现场总线系统的功能安全评价

发布者:悠闲自在最新更新时间:2016-05-16 来源: eefocus关键字:现场总线系统  功能安全 手机看文章 扫描二维码
随时随地手机看文章
  一、引言

  现场总线技术发展至今,它的安全性如何仍然是用户观望等待的重要因素之一。对于电厂、化工厂、冶炼厂等用户来说,现场总线的优越性己经了解很多,有些用户可能已经开始在一些非重要部门采用现场总线控制系统,但要在工厂重要的、与安全相关的工业过程采用现场总线控制系统,还需要供应商提供更多的资料与保证。

  现场总线的优势很多,但换一个角度看可能就是劣势:它的串行结构决定了它能节省布线、简化系统安装、维护和管理费用、简化通信协议、方便解决总线供电等问题,是它的重要优势,但同时也是重要的安全隐患。因为所有控制命令、维护信息都通过这条单一总线发送信号,一旦这条总线损坏,这条支路就瘫痪了;产品的可互操作性使用户选择产品的自由度增加,成本降低,但多家供应商提供的产品在一个系统中运行,它们的可互操作程度能达到多少?系统监控软件可以提供设备的预诊断,但软件中可能存在的成千上万个 "bug"如何控制?现场总线上层连接以太网、Internet网,可以实现远程在线诊断和维护,但如果 "黑客"们也通过这个网络对系统进行远程攻击,我们设置的密码是不是足够?面对种种安全问题,我们是否该就此停步?表1是自动化领域技术的发展历程。

  

 

  上表实际上展示了一种趋势,技术发展的脚步势不可挡,关键是我们如何来选择。在考虑安全应用的问题时,最终用户的问题是选择什么样的系统,根据什么来决定在不同重要的场合使用哪种现场总线?如何评价一个现场总线系统的安全性水平?而供应商的问题是:我该怎么做才能让用户相信自己的产品或系统可以用于安全目的?

  实际上,他们所提问题的答案都是IEC61508。

  二、IEC61508概述

  2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全系统的功能安全》,与之对应的我国国家标准正在制定中。该标准分七部分,涉及1000多个规范。

  由电气和电子部件构成的系统,多年来在许多领域中执行安全功能;以计算机为基础的系统在许多领域中用于非安全目的,但也越来越多地用于安全目的。当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。

  TEC61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。目的是要针对以电子为基础的安全系统提出一个一致的、合理的技术方案,统筹考虑 单独系统(如传感器、通信系统、控制装置、执行器等)中元件与安全系统组合的问题。

  TEC61508的七个部分内容分别为:

  第1部分:一般要求,描述了主要概念、组织、生命期、文档编制、引导证据及SIL的定义。

  第2部分是对电气/电子/可编程电子安全系统的要求,包括对设备和系统的要求,它的很多内容与第7部分的鉴别方法的应用有关,这些方法解决了随机或系统失效问题。

  第3部分是对软件的要求,描述避免失效的方法,与第7部分的附录相关。

  第4部分是定义和缩略语。

  第5部分给出一些确定安全完整性水平的方法示例。

  第6部分包括第2和第3部分的应用指南。

  第7部分给出测试方法,简短的注释并提供部分参考书目。

  (一)IEC61508中的基本定义

  1.安全功能 (safety function)

  针对规定的危险事件,为达到或保持受控设备(EUC)的安全状态,由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实现的功能。

  2.安全完整性 (Safety integrity)

  在规定的条件下、规定的时间内,安全系统成功实现所要求的安全功能的概率。这一定义着重于安全系统执行安全功能的可靠性。在确定安全完整性过程中,应包括所有导致非安全状态的因素,如随机的硬件失效,软件导致的失效以及由电气干扰引起的失效,这些失效的类型,尤其是硬件失效可用测量方法来定量,如在危险模式中的失效和系统失效率,或按规定操作的安全防护系统失效的概率。但是,系统的安全完整性还取决于许多因素,这些因素无法精确定量,仅可定性考虑。

