安全完整性等級雜談(一)

安全完整性等級㈣雜談（一）段慧文【摘要】介紹安全完整性等級的相關標準，重點在于舞臺機械控制系統(tǒng)安全相關的內容，同時闡述了舞臺機械專業(yè)的國內夕卜差距.【期刊名稱】《演藝科技》【年（卷），期】2018（000）007【總頁數】7頁（P36-42）【關鍵詞】安全完整性等級;舞臺機械;控制系統(tǒng);標準;差距【作者】段慧文【作者單位】【正文語種】中文1概述1.1功能安全、安全完整性和安全相關系統(tǒng)電子/電氣/可編程（E/E/EP）電子器件、軟件系統(tǒng)在工業(yè)控制領域的大量使用，大大提升了自動化程度和生產效率。但由于各種原因（如：研發(fā)人員的知識結構、開發(fā)制造中風險管理意識的不足、自身安全性能存在缺陷產品的流入等），在相關行業(yè)的安全控制系統(tǒng)中，由可靠性造成的人身安全、財產損失和環(huán)境危害等問題經常發(fā)生，給社會帶來了無法挽回的損失。世界各國在過程安全和工業(yè)裝備安全控制中，對廣泛涉及公眾及職業(yè)安全的產品安全性設計非常重視，并且將電子、電氣及可編程電子安全控制系統(tǒng)相關的技術，發(fā)展為一套成熟的安全設計技術，即功能安全技術。筆者對幾個與安全設計技術有關的名詞作簡單說明：（1） 功能安全功能安全是與電子單元控制EUC（ElectronicUnitControl）或與EUC控制系統(tǒng)有關的整體安全的組成部分,內容包括管理和技術兩方面。在管理上和技術上保證E/E/PE安全系統(tǒng)、其他技術安全系統(tǒng)和外界風險降低設施來執(zhí)行安全功能。無論零部件或者整個系統(tǒng)發(fā)生的失效，也不管是隨機失效、系統(tǒng)失效或者是共因失效（同一原因引起的不同故障失效），都不會導致安全系統(tǒng)故障，進而不會對人員或者環(huán)境產生危害，那么該系統(tǒng)在功能上就是安全的。無論是在正常工作狀態(tài)或者是故障工作狀態(tài)，控制系統(tǒng)都必須保證其安全功能。歐美各國已經頒布了涉及到各個領域的、成套的與功能安全相關的產品規(guī)范和設計標準，如：軌道信號控制（EN5012X）、核電控制（EN61513）、工業(yè)裝備及機器控制（EN62601,ENISO13849-1/2）、過程工業(yè)控制（EN61511）等；IEC61508系列標準已經成為各個國家、行業(yè)廣泛認可的基本功能安全標準；中國也逐漸形成了相應的功能安全國家標準，行業(yè)和企業(yè)將逐步按照國家強制標準的要求去升級自身產品的安全性。（2） 安全完整性（safetyintegrity）安全完整性指在規(guī)定的條件下、規(guī)定的時間內，安全相關系統(tǒng)成功實現所要求的安全功能的概率。安全相關系統(tǒng)的安全完整性等級越高，安全相關系統(tǒng)不能實現所要求的安全功能的概率就越低；安全完整性著重于安全相關系統(tǒng)執(zhí)行安全功能的可靠性。安全完整性包括系統(tǒng)安全完整性與隨機安全完整性。系統(tǒng)完整性是安全完整性里的不可定量部分，并且與系統(tǒng)故障導致的硬件、軟件的失效有關。系統(tǒng)故障通常由系統(tǒng)、子系統(tǒng)和設備在安全功能的生命周期內各種人為錯誤導致，如規(guī)范錯誤、設計錯誤、制造錯誤、安裝錯誤、操作錯誤、維護錯誤、修改錯誤等。隨機安全完整性是安全完整性的隨機危險失效部分，包括硬件失效、軟件失效以及電氣干擾引起的失效。有些類型的失效，如隨機硬件失效，在失效模式中，可用失效率來量化；對安全防護系統(tǒng)，可用不能工作的概率來衡量；可以量化的部分均與硬件失效（硬件安全完整性）有關；而硬件失效是硬件可靠性不足導致的。系統(tǒng)安全完整性通過質量管理和安全管理條件獲得。由于不可能通過定量的方法來評估系統(tǒng)安全完整性，功能安全標準中用安全完整性等級SIL對技術措施與管理條件進行分級。（3）安全相關系統(tǒng)（safety-relatedsystem）該系統(tǒng)需能實現所要求的安全功能、以達到或保持電子控制單元EUC（ElectronicControlUnit）的安全狀態(tài)；系統(tǒng)自身、或與其他的技術安全相關系統(tǒng)、或外部風險降低設施一起，能夠達到所要求的安全功能所需的安全完整性等級，即與外部風險降低設施一道，能達到必要的風險降低量，滿足所要求的允許風險。安全相關系統(tǒng)一般分為安全控制系統(tǒng)和安全防護系統(tǒng)，且具有兩種操作模式（低要求操作模式、高要求或連續(xù)操作模式），可以是EUC控制系統(tǒng)的組成部分，也可用傳感器和/或執(zhí)行器與EUC接口，即通過分開的和獨立的附加系統(tǒng)實現EUC控制系統(tǒng)中的安全功能，達到要求的安全完整性等級。安全相關系統(tǒng)用于防止危險事件發(fā)生（即安全相關系統(tǒng)一旦執(zhí)行其安全功能，則沒有危險事件發(fā)生），或用來減輕危險事件的影響并降低風險。1.2安全完整性等級SIL（SafetyIntegrityLevel）認證所有電子/電氣/可編程（E/E/EP）設備，包括一些最精密的設備/系統(tǒng)都可能由各種原因產生故障。安全完整性等級SIL就是用來評定故障及其后果的方法，評估結果是根據故障概率得出的安全完整性等級。安全完整性指在規(guī)定條件下和規(guī)定時間內，成功實現控制儀表設備所要求的安全功能的平均概率。安全完整性等級記為SIL,共分4個等級,SIL1至SIL4,SIL4為最高等級。對于一般工業(yè)的過程控制，常見的SIL等級是SIL2、SIL3，而針對核電、鐵路等特別關注安全的行業(yè)，則一般執(zhí)行最高安全等級SIL4。安全完整性等級SIL認證是基于IEC61508、IEC61511、IEC61513、IEC13849-1等一系列功能安全標準，對產品的安全完整性等級SIL或者安全性能等級PL（PerformanceLevel）進行評估、驗證和確認的第三方評價。SIL認證主要涉及電氣/電子/可編程電子安全相關系統(tǒng)的功能安全性、安全設備開發(fā)流程的文檔管理（FSM）評估、硬件可靠性計算和評估、軟件評估、環(huán)境試驗、EMC電磁兼容性測試等內容。隨著評估系統(tǒng)的不斷完善，其應用領域也逐漸擴展到機械等多個行業(yè)。對安全完整性等級SIL的功能安全評估從兩個方面來進行，即評估為確保滿足功能安全目的所必需的管理活動是否有效；評估安全儀表系統(tǒng)或安全儀表是否達到了要求的SIL等級。1.3安全完整性等級SIL認證的主要標準1.3.1主要參考標準（1） IEC61508:電氣/電子/可編程電子安全相關系統(tǒng)的功能安全性IEC61508規(guī)定了常規(guī)系統(tǒng)運行和故障預測能力兩方面的基本安全要求。這些要求涵蓋了一般安全管理系統(tǒng)、具體產品設計和符合安全要求的過程設計，其目標是既避免系統(tǒng)性設計故障，又避免隨機性硬件失效。IEC61508標準的主要目標為：對包括軟、硬件在內的相關系統(tǒng)安全的所有元、器件，在生命周期范圍內提供安全監(jiān)督的系統(tǒng)方法；提供確定相關系統(tǒng)安全功能要求的方法；建立基礎標準，使其可直接應用于所有工業(yè)領域。IEC61508已經被廣泛采用，德國的等效標準為DINEN61508。