一、导言
现场总线技能开展至今,它的安全性怎么仍然是用户张望等候的重要要素之一。关于电厂、化工厂、冶炼厂等用户来说,现场总线的优越性己经了解许多,有些用户或许现已开端在一些非重要部分选用现场总线操控体系,但要在工厂重要的、与安全相关的工业进程选用现场总线操控体系,还需要供货商供给更多的材料与确保。
现场总线的优势许多,但换一个视点看或许便是下风:它的串行结构决议了它能节约布线、简化体系设备、保护和管理费用、简化通讯协议、便利处理总线供电等问题,是它的重要优势,但一起也是重要的安全隐患。因为一切操控指令、保护信息都经过这条单一总线发送信号,一旦这条总线损坏,这条支路就瘫痪了;产品的可互操作性运用户挑选产品的自由度添加,本钱下降,但多家供货商供给的产品在一个体系中运转,它们的可互操作程度能到达多少?体系监控软件能够供给设备的预确诊,但软件中或许存在的不计其数个 “bug”怎么操控?现场总线上层衔接以太网、Internet网,能够完结长途在线确诊和保护,但假如 “黑客”们也经过这个网络对体系进行长途进犯,咱们设置的暗码是不是满意?面临种种安全问题,咱们是否该就此留步?表1是自动化范畴技能的开展进程。
上表实践上展现了一种趋势,技能开展的脚步势不行挡,关键是咱们怎么来挑选。在考虑安全运用的问题时,最终用户的问题是挑选什么样的体系,依据什么来决议在不同重要的场合运用哪种现场总线?怎么点评一个现场总线体系的安全性水平?而供货商的问题是:我该怎么做才能让用户信任自己的产品或体系能够用于安全意图?
实践上,他们所提问题的答案都是IEC61508。
二、IEC61508概述
2000年5月,世界电工委员会正式发布了IEC61508规范,名为《电气/电子/可编程电子安全体系的功用安全》,与之对应的我国国家规范正在拟定中。该规范分七部分,触及1000多个规范。
由电气和电子部件构成的体系,多年来在许多范畴中履行安全功用;以核算机为根底的体系在许多范畴中用于非安全意图,但也越来越多地用于安全意图。当时核算机、%&&&&&%等技能的开展现已渗透到一切工业范畴,核算才能的极大添加彻底改变了工厂和工业进程的操控,也改变了安全操控战略。关于包含有电子、电气设备,核算机软、硬件的体系,要用于关系到人身产业安全的范畴中时,进行规范的安全辅导是非常必要的。
TEC61508针对由电气/电子/可编程电子部件构成的、起安全效果的电气/电子/可编程电子体系(E/E/PE)的全体安全生命周期,树立了一个根底的点评办法。意图是要针对以电子为根底的安全体系提出一个共同的、合理的技能计划,统筹考虑 独自体系(如传感器、通讯体系、操控设备、履行器等)中元件与安全体系组合的问题。
TEC61508的七个部分内容分别为:
第1部分:一般要求,描绘了首要概念、安排、生命期、文档编制、引导依据及SIL的界说。
第2部分是对电气/电子/可编程电子安全体系的要求,包含对设备和体系的要求,它的许多内容与第7部分的鉴别办法的运用有关,这些办法处理了随机或体系失效问题。
第3部分是对软件的要求,描绘防止失效的办法,与第7部分的附录相关。
第4部分是界说和缩略语。
第5部分给出一些确认安全完好性水平的办法示例。
第6部分包含第2和第3部分的运用攻略。
第7部分给出测验办法,简略的注释并供给部分参考书目。
(一)IEC61508中的根本界说
1.安全功用 (safety function)
针对规则的危险事情,为到达或坚持受控设备(EUC)的安全状况,由E/E/PE安全体系、其他技能安全体系或外部危险下降设备完结的功用。
2.安全完好性 (Safety integrity)
在规则的条件下、规则的时间内,安全体系成功完结所要求的安全功用的概率。这一界说着重于安全体系履行安全功用的可靠性。在确认安全完好性进程中,应包含一切导致非安全状况的要素,如随机的硬件失效,软件导致的失效以及由电气搅扰引起的失效,这些失效的类型,尤其是硬件失效可用丈量办法来定量,如在危险形式中的失效和体系失功率,或按规则操作的安全防护体系失效的概率。可是,体系的安全完好性还取决于许多要素,这些要素无法准确认量,仅可定性考虑。
3.E/E/PE体系
依据电气/电子和可编程电子设备的用于操控、防护或监督的体系,包含体系中一切的元素如电源、传感器、一切其他输入输出设备及一切通讯手法。
