隨著社會(huì)進(jìn)步，政府和企業(yè)在安全方面的投入日益增大。為了改善效益，越來(lái)越多的儀表與自動(dòng)化企業(yè)正在著手向安全領(lǐng)域轉(zhuǎn)產(chǎn)，如傳統(tǒng)生產(chǎn)DCS的企業(yè)向SIS領(lǐng)域進(jìn)軍、傳統(tǒng)的PLC企業(yè)轉(zhuǎn)而生產(chǎn)安全PLC、傳統(tǒng)的儀表企業(yè)開(kāi)始研制安全型儀表等等。但如果不能正確理解與掌握“安全性”問(wèn)題，不了解產(chǎn)品應(yīng)具備什么安全特征，這樣的轉(zhuǎn)產(chǎn)是有很大風(fēng)險(xiǎn)的。
　　
　　本文介紹一下儀表與自動(dòng)化產(chǎn)品的安全性問(wèn)題，同時(shí)介紹其產(chǎn)品具有的安全特征。
　　
　　一、安全性問(wèn)題的基礎(chǔ)
　　
　　安全性表現(xiàn)產(chǎn)品的安全品質(zhì)，是通過(guò)設(shè)計(jì)、制造出來(lái)的，但只靠產(chǎn)品無(wú)法維持。安全有其自身特點(diǎn)，不了解其基本概念與方法，僅靠原有的自動(dòng)化技術(shù)知識(shí)是不能合理地處理安全性問(wèn)題的。
　　
　　從事安全工作的人必須深刻了解以下幾個(gè)要點(diǎn)：
　　
　　（1）安全的對(duì)象是人
　　
　　我們說(shuō)，自動(dòng)化控制系統(tǒng)可以用來(lái)保護(hù)人、環(huán)境與設(shè)備，但安全的zui終關(guān)注點(diǎn)在人，也就是說(shuō)，安全的對(duì)象是人。是人就會(huì)有人性的弱點(diǎn)，出了事故就要考慮承擔(dān)法律責(zé)任。要充分考慮所有與人有關(guān)的安全模式，執(zhí)行安全標(biāo)準(zhǔn)來(lái)規(guī)避風(fēng)險(xiǎn)，避免法律糾紛。
　　
　　·理解人性弱點(diǎn)，增加生理學(xué)知識(shí)
　　
　　由于人性的弱點(diǎn)，會(huì)產(chǎn)生無(wú)知、好奇、恐慌等不良情緒，誤判導(dǎo)致錯(cuò)誤操作zui終導(dǎo)致事故，應(yīng)盡可能對(duì)上述所有異常行為采取相應(yīng)措施，如果不能，也需要對(duì)使用者規(guī)定一般的素質(zhì)要求，針對(duì)不同的種類(lèi)考慮不同的限制，規(guī)定相應(yīng)的界限。
　　
　　舉一些例子。某飛機(jī)進(jìn)入著陸姿勢(shì)時(shí)開(kāi)關(guān)已經(jīng)扳向自動(dòng)操縱方式，但飛行員錯(cuò)誤地認(rèn)為處于手動(dòng)位置，并持續(xù)地扳動(dòng)操縱桿，結(jié)果自動(dòng)裝置向相反方面動(dòng)作，zui終導(dǎo)致了墜機(jī)事故。某段鐵路的兩個(gè)信號(hào)表示不同線(xiàn)路的狀態(tài)，司機(jī)由于看錯(cuò)了相鄰的信號(hào)而發(fā)生撞車(chē)事故。有很多安全事故的原因違反了技術(shù)人員的常識(shí)，是技術(shù)人員所不能理解的。如電梯中有開(kāi)門(mén)和關(guān)門(mén)兩個(gè)按鈕，電路設(shè)計(jì)時(shí)會(huì)充分考慮按下任意按鈕時(shí)電梯應(yīng)做出的反映，但乘客可能會(huì)同時(shí)按下兩個(gè)按扭，或者以極微小的時(shí)差按下兩個(gè)按鈕。對(duì)于這種“游戲”動(dòng)作估計(jì)不足，就會(huì)導(dǎo)致電梯非正常停車(chē)，結(jié)果把乘客關(guān)在電梯中，不得不靠外面的救援。
　　
