《功能安全技术讲座第16讲功能安全中表决结构的分析与应用.pdf》由会员分享,可在线阅读,更多相关《功能安全技术讲座第16讲功能安全中表决结构的分析与应用.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Control Tech of Safety&Security14仪器仪表标准化与计量2009.4功能安全技术讲座【摘 要】【关键词】Abstract:The paper introduces some typical voting structure and their analysis and application methods.Through the comparison between the various voting structures,fi nd their difference on implementing the safety integrity of Functi
2、onal Safety.Keywords:Functional Safety Voting Redundancy阐述功能安全理论中几种典型的表决结构及其分析应用方法,通过对不同表决结构的比较,确定其在实现安全功能的安全完整性和可用性上的差异。功能安全 表决 冗余编者按 本刊在20072008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关注与积极回应。2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术上。本讲主讲人是熊文泽工程师。第十六讲 功能安全中
3、表决结构的分析与应用Chapter 16:Analysis and Application on Voting Structure for Functional Safety 熊文泽(机械工业仪器仪表综合技术经济研究所,北京市 100055)Xiong Wenze(Instrumentation Technology&Economy Institute,P.R.China,Beijing 100055)主讲人简介:熊文泽,男,工学学士,机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师,对功能安全标准IEC 61508(GB/T 20438-2006)和IEC 61511(GB/T
4、21109-2007)有深入的研究,参与多项国家科技部、863课题中功能安全子项的研究。功能安全理论的服务对象为:执行多种安全功能的E/E/PE(电子、电气和可编程电子)安全相关系统,这些系统在石化、化工、电力、铁路等领域中已经得到广泛应用,如:主要应用于流程工业(石化、化工)的安全联锁系统(Safety Interlock SystemSIS)和紧急停车系统(Emergency ShutdownESD);在电厂中广泛应用的火灾及气体检测系统(Fire and gas systemsF&G)和燃烧管理系统(Burner Management System)以及应用于铁路的列车自动防护系统(AT
5、P)。这些系统不仅能响应生产过程因超过安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定条件或程序使生产过程处于安全状态,对于保障人员、设备及工厂周边环境的安全至关重要。不同的表决结构配置直接影响安全相关系统的好坏。如何选择表决结构,才能既保证安全相关系统安全控制技术15仪器仪表标准化与计量2009.41)假定将执行某一安全功能的安全系统回路划分为传感器单元、终端执行单元和逻辑解算器(安全PLC)三部分,根据统计数据表明,各部分出现故障的概率分布如下:*检测元件故障概率35%*终端执行元件故障概率50%*逻辑解算器故障概率15%2可见,在检测元件和终端执行元件采用多通道表决,可以有效
