《“ 功能安全产品实现技术“系列讲座 第4讲 安全相关产.pdf》由会员分享,可在线阅读,更多相关《“ 功能安全产品实现技术“系列讲座 第4讲 安全相关产.pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、PROCESS AUTOMATION INSTRUMENTATION Vol郾 34 No郾 9 September 2013修改稿收到日期:2013-05-14。作者谢亚莲(1966-),女,1991 年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究。“功能安全产品实现技术冶系列讲座第 4 讲摇安全相关产品的硬件实现(一)Chapter 郁摇 Implementation of the Hardware for Safety鄄related Products:Part 1谢亚莲1,2(上海工业自动化仪表研究院1,上海摇 200233;上海仪器
2、仪表自控检验测试所功能安全中心2,上海摇 200233)摘摇 要:分层次介绍了与功能安全相关的、能够体现功能安全设计理念的术语和定义、架构约束条件。功能安全的设计理念就在于提出了安全完整性的指标,并给出了通过采取诊断措施和结构冗余的方法来实现安全完整性。然后针对安全相关产品,并基于标准IEC 61508.2 Edition 2 的要求,给出了编制安全相关产品设计要求规范的具体要求。关键词:安全相关系统摇 子系统摇 组件摇 危险失效摇 安全失效摇 硬件故障裕度摇 架构约束中图分类号:TP202摇 摇 摇 摇 文献标志码:AAbstract:The terms,definitions,and ar
3、chitectural constraints related to functional safety are introduced hierarchically;these contents reflect thedesign concept of functional safety,i.e.,proposing the indexes of safety integrity,and the method of diagnosis test and structural redundancy forimplementing safety integrity.Then,aiming at t
4、he safety鄄related products,and based on requirements of IEC 61508.2 Edition 2,specificrequirements for working out the design requirement and specification of safety鄄related products are given.Keywords:Safety鄄related system摇 Subsystem摇 Element摇 Dangerous failure摇 Safety failure摇 Hardware fault toler
5、ance摇 Architectural constraints0摇 引言在第一讲中我们讲到安全相关产品的实现包括硬件实现和软件实现,硬件实现又包括硬件安全完整性的实现和系统安全完整性的实现。这些硬件安全完整性的要求和系统安全完整性的要求就是安全相关产品在硬件实现过程中有别于非安全相关产品的特殊要求。硬件安全完整性与硬件随机失效相关,可以被量化。它是通过引入功能安全的理念对产品进行针对性设计来实现的,譬如进行故障诊断设计以提高诊断覆盖率、降低不可检测到的危险失效,从而提高安全失效分数。系统安全完整性与系统失效相关,不可以被量化,它是通过在产品的安全生命周期的每个阶段进行项目管理,在相关阶段采取一
6、些必要的措施和技术以控制系统失效和避免系统失效来实现的。我们根据 IEC 61508.2:2010 Edition 2 中的要求和方法来讲述安全相关产品的硬件实现。以安全相关产品的安全生命周期为脉络,展开安全相关产品的实现过程。1摇 功能安全的设计理念在展开安全相关产品的设计开发之前,我们先要了解安全相关产品的设计理念及其特有的安全相关参数。有了这样的理念后,在安全相关产品的研发活动中,才能有针对性地引进必要的措施和手段。1)安全相关系统、子系统和组件(1)安全相关系统(safety鄄related system):指定系统需同时满足以下两项条件淤 为 达 到 和 保 持 受 控 设 备(eq
