一、引言
現(xiàn)場(chǎng)總線技術(shù)發(fā)展至今,它的安全性如何仍然是用戶觀望等待的重要因素之一。對(duì)于電廠、化工廠、冶煉廠等用戶來說,現(xiàn)場(chǎng)總線的優(yōu)越性己經(jīng)了解很多,有些用戶可能已經(jīng)開始在一些非重要部門采用現(xiàn)場(chǎng)總線控制系統(tǒng),但要在工廠重要的、與安全相關(guān)的工業(yè)過程采用現(xiàn)場(chǎng)總線控制系統(tǒng),還需要供應(yīng)商提供更多的資料與保證。
現(xiàn)場(chǎng)總線的優(yōu)勢(shì)很多,但換一個(gè)角度看可能就是劣勢(shì):它的串行結(jié)構(gòu)決定了它能節(jié)省布線、簡化系統(tǒng)安裝、維護(hù)和管理費(fèi)用、簡化通信協(xié)議、方便解決總線供電等問題,是它的重要優(yōu)勢(shì),但同時(shí)也是重要的安全隱患。因?yàn)樗锌刂泼睢⒕S護(hù)信息都通過這條單一總線發(fā)送信號(hào),一旦這條總線損壞,這條支路就癱瘓了;產(chǎn)品的可互操作性使用戶選擇產(chǎn)品的自由度增加,成本降低,但多家供應(yīng)商提供的產(chǎn)品在一個(gè)系統(tǒng)中運(yùn)行,它們的可互操作程度能達(dá)到多少?系統(tǒng)監(jiān)控軟件可以提供設(shè)備的預(yù)診斷,但軟件中可能存在的成千上萬個(gè) "bug"如何控制?現(xiàn)場(chǎng)總線上層連接以太網(wǎng)、Internet網(wǎng),可以實(shí)現(xiàn)遠(yuǎn)程在線診斷和維護(hù),但如果 "黑客"們也通過這個(gè)網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程攻擊,我們?cè)O(shè)置的密碼是不是足夠?面對(duì)種種安全問題,我們是否該就此停步?表1是自動(dòng)化領(lǐng)域技術(shù)的發(fā)展歷程。
上表實(shí)際上展示了一種趨勢(shì),技術(shù)發(fā)展的腳步勢(shì)不可擋,關(guān)鍵是我們?nèi)绾蝸磉x擇。在考慮安全應(yīng)用的問題時(shí),最終用戶的問題是選擇什么樣的系統(tǒng),根據(jù)什么來決定在不同重要的場(chǎng)合使用哪種現(xiàn)場(chǎng)總線?如何評(píng)價(jià)一個(gè)現(xiàn)場(chǎng)總線系統(tǒng)的安全性水平?而供應(yīng)商的問題是:我該怎么做才能讓用戶相信自己的產(chǎn)品或系統(tǒng)可以用于安全目的?
實(shí)際上,他們所提問題的答案都是IEC61508。
二、IEC61508概述
2000年5月,國際電工委員會(huì)正式發(fā)布了IEC61508標(biāo)準(zhǔn),名為《電氣/電子/可編程電子安全系統(tǒng)的功能安全》,與之對(duì)應(yīng)的我國國家標(biāo)準(zhǔn)正在制定中。該標(biāo)準(zhǔn)分七部分,涉及1000多個(gè)規(guī)范。
由電氣和電子部件構(gòu)成的系統(tǒng),多年來在許多領(lǐng)域中執(zhí)行安全功能;以計(jì)算機(jī)為基礎(chǔ)的系統(tǒng)在許多領(lǐng)域中用于非安全目的,但也越來越多地用于安全目的。當(dāng)前計(jì)算機(jī)、集成電路等技術(shù)的發(fā)展已經(jīng)滲透到所有工業(yè)領(lǐng)域,計(jì)算能力的極大增加徹底改變了工廠和工業(yè)過程的控制,也改變了安全控制策略。對(duì)于包含有電子、電氣設(shè)備,計(jì)算機(jī)軟、硬件的系統(tǒng),要用于關(guān)系到人身財(cái)產(chǎn)安全的領(lǐng)域中時(shí),進(jìn)行規(guī)范的安全指導(dǎo)是十分必要的。
TEC61508針對(duì)由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周期,建立了一個(gè)基礎(chǔ)的評(píng)價(jià)方法。目的是要針對(duì)以電子為基礎(chǔ)的安全系統(tǒng)提出一個(gè)一致的、合理的技術(shù)方案,統(tǒng)籌考慮 單獨(dú)系統(tǒng)(如傳感器、通信系統(tǒng)、控制裝置、執(zhí)行器等)中元件與安全系統(tǒng)組合的問題。
TEC61508的七個(gè)部分內(nèi)容分別為:
第1部分:一般要求,描述了主要概念、組織、生命期、文檔編制、引導(dǎo)證據(jù)及SIL的定義。
第2部分是對(duì)電氣/電子/可編程電子安全系統(tǒng)的要求,包括對(duì)設(shè)備和系統(tǒng)的要求,它的很多內(nèi)容與第7部分的鑒別方法的應(yīng)用有關(guān),這些方法解決了隨機(jī)或系統(tǒng)失效問題。
第3部分是對(duì)軟件的要求,描述避免失效的方法,與第7部分的附錄相關(guān)。
第4部分是定義和縮略語。
第5部分給出一些確定安全完整性水平的方法示例。
第6部分包括第2和第3部分的應(yīng)用指南。
第7部分給出測(cè)試方法,簡短的注釋并提供部分參考書目。
(一)IEC61508中的基本定義
1.安全功能 (safety function)
針對(duì)規(guī)定的危險(xiǎn)事件,為達(dá)到或保持受控設(shè)備(EUC)的安全狀態(tài),由E/E/PE安全系統(tǒng)、其他技術(shù)安全系統(tǒng)或外部風(fēng)險(xiǎn)降低設(shè)施實(shí)現(xiàn)的功能。</
