仪表及控制系统功能安全评估综述 .pdf

刘建侯

（上海工业自动化仪表研究所仪器仪表自控系统检验测试所，上海200233）

0引言

当前，计算机、集成电路等技术已经渗透到各个领域，计算能力的极大提高彻底改变了

企业的工业过程控制，也改变了安全控制策略。

在许多情况下，各种应用领域（如石油、化工、钢铁、核电、航天等）的安全生产可用

多种不同技术的防护系统（如机械的、液压的、气动的、电气的、电子的、可编程电子的等

等）来保证安全，这不仅要考虑系统中所有元器件的问题，而且要考虑由所有安全系统构成

的组合安全系统（如传感器、逻辑电路和执行机构等构成的系统）的问题。还要把其它技术

的安全系统（如安全阀）以及外部风险降低措施（如排放系统、放火墙等）也同时考虑进去。

同时，在各种应用领域里,还存在许多潜在的危险和风险，需要确定一种最小的风险，

应用不同模式的电气/电子/可编程电子安全系统（E/E/PES），并根据应用的不同而确定所需

的目标安全量。

1国内外发展概况

国际电工委员会于2000年5月正式发布IEC61508标准，名为Fuctionalsafetyof

electrical/electronic/programmableelectronicsafety-relatedsystems，2003年1月

IEC又开始颁布IEC61511标准，名为Functionsafety-safetyinstrumentedsystemsfor

theprocessindustrysector(功能安全-过程工业领域中安全仪表系统)。这两个标准有很

密切的关系，IEC61508标准是综合性基础标准，主要供装置的制造商和供应商使用。而

IEC61511标准则是针对具体的仪器仪表装置设计者、集成者和用户。

欧盟国家2004年已经把IEC61508标准例入新欧盟标准，作为E/E/PE产品进入欧盟国

家的门坎。西方发达国家的E/E/PE产品大多数经过如TÜV这样认证机构的认定，在安全仪

表系统的功能安全领域已将IEC61508和IEC61511结合应用。如Rosmount的1151、3144压

力变送器、温度变送器等都已经过TÜV的认定。又如丹麦工程公司NovoNoordiskEngineering

选择siemens公司为其提供丹麦国内迄今为止最大的故障安全系统，该系统安装在世界上最

大的一家胰岛素工厂中，必须达到IEC/EN61508标准的安全完整性水平SIL2要求。实际上

siemens公司的故障安全系统已经符合IEC/EN61508的SimaticITL3(安全集成级别)的要求。

又如艾默生Emerson)DeltaVTMSIS智能安全仪表系统以smartSIS为核心，采用智能现场设

备的数字化通信进行诊断并自动验证测试关键元件的安全功能，确保系统在必要的时候紧急

停车，而在正常运行时不会影响生产。该安全系统声称符合新的国际安全标准IEC61511中

SIL3的要求。

国内随着智能仪表、网络技术和数据通信技术的发展，现场总线技术已成为当今自动化

控制技术的发展方向。在今后十年内现场总线控制系统(FCS)将可能代替分散型控制系统

(DCS)成为自动化控制领域的主流，而国内在仪表及控制系统功能安全方面的工作还没有正

式开展。因此，全国工业过程测量和控制标准化技术委员会正在制定与IEC61508标准等同

的国家标准GB/T×××《电气/电子/可编程电子安全系统的功能安全》(已有送审稿)。

制定功能安全标准的总目标就是确保设备、仪表安全地自动运行，关键目标就是防止引

发其它事件的控制系统失效，并保证保护系统能够在需要时执行一次安全动作。

2IEC61508标准的主要内容

IEC61508标准共分7个部分，涉及1000多个规范。它针对由电气/电子/可编程电子部

件构成的、起安全作用的电气/电子/可编程电子系统的整体安全生命周期，7部分的主要内

容分别为:

第1部分：一般要求

描述了标准适用范围、安全生命周期、危险和风险分析、整体安全要求、安全要求分配、

计划编制（包括操作维护、安全确认、安装和试运行计划）、实现E/E/PES（包括建立其它技

术安全系统和外部风险降低措施）以及功能安全评估.同时在附录中给出了文档结构的范例。

第2部分：电气/电子/