　　這類(lèi)錯(cuò)誤很多，安全產(chǎn)品開(kāi)發(fā)時(shí)應(yīng)從生理學(xué)的角度進(jìn)行深入研究，并找出避免出錯(cuò)的措施；充分考慮異常的動(dòng)作、對(duì)狀況判斷失誤等“可預(yù)見(jiàn)與不可預(yù)見(jiàn)的”事件，即使萬(wàn)一出錯(cuò)，也應(yīng)該有補(bǔ)救的方法，不至于zui終導(dǎo)致事故。
　　
　　·了解與人有關(guān)的安全模式。
　　
　　研究安全模式就是找出產(chǎn)品使用過(guò)程中所有可能導(dǎo)致人員傷害的機(jī)制與可能性。
　　
　　自動(dòng)化產(chǎn)品與系統(tǒng)的安全模式主要分為兩類(lèi)。*類(lèi)是與功能失效相關(guān)的安全模式，在領(lǐng)域內(nèi)人們稱(chēng)這類(lèi)安全為功能安全，如緊急停車(chē)系統(tǒng)的故障會(huì)導(dǎo)致危險(xiǎn)時(shí)無(wú)法緊急停機(jī)；第二類(lèi)是產(chǎn)品在使用過(guò)程中對(duì)人體產(chǎn)生如觸電、電擊、熱燙、著火、爆炸、機(jī)械等直接的傷害，在領(lǐng)域內(nèi)人們稱(chēng)這類(lèi)安全為電氣安全、機(jī)械安全與防爆安全。
　　
　?。?）安全需要高成本
　　
　　為“安全”而設(shè)計(jì)的自動(dòng)化產(chǎn)品，其結(jié)構(gòu)會(huì)比原來(lái)只考慮功能結(jié)構(gòu)時(shí)復(fù)雜，成本也會(huì)增加。如果不肯下功夫增成本，就會(huì)制造出危險(xiǎn)的產(chǎn)品，一旦發(fā)生事故，造成巨大的損失。
　　
　?。?）危險(xiǎn)特點(diǎn)要了解
　　
　　應(yīng)用于安全領(lǐng)域的儀表與自動(dòng)化產(chǎn)品，承擔(dān)著“在生產(chǎn)過(guò)程中監(jiān)測(cè)與安全有關(guān)的狀態(tài)參數(shù)，發(fā)現(xiàn)故障與異常，及時(shí)采取措施以避免事故發(fā)生”的重要任務(wù)，但不同的應(yīng)用領(lǐng)域危險(xiǎn)特點(diǎn)不同，不了解這些特點(diǎn)，輕易轉(zhuǎn)產(chǎn)到“安全領(lǐng)域”，容易忽視新的應(yīng)注意的問(wèn)題點(diǎn)，導(dǎo)致重要損失。
　　
　　例如，某工廠(chǎng)在加工過(guò)程中使用大量酒精，由于設(shè)置在廠(chǎng)房頂部的排風(fēng)扇發(fā)生故障，致使酒精濃度上升，引起爆炸。分析事故原因時(shí)，發(fā)現(xiàn)原來(lái)設(shè)計(jì)安全控制方案時(shí)已經(jīng)預(yù)料到風(fēng)扇故障會(huì)導(dǎo)致爆炸危險(xiǎn)，所以設(shè)計(jì)安裝了安全聯(lián)鎖裝置來(lái)監(jiān)視電動(dòng)機(jī)轉(zhuǎn)速，保證電動(dòng)機(jī)停時(shí)生產(chǎn)線(xiàn)停。但沒(méi)料到的是，傳動(dòng)皮帶輪脫落導(dǎo)致不能排氣，這種故障在一般的工廠(chǎng)是通過(guò)使用者定期檢查皮帶張力時(shí)發(fā)現(xiàn)的，但這家工廠(chǎng)的屋頂非常高，維修人員無(wú)法到達(dá)，安全控制方案的設(shè)計(jì)者沒(méi)有充分考慮該廠(chǎng)的實(shí)際情況。在安全控制方案存在嚴(yán)重缺陷的情況下，安全聯(lián)鎖裝置設(shè)計(jì)得再好、產(chǎn)品再可靠，安全性也沒(méi)有保障。
　　
