安徽康泰電氣有限公司

　　隨著(zhù)社會(huì )進(jìn)步，政府和企業(yè)在安全方面的投入日益增大。為了改善效益，越來(lái)越多的儀表與自動(dòng)化企業(yè)正在著(zhù)手向安全領(lǐng)域轉產(chǎn)，如傳統生產(chǎn)DCS的企業(yè)向SIS領(lǐng)域進(jìn)軍、傳統的PLC企業(yè)轉而生產(chǎn)安全PLC、傳統的儀表企業(yè)開(kāi)始研制安全型儀表等等。但如果不能正確理解與掌握“安全性”問(wèn)題，不了解產(chǎn)品應具備什么安全特征，這樣的轉產(chǎn)是有很大風(fēng)險的。
　　
　　本文介紹一下儀表與自動(dòng)化產(chǎn)品的安全性問(wèn)題，同時(shí)介紹其產(chǎn)品具有的安全特征。
　　
　　一、安全性問(wèn)題的基礎
　　
　　安全性表現產(chǎn)品的安全品質(zhì)，是通過(guò)設計、制造出來(lái)的，但只靠產(chǎn)品無(wú)法維持。安全有其自身特點(diǎn)，不了解其基本概念與方法，僅靠原有的自動(dòng)化技術(shù)知識是不能合理地處理安全性問(wèn)題的。
　　
　　從事安全工作的人必須深刻了解以下幾個(gè)要點(diǎn)：
　　
　?。?）安全的對象是人
　　
　　我們說(shuō)，自動(dòng)化控制系統可以用來(lái)保護人、環(huán)境與設備，但安全的zui終關(guān)注點(diǎn)在人，也就是說(shuō)，安全的對象是人。是人就會(huì )有人性的弱點(diǎn)，出了事故就要考慮承擔法律責任。要充分考慮所有與人有關(guān)的安全模式，執行安全標準來(lái)規避風(fēng)險，避免法律糾紛。
　　
　　·理解人性弱點(diǎn)，增加生理學(xué)知識
　　
　　由于人性的弱點(diǎn)，會(huì )產(chǎn)生無(wú)知、好奇、恐慌等不良情緒，誤判導致錯誤操作zui終導致事故，應盡可能對上述所有異常行為采取相應措施，如果不能，也需要對使用者規定一般的素質(zhì)要求，針對不同的種類(lèi)考慮不同的限制，規定相應的界限。
　　
　　舉一些例子。某飛機進(jìn)入著(zhù)陸姿勢時(shí)開(kāi)關(guān)已經(jīng)扳向自動(dòng)操縱方式，但飛行員錯誤地認為處于手動(dòng)位置，并持續地扳動(dòng)操縱桿，結果自動(dòng)裝置向相反方面動(dòng)作，zui終導致了墜機事故。某段鐵路的兩個(gè)信號表示不同線(xiàn)路的狀態(tài)，司機由于看錯了相鄰的信號而發(fā)生撞車(chē)事故。有很多安全事故的原因違反了技術(shù)人員的常識，是技術(shù)人員所不能理解的。如電梯中有開(kāi)門(mén)和關(guān)門(mén)兩個(gè)按鈕，電路設計時(shí)會(huì )充分考慮按下任意按鈕時(shí)電梯應做出的反映，但乘客可能會(huì )同時(shí)按下兩個(gè)按扭，或者以極微小的時(shí)差按下兩個(gè)按鈕。對于這種“游戲”動(dòng)作估計不足，就會(huì )導致電梯非正常停車(chē)，結果把乘客關(guān)在電梯中，不得不靠外面的救援。
　　
　　這類(lèi)錯誤很多，安全產(chǎn)品開(kāi)發(fā)時(shí)應從生理學(xué)的角度進(jìn)行深入研究，并找出避免出錯的措施；充分考慮異常的動(dòng)作、對狀況判斷失誤等“可預見(jiàn)與不可預見(jiàn)的”事件，即使萬(wàn)一出錯，也應該有補救的方法，不至于zui終導致事故。
　　
　　·了解與人有關(guān)的安全模式。
　　
　　研究安全模式就是找出產(chǎn)品使用過(guò)程中所有可能導致人員傷害的機制與可能性。
　　