  3.E/E/PE系统

  基于电气/电子和可编程电子装置的用于控制、防护或监视的系统,包括系统中所有的元素如电源、传感器、所有其他输入输出装置及所有通信手段。

  4.EUC(Equipment Under Control)

 

  受控设备,指用于制造、运输、医疗或其他领域的设备、机器、装置或装备。

  5.可接受凤险 (ACCeptable risk)

  风险指的是出现伤害的概率及该伤害严重性的组合。可接受风险指根据当今社会的水准所能够接受的风险。

  6.安全 (Safety)

  不存在不可接受的风险。

  7.安全系统 (Safely-elated-syStem)

  是用于两个目的:一是执行要求的安全功能以达到或保持EUC的安全状态;二是自身或与其他E/E/PES安全系统、其他技术安全系统或外部风险降低设施一道,对于要求的安全功能达到必要的安全完整性。

  安全系统是在接受命令后采取适当的动作以防止EUC进入危险状态。安全系统的失效应被包括在导致确定的危险事件中。尽管可能有其他系统具备安全功能,但仅是指用其自身能力达到要求的允许风险的安全系统。安全系统可大致分为安全控制系统和安全防护系统。

  安全系统可以是EUC控制系统的组成部分,也可用传感器和/或执行器与EUC的接口,既可用在EUC控制系统中执行安全功能的方式达到要求的安全完整性水平,也可用分离的/独立的专门用于安全的系统执行安全功能。

  (二)IEC61508的基本概念

  TEC61508标准规定随机失效的后果必须定量评估,使用随机存取测量系统 (RAMS)方法计算有效性。量化与故障相关的系统失效是没有用的,应当通过组织指导来避免系统失效,或通过技术措施来控制。

  1.风险和安全完整性慨念

  

 

  2.功能安全保证的内容

  功能安全保证主要包括两部分内容:失效识别和安全完整性水平。

  (1)失效识别。

  失效就是功能单元失去实现其功能的能力。一些功能是根据所达到的行为进行规定的,在执行功能时,某些特定的行为是不允许的,这些行为的出现就是失效。失效可能是随机失效,这种失效通常由于硬件装置的耗损所致。也可能是系统失效,这在硬件和软件中都可能出现。失效识别就是要分辨出不同部件的各种失效原因,估算出系统失效概率。

  (2)安全完整性水平 (SIL) (safety integrity level)。

  一种离散的水平,用于规定分配给E/E/PE安全系统的安全功能的安全完整性要求,安全系统的安全完整性水平越高,安全系统实现所要求的安全功能失败的可能性就越低。IEC61508中规定系统有4种安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。

  

 

  三、现场总线系统的功能安全评价

  (一)现场总线系统完成的功能

  现场总线系统所起的作用是通信,它包括一组硬件和软件,允许两个或多个装置之间信息交换。在受控过程中,它不应该传播或建立会产生危险情形的错误:它应能找出数据的讹误,保证实时数据的传送,传递应有序,避免混乱。同时应能随时了解可能出现的故障状态,避免出现因通信错误触发不合理的安全动作,例如使过程在不该停止时停了下来,或使过程在出现故障时还继续工作等。

  (二)现场总线系统安全功能评价的方法

 

  要证明一个系统或子系统是否可以用在安全领域,是否符合IEC61508标准,有两个途径:一是按照IEC61508的原则设计一个新系统;二是沿用以前已经使用并证明是安全的系统,用"proven in use"方法来验证。现场总线系统的功能安全评价一般都采取第二种方法。这是一个在"使用中证实"的概念。如果一种产品或系统已经在使用中,只要供应商有足够的证据证明它是安全的,那么以后相同的产品或系统就允许应用在同等安全的领域。

  IEC61508中提出的这种"proven in use"的概念对于供应商和用户都有极大的激励作用。目前世界上此重要的设备供应商都开始对自己的产品进行这方面认证工作。但"Proven in use"实际上有很严格的限制条件:

  (l)Proven in use方法只能用于那些满足相关要求的功能和接口子系统;

  (2)子系统的工作条件与原子系统的工作条件完全相同或十分相近;

