在役过程控制系统的可信性评估技术研究--控制网



在役过程控制系统的可信性评估技术研究
企业: 日期:2010-11-09
领域:运动控制 点击数:792
                        

    作者简介:史学玲,女,现任机械工业仪器仪表综合技术经济研究所副总工程师,功能安全中心主任,全国测量控制标准化技术委员会系统及功能安全分技术委员会副主任委员,IEC61511标准工作组中国专家。主要研究方向为功能安全及控制系统可信性评估。先后承担并完成了科技部下达的国家软科学研究、国家“863”计划、国家科技支撑计划、科研院所开发等十多个研究项目,在控制设备及系统的功能安全关键技术上实现多项突破,获得2份计算机软件著作权登记证书,在各类杂志上发表论文近30篇,作为主要起草人参加起草了3个功能安全国家标准。先后获省部级二等奖2次、三等奖1次
摘要:在役过程控制系统的风险评估、可靠性评估、可用性评估与安全性评估都是系统可信性评估的一个方面,应按照国际标准的要求,采用与国际接轨的方法进行。

    关键词:在役 控制系统 风险评估 系统可信性评估 可靠性评估 安全性评估 可用性评估

    大规模工业生产过程能否平稳安全地运行,极大地依赖于控制系统的可信性。因为控制系统是生产过程的神经与指挥,一旦发生故障与失效,不但会造成非计划停产,破坏生产的平稳运行,给企业造成巨大经济损失,还有可能危及生产人员安全,甚至可能造成工厂毁灭性的灾难。

    作为一个可信赖的控制系统,它必须随时可以执行其功能。这属于可用性方面的问题,它取决于系统的故障发生频率(可靠性)和系统恢复正常所需的时间(可维修性)。但事实上,当系统准备执行其功能时,并不表示系统功能一定会被正确执行。这又涉及到信任性方面的问题。信任性取决于在系统处于不能正确执行某些或全部功能的状态时,系统发出警告的能力(忠实性);还取决于系统拒绝任何不正确输入或未经许可进入系统的能力(防护性)。其之间关系如图1所示。

    随着计算机控制技术的快速发展,控制设备系统如DCS 的人机接口更新频繁,控制器不断升级,许多系统投用不久就面临升级与改造。在我国石油、化工、冶金、电力、机械等领域,大量不同时期、不同供应商提供的控制系统及设备应用于各类生产过程中,各行业企业不同程度地存在着设备老化与可靠性不足、备品备件不足、人员培训不够、人员难以掌握众多品牌的系统设备维修维护技术等问题,因此,控制系统失效导致生产事故与安全事故的风险很大。为了保证生产平稳与安全高效,或为了确定系统改造方案,不少用户都提出并进行了安全性评估、可靠性评估、可用性评估、风险评估等不同评估,希望能把因控制失效导致风险的可能降至最低。实际上,所有这些评估都是可信性评估的一个方面,应按照国际标准的要求,采用与国际接轨的方法进行。

    本文从介绍国际标准与基本定义开始,提出了一套评估控制系统可信性时需要考虑的因素、应掌握的基础技术,以及应采用的评估技术。

    1 控制系统可信性评估标准概述

    国际标准IEC61069.1~8(中国国家标准GB/T18272.1~8)“工业过程测量和控制系统评估中系统特性的评定”包括8个分标准,可以供控制系统的用户和制造厂以及负责评估的独立研究机构评估控制系统特性时使用,进行可信性评估时,这是一套可借鉴的标准。

    IEC62278(GB/T21562)“ 轨道交通 可靠性、可用性、可维修性和安全性规范及示例”虽然是为轨道交通行业制定的,但它定义的安全性与可用性评估、管理、分析方法等要求可以为其它应用领域借鉴。

    IEC61508.1~7(GB/T20438.1~7)“电气、电子、可编程电子安全相关系统的功能安全”包括7个分标准,它规定了控制系统功能安全的基本要求,也可用于功能安全评估。以此标准为基础的其它功能安全标准都是进行安全性评估时需要考虑的重要内容。

    IEC61511.1~3(GB/T21109.1~3)“过程工业领域安全仪表系统的功能安全”。这套标准包括3个分标准,规定了流程工业领域安全仪表系统功能安全的基本要求,在石油、化工、电力、冶金等流程工业领域进行评估时需要参考此标准。
IEC 62439与IEC61784-3分别描述了自动化网络的可用性与安全性相关要求。

    依据评估目的、范围不同,还会有一些领域专用标准需要参考借鉴。

   2  相关术语与基本定义

    2.1可信性 denpendability 

    假定具备必要的外部资源,系统能在规定的条件下,在规定的一瞬间或一段时间内正确地完成特定任务的可信赖程度[1]。

    可信性的层次如图1所示。

                   

                                      图1 可信性的层次

    2.2可用性(availability)

    可用性定义是: 在要求的外部资源得到保证的前提下,产品(装备)在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。

    2.3可靠性(reliability)

    可靠性的定义是:在给定条件下和规定时间间隔内,产品执行所需功能的能力。

    系统的可靠性取决于系统各个部件的可靠性以及这些部件在执行系统任务时的协作方式。部件的协作方式可包括功能冗余(同类或不同类)、功能退化和功能下降。系统的可靠性相对于每一项任务来说可能是各不相同的。各项任务的可靠性均可量化,但其预计置信度水平则各不相同。系统各个硬件的可靠性可以采用部件计数法进行预计。然后利用综合法就可以预计系统的可靠性。

    2.4可维修性(maintainability)

    可维修性的定义是:一个实体在规定的条件下采用规定的程序和资源进行维修以后,可以在规定的使用条件下保持或恢复到能完成规定功能的状态的能力[2]。

    系统的可维修性取决于系统各个部件的维修性以及系统的物理结构和功能结构。物理结构影响到存取的难易程度和更换性等。功能结构影响到诊断等的难易程度。

    在定量表示一个系统的可维修性时,应该把使系统恢复到完全能执行其任务的状态所需采取的各种措施计算在内,包括检测故障、通知维修、论断和排除故障起因、调和及检验等所需的时间。还应通过核对下列项目的保障措施和覆盖系数,给可维修性的定量表示增加定性说明:

    发生故障时的通报方式,如灯光、报警信息、报告等;
    访问方式,为便于人员存取和连接测量仪表,模块化程度等;
    诊断,故障直接识别、本身对系统没有影响的诊断工具、远程维修支持装置、统计误差检查和报告会;
    修复性、更换性:模块化程度、模块和元件的明确识别、几乎不需要专用工具、更换元件或模块时对其它元件或模块的影响程度;
    检验:维护指导程度,极少量检验要求。

    2.5忠实性 (integrity)

    在系统处于不能正确执行某些或全部功能的状态时,系统发出警告的能力。

    系统的忠实性取决于在系统的输出元件上实现的检验输出是否正确的机理,同时也取决于系统内部实现的检测和防止系统部件之间错误地传输信号和数据的机理。对于每一个其本身就可被看作是一个系统的相关部件而言,这两种内部机理就是忠实性机理或防护性机理。

    2.6 防护性 (security)

    系统拒绝任何不正确输入或未经许可进入系统的能力。

    系统的防护性取决于系统边界上实现的检测和防止不正确的输入或未经许可存取的机理。

    2.7安全性(Safety)

    免除不可接受的风险影响的特性。

    2.8完全完整性(safety integrity)

    在所有规定的条件下系统在规定时间内实现所需安全功能的可能性

    2.9安全完整性等级 (SIL)(safety integrity level(SIL) 

    一种离散的等级(四种可能等级之一),用于规定分配给E/E/PE安全相关系统的安全功能的安全完整性要求,在这里,安全完整性等级4是最高的,安全完整性等级1是最低的[3]。