　　自動(dòng)化產(chǎn)品與系統的安全模式主要分為兩類(lèi)。*類(lèi)是與功能失效相關(guān)的安全模式，在領(lǐng)域內人們稱(chēng)這類(lèi)安全為功能安全，如緊急停車(chē)系統的故障會(huì )導致危險時(shí)無(wú)法緊急停機；第二類(lèi)是產(chǎn)品在使用過(guò)程中對人體產(chǎn)生如觸電、電擊、熱燙、著(zhù)火、爆炸、機械等直接的傷害，在領(lǐng)域內人們稱(chēng)這類(lèi)安全為電氣安全、機械安全與防爆安全。
　　
　?。?）安全需要高成本
　　
　　為“安全”而設計的自動(dòng)化產(chǎn)品，其結構會(huì )比原來(lái)只考慮功能結構時(shí)復雜，成本也會(huì )增加。如果不肯下功夫增成本，就會(huì )制造出危險的產(chǎn)品，一旦發(fā)生事故，造成巨大的損失。
　　
　?。?）危險特點(diǎn)要了解
　　
　　應用于安全領(lǐng)域的儀表與自動(dòng)化產(chǎn)品，承擔著(zhù)“在生產(chǎn)過(guò)程中監測與安全有關(guān)的狀態(tài)參數，發(fā)現故障與異常，及時(shí)采取措施以避免事故發(fā)生”的重要任務(wù)，但不同的應用領(lǐng)域危險特點(diǎn)不同，不了解這些特點(diǎn)，輕易轉產(chǎn)到“安全領(lǐng)域”，容易忽視新的應注意的問(wèn)題點(diǎn)，導致重要損失。
　　
　　例如，某工廠(chǎng)在加工過(guò)程中使用大量酒精，由于設置在廠(chǎng)房頂部的排風(fēng)扇發(fā)生故障，致使酒精濃度上升，引起爆炸。分析事故原因時(shí)，發(fā)現原來(lái)設計安全控制方案時(shí)已經(jīng)預料到風(fēng)扇故障會(huì )導致爆炸危險，所以設計安裝了安全聯(lián)鎖裝置來(lái)監視電動(dòng)機轉速，保證電動(dòng)機停時(shí)生產(chǎn)線(xiàn)停。但沒(méi)料到的是，傳動(dòng)皮帶輪脫落導致不能排氣，這種故障在一般的工廠(chǎng)是通過(guò)使用者定期檢查皮帶張力時(shí)發(fā)現的，但這家工廠(chǎng)的屋頂非常高，維修人員無(wú)法到達，安全控制方案的設計者沒(méi)有充分考慮該廠(chǎng)的實(shí)際情況。在安全控制方案存在嚴重缺陷的情況下，安全聯(lián)鎖裝置設計得再好、產(chǎn)品再可靠，安全性也沒(méi)有保障。
　　
　?。?）標準規范很重要
　　
　　重大事故是低概率事件，一個(gè)企業(yè)不可能都經(jīng)歷過(guò)，企業(yè)內的個(gè)人沒(méi)有學(xué)習過(guò)有關(guān)經(jīng)驗，這與通過(guò)積累經(jīng)驗取得進(jìn)步的質(zhì)量管理是*不同的，因此，借鑒外部他人的經(jīng)驗，執行行業(yè)*的標準是十分重要的。
　　
　　比如說(shuō)，功能安全標準是歐美等國安全控制領(lǐng)域的專(zhuān)家多年經(jīng)驗的總結，它不但提出了一整套完整的實(shí)現安全的方案，還規定了從控制方案提出、實(shí)現直到停用的整個(gè)生命周期中所有相關(guān)人員的工作目標與職責，建立了與安全控制相關(guān)的法律責任體系。執行標準是保證安全的重要措施，同時(shí)也是規避風(fēng)險、免除法律責任的重要手段。
　　
　　二、自動(dòng)化產(chǎn)品應具備的安全品質(zhì)
　　
　　產(chǎn)品的安全品質(zhì)表現在兩個(gè)方面：一是單個(gè)產(chǎn)品的安全性，二是單個(gè)產(chǎn)品作為系統的一個(gè)單元時(shí)，需要考慮的系統安全性。
　　