  (3)如果子系统的工作条件不同,则需要用分析和测试的方法来论证该系统的功能安全完整性可能达到的水平,以保证该系统可用于安全领域;

  (4)声明的失效率有足够的统计学数据基础;

  (5)收集有足够的失效数据;

  (6)考虑了子系统的复杂性,子系统对风险降低的贡献,子系统失效对整个系统可能造成的后果,新设计等。

关键字:现场总线系统  功能安全 引用地址:现场总线系统的功能安全评价

上一篇:基于RS-485总线的分布式故障诊断系统
下一篇:基于现场总线技术的工厂Web网络集成

推荐阅读最新更新时间:2024-05-03 00:23

PROFIBUS-DP现场总线控制系统性能研究及诊断软件开发
  Profibus总线是目前在工业自动化领域内市场占有率最高的一种现场总线技术,Profibus总线包括了用于制造业自动化的Profibus-DP和用于流程工业领域的Profibus-PA以及用于工厂管理自动化的Profibus-FMS,它是目前我国惟一的现场总线国家标准。   随着越来越多工业控制系统采用了Profibus现场总线技术,对这些控制系统进行具体的、直观的和实时的在线分析与诊断成为了最基本的要求,要想完成这样的任务,就需要有相应的工程分析诊断工具。国内外目前所研究的这些总线性能分析诊断工程工具存在着功能不够全面、界面不够完善、价格昂贵、不适合中国国情等问题。开发一款能够对总线系统进行分析和诊断,方便的、性能价格比高的
[嵌入式]
多参数食品安全快速测试仪的相关功能介绍
多参数食品安全快速测试仪的作用。多参数食品安全快速测试仪【恒美HM-SP60】在检测农产品、水产品、海产品、畜禽食品及其加工食品的质量安全方面发挥重要的作用。如今,人们更加关注绿色安全的食品,以确保他们的食品安全。所谓绿色食品,就是不会对人体健康构成威胁的食品。由于食品种类繁多,其安全问题也有很多,多参数食品安全快速测试仪可检测食品中可能存在的农药残留、兽药残留、食品添加剂、重金属、甲醛、微生物、病害肉等有毒有害物质。 多参数食品安全快速测试仪【恒美HM-SP60】的检测项目种类多,检测结果准确,仪器的应用范围较为广泛,可以在政府检验、企业食品安全检验、超市、农贸消费市场、科研院校等各种有应用需求的地方使用。体积小、重量轻、便
[测试测量]
基于现场总线的埋弧焊接控制系统设计
  1 轧辊埋弧焊接控制概述   埋弧焊是一种重要的焊接方法,其优点是焊接时将弧光埋起来,对人及环境的影响非常小。   埋弧焊施焊有三个基本环节:在焊件待焊接缝处均匀堆敷足够颗粒状焊剂;导电嘴和焊件分别接通焊接电源两极以产生焊接电弧;自动送进焊丝并移动电弧和焊件实施焊接。埋弧焊自动控制技术包括两个方面:对自动焊过程的顺序控制,实现三个基本环节控制;对弧焊设备和焊接过程的自动控制,包括弧焊机输出特性的控制,焊接过程自动跟踪及焊接过程的自适应控制等。   2 现场总线概述   现场总线是在智能现场设备和自动化系统间提供一个全数字化的、分散的、双向的、多点的通信链接的一种工业数据总线。现场总线技术及标准是全开放式的,从总
[嵌入式]
基于PROFIBUS现场总线技术的钴-60集装箱检查控制系统
现场总线(Fieldbus)技术是一种实现现场级设备数字化通信的网络技术。它使自控系统与设备具有了通信能力,通过把它们连成网络系统而成为企业信息网络的底层,使企业信息沟通的覆盖范围延伸到生产现场。现场总线技术的出现和发展,使得建构一种全数字、全分散、全开放的控制系统成为可能,导致了传统控制系统结构的变革。 作为当前自动化领域最热门的技术之一,现场总线仍处在不断的发展中,现在已经出现了许多种现场总线标准,如PROFIBUS、LonWorks、CAN、HART等。由不同行业发展起来的现场总线产品技术水平各不一样,应用范围和前景也各不相同,现在仍没有国际统一的现场总线标准。因此,在采用该技术进行实际的控制系统设计时,必须综合考虑各方