7、uipment undercontrol,EUC)的安全状态,实现必要的安全功能;于 或与其他安全相关系统以及其他风险降低措施共同作用,实现要求的安全功能的必要的安全完整性。(2)子系统(subsystem):安全相关系统顶层架构设计实体,子系统的危险失效可导致一个安全功能的危险失效。(3)组件(element):子系统的一部分,由单个元器件或一组元器件构成,执行一个或几个组件安全功能。29安全相关产品的硬件实现(一)摇 谢亚莲自动化仪表第 34 卷第 9 期摇 2013 年 9 月安全相关系统、子系统和组件的关系如图 1 所示。由子系统构成安全相关系统,如传感器子系统、逻辑控制子系统、终端执
8、行单元子系统;实现各子系统功能的功能模块即为组件,如安全栅、压力变送器等。我们所说的安全相关产品通常即为组件。图 1摇 安全相关系统、子系统和组件之间的关系Fig.1摇 The relationship among safety-related systems,subsystems and elements2)安全失效、危险失效与安全失效分数在可靠性理论中定义失效为:“产品丧失完成规定功能的能力的事件冶。可靠性只研究电子元器件、机械器件、产品的失效,而不对失效做类型划分。而功能安全是防止危险发生和减轻危险发生所造成的伤害与损失的工程,功能安全的目的就是怎样在潜在的危险中保证相对的安全。因此,功
9、能安全将失效划分为安全失效和危险失效,危险失效又可分为可检测到的危险失效和不可检测到的危险失效。安全相关产品的设计目标就是尽量降低不可检测到的危险失效。(1)安全失效(safety failure,记为 姿s):在实现安全功能中扮演一个角色的一个组件和/或子系统和/或系统的失效,失效需满足以下条件中的任意一项。淤 导致安全功能的误动作;于 增加安全功能误动作的概率,误动作是使 EUC进入安全状态或保持安全状态。(2)危险失效(dangerous failure,记为 姿D):在实现安全功能中扮演一个角色的一个组件和/或子系统和/或系统的失效,失效需满足以下条件中的任意一项。淤 当需要时阻止一个
10、安全功能正确动作(要求模式)或引起安全功能失效(连续模式),使得 EUC 进入到危险或潜在危险状态;于 降低安全功能正确动作的概率。(3)可检测的危险失效(dangerous failure detected,记为 姿Dd):由内部和/或外部诊断措施检测到的危险失效。(4)不可检测到的危险失效(dangerous failureundetected,记为 姿Du):内部和/或外部诊断措施都不能检测到的危险失效。(5)无关失效(no part failure):一个在实现安全功能中不扮演任何角色的元器件的失效。(6)无影响失效(no effect failure):一个组件的失效,该组件在实现安
11、全功能中扮演一个角色,但对安全功能没有直接影响。(7)安全失效分数(safety failure fraction,SFF):一个安全相关组件的属性,定义为安全失效加上可检测的危险失效占安全失效加上危险失效的比值,其公式为:SFF=(撞姿S+撞姿Dd)/(撞姿S+撞姿Dd+撞姿Du)(1)在安全失效分数计算中不包括无关失效和无影响失效。3)架构约束为了使组件和子系统在执行安全功能时具有足够健壮的结构,功能安全提出了硬件安全完整性的架构约束条件。与架构约束相关的术语和定义如下。(1)A 类组件:如果一个组件实现安全功能所必须的元器件满足以下全部要求,则其可以被视为 A 类组件。淤 所有组成组件的
12、元器件的失效模式都被明确定义;于 故障状况下组件的行为能够完全确定;盂 有充足而可靠的失效数据可显示满足所声明的检测到的和未检测到的危险失效的失效率。如:分立元器件皆属于 A 类元器件,由分立器件构成的组件为 A 类组件。(2)B 类组件:如果一个组件实现安全功能所必须的元器件满足以下任意一个要求,则其可被视为 B类组件。淤 至少一个组成元器件的失效模式未被明确定义;于 故障状况下组件的行为不能完全确定;盂 没有充足而可靠的失效数据可显示出满足所声明的检测到的和未检测到的危险失效的失效率。如:可编程元件、RAM、ROM 皆属于 B 类元器件,具有智能功能的组件为 B 类组件。(3)硬 件 故
