關(guān)于工業(yè)控制編程中的對(duì)于安全性的探討

引言

隨著我國(guó)工業(yè)制造水平不斷提高，生產(chǎn)工藝日益復(fù)雜，對(duì)工業(yè)安全也提出了更高的要求，因此安全技術(shù)及安全相關(guān)系統(tǒng)無(wú)疑將扮演越來(lái)越重要的角色。近年來(lái)，以計(jì)算機(jī)為基礎(chǔ)的系統(tǒng)已經(jīng)滲透到幾乎所有的工控領(lǐng)域，徹底改變了工廠和工業(yè)過(guò)程的控制，而且包含電子、電氣設(shè)備和計(jì)算機(jī)軟硬件的系統(tǒng)被越來(lái)越多地用于安全目的。1998年，國(guó)際電工委員會(huì)正式發(fā)布了IEC61508，即《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》，該標(biāo)準(zhǔn)的發(fā)布實(shí)質(zhì)上正式承認(rèn)了以軟件為基礎(chǔ)的安全相關(guān)系統(tǒng)，并且已經(jīng)成為國(guó)際公認(rèn)的功能安全基礎(chǔ)標(biāo)準(zhǔn)，與之對(duì)應(yīng)的我國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438也已經(jīng)正式發(fā)布。

IEC61508還有一個(gè)重要的目標(biāo)是促進(jìn)應(yīng)用領(lǐng)域標(biāo)準(zhǔn)的制訂。因此，在IEC61508的基礎(chǔ)上，已經(jīng)制定了一些具體行業(yè)或應(yīng)用領(lǐng)域的功能安全標(biāo)準(zhǔn)。其中，獨(dú)立于生產(chǎn)商和產(chǎn)品的全球性協(xié)會(huì)的PLCopen組織，致力于解決控制編程等相關(guān)方面問(wèn)題，從而支持使用該領(lǐng)域國(guó)際標(biāo)準(zhǔn)；旗下6個(gè)技術(shù)委員會(huì)分別關(guān)注：TC1標(biāo)準(zhǔn)； TC2功能；TC2-TF運(yùn)動(dòng)控制；TC3認(rèn)證；TC4通訊；TC5安全；TC6XML。其中第5個(gè)技術(shù)委員會(huì)專注于研究IEC61508和IEC61511等相關(guān)的安全標(biāo)準(zhǔn)，為我們應(yīng)用IEC61131-3標(biāo)準(zhǔn)時(shí)，如何使它匹配安全相關(guān)的標(biāo)準(zhǔn)而提出建議。

1、安全相關(guān)控制系統(tǒng)簡(jiǎn)介

根據(jù)IEC標(biāo)準(zhǔn)，安全型系統(tǒng)稱為Safety-Related System。它覆蓋的范圍很廣，適用于所有工控自動(dòng)化系統(tǒng)，它包含了影響安全的各種因素，如儀表組成的保護(hù)系統(tǒng)，工藝設(shè)備的安全措施以及管理和人員的操作和規(guī)章制度等各方面。對(duì)于我們平常所說(shuō)的安全控制系統(tǒng)就是指儀表和控制設(shè)備構(gòu)成的保護(hù)系統(tǒng)。

安全控制系統(tǒng)主要由現(xiàn)場(chǎng)檢測(cè)儀表、控制邏輯單元和現(xiàn)場(chǎng)執(zhí)行裝置和他們之間的連線組成，其中控制邏輯單元是整個(gè)控制系統(tǒng)的核心。這一系統(tǒng)能以符合安全要求的概率，在工藝過(guò)程出現(xiàn)預(yù)先規(guī)定的故障情況時(shí)，使過(guò)程處在安全狀態(tài)。

在安全控制系統(tǒng)的設(shè)計(jì)中，為了定量的來(lái)分析各種生產(chǎn)裝置的安全性，并作為安全控制系統(tǒng)的配置依據(jù)，IEC61508定義了4個(gè)安全度等級(jí)（ Safety Integrity Level）SIL1-4，同時(shí)每個(gè)等級(jí)包括兩個(gè)定量的安全要求，即系統(tǒng)連續(xù)操作每小時(shí)故障概率（PFH）和按要求模式執(zhí)行指定功能的故障概率（PFD），參見(jiàn)表1：

表1 安全等級(jí)劃分標(biāo)準(zhǔn)

