李  成 （1980-）

　　男，上海交通大学电子信息与电气工程学院在读工程硕士，研究方向工业自动化。

　　摘要：安全相关系统是为保证受控设备安全状态而设计的。为了保证受控设备的安全性，需要在设计过程中对受控设备的风险进行有效的预测以及评估并且采取必要的安全相关系统来降低风险。IEC 61508是国际电工协会制定的电子、电气、可编程控制系统功能性安全的标准。本文讨论了安全相关系统中功能安全的要求，并对安全相关系统的评价的方法进行了分析。

　　1研究背景及现状

　　电厂作为电力工业生产的主要部门，其运行安全问题一直受到很高的关注，如何保证电厂安全运行的研究也越来越多。目前普遍采用多重安全保护措施，包括安全系统来解决生产过程中的安全问题，安全系统是指执行必要的安全保护功能，以使被保护对象处于安全状态的系统。当危险事件发生时，安全系统将采取适当的动作和措施，防止被保护对象进入危险状态，避免灾难的发生。安全系统作为保证受控设备安全状态的关键，其自身的安全性、可靠性问题也就成为了研究的焦点。

　　国外在这一领域的研究从上世纪七十年代开始，欧美各国都开始用系统工程的理论和原理来研究解决安全相关系统的可靠性问题，希望通过标准和法规控制危险，使技术缺陷和人为错误导致的危险威胁降至最小。由于各国工业基础不同，他们的研究着手点也各不相同。如欧洲机械制造业比较发达，他们的研究是从机械设备、生产线的安全保护开始的。美国的石油化工工业更为发达，因此他们的研究是从石化装置的安全仪表系统开始的。

　　国内电厂安全系统的设计主要依据为《防止电力生产重大事故的二十五项重点要求》、《火力发电厂设计技术规程》以及《火力发电厂热工自动化设计技术规程》等标准、规程、规定。但基本上没有对联锁保护回路进行安全分析及评价，采用安全系统后也基本上不对整个安全系统进行验证，看其是否能达到应设置的等级，能将事故的危险性降低多少，选用的组件是否可达到要求等。

　　2000年，功能安全基础国际标准IEC61508出台，标志着在功能安全方面的研究已经有了突破性进展。功能安全作为独立的安全学科，已经开始自成体系，相关的标准和法规体系正在建立之中。

　  IEC61508标准的范围是考虑有关系统的E/E/PE安全系统的失效将影响人员以及环境的安全，另外还考虑到失效的后果会产生严重的经济方面的损失。因此，该标准可用于规定相关系统的E/E/PE安全，以利设备、产品及环境的防护。

　　2功能安全基本概念

　　功能安全在IEC 61508中的定义为：与受控设备和受控设备控制系统有关的整体安全的组成部分，它取决于电气/ 电子/ 可编程电子安全相关系统、其它技术安全相关系统和外部风险降低设施功能的正确行使。该标准实际上是一个对安全相关系统的可靠性进行系统评价的体系。作为功能安全的基础标准，IEC 61508中提出了功能安全的基本原理、术语、数学方法、管理模式，针对以电子为基础的安全相关系统提出了一种一致的合理的技术方针，同时还提出了一个技术框架，在这个框架内，基于其它技术的安全系统也可同时被考虑进去。

　　2.1 实施功能安全本质上就是控制风险

　　安全，按一般的概念是没有危险，不受威胁，不出事故。按照这样的概念，安全是不可控制的。因为这是一个绝对安全的概念，而绝对安全是不存在的。在IEC 61508 中，安全的概念是“不存在不可接受的风险”。这是一个相对安全的概念，通过这个定义，安全问题就转化为风险问题了。这样一来，安全就变得可控制了，因为风险是可控的。

　　使用安全相关系统来达到安全目标，第一步，要确定受控设备（EUC）的范围以及EUC 与外部环境的相互影响，然后找出EUC 内部和EUC 与外部环境相互作用可能存在的危险点，针对每个危险点计算或评估出其风险，即该点的EUC 风险。第二步，要明确法律、法规、规章、标准中要求达到的风险目标或社会有关方面可以接受的风险目标。第三步，是比较EUC风险和允许风险，如果EUC 风险大于允许风险，则必须使用E/E/PE 安全相关系统、其它技术安全相关系统、外部风险降低设施等手段将风险降低到允许风险以下。从根本上讲，这就是功能安全的基本工作。

　　2.2 控制风险与安全完整性

　　风险是对一个特定危险事件出现的概率和结果的估量，可以对不同情况的风险进行评价（EUC风险、要求满足的允许风险、实际风险）。允许风险根据社会基础和有关社会和政治因素的考虑来确定。安全完整性只应用于E/E/PE 安全相关系统、其它技术安全相关系统和外部风险降低设施，并作为这些系统/功能在规定安全功能方面取得必要的风险降低的概率的措施。一旦确定了允许风险，并估计了必要的风险降低，就可分配安全相关系统的安全完整性要求。这样IEC61508就完成了对安全相关系统可靠性的量化。

