自动化产品的安全性问题及安全特征

自动化产品的安全性问题及安全特自动化产品的安全性问题及安全特 征征 随着社会进步 政府和企业在安全方面的投入日益增大 为了改善效益 越来越多的仪表与自动化企业正在着手向安全 领域转产 如传统生产 dcs 的企业向 sis 领域进军 传统的 plc 企业转而生产安全 plc 传统的仪表企业开始研制安全型仪表 等等 但如果不能正确理解与掌握 安全性 问题 不了解产品 应具备什么安全特征 这样的转产是有很大风险的 本文介绍一下仪表与自动化产品的安全性问题 同时介绍 其产品具有的安全特征 一 安全性问题的基础一 安全性问题的基础 安全性表现产品的安全品质 是通过设计 制造出来的 但只靠产品无法维持 安全有其自身特点 不了解其基本概念 与方法 仅靠原有的自动化技术知识是不能合理地处理安全性 问题的 从事安全工作的人必须深刻了解以下几个要点 1 安全的对象是人 我们说 自动化控制系统可以用来保护人 环境与设备 但安全的最终关注点在人 也就是说 安全的对象是人 是人 就会有人性的弱点 出了事故就要考虑承担法律责任 要充分 考虑所有与人有关的安全模式 执行安全标准来规避风险 避 免法律纠纷 理解人性弱点 增加生理学知识 由于人性的弱点 会产生无知 好奇 恐慌等不良情绪 误判导致错误操作最终导致事故 应尽可能对上述所有异常行 为采取相应措施 如果不能 也需要对使用者规定一般的素质 要求 针对不同的种类考虑不同的限制 规定相应的界限 举一些例子 某飞机进入着陆姿势时开关已经扳向自动操 纵方式 但飞行员错误地认为处于手动位置 并持续地扳动操 纵杆 结果自动装置向相反方面动作 最终导致了坠机事故 某段铁路的两个信号表示不同线路的状态 司机由于看错了相 邻的信号而发生撞车事故 有很多安全事故的原因违反了技术 人员的常识 是技术人员所不能理解的 如电梯中有开门和关 门两个按钮 电路设计时会充分考虑按下任意按钮时电梯应做 出的反映 但乘客可能会同时按下两个按扭 或者以极微小的 时差按下两个按钮 对于这种 游戏 动作估计不足 就会导致 电梯非正常停车 结果把乘客关在电梯中 不得不靠外面的救 援 这类错误很多 安全产品开发时应从生理学的角度进行深 入研究 并找出避免出错的措施 充分考虑异常的动作 对状 况判断失误等 可预见与不可预见的 事件 即使万一出错 也 应该有补救的方法 不至于最终导致事故 了解与人有关的安全模式 研究安全模式就是找出产品使用过程中所有可能导致人员 伤害的机制与可能性 自动化产品与系统的安全模式主要分为两类 第一类是与 功能失效相关的安全模式 在领域内人们称这类安全为功能安 全 如紧急停车系统的故障会导致危险时无法紧急停机 第二 类是产品在使用过程中对人体产生如触电 电击 热烫 着火 爆炸 机械等直接的伤害 在领域内人们称这类安全为电气安 全 机械安全与防爆安全 2 安全需要高成本 为 安全 而设计的自动化产品 其结构会比原来只考虑功 能结构时复杂 成本也会增加 如果不肯下功夫增成本 就会 制造出危险的产品 一旦发生事故 造成巨大的损失 3 危险特点要了解 应用于安全领域的仪表与自动化产品 承担着 在生产过程 中监测与安全有关的状态参数 发现故障与异常 及时采取措 施以避免事故发生 的重要任务 但不同的应用领域危险特点不 同 不了解这些特点 轻易转产到 安全领域 容易忽视新的 应注意的问题点 导致重要损失 例如 某工厂在加工过程中使用大量酒精 由于设置在厂 房顶部的排风扇发生故障 致使酒精浓度上升 引起爆炸 分 析事故原因时 发现原来设计安全控制方案时已经预料到风扇 故障会导致爆炸危险 所以设计安装了安全联锁装置来监视电 动机转速 保证电动机停时生产线停 但没料到的是 传动皮 带轮脱落导致不能排气 这种故障在一般的工厂是通过使用者 定期检查皮带张力时发现的 但这家工厂的屋顶非常高 维修 人员无法到达 安全控制方案的设计者没有充分考虑该厂的实 际情况 在安全控制方案存在严重缺陷的情况下 安全联锁装 置设计得再好 产品再可靠 安全性也没有保障 4 标准规范很重要 重大事故是低概率事件 一个企业不可能都经历过 企业 内的个人没有学习过有关经验 这与通过积累经验取得进步的 质量管理是完全不同的 因此 借鉴外部他人的经验 执行行 业公认的标准是十分重要的 比如说 功能安全标准是欧美等国安全控制领域的专家多 年经验的总结 它不但提出了一整套完整的实现安全的方案 还规定了从控制方案提出 实现直到停用的整个生命周期中所 有相关人员的工作目标与职责 建立了与安全控制相关的法律 责任体系 执行标准是保证安全的重要措施 同时也是规避风 险 免除法律责任的重要手段 二 自动化产品应具备的安全品质二 自动化产品应具备的安全品质 产品的安全品质表现在两个方面 一是单个产品的安全性 二是单个产品作为系统的一个单元时 需要考虑的系统安全性 单个产品的安全性是每一个产品都必须满足的安全品质 自动化产品的安全品质首先表现在防爆安全 电气安全与机械 安全等方面 也就是说 