6、的提高SIL等级。以上面例子来说,若通过冗余使得检测元件和执行元件的PFDavg降低如下:传感器 PFDs 3.09*10-4(SIL 3)终端执行器 PFDA 2.0*10-4(SIL 3)则达到了SIL3的要求。2)根据IEC6 1508.2(GB/T 20438.2)中关于硬件安全完整性的结构约束要求,系统必须根据其安全失效分数达到相应的硬件故障裕度(HFT),例如硬件故障裕度为1,则可选用1oo2或2oo3表决1。3)与安全相关系统关联的传感器和终端执行元件应与常规控制元件分开单独设置,并采用保障故障安全(fail-safe)配置,如正常工况带电(励磁),非正常工况失电(非励磁),保障
7、安全系统发生故障时能将过程置于安全状态。4)在实际应用中为保证整个系统的有效性,避免安全失效导致安全相关系统误动作,与安全相关系统关联的单元可采用二取一、二取二、三取二等表决结构,其好处是即使其中一个通道发生失效,通过诊断能对失效的通道报警,在保证安全的前提下继续工作,等待在规定时间内完成修复,如果不能完成修复再将过程置于安全状态。5)冗余的构成必须充分考虑到共因失效的影响,尽可能保证不同通道对电源、外界环境影响的独立性,可能的话对不同通道采用不同的厂商设备、不同的诊断测试机制和置于不同的物理位置。3 几种典型表决结构的分析计算3.1 一取一表决逻辑 该结构由单通道构成,如图2所示。图2 1o
8、o1结构图安全可靠性要求,当危险发生时及时采取响应措施,使设备能够按照预定要求进入安全状态,防止事故发生;又能尽量避免由于安全相关系统系统安全失效而导致误停车,从而造成极大的经济损失,是广大工程师们必须要考虑的问题。本文将分别讨论不同表决结构的分析计算方法并对其不同应用效果进行比较。1 什么是表决MooN表决是指一套安全相关系统或者其中某一部分,有N个独立的通道,以这样的方式连接:即至少需要其中的M个通道完好,才能执行正确的安全功能。例如1oo2表决就意味着2个独立设备,只需要其中一个装置正常运行就能正确的执行安全功能,只有当两个设备都出现危险故障时,安全功能才会失效1。2 构建表决结构的要点
9、功能安全的最终量化标准是安全完整性等级(SIL),一个安全功能要达到要求安全完整性等级,就必须保证执行这个安全功能的整个安全回路从传感器单元、逻辑解算器单元到最终执行器单元都必须达到相应的SIL等级,例如若一个安全功能要求达到SIL3级,那必须保证三个部分都至少为SIL3级,如图1所示。图1 SIL3系统的基本要求示例如何保证每一部分都能达到SIL3要求?大家知道,对于现场仪表来说,由于环境条件或技术条件等的限制,若SIL等级要求很高,单台设备往往不能满足要求。另一方面,即使每个部分都达到了相应的SIL等级,整个回路是否一定能满足SIL要求呢?假定,三部分在要求时的失效概率PFDavg分别如下
10、传感器 PFDs 5.09*10-4(SIL 3)安全PLC PFDL 1.21*10-4(SIL 3)终端执行器 PFDA 5.1*10-4(SIL 3)则可见即使系统的三个部分都达到了SIL3的安全完整性等级,整个系统也不一定能达到SIL3。在以上情况下,采用多通道表决使系统达到要求的SIL等级是一个不错的选择。这里归纳出以下几个要点说明在实际操作中如何考虑构建表决结构:Control Tech of Safety&Security16仪器仪表标准化与计量2009.4可靠性框图如图3所示。注:D为危险失效率图3 1oo1可靠性框图假定系统处于低要求操作模式,采用可靠性框图法分析计算并简化(
11、下同),其要求时平均失效率PFDavg为:可见由于只有一个通道执行安全功能,虽然结构简单,但系统的拒动率和误动率都很高,而不具有容错能力,对设备的各种失效模式没有保护能力,一旦发生危险失效(D),系统无法执行安全功能将过程置于安全状态。3.2 一取一带诊断表决逻辑1oo1D 该结构由一个普通通道和一个诊断通道构成。如图4所示。图4 1oo1D表决结构图可靠性框图如图5所示。注:DU为未检测到的危险失效率(下同)图5 1oo1D可靠性框图假定不考虑诊断测试间隔的影响(以下同),其要求时平均失效率PFDavg简化计算公式为:可见由于带有诊断通路,不但系统的可靠性得以提高,而且能通过自诊断检测出发生