　?。?）標(biāo)準(zhǔn)規(guī)范很重要
　　
　　重大事故是低概率事件，一個(gè)企業(yè)不可能都經(jīng)歷過(guò)，企業(yè)內(nèi)的個(gè)人沒(méi)有學(xué)習(xí)過(guò)有關(guān)經(jīng)驗(yàn)，這與通過(guò)積累經(jīng)驗(yàn)取得進(jìn)步的質(zhì)量管理是*不同的，因此，借鑒外部他人的經(jīng)驗(yàn)，執(zhí)行行業(yè)*的標(biāo)準(zhǔn)是十分重要的。
　　
　　比如說(shuō)，功能安全標(biāo)準(zhǔn)是歐美等國(guó)安全控制領(lǐng)域的專(zhuān)家多年經(jīng)驗(yàn)的總結(jié)，它不但提出了一整套完整的實(shí)現(xiàn)安全的方案，還規(guī)定了從控制方案提出、實(shí)現(xiàn)直到停用的整個(gè)生命周期中所有相關(guān)人員的工作目標(biāo)與職責(zé)，建立了與安全控制相關(guān)的法律責(zé)任體系。執(zhí)行標(biāo)準(zhǔn)是保證安全的重要措施，同時(shí)也是規(guī)避風(fēng)險(xiǎn)、免除法律責(zé)任的重要手段。
　　
　　二、自動(dòng)化產(chǎn)品應(yīng)具備的安全品質(zhì)
　　
　　產(chǎn)品的安全品質(zhì)表現(xiàn)在兩個(gè)方面：一是單個(gè)產(chǎn)品的安全性，二是單個(gè)產(chǎn)品作為系統(tǒng)的一個(gè)單元時(shí)，需要考慮的系統(tǒng)安全性。
　　
　　單個(gè)產(chǎn)品的安全性是每一個(gè)產(chǎn)品都必須滿(mǎn)足的安全品質(zhì)，自動(dòng)化產(chǎn)品的安全品質(zhì)首先表現(xiàn)在防爆安全、電氣安全與機(jī)械安全等方面，也就是說(shuō)，產(chǎn)品使用過(guò)程中不能對(duì)人體與環(huán)境產(chǎn)生如觸電、電擊、熱燙、著火、爆炸、機(jī)械等直接的傷害。
　　
　　自動(dòng)化產(chǎn)品的系統(tǒng)安全性主要表現(xiàn)在功能安全方面。獨(dú)立的儀表及自動(dòng)化產(chǎn)品不存在功能安全問(wèn)題，但它用于組合成安全控制系統(tǒng)或安全保護(hù)系統(tǒng)時(shí)，就需要考慮它執(zhí)行某一特定安全功能的能力，用SIL表示，即產(chǎn)品的安全完整性能力（SILCapable），或稱(chēng)為該產(chǎn)品zui大可聲明的SIL等級(jí)。
　　
　　這很像由多塊木板組成的一個(gè)木桶，拿出任何一塊木板，問(wèn)這塊木板能不能讓桶里的水保持1米的水位，誰(shuí)都回答不了。組成這個(gè)木桶的每一塊木板必須足夠長(zhǎng)，才能組成一個(gè)能裝至少1米深水的木桶。
　　
　　產(chǎn)品具有越高等級(jí)的SIL，就表示該產(chǎn)品可以被用于更高等級(jí)的安全相關(guān)系統(tǒng)中，有能力承擔(dān)更高等級(jí)的風(fēng)險(xiǎn)控制任務(wù)。
　　
　　具有SIL能力的產(chǎn)品，或稱(chēng)為功能安全型產(chǎn)品的主要特征是能有效地避免故障與失效。對(duì)于純硬件組成的產(chǎn)品，技術(shù)的核心集中在如何避免硬件隨機(jī)失效，而對(duì)于由軟硬件組合的自動(dòng)化產(chǎn)品，技術(shù)的核心除了考慮避免硬件隨機(jī)失效，還要避免系統(tǒng)失效。系統(tǒng)失效是只有對(duì)設(shè)計(jì)或制造過(guò)程、操作規(guī)程、文檔或其它相關(guān)因素進(jìn)行修改后，才有可能排除的失效。
