功能安全国际标准的研究【控制理论与控制工程专业优秀论文】 .pdf

浙江大学t 学硕 学位论文 信息科学与t 程学院控制理论与工程 摘要 功能安全国际标准i e c 6 1 5 0 8 1 t 提出了一种全新的保障安全的原理与方法 目 前这种原理与方法被国际上流程工业 机械工业 医药 交通等与安全相关的控 制领域广泛接受 并日益成为安全领域内普遍遵循的法则 但是 这个标准对于 国内安全领域还是比较陌生 与之相应的国家标准还没有出台 对标准的应用更 少 在我国的工业生产中 由于没有一个针对安全生产的标准的强制推行 无法 为工业生产提供安全技术的指导 更无法促使企业开发可靠性高的安全相关产 品 本文是在研究功能安全国际标准i e c 6 1 5 0 8 国外安全相关系统的应用 软 硬件可靠性设计 评估技术以及国外现在通用的安全管理过程做出的对功能安全 国际标准的全面总结 可以概括为如下几方面内容 1 介绍了功能安全国际标准产生的背景及其发展过程 通过对比标准在国外 的应用和研究现状 揭示了我国在标准研究和应用方面的不足之处 2 介绍了功能安全国际标准主要内容 详细分析了标准的主要原理和重要概 念 总结了标准的主要特点 3 对于标准应用的全过程进行了划分 阐述了标准的使用过程中的各个环节 的技术实现 4 概括了标准对于硬件安全完整性的要求 并根据国外的实际应用情况 介 绍了对安全相关设备的硬件安全完整性进行评估的方法 以及如何使得硬 件产品满足标准的要求 5 详细分析了标准对于软件的要求 结合标准对于软件要求存在的一些问题 提出了改进的安全相关软件的需求 设计和开发全过程 最后 结合现有 的安全p l c 软件技术和改进的开发过程 分析了实现安全p l c 软件所需要 使用的技术 并提出了安全p l c 软件的初步实现方案 浙江人学t 学硕士学位论文 信息科学与丁程学院控制理论与工程 a b s t r a c t i n t e r n a t i o n a ls t a n d a r di e c 6 15 0 8 f u n c t i o n a l s a f e t y o fe l e c t r i c a l e l e c t r o n i c p r o g r a m m a b l ee l e c t r o n i cs a f e t y r e l a t e ds y s t e m s p r o v i d e sa na p p r o a c hc o m p o s e do f n e wt h e o r i e sa n dm e a s u r e st oe n s u r es a f e t y a tp r e s e n tt h i sa p p r o a c hh a sb e e nw i d e l y a c c e p t e da st h eg e n e r a lp r i n c i p l ef o ri n d u s t r i a ls a f e t ya s s u r a n c eb yp r o c e s si n d u s t r y m a c h i n ei n d u s t r y p h a r m a c y t r a f f i c e t c h o w e v e r t h i sa p p r o a c hi sn o tf a m i l i a rw i t l l d o m e s t i cs a f e t yf i e l d t h e r ei sn oc o r r e s p o n d i n gn a t i o n a ls t a n d a r db r o u g h tf o r w a r d a n df e wa p p l i c a t i o no ft h es t a n d a r dt oe n s u r ei n d u s t r i a ls a f e t yi no u rc o u n t r y a c t u a l l yt h e r ei sn om a n d a t o r ys t a n d a r df o rt h es a f e t yc a s ei ni n d u s t r y s os a f e t y p r o d u c t i o no fm o s tf a c t o r i e si no u rc o u n t r yi sn o ti m p l e m e n t e d a n ds a f e t yp r o d u c t d e v e l o p m e n ta r eb l o c k e d t h i sp a p e ri sag e n e r a li n t r o d u c t i o no fi e c 6 15 0 8b a s eo ni n t e r p r e t i n gt h ec o n c e p t a n dt h e o r yo ft h es t a n d a r d a n a l y z i n gi n t e r n a t i o n a la p p l i c a t i o n