可靠性系列讲座-9.pdf

《可靠性系列讲座-9.pdf》由会员分享，可在线阅读，更多相关《可靠性系列讲座-9.pdf（6页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09仪器仪表标准化与计量200831 8 编者按 本刊 2 0 0 7年在“安全控制技术”栏目安排了六讲功能安全技术讲座，概要介绍了功能安全的基本概念、方法与技术，得到广大读者的广泛关注与积极回应。2 0 0 8年，该讲座还将继续进行，针对读者关心、与功能安全相关的几个关键问题，进行更详细的技术介绍。主讲人是机械工业仪器仪表综合技术经济研究所功能安全中心主任史学玲教授及其他专家。第九讲 如何使用专用工具进行功能安全设计与评估孟邹清（机械工业仪器仪表综合技术经济研究所，北京市

2、 1 0 0 0 5 5）Meng Zouqing(Instrumentation Technology&Economy Institute,Beijing 100055)Chapter 9:How to Use Special Tools to Design and Assess E/E/PESAbstract:The paper analysed the necessity of a special tool for E/E/PES design and assessment,and introduced theexisting tools in the world,and took it

3、eiSIL for example to introduce the way of use special tools to design and assess E/E/PES.Key words:Functional Safety Design Functional Safety Assessment Special Tools of Functional Safety【摘 要】【关键词】本文结合功能安全评估技术与设计方法，分析了使用功能安全专用工具的必要性，介绍了国际上现有的部分工具，并以 i t e i S I L为例，介绍了使用专用工具进行功能安全设计和评估的方法。功能安全设计 功能安

4、全评估 功能安全专用工具主讲人简介：孟邹清，机械工业仪器仪表综合技术经济研究所功能安全中心，硕士，工程师。对功能安全标准IE C 6 1 5 0 8 和IE C 6 1 5 1 1 有深入研究，致力于安全完整性的分析技术、计算方法和优化技术方面的研究，参与并完成了科技部开发项目E/E/P E 安全系统安全完整性水平优化工具的设计开发，参与多项国家科技部、8 6 3 课题项目，在多份杂志及学术期刊上发表了多篇有关功能安全的论文。前言前面的讲座中我们介绍了安全相关系统的安全完整性（S I L）设计应该满足哪些要求以及如何进行功能安全评估工作等内容。细心的读者可以发现，功能安全技术标准的一大特点是量

5、化风险控制目标，并用数学方法将对安全相关系统的风险控制目标分解到系统的每一个子系统、每一个器件，同时规定了大量标准技术方法和管理规范，因此，若要满足标准要求开展功能安全的设计、评估等工程工作，需要一整套的计算机工具来完成大量计算、模型、模板、分析等工作。实际实施功能安全工程设计和评估是一项十分复杂的工作，在国际上评估一个带 2 0 个 I S F（仪表安全功能）Control Tech of Safety&Security仪器仪表标准化与计量200831 9回路的系统，6 位专家协同工作，采用专门工具需要大约一个月时间。大的系统有 2 0 0 0 多个回路，如果没有专用工具，系统的设计、评估、

6、确认等工作量是无法想象的。1 国内外现有工具介绍功能安全的全生命周期大致可以分成分析、设计实现、操作维护三个不同的阶段，各阶段所涉及到的技术领域不尽相同，需要的工具也有很大差别。如分析阶段要进行危险和风险分析、保护层分析，确定出危险事件的危险等级、需要的安全回路个数、各安全回路的功能以及需要达到的 S I L级别，为设计实现阶段提出目标要求。因此，需要可以帮助风险分析人员、工艺工程师、仪表工程师以及用户代表们进行危险和可操作性分析（H A Z O P）、保护层分析（L O P A）、以及在这些分析的基础上进行 S I L 确定和分配工作的工具。而在设计实现阶段，设备选型、结构设计、软硬件配置、

