今日頭條
官方微信
官方抖音
案例頻道
作者簡(jiǎn)介:史學(xué)玲,機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所副總工程師,功能安全中心主任,教授級(jí)高工。1982年畢業(yè)于浙江大學(xué),近年來(lái)主要致力于以IEC61508為基礎(chǔ)的功能安全技術(shù)研究。主持并完成了包括國(guó)家軟科學(xué)研究項(xiàng)目、國(guó)家“863”項(xiàng)目、科技部科研院所開(kāi)發(fā)項(xiàng)目等多項(xiàng)功能安全相關(guān)課題,是IEC61511國(guó)際標(biāo)準(zhǔn)工作組專家,TüV認(rèn)證的功能安全工程師,在多份雜志及學(xué)術(shù)期刊上發(fā)表了多篇有關(guān)功能安全的論文,對(duì)功能安全標(biāo)準(zhǔn)及標(biāo)準(zhǔn)實(shí)施認(rèn)證相關(guān)的技術(shù)、法律、政策等問(wèn)題有深入研究。
摘 要:安全性表現(xiàn)產(chǎn)品的安全品質(zhì),是通過(guò)設(shè)計(jì)、制造出來(lái)的,但只靠產(chǎn)品無(wú)法維持。自動(dòng)化產(chǎn)品的安全品質(zhì)表現(xiàn)在兩個(gè)方面,一是單個(gè)產(chǎn)品的安全性,二是作為系統(tǒng)的一個(gè)單元時(shí)的系統(tǒng)安全性。
關(guān)鍵詞:安全性問(wèn)題;安全品質(zhì);功能安全;安全完整性等級(jí)
Abstract: Safety is one kind of product characteristics,the safety characteristic of a product is dominated by the process of design and manufacture,but it can not be sustained by product itself.Two aspects the safety of single product and the whole system’s safety when a product acts as a union in the loop,play a large role in the safety characteristic of Automation product.
Key words:safety problem;safety characteristic;functional safety;SIL
隨著社會(huì)進(jìn)步,政府和企業(yè)在安全方面的投入日益增大。為了改善效益,越來(lái)越多的儀表與自動(dòng)化企業(yè)正在著手向安全領(lǐng)域轉(zhuǎn)產(chǎn),如傳統(tǒng)生產(chǎn)DCS的企業(yè)向SIS領(lǐng)域進(jìn)軍、傳統(tǒng)的PLC企業(yè)轉(zhuǎn)而生產(chǎn)安全PLC、傳統(tǒng)的儀表企業(yè)開(kāi)始研制安全型儀表等等。但如果不能正確理解與掌握“安全性”問(wèn)題,不了解產(chǎn)品應(yīng)具備什么安全特征,這樣的轉(zhuǎn)產(chǎn)是有很大風(fēng)險(xiǎn)的。
本文介紹一下儀表與自動(dòng)化產(chǎn)品的安全性問(wèn)題,同時(shí)介紹其產(chǎn)品具有的安全特征。
1 安全性問(wèn)題的基礎(chǔ)
安全性表現(xiàn)產(chǎn)品的安全品質(zhì),是通過(guò)設(shè)計(jì)、制造出來(lái)的,但只靠產(chǎn)品無(wú)法維持。安全有其自身特點(diǎn),不了解其基本概念與方法,僅靠原有的自動(dòng)化技術(shù)知識(shí)是不能合理地處理安全性問(wèn)題的。
從事安全工作的人必須深刻了解以下幾個(gè)要點(diǎn):
(1)安全的對(duì)象是人