（2） IEC61511:工業(yè)領域儀表系統(tǒng)的功能安全要求IEC61511是工業(yè)領域儀表系統(tǒng)的功能安全的專門標準，它是國際電工委員會繼IEC61508功能安全標準之后推出的專業(yè)領域標準，IEC61511標準解決了儀表應達到怎樣的安全完整性和性能水平的問題。IEC61511在國內的等同標準為GB/T21109。（3） ISO13849.1:機械安全控制系統(tǒng)的安全第1部分：設計用一般原理ISO13849.1是機械功能安全領域的全新標準。在系統(tǒng)安全的確定性方面，增加了一些系統(tǒng)故障概率方面的評估參數，因此可以從零、部件到系統(tǒng)進行全面的安全評估。如增加了系統(tǒng)安全等級PLr（PerformanceLevel，共分a、b、c、d和e五級）、系統(tǒng)平均無危險故障時間MTTFd（MainTimeTodangerousofFailure）、系統(tǒng)診斷檢測范圍DC（DiagnosticCoverage）、共因失效（同一因素引起的幾個機構失效）預防CCF（CommonCauseFactor）等參數。如此，可使安全評估的方法更有效，提升越來越復雜的機械設備控制系統(tǒng)的安全等級，減少意外停機時間，保證連續(xù)生產安全，提升企業(yè)的效率和生產力。（4） IEC/EN62061:機械安全電氣、電子和可編程序電子控制系統(tǒng)的功能安全與ENISO13849.1一樣，IEC/EN62061也是針對電氣控制系統(tǒng)安全的標準，它們的主要區(qū)別是適用于不同的技術領域。IEC/EN62061僅限于在電氣系統(tǒng)領域，ENISO13849-1則適用于傳動、液壓、機械以及電氣系統(tǒng)。使用這兩個標準，可獲得同樣的安全性能與安全完整性等級。IEC/EN62061增加了新參數，如每小時失效概率PFH、系統(tǒng)平均無危險故障時間MTTF、系統(tǒng)診斷檢測范圍DC、安全失效系數SFF（SafeFailureFactor）等，使認證的方法更直接。（5） IEC618005.2:可調速的電動設備標準.第5.2部分：功能安全要求IEC618005.2規(guī)定了集成驅動器的安全功能，其內容更具體細致、更有參考價值。如：①停車功能（Stop）：?安全斷開的力矩停車，即0類急停(STO-SafeTorqueOff);?安全停車1，即1類急停SS1(SafetyStop1);?安全停車2,即2類停車SS2(SafetyStop2);?安全操作停止(SafetyOperationHalt);?停車安全，即檢測制動器力矩，保證停車是安全的。②監(jiān)控功能(主要用于運動控制)：?加速度安全監(jiān)控；?行程安全監(jiān)控；?運動方向安全監(jiān)控；?速度安全監(jiān)控；?力矩和力的安全監(jiān)控；?位置安全監(jiān)控；?電動機溫度安全監(jiān)控。IEC618005.2還針對編碼器、解碼器、交流伺服驅動系統(tǒng)等提出了功能安全要求。IEC618005.2的等效國家標準為GB/T126685.2(對口的標委會是全國電力電子學標準化技術委員會調速電氣傳動系統(tǒng)半導體電力變流器分技術委員會TC60/SC1)。應該說，舞臺機械控制系統(tǒng)中SLI3許多有關運動控制的要求，也來自(或參照)該標準。DIN56950演藝設備技術機械裝置安全要求和測試該標準適用于在集會場所、舞臺與制作場所內的用于各種活動的機械設備(簡稱舞臺機械)。機械設備包括演藝設備行業(yè)演出設施中的所有技術裝置和操作設備，這些裝置用于提升、下降、懸吊和運送景物；也用于載人；在這些景物靜止或運動時，人可以在這些設備下站立或活動。