第47卷 第1期2011年2月石 油 化 工 自 动 化AUT OMATION IN PETRO -CH EMICAL INDUSTRYVol.47,No.1February,2011收稿日期:20101213。

作者简介:彭 瑜(1938 ),男,1960年毕业于清华大学动力系,上海工业自动化仪表研究所教授级高级工程师,长期从事工业过程控制系统的研究开发工作,自1996年后,研究开发方向集中在现场总线、工业以太网、M ES ,以及无线短程网的开发和工业应用,1993年起获得国务院特殊津贴,中国自动化学会理事,中国自动化学会仪表和装置专业委员会常务委员,上海市自动化学会荣誉理事,中国仪器仪表学会专家委员会委员,PLCopen 国际组织中国委员会主席。

工业控制软件功能安全的实现方法和评估彭 瑜(上海工业自动化研究院智能仪表与系统研究所,上海 200233)摘要:从趋势上讲,软件和人为因素导致控制系统失效、事故和停机的比例越来越高。

这源于现在对软件的依赖越来越高,软件也变得越来越复杂,以至于难以在软件的开发过程中有效地控制软件质量、软件的信息安全和软件的功能安全。

从介绍控制系统功能安全和安全完整性的基本概念入手,阐述工业控制软件功能安全的概念、安全完整性等级和实现工业控制软件功能安全的流程及方法,包括对编程语言和实时操作系统的要求和选择。

还用相当篇幅讨论工业控制软件功能安全的验证和确认的基本方法,指出在软件生命周期的各个阶段都要由第三方进行软件功能安全的验证,为保证最终软件产品的性能,在阶段性验证的基础上最终通过确认来确定它是否满足系统的所有要求。

关键词:工业控制软件的功能安全;软件功能安全的认证和确认;全可变语言;有限可变语言中图分类号:T P273 文献标志码:A 文章编号:10077324(2011)01000107The Implementation Methods and Evaluation forthe Functional Safety of Industrial Control SoftwarePeng Yu(T he Shanghai Industry Autom ation Resear ch Academy,Intelligent Instr um ent and Sy stem Research Institute,Shang hai,200233,China)Abstract:By trending ,the pr opo rtio n of failures,faults and shutdo w n of control sy stem s,caused by so ftw are and artificial factors,has become higher and hig her.T hat is originated fro m w hich there are mo re and m ore dependent on softw ar e and softw are is becomeing mo re and more complex so that it is har d effectively to handle the quality,security and functional safety of so ftw ar e during softw are development course.It starts w ith introducing the fundam entation process and m ethods of functional safety of industrial contr ol so ftw are and im plementation metho ds,including the r equirements and selection of pr ogram ming languag es and r eal -time oper ating system.It is addressed to discuss verification and validation for functio nal safety o f industrial control softw are in detail.Furthermore it is pointed out that verificatio n o f softw are s functio nal safety should be made by the third party in every phase o f so ftw are lifetime and verification in order to guarantee the perform ance of final softw are products.Keywords:functional safety of industrial contro l softw are;v er ification and v alidation for functional safety of softw are;full variability language;lim ited variability language 1 控制系统功能安全的基本概念安全系统从关键性区分可分为以下几个层次:a)安全关键(safety -critical)系统:单个缺陷或失效会造成危险的故障,如核电站原子反应堆的停堆系统,高速轨道交通的安全停车系统。

b)安全相关(safety -r elevant)系统:单个缺陷或失效与第二个缺陷或失效会造成危险的故障,如石化行业的安全仪表系统。

c)非安全相关(interference -free)系统:即使多个缺陷或失效也不致造成危险的故障。

显而易见,对安全要求最高的安全关键系统,必然为实现其安全要求而耗时最多、成本最高,认证的过程和程序最复杂。

对安全要求相对较低的安全相关系统,以及对安全要求更低的非安全相关系统,相应在时间、成本和认证等方面的耗费会逐级递减。

在IEC61508的标准中,对石化和化工行业广泛应用的安全相关系统有着严格的定义和要求:必须在受控装置(EUC)临近风险或危险状态情况下,能执行所要求的安全功能,使EUC达到或保持安全状态;依靠安全相关系统本身,或与其他E/ E/PE安全相关系统、其他技术的安全相关系统或外部风险降低设施共同作用,达到所要求的安全功能必须的安全完整性。

这将明确规定安全相关系统在工厂预防和减灾中的作用如下。

a)由安全相关系统与外部风险降低设施共同作用,使受控设备达到必要的风险降低量,以满足所要求的允许风险。

b)安全相关系统在接受命令时,采取适当的顺序动作防止EUC进入危险状态。

一旦安全相关系统失效,也属于导致危险或危害的事件。

c)即使还有其他的具备安全功能的系统,但所指定的安全相关系统仅靠其本身的能力(而非其他系统)就能达到所要求的允许风险。

d)安全相关系统一般分为安全控制系统和安全防护系统,并且具有两种操作模式。

从安全相关系统的构成来看,它可以是EU C 控制系统的一个组成部分,也可通过传感器和/或执行器与EU C有接口,即可通过实现EU C控制系统中的安全功能(也可能通过分开的和独立的附加系统)达到要求的安全完整性等级,或者利用分离的、独立、专门的安全相关系统实现安全功能。

人也可作为安全相关系统的一部分,例如,人可以接收来自可编程电子装置的信息,并通过该装置按接收信息要求执行安全动作。

安全相关系统包括执行安全功能所需的全部硬件、软件以及支持服务(如电源、传感器和其他输入装置、执行器和其他输出装置)。

2 安全完整性等级安全完整性是指在规定的条件下和规定的时间内,安全相关系统成功地实现所要求的安全功能的概率。

众所周知,控制系统由构成其系统的各种硬件(控制系统装置、现场仪表、通信网络等)以及执行控制要求和功能的软件综合而成,因此控制系统的安全完整性由硬件的安全完整性和系统的安全完整性组成。

硬件安全完整性是在危险失效模式中对应于安全相关系统安全完整性的硬件随机失效的那一部分,一般可以通过所要求的硬件安全功能失效率予以量化;而系统安全完整性则是指在危险失效模式中对应于安全相关系统安全完整性的系统失效的部分(包括软件失效)。

控制失效与避免失效涉及设计、操作模式等诸多环节。

显然,硬件随机失效和系统失效的机制不同,控制失效的方法也不同,如图1所示。

图1 控制系统失效机理在安全相关系统中,安全完整性的要求用4个离散的等级予以划分,即SIL4,SIL3,SIL2和SIL1。

安全完整性等级越高的安全相关系统,其执行所要求的安全功能的概率也越高。

根据安全相关系统的使用方式、所要求发生的频率,可分为低要求操作模式和高要求(或连续)操作模式。

低要求操作模式对应于每年发生风险的次数多于或等于1次的安全相关系统;高要求(或连续)操作模式对应于每年发生风险的次数少于1次的安全相关系统。

表1是IEC615081/GB/T20438规定的低要求操作模式下的安全完整性的目标失效概率和目标风险降低因子;表2是高要求(或连续)操作模式的安全完整性的目标失效概率。

SIL3被认为是单个可编程系统中可达到的风险降低的最高等级。

要达到SIL4,必须采用多重冗余的可编程系统。

表1 低要求操作模式下的安全完整性的目标平均失效概率和目标风险降低因子SIL目标平均失效概率目标风险降低因子4 10-5~<10-4>10000~ 1000003 10-4~<10-3>1000~ 100002 10-3~<10-2>100~ 10001 10-2~<10-1>10~ 1002石油化工自动化第47卷表2 高要求(或连续)操作模式的安全完整性的目标平均失效概率SI L目标平均失效概率平均发生1次失效的年数4 10-9~<10-811400~1140003 10-8~<10-71140~114002 10-7~<10-6114~11401 10-6~<10-511.4~1143 软件的可靠性难以精确量化a)软件不受物理故障的影响。

随着硬件元器件的可靠性越来越高及冗余技术的使用,安全问题的矛盾主要集中到了软件,以至于大多数的系统失效源自软件。

失效常常由于一些非明显的事件组合造成,而不是由于机械应力超过一定程度造成。

而这些非明显因素往往事先没有估计到。

b)设计的缺陷导致软件的故障。

软件是由人来设计的,软件的设计不可能面面俱到,总有些因素在设计时没有考虑到。