功能安全技术讲座第04讲安全相关系统SIL设计的要求
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4) E / E / P E 安 全 相 关 系 统 对 共 同 原 因 失 效 的 敏 感 性;
5) 诊 断 测 试 的 诊 断 覆 盖 率 和 相 关 的 诊 断 测 试 间 隔;
6) 用 来 揭 露 未 被 诊 断 测 试 检 测 到 的 危 险 故 障 而 执 行 检 验 测 试 的 间 隔;
概 率 。该 概 率 应 该 等 于 或 者 低 于 安 全 要 求 规 范 中 规 定 的目标失效量。
估算由于随机硬件失效造成的每个安全功能的失 效 概 率 应 考 虑 以 下 因 素:
1) 与 所 考 虑 的 每 个 安 全 功 能 相 关 的 E/E/PE 安 全 相 关 系 统 的 结 构;
的特殊要求。 【 关 键 词 】 电 气 / 电 子 / 可 编 程 电 子 安 全 完 整 性 等 级
Abstract: T he paper introduced the requirem ents of the design of E /E /P E S. Key words: E /E /P E S SIL
也 可 能 改 变 。可 以 应 用 的 建 模 方 法 很 多 ,选 择 最 恰 当 的 方 法 是 分 析 员 的 事 ,要 依 赖 于 具 体 情 况 ,可 采 用 的 方 法 包 括:因 果 图 分 析 、故 障 树 分 析 、马 尔 可 夫 模 型 、 可靠性框图等。 4 故 障 检 测 要 求
4 仪器仪表标准化与计量 2 0 0 7·4
4) 验 证 和 确 认 。 为保证 E/E/PE 安全相关系统的安全完整性能保 持 在 所 需 的 等 级 ,在 设 计 阶 段 就 应 将 维 护 要 求 规 范 化 。 如 适 用 ,应 使 用 自 动 测 试 工 具 和 集 成 开 发 工 具 。设 计 期 间 ,应 编 制 E/E/PES 的 集 成 测 试 计 划 。编 制 测 试 计 划 的 文 档 应 包 括: 1) 所 执 行 测 试 的 类 型 和 所 遵 循 的 规 程; 2) 测 试 环 境 、工 具 、配 置 和 程 序; 3) 测 试 是 否 通 过 的 准 则 。 设 计 期 间 ,根 据 开 发 者 提 出 的 前 提 条 件 可 执 行 的 那 些 活 动 ,应 该 与 在 用 户 立 场 上 所 要 求 的 活 动 加 以 区 分。 6 系 统 故 障 控 制 的 要 求 此 要 求 对 应 图 1 中 的“ 故 障 控 制 ”框 图 。本 条 要 求 不 适 用 于 满 足“ 经 使 用 证 实 ”要 求 的 子 系 统 。 为控制系统故障,E/E/PES 的设计特点应使得 E/E/PE 安全相关系统能容许: 1) 如 果 不 能 排 除 硬 件 设 计 故 障 的 可 能 性 ,硬 件 中 的 任 何 残 余 设 计 故 障; 2) 环 境 应 力 ,包 括 电 磁 干 扰; 3) EUC 操作员造成的失误; 4) 软 件 中 的 任 何 残 余 设 计 故 障 ; 5) 任 何 数 据 通 信 过 程 中 产 生 的 错 误 和 其 它 影 响 。 在设计和开发活动中应考虑可维护性和可测试性, 以 便 在 最 终 的 E/E/PE安 全 相 关 系 统 中 实 现 这 些 属 性 。 E/E/PE 安全相关系统的设计应充分考虑人员的能力 和 局 限 性 ,并 应 适 合 分 配 给 操 作 者 和 维 护 人 员 的 行 动 。 所有接口的设计应根据良好的人员操作习惯并应适合 操作者的认知能力和培训水平。 安 全 相 关 系 统 设 计 的 一 个 基 本 原 则 ,是 设 计 时 应 对操作者和维护人员所犯的可预见的致命失误有充分 认 识 ,只 要 有 可 能 都 应 能 通 过 设 计 来 防 止 和 消 除 ,或 者在完成该动作之前对这些动作进行二次确认。 7 设 备 “ 经 使 用 证 实 ” 的 证 据 此 要 求 对 应 图 1的“ 经 使 用 证 实 ”框 图 。IEC 61508 制 定 时 ,充 分 考 虑 了 当 前 安 全 控 制 系 统 应 用 现 状 ,对 于 有 充 分 证 据 证 明 是 安 全 的 设 备 及 系 统 ,特 别 提 出 了 本条要求。 对 于 以 往 开 发 的 子 系 统 ,只 有 在 功 能 性 规 定 明 确 、 有充分文档依据表明子系统的具体配置此前确实应用 过( 使 用 时 的 所 有 失 效 记 录 均 登 记 在 册 )以 及 考 虑 过 任 何 所 需 的 附 加 分 析 和 测 试 时 ,才 能 被 认 为 是 经 使 用 证实的子系统。文档依据应显示 E/E/PE 安全相关系 统子系统的任何失效(由随机硬件和系统故障造成) 的 可 能 性 足 够 低 ,可 以 达 到 使 用 子 系 统 的 安 全 功 能 所 需的安全完整性等级。 为了确定任何未被检测到的系统故障的可能性足 够 低 ,可 以 达 到 使 用 子 系 统 的 安 全 功 能 所 需 的 安 全 完
1)某 个 规 定 动 作 以 达 到 或 维 持 安 全 状 态 ,或 者 2)隔 离 子 系 统 的 故 障 部 分 , 以允许 EUC 继续安 全 工 作 ,同 时 修 理 故 障 部 分 。如 果 在 计 算 随 机 硬 件 失 效概率时设定的平均恢复时间(MTTR)内未完成修 理 ,那 么 应 该 采 取 某 一 规 定 的 动 作 以 达 到 或 维 持 安 全 状态。 对于硬件故障裕度等于零以及安全功能完全依赖 该 子 系 统 本 身 的 子 系 统 ,当 该 子 系 统 仅 在 低 要 求 模 式 下 运 行 安 全 功 能 时 ,对 检 测 出 的 危 险 故 障 应 采 取: 1) 某 个 规 定 动 作 以 达 到 或 维 持 安 全 状 态 ,或 者 2) 在 计 算 随 机 硬 件 失 效 概 率 时 设 定 的 平 均 恢 复 时 间 ( MTTR) 内 , 修 理 故 障 子 系 统 。 在 此 期 间 内 , EUC 的 连 续 安 全 应 通 过 附 加 措 施 和 约 束 来 保 证 。这 些 措 施 和约束提供的风险降低至少应等于无任何故障的 E/ E/PES 安全相关系统提供的风险降低。应在 E/E/PES 操 作 和 维 护 规 程 中 对 附 加 措 施 和 约 束 进 行 规 定 。如 果 在 规 定 的 平 均 恢 复 时 间( MTTR)内 不 能 进 行 修 理 ,那 么应该采取其它规定的动作以达到或维持安全状态。 对于硬件故障裕度大于零以及安全功能完全依赖 该 子 系 统 本 身 的 子 系 统 ,当 该 子 系 统 在 高 要 求 或 连 续 操 作 模 式 下 运 行 安 全 功 能 时 危 险 故 障 的 检 测( 通 过 诊 断 测 试 ,检 验 测 试 或 其 它 方 法 )将 导 致 规 定 的 动 作 以 达到或维持安全状态。 5 避 免 失 效 的 要 求 此 要 求 对 应 图 1 的“ 避 免 失 效 ”框 图 。此 条 要 求 不适用于满足“经使用证实” 要求的子系统。 