiàn)流程
　　
　　3.1 技術(shù)形式的選擇

　　隨著技術(shù)的發(fā)展，安全相關(guān)系統(tǒng)的設備配置也在不斷的更新?lián)Q代。由氣動邏輯到繼電器邏輯，由簡單的繼電器系統(tǒng)到以微處理器為主的系統(tǒng)，由單回路聯(lián)鎖系統(tǒng)到三重模塊冗余系統(tǒng)。基于不同技術(shù)的安全相關(guān)系統(tǒng)的性能比較見表2。

表2   基于不同技術(shù)的安全相關(guān)系統(tǒng)性能比較

　　3.2 結(jié)構(gòu)形式的選擇

　　安全相關(guān)系統(tǒng)中隨機失效主要是由于設備故障導致，為了防止這種失效，系統(tǒng)集成商在設計集成系統(tǒng)、選擇所采用的所有器件時，必須全系統(tǒng)考慮每一種因素對系統(tǒng)危險失效的影響。不僅要考慮系統(tǒng)中傳感器單元、邏輯單元、最終執(zhí)行單元以及它們之間的接口與連線等所有器件的隨機危險失效率，還要考慮它們的結(jié)構(gòu)與診斷。IEC 61508標準規(guī)定了安全完整性等級（SIL）與系統(tǒng)的結(jié)構(gòu)約束及診斷之間的關(guān)系，見表3。

表3   IEC 61508要求硬件安全完整性等級

　　A類安全相關(guān)子系統(tǒng)結(jié)構(gòu)約束要求

　　表3中，硬件故障裕度N 表示N+1 個故障將導致安全功能失效。如果要求某子系統(tǒng)的SIL級別達3級，在該子系統(tǒng)的安全失效分數(shù)為90%～99%的情況下，硬件故障裕度就必須至少為1，因此這個子系統(tǒng)結(jié)構(gòu)可以選擇為1oo2(雙通道2選1表決)，想要提高可用性，還可以選擇2oo3(三通道3選2表決)。隨機失效完整性的定量評估與分配應該通過一個概率計算來進行：
 
-λS=（1/h）：發(fā)生使安全系統(tǒng)進入到安全故障狀態(tài)的故障的概率。

-λD=（1/h）：發(fā)生使安全系統(tǒng)進入到危險故障狀態(tài)的故障的概率。

-λDD=（1/h）：發(fā)生使安全系統(tǒng)進入到危險故障狀態(tài)并被在線診斷設備檢測出的的故障的概率。

-λDU=（1/h）：發(fā)生使安全系統(tǒng)進入到危險故障狀態(tài)并未被在線診斷設備檢測出的的故障的概率。

　　計算建立在硬件組件的失效率和失效模式等已知數(shù)據(jù)的基礎(chǔ)上。因此，傳統(tǒng)的可靠性研究與實踐中適用的數(shù)據(jù)與方法，可以部分地適用于功能安全的研究與計算。通過SFF來驗證系統(tǒng)是否滿足IEC61508的結(jié)構(gòu)約束。

　　3.3 安全完整性等級及可用性評價

　　電廠中安全相關(guān)系統(tǒng)較多，以1oo1緊急切斷裝置為例，使用IEC61508中的工具來對其安全完整性等級進行分析。

圖3   1oo1緊急切斷裝置

　　所有部件均為A類設備，無在線診斷設備，假設參數(shù)如下：

1) 檢驗測試時間間隔（TI）=一年（8760h）

2) λDD=0（無在線診斷設備）

3) λDU=λD-λDD=λD

4) 開關(guān)：λ=1.0x10-6；λS=0.6x10-6；λD=0.4x10-6

5) 線路：λ=1.1x10-8；λS=1.0x10-8；λD=0.1x10-8

6) 斷路器：λ=1.5x10-6；

  λS=1.38x10-6；

  λD=0.12x10-6

7) 平均恢復時間（MTTR）=0

　　PFDavg開關(guān)=1.75x10-3（SIL2）

　　PFDavg線路=4.38x10-6（SIL3）

　　PFDavg斷路器=5.26x10-4（SIL3）

　　PFDavg=PFDavg開關(guān)+ PFDavg線路+ PFDavg斷路器=2.28x10-3（SIL2）

　　=79%，系統(tǒng)冗余度為零（SIL=2），滿足A類設備結(jié)構(gòu)約束。

　　平均發(fā)生安全故障的時間間隔

    =57.36年。

　　4 結(jié)論及應用意義

　　在傳統(tǒng)的電廠保護系統(tǒng)的設計中，安全保護系統(tǒng)的設計方法是“在實際應用中已被證明是安全可靠的”方法,是經(jīng)驗總結(jié)出的方法。今后,系統(tǒng)的設計將更多地注重于在設計的全過程中考慮功能安全,并根據(jù)不同的安全目標來設計相應的系統(tǒng)。

　　電廠作為電力生產(chǎn)的主要部門，保證電廠安全運行是非常重要的任務。目前電廠控制系統(tǒng)已經(jīng)廣泛的采用電子計算機和網(wǎng)絡技術(shù)。

　　工藝流程中安全相關(guān)系統(tǒng)對系統(tǒng)安全性、可靠性、可用性的要求更高，必須保證系統(tǒng)能安全、可靠、不間斷地工作。原有的安全技術(shù)規(guī)范和條例已經(jīng)難以滿足技術(shù)的發(fā)展需要和對安全越來越高的要求。所以電廠安全相關(guān)系統(tǒng)設計的過程中還需要借鑒國際上的安全標準，對系統(tǒng)可靠性、可用性進行科學的評價，并結(jié)合目前實際情況，建立和完善自己的安全標準和安全評估體系。

　　通過在電廠安全相關(guān)系統(tǒng)設計過程中引入IEC 61508功能安全的概念和方法，可以保證安全相關(guān)系統(tǒng)達到相應的安全等級。此外還可以對現(xiàn)有的安全相關(guān)系統(tǒng)的安全等級進行有效的評價。

　　5 發(fā)展趨勢

　　目前各應用領(lǐng)域的功能安全標準正在陸續(xù)出臺。先后發(fā)布的標準包括：針對流程工業(yè)的IEC61511，針對機械領(lǐng)域不同應用的IEC62061、EN954-2、EN/IEC60204-1，針對核領(lǐng)域的IEC61513，針對鐵路領(lǐng)域的EN50126/7/8，針對熔爐的有PREN-51056等。構(gòu)成安全相關(guān)系統(tǒng)的電氣、電子、可編程電子部件及子系統(tǒng)的功能安全標準也在制定之中，已經(jīng)完成的標準如IEC 61784-3等。一些國家或地區(qū)針對功能安全開始了一些研究項目，如歐洲協(xié)作項目SIPI 61508。目標是通過安全相關(guān)系統(tǒng)改善過程工業(yè)的安全水平，為歐盟通過執(zhí)行統(tǒng)一的IEC 61508標準方法來獲得安全的工業(yè)過程提供一系列指南。這些指南將加速理解，并推動功能安全標準IEC 61508的解釋和執(zhí)行。

　　一些公司和組織開始開發(fā)符合IEC 61508的安全相關(guān)系統(tǒng)。如基金會現(xiàn)場總線(FF)正在開發(fā)滿足IEC6108的基于現(xiàn)場總線網(wǎng)絡的安全相關(guān)系統(tǒng)。還有就是用互聯(lián)網(wǎng)來推動工業(yè)以太網(wǎng)的發(fā)展，如操作或者管理水凈化處理工廠的遠程監(jiān)控系統(tǒng)。功能安全標準的影響正在快速擴大，相關(guān)產(chǎn)業(yè)也在迅速的擴大。

　　可以看出功能安全已經(jīng)得到了各行業(yè)的充分的重視，將安全標準和安全評估體系應用到電廠的安全相關(guān)系統(tǒng)的設計中也是今后的發(fā)展趨勢。

　　參考文獻

　　[1] Riccardo Mariani, Gabriele Boschi, Federico Colucci, Using an innovative SoC-level FMEA methodology to design in compliance with IEC61508, Design, Automation & Test in Europe Conference & Exhibition, 2007. DATE '07, 16-20 April 2007 Page(s):1 – 6, Digital Object Identifier 10.1109/DATE.2007.364641

　　[2] P H Jesty, D D Wardt, R S Rivett* and R J Evans, safety analysis of programmable automotive systems, System Safety, 2006. The 1st Institution of Engineering and Technology International, Conference on, Jun. 2006 Page(s):136 - 145

　　[3] Hickling, E.M.; King, A.G.; Bell, R, Human factors in electrical, electronic and programmable electronic safety-related, Systems, System Safety, 2006. The First Institution of Engineering and Technology International, Conference on, 6-8 June 2006 Page(s):7 pp.

　　[4] Elia, A.; Ferrarini, L.; Veber, C, Analysis of Ethernet-based safe automation networks according to IEC 61508, Emerging Technologies and Factory Automation, 2006. ETFA '06. IEEE Conference on, 20-22 Sept. 2006 Page(s):333 – 340, Digital Object Identifier 10.1109/ETFA.2006.355419

　　[5] Sammarco, J. J, Programmable Electronic and Hardwired Emergency Shutdown Systems: A Quantified Safety Analysis, Industry Applications, IEEE Transactions on, Volume 43, Issue 4, July-aug. 2007 Page(s):1061 – 1068, Digital Object Identifier 10.1109/TIA.2007.900477

　　[6] 史學玲. 功能安全標準的歷史過程與發(fā)展趨勢[J]. 儀器儀表標準化與計量，2006.

　　[7] 燕飛,唐濤. IEC61508及其在鐵路安全相關(guān)系統(tǒng)研制開發(fā)中的應用研究[J].鐵道學報，2005.

　　[8] 李佳玉,員春欣. IEC61508功能安全國際標及安全性分析[J].中國鐵路，2001.

　　[9] 馮曉升. IEC61508電器的／電子的／可編程電子安全一相關(guān)系統(tǒng)的功能安全簡介[J].儀器儀表標準化與計量，2000.