張艾森

(上海儀器儀表自控系統(tǒng)檢驗測試所，上海 200030)

?

IEC 61511-1 Ed2.0解讀

張艾森

(上海儀器儀表自控系統(tǒng)檢驗測試所，上海 200030)

IEC 61511系列標準針對過程工業(yè)特點，提出了評估風險、分解風險、降低風險的技術手段，有效幫助了過程工業(yè)行業(yè)安全水平的提升。通過對IEC 61511-1 Ed2.0新版標準的研讀，結合當前安全技術的發(fā)展，提出了一些對該標準的理解，提供了相關從業(yè)人員的一些應用經(jīng)驗，幫助提高過程工業(yè)安全水平的進一步提升。

安全儀表系統(tǒng) 安全完整性等級 信息安全 V模型

功能安全技術是過程工業(yè)中普遍使用的安全評價和分析技術，通過HAZOP，事件樹等半定性的分析方法可以有效統(tǒng)計和分析系統(tǒng)現(xiàn)有的安全措施和水平，并指明需要加強的部分。通過定性的分析方法，可以對安全儀表系統(tǒng)(SIS)進行分析，預計SIS可達到的安全完整性等級(SIL)。

功能安全標準的發(fā)展經(jīng)歷了幾個重要的節(jié)點。1996年，ISA首先發(fā)布了ISA SP84安全聲明周期，這是功能安全標準的技術基礎。隨后，在1998年國際電工委員會(IEC)發(fā)布了IEC 61508系列標準，2003年，針對過程工業(yè)的功能安全標準IEC 61511正式發(fā)布，該標準共包含3個部分，詳細規(guī)范了過程工業(yè)中SIS的構架、定義，系統(tǒng)，硬件和軟件要求。2010年，IEC 61508 Ed2.0系列標準發(fā)布，它帶來了一系列新的理念和評價方法，而標準也從原來的7個部分增加為8個部分。2016年2月IEC 61511-1 Ed2.0已經(jīng)正式發(fā)布，它將結合目前的前沿技術發(fā)展，給過程工業(yè)，甚至于更多的其他相關涉及財產(chǎn)安全、環(huán)境安全、人身安全的行業(yè)，帶來規(guī)范有效的安全評價方法和技術。

IEC 61511系列標準給出了SIS關于規(guī)范、設計、安裝、運行和維護的相關要求。它明確了所需達到的功能安全水平，但是標準中并不明確這些要求的責任方，而相關的責任人員需根據(jù)安全計劃、項目計劃和管理以及所在國家的法律法規(guī)進行職責的劃分。

1 標準之間的關系

如圖1所示，IEC 61508和IEC 61511是2個有著密切關系的標準，從屬關系上來說，IEC 61511是IEC 61508在過程領域的應用，IEC 61508是所有功能安全標準的基礎和支撐。

2 IEC 61511-1 Ed2.0概述

2.1 2個基本概念

在IEC 61511-1 Ed2.0中，仍然保留了2個基本概念：安全生命周期和安全完整性等級(SIL)。

1) 安全生命周期對于功能安全而言至關重要。從功能安全的概念出發(fā)，失效可分為隨機失效和系統(tǒng)失效。對于隨機失效，通過硬件試驗、可靠性分析、應力篩選等一系列試驗方法可以有效提供其數(shù)值，這里不進行贅述。而系統(tǒng)失效，引入安全生命周期的概念非常必要，它可以有效幫助設計人員從根本上避免和減少設計失誤。安全生命周期本身是一套系統(tǒng)的方法，是工程實際中最行之有效的設計方法。具體表現(xiàn)在：明確活動和工作職責；辨識每個階段的完整性需求；辨識所需文檔；幫助實現(xiàn)功能安全管理(FSM)、系統(tǒng)驗證、系統(tǒng)確認、評估、評審等活動。

圖1 IEC 61511和IEC 61508之間的關系示意

而上述活動也可借由安全生命周期的劃分分配給不同的參與人員，包括最終用戶、系統(tǒng)集成商、開發(fā)人員(硬件和軟件)等。

2) SIL就是功能安全定量方法的體現(xiàn)。從IEC 61508系列標準中可以找到許多關于SIL的描述，其中較為重要的兩個概念：平均失效概率(PFD，PFH)及結構約束。得到準確的PFD和PFH，對于定量評價系統(tǒng)的有效性和在關鍵時刻的表現(xiàn)至關重要，也是得到SIL的重要參數(shù)之一。

