iec615085确定安全完整性水平的方法示例.docx
- 文档编号:25924765
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:10
- 大小:63.02KB
iec615085确定安全完整性水平的方法示例.docx
《iec615085确定安全完整性水平的方法示例.docx》由会员分享,可在线阅读,更多相关《iec615085确定安全完整性水平的方法示例.docx(10页珍藏版)》请在冰豆网上搜索。
iec615085确定安全完整性水平的方法示例
iec61508-5確定安全完整性水平的方法示例
安全系统分析理论及方法作业1李桃控制工程13125088
IEC61508-5确定安全完整性水平的方法示例一、IEC61508简介
1、IEC61508产生背景
在现代过程工业生产中,由于设备繁复,工艺复杂,要求整个控制系统不允许存在任何安全薄弱环节,一旦系统中的过程成套仪表以及其他设备在工作不正常(失效),就有可能造成控制系统的故障和设备停车,发生诸如化工厂的火灾、爆炸,核电站的辐射超剂量、飞机的机械漏油等危险事件,会对人员、设备和环境造成灾难性后果。
这就需要依靠标准和法规来进行规范,使这种灾难控制在可接受的范围之内。
IEC61508标准是迄今为止最为全面的安全相关系统的理论概括和技术总结,成为了涉及电气/电子/可编程电子(E/E/PE)安全相关系统功能安全的基本和核心标准。
标准自1999年推出以来,迅速得到了各个国家的响应和推广,我国也于2006年直接将其转化成了GB/T20438标准并等同采用。
2、IEC61508概况
2000年5月,国际电工委员会(InternationalElectrotechnicalCommission)正式发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》。
IEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。
目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。
本标准是基于安全相关系统的可靠性,它是安全相关系统功能安全的基础标准,有七个部分组成,描述了安全相关系统的软硬件的要求(从危险分析和安全功能的详细说明开始,直到系统停用和处理)。
IEC61508的七个部分内容分别为:
第1部分:
一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。
第2部分:
对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要
1
安全系统分析理论及方法作业1李桃控制工程13125088求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。
第3部分:
对软件的要求,描述避免失效的方法,与第7部分的附录相关。
第4部分:
定义和缩略语。
第5部分:
给出一些确定安全完整性水平的方法示例。
第6部分:
包括第2和第3部分的应用指南。
第7部分:
给出测试方法,简短的注释并提供部分参考书目。
二、IEC61508-5确定安全完整性水平的方法示例
1、如何理解安全完整性与SIL等级
(1)安全完整性及相关定义
IEC61508-4中,与安全完整性相关的定义有:
安全完整性(safetyintegrity):
在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概率。
注1:
安全相关系统的安全完整性等级越高,安全相关系统不能实现所要求的安全功能的概率就越低。
注2:
安全相关系统有4种安全完整性等级。
注3:
在确定安全完整性的过程中,应包括导致非安全状态的所有失效(随机硬件失效和系统失效)的起因,例如硬件失效,软件导致的失效以及由电气干扰引起的失效,其中有些类型的失效,尤其是随机硬件失效,在危险失效模式中,可用失效率这样的量来量化,对一个安全防护系统而言,可以用有要求时不能工作的概率来量化,但是,系统的安全完整性也取决于许多因素,这些因素无法精确定量仅可定性考虑。
注4:
安全完整性由硬件安全完整性和系统安全完整性构成。
注5:
这一定义着重于安全相关系统执行安全功能的可靠性。
安全相关系统(safety-relatedsystem):
