据报道,在石化、钢铁、电力、医药等工业领域,大部分安全问题依赖于仪表与控制系统执行正确的功能,这种安全依赖于系统功能的情况,被称为“ 功能安全 ” 。功能安全防止的是安全相关系统或设备的功能失效所导致的危险。
一. 仪表型安全系统 SIL 级别评估:机械工业仪器仪表可靠性技术中心、 SIPAI 高级工程师刘建侯先生在全面介绍功能安全的一些基本概念后说,在多种安全系统中,仪表型安全系统 (SIS) 有着广泛的应用。 SIS 由现场传感器 / 变送器、控制器、 I/O 模块、执行机构、 I/O 接口 ( 如隔离式安全栅 ) 及相关软件构成。保护系统和自动化控制系统都要求也有安全功能,在实际应用中两者可能独立,也可能结合实施。以前研究可靠性不考虑系统失效,现在要研究系统失效的问题。最近,对 SIS 技术在一个化工大系统的 8 个子系统中进行了典型应用,某一煤气分离项目,仪表产品有 Rosemount 的 3051 压力变送器和 Siemens 的有关模块和 sanson 的终端地件, SIS 功能安全评估的目的是调查并判断 SIS 以及相关系统所达到的功能安全。衡量 SIS 以及相关系统功能安全的主要定量指标是安全完整性等级 (SIL) 和安全失效分数,而仪表及其系统的 SIL 是通过 FMEDA( 失效模式效应后果分析 ) 确认和 PFD( 在要求时平均失效概率 ) 计算获得的。根据 IEC61508 和 IEC61511 标准对项目的功能安全进行评估,确定 8 条防护系统的 SIL 等级,符合用户提出的 SIL2 等要求。
二. 对安全产品的 SIL 级别评估:德国库柏克劳斯 — 哈恩斯公司 Anton Heinshill 先生介绍, SIL 是评估功能安全很好的方法。从用户考虑,若车间人少,产生故障时伤亡人数少,可认为是 SIL2 ;若人很多,可认为 SIL4 ,但如果有疏散人员的通道,则 SIL 等级可降低。从对产品 SIL 级别评估要求考虑, SIL1 可由本厂一个工程师来完成, SIL2 要由本厂某一部门来完成, SIL1 与 SIL2 的评估人员应是独立的,不能是产品设计人员, SIL3 、 SIL4 要由厂外独立的认证机构来完成。由于 SIL1 、 SIL2 可在厂内 ( 公司内 ) 根据有关标准与法律责任进行评估,因此目前安全产品以 SIL1 、 SIL2 居多,其中绝大部分为 SIL2 , SIL2 应用也最广。如果一个系统中,传感器为 SIL2 ,其他为 SIL3 ,那么整个系统为 SIL2 。 三.EPA 的功能安全与信息安全:浙江中控技术有限公司副总工冯冬芹先生介绍,具有我国自主知识产权的实时工业以太网 EPA 已列入 IEC/CDV 61158 series Type14 标准,在国内结合 EPA 的应用正在制定 EPA 系列国家标准 ( 约 10 个 ) 。根据安全生产要求与国际标准化趋势,结合 IEC61508/61511 标准,当前要进行的工作是降低 EPA 网络的通信故障风险。具体做法是:分析安全通信风险,采取适用安全措施,尽可能检测出潜在故障和失效风险,提高通信故障检测率。风险来源有:芯片,数据破坏、重传、丢失、延时、乱序、超时,插入,伪装与寻址出错等。目前 EPA 的安全产品有:安全型网桥、网关、交换机、现场控制器等, EPA 已在 23 家用户中推广应用。
四. 要加强安全生命周期的功能安全管理: SIPAI 高级工程师李佳嘉女士介绍,电气 / 电子 / 可编程电子系统 (E/E/PES) 与 SIS 是大型机械、过程设备及其他成套装置安全的保护神。典型工业事故案例分析表明,绝大多数事故的发生均与相关的安全防护系统及其管理有关。其中,功能安全的管理是确定整体的 E/E/PES 和软件安全生命周期所有阶段的管理和技术,其主要内容包括:确定人员、部门和组织对整体的、 E/E/PES 的和软件的安全生命周期各阶段中活动的职责;建立相应的功能安全管理体系,它包括组织和资源,风险评价和风险管理,编制计划,计划的实现和监视、评估、审核与修改,对 E/E/PES 和软件安全生命周期各阶段应提供配置管理规程。
五. 我国应建立功能安全保障体系:机械工业仪器仪表综合技术经济研究所教授级高工史学玲女士介绍,目前我国实施功能安全标准遇到的最大困难,是现在技术、产业、组织与法律基础都离实施标准所要求的条件相差甚远。即使等同采用 IEC61508 的我国国家标准发布,由于不具备标准实施的基本条件,发布的标准也等于一纸空文。 IEC61508 是在欧美等工业发达国家多年来安全控制相关的技术、管理、法律、产业、市场等发展到一定程度的自然产物,我国要跟上这个步伐,无论是哪方面,都有很大的空间需要填补。我国实施功能安全标准的战略目标,是在我国石油、化工、冶金、电力、交通、煤炭、矿山等高危行业,通过安全控制系统与保护系统的可靠工作,实现对危险的有效控制与防护。其总任务是建立我国功能安全保障体系,它包括两个支柱:技术体系与组织体系; 6 个安全支撑要素:标准体系,法律法规,政策策略,产业化与创新,中介服务体系,国际合作。必须依靠完善的支撑环境,功能安全标准才能进入良性的运作状态,安全才有保障。
六.SIS 的解决方案与经认证的产品:西门子 Matthias Kismmer 先生介绍, SIMATIC 安全一体化技术作为 SIS 的解决方案,基于经过认证的产品与系统。 SMATIC 故障安全系统既可作为独立的安全系统使用,又可集成到 SIMATIC PCS7 中,实现一体化的过程安全控制。 S7-400 F/FH 是基于容错技术达到 SIL3 要求的故障安全型控制器,其 I/O 卡件能诊断出内外部错误,并具有全部的内部冗余。此外,还有经认证的组态软件、 PROFIsafe 故障安全通信协议等产品和技术,特别是 SIS 中的 PST( 部分动作测试技术 ) 可提高 SIL 级别。
艾默生的姚永斌先生介绍:Smart SIS 是一个完整的安全解决方案,它以 PlantWeb 工厂管控网技术为基础,设计了新的中央逻辑单元,并对变送器和阀门控制也作了 SIL3 的安全系统认证,能方便地与主要基层过程控制系统 (BPCS) 完美集成。新的中央逻辑控制器 SLS1508 既是控制器又是 I/O 卡件,这是全新的概念,经认证达到 SIL3 。在控制系统中出现的故障,控制终端约占 52% ,艾默生已有阀杆部分行程动作测试技术,可在控制室检查阀门的问题,提高了安全性。以 Smart SIS 为核心的 DeltaV SIS 智能安全仪表系统, 2005 年经 T?V 认证,已达到 SIL3 。 新加坡P+F 公司大中国区技术与工程经理李邵先生清晰地介绍了功能安全的一些基本概念后说, P+F 公司是遵循 IEC61508 生产安全栅等安全产品的。经 SIL 等级认证的安全栅不是所有场合都适用,用户选用安全栅时应注意其标明的两个重要指标是否满足需要:一是 PFDavg ,当安全栅用于紧急停车系统时的指标,二是 PFH( 每小时危险失效概率 ) ,安全栅用于连续控制回路时的指标。
