基于結構約束的硬件安全完整性等級驗證研究

方 輝

(雅保管理(上海)有限公司,上海 201210)

石油化工等過程工業中系統的安全性非常重要，然而生產過程中不可避免地存在著一些固有的可能引發危險事故的風險。為將風險降低到可以接受的程度，安全儀表系統(Safety Instrumented System,SIS)應運而生，其相關理論和技術在近些年獲得了快速的發展并逐步成熟，目前在石化等過程行業中的應用已十分普遍。SIS對風險降低的程度可通過安全完整性等級(Safety Integrity Level,SIL)來衡量。按照IEC61508的安全生命周期架構，經過危險和風險分析，利用保護層、風險圖及風險矩陣等方法進行SIL分配后，要對所設計的SIS能否滿足要求的SIL進行驗證[1]。目前國內外對SIL驗證方法的研究主要集中在平均需求失效率PFDavg的算法上[2～6]，對結構約束卻鮮有深入的分析研究，而結構約束是驗證SIS能否滿足硬件安全完整性等級要求的重要方法。因此筆者力求清楚全面地闡述結構約束的相關概念和要求，并結合實例對利用結構約束確定硬件SIL的具體方法和步驟進行研究，最后提出結構約束的不足和改進方向。

SIS是由儀表構成以實現安全功能的系統，主要由檢測元件、邏輯解算器、執行元件和相應的軟件組成。當檢測元件發現生產裝置或工況發生異常且危及安全時，SIS能夠及時地響應并采取保護措施，聯鎖相關執行元件，使被控過程按照規定的條件或程序退出運行，以保障人員和設備的安全。安全儀表功能(Safety Instrumented Function,SIF)是通過SIS實現的安全功能，SIS可以實現一個或多個SIF[7]。SIS和SIF的組成與關系如圖1所示。

圖1 SIS和SIF的組成與關系

安全完整性是在規定的時間周期內的所有規定條件下，安全相關系統成功地完成所要求的安全功能(如一個SIF)的概率，是安全相關系統達到規定安全功能可能性的一個度量。IEC61508將安全完整性分為硬件安全完整性、軟件安全完整性和系統安全完整性3類， SIL1～SIL4共4個等級[1]。SIL級別越高，系統可靠性越高，結構越復雜，對系統中各子系統、部件和人員的要求也越高。在此筆者主要對硬件安全完整性等級的驗證進行闡述。

2 結構約束

2.1 硬件安全完整性等級的驗證方法

對SIS硬件安全完整性等級的驗證可以采用定量或定性的方法。定量方法基于結構、檢驗測試間隔、檢驗測試有效性、自動診斷、平均故障修復時間及所有SIF所含部件的失效率等來計算PFDavg，得出SIS的可靠性數據與可以達到的SIL。然而，在目前的理論和技術條件下，系統的安全性和可靠性還無法完全量化，為簡化問題先做一些假設和讓步，計算過程也比較理想化，如計算只針對隨機的硬件失效，通常未考慮軟件失效的影響；失效模式未被完全辨識，失效數據未必可靠；一般只計算檢驗測試周期內的PFDavg。

基于上述原因，IEC61508和IEC61511引入了結構約束的要求，開辟了另外一條通道來實現SIF，以期實現SIS充足的結構魯棒性。結構約束是一種定性判定方法，可以防止SIS設計者和系統集成者僅憑借PFDavg計算來選定系統結構，對原先無標準規定的硬件結構做出了具體的限定——SIS只有同時滿足PFDavg計算和結構約束的要求時，才能確認達到了相應的SIL。

2.2 硬件故障裕度和安全失效分數

硬件故障裕度(Hardware Fault Tolerance,HFT)和安全失效分數(Safety Failure Factor,SFF)是兩個與結構約束相關的重要參數。

HFT是一個部件或子系統在有一個或幾個硬件危險故障的情況下，仍能繼續承擔所要求的SIF的能力[1]。如果HFT=1，則設計必須能夠耐受一個故障而不影響SIF，常見表決機制與HFT的關系見表1。

