現(xiàn)場總線系統(tǒng)的功能安全評價

　　現(xiàn)場總線技術(shù)發(fā)展至今，它的安全性如何仍然是用戶觀望等待的重要因素之一。對于電廠、化工廠、冶煉廠等用戶來說，現(xiàn)場總線的優(yōu)越性己經(jīng)了解很多，有些用戶可能已經(jīng)開始在一些非重要部門采用現(xiàn)場總線控制系統(tǒng)，但要在工廠重要的、與安全相關(guān)的工業(yè)過程采用現(xiàn)場總線控制系統(tǒng)，還需要供應(yīng)商提供更多的資料與保證。

　　現(xiàn)場總線的優(yōu)勢很多，但換一個角度看可能就是劣勢:它的串行結(jié)構(gòu)決定了它能節(jié)省布線、簡化系統(tǒng)安裝、維護(hù)和管理費用、簡化通信協(xié)議、方便解決總線供電等問題，是它的重要優(yōu)勢，但同時也是重要的安全隱患。因為所有控制命令、維護(hù)信息都通過這條單一總線發(fā)送信號，一旦這條總線損壞，這條支路就癱瘓了;產(chǎn)品的可互操作性使用戶選擇產(chǎn)品的自由度增加，成本降低，但多家供應(yīng)商提供的產(chǎn)品在一個系統(tǒng)中運行，它們的可互操作程度能達(dá)到多少?系統(tǒng)監(jiān)控軟件可以提供設(shè)備的預(yù)診斷，但軟件中可能存在的成千上萬個 "bug"如何控制?現(xiàn)場總線上層連接以太網(wǎng)、Internet網(wǎng)，可以實現(xiàn)遠(yuǎn)程在線診斷和維護(hù)，但如果 "黑客"們也通過這個網(wǎng)絡(luò)對系統(tǒng)進(jìn)行遠(yuǎn)程攻擊，我們設(shè)置的密碼是不是足夠?面對種種安全問題，我們是否該就此停步?表1是自動化領(lǐng)域技術(shù)的發(fā)展歷程。

　　上表實際上展示了一種趨勢，技術(shù)發(fā)展的腳步勢不可擋，關(guān)鍵是我們?nèi)绾蝸磉x擇。在考慮安全應(yīng)用的問題時，最終用戶的問題是選擇什么樣的系統(tǒng)，根據(jù)什么來決定在不同重要的場合使用哪種現(xiàn)場總線?如何評價一個現(xiàn)場總線系統(tǒng)的安全性水平?而供應(yīng)商的問題是:我該怎么做才能讓用戶相信自己的產(chǎn)品或系統(tǒng)可以用于安全目的?

　　實際上，他們所提問題的答案都是IEC61508。

　　二、IEC61508概述

　　2000年5月，國際電工委員會正式發(fā)布了IEC61508標(biāo)準(zhǔn)，名為《電氣/電子/可編程電子安全系統(tǒng)的功能安全》，與之對應(yīng)的我國國家標(biāo)準(zhǔn)正在制定中。該標(biāo)準(zhǔn)分七部分，涉及1000多個規(guī)范。

　　由電氣和電子部件構(gòu)成的系統(tǒng)，多年來在許多領(lǐng)域中執(zhí)行安全功能;以計算機為基礎(chǔ)的系統(tǒng)在許多領(lǐng)域中用于非安全目的，但也越來越多地用于安全目的。當(dāng)前計算機、集成電路等技術(shù)的發(fā)展已經(jīng)滲透到所有工業(yè)領(lǐng)域，計算能力的極大增加徹底改變了工廠和工業(yè)過程的控制，也改變了安全控制策略。對于包含有電子、電氣設(shè)備，計算機軟、硬件的系統(tǒng)，要用于關(guān)系到人身財產(chǎn)安全的領(lǐng)域中時，進(jìn)行規(guī)范的安全指導(dǎo)是十分必要的。

　　TEC61508針對由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期，建立了一個基礎(chǔ)的評價方法。目的是要針對以電子為基礎(chǔ)的安全系統(tǒng)提出一個一致的、合理的技術(shù)方案，統(tǒng)籌考慮 單獨系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合的問題。

　　TEC61508的七個部分內(nèi)容分別為:

　　第1部分:一般要求，描述了主要概念、組織、生命期、文檔編制、引導(dǎo)證據(jù)及SIL的定義。

　　第2部分是對電氣/電子/可編程電子安全系統(tǒng)的要求，包括對設(shè)備和系統(tǒng)的要求，它的很多內(nèi)容與第7部分的鑒別方法的應(yīng)用有關(guān)，這些方法解決了隨機或系統(tǒng)失效問題。

　　第3部分是對軟件的要求，描述避免失效的方法，與第7部分的附錄相關(guān)。

　　第4部分是定義和縮略語。

　　第5部分給出一些確定安全完整性水平的方法示例。

　　第6部分包括第2和第3部分的應(yīng)用指南。

　　第7部分給出測試方法，簡短的注釋并提供部分參考書目。

　　(一)IEC61508中的基本定義

　　1.安全功能 (safety function)

　　針對規(guī)定的危險事件，為達(dá)到或保持受控設(shè)備(EUC)的安全狀態(tài)，由E/E/PE安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險降低設(shè)施實現(xiàn)的功能。

　　2.安全完整性 (Safety integrity)

　　在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。這一定義著重于安全系統(tǒng)執(zhí)行安全功能的可靠性。在確定安全完整性過程中，應(yīng)包括所有導(dǎo)致非安全狀態(tài)的因素，如隨機的硬件失效，軟件導(dǎo)致的失效以及由電氣干擾引起的失效，這些失效的類型，尤其是硬件失效可用測量方法來定量，如在危險模式中的失效和系統(tǒng)失效率，或按規(guī)定操作的安全防護(hù)系統(tǒng)失效的概率。但是，系統(tǒng)的安全完整性還取決于許多因素，這些因素?zé)o法精確定量，僅可定性考慮。

　　3.E/E/PE系統(tǒng)

　　基于電氣/電子和可編程電子裝置的用于控制、防護(hù)或監(jiān)視的系統(tǒng)，包括系統(tǒng)中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。

　　4.EUC(Equipment Under Control)

　　受控設(shè)備，指用于制造、運輸、醫(yī)療或其他領(lǐng)域的設(shè)備、機器、裝置或裝備。

　　5.可接受鳳險 (ACCeptable risk)

　　風(fēng)險指的是出現(xiàn)傷害的概率及該傷害嚴(yán)重性的組合。可接受風(fēng)險指根據(jù)當(dāng)今社會的水準(zhǔn)所能夠接受的風(fēng)險。

　　6.安全 (Safety)

　　不存在不可接受的風(fēng)險。

　　7.安全系統(tǒng) (Safely-elated-syStem)

　　是用于兩個目的:一是執(zhí)行要求的安全功能以達(dá)到或保持EUC的安全狀態(tài);二是自身或與其他E/E/PES安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險降低設(shè)施一道，對于要求的安全功能達(dá)到必要的安全完整性。

　　安全系統(tǒng)是在接受命令后采取適當(dāng)?shù)膭幼饕苑乐笶UC進(jìn)入危險狀態(tài)。安全系統(tǒng)的失效應(yīng)被包括在導(dǎo)致確定的危險事件中。盡管可能有其他系統(tǒng)具備安全功能，但僅是指用其自身能力達(dá)到要求的允許風(fēng)險的安全系統(tǒng)。安全系統(tǒng)可大致分為安全控制系統(tǒng)和安全防護(hù)系統(tǒng)。

　　安全系統(tǒng)可以是EUC控制系統(tǒng)的組成部分，也可用傳感器和/或執(zhí)行器與EUC的接口，既可用在EUC控制系統(tǒng)中執(zhí)行安全功能的方式達(dá)到要求的安全完整性水平，也可用分離的/獨立的專門用于安全的系統(tǒng)執(zhí)行安全功能。

　　(二)IEC61508的基本概念

　　TEC61508標(biāo)準(zhǔn)規(guī)定隨機失效的后果必須定量評估，使用隨機存取測量系統(tǒng) (RAMS)方法計算有效性。量化與故障相關(guān)的系統(tǒng)失效是沒有用的，應(yīng)當(dāng)通過組織指導(dǎo)來避免系統(tǒng)失效，或通過技術(shù)措施來控制。

　　1.風(fēng)險和安全完整性慨念

　　2.功能安全保證的內(nèi)容

　　功能安全保證主要包括兩部分內(nèi)容:失效識別和安全完整性水平。

　　(1)失效識別。

　　失效就是功能單元失去實現(xiàn)其功能的能力。一些功能是根據(jù)所達(dá)到的行為進(jìn)行規(guī)定的，在執(zhí)行功能時，某些特定的行為是不允許的，這些行為的出現(xiàn)就是失效。失效可能是隨機失效，這種失效通常由于硬件裝置的耗損所致。也可能是系統(tǒng)失效，這在硬件和軟件中都可能出現(xiàn)。失效識別就是要分辨出不同部件的各種失效原因，估算出系統(tǒng)失效概率。

　　(2)安全完整性水平 (SIL) (safety integrity level)。

　　一種離散的水平，用于規(guī)定分配給E/E/PE安全系統(tǒng)的安全功能的安全完整性要求，安全系統(tǒng)的安全完整性水平越高，安全系統(tǒng)實現(xiàn)所要求的安全功能失敗的可能性就越低。IEC61508中規(guī)定系統(tǒng)有4種安全完整性水平，SIL4是最高的，安全完整性水平1是最低的。

　　三、現(xiàn)場總線系統(tǒng)的功能安全評價

　　(一)現(xiàn)場總線系統(tǒng)完成的功能

　　現(xiàn)場總線系統(tǒng)所起的作用是通信，它包括一組硬件和軟件，允許兩個或多個裝置之間信息交換。在受控過程中，它不應(yīng)該傳播或建立會產(chǎn)生危險情形的錯誤:它應(yīng)能找出數(shù)據(jù)的訛誤，保證實時數(shù)據(jù)的傳送，傳遞應(yīng)有序，避免混亂。同時應(yīng)能隨時了解可能出現(xiàn)的故障狀態(tài)，避免出現(xiàn)因通信錯誤觸發(fā)不合理的安全動作，例如使過程在不該停止時停了下來，或使過程在出現(xiàn)故障時還繼續(xù)工作等。

　　(二)現(xiàn)場總線系統(tǒng)安全功能評價的方法

　　要證明一個系統(tǒng)或子系統(tǒng)是否可以用在安全領(lǐng)域，是否符合IEC61508標(biāo)準(zhǔn)，有兩個途徑:一是按照IEC61508的原則設(shè)計一個新系統(tǒng);二是沿用以前已經(jīng)使用并證明是安全的系統(tǒng)，用"proven in use"方法來驗證。現(xiàn)場總線系統(tǒng)的功能安全評價一般都采取第二種方法。這是一個在"使用中證實"的概念。如果一種產(chǎn)品或系統(tǒng)已經(jīng)在使用中，只要供應(yīng)商有足夠的證據(jù)證明它是安全的，那么以后相同的產(chǎn)品或系統(tǒng)就允許應(yīng)用在同等安全的領(lǐng)域。

　　IEC61508中提出的這種"proven in use"的概念對于供應(yīng)商和用戶都有極大的激勵作用。目前世界上此重要的設(shè)備供應(yīng)商都開始對自己的產(chǎn)品進(jìn)行這方面認(rèn)證工作。但"Proven in use"實際上有很嚴(yán)格的限制條件:

　　(l)Proven in use方法只能用于那些滿足相關(guān)要求的功能和接口子系統(tǒng);

　　(2)子系統(tǒng)的工作條件與原子系統(tǒng)的工作條件完全相同或十分相近;

　　(3)如果子系統(tǒng)的工作條件不同，則需要用分析和測試的方法來論證該系統(tǒng)的功能安全完整性可能達(dá)到的水平，以保證該系統(tǒng)可用于安全領(lǐng)域;

　　(4)聲明的失效率有足夠的統(tǒng)計學(xué)數(shù)據(jù)基礎(chǔ);

　　(5)收集有足夠的失效數(shù)據(jù);

　　(6)考慮了子系統(tǒng)的復(fù)雜性，子系統(tǒng)對風(fēng)險降低的貢獻(xiàn)，子系統(tǒng)失效對整個系統(tǒng)可能造成的后果，新設(shè)計等。