应使用一组恰当的技术和措施,用于在 E/E/PE 安全相关系统硬件的设计和开发期内防止引入故障。 根 据 所 需 的 安 全 完 整 性 等 级 ,所 选 择 的 设 计 方 法 具 有 的 特 性 应 有 助 于: 1) 透 明 性 、模 块 化 和 控 制 复 杂 性 的 其 它 特 性; 2) 清 晰 和 精 确 地 表 述: — — 功 能 性; — — 子 系 统 接 口; — — 排 序 和 时 间 关 联 信 息; ——并发性和同步化。 3) 信 息 的 通 信 和 清 晰 、准 确 的 文 档 化;
7) 对 已 检 测 到 的 失 效 的 修 理 时 间; 8) 任 何 数 据 通 信 过 程 中 未 检 测 到 的 失 效 的 概 率 。 对于每个安全功能,将 E/E/PE 安全相关系统的 可 靠 性 分 开 进 行 量 化 是 十 分 必 要 的 ,因 为 使 用 了 不 同 的部件失效模式,并且 E/E/PES 的结构(根据冗余)
安全控制技术
[ 编 者 按 ] 本 刊“ 安 全 控 制 技 术 ”栏 目 自 2005 年 开 设 以 来 ,得 到 了 广 大 读 者 的 广 泛 关 注 与 大 力 支 持 。今 年 除 了 继 续 刊 登 这 方 面 的 优 秀 技 术 文 章 外 ,还 特 别 增 设 一 个 板 块“ 功 能 安 全 技 术 系 列 讲 座 ”,共 六 讲 ,分 别 刊 登 在 第 一 期 至 第 六 期 ,从 功 能 安 全 的 基 本 概 念 、方 法 、技 术 等 各 方 面 逐 一 深 入 讲 解 ,使 大 家 对 功 能 安 全 有 一 个 全 面 了 解 。主 讲 人 是 全 国 工 业 过 程 测 量 和 控 制 标 准 化 技 术 委 员 会 主 任 委 员 、机 械 工 业 仪 器 仪 表 综 合 技 术 经 济 研 究 所 副 所长冯晓升教授。
2 硬 件 安 全 完 整 性 结 构 约 束 的 要 求 此 要 求 对 应 图 1 的“ 结 构 约 束 ”框 图 。 硬件安全完整性的安全功能所声明的最高安全完
整 性 等 级 ,受 限 于 硬 件 故 障 裕 度 和 执 行 该 安 全 功 能 的 子 系 统 的 安 全 失 效 分 数 。在 IEC 61508 中 规 定 ,对 于 B 类安全相关子系统的结构约束如表 1。
表 1 硬件安全完整性:B 类安全相关子系统的结构约束
安全失效分数
硬件故障裕度(HFT)
( S S F )
0
1
2
Biblioteka Baidu
<60%
不 允 许
SIL1
SIL2
60%~<90%
SIL1
SIL2
SIL3
90%~<99%
SIL2
SIL3
SIL4
≥ 99%
SIL3
SIL4
SIL4
注 1:硬件故障裕度 N 表示 N+1 个故障将导致安全功能的
术 与 措 施 保 证 要 求 的 安 全 完 整 性 。为 了 实 现 安 全 完 整 性 ,必 须 同 时 满 足 E/E/PES 的 随 机 安 全 完 整 性 要 求 与 系 统 安 全 完 整 性 要 求 ,因 为 随 机 失 效 主 要 是 硬 件 的 随 机 失 效 。因 此 ,分 析 时 ,只 提 随 机 安 全 完 整 性 就 简 化 为 硬 件 安 全 完 整 性 。故 障 检 测 会 影 响 系 统 的 行 为 ,因 此 ,它 与 硬 件 以 及 系 统 的 安 全 完 整 性 都 相 关 。
SIL 设计的基本原则之一,是应根据 E/E/PES 安 全 要 求 规 范 进 行 设 计 。在 上 一 讲 我 们 讲 述 了 基 于 风 险 分析确定 SIL 的方法,确定的 SIL 就是 E/E/PES 设计 时要求实现的安全完整性目标。
