基于結(jié)構(gòu)約束的硬件安全完整性等級驗(yàn)證研究

方 輝

(雅保管理(上海)有限公司,上海 201210)

石油化工等過程工業(yè)中系統(tǒng)的安全性非常重要，然而生產(chǎn)過程中不可避免地存在著一些固有的可能引發(fā)危險(xiǎn)事故的風(fēng)險(xiǎn)。為將風(fēng)險(xiǎn)降低到可以接受的程度，安全儀表系統(tǒng)(Safety Instrumented System,SIS)應(yīng)運(yùn)而生，其相關(guān)理論和技術(shù)在近些年獲得了快速的發(fā)展并逐步成熟，目前在石化等過程行業(yè)中的應(yīng)用已十分普遍。SIS對風(fēng)險(xiǎn)降低的程度可通過安全完整性等級(Safety Integrity Level,SIL)來衡量。按照IEC61508的安全生命周期架構(gòu)，經(jīng)過危險(xiǎn)和風(fēng)險(xiǎn)分析，利用保護(hù)層、風(fēng)險(xiǎn)圖及風(fēng)險(xiǎn)矩陣等方法進(jìn)行SIL分配后，要對所設(shè)計(jì)的SIS能否滿足要求的SIL進(jìn)行驗(yàn)證[1]。目前國內(nèi)外對SIL驗(yàn)證方法的研究主要集中在平均需求失效率PFDavg的算法上[2～6]，對結(jié)構(gòu)約束卻鮮有深入的分析研究，而結(jié)構(gòu)約束是驗(yàn)證SIS能否滿足硬件安全完整性等級要求的重要方法。因此筆者力求清楚全面地闡述結(jié)構(gòu)約束的相關(guān)概念和要求，并結(jié)合實(shí)例對利用結(jié)構(gòu)約束確定硬件SIL的具體方法和步驟進(jìn)行研究，最后提出結(jié)構(gòu)約束的不足和改進(jìn)方向。

SIS是由儀表構(gòu)成以實(shí)現(xiàn)安全功能的系統(tǒng)，主要由檢測元件、邏輯解算器、執(zhí)行元件和相應(yīng)的軟件組成。當(dāng)檢測元件發(fā)現(xiàn)生產(chǎn)裝置或工況發(fā)生異常且危及安全時(shí)，SIS能夠及時(shí)地響應(yīng)并采取保護(hù)措施，聯(lián)鎖相關(guān)執(zhí)行元件，使被控過程按照規(guī)定的條件或程序退出運(yùn)行，以保障人員和設(shè)備的安全。安全儀表功能(Safety Instrumented Function,SIF)是通過SIS實(shí)現(xiàn)的安全功能，SIS可以實(shí)現(xiàn)一個(gè)或多個(gè)SIF[7]。SIS和SIF的組成與關(guān)系如圖1所示。

圖1 SIS和SIF的組成與關(guān)系

安全完整性是在規(guī)定的時(shí)間周期內(nèi)的所有規(guī)定條件下，安全相關(guān)系統(tǒng)成功地完成所要求的安全功能(如一個(gè)SIF)的概率，是安全相關(guān)系統(tǒng)達(dá)到規(guī)定安全功能可能性的一個(gè)度量。IEC61508將安全完整性分為硬件安全完整性、軟件安全完整性和系統(tǒng)安全完整性3類， SIL1～SIL4共4個(gè)等級[1]。SIL級別越高，系統(tǒng)可靠性越高，結(jié)構(gòu)越復(fù)雜，對系統(tǒng)中各子系統(tǒng)、部件和人員的要求也越高。在此筆者主要對硬件安全完整性等級的驗(yàn)證進(jìn)行闡述。

2 結(jié)構(gòu)約束

2.1 硬件安全完整性等級的驗(yàn)證方法

對SIS硬件安全完整性等級的驗(yàn)證可以采用定量或定性的方法。定量方法基于結(jié)構(gòu)、檢驗(yàn)測試間隔、檢驗(yàn)測試有效性、自動診斷、平均故障修復(fù)時(shí)間及所有SIF所含部件的失效率等來計(jì)算PFDavg，得出SIS的可靠性數(shù)據(jù)與可以達(dá)到的SIL。然而，在目前的理論和技術(shù)條件下，系統(tǒng)的安全性和可靠性還無法完全量化，為簡化問題先做一些假設(shè)和讓步，計(jì)算過程也比較理想化，如計(jì)算只針對隨機(jī)的硬件失效，通常未考慮軟件失效的影響；失效模式未被完全辨識，失效數(shù)據(jù)未必可靠；一般只計(jì)算檢驗(yàn)測試周期內(nèi)的PFDavg。

基于上述原因，IEC61508和IEC61511引入了結(jié)構(gòu)約束的要求，開辟了另外一條通道來實(shí)現(xiàn)SIF，以期實(shí)現(xiàn)SIS充足的結(jié)構(gòu)魯棒性。結(jié)構(gòu)約束是一種定性判定方法，可以防止SIS設(shè)計(jì)者和系統(tǒng)集成者僅憑借PFDavg計(jì)算來選定系統(tǒng)結(jié)構(gòu)，對原先無標(biāo)準(zhǔn)規(guī)定的硬件結(jié)構(gòu)做出了具體的限定——SIS只有同時(shí)滿足PFDavg計(jì)算和結(jié)構(gòu)約束的要求時(shí)，才能確認(rèn)達(dá)到了相應(yīng)的SIL。

2.2 硬件故障裕度和安全失效分?jǐn)?shù)

硬件故障裕度(Hardware Fault Tolerance,HFT)和安全失效分?jǐn)?shù)(Safety Failure Factor,SFF)是兩個(gè)與結(jié)構(gòu)約束相關(guān)的重要參數(shù)。

HFT是一個(gè)部件或子系統(tǒng)在有一個(gè)或幾個(gè)硬件危險(xiǎn)故障的情況下，仍能繼續(xù)承擔(dān)所要求的SIF的能力[1]。如果HFT=1，則設(shè)計(jì)必須能夠耐受一個(gè)故障而不影響SIF，常見表決機(jī)制與HFT的關(guān)系見表1。

表1 常見表決機(jī)制與HFT的關(guān)系

SFF定義為安全失效與檢測到的危險(xiǎn)失效之和占所有失效的比率，即[1]：

(1)

式中 ∑λDD——檢測到的總危險(xiǎn)失效率；

∑λDU——未檢測到的總危險(xiǎn)失效率；

∑λs——總的安全失效率(包括檢測到的和未檢測到的)；

∑λTot——總失效率。

換句話說，SFF可以解釋為對部件本身安全的一個(gè)度量，當(dāng)失效發(fā)生時(shí)部件能做出安全反應(yīng)的程度。

2.3 基于結(jié)構(gòu)約束驗(yàn)證的硬件安全完整性等級

工程實(shí)踐中，利用結(jié)構(gòu)約束確定一個(gè)SIF可以達(dá)到的SIL，一般通過以下步驟實(shí)現(xiàn)：

a. 辨識SIF；

b. 畫表決塊圖；

c. 確定子系統(tǒng)/部件類型；

d. 計(jì)算每個(gè)子系統(tǒng)/部件的SFF；

e. 確定每個(gè)子系統(tǒng)的SIL；

f. 確定整個(gè)SIF的SIL。

其中，步驟a、b是進(jìn)行結(jié)構(gòu)約束分析的基礎(chǔ)和準(zhǔn)備，步驟c～e確定各子系統(tǒng)的結(jié)構(gòu)約束，步驟f最終得出整個(gè)SIF的結(jié)構(gòu)約束。下面詳述這些步驟和應(yīng)用中的一些關(guān)鍵問題。

2.3.1辨識SIF

SIF是安全完整性的評估對象，描述在某特定危險(xiǎn)下，系統(tǒng)應(yīng)當(dāng)具備的安全功能。SIF的辨識，先要定義通過某個(gè)參量來辨別危險(xiǎn)，再決定采取何種措施將危險(xiǎn)化解，例如儲罐液位過高→關(guān)閉進(jìn)口閥門。危險(xiǎn)和風(fēng)險(xiǎn)分析報(bào)告(如HAZOP)是SIF辨識的最主要輸入源，此外還可以利用的資料包括規(guī)格書、因果關(guān)系圖及P&ID圖等。

辨識SIF的核心是要尋找出與某個(gè)安全要求直接相關(guān)的所有部件/子系統(tǒng)，當(dāng)情況比較復(fù)雜時(shí)，建議用問題檢查表的方式來梳理思路。典型的問題設(shè)計(jì)如：該SIS部件保護(hù)只針對一個(gè)特定的還是多個(gè)危險(xiǎn)？該SIS部件是單獨(dú)應(yīng)對危險(xiǎn)進(jìn)行防護(hù)，還是與其他SIS部件共同完成？只有這一種SIS部件針對危險(xiǎn)進(jìn)行防護(hù)還是有其他類似的SIS部件預(yù)防同一危險(xiǎn)？

2.3.2畫表決塊圖

表決塊圖是用圖形化的方式，表示出為實(shí)現(xiàn)SIF所需的SIS部件/子系統(tǒng)及其連接關(guān)系。復(fù)雜的表決塊圖由3種基本結(jié)構(gòu)組成：單通道串聯(lián)結(jié)構(gòu)，其中所有部件都必須正常工作該系統(tǒng)才能正常工作，如表決機(jī)制NooN是串聯(lián)結(jié)構(gòu)，其HFT等于0；多通道并聯(lián)結(jié)構(gòu)，其中任何一個(gè)部件能夠正常工作則該系統(tǒng)就能正常工作，如表決機(jī)制1ooN是并聯(lián)結(jié)構(gòu)，其HFT等于(N-1)；多通道從N中取M結(jié)構(gòu)(MooN)，系統(tǒng)共有N個(gè)部件，若其中有M個(gè)部件能夠正常工作，該系統(tǒng)就能正常工作，其HFT等于(N-M)，此結(jié)構(gòu)兼顧了系統(tǒng)的可靠性和可用性。

2.3.3確定子系統(tǒng)類型

IEC61508定義了子系統(tǒng)類型，A型子系統(tǒng)指簡單的所有失效模式都清楚已知的子系統(tǒng)，B型子系統(tǒng)指復(fù)雜的未被完全了解清楚的子系統(tǒng)。實(shí)踐中，基于邏輯處理器的解算器屬于B型；非邏輯處理器的解算器屬于A型。換言之，現(xiàn)場儀表的類別取決于它有多少先進(jìn)的可編程特性。與IEC61508不同，IEC61511采用面向工業(yè)的更為直接的分類方式，將可編程(PE)邏輯解算器作為一類，傳感器、最終元件和非可編程邏輯解算器作為另一類，前一類的復(fù)雜度較后一類更高。確定子系統(tǒng)/部件類型就是要將參與實(shí)現(xiàn)SIF的子系統(tǒng)根據(jù)上述定義進(jìn)行分類。

2.3.4計(jì)算SFF

評估計(jì)算安全失效分?jǐn)?shù)，要按照執(zhí)行的預(yù)期功能，對每個(gè)子系統(tǒng)進(jìn)行相關(guān)的故障和失效模式分析，包括故障反應(yīng)功能、區(qū)分出檢測到和未檢測到的安全失效或危險(xiǎn)失效，再依據(jù)式(1)計(jì)算得出安全失效分?jǐn)?shù)。

2.3.5確定子系統(tǒng)SIL

結(jié)構(gòu)約束規(guī)定了具備一定HFT的某類子系統(tǒng)，在一定的SFF下所能達(dá)到的最高SIL，比如：按照標(biāo)準(zhǔn)IEC61508中的結(jié)構(gòu)約束要求(圖2)，一個(gè)HFT=1、SFF=75%的B型子系統(tǒng)，其最高能達(dá)到SIL2。

圖2 IEC61508和IEC61511中的結(jié)構(gòu)約束要求

IEC61508與IEC61511對于結(jié)構(gòu)約束都有要求，但卻不是一一對應(yīng)的關(guān)系，這給用戶的正確理解和使用造成了不便。

IEC61511不考慮SIL4系統(tǒng)(有關(guān)SIL4參見IEC61508)，這是因?yàn)镮EC61511是面向過程工業(yè)的設(shè)計(jì)者、集成商和最終用戶，而IEC61508是面向包括核工業(yè)在內(nèi)的所有工業(yè)領(lǐng)域的制造商。在過程工業(yè)領(lǐng)域，SIL4因其實(shí)現(xiàn)和維護(hù)的困難性應(yīng)當(dāng)被避免。如果危險(xiǎn)和風(fēng)險(xiǎn)分析結(jié)果要求一個(gè)SIF達(dá)到SIL4，則應(yīng)當(dāng)考慮更改工藝設(shè)計(jì)或增加其他的保護(hù)層(如機(jī)械保護(hù)系統(tǒng))來降低部分風(fēng)險(xiǎn)，以降低對SIL的要求，而不是通過SIS來實(shí)現(xiàn)SIL4的要求。

IEC61511對于傳感器、最終元件和非PE邏輯解算器這些子系統(tǒng)不考慮SFF，其默認(rèn)此類設(shè)備的安全失效分?jǐn)?shù)在60%～90%。