　　
　　概要地說(shuō)，儀表與自動(dòng)化產(chǎn)品如果聲稱(chēng)具有安全完整性能力，它必須具有以下特性：
　　
　?。?）有確定、較高的產(chǎn)品可靠性
　　
　　提高產(chǎn)品可靠性，就是降低硬件中由一種或幾種機(jī)能退化可能產(chǎn)生的隨機(jī)失效率。該失效率是SIL中*可用可靠性工程方法定量確定的部分，根據(jù)每個(gè)組成部件的失效率、系統(tǒng)結(jié)構(gòu)、系統(tǒng)狀態(tài)、約束條件等參量，分析計(jì)算，可優(yōu)化出PFD（要求時(shí)的失效率），從而控制硬件的隨機(jī)失效。
　　
　?。?）有較高的容錯(cuò)（故障）能力
　　
　　目前在行業(yè)內(nèi)流行的叫法是“容錯(cuò)”，也有叫“故障容忍度”，在IEC61508標(biāo)準(zhǔn)中正式的術(shù)語(yǔ)是“硬件故障裕度”。一般采用冗余技術(shù)來(lái)提高硬件故障裕度。硬件故障裕度為0，就如一個(gè)單通道系統(tǒng)，出現(xiàn)一個(gè)故障就會(huì)導(dǎo)致該通道功能喪失。故障裕度為1就如1oo2系統(tǒng)，出現(xiàn)一個(gè)故障時(shí)仍能正常工作，只有兩個(gè)故障同時(shí)出現(xiàn)才會(huì)導(dǎo)致系統(tǒng)的功能喪失。故障裕度為2就如1oo3系統(tǒng)，它能在2個(gè)故障同時(shí)發(fā)生時(shí)仍能正常工作，只有3個(gè)故障同時(shí)出現(xiàn)才會(huì)導(dǎo)致系統(tǒng)的功能喪失。
　　
　　有一點(diǎn)要著重強(qiáng)調(diào)的：采用冗余方法提高自動(dòng)化產(chǎn)品的SIL等級(jí)時(shí)，必須考慮共同原因失效問(wèn)題，也就是說(shuō)，必須盡力防止一個(gè)故障導(dǎo)致幾個(gè)冗余通道同時(shí)失效的問(wèn)題。這就是為什么用“硬件故障裕度”來(lái)評(píng)價(jià)產(chǎn)品的SIL等級(jí)，而不是直接用冗余數(shù)來(lái)評(píng)價(jià)SIL等級(jí)。西門(mén)子、皮爾磁等公司在他們的安全產(chǎn)品中，采用3個(gè)不同公司生產(chǎn)的微處理器來(lái)構(gòu)成3個(gè)冗余通道，就是為了避免共因失效，提高產(chǎn)品的容錯(cuò)能力與安全性能。
　　
　?。?）具有較高自診斷覆蓋率
　　
　　對(duì)自動(dòng)化產(chǎn)品來(lái)說(shuō)，安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測(cè)到的平均危險(xiǎn)失效率與子系統(tǒng)總平均失效率之比。提高安全失效分?jǐn)?shù)，就是提高產(chǎn)品的故障安力，也就是說(shuō)，當(dāng)產(chǎn)品出現(xiàn)故障時(shí)，具有的使系統(tǒng)以安全的方式失效的能力。提高安全失效分?jǐn)?shù)的辦法有很多，zui重要的就是提高診斷覆蓋率，也就是用各種內(nèi)部診斷的方式將可能導(dǎo)致危險(xiǎn)的失效檢測(cè)出來(lái)，提高診斷測(cè)試檢測(cè)到的危險(xiǎn)失效概率在危險(xiǎn)失效總概率中的比例。
　　
　　（4）有嚴(yán)格管理的開(kāi)發(fā)過(guò)程
　　
　　由于硬件和軟件設(shè)計(jì)時(shí)存在的技術(shù)缺陷，會(huì)直接導(dǎo)致系統(tǒng)失效，因此，產(chǎn)品的開(kāi)發(fā)過(guò)程中必須采取措施，有效控制硬件和軟件設(shè)計(jì)錯(cuò)誤引起的系統(tǒng)失效。