SIL 设 计 的 基 本 原 则 之 二 ,是 采 取 一 切 必 要 的 技
此 要 求 对 应 图 1 的“ 故 障 检 测 ”框 图 。需 要 认 真 分 析 故 障 检 测 时 对 系 统 行 为 的 要 求 ,以 避 免 系 统 危 险 失效导致事故。
在 硬 件 故 障 裕 度 大 于 零 的 子 系 统 中 ,对 检 测 出 的 危 险 故 障( 通 过 诊 断 测 试 ,检 验 测 试 或 其 它 方 法 )应 采取:
2) 在 任 何 能 造 成 E/E/PE 安 全 相 关 系 统 危 险 失 效 但 能 通 过 诊 断 测 试 检 测 到 这 个 危 险 失 效 的 模 式 下 ,估 算 出 的 每 个 子 系 统 的 失 效 率;
3) 在 任 何 能 造 成 E/E/PE 安 全 相 关 系 统 危 险 失 效 但不能通过诊断测试检测到这种危险失效的模式下, 估 算 出 的 每 个 子 系 统 的 失 效 率;
这一讲主要讲述进行电气 /电子 /可编程电子安 全 相 关 系 统 的 SIL( 安 全 完 整 性 等 级 )设 计 时 需 要 满 足 的特殊要求。本文中,电气 / 电子 / 可编程电子系统 是 指 传 感 器 、执 行 器 、可 编 程 电 子 设 备 及 由 这 些 设 备 及子系统组成的系统,简称为 E/E/PES。
安全相关的 E/E/PES 与一般系统设计过程的基 本 差 异 ,就 在 于 系 统 设 计 的 过 程 中 要 增 加 SIL 设 计 的 内 容 ,以 确 保 E/E/PES 的 设 计 和 实 现 满 足 规 定 的 安 全 功能和安全完整性要求。 1 SIL设 计 的 基 本 原 则 及 要 求
b) 故 障 状 况 下 子 系 统 的 行 为 不 能 完 全 确 定;或
c) 通 过 现 场 经 验 获 得 的 可 靠 性 数 据 不 够 充 分 ,不 足 以 显 示
出满足所声明的检测到的和未检测到的危险失效的失效率。
3 危 险 失 效 硬 件 失 效 概 率 的 要 求 此 要 求 对 应 图 1 的“ 随 机 失 效 ”框 图 。 需要估算由于随机硬件失效引起安全功能失效的
丧失。
注 2:子 系 统 的 安 全 失 效 分 数 是 子 系 统 的 平 均 安 全 失 效 率 加
检测到的平均危险失效率与子系统总平均失效率之比。
注 3:满 足 以 下 条 件 ,子 系 统 可 被 视 为 B 类:
a) 至 少 一 个 组 成 部 件 的 失 效 模 式 未 被 很 好 地 定 义;或
第四讲 安全相关系统 SIL 设计的要求
Chapter 4: The Requirements of the Design of E/E/PES 冯晓升
( 机 械 工 业 仪 器 仪 表 综 合 技 术 经 济 研 究 所 ,北 京 市 100055) Feng X iaosheng
(Instrumentation Technology & E conomy In stitute, B eijing 100 055) 【 摘 要 】 主 要 讲 述 进 行 电 气 / 电 子 / 可 编 程 电 子 安 全 相 关 系 统 的 SIL( 安 全 完 整 性 等 级 )设 计 时 需 要 满 足
图 1 表示进行 SIL 设计时为达到要求的安全完整 性 ,必 须 考 虑 的 所 有 要 求 。以 后 各 章 会 分 别 予 以 介 绍 。
图 1 安全完整性与各要求之间的关系
