（交通信息工程及控制专业论文）基于功能安全的危化品源监控系统模型的搭建.pdf

中文摘要 摘要：随着功能安全基础标准i e c6 1 5 0 8 的发布及在我国的实施，“功能安全”成 为安全生产领域的热门话题和技术热点。它在安全技术和管理理论两个方面对涉 及人身及环境安全的各个方面提出要求，倡导了一种全新的保障安全的理念。 目前功能安全在我国处于起步状态，其在实际中的应用研究还不多。本文旨 在国家8 6 3 “面向安全监测与跟踪的网络化微系统”项目的依托下，通过对i e c 6 1 5 0 8 及i e c6 1 5 1 l 等功能安全标准的学习和研究，以车载危险化学品监测系统为 载体，利用西门子s 7 3 0 0 f 可编程序控制器( p l c ) 、按钮、指示灯搭建一个危化 品运输监测装置的功能安全型模型，用s t e p 7 进行硬件组态并编写了p l c 的程序， 用w i n c c 编写了上位机监控程序，并对系统进行了安全完整性等级( s i l ) 的验 证。本文从功能安全的起源和发展入手，主要完成了以下工作： ( 1 ) 介绍了功能安全的国内外发展现状，功能安全相关标准的基础理论和要求； ( 2 ) 对移动危化品源进行了风险分析，并通过风险分析确定了监控系统模型拟实 现的功能，如超限报警、紧急情况报警等，并对模型的安全完整性等级提出要求， 要求模型实现的各报警功能应达到s i l2 ； ( 3 ) 用西门子p l c 及相关部件搭建了模型的硬件平台，对p l c 进行了硬件组态， 在s t e p7 下用功能块完成了p l c 编程，从而建立了一个功能安全模型系统； ( 4 ) 将模型系统上电运行，对其进行了功能测试； ( 5 ) 对模型系统进行了安全完整性验证和功能安全评估，结果显示模型系统达到 了s i l2 等级，即满足了风险分析提出的要求。 关键词：移动危化品源监控系统；功能安全；可编程序控制器；安全完整性等级 分类号： a bs t r a c t a b s r r a c i ： w i t ht h eb a s i cs t a n d a r do ff u n c t i o n a ls a f e t y , i e c615 0 8 ，r e l e a s e da n di m p l e m e n t e d i nc h i n a “f u n c t i o n a ls a f e t y ”b e c o m e sah o tt o p i ca n dat e c h n o l o g yh o ts p o t t h e s t a n d a r da d v o c a t e san e wc o n c e p to fs a f e t yw i t ht h er e q u i r e m e n t sb o t hi nt e c h n o l o g y a n dm a n a g e m e n t ，p e r s o n a la n de n v i r o n m e n t a l f u n c t i o n a ls a f e t yi ss t i l lan e wt h e o r yn o wi nc h i n a i nt h i sp a p e r ，am o d e lo f m o b i l ed a n g e r o u sc h e m i c a l sm o n i t o r i n gs y s t e mi sb u i l tw i t hs i e m e n ss 7 - 3 0 0 fp l c ， b u t t o n sa n dl a m p s ，i nw h i c hf u n c t i o n a ls a f e t yr e l a t e dc o n c e p t sa n dt h e o r ya r eu s e d a c c o r d i n gi e c6 1 5 0 8 ，i e c6 1 5 1 1s t a n d a r d s f i r s t ，t h eo r i g i na n dd e v e l o p m e n ti nc h i n aa n da b r o a do ff u n c t i o n a ls a f e t yi s i n t r o d u c e d ，t h eb a s i ct h e o r ya n dr e q u i r e m e n t si nr e l a t i v es t a n d a r d si si l l u m i n a t e d s e c o n d ，t h ef u n c t i o n so ft h em o d e l ，s u c ha so v e r r u na l a r ma n de m e r g e n c ya l a r m ， a r ed e t e r m i n e dw h o s es a f e t yi n t e g r a t e dl e v e l ( s i l ) s h o u l db es i l2a f t e rr i s ka n a l y z e o fd a n g e r o u sc h e m i c a l sm o n i t o r i n gs y s t e m n i r d ，t h em o d e li sb u i l t ，p l ci sc o n f i g u r e da n dp r o g r a m m e db ys t e p7 ，p c p r o g r a mf o rm o n i t o r i n g t h em o d e li sm a d eb yw i n c c f o u a h ，f u n c t i o n so ft h em o d e la r et e s t e d a n dl a s t ，s i lo ft h em o d e li sv a l i d a t e dt oe n s u r et h a ti ti ss a t i s f i e dw i t ht h e r e q u i r e m e n t sr e q u e s t e d i nt h er i s ka n a l y z e d u r i n gt h ev e r i f i c a t i o n ，f o r m u l a sf o r c a l c u l a t i n gp f hv a l u eo f1o old a n dl0 0 2 ds t r u c t u r ea r ep r e s e n t e d k e y w o r d s ：m o b i l ed a n g e r o u sc h e m i c a l sm o n i t o r i n gs y s t e m ；f u n c t i o n a ls a f e t y ； p l c ；s i l c l a s s n o ： 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 导师签名： 签字日期：b 帅髟年易月iz ，日 堋 、男 似厂 月 r 、西 名 洋 獬 彬 者 加 作 ： 文 期 沦 日 位 字 学 签 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：签字日期：年月日 5 3 致谢 本论文的工作是在我的导师蒋大明教授的悉心指导下完成的，蒋老师严谨的 治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年来蒋老 师对我的关心和指导。 戴胜华老师悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向戴老师表示衷心的谢意。 在实习及项目完成、论文撰写期间，机械工业仪器仪表综合技术经济研究所 的欧阳劲松所长、史学玲教授、石镇山高工、吴亚平工程师、孟邹清工程师、邓 意工程师等在工作、科研及生活各方面都给予了我很大的关心和帮助，在此表示 忠心的感谢。 在撰写论文期间，潘长清师兄、杨宇慧师姐、孟景辉等同学对我论文中的研 究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢我的家人和朋友，他们的理解和支持使我能够在学校专心完成我 的学生k 。 1 概述 针对我国能源和化工领域，特别是危险化学品( 以下简称危化品) 在生产、 运输和存储过程中存在的安全问题，科技部提出了先进技术制造领域的“面向安 全监测与跟踪的网络化微系统”项目，并列入了国家8 6 3 计划重点项目。该项目 旨在通过研发危化品监测与跟踪网络化微系统，对可能发生的事故做出预警或在 事故发生后及时提供事故现场的状态，为采取有效的应对措施提供依据，防止损 失进一步扩大。该系统将m e m s 传感技术、测试与控制技术、无线传感技术、通 讯网络技术、信息与数据处理技术集成于一身，实现了危化品从生产、仓储、运 输到使用全过程的监测与跟踪。 机械工业仪器仪表综合技术经济研究所承担了该项目的“产品测试与可靠性 技术评估”课题，目标是建立产品功能与测试性平台，引入功能安全的全新理念。 功能安全作为一门新兴起的热点理论，在工业及各行业的安全生产领域正发挥越 来越大的作用。本文正是以此为背景，进行了功能安全在危险化学品实时监控系 统巾的应用研究。 1 1 功能安全及其标准的起源和国内外发展现状 1 1 1功能安全的起源和发展 1 8 世纪的工业革命使人类进入了机器时代，工业的发展给人类社会带来巨大 利益的同时，也带来了灾难。全世界每年死于工伤事故和职业病危害的人数约为 2 0 0 万，是人类最严重的死因之一i j l 。如何提高工业生产过程中的安全性成为业内 科学研究的重要课题。为了保护人员免受伤害，保证工厂正常运转，越来越多的 安全相关系统( s a f e t y r e l a t e ds y s t e m ，s r s ) 开始应用于不同领域。s r s 系统的出 现，提高了工业生产的安全性，大大降低了一般生产事故的发生率及人员伤亡率。 