（系统工程专业论文）基于Markov模型的安全仪表系统可靠性建模方法研究.pdf

摘要 工业的飞速发展在给人类带来巨大进步的同时，也增大了灾难性事故的概 率。为了提高工业生产的安全性，安全仪表系统( s i s ，s a f e t yi n s t r u m e n t e ds y s t e m ) 开始应用在不同领域，保护人员免受危害。为了降低灾难的发生频率，保证生产 的安全运转，有效地对安全仪表系统进行可靠性建模是十分必要的。 目前针对安全仪表系统的可靠性建模方法主要是基于故障树模型、简化公式 法等，而基于马尔可夫( m a r k o v ) 模型的可靠性分析相对较少。简化公式法和故 障树模型虽然易于使用，但是模型的应用往往要基于一定的假设，这种假设常常 带来计算的偏差和无效性。针对以上情况，本课题主要开展了以下工作： 1 为了便捷地实现基于m a r k o v 模型的s i s 的可靠性分析和安全完整性等级 s i l ( s a f e t yi n t e g r i t yl e v e l ) 计算，基于m a t l a b 7 1 和v b 6 0 环境开发了s i l 计 算软件m a r k o v s i l 。本软件可以有效地实现安全仪表系统的可靠性建模以及 危险失效概率p f d ( p r o b a b i l i t yo ff a i l u r eo nd e m a n d ) 、安全失效概率p f s ( p r o b a b i l i t yo f f a i l i n gs a f e l y ) 和s i l 等失效参数的计算。既能用于s i s 的设计 阶段，又能用于s i s 评估阶段，具有界面友好，建模灵活，操作便捷等优点。 2 针对循环氢加热炉的火灾和爆炸危险性高等问题，利用m a r k o v s i l 软件，结 合风险图分析技术，通过改变设备的冗余、测试周期等措施设计了满足相应 s i l 等级的安全仪表系统。通过m a r k o v 模型与故障树方法计算结果比较， 验证了m a r k o v s i l 软件的有效性和良好的计算精度，对后续的安全仪表系统 建模设计有一定的参考作用。 3 分析比较了基本过程控制系统和安全仪表系统独立设计和结合设计等不同 方案，提出了l 0 0 2 结构双通道失效参数不同情况下的马尔可夫建模方法。 针对非理想检测修复情况，通过改变模型的状态和转移矩阵p ，提出了马尔 可夫模型的改进方案。对非理想检测情况下的m a r k o v 建模有一定参考作用。 关键词：安全仪表系统，马尔可夫建模，安全完整性等级，m a r k o v s l l ，平 均危险失效率 1 1 1 a b s t r a c t w h i l et h er a p i dd e v e l o p m e n to fi n d u s t r yh a sb r o u g h tg r e a tb e n e f i t st om a n k i n d ， i ta l s oi n c r e a s e dt h ep r o b a b i l i t yo fa c c i d e n t s i no r d e rt om a k ei n d u s t r i a lp r o d u c t i o n m o r es e c u r ea n dr e l i a b l e ，m o r ea n dm o r es a f e t yi n s t r u m e n t e ds y s t e m ( s i s ) w a s a p p l i e di nd i f f e r e n tf i e l d st op r o t e c tp e r s o n n e lf r o mh a z a r d s i no r d e rt or e d u c et h e f r e q u e n c yo fd i s a s t e ra n de n s u r es a f ep l a n to p e r a t i o n ，i ti sv e r yn e c e s s a r yt om a k e e f f e c t i v er e l i a b i l i t ym o d e lf o rs a f e t yi n s t r u m e n t e ds y s t e m a tp r e s e n t ，t h er e l i a b i l i t ym o d e l i n gf o rs i sa r em a i n l yb a s e do nf a u l tt r e e m o d e l ，s i m p l i f i e df o r m u l am e t h o d ，e t c u n d e rs o m ea s s u m p t i o n s ，t h e s et w o m e t h o d s a r ee a s yt ou s e ，b u tt h e s ea s s u m p t i o n so f t