IEC61511對于傳感器、最終元件和非PE邏輯解算器允許在特定的情況下HFT值減1，如所選用設(shè)備的硬件是基于“以往使用”的，則只允許對過程參數(shù)調(diào)整，并且其調(diào)整受到跳線和密碼的保護(hù)；如果滿足上述特定要求，HFT-SIL的關(guān)系就與IEC61508中A型子系統(tǒng)SFF在60%～90%之間一致。這項(xiàng)規(guī)定在某種程度上放寬了IEC61508對硬件結(jié)構(gòu)的要求，在過程工業(yè)中具有重要的實(shí)踐意義。也使得在滿足特定先決條件的情況下，采用1oo1表決機(jī)制的子系統(tǒng)(HFT=0)可以達(dá)到SIL2，而1oo2表決機(jī)制的子系統(tǒng)(HFT=1)可以達(dá)到SIL3，顯然這些特定的先決條件相比于增加硬件冗余度或提高部件的SFF更容易實(shí)現(xiàn)。

IEC61511對于非PE邏輯處理的解算器/現(xiàn)場設(shè)備，如果占主導(dǎo)的失效模式是未被檢測出的危險(xiǎn)失效，而不是安全失效或被檢測出的危險(xiǎn)失效(即SFF低于50%)，就需要將HFT加1。

兩者的共同之處在于：B型子系統(tǒng)/PE邏輯解算器比 A型子系統(tǒng)/傳感器、最終元件和非PE邏輯解算器在同樣的SIL和SFF情況下要求具有更高的HFT；若其他條件不變，當(dāng)SFF降低時(shí)所要求的HFT就提高；若其他條件不變，當(dāng)SIL提高時(shí)所要求的HFT就提高，反之亦然。

2.3.6確定整個(gè)SIF可以達(dá)到的SIL

在表決塊圖上將上一步得出的各子系統(tǒng)的SIL標(biāo)出，進(jìn)而可利用合并規(guī)則計(jì)算整個(gè)SIF可以達(dá)到的SIL。

對于若干個(gè)部件/子系統(tǒng)串聯(lián)組成的子系統(tǒng)/SIF，其可以達(dá)到的最高SIL與部件/子系統(tǒng)中SIL最低的相同。

對于若干個(gè)部件/子系統(tǒng)并聯(lián)組成的子系統(tǒng)/SIF，其可以達(dá)到的最高SIL等于部件中最高的SIL加上因部件并聯(lián)帶來的HFT的增加值，典型的兩個(gè)部件并聯(lián)(1oo2)后的子系統(tǒng)HFT增加1。

需要注意的是，若一個(gè)子系統(tǒng)由不同類型的部件組成，例如由一個(gè)壓力變送器和一個(gè)液位變送器組成的傳感器子系統(tǒng)，就不能簡單套用結(jié)構(gòu)約束要求(圖2)，因?yàn)椴煌愋偷牟考赡苡胁煌腟FF。這種情況下，應(yīng)先確定不同類型部件的SIL，再通過上述合并規(guī)則得出子系統(tǒng)的SIL。如果最終得出的SIL無法達(dá)到需求值，就要提高某些子系統(tǒng)的HFT或采用SFF更高更可靠的部件。

3 實(shí)例分析

以表決塊圖的方式表示一個(gè)已經(jīng)辨識出的SIF(圖3)，并假設(shè)已取得各部件的SFF，來確定此SIF可達(dá)到的SIL?；贗EC61508對其進(jìn)行分析的過程是：壓力變送器帶有智能芯片，應(yīng)當(dāng)為B型部件，2oo2的表決機(jī)制HFT為0，查表可知這部分子系統(tǒng)達(dá)到SIL1；安全相關(guān)可編程控制器為B型部件，結(jié)合SFF值查表可知其可以達(dá)到SIL2；根據(jù)串聯(lián)規(guī)則，這兩個(gè)子系統(tǒng)組成的支路可以達(dá)到SIL1。溫度開關(guān)和安全相關(guān)繼電器都為A型部件，在給出的SFF下各自都可以達(dá)到SIL2，于是此串聯(lián)支路可以達(dá)到SIL2。兩條支路之間是1oo2的關(guān)系，根據(jù)并聯(lián)規(guī)則，1oo2可額外創(chuàng)造一個(gè)HFT，故合并后的子系統(tǒng)SIL為兩條支路中最高的SIL加上1，即SIL3。同理可得執(zhí)行機(jī)構(gòu)部分可以達(dá)到SIL3。最終整個(gè)SIF可以滿足SIL3的要求(圖4)。