7、P F D（P r o b a b i l i t y o f F a i l u r e o n D e m a n d，要求时的硬件随机危险失效概率）计算、故障诊断等等都是设计工程师们考虑的问题，相应的专用工具就提供了 P F D计算、结构约束分析优化等功能。同样，在操作维护阶段，需要操作管理和维护管理的工具。当然，在整体生命周期中还有一些活动，如功能安全评估，由于它贯穿整个生命周期各个阶段，那么，可以采用专用的评估工具，也可以分别采用以上各阶段的工具。目前，国内外市场上已经出现了一些功能安全专用工具，这些工具或是仅仅针对某一阶段的某个功能（如 P F D 计算），或是一系列工具的集成。如

8、 P r i m a T e c h公司 P H A W o r k s，是用来进行风险分析和保护层设计的工具；美国e x i d a 公司推出了一系列的工具：S I L e c t是在风险分析的基础上进行 S I L选择和确定，S R S可以帮助制定安全要求规范，S I L v e r可以进行 P F D 计算和结构约束的 S I L 评估，给出硬件的安全完整性等级。德国西门子公司的 S I M A T I C S a f e t y M a t r i x，是一款在西门子 S T E P 7或 P C S 7环境下工作的组态软件，它建立起过程背离与过程响应之间的关系矩阵，使工程师或操作员可

9、以随时监测过程状态并及时做出响应，以 保 证 过 程 安 全。另 外，还 有 德 国 皮 尔 磁 公 司 的P A S c a l，用于系统的 P F D计算。等等。机械工业仪器仪表综合技术经济研究所功能安全中心是国内最早开展功能安全研究的机构之一，在科技部的专项资金资助下，经过多年的研究和准备，开发出 E/E/PE安 全 系 统 的 安 全 完 整 性 优 化 工 具 “i t e i S I L”。该工具充分体现了“全系统、全生命周期”的功能安全设计理念，针对全生命周期模型的不同阶段进行功能块设计，覆盖了从风险分析到 S I L 分配、从硬件结构约束和 P F D计算到系统 S I L确认

10、等活动，是S I L 评估和优化设计的必备工具之一。2 使用工具进行功能安全评估与设计实例下面，我们就以 i t e i S I L 工具为例，介绍一下如何使用工具进行功能安全评估和设计。在之前的讲座中我们也讲到，功能安全评估是指通过调查，依据证据来判断一个或多个 E/E/P E安全相关系统、其他技术安全相关系统或外部风险降低设施达到功能安全。应对整体安全生命周期、E/E/P E S安全生命周期和软件安全生命周期的所有阶段进行功能安全评估，确定每一个阶段中开展的活动和获得的输出，并判断对标准中规定的目的和要求的满足程度。简单来说，功能安全评估就是要考查以下两个方面：一是安全功能的提出是否合理（

11、对应分析阶段），二是安全功能的设计实施是否符合要求（对应设计实现、操作维护阶段）。为了满足功能安全评估的需求，i t e i S I L 依据整体生命周期的各个阶段依次设计了系统范围定义、危险点和风险分析、安全完整性分配、安全要求规范、硬件随机失效评价（P F D计算）、硬件结构约束评价、系统的安全完整性和结论共八个主要功能模块。其中，前三个功能实现了对分析阶段的评估，第四个功能块是对前三个阶段的分析汇总后提出的安全功能的要求，第五到第七个功能块完成了对安全功能的设计实现，第八个功能块是对设计实现的评估，给出对 S I L要求的满足程度。如图 1所示。图1 i t e i S I L 功能结构

12、2.1 定义系统范围该部分是整个工程项目的开始，也是整个功能安全 评 估 活 动 的 开 始。在 这 里 需 要 确 定 E U C（E q u i p m e n t u n d e r c o n t r o l，受控设备）和 E U C控制 系 统 的 边 界，并 分 析 确 定 危 险 和 风 险 分 析 的 范 围（如过程危险、环境危险等）。工程师们可以使用工具来实现建立项目、E U C和/或 EUC控制系统的边界说明、控制功能分析、工作环境说明、可能的危险源分析、相关危险源分析以及可用标准或法规的选择。2.2 进行危险点和风险分析该功能块包括两个方面的内容，一是危险点的定义及描述，