DIN56950標準根據上述標準的主要內容、風險分析的方法，對設備進行風險分析并確定安全完整性等級（SIL）。標準附錄中還列舉了幾個舞臺機械風險分析確定安全完整性等級（SIL）的實例。1.3.2安全完整性等級（SIL）的確定方法（1）根據標準ISO13849.1關于性能等級PL（PerformanceLevel）進行風險分析，如圖1。圖中：1：評估安全功能對風險降低作用的起始點；L：對風險降低作用??；H:對風險降低作用大；PL：要求的性能水平，分為a、b、c、d和e五級。風險參數：S:受傷的嚴重性；S1:輕微；S:嚴重；F：危險的頻率和/或暴露時間；F1:很少到不經常，和/或暴露時間短；F2:經常到持續(xù)性，和/或暴露時間長；P:避免危險或限制危害程度的可能性；P1：在特定條件下可能；P2:幾乎不可能。標準ISO13849.1給出了PFHd、PL和SIL的對應關系，見表1。表1PFHd、PL和SIL的對應關系？圖1對性能等級PL進行風險分析其中，PFHd:小時失效危險概率（ProbabilityofFailureperhour）。由表1可知，按標準ISO13849.1進行的評估，性能等級PLe相當于SIL3。（2）DINEN61508.4風險分析中各參數與SIL等級的關系。將選擇的不同參數輸入到下面的風險圖中，得到不同的輸出，可得到DINEN61508.4（VDE0803.4）中定義的一個安全完整性等級。由于該風險分析輸入的參數多而全，有一定的代表性，故舞臺機械行業(yè)的風險評估多按DINEN61508.4提供的方法進行。評估方法見表2。表2基于C、F、P、X和W的評估法？表中：后果風險參數（C）CA:輕微受傷；CB:一個或更多人員嚴重永久傷殘；一個人員死亡；CC:幾個人員死亡；CD:很多人員死亡。頻率與暴露時間風險參數（F）:考慮危險區(qū)域的頻率和持續(xù)時間FA:在危險區(qū)域，從很少到經常發(fā)生；FB:在危險區(qū)域，從頻繁到持續(xù)發(fā)生；避免危險可能性的參數（P）:考慮避免危險事件的可能性PA:某些條件下可能；PB:幾乎不可能。意外事件風險概率的參數（W）:W因素的目的是在不考慮任何相關安全系統(tǒng)（E/E/EP），但考慮其他風險降低的措施下，估計意外事件發(fā)生的頻率W1:意外事件來臨的可能性非常小，只有很少意外事件有可能發(fā)生；W2:意外事件來臨的可能性小，少量意外事件有可能發(fā)生；W3:意外事件來臨的可能性相對較大，可能經常發(fā)生意外事件。-----表示無安全要求；a表示無特殊安全要求；b表示單一的E/E/PE安全系統(tǒng)還不夠。（3）IEC61508-17.6中SIL和PFD、PFH對應關系IEC61508-1規(guī)定了目標失效量。在確定安全完整性時，應包括導致非安全狀態(tài)的所有失效因素（硬件隨機失效和系統(tǒng)失效）。安全相關系統(tǒng)使用方式，按要求產生的頻率可分為：低要求模式（以功能平均失效率PFD衡量）和高要求或連續(xù)模式（以每小時危險失效率PFH衡量）。低要求模式和高要求模式SIL的目標失效量是不同的，見表3。表3不同操作模式下SIL和PFD、PFH的對應關系高要求或連續(xù)操作模式（按每小時危險失效率PFH）SIL110-2<PFD<10-110-6vPFH<10-5SIL210-3<PFD<10-210-7<PFH<10-6SIL310-4<PFD<10-310-8<PFH<10-7SIL410-5<PFD<10-410-9<PFH<10-8SIL低要求操作模式（實現設計要求功能平均失效率PFD）表中，PFD:實現設計要求功能平均失效率；PFH:每小時危險失效率。應當著重說明的是，與可靠性的要求相比，安全完整性所涵蓋的因素更加全面，因此，用于安全領域也更加可靠。