摘要：針對安全儀表系統（SIS）的產品開發，分析了應用于石化領域的安全儀表系統的基本特性、冗余結構和常見產品類型。在介紹IEC61508標準的基礎上，提出了安全儀表系統產品開發過程中整體安全生命周期、產品硬件及安全相關軟件的功能安全設計方法；zui后以SIL2級壓力變送器為例
　　
　　引言
　　
　　2000年,IEC61508.1-7《電氣／電子／可編程電子安全相關系統的功能安全》標準的頒布標志著功能安全作為獨立的安全學科進入實際應用階段。在國外，尤其是歐盟，對功能安全的研究已較為深入，且取得安全認證的產品越來越多，范圍也在逐步擴大。
　　
　　在我國，功能安全還只是一個名詞概念，盡管在工業控制領域有一定的推廣，但是國內生產的電氣儀表產品獲得功能安全認證的還很少，尤其是作為安全儀表系統核心部件的邏輯運算器，目前尚無產品獲得認證，這極不利于我國的國民經濟發展和國家戰略安全。本文結合基礎標準IEC61508，對安全儀表系統及其產品的功能安全設計進行了初步探討。
　　
　　一、安全儀表系統
　　
　　安全儀表系統SIS（Safetyinstrumentsystem）是指能實現一個或多個安全功能的系統。在IEC61508標準中，安全儀表系統和緊急停車系統ESD（emergencyshutdowndevice）、安全聯鎖系統SIS（safetyinterlockssystem）、儀表保護系統IPSinstrumentedprotectivesystem）統稱為安全相關系統SRS（safetyrelatedsystem）。
　　
　　安全儀表系統是一種可編程控制系統，它對生產裝置或設備可能發生的危險采取緊急措施，并對繼續惡化的狀態進行及時響應，使其進入一個預定義的安全停車工況，從而使危險和損失降到zui低程度，保證生產·設備、環境和人員安全。
　　
　　安全儀表系統通常應用于石油、化工等過程工業領域，但作為一種高度可靠的安全保護設施，它在其他行業也有較多應用，包括核電、航空、艦船以及高速鐵路等系統。
　　
　　根據IEC61508標準，一套完整的安全儀表系統由傳感變送器、邏輯運算器和zui終執行元件構成。邏輯運算器作為核心部件，負責按照設定的邏輯進行控制，在一般具體的SIS產品中，安全儀表系統指的都是其中的邏輯運算器。
　　
　　1.1基本特征
　　
　　相比其他工業控制系統，如DCS、PLC等，SIS具有如下基本特征。
　　
　?、僖欢ǖ陌踩暾缘燃?br />　　
　　IEC61508作為基礎標準，充分考慮了安全儀表系統的整體安全生命周期，提出了評估安全儀表系統的安全完整性等級SIL（safetyintegritylevel）的方法，規范了為實現必要的功能安全所使用的工具與措施。安全儀表系統的設計與開發過程必須遵循IEC61508，并應通過獨立機構（如德國TUV或美國的exida等）的功能安全評估和認證，取得認證證書，才能在工業現場中應用。
　　
　?、谌蒎e性的多重冗余系統
　　
　　SIS一般采用多重冗余結構，以提高系統的硬件故障裕度，單一故障不會導致SIS安全功能的喪失。
　　
　?、廴娴墓收献栽\斷能力
　　
　　SIS的安全完整性要求還包括避免失效的要求和系統故障控制的要求，同時，構成系統的各個部件均需明確故障診斷措施和失效后的行為。系統整體診斷覆蓋率一般高達90％以上。SIS的硬件具有高度可靠性，能承受大多數環境應力，如現場電磁干擾等，從而可以較好地應用于各種工業環境。
　　
　　④響應速度快
　　
　　SIS的實時性較好，一般從輸入變化到輸出變化的響應時間在10-50ms左右（此處指的是邏輯運算器的響應速度，不包括現場儀表和執行機構），一些小型SIS甚至可達到幾毫秒的響應速度。
　　
　　⑤事件順序記錄功能
　　
　　為了更好地進行事故分析與事后追憶，SIS一般具有事件順序記錄SoE（sequenceofevents）功能，即可按時間順序記錄各個輸入刃輸出及狀態變量的變化時間，記錄精度一般到毫秒級。
　　
　　1.2冗余結構與典型產品
　　
　　針對目前應用的SIS系統，其結構可劃分為以下3類。
　　
　　①二重化自診斷冗余結構
　　
　　即1oo2D結構，其自帶完善的自診斷系統，由并聯的2個通道構成，任何一個通道都可以執行安全功能。典型的例子是Honeywell公司設計的FSC系統和Moore公司設計的QUADLOG系統。
　　
　?、谌鼗頉Q結構
　　
　　即2oo3/TMR結構，由并聯的3個通道構成，其輸出信號由3個通道的輸出表決后得到，兼具安全性和可靠性。典型的例子是Triconex公司設計的TRICON系統和ICSTriplex公司設計的Regent系統。
　　
　?、鬯闹鼗哂嗳蒎e*自診斷結構
　　
　　即2oo4D/QMR結構，在診斷過程中，4個CPU分成2對，每對由2個CPU構成loo2D結構。當其中一個CPU被診斷出故障時，則該對CPU被切除，由另一對CPU繼續以1oo2D的模式進行工作，這是在loo2D基礎上的一種改進。目前只有HIMA公司設計的H4lq和H5lq系統采用該結構。
　　
　　二、產品的功能安全設計
　　
　　在SIS產品的設計與開發過程中，必須遵循IEC61508在產品整體安全生命周期、軟硬件等諸多方面功能安全的要求。
　　
　　2.1整體安全生命周期
　　
　　安全生命周期（safetyhfecycle）指的是在安全相關系統實現過程中所必需的生命活動。這些活動發生在從一項工程的概念階段開始，直至所有的E/E/PE（電氣／電子／可編程電子）安全相關系統、其他技術安全相關系統，以及外部風險降低設施停止使用為止的一段時間內。
　　
　　系統的安全性不僅僅是由系統的設計和實現決定的，同時還取決于系統的安裝、運行和維護等活動。因此，整體安全生命周期不僅覆蓋安全相關系統的設計，還包括安全相關系統的規劃、設計、安裝、調試、運行、維護和停用等所有的主要階段。整體安全生命周期的基本思想是與功能安全相關的所有活動都按一個有計劃的、系統的方法進行管理。
　　
　　IEC61508將整體安全生命周期分為16個階段，包括概念、整體范圍定義、危險和風險分析、整體安全要求、安全要求分配、整體操作和維護計劃編制、整體安全確認計劃編制、整體安裝和試運行計劃編制、E/E/PES設計與實現、其他安全相關系統的實現、外部危險降低措施的實現、整體安裝與試運行、整體安全確認、整體操作維護和修理、整體修改和改型、停用和處理，并定義了各階段各自相關的功能安全活動和要求。通過這種結構化的生命周期模型，zui終使得隱藏在安全相關系統中的非安全因素降至zui低水平。
　　
　　對于安全儀表系統產品的開發與設計來說，需重點關注第9階段，即E/E/PE安全相關系統的設計實現，并注意從以下2方面著手滿足功能安全要求。
　　
　?、俳⒐δ馨踩芾眢w系
　　
　　建立功能安全管理體系的目的是明確整體的、E/E/PES的和軟件的安全生命周期所有階段的管理和技術活動；確定人員、部門、組織在各階段活動中的角色和所肩負的責任。
　　
　　管理體系的建立可保障滿足安全儀表系統所要求的安全完整性。
　　
　　②編寫生命周期各階段相關文檔
　　
　　根據IEC61508生命周期模型，在各階段的各個活動中遞交所有相關文檔。這些文檔應規定能夠有斌執行整體安全生命周期各階段所必需的信息，規定能夠有效執行功能安全管理、驗證以及功能安全評估等活動所必需的信息，以及有關的報告和記錄。
　　
　　2.2硬件設計
　　
　　IEC61508中關于硬件安全完整性的要求包括結構約束和危險隨機硬件失效概率的要求。
　　
　　硬件故障裕度是指部件或子系統在出現一個或幾個硬件故障的情況下，功能單元繼續執行所要求的儀表安全功能的能力。若硬件故障裕度為N，則（N+l）個故障會導致全功能的喪失。在設計安全儀表系統產品時，應注意以下幾個方面。
　　
　?、傧到y結構
　　
　　設計在進行SIS產品設計時，首先應明確該產品的系統結構或冗余方式。表1所示為安全完整性結構約束。

　　
　　新開發的邏輯運算器產品定義為B類子系統，其結構為單通道（HFT=0），安全失效分數（SFF）為90%。查表1可知，該產品所能聲明的zui高安全完整性等級為SIL2。
　　
　?、贔MEDA評估
　　
　　失效模式影響和診斷分析FMEDA（faifuremodeseffectsanddjagnosticanalysis）是傳統FMEA的擴展使用。在安全儀表系統產品開發時，必須對所有使用到的電子元器件逐一進行FMEDA分析，明確每種失效模式決效影響及故障診斷措施，并結合現場返修部件統計數據或元器件失效率手冊，計算出各種顯，阻隱性、安全危險失效率。這些數據是計算安全失效分數SFF、故障診斷覆蓋率DC、平均失效概率PFD等安全完整性等級相關參數的基礎。安全完整性等級如表2所示。
　　
　?、弁晟乒收显\斷措施
　　
　　表l中，安全失效分數SFF體現的是故障自診斷要求，對于HFT=0或1的子系統，SFF只有大于90%才有可能達到SIL3，這就需要系統具有高度完善的自診斷措施。故障診斷要求如表3所示。
　　
　　2.3安全相關軟件設計
　　
　　在SIS產品的軟件設計與開發過程中，除了滿足軟件整體安全生命周期中各環節的管理和文檔要求外，還應注意以下幾個方面。
　　
　?、佘浖_發流程
　　
　　V一模式的開發生命周期示意圖如圖1所示。它由制定軟件安全需求、軟件結構、軟件系統設計、模型設計、編碼、模型測試、集成測試（模型）、集成測試（部件、子系統和可編程電子）和確認測試等若干個步驟組成，且這些步驟間存在交叉驗證關系。
　　
　?、谲浖Y構設計
　　
　　在軟件安全規范、軟件結構設計和模塊設計等環節，IEC61508推薦使用半形式化、結構化方法，如有限狀態機制／狀態轉換圖、邏輯／功能塊、數據流圖等半形式化方法，結構方法則包括JSD、MASCOT、SADT和Yourdon等。
　　
　?、劬幊陶Z言和編譯器
　　
　　安全相關系統推薦使用PASCAL、ADA、MODULAZ等強類型編程語言。而常見的C語言并不是強類型語言，它有弱類型的一面，例如其可把字符型變量賦給一個整型變量，可在一個字符型變量、整型變量、長整型變量和浮點變量間實施運算；同時，C語言還有一個自動的類型提升等。因此，使用C語言時，可以通過語言子集（如MISRAC子集）限制這些使用，以達到類似于使用強類型編程語言的編程效果。
　　
　　編譯器（翻譯器）有2種途徑滿足安全完整性要求，即經認證或通過使用提高其置信度。目前，各編譯器一般未就安全性進行過任何認證，因此，比較適宜的是后者，即通過一定年限的使用，使得編譯器顯示的置信度滿足安全要求。
　　
　?、茌o助工具
　　
　　為了驗證軟件代碼的質量，需進行靜態分析和動態分析與測試，此時可引入一些輔助軟件工具，主要是代碼規則檢測類工具，如PC-Lint、QAC、LogiscoPe、Test-bed、Codewizard等。
　　
　　三、結束語
　　
　　在構建和諧社會的旗幟下，安全生產已越來越引起人們的廣泛關注，安全性已成為衡量現代工業的一項重要指標，安全儀表系統也必將在國民生產和現代化建設中發揮越來越重要的作用。如何研制開發具有自主知識產權的國產安全儀表系統，從而打破國外產品長期壟斷、價格居高不下的局面，是當前工控人面臨的新課題。
　　
　　G-2011-01