但是，一些严重的事故仍然时有发生，其中大部分都是因为安全相关系统的可靠 性不高引起的。远至1 9 8 6 年的切尔诺贝利核电站事故导致3 1 人当场死亡、上万 人至今仍受到放射性物质远期影响，近至2 0 0 7 年4 月辽宁铁岭市清河特殊钢有限 公司发生的钢水包整体脱落导致3 2 人死亡2 人受伤，这些事故的起因都是安全相 关系统的功能失效。这些事故使人们认识到，安全很大程度上依赖于安全相关系 统的功能得到正确的执行，于是开始了功能安全的研究。 实际上，功能安全就是以安全相关系统功能的可靠执行来确保安全。比如， 工厂机械臂工作台周围的安全光栅，其在正常工作时，当感应到有人进入机械臂 工作区域时，光栅传送信号至控制器，使机械臂停止动作或采取其他保护措施。 如果安全光栅失效，有人进入工作区域而机械臂仍在运转，则有可能造成人员的 伤亡。在这个安全相关系统中，安全依赖于光栅系统执行正确的功能。又比如， 楼字内的消防喷淋系统，当感烟器检测到烟雾浓度超过限值时启动喷淋装置，通 过喷淋灭火。如果装置失效，烟雾浓度超限而喷淋装置没有启动，则可能会造成 火灾蔓延，带来巨大损失。这种安全依赖于系统执行正确功能的情况，就称为“功 能安全”( f u n c t i o n a ls a f e t y ，f s ) 。 上世纪八十年代，安全相关系统由电磁继电器发展到了采用冗余设计的可编程 序控制器( p l c ) 。随后，a b b 、h o n e y w e l l 等厂商推出了在设计中引入表决和诊 断功能的安全型p l c 。但当时出于对技术并不完善的电子系统和计算机等新产品 的不信任，又考虑到设备执行安全功能时的可靠性问题，安全型p l c 及安全相关 系统并没有得到广泛的应用l l 圳。为了消除人们的疑虑，给安全产品的相关认证提 供依据，欧美等国开始探索用系统工程的理论和原理来研究解决安全相关系统的 功能安全问题，希望通过出台标准和法规控制危险。德国和美国相继出台了d i nv 1 9 5 2 0 和i s a $ 8 4 0 1 标准，两个标准中都提出安全相关系统应满足一定的设计级 别。在这样的背景下，到2 0 0 0 年2 月，由国际电工委员会( i e c ) 制定的功能安 全基础国际标准i e c6 15 0 8 出台了。在其发布之后短短几年间，以此标准为基础的 各领域功能安伞标准陆续出台，如流程工业的i e c6 1 5 1 1 标准，核工业的i e c6 1 5 1 3 标准，铁路上的e n5 0 1 2 6 8 9 标准1 5 】等等，国际安全标准系列正在形成。我国等 同采用i e c6 15 0 8 的中国国家标准g b t2 0 4 3 8 也已经发布并于2 0 0 7 年1 月1 日开 始正式实施。目前，i e c 正在对i e c6 15 0 8 标准进行修订工作，相信不久之后功能 安全基础标准的第二版就会面世1 6 1 。 i e c6 1 5 0 8 标准中明确指出，该标准最好用于开发具体部门标准的基础指导， 如果没有相应的部门标准，也可以作为独立的部门标准使用【丌。在从标准出台到现 在的8 年时间里，功能安全国际标准也已从研究阶段走向了应用阶段。美国从1 9 9 6 年就开始采用i s a $ 8 4 0 1 ，后来随着i e c6 1 5 1 l 的出台，又转而采用国际标准。 英国从i e c6 1 5 0 8 出台之初就开始强制采用该标准。在日本，相关的国际和行业标 准被写进法律法规中，从而保证标准的贯彻和切实执行1 8 】。西方国家通过执行这些 国际标准，收到了良好的效果，而且积累了丰富的安全管理经验，最重要的是在 全社会形成了充分重视安全的氛围，这些十分值得我们借鉴。 1 1 2 功能安全认证 i e c6 1 5 0 8 标准的发布及实施，为安全相关系统生产厂商的产品认证及安全领 域从业人员的资格认证提供了依据，标准本身也明确指出“涉及各安全生命周期 的任何活动( 包括管理) 的所有人员，应受过相关的培训、具有从事相关工作的 技术知识、经验和资格”。功能安全认证主要包括对产品的认证、对工厂的认证、 设备认证、人员资格认证等儿方面。目前国际上进行功能安全认证的机构主要有 t u v 组织、f mg l o b a l 和s i r a 认证服务公司【9 j 。在产品认证中，对于符合相关功能 安全标准的产品，上述第三方认证组织将会颁发认证标志；在人员资格认证中， 经过培训并通过考试者同样会得到第三方认证组织颁发的功能安全工程师证书。 以i e c6 1 5 0 8 标准及其他功能安全标准为依据的认证，提高了用户对安全相关系统 产品的信心，对功能安全在安全领域的广泛应用起到了关键作用。 目前，e m e r s o n 、p i l z 、s i e m e n s 等各大厂商均已推出了经过t u v 认证 的安全过程仪表、安全型继电器、安全型p l c 等产品。在第1 8 届多国仪表展上， s i e m e n s 还展示了成套的安全解决方案s i m a t i cs 7 系统，越来越多的安全产品 被应用到各个领域中，国际上工业生产中的安全水平正在不断提高。 