12、故障的元件,向系统或操作员报警,通知工厂相关人员及时对故障元件进行维修,保障系统的整体安全。3.3 二取一表决逻辑1oo2 据标准GB/T20438,1oo2结构为两个并联的通道构成,无论哪一个通道都能处理安全功能。如图6所示。可靠性框图如图7所示。考虑共同原因失效影响,引入共因失效因子(分析计算方法参见标准GB/T20438.6),其要求时平均失效率PFDavg为:若检验测试时间间隔足够短,那么非共因失效部分的数量级将远小于共因部分,上式可近似为:若两通道采用相同的结构,即D1=D2=D,则可见由于系统采取了冗余结构(二取一结构),能有效地抵御危险失效的发生。由于采用的是失电停车,通过将两个
13、PLC单元串联起来,如果一个单元故障发生了危险失效,但由于系统或操作人员不知道,它将仍有假性正常输出,而另一个单元仍然可以检测到故障,发出命令使系统进入安全状态,起到保护作用。从公式可以看出,此时共同原因失效成为系统发生失效的关键因素,在实际设计过程中应尽量避免。总的来说系统安全性较好,但可用性差。3.4 二取一带诊断表决逻辑1oo2D1oo2D结构中有4个通道,其中包括两个诊断电路通道。1oo2D结构由双重1oo1D系统并联接线,每个诊断电路通道,不仅受到自身所在电路单元的控制,同时也受到另外一个冗余电路单元的控制。正常工作期间,在发生安全功能之前,两个通道都要求安全功能。如果任一通道中诊断
14、测试检测到一个故障,则将采用输出表决,因此整个输出状态则按照另一通道给出的输出状态。如果诊断测试在两个通道同时检测到故障、或者检测到两个通道间存在差异时,输出(2)(1)图6 1oo2表决结构图 注:CC为共因失效部分(下同)图7 1oo2可靠性框图(3)安全控制技术17仪器仪表标准化与计量2009.4则转到安全状态。为了检测两个通道间的差异,通过一种与另一通道无关的方法,无论其中那个通道都能确定另一通道的状态1。图8 1oo2D表决结构图假设 D1=D2=D,S1=S2=S(以下均采用此假设),可靠性框图如图9所示。注:DD为检测到的危险失效率,SD为检测到的安全失效率DU为未检测到的危险失
15、效率,SU为未检测到的安全失效率图9 1oo2D可靠性框图参考1oo2和1oo1D的公式,且由于前两项很小可忽略,其要求时平均失效率PFDavg为:通过以上的分析可见,这种结构的好处是既能够容忍一个单元通道未检测出的危险失效也能容忍安全失效。一方面当一个单元中的通道未检测出危险失效时,其诊断电路的开关将处于短路状态而不能被该单元打开,但1oo2D的另一个单元检测到过程危险后除了将自己诊断电路开关打开外,同时也可以将危险失效单元诊断电路的开关打开,从而执行单元动作,保证系统安全。在两个单元都没有检测到危险失效时,1oo2D结构系统才会发生危险失效。另一方面,当一个单元中通道发生安全失效或检测到的
16、危险失效时,这个单元将处于开路状态,但1oo2D的另一个单元仍然保持短路状态,系统将一直带电避免了误停车。总之,1oo2D设计的系统既能容忍安全失效,又能容忍危险失效,提供完全的系统容错3。3.5 二取二表决逻辑2oo2此结构由并联的两个通道构成,因此,在发生安全功能之前两个通道都要求安全功能。可靠性框图如图11所示。图10 2oo2表决结构图图11 2oo2可靠性框图由图11可见,2oo2表决的可靠性逻辑结构相当于2个1oo1结构的串联,其PFDavg为1oo1结构的两倍,即:系统采用并联冗余结构,单一通道的安全失效将不会导致误停车,即当一个通道发生安全失效而开路时,另一个通道仍保持着输出使
17、能,故系统可用性好。但系统安全性差,这种结构不能容忍任何的危险失效,即任何一个通道一旦发生危险失效,系统将会发生危险失效,无法执行要求的安全功能。因此从安全角度讲,应尽量避免采用2oo2表决。3.6 其他多通道表决逻辑。此外在安全相关系统还有1oo3、2oo3、2oo4、2oo4D等结构,我们可以通过与以上几种典型结构类似的方法进行分析。例如以2oo3为例,在2oo3结构中,每一个输出通路中有两个控制器通道的输出串联,3个通道两两串联,构成表决电路,系统输出时采用多数表决的结果,即至少有两个通道输出闭合时,输出使能;无论一个通道发生安全还是危险失效,系统一直能够保持正常工作状态,因此系统具有较
