(壹)現場總線系統完成的功能 現場總線系統所起的作用是通信,它包括壹組硬件和軟件,允許兩個或多個裝置之間信息交換。在受控過程中,它不應該傳播或建立會產生危險情形的錯誤:它應能找出數據的訛誤,保證實時數據的傳送,傳遞應有序,避免混亂。同時應能隨時了解可能出現的故障狀態,避免出現因通信錯誤觸發不合理的安全動作,例如使過程在不該停止時停了下來,或使過程在出現故障時還繼續工作等。 (二)現場總線系統安全功能評價的方法 要證明壹個系統或子系統是否可以用在安全領域,是否符合IEC61508標準,有兩個途徑:壹是按照IEC61508的原則設計壹個新系統;二是沿用以前已經使用並證明是安全的系統,用proven in use方法來驗證。現場總線系統的功能安全評價壹般都采取第二種方法。這是壹個在使用中證實的概念。如果壹種產品或系統已經在使用中,只要供應商有足夠的證據證明它是安全的,那麽以後相同的產品或系統就允許應用在同等安全的領域。 IEC61508中提出的這種proven in use的概念對於供應商和用戶都有極大的激勵作用。目前世界上此重要的設備供應商都開始對自己的產品進行這方面認證工作。但Proven in use實際上有很嚴格的限制條件: (l)Proven in use方法只能用於那些滿足相關要求的功能和接口子系統; (2)子系統的工作條件與原子系統的工作條件完全相同或十分相近; (3)如果子系統的工作條件不同,則需要用分析和測試的方法來論證該系統的功能安全完整性可能達到的水平,以保證該系統可用於安全領域; (4)聲明的失效率有足夠的統計學數據基礎; (5)收集有足夠的失效數據; (6)考慮了子系統的復雜性,子系統對風險降低的貢獻,子系統失效對整個系統可能造成的後果,新設計等。 四、用戶選擇現場總線時要註意的因素 (壹)供應商應提供的資料 如果用戶要集成壹個安全系統,考慮要使用現場總線時,要充分考慮到現場總線這個子系統對安全系統的安全完整性貢獻。為了達到這個目的,系統設計者、集成者需要現場總線軟硬件供應商提供壹些必要信息。如: (1)詳細解釋功能、接口、應用環境等的說明書; (2)在每種失效模式下,硬件隨機失效的可能失效率; (3)診斷範圍和診斷測試間隔; (4)硬件失效容差; (5)硬件和軟件組態需要的標識信息; (6)有效的書面證明; (7)SIL級別。 (二)現場總線子系統SIL與整個系統SIL的關系 特別要註意的是,現場總線這個子系統的SIL級別並不代表整個控制系統的SlL。壹旦考慮整個系統的SlL時,要考慮的就是系統的所有方面,包括現場設備和特定項目應用邏輯。當它們組合執行安全功能時,所有這些子系統和器件要求必須滿足相應功能的SIL,但他們的組合並不壹定能夠實現預定的SIL,此時SIL就不是壹個子系統或器件直接可用的概念。理解這壹點其實很簡單:假定壹個高級別SIL的子系統或器件被裝錯了,系統依然會出故障。 IEC61508給出了對安全系統的SlL值計算和分配的模型和算法。用戶單位如果有功能安全的評價機構,可以根據標準的要求自己對系統和各分系統、器件的SlL進行計算評估,也可以請第三方來對系統進行評估和SIL值分配。 (三)確認識供應商聲稱的SIL級別 1.應用條件是否相同 目前已經有多家公司的現場總線系統進行過IEC61508認證,如FF、WorldFIP、Profibus現場總線己經通過權威機構認證,達到SIL3級。 但用戶在選擇這種現場總線時,要考慮您采用此子系統的工作條件與它評定時的工作條件是否完全相同或十分相近。如果是,當然供應商所聲稱的SIL級別是相同的。如果子系統的工作條件不同, 則需要用分析和測試的方法來論證該系統的SIL可能達到的水平,以保證該系統可用於安全領域。 2.對評估員或評估機構獨立性的要求 IEC61508規定,對系統、子系統或器件進行SIL級別評估的必須是相對獨立的人或組織。評估員的獨立水平按SIL的級別不同而不同。對於SILl,只需要同壹個組織中的壹個獨立人,SIM則需要壹個獨立的組織。至於SIL2和3要求的級別受附加條件的影響,如系統復雜性、設計的新穎性、開發者以前的經驗等。還有壹個特別條件,就是評估員具有合格的工作能力。 五、結束語 本文提出了現場總線的安全問題,但這並不意味著現場總線本身是不安全的,也不能說現場總線不能滿足工廠控制安全性要求。現場總線提供的預診斷是對安全的極大貢獻。現場總線電纜的抗幹擾、電磁兼容性很強,壹些現場總線從信號傳輸機制上就充分考慮了安全性因素。數字信號傳輸所帶來的控制方法的改變更是數不勝數。用戶只要充分了解現場總線的相關信息,在系統設計中采取適當的預防措施,安全使用現場總線系統是完全可以實現的。 電力企業進行安全性評價工作已有十年,安全性評價和危險點分析是90年代以來我國電力企業創造性地運用於安全管理實踐,取得了極大成效的現代安全管理辦法。但如何對控制系統的功能安全進行評價,還是壹個新課題。當前功能安全評價已經成為全世界工業控制領域的壹個熱點。
IEC 61508是壹項用於工業領域的國際標準,其名稱是《電氣/電子/可編程電子安全相關系統的功能安全》。
IEC 61508意圖作為壹個基本的功能安全標準應用於各種工業行業。它將功能安全定義為:相關受控設備(EUC)總體安全的壹部分;依賴於電氣/電子/可編程電子(E/E/PE)安全相關系統功能正確的EUC控制系統;以及其它安全相關系統技術和外部風險降低措施。”
IEC 61508標準起源於工業過程控制領域。該標準涵蓋了完整的安全生命周期,當制定相關領域特定的功能安全標準時,需要進壹步細化說明。
IEC 61508標準定義的安全生命周期包含16個階段,粗略地可以分為3塊:1-5階段描述了分析過程;6-13階段描述了實現過程;14-16階段描述了運營過程。所有階段關註的均是系統安全功能。標準有7個部分組成,1-3部分包括標準需求(規範性的);4-7部分包括開發過程指導和示例,因此是資料性的。
IEC 61508標準的核心是風險概念和安全功能。風險是指危害事件頻率(或可能性)以及事件後果嚴重性。通過應用包括E/E/PES和/或其它技術構成的安全功能,使風險降低到可以容忍的水平。另外,其它技術也可能被用於降低風險,但IEC 61508標準的詳細需求只覆蓋了采用E/E/PES技術的安全功能。