4.EUC(Equipment Under Control)
受控设备,指用于制作、运送、医疗或其他范畴的设备、机器、设备或配备。
5.可承受凤险 (ACCeptable risk)
危险指的是呈现损伤的概率及该损伤严重性的组合。可承受危险指依据当今社会的水准所能够承受的危险。
6.安全 (Safety)
不存在不行承受的危险。
7.安全体系 (Safely-elated-syStem)
是用于两个意图:一是履行要求的安全功用以到达或坚持EUC的安全状况;二是本身或与其他E/E/PES安全体系、其他技能安全体系或外部危险下降设备一道,关于要求的安全功用到达必要的安全完好性。
安全体系是在承受指令后采纳恰当的动作以防止EUC进入危险状况。安全体系的失效应被包含在导致确认的危险事情中。虽然或许有其他体系具有安全功用,但仅是指用其本身才能到达要求的答应危险的安全体系。安全体系可大致分为安全操控体系和安全防护体系。
安全体系能够是EUC操控体系的组成部分,也可用传感器和/或履行器与EUC的接口,既可用在EUC操控体系中履行安全功用的办法到达要求的安全完好性水平,也可用别离的/独立的专门用于安全的体系履行安全功用。
(二)IEC61508的根本概念
TEC61508规范规则随机失效的结果有必要定量点评,运用随机存取丈量体系 (RAMS)办法核算有效性。量化与毛病相关的体系失效是没有用的,应当经过安排辅导来防止体系失效,或经过技能措施来操控。
1.危险和安全完好性慨念
2.功用安全确保的内容
功用安全确保首要包含两部分内容:失效辨认和安全完好性水平。
(1)失效辨认。
失效便是功用单元失掉完结其功用的才能。一些功用是依据所到达的行为进行规则的,在履行功用时,某些特定的行为是不答应的,这些行为的呈现便是失效。失效或许是随机失效,这种失效一般因为硬件设备的耗费所形成的。也或许是体系失效,这在硬件和软件中都或许呈现。失效辨认便是要分辨出不同部件的各种失效原因,估算出体系失效概率。
(2)安全完好性水平 (SIL) (safety integrity level)。
一种离散的水平,用于规则分配给E/E/PE安全体系的安全功用的安全完好性要求,安全体系的安全完好性水平越高,安全体系完结所要求的安全功用失利的或许性就越低。IEC61508中规则体系有4种安全完好性水平,SIL4是最高的,安全完好性水平1是最低的。
三、现场总线体系的功用安全点评
(一)现场总线体系完结的功用
现场总线体系所起的效果是通讯,它包含一组硬件和软件,答应两个或多个设备之间信息交流。在受控进程中,它不应该传达或树立会发生危险景象的过错:它应能找出数据的讹谬,确保实时数据的传送,传递应有序,防止紊乱。一起应能随时了解或许呈现的毛病状况,防止呈现因通讯过错触发不合理的安全动作,例如使进程在不应中止时停了下来,或使进程在呈现毛病时还持续作业等。
(二)现场总线体系安全功用点评的办法
要证明一个体系或子体系是否能够用在安全范畴,是否契合IEC61508规范,有两个途径:一是依照IEC61508的准则规划一个新体系;二是沿袭曾经现已运用并证明是安全的体系,用”proven in use”办法来验证。现场总线体系的功用安全点评一般都采纳第二种办法。这是一个在”运用中证明”的概念。假如一种产品或体系现已在运用中,只需供货商有满意的依据证明它是安全的,那么今后相同的产品或体系就答应运用在平等安全的范畴。
IEC61508中提出的这种”proven in use”的概念关于供货商和用户都有极大的鼓励效果。现在世界上此重要的设备供货商都开端对自己的产品进行这方面认证作业。但”Proven in use”实践上有很严厉的约束条件:
(l)Proven in use办法只能用于那些满意相关要求的功用和接口子体系;
(2)子体系的作业条件与原子体系的作业条件彻底相同或非常附近;
(3)假如子体系的作业条件不同,则需要用剖析和测验的办法来证明该体系的功用安全完好性或许到达的水平,以确保该体系可用于安全范畴;
(4)声明的失功率有满意的统计学数据根底;
(5)搜集有满意的失效数据;
(6)考虑了子体系的复杂性,子体系对危险下降的奉献,子体系失效对整个体系或许形成的结果,新规划等。