我們說(shuō),自動(dòng)化控制系統(tǒng)可以用來(lái)保護(hù)人、環(huán)境與設(shè)備,但安全的最終關(guān)注點(diǎn)在人,也就是說(shuō),安全的對(duì)象是人。是人就會(huì)有人性的弱點(diǎn),出了事故就要考慮承擔(dān)法律責(zé)任。要充分考慮所有與人有關(guān)的安全模式,執(zhí)行安全標(biāo)準(zhǔn)來(lái)規(guī)避風(fēng)險(xiǎn),避免法律糾紛。
·理解人性弱點(diǎn),增加生理學(xué)知識(shí)
由于人性的弱點(diǎn),會(huì)產(chǎn)生無(wú)知、好奇、恐慌等不良情緒,誤判導(dǎo)致錯(cuò)誤操作最終導(dǎo)致事故,應(yīng)盡可能對(duì)上述所有異常行為采取相應(yīng)措施,如果不能,也需要對(duì)使用者規(guī)定一般的素質(zhì)要求,針對(duì)不同的種類考慮不同的限制,規(guī)定相應(yīng)的界限。
舉一些例子。某飛機(jī)進(jìn)入著陸姿勢(shì)時(shí)開(kāi)關(guān)已經(jīng)扳向自動(dòng)操縱方式,但飛行員錯(cuò)誤地認(rèn)為處于手動(dòng)位置,并持續(xù)地扳動(dòng)操縱桿,結(jié)果自動(dòng)裝置向相反方面動(dòng)作,最終導(dǎo)致了墜機(jī)事故。某段鐵路的兩個(gè)信號(hào)表示不同線路的狀態(tài),司機(jī)由于看錯(cuò)了相鄰的信號(hào)而發(fā)生撞車事故。有很多安全事故的原因違反了技術(shù)人員的常識(shí),是技術(shù)人員所不能理解的。如電梯中有開(kāi)門和關(guān)門兩個(gè)按鈕,電路設(shè)計(jì)時(shí)會(huì)充分考慮按下任意按鈕時(shí)電梯應(yīng)做出的反映,但乘客可能會(huì)同時(shí)按下兩個(gè)按扭,或者以極微小的時(shí)差按下兩個(gè)按鈕。對(duì)于這種“游戲”動(dòng)作估計(jì)不足,就會(huì)導(dǎo)致電梯非正常停車,結(jié)果把乘客關(guān)在電梯中,不得不靠外面的救援。
這類錯(cuò)誤很多,安全產(chǎn)品開(kāi)發(fā)時(shí)應(yīng)從生理學(xué)的角度進(jìn)行深入研究,并找出避免出錯(cuò)的措施;充分考慮異常的動(dòng)作、對(duì)狀況判斷失誤等“可預(yù)見(jiàn)與不可預(yù)見(jiàn)的”事件,即使萬(wàn)一出錯(cuò),也應(yīng)該有補(bǔ)救的方法,不至于最終導(dǎo)致事故。
·了解與人有關(guān)的安全模式。
研究安全模式就是找出產(chǎn)品使用過(guò)程中所有可能導(dǎo)致人員傷害的機(jī)制與可能性。
自動(dòng)化產(chǎn)品與系統(tǒng)的安全模式主要分為兩類。第一類是與功能失效相關(guān)的安全模式,在領(lǐng)域內(nèi)人們稱這類安全為功能安全,如緊急停車系統(tǒng)的故障會(huì)導(dǎo)致危險(xiǎn)時(shí)無(wú)法緊急停機(jī);第二類是產(chǎn)品在使用過(guò)程中對(duì)人體產(chǎn)生如觸電、電擊、熱燙、著火、爆炸、機(jī)械等直接的傷害,在領(lǐng)域內(nèi)人們稱這類安全為電氣安全、機(jī)械安全與防爆安全。
(2)安全需要高成本
為“安全”而設(shè)計(jì)的自動(dòng)化產(chǎn)品,其結(jié)構(gòu)會(huì)比原來(lái)只考慮功能結(jié)構(gòu)時(shí)復(fù)雜,成本也會(huì)增加。如果不肯下功夫增成本,就會(huì)制造出危險(xiǎn)的產(chǎn)品,一旦發(fā)生事故,造成巨大的損失。
(3)危險(xiǎn)特點(diǎn)要了解
應(yīng)用于安全領(lǐng)域的儀表與自動(dòng)化產(chǎn)品,承擔(dān)著“在生產(chǎn)過(guò)程中監(jiān)測(cè)與安全有關(guān)的狀態(tài)參數(shù),發(fā)現(xiàn)故障與異常,及時(shí)采取措施以避免事故發(fā)生”的重要任務(wù),但不同的應(yīng)用領(lǐng)域危險(xiǎn)特點(diǎn)不同,不了解這些特點(diǎn),輕易轉(zhuǎn)產(chǎn)到“安全領(lǐng)域”,容易忽視新的應(yīng)注意的問(wèn)題點(diǎn),導(dǎo)致重要損失。
例如,某工廠在加工過(guò)程中使用大量酒精,由于設(shè)置在廠房頂部的排風(fēng)扇發(fā)生故障,致使酒精濃度上升,引起爆炸。分析事故原因時(shí),發(fā)現(xiàn)原來(lái)設(shè)計(jì)安全控制方案時(shí)已經(jīng)預(yù)料到風(fēng)扇故障會(huì)導(dǎo)致爆炸危險(xiǎn),所以設(shè)計(jì)安裝了安全聯(lián)鎖裝置來(lái)監(jiān)視電動(dòng)機(jī)轉(zhuǎn)速,保證電動(dòng)機(jī)停時(shí)生產(chǎn)線停。但沒(méi)料到的是,傳動(dòng)皮帶輪脫落導(dǎo)致不能排氣,這種故障在一般的工廠是通過(guò)使用者定期檢查皮帶張力時(shí)發(fā)現(xiàn)的,但這家工廠的屋頂非常高,維修人員無(wú)法到達(dá),安全控制方案的設(shè)計(jì)者沒(méi)有充分考慮該廠的實(shí)際情況。在安全控制方案存在嚴(yán)重缺陷的情況下,安全聯(lián)鎖裝置設(shè)計(jì)得再好、產(chǎn)品再可靠,安全性也沒(méi)有保障。
(4)標(biāo)準(zhǔn)規(guī)范很重要
重大事故是低概率事件,一個(gè)企業(yè)不可能都經(jīng)歷過(guò),企業(yè)內(nèi)的個(gè)人沒(méi)有學(xué)習(xí)過(guò)有關(guān)經(jīng)驗(yàn),這與通過(guò)積累經(jīng)驗(yàn)取得進(jìn)步的質(zhì)量管理是完全不同的,因此,借鑒外部他人的經(jīng)驗(yàn),執(zhí)行行業(yè)公認(rèn)的標(biāo)準(zhǔn)是十分重要的。
比如說(shuō),功能安全標(biāo)準(zhǔn)是歐美等國(guó)安全控制領(lǐng)域的專家多年經(jīng)驗(yàn)的總結(jié),它不但提出了一整套完整的實(shí)現(xiàn)安全的方案,還規(guī)定了從控制方案提出、實(shí)現(xiàn)直到停用的整個(gè)生命周期中所有相關(guān)人員的工作目標(biāo)與職責(zé),建立了與安全控制相關(guān)的法律責(zé)任體系。執(zhí)行標(biāo)準(zhǔn)是保證安全的重要措施,同時(shí)也是規(guī)避風(fēng)險(xiǎn)、免除法律責(zé)任的重要手段。
2 自動(dòng)化產(chǎn)品應(yīng)具備的安全品質(zhì)
產(chǎn)品的安全品質(zhì)表現(xiàn)在兩個(gè)方面:一是單個(gè)產(chǎn)品的安全性,二是單個(gè)產(chǎn)品作為系統(tǒng)的一個(gè)單元時(shí),需要考慮的系統(tǒng)安全性。
單個(gè)產(chǎn)品的安全性是每一個(gè)產(chǎn)品都必須滿足的安全品質(zhì),自動(dòng)化產(chǎn)品的安全品質(zhì)首先表現(xiàn)在防爆安全、電氣安全與機(jī)械安全等方面,也就是說(shuō),產(chǎn)品使用過(guò)程中不能對(duì)人體與環(huán)境產(chǎn)生如觸電、電擊、熱燙、著火、爆炸、機(jī)械等直接的傷害。
自動(dòng)化產(chǎn)品的系統(tǒng)安全性主要表現(xiàn)在功能安全方面。獨(dú)立的儀表及自動(dòng)化產(chǎn)品不存在功能安全問(wèn)題,但它用于組合成安全控制系統(tǒng)或安全保護(hù)系統(tǒng)時(shí),就需要考慮它執(zhí)行某一特定安全功能的能力,用SIL表示,即產(chǎn)品的安全完整性能力(SIL Capable),或稱為該產(chǎn)品最大可聲明的SIL等級(jí)。
這很像由多塊木板組成的一個(gè)木桶,拿出任何一塊木板,問(wèn)這塊木板能不能讓桶里的水保持1米的水位,誰(shuí)都回答不了。組成這個(gè)木桶的每一塊木板必須足夠長(zhǎng),才能組成一個(gè)能裝至少1米深水的木桶。