so ft h es t a n d a r d s u m m a r i z i n gt e c h n i q u e sf o rh a r d w a r e s o f t w a r er e l i a b i l i t yd e s i g na n de v a l u a t i o n a n d p r e s e n t i n gg e n e r a ls a f e t ym a n a g e m e n tp r o c e s s t h ep a p e rc a r lb es u m m a r i z e da s f o l l o w i n g 1 i n t r o d u c i n gt h eb a c k g r o u n da n dp r o g r e s so ft h ei n t e m a t i o n a ls t a n d a r d s a f t e r c o m p a r i n gt o t h ei n t e r n a t i o n a lr e s e a r c ha n d a p p l i c a t i o no ft h es t a n d a r d s d r a w b a c k si no u rr e s e a r c ha n da p p l i c a t i o na r er e v e a l e d 2 i n t r o d u c i n gt h ep r i m a r yc o n t e n to fi e c 6 1 5 0 8a n di e c 6 1 5 1 1 i n t e r p r e t i n g t h e m a i nc o n c e p t sa n dt h e o r i e so fi e c 6 15 0 8 a n ds u m m a r i z i n gt h ef e a m r e so ft h e s t a n d a r d 3 d i v i d i n gt h ea p p l i c a t i o np r o c e s so ft h es t a n d a r di n t ot h r e ep a r t s s t a t i n gt h e t e c h n i q u e si ne v e r yp a r tr e s p e c t i v e l y 4 s u m m a r i z i n gt h er e q u i r e m e n t sf o rh a r d w a r e i n i e c 6 1 5 0 8 p r e s e n t i n g a l l a p p r o a c ht oe v a l u a t et h eh a r d w a r ep r o d u c ta n dt om a k et h ep r o d u c tt om e e tt h e r e q u i r e m e n to f t h es t a n d a r d 5 i n t e r p r e t i n gt h er e q u i r e m e n t sf o rs o f t w a r ei ni e c 6 15 0 8 t h r o u g hp r e s e n t i n gs o m e 知识水坝为您整理 浙江大学t 学硕十学位论文 信息科学与t 程学院控制理论与工程 d e f e c t si nt h er e q u i r e m e n t s p r o p o s i n gar e f i n e dd e v e l o p i n gp r o c e s sf o rs o f t w a r e i n c l u d er e q u i r e m e n ts p e c i f i c a t i o n d e s i g na n di m p l e m e n t a t i o n a tl a s t a f t e r t a k i n gt h ea d v a n t a g e s o ft h ep r e s e n ts a f e t yp l ct e c h n i q u e sa n dt h er e f i n e d d e v e l o p i n gp r o c e s s t h et e c h n i q u e sn e e d e dt oi m p l e m e n tt h es a f e t yp l c s o f t w a r e a l es u m m a r i z e d t h e n ap r i m a r ys o l u t i o nf o rs a f e t yp l ci sp r e s e n t e d 知识水坝为您整理 浙江大学丁学颂i 学位论文 信息科学与丁程学院控制理论l j 丁程 第一章绪论 摘要 本章介绍了功能安全的意义 功能安全国际标准产生的背景和产生过程 对功能安全 在国外应用和研究的现状做了分析 并对比我国的实际情况 揭示了我国对于功能安全相关 