新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 現(xiàn)場(chǎng)總線系統(tǒng)的功能安全評(píng)價(jià)

現(xiàn)場(chǎng)總線系統(tǒng)的功能安全評(píng)價(jià)

作者: 時(shí)間:2016-12-13 來(lái)源:網(wǎng)絡(luò) 收藏
  一、引言

  現(xiàn)場(chǎng)總線技術(shù)發(fā)展至今,它的安全性如何仍然是用戶觀望等待的重要因素之一。對(duì)于電廠、化工廠、冶煉廠等用戶來(lái)說(shuō),現(xiàn)場(chǎng)總線的優(yōu)越性己經(jīng)了解很多,有些用戶可能已經(jīng)開始在一些非重要部門采用現(xiàn)場(chǎng)總線控制系統(tǒng),但要在工廠重要的、與安全相關(guān)的工業(yè)過(guò)程采用現(xiàn)場(chǎng)總線控制系統(tǒng),還需要供應(yīng)商提供更多的資料與保證。

本文引用地址:http://butianyuan.cn/article/201612/329452.htm

  現(xiàn)場(chǎng)總線的優(yōu)勢(shì)很多,但換一個(gè)角度看可能就是劣勢(shì):它的串行結(jié)構(gòu)決定了它能節(jié)省布線、簡(jiǎn)化系統(tǒng)安裝、維護(hù)和管理費(fèi)用、簡(jiǎn)化通信協(xié)議、方便解決總線供電等問(wèn)題,是它的重要優(yōu)勢(shì),但同時(shí)也是重要的安全隱患。因?yàn)樗锌刂泼?、維護(hù)信息都通過(guò)這條單一總線發(fā)送信號(hào),一旦這條總線損壞,這條支路就癱瘓了;產(chǎn)品的可互操作性使用戶選擇產(chǎn)品的自由度增加,成本降低,但多家供應(yīng)商提供的產(chǎn)品在一個(gè)系統(tǒng)中運(yùn)行,它們的可互操作程度能達(dá)到多少?系統(tǒng)監(jiān)控軟件可以提供設(shè)備的預(yù)診斷,但軟件中可能存在的成千上萬(wàn)個(gè) "bug"如何控制?現(xiàn)場(chǎng)總線上層連接以太網(wǎng)、Internet網(wǎng),可以實(shí)現(xiàn)遠(yuǎn)程在線診斷和維護(hù),但如果 "黑客"們也通過(guò)這個(gè)網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程攻擊,我們?cè)O(shè)置的密碼是不是足夠?面對(duì)種種安全問(wèn)題,我們是否該就此停步?表1是自動(dòng)化領(lǐng)域技術(shù)的發(fā)展歷程。

  

  上表實(shí)際上展示了一種趨勢(shì),技術(shù)發(fā)展的腳步勢(shì)不可擋,關(guān)鍵是我們?nèi)绾蝸?lái)選擇。在考慮安全應(yīng)用的問(wèn)題時(shí),最終用戶的問(wèn)題是選擇什么樣的系統(tǒng),根據(jù)什么來(lái)決定在不同重要的場(chǎng)合使用哪種現(xiàn)場(chǎng)總線?如何評(píng)價(jià)一個(gè)現(xiàn)場(chǎng)總線系統(tǒng)的安全性水平?而供應(yīng)商的問(wèn)題是:我該怎么做才能讓用戶相信自己的產(chǎn)品或系統(tǒng)可以用于安全目的?

  實(shí)際上,他們所提問(wèn)題的答案都是IEC61508。

  二、IEC61508概述

  2000年5月,國(guó)際電工委員會(huì)正式發(fā)布了IEC61508標(biāo)準(zhǔn),名為《電氣/電子/可編程電子安全系統(tǒng)的功能安全》,與之對(duì)應(yīng)的我國(guó)國(guó)家標(biāo)準(zhǔn)正在制定中。該標(biāo)準(zhǔn)分七部分,涉及1000多個(gè)規(guī)范。

  由電氣和電子部件構(gòu)成的系統(tǒng),多年來(lái)在許多領(lǐng)域中執(zhí)行安全功能;以計(jì)算機(jī)為基礎(chǔ)的系統(tǒng)在許多領(lǐng)域中用于非安全目的,但也越來(lái)越多地用于安全目的。當(dāng)前計(jì)算機(jī)、集成電路等技術(shù)的發(fā)展已經(jīng)滲透到所有工業(yè)領(lǐng)域,計(jì)算能力的極大增加徹底改變了工廠和工業(yè)過(guò)程的控制,也改變了安全控制策略。對(duì)于包含有電子、電氣設(shè)備,計(jì)算機(jī)軟、硬件的系統(tǒng),要用于關(guān)系到人身財(cái)產(chǎn)安全的領(lǐng)域中時(shí),進(jìn)行規(guī)范的安全指導(dǎo)是十分必要的。