13、二是分别对每一个危险点进行风险分析，确定该危险点要求的安全完整性等级（S I L）。安全控制技术仪器仪表标准化与计量200832 0所谓的危险点即通常所指的危险事件，如锅炉爆炸、毒气泄漏等。为了满足功能安全验证、确认等后续工作对文档化的需求，工具提供了危险点的定义和描述输入窗口，包括危险点的名称定义、该危险点涉及到的物理设备（如该危险点会对哪些设备产生影响）和需考虑的外部事件（其他有可能导致危险发生的条件因素的描述，如闪电或静电噪音等）。风险分析，实际上是指“基于风险的 S I L确定”，通过对危险后果和发生频率的描述，确定该危险点要求的 S I L 等级。“基于风险的 S I L 确定”技术

14、有很多种，这里采用了一种最方便实用的方法风险图法。重点考虑危险对人造成的危害。采用风险图法确定要求的 S I L等级，需要考虑四种参数：后果严重程度、风险暴露时间和频率、不能避开危险的概率、不期望事件发生概率。每一种参数都分为多个等级，在进行风险分析前必须要先修正风险参数的描述，这是因为不同的行业对人员伤亡的可接受程度是不一样的，所以不同的行业对每个等级的描述也肯定不相同，例如：对于石化行业，几人死亡可能就属于大灾难（C 4），而对于煤炭行业，几人死亡或者只是后果严重（C 3），多人死亡才能属于大灾难（C 4）。如图 2所示，窗口的左半部分，是对风险参数的描述，右半部分是风险分析流程图和风险分

15、析结果对应的安全完整性等级描述。假设所有风险参数采用默认设置，某一个危险会造成一人死亡，或对一人至多人造成严重的永久性伤害（C 2），且会使人经常至永久暴露在危险区域（F 2），但是又几乎不可能避开危险（P 2），且危险的发生概率相对小（W 2），那么该危险的 风 险 等 级 为 d，对 应 的 要 求 的 安 全 完 整 性 等 级 为S I L 2级。图 2 风险参数设置窗口2.3 进行安全完整性分配安全要求分配是整体安全生命周期中的重要一环，也是从整体安全生命周期向 E/E/P E S 的安全生命周期转 折 的 一 个 阶 段。在 这 一 部 分，将 要 根 据 整 个 系 统（即，E

16、U C或 E U C控制系统）的要求，为每一个服务于该系统的 E/E/P E S分配安全功能要求（即，该 E/E/P E S要实现怎样的安全功能）和 安 全 完 整 性 要 求（即，该 E/E/P E S要达到的 S I L等级）。2.4 制定安全要求规范安全要求规范包括了对待设计的系统要实现的安全功能以及该安全功能要达到的S I L 等级的详细描述，还包括所有为了保证安全而必须的性能要求，如：响应时间、急停模式、最大允许误动作率等。2.5 进行硬件随机失效评估这部分的主要功能是 P F D/P F H的计算。P F D，针对低要求操作模式，指 E/E/P E安全相关系统的一个安全功能在要求时

17、的平均失效概率，是评价系统随机硬 件 失 效 安 全 完 整 性 的 结 论 性 数 据，按 照 标 准 GB/T 2 0 4 3 8-2 0 0 6（I E C 6 1 5 0 8），根据该值的大小，将当前系统的随机硬件失效的安全完整性划分到 S I L 1 4 级之一，再与目标 S I L 等级相比较，确定是否达到要求。同理，P F H，是指 E/E/P E安全相关系统的一个安全功能每小时的平均失效概率，是针对高要求或连续操作模式下的评估。为了计算一个 E/E/P E安全相关系统在执行某个安全功能时的 P F D或 P F H值，用户需要首先确定如下信息：a)确定系统在执行该安全功能时的操

18、作模式：低要求还是高要求或连续操作模式。b)将每个系统划分为传感器部分、逻辑器部分和最终元件部分这三个部分，确定每个部分由哪些组件构成，并将每一部分都描述成 1 o o 1、1 o o 2、1 o o 2 D、2 o o 2、2 o o 3、m o o n（m =n =6）等的一个或多个表决组。c)为每一个表决组确定检验测试时间间隔、平均恢复时间，每个通道的诊断覆盖率和通道间的共同原因失效分数。接下来，用户就可以通过工具，选择/输入组件、构造系统、输入相关参数值、计算整个系统的 P F D/P F H值了。该工具的硬件随机失效评估模块的功能结构如图 3所示。图 3 硬件随机失效评估模块的功能结

19、构（下转第4 8 页）Control Tech of Safety&Security仪器仪表标准化与计量200834 8年 9 月 2 3 日,灵敏板温 度 在 常 规 操 作 下偏离设定值达到 8.5，波 动 方 差 7.5 6；0 7 年 8 月 2 3 日，在 先 控 投 用 后，灵敏 板 温 度 偏 离 设 定值最大是 3.7，参波动方差是 1.0 7,与 常 规 控 制 相 比 参数 运 行 方 差 减 少8 5.7。通过先控投用,提高了该塔生产过程控制水平,提高 了 生 产 过 程 操 作稳定性,提高了乙苯的收率。总之,该装置以前 操 作 人 员 需 要 对每 个 控 制 回 路

20、逐 一进 行 调 节，投入了大 量 精 力。在先控投用后，操作人员只需输入本岗位的控制目标，调节由多变量预估控制器自动完成，大大减轻了操作人员的劳动强度，而操作的平稳性也较以前大为提高，并且提高了乙苯产品的产率，收到用户的好评。参考文献 1 金晓明.先进控制技术及应用.兰州：化工自动化及仪表，1 9 9 9，2 6（5）：6 7 7 4 （上接第2 0 页）2.6 进行硬件结构约束评估硬件结构约束的安全完整性跟随机硬件失效概率的安全完整性一起实现了硬件的安全完整性。对硬件结 构 约 束 评 估 主 要 考 虑 三 个 要 素：安 全 失 效 分 数（S F F）、硬件故障裕度和子系统类型（A型

21、/B型）。工具可以根据用户的选择，得出构成功能回路的每一个子系统和子系统组的结构约束的安全完整性。2.7 确定系统的安全完整性对一个安全相关系统进行功能安全评估，要从硬件、软件和系统整体这三个方面进行。3.5 和 3.6 两部分完成了对硬件的评估，该部分则是对软件和系统整体进行评估。由于对软件和系统整体的评估不能像对硬件随机失效概率那样进行精确的量化计算，因此，采用了对软件和系统整个生命周期各个阶段所采用的技术/措施进行评估的方法。通过对这些技术措施进行分级，来确定软件或系统的安全完整性等级。2.8 完成评估结论该部分的主要功能是给出功能安全评估结论、生成各种图和报表。包括要求的 S I L、

22、达到的 S I L、各部分（组件、子系统、子系统组）对 P F D/P F H的贡献分布图、项目报告、系统报告等。直观的给出系统的改进和优化方案。3 结束语功能安全专用工具经过短短几年的发展，已经如雨后春笋般纷纷出现。我们相信，随着人们对功能安全技术、产品的研究和应用的继续深入，功能安全专用工具也必将更加细化和全面。使人们的功能安全设计和评估工作更加方便和轻松。图 4 C-2 6塔灵敏板温度 A P C投用前后结果比较图图 5 C-3 4塔灵敏板温度 A P C投用前后结果比较图作下偏差达到 7.4，参数波动方差 7.8；0 7 年 8 月 1 3日 1 0点至 1 4日 2 3点在投用先控后，灵敏板温度最大波动 2.7，参数波动方差是 0.4 5,与常规控制相比参数运行方差减少9 4.1。通过先控投用,提高了该塔生产过程控制水平,提高了生产过程操作稳定性,提高了塔的精馏效果。3.2 C-3 4塔先控应用效果分析C-3 4 塔灵敏板温度控制效果较好如图 5 所示,0 6Application and Practice