[嵌入式]
飞思卡尔推出面向功能安全的SafeAssure计划
SafeAssure解决方案帮助安全系统设计者降低复杂性,同时符合新的国际标准要求 2011年9月13日,东京(飞思卡尔技术论坛-日本) – 飞思卡尔半导体(NYSE:FSL)宣布推出SafeAssure计划,旨在帮助系统制造商更加轻松地满足汽车和工业市场中的功能安全标准要求。飞思卡尔的SafeAssure解决方案缩短了对于满足即将颁布的国际标准组织 (ISO) 26262标准和国际电工委员会 (IEC) 61508标准要求的安全系统所需的开发时间。 飞思卡尔高级副总裁兼首席销售与营销官Henri Richard表示,“业界围绕着安全应用所投入的关注度越来越高,飞思卡尔也同样如此,并非常重视业界的这一趋势,为了帮助解决与此有关
[汽车电子]
Codasip为RISC-V处理器系列增加Veridify安全启动功能
固件的真实性验证增强嵌入式系统的安全性 德国纽伦堡,2022年7月-- 可定制RISC-V处理器知识产权(IP)和处理器设计自动化的领导者Codasip日前宣布, Veridify Security公司的抗量子安全工具现在可以通过安全启动功能支持Codasip的RISC-V处理器。 在固件加载到Codasip处理器上时,Veridify的安全算法就会对其进行验证,以使RISC-V开发人员确信嵌入式系统是安全可用的。 Veridify的安全启动功能是基于一种比传统加密方法运行速度更快的算法;只需要很小的代码空间和超低功耗,非常适合Codasip的低功耗嵌入式处理器系列。通过使用Veridify的方法,Codasip的客户现在
[嵌入式]
Codasip为RISC-V处理器系列增加Veridify<font color='red'>安全</font>启动<font color='red'>功能</font>
基于Profibus现场总线的煤矿井下胶带监控系统
现场总线是20世纪80年代中期在国际上发展起来的。它应用在生产现场,实现微机化测量设备之间的双向串行多节点数字通信,它适应了工业控制系统向分散化、网络化、智能化方向的发展,一经产生便成为全球工业自动化技术的热点,受到全世界的普遍关注。自80年代末以来,几种现场总线技术如FF、Lonworks、Canbus、Profibus等已逐渐成熟并对工业自动化进程形成影响。Profibus是Process FieldBus的缩写,是一种用于工厂自动化车间级监控和现场设备层数据通信与控制的现场总线技术,可实现现场设备层到车间级监控的分散式数字控制和现场通信,从而为实现工厂综合自动化和现场设备智能化提供可行的解决方案。胶带运输是煤矿生产中十分重要的
[嵌入式]
航顺芯片获ISO 26262最高等级认证,汽车功能安全管理体系再升级
近日,国际独立第三方检测、检验和认证机构SGS为深圳市航顺 芯片 技术研发有限公司(以下简称“航顺芯片”)颁发了ISO 26262:2018汽车功能安全最高等级ASIL D流程认证证书。 这标志着航顺芯片已经建立起完善的、符合汽车功能安全最高等级要求的芯片产品软硬件开发流程管理体系,也印证了航顺芯片的车规 MCU 产品和服务,可完全满足顶级汽车厂商在产品设计和集成阶段的车规功能安全要求,可大大降低客户自行验证和认证的工作量,加速产品上市。 随着汽车电气化和智能化的发展,汽车的安全性愈发重要。这些新技术引入了更多的电子控制系统和 传感器 ,因此也增加了系统故障的风险。ISO 26262标准是当前全球公认的汽车功能安全流程标
[汽车电子]
航顺芯片获ISO 26262最高等级认证,汽车<font color='red'>功能</font><font color='red'>安全</font>管理体系再升级
小广播
最新嵌入式文章
何立民专栏 单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved