作者：进口仪器仪表

2000年,IEC61508.1-7《电气／电子／可编程电子安全相关系统的功能安全》标准的颁布标志着功能安全作为独立的安全学科进入实际应用阶段。在国外，尤其是欧盟，对功能安全的研究已较为深入，且取得安全认证的产品越来越多，范围也在逐步扩大。
　　
　　在我国，功能安全还只是一个名词概念，尽管在工业控制领域有一定的推广，但是国内生产的电气仪表产品获得功能安全认证的还很少，尤其是作为安全仪表系统核心部件的逻辑运算器，目前尚无产品获得认证，这极不利于我国的国民经济发展和国家战略安全。本文结合基础标准IEC61508，对安全仪表系统及其产品的功能安全设计进行了初步探讨。
　　
　　一、安全仪表系统
　　
　　安全仪表系统SIS(Safetyinstrumentsystem)是指能实现一个或多个安全功能的系统。在IEC61508标准中，安全仪表系统和紧急停车系统ESD(emergencyshutdowndevice)、安全联锁系统SIS(safetyinterlockssystem)、仪表保护系统IPSinstrumentedprotectivesystem)统称为安全相关系统SRS(safetyrelatedsystem)。
　　
　　安全仪表系统是一种可编程控制系统，它对生产装置或设备可能发生的危险采取紧急措施，并对继续恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产·设备、环境和人员安全。
　　
　　安全仪表系统通常应用于石油、化工等过程工业领域，但作为一种高度可靠的安全保护设施，它在其他行业也有较多应用，包括核电、航空、舰船以及高速铁路等系统。
　　
　　根据IEC61508标准，一套完整的安全仪表系统由传感变送器、逻辑运算器和最终执行元件构成。逻辑运算器作为核心部件，负责按照设定的逻辑进行控制，在一般具体的SIS产品中，安全仪表系统指的都是其中的逻辑运算器。
　　
　　1.1基本特征
　　
　　相比其他工业控制系统，如DCS、PLC等，SIS具有如下基本特征。
　　
　　①一定的安全完整性等级
　　
　　IEC61508作为基础标准，充分考虑了安全仪表系统的整体安全生命周期，提出了评估安全仪表系统的安全完整性等级SIL(safetyintegritylevel)的方法，规范了为实现必要的功能安全所使用的工具与措施。安全仪表系统的设计与开发过程必须遵循IEC61508，并应通过独立机构(如德国TUV或美国的exida等)的功能安全评估和认证，取得认证证书，才能在工业现场中应用。
　　
　　②容错性的多重冗余系统
　　
　　SIS一般采用多重冗余结构，以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能的丧失。
　　
　　③全面的故障自诊断能力
　　
　　SIS的安全完整性要求还包括避免失效的要求和系统故障控制的要求，同时，构成系统的各个部件均需明确故障诊断措施和失效后的行为。系统整体诊断覆盖率一般高达90％以上。SIS的硬件具有高度可靠性，能承受大多数环境应力，如现场电磁干扰等，从而可以较好地应用于各种工业环境。
　　
　　④响应速度快
　　
　　SIS的实时性较好，一般从输入变化到输出变化的响应时间在10-50ms左右(此处指的是逻辑运算器的响应速度，不包括现场仪表和执行机构)，一些小型SIS甚至可达到几毫秒的响应速度。
　　
　　⑤事件顺序记录功能
　　
　　为了更好地进行事故分析与事后追忆，SIS一般具有事件顺序记录SoE(sequenceofevents)功能，即可按时间顺序记录各个指定输入刃输出及状态变量的变化时间，记录精度一般精确到毫秒级。
　　
　　1.2冗余结构与典型产品
　　
　　针对目前应用的SIS系统，其结构可划分为以下3类。
　　
　　①二重化自诊断冗余结构
　　
　　即1oo2D结构，其自带完善的自诊断系统，由并联的2个通道构成，任何一个通道都可以执行安全功能。典型的例子是Honeywell公司设计的FSC系统和Moore公司设计的QUADLOG系统。
　　
　　②三重化表决结构
　　
　　即2oo3/TMR结构，由并联的3个通道构成，其输出信号由3个通道的输出表决后得到，兼具安全性和可靠性。典型的例子是Triconex公司设计的TRICON系统和ICSTriplex公司设计的Regent系统。
　　
　　③四重化冗余容错完全自诊断结构
　　
　　即2oo4D/QMR结构，在诊断过程中，4个CPU分成2对，每对由2个CPU构成loo2D结构。当其中一个CPU被诊断出故障时，则该对CPU被切除，由另一对CPU继续以1oo2D的模式进行工作，这是在loo2D基础上的一种改进。目前只有HIMA公司设计的H4lq和H5lq系统采用该结构。
　　
　　二、产品的功能安全设计
　　
　　在SIS产品的设计与开发过程中，必须遵循IEC61508在产品整体安全生命周期、软硬件等诸多方面功能安全的要求。
　　
　　2.1整体安全生命周期
　　
　　安全生命周期(safetyhfecycle)指的是在安全相关系统实现过程中所必需的生命活动。这些活动发生在从一项工程的概念阶段开始，直至所有的E/E/PE(电气／电子／可编程电子)安全相关系统、其他技术安全相关系统，以及外部风险降低设施停止使用为止的一段时间内。
　　
　　系统的安全性不仅仅是由系统的设计和实现决定的，同时还取决于系统的安装、运行和维护等活动。因此，整体安全生命周期不仅覆盖安全相关系统的设计，还包括安全相关系统的规划、设计、安装、调试、运行、维护和停用等所有的主要阶段。整体安全生命周期的基本思想是与功能安全相关的所有活动都按一个有计划的、系统的方法进行管理。
　　
　　IEC61508将整体安全生命周期分为16个阶段，包括概念、整体范围定义、危险和风险分析、整体安全要求、安全要求分配、整体操作和维护计划编制、整体安全确认计划编制、整体安装和试运行计划编制、E/E/PES设计与实现、其他安全相关系统的实现、外部危险降低措施的实现、整体安装与试运行、整体安全确认、整体操作维护和修理、整体修改和改型、停用和处理，并定义了各阶段各自相关的功能安全活动和要求。通过这种结构化的生命周期模型，最终使得隐藏在安全相关系统中的非安全因素降至最低水平。
　　
　　对于安全仪表系统产品的开发与设计来说，需重点关注第9阶段，即E/E/PE安全相关系统的设计实现，并注意从以下2方面着手满足功能安全要求。
　　
　　①建立功能安全管理体系
　　
　　建立功能安全管理体系的目的是明确整体的、E/E/PES的和软件的安全生命周期所有阶段的管理和技术活动；确定人员、部门、组织在各阶段活动中的角色和所肩负的责任。
　　
　　管理体系的建立可保障满足安全仪表系统所要求的安全完整性。
　　
　　②编写生命周期各阶段相关文档
　　
　　根据IEC61508生命周期模型，在各阶段的各个活动中递交所有相关文档。这些文档应规定能够有斌执行整体安全生命周期各阶段所必需的信息，规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息，以及有关的报告和记录。
　　
　　2.2硬件设计
　　
　　IEC61508中关于硬件安全完整性的要求包括结构约束和危险随机硬件失效概率的要求。
　　
　　硬件故障裕度是指部件或子系统在出现一个或几个硬件故障的情况下，功能单元继续执行所要求的仪表安全功能的能力。若硬件故障裕度为N，则(N+l)个故障会导致全功能的丧失。在设计安全仪表系统产品时，应注意以下几个方面。