产品使用过程中不能对人体与环境产 生如触电 电击 热烫 着火 爆炸 机械等直接的伤害 自动化产品的系统安全性主要表现在功能安全方面 独立 的仪表及自动化产品不存在功能安全问题 但它用于组合成安 全控制系统或安全保护系统时 就需要考虑它执行某一特定安 全功能的能力 用 sil 表示 即产品的安全完整性能力 silcapable 或称为该产品最大可声明的 sil 等级 这很像由多块木板组成的一个木桶 拿出任何一块木板 问这块木板能不能让桶里的水保持 1 米的水位 谁都回答不了 组成这个木桶的每一块木板必须足够长 才能组成一个能装至 少 1 米深水的木桶 产品具有越高等级的 sil 就表示该产品可以被用于更高等 级的安全相关系统中 有能力承担更高等级的风险控制任务 具有 sil 能力的产品 或称为功能安全型产品的主要特征是 能有效地避免故障与失效 对于纯硬件组成的产品 技术的核 心集中在如何避免硬件随机失效 而对于由软硬件组合的自动 化产品 技术的核心除了考虑避免硬件随机失效 还要避免系 统失效 系统失效是只有对设计或制造过程 操作规程 文档 或其它相关因素进行修改后 才有可能排除的失效 概要地说 仪表与自动化产品如果声称具有安全完整性能 力 它必须具有以下特性 1 有确定 较高的产品可靠性 提高产品可靠性 就是降低硬件中由一种或几种机能退化 可能产生的随机失效率 该失效率是 sil 中唯一可用可靠性工程 方法定量确定的部分 根据每个组成部件的失效率 系统结构 系统状态 约束条件等参量 分析计算 可优化出 pfd 要求时 的失效率 从而控制硬件的随机失效 2 有较高的容错 故障 能力 目前在行业内流行的叫法是 容错 也有叫 故障容忍度 在 iec61508 标准中正式的术语是 硬件故障裕度 一般采用冗 余技术来提高硬件故障裕度 硬件故障裕度为 0 就如一个单 通道系统 出现一个故障就会导致该通道功能丧失 故障裕度 为 1 就如 1oo2 系统 出现一个故障时仍能正常工作 只有两个 故障同时出现才会导致系统的功能丧失 故障裕度为 2 就如 1oo3 系统 它能在 2 个故障同时发生时仍能正常工作 只有 3 个故障同时出现才会导致系统的功能丧失 有一点要着重强调的 采用冗余方法提高自动化产品的 sil 等级时 必须考虑共同原因失效问题 也就是说 必须尽力防 止一个故障导致几个冗余通道同时失效的问题 这就是为什么 用 硬件故障裕度 来评价产品的 sil 等级 而不是直接用冗余数 来评价 sil 等级 西门子 皮尔磁等公司在他们的安全产品中 采用 3 个不同公司生产的微处理器来构成 3 个冗余通道 就是 为了避免共因失效 提高产品的容错能力与安全性能 3 具有较高自诊断覆盖率 对自动化产品来说 安全失效分数的定义为该产品的平均 安全失效率加检测到的平均危险失效率与子系统总平均失效率 之比 提高安全失效分数 就是提高产品的故障安全能力 也 就是说 当产品出现故障时 具有的使系统以安全的方式失效 的能力 提高安全失效分数的办法有很多 最重要的就是提高 诊断覆盖率 也就是用各种内部诊断的方式将可能导致危险的 失效检测出来 提高诊断测试检测到的危险失效概率在危险失 效总概率中的比例 4 有严格管理的开发过程 由于硬件和软件设计时存在的技术缺陷 会直接导致系统 失效 因此 产品的开发过程中必须采取措施 有效控制硬件 和软件设计错误引起的系统失效 5 能有效抵御环境应力影响 环境因素 如电压波动 电磁干扰 环境温度 湿度 水 振动 灰尘 腐蚀物等的影响可能直接导致系统失效 因此 应研究并应用抗环境应力的技术与措施 有效控制系统失效 6 能避免因操作失效导致系统功能失效 操作员动作失误是导致系统失效的重要原因 因此 产品 设计时就要充分考虑到操作员失误的可能性 并采取措施 有 效避免由此而导致的系统功能失效 7 在系统安全生命周期不同阶段采取措施避免系统失效 在系统与产品的整个生命周期中 有许多原因会导致系统 失效 但不可能为避免系统失效进行定量分析 通常可以将系 统失效分为两类 失效由产品安装之前或产品安装之中的故障诱发 例如 软 件故障包括规范和程序故障 硬件故障包括制造故障和部件的 不正确选择 失效由产品安装之后的故障诱发 例如 硬件随机失效 或 使用不当引起的失效 为了在系统安全生命周期的安全要求规范 设计开发 集 成 操作和维护规程 安全确认等阶段避免和控制上述情况发 生引起失效 必须采取大量技术与措施 包括 项目管理 遵 循指南和标准 编制文档 分离开 e e pe 安全相关系统与非安 全相关系统 结构化规范 结构化设计 模块化 功能测试 操作和维护说明书 用户友善性 维护友善性 在环境条件下 测试功能 浪涌抗扰性测试 故障插入测试 当要求的诊断覆盖 率 90 时 形式化方法 半形式化方法 计算机辅助规范工具 检查列表 规范的检查 经充分试验过的部件使用 仿真 硬 件的检查 硬件的走查 受限的操作可能性 仅可由熟练操作 员操作 防止操作员出错 黑盒测试 统计测试 现场经验 静态分析 动态分析 失