表1 常見表決機制與HFT的關系

SFF定義為安全失效與檢測到的危險失效之和占所有失效的比率，即[1]：

(1)

式中 ∑λDD——檢測到的總危險失效率；

∑λDU——未檢測到的總危險失效率；

∑λs——總的安全失效率(包括檢測到的和未檢測到的)；

∑λTot——總失效率。

換句話說，SFF可以解釋為對部件本身安全的一個度量，當失效發生時部件能做出安全反應的程度。

2.3 基于結構約束驗證的硬件安全完整性等級

工程實踐中，利用結構約束確定一個SIF可以達到的SIL，一般通過以下步驟實現：

a. 辨識SIF；

b. 畫表決塊圖；

c. 確定子系統/部件類型；

d. 計算每個子系統/部件的SFF；

e. 確定每個子系統的SIL；

f. 確定整個SIF的SIL。

其中，步驟a、b是進行結構約束分析的基礎和準備，步驟c～e確定各子系統的結構約束，步驟f最終得出整個SIF的結構約束。下面詳述這些步驟和應用中的一些關鍵問題。

2.3.1辨識SIF

SIF是安全完整性的評估對象，描述在某特定危險下，系統應當具備的安全功能。SIF的辨識，先要定義通過某個參量來辨別危險，再決定采取何種措施將危險化解，例如儲罐液位過高→關閉進口閥門。危險和風險分析報告(如HAZOP)是SIF辨識的最主要輸入源，此外還可以利用的資料包括規格書、因果關系圖及P&ID圖等。

辨識SIF的核心是要尋找出與某個安全要求直接相關的所有部件/子系統，當情況比較復雜時，建議用問題檢查表的方式來梳理思路。典型的問題設計如：該SIS部件保護只針對一個特定的還是多個危險？該SIS部件是單獨應對危險進行防護，還是與其他SIS部件共同完成？只有這一種SIS部件針對危險進行防護還是有其他類似的SIS部件預防同一危險？

2.3.2畫表決塊圖

表決塊圖是用圖形化的方式，表示出為實現SIF所需的SIS部件/子系統及其連接關系。復雜的表決塊圖由3種基本結構組成：單通道串聯結構，其中所有部件都必須正常工作該系統才能正常工作，如表決機制NooN是串聯結構，其HFT等于0；多通道并聯結構，其中任何一個部件能夠正常工作則該系統就能正常工作，如表決機制1ooN是并聯結構，其HFT等于(N-1)；多通道從N中取M結構(MooN)，系統共有N個部件，若其中有M個部件能夠正常工作，該系統就能正常工作，其HFT等于(N-M)，此結構兼顧了系統的可靠性和可用性。

2.3.3確定子系統類型

IEC61508定義了子系統類型，A型子系統指簡單的所有失效模式都清楚已知的子系統，B型子系統指復雜的未被完全了解清楚的子系統。實踐中，基于邏輯處理器的解算器屬于B型；非邏輯處理器的解算器屬于A型。換言之，現場儀表的類別取決于它有多少先進的可編程特性。與IEC61508不同，IEC61511采用面向工業的更為直接的分類方式，將可編程(PE)邏輯解算器作為一類，傳感器、最終元件和非可編程邏輯解算器作為另一類，前一類的復雜度較后一類更高。確定子系統/部件類型就是要將參與實現SIF的子系統根據上述定義進行分類。

2.3.4計算SFF

評估計算安全失效分數，要按照執行的預期功能，對每個子系統進行相關的故障和失效模式分析，包括故障反應功能、區分出檢測到和未檢測到的安全失效或危險失效，再依據式(1)計算得出安全失效分數。

2.3.5確定子系統SIL

結構約束規定了具備一定HFT的某類子系統，在一定的SFF下所能達到的最高SIL，比如：按照標準IEC61508中的結構約束要求(圖2)，一個HFT=1、SFF=75%的B型子系統，其最高能達到SIL2。

圖2 IEC61508和IEC61511中的結構約束要求

IEC61508與IEC61511對于結構約束都有要求，但卻不是一一對應的關系，這給用戶的正確理解和使用造成了不便。

IEC61511不考慮SIL4系統(有關SIL4參見IEC61508)，這是因為IEC61511是面向過程工業的設計者、集成商和最終用戶，而IEC61508是面向包括核工業在內的所有工業領域的制造商。在過程工業領域，SIL4因其實現和維護的困難性應當被避免。如果危險和風險分析結果要求一個SIF達到SIL4，則應當考慮更改工藝設計或增加其他的保護層(如機械保護系統)來降低部分風險，以降低對SIL的要求，而不是通過SIS來實現SIL4的要求。

IEC61511對于傳感器、最終元件和非PE邏輯解算器這些子系統不考慮SFF，其默認此類設備的安全失效分數在60%～90%。

IEC61511對于傳感器、最終元件和非PE邏輯解算器允許在特定的情況下HFT值減1，如所選用設備的硬件是基于“以往使用”的，則只允許對過程參數調整，并且其調整受到跳線和密碼的保護；如果滿足上述特定要求，HFT-SIL的關系就與IEC61508中A型子系統SFF在60%～90%之間一致。這項規定在某種程度上放寬了IEC61508對硬件結構的要求，在過程工業中具有重要的實踐意義。也使得在滿足特定先決條件的情況下，采用1oo1表決機制的子系統(HFT=0)可以達到SIL2，而1oo2表決機制的子系統(HFT=1)可以達到SIL3，顯然這些特定的先決條件相比于增加硬件冗余度或提高部件的SFF更容易實現。

IEC61511對于非PE邏輯處理的解算器/現場設備，如果占主導的失效模式是未被檢測出的危險失效，而不是安全失效或被檢測出的危險失效(即SFF低于50%)，就需要將HFT加1。

兩者的共同之處在于：B型子系統/PE邏輯解算器比 A型子系統/傳感器、最終元件和非PE邏輯解算器在同樣的SIL和SFF情況下要求具有更高的HFT；若其他條件不變，當SFF降低時所要求的HFT就提高；若其他條件不變，當SIL提高時所要求的HFT就提高，反之亦然。

2.3.6確定整個SIF可以達到的SIL

在表決塊圖上將上一步得出的各子系統的SIL標出，進而可利用合并規則計算整個SIF可以達到的SIL。

對于若干個部件/子系統串聯組成的子系統/SIF，其可以達到的最高SIL與部件/子系統中SIL最低的相同。

對于若干個部件/子系統并聯組成的子系統/SIF，其可以達到的最高SIL等于部件中最高的SIL加上因部件并聯帶來的HFT的增加值，典型的兩個部件并聯(1oo2)后的子系統HFT增加1。

需要注意的是，若一個子系統由不同類型的部件組成，例如由一個壓力變送器和一個液位變送器組成的傳感器子系統，就不能簡單套用結構約束要求(圖2)，因為不同類型的部件可能有不同的SFF。這種情況下，應先確定不同類型部件的SIL，再通過上述合并規則得出子系統的SIL。如果最終得出的SIL無法達到需求值，就要提高某些子系統的HFT或采用SFF更高更可靠的部件。

3 實例分析

以表決塊圖的方式表示一個已經辨識出的SIF(圖3)，并假設已取得各部件的SFF，來確定此SIF可達到的SIL。基于IEC61508對其進行分析的過程是：壓力變送器帶有智能芯片，應當為B型部件，2oo2的表決機制HFT為0，查表可知這部分子系統達到SIL1；安全相關可編程控制器為B型部件，結合SFF值查表可知其可以達到SIL2；根據串聯規則，這兩個子系統組成的支路可以達到SIL1。溫度開關和安全相關繼電器都為A型部件，在給出的SFF下各自都可以達到SIL2，于是此串聯支路可以達到SIL2。兩條支路之間是1oo2的關系，根據并聯規則，1oo2可額外創造一個HFT，故合并后的子系統SIL為兩條支路中最高的SIL加上1，即SIL3。同理可得執行機構部分可以達到SIL3。最終整個SIF可以滿足SIL3的要求(圖4)。