18、好的可靠性和可用性。4 典型表决结构应用效果比较根据上面的分析,对不同表决结构间的比较如表1所示。(4)(5)表1 表决结构比较汇总表决结构一次降级二次降级硬件故障裕度安全性可用性1oo1停车/0低低1oo1D停车/0较高较低1oo2停车/1高低1oo2D1oo1D停车1较高较高2oo21oo1停车0最低高2oo32oo2停车1高高2oo4D1oo2D停车2高高(下转第38页)Technology of Industrial Wireless Communication38仪器仪表标准化与计量2009.4从机的Modbus报文,还是从从机到主机的Modbus报文,WIA网络只需要将完整的Mod
19、bus协议报文封装在WIA网络的通信协议应用层报文部分,如图6所示,传输到WIA网络的终端,将应用层报文解析后,直接投递到Modbus设备,即完成透明传输机制。每个Modbus的从机设备有两个地址,一个是Modbus网络的地址,用于Modbus设备的寻址,一个是WIA网络的地址,用于WIA网络的寻址。在设备加入网络时,网关保存了每个设备的Modbus网络地址和WIA网络地址的映射关系。当网关接收到Modbus报文后,需要根据Modbus网络地址找到相应的WIA网络地址,才能在工业无线网内转发到终端从机的Modbus设备上。图6 透明传输示意图3.2 协议转换机制协议转换机制,即指WIA网络接入
20、的主机设备(图5所示的PLC、控制板、HMI等)使用Modbus协议,而接入WIA网络的从机设备(图5所示的120mA仪表)不使用Modbus协议,这样,网关将实现Modbus协议与WIA网络协议之间的转换功能。在网关设备上,仍需要一个Modbus网络地址和WIA网络地址的映射表,从机设备则只需要保存一个WIA网络地址即可。3.2.1 Modbus协议向WIA网络协议转换网关接收到Modbus网络报文,读取Modbus报文内的地址码,在地址映射表内查找该地址对应的WIA网络地址,若不存在,则说明不是传给该网络的报文。找到WIA网络地址后,按WIA网络地址,将去掉地址码和CRC的Modbus报文
21、作为工业无线网的应用层报文,封装上网络层和链路层,如图7所示,Modbus报文向WIA报文转换,并通过WIA网络传输到终端从机设备(图1所示的120mA仪表)。从机设备解析后,发现是Modbus命令,则执行功能码所指示的行为,并将应答码和应答报文作为响应发回给网关。3.2.2 WIA网络协议向Modbus协议转换网关接收到无线报文,解析后发现需要转发给Modbus网络,则根据WIA网络的源地址,在地址映射表内查找对应的Modbus网络地址,将该地址连同解析后的Modbus报文(功能码和数据),一起生成CRC,并填入报文尾部,还原成Modbus报文,如图7所示,WIA报文向Modbus报文转换,
22、投递到Modbus网络。图7 协议转换示意图4 结论随着WIA技术在工业领域的逐步推广,WIA网络必将与越来越多的工业通信网络或现场总线进行互联和互操作。本文介绍了WIA网络与Modbus网络互联的2种方式:透明传输方式和协议转换方式。在对其进行比较和分析的同时,给出了设计方案和具体实现细节。本文介绍的设计方法和实现方法具有一定的通用性,同样适用于WIA与其他工业通信网络的互联。参考文献 1 中 国 工 业 无 线 联 盟.h t t p:/w w 梁炜,张晓玲.WIA-PA:用于过程自动化的工业无线网络系统结构与通信规范J.仪器仪表标准化与计量,2009(2):30363 Modbus Ap
23、plication Protocol V1.1b(上接第17页)5 结束语功能安全中的表决结构对于控制安全相关系统的硬件随机失效起着至关重要的作用,目前许多国际知名公司开发的安全相关系统或安全PLC也是以上面介绍的几种表决结构为基础的,如美国GE Fanuc公司的GMR90-70(2oo3);ABB Industry公司的Safeguard 400&300(1oo2D)。只有深入理解了这几种表决结构的具体形式和优缺点,安全相关产品的开发商、集成商和最终用户才能科学的实现产品的全生命周期,最终实现真正的安全。参考文献1 GB/T 20438.6-2006,电气/电子/可编程电子安全相关系统的功能安全 第六部分:GB/T 20438.2和GB/T 20438.3的应用指南2 阳宪惠,郭海涛.安全仪表系统的功能安全.清华大学出版社,20073 刘建侯.仪表型安全系统功能安全评估的应用研究.自动化仪表,2006