系統(tǒng)安全完整性等級是一種離散的等級（四種可能等級之一），這是因為系統(tǒng)的安全完整性通常是無法量化的（而可靠性所衡量的平均故障間隔時間、可靠度等，則可以通過概率統(tǒng)計等數學方法給出量化值），所以，系統(tǒng)安全完整性一般與硬件的安全完整性分開來考慮。2DIN56950附錄D中列出的實例為了詳細了解舞臺機械設備安全完整性等級SIL確定的思路與步驟，現將標準中的風險評估實例刊錄于后，以便于理解。例子顯示了按照DINENISO13849-1和DINEN61508（VDE0803）的風險評估方法評估帶安全功能設備的相關風險并確定其安全完整性等級。2.1低速、單卷揚機吊物（1）設備配置及要求如下：使用未調速的三相異步電機，雙制動，以0.15m/s的速度升降載荷，如圖2:圖2三相異步電機（2） 要求：在電氣系統(tǒng)中發(fā)生故障時不應導致危險狀況。（3） 風險評估需要避免的意外事件是由于電動機的供電中有一個相位斷電導致載荷跌落（電機無法驅動載荷）?？刂葡到y(tǒng)應能夠確定相位斷電的情況并安全地啟動制動器。后果（C或S）：意外事件在舞臺面上發(fā)生，當發(fā)生故障時，可能造成一個或多個人員的嚴重傷害，或甚至有可能造成人員死亡，這樣的話該后果風險參數為：按DINEN61508-5（VDE0803-5）為C2，按DINENISO13849-1為S2。危險的頻率以及在危險區(qū)域中的暴露時間（F）:在舞臺上，人員經常暴露在危險區(qū)域中，因此風險參數為：按DINEN61508-5（VDE0803-5）為F2,按DINENISO13849-1為F2。避免危險事件的可能性（P）:危險事件可以通過啟用緊急停車來避免。由于速度較低，可以估計可能性：按DINEN61508-5（VDE0803-5）為P1，按DINENISO13849-1為P1。意外事件的概率（W）：由于對這個參數沒有可靠的經驗，只能估計參數W3。按DINEN61508-5（VDE0803-5）為W3,而DINENISO13849-1沒有對應的等級。在參數C2，F2，P1和W3的基礎上，根據DINEN61508-5（VDE0803-5）中的風險圖顯示的安全功能應選擇SIL2。在參數S2，F2和P1，根據DINENISO13849-1對于安全功能要求的性能等級應為“PLd”，相當于SIL2。2.2高速、多卷揚機同步吊物（1） 設備配置及要求一組卷揚機懸吊一個景物，以1.2m/s的速度在演員上空進行自動同步運行，當設備運動超過同步公差時，使用計算機控制來提供保護，見圖3。（2） 要求：計算機控制系統(tǒng)用于完成安全功能，即在卷揚機的同步分組運行中，全行程監(jiān)控是否符合同步公差的要求。一旦達到了規(guī)定的同步公差值，吊機組應停止移動，并且應該清晰顯示是哪個吊機超出了公差。（3） 風險評估：按DINEN61508.4風險分析中各參數與SIL等級進行評估。在這種情況下需要避免的意外事件是：運載同一載荷（比如布景，桁架梁等）吊機的運行超出同步誤差，結果是造成載荷的損壞和墜落。后果（C）:該意外事件會在舞臺面上發(fā)生，當發(fā)生故障時，可能造成一個或多個人員的嚴重傷害或死亡，這樣，該后果風險參數為：CB。危險的頻率以及在危險區(qū)域暴露的時間（F）:在舞臺上，人員經常處于危險區(qū)域中，因此風險參數為：FB。避免危險事件的可能性（P）:由于很高的速度，幾乎不可能避免危險事件，因此該風險參數為：PB。意外事件的概率（W）：由于對這個參數沒有可靠的經驗，參數W只能估計為：W3。在參數CB、FB、PB、W3的基礎上，選擇結果為：SIL3。圖3卷揚機懸吊景物的場景3舞臺機械（含控制）系統(tǒng)具有那些基本條件才能達到SIL3這方面并無具體資料參考，只能從上述標準的字里行間，以及歐洲著名劇場建設咨