安全控制系統(tǒng)的設(shè)計(jì)以及系統(tǒng)結(jié)構(gòu)既要滿足工業(yè)過(guò)程的安全度要求，又要保證可靠性和可用性，因此，必須對(duì)具體的工業(yè)過(guò)程進(jìn)行安全評(píng)價(jià)。我國(guó)目前還沒(méi)有具體的安全等級(jí)評(píng)價(jià)和設(shè)計(jì)標(biāo)準(zhǔn)，而目前國(guó)際上通用的標(biāo)準(zhǔn)有德國(guó)的DIN19250、美國(guó)的ISA S84.01和IEC61508；權(quán)威的認(rèn)證機(jī)構(gòu)包括德國(guó)的T？V、美國(guó)的UL和FM等。

安全度等級(jí)可以根據(jù)IEC61508提供的風(fēng)險(xiǎn)圖（Risk Graph），按照估計(jì)發(fā)生危險(xiǎn)時(shí)的損害程度、人員存在的可能性、防止危險(xiǎn)發(fā)生的可能性以及無(wú)保護(hù)系統(tǒng)時(shí)出現(xiàn)危險(xiǎn)的可能性這四個(gè)參數(shù)來(lái)計(jì)算故障概率PFD而最終確定。按照這一要求，電廠的爐膛安全保護(hù)系統(tǒng)的安全度等級(jí)一般被定義為SIL3 （IEC61508），此等級(jí)相當(dāng)于DIN19250標(biāo)準(zhǔn)的RC6級(jí)。

對(duì)于安全相關(guān)的控制系統(tǒng)來(lái)說(shuō)，一直以來(lái)所采用的硬件主要有以下三種形式：

1） 繼電器；2） 硬接線固態(tài)電路；3） 可編程電子系統(tǒng)（大多為PLC 系統(tǒng)）。

目前，由于采用微處理器技術(shù)的PLC具有高可靠性、高可用性和可維護(hù)性，因此在工程實(shí)際中得到了廣泛的應(yīng)用。

2、總設(shè)計(jì)思想

2.1 概述

安全方面的實(shí)現(xiàn)，可集成到軟件的開(kāi)發(fā)工具中。這樣的結(jié)合可使得開(kāi)發(fā)者在剛開(kāi)始進(jìn)入開(kāi)發(fā)周期時(shí)，就可將與安全相關(guān)的功能集成到他們的系統(tǒng)中去。

圖1 在一個(gè)平臺(tái)上合并三個(gè)環(huán)境

2.2 安全控制系統(tǒng)的基本要求

在所有可應(yīng)用的安全標(biāo)準(zhǔn)中，對(duì)機(jī)械制造商來(lái)說(shuō)，一個(gè)安全應(yīng)用程序的通用基本要求如下：

表1 安全等級(jí)劃分標(biāo)準(zhǔn)

安全控制系統(tǒng)的設(shè)計(jì)以及系統(tǒng)結(jié)構(gòu)既要滿足工業(yè)過(guò)程的安全度要求，又要保證可靠性和可用性，因此，必須對(duì)具體的工業(yè)過(guò)程進(jìn)行安全評(píng)價(jià)。我國(guó)目前還沒(méi)有具體的安全等級(jí)評(píng)價(jià)和設(shè)計(jì)標(biāo)準(zhǔn)，而目前國(guó)際上通用的標(biāo)準(zhǔn)有德國(guó)的DIN19250、美國(guó)的ISA S84.01和IEC61508；權(quán)威的認(rèn)證機(jī)構(gòu)包括德國(guó)的T？V、美國(guó)的UL和FM等。

安全度等級(jí)可以根據(jù)IEC61508提供的風(fēng)險(xiǎn)圖（Risk Graph），按照估計(jì)發(fā)生危險(xiǎn)時(shí)的損害程度、人員存在的可能性、防止危險(xiǎn)發(fā)生的可能性以及無(wú)保護(hù)系統(tǒng)時(shí)出現(xiàn)危險(xiǎn)的可能性這四個(gè)參數(shù)來(lái)計(jì)算故障概率PFD而最終確定。按照這一要求，電廠的爐膛安全保護(hù)系統(tǒng)的安全度等級(jí)一般被定義為SIL3 （IEC61508），此等級(jí)相當(dāng)于DIN19250標(biāo)準(zhǔn)的RC6級(jí)。