　　IEC61508中安全完整性（Safety Integrity）是在规定的条件下、规定的时间内，安全相关系统成功实现所要求的安全功能的概率。通俗的说法就是反映了安全相关系统的可靠程度。安全相关系统设计的主要依据是安全完整性等级，即SIL等级（在低要求操作模式下分配给一个E/E/PE安全相关系统的安全功能目标失效量）。不同的安全完整性等级需要设备满足不同的要求平均故障概率，即PFDavg指标，反映了要求下的设备失效的可能性，见表1。在安全相关系统中，系统总的要求平均故障概率为各子系统的要求平均故障概率之和。

　　                                    表1   IEC 61508-1要求
　
　　3　电厂安全相关系统设计中的应用

　　IEC 61508用全生命周期的方法有效避免了安全相关系统的系统失效。系统失效与质量管理条件、安全管理条件及技术安全条件相关，标准规定的全生命周期管理模型，在安全相关系统的功能安全生命周期内，配备了一套完整的管理制度与程序，保证安全相关系统的功能安全。图1是安全生命周期图。前三个步骤主要解决确定保护范围，即确定EUC的范围；找出危险源；评估危险源的风险；以及确定危险源的允许风险。第四个步骤则是确定安全功能和安全功 能的安全完整性等级，即SIL。第五个步骤是将安全功能分配给具体的安全相关系统，同时对每个安全相关系统分配安全完整性等级，即确定每个安全相关系统的SIL。

图1   整体安全生命周期

　　电厂中的锅炉、汽轮机和发电机的安全保护系统，是电厂安全运行的重要保证，安全保护系统应具有很高的可靠性、可利用率和安全性。在这些安全保护系统实现的过程中，根据安全完整性等级来确定系统的配置结构，并结合工艺现场的实际确定安全相关系统的控制逻辑。一般的设计流程见图2。

　　                                     图2   实现流程
　　
　　3.1 技术形式的选择

　　随着技术的发展，安全相关系统的设备配置也在不断的更新换代。由气动逻辑到继电器逻辑，由简单的继电器系统到以微处理器为主的系统，由单回路联锁系统到三重模块冗余系统。基于不同技术的安全相关系统的性能比较见表2。

表2   基于不同技术的安全相关系统性能比较

　　3.2 结构形式的选择

　　安全相关系统中随机失效主要是由于设备故障导致，为了防止这种失效，系统集成商在设计集成系统、选择所采用的所有器件时，必须全系统考虑每一种因素对系统危险失效的影响。不仅要考虑系统中传感器单元、逻辑单元、最终执行单元以及它们之间的接口与连线等所有器件的随机危险失效率，还要考虑它们的结构与诊断。IEC 61508标准规定了安全完整性等级（SIL）与系统的结构约束及诊断之间的关系，见表3。

表3   IEC 61508要求硬件安全完整性等级

　　A类安全相关子系统结构约束要求

　　表3中，硬件故障裕度N 表示N+1 个故障将导致安全功能失效。如果要求某子系统的SIL级别达3级，在该子系统的安全失效分数为90%～99%的情况下，硬件故障裕度就必须至少为1，因此这个子系统结构可以选择为1oo2(双通道2选1表决)，想要提高可用性，还可以选择2oo3(三通道3选2表决)。随机失效完整性的定量评估与分配应该通过一个概率计算来进行：
 
-λS=（1/h）：发生使安全系统进入到安全故障状态的故障的概率。

-λD=（1/h）：发生使安全系统进入到危险故障状态的故障的概率。

-λDD=（1/h）：发生使安全系统进入到危险故障状态并被在线诊断设备检测出的的故障的概率。

-λDU=（1/h）：发生使安全系统进入到危险故障状态并未被在线诊断设备检测出的的故障的概率。

　　计算建立在硬件组件的失效率和失效模式等已知数据的基础上。因此，传统的可靠性研究与实践中适用的数据与方法，可以部分地适用于功能安全的研究与计算。通过SFF来验证系统是否满足IEC61508的结构约束。

　　3.3 安全完整性等级及可用性评价

　　电厂中安全相关系统较多，以1oo1紧急切断装置为例，使用IEC61508中的工具来对其安全完整性等级进行分析。

图3   1oo1紧急切断装置

　　所有部件均为A类设备，无在线诊断设备，假设参数如下：

1) 检验测试时间间隔（TI）=一年（8760h）

2) λDD=0（无在线诊断设备）

3) λDU=λD-λDD=λD

4) 开关：λ=1.0x10-6；λS=0.6x10-6；λD=0.4x10-6

5) 线路：λ=1.1x10-8；λS=1.0x10-8；λD=0.1x10-8

6) 断路器：λ=1.5x10-6；

  λS=1.38x10-6；

  λD=0.12x10-6

7) 平均恢复时间（MTTR）=0

　　PFDavg开关=1.75x10-3（SIL2）

　　PFDavg线路=4.38x10-6（SIL3）

　　PFDavg断路器=5.26x10-4（SIL3）

　　PFDavg=PFDavg开关+ PFDavg线路+ PFDavg断路器=2.28x10-3（SIL2）

　　=79%，系统冗余度为零（SIL=2），满足A类设备结构约束。

　　平均发生安全故障的时间间隔

    =57.36年。

　　4 结论及应用意义

　　在传统的电厂保护系统的设计中，安全保护系统的设计方法是“在实际应用中已被证明是安全可靠的”方法,是经验总结出的方法。今后,系统的设计将更多地注重于在设计的全过程中考虑功能安全,并根据不同的安全目标来设计相应的系统。