e nr e s u l ti nc a l c u l a t i o ne r r o ra n di n v a l i d i t y c o m p a r e dt ot h e s et w om o d e l s ，m a r k o vm o d e lc a nb r i n gh i g ha c c u r a c y 1 i no r d e rt oa c h i e v et h er e l i a b i l i t ya n a l y s i sa n ds i lc a l c u l a t i o nb a s e do nm a r k o v m o d e lf o rs i se a s i l y ，w ed e v e l o p e dt h es o f t w a r em a r k o v s i lu n d e rm a t l a b 7 1 a n dv b 6 0e n v i r o n m e n t s t h i ss o f t w a r ec a ne f f e c t i v e l ym a k er e l i a b i l i t ym o d e l s f o rs i sa n dc a l c u l a t ep f d 。p f s ，s i la n d s o m eo t h e rf a i l u r ep a r a m e t e r s i tc a nb e u s e df o rt h e d e s i g na n de v a l u a t i o ns t a g e s f o rs i s ，w i t hu s e r f r i e n d l y ， f l e x i b l e - m o d e l i n ga n de a s y t o - h a n d l ec h a r a c t e r s 2 t or e s o l v et h ep r o b l e m st h a tt h er e c y c l eh y d r o g e nf u r n a c eu n i th a sh i g hr i s ko f f i r ea n de x p l o s i o n s ，w eu s e dm a r k o v s i la n dr i s kg r a p ht e c h n i q u e st or e d e s i g n t h es y s t e m b yc h a n g i n gt h ee q u i p m e n tr e d u n d a n c y ，t i ( t e s ti n t e r v a l s ) a n do t h e r p a r a m e t e r s ，w ef i n a l l yf i n dt h ea p p r o a c ht h a tm e e tt h ea p p r o p r i a t es i ll e v e lo f si s b yc o m p a r i n gt h ec a l c u l a t i o nr e s u l t sw i t hf a u l tt r e em o d e l ，w ev e r i f yt h a t m a r k o vm o d e l p r o d u c e sm o r e a c c u r a t es o l u t i o n sf o rm a n yf a i l u r em o d e s 3 w ec o m p a r e dt h ei n d e p e n d e n ta n di n t e g r a t i o na p p r o a c h e sf o rb p c s ( b a s i c p r o c e s sc o n t r o ls y s t e m ) a n ds i s ，a n dp u tf o r w a r d e dt h em o d e l i n gm e t h o do f l0 0 2m a r k o vm o d e lw h e nt h ef a i l u r ep a r a m e t e r so fd u a lc h a n n e l sa r ed i f f e r e n t f i n a l l y w ee s t a b l i s h e dt h er e p a i r a b l em a r k o vm o d e l si nt h ei m p e r f e c td e t e c t i o n s i t u a t i o nb yc h a n g i n gt h em o d e ls t a t e sa n dt h et r a n s i t i o nm a t r i xp t h er e s u l t p r o v e dt h a tm a r k o vm o d e l sa r em o r ef l e x