對(duì)于安全相關(guān)的控制系統(tǒng)來(lái)說(shuō)，一直以來(lái)所采用的硬件主要有以下三種形式：

1） 繼電器；2） 硬接線固態(tài)電路；3） 可編程電子系統(tǒng)（大多為PLC 系統(tǒng)）。

目前，由于采用微處理器技術(shù)的PLC具有高可靠性、高可用性和可維護(hù)性，因此在工程實(shí)際中得到了廣泛的應(yīng)用。

3、總設(shè)計(jì)思想

3.1 概述

安全方面的實(shí)現(xiàn)，可集成到軟件的開(kāi)發(fā)工具中。這樣的結(jié)合可使得開(kāi)發(fā)者在剛開(kāi)始進(jìn)入開(kāi)發(fā)周期時(shí)，就可將與安全相關(guān)的功能集成到他們的系統(tǒng)中去。

圖1 在一個(gè)平臺(tái)上合并三個(gè)環(huán)境

3.2 安全控制系統(tǒng)的基本要求

在所有可應(yīng)用的安全標(biāo)準(zhǔn)中，對(duì)機(jī)械制造商來(lái)說(shuō)，一個(gè)安全應(yīng)用程序的通用基本要求如下：

安全與非安全功能性的區(qū)別

可應(yīng)用的編程語(yǔ)言和語(yǔ)言子集的運(yùn)用

認(rèn)證的軟件模塊的運(yùn)用

可應(yīng)用的編程指導(dǎo)方針的運(yùn)用

安全相關(guān)軟件的生命周期中，被認(rèn)可的降低錯(cuò)誤的測(cè)量手段的運(yùn)用

3.3 提供易用的工業(yè)控制編程環(huán)境

對(duì)用戶來(lái)說(shuō)，為符合上述高要求所做的努力應(yīng)該盡量減少。要做到這點(diǎn)，可采用標(biāo)準(zhǔn)化的解決方案，使得典型的功能可以輕松實(shí)現(xiàn)。功能塊的標(biāo)準(zhǔn)化、軟件工具的支持和集成，使得程序員從一開(kāi)始就可在他們的應(yīng)用中集成安全部分。

1. 安全功能塊的標(biāo)準(zhǔn)化為了幫助開(kāi)發(fā)者使用安全相關(guān)的功能，他們使用軟件時(shí)的舒適度應(yīng)當(dāng)被提高，這樣便更容易去接受這種工作方式。要做到這點(diǎn)，需要標(biāo)準(zhǔn)化安全功能塊。這樣，安全功能能更好地被辨認(rèn)出來(lái)，做出專業(yè)化的安全功能塊的趨勢(shì)被降低。所以，便沒(méi)有必要進(jìn)行再培訓(xùn)；另外，也有利于認(rèn)證實(shí)體更容易、快捷地檢查安全軟件。

在較高的層次提供功能塊，使得它們較少地依賴于下層的硬件結(jié)構(gòu)。

2. 標(biāo)準(zhǔn)程序的集成一旦功能塊具有了其功能，下一步便要決定如何將安全相關(guān)的程序并入其中。在這一層面上，軟件工具應(yīng)該盡可能地幫助使用者。所以，我們可以定義一種新的布爾變量，它可應(yīng)用于安全相關(guān)環(huán)境中，于是安全相關(guān)和非安全相關(guān)的布爾變量便有了區(qū)別。這使得開(kāi)發(fā)工具有了可辨別安全程序部分的基礎(chǔ)，引導(dǎo)用戶做出被允許的連接，同時(shí)阻止了錯(cuò)誤的連接。

并且，編程語(yǔ)言的功能要減少。另外，最好使用FBD和LD 圖形，這樣程序部分可以更容易地去寫和檢查。

4、安全應(yīng)用程序的模型

4.1 控制系統(tǒng)的結(jié)構(gòu)及相關(guān)的安全標(biāo)準(zhǔn)

不同標(biāo)準(zhǔn)開(kāi)發(fā)階段和運(yùn)行時(shí)間的關(guān)系在“圖4-1-1 框架”中示出。左側(cè)是兩個(gè)層次軟件的開(kāi)發(fā)環(huán)境。