所指的系统必需要能实现要求的安全功能以达到或保持EUC的安全状态;自身或与其它E,E,PE安全相关系统、其它技术安全相关系统或外部风险降低设施一道,能够达到要求的安全功能所需的安全完整性。
注1:
这条术语是指这样的系统,即所谓安全相关系统是它们,及与外部凤
2
安全系统分析理论及方法作业1李桃控制工程13125088险降低设施一道达到必要的风险降低量,以满足所要求的允许风险。
注2:
安全相关系统是在接受命令时采取适当的动作以防止EUC进入危险状态。
安全相关系统的失效被包括在导致危险或危害的事件中。
尽管存在可能具备安全功能的其他系统,但已指定的安全相关系统仅是指靠其自身能力达到要求的允许风险的安全相关系统。
安全相关系统一般分为安全控制系统和安全防护系统并且具有两种操作模式(低要求操作模式、高要求或连续操作模式)。
注3:
安全相关系统可以是EUC控制系统的组成部分,也可用传感器和,或执行器与EUC接口,即可通过实现EUC控制系统中的安全功能(也可能通过分开的和独立的附加系统)达到要求的安全完整性等级,或者利用分离的、独立的、专门的安全相关系统实现安全功能。
注4:
安全相关系统可能包括:
a)被用于防止危险事件发生(即安全相关系统一旦执行其安全功能则没有危险事件发生);
b)被用来减轻危险事件的影响,即通过减轻后果的办法来降低风险。
c)同时具有a)和b)的组合功能。
:
人也可作为安全相关系统的一部分,例如,人可以接收来自可编程电注5
子装置的信息,并通过可编程电子装置按接收信息要求执行安全动作。
注6:
该术语包括执行安全功能所需的全部硬件、软件以及支持服务(如电源)(传感器,其它输入装置,最终元件(执行器)和其它输出装置也包括在安全相关系统中)。
注7:
安全相关系统的技术基础范围可以十分广泛,包括电气、电子、可编程电子、液压和气动等。
安全完整性等级(SIL(safetyintegrityleve1)):
一种离散的等级(四种可能等级之一),用于规定分配给E,E,PE安全相关系统的安全功能的安全完整性要求,在这里,安全完整性等级4是最高的,安全完整性等级1是最低的。
操作模式与SIL:
针对安全相关系统使用方式、要求产生频率不同情况划分安全完整性等级的指标
低要求操作模式:
以要求时平均失效概率PFD(ProbabilityofFailureon
Demand)来划分
3
安全系统分析理论及方法作业1李桃控制工程13125088
高要求或连续操作模式:
采用每小时危险失效概率PFH(ProbabilityofFailure
perHour)
操作模式与完整性等级如表1所示:
表1.操作模式与SIL
安全完整性等级(SIL)低要求操作模式高要求或连续操作模式
(PFD)(PFH)
5,4,9,84,10且,10,10且,10
4,3,8,73,10且,10,10且,10
3,2,7,62,10且,10,10且,10
2,1,6,51,10且,10,10且,10
(2)安全完整性与SIL等级的关系
安全完整性包括系统安全完整性与随机安全完整性两部分。
系统完整性是安全完整性里不可定量部分,并且与系统故障导致的硬件、软件的危险失效有关。
系统故障通常由系统、子系统和设备在安全功能的生命周期内各种人为错误导致,如规范错误、设计错误、制造错误、安装错误、操作错误、维护错误、修改错误等。
随机安全完整性是安全完整性的随机危险失效部分,其中唯一可以量化的部分就是硬件失效相关的硬件安全完整性。
硬件失效是硬件部分有限的可靠性导致的。
系统安全完整性通过质量管理和安全管理条件获得。
由于不可能通过定量的方法来评估系统安全完整性,功能安全标准中用SIL对技术措施与管理条件进行了分级。
安全完整性与SIL等级的关系如图1所示:
图1.安全完整性与SIL等级的关系
4
安全系统分析理论及方法作业1李桃控制工程131250882、风险分析方法简介
(1)基本概念
风险(risk):
出现事故的概率及该事故严重性的组合。
风险接受准则——ALAPR准则:
国外铁路领域普遍使用ALARP(aslowas
reasonablypractically)准则作为风险接受准则。
ALAPR准则如图2所示:
不可接受区-6可接受风险水平10
根据费效比分析确定降低风险的措施
风容忍区险
-9可忽略风险水平10
可接受区频率/年
图2.ALAPR准则
ALAPR准则:
将风险分为三类:
不可接受的风险,可容忍的风险和广泛可接受的风险,分别对应图中相应的三个区域。