1 1 3 功能安全在中国 在我国构建社会主义和谐社会的大背景下，促进各领域的安全生产显得尤为 重要。目前，我国安全生产领域安全控制与保护技术滞后于生产技术，安全控制 整体水平不高，安全生产设备落后且装备不完善，安全生产形势严峻【4 , 1 0 。 自2 0 0 7 年i e c6 1 5 0 8 标准在我国出台实施以来，在流程工业、铁路、家电、 医药等各个行业均已得到应用。但由于标准的要求比较全面、严格、细致，各行 业差异较大，加上生产模式及成本的影响，因此功能安全标准在很多行业没有得 到严格的贯彻和执行。 在产品的认证方面，目前同内的企业还没有通过权威第三方认证的符合功能 安全标准的产品，其原因一方面是一些生产商和用户对功能安全的认识水平有限， 安伞意识不强，本身不愿投入较大成本改进产品的设计、生产技术；另一方面是 缺乏用户和产品的使用数据支持。还有一个比较关键的问题是，目前国内还没有 权威的认证机构，从事功能安全研究的单位只能协助厂商完成认证前的准备工作。 厂商要对产品进行认证，必须联系国外的第三方认证机构，需提供很多的文档和 数据，手续相当繁琐，且获得认证的时问较长，从而提高了认证成本。因此，一 些典型的国产化系统，如中石化北京设计院开发的炼油核心装置“催化裂化机组 综合控制系统”、“连续重整装置催化剂再生控制系统”、中国铁道科学研究院研制 的t r 9 型容错铁路连锁系统等，其核心控制设备采用的都是s i e m e n s 、h o n e y w e l l 等国际厂商已经过认证的功能安全产品【i l 】。 人员认证方面，国内已开始同h o n e y w e l l 、e x i d a 、t u v 等公司合作，进行功 能安全标准及功能安全工程师的培训工作。 总的来说，虽然我国的功能安全研究起步较晚，应用不广泛，但是我国也具 有使安全产业迅速发展的条俐州。比如，我们有足够的可靠性设计技术和实践经 验，有很多生产安全相关产品的企业，有巨大的安全产品和安全系统需求。因此 只要对功能安全理论和标准加以深入研究和推广，对企业进行适当引导，相信我 国安全生产会得到迅速发展。 1 2 危险化学品运输监控系统的国内外发展现状 随着工业化进程的加快，危化品的生产、运输量急剧增加，其生产和运输的 安全形势非常严峻。由于危险化学品道路运输事故造成的严重恶果，已经引起各 国的充分重视，许多国内外专家、学者和科研院所都在对之进行积极的探讨和研 究1 1 2 】。 法律法规方面，发达国家近年来逐渐完善了对危险化学品的立法机制，己经 形成了一个比较完善的法规及标准体系，做到了对危险化学品全部生命周期的安 全监管，即在危险化学品的生产、包装、运输、经营和使用等各方而都建立起了 相应的法律法规。在我国，也相继出台了一系列针对危险化学品运输车辆如何规 范运作的法律、法规、标准和规定。比如原交通部颁发的道路危险物品运输管 理规定，安豁总局为落实上述规定而发布的危险化学品汽车运输安全监控 系统通用规范( a q 3 0 0 3 2 0 0 5 ) 和危险化学品汽车运输安全监控车载终端 ( a q 3 0 0 4 2 0 0 5 ) 两个中华人民共和国安全生产行业标准【1 3 , 1 4 】。 国内外在危化品运输上的科研目前进行较多的是风险及事故影响分析。由英 国剑桥大学r o b e r t ob u b b i c o 等人提出的基于个人风险和社会风险的道路与铁路运 输风险分析方法为运输沿途的个人和部门提供了风险判别的依据i ”】，南开大学的 刘茂教授等对高速公路丙烷罐车爆炸事故后果进行了详细的分析，确定了爆炸影 响范围l l 引。在危化品运输监控系统的研究中，目前的监管大都是停留在对车辆的 行驶状态监测上，没有涉及到危化品运输的箱体和罐体本身的状态。一些单位也 在一些特定应用场合对槽罐车的某些状态进行了监测，如江苏天泽利用称重传感 器检测槽罐车的空重载情况，北京天泰雷兹利用法国的传感器对车辆的碰撞情况 进行监测等l l 卜。9 j 。吴志华、孙代平等在论文中提出过危化品运输的实时监控系统 4 1 2 1 ，2 2 。在安全监控领域，虽然现有监控系统的功能日益丰富，但是基本上都是从 过程监控的角度来建设的，难以满足各级重大危险源监管的要求。 值得注意的是，目前针对危化品运输监控系统的可靠性评估，对报警系统的 功能安全评估缺少标准或法规的指导，缺乏一套完整、系统的方法。而一旦报警 系统发生故障，将会导致严重后果。系统错报警可导致监控中心盲目启动紧急应 对措施，造成人力物力的浪费：而危险情况出现时系统未报或错报，又会导致没 有启动应对措施或紧急措施等级不够而造成人员伤亡、环境破坏等严重后果。从 功能安全的观点来看，危化品监控报警系统就是一个安全相关系统，其功能安全 的要求较高。一些学术论文对危化品监控系统的研究和探讨，大多是如何改进系 统的软硬件设计，而对系统的可靠性的改进没有提出实用的解决办法1 2 咐2 1 。本文 意在按照功能安全标准及理论搭建监控报警系统的模型，对系统的可靠性和可用 性进行研究。 1 3 危化品源跟踪监控系统简介 危化品源分为移动( 车载船载) 危化品源和固定危化品源，其跟踪监控系统 一般结构如图l - 1 所示。 弋一j 一叁 国 远程控制中心 图1 1 危化品源跟踪监测系统的一般结构 f i g 1 1g e n e r a ls t r u c t u r eo f d a n g e r o u sc h e m i c a lm o n i t o r i n gs y s t e m 本文主要讨论的是车载危化品源监控报警系统的模型。车载危化品源跟踪监 测系统以实现罐式集装箱槽罐车实时监测、遇险报警为目标，针对危化品运输中 的各种安全隐患，综合运用传感器、控制器和通讯报警电子器件集成一个系统， 通过配置g p s 佑p r s 、卫星通讯系统，从而实现危化品运输过程的全程实时跟踪与 监测。 图1 2 所示为“面向安全监测与跟踪的网络化微系统”项目中提出的移动危化 品源监控系统的结构图。该系统主要包括以下主要功能1 2 3 】： ( 1 ) 危化品运输远程实时跟踪监测与报警： ( 2 ) 化学危化品状态监测，包括压力、液位、气体泄露、阀门开关等情况； ( 3 ) 危化品运输工具( 车船) 状态监测，包括加速度、速度、空间姿态、地理位 置、环境温度、环境速度； ：j 、测摸疑警 g p r s 讯系统 一一 琴力信号| 。接- 滋否荔薮一l - 学学喾戮咿褡蓬蛩氧一帙蛹静，蓬令肇元咿模一i 模 主控输4r 。甲哭攀卿譬。o 零零缪霉- 。g - ，7 魄源蕊蠡据荐ii 电源管 数据存 腔体彝美信譬 理模块储模块理模块储横块1 圈缀熬 1 4 本文的主要工作 本文探讨了功能安全标准i e c6 15 0 8 在实际中的应用，并对危化品源监控报警 系统的功能安全评估方法做了探讨和研究。由于标准内容较多，要求细致而严格， 针对性强，研究不可能涵盖标准中的所有方面，因此存研究中主要侧重以下几个 方面的工作： ( 1 ) 由于功能安全在我国起步较晚，国内没有全面的资料可参考，因此需要查阅 大量外文资料，学习研究功能安全理论、标准及其在国内外的发展现状，结合参 加的安全行业相关展会和研讨会，了解功能安全及其在各领域的应用情况。 6 ( 2 ) 对危化品在运输过程中可能存在的危险做了风险分析，并提出危化品源监控 系统的安全要求，确定了监控系统模型必须达到的安全完整性等级； ( 3 ) 根据安全要求规范，综合分析监控系统中各输入、输出量，提出了监控系统 模型的设计方案并进行选型： ( 4 ) 用西门子的安全型p l cs 7 3 0 0 f 及按钮、指示灯等搭建模型的硬件平台。选 用安全p l c 的目的在于，其使用时间较长，各方面数据比较完整全面，且带有自 诊断功能。 ( 5 ) 用s t e p 7 组态并编写p l c 程序； ( 6 ) 用w i n c c 编写上位机( 触摸显示屏) 程序，可以监测p l c 的工作状态并对 一些参数进行调整； ( 7 ) 对系统进行了定量的s i l 验证，根据标准提出了功能安全评估的几个方面需 注意的问题，根据验证和评估结果确定模型系统是否能够满足风险分析中确定的 安全完整性等级要求。 本课题由我和我的同学孟景辉合作完成，我的工作重点为p l c 的接线、s t e p 7 组态编程及模型系统的安全完整性等级验证。 7 2i e c6 15 0 8 标准的重要概念及原理 i e c6 1 5 0 8 标准有7 个部分，它针对由电气电子可编程电子部件构成的、起 安全作用的整体安全生命周期提出要求， ( r i s k ) 、功能安全( f u n c t i o n a ls a f e t y ) 、 s i l ) 、安全生命周期等多个全新概念。 2 1风险与失效 涉及1 0 0 0 多个规范。标准中提出了风险 安全完整性等级( s a f e t yi n t e g r i t yl e v e l ， i e c6 1 5 0 8 标准中，安全的概念是“不存在不可接受的风险”，这是一个相对 安全的概念，通过这个定义安全问题就转化为风险问题了。i e c6 1 5 0 8 把风险定义 为“危害发生的概率和危害严重性的组合”。实施功能安全本质就是要控制风斟2 4 1 。 降低风险是实施功能安全过程的必须步骤，i e c6 1 5 0 8 中定义了4 种风险指标：受 控设备( e q u i p m e n tu n d e rc o n t r o l ，e u c ) 风险、可容忍风险、残余风险和必要的 风险降低。它们之间的关系如图2 1 所示。 翻 墨 u 3 必要的风险降低 实际风险降低 图2 1 风险降低指标的关系 f i g 2 。ir e l a t i o n s h i po fr i s kr e d u c t i o nf a c t o r s 从图中可以看出，e u c 风险经过必要的风险降低措施之后达到可接受风险的程 度，安全相关系统的作用即在于此。 风险分析包括识别过程巾的危险和危险事件。其方法主要有危险与可操作性分 析( h a z a r d sa n do p e r a b i l i t y ，h a z o p ) 、检查表分析、“如果会如何”( w h a t - i f ) 分析、失效模式及影响分析( f a i l u r em o d ea n de f f e c ta n a l y s i s ，f m e a ) 、故障树、 8 塑墨韵约fllljl 笾暮祭 事件树、可靠性框图纠2 5 1 ，其中既有定性分析，也有定量分析。 安全相关系统失效是指系统功能单元执行一个要求功能的能力的终止。在i e c 6 1 5 0 8 中，失效有安全失效和危险失效两种情况，考虑到一些设备具有白诊断功能， 又将失效进一步分为检测到和未检测到的失效。如表2 1 所示。 表2 - l 失效模式分类 t a b l e 2 - lc a t e g o r i e so ff a i l u r em o d e 失效模式 失效率符号意义 检测到的俨没有潜力造成安全相关系统处于危险 安全失效 未检测到的铲状态或失去功能执行能力的失效f 2 5 l 。 检测到的 世d 使安全相关系统处于潜在的危险或丧 危险失效 未检测到的 舻u 失功能状态的失效。 无影响失效对于安全功能没有影响的失效 失效率数据是对安全相关系统执行安全功能的可靠性进行定量分析的基础 1 2 6 。在根据标准对系统进行要求时的失效概率( p f d ) 、安全失效分数( s f f ) 等 等计算时失效率数据都是必不可少的。因此，人们收集工业现场设备失效记录， 估计设备的运行时间，计算失效率，将这些数据建成工业数据库。目前已有多种 工业失效数据库。最常用的是o r e d a 工具书，它提供了多种厂家各型号设备的 失效率统计数据| 2 丌。 检测失效的能力是基本控制系统和安全相关仪表的重要特征，其可以降低平 均恢复时间( m 1 v r r ) 。衡量设备自诊断能力通常用诊断覆盖率，即一次失效被自 诊断检测到的概率。诊断覆盖率的计算公式为： c = 舻名( 2 1 ) 其中，c 表示诊断覆盖率，胪表示所有检测到失效的失效率之和，彳表示总 失效率。 2 2安全完整性等级( s i l ) 安全完整性是指“在规定条件下和规定时间内，安全相关系统成功实现所要 求的安全功能的概率”，这个概念同可靠性的概念类似，但安全完整性强调“安全 相关系统”，在某些方面可以将其简单理解为安全相关系统的可靠性。安全完整性 由系统安全完整性和硬件安全完整性组成。 安全相关系统( s r s ) 是在设备或整个系统遇到危险事件或者可能引致危险的 事件发生时才启动的，即s r s 是有条件、被要求时才启动的。安全相关系统在被 9 要求启动时发生失效的概率被称为“要求时的失效概率”( p r o b a b i l i t yf a i l u r eo n d e m a n d ，p f d ) 。这里所说的“要求”又有低要求和高要求之分。安全相关系统启 动的时间间隔较长的为低要求，间隔较短的为高要求。例如汽车的刹车踏板，在 宽阔且车辆较少的公路上行使时使用较少，而在城市中心车流密集的地区行驶时 使用频率就高，这就是低要求和高要求的区别。i e c6 15 0 8 中把要求安全功能动作 的频率低于每年一次的称为低要求操作模式，高于每年一次的称为高要求( 连续) 操作模式。 安全完整性是安全功能能够被有效执行的能力，而安全完整性等级就是用来 衡量这种能力大小的。i e c6 1 5 0 8 定义了四个安全完整性等级( 表2 2 和表2 3 ) ， 它们由要求时的平均失效概率( p f d 撇) 决定。 表2 - 2 低要求操作模式的安全完整性等级 t a b l e 2 - 2s i l ：l o wd e m a n dm o d eo fo p e r a t i o n 安全完整性等级 低要求操作模式时的p f d 。，g 41 0 。5 且 1 0 4 3 1 0 4 且 1 0 3 2 l o 一凡 l o 之 1 1 0 。2 且 1 0 。1 表2 3 高要求操作模式的安全完整性等级 t a b l e 2 - 3s i l ：h i g hd e m a n do rc o n t i n u o u sm o d eo f o p e r a t i o n 安全完整性等级高要求操作模式时每小时危险失效概率 4 1 0 。9 且 l o 8 3 l o 培且 1 0 7 2 1 0 7 且 l o 6 11 0 击且 1 0 。5 安全完整性各等级的定性描述如表2 - 4 。因安全相关系统失效而导致的后果 ( “事故后果”一栏) 是决定安全仪表系统的s i l 的丰要因素之一。 表2 - 4s i l 的定性描述 t a b l e 2 - 4q u a l i t a t i v ed e t a i lf o rs i l s l l 事故后果 4 引起社会灾难性的影响 3 对工厂职工及社会造成影响 2 引起财产损失并有可能伤害工厂内的职工 l 较少的财产损失 l o 2 3 安全生命周期 安全生命周期( s a f e t yl i f e c y c l e ，s l c ) 的定义为：在安全仪表功能( s a f e t y i n s t r u m e n t sf u n c t i o n ，s i f ) 实施中，从项目的概念设计阶段到所有安全仪表功能 停止使用之间的整个时间段1 7 】。