功能安全标准概述及其在天然气调控系统中的应用.pdf

2 0 1 3年第 4期 工业仪表与自动化装置 41 功 能 安全 标 准 概 述 及其在天然 气调控 系统 中的应用 任云志 同济大学 机械 与能源工程 学院， 上海 2 0 0 0 9 2 摘要 通过对 国际标准 I E C 6 1 5 0 8 电气／电子／ 可编程 电子安全相 关系统的功 能安全 的概述 ， 介绍了标 准的定义、 范围以及要 求； 结合 某天然气输送管网 S C A D A的安全仪表 系统 实施 的特 点， 总结了根据 I E C 6 1 5 0 8实施安全相关系统的重点和方法。 关键词 天然气监控和数据采集 系统 ； 站控 系统 ； 安全仪表 系统 ； 功能安全 完整性等级 ； 安全生 命周期 ； 风险 中图分类号 T P 3 9 3 ． 0 8 文献标志码 A 文章编号 1 0 0 0 0 6 8 2 2 0 1 3 0 4 0 0 4 1 0 5 Fu n c t i o n a l s a f e t y s t a n d a r d b r i e f d e s c r i p t i o n a n d a p p l i c a t i o n i n n a t u r e g a s p i p e U n e SCADA s y s t e m R EN Y u n z h i C o l l e g e o f Me c h a n i c a l E n g i n e e r i n g ，r o a e j i U n i v e r s i t y ， S h a n g h a i 2 0 0 0 9 2， C h i n a A b s t r a c t I t i s d e c r y p t e d I E C 6 1 5 0 8 F u n c t i o n a l s a f e t y o f e l e c t r i c a l ／ e l e c t r o n i c ／ p r o g r a m m a b l e e l e c t r o n i c s o 知t y r e l a t e d s y s t e m s i n t h e a r t i c l e a n d g i v e n a n e w v i e w a n d a c t u a l i z e w a y f o r o p t i m i z i n g s a f e t y r e l a t e d s y s t e m o f S CADA b a s e d o n I EC61 5 08． Ke y wo r ds S CADA ；SCS；S I S；f un c t i o n a l s a f e t y i n t e g r i t y l e v e l ；s afe t y l i f e c y c l e；r i s k 随着我国城市化进程 的快速发展 ， 人们对环境 保护意识正逐渐加强。衡量空气污染的指标已由 P MI O向 P M2 ． 5过渡 ； 天然气作为洁净的能源得到 了越来越广泛 的使用。天然气监控和数据采集 s u p e r v i s o r y C o n t r o l a n d D a t a A c q u i s i t i o n ， S C A D A 系统 随着天然气输配管线大规模的建设 ， 其作用和功能 13 趋重要和复杂。采用科学 的标准 ， 降低故 障和事 故的概率， 提高天然气管网安全运行的能力， 具有重 要的价值 。 1 功能安全标 准及 其实现方法的概述 自工业革命以来， 事故一直伴随着工业和科学 技术 的发展 ； 到了近现代 ， 工业事故造成的损失越来 越大 ， 比如 1 9 7 6年意大利的化学 品爆炸 ， 造成严重 的环境污染 ； 1 9 8 4年印度 B h o p a l 农 药厂泄漏 ， 导致 1 0万人死亡 ； 2 0 1 2年 9月 2 7日， 化学 品制造商“ 胡 贝全球” 位于韩 国龟尾市东部 的化 工厂发生爆炸 ， 收稿 日期 2 0 1 21 01 1 作者简介 任云志 1 9 7 5 ， 工程师 ， 同济大学机械 与能源工程学 院工程硕士研究生 ， 现就职 于上 海 AB B工程有 限公 司， 从事 自动 化 控制系统工程应用方面的工作。 导致 8 t 有害气体泄漏 ， 造成 3 1 0 0多人 中毒人院， 5 人死亡的惨剧 。 为减少工业事故 的发生， 国外很早就在保证工 业设备安全方面作 出了许多有益 的尝试 ， 这些尝试 以行业规范的形式加以总结和推广。比如 1 9 7 4年 美国颁布的 A P I R P I 1 4 C标 准、 1 9 8 7年英 国的 H S E P E S标 准 、 1 9 8 9年 德 国 的 D I N V D E 1 9 2 0标 准 和 1 9 9 1年 的 D I N V D E 0 8 0 1标 准、 美 国 O H S A C F R 1 9 1 0 ． 1 1 9标准等。 国际标准 I E C 6 1 5 0 8 电气／ 电子／ 可编程电子安 全相关系统 的功能安全 是在 以上标准 的基础上产 生的， 它总结了之前各 国在功能安全领域的成功经 验并加以归纳 ， 是功能安全领域的一个基础性 的标 准， 为功能安全的实施提供了具体的指导。 1 ． 1 I E C 6 1 5 0 8国际标准的定义和 内容简介 为了保证电子／ 电气／ 可编程电子系统能达到预 期 的功能安全 ， I E C 6 1 5 0 8涵盖了系统安全生命周期 所有阶段的活动， 涉及 S I S系统的定义、 规范 、 设计、 贯彻执行、 运行、 维护 、 修改以及停用等各个方面。 这里提到的电子是指 由电晶体构成的非可编程 电子装置 ； 电气是指电 一 机装置 ； 可编程电子是指 以 4 4 工业仪表与自动化装置 2 0 1 3年第4期 2 S C A DA的安全仪表系统 S I S 的实施 监控和数据采集系统 S C A D A ， 是利用计算机 对输气管线或配气管网进行实时监控， 由包括 中心 计算机与分散在各地的远程终端装置 R T U 组成 的硬件和相应的监控软件构成。该系统可通过中心 计算机适时地接受来 自远程终端的数据或向远程终 端发送数据或指令， 从而实现对整个生产系统的集 中实时监测、 数据采集、 遥控、 遥迅等功能。该系统 广泛应用于长输管线 、 城市输配管网、 大型储气库等 的控制， 有的还有对输气管道实施泄漏的跟踪监测 等功能。 S C A D A系统融合 了先进 的 P L C技术 、 R T U技 术 、 现场总线技术 、 网络通信技术、 无线 网络技术 、 数 据库技术 、 S C A D A ／ HM I 技术、 客户／ 服务器技术等 ， 能实现对天然气系统 的进气、 计量 、 输配 、 调压全过 程的监控、 管理和调度， 能实现生产信息、 管网状态 的自动收集、 分类、 传送、 整理、 分析和存储， 从而对 生产系统进行优化调度、 故障分析、 辅助决策提供科 学的手段 ， 它的应用将使天然气生产 、 输配管理更加 安全、 准确、 高效。 输配站控 系统 S t a t i o n C o n t r o l S y s t e m，S C S 是 S C A D A系统的基本单元 ， 也可作为大工业用户工厂 级的分布式控制系统 D C S系统 的基本单元 ， 用于 对输配气站场进行数据监测和设备的监控 。S C S系 统的基本配置包括站控计算 机、 可编程逻辑控制器 P L C 或远程终端 R T U 、 辅助通信设施和必须 的外 部单元。S C S通过 P L C 或 R T u 得到现场测量单元 所测到的数据， 并对现场设备进行实 时的监视和控 制； 同时 S C S 将把现场测得的数据和状态等参数传 送到主控网的调度控制 中心。 S C A D A系统为了保证生产的正常运转 ， 预防事 故发生设置 了一些安全连锁 、 发生安全连锁时报警 、 具有连锁动作以及相关 的状态显示等功能要求 ； 一 些特殊场合 ， 比如对于长输管线增压站的站控系统 S C S ， 为了防止压缩机喘振 ， 在控制系统中设置了 一 些连锁保护逻辑 ， 以避免压缩机发生喘振后可能 导致的下游用户停气 ， 以及喘振导致的压缩机损坏 事故 ； 还有一些工业用户 ， 比如天然气发电厂或者制 瓷企业 ， 由于一旦发生非预期的停气会直接造成燃 机跳机或窑炉里烧制的半成品报废 ， 造成损失， 因此 常常会在 S C S系统 中设置一些执行安全连锁逻辑 。 在 自动化控制系统中， 称那些具有连锁逻辑并 执行安全相关功能的控制 回路 系统 为安全仪表 系统 S I S 。 根据 I E C 6 1 5 0 8 ， 必须从 以下几个方面考虑来提 高 S I S系统的可靠性和可用性 ， 降低故障率。 2 ． 1 S I S须由符合资质要求的机构和人员来实施 S I S 实施机构须经独立第三方认证的安全执行 中心来进行工程实施。安全执行中心为了保证提供 系统的可靠性 ， 它必须从组织机构 、 人员能力和制定 相应的项 目执行的程序来满足 I E C 6 1 5 0 8标准 的要 求 ； 人员须经过必要的培训 ， 掌握安全系统的相关知 识和技能 ； 必须拥有一定数量的经过认证的安全工 程师 ； 程序上必须保证覆盖到系统的设计 、 实施 、 集 成、 测试、 交付试车、 系统维护、 安全评估直到系统退 出运行等各方面的活动都符合功能安全标准的相关 要求 。 2 ． 2 S I S软硬 件须选择经过安全完整性等级认证 的产品 根据 I E C 6 1 5 0 8第 9阶段， 关于安全生命模型的 相关规定 ， S I S在设计 、 开发 、 验证 和测 试时要与其 所要求达到 的完整性等级 S I L 的目标要求相 一 致 。 在设计 S I S时， 要对所选定的方案进行安全完 整性 的评估 ， 看是否能达到所要求的安全完整性等 级 目标。 根据设计方案 ， 安全仪表系统的软 、 硬件都必须 选择经过独立第三方认证 的， 具备相应完整性等级 S I L 的产品， 且经过实践的检验是可靠的。软件 包括系统组态软件 ， 上位 、 下位机软件等 ； 其编程工 具和方法必须按照 I E C 6 1 5 0 8的相关规定。 2 ． 2 ． 1 S I S的硬件选择 1 安全控制器为系统提供一个等级为 S I L 3的 T U V认证的控制环境 ， 能够在保证安全完整性的前 提下 ， 在一个控制器 内整合安全和过程控制。它的 安全控制器是 由处理器模块和协处理器模块组成 ， 灵活的冗余机制让控制器的配置高达 四重化 。对于 嵌入式安全和控制应用 ， 标准库 中所有的功能／ 类型 都有非 S I L或 S I L标记， 易于识别和使用 ， 可以避免 由于疏忽而造成的安全性 的降低。 访问控制 、 确认操作和强制控制 ， 都是嵌入到安 全控制器的防火墙机制。S I L等级应用程序的访 问 控制包括配置、 操作和维护等功能。 2 高完整性输入和输出系统 ， 8 0 0 I ／ O是一种 分布式、 高度模块化和灵活的 I ／ O系统 ， 易于安装和 布线 。在 8 0 0 I ／ O家族中的经 S I L 3等级认证的高 完整性 I ／ O模块可用于安全系统 。 2 0 1 3年第 4期 工业仪表与 自动化装置 4 5 3 系统的其他组件 F ie l d b u s ， 通信网络等 都 采用冗余配置以达到更高的系统可靠性； 该方案的 S I S 作 为 S C S的一部分 ， 通过冗余 的控制 网络、 控制 器、 通信模块和通道 、 I ／ O卡件构成 了 S I S的硬件部 分。这些硬件都是采用通过 T U V认证 的符合 S I L 3 等级 的模件集成。 2 ． 2 ． 2 S I S的软件选择 一 套 A B B I n d u s t ri a l 8 0 0 x A控制 系 统作 为控 制、 监视和存储数据 的环境和平台。控制系统 由服 务器 、 工作站和控制器等组成 ； 控制器和 I ／ O卡硬件 相互配合运行应用软件 。控制器 自动执行 由应用软 件组态时确定 的动作。 S I S通过工作界面 H MI ， 分为工程师界 面和操 作员界面 与系统进行交互 。工作界面运行 于工作 站上并提供给用户与系统交互时使用。用户通过键 盘和 鼠标来观察站场情况和执行动作。 S I S的公共设 计 工具 、 人机 界 面、 历 史记 录程 序、 审计追踪、 资产与设备管理的应用以及各种仪表 都得 到支持 ， 提 高了 S I S的可靠性 和运行完整性。 在同一种环境 中， 不同的应用之间可以安全、 迅捷地 进行交互。 安全功能和过程功能在 同一个执行器 内执行 时 ， 相互之间可 以自由交换信号和数据而无需任何 外部接 口、 软件和数据镜像 。通过嵌入式防火墙来 保证系统的安全完整性等级。 1 程序语言 根据 I E C 6 1 5 0 8标准规定 ， 功 能块 图、 数序控制 图和结构化文本应用于安全系统中。 2 软件功能设计原理 C MB C o n t r o l B u i l d e r M P r o f e s s i o n a l ， 8 0 0 x A系统 组态软件 。系统的控制软件可分成基于功能 的应 用 、 过程特性 、 地理条件或者其他的场站专用标准的 应用。不同的应用与控制器 中的“ 任务” 链 接到一 起 ， 决定了各种应用的不同部分 的时间周期。 标为“ S I L ” 的应用仅 能与 同样 的标 记为 “ S I L ” 的任务相链接 ； 没有 “ S I L ” 标记 的应用仅能 与没 有 “ S I L ” 标记 的任务相链接。一个 S I L 3的应用仅能与 一 个 S I L 3的任务相连接 。如果不符合 此规定 ，在 程序组态编辑和下载程序时将被检查 出错 ， 并禁止 下载程序。 2 ． 3 S I s的测试 根据功能安全相关标准， 制定严格的测试方案 ， 拟定了系统的应用软件、 硬件单独测试和软硬件综 合测试方案 ， 确保测试过程完整 、 准确和无遗漏覆盖 到系统的全部功能 。 1 功能测试 功能测试包括硬件外观检查 ； 回路测试 ； 面板功 能测试、 因果显示和操作进行测试； 从端子到端子的 I ／ O点和画面测试 ； 因果图功能测试 ； 辅助操作 台功 能测试等。 2 集成测试 完整性测试检查 的是 S I S是否可以独立完整的 执行它预定的功能。具体步骤有 启动和自 检测试， 这个测试验证系统正确的启动， 以及自检信息正确； 失效和冗余测试 ， 验证 系统每个冗余部分可 以 在发生故障后能 自动切换而且可以正常运行 。 3 运行i 贝 0 试 系统在有 限制条件下正常运行的能力 ； 安全模 块界面测试验证的是在安全模块联接了输入和输出 信号后正常运行的能力 。安全功能测试验证的是验 证 S I L的访问限制和系统写入设备的运行的能力。 2 ． 4 项 目的文档化 在 S I S的实施过程的每个阶段， 必须有足够的 书面支持文件 。比如在系统的设计 、 集成和测试 阶 段 ， 就需要有“ 功能安全管理系统概述” 、 “ S I L实现 报告” 等 2 1个支持文档 。这 些文档需要详细记 录 S I S软件 、 硬件的选择依据 ， 满足安全完整性等级 的 情况， 系统的架构， 功能的描述， 可靠性和可用性数 据， 软件的组态 ， 设计 的偏离以及解决措施等。以上 文档化的工作需依照 I E C 6 1 5 0 8的相关要求进行 。 项 目的执 行 设计 、 集成 、 组态 与 测试 按 照 I E C 6 1 5 0 8的要求进行。正确的结果 ， 需要正确 的程 序来保障。从 I E C 6 1 5 0 8的 E ／ E ／ P E整个系统安全 生命周期的角度， 推进每个阶段工作的实施； 根据每 一 项工作的要求进行符合要求的输入和输 出， 保证 系统满足功能安全 的要求。 根据安全完整性等级的有关定义总结了从 S I S 下转第 5 8页 5 8 工业仪表与 自动化装置 2 0 1 3年第4期 氢电池的智能快速充电。 图3 智能充电过程中电压变化曲线 图4 控制误差曲线 4 结论 由 Ma t l a b仿真结果 可以看 出充电过程 中电压 变化平稳， 与理想充 电电压曲线相符。故基于 E 1 一 m a n网络模型参考 自适应控制的控制系统缩短了充 电时间 ， 减小了充 电时对电池造成的损害， 提高了充 电效率， 达到了工业控制要求 。 参考文献 [ 1 ] 孙莉莉． 基于模糊控制的智能充电系统的研究[ D ] ． 西 北农林科技大学学位论 文 ， 2 0 0 6 ． [ 2 ] J o s s e n A，S p a t h V，D o r i n H ．R e l i a b l e b a t t e r y o p e r a t i o n a c h a l l e n g e f o r t h e b a t t e r y ma n a g e m e n t s y s t e m[ J ] ． J P o w e r S o u r c e s ， 1 9 9 9 ， 8 4 2 2 8 3 2 8 6 ． [ 3 ] 谢庆国， 沈轶， 万淑芸． E l m a n人_丁神经网络的收敛件 分析[ J ] ． 计算机工程与应用， 2 0 0 2 6 6 5 6 6 ． [ 4 ] L i u Z h i y o n g ， L i u M a n d a n ， Q i a n F e n g ． T h e a p p l i c a t i o n o f o n e i mpr o v e d Ni c he g e ne t i c a l g o rit h m f o r El ma n r e c u r r e n t n e u r a l n e t w o r k s [ C] ．Wo r l d C o n g r e s s o n I n t e l l i g e n t C o n t r o l a nd Au t o ma t i o n，2 0 0 4 1 9 781 9 81． [ 5 ] 胡艳玲 ， 黄兴格， 朱春颖， 等． 神经网络模型参考 白适 应控制在污水处理中的仿真研究[ J ] ． 工业仪表与 自 动化装 置 ， 2 0 1 1 1 3 5 ， 1 8 ． [ 6 ] 鲍雅萍． 基于模型参考的神经网络 自适应控制器l J ] ． 工业控制技术 ， 2 0 0 7 5 9 29 4 ． [ 7 ] 纪伯公 ， 高玉峰， 李匡成． 基于三阶模型的铅蓄电池建 模与仿真[ J ] ． 装甲兵工程学院学报， 2 0 0 3 9 7 5 7 8 ． 上接 第 4 5页 的结构约束 、 随机失效 、 安全完整 性等级确定 的方 法、 选 用逻辑解算 器 的硬件 控 制器、 输入 输 出模 块、 安全栅和继电器以及 网络和供 电等方面 S I L实 现报告 的计算方法 ， 以及对安全功能进行确认来判 断该项 目的 S I S满足 S I L要求情况等等的文档 。 2 ． 5安全完整性最终的验证 S I S完成 内部 的测试后 ， 经独立 的第三方认证 机构 T U V 德国莱茵公司 认证确认 ， 本项 目的 S I S 符合 I E C 6 1 5 0 8所确定 的 S I L 3等级 的要求 ， 其安全 完整性等级为 S I L 3 。 3 结束语 在 S C A D A系统 的整个生命周期 内， 如果 能做 到根据 I E C 6 1 5 0 8 标准的要求对具有安全功能的回 路或系统 S I S 进行计划 、 设计 、 开发 、 集成 、 运行 、 维护、 修改以及停用， 将会极大地提高相关安全系统 的可靠性和可用性 ， 必将有力的促进天然气输配管 网 S C A D A系统安全、 稳定以及长期的运行， 这既是 天然气输送管网控制系统的发展趋势 ， 同时对于减 少天然气输 送 管 网的安 全风 险 具有 巨大 的现实 意义。 参 考文献 [ 1 ] F u n c t i o n a l s a f e t y o f e l e c t r i c a l ／ e l e c t r o n i c ／ p r o g r a m m a b l e e l e c t r o n i c a f e t y r e l a t e d s y s t e m s l S ] ． I E C 6 1 5 0 8 1 9 9 8 E ． 『 2 1 F u n c t i o n a l s a f e t y S a f e t y i n s t r u m e n t e d s y s t e m s fo r t h e p r o c e s s i n d u s t r y s e c t o r l S 1 ． C E I Y I E C 6 1 5 1 1 1 2 0 0 3 ． [ 3 ] 中华人民共和国国家质量监督局、 中国国家标准化委 员会． 电气／ 电子／ 可编程电子安全相关系统的功能安 全 1～ 7 [ S ] ． 2 0 0 6 ． 7 ． 2 5 [ 4 ] 中华人民共和国国家质量监督局、 中国国家标准化委 员会． 过程工业领域安全仪表系统的功能安全 1～ 3 [ S ] ．2 0 0 7 ． 1 0 ． 1 1 [ 5 ] 史学玲． I E C 6 1 5 0 8 标准的基本原理与方法研究[ J J ． 上 业控制计算机 ， 2 0 0 6 ， 1 9 1 1 1 7 ． [ 6 ] 李佳玉． I E C 6 1 5 0 8功能安全国际标准及安全性分析 [ J ] ． 中国铁路 ， 2 0 0 1 0 1 4 4 4 5 ．