现场总线系统的功能安全评价
来源:欧宝手机网页版 发布时间:2023-12-25 16:33:49发展至今,它的安全性如何仍然是用户观望等待的主要的因素之一。对于电厂、化工厂、冶炼厂等用户来说,控制管理系统,但要在工厂重要的、与安全相关的工业过程采用现场总线控制管理系统,还需要供应商提供更多的资料与保证。
现场总线的优势很多,但换一个角度看可能就是劣势:它的串行结构决定了它能节省布线、简化系统安装、维护和管理费用、简化通信协议、方便解决总线供电等问题,是它的重要优势,但同时也是重要的安全风险隐患。因为所有控制命令、维护信息都通过这条单一总线发送信号,一旦这条总线损坏,这条支路就瘫痪了;产品的可互操作性使用户选择产品的自由度增加,成本降低,但多家供应商提供的产品在一个系统中运行,它们的可互操作程度能达到多少?系统监控软件能够给大家提供设备的预诊断,但软件中有几率存在的成千上万个 bug怎么来控制?现场总线上层连接以太网、Internet网,能轻松实现远程在线诊断和维护,但如果 黑客们也通过这一个网络对系统来进行远程攻击,我们设置的密码是不是足够?面对种种安全问题,我们是不是该就此停步?表1是自动化领域技术的发展历程。
上表实际上展示了一种趋势,技术发展的脚步势不可挡,关键是我们如何来选择。在考虑安全应用的问题时,最终用户的问题是选择什么样的系统,根据什么来决定在不同重要的场合使用哪种现场总线?如何评价一个现场总线系统的安全性水平?而供应商的问题是:我该如何去做才可以让用户相信自身的产品或系统能用于安全目的?
2000年5月,国际电工委员会正式对外发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》,与之对应的我国国家标准正在制定中。该标准分七部分,涉及1000多个规范。
由电气和电子部件构成的系统,多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的,但也慢慢变得多地用于安全目的。当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。
TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑 单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。
第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。
第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这一些方法解决了随机或系统失效问题。
针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。
在规定的条件下、规定的时间内,安全系统成功实现所要求的安全功能的概率。这一定义着重于安全系统执行安全功能的可靠性。在确定安全完整性过程中,应包括所有导致非安全状态的因素,如随机的硬件失效,软件导致的失效以及由电气干扰引起的失效,这些失效的类型,尤其是硬件失效可用测量方法来定量,如在危险模式中的失效和系统失效率,或按规定操作的安全防护系统失效的概率。但是,系统的安全完整性还取决于许多因素,这一些因素无法精确定量,仅可定性考虑。
基于电气/电子和可编程电子装置的用于控制、防护或监视的系统,包括系统中所有的元素如电源、传感器、所有其他输入输出装置及所有通信手段。
风险指的是出现伤害的概率及该伤害严重性的组合。可接受风险指根据当今社会的水准所可接受的风险。
是用于两个目的:一是执行要求的安全功能以达到或保持EUC的安全状态;二是自身或与其他E/E/PES安全系统、其他技术安全系统或外部风险降低设施一道,对于要求的安全功能达到必要的安全完整性。
安全系统是在接受命令后采取适当的动作以防止EUC进入危险状态。安全系统的失效应被包括在导致确定的危险事件中。尽管可能有其他系统具备安全功能,但仅是指用其自身能力达到一定的要求的允许风险的安全系统。安全系统可大致分为安全控制管理系统和安全防护系统。
安全系统可以是EUC控制管理系统的组成部分,也可用传感器和/或执行器与EUC的接口,既可用在EUC控制管理系统中执行安全功能的方式达到一定的要求的安全完整性水平,也可用分离的/独立的专门用于安全的系统执行安全功能。
TEC61508标准规定随机失效的后果必须定量评估,使用随机存取测量系统 (RAMS)方法计算有效性。量化与故障相关的系统失效是没有用的,应当通过组织指导来避免系统失效,或通过技术措施来控制。
失效就是功能单元失去实现其功能的能力。一些功能是根据所达到的行为进行规定的,在执行功能时,某些特定的行为是不允许的,这些行为的出现就是失效。失效可能是随机失效,这种失效通常由于硬件装置的耗损所致。也可能是系统失效,这在硬件和软件中都也许会出现。失效识别就是要分辨出不同部件的各种失效原因,估算出系统失效概率。
一种离散的水平,用于规定分配给E/E/PE安全系统的安全功能的安全完整性要求,安全系统的安全完整性水平越高,安全系统实现所要求的安全功能失败的可能性就越低。IEC61508中规定系统有4种安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。
现场总线系统所起的作用是通信,它包括一组硬件和软件,允许两个或多个装置之间信息交换。在受控过程中,它不应该传播或建立会产生危险情形的错误:它应能找出数据的讹误,保证实时数据的传送,传递应有序,避免混乱。同时应能随便什么时候都可以了解也许会出现的故障状态,防止因通信错误触发不合理的安全动作,例如使过程在不该停止时停了下来,或使过程在发生故障时还继续工作等。
要证明一个系统或子系统是不是能够用在安全领域,是不是满足IEC61508标准,有两个途径:一是按照IEC61508的原则设计一个新系统;二是沿用以前已经使用并证明是安全的系统,用proven in use方法来验证。现场总线系统的功能安全评价一般都采取第二种方法。这是一个在使用中证实的概念。如果一种产品或系统已经在使用中,只要供应商有足够的证据证明它是安全的,那么以后相同的产品或系统就允许应用在同等安全的领域。
IEC61508中提出的这种proven in use的概念对于供应商与用户都有极大的激励作用。目前世界上此重要的设备供应商都开始对自己的产品做这方面认证工作。但Proven in use实际上有很严格的限制条件:
(l)Proven in use方法只能用于那些满足有关要求的功能和接口子系统;
(3)如果子系统的工作条件不同,则需要用分析和测试的方法来论证该系统的功能安全完整性可能达到的水平,以保证该系统可用于安全领域;
(6)考虑了子系统的复杂性,子系统对风险降低的贡献,子系统失效对总系统会造成的后果,新设计等。