1、编者按本刊在2印7一2) 8的两年间,在“安全控制技术”栏目共安排了1 2讲功能安全技术讲座,系统介绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关注与积极回应。20 09年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术上。主讲人是史学玲教授。主讲人简介:史学玲,机械工业仪器仪表综合技术经济研究所副总工程师、功能安全中心主任、教授级高工。近年来主要致力于功能安全技术研究与宣传、人员培训、咨询服务等工作,是IE cT c6 5、IE c6 15 1!国际标准维护工作组专家。主持了包括国家“86 5”计划、国家科技支撑计划在内的
2、多项国家级功 能安全相关课题研究,是国家劳动人事部“6 55工程”的“功 能安全技术与应用”培训课程 的主讲人教师之一,主持开 发的“E/P E 安全相关系统的安全完整性优化工具”被国家安全生产监甘 管理局评为“第四届安全生产科技成果二等奖”,同时被列入“第四届安全生产科技成果奖优秀推广项目。”对功 能安全标准及标准实施认证相关的技术、法规、政策等问题有深入研究。第十三讲功能宜全认证迥程中对诊断的荆别,计算与测试ChaPter13:Judgement,Calculat io na ndT estf orDiagn o sisintheProeess ofFun et ion alSaf et
3、yAssessment史学玲(机械工业 仪器仪表综合技术经济研究所,北京市1000 55)Sh iXu el ing(I nst tume nta tio nT eeh nolog y&Ee onomyI nstit u te,Bei jing10005 5)【摘要】准确的诊断可以检测安全相关子系统的故障,有效提高安全性与可用性。在功能安全认证与功能安全评佑过程中,需要对每一种诊断措施进行分析判别、测试其有效性,并计算诊断覆盖率。本文介绍 了安全完整性等级(S IL )与诊断的关系及相关技术。【关键词】 功能安全认证功能安全评沽诊断诊断菠盖率A bstr a et:A ceu l钡ed iag
4、no sis ea nde te ctf aul tofsaf et y一r ela tedsub一system,whieheo ul d im Pr ovet he s af et ya nda vai la bil it yef f eet ively .Dur ingt hef un etionalsa f et ye er t if iea tio na nda ss e ssr nent,it15ne e e s s娜tomea su r et hev ali dit yofjn dge men ia ndte stf or e即hdiagno stiemode s,andeale
5、ula t et heDiagno stieCove ra ge(DC).T hisPa pe rint r odu e e sther ela tion shiPbe。刀e enSa f et yIn teg ht yLe vel(SIL)a ndt hediag no sisa ndrela t edte eh nolog ie s.Ke ywo rds :Fu netio na lSaf etyCer ti f iea tio nFu netio nalSaf et yAssessmentDiagn o sisDiagn os tieCo vera ge准确的诊断可以检测安全相关子系统的
6、故障,有效提高安全性与可用性。随着微电子、计算机及诊断技术的快速发展,仪表与 自动化控制设备的故障诊断能力也在不断提高。但在功 能安全评估与认证过程中,分析判别并测试诊断技术的有效性,计算确定诊断覆盖率,最后确定其诊断是否满足相应S IL(安全完整性等级)的要求,是一项十分重要的工作。我们在为一些公司进行功能安全产品开发咨询的过程中,发现开发者常常困惑于无法把一项实际的诊断技术与s IL要求联系起来。这一讲将介绍一些这方面的技术。1s lL与诊断的关系根据I EC6 150 8标准,安全相关子系统的安全完整性等级(S IL )受限于结构约束条件,以B类安全相关子系统为例,s lL与硬件故障裕度
7、、安全失效分数的关系如表1。在这里,B类安全相关子系统是指这样一种系统,即至少一个组成部件的失效模式未被很好地定义,或者故障状况下子系统的行为不能完全确定,或者通过现场经验获得的可靠的数据不够充分,不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。典型B类子系统包括基于微处理器的设备或具有复杂自定义逻辑的设备。表1硬件安全完整性:日类安全相关子系统的结构约束安安全失效分数数硬件故障裕度 (见注2 ) ) )( ( (SFF) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) ) )
8、0 0 0 0 0 0 0l l l2 2 2 60%不允许许SIL I I ISILZ Z Z6 6 6 0%一90%SILI I ISILZ Z ZSIL3 3 39 9 9 0%一1.0。两种5 15结构如表8。口(上接第! 7页)统级的诊断程序,以增强系统的总体可用性和安全性。这些技术可以检测到那些嵌人式模块诊断程序检测不到的失效,它们还能补充嵌人式模块诊断程序的不足,从而增加系统的总体诊断覆盖率。这些技术的两个基本方法还是参比诊断与对比诊断。对比诊断在系统级使用十分有效。研究系统运行环境与条件,找到关键要素进行两个单元的动态计算比较,可以有效提高系统的诊断能力。在一个特定控制系统的实
9、现过程中,只要系统关系存在,就可以比较过程传感器和相应的输入电路。过程信号之间还存在其它关系,例如温度与压力有关,泵的电机电流与流量相关。只要知道这些关系,就可以用来监测系统内的失效。参比诊断技术在系统级使用也十分有效。系统设计者预期某些事件会以某种方式发生,就用以验证系统是否在预期的状态下运行。例如在控制器模块中安装计时器,通信链路上的另外一端控制器模块产生触发信号,如果通信链路故障,计时器就会检测到失效。用这种看门狗计时器功能可以验证通信链路是否正常。4诊断的计算与量化分析诊断技术时,要求首先进行失效模式分析。通过失效模式分析,可以找到故障原因、提出可能的诊断与预防措施,因此,将故障的现象
10、用规范的词句进行描述是故障分析与诊断分析工作中不可缺少的基础工作,同时也是确定诊断覆盖率的基础。可以采用FMED A( 失效模式、影响及诊断分析)技术计算子系统的诊断覆盖率量值。但问题的关键是必须知道电路/模块/单元中使用的元件所有可能的失效模式,以及对每一种失效是否能有效的诊断。下面举一个实例,说明诊断覆盖率的计算过程。表2中2 2 种可能的元件失效模式中,有1 2种是可以检测到的。检测到的总失效率是8 0.0 3F IT,总失效率是9 3.5 6 F IT,则总的诊断覆盖率是 8 0.0 3/9 3.5 6二0.855。表2中总的安全失效率是 7 0.0 4F IT,检测到的安全失效率是6
11、 5.0 2F IT,因此,安全失效的诊断覆盖率为0.928。表2中总的危险失效率是 2 3.SF IT,检测到的危险失效率是15F IT,因此,危险失效的诊断覆盖率等于0.6 4。该电路是基于带有诊断功能的传统PLC输入电路,许多人认为这样的传统PL C电路不能满足安全系统的要求。这种分析计算方法对于分析者有较高要求,他必须能够了解分析对象的所有要素的失效模式,以及各种模式下的失效率数据。如果有一部分没有考虑到,或者数据的真实性有偏差,计算结果就没有意义。必须考虑是否存在新元件,以及可能出现未知/未检测失效模式的可能性对诊断覆盖率的影响。5诊断的测试故障插人测试法可以验证并确认通过FMED
12、A得出的诊断覆盖率。采用手动或自动的方式模拟部件的失效模式,例如将短路线(或者小电阻)跨接在元件上可以模拟短路失效,将导线剪断可以模拟断路失效,测试诊断技术的有效性。6结束语诊断技术的发展日新月异,对分析与评估者提出了更高的要求。诊断技术的功能安全分析、判别、评估与量化方法,是从事安全相关子系统安全评估与认证的人员必须掌握的一项重要技术,同时它也是安全相关产品开发人员必须掌握的技术。参考文献11Gob le,W.M.H馆hAvai labi l itySys t emsforSafe lyan dPe找on刀a n以卜一一TheCov er ag eFa c一t or21Harr is,D.E.Built一i nTestjorFal l一SafeDe Slgn.1986 Pro以沦d i 血95oftheAn nual Reliab i l一it yandMai ntai nabi l itySymPo sium,Ne, VYork:IEEE,19863 W沮iamM.Gob le.Saf e ty;s sessmentofeontrol盯s te mandrel labi l it y口