    2.10系统 (system)

    系统可定义为用一定的方法组织起来获得特定功能的子系统的部件集合。这些功能分配给系统中的子系统和部件,且系统的性能和状态随着子系统或部件功能的改变而改变。系统对输入做出响应以产生指定的输出,同时与环境相互影响。一个通用的系统模型如图2所示。

                               

                    图2 工业过程测量和控制系统模型

    2.11可用性与安全性的关系

    安全性和可用性相互关联,对安全性要求和可用性要求之间的冲突如果管理不善,会妨碍获得可信的系统。其相互关系如图3所示。

                

                图3 控制系统可用性、安全性与可靠性和可维修性的关系

    由图3可知,只有满足了可靠性和可维修性的所有要求,并控制正在进行的、长期的维修、运营活动及环境,才能达到运行期间的安全性和可用性的目标。

    3 评估可信性时需要进行的分析

    要评估一个系统的可信性,必须确定和评估对系统可信性起决定作用的一些子特性,每一种子特性都取决于系统模块的结构配置以及这些模块的可信性特性,这些模块的子可信性特性与系统的可信性特性之间的关系可能是相当复杂的。系统级的每一种子特性可能取决于模块级的若干种子特性。可信性的某些特性可以用概率表示,有些特性可以量化,有些特性只能用定性的方法加以描述。

    当一个系统执行若干个系统任务时,其可信性可能会因系统任务的不同而发生变化,这就需要分别对每一项任务进行分析。需要对每一项任务明确所涉及的子系统、模块、元件,明确任务的相对重要性(重要度分级),认定任务故障的定义,以可信性特性表示的故障的判断依据、工作和运行环境。

   4  评估可用性与安全性时需要考虑的影响因素

    4.1评估可用性

    系统的可用性取决于系统各个部件的可用性以及这些部件在执行系统任务时的协作方式。部件的协作方式可包括功能冗余(同类或不同类)、功能退化和功能下降。事实上,可用性取决于所采用的程序和可用于维持系统工作的资源。系统的可用性对于系统的每一项任务来说可能是各不相同的。各项任务的系统可用性可以按两种方式加以量化。

    4.1.1预计系统的可用性时,可按式(1)计算:

    可用性=平均失效前时间/(平均失效前时间+平均恢复时间) (1)
    式中: “可用性”指规定任务的系统可用性;
    “平均失效前时间”是从系统恢复到执行规定任务的状态起,至因故障而中止执行任务止的平均时间;
    “平均恢复时间”是从系统因故障而中止执行任务起,至恢复执行规定任务止所需总时间的平均值。

    4.1.2对于正在工作中的系统,可以用下列公式计算可用性:

    可用性=系统已经能执行任务的总时间/预计系统执行任务的总时间

    4.2可用性与安全性的综合评估

    影响控制系统可用性与安全性的因素,主要来源于系统生命周期中任何阶段系统内部的失效(系统因素)、运行过程中环境因素导致的失效(运行因素)和在系统维修工作中导致的失效(维修因素)。这些失效源相互作用,其关系如图4所示。

                

                    图4控制系统可用性与安全性的三个影响因素

    系统因素考虑是的在系统生命周期内任何阶段系统内部的失效,包括系统性失效与随机性失效两类。导致系统性失效的原因通常有要求错误、设计与实现不充分、制造缺陷、内在缺点、软件错误、工作指令不足、指令不充分、人为错误等等;导致系统随机性失效主要是由于工作模式、环境、应力、磨损等原因导致的可靠性不足。