i b l et h a no t h e rm e t h o d s t h i ss t u d yc a n b eu s e di nf u t u r er e l i a b i l i t ya n a l y s i sf o rs i s k e y w o r d s ：s a f e t yi n s t r u m e n t e ds y s t e m ，m a r k o vm o d e l i n g ，s a f e t yi n t e g r i t y l e v e l ，m a r k o v s i l ，p r o b a b i l i t yo ff a i l u r eo nd e m a n d i v 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得逝姿盘堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者签名：签字日期：年月日 学位论文版权使用授权书 本学位论文作者完全了解逝姿盘堂有权保留并向国家有关部门或机 构送交本论文的复印件和磁盘，允许论文被查阅和借阅。本人授权逝姿盘堂 可以将学位论文的全部或部分内容编入有关数据库进行检索和传播，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 导师签名： 签字日期：年月日 签字日期：年月 日 致谢 在硕士论文完成之际，我衷心地感谢吴明光教授和王海清副教授两年半来在 各个方面给予我的关心和帮助。在我的科研工作和论文写作过程中，吴老师和王 老师始终给予了精心的指导和热心的帮助。吴老师热情的为人、敬业的精神和渊 博的知识使我受益匪浅。王老师严谨的研究作风和渊博的专业知识让我提高很 多，吴老师和王老师在日常的学习生活中给予我中肯的建议和指导，在我两年半 的研究生阶段乃至今后的人生道路中都始终是一种激励。 感谢师兄安庆敏和傅炜钢，他们的帮助让我迅速熟悉了实验室的环境，理解 项目的内容，为后续的研究工作打下了良好的基础，他们对科研工作的严谨与勤 奋，始终是我学习的榜样。 感谢仲玉芳老师在课题方面给予的帮助，同时他一丝不苟的工作态度也是我 学习的榜样；感谢实验室的李化东，感谢师妹王慧芬，师弟邵旭敏，曹建元，徐 晓忻和黄忠，在你们身上我学到了很多新鲜的知识和技能。在我的科研工作中， 你们给予的帮助与意见，使我能够更好的完成课题。 感谢马爱良、陈珑、杨珍等室友和同学在学习和生活上对我给予的热心帮助， 大家在一起的日子令人怀念。 最后，我要感谢父母的养育之思，感谢父母和亲人们多年来在生活上无微不 至的照顾和精神上的支持，我的每一个足迹都离不开你们默默的付出，你们鼓励 的目光永远是我前进的动力。 两年半的硕士生活漫长而难忘，要感谢的师友和同学远不止上述所列，最后 对所有曾经关心和帮助过我的人表示诚挚的谢意! 吴宁宁 2 0 1 0 年1 月2 5 日 求是园 绪论 1 1 课题背景和意义 第一章绪论 工业的飞速发展在给人类带来巨大利益的同时，也带来了灾难。2 0 世纪7 0 年代以来，由于生产过程安全系统失效引发了一系列火灾、爆炸、毒物泄露等事 故灾害，造成了巨大的生命、财产损失和环境破坏。全世界每年死于工伤事故和 职业病危害的人数约为2 0 0 万，是人类最严重的死因之一。据统计，在石化行业 发生的伤亡事故中，大约有7 0 9 0 的事故源于误操作，可见确保系统的本质 安全性，使装置即使在误操作情况下仍能保证安全是十分必要的【l 】。为了使工业 生产更加安全可靠，越来越多的安全仪表系统s i s 开始应用在不同领域。当某些 危险条件出现时，s i s 能自动将过程调至安全模式；当装置或系统发生故障时， s i s 可以减缓事故造成的后果【2 】，保障生产的安全。 安全仪表系统虽然降低了工业生产灾难的发生频率，却无法保证系统的绝对 安全，有时候，正是由于安全仪表系统发生失效，在需要它执行安全功能时无法 正确执行应有的操作，从而导致灾难的发生。也就是说，安全仪表系统的应用对 于降低事故发生的风险是必须的，但是安全仪表系统或设备执行安全功能时的可 靠性问题，限制了用户使用新技术的积极性。所以为了保证安全仪表系统功能得 到正确地执行，我们需要基于i e c 6 1 5 0 8 i e c 6 1 5 1 l 功能安全标准研究安全仪表系 统的可靠性建模，使其在危险发生时正确地执行其安全功能。 功能安全是以保障安全仪表系统能正确有效地执行其安全功能为目的，基于 对安全系统整个生命周期风险分析和功能要求分配的安全技术，是安全科学与工 程和控制科学与工程的交叉学科，是近1 0 年来安全管理学和安全监控技术的新 发展。国际电工组织( i e c ) 于1 9 9 8 2 0 0 4 年先后发布了针对电气电子可编程 电子安全相关系统的功能安全基础标准i e c 6 1 5 0 8 和针对过程工业的功能安全标 准i e c 6 15 11 。功能安全系列国际标准的发布表明，作为一个新的学科，功能安 全已经开始形成体系并进入实际应用阶段。 安全仪表系统s i s 是独立于基本过程控制系统b p c s 的安全控制系统。