13、障 裕 度(hardware fault tolerance,HFT):硬件故障裕度 N 意味着至少(N+1)个失效才会引起安全功能的丧失。硬件故障裕度即是采用冗余的方法实现某一功能或安全功能。给出上述的术语和定义都是为了表述架构约束,以下两个架构约束表格是安全相关产品架构设计的基础。A 类安全相关组件和 B 类安全相关组件的架构约束条件如表 1 和表 2 所示。根据组件或子系统的类型39安全相关产品的硬件实现(一)摇 谢亚莲PROCESS AUTOMATION INSTRUMENTATION Vol郾 34 No郾 9 September 2013以及要求的安全完整性等级,确定可达到的安全失
14、效分数和故障裕度,从而确定硬件架构。表 1摇 A 类安全相关组件或子系统执行的安全功能的最大允许安全完整性等级Tab.1摇 Maximum allowable safety integrity level for a safetyfunction carried out by a type A safety鄄relatedelement or subsystem组件的安全失效分数硬件故障裕度012摇 摇 60%SIL 1SIL 2SIL 3摇 摇 60%90%SIL 2SIL 3SIL 4摇 摇 90%99%SIL 3SIL 4SIL 4摇 摇 逸99%SIL 3SIL 4SIL 4表 2摇
15、B 类安全相关组件或子系统执行的安全功能的最大允许安全完整性等级Tab.2摇 Maximum allowable safety integrity level for asafety function carried out by a type Bsafety鄄related element or subsystem组件的安全失效分数硬件故障裕度012摇 摇 60%不允许SIL 1SIL 2摇 摇 60%90%SIL 1SIL 2SIL 3摇 摇 90%99%SIL 2SIL 3SIL 4摇 摇 逸99%SIL 3SIL 4SIL 4上述的术语和定义体现了功能安全设计理念,功能安全的设计理念就
16、在于提出了安全完整性和安全完整性等级的指标,并给出了通过采取诊断措施和结构冗余的方法来实现安全完整性和安全完整性等级。安全相关产品设计围绕着实现安全功能和实现安全完整性目标值进行。2摇 产品设计要求规范(安全要求规范)在第二讲中我们讲述了安全相关产品的目标设定,在确定了安全相关产品的目标值后就进入到安全相关产品的设计和开发。安全相关产品的安全生命周期的第一阶段是编制产品设计要求规范。产品设计要求规范包括安全功能要求规范和安全完整性要求规范。在编制产品设计要求规范中,首先应包括以下几项。淤 安全相关产品描述,安全相关产品的工业应用描述;于 适用于安全相关产品的标准、技术指令。然后,安全功能要求规
17、范应包括以下几项。淤 安全相关产品执行的所有功能,划分开安全功能和非安全功能;于 响应时间指标;盂 测量和控制的准确性和稳定性要求;榆 安全相关产品的所有状态模式,如配置状态、运行状态、故障状态;虞 所有的外部接口和内部接口描述;愚 失效后以及诊断发现危险失效时要求采取的动作和响应(例如报警、自动关机等);舆 安全相关产品启动和重启规程的任何规定要求。其次,安全完整性要求规范应包括以下几项。淤 安全相关产品的工作模式(要求模式或连续模式);于 安全相关产品的目标安全完整性、安全完整性等级;盂 检验测试频率;榆 安全相关产品的安全结构、框图,该结构应满足安全完整性的架构约束;虞 使检验测试得以实
18、施的要求、约束、功能和设施;愚 在安全相关产品的安全生命周期中,包括制造、存储、运输、运行、操作和维护中满足的极端环境条件的能力(例如:温度、湿度、振动、冲击等);舆 电气安全要求;余 抗电磁干扰的要求。为了在安全相关产品设计要求规范的编制中避免错误,应根据 IEC 61508.2 表 B.1 采用一组适当的技术和措施。对环境条件、电气安全要求、抗电磁干扰要求可参照相应的产品标准、功能安全标准等。IEC61326鄄3鄄1测量、控制和试验室使用的电气设备的EMC 要求 用于执行安全功能的安全相关系统和设备的抗干扰要求鄄通用工业应用就是针对功能安全设备的 EMC 试验要求标准。安全相关产品的设计要求规范应清晰、准确、无歧义,且文字要便于在安全相关产品的安全生命周期内任一阶段采用该信息的各方理解。如在设计过程中有所变更,应满足功能安全管理中对变更的要求,及时更新对设计要求规范。3摇 结束语要设计安全相关产品,首先需建立功能安全的设计理念,了解安全相关产品与非安全相关产品的本质区别。在清晰了解了安全相关产品的概念之后,我们在安全相关产品的设计和开发过程中就将围绕实现安全相关产品的安全功能和安全完整性这两个目标进行,尤其是特有的安全完整性目标。49安全相关产品的硬件实现(一)摇 谢亚莲