在安全生命周期内，要进行一系列必需的活动，包 括了系统在概念、设计、运行、测试、维修及停用的各个方面，以达到高等级的 功能安全。采用安全生命周期的方式进行功能安全管理的关键思想是，从最初始 的概念设计阶段一直到最后的停用，都始终贯穿着“安全 的概念。安全系统的 安全完整性等级不仅是安全系统安全性能的度量标准，也是生命周期的主线。 安全生命周期分为三个阶段：分析阶段、实现阶段和运行阶段。安全生命周 期简化表示如图2 2 所示。 分析实现运行 1 风险分析 2 s i f 确认 3 s i l 选择 4 设计 5 安装 6 调试 7 运行 8 维护 9 修改 图2 - 2 简化的安全生命周期结构 f i g 2 - 2s i m p l i f i e ds t r u c t u r eo fs l c 安全生命周期规定了每个阶段要实现的口标、包含的范围和具体的输入和输 出。每一阶段的输入往往是前面一个阶段或者前而几个阶段的输出，而这个阶段 所产生的输出又会作为后续阶段的输入，即成为后面阶段实施的基础( 图2 3 ) 。 由于每一个阶段都是呈上启卜的环节，因此如果某一个环节出了问题，其后所进 行的阶段都要受到影响。只有在安全系统概念提出开始直到系统停用的整个生命 周期内，每一步都按照标准要求严格去做，才能提高所有的操作条件和失效模式 下的安全置信度，安全问题必须从系统的角度，在生命周期的所有阶段中综合考 虑。 i 范围定义 ，危险及风险分析 z ，! 整律安全委求 ；7 妥全要求分配z k ，土# n wl - 喜 j系统设计 返回适当撇 彬 修改及改型 图2 3 简化的生命周期阶段及输入输出 f i g 2 - 3s i m p l i f i e ds 仃u c t u r eo f s l c sf o 2 4系统的冗余结构 控制系统大多采用传感器一控制器一执行器的架构。为了提高系统的安全性 和可用性，实际应用中的设备经常采用冗余的结构。功能安全应用中的逻辑控制 器其内部结构往往是冗余的。i e c6 1 5 0 8 中把独立执行一个功能的一个或一组元素 称为一个通道。一个通道实际上包括有电源、微处理器、存储器及单板控制器等。 通道的失效率等于每个电路模块失效率的总和。 采用两个通道并联的冗余结构可以提高系统的可用性，因为一个通道失效后 另一个通道可以继续工作；采用两个通道串连的冗余结构可以提高系统的安全性， 因为只要有一个通道失效整个系统就会停止运行。安全仪表中常见的冗余配置有 1 0 0 2 、2 0 0 3 、1 0 0 2 d 等。用m o o n 表示系统有n 个通道，其中有m 个通道正常工 作时系统才能正常工作；有无d 表示系统是否带有自诊断功能。下面以l 0 0 2 d 结 构为例具体说明。 ! 0 0 2 d 结构有4 个通道，包括两个诊断电路通道，如图2 - 4 所示。 1 2 图2 - 4i 0 0 2 d 结构 f i 醇- 4l0 0 2 ds t r u c t u r e 由上图可见，每个诊断电路的开关不仅受自身所在电路单元控制，同时也受 另外一个冗余电路单元控制。当一个通道发生未检测到的危险失效时，其诊断电 路开关处于短路状态，但冗余单元检测到危险后仍可将诊断电路开关打开，从而 使输出失能，保障安伞。该结构的故障树如图2 5 所示。 图2 5l 0 0 2 d 结构故障树 f i 9 2 5f a u l tt r e eo f 10 0 2 ds t r u c t u r e 根据故障树，可以得到l 0 0 2 d 结构的p f d 近似计算式： 肿i 。2 d = 舻w ”+ ( 矿wx r l ) 2 ( 2 2 ) 式2 2 中，户诞是a 和b 两个单元都没有检测到的危险失效，即未检测到的 共因危险失效，舻“是非共因未检测到的危险失效， 是周期性功能测试时间间 隔。有关l 0 0 2 d 结构要求时平均失效概率的详细计算将在第5 章中说明。 2 5 功能安全评估 对安全相关系统进行功能安全验证及评估的主要目的是通过复审、分析和或 测试，证明在整体安全生命周期、软硬件安全生命周期的每个阶段，其输出全面 满足各阶段规定的要求和目的，判断系统所达到的功能安全川。本文中将进行的验 证和评估主要针对系统硬件的安全完整性，通过计算系统的要求时的平均失效概 率p f d 眦来判断系统是否达到安全完整性等级要求。 传统上对硬件的可靠性进行评估的指标是平均无故障时间( m e a n t i m e b e t w e e nf a i l u r e ，m t b f ) ，即相邻两次失效之间的平均工作时间，也称为平均失效 间隔。m t b f 同产品的失效率之有如下关系： m t b f = l 五 ( 2 3 ) 目前应用最为广泛，最为适用于安全相关系统硬件分析的技术是失效模式、 影响及诊断分析( f a i l u r em o d e ，e f f e c t sa n dd i a g n o s t i ca n a l y s i s ，f m e d a ) 。这种 分析方法可以得出硬件的失效模式和影响( 区分安全失效和危险失效) 、失效诊断 覆盖率( 区分检测到的失效和未检测到的失效) 。