　　电厂作为电力生产的主要部门，保证电厂安全运行是非常重要的任务。目前电厂控制系统已经广泛的采用电子计算机和网络技术。

　　工艺流程中安全相关系统对系统安全性、可靠性、可用性的要求更高，必须保证系统能安全、可靠、不间断地工作。原有的安全技术规范和条例已经难以满足技术的发展需要和对安全越来越高的要求。所以电厂安全相关系统设计的过程中还需要借鉴国际上的安全标准，对系统可靠性、可用性进行科学的评价，并结合目前实际情况，建立和完善自己的安全标准和安全评估体系。

　　通过在电厂安全相关系统设计过程中引入IEC 61508功能安全的概念和方法，可以保证安全相关系统达到相应的安全等级。此外还可以对现有的安全相关系统的安全等级进行有效的评价。

　　5 发展趋势

　　目前各应用领域的功能安全标准正在陆续出台。先后发布的标准包括：针对流程工业的IEC61511，针对机械领域不同应用的IEC62061、EN954-2、EN/IEC60204-1，针对核领域的IEC61513，针对铁路领域的EN50126/7/8，针对熔炉的有PREN-51056等。构成安全相关系统的电气、电子、可编程电子部件及子系统的功能安全标准也在制定之中，已经完成的标准如IEC 61784-3等。一些国家或地区针对功能安全开始了一些研究项目，如欧洲协作项目SIPI 61508。目标是通过安全相关系统改善过程工业的安全水平，为欧盟通过执行统一的IEC 61508标准方法来获得安全的工业过程提供一系列指南。这些指南将加速理解，并推动功能安全标准IEC 61508的解释和执行。

　　一些公司和组织开始开发符合IEC 61508的安全相关系统。如基金会现场总线(FF)正在开发满足IEC6108的基于现场总线网络的安全相关系统。还有就是用互联网来推动工业以太网的发展，如操作或者管理水净化处理工厂的远程监控系统。功能安全标准的影响正在快速扩大，相关产业也在迅速的扩大。

　　可以看出功能安全已经得到了各行业的充分的重视，将安全标准和安全评估体系应用到电厂的安全相关系统的设计中也是今后的发展趋势。

　　参考文献

　　[1] Riccardo Mariani, Gabriele Boschi, Federico Colucci, Using an innovative SoC-level FMEA methodology to design in compliance with IEC61508, Design, Automation & Test in Europe Conference & Exhibition, 2007. DATE '07, 16-20 April 2007 Page(s):1 – 6, Digital Object Identifier 10.1109/DATE.2007.364641

　　[2] P H Jesty, D D Wardt, R S Rivett* and R J Evans, safety analysis of programmable automotive systems, System Safety, 2006. The 1st Institution of Engineering and Technology International, Conference on, Jun. 2006 Page(s):136 - 145

　　[3] Hickling, E.M.; King, A.G.; Bell, R, Human factors in electrical, electronic and programmable electronic safety-related, Systems, System Safety, 2006. The First Institution of Engineering and Technology International, Conference on, 6-8 June 2006 Page(s):7 pp.

　　[4] Elia, A.; Ferrarini, L.; Veber, C, Analysis of Ethernet-based safe automation networks according to IEC 61508, Emerging Technologies and Factory Automation, 2006. ETFA '06. IEEE Conference on, 20-22 Sept. 2006 Page(s):333 – 340, Digital Object Identifier 10.1109/ETFA.2006.355419

　　[5] Sammarco, J. J, Programmable Electronic and Hardwired Emergency Shutdown Systems: A Quantified Safety Analysis, Industry Applications, IEEE Transactions on, Volume 43, Issue 4, July-aug. 2007 Page(s):1061 – 1068, Digital Object Identifier 10.1109/TIA.2007.900477

　　[6] 史学玲. 功能安全标准的历史过程与发展趋势[J]. 仪器仪表标准化与计量，2006.

　　[7] 燕飞,唐涛. IEC61508及其在铁路安全相关系统研制开发中的应用研究[J].铁道学报，2005.

　　[8] 李佳玉,员春欣. IEC61508功能安全国际标及安全性分析[J].中国铁路，2001.

　　[9] 冯晓升. IEC61508电器的／电子的／可编程电子安全一相关系统的功能安全简介[J].仪器仪表标准化与计量，2000.