圖3 以表決塊圖表示的某個(gè)SIF

圖4 確定SIF的SIL分析過程

4 結(jié)構(gòu)約束的不足和發(fā)展方向

結(jié)構(gòu)約束是PFDavg計(jì)算的很好補(bǔ)充，但也有缺陷。首先，它仍然只針對硬件隨機(jī)失效；其次，SFF值具有誤導(dǎo)性，有時(shí)SFF只計(jì)算了整個(gè)部件中的某些部分，IEC61508覆蓋了電氣、電子和可編程元件，因此廠家有時(shí)只計(jì)算這部分元件的SFF，并且假定所有機(jī)械部件都是功能完美的，這種情況下，SFF無法反映整個(gè)部件；再者，SFF的定量計(jì)算是理想化的，但是PFDavg會受到不確定不可靠數(shù)據(jù)的影響，SFF也一樣，而結(jié)構(gòu)約束的目的是補(bǔ)償在PFDavg估計(jì)中的不確定性，如果用于計(jì)算PFDavg的可靠性數(shù)據(jù)是不確定的，那用來計(jì)算SFF的數(shù)據(jù)通常來說就更加不確定了。OREDA項(xiàng)目研究表明[8,9]，對收集安全失效數(shù)據(jù)的重視遠(yuǎn)不及對收集危險(xiǎn)失效數(shù)據(jù)的重視。

針對這些不足，專家學(xué)者們開展了許多卓有成效的研究，如Lundteigen M A和Rausand M提出引入診斷失效率這一新參數(shù)來替代SFF[10]。Munkeby E進(jìn)行了SFF和PFD關(guān)系的研究，將PFD的定量計(jì)算方法引入SFF的確定中[11]。筆者認(rèn)為，由于SIL只有針對整個(gè)SIF來講才有意義，應(yīng)當(dāng)把更多的注意力放在對系統(tǒng)失效的研究上，從建立整個(gè)SIF的可靠性模型、各部件之間的交互及軟件可靠性評估等方面進(jìn)行探索。

5 結(jié)束語

筆者基于IEC61508和IEC61511，研究了利用結(jié)構(gòu)約束進(jìn)行硬件安全完整性等級驗(yàn)證的方法和相關(guān)問題，在SIS選型設(shè)計(jì)之后，驗(yàn)證其是否滿足目標(biāo)SIL的要求，是保證必要的風(fēng)險(xiǎn)降低和實(shí)現(xiàn)功能安全的重要環(huán)節(jié)。結(jié)構(gòu)約束作為一種定性的驗(yàn)證方法，可以彌補(bǔ)PFDavg計(jì)算法的部分不足，從系統(tǒng)的硬件結(jié)構(gòu)角度提高了魯棒性。該方法具備一定的實(shí)踐指導(dǎo)意義，希望能給過程工業(yè)功能安全領(lǐng)域的相關(guān)人士提供一定的借鑒。

[1] IEC61508,Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva:International Electrotechnical Commission,2010.

[2] IEC61511,Functional Safety:Safety Instrumented Systems for the Process Industry Sector[S]. Geneva:International Electrotechnical Commission,2003.

[3] 舒逸聃,趙勁松.安全儀表系統(tǒng)安全完整性等級驗(yàn)證研究進(jìn)展[J].計(jì)算機(jī)與應(yīng)用化學(xué),2011,28(12):1585～1588.

[4] 吳寧寧,陳瞭,吳明光,等.安全儀表系統(tǒng)的Markov建模方法研究[J].計(jì)算機(jī)與應(yīng)用化學(xué),2009,26(6):821～824.

[5] 徐明,陽憲惠.基于特征值分解計(jì)算平均要求時(shí)失效概率[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2008,48(z2):1805～1809.

[6] Bukowski J V.A Comparison of Techniques for Computing PFD Average[C].Reliability and Maintainability Symposium.New York:IEEE,2005:590～595.

[7] Brissaud F,Barros A,Berenguer C.Probability of Failure of Safety-Critical Systems Subject to Partial Tests[C]. Reliability and Maintainability Symposium.New York:IEEE,2010:14B4.

[8] Langseth H,Haugen K,Sandtorv H.Analysis of OREDA Data for Maintenance Optimization[J].Reliability Engineering & System Safety,1998,60(2):103～110.

[9] Sandtorv H A,Hokstad P,Thompson D W.Practical Experiences with a Data Collection Project: the OREDA Project[J].Reliability Engineering & System Safety,1996,51(2):159～167.

[10] Lundteigen M A,Rausand M.Assessment of Hardware Safety Integrity Requirements[R].Trondheim:The 30th ESReDA Seminar,2006.

[11] Munkeby E.Effect of Safe Failures on the Reliability of Safety Instrumented Systems[D].Trondheim:Norwegian University of Science and Technology,2008.