因此，通过使用这种分析方法可 以得到安全系统硬件安全完整性计算所需的、矿u 、俨，因而可以得出系统的 安全失效分数( s a f ef a i l u r ef r a c t i o n ，s f f ) 1 2 s j ： s f f = 岔- i - 舻d1 代世+ 丸d d + 妒u ( 2 4 ) f m e d a 方法的结果中包含了p f d 的分析结果。因此，该方法可以帮助用户 直接估计出硬件的安全完整性水平。 表2 5 为e x i d a 公司对r o s e m o u n t 的压力变送器3 0 5lsts i s 所做的f m e d a 分析结果。 表2 5 失效模式及失效率 t a b l e 2 - 5f a i l u r em o d ea n df a i l u r er a t ed a t a 失效类别失效率( 单位：f i t ) 高失效( 由逻辑控制器检测剑)5 9 低失效( 由逻辑控制器检测到) 7 5 0 由诊断电路检测到的4 7 0 由内部或间接检测到的 2 8 0 未检测到的危险失效6 8 无影响失效4 3 7 影响检测失效3 1 其中单位if i t 表示l o 。9 次每小时。“高失效指输出电流超过变送器额定上 限，“低失效”指输出电流未达到额定电流下限。根据产品结构和应用场合，高失 1 4 效和低失效属于危险失效，无影响及影响检测失效为安全失效。则有： 安全失效= 4 6 8 f i t ： 未检测到的危险失效舻u = 6 8 f i t ； 检测到的危险失效俨= 8 0 9 f i t ； 安全失效分数s f f = 9 4 9 4 ； 诊断覆盖率c d = 6 0 1 5 。 测试时问间隔为1 年时，单个压力变送器( 1 0 0 l 结构) 的p f d w 。为2 9 8 1 0 - 4 。 根据这一结果，可确定变送器的要求时的平均失效概率在1 0 4 和1 0 。之问，即达 到了s i l3 等级。 3 模型的初步设计 按照功能安全国际标准，功能安全管理的第一步就是清晰地了解与过程相联 系的危险和风险【2 5 1 。在风险分析之后，可以确定所需安全相关系统的安全功能。 接下来就是安全完整性等级的确定，即安全相关系统需满足怎样的等级才能保证 系统的安全性。在确定s i l 等级时，如果已知各安全相关系统的失效率或要求时 的平均失效概率( p f d 。) ，则可利用定量计算的方法，反之，可以利用定性的方 法( 如风险矩阵、风险图法) 确定s i l 等级。 3 1移动危化品源风险分析 为方便说明，先以液氯罐车为例对罐车的结构及安全附件加以简要介绍。 体 图3 1 罐车安全附件示意图 f i 9 3 - ls a f e t y - r e l a t e da c c e s s o r i e so i lat a n k e r 如图3 1 所示罐车的安全附件包括紧急切断阀、安全阀及液位计等仪表( 图中 未画出) 。安全阀是罐体的超压保护装置。紧急切断阀由紧急切断部分与截至阀组 合而成，并带有锁止机构。其作用是在紧急情况下能快速切断液( 气) 流，达到 止漏的目的1 2 9 1 。 考虑危险化学品在罐车公路运输中( 移动危化品源) 可能发生的危险情况主 要是危化品的泄漏，其可导致爆炸、环境污染及放射性危害等严重后果。而可能 导致危化品泄漏的情况如罐车碰撞、翻车、超速行驶等也在风险分析时作了考虑。 1 6 风险分析结果如表3 1 所示。 表3 1 危化品罐车运输风险分析表 t a b l e 3 - 1r i s ka n a l y s i so f d a n g e r o u sc h e m i c a lt r a n s p o r t a t i o n 危险大l 素起冈后果 安全措施安全动作 警报 关断紧急切断装 危化品泄 腔体裂缝爆炸操作员 置 腔体出入孔意外开启环境污染紧急切断装 漏向控制中心报警 紧急切断装置未关断人员伤亡置 启动应急预案 应急预案 车辆故障轻微碰撞由司机 司机操作失误腔体破裂警报采取安全措施 碰撞 其他车辆操作失误危化品泄漏 操作员严重碰撞向控制 人员伤亡中心报警 车辆故障 司机操作失误腔体破裂 翻车警报向控制中心报警 路况不好危化品泄漏 人员伤亡 高液位 罐体破裂警报 根据情况开启安 罐体过压爆炸 操作员全阀释放部分气 罐体外部起火 人员伤亡安全阀体 罐体内温容器外部起火爆炸警报向控制中心报警 湿度过高罐体密封性不好人员伤亡操作员 调用其他罐车 车辆失控警报 超速行驶司机操作失误 司机减速行驶 碰撞操作员 偏离行驶司机操作失误路况不好导警报 向控制中心报警 控制中心引导司 路线导航仪表失效致其他事故操作员 机驶回原路线 延迟危化品警报 向控制中心报警 车辆故障车辆机械故障司机设置警示牌 运送时问操作员 等待救援车辆 1 7 3 2 监测系统简述 监测系统的自动报警根据发生的危险情况程度不同分为三级，分别为驾驶室 报警、监控中心报警及短信报警。如表3 2 所示。 表3 _ 2 报警级别描述 t a b l e 3 - 2d e t a i lo f a l a r ml e v e l s 报警级别描述 一级