研究和麻用的不足 晟后介绍了本文的主要 作内容 关键字 功能安全国际标准安全相关系统i e c 6 1 5 0 8 1 1 引言 工业的飞速发展在给人类带来巨大利益的同时 也带来了灾难 全世界每年 死于工伤事故和职业病危害的人数约为2 0 0 万 是人类最严重的死因之一 为了 使工业生产更加安全可靠 越来越多的安全相关系统 s a f e t y r e l a t e ds y s t e m s r s 开始用在不同领域 保护人员免受伤害 保证工厂的安全运转 安全相关 系统虽然降低了工业生产灾难的发生频率 却无法保证系统的绝对安全 有些时 候 正是由于安全相关系统发生失效 在需要它执行安全功能时无法正确执行应 有的操作 从而导致灾难的发生 为了确保安全相关系统的功能得到确实的执行 功能安全相关的研究诞生了 功能安全就是以系统功能的可靠执行来保证安全 以我们常见的高压锅的减 压阀门为例 它的功能是当高压锅内的压力超出一定范围时开启阀门 释放一定 量的气体 如果这个减压阀被堵塞 从而导致减压功能失效 压力达到危险值时 阀门没有开启 就会导致锅内压力不停升高 直至发生爆炸 人员和财产就会受 到损害 在这个高压锅减压系统中 安全依赖于系统执行正确的功能 这种安全 依赖于系统执行正确功能的情况 就称为 功能安全 f u n c t i o n a ls a f e t y 在 安全相关系统普遍应用的今天 功能安全就是安全相关系统实现其预定功能的情 况 随着安全相关系统的日益普遍的应用 功能安全已经作为一门独立的学科受 到了广泛的关注 功能安全为系统安全的实现带来了一系列好处 首先 通过将 系统安全问题的焦点集中到功能安全的实现上来 使得安全系统的实现更加直 观 更有目的性 安全工程师不用再将精力分散在整个系统的各个环节 可以集 浙江大学t 学硕十学位论文 信息科学与t 程学院控制理论与工程 中精力负责安全相关系统安全功能的设计 测试和维护等工作 从而更为有效的 实现整个系统的安全 其次 通过将安全系统和受控对象 e q u i p m e n tu n d e r c o n t r o l e u c 严格区分 使得各个系统的分工更加的明确 从而使得不同系统 的设计和实现能够各自独立 互不干扰 有效减少了系统的耦合度 另外 通过 功能安全来实现整个系统的安全性 逐渐形成了 些标准的功能 如紧急停车系 统 e m e r g e n c ys h u t d o w ns y s t e m 过程停车系统 p r o c e s ss h u t d o w ns y s t e m 等 等 这些功能可以被统一的规范 从而使得在设计安全系统的时候直接采用这些 标准的安全功能 减少了系统设计 实现和检验的难度 1 2 功能安全国际标准的必要性 上世纪7 0 年代中期以前 安全相关系统大多由电磁继电器组成 也有一部 分由固态集成电路构成 8 0 年代开始应用冗余的普通可编程控制器 p l c 随 着人们对人身安全 设备安全和环境保护的要求越来越严格 8 0 年代中期以后 伴随着微电子技术和控制系统可靠性技术的发展 专门用于有关安全相关系统的 控制器系统 安全型p l c 和各种安全解决方案得到迅速发展和推广 安全型p l c 在产品设计中引入了表决和诊断功能 许多知名的d c s 生产商 如f o x b o r o a b b h o n e y w e l l 为了提高自身的竞争能力 保持在工业控制领域中的优势地位 通 过并购或联合的方式同安全产品的专业生产厂商联合起来 把d e s 同各种安全设 备紧密结合在一起 实现了整体的安全性 安全相关系统的技术不断发展 但是它的广泛使用却受到了很大的阻碍 首先 电子技术和计算机系统都是新兴的科学技术 应用到工业领域的时间 更短 计算机大量应用于工业中是7 0 年代中期以后的事情 而人们往往对新生事 物抱有怀疑的态度 特别是在关系到人们生命安危的安全领域 对于新技术的采 用更加没有信心 甚至直多j 1 9 9 7 年 i e c 6 0 2 0 4 中还要求 不要将电子技术用于 机械安全相关系统 其次 安全控制系统或设备执行安全功能时的可靠性问题 限制了用户使用 新技术的积极性 虽然微电子技术和控制系统可靠性技术有所发展 但是由于这 类基于新技术的安全设备往往结构复杂 难以分析出其所有的失效情况并加以避 免 许多安全相关系统达不到其需要达到的可靠性要求 实际上 4 0 的基于电 浙江大学t 学硕士学位论文 信息科学与工程学院控制理论与工程 子技术和计算机系统的安全相关设备 往往在设计的时候就存在缺陷 使得其工 业应用中无法实现相应的功能 另外 不同行业对安全要求的不同 往往一个安全设备只能用于某一种场合 而用于另外场合时由于行业的限制不能使用 从而增加可开发安全设备的成本 也限制了这些安全设备的产业化生产规模 因此 我们需要一个公认的功能安全技术标准 需要保证电气 电子 计算 机 现场总线技术构成的安全相关系统的功能安全的配套技术 需要一个公认的 评价体系 帮助制造商说服用户使用新技术 而且需要一个公认的标准来建立一 个跨行业的公共规范 为不同层次的产品提供规范的公共接口 1 3 功能安全国际标准的产生过程 1 1 2 标准的产生过程嘲 从上世纪七十年代开始 欧美各国都开始用系统工程的理论和原理来研究解 决安全相关系统的功能安全问题 希望通过标准和法规控制危险 使技术缺陷和 人为错误导致的危险威胁降至最小 1 9 9 4 年5 月 德国发布了标准d i nv1 9 2 5 0 控制技术 测量和控制设备必须考虑的基本安全 规定安全相关系统必须满 足一定的设计级别 将其安全性分l 至8 级 与其使用对象的风险分析级别对应 统称安全完整性级别 d i n v1 9 2 5 0 的目标是减少用户在他们的过程中的危险 并确定安全相关系统的完整性需求 随着技术的发展 越来越多的可编程电子系统 p e s 用于安全领域 对于 不同的应用 需要确定所用的p e s 是否足够满足应用场合的要求 是否符合d i n v1 9 2 5 0 规定的级别要求 德国制定了标准d i nvv d e0 8 0 1 安全相关系统的计 算机原理 确定了专门的措施用于评估p e s 解决设计 编码 执行和综合 确 认等问题 因而 d i nv v d e0 8 0 1 提供了一种确定p e s 满足d i nv1 9 2 5 0 级别 的一种方法 在标准中 每种措施按技术门类分解成可以由独立组织完全测试和 文档化的部分 这两个德国标准提供了针对风险的p e s 完整性机制 即风险降 低应该包括整个安全相关系统或安全仪表系统的评估 1 9 9 6 年2 月 针对日益 严重的工业事故现状 美国仪表协会 i s a 提出了i s a 8 4 0 1 过程工业安全仪 表系统的应用 a p p l i c a t i o no f s a f e t yi n s t r u m e n t e ds y s t e m sf o rt h ep r o c e s s 浙江大学t 学硕士学位论文 信息科学与工程学院控制理论与工程 i n d u s t r i e s 制定该标准的本意是要推动美国过程工业领域的安全仪表系统的安 全分级制 该标准第一次提出了安全完整性水平 s i l 的概念 它是衡量一个 系统安全性 可靠性和完整性的综合指标 与用户根据过程风险分析提出的等级 要求相对应 很快它就成为美国国家标准 a n s i 并被美国职业安全与卫生 管理局 0 s h a 的过程安全管理 p s m 美国环保署 e p a 的风险管理程 序 r m p 立法强制执行 随后 国际电工委员会 i e c 开始制定功能安全基 础标准i e c6 1 5 0 8 该标准中安全完整性等级 s i l 的概念延用了美国标准 但可编程电子安全相关系统的安全完整性机制来自德国 并提供了s i l 级与t l 级的对照关系 i e c6 1 5 0 8e e p e 安全相关系统的功能安全是功能安全基础标 准 应用的范围比较广 包括流程 机械 运输 医学等工业领域 标准介绍了 安全生命周期模式概念 说明了一个安全相关系统的完整性不仅限于设备的完整 性 还与功能设计 操作 测试和维护等有关 1 4 功能安全标准的研究和应用现状 1 4 1 国外的研究和应用现状 自从2 0 0 0 年国际电工委员会正式发布i e c 6 1 5 0 8 以来 流程工业部门标准 i e c 6 1 5 1 1 机械部门标准i e c 6 2 0 6 1 核工业部门标准i e c 6 1 5 1 3 等又相继出台 逐步形成了功能安全国际标准体系 其中i e c 6 1 5 0 8 是出台最早 也是应用最广 泛的功能安全国际标准 其中明确指出 该标准最好用于开发具体部门标准的基 础指导 如果没有相应的部门标准 也可以作为独立的部门标准使用f 1 i e c 6 1 5 0 8 是一个通用的标准 其中明确规范了功能安全实现的总体框架和一般方法 各个 部门标准都是在i e c 6 1 5 0 8 的基础上 在i e c 6 1 5 0 8 规定的安全框架内 针对不 同工业部门的各自特点进行了适当的改进 从而提供更为明确的和有针对性的安 全指导 目前已经出台的部门标准有流程工业部门标准i e c 6 1 5 1 1 核工业部门 标准1 e c 6 1 5 1 3 机械工业部门标准i e c 6 1 0 6 1 另外除了国际电工委员会 还有 其他机构制定的一些部门标准 如铁路部门标准e n 5 0 1 2 6 8 9 等等 i e c 6 1 5 0 8 到出台至今已经经历了将近1 0 年的时间 对于功能安全国际标准 也早已从研究走向了应用阶段 美国从1 9 9 6 年就开始采用i s a 8 4 0 1 后来随 4 浙江大学 t 学硕t 学位论文 信息科学与t 程学院控制理论与下程 着i e c 6 1 5 1 1 的出台 又转而采用国际标准 英国从i e c 6 1 5 0 8 出台之初就开始 强制采用该标准 西方国家通过应用这些国际标准 收到了良好的效果 而且积 累了丰富的安全管理经验 十分值得我们借鉴 下面从以下几个方面说明功能安 全国际标准在西方发达国家的应用情况 1 工程应用方面 虽然陆续有不同的部门标准不断的推出 但是仍有很多部门并没有独立的标 准 因此在应用国际标准时 主要有两种方式 1 在拥有相应部门标准的工业领域直接应用部门标准 比如许多国家直接 采用i e c 6 1 5 1 l 作为自己的流程工业标准加以应用 虽然是强制使用的标准 但 是由于国际标准本身是开放性的 因为要考虑到普遍的适用性 因此标准本身并 没有对所有的活动明确加以限制 而是指出了大致的方向 而且由于西方国家对 于安全管理研究和应用已经趋于成熟 往往将国际标准同本国的工业实践相结 合 由本国安全监管部门提出明确的标准应用指南 例如在挪威海上石油开采工 业中 就采用了i e c 6 1 5 11 标准 在标准的基础上 相关管理部门根据自身管理 的经验 制定了一系列的指南 从而使得标准的更容易理解 更方便使用 在应 用标准的过程中 还加入了自身对于国际标准的理解和一系列改进 更加丰富了 国际标准的内涵 比如在i e c 6 1 5 1 1 中 对于系统失效并没有要求进行定量的风 险分析 但是挪威海上采油业中根据工业生产中的平均系统失效概率 对其进行 了估算 做出了系统失效定量化的初步探索 1 3 1 2 在没有相应部门标准的工业领域中 在i e c 6 1 5 0 8 的基础上建立本部门 的安全规范 由于没有适合本行业的安全标准 行业监管部门往往通过吸取 i e c 6 1 5 0 8 的总体框架和一般方法的精髓 结合本行业的实际 开发适合本行业 的行业安全规范 例如 在美国的采矿业中 为了减少事故的造成的人身伤亡 引入了基于可编程电子器件 p r o g r a m m a b l ee l e c t r o n i c p e 的自动采矿系统 但 是对于这种应用尚无相应的标准可以遵照执行 因此在安全管理上还是存在一定 的隐患 1 9 9 5 2 0 0 1 年闻 发生了1 1 起矿难 其中4 起造成入员死亡 为了加 强对自动采矿系统的安全管理 采矿安全和健康管理局 m i n es a f e t ya n dh e a l t h a d m i n i s t r a t i o n 委托国家职业安全和健康研究中心 n a t i o n a li n s t i t u t ef o r o c c u p a t i o n a ls a f e t ya n dh e a l t h 制定了基于p e 的采矿系统功能安全的安全框架 浙江大学工学硕 学位论文 信息科学与t 程学院控制理论与丁 程 这个框架吸取i e c 6 1 5 0 8 中的安全生命周期的基本概念 并结合安全等级规定 针对采矿业的自身特点做出了相应的规范 在应用中取得了良好的效果 4 1 2 产品方面 目前国外有很多安全p l c 智能安全仪表等安全产品已经通过了i e c 6 1 5 0 8 和i e c 6 1 5 认证 或者通过使用中验证的原则达到了一定的安全完整性水平 并已经应用到安全相关系统的使用中 罗克韦尔自动化 欧姆龙 西门子a d 等巨头纷纷采取一系列措施 推出 自己的安全p l c 产品 这些产品几乎都符合i e c 6 1 5 0 8 标准并得到了s i l 3 的等 级认证 同时 都试图将安全p l c 与其他机械安全产品一起构成完整的机械安 全解决方案 2 0 0 5 年1 1 月 罗克韦尔自动化在美国举办的年度a u t o m a t i o n f a i r 展览会上设立了安全产品线独立展区 产品线覆盖从传感 逻辑判断到执行机构 的每个环节 如安全按钮 安全地毯 安全开关 安全继电器 安全光幕 安全 镭射扫描器 集成安全功能的马达启动器与伺服电机 安全p l c 模块式与分布 式 安全分布式l d o 安全网络等 1 5 1 另外 e x i d a b n f l 等机构正在以自身进行的认证活动为基础 建立一些安 全设备数据库 记录所有经过认证的符合标准的智能仪表设备 由于有了可靠的 数据和 定范围可供选择的设备 安全工程师在开发安全系统时 就可以根据自 身的安全水平需要 选择适当的安全设备 而且由于这些设备的要求时失效率等 指标都有清楚的记录 可以很方便的进行安全性验证 e x i d a 就提供了一种以自 身数据库为基础进行s i l 在线验证的工具s i l v e r 3 认证方面 在国外 安全评估和认证发展起步很早 并已被广大用户 设备提供商 集 成商 工程承包商所接受 通过权威的第三方评估和认证 用户对自己所选用的 安全系统更加放心 也使设备生产商对于自己的产品有更明确的认识和定位 从 而生产出更加可靠的设备 并提高自身的竞争力和影响 目前比较著名的认证机 构和公司主要有德国的t u v 美国的e x i d a 安全的评估和认证主要有安全产品认证 安全过程认证 安全管理认证和人 员资格认证 参考下表 6 i 6 浙江大学 丁学硬上学位论文 信息科学与工程学院控制理论与t 程 表1 1l e c 评估和认证机构 l e c 评估和认证机构 过程和产品安全增强 ie c 6 15 0 8 1 e x i d a 0 a c t u v 等 管理过程评估 1 e c 6 1 5 0 8 1 s l r a t u v 产品安全特性评估 1 e c 6 1 5 0 8 6 1 5 1 1 a e a b a s e e f a e xi d a f m t u v u l 产品和过程认证 i e c 6 1 5 0 8 t u v u l c f s e e x i d a t u v h o n e y w e ii p ii z 人员资格认证 i e c 6 1 5 1 1 6 1 5 0 8 r o c k w e li s i 8 1 t i e r s 等 t u v 应用项目安全评估 i e c 6 1 5 1 1 澳大利亚 挪威 英国官方机构 1 4 2 我国的研究和应用现状 1 应用方面 在石化 化工 冶金 电力等高危行业大型企业中采用的e s d 紧急停车系 统 f g 火汽系统 所用设备都是国外产品 一些典型的国产化系统 如中 石化北京设计院开发的炼油核心装最 催化裂化机组综合控制系统 连续 重整装置催化剂再生控制系统 中国铁道科学研究院研制的t r 9 型容错铁路 连锁系统等 其核心控制设备也都是国外设备 1 7 2 产品方面 虽然我们国家有很多企业生产安全相关设备 但是却没有标准做指导 因此 国内尚无符合i e c 6 1 5 0 8 和i e c 6 1 5 11 标准的安全产品 3 认证方面 国内没有相应的认证机构 从以上几方面的现状可以看出 我国在安全保障领域已经远远落后与西方国 家 由于没有标准的强制规范 安全生产无法得到保障 安全产品的开发也没有 动力 虽然我国的功能安全研究起步较晚 应用方面更是一片空自 但是我们具 有使安全产业迅速发展的条件 首先 我们有足够的可靠性设计技术和实践经验 我国的军工产品 直都采 用很严格的可靠性设计和制造标准 如硬件可靠性预计标准g j b z 2 9 9 b 和软件 7 浙江人学t 学硕i 学位论文 信息科学与工程学院控制理论与工程 工程规范g j b 4 3 9 8 8 等等 当然 可靠性和安全是两个不同的概念 但是如果 在引进i e c 6 1 5 0 8 中对于安全系统需求的规范等内容 保证安全系统需求满足安 全需要的情况下 系统的可靠性实现就成为了功能安全的主要内容 其次 我们有很多生产安全相关产品的企业 由于没有标准做指导 我国企 业所生产安全科技产品往往得不到重视 只能得到一些小客户的订单 但是这些 企业也有足够的安全产品设计开发经验和一些独创的技术 因此只要有一个公认 的标准指导 会成为我国安全产业发展的契机 最后 我国具有巨大的安全产品和安全系统需求 但是在很多情况下 由于 没有一个强制的安全标准要求 这种安全产品和安全系统的需求被抑制了 由于 没有强制的标准 一些在高危环境下生产的企业忽视安全生产的重要性 而且即 使出了严重的事故 由于没有规范的安全管理手段和相应的法规惩处 企业得不 到应有的惩罚 因此更加不重视安全生产 如果有一个强制的安全标准指导 高 危企业必须采用安全设备保障安全生产 这样又促使安全产品的开发 从而达到 一个良性循环 1 5 本文的工作 本文是在研究功能安全国际标准i e c 6 1 5 0 8 国外安全相关系统的应用 软 硬件可靠性设计 评估技术以及国外现在通用的安全管理过程做出的对功能安全 国际标准的全面总结 由于功能安全国际标准设计的范围十分广泛 研究中不可 能覆盖所有方面 因此研究主要侧重以下几个方面 1 功能安全国际标准体系涵盖的标准 包括通用标准和一些部门标准 本文主要研究对象是通用标准i e c 6 1 5 0 8 介绍了该标准主要内容 详细分析了 标准的主要原理和重要概念 总结了标准的主要特点 对于流程工业部门标准 i e c 6 1 5 1 1 也做了一些研究 主要是在同i e c 6 1 5 0 8 比较的基础上说明两个标准之 间的区别和联系 2 安全相关系统包括安全仪表系统 关键控制系统 故障安全系统和联 锁保护系统等 本文主要研究流程工业中应用最为广泛的安全仪表系统 主要侧 重于如何计算整个系统的安全完整性水平 3 对于硬件安全完整性实现 侧重于如何使硬件满足i e c 6 1 5 0 8 的要求 浙江大学工学硕l 学位论文 信息科学与工程学院控制理论与工程 不涉及硬件的可靠性设计技术 4 软件安全完整性的实现是本文的重点 详细介绍了标准对于软件的要 求 提出了安全相关软件的歼发过程 并分析了实现安全p l c 需要使用的技术 1 6 本章小结 本章介绍了功能安全的意义 功能安全国际标准产生的背景和产生过程 对 功能安全在国外应用和研究的现状做了分析 并对比我国的实际情况 揭示了我 国对于功能安全相关研究和应用的不足 最后介绍了本文的主要工作内容 9 浙江人学t 学硕t 学位论文 信息科学与工程学院控制理论与r 程 第二章标准概述 摘要 本章介绍了功能安全国际标准i e c 6 1 5 0 8 和i e c 6 1 5 11 的主要内容 并对两个标准进 行了比较 阐述了标准的主要原理和重要概念 最后对功能安全国际标准的主要特点做了全 面的总结 关键字 1 e c 6 1 5 0 8i e c 6 1 5 1 1 风险安全完整性安全完整性水平安全生命周期要求时失 效概率 2 1 引言 i e c 6 1 5 0 8 是e e p e s 安全相关系统功能安全的国际标准 针对所有由电气 电子 可编程电子部件构成的安全相关系统 安全相关系统包括安全相关的控制 系统和保护系统 在不同的领域 安全相关系统具有不同的内涵 如安全仪表系 统 关键控制系统 失效安全系统和联锁保护系统等等 8 j i e c 6 1 5 1 1 主要应用于 流程工业中的安全仪表系统 是指由仪表构成的安全相关系统 一个典型的安全 仪表系统主要由传感器 逻辑控制器和执行机构组成 传感器检测某过程参数 逻辑控制器对检测值进行分析 