　　單個(gè)產(chǎn)品的安全性是每一個(gè)產(chǎn)品都必須滿(mǎn)足的安全品質(zhì)，自動(dòng)化產(chǎn)品的安全品質(zhì)首先表現在防爆安全、電氣安全與機械安全等方面，也就是說(shuō)，產(chǎn)品使用過(guò)程中不能對人體與環(huán)境產(chǎn)生如觸電、電擊、熱燙、著(zhù)火、爆炸、機械等直接的傷害。
　　
　　自動(dòng)化產(chǎn)品的系統安全性主要表現在功能安全方面。獨立的儀表及自動(dòng)化產(chǎn)品不存在功能安全問(wèn)題，但它用于組合成安全控制系統或安全保護系統時(shí)，就需要考慮它執行某一特定安全功能的能力，用SIL表示，即產(chǎn)品的安全完整性能力（SILCapable），或稱(chēng)為該產(chǎn)品zui大可聲明的SIL等級。
　　
　　這很像由多塊木板組成的一個(gè)木桶，拿出任何一塊木板，問(wèn)這塊木板能不能讓桶里的水保持1米的水位，誰(shuí)都回答不了。組成這個(gè)木桶的每一塊木板必須足夠長(cháng)，才能組成一個(gè)能裝至少1米深水的木桶。
　　
　　產(chǎn)品具有越高等級的SIL，就表示該產(chǎn)品可以被用于更高等級的安全相關(guān)系統中，有能力承擔更高等級的風(fēng)險控制任務(wù)。
　　
　　具有SIL能力的產(chǎn)品，或稱(chēng)為功能安全型產(chǎn)品的主要特征是能有效地避免故障與失效。對于純硬件組成的產(chǎn)品，技術(shù)的核心集中在如何避免硬件隨機失效，而對于由軟硬件組合的自動(dòng)化產(chǎn)品，技術(shù)的核心除了考慮避免硬件隨機失效，還要避免系統失效。系統失效是只有對設計或制造過(guò)程、操作規程、文檔或其它相關(guān)因素進(jìn)行修改后，才有可能排除的失效。
　　
　　概要地說(shuō)，儀表與自動(dòng)化產(chǎn)品如果聲稱(chēng)具有安全完整性能力，它必須具有以下特性：
　　
　?。?）有確定、較高的產(chǎn)品可靠性
　　
　　提高產(chǎn)品可靠性，就是降低硬件中由一種或幾種機能退化可能產(chǎn)生的隨機失效率。該失效率是SIL中*可用可靠性工程方法定量確定的部分，根據每個(gè)組成部件的失效率、系統結構、系統狀態(tài)、約束條件等參量，分析計算，可優(yōu)化出PFD（要求時(shí)的失效率），從而控制硬件的隨機失效。
　　
　?。?）有較高的容錯（故障）能力
　　
　　目前在行業(yè)內流行的叫法是“容錯”，也有叫“故障容忍度”，在IEC61508標準中正式的術(shù)語(yǔ)是“硬件故障裕度”。一般采用冗余技術(shù)來(lái)提高硬件故障裕度。硬件故障裕度為0，就如一個(gè)單通道系統，出現一個(gè)故障就會(huì )導致該通道功能喪失。故障裕度為1就如1oo2系統，出現一個(gè)故障時(shí)仍能正常工作，只有兩個(gè)故障同時(shí)出現才會(huì )導致系統的功能喪失。故障裕度為2就如1oo3系統，它能在2個(gè)故障同時(shí)發(fā)生時(shí)仍能正常工作，只有3個(gè)故障同時(shí)出現才會(huì )導致系統的功能喪失。
　　
　　有一點(diǎn)要著(zhù)重強調的：采用冗余方法提高自動(dòng)化產(chǎn)品的SIL等級時(shí)，必須考慮共同原因失效問(wèn)題，也就是說(shuō)，必須盡力防止一個(gè)故障導致幾個(gè)冗余通道同時(shí)失效的問(wèn)題。這就是為什么用“硬件故障裕度”來(lái)評價(jià)產(chǎn)品的SIL等級，而不是直接用冗余數來(lái)評價(jià)SIL等級。西門(mén)子、皮爾磁等公司在他們的安全產(chǎn)品中，采用3個(gè)不同公司生產(chǎn)的微處理器來(lái)構成3個(gè)冗余通道，就是為了避免共因失效，提高產(chǎn)品的容錯能力與安全性能。
　　
　?。?）具有較高自診斷覆蓋率
　　
　　對自動(dòng)化產(chǎn)品來(lái)說(shuō)，安全失效分數的定義為該產(chǎn)品的平均安全失效率加檢測到的平均危險失效率與子系統總平均失效率之比。提高安全失效分數，就是提高產(chǎn)品的故障安力，也就是說(shuō)，當產(chǎn)品出現故障時(shí)，具有的使系統以安全的方式失效的能力。提高安全失效分數的辦法有很多，zui重要的就是提高診斷覆蓋率，也就是用各種內部診斷的方式將可能導致危險的失效檢測出來(lái)，提高診斷測試檢測到的危險失效概率在危險失效總概率中的比例。
　　
　?。?）有嚴格管理的開(kāi)發(fā)過(guò)程
　　
　　由于硬件和軟件設計時(shí)存在的技術(shù)缺陷，會(huì )直接導致系統失效，因此，產(chǎn)品的開(kāi)發(fā)過(guò)程中必須采取措施，有效控制硬件和軟件設計錯誤引起的系統失效。
　　
　?。?）能有效抵御環(huán)境應力影響
　　
　　環(huán)境因素，如電壓波動(dòng)、電磁干擾、環(huán)境溫度、濕度、水、振動(dòng)、灰塵、腐蝕物等的影響可能直接導致系統失效，因此，應研究并應用抗環(huán)境應力的技術(shù)與措施，有效控制系統失效。
　　
　?。?）能避免因操作失效導致系統功能失效
　　
　　操作員動(dòng)作失誤是導致系統失效的重要原因，因此，產(chǎn)品設計時(shí)就要充分考慮到操作員失誤的可能性，并采取措施，有效避免由此而導致的系統功能失效。
　　
　?。?）在系統安全生命周期不同階段采取措施避免系統失效
　　
　　在系統與產(chǎn)品的整個(gè)生命周期中，有許多原因會(huì )導致系統失效，但不可能為避免系統失效進(jìn)行定量分析。通?？梢詫⑾到y失效分為兩類(lèi)：
　　
　　·失效由產(chǎn)品安裝之前或產(chǎn)品安裝之中的故障誘發(fā)（例如，軟件故障包括規范和程序故障；硬件故障包括制造故障和部件的不正確選擇）；
　　
　　·失效由產(chǎn)品安裝之后的故障誘發(fā)（例如，硬件隨機失效，或使用不當引起的失效）。
　　
　　為了在系統安全生命周期的安全要求規范、設計開(kāi)發(fā)、集成、操作和維護規程、安全確認等階段避免和控制上述情況發(fā)生引起失效，必須采取大量技術(shù)與措施，包括：項目管理、遵循指南和標準、編制文檔、分離開(kāi)E/E/PE安全相關(guān)系統與非安全相關(guān)系統、結構化規范、結構化設計、模塊化、功能測試、操作和維護說(shuō)明書(shū)、用戶(hù)友善性、維護友善性、在環(huán)境條件下測試功能、浪涌抗擾性測試、故障插入測試（當要求的診斷覆蓋率≥90%時(shí)）、形式化方法、半形式化方法、計算機輔助規范工具、檢查列表、規范的檢查、經(jīng)充分試驗過(guò)的部件使用、仿真、硬件的檢查、硬件的走查、受限的操作可能性、僅可由熟練操作員操作、防止操作員出錯、黑盒測試、統計測試、現場(chǎng)經(jīng)驗、靜態(tài)分析、動(dòng)態(tài)分析、失效分析、zui差情況分析、擴展的功能測試、zui差情況測試、故障插入測試等等。
　　
　　三、結束語(yǔ)
　　
　　從上世紀70～80年代上推出故障安全型儀表與設備，到2000年發(fā)布功能安全基礎標準，上對自動(dòng)化產(chǎn)品與系統的安全性問(wèn)題已經(jīng)提出并有了一套解決方案，但是這套方案還在不斷修改與完善之中。在我國，越來(lái)越多的用戶(hù)已經(jīng)使用了安全控制設備或系統，也有很多企業(yè)準備開(kāi)發(fā)相關(guān)產(chǎn)品，在了解安全性的同時(shí)，明確知道這類(lèi)產(chǎn)品的安全特性對其是十分重要的。