產(chǎn)品具有越高等級(jí)的SIL,就表示該產(chǎn)品可以被用于更高等級(jí)的安全相關(guān)系統(tǒng)中,有能力承擔(dān)更高等級(jí)的風(fēng)險(xiǎn)控制任務(wù)。
具有SIL能力的產(chǎn)品,或稱為功能安全型產(chǎn)品的主要特征是能有效地避免故障與失效。對(duì)于純硬件組成的產(chǎn)品,技術(shù)的核心集中在如何避免硬件隨機(jī)失效,而對(duì)于由軟硬件組合的自動(dòng)化產(chǎn)品,技術(shù)的核心除了考慮避免硬件隨機(jī)失效,還要避免系統(tǒng)失效。系統(tǒng)失效是只有對(duì)設(shè)計(jì)或制造過(guò)程、操作規(guī)程、文檔或其它相關(guān)因素進(jìn)行修改后,才有可能排除的失效。
概要地說(shuō),儀表與自動(dòng)化產(chǎn)品如果聲稱具有安全完整性能力,它必須具有以下特性:
(1)有確定、較高的產(chǎn)品可靠性
提高產(chǎn)品可靠性,就是降低硬件中由一種或幾種機(jī)能退化可能產(chǎn)生的隨機(jī)失效率。該失效率是SIL中唯一可用可靠性工程方法定量確定的部分,根據(jù)每個(gè)組成部件的失效率、系統(tǒng)結(jié)構(gòu)、系統(tǒng)狀態(tài)、約束條件等參量,分析計(jì)算,可優(yōu)化出PFD(要求時(shí)的失效率),從而控制硬件的隨機(jī)失效。
(2)有較高的容錯(cuò)(故障)能力
目前在行業(yè)內(nèi)流行的叫法是“容錯(cuò)”,也有叫“故障容忍度”,在IEC61508標(biāo)準(zhǔn)中正式的術(shù)語(yǔ)是“硬件故障裕度”。一般采用冗余技術(shù)來(lái)提高硬件故障裕度。硬件故障裕度為0,就如一個(gè)單通道系統(tǒng),出現(xiàn)一個(gè)故障就會(huì)導(dǎo)致該通道功能喪失。故障裕度為1就如1oo2系統(tǒng),出現(xiàn)一個(gè)故障時(shí)仍能正常工作,只有兩個(gè)故障同時(shí)出現(xiàn)才會(huì)導(dǎo)致系統(tǒng)的功能喪失。故障裕度為2就如1oo3系統(tǒng),它能在2個(gè)故障同時(shí)發(fā)生時(shí)仍能正常工作,只有3個(gè)故障同時(shí)出現(xiàn)才會(huì)導(dǎo)致系統(tǒng)的功能喪失。
有一點(diǎn)要著重強(qiáng)調(diào)的:采用冗余方法提高自動(dòng)化產(chǎn)品的SIL等級(jí)時(shí),必須考慮共同原因失效問(wèn)題,也就是說(shuō),必須盡力防止一個(gè)故障導(dǎo)致幾個(gè)冗余通道同時(shí)失效的問(wèn)題。這就是為什么用“硬件故障裕度”來(lái)評(píng)價(jià)產(chǎn)品的SIL等級(jí),而不是直接用冗余數(shù)來(lái)評(píng)價(jià)SIL等級(jí)。西門子、皮爾磁等公司在他們的安全產(chǎn)品中,采用3個(gè)不同公司生產(chǎn)的微處理器來(lái)構(gòu)成3個(gè)冗余通道,就是為了避免共因失效,提高產(chǎn)品的容錯(cuò)能力與安全性能。
(3)具有較高自診斷覆蓋率
對(duì)自動(dòng)化產(chǎn)品來(lái)說(shuō),安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測(cè)到的平均危險(xiǎn)失效率與子系統(tǒng)總平均失效率之比。提高安全失效分?jǐn)?shù),就是提高產(chǎn)品的故障安全能力,也就是說(shuō),當(dāng)產(chǎn)品出現(xiàn)故障時(shí),具有的使系統(tǒng)以安全的方式失效的能力。提高安全失效分?jǐn)?shù)的辦法有很多,最重要的就是提高診斷覆蓋率,也就是用各種內(nèi)部診斷的方式將可能導(dǎo)致危險(xiǎn)的失效檢測(cè)出來(lái),提高診斷測(cè)試檢測(cè)到的危險(xiǎn)失效概率在危險(xiǎn)失效總概率中的比例。
(4)有嚴(yán)格管理的開(kāi)發(fā)過(guò)程
由于硬件和軟件設(shè)計(jì)時(shí)存在的技術(shù)缺陷,會(huì)直接導(dǎo)致系統(tǒng)失效,因此,產(chǎn)品的開(kāi)發(fā)過(guò)程中必須采取措施,有效控制硬件和軟件設(shè)計(jì)錯(cuò)誤引起的系統(tǒng)失效。
(5)能有效抵御環(huán)境應(yīng)力影響
環(huán)境因素,如電壓波動(dòng)、電磁干擾、環(huán)境溫度、濕度、水、振動(dòng)、灰塵、腐蝕物等的影響可能直接導(dǎo)致系統(tǒng)失效,因此,應(yīng)研究并應(yīng)用抗環(huán)境應(yīng)力的技術(shù)與措施,有效控制系統(tǒng)失效。
(6)能避免因操作失效導(dǎo)致系統(tǒng)功能失效
操作員動(dòng)作失誤是導(dǎo)致系統(tǒng)失效的重要原因,因此,產(chǎn)品設(shè)計(jì)時(shí)就要充分考慮到操作員失誤的可能性,并采取措施,有效避免由此而導(dǎo)致的系統(tǒng)功能失效。
(7)在系統(tǒng)安全生命周期不同階段采取措施避免系統(tǒng)失效
在系統(tǒng)與產(chǎn)品的整個(gè)生命周期中,有許多原因會(huì)導(dǎo)致系統(tǒng)失效,但不可能為避免系統(tǒng)失效進(jìn)行定量分析。通常可以將系統(tǒng)失效分為兩類:
·失效由產(chǎn)品安裝之前或產(chǎn)品安裝之中的故障誘發(fā)(例如,軟件故障包括規(guī)范和程序故障;硬件故障包括制造故障和部件的不正確選擇);
·失效由產(chǎn)品安裝之后的故障誘發(fā)(例如,硬件隨機(jī)失效,或使用不當(dāng)引起的失效)。
為了在系統(tǒng)安全生命周期的安全要求規(guī)范、設(shè)計(jì)開(kāi)發(fā)、集成、操作和維護(hù)規(guī)程、安全確認(rèn)等階段避免和控制上述情況發(fā)生引起失效,必須采取大量技術(shù)與措施,包括:項(xiàng)目管理、遵循指南和標(biāo)準(zhǔn)、編制文檔、分離開(kāi)E/E/PE安全相關(guān)系統(tǒng)與非安全相關(guān)系統(tǒng)、結(jié)構(gòu)化規(guī)范、結(jié)構(gòu)化設(shè)計(jì)、模塊化、功能測(cè)試、操作和維護(hù)說(shuō)明書、用戶友善性、維護(hù)友善性、在環(huán)境條件下測(cè)試功能、浪涌抗擾性測(cè)試、故障插入測(cè)試(當(dāng)要求的診斷覆蓋率≥90%時(shí))、形式化方法、半形式化方法、計(jì)算機(jī)輔助規(guī)范工具、檢查列表、規(guī)范的檢查、經(jīng)充分試驗(yàn)過(guò)的部件使用、仿真、硬件的檢查、硬件的走查、受限的操作可能性、僅可由熟練操作員操作、防止操作員出錯(cuò)、黑盒測(cè)試、統(tǒng)計(jì)測(cè)試、現(xiàn)場(chǎng)經(jīng)驗(yàn)、靜態(tài)分析、動(dòng)態(tài)分析、失效分析、最差情況分析、擴(kuò)展的功能測(cè)試、最差情況測(cè)試、故障插入測(cè)試等等。
3 結(jié)束語(yǔ)
從上世紀(jì)70~80年代國(guó)際上推出故障安全型儀表與設(shè)備,到2000年發(fā)布功能安全基礎(chǔ)標(biāo)準(zhǔn),國(guó)際上對(duì)自動(dòng)化產(chǎn)品與系統(tǒng)的安全性問(wèn)題已經(jīng)提出并有了一套解決方案,但是這套方案還在不斷修改與完善之中。在我國(guó),越來(lái)越多的用戶已經(jīng)使用了安全控制設(shè)備或系統(tǒng),也有很多企業(yè)準(zhǔn)備開(kāi)發(fā)相關(guān)產(chǎn)品,在了解安全性的同時(shí),明確知道這類產(chǎn)品的安全特性對(duì)其是十分重要的。
——轉(zhuǎn)自《自動(dòng)化博覽》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)