作者:丁辉、靳江红、汪彤 编著
出版社:化学工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
控制系统的功能安全评估试读:
前言
本书的控制系统指的是以电气/电子/可编程电子技术为基础的安全相关控制系统(以下简称E/E/PE安全相关系统)。E/E/PE安全相关系统已广泛应用于过程工业、机械工业、核工业、采矿业、航空航天、铁路、公共安全等各个行业和领域。功能安全是自动化专业与安全专业的交叉研究领域,是有关安全控制系统的安全性、可靠性方面的一种先进技术措施与安全管理理念,是当前国内外自动控制领域和安全领域的共同研究热点。
本书从安全工程技术人员和风险评估人员的角度出发,基于系统风险分析理论深入浅出地讨论了如何开展安全控制系统的功能安全评估工作。全书共分为10章,从介绍功能安全相关概念、国内外标准及功能安全评估和认证入手,以E/E/PE安全相关系统生命周期为主线,讨论了构成风险的事故发生后果及可能性、安全要求分配、安全完整性等级(SIL)确定、安全要求规范和SIL验证;阐明了在系统风险分析、可靠性建模、安全完整性等级选择和验证中所应用的基础知识与计算方法;并以过程工业的安全仪表系统(SIS)和机械行业的安全相关电气控制系统(SRECS)为例阐述了功能安全评估方法的应用,使得功能安全评估方法更容易被安全领域人员理解和掌握。
本书由丁辉研究员策划,书中主要章节由靳江红副研究员执笔,汪彤研究员为本书的编写做了大量工作,参编人员胡玢、王晓冬、宋媛媛、朱佐刚也承担了部分编辑、校对工作。
随着国家安全监管总局《关于加强化工安全仪表系统管理的指导意见》(安监总管三[2014]116号)文件的发布,安全仪表系统的功能安全评估将全面展开,也必将带动其他行业,如机械、冶金、电力及地铁安全相关控制系统的功能安全评估工作。本书的出版将服务并推动安全相关控制系统的功能安全评估工作。
控制系统的功能安全研究在我国尚处于初期阶段,而且功能安全技术本身也还在不断发展完善。由于编著者水平有限,对该项技术的理解尚有不够深入的地方,书中不足之处在所难免,恳请读者批评指正。
本书的出版得到了北京市财政项目(PXM2015-178304-000012)的支持,在此表示诚挚的谢意。编著者2015年8月1 概述1.1 引言
印度博帕尔毒气泄漏、前苏联切尔诺贝利核电站爆炸等人类工业史上的几次重大事故给了人们深刻惨痛的教训,使人们认识到安全问题永远都不应该被忽视。IEC61508等国际标准将安全保障推向了更加系统、本质安全和成本节约的方向,并首次提出了电气/电子/可编程电子(Electrical/Electronic/Programmable Electronic,E/E/PE)安全相关系统(Safety-Related system,SRS)的功能安全。E/E/PE安全相关系统已被广泛应用于过程工业、机械工业、核工业、采矿业、航空航天、铁路、公共安全等各个领域。例如,过程工业中的安全仪表系统(Safety Instrumented System,SIS)、机械行业的安全相关电气控制系统(safety-Related Electrical Control System,SRECS)、煤矿安全监测监控系统、铁路信号系统等。E/E/PE安全相关系统监视生产过程的状态,在危险条件出现时采取相应措施,防止事故发生,避免潜在危险对人身、设备、环境造成伤害或减轻其造成的损失。
以往设计人员通常根据经验设计具有某种安全保护功能的E/E/PE安全相关系统,而且工业界也常常认为安装了E/E/PE安全相关系统就达到了安全。然而,由于本身结构、硬件、软件及其周围环境等原因,E/E/PE安全相关系统将不可避免地存在安全性问题;而且E/E/PE安全相关系统大多长期处于被动休眠状态,往往不易发现它的缺陷,因此,不但其是否已安装、是否具有正确的功能非常重要,而且其执行安全功能的可靠程度——安全性能或者说其安全完整性等级(Safety Integrity Level,SIL)有多高亦不容忽视。而后者却经常被工业生产者及安全管理者忽视。
传统的风险评估(安全评价)往往将受控设备设施、E/E/PE安全相关系统和其他风险降低措施一起评价,例如道化学火灾、爆炸指数评价法,或者完全忽略了E/E/PE安全相关系统,造成安全评价内容不够全面。本书基于系统安全理论,提出对E/E/PE安全相关系统的功能安全单独进行评估,使受控设备或过程的残余风险降低到可接受水平。这个风险的降低就是E/E/PE安全相关系统的SIL等级,其选择应恰到好处,过高会造成投资成本的浪费,过低会使风险不可接受。如何评估设计选用的或已在役的E/E/PE安全相关系统能够满足受控系统风险降低的要求,而且选择得经济合理,这就对E/E/PE安全相关系统的功能安全评估提出了要求。
E/E/PE安全相关系统是自动控制领域的研究内容,而E/E/PE安全相关系统的功能安全问题则涉及安全工程领域,因此,E/E/PE安全相关系统的功能安全属于自动控制与安全工程的交叉学科范畴。本书将以E/E/PE安全相关系统为主要对象,讨论其功能安全评估的理论、方法及应用示例。1.2 E/E/PE安全相关系统1.2.1 E/E/PE安全相关系统及其构成
根据IEC61508的定义,E/E/PE安全相关系统是基于电气(E)和/或电子(E)和/或可编程电子(PE)技术的能够实现受控设备(Equipment under Control,EUC)要求的安全功能及其安全完整性的系统。系统中一般包括电源、传感器和其他输入装置、数据高速公路和其他通信途径、E/E/PE装置以及执行器和其他输出装置,即主要由传感(或输入)、逻辑控制和执行(或输出)三个部分构成。然而,有些控制系统并不同时具备这三部分,而是它们的任意组合构成。例如,人工输入控制信号、逻辑控制输出只报警而没有执行动作等。
过程工业中常用的安全仪表系统(SIS)是E/E/PE安全相关系统的一类。按照IEC61511中的定义,它是由传感器、逻辑控制器和执行器组成的能够行使一项或多项安全功能的仪表系统。例如,为了防止某压力容器内压力超过额定值而发生爆炸,安装了一个安全仪表系统。该安全仪表系统由压力变送器、一个PLC和一个阀门组成,如图1.1所示。图1.1中所示的安全仪表系统的工作十分简单。压力变送器检测容器内压力并将其变换成合适的信号送给PLC,PLC对接收的信号进行判断,若压力超过了额定值则打开阀门以降低容器内压力,这被称为安全仪表系统的一个仪表安全功能(Safety Instrumented Function,SIF)。GB21109.1—2007中定义仪表安全功能为:具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是一个仪表安全保护功能,也可以是一个仪表安全控制功能。图1.1 安全仪表系统示例
E/E/PE装置是E/E/PE安全相关系统的核心部件,它可以由机电设备(电气)构成,也可以由固态非可编程电子设备(电子)或基于计算机技术的可编程电子设备构成。以下简单介绍了这三类系统,并分析其优缺点。(1)电气控制系统
由机电设备组成的E/E/PE安全相关系统。该系统采用单元化结构,由继电器执行逻辑控制,通过重新接线来重新编程。该系统的优点是可靠性高,具有失效安全特性,电压适用范围宽,一次性投资低,可分散于工厂各处,抗干扰能力强。但是该系统庞大而复杂,灵活性差,进行功能修改或扩展不方便,无串行通信功能,无报告和文档功能,无自诊断能力,易造成误动作,用户维修周期长,费用高。如由各种继电器搭建的安全控制系统。(2)电子控制系统
由使用电晶体的非可编程电子装置构成的安全仪表系统。该系统采用模块化结构,采用独立固态电子器件,通过硬接线来构成系统,实现逻辑功能。其优点是结构紧凑,可进行在线测试,易于识别故障,易于更换和维护,可进行串行通信,可配置成冗余结构。但其灵活性不够,逻辑修改或扩展必须改变系统硬连线,大系统运行费用较高,可靠性不如继电器系统。(3)可编程电子控制系统
以计算机技术[微处理器、微控制器、可编程控制器、专用集成电路(ASIC)、可编程控制器(PLC)]为基础,由硬件、软件及其输入(智能传感器、变送器)和输出(智能执行器)单元构成的系统。其具有强大、方便灵活的编程能力,有内部自测试和自诊断功能,可进行双重化串行通信,可配置成冗余或三重模块冗余(TMR)系统,可带操作和编程终端,可带时序事件记录(SER)。1.2.2 E/E/PE安全相关系统与EUC控制系统
这里用过程工业中的控制系统来说明E/E/PE安全相关系统与EUC控制系统的关系。在过程工业控制系统中,E/E/PE安全相关系统即安全仪表系统(SIS),EUC控制系统即基本过程控制系统,受控设备主要是工艺过程。受控设备分别受到基本过程控制系统(Basic Process Control System,BPCS)和安全仪表系统的控制。基本过程控制系统和安全仪表系统应该是分离且相互独立的,如图1.2所示。然而在实际应用中,安全仪表系统往往是基本过程控制系统的组成部分,SIS通过实现BPCS中的安全功能达到其要求的SIL。从安全保护层角度来说,基本过程控制系统更靠近生产过程,而安全仪表系统是较高的保护层,图1.2中区分了BPCS与SIS。图1.2 某反应釜的BPCS与SIS
根据IEC61511中的定义,基本过程控制系统是对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输入信号进行响应,并产生使过程和系统相关设备按要求方式运行的系统,但它并不执行任何具有SIL≥1的安全仪表功能。它仅对工艺过程或受控设备做出响应,不具有安全保护功能。
E/E/PE安全仪表系统是由传感、逻辑控制和执行三部分任意组合而成的能够行使一项或多项安全功能的系统。SIS监视生产过程的状态,判断生产过程是否出现发生某种潜在危险的条件。当出现危险的条件时,自动执行其规定的安全功能,防止危险事件发生。
E/E/PE安全仪表系统与基本过程控制系统具有不同的特点。在过程行业中,基本过程控制系统执行基本生产控制功能,以达到生产过程的运行要求。基本过程控制系统必须根据系统的设定要求和生产过程的扰动状态不断地动态运行,才能保持生产过程的连续稳定运行,它是主动的、动态的;相反,安全仪表系统则是被动的、休眠的。在基本过程控制系统正常运行期间,安全仪表系统是处于静止的,只有出现危险条件时才会动作。理想状态是它能一直“休眠”下去,这样正表明在基本过程控制系统控制下的生产过程一直处于安全运行状态。
基本过程控制系统的大部分失效都是显而易见的。而对安全仪表系统却难以觉察其是否出现了失效或存在何种问题,因此需要对其进行周期性的诊断或测试。
基本过程控制系统和安全仪表系统对可靠性和安全性的要求不同。基本过程控制系统强调可用性,即在任何时候系统能够正常工作的概率。基本过程控制系统追求可用时间最大化,因为在很多过程控制领域,误停车是一个损失较大的事件。而对于安全仪表系统则正好相反,其必须保证受控系统在故障状态下是安全的,安全性是首要考虑的,可用性次之。1.3 功能安全1.3.1 主要概念和参数(1)安全生命周期与功能安全管理
IEC61508中提出了安全生命周期(Safety Life cycle,SLC)的概念,即安全相关系统实现过程中所必需的活动,这些活动从项目的概念阶段开始,直至所有的E/E/PE安全相关系统和其他风险降低措施停止使用为止的时间周期。E/E/PE安全相关系统整体安全生命周期包括的活动非常多,其主要活动概括总结如图1.3所示。其中涉及功能安全评估的活动为1、3阶段。第1阶段主要是根据对受控设备风险评估的结果确定E/E/PE安全相关系统应具有的安全功能及其安全完整性等级;第3阶段主要是对刚设计完成或安装完成试运行后或已运行多年的E/E/PE安全相关系统进行功能安全评估,验证其实现的安全完整性等级是否能够满足安全要求,否则E/E/PE安全相关系统应进行修改,修改后必须重新进行功能安全评估,直至达到安全要求为止。图1.3 整体安全生命周期的概况
功能安全管理贯穿于整个SLC。对于过程工业,功能安全管理是过程安全管理(Process Safety Management,PSM)的一部分,也应纳入SIS工程项目管理和质量保证体系中。功能安全管理涉及SLC各阶段相关组织和人员的责任、人员的能力、活动的计划与控制、文档管理等方面。典型的功能安全管理活动包括:确认(Verificaiton)、验证(Validation)、功能安全评估(Functional Safety Assessment)及审计(Audit)。就E/E/PE安全相关系统而言,相对于硬件的随机失效,人为因素导致的失效、设计失效等,都归类为系统性失效。系统性失效只能通过安全生命周期的有效功能安全管理才能避免或降低。(2)功能安全评估
功能安全(Functional Safety,FS)是与EUC和EUC控制系统有关的整体安全的组成部分,它取决于E/E/PE安全相关系统、其他风险降低措施功能的正确行使。它包含安全相关系统的安全功能和安全功能的执行能力两层含义。E/E/PE安全相关系统的功能安全评估,即评估以E/E/PE为原理的安全相关系统的安全功能是否正确,以及其执行预期的安全功能的能力,也可以说是对E/E/PE安全相关系统的功能和性能进行评估。
功能安全评估是功能安全管理的重要内容。之前已结合安全生命周期阶段介绍了进行功能安全评估的时机。功能安全评估活动的次数、评估范围取决于:
①项目的规模;
②技术复杂程度;
③安全完整性等级要求;
④项目的时间跨度;
⑤失效事件的后果;
⑥各设计环节的标准化程度;
⑦安全法律法规的要求;
⑧是否有以前类似项目的设计经验。(3)安全完整性等级与失效概率(频率)
安全完整性是在规定的时间段内和规定的条件下,安全相关系统成功执行规定的安全功能的概率。安全完整性等级是对安全相关系统执行其安全功能的能力的一种衡量。安全完整性等级还与受控设备或过程的风险降低因子(Risk Reduction Factor,RRF)相对应(如表1.1所示),因此,从另一角度说,安全完整性等级也是受控设备或过程本质安全性的一种度量。需要指出的是,安全完整性等级是针对某个特定的安全功能而言的。工业应用中的E/E/PE安全相关系统往往具有多个回路,每个回路实现一种安全功能,因此,一个具有多个不同功能回路的E/E/PE安全相关系统应该具有针对不同回路的多个安全完整性等级。表1.1 低要求运行模式的安全完整性等级注:表1.1中的风险降低因子是要求时危险失效平均概率的倒数。
IEC61508按照要求时危险失效平均概率(Average Probability of Dangerous Failure on De-mand,PFD)和每小时危险失效平均频avg率(Average Frequency of a Dangerous Failure per Hour,PFH)将两种运行模式下的SIL划分为离散的4级。如表1.1和表1.2所示。表1.2 高要求(连续)运行模式的安全完整性等级
低要求运行模式和高要求(连续)运行模式是根据对不同使用方式的安全相关系统动作要求的频率来区分的。2010年版IEC61508对运行模式的定义进行了修改,并对连续运行模式单独定义。在低要求模式下,对一个E/E/PE安全相关系统提出动作要求的频率不大于每年1次,如过程工业的SIS;在高要求模式下,对一个E/E/PE安全相关系统提出动作要求的频率大于每年1次,如机械行业的SRECS;连续运行模式是正常运行的一部分,如航空航天控制系统。低要求运行模式是过程工业中最普遍的模式;高要求和连续运行模式在制造加工业、铁路运输业和航天工业中比较常见。
需要指出的是,在纯粹的连续运行模式中,动作要求是持续存在的,如果没有其他保护层,SIF的危险失效将立刻导致意外事件发生。在这种模式下,检验测试(Proof Test)以及单通道(1oo1表决)系统的自动在线诊断将不会产生任何安全作用。检验测试通常半年或一年对E/E/PE安全相关系统进行1次安全检验测试,也称为周期性检验测试。(4)平均失效前时间(MTTF)、平均恢复时间(MTTR)、平均失效间隔时间(MTBF)
平均失效前时间(Mean Time to Failure,MTTF)是最广泛使用的可靠性参数之一。它描述了系统从开始正常工作直到系统发生失效的平均时间,是失效前时间的期望值。其定义中的失效包括危险失效、安全失效和无影响失效。如果失效率是常数,则。MTTF既可用于可维修系统,也可应用于不可维修系统。对于不可维修系统,MTTF,代表系统的平均寿命。
2010版IEC61508提出了平均恢复时间(Mean Time to Restoration,MTTR)和平均维修时间(mean repair time,MRT)。MTTR是随机变量修复时间的期望值,是达到恢复的预期时间,包括检测失效发生所需要的时间以及检测和判断失效之后所需要维修的时间。MRT是预期的大体维修时间。与MTTR相比,不包括检测失效时间。MTTR只用于可维修系统。
平均失效间隔时间(Mean Time between Failure,MTBF)是仅用于可维修系统的术语。顾名思义,它是两次相邻失效间隔时间的期望值,代表可维修系统的平均寿命。
在数学上,MTBF=MTTF+MTTR。由于MTTR远小于MTTF,因此MTBF近似等于MTTF。1.3.2 国内外功能安全的发展现状
1.3.2.1 功能安全标准及应用
近年来,欧美工业发达国家都在研究并致力解决安全相关系统的功能安全问题,已发布了一系列功能安全相关标准。1996年美国仪器仪表协会(ISA)完成了第一个关于过程工业安全仪表系统的标准——ANSI/ISA-S84.01。随后,国际电工委员会(IEC)于2000年出台了功能安全国际标准IEC61508:电气/电子/可编程电子(E/E/PE)安全相关系统的功能安全。该标准是功能安全的通用标准,是其他行业制订功能安全标准的基础。从此,功能安全逐步成为研究热点。2003年,IEC发布了适用于石油、化工等过程工业的标准IEC61511。随即,美国用IEC61511取代了ANSI/ISA-S84.01成为国家标准。之后,适用于其他行业的功能安全标准相继出台,例如,核工业的IEC61513、机械工业的IEC62061、医药工业的IEC60601等。这些标准均对安全相关系统的功能安全提出了要求,但没有明确达到要求的方法和步骤。目前,IEC61508已完成修订,并于2010年发布了第二版;IEC61511正在修订,2016年将推出新版。