    运行因素考虑的主要是环境条件、人为因素、工作程序、任务变动、后勤等过程中强加给系统的失效。

    维修因素考虑的是人为因素、维修程序、售后服务等在系统维修工作中强加给系统的失效。复杂控制系统的维护维修是一项技术管理综合性很强的工作。

    为了实现高可用性与高安全性的系统,需要确定所有影响因素,评估其影响,并且在系统的生命周期内应用适当的控制来驾驭产生这些影响的原因,使系统性能得到最优化。

    5 需要掌握的基础与评估技术

    进行控制系统可信性评估,需要具备一些基础的技术基础,同时掌握定性与定量的评估技术,根据评估的实际目标,制定评估计划方案。

    5.1需要掌握的技术基础

    5.1.1需要掌握的可用性基础技术

    (1)可靠性包括:
    ·规定应用及环境下所有可能的系统失效模式
    ·每个失效发生的概率,或者每个失效出现的几率
    ·失效对系统功能的影响

    (2)可维修性包括:
    ·执行计划维修的时间
    ·故障检测、识别及定位的时间
    ·失效系统的修复时间(计划之外的维修)

    (3)运营和维修包括:
    ·系统生命周期内全部可能的工作模式和必要维修
    ·人为因素的问题

    5.1.2需要掌握的安全性相关技术概念

    (1)在所有运行、维护和环境模式下系统中所有可能的危害
    (2)每个危害的特征,以危害后果和严重性表示
    (3)安全性/安全相关的失效包括:
    ·导致危害的全部系统失效模式,它是全部可靠性失效模式中安全相关的失效模式子集,需要考虑“规定应用及环境下所有可能的系统失效模式”、“每个失效发生的概率,或者每个失效出现的几率”以及“ 失效对系统功能的影响”;
    ·每个安全相关系统失效模式发生的概率;
    · 在应用中,可能导致事故的事件(即导致事故的危害)的顺序和(或)并发率、失效、工作状态、环境条件等等;
    ·应用中,每个事件、失效、工作状态和环境条件等出现的概率;
    · SIL确定与SIL验证技术。
    (4)系统的安全相关部件的可维修性包括:
    ·与安全相关失效模式或危害有关的系统中子系统或部件维修的方便性;
    ·系统安全有关部件在维修工作期间内发生错误的概率;
    · 系统恢复到安全状态的时间。
    (5)系统操作与系统安全相关部件的维修包括:
    ·人为因素对系统安全相关部分的有效维修及系统安全运营的影响;
    ·用于系统安全有关部分的有效维修和系统安全运营的工具、设备和工序;
    · 有效的控制、处理危害并减轻危害后果的措施。

    5.2采用的评估技术

    可以采用多种技术评定控制系统的可用性与安全性,但必须选用能将评定结果与系统要求文件的要求做定性和(或)定量比较的评估技术。

    5.2.1定性评定技术

    定性评定的基础是预测分析或试验。无论是预测分析还是试验,都需要通过分析系统的功能结构和物理结构,确定系统执行任务的方式才能开展评定。系统的结构可以用功能框图和物理框图、信号流程图、状态图、表格等来描述。考虑系统所有元件(硬件和软件)的故障模式,确定其对系统任务可用性的影响,以及可维修性要求的影响。

    5.2.1.1归纳分析法

    归纳分析法是一种定性的分析方法,它采用的是一种自下而上的方法,在组件或元件层次上确定故障模式,分析每一种模式对高一级系统任务可信性的影响。此故障的影响即成为高一级层次的故障模式。这种方法要到最后才能确定各种假设故障模式在系统各个层次上的影响。

    5.2.1.2推断分析法

    推断分析也是一种定性的分析方法,它从系统最高层次的假设故障即任务故障开始,各层次依次进行,直至底层。逐层分析以确定将导致最高层(即任务层)产生故障的故障模式和相关故障。沿着功能上的和物理上的路径,重复这种分析直至获取足够的可用性信息,供评估用。对于不属于假设事件的故障模式,推断分析不提供任何信息。但对于较复杂的系统,推断分析则非常节省时间。对于比较复杂的系统来说,描述如何认定系统的故障或成功要比认定系统各组件的所有各种可能的故障模式方便得多。

    故障树分析是一种适用的推断分析法。

    5.2.2定量评定技术

    定量评估技术的依据可以是预测分析和计算,也可以是试验。定量评定也必须从分析系统的功能结构和物理结构以及系统执行任务的方式入手,采用预测评定或试验方法进行。

    5.2.2.1预测评定

    预测评定以定性分析结果辅以系统元件基本可靠性(故障率)的量化值为依据。在定量表示系统执行任务的故障率时需要采用预测分析法。可靠性框图法是一种适用的预测分析法,另外,各种数据工具如布尔代数、真值表、通路割集分析等也都可用于计算故障率。在以定量的方法预测多状态情况下系统执行任务的故障率时,可以采用马尔可夫分析法。

    5.2.2.2试验

    仅仅通过系统一级的试验来判定一个复杂系统的可靠性与可用性,既不现实也不经济。通常情况下,复杂系统都是独一无二的(样品数为1)。此外,试验的范围必然会受到允许试验时间的严格限制。但对于已经投入运行的系统,这类试验则能提供有价值的数据。

    由此所取得的实验数据可能用于:
    · 日后指导改进系统设计和系统结构,重新设计或更换易出故障的设备和软件;
    · 将预期特性或规定特性与实际数据相比较;
    · 产生可用于今后可信性预测的现场数据。

    对系统进行实验的主要目的是评定系统在出现硬件和软件故障、出现未经许可或错误的输入时的工作状态。为了观察系统的工作状态,首先应确定一项或一组典型的任务,同时确定每一项任务的被认为属于故障的系统状态,例如输出状态。
主要有故障插入试验与环境扰动试验两类。

    (1)故障插入试验

    对于具有高可用性与高安全性的控制系统来说,其基本特质之一就是无论其元件出现故障还是受到来自各界面外的干预,都必须能正确地执行其功能。故障插入试验可以验证系统的这一特质。试验的方法包括制造故障和(或)引入未经许可的或错误的操作,观察由此造成的系统工况,如输出状态及发出的信号。观察输出状态时,需要考虑如:

    ·出现故障时输出是否输入或冻结在预定的位置(对安全系统来说,就是进入安全状态)?
    ·屏幕不能正确工作时,键盘是否能自动锁定?
    ·通信过载时系统如何动作?
    ·插入故障后监视、报警和打印装置是否有信号显示?

    为有效利用时间,应该在定性分析的基础上设计系统试验项目,并尽可能使用系统所具备的诊断特性。对于安全相关系统,诊断特性本身必须单独接受试验。在GB/T18272.5-2000标准的附录C中,列出了若干种故障可供试验使用。

    (2)环境扰动试验

    对于具有高可用性与高安全性的控制系统来说,另一个基本特质是应能承受环境扰动而不影响其执行正确的功能。

    环境扰动实验是试验系统的防护性机理。需要考虑如系统过载、系统连接的工业过程和外部系统的影响如电噪、系统使用的公用设施如气、电压变化、系统所处的环境如温湿度等的影响。所选择影响条件的变化应不超出正常值范围。

    6 结语

    在我国石油、化工、电力、冶金、机械等领域,对于在役过程控制系统的可信性评估,包括风险评估、安全评估、可用性评估、可靠性评估等等要求日益增多。迅速建立我国控制系统可信性评估技术与管理体系、帮助企业建立自己的评估队伍与专业人才是当务之急。

    参考文献:

    【1】GB/T21562-2008/idtIEC62278 ,轨道交通 可靠性、可用性、可维修性和安全性规范及示例[S].
    【2】GB/T18272.5-2000/idtIEC61069, 工业过程测量和控制系统评估中系统特性的评定 系统可信性评估[S].
    【3】GB/T20438.4/idtIEC61508, 电气、电子、可编程电子安全相关系统的功能安全[S].
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: