自動(dòng)化產(chǎn)品的安全性問題及安全特征
評(píng)論: 更新日期:2012年08月19日
二�、自動(dòng)化產(chǎn)品應(yīng)具備的安全品質(zhì)
產(chǎn)品的安全品質(zhì)表現(xiàn)在兩個(gè)方面:一是單個(gè)產(chǎn)品的安全性�����,二是單個(gè)產(chǎn)品作為系統(tǒng)的一個(gè)單元時(shí),需要考慮的系統(tǒng)安全性����。
單個(gè)產(chǎn)品的安全性是每一個(gè)產(chǎn)品都必須滿足的安全品質(zhì),自動(dòng)化產(chǎn)品的安全品質(zhì)首先表現(xiàn)在防爆安全�、電氣安全與機(jī)械安全等方面,也就是說�����,產(chǎn)品使用過程中不能對(duì)人體與環(huán)境產(chǎn)生如觸電����、電擊、熱燙��、著火����、爆炸�、機(jī)械等直接的傷害���。
自動(dòng)化產(chǎn)品的系統(tǒng)安全性主要表現(xiàn)在功能安全方面。獨(dú)立的儀表及自動(dòng)化產(chǎn)品不存在功能安全問題����,但它用于組合成安全控制系統(tǒng)或安全保護(hù)系統(tǒng)時(shí),就需要考慮它執(zhí)行某一特定安全功能的能力�,用SIL表示,即產(chǎn)品的安全完整性能力(SILCapable)����,或稱為該產(chǎn)品最大可聲明的SIL等級(jí)��。
這很像由多塊木板組成的一個(gè)木桶�,拿出任何一塊木板,問這塊木板能不能讓桶里的水保持1米的水位����,誰都回答不了。組成這個(gè)木桶的每一塊木板必須足夠長(zhǎng)��,才能組成一個(gè)能裝至少1米深水的木桶。
產(chǎn)品具有越高等級(jí)的SIL��,就表示該產(chǎn)品可以被用于更高等級(jí)的安全相關(guān)系統(tǒng)中����,有能力承擔(dān)更高等級(jí)的風(fēng)險(xiǎn)控制任務(wù)。
具有SIL能力的產(chǎn)品�����,或稱為功能安全型產(chǎn)品的主要特征是能有效地避免故障與失效����。對(duì)于純硬件組成的產(chǎn)品,技術(shù)的核心集中在如何避免硬件隨機(jī)失效����,而對(duì)于由軟硬件組合的自動(dòng)化產(chǎn)品,技術(shù)的核心除了考慮避免硬件隨機(jī)失效�����,還要避免系統(tǒng)失效����。系統(tǒng)失效是只有對(duì)設(shè)計(jì)或制造過程�����、操作規(guī)程��、文檔或其它相關(guān)因素進(jìn)行修改后��,才有可能排除的失效�����。
概要地說�,儀表與自動(dòng)化產(chǎn)品如果聲稱具有安全完整性能力����,它必須具有以下特性:
(1)有確定、較高的產(chǎn)品可靠性
提高產(chǎn)品可靠性�,就是降低硬件中由一種或幾種機(jī)能退化可能產(chǎn)生的隨機(jī)失效率。該失效率是SIL中唯一可用可靠性工程方法定量確定的部分���,根據(jù)每個(gè)組成部件的失效率、系統(tǒng)結(jié)構(gòu)����、系統(tǒng)狀態(tài)���、約束條件等參量,分析計(jì)算����,可優(yōu)化出PFD(要求時(shí)的失效率),從而控制硬件的隨機(jī)失效�。
(2)有較高的容錯(cuò)(故障)能力
目前在行業(yè)內(nèi)流行的叫法是“容錯(cuò)”,也有叫“故障容忍度”��,在IEC61508標(biāo)準(zhǔn)中正式的術(shù)語(yǔ)是“硬件故障裕度”��。一般采用冗余技術(shù)來提高硬件故障裕度�����。硬件故障裕度為0�,就如一個(gè)單通道系統(tǒng),出現(xiàn)一個(gè)故障就會(huì)導(dǎo)致該通道功能喪失�。故障裕度為1就如1oo2系統(tǒng),出現(xiàn)一個(gè)故障時(shí)仍能正常工作����,只有兩個(gè)故障同時(shí)出現(xiàn)才會(huì)導(dǎo)致系統(tǒng)的功能喪失。故障裕度為2就如1oo3系統(tǒng),它能在2個(gè)故障同時(shí)發(fā)生時(shí)仍能正常工作��,只有3個(gè)故障同時(shí)出現(xiàn)才會(huì)導(dǎo)致系統(tǒng)的功能喪失��。
有一點(diǎn)要著重強(qiáng)調(diào)的:采用冗余方法提高自動(dòng)化產(chǎn)品的SIL等級(jí)時(shí)�,必須考慮共同原因失效問題,也就是說����,必須盡力防止一個(gè)故障導(dǎo)致幾個(gè)冗余通道同時(shí)失效的問題。這就是為什么用“硬件故障裕度”來評(píng)價(jià)產(chǎn)品的SIL等級(jí)�����,而不是直接用冗余數(shù)來評(píng)價(jià)SIL等級(jí)�����。西門子����、皮爾磁等公司在他們的安全產(chǎn)品中,采用3個(gè)不同公司生產(chǎn)的微處理器來構(gòu)成3個(gè)冗余通道����,就是為了避免共因失效,提高產(chǎn)品的容錯(cuò)能力與安全性能�����。
(3)具有較高自診斷覆蓋率
對(duì)自動(dòng)化產(chǎn)品來說�����,安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測(cè)到的平均危險(xiǎn)失效率與子系統(tǒng)總平均失效率之比��。提高安全失效分?jǐn)?shù)���,就是提高產(chǎn)品的故障安全能力��,也就是說�,當(dāng)產(chǎn)品出現(xiàn)故障時(shí)����,具有的使系統(tǒng)以安全的方式失效的能力。提高安全失效分?jǐn)?shù)的辦法有很多��,最重要的就是提高診斷覆蓋率����,也就是用各種內(nèi)部診斷的方式將可能導(dǎo)致危險(xiǎn)的失效檢測(cè)出來��,提高診斷測(cè)試檢測(cè)到的危險(xiǎn)失效概率在危險(xiǎn)失效總概率中的比例�。
(4)有嚴(yán)格管理的開發(fā)過程
由于硬件和軟件設(shè)計(jì)時(shí)存在的技術(shù)缺陷����,會(huì)直接導(dǎo)致系統(tǒng)失效,因此�,產(chǎn)品的開發(fā)過程中必須采取措施,有效控制硬件和軟件設(shè)計(jì)錯(cuò)誤引起的系統(tǒng)失效�。
(5)能有效抵御環(huán)境應(yīng)力影響
環(huán)境因素,如電壓波動(dòng)����、電磁干擾、環(huán)境溫度���、濕度�����、水�、振動(dòng)�、灰塵、腐蝕物等的影響可能直接導(dǎo)致系統(tǒng)失效�,因此��,應(yīng)研究并應(yīng)用抗環(huán)境應(yīng)力的技術(shù)與措施�����,有效控制系統(tǒng)失效。
(6)能避免因操作失效導(dǎo)致系統(tǒng)功能失效
操作員動(dòng)作失誤是導(dǎo)致系統(tǒng)失效的重要原因��,因此��,產(chǎn)品設(shè)計(jì)時(shí)就要充分考慮到操作員失誤的可能性��,并采取措施����,有效避免由此而導(dǎo)致的系統(tǒng)功能失效。
(7)在系統(tǒng)安全生命周期不同階段采取措施避免系統(tǒng)失效
在系統(tǒng)與產(chǎn)品的整個(gè)生命周期中�,有許多原因會(huì)導(dǎo)致系統(tǒng)失效,但不可能為避免系統(tǒng)失效進(jìn)行定量分析�����。通?�?梢詫⑾到y(tǒng)失效分為兩類:
·失效由產(chǎn)品安裝之前或產(chǎn)品安裝之中的故障誘發(fā)(例如��,軟件故障包括規(guī)范和程序故障;硬件故障包括制造故障和部件的不正確選擇)��;
·失效由產(chǎn)品安裝之后的故障誘發(fā)(例如��,硬件隨機(jī)失效��,或使用不當(dāng)引起的失效)����。
為了在系統(tǒng)安全生命周期的安全要求規(guī)范、設(shè)計(jì)開發(fā)����、集成、操作和維護(hù)規(guī)程��、安全確認(rèn)等階段避免和控制上述情況發(fā)生引起失效��,必須采取大量技術(shù)與措施�����,包括:項(xiàng)目管理����、遵循指南和標(biāo)準(zhǔn)��、編制文檔��、分離開E/E/PE安全相關(guān)系統(tǒng)與非安全相關(guān)系統(tǒng)��、結(jié)構(gòu)化規(guī)范����、結(jié)構(gòu)化設(shè)計(jì)��、模塊化����、功能測(cè)試����、操作和維護(hù)說明書、用戶友善性�����、維護(hù)友善性��、在環(huán)境條件下測(cè)試功能��、浪涌抗擾性測(cè)試、故障插入測(cè)試(當(dāng)要求的診斷覆蓋率≥90%時(shí))��、形式化方法�、半形式化方法、計(jì)算機(jī)輔助規(guī)范工具����、檢查列表、規(guī)范的檢查��、經(jīng)充分試驗(yàn)過的部件使用�����、仿真、硬件的檢查、硬件的走查�����、受限的操作可能性��、僅可由熟練操作員操作����、防止操作員出錯(cuò)、黑盒測(cè)試�、統(tǒng)計(jì)測(cè)試、現(xiàn)場(chǎng)經(jīng)驗(yàn)���、靜態(tài)分析�����、動(dòng)態(tài)分析�����、失效分析、最差情況分析�����、擴(kuò)展的功能測(cè)試����、最差情況測(cè)試、故障插入測(cè)試等等����。
三、結(jié)束語(yǔ)
從上世紀(jì)70~80年代國(guó)際上推出故障安全型儀表與設(shè)備����,到2000年發(fā)布功能安全基礎(chǔ)標(biāo)準(zhǔn)�����,國(guó)際上對(duì)自動(dòng)化產(chǎn)品與系統(tǒng)的安全性問題已經(jīng)提出并有了一套解決方案�,但是這套方案還在不斷修改與完善之中���。在我國(guó)����,越來越多的用戶已經(jīng)使用了安全控制設(shè)備或系統(tǒng)�,也有很多企業(yè)準(zhǔn)備開發(fā)相關(guān)產(chǎn)品,在了解安全性的同時(shí)���,明確知道這類產(chǎn)品的安全特性對(duì)其是十分重要的�����。
?
