1、功能安全技术与应用知识讲座 第七讲 安全相关系统 失效控制方法论在安全相关系统中,可采取 6 种方法解决随机硬件失效的安全隐患,使安全相关系统的随机失效得以控制,使其得以完善。 在安全相关系统中,如何解决随机硬件失效的安全隐患问题,主要可采取以下 6 种方法: 第一,使用带有可靠性数据的零件、部件、组件构建安全相关系统。目前,市场上已经有安全组件可供选购,如安全 PLC(安全可编程系统,指的是在自身或外围元器件或执行机构出现故障时,依然能正确响应并及时切断输出的可编程系统) 、安全控制器、安全的现场总线(安全的工业通信网络)等。 第二,采用冗余设计。这里的冗余,仅是指零部件能力使用方面的冗余,
2、比如只使用其 2/3 的能力。 第三,提高系统的故障裕度。使用故障裕度方法的限制是,故障裕度的提高仅能使安全完整性提高一个等级。 第四,提高诊断覆盖率。应将安全相关系统尽可能设计成能发现自身问题的系统。 第五,提高检验测试频率。检验测试是一种周期性测试,用以检测安全相关系统中危险的、隐藏的失效,以使其通过维修,把系统复原到正常状态。 检验测试的有效性,取决于失效覆盖和修理的有效性。在实践中,除了低复杂性“E/E/PE(提升电气/电子/可编程电子) ”安全相关系统外,100%的隐藏失效的探测很难达到,但探测 100%的隐藏失效应该是一个目标。至少,所有要执行的安全功能,应按“E/E/PE”安全相
3、关系统的要求进行检查。如果使用分离通道,则应对每个通道分别进行检验测试。对于复杂的原理,应进行分析,以证明未被检验测试出的隐藏危险失效的可能性,在“E/E/PE”安全相关系统整体生命周期期间可忽略不计。 检验测试需要在一定时间内完成。在此时间内“E/E/PE”安全相关系统可能被部分或全部约束。仅当在此时间内 EUC 关闭,或“E/E/PE”安全相关系统在测试时,仍保持在要求运行的能力时,检验测试持续时间可以不计。 在检验测试期间, “E/E/PE”安全相关系统可能部分或全部不能响应要求。平均修复时间对于 SIL 的计算,仅在修复时 EUC 关闭,或使用其他同样有效的风险措施来代替时可以忽略。
4、检验测试是安全相关系统在服役期内,使用及维护的重要步骤。如果实施周期性测试,就特定安全功能而言,安全相关系统的 PFD 会显示成一种锯齿波形,在一个大的概率范围内,从刚经过一次测试后的低点,到下次测试前的最大值。也就是说,安全相关系统的失效率会随着时间的推移逐渐变坏,经过检验测试后,可以回到原有水平或接近原有水平。由此可见,检验测试是安全相关系统能够保障安全的重要环节。 如以下某企业曾发生过的一个事故案例,即可说明检验测试的重要性。该企业一个盛满钢水的钢包从轨道尽头滑出,正在交接班的近 30 名工人顷刻遇难。钢包在正常情况下,是不会到达轨道尽头的,但也存在一定的小概率。也就是说,钢包到达轨道尽
5、头是一种小概率事件,但一旦发生则危害极大。所以,从风险评估的角度,这属于不可容忍的风险。为降低风险,防止类似事故发生,企业之前已经在接近轨道尽头处安装了一个安全相关系统,该系统的作用是,一旦钢包碰到这个系统,就会产生一个阻止的动作,防止钢包滑出轨道。但由于没有认真进行检验测试,系统已经失效了,并且未被发现,所以酿成惨剧。由此可明显看出,该安全相关系统是典型的安全相关防护系统。安全相关防护系统的特点是,平时是不起作用的,只有被保护对象提出要求时才产生动作,而被保护对象提出要求这一事件本身就是小概率事件,比如一年仅一次甚至几年才一次,在此期间,如果安全相关系统失效了,又不进行周期性的检验测试,这种
