自动化产品的安全性问题及安全特征.doc

1、自动化产品的安全性问题及安全特征 　随着社会进步，政府和企业在安全方面的投入日益增大。为了改善效益，越来越多的仪表与自动化企业正在着手向安全领域转产，如传统生产DCS的企业向SIS领域进军、传统的PLC企业转而生产安全PLC、传统的仪表企业开始研制安全型仪表等等。但如果不能正确理解与掌握“安全性〞问题，不了解产品应具备什么安全特征，这样的转产是有很大风险的。 　　本文介绍一下仪表与自动化产品的安全性问题，同时介绍其产品具有的安全特征。 　　一、安全性问题的基础 　　安全性表现产品的安全品质，是通过制定、制造出来的，但只靠产品无法维持。安全有其自身特点，不了解其基本概念与

2、方法，仅靠原有的自动化技术知识是不能合理地处理安全性问题的。 　　从事安全工作的人必须深入了解以下几个要点： 　　(1)安全的对象是人 　　我们说，自动化控制系统可以用来保护人、环境与设备，但安全的最终关注点在人，也就是说，安全的对象是人。是人就会有人性的弱点，出了事故就要合计承当法律责任。要充分合计所有与人有关的安全模式，执行安全标准来规避风险，避免法律纠纷。 　　·理解人性弱点，增加生理学知识 　　由于人性的弱点，会产生无知、好奇、恐慌等不良情绪，误判导致错误操作最终导致事故，应尽可能对上述所有异常行为采用相应措施，如果不能，也需要对使用者规定一般的素养要求，针对不同的种类合计不

3、同的限制，规定相应的界限。 　　举一些例子。某飞机进入着陆姿势时开关已经扳向自动操纵方式，但飞行员错误地认为处于手动位置，并继续地扳动操纵杆，结果自动装置向相反方面动作，最终导致了坠机事故。某段铁路的两个信号表示不同线路的状态，司机由于看错了相邻的信号而发生撞车事故。有很多安全事故的原因违反了技术人员的常识，是技术人员所不能理解的。如电梯中有开门和关门两个按钮，电路制定时会充分合计按下任意按钮时电梯应做出的反映，但乘客可能会同时按下两个按扭，或者以极微小的时差按下两个按钮。关于这种“游戏〞动作估计不够，就会导致电梯非正常停车，结果把乘客关在电梯中，不得不靠外面的救援。 　　这类错误很多，安

4、全产品开发时应从生理学的角度进行深入研究，并找出避免出错的措施；充分合计异常的动作、对状况判断失误等“可预见与不可预见的〞事件，即使万一出错，也应该有补救的方法，不致于最终导致事故。 　　·了解与人有关的安全模式。 　　研究安全模式就是找出产品使用过程中所有可能导致人员伤害的机制与可能性。 　　自动化产品与系统的安全模式主要分为两类。第一类是与功能失效相关的安全模式，在领域内人们称这类安全为功能安全，如紧急停车系统的故障会导致危险时无法紧急停机；第二类是产品在使用过程中对人体产生如触电、电击、热烫、着火、爆炸、机械等直接的伤害，在领域内人们称这类安全为电气安全、机械安全与防爆安全。 　

5、　(2)安全需要高成本 　　为“安全〞而制定的自动化产品，其结构会比原来只合计功能结构时复杂，成本也会增加。如果不肯下功夫增成本，就会制造出危险的产品，一旦发生事故，造成庞大的损失。 　　(3)危险特点要了解 　　应用于安全领域的仪表与自动化产品，承当着“在生产过程中监测与安全有关的状态参数，发现故障与异常，及时采用措施以避免事故发生〞的重要任务，但不同的应用领域危险特点不同，不了解这些特点，轻易转产到“安全领域〞，容易忽视新的应注意的问题点，导致重要损失。 　　例如，某工厂在加工过程中使用大量酒精，由于设置在厂房顶部的排风扇发生故障，致使酒精浓度上升，引起爆炸。分析事故原因时，发现原

6、来制定安全控制方案时已经预料到风扇故障会导致爆炸危险，所以制定安装了安全联锁装置来监视电动机转速，保证电动机停时生产线停。但没料到的是，传动皮带轮脱落导致不能排气，这种故障在一般的工厂是通过使用者定期检查皮带张力时发现的，但这家工厂的屋顶非常高，修理人员无法到达，安全控制方案的制定者没有充分合计该厂的实际状况。在安全控制方案存在严重缺陷的状况下，安全联锁装置制定得再好、产品再可靠，安全性也没有保证。 　　(4)标准规范很重要 　　重大事故是低概率事件，一个企业不可能都经历过，企业内的个人没有学习过有关经验，这与通过积存经验取得进步的质量管理是完全不同的，因此，借鉴外部他人的经验，执行行业公

7、认的标准是十分重要的。 　　比如说，功能安全标准是欧美等国安全控制领域的专家多年经验的总结，它不但提出了一整套完整的实现安全的方案，还规定了从控制方案提出、实现直到停用的整个生命周期中所有相关人员的工作目标与职责，建立了与安全控制相关的法律责任体系。执行标准是保证安全的重要措施，同时也是规避风险、免除法律责任的重要手段。 　二、自动化产品应具备的安全品质 　　产品的安全品质表现在两个方面：一是单个产品的安全性，二是单个产品作为系统的一个单元时，需要合计的系统安全性。 　　单个产品的安全性是每一个产品都必须满足的安全品质，自动化产品的安全品质首先表现在

8、防爆安全、电气安全与机械安全等方面，也就是说，产品使用过程中不能对人体与环境产生如触电、电击、热烫、着火、爆炸、机械等直接的伤害。 　　自动化产品的系统安全性主要表现在功能安全方面。独立的仪表及自动化产品不存在功能安全问题，但它用于组合成安全控制系统或安全保护系统时，就需要合计它执行某一特定安全功能的能力，用SIL表示，即产品的安全完整性能力(SILCapable)，或称为该产品最大可声明的SIL等级。 　　这很像由多块木板组成的一个木桶，拿出任何一块木板，问这块木板能不能让桶里的水坚持1米的水位，谁都回答不了。组成这个木桶的每一块木板必须足够长，才能组成一个能装至少1米深水的木桶。 　

9、　产品具有越高等级的SIL，就表示该产品可以被用于更高等级的安全相关系统中，有能力承当更高等级的风险控制任务。 　　具有SIL能力的产品，或称为功能安全型产品的主要特征是能有效地避免故障与失效。关于纯硬件组成的产品，技术的核心集中在如何避免硬件随机失效，而关于由软硬件组合的自动化产品，技术的核心除了合计避免硬件随机失效，还要避免系统失效。系统失效是只有对制定或制造过程、操作规程、文档或其它相关因素进行修改后，才有可能排除的失效。 　　概要地说，仪表与自动化产品如果声称具有安全完整性能力，它必须具有以下特性： 　　(1)有确定、较高的产品可靠性 　　提升产品可靠性，就是降低硬件中由一种或

10、几种机能退化可能产生的随机失效率。该失效率是SIL中唯一可用可靠性工程方法定量确定的部分，依据每个组成部件的失效率、系统结构、系统状态、约束条件等参量，分析计算，可优化出PFD(要求时的失效率)，从而控制硬件的随机失效。 　　(2)有较高的容错(故障)能力 　　目前在行业内流行的叫法是“容错〞，也有叫“故障容忍度〞，在IEC61508标准中正式的术语是“硬件故障裕度〞。一般采纳冗余技术来提升硬件故障裕度。硬件故障裕度为0，就如一个单通道系统，出现一个故障就会导致该通道功能丧失。故障裕度为1就如1oo2系统，出现一个故障时仍能正常工作，只有两个故障同时出现才会导致系统的功能丧失。故障裕度为2

11、就如1oo3系统，它能在2个故障同时发生时仍能正常工作，只有3个故障同时出现才会导致系统的功能丧失。 　　有一点要着重强调的：采纳冗余方法提升自动化产品的SIL等级时，必须合计共同原因失效问题，也就是说，必须尽力防止一个故障导致几个冗余通道同时失效的问题。这就是为什么用“硬件故障裕度〞来评价产品的SIL等级，而不是直接用冗余数来评价SIL等级。西门子、皮尔磁等公司在他们的安全产品中，采纳3个不同公司生产的微处理器来构成3个冗余通道，就是为了避免共因失效，提升产品的容错能力与安全性能。 　　(3)具有较高自诊断覆盖率 　　对自动化产品来说，安全失效分数的定义为该产品的平均安全失效率加检测到

12、的平均危险失效率与子系统总平均失效率之比。提升安全失效分数，就是提升产品的故障安全能力，也就是说，当产品出现故障时，具有的使系统以安全的方式失效的能力。提升安全失效分数的办法有很多，最重要的就是提升诊断覆盖率，也就是用各种内部诊断的方式将可能导致危险的失效检测出来，提升诊断测试检测到的危险失效概率在危险失效总概率中的比例。 　　(4)有严格管理的开发过程 　　由于硬件和软件制定时存在的技术缺陷，会直接导致系统失效，因此，产品的开发过程中必须采用措施，有效控制硬件和软件制定错误引起的系统失效。 　　(5)能有效抵抗环境应力影响 　　环境因素，如电压波动、电磁干扰、环境温度、湿度、水、振动

13、灰尘、腐蚀物等的影响可能直接导致系统失效，因此，应研究并应用抗环境应力的技术与措施，有效控制系统失效。 　　(6)能避免因操作失效导致系统功能失效 　　操作员动作失误是导致系统失效的重要原因，因此，产品制定时就要充分合计到操作员失误的可能性，并采用措施，有效避免由此而导致的系统功能失效。 　　(7)在系统安全生命周期不同阶段采用措施避免系统失效 　　在系统与产品的整个生命周期中，有许多原因会导致系统失效，但不可能为避免系统失效进行定量分析。通常可以将系统失效分为两类： 　　·失效由产品安装之前或产品安装之中的故障诱发(例如，软件故障包括规范和程序故障；硬件故障包括制造故障和部件的不

14、正确选择)； 　　·失效由产品安装之后的故障诱发(例如，硬件随机失效，或使用不当引起的失效)。 　　为了在系统安全生命周期的安全要求规范、制定开发、集成、操作和维护规程、安全确认等阶段避免和控制上述状况发生引起失效，必须采用大量技术与措施，包括：项目管理、遵循指南和标准、编制文档、分开开E/E/PE安全相关系统与非安全相关系统、结构化规范、结构化制定、模块化、功能测试、操作和维护说明书、用户友善性、维护友善性、在环境条件下测试功能、浪涌抗扰性测试、故障插入测试(当要求的诊断覆盖率≥90%时)、形式化方法、半形式化方法、计算机辅助规范工具、检查列表、规范的检查、经充分试验过的部件使用、仿真、硬件的检查、硬件的走查、受限的操作可能性、仅可由熟练操作员操作、防止操作员出错、黑盒测试、统计测试、现场经验、静态分析、动态分析、失效分析、最差状况分析、扩大的功能测试、最差状况测试、故障插入测试等等。 　　三、结束语 　　从上世纪70～80年代国际上推出故障安全型仪表与设备，到2000年公布功能安全基础标准，国际上对自动化产品与系统的安全性问题已经提出并有了一套解决方案，但是这套方案还在不断修改与完善之中。在我国，越来越多的用户已经使用了安全控制设备或系统，也有很多企业准备开发相关产品，在了解安全性的同时，明确知道这类产品的安全特性对其是十分重要的。