如果判断有危险征兆 通知执行机构进行安全操 作 从而保证过程系统处于一个安全状态 本文主要研究这种典型的安全仪表系 统 2 2 标准的主要内容 2 2 1i e c 6 1 5 0 8 标准的主要内容 i e c 6 15 0 8 标准有7 个部分 涉及1 0 0 0 多个规范 它针对由电气 电子 可编 程电子部件构成的 起安全作用的整体安全生命周期 7 部分主要内容分别为 1 般要求 描述了标准适用范围 安全生命周期 危险和风险分析 整体安全要求 安 全要求分配 计划编制 包括操作维护 安全确认 安装和试运行计划 实现 e e p e s 包括建立其他技术安全系统和外部风险降低措施 以及功能安全评估 1 0 浙江大学 t 学硕十学位论文 信息科学与t 程学院控制理论与t 程 同时在附录中给出了文档结构的范例 2 e e p e s 的要求 主要给出了在e e p e s 安全生命周期中各个阶段任务 如根据规定的安全要 求的分配对安全系统提出安全功能和安全完整性要求 编制安全确认计划 具体 实施设计与开发 集成 操作与维护 安全确认 修改 验证及功能安全评价等 阶段的要求 附录给出了用于e e p e s 的技术和措施以及诊断覆盖率和安全失效 分数的计算方法 3 软件要求 描述e e p e s 的软件安全生命周期中安全完整性水平所要求的软件获取 开 发 集成 确认 修改 验证和评估内容 同时在附录中给出了在不同阶段采用 的软件技术和测量选择指南 4 定义和缩略语 定义了第l 7 部分所使用的术语和解释 5 确定安全完整性水平的方法示倒 用附录给出了风险与安全完整性之间的关系 根据任何风险必须降低到可行 的合理水平一样低 即a l a r p 原理 确定允许风险目标 频率和后果 给 出了一些定性和定量确定安全完整性水平方法 6 i e c 6 1 5 0 8 2 和i e c 6 1 5 0 8 3 的应用指南 用附录给出了i e c 6 15 0 8 2 和i e c 6 15 0 8 3 应用中的功能安全操作步骤 硬 件失效概率评估技术示例 系统在低要求操作模式下和高要求操作模式下各种表 决组工作的诊断覆盖率及安全失效分数计算示例 量化e e p e s 中硬件共同原因 失效效应的方法 软件安全完整性的应用示例 7 技术和测量概述 包括i e c 6 1 5 0 8 2 和i e c 6 1 5 0 8 3 中有关的各种安全技术和测量方法概述 附 录a 是e e p e s 的技术和测量概述 硬件随机失效控制 附录b 是e e p e s 的 技术和测量概述 系统失效的避免 附录c 是达到软件完整性的技术和测量方 法的评述 附录d 是确定预测开发软件的软件安全完整性的一种概率法 i l l 浙江大学t 学硕l 学位论文 信息科学与1 程学院控制理论与工程 2 2 2i e c 6 1 5 1 1 标准的主要内容 i e c 6 1 5 1 l 标准共分3 个部分 它针对由仪器仪表构成的 起安全作用的整 体安全生命周期 3 部分的主要内容分别为 1 i e c 6 1 5 1 1 l 是体系 定义 系统 硬件和软件要求 描述了对系统结构 硬件配置 应用软件和系统集成的要求 包括了功能安 全管理 安全生命周期要求 验证 v e r i f i c a t i o n 过程风险分析 分配安全功 能到保护层等 这部分还包括了s i s 的整体安全要求 s i s 设计工程和应用软件 要求 其中还包含了详细的软件安全生命周期 这部分还描述了工厂接受测试 f a c t o r ya c c e p t a n c et e s t s i s 安装和投运 s i s 操作和维护和拆卸 附录a 中描述了6 1 5 1 1 和6 1 5 0 8 之间的关系 2 i e c 6 1 5 1 1 2 是i e c 6 1 5 1 1 应用指南 这部分提供和i e c 6 1 5 1l 的应用指南和信息 附录a 概括了条款5 6 7 并制定了应用的具体步骤 附录b 提供了一个计算p f d 的一个示例 附录c 介 绍了一个化工企业s i s 系统结构开发的示例 附录d 介绍了3 个应用i e c 6 1 5 1 1 的示例 附录e 介绍了一个p l c 生产厂商开发符合标准的p l c 的方法 附录f 概括了标准相关的技术和方法 3 i e c 6 15 1 1 3 是必须的安全完整性水平确定指南 这部分提供了通过风险分析确定安全完整性水平的指南 附录a 描述了 a l a r p 准则 附录b 到f 介绍了几种定量或定性的确定安全完整性的方法 包 括安全矩阵法 定性 校正风险图法 半定性 风险图法 定性 保护层 分析 半定量 等 1 9 1 2 2 3i e c 6 1 5 0 8 和i e c 6 1 5 1 1 的区别和联系 i e c 6 1 5 0 8 是一般性标准 可以作为开发其他具体部门标准的基础 在没有 相应部门标准的领域中 也可以直接应用该标准 i e c 6 1 5 1 1 是流程工业部门的 国际标准 针对流程工业的一些特点 对i e c 6 1 5 0 8 作了相应的改进 比如在6 1 5 1 l 中 规定的最高的设备安全完整性水平为s i l 3 低于6 1 5 0 8 中的s i l 4 就是考 虑了流程工业很少需要安全完整性水平达到s