6、隐患就无法被发现。 很多人以为,为了安全,我已经装备了安全相关系统,这样就万事大吉了,要知道,安全是一定要进行全生命周期管理的。 提高检验测试频率可以一定程度上提高 SIL 的水准,即提高目标失效量。目标失效量就是安全完整性要求要达到的,危险模式失效的概率目标,规定为下列两种之一:一是安全功能在要求发挥作用时,危险失效的平均概率(对于低要求操作模式) ;二是危险失效的平均概率(对于高要求或连续操作模式) 。但检验测试频率的提高,会受到使用的限制。如我们开车,现在的规定是新车每两年进行 1 次检验测试,我们可以接受;旧车每年进行两次,我们就会觉得很烦,宁可换台新的。在企业中,实际上往往把检验测试
7、与设备大修安排在一起。 第六,积累使用的经验和数据。这一条虽然是安全相关系统的普遍基础,但是在现版的国家标准中,是对 SIL4 级安全相关系统专门提出的。现版国家标准的要求是,仅当满足条件一或同时满足条件二和三时,才能允许由一个具有安全完整性等级 4 的单一“E/E/PE”安全相关系统,构成一个体系结构。 条件一:通过结合适当的分析方法和测试,已经用实例清楚地说明,确实能够达到安全相关系统所声明的目标安全完整性失效量。 条件二:构成安全相关系统的组件,已经具有了广泛的操作经验;并且这些操作经验是在相同的环境,以及复杂性程度可比拟的一个系统中获得的。 条件三:具有足够多的,从“E/E/PE”安全
8、相关系统的组件中获得的硬件失效数据,从而对所声明的硬件安全完整性目标失效量的至信度是足够的。这些数据获得的环境、应用和复杂程度,应与建议使用的环境、应用和复杂程度相似。 此处,对必须要实际使用数据支持的要求,有个理论上的变迁过程。“IEC61508”国际标准出台前,对安全产品有个习惯的要求,就是安全产品要经过实践的检验,有足够的数据证明是可行的才可使用。这种做法的好处是严谨、可靠,但问题是这样的机制使得新产品、新技术很难进入安全领域,因为新的东西往往没有实践数据。这很像现在的大学生找工作,单位一般都要求有工作经验,但刚毕业的大学生往往都没有工作经验,因此,就找不到工作,没有工作就没有工作经验,
9、因此还是找不到工作,这就进入了一个怪圈。 “IEC61508”国际标准出台后,理论上解决了这个问题。即便没有实践数据的支持,只要全面符合标准,就是合格的。但对于最高等级的 SIL4 级安全相关系统还留了个尾巴,除了失效控制要全面达到 SIL4 的要求外,还需要上面所述的实践数据的支持。新版“IEC61508”国际标准中,将这个尾巴也去掉了,但增加了新的规定,如分配过程导致要求“E/E/PE”安全相关系统执行 SIL 4 的安全功能,则应适用下列要求: 要考虑应用,确定可被修改的任何风险参数以避免使用 SIL 4 的安全功能。复审时应考虑可否引入附加的,但不是基于“E/E/PE”安全相关系统的安
10、全相关系统,或者其他风险降低措施;可否降低后果的严重性;可否降低后果的发生率。 考虑过应用之后,如还要使用 SIL 4 的安全功能,则应使用定量的方法进行进一步的风险评估,以考虑“E/E/PE”安全相关系统之间的,以及与下列之间的潜在的共同原因导致的失效:失效会导致产生要求的其他系统;其他安全相关系统。 新的标准中(新版“IEC61508”国际标准已发布,新版国家标准正在修订中) ,将已有实践数据支持的安全产品作为一类,称作“经使用证实” 。经使用证实,是针对一个要素的特定配置,基于对其运行经验的分析,证明危险的系统性失效的可能性足够低。所以,每个使用该要素的安全功能,可达到其要求的安全完整性水平。 经过使用上述 6 种方法,使安全相关系统的随机失效得以控制,使其变得完善。这一部分,我们称为安全相关系统安全完整性的硬件安全完整性。硬件安全完整性是在危险失效模式下,与随机硬件失效有关的,安全相关系统安全完整性的一部分。危险模式下的失效,是将削弱其安全完整性的安全相关系统的这类失效。与本术语有关的两个参数,一是平均危险失效率;二是在要求时操作失效的概率。当为保持安全而必须保持连续控制时,使用前一可靠性参数,在安全相关保护系统场合中,使用后一可靠性参数。 编辑 边 安
