現場(chǎng)總線(xiàn)系統的功能安全評價(jià)

　　現場(chǎng)總線(xiàn)技術(shù)發(fā)展至今，它的安全性如何仍然是用戶(hù)觀(guān)望等待的重要因素之一。對于電廠(chǎng)、化工廠(chǎng)、冶煉廠(chǎng)等用戶(hù)來(lái)說(shuō)，現場(chǎng)總線(xiàn)的優(yōu)越性己經(jīng)了解很多，有些用戶(hù)可能已經(jīng)開(kāi)始在一些非重要部門(mén)采用現場(chǎng)總線(xiàn)控制系統，但要在工廠(chǎng)重要的、與安全相關(guān)的工業(yè)過(guò)程采用現場(chǎng)總線(xiàn)控制系統，還需要供應商提供更多的資料與保證。

　　現場(chǎng)總線(xiàn)的優(yōu)勢很多，但換一個(gè)角度看可能就是劣勢:它的串行結構決定了它能節省布線(xiàn)、簡(jiǎn)化系統安裝、維護和管理費用、簡(jiǎn)化通信協(xié)議、方便解決總線(xiàn)供電等問(wèn)題，是它的重要優(yōu)勢，但同時(shí)也是重要的安全隱患。因為所有控制命令、維護信息都通過(guò)這條單一總線(xiàn)發(fā)送信號，一旦這條總線(xiàn)損壞，這條支路就癱瘓了;產(chǎn)品的可互操作性使用戶(hù)選擇產(chǎn)品的自由度增加，成本降低，但多家供應商提供的產(chǎn)品在一個(gè)系統中運行，它們的可互操作程度能達到多少?系統監控軟件可以提供設備的預診斷，但軟件中可能存在的成千上萬(wàn)個(gè) "bug"如何控制?現場(chǎng)總線(xiàn)上層連接以太網(wǎng)、Internet網(wǎng)，可以實(shí)現遠程在線(xiàn)診斷和維護，但如果 "黑客"們也通過(guò)這個(gè)網(wǎng)絡(luò )對系統進(jìn)行遠程攻擊，我們設置的密碼是不是足夠?面對種種安全問(wèn)題，我們是否該就此停步?表1是自動(dòng)化領(lǐng)域技術(shù)的發(fā)展歷程。

　　上表實(shí)際上展示了一種趨勢，技術(shù)發(fā)展的腳步勢不可擋，關(guān)鍵是我們如何來(lái)選擇。在考慮安全應用的問(wèn)題時(shí)，最終用戶(hù)的問(wèn)題是選擇什么樣的系統，根據什么來(lái)決定在不同重要的場(chǎng)合使用哪種現場(chǎng)總線(xiàn)?如何評價(jià)一個(gè)現場(chǎng)總線(xiàn)系統的安全性水平?而供應商的問(wèn)題是:我該怎么做才能讓用戶(hù)相信自己的產(chǎn)品或系統可以用于安全目的?

　　實(shí)際上，他們所提問(wèn)題的答案都是IEC61508。

　　二、IEC61508概述

　　2000年5月，國際電工委員會(huì )正式發(fā)布了IEC61508標準，名為《電氣/電子/可編程電子安全系統的功能安全》，與之對應的我國國家標準正在制定中。該標準分七部分，涉及1000多個(gè)規范。

　　由電氣和電子部件構成的系統，多年來(lái)在許多領(lǐng)域中執行安全功能;以計算機為基礎的系統在許多領(lǐng)域中用于非安全目的，但也越來(lái)越多地用于安全目的。當前計算機、集成電路等技術(shù)的發(fā)展已經(jīng)滲透到所有工業(yè)領(lǐng)域，計算能力的極大增加徹底改變了工廠(chǎng)和工業(yè)過(guò)程的控制，也改變了安全控制策略。對于包含有電子、電氣設備，計算機軟、硬件的系統，要用于關(guān)系到人身財產(chǎn)安全的領(lǐng)域中時(shí)，進(jìn)行規范的安全指導是十分必要的。