根 据新的国际功能安全标准，在安全生命周期中需要测量s i s 的可靠性以确保安 浙江丈学硕l ：学位论文 全。为了确定s i s 的可靠性，也就是确定其实现功能安全的能力，必须对石油化 工等工业领域进行评估，确定其安全完整性等级s i l 。 如图1 1 所示，安全仪表系统s i s 与基本过程控制系统b p c s 的区别和联系 如下： ( 1 ) 安全仪表系统s i s 和基本过程控制系统b p c s 是在流程工业中被广泛采 用的两种不同类型的系统； ( 2 ) 安全仪表系统s i s 监视控制系统的状态，判断危险条件，防止危险发生 或者减轻事故造成的后果； ( 3 ) 基本过程控制系统执行基本过程控制功能，使生产过程的温度、压力、 流量、液位等工艺参数维持在规定的正常范围之内，以保证产品的产量与质量； ( 4 ) 安全仪表系统和基本过程控制系统的被控对象都是生产过程； ( 5 ) 安全仪表系统实现系统s i l _ _ i 的安全功能，基本过程控制系统对来自过 程、系统相关设备的、其他可编程系统的或某个操作员的输入信号进行响应，并 使过程和系统相关设备按要求方式运行，但它并不执行任何具有s i l i 的仪表安 全功能【3 】o 安全仪表系统s i s 是专门用于危险场所( 如：石油化工装置) 联锁和紧急事 蜃麻躲 图1 1b p c s 与s i s 绪论 故停车的控制系统。它和普通工艺过程控制的d c s 和p l c 的本质区别在于，其 功能是在事故和故障状态下( 包括装置事故和控制系统本身发生故障时) ，使装 置能够安全停车，并处于安全状态下从而避免灾难的发生。即避免对装置人员的 伤害和环境的影响等，因而安全控制系统本身必须是故障安全型( f a i lt os a f e ) 的，系统的硬件和软件的可靠性都要求很高。 近年来在北美、欧洲、日本等地，围绕安全相关系统功能安全管理这一新 的课题，从相关理论方法研究、标准规范建立，到实际安全系统的设计、分析、 实施、评估、认证，已经开展了一系列的研究工作，取得了很多有价值的成果。 一些有关功能安全分析评估的著作也相继出版。自i e c 6 1 5 0 8 发布后，不同应 用领域的功能安全标准陆续出台：i e c 6 1 5 1i 、i e c 6 1 7 8 4 3 、i e c 6 2 0 6 1 、 i e c 6 0 2 0 4 1 等，i e c 功能安全标准系列正在形成。在功能安全标准的推动下， 与功能安全相关的技术与产品开发也十分活跃。近年来，我国参考国际标准 i e c 6 1 5 0 8 和i e c 6 1 5 1 l ，结合我国的国情，分别出台了对应的国家标准g b t 2 0 4 3 8 1 7 和g b t2 1 1 0 9 - - - 2 0 0 7 。但在功能安全相关理论和技术方面的研究、 应用方面仍处于起步阶段。 1 2 论文的组织结构 本论文的结构安排如下： 第一章：绪论，介绍了课题的背景意义、安全仪表系统的应用现状以及论文 的组织结构。 第二章分析介绍了功能安全国际标准i e c 6 1 5 0 8 和i e c 6 1 5 11 的主要内容。 阐述了标准的主要原理、重要概念，详细介绍了风险的概念，安全完整性概念， 安全完整性水平与风险降低之间的关系和安全生命周期的概念。进一步介绍了标 准在流程工业和安全设备公司的应用现状以及相关的安全设备和系统，为下一步 基于上述标准进行安全仪表系统的设计和可靠性建模分析奠定了基础。 第三章基于m a r k o v 模型，用m a t l a b 7 1 + v b 6 0 混合编程开发设计了s i l 计 算软件m a r k o v s i l ，该软件可以方便地实现l o o l 、l 0 0 2 、2 0 0 2 、l o o l d 、2 0 0 3 和l 0 0 2 d 等结构的安全仪表系统的可靠性分析以及p f d 、p f s 、s i l 、m t t f 等 浙江大学硕士学位论文 失效参数计算，既可用于s i s 的设计阶段，又可以用于s i s 的验证阶段，具有界 面友好，建模灵活，操作便捷等优点。为下一步安全仪表系统的s i l 计算奠定了 基础。 第四章以循环氢加热炉为例，讨论了基于m a r k o v 模型的安全仪表系统的设 计以及验证过程，对比了m a r k o v 模型和故障树( 简化公式法) 的计算结果，通 过实例验证了m a r k o v s l l 的有效性和良好的计算精度。结果表明，相对于故障 树模型，马尔可夫模型的计算误差不会随着失效率九和功能测试周期t 的增加而 增大，这更加符合s i s 可靠性建模的思想。s i s 的具体设计流程为，首先通过 h a z o p 和风险图确定系统所需要的安全仪表功能s i f ( s a f e t yi n s t r u m e n t e d f u n c t i o n ) 和应该满足的安全完整性等级s i l ，接着用基于m a r k o v 模型的s i l 计 算软件m a r k o v s i l 计算了原系统的p f d 、p f s 和s i l 等参数，最后通过对传感 器、执行器进行冗余配置、增加自诊断功能以及改变测试周期等改进措施完成了 对s i s 的设计。 