本文主要讨论关于基于功能安全等级(SIL等级)开发过程中的基本注意事项,包含SIL等级定义,硬件可靠性参数计算,SIL认证和CE认证的区别,SIL等级设备和工程应用选型等方面的内容。
写在开篇:
1.本文中讨论的SIL等级问题,主要针对石油化工等过程控制领域,主要讨论的标准为IEC61508和IEC 61511标准,主要讨论SIL2等级和SIL3等级(SIL2认证、SIL3认证)事宜。
2.本文目的为总结和讨论,道理不辨不明,事实不辨不清;如有不足之处,请您随时斧正。
3.本文将主要采用问答(F.A.Q.)的形式,来源于实际项目工作中的总结。
4.限于篇幅问题,针对文中提到的各种概念,较少展开讨论,因篇幅原因,不可能面面俱到,请多包涵!
2.本文目的为总结和讨论,道理不辨不明,事实不辨不清;如有不足之处,请您随时斧正。
3.本文将主要采用问答(F.A.Q.)的形式,来源于实际项目工作中的总结。
4.限于篇幅问题,针对文中提到的各种概念,较少展开讨论,因篇幅原因,不可能面面俱到,请多包涵!
什么是SIL等级?
所有电子/电气/可编程电子设备,甚至包括一些最精密的设备/系统都可能产生故障。SIL 概念就是用来评定故障及其后果的一种方法,评估结果是根据概率计算得出的。为了简化安全评估,SIL 概念将安全级别划分为 SIL1~SIL4 (SIL4 最高安全级别)。对于一般的过程控制控制行业中,常见的SIL等级是SIL2/SIL3,而针对核电,铁路等高度关注安全的行业,则一般执行SIL4的最高安全等级。
对于与安全相关的装置安全功能的确认,SIL 是全世界广泛认可的方法。针对过程控制行业,与之相关的国际标准主要有IEC 61508 标准(设计和运行安全仪表系统的基础根据),IEC 61511 标准主要关注过程控制应用的系统,针对装置设计人员遵照 IEC 61511 标准并根据 IEC 61508 标准来完成设计。
业主提出,我们的设备需要满足SIL2等级,我们需要参考哪些标准?
如果你是设备制造商和供应商,然后你的最终目的是取得SIL等级认证证书的话。对于你来说,与SIL等级相关的标准主要研究IEC 61508的-1/-2/-3/-4这四个标准;当然,英语基础稍差的同学,你可以参考GB/T 20438,想看看美国人怎么要求的,也可以参考ANSI/ISA–84.01。但是如果哪天领导突然问:小六子,哪个标准是是重点需要考虑的啊?你必须记住是IEC 61508。
如果你是设备制造商和供应商,然后你的最终目的是取得SIL等级认证证书的话。对于你来说,与SIL等级相关的标准主要研究IEC 61508的-1/-2/-3/-4这四个标准;当然,英语基础稍差的同学,你可以参考GB/T 20438,想看看美国人怎么要求的,也可以参考ANSI/ISA–84.01。但是如果哪天领导突然问:小六子,哪个标准是是重点需要考虑的啊?你必须记住是IEC 61508。
IEC 61508 -1/-2/-3/-4 这四个标准分别是:
IEC 61508-1(基本要求):General requirements
IEC 61508-2(硬件部分):Requirements for E/E/PE safety related systems
IEC 61508-3(软件部分):Software requirements
IEC 61508-4(术语部分):Definitions and abbreviations
IEC 61508-1(基本要求):General requirements
IEC 61508-2(硬件部分):Requirements for E/E/PE safety related systems
IEC 61508-3(软件部分):Software requirements
IEC 61508-4(术语部分):Definitions and abbreviations
如果您是设计院或者业主,你主要参考IEC 61511,针对工艺流程特点,来对设备选型中的SIL等级问题提出具体要求。不过目前国内有个别项目对于SIL等级的选取,主要是参考以往的工程经验。原来某某回路需要SIL3的,好,所有类似回路也要SIL3等级的,至于是不是SIL2等级就够用了,没关系我们不差钱,反正我们穷的就剩下石油和人民币了。另外如果真作回路SIL等级要求分析,如果本应该要求SIL3回路但是我们在计算中只得出SIL2等级的结果,出了问题谁来承担啊。
2.如果要达到某种SIL等级,拿到对应的SIL等级证书,是不是只专注IEC61508标准就可以了?
针对不同的设备,除了IEC61508标准之外,你必须还要考虑基本的电气安全性,EMC电磁兼容性,以及环境测试结果等方面的内容。具体的标准依据设备种类的不同会有差别,我们这里暂不作展开讨论。
针对不同的设备,除了IEC61508标准之外,你必须还要考虑基本的电气安全性,EMC电磁兼容性,以及环境测试结果等方面的内容。具体的标准依据设备种类的不同会有差别,我们这里暂不作展开讨论。
3. 我们的产品现在PFDavg的计算结果满足SIL3等级的要求,是不是就够了?
针对过程控制领域中的低要求模式特点,PFDavg和SIL等级确实有一定的对应关系。但是那只是理论上的对应关系。如果PFDavg的计算结果满足SIL3等级的要求,那么我应该恭喜你,至少你们的基础不错,第一步迈的很顺利。但是如果真正达到SIL3等级,你还有很长的路要走。你要继续完成对文档的评估,硬件的评估,软件评估,环境试验等等。另外要完成FSM(功能安全管理体系)的构建。
针对过程控制领域中的低要求模式特点,PFDavg和SIL等级确实有一定的对应关系。但是那只是理论上的对应关系。如果PFDavg的计算结果满足SIL3等级的要求,那么我应该恭喜你,至少你们的基础不错,第一步迈的很顺利。但是如果真正达到SIL3等级,你还有很长的路要走。你要继续完成对文档的评估,硬件的评估,软件评估,环境试验等等。另外要完成FSM(功能安全管理体系)的构建。
4. SIL认证和CE认证差不多吧,我们可以按照CE认证的模式执行对吧?
国内很多设计生产安全装置的企业在执行SIL认证之前,大部分都经历过CE认证,然后在惯性思维的误导下,个别企业在产品设计完成之后,甚至出了样机到了可以批量生产之后,才想起来找认证机构帮助验证SIL等级,执行SIL认证。这种方法不仅是错的,而且是大错特错的。
第一,在这个阶段你的硬件结构、软件结构基本已经定型,如果发现一开始计划产品安全功能的时候就忽略了一些因素,那么你面临的将是大量的重新评估和修改工作,小问题还好说,如果有大问题,很有可能需要把原来的设计推到重来,请问,你浪费了多少时间?你浪费掉的时间段内,可能浪费掉多少订单?古人云“迟则生变”,你敢保证反复修改过程中,市场、人员、主流产品技术等因素不发生任何变化?
第二,部分企业人心浮躁,如果原来研发团队的核心力量突然离开公司,对于公司管理者来说,你岂不是非常被动?有人说没事,大不了我再招几个人上来接着干。主要是,没有人清楚多长时间能找到合适的替代人选,而且即使你能够很快的安排人员到位,如果当初生命周期相关管理文档都没有,新人过来之后无所适从,需要耗费很多精力才能使研发工作走上正轨,肯定会耽误很多的时间和精力。
第三,CE认证是有样机后再作认证,这是没错的,因为CE认证要求测试的时候必须要有样机。但是SIL认证由于需要贯彻生命周期理念,整体认证内容不仅包含样机测试,还包含对整体认证流程中,相应文档管理的评估,术语叫FSM(功能安全管理)。SIL认证需要从一开始就要求认证机构介入给予指导,指明方向,这样才能提高效率,减少返工,也就是说,如果样机已经作出来了,才着手准备认证已经晚了。
当然,解决办法不是没有,你可以去先作偏差测试评估,根据测试结果改设计。但是,这只是没有办法的办法!
5.如果我买台SIL3等级的压力变送器,我可不可以直接用一台构建单通道的检测回路?
具备SIL3等级(请注意是硬件等级,不是软件等级)的压变很少,所以可能国内和国外作工程时,主要选用以SIL2压变以1oo2或者2oo3的冗余形式存在。
1oo2就是2选1的表决方式,也就是说两个变送器当中有任何一个被触发,信号就被传送到逻辑解算器当中并最终传到执行机构处。
2oo3就是3选2的表决方式,三个变送器当中有任何两个个被触发,信号就传出去了!
无论是1oo2还是2oo3,都可以到达SIL3等级,但是因为过程行业除了关注安全性之外,还必须考虑到可用性。所谓可用性,你可以理解为,不能因为考虑安全就放弃生产质量或者生产效率。如果因为压变失效导致系统误停车,虽然安全了,当时非常影响正常生产。
1oo2表决方式,如果两个变送器任何一个发生误动作,就可能导致误停车,可用性较差。
2oo3表决方式,由于两个变送器同时发生误动作的概率很小(共因失效除外),所以它虽然SIL等级和1oo2一样,但是这种表决方式的可用性要比1oo2表决要好,换句话说,误停车概率较小。
2oo3表决方式,由于两个变送器同时发生误动作的概率很小(共因失效除外),所以它虽然SIL等级和1oo2一样,但是这种表决方式的可用性要比1oo2表决要好,换句话说,误停车概率较小。
所以,因为2oo3能够兼顾安全性和可用性,所以不难理解为什么一些老外建议3个压变使用2oo3的表决方式来搭建冗余结构了。
另外,关于是否可以使用硬件SIL3等级的压变构成单回路检测的问题,我个人觉得,虽然SIL3等级的可靠性比SIL2的要好,但是只是故障率极小,而不是完全无故障。而一旦单回路SIL3等级的压变发生故障,很有可能造成误停车,所以,不难理解为什么很少有SIL3等级的变送器,还有为什么没有人使用SIL3等级变送器搭建单回路的检测回路了!
硬件篇:
在硬件设计领域内,有几个重要的性能参数与SIL等级有直接关系,他们分别是:
HFT (Hardware Fault Tolerance, 硬件失效冗余度 or 故障裕度)
SFF(Safe Failure Fraction, 安全故障系数 or 非危险故障率)
Type (Type A or Type B, A类子系统 or B类子系统)
什么是硬件失效冗余度? What is HFT?
简单明了的说,HFT表示硬件中的冗余程度,主要有0,1,2三个数值,其中HFT=0表示单回路,HFT=1表示单冗余,HFT=2表示双冗余。具体的计算方法是这样的:如果一个系统表决架构是MooN,那么HFT=N-M。例如,针对2oo3表决架构,HFT = 3 – 2 =1 。这个概念很好理解就不作深入讨论了!
简单明了的说,HFT表示硬件中的冗余程度,主要有0,1,2三个数值,其中HFT=0表示单回路,HFT=1表示单冗余,HFT=2表示双冗余。具体的计算方法是这样的:如果一个系统表决架构是MooN,那么HFT=N-M。例如,针对2oo3表决架构,HFT = 3 – 2 =1 。这个概念很好理解就不作深入讨论了!
什么是安全故障系数?What is SFF?
SFF = (λSD +λSU +λDD)/(λSD +λSU +λDD +λDU)
λSD: 检测到的安全失效
λSU: 未检测到的安全失效
λDD: 检测到的危险失效
λDU: 未检测到的危险失效
λSU: 未检测到的安全失效
λDD: 检测到的危险失效
λDU: 未检测到的危险失效
什么是A类/B类子系统?Type A or Type B?
A类子系统必须同时满足以下三个条件:所有失效模式都可以被考虑到 & 所有失效导致的潜在后果都可以明确被定义 & 拥有足够的可靠性数据的数据库以备查询。
如果以上三个条件,即使只有一条不满足,那么该子系统就是B类子系统,例如变送器一般就属于B类子系统。另外关于Type A和Type B这个问题是属于硬件范畴的,你可以在IEC 61508-2标准第24页的7.4.4.1.2章节和7.4.4.1.3章节找到更详细的解答。
另外必须纠正一个问题,曾有高手说A类硬件就是普通的电子/电气类硬件,然后B类就是可编程的PE硬件。虽然从操作层面上,这种分类方法有一定的参考价值,但是标准里面可不是这么定义的,切记,搞技术的一定要以标准为依据。
一般对于国内厂家,需要做SIL2 认证,我们一般建议采取文挡评估方式。
我知道您这些描述是从哪里拷过来的,我不太认可针对SIL2等级的认证只是作文档评估的方式。如果你只是作文档评估的话,基本上都是计算相关的安全参数。然后针对具体的硬件/软件的测试,如果都省略掉的话,不能绝对保证设备是满足SIL2等级的。您想想,故障注入测试你不作,环境测试也没有,EMC也不考虑的话,这种方法对于提出认证申请的设备制造商,以及使用这种设备的业主,都是很不负责任的。谢谢
我知道您这些描述是从哪里拷过来的,我不太认可针对SIL2等级的认证只是作文档评估的方式。如果你只是作文档评估的话,基本上都是计算相关的安全参数。然后针对具体的硬件/软件的测试,如果都省略掉的话,不能绝对保证设备是满足SIL2等级的。您想想,故障注入测试你不作,环境测试也没有,EMC也不考虑的话,这种方法对于提出认证申请的设备制造商,以及使用这种设备的业主,都是很不负责任的。谢谢
分析方法篇:
FMEDA 简单介绍
FMEDA--- Failure Modes Effects and Diagnositcs Analysis
失效模式,影响和诊断分析
FMEDA是一种系统的技术, 用来识别设备中存在的问题. 它是一种自底向上的方法, 以一份设备中的详细列表开始.. 比如: 某电阻的失效会不会造成设备安全失效, 危险失效或失准? 如果A/D转换到微处理的串行通信线路短路,设备会出现什么状况?
FMEDA 最终结果失效数据, 包括每一种失效模式的失效率, 检测到的和未检测到的失效概率, 安全失效的比例等等, 通常还包括在安全验证中如何使用这些数据.FMEDA是一种"自下向上"的方法, 由系统内所有部件的一个详细列表开始,一次一个部件的分析. 至少包括以下步骤:
1. 列出所有的部件.
2. 对每一个部件列出其全部失效模式.
3. 对每一个部件或失效模式,列出它在更高一个层次的影响.
4. 对每一个部件或失效模式,列出影响的严重性.
2. 对每一个部件列出其全部失效模式.
3. 对每一个部件或失效模式,列出它在更高一个层次的影响.
4. 对每一个部件或失效模式,列出影响的严重性.
通过FMEDA 可以得到某一设备某一失效模式的失效率,安全失效和危险失效的比例,诊断覆盖率也可以相当准确的得到. 与工业数据库和经验估计相比, FMEDA的结果是针对具体设备的, 具有更高的准确性 FMEDA的测试和结果,是设备/系统获得SIL等级认证的基础。
版权声明:本文转载于网络,部分章节有内容调整。