如何理解安全完整性与SIL等级.pdf
- 文档编号:3437078
- 上传时间:2023-05-05
- 格式:PDF
- 页数:4
- 大小:295.20KB
如何理解安全完整性与SIL等级.pdf
《如何理解安全完整性与SIL等级.pdf》由会员分享,可在线阅读,更多相关《如何理解安全完整性与SIL等级.pdf(4页珍藏版)》请在冰点文库上搜索。
如何理囊簪参盒完整性与SJL,等级HowtOUnderstandSafetyIntegrityandSIL史学玲孟邹清邓意(机械工业仪器仪表综合技术经济研究所,北京市100055)ShiXuelingMengZouqingDengYi(InstrumentationTechnology&EconomyInstituteBeijing100055)【摘要】首先介绍安全完整性相关的基本概念,然后通过分析安全完整性与安全要求、$1k等级及可靠性之间的关系,阐述安全完整性与$1k等级实际含义。
【关键词】安全完整性$1kAbstract:
Thepaperintroducedthebasicconceptsofsafetyintegrity,andanalysedtherelationshipbetweensafetyintegrityandsafetyrequirements,SILandthereliability,expatiatedthemeaningofsafetyintegrityandSILKeywords:
SafetyIntegritySIL前言等同采用1EC61508“电气电子可编程电子安全相关系统的功能安全”的中国国家标准(GBT2043817)已于2006年7月25日批准,将于2007年1月1日正式实施。
对安全相关系统的供应商、系统集成商和用户来说,执行该标准的一个基本前提,就是正确理解安全完整性与SIL(安全完整性等级,safetyintegrityleve1)的真实内涵。
1安全完整性及相关定义IEC61508-4中,与安全完整性相关的定义有:
安全完整性(safetyintegrity)在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概率。
注1:
安全相关系统的安全完整性等级越高,安全相关系统不能实现所要求的安全功能的概率就越低。
注2:
安全相关系统有4种安全完整性等级。
注3:
在确定安全完整性的过程中,应包括导致非安全状态的所有失效(随机硬件失效和系统失效)的起因,例如硬件失效,软件导致的失效以及由电气干扰引起的失效,其中有些类型的失效,尤其是随机硬件失效,在危险失效模式中,可用失效率这样的量来量化,对一个安全防护系统而言,可以用有要求时不能工作的概率来量化,但是,系统的安全完整性也取决于许多因素,这些因素无法精确定量仅可定性考虑。
注4:
安全完整性由硬件安全完整性和系统安全完整性构成。
注5:
这一定义着重于安全相关系统执行安全功能的可靠性。
收稿日期:
006-1124作者简介:
史学玲(1961一),女,吉林舒兰人,机械工业仪器仪表综合技术经济研究所研发与咨询室主任,教授级高工。
研究方向:
现场总线与功能安全技术。
10l位一位蔑蕾准化与计l6安全相关系统(safety-relatedsystem)所指的系统:
必需要能实现要求的安全功能以达到或保持EUC的安全状态l自身或与其它EEPE安全相关系统、其它技术安全相关系统或外部风险降低设施一道,能够达到要求的安全功能所需的安全完整性。
注1:
这条术语是指这样的系统,即所谓安全相关系统是它们,及与外部凤险降低设施一道达到必要的风险降低量,以满足所要求的允许风险。
注2:
安全相关系统是在接受命令时采取适当的动作以防止EUC进入危险状态。
安全相关系统的失效被包括在导致危险或危害的事件中。
尽管存在可能具备安全功能的其他系统,但已指定的安全相关系统仅是指靠其自身能力达到要求的允许风险的安全相关系统。
安全相关系统一般分为安全控制系统和安全防护系统并且具有两种操作模式(低要求操作模式、高要求或连续操作模式)。
注3:
安全相关系统可以是EUC控制系统的组成部分,也可用传感器和或执行器与EUC接口,即可通过实现EUC控制系统中的安全功能(也可能通过分开的和独立的附加系统)达到要求的安全完整性等级,或者利用分离的、独立的、专门的安全相关系统实现安全功能。
注4:
安全相关系统可能包括:
a)被用于防止危险事件发生(即安全相关系统一旦执行其安全功能则没有危险事件发生);b)被用来减轻危险事件的影响,即通过减轻后果的办法来降低风险。
C)同时具有a)和b)的组合功能。
注5;人也可作为安全相关系统的一部分,例如,人可以接收来自可编程电子装置的信息,并通过可编维普资讯http:
/程电子装置按接收信息要求执行安全动作。
注6:
该术语包括执行安全功能所需的全部硬件、软件以及支持服务(如电源)(传感器,其它输入装置,最终元件(执行器)和其它输出装置也包括在安全相关系统中)。
注7:
安全相关系统的技术基础范围可以十分广泛,包括电气、电子、可编程电子、液压和气动等。
安全完整性等级(SIL(safetyintegrityleve1)一种离散的等级(四种可能等级之一),用于规定分配给EEPE安全相关系统的安全功能的安全完整性要求,在这里,安全完整性等级4是最高的,安全完整性等级1是最低的。
安全功能(safetyfunction)针对特定的危险事件,为达到或保持EUC的安全状态,由EEPE安全相关系统、其它技术安全相关系统或外部风险降低设施实现的功能。
软件安全完整性(softwaresafetyintegrity)在所有规定条件下和规定时间内表示软件在可编程电子系统中执行其安全功能的可能性的量值。
系统安全完整性(systematicsafetyintegrity)在危险失效模式中与系统失效有关的安全相关系统安全完整性的一部分。
注:
通常无法量化系统的安全完整性(一般可以与硬件安全完整性分开)。
硬件安全完整性(hardwaresafetyintegrity)在危险失效模式中与随机硬件失效有关的安全相关系统安全完整性的一部分。
注:
本术语涉及危险模式中的失效,即安全相关系统的这类失效将削弱其安全完整性,与本术语有关的两个参数是整体危险失效率和在要求时操作失效的概率,当为保持安全而必须保持连续控制时,使安全完整性与安全要求的关系如图l。
图1安全完整性与安全要求的关系3安全完整性与SIL等级的关系安全完整性包括系统安全完整性与随机安全完整性两部分。
系统完整性是安全完整性里不可定量部分,并且与系统故障导致的硬件、软件的危险失效有关。
系统故障通常由系统、子系统和设备在安全功能的生命周期内各种人为错误导致,如规范错误、设计错误、制造错误、安装错误、操作错误、维护错误、修改错误等。
随机安全完整性是安全完整性的随机危险失效部分,其中唯一可以量化的部分就是硬件失效相关的硬件安全完整性。
硬件失效是硬件部分有限的可靠性导致的。
系统安全完整性通过质量管理和安全管理条件获得。
由于不可能通过定量的方法来评估系统安全完整性,功能安全标准中用SIL对技术措施与管理条件进行了分级。
安全完整性与SIL等级的关系如图2。
安全完整性广J系统随机安全完整性SIL安全完整性故障率用前一可靠性参数,在安全防护系统范围中使用后一可靠性参数。
2安全完整性与安全要求的关系对安全相关系统、子系统或设备的要求可以分为与安全无关的要求和与安全有关的要求两部分来考虑。
与安全相关的要求一般称为安全要求,安全要求应包含在一个独立的安全要求规范中。
安全要求又分为安全功能要求与安全完整性要求。
安全功能要求是实际的系统、子系统或者设备需要执行的安全功能。
而安全完整性要求则规定了每一个安全功能的SIL要求。
图2安全完整性与$1L等级的关系4安全完整性与可靠性的关系41可靠性的基本定义在描述安全完整性与可靠性之间关系之前,首先来看可靠性的基本定义。
可靠性的经典定义是“产品在规定条件下和规定时间内,完成规定功能的能力”。
产品:
指作为单独研究和分别试验对象的任何元件、设备或系统,可以是零件,部件,也可以是由它们装配而成的机器,或由许多机器组成的机组和成套设备,甚至还把人的作用也包括在内。
在具体使用“产里卤维普资讯http:
/品”这一词时,其确切含义应加以说明。
例如汽车板簧、汽车发动机、汽车整车等。
规定条件:
包括储存环境条件、装配条件、运输条件、使用环境条件、维修条件、保障条件等。
规定时间:
这里的时间是一个广义的概念,除了包括任务时间、试验时间、工作时间、储存时间等一般性的时间概念以外,还可以指动作次数、运输距离等可以与时间成比例的参数。
是可靠性区别于产品其他质量属性的重要特征,一般也可认为可靠性是产品功能在时间上的稳定程度。
因此以数学形式表示的可靠性各特征量都是时间的函数。
规定功能:
是指产品应具备的技术指标。
产品丧失规定功能称为失效,对可修复产品通常也称为故障。
怎样才算是失效或故障,有时很容易判定,但更多情况则很难判定。
当产品指的是某个螺栓,显然螺栓断裂就是失效;当产品指的是某个设备,对某个零件损坏而该设备仍能完成规定功能就不能算失效或故障,有时虽有某些零件损坏或松脱,但在规定的短时间内可容易地修复也可不算是失效或故障。
若产品指的是某个具有性能指标要求的机器,当性能下降到规定的指标后,虽然仍能继续运转,但已应算是失效或故障。
究竟怎样算是失效或故障,有时要涉及厂商与用户不同看法的协商,有时要涉及当时的技术水平和经济政策等而作出合理的规定。
能力:
可以用概率、工作寿命等参数来度量。
一般来说,能力的概率度量值称为可靠度;而工作寿命度量值,对于可修复产品,用平均故障间隔时间MTBF表示,对于不可修复产品,则用平均故障前时间MTTF表示。
42安全完整性与可靠性的比较可靠性是一个广义的概念,其针对对象是“产品”,可以是任何元件、设备或系统,可以是零件、部件,也可以是由它们装配而成的机器,或由许多机器组成的机组和成套设备,甚至还把人的作用也包括在内;可靠性衡量的是“产品”在规定条件下和规定时间内,完成规定“功能”的能力。
其功能也是一个泛泛的概念,不同领域的产品有不同的要求功能。
可靠性数学表达式为:
可靠度(R(t)或平均故障间隔时间(MTBF)等,这是对于产品本身特性的一个度量,虽然,它也是考虑了特定的地点、特定的时间、特定的环境等因素,但是可以说仍然是一个相对独立性的参数。
而安全完整性是一个相对专业的概念,针对的对象是“安全相关系统”,衡量的是“安全相关系统”在规定的条件下和规定的时间内,完成规定的“安全功能”的概率。
对要求的功能领域也有一个明确的界定。
安全完整性是应用于安全领域的一个专有概念,比可靠性更有针对性。
12l倥一倥爱际准化与计一1一安全完整性,是随机安全完整性和系统安全完整性的综合。
随机安全完整性中只有硬件安全完整性是可以用可靠性计算定量分析计算确定。
如何保证系统安全完整性是功能安全标准对安全控制的一大贡献。
它考虑了从系统的前期分析设计到后期安装调试、维护保养等等各个方面的相关技术措施的采用等方面的因素。
可以说,由于是用于安全领域,涉及到人身、财产、环境的安全,所以对于这个领域的产品或者相关系统都应该从整到局部,从前期调查设计到后期维护运行都做充分的考虑。
安全完整性衡量的就是这么一个综合范畴,可靠性,相对而言,对于安全领域来说,其衡量的参数范畴就远远不够。
另一个方面,可靠度(R(t)也好,平均故障间隔时间(MTBF)也好,作为可靠性的数学表达式,在安全完整性的评价来说,只是其系统的硬件安全完整性评价的参数,从这一点来说,仅靠可靠性的评价来确定用于安全领域相关系统是否安全是远远不够的。
可靠性可以分为任务可靠性和基本可靠性,产品在规定的任务剖面中完成规定功能的能力称之为任务可靠性,而所谓基本可靠性是指产品在规定条件下,无故障的持续时间。
在计算任务可靠性时,只有危及任务成功的故障才统计,故应根据产品真实的数学模型进行计算;在计算基本可靠性时,凡是需要维修的故障不管它是否危及任务成功,均进行统计,即一律按串联模型进行计算。
由此看来,安全相关系统硬件安全完整性评价中的随机硬件失效概率的计算应该是任务可靠性的计算概念,而不能采用基本可靠性的计算概念。
SIL是规定分配给EEPE安全相关系统的安全功能的安全完整性要求,其要求是有根据性的,必须先对安全相关系统所针对危险点进行风险分析,提出安全完整性要求等级,再反过来对每一个系统;每一个构成系统的组件;每一个系统子系统的构成方式,每一个系统的设计、调试、安装、维护;以及对系统的验证、评价;操作人员的操作资质,等等一系列的方面提出安全完整性的要求。
显然,同可靠性的要求、分配相比,安全完整性所涵盖的因素更加的全面,因此用于安全领域也更加可靠。
安全完整性等级是一种离散的等级(四种可能等级之一),这是因为,系统的安全完整性通常是无法量化的,所以一般跟硬件的安全完整性分开来考虑。
可靠性所衡量的平均故障间隔时间、可靠度等,往往是通过概率统计等数学方法可以给出量化值,因此以数学形式表示的可靠性各特征量都是时间的函数,当然,这里的“时间”是个广义的概念。
因此,用现有的可靠性概念,是无法给整个系统或者软件做出准确全面的可靠性界定的。
(下转第19页)维普资讯http:
/项目)中,在此处又别出心裁,(直接写原因)多了一步,就是考虑到,虽然每字节擦写次数可达1O万次、数据可保存100年,但是它也是又有寿命的,特别是在仪表调试阶段,就已经对它改了无数次,再加上现场调试的话,也会减少它的寿命。
因此程序设计的时候多了一个判别功能,即判断EPROM内存中的现存数据跟调试人输入的数据是否相同,如果相同的话就不对它进行读写,如果确认不同,则往里写入数据。
程序如下:
先读出EzPROM内存中的现存数据,并跟R1(即要写入的数据)内数据进行比较,不相同则进行写操作,否则就不写:
WR:
CLREAI判断是否要写MOVR0,#3l数据读出放入内存3中CALLRDMOVA,R1CJNEA,3,wL;读出数据跟要写入数据进行比较SETBEARETWLlCALLEPWRl写人SJMPWR下面是纯写入程序,参照图4。
先使CS置低,随后不断地产生时钟脉冲,然后先发送WRITE(写命令#2),同时写入的还有地址,紧随其后就是写入数据。
因为写入数据需要一个过程,因此需要判断数据是否写完,然后进行其他操作,如表2所示。
状态寄存器的最后一位就是写操作有没有完成的标志,因此可以对它进行检查,看写操作是否完成。
详细程序如下:
EPWR:
CALLWRENl纯写子程序CLRCSMOVA#2MOVCEPBMOVCALLMOVCALLSETBWRR:
CALLABWRZA,R1WRZCSRDSR;写入的地自R(R1)一(B)宪JBAce0,WRR检查状态CLRWPRET3结束语很多自动控制的智能仪表中,记忆功能是不可或缺的,掌握EPROM的使用方法无疑会使单片机初学者的水平得到提升到一个更高的水平。
在我们设计的温度、压力等各种仪表中,利用了X2504345的看门狗、低电压检测,来保证系统能够在异常的情况下能够自动复位。
同时,E。
PROM的存储功能也满足了仪表记忆各种参数,如上、下限测量值报警限;用于PID调控的参数等的功能,很好的满足了仪器以及各种自动控制的需要。
经作者验证,EPROM运行良好,没有出现异常,因此撰写此文,希望能对读者起到一个抛砖引玉的效果。
参考文献1】XictorX2504345ApplicationNotes2】李朝青单片机原理及接口技术北京:
北京航空航天大学出版社,19993】周航慈,饶运涛单片机程序设计基础北京:
北京航空航天大学出版社,19974】王春森,薛国良汇编语言程序设计基础北京:
高等教育出版社,19835】RandallHyde汇编语言编程艺术北京:
清华大学出版社,2005MOVAce3,C;写允许6】刘晓星,潘晓萍80888086汇编语言程序设CALLWRZ计学习指导北京:
中央广播电视大学出版社,1993口(上接第12页)理条件。
总之,可靠性确立的对象范围比较广,但是其所衡量的范畴比较窄;而安全完整性,是专门针对安全领域的评价指标,它所确立的对象范围窄,但是,对于安全领域里的安全相关系统作评估所考虑的因素、涉及的范畴要广的多。
5结束语安全完整性的量化指标是以可靠性为基础的,但它不是可靠性。
SIL是针对安全领域的安全相关系统执行的安全功能提出的特定要求。
SIL建立了安全领域用户、系统集成商和供应商的共同语言。
当一个系统用户提出某个安全功能的要求是SIL4级时,所有系统集成商、设备供应商都会意识到:
这个系统要求的是最高等级的技术措施、可靠性、质量管理和安全管参考文献1】IEC61508:
FunctionalsafetyofEEPEsafetyrelatedsystems2】EN50129:
RailwayapplicationsCommunication,stgnaningandprocessingsystemsSafetyrelatedelectronicsystemsforsignalling3】金碧辉系统可靠性工程北京:
国防工业出版社,200464】可靠性概念EBOL】中国可靠性资源网http:
wwwchinare1comknowledgegainianhtm口馒墨倥丧坛准化与计191丽I维普资讯http:
/
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 如何 理解 安全 完整性 SIL 等级