圖2 框架

1. 嵌入式軟件、固件或操作系統(tǒng)，必須遵從IEC 61508規(guī)范，尤其是第3部分。該部分可以使用的語(yǔ)言包括C、C++、匯編或其它。這些是完全可變語(yǔ)言（FVL）：是組件提供商用于實(shí)現(xiàn)（安全）固件、操作系統(tǒng)或開(kāi)發(fā)工具的獨(dú)立語(yǔ)言，很少用于安全應(yīng)用本身。

2. 安全應(yīng)用軟件，如果用C、C++、匯編和其它語(yǔ)言實(shí)現(xiàn)的，必須象上面一樣遵守IEC61508規(guī)則，它們?nèi)允腔谕耆勺冋Z(yǔ)言（FVL）。如果做到了精簡(jiǎn)編程語(yǔ)言、指令和認(rèn)證功能塊，那么機(jī)械業(yè)的標(biāo)準(zhǔn)，如IEC62061和ISO13849-1，則必須被用戶在各個(gè)專業(yè)的工業(yè)中所遵守。這樣可極大地簡(jiǎn)化軟件的開(kāi)發(fā)和認(rèn)證。在這種情況下，它們可被認(rèn)為是限制可變語(yǔ)言（LVL）。這些語(yǔ)言針對(duì)那些開(kāi)發(fā)自己的安全應(yīng)用功能塊的用戶。典型的語(yǔ)言是梯形圖（LD）和功能塊圖（FBD）。這兒所說(shuō)的功能塊并不是IEC62061中定義的“子系統(tǒng)要素”，而是IEC61131-3功能塊。功能塊的IEC62061定義不同于IEC61131-3中的定義，就某一方面來(lái)說(shuō)，前者包含硬件，提供安全子系統(tǒng)功能。

4.2 安全應(yīng)用程序的結(jié)構(gòu)模型

下面的軟件結(jié)構(gòu)模型描述了在機(jī)械控制系統(tǒng)中，安全功能塊的一般位置。這個(gè)模型盡可能地做到簡(jiǎn)化，這樣它便可覆蓋到現(xiàn)有的和將來(lái)的安全控制系統(tǒng)。在這個(gè)軟件說(shuō)明中，不應(yīng)該排斥任何的安全控制硬件結(jié)構(gòu)。

圖3 結(jié)構(gòu)模型

上面的結(jié)構(gòu)模型與功能應(yīng)用部分和安全應(yīng)用部分不同，它是與兩個(gè)層次的軟件環(huán)境相聯(lián)系的。我們要做的是合并這兩個(gè)環(huán)境，也就是，功能部分的開(kāi)發(fā)環(huán)境中集成一個(gè)安全部分，包括編程語(yǔ)言和安全部分的功能的精簡(jiǎn)。

以上兩個(gè)應(yīng)用程序部分可以運(yùn)行在一個(gè)設(shè)備上，或者在兩個(gè)或更多的、雖然分散卻被接在一起的設(shè)備上。上圖中的虛線表示應(yīng)用程序間的數(shù)據(jù)交換，它可以通過(guò)網(wǎng)絡(luò)、連線輸入/輸出或設(shè)備中的存儲(chǔ)器交換來(lái)實(shí)現(xiàn)。

模型的左側(cè)是兩類輸入，右側(cè)是兩類輸出。在中間，兩個(gè)環(huán)境是分開(kāi)來(lái)表示的，它們都與各自的輸入輸出相連接。

模型的中間表示了功能和安全應(yīng)用程序所允許的數(shù)據(jù)交換。

功能應(yīng)用程序有權(quán)讀取安全輸入和全局變量（正如左邊的箭頭所示）在安全應(yīng)用程序中，非安全信號(hào)僅能用來(lái)控制程序走向，不能被直接連至安全輸出上（正如右箭頭和AND 操作符所示）

結(jié)語(yǔ)

安全控制系統(tǒng)的運(yùn)行需要底層硬件的支持——硬件采集上來(lái)的數(shù)據(jù)本身已有安全信號(hào)和標(biāo)準(zhǔn)信號(hào)之分；但安全控制系統(tǒng)里的安全應(yīng)用程序的實(shí)現(xiàn)則獨(dú)立于底層硬件。在工業(yè)控制編程環(huán)境中提供安全數(shù)據(jù)變量和安全功能塊，有利于用戶輕松的將安全性集成到他們的功能應(yīng)用中。