2.2 3個顯著變化

在IEC 61511-1 Ed2.0中有3個顯著的變化：

1) 許多原來被定義為“應”的活動，新版標準則定義為“必須”，如：安全生命周期必須包含應用編程等。

2) 原標準中的“應用軟件”被改寫為了“應用編程”，這從根本上提高了系統(tǒng)集成過程中對于軟件評估的重視，在考慮SIS的SIL時，編程過程，即軟件質(zhì)量成為一個不容忽視的重要過程。

3) FAT編程規(guī)范性引用，即：出廠試驗成為必備過程。

這些變化體現(xiàn)了IEC 61511-1 Ed2.0對于安全要求的提升，原標準可選的內(nèi)容在IEC 61511-1 Ed2.0中成為了必須執(zhí)行的項目，無疑增加了系統(tǒng)制造商、集成商的工作量，需要將更多的時間用于系統(tǒng)的測試，同時需要將更多的精力投入在控制系統(tǒng)失效的工作上。同時，為了迎合數(shù)字化發(fā)展的進程，軟件的重要程度再次提升，在IEC 61508 Ed2.0中就可以明顯感覺到對編程過程的重視，并在IEC 61511的升版中再次體現(xiàn)出來。

2.3 4個重要階段

大致可以將SIS安全生命周期歸納成4個階段，如圖2所示。

1) 分析階段。它包括了圖2中1，2，3這3個部分的工作。

2) 實現(xiàn)階段。它包括了圖2中4，5部分以及標準中第9章的相關內(nèi)容。

3) 操作和維護階段。它包括了6，7，8，9這4個部分的內(nèi)容。

4) 管理和計劃。它包括了10，11這2個部分的內(nèi)容。

從順序上來說，管理和計劃是先于一切行動的起點，它將控制整個項目的進度、質(zhì)量水平以及跟蹤觀察。

3 功能安全管理和評審

3.1 功能安全管理概述

對于任何宣稱產(chǎn)品或者系統(tǒng)達到功能安全的廠商或組織，都應該有完整的功能安全管理來確認他們的聲明是合理有效的。在IEC 61511-1 Ed2.0中，對于功能安全管理提出了多方面的要求：

1) 組織和資源。主要提出了 對涉及SIS生命周期中的人員、部門、組織或其他單位的職責以及承擔相關職責所應具備的能力，這些能力可以包括：工程知識、電氣電子可編程電子方面的知識、安全工程知識、法律法規(guī)要求、必要的領導技能、風險分析和評價的技能等。

圖2 SIS安全生命周期階段和功能安全評估階段

2) 風險評價和風險管理。這些內(nèi)容可以通過不同的風險評價方法獲得，例如HAZOP和QRA等，這些方法可從定性到半定量再到定量，以提供準確的評價結果。

3) 編制可行的安全計劃。安全計劃中需要詳細描述在項目中所執(zhí)行的生命周期以及在生命周期中所包含的活動，執(zhí)行活動的人員、部門、組織以及配備的資源等，并且應與所需的SIL相匹配。

4) 執(zhí)行和監(jiān)視。對于項目中涉及的供應商或提供服務的組織都應按所需的SIL要求提出對應的管理規(guī)程并進行監(jiān)督管理，同時對SIS的失效率參數(shù)的合理性也要時刻進行監(jiān)督。

5) 評估、審核和修改。在IEC 61511-1 Ed2.0中對于如何進行評估提供了詳細的建議，而這些建議也可以成為項目執(zhí)行者編制文件時的參考。項目中所執(zhí)行的任何相關活動都應留下備查的記錄，尤其是對于修改部分，應建立完整的規(guī)程，至少應包含提出、評審、修改、再評審的過程。

6) 配置管理。配置管理可有效地控制系統(tǒng)的版本有序，是避免系統(tǒng)失效的基本要求和重要手段。

功能安全管理應該在項目過程中持續(xù)有效地執(zhí)行，并且應貫徹執(zhí)行統(tǒng)一的準則，并且在實施過程中應按計劃、按階段引入功能安全評審，將會有效提供功能安全管理的水平。

3.2 功能安全評審

功能安全管理與功能安全評審密不可分。

1) 執(zhí)行功能安全評審，在新版標準中則給出了幾點特別需要注意的事項：

a) 執(zhí)行功能安全評審的人員應該獨立，不應參與到SIS的任何工作。這里的獨立有多層理解，根據(jù)不同的SIL要求，可以將獨立的范圍擴大。通?？梢詫ⅹ毩⒎譃?個層次：技術獨立、管理獨立、財務獨立。而通用的做法則是在項目過程中引入第三方獨立機構來執(zhí)行功能安全評審的工作。

b) IEC 61511-1 Ed2.0中尤其強調(diào)了功能安全評審計劃的制定，在原標準中為注意的條款，在新版標準中都變?yōu)榱吮仨殘?zhí)行的項目。

c) 在維護和操作階段也應當周期性地引入功能安全評審工作，即功能安全工作不僅僅是開車的必要條件，在系統(tǒng)投入運行后，功能安全的評審工作依然重要。而這部分的工作將包括：評判系統(tǒng)的運行情況、收集相關設備的運行參數(shù)以便更新功能安全相關參數(shù)，發(fā)現(xiàn)和評估未預料到的隱患并及時糾正。

d) 功能安全評審依賴于操作的實時性。

2) 根據(jù)IEC 61511-1 Ed2.0可以將功能安全評審劃分為5個階段，這5個階段貫穿系統(tǒng)的安全生命周期全過程：

a) 在完成風險評估后，辨識出所需的保護層并在完成完全要求規(guī)范(SRS)編制后實施。

b) 在完成SIS設計后實施。

c) 在完成安裝、試運行、最終確認后，并且已開發(fā)完成運行和維護規(guī)程后實施。

d) 在獲得運行和維護經(jīng)驗數(shù)據(jù)后實施。

e) 在修改后或在SIS停運前實施。

上述的實施階段只是功能安全評審的最低要求，對于有不明確或者有必要的情況下，功能安全評審就應及時進行，避免系統(tǒng)故障的引入。

4 SIS的設計和工程應用

鑒于IEC 61508 Ed2.0的發(fā)布，對于功能安全結構約束的定義有了新的變化，在IEC 61511-1 Ed2.0中，也將延續(xù)這種變革。因此，在判斷硬件故障裕度(HFT)時有了更多的選擇。

在IEC 61508-2 Ed2.0中有兩種不同的方法，分別為Route 1H和Route 2H，其判定HFT的要求分別見表1，表2所列。

表1 Route 1H判定HFT的要求

表2 Route 2H判定HFT的要求

可見，Route 2H取消了關于安全失效分數(shù)的要求，而這兩種方法在IEC 61511-1 Ed2.0中都是可行的。

而想要設計出符合功能安全要求的SIS，仍然需要設計人員有足夠豐富的功能安全知識和儀表應用經(jīng)驗。在IEC 61511-1 Ed2.0中特別強調(diào)了以下這些要求：

1) SIS中所使用的設備應符合IEC 61508-2和IEC 61508-3的設計要求；即在特定的SIL要求下，儀表的設計需要符合IEC 61508 Ed2.0要求，而這不僅僅是平均失效概率達到要求這么簡單。

2) 如果想沿用那些經(jīng)過驗證的設備也并非不可，但是應提供足夠的文檔資料證明這些設備適用于新的SIS。

3) 與上一條相關，對于那些經(jīng)過驗證的設備就需要有系統(tǒng)的方法來收集現(xiàn)場經(jīng)驗數(shù)據(jù)，而方法和要求可以在ISA TR 84.00.04：2015和NAMUR recommendation NE 130(“Prioruse”—deviceforSISs)中找到。

4) 系統(tǒng)或子系統(tǒng)的安全手冊中應覆蓋操作、維護、故障檢測和限制要求等內(nèi)容。

5) 在旁通時(例如維修或測試時)，需要有補充措施以確保安全運行。

6) 應明確定義SIS所允許的最大旁通時間。

7) SIS應能對辨識出的安全風險提供必要的恢復功能，這些安全風險可能存在于硬件、應用軟件和相關軟件中。

5 SIS的應用編程和SRS

5.1 SIS的應用編程

前文中提到，在IEC 61511-1 Ed2.0中特別強調(diào)了將應用軟件變?yōu)閼镁幊?，這就說明軟件編程質(zhì)量在SIS中的重要性更加明確。在新版標準中提出了對于應用編程的一系列要求：適當?shù)纳芷趧澐?；系統(tǒng)化的方法；必要的檢驗測試手段；可追溯性；驗證與確認。

針對上述要求，設計和開發(fā)人員有必要引入行之有效的系統(tǒng)性方法，而目前廣為接受的方法就是改進型V模型系統(tǒng)性方法，如圖3所示。

對于應用編程，可以參照IEC 61508-3 Ed2.0中的要求實施，需要特別注意的是，在IEC 61511-1 Ed2.0中，針對通信提出了關于信息安全的要求。對于信息安全的要求需要從硬件和軟件兩個部分去考慮，關鍵的網(wǎng)絡設備應經(jīng)過相關測試并驗證其有效性。而通信協(xié)議本身也應經(jīng)過評估和必要的攻防測試，這部分內(nèi)容在IEC 62443系列標準中有詳細的要求，而該部分也是IEC 61511-1 Ed2.0中與時俱進的有力表現(xiàn)。

圖3 V模型系統(tǒng)性方法

5.2 安全要求規(guī)范

在IEC 61511-1 Ed2.0中，對于每個安全儀表功能(SIF)定義了共計29條要求，這些內(nèi)容大多在原版中有相應的要求，而其中有以下4條內(nèi)容是新版中額外增加的內(nèi)容：新的I/O列表的要求；對于旁通定義提出了更具體的要求；SIS過程測量(精確度和跳變點)；重新提出了對于應用編程的要求。

以上內(nèi)容在IEC 61511-1 Ed2.0 10.3.1條中有明確提及，根據(jù)SIF的具體情況，在編制SRS時，應完整考慮這些要求，以提高SIS的設計準確性。

6 新版標準修訂內(nèi)容

在IEC 61511-1 Ed2.0中，還有一些修訂部分內(nèi)容，通過研讀，將其羅列如下：

1) 要求通過運行和維護以收集SIS的實際性能表現(xiàn)，這有助于提高現(xiàn)有系統(tǒng)的安全性，并且為以后的系統(tǒng)提供真實可信的功能安全數(shù)據(jù)。

2) 響應時間被明確定義，并命名為過程安全時間。

3) 工廠驗收試驗(FAT)成為規(guī)范性要求。

4) EMC相關標準以及IEC 61682 Ed1.0 ALARM管理成為了不可或缺的參考文件。

5) 隨機失效的量值應考慮驗證測試有效性、數(shù)值可信度和數(shù)值的不確定度。

6) 在功能安全評估完成前，不能進行變更。

7) 在進行過程危害和風險評估時需同時進行安全風險評估，該部分內(nèi)容可參照ISA TR84.00.09和IEC 62443-2執(zhí)行。

8) 安全包括對硬件、應用編程和相關軟件的故意攻擊以及非預期的人員誤操作。

7 結束語

提及功能安全，并不是指提供了安全儀表保護系統(tǒng)或者應用安全儀表，也不是他們所代表的失效率數(shù)據(jù)；功能安全更多的是在設計、工程、文檔、測試、運行、維護等不同的SIS階段所必須具備的安全文化和理念。因此，在IEC 61511-1 Ed2.0中提出了更多的要求，它留給設計人員、評審人員、相關過程參與人員更多的思考空間，以期能更有效地提高系統(tǒng)設計水平，真正提升安全水平、保護財產(chǎn)、環(huán)境和人員的安全。

目前，全國工業(yè)過程測量和控制標準化技術委員會系統(tǒng)及功能安全分技術委員會(SAC/TC124/SC10)正對IEC 61511-1 Ed2.0進行標準轉化工作，相信不久的將來，新版的GB/T 21109.1也將與大家見面，這將有利于國內(nèi)的安全技術水平緊跟國際先進水平，促進安全生產(chǎn)能力提升。

[1] IEC. IEC 61508 Function Safety of Electrical/Electronic/Programmable Electronic Safety-Related System [S]. IEC， 2010.

[2] IEC. IEC 61511 Function Safety — Safety Instrumented Systems for the Process Industry Sector [S]. IEC， 2003.

[3] IEC. IEC 61511-1 Function Safety — Safety Instrumented Systems for the Process Industry Sector [S]. IEC， 2016.

[4] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 20438—2006電氣/電子/可編程電子安全相關系統(tǒng)的功能安全[S].北京：中國標準出版社，2007.

[5] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 21109—2007過程工業(yè)領域安全儀表系統(tǒng)的功能安全[S].北京：中國標準出版社，2008.

[6] 朱建新，王莉君，高增梁.IEC 61511標準及在石化行業(yè)安全管理中的應用[J].中國安全科學學報，2007，17(02)：105-109.

[7] 沈?qū)W強，白焰.安全儀表系統(tǒng)的功能安全評估方法性能分析[J].化工自動化及儀表，2012，39(06)：703-706.

[8] 張建國.安全儀表系統(tǒng)在過程工業(yè)中的應用[M].北京：中國電力出版社，2010：34-40.

[9] 劉建侯.功能安全技術基礎[M].北京：機械工業(yè)出版社，2008：12-16.

《石油化工自動化》征訂啟事

《石油化工自動化》創(chuàng)刊于1964年，由中國石化集團公司主管，中石化寧波工程有限公司、全國化工自控設計技術中心站、中國石化集團公司自控設計技術中心站主辦，面向全國化工、石化、石油、紡織、輕工等行業(yè)的自動化科技刊物。

本刊為中國科技核心期刊，中國石化集團公司核心科技期刊，并入選“中國期刊方陣”。本刊入選《中國學術期刊(光盤版)》，被全文收錄；榮獲全國優(yōu)秀期刊評比三等獎；加入“中國期刊網(wǎng)”和“萬方數(shù)據(jù)資源系統(tǒng)(ChinaInfo)數(shù)字化期刊群”，并被列為“中國學術期刊綜合評價數(shù)據(jù)庫”來源期刊；被美國《化學文摘》(CA)、《劍橋科學文摘》(CSA)、俄羅斯《文摘雜志》(AJ)、波蘭《哥白尼索引》(IC)列為檢索源期刊。

《石油化工自動化》的內(nèi)容突出實用性、指導性、知識性，報道國內(nèi)外自控領域的科研成果和先進技術，介紹新產(chǎn)品、新工藝、最新動態(tài)。讀者對象主要為化工、石化、石油、紡織、輕工等行業(yè)的自動化專業(yè)技術人員，大專院校、科研單位從事自動化教學和科研工作的人員等，擁有大量的讀者。主要欄目有發(fā)展與評述、工程設計及標準、過程控制技術、信息技術、儀器儀表、創(chuàng)新與實踐等。

國內(nèi)統(tǒng)一刊號：CN62-1132/TE 國際標準刊號：ISSN1007-7324

郵發(fā)代號：4-801 定價：10元/期

地 址：上海市徐匯區(qū)中山南二路1089號 徐匯苑大廈12層(200030)

電 話：021-64578936， 64578765

E-mail：cacd.snec@sinopec.com

Interpretation of IEC 61511-1 Ed2.0

Zhang Aisen

(Shanghai Inspection and Testing Institution of Instruments and Automation Systems, Shanghai, 200030, China)

s：Based on characteristics of process industry, technical means for risk evaluation, resolver and reduction are presented in IEC 61511 series standards to help to improve safety for process industry. Through interpretation of latest version of IEC 61511-1 Ed2.0, some new interpretation is approached with combination of current safety technology development. Some experiences of relative working staffs is provided to help to further improve process industry safety management.

safety Instrumented system; safety integrity level; information security; V model

張艾森，男，現(xiàn)就職于上海儀器儀表自控系統(tǒng)檢驗測試所(SITIIAS)，主要從事功能安全、軟件驗證與確認等的認證評估工作。

TB497

B

1007-7324(2016)05-0012-06

稿件收到日期：2016-06-16，修改稿收到日期：2016-08-12。