第五章对比分析了b p c s 和s i s 结合设计、独立设计等不同的方案，提出了 l 0 0 2 结构双通道失效参数不同情况下的马尔可夫建模方法。针对非理想测试的 情况，探讨了马尔可夫建模的改进方案。b p c s 与s i s 的结合设计通常会通过选 择b p c s 的传感器、执行器输出信号的作为s i s 的诊断信号或l 0 0 2 冗余来实现。 通过选择性设计表明：如果这种结合设计没有对系统的失效率产生显著改善，一 般还是会倾向于b p c s 和s i s 独立设计。而通过对马尔可夫模型失效状态和转移 矩阵的改进，可以实现非理想测试修复情况下的系统建模。结果表明了相对于简 化公式法、故障树等其他模型，马尔可夫建模可以更加精确简便灵活地实现对系 统的分析计算。 第六章总结本文的研究工作，并对安全仪表系统可靠性建模的未来提出展 望。 4 i e c 6 1 5 0 8 i e c 6 1 5 11 标准介绍 第二章i e c 6 1 5 0 8 i e c 6 1 5 11 标准介绍 i e c 6 1 5 0 8 是e e p e s 安全相关系统功能安全的国际标准，针对所有由电气 电子可编程电子部件构成的安全仪表系统。安全仪表系统包括安全相关的控制 系统和保护系统。在不同的领域，安全仪表系统具有不同的内涵，如安全相关系 统、关键控制系统和联锁保护系统等等【4 】。i e c 6 1 5 1l 主要应用于流程工业中的 安全仪表系统s i s ，是指由仪表构成的安全相关系统。一个典型的安全仪表系统 s i s 主要由传感器、逻辑控制器和执行机构组成，传感器检测某过程参数，逻辑 控制器对检测值进行分析，如果判断有危险征兆，通过执行机构进行安全操作， 从而保证过程系统处于一个安全状态。 2 1i e c 6 1 5 0 8 i e c 6 1 5 1 1 标准简介 2 1 1i e c 6 1 5 0 8 i e c 6 1 5 1 1 标准的主要内容 i e c 6 1 5 0 8 标准有7 个部分，涉及1 0 0 0 多个规范。它针对由电气电子可编 程电子部件构成、起安全作用的整体安全生命周期，7 部分主要内容为： 第l 部分，一般要求：描述了主要概念、组织、生命期、文档编制、引导证 据及s i l 的定义。 第2 部分是对电气电子可编程电子安全系统e e p e s 的要求，包括对设备 和系统的要求，它的很多内容和第7 部分的鉴别方法的应用有关，这些方法解决 了随机或系统失效问题。 第3 部分是对软件的要求，描述避免失效的方法，与第7 部分的附录相关。 第4 部分是定义和缩略语，定义了第l 7 部分使用的术语和解释。 第5 部分给出一些确定安全完整性水平的方法示例。 第6 部分包括第2 和第3 部分的应用指南。 第7 部分给出测试方法，简短的注释并提供部分参考书目。包括i e c 6 1 5 0 8 2 和i e c 6 15 0 8 。3 中有关的各种安全技术和测量方法概述。附录a 是e e p e s 的技 浙江大学硕七学位论文 术和测量概述：硬件随机失效控制。附录b 是e e p e s 的技术和测量概述：系 统失效的避免。附录c 是达到软件安全完整性的技术和测量方法的概述。附录d 是确定预测开发软件的软件安全完整性的一种概率法1 5 1 。 i e c 6 1 5 0 8 标准规定随机失效的后果必须定量评估，使用随机存取测量系统 ( r a m s ) 方法计算有效性。量化与故障相关的系统失效是没有用的，应当通过 组织指导来避免系统失效，或通过技术措施来控制。 i e c 6 1 5 1 1 是专门针对流程工业领域安全仪表系统的功能安全标准。它是国 际电工委员会继功能安全标准i e c 6 1 5 0 8 之后推出的领域标准。目前，等同采用 i e c 6 1 5 1 1 的中国国家标准g b t2 11 0 9 2 0 0 7 已经由全国工业过程测量与控制标 准化技术委员会审核批准发布。 在过程工业中，近年来，安全仪表系统都被用来执行仪表安全功能。问题是， 如果要使仪表能有效地用于仪表安全功能，该仪表应达到怎样的最低标准和性能 水平? 如何达到? i e c 6 1 5 l l 就是针对这一问题，论述了过程工业仪表安全系统 的应用。 针对基于使用电气( e ) 电子( e ) 9 编程电子( p e ) 技术的仪表安全系统， i e c 6 15 1l 标准中规定了逻辑解算器在设计和使用过程中，须采用的基本原则， 以及构成安全仪表系统的传感器和最终元件所应达到的最低标准，并提出了达到 这些最低标准的安全生命周期活动的方法，即对过程工业中安全仪表系统的规 范、设计、安装、运行和维护的要求进行了标准化；对安全仪表系统的系统、硬 件、软件提出要求；在应用和安全整体级别的确定方面提供了相当多的指导。 i e c 6 1 5 1l 标准共分3 个部分，它针对由仪表构成的、起安全作用的整体安 全生命周期，3 部分的主要内容分别为： 第1 部分是体系、定义、系统，硬件和软件要求： 描述了对系统结构、硬件配置、应用软件和系统集成的要求。包括了功能安 全管理、安全生命周期要求、验证( v e r i f i c a t i o n ) 、过程风险分析、分配安全功 能到保护层等。