  TEC61508針對(duì)由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期,建立了一個(gè)基礎(chǔ)的評(píng)價(jià)方法。目的是要針對(duì)以電子為基礎(chǔ)的安全系統(tǒng)提出一個(gè)一致的、合理的技術(shù)方案,統(tǒng)籌考慮 單獨(dú)系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合的問(wèn)題。

  TEC61508的七個(gè)部分內(nèi)容分別為:

  第1部分:一般要求,描述了主要概念、組織、生命期、文檔編制、引導(dǎo)證據(jù)及SIL的定義。

  第2部分是對(duì)電氣/電子/可編程電子安全系統(tǒng)的要求,包括對(duì)設(shè)備和系統(tǒng)的要求,它的很多內(nèi)容與第7部分的鑒別方法的應(yīng)用有關(guān),這些方法解決了隨機(jī)或系統(tǒng)失效問(wèn)題。

  第3部分是對(duì)軟件的要求,描述避免失效的方法,與第7部分的附錄相關(guān)。

  第4部分是定義和縮略語(yǔ)。

  第5部分給出一些確定安全完整性水平的方法示例。

  第6部分包括第2和第3部分的應(yīng)用指南。

  第7部分給出測(cè)試方法,簡(jiǎn)短的注釋并提供部分參考書目。

  (一)IEC61508中的基本定義

  1.安全功能 (safety function)

  針對(duì)規(guī)定的危險(xiǎn)事件,為達(dá)到或保持受控設(shè)備(EUC)的安全狀態(tài),由E/E/PE安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險(xiǎn)降低設(shè)施實(shí)現(xiàn)的功能。

  2.安全完整性 (Safety integrity)

  在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi),安全系統(tǒng)成功實(shí)現(xiàn)所要求的安全功能的概率。這一定義著重于安全系統(tǒng)執(zhí)行安全功能的可靠性。在確定安全完整性過(guò)程中,應(yīng)包括所有導(dǎo)致非安全狀態(tài)的因素,如隨機(jī)的硬件失效,軟件導(dǎo)致的失效以及由電氣干擾引起的失效,這些失效的類型,尤其是硬件失效可用測(cè)量方法來(lái)定量,如在危險(xiǎn)模式中的失效和系統(tǒng)失效率,或按規(guī)定操作的安全防護(hù)系統(tǒng)失效的概率。但是,系統(tǒng)的安全完整性還取決于許多因素,這些因素?zé)o法精確定量,僅可定性考慮。

  3.E/E/PE系統(tǒng)

  基于電氣/電子和可編程電子裝置的用于控制、防護(hù)或監(jiān)視的系統(tǒng),包括系統(tǒng)中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。

  4.EUC(Equipment Under Control)

  受控設(shè)備,指用于制造、運(yùn)輸、醫(yī)療或其他領(lǐng)域的設(shè)備、機(jī)器、裝置或裝備。

  5.可接受鳳險(xiǎn) (ACCeptable risk)

  風(fēng)險(xiǎn)指的是出現(xiàn)傷害的概率及該傷害嚴(yán)重性的組合??山邮茱L(fēng)險(xiǎn)指根據(jù)當(dāng)今社會(huì)的水準(zhǔn)所能夠接受的風(fēng)險(xiǎn)。

  6.安全 (Safety)

  不存在不可接受的風(fēng)險(xiǎn)。

  7.安全系統(tǒng) (Safely-elated-syStem)

  是用于兩個(gè)目的:一是執(zhí)行要求的安全功能以達(dá)到或保持EUC的安全狀態(tài);二是自身或與其他E/E/PES安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險(xiǎn)降低設(shè)施一道,對(duì)于要求的安全功能達(dá)到必要的安全完整性。

  安全系統(tǒng)是在接受命令后采取適當(dāng)?shù)膭?dòng)作以防止EUC進(jìn)入危險(xiǎn)狀態(tài)。安全系統(tǒng)的失效應(yīng)被包括在導(dǎo)致確定的危險(xiǎn)事件中。盡管可能有其他系統(tǒng)具備安全功能,但僅是指用其自身能力達(dá)到要求的允許風(fēng)險(xiǎn)的安全系統(tǒng)。安全系統(tǒng)可大致分為安全控制系統(tǒng)和安全防護(hù)系統(tǒng)。

  安全系統(tǒng)可以是EUC控制系統(tǒng)的組成部分,也可用傳感器和/或執(zhí)行器與EUC的接口,既可用在EUC控制系統(tǒng)中執(zhí)行安全功能的方式達(dá)到要求的安全完整性水平,也可用分離的/獨(dú)立的專門用于安全的系統(tǒng)執(zhí)行安全功能。

  (二)IEC61508的基本概念

  TEC61508標(biāo)準(zhǔn)規(guī)定隨機(jī)失效的后果必須定量評(píng)估,使用隨機(jī)存取測(cè)量系統(tǒng) (RAMS)方法計(jì)算有效性。量化與故障相關(guān)的系統(tǒng)失效是沒(méi)有用的,應(yīng)當(dāng)通過(guò)組織指導(dǎo)來(lái)避免系統(tǒng)失效,或通過(guò)技術(shù)措施來(lái)控制。