i l 4 的安全设备 从而增强了标准 浙江大学工学硕十学位论文 侪息科学与t 程学院控制理论与工程 在流程工业中的实用性 1 1 0 i e c 6 1 5 0 8 最初发布于 9 9 8 年 而 e c 6 1 5 1 1 发布于2 0 0 3 年 其l 日j 经历了5 年的应用 因此i e c 6 1 5 1 1 在应用时更加明确 在实用性方面有了很大改进 例 如在i e c 6 1 5 1 l 中明确规定了各种设备被用于s i s 的两个条件 符合i e c 6 1 5 0 8 标准的和在使用中验证的 只要满足两个中的任何 个 设备就可以用于安全相 关系统 目前许多安全设备厂商都通过符合这两种条件来证明自己的安全性 开发新的 硬件设备 遵循 i e c 6 1 5 0 8 使用经过使 用中验证的 硬件设备 遵循 l e c 6 1 5 l l 流程工业部门标准 使用遵循 i e c 6 1 5 0 8 标 准的硬件设 备 遵循 i e c 6 1 5 l l 开发嵌入 式软件 遵循 i e c 6 1 5 0 8 3 软件 采用全可变 语言开发应 用软件 遵循 i e c 6 1 5 0 8 3 采用有限可 变语言或尉 定程序开发 应用软件 遵循 i e c 6 1 5 1 1 图2 1i e c 6 1 5 0 8 和l e c 6 1 5 1 1 针对不同软硬件设计的关系 总的来说 相对于i e c 6 1 5 0 8 i e c 6 1 5 1 1 提供了更为实用和更为明确的使用 规范 更加适合在流程工业的应用 2 31 e c 6 1 5 0 8 标准的重要概念和原理 2 3 1 风险 i e c 6 1 5 0 8 对于安全性的衡量完全是基于风险的 r i s kb a s e d s i l 的确定 是用风险的降低来衡量的 安全生命周期中很重要的一环就是风险分析 可见理 解风险的概念对于理解标准的重要性 i e c 6 1 5 0 8 标准把风险定义为 危害 浙江大学t 学硕 学位论文 信息科学与工程学院控制理论与t 程 h a z a r d 发生的概率和危害严重性的组合 风险包含两个元素 危害发生的频 度和危险产生后果的严重度 它的表达式为 风险 r 严重度 s 频度 p 2 1 根据风险定义中各种不同严重度和频度的组合 在i e c 6 1 5 0 8 5 的示例中 提出了一种将风险分类的方法 如下图所示 首先根据危害 h a z a r d 发生的频 度不同 被定性的划分为频繁发生 很可能发生 偶尔发生 极小可能发生 不 可能发生和难以相信会发生等六个等级 同时根据危害所产生的后果不同 被定 性划分为大灾难 严重 不严重和可忽略四个等级 最后由标准制定者或监管部 门根据每种工业领域的具体情况 考虑大量社会 政治和经济因素 根据意外事 件发生的频率和后果的组合建立出风险等级表 表2 1 意外事件的风险等级示例 后果 频率 f 大灾难严重不严重可忽略 频繁发生 1112 很可能发生 1 122 偶尔发生 1233 极小可能发生 233 4 不可能发生 33 44 难以相信会发生 44 44 表2 2 风险等级的解释 风险等级解释 等级1 不允许风险 不期望风险 当风险降低不可行或成本 等级2 与取得的改善严重不相称时为允许 如果风险降低的成本超过取得的 等级3 改善时允许的风险 等级4 可忽略的风险 1 4 浙江大学工学硕i j 学位论文 信息科学与t 程学院控制理论与工程 为风险进行定级往往是以人们对于风险的接受程度为衡量标准的 其中应用 比较广泛的原理就是a l a r p a sl o w a sr e a s o n a b l yp r a c t i c a b l e 原理 即降低风 险的代价必须与风险降低的程度相称的原理 a l a r p 原理将风险分为三个区域 如图所示 风险广泛可接受区 a l a r p 区和风险不可容忍区 根据a l a r p 原理 风险至少应当被降低到a l a r p 区 在这个区域内 如果降低风险的成本 小于获得的收益 则风险被视为可容忍 当风险已经降低到了广泛可接受的区域 则无须再考虑降低风险的成本 i e c 6 1 5 0 8 5 的示例中在a l a r p 原理的基础上 将风险分为四个等级 其中等级l 和等级4 分别对应风险不可容忍区和风险广泛 可接受区 等级3 和等级4 处在a l a r p 区之内 通过这样的等级划分 省去了 进行a l a r p 分析的步骤 使得对于风险的评价有了更好的可操作性 i l l l 图2 2a l a r p 原理图 浙江大学t 学硕e 学位论文 信息科学与工程学院控制理论与工程 2 3 2 安全完整性 i e c 6 1 5 0 8 把安全完整性定义为 在规定的时间周期内的所有规定的条件下 安全相关系统成功地完成所需安全功能的概率 安全完整性就是安全功能能够有 效被执行的能力 安全完整性由下面两部分组成 1 2 f 1 硬件安全完整性 h a r d w a r es a f e t yi n t e g r i t y 这部分的安全完整性与危险失效模式的随机硬件失效有关 这种随机硬件失 效主要在运行过程中体现出来 安全相关硬件安全完整性规定的级别的实现能估 算合理的精确级别 而且需求使用