这部分还包括了s i s 的整体安全要求、s i s 设计过程和应用软件 要求。其中还包含了详细的软件安全生命周期。这部分还描述了工厂接受测试 ( f a c t o r ya c c e p t a n c et e s t ) 、s i s 安装和投运、s i s 操作和维护和拆卸。附录a 6 i e c 6 1 5 0 8 1 e c 6 1 5 1 1 标准介绍 中描述了6 1 5 11 和6 1 5 0 8 之间的关系。 第2 部分是第1 部分的应用指南： 这部分提供i e c 6 1 5 1 1 的应用指南和信息。附录a 概括了条款5 、6 、7 ，并 制定了应用的具体步骤。附录b 提供了一个计算p f d 的一个示例。p f d 代表安 全仪表系统对潜在的危险没有采取相应的措施的概率。附录c 介绍了一个化工 企业s i s 系统结构开发的示例。附录d 介绍了3 个应用i e c 6 1 5 1 1 的示例。附录 e 介绍了一个p l c 生产厂商开发符合标准的p l c 的方法。附录f 概括了标准相 关的技术和方法。 第3 部分给出了如何确定要求的安全完整性等级： 这部分提供了通过风险分析确定安全完整性水平的指南。附录a 描述了 a l a r p 准则。附录b 到f 介绍了几种定量或定性的确定安全完整性水平的方法。 包括风险矩阵法( 定性) 、校正风险图法( 半定性) 、风险图法( 定性) 、保护 层分析( 半定量) 等【6 1 。 2 1 2i e c 6 1 5 0 8 和i e c 6 1 5 1 1 的联系与区别 i e c 6 1 5 0 8 是一般性标准，可以作为开发其他具体部门标准的基础，在没有 相应部门标准的领域中，也可以直接应用该标准。i e c 6 1 5 1 1 是流程工业部门中 的国际标准，针对流程工业的一些特点，对i e c 6 1 5 0 8 作了相应的改进。比如在 i e c 6 1 5 1l 中，规定的最高的设备安全完整性等级为s i l 3 ，低于i e c 6 1 5 0 8 中的 s i l 4 ，就是考虑了流程工业很少需要安全完整性等级达到s i l 4 的安全设备，从 而增强了标准在流程工业中的实用性【7 1 。 i e c 6 1 5 0 8 最初发布于1 9 9 8 年，i e c 6 1 5 1l 发布于2 0 0 3 年，比i e c 6 1 5 0 8 晚 了5 年的应用时间，因此i e c 6 1 5 1l 中规定了各种设备被应用于s i s 的两个条件： 符合i e c 6 1 5 0 8 标准的和在使用中验证的。只要满足两个中的任何一个，设备就 可以用于安全仪表系统。目前很多安全设备生产商都通过符合这两种条件来证明 自己产品的安全性。 图2 1 为i e c 6 15 0 8 和i e c 6 1 5 l1 针对不同软硬件设计的关系，总的来说，相 对于i e c 6 1 5 0 8 ，i e c 6 1 5 11 提供了更为实用和更为明确的使用规范，更加适合在 浙江大学硕上学位论文 流程工业中应用。 图2 1i e c 6 15 0 8 和i e c 6 1511 针对不同软硬件设计的关系 2 2i e c 6 1 5 0 8 i e c 6 1 5 1 1 标准的重要概念和原理 2 2 1 危险与风险 危险具有对人、财产或环境造成伤害的能力。这种伤害或是物理的，或是化 学的。i e c 6 1 5 0 8 中对危险的定义为“伤害的潜在根源”。它包括短时间内发生 的对人员的威胁以及对人体健康长时间有影响的威胁。这个定义不仅仅限于人的 范畴，还可以扩展到其他方面，如经济、财产和环境等。 i e c 6 1 5 0 8 中对风险的定义为“出现伤害的概率及该伤害严重性的组合”。 风险是不可能完全消除的。风险包含两个元素：危害发生的频率和危险产生后果 的严重度。它的表达式为： 风险( r ) = 严重度( s ) 频率( p ) ( 2 1 ) 根据风险定义中各种不同严重度和频率的组合，在i e c 6 1 5 0 8 5 的示例中提 出了一种将风险分类的方法，如下表所示。首先根据危害发生的频率不同，被定 性的划分为频繁发生、偶尔发生、可能发生、小可能发生、不太可能发生和极不 可能发生等六个等级。同时根据危害所产生的后果不同，被定性划分为大灾难、 r i e c 6 1 5 0 8 i e c 6 1 5 l1 标准介绍 严重、不严重和可忽略四个等级。最后由标准制定或监管部门根据每种工业领域 的具体情况，考虑大量社会、政治和经济因素，根据意外事件发生的频率和后果 的组合建立出风险等级表，如表2 1 和表2 2 所示。 表2 1 意外事件的风险等级示例 后杲 频率 大灾难严重不严重可忽略 频繁发生 1112 偶尔发生 1122 可能发生 1233 小可能发生 2334 不太可能发生 3344 极不可能发生 4444 表2 2 风险等级的解释 风险等级解释 等级1不允许风险 不期望风险，当风险降低不可行或成本 等级2 与取得的改善严重不相称时为允许 如果风险降低的成本超过取 等级3 得的改善时允许的风险 等级4可忽略的风险 2 2 2 安全完整性水平s i l 安全完整性水平也被称为安全完整性等级，i e c 6 1 5 0 8 对安全完整性水平的 定义为5 l1 8 1 ：在一定时间、一定条件下，安全相关系统执行其所规定的安全功能 的可能性。选择安全完整性水平的目的是通过降低风险发生的概率把系统的风险 降低到一个可以接受的水平。i e c 6 1 5 0 8 定义了四个安全完整性等级s i l ，它们由 平均要求时失效概率p f d 删。决定，在出现危险事件、要求安全系统执行其正确 地安全功能时，安全系统出现失效成为“要求时失效”。i e c 6 1 5 0 8 中使用的平 均“要求时失效”概率是指在安全生命周期内的概率平均值。 安全完整性水平由下面两部分组成【9 1 ： ( 1 ) 硬件安全完整性水平 9 浙江大学硕上学位论文 这部分的安全完整性与危险失效模式的随机硬件失效有关，主要体现在安全 仪表功能的运行过程中，对安全相关硬件安全完整性规定的级别能以合理的精确 度进行估算，而且子系统之间可以使用概率运算规则。 ( 2 ) 系统安全完整性水平 这部分的安全完整性与危险失效模式的系统失效有关，这种系统失效主要在 系统设计过程中就已经存在，尽管由于系统失效引起的平均失效能够估算，但难 以从设计失误和共因失效中得到的失效统计数据来估计失效分布。 2 2 3 必要的风险降低和s i l 的关系 风险降低是指通过电气电子可编程电子安全相关系统，其他技术的安全相 关系统、外部风险降低设备实现的风险的下降。通过风险指标，标准规定了s i s 必须的风险降低水平，即通过电气电子可编程电子安全相关系统，其他技术的 安全相关系统、外部风险降低设备实现的风险降低，以确保不超过可容忍的风险。 图2 2 为风险降低和安全完整性水平的关系，i e c 6 1 5 0 8 定义了以下3 种风险 指标： ( 1 )被控装置的风险是指由被控装置或被控装置与其控制系统相互作用而 产生的风险； ( 2 )可容忍的风险是指在给定情况下，现行社会标准可接受的风险； ( 3 )残余的风险是指在采取了防护措施以后仍然无法消除的风险； 图2 2 风险降低与安全完整性水平的关系 1 0 i e c 6 1 5 0 8 i e c 6 1 5 11 标准介绍 对于一个安全相关系统而言，风险来源于发生危险时的要求时失效，即风险 概率= 危险事件发生概率安全系统“要求时失效”概率。“要求时失效”概率反 映了安全系统带来的整体风险概率的降低。风险是风险概率和后果严重程度的组 合，所以风险概率降低下降程度就是风险下降的程度。因此，安全完整性水平反 映了整体风险水平的降低1 1 0 1 。 标准将风险降低和安全完整性水平联系起来，从而达到通过对安全完整性进 行管理来控制风险水平的目的。平均要求时失效概率p f d a v g ( a v e r a g ep r o b a b i l i t y o f f a i l i n go nd e m a n d ) 满足下面的公式 p f d 糯墨f t f n p ( 2 2 7 ) 其中： p 肋嘴一一安全防护系统要求的时失效平均概率； f 一一允许风险频率； e 。一一安全防护系统的要求率( 也就是危险发生的概率) ； 随着时间的流逝，安全系统的可靠性会降低，其要求时失效概率增大。安全 完整性是安全功能能够有效被执行的能力，而安全完整性水平就是用来衡量这种 能力大小的。i e c 6 1 5 0 8 中把要求安全功能动作的频率低于每年一次的成为低要 求操作模式。低要求操作模式是化工行业中最普遍的模式；高要求操作模式在制 造加工业和航空工业中比较普遍，如表2 3 、2 4 所示。表中风险降低因子 ( r r f r i s kr e d u c t i o nf a c t o r ) 是平均要求时失效概率的倒数。 表2 3 低要求操作模式的安全完整性水平 安全完整性水平平均要求时失效概率 风险降低因子 41 0 4 1 0 5l0 0 0 0 1 0 0 0 0 0 31 0 - 3 1 0 41 0 0 01 0 0 0 0 21 0 - 2 1 0 31 0 0 1 0 0 0 1l o - i 1 0 21 0 1 0 0 浙江大学硕 ：学位论文 表2 4 高要求( 连续) 操作模式的安全完整性水平 2 2 4 安全生命周期 安全完整性水平每小时失效概率 4 1 0 。8 1 0 9 3 1 0 。7 1 0 。8 2 1 0 - 6 1 0 7 l1 0 。5 1 0 6 i e c 6 1 5 0 8 国际标准把安全生命周期定义为：在安全仪表功能( s i f ) 实施中， 从项目的概念设计阶段到所有安全仪表功能停止使用之间的整个时间段。 i e c 6 1 5 0 8 中对安全系统整体安全生命周期的定义通过图2 3 来表示。安全生 命周期使用系统的方式建立的一个框架，用以指导过程风险分析、安全系统的设 计和评价。i e c 6 1 5 0 8 是关于e e p e s 安全系统的功能安全的国际标准，其应用 领域涉及许多工业部门，比如化工工业、冶金、交通等。整体安全生命周期包括 了系统的概念( c o n c e p t ) 、定义( d e f i n i t i o n ) 、分析( a n a l y s i s ) 、安全需求( s a f e t y r e q u i r e m e n t ) 、设计( d e s i g n ) 、实现( r e a l i z a t i o n ) 、验证计划( v a l i d a t i o np l a n ) 、 安装( i n s t a l l a t i o n ) 、验证( v a l i d a t i o n ) 、操作( o p e r a t i o n ) 、维护( m a i n t e n a n c e ) 和停用( d e c o m m i s s i o n ) 等各个阶段。对于以上各个阶段，标准根据它们各自的 特点，规定了具体的技术要求和安全管理要求。对于每个阶段规定了该阶段要实 现的目标、包含的范围和具体的输入和输出，并规定了具体的责任人。其中每一 阶段的输入往往是前面一个阶段或者前面几个阶段的输出，而这个阶段所产生的 输出又会作为后续阶段的输入，即成为后面阶段实施的基础。比如，标准规定了 整体安全要求阶段的输入就是前一阶段一一风险分析所产生的风险分析的描述 和信息，而它所产生的对于系统整体的安金功能要求和安全完整性等级要求则被 用来作为下一阶段一一安全要求分配的输如。通过这种一环扣一环的安全框架， 标准将安全生命周期中的各项活动紧密的联系在一起；又因为对于每一环节都有 十分明确的要求，使得各个环节的实现又相对独立，可以有不同的人负责，各环 节问只有时序方面的互相依赖。由于每一个阶段都是承上启下的环节，因此如果 某一个环节出了问题，其后所进行的阶段都要受到影响，所以标准规定，当某一 环节出了问题或者外部条件发生了变化，整个安全生命周期的活动就要回到出问 i e c 6 1 5 0 8 i e c 6 1 5 11 标准介绍 题的阶段，评估变化造成的影响，对该环节的活动进行修改，甚至重新进行该阶 段的活动。因此，整个安全系统的实现活动往往是一个渐进的、迭代的过程【】。 i e c 6 1 5 0 8 标准中安全生命周期管理的对象包括了系统用户、系统集成商和 设备供应商。i e c 6 1 5 0 8 标准中的安全生命周期与一般概念的工程学术语不同。 功能安全标准中，在评估风险和危险时，安全生命周期是评价和制定安全相关系 统s i l 设计的一个重要方面。也就是说，不同的功能安全系统的安全生命周期管 理程序是不同的，一些变量如维护程序、测试间隔等，可以通过计算，实现安全、 经济的最优化。这是最先进的安全管理技术，在国外少数过程工业的公司里，这 已经是标准程序。 综上，安全生命周期的概念有以下几个特点： ( 1 ) 包括安全系统从无到有，直到停用的各个阶段，为安全系统的开发应用建 立了一个框架。 ( 2 ) 整体安全生命周期清楚地说明了其各个阶段在时间和结构上的关系。 ( 3 ) 能够按照不同阶段更加明确地为安全系统的开发应用建立文档、规范，为 整个安全系统提供结构化的分析。 ( 4 ) 与传统非安全系统开发周期类似，已有的开发、管理的经验和手段都能够 被应用。 ( 5 ) 安全生命周期框架虽然规定了每一阶段的活动的目的和结果，但是并没有 限制过程，实现每一阶段可以采用不同的方法，促进了安全相关系统实现 各个阶段方法的创新，也使得标准具有更好的开放性。 ( 6 ) 从系统的角度出发进行安全系统的开发，涉及面广，同时蕴含了一种循环、 迭代的理念，使得安全系统在分析、设计、应用和改进中不断完善，保证 更好的安全性能和投入成本比。 浙江大学硕一七学位论文 匝二概缸 t 团整体瘟围定逗 t 团危险和风险分析j t 囹整体安全要塞j t 匝拴宴求分配 2 3 标准的应用现状 图2 3 整体安全生命周期 i e c 6 1 5 0 8 自2 0 0 0 年发布以来，就被许多国家采用作为他们的国家标准并且 对其进行了相应的更新【1 2 】。同样，i e c 6 1 5 11 也被很多国家作为自己的流程工业 标准加以应用。虽然是强制使用的标准，但是由于国际标准本身是开放性的，因 为要考虑到普遍的适用性，因此标准本身并没有对所有的活动明确加以限制，而 是指出了大致的方向。比如在i e c 6 1 5 1l 中，对于系统失效并没有要求进行定量 的风险分析，但是挪威海上采油业公司根据工业生产中的平均系统失效概率，对 其进行了估算，作出了系统失效定量化的探索f l3 1 。 目前世界上很多知名的安全仪表制造商和过程工业公司都采用i e c 6 1 5 0 8 和 i e c 6 1 5 11 标准，熟知的产品如h i m a 公司利用安全控制系统的四重化结构 ( q m r ) 技术生产的p e s 系统h 4 1 q 和h 5 l q ，t r i c o n e x 公司的t r i c o n ，g e 公司 1 4 圈 i e c 6 1 5 0 8 i e c 6 1 5 11 标准介绍 的g m r ，a b ba u g u s ts y s t e m 公司的t r i g u a r ds c 3 0 0 e ，i c s 公司的t r u s t e d ，艾 默生公司的d e l t a vs i s 安全仪表系统。横河( y o k o g a w a