在功能安全标准出台之初,英国、澳大利亚等国就开始强制采用该标准。日本已将IEC61508国际标准转变为JIS-C-0508国家标准,并在电子、宇航、铁路、汽车、原子能、化工、冶金等许多领域得到了应用。由于西方国家针对安全管理的研究和应用已经趋于成熟,它们往往将功能安全国际标准同本国的工业实践相结合,由本国安全监管部门提出明确的标准应用指南。例如在挪威海上石油开采工业中,就采用了IEC61511标准。在标准的基础上,相关管理部门根据自身管理的经验,制定了一系列指南,从而使得标准更容易理解,更方便使用。在应用标准的过程中,还加入了自身对于国际标准的理解和一系列改进,更加丰富了国际标准的内涵。比如在IEC61511中,对于系统性失效并没有要求进行定量的风险分析,但是挪威海上采油作业中根据工业生产中的系统性失效平均概率,对其进行了估算,做出了系统性失效定量化的初步探索。欧盟结合实际应用,于2005年起草了有关可燃和有毒气体检测系统的功能安全分析导则(prEN50402)和爆炸性气体环境保护系统功能安全评估规则(prEN15233)。另外,有关防爆电气的IEC国际标准正在将功能安全引入正压型、增安型、特殊型防爆电气设备的安全装置。
在没有相应行业功能安全标准的工业领域中,行业监管部门往往通过吸取IEC61508的总体框架和一般方法的精髓,结合本行业的实际,开发适合本行业的功能安全规范。例如,在美国的采矿业中,为了减少事故造成的人身伤亡,引入了基于可编程电子器件的自动采矿系统,但是对于这种应用尚无相应的功能安全标准可以遵照执行,因此在安全管理上还是存在一定的隐患。1995~2001年间,发生了11起矿难,其中4起造成人员死亡。为了加强对自动采矿系统的安全管理,矿山安全和健康监察局(Mine Safety and Health Administration)委托国家职业安全与健康研究所(National Institute fo rOccupational Safety and Health)制定了基于PE的采矿系统功能安全框架。这个框架吸取了IEC61508中的安全生命周期等基本概念,并结合安全等级规定,针对采矿业的自身特点做出了相应的规范,在应用中取得了良好的效果。世界著名石油、石化公司,如壳牌石油,道化学,美孚石油,新加坡石化公司等都通过应用功能安全标准,取得了良好的社会、经济效益。2001年,Shell(壳牌石油公司)下的一个研究机构GSI(Shell Global Solutions International B.V.)发布了企业内部应用规范“仪表保护功能的分类与实施”、“仪表保护功能的管理”及“仪表保护系统技术规范”。CNOOC-SHELL项目以及其他Shell的国内项目都在不折不扣地执行其标准规范。马来西亚国家石油公司2000年对新建项目开始应用IEC61508/IEC61511,并对照IEC61508/61511标准逐步开始对在役装置进行审查。
在我国,功能安全引入较晚。SHBZ06—1999《石油化工紧急停车及安全联锁系统设计导则》初步采用了IEC标准中的一些理念,SY/T10045—2003《工业过程中安全仪表系统的应用》等同采用了ISA84.01—1996,SH/T3018—2003《石油化工安全仪表系统设计规范》采用了SIL等级,但未提及安全生命周期和功能安全管理。我国于2006、2007年分别等同采用了IEC61508和IEC61511,发布了GB/T20438.1~7—2006《电气/电子/可编程电子安全相关系统功能安全》和GB/T21109.1~3—2007《过程工业领域安全仪表系统的功能安全》,这两个功能安全标准仅为推荐性国家标准,而非强制性标准,并且尚未发布与标准相应的应用指南或指令,这在某种程度上限制了功能安全标准在我国的实施步伐。GB/T50770—2013《石油化工安全仪表系统设计规范》已于2013年9月实施,该标准更加贴近IEC61508和IEC61511,而且上升为国家标准。国家标准《油气管道安全仪表系统的功能安全评估规范》和《油气管道安全仪表系统的功能安全验收规范》将于2015年正式发布。另外GB/T20438—2006正在修订,并即将对GB/T21109—2007进行修订。
1.3.2.2 评估和认证服务
在国外,功能安全评估和认证起步较早,并且已经被广大用户、设备供应商和集成商、工程承包商所接受。用户通过权威的第三方机构进行评估和认证,对自己选用的安全系统更加放心,也使设备制造商能够生产出更加可靠的设备,提高自身竞争力。目前国外比较著名的评估和认证机构和公司有德国的TÜV和美国的Exida。功能安全评估和认证主要有产品安全评估和认证、过程评估和认证、管理过程评估、人员资格认证和应用项目安全评估,详见表1.3。表1.3 功能安全评估和认证机构
目前,我国有些研究机构已开展功能安全评估工作,如中石化安全工程研究院已在中石化内部开展功能安全评估工作,但只局限于对过程进行风险分析和硬件安全完整性等级计算等工作。上海工业自动化仪表研究所已经建立了功能安全相关实验室,并对某化工厂的工业煤气输送系统开展了功能安全评估工作。北京市劳动保护科学研究所尝试对中石化燕山石化公司某竣工验收项目的安全仪表系统进行了评估,从项目风险分析开始,明确危险事件,从而对可能引发该危险事件的安全仪表系统进行评估,但也只考虑了随机硬件失效。机械工业仪器仪表综合技术经济研究所开展了油气管道SCADA系统等项目的功能安全评估工作。另外,该所筹建了“系统功能安全测试实验室”,拟开展产品的功能安全认证工作。同时,该所开展了一系列功能安全标准和相关技术培训及功能安全人员资格认证。
1.3.2.3 功能安全产品
目前,国外很多可编程控制器(Programmable Logical Control,PLC)、智能安全仪表等产品已经通过了功能安全产品第三方认证,达到了IEC61508或IEC61511标准规定的相应SIL等级要求,或者通过使用证明ProveninUse的原则达到了一定的SIL等级。例如,西门子、霍尼韦尔、罗克韦尔、黑马、横河、欧姆龙、倍加福、贝加莱、三菱电机、施耐德、皮尔磁、A&D等厂家的安全控制器、安全总线几乎都符合IEC61508标准并得到了SIL3等级的认证,即安全仪表系统的逻辑控制器大都达到了SIL3等级。可见,自动化厂家将安全仪表系统的安全性能提高过多地放在了逻辑控制器上,这实际是一个误区。事实上,制约SIL等级提高的瓶颈大多是“最终执行机构”——电磁阀或切断阀等。近年来,已出现带有自诊断的智能型电动执行机构,其安全完整性等级可达到SIL2。至于安全仪表系统的前端——传感器,一些自动化厂家的智能传感器已达到了SIL2等级,如西门子安全测量仪表(传感器)经过使用证明达到SIL2等级,通过冗余的多通道设计,可实现安全完整性等级高达SIL3。
我国石化、化工、冶金、电力等高危行业的大型企业采用的紧急停车系统(Emergency Shutdown System,ESD)、火灾和气体报警系统(Fire&GasSystem,F&G)往往都是国外产品。一些典型的国产化系统,如中石化北京设计院开发的炼油核心装置“催化裂化机组综合控制系统”、“连续重整装置催化剂再生控制系统”,中国铁道科学研究院研制的TR-9型容错铁路联锁系统等,其核心控制设备也都是国外设备。而且,目前国内尚无经过第三方功能安全认证的自动化安全产品。1.3.3 功能安全评估与安全评估和可靠性计算的关系
功能安全评估是基于风险分析的对E/E/PE安全相关系统的安全评估,可以说是传统安全评价的延伸和扩展,它包括对E/E/PE安全相关系统的功能和性能进行评估这两个方面,即基于风险分析的安全完整性等级选择和安全完整性等级验证。
安全完整性等级选择的实质就是在受控系统原始风险和可容忍风险的基础上确定E/E/PE安全相关系统的目标安全完整性等级。受控系统的原始风险分析属于传统的工业风险分析(安全评价)范畴,虽然会影响E/E/PE安全相关系统的目标SIL,但其所用方法跟E/E/PE安全相关系统本身并没有直接关系,而且安全完整性等级选择多处于工程项目中E/E/PE安全相关系统的设计阶段,而对于工业生产中在役的E/E/PE安全相关系统或E/E/PE安全相关系统新产品,我们更关注的是其本身执行安全功能的可靠程度,即E/E/PE安全相关系统本身的安全性能如何,因此,本书没有将安全完整性等级的选择作为重点,而重点阐述了安全完整性等级的验证方法。
根据IEC61508,安全完整性是在规定的时间段内和规定的条件下,安全相关系统成功实现所要求的安全功能的概率。这个定义与可靠性的概念是一致的,因此,可靠性理论和方法可以应用于功能安全研究领域,尤其是安全完整性等级验证中。
IEC61508对E/E/PE安全相关系统的设计、运行和维护提出了新的要求。E/E/PE安全相关系统PFD或PFH的计算实质上就是可靠avg性理论在功能安全评估中的延伸。但是E/E/PE安全相关系统又具有自身的一些特点,如安全仪表系统(SIS)多处于休眠状态、设备的多失效模式、冗余表决、检验测试及其非理想性或不完善性、维修等,使得SIS系统安全性能评估的问题与传统的系统可靠性分析既有相似又存差异;而其他E/E/PE安全相关系统,如机械行业的安全相关电气控制系统(SRECS)、轨道交通信号系统中的列车防护系统(ATP)和计算机联锁系统(CI)以及航空、航天行业中的安全控制系统与过程工业的SIS有所不同,它们同样具有设备的多失效模式、冗余结构及维修的特点,但它们多处于主动工作状态,且检验测试和单通道的自动在线诊断对系统本身的安全意义较SIS小。2 系统风险分析与评估
根据E/E/PE安全相关系统的整体生命周期,要实现对E/E/PE安全相关系统进行功能安全评估或者是全生命周期的功能安全管理,应首先对受控系统进行风险分析与评估。这里的系统风险指的是工业企业的事故风险,是安全生产领域的风险分析与风险评价的内容。本章在介绍风险概念的基础上,分为可能性及后果两部分来阐述确定风险的方法,并给出风险评估的应用示例。
风险是不能完全消除的,所以SIS或SRECS等安全相关系统的作用不是完全消除过程或EUC风险,而是通过采取必要的风险降低措施使过程或EUC的风险降低到可接受的程度。下面讲述的风险评估要求和方法的应用多以过程工业的受控设备及其SIS为对象。2.1 系统风险2.1.1 风险定义及其内涵
根据GB/T23694—2013《风险管理术语》中的定义,风险是指不确定性对目标的影响。影响是指偏离预期,可以是正面的和/或负面的。目标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目、产品和过程等)的目标。通常用潜在事件、后果或者两者的组合来区分风险。通常用事件后果(包括情形的变化)和事件发生可能性的组合来表示风险。不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。可见,新的风险定义更加全面合理。
根据风险的定义,风险是风险频率或概率(事故发生的可能性)与风险程度(事故后果严重程度)的函数,即R=f(P,S)。风险频率又称损失频率,是指一定数量的研究对象,在确定的时间内发生事故的次数。风险程度又称损失程度,是指每发生一次事故导致对象的毁损状况,即毁损价值占被毁损标的全部价值的百分比。风险频率与风险程度一般成反比,风险频率很高,但风险程度不大;风险频率不高,但风险程度很大。
风险具有普遍性、客观性、损失性、不确定性和社会性。风险由风险因素、风险事故和损失构成。
风险因素是风险事故发生的潜在原因,是造成损失的内在或间接原因。根据性质不同,风险因素可分为物质(或实质)风险因素,道德风险因素(如故意)和心理风险因素(如过失、疏忽、无意)。
风险事故是造成损失的直接的或外在的原因,是损失的媒介物,即风险只有通过风险事故的发生才能导致损失。就某一事件来说,如果它是造成损失的直接原因,那么它就是风险事故,如冰雹直接击伤行人;而在其他条件下,如果它是造成损失的间接原因,它便成为风险因素,如下冰雹路滑发生车祸,造成人员伤亡。
在风险管理中,损失是指非故意的、非预期的、非计划的经济价值的减少。通常将损失分为两种形态,即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害,这类损失又称为实质损失;间接损失则是指由直接损失引起的其他损失,包括额外费用损失、收入损失和责任损失。
风险是由风险因素、风险事故和损失三者构成的统一体,三者的关系为:风险因素是引起或增加风险事故发生的机会或扩大损失幅度的条件,是风险事故发生的潜在原因;风险事故是造成生命财产损失的偶发事件,是造成损失的直接的或外在的原因,是损失的媒介;损失是风险因素和风险事故的间接和直接后果。2.1.2 定性与定量风险评估
根据IEC61508,功能安全管理的第一步就是对受控系统进行风险分析和评估,以确定需要采取哪些措施(E/E/PE安全相关系统和其他风险降低全措施)将受控系统的初始风险降低至可接受的水平。风险评估可以是定性的也可以是定量的。定性的风险评估主观地将风险从低到高分级。定量风险评估为风险定出数值的量化指标,如死亡或事故率、泄漏的实际大小等。
定性风险评估是借助于对事物的经验、知识、观察及对发展变化规律的了解,科学地进行分析、判断的一类方法。运用这类方法可以找出系统中存在的危险、有害因素,进一步根据这些因素从技术上、管理上、教育上提出对策措施加以控制,达到系统安全的目的。目前应用较多的方法有“安全检查表(SCL)”、“故障树分析(FTA)”、“事件树分析(ETA)”、“危险度评价法”、“预先危险性分析(PHA)”、“失效类型及影响分析(FMEA)”、“危险性可操作研究(HAZOP)”、“假设(What if)分析”、“人的失误(HE)分析”等分析评价方法。(半)定量风险评估是根据统计数据、检测数据、同类和类似系统的数据资料,按有关标准,应用科学的方法构造数学模型进行定量化评价的一类方法。主要有以下两种类型:
①以可靠性、安全性为基础,先查明系统中的隐患并求出其损失率、有害因素的种类及其危险程度,然后再与国家规定的有关标准进行比较、量化。常用的方法有:“故障树分析(FTA)”、“事件树分析(ETA)”等。
②以物质系数为基础的危险度分级半定量方法。常用的方法有:美国道化学公司(Dow Chemical Co.)的“火灾、爆炸危险指数评价法”,英国帝国化学工业公司(ICI)蒙德部的“ICI/Mond火灾、爆炸、毒性指标法”,日本劳动省的“六阶段法”、“单元危险指数快速排序法”等。
事故后果定量预测方法:易燃有毒物质泄漏火灾、爆炸、毒物扩散模型,详见2.2.3节。
定性评估方法要求评估者具备相关知识和经验,定量评估方法则要求大量的安全数据。单纯的定性分析容易造成研究的粗浅;而有关数据的不完善,也使得定量风险评估方法难以得到有效应用和检验。因此,应当结合定性和定量的方法进行系统分析和评估,弥补单纯定性分析和单纯定量分析所产生的不足。
以下章节对常用的评估方法进行了梳理,首先,将评估方法划分为2.2节事故后果评估方法和2.3节事故发生的可能性评估方法,然后按照定性或定量将方法分类介绍,针对每种评估方法的特点加以分析并给出该方法的应用示例。2.2 事故后果分析与评估
事故后果分析就是估计受控系统发生事故所造成的损失。一个完善的事故后果分析应考虑人员伤亡、财产损失、环境破坏以及第三方责任。虽然危险化学品火灾爆炸和泄漏事故的分析结果是其区域和影响(如致伤半径),但是后果分析的结果应该用人员或财产损失的形式来表达。另外,在分析危险事件可能造成的事故后果时,应该以正常的工况和操作背景作为基准,并基于特定危险事件可信的最严重情节进行评估。
事故后果分析所采用的方法取决于若干因素,包括公司与过程和危险相关的经验水平、工程人员估计后果的能力水平、以往事故后果的有效数据等。下面将后果分析方法分为定性、半定量、统计分析和定量等方法,并针对常用的方法给出较为详细的介绍。2.2.1 定性方法
定性风险分析方法通常都不给出危险事件发生的频率(或概率),而多以危险事件导致的事故后果来定性分级,如预先危险性分析、危险与可操作性分析、失效模式及影响分析。以下将一一给出这些方法较为详细的介绍及其应用示例。虽然安全检查表和假设分析(What-if Analysis)方法也是常用的定性风险分析方法,但它们的分析结果不能明确给出危险事件的后果、防止危险的安全措施以及改进的措施建议,即根据该种分析结果难以确定SIS的SIF以及选择每个SIF的SIL。因此,本书不介绍安全检查表和假设分析(What-if Analysis)方法。
2.2.1.1 预先危险性分析(1)定义
预先危险性分析(Preliminary Hazard Analysis,PHA)也称初始危险分析,是安全评估常用的一种方法。是在每项生产活动之前,特别是在设计的开始阶段,对系统存在危险类别、出现条件、事故后果等进行概略地分析,尽可能评价出潜在的危险性。(2)预先危险性分析的主要目的
1)识别危险,确定安全性关键部位;
2)评价各种危险的程度;
3)确定安全性设计准则,提出消除或控制危险的措施。(3)进行预先危险性分析需要的资料
1)各种设计方案的系统和子系统、部件的设计图纸和资料;
2)在系统预期的寿命期内,系统各组成部分的活动、功能和工作顺序的功能流程图及有关资料;
3)在预期的试验、制造、储存、修理、使用等活动中与安全要求有关的背景材料。(4)分析步骤
1)危害辨识。通过经验判断、技术诊断等方法,查找系统中存在的危险、有害因素。
2)确定可能事故类型。根据过去的经验教训,分析危险、有害因素对系统的影响,分析事故的可能类型。
3)针对已确定的危险、有害因素,制定预先危险性分析表。
4)确定危险、有害因素的危害等级,按危害等级排定次序,以便按计划处理。
5)制定预防事故发生的安全对策措施。(5)预先危险性分析的等级划分
为了评判危险、有害因素的危害等级以及它们对系统破坏性的影响大小,预先危险性分析法给出了各类危险性的划分标准。该法将危险性的划分4个等级:
1)安全的。不会造成人员伤亡及系统损坏。
2)临界的。处于事故的边缘状态,暂时还不至于造成人员伤亡。
3)危险的。会造成人员伤亡和系统损坏,要立即采取防范措施。
4)灾难性的。造成人员重大伤亡及系统严重破坏的灾难性事故,必须予以果断排除并进行重点防范。(6)预先危险分析注意事项
在进行PHA分析时,应注意的几个要点。
1)应考虑生产工艺的特点,列出其危险性和状态:①原料、中间产品、衍生产品和成品的危害特性;②作业环境;③设备、设施和装置;④操作过程;⑤各系统之间的联系;⑥各单元之间的联系;⑦消防和其他安全设施。
2)PHA分析过程中应考虑的因素:①危险设备和物料,如燃料、高反应活性物质、有毒物质、爆炸高压系统、其他储运系统;②设备与物料之间与安全有关的隔离装置,如物料的相互作用、火灾和爆炸的产生和发展、控制和停车系统;③影响设备与物料的环境因素,如地震、洪水、振动、静电、湿度等;④操作、测试、维修以及紧急处置规定;⑤辅助设施,如储槽、测试设备等;⑥与安全有关的设施设备,如调节系统、备用设备等。(7)预先危险分析的优、缺点及使用范围
1)预先危险性分析是进一步进行危险分析的先导,是一种宏观概略定性分析方法。其特点是把分析工作做在行动之前,避免由于考虑不周而造成损失。在项目发展初期使用PHA有以下优点:①方法简单易行、经济、有效;②能为项目开发组分析和设计提供指南;③能识别可能的危险,用很少的费用、时间就可以实现改进。
2)适用范围:预先危险性分析适用于固有系统中采取新的工艺方法,采用新的物料、设备和设施检修后开车,制定操作规程、技术改造之后的危险性评价。该法一般在项目的发展初期使用。当只希望进行粗略的危险和潜在事故情况分析时,也可以用PHA对已建成的装置进行分析。(8)应用示例
热水器用煤气加热,装有温度、煤气开关联装锁置。当水温超过规定温度时,联锁装置将调节煤气阀的开度。热水器结构示意图如图2.1所示。图2.1 热水器结构示意图
如果发生失效,导致压力过高时,则由泄压安全阀放出热水,防止发生事故。预先危险分析结果如表2.1所示。表2.1 燃气热水器预先危险性分析
2.2.1.2 危险与可操作性分析(1)起源
危险与可操作性分析(Hazardand Operability Studies)又称为HAZOP。是英国帝国化学工业公司(ICI)蒙德分部于20世纪60年代发展起来的以引导词(Guide Words)为核心的系统危险分析方法,已经有50年应用历史。(2)概述
危险与可操作性分析是过程工业最常用的过程危险(安全)分析(Process Hazard Analysis,PHA)方法,是一种形式结构化的方法。该方法全面、系统地研究系统中每一个设备或装置的重要参数偏离了指定的设计条件所导致的危险和可操作性问题。主要通过研究工艺管线和仪表图(P&ID)、带控制点的工艺流程图或工厂的仿真模型来确定,应重点分析由管路和每一个设备操作所引发潜在事故的影响,应选择相关的参数,例如:流量、温度、压力和时间,然后检查每一个参数偏离设计条件的影响。采用经过挑选的关键词表,例如“大于”、“小于”、“部分”等,来描述每一个潜在的偏离。最终应识别出所有的失效原因,得出当前的安全保护装置和安全措施。所做的评估结论包括非正常原因、不利后果和所要求的安全措施及建议。(3)HAZOP分析法简介
1)HAZOP分析的适用范围
①HAZOP分析即适用于设计阶段,又适用于现有的生产装置。根据全生命周期理念,过程工业应每两年进行一次HAZOP分析评价。
②HAZOP分析可以应用于连续的化工过程,也可以应用于间歇的化工过程。
2)HAZOP分析方法的特点
①从生产系统中的工艺参数出发来研究系统中的偏差,运用启发性引导词来研究因温度、压力、流量等状态参数的变动可能引起的各种失效的原因、存在的危险以及采取的对策。
②HAZOP分析所研究的状态参数正是操作人员控制的生产工艺指标,针对性强,利于提高安全操作能力。
③HAZOP分析结果既可用于设计的评价,又可用于操作评价;即可用来编制、完善安全规程,又可作为可操作的安全教育材料。
④HAZOP分析方法易于掌握,使用引导词进行分析,既可扩大思路,又可避免漫无边际地提出问题。
3)HAZOP的理论依据
工艺流程的状态参数(如温度、压力、流量等)一旦与设计规定的基准状态发生偏离,就会发生问题或出现危险。
4)术语
①节点:便于分析具有共同设计意图的部分系统。
②设计意图:工艺流程的设计思路、目的和设计运行状态。
③参数:工艺流程操作变量参数,例如温度、压力。
④引导词:用于和参数结合创造偏差的一组词,如多、少、部分。
⑤偏差:流程偏离设计意图的状态。
⑥原因:导致偏差的可能起因。
⑦后果:偏差所能引起的损失,包括人员伤亡、财产损失或其他可能的安全后果。
⑧保护措施:能减少危害事件发生概率或减轻危害事件后果危害程度的工程设计或管理程序(现有的)。
⑨建议措施:在设计或操作程序方面的改进建议,以降低危害事件发生的概率或后果的严重程度,以达到控制风险水平的目的。
5)引导词
引导词及其定义见表2.2。表2.2 引导词及其定义
6)确定节点的原则
①节点范围不能过粗。
②节点范围不能过细。
③管线节点:物料流动通过且不发生组分和相态变化的、具有共同设计意图的一件或多件工艺设备(如过滤器、泵等)。
④容器节点:储存、反应或处理物料的容器,在其中材料可发生或不发生物理/化学变化。
7)节点分析
①确认节点的设计意图;
②列出重要参数和引导词;
③确定偏差并记录;
④确定偏差的后果;
⑤分析偏差的原因;
⑥列出现有保护措施;
⑦若现有保护措施不充分,制定改进措施建议。(4)应用领域
HAZOP分析方法特别适合化工、石油化工等生产装置,对处于设计、运行、停用等各阶段的全过程进行危险分析,既适合连续过程也适合间歇过程。近年来,应用范围扩大至可编程电子系统;道路、铁路等运输系统;检查操作顺序和规程;评价工业管理规程;评价特殊系统,如航空、航天、核能、军事设施、火炸药生产和应用系统等;医疗设备;突发事件分析;软件和信息系统危险分析。(5)应用示例
假设一个简单的过程工业生产过程,如图2.2所示。物料A和物料B通过泵连续地从各自的供料罐输送至反应器,在反应器中合成并生成产品C。假定为了避免爆炸危险,在反应器中A总是多于B。完整的设计描述将包括很多其他细节,如:压力影响、反应过程和反应物的温度、搅拌、反应时间、泵A和泵B的匹配性等,但为简化示例,忽略这些因素。工艺流程中的分析节点用粗线条表示。图2.2 简化流程
节点是从物料A供料罐到反应器之间的管道,包括泵A。这个节点的设计目的是连续地把物料A从罐中输送到反应器,且物料A的流速应大于物料B。“物料”和“活动”要素的HAZOP输出例子见表2.3。仅记录了有意义的偏离。表2.3 某化工工艺的HAZOP工作表
2.2.1.3 失效模式及影响分析(1)定义
失效模式及影响分析(Failure Modeand Effect Analysis,FMEA)是由可靠性工程发展起来的,主要分析系统、产品的可靠性和安全性。其基本内容是对系统或产品各个组成部分,按一定顺序进行系统分析和考察,查出系统中各子系统或元件可能发生的各种失效模式,并分析它们对系统或产品的功能造成的影响,提出可能采取的预防改进措施,以提高系统或产品的可靠性和安全性。(2)方法特点
①失效模式及影响分析是通过原因来分析系统故障(结果)。即用系统工程方法,从元件(或组件)的失效开始,由下向上逐次分析其可能发生的问题,预测整个系统的失效,利用表格形式,找出不希望的初始原因事件。
②失效模式及影响分析除了考虑系统中各组成部分上、下级的层次概念,如物理、空间、时间关系外,还主要考虑功能关系。从可靠性角度看,则侧重于建立上级和下级的逻辑关系。因此,失效模式及影响分析是以功能为中心,以逻辑推理为重点的分析方法。
③该方法是一种定性分析方法,不需要数据作为预测依据,只要理论知识和过去失效的经验积累即可,因此便于掌握。当个人知识不够,可采用集思广益的办法进行分析。
④该方法一般用于考虑非危险性失效,费时较多,而且一般不能考虑人、环境和部件之间相互关系等因素。适用于产品设计、工艺设计、装备设计和预防维修等环节。(3)目的和要求
①搞清楚系统或产品的所有失效模式及其对系统或产品功能以及对人、环境的影响;
②对有可能发生的失效模式,提出可行的控制方法和手段;
③在系统或产品设计审查时,找出系统或产品中薄弱环节和潜在缺陷,并提出改进设计意见,或定出应加强研究的项目,以提高设计质量,降低失效率,或减少损失;
④必要时对产品供应列入特殊要求,包括设计、性能、可靠性、安全性或质量保证的要求;
⑤对于由协作厂提供的部件以及对于应当加强试验的若干参数需要制定严格的验收标准;
⑥明确提出在何处应制定特殊的规程和安全措施,或设置保护性设备、监测装置或报警系统;
⑦为系统安全分析、预防维修提供有用的资料。(4)分析步骤
①将系统分成子系统,以便处理。
②审查系统和各子系统的工作原理图、示意图、草图,查明它们之间及元件、组件之间的关系。这项工作可通过编制和使用可靠性框图来完成。
③编制每个待分析的子系统的全部零件表,每个零件的特有功能同时列入。确定操作和环境对系统的作用。
④分析工程图和工作原理图,查出元件发生的主要失效机理。
⑤查明每个元件的失效类型对子系统的失效影响。1个元件有1个以上的失效类型时,必须分析每一类型失效的影响并分别列出。根据失效影响大小确定危险严重度。严重度等级一般分为4个等级,见表2.4。表2.4 严重度等级分类
⑥列出失效模式的失效率。失效率一般为常数,记为λ。失效模式的失效率一般亦分为4级,见表2.5。表2.5 失效率等级注:勿将失效模式的失效率误当作系统发生失效的频率或概率。
⑦列出排除或控制危险的措施。如果失效会引起受伤或死亡,要说明提供的安全装置。
元件分解到什么程度是需要注意的问题,要根据危险分析的目的加以确定。一般认为分析的对象有确定的失效率并能得到它时就可以了,不必再详细分解。例如,生产中的电动机,它的失效率是可以得到的,就没有必要再对它的零件进行分析了。如果这部机器的失效率很高,可以进一步分析各种零件的失效类型、影响及失效率,以确定哪个零件需要加以改进。(5)适用范围
1957年,FMEA用于飞机发动机的危险分析。后来,美国国家航空和航天管理局、陆军在签订合同时都要求实施FMEA。现在FMEA在原子能工业、电气工业、仪表工业都有广泛的应用,在化学工业应用也有明显的效果,如美国杜邦公司就将其作为化工装置三阶段安全评价中的一个环节。
失效模式及影响分析还常常与故障树配合使用,来确定故障树的顶上事件。(6)应用举例
空气压缩机储罐失效模式及影响分析。空气压缩机储罐属于压力容器,其功能是储存空气压缩机产生的压缩空气。这里仅考察储罐的罐体和安全阀两个部件,分析结果列于表2.6。表2.6 压缩空气储罐的失效模式及影响分析2.2.2 半定量方法
本小节仅讨论事故后果的半定量评估方法。常用的方法有美国道化学公司(Dow)的“火灾、爆炸危险指数评价法”、英国帝国化学工业公司蒙德部的“ICI/Mond火灾、爆炸、毒性指标法”、日本劳动省的“六阶段法”、“单元危险指数快速排序法”等,它们均是以物质系数为基础,采取综合评价的危险度分级方法。虽然在许多有关评价方法的书中均把它们归为定量评价方法,但是,由于这些方法并非完全基于数据定量计算得出事故后果,而是通过人工取值计算出无量纲的危险度分值或系统火灾、爆炸危险指数,因此,本书认为将这些方法归为“事故后果的半定量评价方法”更为准确。
当然还有许多其他半定量评价方法,但它们不只针对事故后果,而是针对系统的整体风险,即评价结果是系统的整体风险大小。例如基于对事物的经验、知识、观察和归纳统计的经验评价方法:LEC(格雷厄姆-金尼法)、机械工厂安全评价法等;以模糊数学和矩阵理论为基础的定量分析方法:模糊数学综合评判法、层次分析法等。本书均不给予介绍。
下面对道化学公司火灾、爆炸危险指数法给予较为详细的介绍,并在此基础上简单介绍ICI蒙德法,最后通过应用示例比较这两种方法。
2.2.2.1 道化学公司火灾、爆炸危险指数评价法
道化学公司火灾、爆炸危险指数评价法(简称道化法)是对工艺装置及所含物料的潜在火灾、爆炸和反应性危险按逐步推算的方法进行客观的评价。火灾爆炸危险指数评价法以道(Dow)氏火灾爆炸危险指数法第七版为基础,该方法用于确定工艺过程中的最大潜在危险性,并预测导致事故后果的危险程度。具体过程如下。
试读结束[说明:试读内容隐藏了图片]