3 仪 器 仪 表 标 准 化 与 计 量 2 0 0 7·4
Control Tech of Safety & Security
5) 诊 断 测 试 的 诊 断 覆 盖 率 和 相 关 的 诊 断 测 试 间 隔;
6) 用 来 揭 露 未 被 诊 断 测 试 检 测 到 的 危 险 故 障 而 执 行 检 验 测 试 的 间 隔;
概 率 。该 概 率 应 该 等 于 或 者 低 于 安 全 要 求 规 范 中 规 定 的目标失效量。
估算由于随机硬件失效造成的每个安全功能的失 效 概 率 应 考 虑 以 下 因 素:
1) 与 所 考 虑 的 每 个 安 全 功 能 相 关 的 E/E/PE 安 全 相 关 系 统 的 结 构;
的特殊要求。 【 关 键 词 】 电 气 / 电 子 / 可 编 程 电 子 安 全 完 整 性 等 级
Abstract: T he paper introduced the requirem ents of the design of E /E /P E S. Key words: E /E /P E S SIL
也 可 能 改 变 。可 以 应 用 的 建 模 方 法 很 多 ,选 择 最 恰 当 的 方 法 是 分 析 员 的 事 ,要 依 赖 于 具 体 情 况 ,可 采 用 的 方 法 包 括:因 果 图 分 析 、故 障 树 分 析 、马 尔 可 夫 模 型 、 可靠性框图等。 4 故 障 检 测 要 求
4 仪器仪表标准化与计量 2 0 0 7·4
4) 验 证 和 确 认 。 为保证 E/E/PE 安全相关系统的安全完整性能保 持 在 所 需 的 等 级 ,在 设 计 阶 段 就 应 将 维 护 要 求 规 范 化 。 如 适 用 ,应 使 用 自 动 测 试 工 具 和 集 成 开 发 工 具 。设 计 期 间 ,应 编 制 E/E/PES 的 集 成 测 试 计 划 。编 制 测 试 计 划 的 文 档 应 包 括: 1) 所 执 行 测 试 的 类 型 和 所 遵 循 的 规 程; 2) 测 试 环 境 、工 具 、配 置 和 程 序; 3) 测 试 是 否 通 过 的 准 则 。 设 计 期 间 ,根 据 开 发 者 提 出 的 前 提 条 件 可 执 行 的 那 些 活 动 ,应 该 与 在 用 户 立 场 上 所 要 求 的 活 动 加 以 区 分。 6 系 统 故 障 控 制 的 要 求 此 要 求 对 应 图 1 中 的“ 故 障 控 制 ”框 图 。本 条 要 求 不 适 用 于 满 足“ 经 使 用 证 实 ”要 求 的 子 系 统 。 为控制系统故障,E/E/PES 的设计特点应使得 E/E/PE 安全相关系统能容许: 1) 如 果 不 能 排 除 硬 件 设 计 故 障 的 可 能 性 ,硬 件 中 的 任 何 残 余 设 计 故 障; 2) 环 境 应 力 ,包 括 电 磁 干 扰; 3) EUC 操作员造成的失误; 4) 软 件 中 的 任 何 残 余 设 计 故 障 ; 5) 任 何 数 据 通 信 过 程 中 产 生 的 错 误 和 其 它 影 响 。 在设计和开发活动中应考虑可维护性和可测试性, 以 便 在 最 终 的 E/E/PE安 全 相 关 系 统 中 实 现 这 些 属 性 。 E/E/PE 安全相关系统的设计应充分考虑人员的能力 和 局 限 性 ,并 应 适 合 分 配 给 操 作 者 和 维 护 人 员 的 行 动 。 所有接口的设计应根据良好的人员操作习惯并应适合 操作者的认知能力和培训水平。 安 全 相 关 系 统 设 计 的 一 个 基 本 原 则 ,是 设 计 时 应 对操作者和维护人员所犯的可预见的致命失误有充分 认 识 ,只 要 有 可 能 都 应 能 通 过 设 计 来 防 止 和 消 除 ,或 者在完成该动作之前对这些动作进行二次确认。 7 设 备 “ 经 使 用 证 实 ” 的 证 据 此 要 求 对 应 图 1的“ 经 使 用 证 实 ”框 图 。IEC 61508 制 定 时 ,充 分 考 虑 了 当 前 安 全 控 制 系 统 应 用 现 状 ,对 于 有 充 分 证 据 证 明 是 安 全 的 设 备 及 系 统 ,特 别 提 出 了 本条要求。 对 于 以 往 开 发 的 子 系 统 ,只 有 在 功 能 性 规 定 明 确 、 有充分文档依据表明子系统的具体配置此前确实应用 过( 使 用 时 的 所 有 失 效 记 录 均 登 记 在 册 )以 及 考 虑 过 任 何 所 需 的 附 加 分 析 和 测 试 时 ,才 能 被 认 为 是 经 使 用 证实的子系统。文档依据应显示 E/E/PE 安全相关系 统子系统的任何失效(由随机硬件和系统故障造成) 的 可 能 性 足 够 低 ,可 以 达 到 使 用 子 系 统 的 安 全 功 能 所 需的安全完整性等级。 为了确定任何未被检测到的系统故障的可能性足 够 低 ,可 以 达 到 使 用 子 系 统 的 安 全 功 能 所 需 的 安 全 完
1)某 个 规 定 动 作 以 达 到 或 维 持 安 全 状 态 ,或 者 2)隔 离 子 系 统 的 故 障 部 分 , 以允许 EUC 继续安 全 工 作 ,同 时 修 理 故 障 部 分 。如 果 在 计 算 随 机 硬 件 失 效概率时设定的平均恢复时间(MTTR)内未完成修 理 ,那 么 应 该 采 取 某 一 规 定 的 动 作 以 达 到 或 维 持 安 全 状态。 对于硬件故障裕度等于零以及安全功能完全依赖 该 子 系 统 本 身 的 子 系 统 ,当 该 子 系 统 仅 在 低 要 求 模 式 下 运 行 安 全 功 能 时 ,对 检 测 出 的 危 险 故 障 应 采 取: 1) 某 个 规 定 动 作 以 达 到 或 维 持 安 全 状 态 ,或 者 2) 在 计 算 随 机 硬 件 失 效 概 率 时 设 定 的 平 均 恢 复 时 间 ( MTTR) 内 , 修 理 故 障 子 系 统 。 在 此 期 间 内 , EUC 的 连 续 安 全 应 通 过 附 加 措 施 和 约 束 来 保 证 。这 些 措 施 和约束提供的风险降低至少应等于无任何故障的 E/ E/PES 安全相关系统提供的风险降低。应在 E/E/PES 操 作 和 维 护 规 程 中 对 附 加 措 施 和 约 束 进 行 规 定 。如 果 在 规 定 的 平 均 恢 复 时 间( MTTR)内 不 能 进 行 修 理 ,那 么应该采取其它规定的动作以达到或维持安全状态。 对于硬件故障裕度大于零以及安全功能完全依赖 该 子 系 统 本 身 的 子 系 统 ,当 该 子 系 统 在 高 要 求 或 连 续 操 作 模 式 下 运 行 安 全 功 能 时 危 险 故 障 的 检 测( 通 过 诊 断 测 试 ,检 验 测 试 或 其 它 方 法 )将 导 致 规 定 的 动 作 以 达到或维持安全状态。 5 避 免 失 效 的 要 求 此 要 求 对 应 图 1 的“ 避 免 失 效 ”框 图 。此 条 要 求 不适用于满足“经使用证实” 要求的子系统。 应使用一组恰当的技术和措施,用于在 E/E/PE 安全相关系统硬件的设计和开发期内防止引入故障。 根 据 所 需 的 安 全 完 整 性 等 级 ,所 选 择 的 设 计 方 法 具 有 的 特 性 应 有 助 于: 1) 透 明 性 、模 块 化 和 控 制 复 杂 性 的 其 它 特 性; 2) 清 晰 和 精 确 地 表 述: — — 功 能 性; — — 子 系 统 接 口; — — 排 序 和 时 间 关 联 信 息; ——并发性和同步化。 3) 信 息 的 通 信 和 清 晰 、准 确 的 文 档 化;
7) 对 已 检 测 到 的 失 效 的 修 理 时 间; 8) 任 何 数 据 通 信 过 程 中 未 检 测 到 的 失 效 的 概 率 。 对于每个安全功能,将 E/E/PE 安全相关系统的 可 靠 性 分 开 进 行 量 化 是 十 分 必 要 的 ,因 为 使 用 了 不 同 的部件失效模式,并且 E/E/PES 的结构(根据冗余)
安全控制技术
[ 编 者 按 ] 本 刊“ 安 全 控 制 技 术 ”栏 目 自 2005 年 开 设 以 来 ,得 到 了 广 大 读 者 的 广 泛 关 注 与 大 力 支 持 。今 年 除 了 继 续 刊 登 这 方 面 的 优 秀 技 术 文 章 外 ,还 特 别 增 设 一 个 板 块“ 功 能 安 全 技 术 系 列 讲 座 ”,共 六 讲 ,分 别 刊 登 在 第 一 期 至 第 六 期 ,从 功 能 安 全 的 基 本 概 念 、方 法 、技 术 等 各 方 面 逐 一 深 入 讲 解 ,使 大 家 对 功 能 安 全 有 一 个 全 面 了 解 。主 讲 人 是 全 国 工 业 过 程 测 量 和 控 制 标 准 化 技 术 委 员 会 主 任 委 员 、机 械 工 业 仪 器 仪 表 综 合 技 术 经 济 研 究 所 副 所长冯晓升教授。
2 硬 件 安 全 完 整 性 结 构 约 束 的 要 求 此 要 求 对 应 图 1 的“ 结 构 约 束 ”框 图 。 硬件安全完整性的安全功能所声明的最高安全完
整 性 等 级 ,受 限 于 硬 件 故 障 裕 度 和 执 行 该 安 全 功 能 的 子 系 统 的 安 全 失 效 分 数 。在 IEC 61508 中 规 定 ,对 于 B 类安全相关子系统的结构约束如表 1。
表 1 硬件安全完整性:B 类安全相关子系统的结构约束
安全失效分数
硬件故障裕度(HFT)
( S S F )
0
1
2
Biblioteka Baidu
<60%
不 允 许
SIL1
SIL2
60%~<90%
SIL1
SIL2
SIL3
90%~<99%
SIL2
SIL3
SIL4
≥ 99%
SIL3
SIL4
SIL4
注 1:硬件故障裕度 N 表示 N+1 个故障将导致安全功能的
术 与 措 施 保 证 要 求 的 安 全 完 整 性 。为 了 实 现 安 全 完 整 性 ,必 须 同 时 满 足 E/E/PES 的 随 机 安 全 完 整 性 要 求 与 系 统 安 全 完 整 性 要 求 ,因 为 随 机 失 效 主 要 是 硬 件 的 随 机 失 效 。因 此 ,分 析 时 ,只 提 随 机 安 全 完 整 性 就 简 化 为 硬 件 安 全 完 整 性 。故 障 检 测 会 影 响 系 统 的 行 为 ,因 此 ,它 与 硬 件 以 及 系 统 的 安 全 完 整 性 都 相 关 。
SIL 设计的基本原则之一,是应根据 E/E/PES 安 全 要 求 规 范 进 行 设 计 。在 上 一 讲 我 们 讲 述 了 基 于 风 险 分析确定 SIL 的方法,确定的 SIL 就是 E/E/PES 设计 时要求实现的安全完整性目标。
SIL 设 计 的 基 本 原 则 之 二 ,是 采 取 一 切 必 要 的 技
此 要 求 对 应 图 1 的“ 故 障 检 测 ”框 图 。需 要 认 真 分 析 故 障 检 测 时 对 系 统 行 为 的 要 求 ,以 避 免 系 统 危 险 失效导致事故。
在 硬 件 故 障 裕 度 大 于 零 的 子 系 统 中 ,对 检 测 出 的 危 险 故 障( 通 过 诊 断 测 试 ,检 验 测 试 或 其 它 方 法 )应 采取:
2) 在 任 何 能 造 成 E/E/PE 安 全 相 关 系 统 危 险 失 效 但 能 通 过 诊 断 测 试 检 测 到 这 个 危 险 失 效 的 模 式 下 ,估 算 出 的 每 个 子 系 统 的 失 效 率;
3) 在 任 何 能 造 成 E/E/PE 安 全 相 关 系 统 危 险 失 效 但不能通过诊断测试检测到这种危险失效的模式下, 估 算 出 的 每 个 子 系 统 的 失 效 率;
这一讲主要讲述进行电气 /电子 /可编程电子安 全 相 关 系 统 的 SIL( 安 全 完 整 性 等 级 )设 计 时 需 要 满 足 的特殊要求。本文中,电气 / 电子 / 可编程电子系统 是 指 传 感 器 、执 行 器 、可 编 程 电 子 设 备 及 由 这 些 设 备 及子系统组成的系统,简称为 E/E/PES。
安全相关的 E/E/PES 与一般系统设计过程的基 本 差 异 ,就 在 于 系 统 设 计 的 过 程 中 要 增 加 SIL 设 计 的 内 容 ,以 确 保 E/E/PES 的 设 计 和 实 现 满 足 规 定 的 安 全 功能和安全完整性要求。 1 SIL设 计 的 基 本 原 则 及 要 求
b) 故 障 状 况 下 子 系 统 的 行 为 不 能 完 全 确 定;或
c) 通 过 现 场 经 验 获 得 的 可 靠 性 数 据 不 够 充 分 ,不 足 以 显 示
出满足所声明的检测到的和未检测到的危险失效的失效率。
3 危 险 失 效 硬 件 失 效 概 率 的 要 求 此 要 求 对 应 图 1 的“ 随 机 失 效 ”框 图 。 需要估算由于随机硬件失效引起安全功能失效的
丧失。
注 2:子 系 统 的 安 全 失 效 分 数 是 子 系 统 的 平 均 安 全 失 效 率 加
检测到的平均危险失效率与子系统总平均失效率之比。
注 3:满 足 以 下 条 件 ,子 系 统 可 被 视 为 B 类:
a) 至 少 一 个 组 成 部 件 的 失 效 模 式 未 被 很 好 地 定 义;或
第四讲 安全相关系统 SIL 设计的要求
Chapter 4: The Requirements of the Design of E/E/PES 冯晓升
( 机 械 工 业 仪 器 仪 表 综 合 技 术 经 济 研 究 所 ,北 京 市 100055) Feng X iaosheng
(Instrumentation Technology & E conomy In stitute, B eijing 100 055) 【 摘 要 】 主 要 讲 述 进 行 电 气 / 电 子 / 可 编 程 电 子 安 全 相 关 系 统 的 SIL( 安 全 完 整 性 等 级 )设 计 时 需 要 满 足
图 1 表示进行 SIL 设计时为达到要求的安全完整 性 ,必 须 考 虑 的 所 有 要 求 。以 后 各 章 会 分 别 予 以 介 绍 。
图 1 安全完整性与各要求之间的关系
3 仪 器 仪 表 标 准 化 与 计 量 2 0 0 7·4
Control Tech of Safety & Security