　　TEC61508針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統(E/E/PE)的整體安全生命周期，建立了一個(gè)基礎的評價(jià)方法。目的是要針對以電子為基礎的安全系統提出一個(gè)一致的、合理的技術(shù)方案，統籌考慮 單獨系統(如傳感器、通信系統、控制裝置、執行器等)中元件與安全系統組合的問(wèn)題。

　　TEC61508的七個(gè)部分內容分別為:

　　第1部分:一般要求，描述了主要概念、組織、生命期、文檔編制、引導證據及SIL的定義。

　　第2部分是對電氣/電子/可編程電子安全系統的要求，包括對設備和系統的要求，它的很多內容與第7部分的鑒別方法的應用有關(guān)，這些方法解決了隨機或系統失效問(wèn)題。

　　第3部分是對軟件的要求，描述避免失效的方法，與第7部分的附錄相關(guān)。

　　第4部分是定義和縮略語(yǔ)。

　　第5部分給出一些確定安全完整性水平的方法示例。

　　第6部分包括第2和第3部分的應用指南。

　　第7部分給出測試方法，簡(jiǎn)短的注釋并提供部分參考書(shū)目。

　　(一)IEC61508中的基本定義

　　1.安全功能 (safety function)

　　針對規定的危險事件，為達到或保持受控設備(EUC)的安全狀態(tài)，由E/E/PE安全系統、其他技術(shù)安全系統或外部風(fēng)險降低設施實(shí)現的功能。

　　2.安全完整性 (Safety integrity)

　　在規定的條件下、規定的時(shí)間內，安全系統成功實(shí)現所要求的安全功能的概率。這一定義著(zhù)重于安全系統執行安全功能的可靠性。在確定安全完整性過(guò)程中，應包括所有導致非安全狀態(tài)的因素，如隨機的硬件失效，軟件導致的失效以及由電氣干擾引起的失效，這些失效的類(lèi)型，尤其是硬件失效可用測量方法來(lái)定量，如在危險模式中的失效和系統失效率，或按規定操作的安全防護系統失效的概率。但是，系統的安全完整性還取決于許多因素，這些因素無(wú)法精確定量，僅可定性考慮。

　　3.E/E/PE系統

　　基于電氣/電子和可編程電子裝置的用于控制、防護或監視的系統，包括系統中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。

　　4.EUC(Equipment Under Control)

　　受控設備，指用于制造、運輸、醫療或其他領(lǐng)域的設備、機器、裝置或裝備。

　　5.可接受鳳險 (ACCeptable risk)

　　風(fēng)險指的是出現傷害的概率及該傷害嚴重性的組合?？山邮茱L(fēng)險指根據當今社會(huì )的水準所能夠接受的風(fēng)險。

　　6.安全 (Safety)

　　不存在不可接受的風(fēng)險。

　　7.安全系統 (Safely-elated-syStem)

　　是用于兩個(gè)目的:一是執行要求的安全功能以達到或保持EUC的安全狀態(tài);二是自身或與其他E/E/PES安全系統、其他技術(shù)安全系統或外部風(fēng)險降低設施一道，對于要求的安全功能達到必要的安全完整性。

　　安全系統是在接受命令后采取適當的動(dòng)作以防止EUC進(jìn)入危險狀態(tài)。安全系統的失效應被包括在導致確定的危險事件中。盡管可能有其他系統具備安全功能，但僅是指用其自身能力達到要求的允許風(fēng)險的安全系統。安全系統可大致分為安全控制系統和安全防護系統。

　　安全系統可以是EUC控制系統的組成部分，也可用傳感器和/或執行器與EUC的接口，既可用在EUC控制系統中執行安全功能的方式達到要求的安全完整性水平，也可用分離的/獨立的專(zhuān)門(mén)用于安全的系統執行安全功能。

　　(二)IEC61508的基本概念

　　TEC61508標準規定隨機失效的后果必須定量評估，使用隨機存取測量系統 (RAMS)方法計算有效性。量化與故障相關(guān)的系統失效是沒(méi)有用的，應當通過(guò)組織指導來(lái)避免系統失效，或通過(guò)技術(shù)措施來(lái)控制。

　　1.風(fēng)險和安全完整性慨念

　　2.功能安全保證的內容

　　功能安全保證主要包括兩部分內容:失效識別和安全完整性水平。

　　(1)失效識別。

　　失效就是功能單元失去實(shí)現其功能的能力。一些功能是根據所達到的行為進(jìn)行規定的，在執行功能時(shí)，某些特定的行為是不允許的，這些行為的出現就是失效。失效可能是隨機失效，這種失效通常由于硬件裝置的耗損所致。也可能是系統失效，這在硬件和軟件中都可能出現。失效識別就是要分辨出不同部件的各種失效原因，估算出系統失效概率。

　　(2)安全完整性水平 (SIL) (safety integrity level)。

　　一種離散的水平，用于規定分配給E/E/PE安全系統的安全功能的安全完整性要求，安全系統的安全完整性水平越高，安全系統實(shí)現所要求的安全功能失敗的可能性就越低。IEC61508中規定系統有4種安全完整性水平，SIL4是最高的，安全完整性水平1是最低的。

　　三、現場(chǎng)總線(xiàn)系統的功能安全評價(jià)

　　(一)現場(chǎng)總線(xiàn)系統完成的功能

　　現場(chǎng)總線(xiàn)系統所起的作用是通信，它包括一組硬件和軟件，允許兩個(gè)或多個(gè)裝置之間信息交換。在受控過(guò)程中，它不應該傳播或建立會(huì )產(chǎn)生危險情形的錯誤:它應能找出數據的訛誤，保證實(shí)時(shí)數據的傳送，傳遞應有序，避免混亂。同時(shí)應能隨時(shí)了解可能出現的故障狀態(tài)，避免出現因通信錯誤觸發(fā)不合理的安全動(dòng)作，例如使過(guò)程在不該停止時(shí)停了下來(lái)，或使過(guò)程在出現故障時(shí)還繼續工作等。

　　(二)現場(chǎng)總線(xiàn)系統安全功能評價(jià)的方法

　　要證明一個(gè)系統或子系統是否可以用在安全領(lǐng)域，是否符合IEC61508標準，有兩個(gè)途徑:一是按照IEC61508的原則設計一個(gè)新系統;二是沿用以前已經(jīng)使用并證明是安全的系統，用"proven in use"方法來(lái)驗證?，F場(chǎng)總線(xiàn)系統的功能安全評價(jià)一般都采取第二種方法。這是一個(gè)在"使用中證實(shí)"的概念。如果一種產(chǎn)品或系統已經(jīng)在使用中，只要供應商有足夠的證據證明它是安全的，那么以后相同的產(chǎn)品或系統就允許應用在同等安全的領(lǐng)域。

　　IEC61508中提出的這種"proven in use"的概念對于供應商和用戶(hù)都有極大的激勵作用。目前世界上此重要的設備供應商都開(kāi)始對自己的產(chǎn)品進(jìn)行這方面認證工作。但"Proven in use"實(shí)際上有很?chē)栏竦南拗茥l件:

　　(l)Proven in use方法只能用于那些滿(mǎn)足相關(guān)要求的功能和接口子系統;

　　(2)子系統的工作條件與原子系統的工作條件完全相同或十分相近;

　　(3)如果子系統的工作條件不同，則需要用分析和測試的方法來(lái)論證該系統的功能安全完整性可能達到的水平，以保證該系統可用于安全領(lǐng)域;

　　(4)聲明的失效率有足夠的統計學(xué)數據基礎;

　　(5)收集有足夠的失效數據;

　　(6)考慮了子系統的復雜性，子系統對風(fēng)險降低的貢獻，子系統失效對整個(gè)系統可能造成的后果，新設計等。