圖3 以表決塊圖表示的某個SIF

圖4 確定SIF的SIL分析過程

4 結構約束的不足和發展方向

結構約束是PFDavg計算的很好補充，但也有缺陷。首先，它仍然只針對硬件隨機失效；其次，SFF值具有誤導性，有時SFF只計算了整個部件中的某些部分，IEC61508覆蓋了電氣、電子和可編程元件，因此廠家有時只計算這部分元件的SFF，并且假定所有機械部件都是功能完美的，這種情況下，SFF無法反映整個部件；再者，SFF的定量計算是理想化的，但是PFDavg會受到不確定不可靠數據的影響，SFF也一樣，而結構約束的目的是補償在PFDavg估計中的不確定性，如果用于計算PFDavg的可靠性數據是不確定的，那用來計算SFF的數據通常來說就更加不確定了。OREDA項目研究表明[8,9]，對收集安全失效數據的重視遠不及對收集危險失效數據的重視。

針對這些不足，專家學者們開展了許多卓有成效的研究，如Lundteigen M A和Rausand M提出引入診斷失效率這一新參數來替代SFF[10]。Munkeby E進行了SFF和PFD關系的研究，將PFD的定量計算方法引入SFF的確定中[11]。筆者認為，由于SIL只有針對整個SIF來講才有意義，應當把更多的注意力放在對系統失效的研究上，從建立整個SIF的可靠性模型、各部件之間的交互及軟件可靠性評估等方面進行探索。

5 結束語

筆者基于IEC61508和IEC61511，研究了利用結構約束進行硬件安全完整性等級驗證的方法和相關問題，在SIS選型設計之后，驗證其是否滿足目標SIL的要求，是保證必要的風險降低和實現功能安全的重要環節。結構約束作為一種定性的驗證方法，可以彌補PFDavg計算法的部分不足，從系統的硬件結構角度提高了魯棒性。該方法具備一定的實踐指導意義，希望能給過程工業功能安全領域的相關人士提供一定的借鑒。

[1] IEC61508,Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva:International Electrotechnical Commission,2010.

[2] IEC61511,Functional Safety:Safety Instrumented Systems for the Process Industry Sector[S]. Geneva:International Electrotechnical Commission,2003.

[3] 舒逸聃,趙勁松.安全儀表系統安全完整性等級驗證研究進展[J].計算機與應用化學,2011,28(12):1585～1588.

[4] 吳寧寧,陳瞭,吳明光,等.安全儀表系統的Markov建模方法研究[J].計算機與應用化學,2009,26(6):821～824.

[5] 徐明,陽憲惠.基于特征值分解計算平均要求時失效概率[J].清華大學學報(自然科學版),2008,48(z2):1805～1809.

[6] Bukowski J V.A Comparison of Techniques for Computing PFD Average[C].Reliability and Maintainability Symposium.New York:IEEE,2005:590～595.

[7] Brissaud F,Barros A,Berenguer C.Probability of Failure of Safety-Critical Systems Subject to Partial Tests[C]. Reliability and Maintainability Symposium.New York:IEEE,2010:14B4.

[8] Langseth H,Haugen K,Sandtorv H.Analysis of OREDA Data for Maintenance Optimization[J].Reliability Engineering & System Safety,1998,60(2):103～110.

[9] Sandtorv H A,Hokstad P,Thompson D W.Practical Experiences with a Data Collection Project: the OREDA Project[J].Reliability Engineering & System Safety,1996,51(2):159～167.

[10] Lundteigen M A,Rausand M.Assessment of Hardware Safety Integrity Requirements[R].Trondheim:The 30th ESReDA Seminar,2006.

[11] Munkeby E.Effect of Safe Failures on the Reliability of Safety Instrumented Systems[D].Trondheim:Norwegian University of Science and Technology,2008.