不可接受区的风险必须进行风险控制将风险降低到可容忍风险水平线的下方。
广泛可接受区的风险不需要实施进一步的风险控制;对于落在ALARP区域的风险需要实施进一步的风险控制降低风险,使其更接近可忽略风险水平线或进入广泛可接受区。
ALARP准则中的可容忍不意味着可接受,指的是为获得某种利益和对风险的可控有信心而愿意忍受风险,容忍不是不重视或者忽视,而是需要保持监控并进一步降低。
风险矩阵:
风险矩阵吸取ALARP准则的思想精华并结合风险的概念,将事件发生的频率及其后果的严重性进行分类,构成矩阵更加全面的对风险的等级进行划分,为风险评价提供依据。
风险矩阵如表2所示:
5
安全系统分析理论及方法作业1李桃控制工程13125088
表2.风险矩阵
(2)风险图分析法(RiskGraph)-定性方法
风险图法的公式:
R=f*s=W*A*G*S
R:
没有采取风险降低措施时的风险;
f:
没有采取风险降低措施时的危害事件发生的频率;
S:
危险事件的后果;
危险事件的频率f认为是由三种有关因素组成:
暴露于危险区域的频率和时间;避开危险事件的概率;没有采取风险降低措施时危险事件概率即不期望事件的发生概率。
风险图分析方法如图3所示:
图3.风险图分析方法
有关参数:
1)后果参数(S)
6
安全系统分析理论及方法作业1李桃控制工程13125088
S1:
轻微伤害;
S2:
对一个人或几个人的严重永久伤害;一个人死亡;
S3:
几个人死亡;
S4:
多人死亡;
2)暴露时间和频率参数(A)
A1:
很少至较多暴露在危险区域;
A2:
经常至永久暴露在危险区域;
3)不能避开危险风险参数的概率(G);
G1:
在一定条件下可能;
G2:
几乎不可能;
4)不期望事件发生的概率(W)
W1:
出现不期望事件的发生概率很小且只有很少不期望事件有可能发生;
W2:
出现不期望事件的发生概率小且只有少量不期望事件可能发生;
W3:
出现不期望事件的发生概率相对较高且不期望事件可能频繁发生;(3)风险矩阵法(RiskMatrix)-半定量方法
风险矩阵法将决定风险的两大变量(概率和严重度)采用相对的方法,大致分成几个不同的等级。
风险矩阵有多种形式,如最简单的3×3矩阵,国际标准化组织提供的5×5矩阵,美国化学工程师协会化学过程安全中心应用的5×7矩阵,铁路行业欧洲标准EN50l26典型的6×4风险矩阵等。
对前面的风险矩阵进行分析,可得典型危害事件的发生频率如表3所示,典型危害严重度水平如表4所示:
表3.典型危害事件的发生频率
典型危害事件的发生频率
种类危害事件发生频率的描述
频繁的频繁地出现,危害将一直存在
经常的发生多次,危害可能预期经常发生
偶尔的可能发生几次,危害预期有几次出现
罕见的在系统生命周期某时间可能发生,危害能合理地预期出现
不可能的不太可能发生但可能存在,可假定危害极少出现
难以置信的几乎不可能发生,可假定危害不会发生
7
安全系统分析理论及方法作业1李桃控制工程13125088
表4.典型危害严重度水平
典型危害严重度水平
严重度水平对人或环境的影响对服务的影响
灾难性的多人死亡,和/或多方面的严重伤害,和
/或对环境的较多伤害
重大的一人死亡,和/或单个严重伤害,和/或对主系统失效
环境产生明显伤害
次要的较小的损伤,和/或对环境的明显的影响重要的系统伤害
轻微的可能存在较小的伤害较小的系统伤害危险结果的严重级别n—>THRn=SILn
n=4,灾难性的;
n=3,重大的;
n=2,次要的;
n=1,轻微的;
危险结果严重级别SLn—>THRm=THRn/EPC=SILm
、0.1、0.01;,E,危险暴露的概率,取值:
1
P,防止事故发生的概率,取值:
1、0.1、0.01;
C,事故减少的概率,取值:
1、0.1、0.01;
三、总结
本文第一部分简单介绍了IEC61508标准产生的背景以及IEC61508标准的概况;第二部分重点根据IEC61508第五部分中有关安全完整性与安全完整性等级的相关概念进行了分析,并对安全完整性与安全完整性等级的关系进行了讲解,又介绍了风险分析法的相关知识,首先介绍ALAPR准则以及风险矩阵的相关概念;又介绍了两种风险分析方法——风险图分析法、风险矩阵分析法。
8
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- iec615085 确定 安全 完整性 水平 方法 示例