  1.風(fēng)險(xiǎn)和安全完整性慨念

  

  2.功能安全保證的內(nèi)容

  功能安全保證主要包括兩部分內(nèi)容:失效識(shí)別和安全完整性水平。

  (1)失效識(shí)別。

  失效就是功能單元失去實(shí)現(xiàn)其功能的能力。一些功能是根據(jù)所達(dá)到的行為進(jìn)行規(guī)定的,在執(zhí)行功能時(shí),某些特定的行為是不允許的,這些行為的出現(xiàn)就是失效。失效可能是隨機(jī)失效,這種失效通常由于硬件裝置的耗損所致。也可能是系統(tǒng)失效,這在硬件和軟件中都可能出現(xiàn)。失效識(shí)別就是要分辨出不同部件的各種失效原因,估算出系統(tǒng)失效概率。

  (2)安全完整性水平 (SIL) (safety integrity level)。

  一種離散的水平,用于規(guī)定分配給E/E/PE安全系統(tǒng)的安全功能的安全完整性要求,安全系統(tǒng)的安全完整性水平越高,安全系統(tǒng)實(shí)現(xiàn)所要求的安全功能失敗的可能性就越低。IEC61508中規(guī)定系統(tǒng)有4種安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。

  

  三、現(xiàn)場(chǎng)總線系統(tǒng)的功能安全評(píng)價(jià)

  (一)現(xiàn)場(chǎng)總線系統(tǒng)完成的功能

  現(xiàn)場(chǎng)總線系統(tǒng)所起的作用是通信,它包括一組硬件和軟件,允許兩個(gè)或多個(gè)裝置之間信息交換。在受控過(guò)程中,它不應(yīng)該傳播或建立會(huì)產(chǎn)生危險(xiǎn)情形的錯(cuò)誤:它應(yīng)能找出數(shù)據(jù)的訛誤,保證實(shí)時(shí)數(shù)據(jù)的傳送,傳遞應(yīng)有序,避免混亂。同時(shí)應(yīng)能隨時(shí)了解可能出現(xiàn)的故障狀態(tài),避免出現(xiàn)因通信錯(cuò)誤觸發(fā)不合理的安全動(dòng)作,例如使過(guò)程在不該停止時(shí)停了下來(lái),或使過(guò)程在出現(xiàn)故障時(shí)還繼續(xù)工作等。

  (二)現(xiàn)場(chǎng)總線系統(tǒng)安全功能評(píng)價(jià)的方法

  要證明一個(gè)系統(tǒng)或子系統(tǒng)是否可以用在安全領(lǐng)域,是否符合IEC61508標(biāo)準(zhǔn),有兩個(gè)途徑:一是按照IEC61508的原則設(shè)計(jì)一個(gè)新系統(tǒng);二是沿用以前已經(jīng)使用并證明是安全的系統(tǒng),用"proven in use"方法來(lái)驗(yàn)證。現(xiàn)場(chǎng)總線系統(tǒng)的功能安全評(píng)價(jià)一般都采取第二種方法。這是一個(gè)在"使用中證實(shí)"的概念。如果一種產(chǎn)品或系統(tǒng)已經(jīng)在使用中,只要供應(yīng)商有足夠的證據(jù)證明它是安全的,那么以后相同的產(chǎn)品或系統(tǒng)就允許應(yīng)用在同等安全的領(lǐng)域。

  IEC61508中提出的這種"proven in use"的概念對(duì)于供應(yīng)商和用戶都有極大的激勵(lì)作用。目前世界上此重要的設(shè)備供應(yīng)商都開始對(duì)自己的產(chǎn)品進(jìn)行這方面認(rèn)證工作。但"Proven in use"實(shí)際上有很嚴(yán)格的限制條件:

  (l)Proven in use方法只能用于那些滿足相關(guān)要求的功能和接口子系統(tǒng);

  (2)子系統(tǒng)的工作條件與原子系統(tǒng)的工作條件完全相同或十分相近;

  (3)如果子系統(tǒng)的工作條件不同,則需要用分析和測(cè)試的方法來(lái)論證該系統(tǒng)的功能安全完整性可能達(dá)到的水平,以保證該系統(tǒng)可用于安全領(lǐng)域;

  (4)聲明的失效率有足夠的統(tǒng)計(jì)學(xué)數(shù)據(jù)基礎(chǔ);

  (5)收集有足夠的失效數(shù)據(jù);

  (6)考慮了子系統(tǒng)的復(fù)雜性,子系統(tǒng)對(duì)風(fēng)險(xiǎn)降低的貢獻(xiàn),子系統(tǒng)失效對(duì)整個(gè)系統(tǒng)可能造成的后果,新設(shè)計(jì)等。



評(píng)論


技術(shù)專區(qū)

關(guān)閉