TUV功能安全工程師必須掌握的IEC 61511標(biāo)準(zhǔn)解讀
功能安全標(biāo)準(zhǔn)的發(fā)展經(jīng)歷了幾個(gè)重要的節(jié)點(diǎn)。1996年,ISA首先發(fā)布了ISASP84安全聲明周期,這是功能安全標(biāo)準(zhǔn)的技術(shù)基礎(chǔ)。隨后,在1998年國(guó)際電工委員會(huì)(IEC)發(fā)布了IEC61508系列標(biāo)準(zhǔn),2003年,針對(duì)過程工業(yè)的功能安全標(biāo)準(zhǔn)IEC61511正式發(fā)布,該標(biāo)準(zhǔn)共包含3個(gè)部分,詳細(xì)規(guī)范了過程工業(yè)中SIS的構(gòu)架、定義,系統(tǒng),硬件和軟件要求。2010年,IEC61508 Ed2.0系列標(biāo)準(zhǔn)發(fā)布,它帶來了一系列新的理念和評(píng)價(jià)方法,而標(biāo)準(zhǔn)也從原來的7個(gè)部分增加為8個(gè)部分。2016年2月IEC 61511-1Ed 2.0已經(jīng)正式發(fā)布,它將結(jié)合目前的前沿技術(shù)發(fā)展,給過程工業(yè),甚至于更多的其他相關(guān)涉及財(cái)產(chǎn)安全、環(huán)境安全、人身安全的行業(yè),帶來規(guī)范有效的安全評(píng)價(jià)方法和技術(shù)。
IEC 61511系列標(biāo)準(zhǔn)給出了SIS關(guān)于規(guī)范、設(shè)計(jì)、安裝、運(yùn)行和維護(hù)的相關(guān)要求。它明確了所需達(dá)到的功能安全水平,但是標(biāo)準(zhǔn)中并不明確這些要求的責(zé)任方,而相關(guān)的責(zé)任人員需根據(jù)安全計(jì)劃、項(xiàng)目計(jì)劃和管理以及所在國(guó)家的法律法規(guī)進(jìn)行職責(zé)的劃分。
IEC61508和IEC61511是2個(gè)有著密切關(guān)系的標(biāo)準(zhǔn),從屬關(guān)系上來說,IEC61511是IEC61508在過程領(lǐng)域的應(yīng)用,IEC61508是所有功能安全標(biāo)準(zhǔn)的基礎(chǔ)和支撐。
IEC 61511標(biāo)準(zhǔn)解讀 01 2個(gè)基本概念
在IEC 61511-1 Ed2.0中,仍然保留了2個(gè)基本概念:安全生命周期和安全完整性等級(jí)(SIL)。
①安全生命周期對(duì)于功能安全而言至關(guān)重要。從功能安全的概念出發(fā),失效可分為隨機(jī)失效和系統(tǒng)失效。對(duì)于隨機(jī)失效,通過硬件試驗(yàn)、可靠性分析、應(yīng)力篩選等一系列試驗(yàn)方法可以有效提供其數(shù)值,這里不進(jìn)行贅述。而系統(tǒng)失效,引入安全生命周期的概念非常必要,它可以有效幫助設(shè)計(jì)人員從根本上避免和減少設(shè)計(jì)失誤。安全生命周期本身是一套系統(tǒng)的方法,是工程實(shí)際中最行之有效的設(shè)計(jì)方法。具體表現(xiàn)在:明確活動(dòng)和工作職責(zé);辨識(shí)每個(gè)階段的完整性需求;辨識(shí)所需文檔;幫助實(shí)現(xiàn)功能安全管理(FSM)、系統(tǒng)驗(yàn)證、系統(tǒng)確認(rèn)、評(píng)估、評(píng)審等活動(dòng)。
而上述活動(dòng)也可借由安全生命周期的劃分分配給不同的參與人員,包括最終用戶、系統(tǒng)集成商、開發(fā)人員(硬件和軟件)等。
②SIL就是功能安全定量方法的體現(xiàn)。從IEC61508系列標(biāo)準(zhǔn)中可以找到許多關(guān)于SIL的描述,其中較為重要的兩個(gè)概念:平均失效概率(PFD,PFH)及結(jié)構(gòu)約束。得到準(zhǔn)確的PFD和PFH,對(duì)于定量評(píng)價(jià)系統(tǒng)的有效性和在關(guān)鍵時(shí)刻的表現(xiàn)至關(guān)重要,也是得到SIL的重要參數(shù)之一。
02 3個(gè)顯著變化
在IEC 61511-1 Ed2.0中有3個(gè)顯著的變化:
①許多原來被定義為“應(yīng)”的活動(dòng),新版標(biāo)準(zhǔn)則定義為“必須”,如:安全生命周期必須包含應(yīng)用編程等。
②原標(biāo)準(zhǔn)中的“應(yīng)用軟件”被改寫為了“應(yīng)用編程”,這從根本上提高了系統(tǒng)集成過程中對(duì)于軟件評(píng)估的重視,在考慮SIS的SIL時(shí),編程過程,即軟件質(zhì)量成為一個(gè)不容忽視的重要過程。
③FAT編程規(guī)范性引用,即:出廠試驗(yàn)成為必備過程。
這些變化體現(xiàn)了IEC 61511-1 Ed2.0對(duì)于安全要求的提升,原標(biāo)準(zhǔn)可選的內(nèi)容在IEC 61511-1 Ed2.0中成為了必須執(zhí)行的項(xiàng)目,無疑增加了系統(tǒng)制造商、集成商的工作量,需要將更多的時(shí)間用于系統(tǒng)的測(cè)試,同時(shí)需要將更多的精力投入在控制系統(tǒng)失效的工作上。同時(shí),為了迎合數(shù)字化發(fā)展的進(jìn)程,軟件的重要程度再次提升,在IEC 61508 Ed2.0中就可以明顯感覺到對(duì)編程過程的重視,并在IEC 61511的升版中再次體現(xiàn)出來。
03 4個(gè)重要階段
大致可以將SIS安全生命周期歸納成4個(gè)階段。
①分析階段。它包括了上圖中1,2,3這3個(gè)部分的工作。
②實(shí)現(xiàn)階段。它包括了上圖中4,5部分以及標(biāo)準(zhǔn)中第9章的相關(guān)內(nèi)容。
③操作和維護(hù)階段。它包括了6,7,8,9這4個(gè)部分的內(nèi)容。
④管理和計(jì)劃。它包括了10,11這2個(gè)部分的內(nèi)容。
從順序上來說,管理和計(jì)劃是先于一切行動(dòng)的起點(diǎn),它將控制整個(gè)項(xiàng)目的進(jìn)度、質(zhì)量水平以及跟蹤觀察。
功能安全管理和評(píng)審 01
功能安全管理概述
對(duì)于任何宣稱產(chǎn)品或者系統(tǒng)達(dá)到功能安全的廠商或組織,都應(yīng)該有完整的功能安全管理來確認(rèn)他們的聲明是合理有效的。在IEC 61511-1 Ed2.0中,對(duì)于功能安全管理提出了多方面的要求:
①組織和資源。主要提出了對(duì)涉及SIS生命周期中的人員、部門、組織或其他單位的職責(zé)以及承擔(dān)相關(guān)職責(zé)所應(yīng)具備的能力,這些能力可以包括:工程知識(shí)、電氣電子可編程電子方面的知識(shí)、安全工程知識(shí)、法律法規(guī)要求、必要的領(lǐng)導(dǎo)技能、風(fēng)險(xiǎn)分析和評(píng)價(jià)的技能等。 ②風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)管理。這些內(nèi)容可以通過不同的風(fēng)險(xiǎn)評(píng)價(jià)方法獲得,例如HAZOP和QRA等,這些方法可從定性到半定量再到定量,以提供準(zhǔn)確的評(píng)價(jià)結(jié)果。 ③編制可行的安全計(jì)劃。安全計(jì)劃中需要詳細(xì)描述在項(xiàng)目中所執(zhí)行的生命周期以及在生命周期中所包含的活動(dòng),執(zhí)行活動(dòng)的人員、部門、組織以及配備的資源等,并且應(yīng)與所需的SIL相匹配。 ④執(zhí)行和監(jiān)視。對(duì)于項(xiàng)目中涉及的供應(yīng)商或提供服務(wù)的組織都應(yīng)按所需的SIL要求提出對(duì)應(yīng)的管理規(guī)程并進(jìn)行監(jiān)督管理,同時(shí)對(duì)SIS的失效率參數(shù)的合理性也要時(shí)刻進(jìn)行監(jiān)督。 ⑤評(píng)估、審核和修改。在IEC 61511-1 Ed2.0中對(duì)于如何進(jìn)行評(píng)估提供了詳細(xì)的建議,而這些建議也可以成為項(xiàng)目執(zhí)行者編制文件時(shí)的參考。項(xiàng)目中所執(zhí)行的任何相關(guān)活動(dòng)都應(yīng)留下備查的記錄,尤其是對(duì)于修改部分,應(yīng)建立完整的規(guī)程,至少應(yīng)包含提出、評(píng)審、修改、再評(píng)審的過程。 ⑥配置管理。配置管理可有效地控制系統(tǒng)的版本有序,是避免系統(tǒng)失效的基本要求和重要手段。功能安全管理應(yīng)該在項(xiàng)目過程中持續(xù)有效地執(zhí)行,并且應(yīng)貫徹執(zhí)行統(tǒng)一的準(zhǔn)則,并且在實(shí)施過程中應(yīng)按計(jì)劃、按階段引入功能安全評(píng)審,將會(huì)有效提供功能安全管理的水平。 02
功能安全評(píng)審
功能安全管理與功能安全評(píng)審密不可分。
①執(zhí)行功能安全評(píng)審,在新版標(biāo)準(zhǔn)中則給出了幾點(diǎn)特別需要注意的事項(xiàng):
a)執(zhí)行功能安全評(píng)審的人員應(yīng)該獨(dú)立,不應(yīng)參與到SIS的任何工作。這里的獨(dú)立有多層理解,根據(jù)不同的SIL要求,可以將獨(dú)立的范圍擴(kuò)大。通常可以將獨(dú)立分為3個(gè)層次:技術(shù)獨(dú)立、管理獨(dú)立、財(cái)務(wù)獨(dú)立。而通用的做法則是在項(xiàng)目過程中引入第三方獨(dú)立機(jī)構(gòu)來執(zhí)行功能安全評(píng)審的工作。
b)IEC 61511-1 Ed2.0中尤其強(qiáng)調(diào)了功能安全評(píng)審計(jì)劃的制定,在原標(biāo)準(zhǔn)中為注意的條款,在新版標(biāo)準(zhǔn)中都變?yōu)榱吮仨殘?zhí)行的項(xiàng)目。
c)在維護(hù)和操作階段也應(yīng)當(dāng)周期性地引入功能安全評(píng)審工作,即功能安全工作不僅僅是開車的必要條件,在系統(tǒng)投入運(yùn)行后,功能安全的評(píng)審工作依然重要。而這部分的工作將包括:評(píng)判系統(tǒng)的運(yùn)行情況、收集相關(guān)設(shè)備的運(yùn)行參數(shù)以便更新功能安全相關(guān)參數(shù),發(fā)現(xiàn)和評(píng)估未預(yù)料到的隱患并及時(shí)糾正。
d)功能安全評(píng)審依賴于操作的實(shí)時(shí)性。
②根據(jù)IEC61511-1Ed2.0可以將功能安全評(píng)審劃分為5個(gè)階段,這5個(gè)階段貫穿系統(tǒng)的安全生命周期全過程:
a)在完成風(fēng)險(xiǎn)評(píng)估后,辨識(shí)出所需的保護(hù)層并在完成完全要求規(guī)范(SRS)編制后實(shí)施。
b)在完成SIS設(shè)計(jì)后實(shí)施。
c)在完成安裝、試運(yùn)行、最終確認(rèn)后,并且已開發(fā)完成運(yùn)行和維護(hù)規(guī)程后實(shí)施。
d)在獲得運(yùn)行和維護(hù)經(jīng)驗(yàn)數(shù)據(jù)后實(shí)施。
e)在修改后或在SIS停運(yùn)前實(shí)施。上述的實(shí)施階段只是功能安全評(píng)審的最低要求,對(duì)于有不明確或者有必要的情況下,功能安全評(píng)審就應(yīng)及時(shí)進(jìn)行,避免系統(tǒng)故障的引入。
SIS的設(shè)計(jì)和工程應(yīng)用
鑒于IEC 61508 Ed2.0的發(fā)布,對(duì)于功能安全結(jié)構(gòu)約束的定義有了新的變化,在IEC 61511-1 Ed2.0中,也將延續(xù)這種變革。因此,在判斷硬件故障裕度(HFT)時(shí)有了更多的選擇。在IEC 61508-2 Ed2.0中有兩種不同的方法,分別為Route1H和Route2H,其判定HFT的要求分別見下表所列。
可見,Route2H取消了關(guān)于安全失效分?jǐn)?shù)的要求,而這兩種方法在IEC 61511-1 Ed2.0中都是可行的。而想要設(shè)計(jì)出符合功能安全要求的SIS,仍然需要設(shè)計(jì)人員有足夠豐富的功能安全知識(shí)和儀表應(yīng)用經(jīng)驗(yàn)。
①SIS中所使用的設(shè)備應(yīng)符合IEC61508-2和IEC61508-3的設(shè)計(jì)要求;即在特定的SIL要求下,儀表的設(shè)計(jì)需要符合IEC61508Ed2.0要求,而這不僅僅是平均失效概率達(dá)到要求這么簡(jiǎn)單。 ②如果想沿用那些經(jīng)過驗(yàn)證的設(shè)備也并非不可,但是應(yīng)提供足夠的文檔資料證明這些設(shè)備適用于新的SIS。 ③與上一條相關(guān),對(duì)于那些經(jīng)過驗(yàn)證的設(shè)備就需要有系統(tǒng)的方法來收集現(xiàn)場(chǎng)經(jīng)驗(yàn)數(shù)據(jù),而方法和要求可以在ISA TR 84.00.04:2015和NAMUR recommendation NE 130(“Prior use”—device for SISs)中找到。 ④系統(tǒng)或子系統(tǒng)的安全手冊(cè)中應(yīng)覆蓋操作、維護(hù)、故障檢測(cè)和限制要求等內(nèi)容。 ⑤在旁通時(shí)(例如維修或測(cè)試時(shí)),需要有補(bǔ)充措施以確保安全運(yùn)行。 ⑥應(yīng)明確定義SIS所允許的最大旁通時(shí)間。 ⑦SIS應(yīng)能對(duì)辨識(shí)出的安全風(fēng)險(xiǎn)提供必要的恢復(fù)功能,這些安全風(fēng)險(xiǎn)可能存在于硬件、應(yīng)用軟件和相關(guān)軟件中。 01 SIS的應(yīng)用編程
前文中提到,在IEC 61511-1 Ed2.0中特別強(qiáng)調(diào)了將應(yīng)用軟件變?yōu)閼?yīng)用編程,這就說明軟件編程質(zhì)量在SIS中的重要性更加明確。在新版標(biāo)準(zhǔn)中提出了對(duì)于應(yīng)用編程的一系列要求:適當(dāng)?shù)纳芷趧澐?;系統(tǒng)化的方法;必要的檢驗(yàn)測(cè)試手段;可追溯性;驗(yàn)證與確認(rèn)。針對(duì)上述要求,設(shè)計(jì)和開發(fā)人員有必要引入行之有效的系統(tǒng)性方法,而目前廣為接受的方法就是改進(jìn)型V模型系統(tǒng)性方法。
對(duì)于應(yīng)用編程,可以參照IEC 61508-3 Ed2.0中的要求實(shí)施,需要特別注意的是,在IEC 61511-1 Ed2.0中,針對(duì)通信提出了關(guān)于信息安全的要求。對(duì)于信息安全的要求需要從硬件和軟件兩個(gè)部分去考慮,關(guān)鍵的網(wǎng)絡(luò)設(shè)備應(yīng)經(jīng)過相關(guān)測(cè)試并驗(yàn)證其有效性。而通信協(xié)議本身也應(yīng)經(jīng)過評(píng)估和必要的攻防測(cè)試,這部分內(nèi)容在IEC 62443系列標(biāo)準(zhǔn)中有詳細(xì)的要求,而該部分也是IEC 61511-1 Ed2.0中與時(shí)俱進(jìn)的有力表現(xiàn)。
02 安全要求規(guī)范
在IEC 61511-1 Ed2.0中,對(duì)于每個(gè)安全儀表功能(SIF)定義了共計(jì)29條要求,這些內(nèi)容大多在原版中有相應(yīng)的要求,而其中有以下4條內(nèi)容是新版中額外增加的內(nèi)容:
新的I/O列表的要求; 對(duì)于旁通定義提出了更具體的要求; SIS過程測(cè)量(精確度和跳變點(diǎn)); 重新提出了對(duì)于應(yīng)用編程的要求。
以上內(nèi)容在IEC 61511-1 Ed2.0第10.3.1條中有明確提及,根據(jù)SIF的具體情況,在編制SRS時(shí),應(yīng)完整考慮這些要求,以提高SIS的設(shè)計(jì)準(zhǔn)確性。
新版標(biāo)準(zhǔn)修訂內(nèi)容
在IEC 61511-1 Ed2.0中,還有一些修訂部分內(nèi)容,通過研讀,將其羅列如下:
①要求通過運(yùn)行和維護(hù)以收集SIS的實(shí)際性能表現(xiàn),這有助于提高現(xiàn)有系統(tǒng)的安全性,并且為以后的系統(tǒng)提供真實(shí)可信的功能安全數(shù)據(jù)。 ②響應(yīng)時(shí)間被明確定義,并命名為過程安全時(shí)間。 ③工廠驗(yàn)收試驗(yàn)(FAT)成為規(guī)范性要求。 ④EMC相關(guān)標(biāo)準(zhǔn)以及IEC61682ED1.0ALARM管理成為了不可或缺的參考文件。 ⑤隨機(jī)失效的量值應(yīng)考慮驗(yàn)證測(cè)試有效性、數(shù)值可信度和數(shù)值的不確定度。 ⑥在功能安全評(píng)估完成前,不能進(jìn)行變更。 ⑦在進(jìn)行過程危害和風(fēng)險(xiǎn)評(píng)估時(shí)需同時(shí)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,該部分內(nèi)容可參照ISATR84.00.09和IEC 62443-2執(zhí)行。 ⑧安全包括對(duì)硬件、應(yīng)用編程和相關(guān)軟件的故意攻擊以及非預(yù)期的人員誤操作。