　　
　?。?）能有效抵御環(huán)境應(yīng)力影響
　　
　　環(huán)境因素，如電壓波動(dòng)、電磁干擾、環(huán)境溫度、濕度、水、振動(dòng)、灰塵、腐蝕物等的影響可能直接導(dǎo)致系統(tǒng)失效，因此，應(yīng)研究并應(yīng)用抗環(huán)境應(yīng)力的技術(shù)與措施，有效控制系統(tǒng)失效。
　　
　?。?）能避免因操作失效導(dǎo)致系統(tǒng)功能失效
　　
　　操作員動(dòng)作失誤是導(dǎo)致系統(tǒng)失效的重要原因，因此，產(chǎn)品設(shè)計(jì)時(shí)就要充分考慮到操作員失誤的可能性，并采取措施，有效避免由此而導(dǎo)致的系統(tǒng)功能失效。
　　
　?。?）在系統(tǒng)安全生命周期不同階段采取措施避免系統(tǒng)失效
　　
　　在系統(tǒng)與產(chǎn)品的整個(gè)生命周期中，有許多原因會(huì)導(dǎo)致系統(tǒng)失效，但不可能為避免系統(tǒng)失效進(jìn)行定量分析。通常可以將系統(tǒng)失效分為兩類(lèi)：
　　
　　·失效由產(chǎn)品安裝之前或產(chǎn)品安裝之中的故障誘發(fā)（例如，軟件故障包括規(guī)范和程序故障；硬件故障包括制造故障和部件的不正確選擇）；
　　
　　·失效由產(chǎn)品安裝之后的故障誘發(fā)（例如，硬件隨機(jī)失效，或使用不當(dāng)引起的失效）。
　　
　　為了在系統(tǒng)安全生命周期的安全要求規(guī)范、設(shè)計(jì)開(kāi)發(fā)、集成、操作和維護(hù)規(guī)程、安全確認(rèn)等階段避免和控制上述情況發(fā)生引起失效，必須采取大量技術(shù)與措施，包括：項(xiàng)目管理、遵循指南和標(biāo)準(zhǔn)、編制文檔、分離開(kāi)E/E/PE安全相關(guān)系統(tǒng)與非安全相關(guān)系統(tǒng)、結(jié)構(gòu)化規(guī)范、結(jié)構(gòu)化設(shè)計(jì)、模塊化、功能測(cè)試、操作和維護(hù)說(shuō)明書(shū)、用戶(hù)友善性、維護(hù)友善性、在環(huán)境條件下測(cè)試功能、浪涌抗擾性測(cè)試、故障插入測(cè)試（當(dāng)要求的診斷覆蓋率≥90%時(shí)）、形式化方法、半形式化方法、計(jì)算機(jī)輔助規(guī)范工具、檢查列表、規(guī)范的檢查、經(jīng)充分試驗(yàn)過(guò)的部件使用、仿真、硬件的檢查、硬件的走查、受限的操作可能性、僅可由熟練操作員操作、防止操作員出錯(cuò)、黑盒測(cè)試、統(tǒng)計(jì)測(cè)試、現(xiàn)場(chǎng)經(jīng)驗(yàn)、靜態(tài)分析、動(dòng)態(tài)分析、失效分析、zui差情況分析、擴(kuò)展的功能測(cè)試、zui差情況測(cè)試、故障插入測(cè)試等等。
　　
　　三、結(jié)束語(yǔ)
　　
　　從上世紀(jì)70～80年代上推出故障安全型儀表與設(shè)備，到2000年發(fā)布功能安全基礎(chǔ)標(biāo)準(zhǔn)，上對(duì)自動(dòng)化產(chǎn)品與系統(tǒng)的安全性問(wèn)題已經(jīng)提出并有了一套解決方案，但是這套方案還在不斷修改與完善之中。在我國(guó)，越來(lái)越多的用戶(hù)已經(jīng)使用了安全控制設(shè)備或系統(tǒng)，也有很多企業(yè)準(zhǔn)備開(kāi)發(fā)相關(guān)產(chǎn)品，在了解安全性的同時(shí)，明確知道這類(lèi)產(chǎn)品的安全特性對(duì)其是十分重要的。