希馬（上海）工業(yè)自動(dòng)化有限公司總經(jīng)理Peter Sieber先生在“2020 ARC工業(yè)論壇”上做了《降低風(fēng)險 優(yōu)化安全支出》的報告，我們根據此次演講內容，來(lái)談?wù)劰I(yè)物聯(lián)網(wǎng)時(shí)代的功能安全策略。

現代大工業(yè)，尤其是過(guò)程行業(yè)，從誕生之日起就面臨著(zhù)各種各樣的風(fēng)險和隱患。為了減少事故的發(fā)生頻率和降低事故的災難性后果，現代工業(yè)設施在設計之初就會(huì )有大量安全方面的考慮，比如將重要設備和易燃易爆區域隔離的本質(zhì)安全方法，就非常受歡迎。

這就如同2020年人們最熟悉的保持社交距離或者居家隔離，它非常有效，但是當人們開(kāi)始必不可少的生產(chǎn)生活活動(dòng)，彼此之間的交互變得不可避免的時(shí)候，這種邏輯上最為簡(jiǎn)單的方法就必須要進(jìn)行改進(jìn)或者采用其他的方法進(jìn)行補充。在抗擊呼吸道傳染病的時(shí)候，人們佩戴口罩使用洗手液，而在工業(yè)設施當中，功能安全技術(shù)和系統也就起到了相同的作用。

按照國際電工理事會(huì )（IEC）的定義，過(guò)程風(fēng)險是危險事件發(fā)生頻率和后果的乘積，而風(fēng)險分析和管理的目標，就是要通過(guò)功能安全技術(shù)中不同的保護層將風(fēng)險降低到可以被接受的水平?？梢哉f(shuō)，功能安全為過(guò)程管理帶來(lái)了全新的理念，現代過(guò)程工業(yè)才能得以按照現有的方式運行為普通大眾所接受。

我們可以將需要保護的過(guò)程，即受控設備（EUC）想象成一個(gè)旋轉的圓盤(pán)，如圖。圓盤(pán)上的洞，代表過(guò)程中的偏差或者是故障隱患。而洞的面積和數量代表著(zhù)過(guò)程的失效概率?，F在假設我們蒙上雙眼用木劍刺向圓盤(pán)，如果木劍能夠正好通過(guò)那些漏洞刺破圓盤(pán)，就表示出現了過(guò)程失效。事實(shí)上人們對不同過(guò)程失效后果的接受程度差別很大，比如水箱的液位測量?jì)x會(huì )有那么幾秒沒(méi)有測出精確的數值，可能沒(méi)有人會(huì )在意這點(diǎn)。但是在對火災及易燃氣體的監控中，如果測量不準的時(shí)間持續十幾分鐘，那么可能就會(huì )引發(fā)巨大危險。

▎受控設備（EUC）

為了應對這些偏差，最常見(jiàn)的方法是增加第二個(gè)圓盤(pán)，如圖。也就是基本過(guò)程控制系統（BPCS），即第二個(gè)保護層，用于解決由于工藝設計的缺陷而導致的風(fēng)險。從原理上這很好理解，即便每個(gè)圓盤(pán)上都有一些漏洞，但是因為它們漏洞的位置不一樣，旋轉的速度也不同，一劍刺過(guò)去正好同時(shí)落在兩個(gè)圓盤(pán)的漏洞上的幾率實(shí)在是不高。然而，根據不同的應用場(chǎng)合，往往對這種幾率的接受程度也有所不同。

▎基本過(guò)程控制系統（BPCS）

那么如何才能進(jìn)一步控制風(fēng)險呢？方法很簡(jiǎn)單，就是再加上第三個(gè)圓盤(pán)——安全儀表系統（SIS），如圖，即第三個(gè)保護層。即便這個(gè)新圓盤(pán)可能也會(huì )有一些洞，但是數量和尺寸都比第二個(gè)圓盤(pán)上的小很多。如果用木劍一千次（十的三次方）也無(wú)法同時(shí)刺破所有三個(gè)圓盤(pán)，我們實(shí)際上就實(shí)現了功能安全里的安全完整性等級SIL3，而要達到SIL4的話(huà)就是需要保證即便一萬(wàn)次（十的四次方）也無(wú)法扎破。

當然，從過(guò)程工業(yè)的角度，我們現在談?wù)摰牡托枨竽Ｊ?，也就是拿木劍刺圓盤(pán)的頻率要低于每年一次。換句話(huà)說(shuō)，SIL3的要求就是受控設備出現事故的概率應該是低于每一千年一次。面對這樣嚴格的要求，在設計SIS的時(shí)候，我們不但要考慮技術(shù)能力能否達到，也要考慮應該采用什么樣的質(zhì)量工程技術(shù)保證SIS的可靠性和可用性。

▎安全儀表系統（SIS）

物聯(lián)網(wǎng)技術(shù)為過(guò)程行業(yè)提速，功能和模塊的變更將更加迅速，更加容易，但是更快的速度也意味著(zhù)BPCS犯錯的次數會(huì )更多。雖然SIS有著(zhù)一整套行之有效的標準，但是每一次變革都會(huì )帶來(lái)大量的工作，而且工作與基本控制系統的自動(dòng)化不同，通常需要調動(dòng)人力才能完成。

如果SIS與基本控制系統集成，采用同樣的自動(dòng)化變更方式，這樣系統的靈活性可以得到一定的提升，但是會(huì )帶來(lái)另外一個(gè)關(guān)鍵性的問(wèn)題——獨立性。一旦SIS的失效方式與基本控制系統的失效存在關(guān)聯(lián)，就會(huì )出現所謂的系統性問(wèn)題，即一個(gè)系統失效另外一個(gè)同時(shí)也失效。

按照如上圓盤(pán)的概念，如果兩個(gè)圓盤(pán)很相似，也就是漏洞都出現在類(lèi)似的位置，同時(shí)被刺穿的風(fēng)險就大大增加了。因此，SIS和BPCS通常會(huì )采用不同的技術(shù)，避免使用相同的元素，比如操作系統、網(wǎng)絡(luò )協(xié)議或者電路，從而減少共因失效的概率。

▎物聯(lián)網(wǎng)給功能安全帶來(lái)的挑戰

但是不管怎樣，過(guò)程行業(yè)都應該做好準備實(shí)施各種物聯(lián)網(wǎng)解決方案，我們需要思考如何適應物聯(lián)網(wǎng)的靈活性以及建立與物聯(lián)網(wǎng)兼容的工作流程，為此首先需要對現有的工作內容以及流程進(jìn)行評估。

根據IEC 61511，首先我們要做過(guò)程危害與風(fēng)險分析，然后是保護層分析，形成安全需求規范，之后進(jìn)行設計和實(shí)施、測試及維護，當然在維護的過(guò)程中還要進(jìn)行變更管理?？v覽整個(gè)流程，其中只有設計和實(shí)施環(huán)節可以認為是與BPCS相同的，某些環(huán)節是SIS專(zhuān)屬的，譬如危害與風(fēng)險分析、保護層分析以及安全需求規格書(shū)，其他的環(huán)節測試、維護、維護及變更管理雖然類(lèi)似于BPCS，但是細節上的區別卻非常之大。

▎增加功能安全靈活性

如果我們要提高效率、更加靈活，我們必須清楚SIS系統相關(guān)的工作流程是以功能安全為中心的流程。

縱覽整個(gè)安全儀表系統流程的每個(gè)環(huán)節的具體做法，不難發(fā)現，很多工作都是各自獨立，采用不同的工具，甚至很多都是人工完成的，形成的文檔格式及類(lèi)型也是五花八門(mén)。工程師們?yōu)榱颂岣咝?，一般都?huì )更傾向平臺類(lèi)工具，因為它們可以覆蓋安全工程的方方面面。這樣的工具，既可以做LOPA分析，也可以關(guān)注那些非安全需求，調用專(zhuān)門(mén)的功能數據庫，將工程工具的功能轉化成安全系統的工具。

基于唯一的平臺，就意味著(zhù)不需要各種獨立的工具和文件，就可以將識別出來(lái)的危險與解決危險的方法全部關(guān)聯(lián)起來(lái)，簡(jiǎn)化迭代流程，這樣減少了實(shí)際工作量和人力成本，還能夠提升工程質(zhì)量。更為關(guān)鍵的是，可以輕松應對政府的審查。

針對SIS的平臺工具主要有兩個(gè)層面：第一方面為信息處理層，主要采用平臺化的工具處理信息；另一個(gè)方面是功能安全層，需要使用功能安全相關(guān)的工程工具編程、配置安全系統。如果能夠使用專(zhuān)門(mén)的功能數據庫，調用很多之前信息處理過(guò)程中的測試和驗證的數據，就可以大大降低這個(gè)階段測試的工作量。

當然，測試和維護也需要納入到兩個(gè)層面的考慮當中，這樣才能夠自動(dòng)獲取關(guān)于安全系統運行狀態(tài)的信息，可以驗證一個(gè)低需求模式的系統是否的確處于低需求模式。比如說(shuō)，如果傳感器的預期失效頻率是平均每十年一次，通過(guò)將維護數據輸入到信息處理層，就可以進(jìn)行驗證，有必要時(shí)進(jìn)行更改。平臺工具可以設定安全系統的關(guān)鍵指標（KPI）并進(jìn)行監控，這就是單純的安全工程和風(fēng)險管理的主要區別。如果可靠性指標存在不足，過(guò)程企業(yè)就可以采取行動(dòng)以保證KPI的達成。

如上所述的平臺工具及工程工具，不但適用于功能安全的流程，也同樣適用于在其非功能安全的流程，譬如網(wǎng)絡(luò )安全。這樣企業(yè)就擁有了全局的、統一的風(fēng)險管理系統。

過(guò)程工廠(chǎng)的功能安全的投資，也分為兩個(gè)階段。在資本支出階段，完成安全計劃、風(fēng)險分析、詳細設計和試車(chē)。在運營(yíng)支出階段，需要考慮安全系統的維護管理、周期性測試和績(jì)效評估。為了優(yōu)化總體安全成本，應該盡可能讓兩個(gè)階段的工作盡量相互重疊，我們稱(chēng)之為安全卓越，而實(shí)現這一理念的方法就是一體化風(fēng)險管理——整合項目的投資和運營(yíng)成本。

那么如何將投資和運營(yíng)成本的整合落到實(shí)處呢？

以希馬解決方案為例，所有產(chǎn)品采用了統一的安全區的理念，希馬的功能安全層（特別是與之前所述的信息層）允許與外界進(jìn)行數據交互，希馬為此與MANGAN軟件公司合作，引入其生命周期管理的平臺化工具，該平臺與希馬安全區建立開(kāi)放的、安全的通訊連接，這樣就構成了優(yōu)化資本支出和運營(yíng)支出的基礎。

首先，是面向功能安全的信息安全

物聯(lián)網(wǎng)以開(kāi)放性為特點(diǎn)，但是同時(shí)也面臨網(wǎng)絡(luò )安全巨大的挑戰。希馬掌握其所有安全系統的核心，99%以上的軟件都是由自主開(kāi)發(fā)，非常穩定和可靠。圍繞產(chǎn)品核心，基于網(wǎng)絡(luò )安全管理的標準及法律法規，我們針對其安全系統定義了網(wǎng)絡(luò )安全環(huán)境和安全邊界。同時(shí)，對于系統網(wǎng)絡(luò )安全的管理也形成了獨特的解決方案。我們的客戶(hù)正在全世界運行超過(guò)35,000套系統，目前為止沒(méi)有發(fā)生任何安全相關(guān)的事故。

其次，安全功能的智能化生成

將信息層的數據自動(dòng)導入功能安全層，將信息層的因果表或者邏輯描述，轉換為功能安全層可執行的功能塊，在此過(guò)程中也可以對前期設計進(jìn)行校驗。

第三，智能邏輯測試

希馬平臺工程軟件對所有的邏輯可以制定測試計劃，邏輯完成后即可進(jìn)行自動(dòng)測試，自動(dòng)形成測試文檔，也可以減少測試的人為失誤。

第四，智能回路測試

希馬安全控制器集成HART接口，可以從HART設備讀取診斷信息，并發(fā)送測試值給HART設備。結合上述的智能邏輯測試功能，就可以短時(shí)間完成大量HART設備的回路測試。

第五，智能績(jì)效檢查

使用OPC UA，可以安全地將功能安全層的數據實(shí)時(shí)反饋給信息層，以實(shí)現智能的績(jì)效檢查。

總而言之，面向物聯(lián)網(wǎng)的智能安全解決方案，兼顧了網(wǎng)絡(luò )安全性，在設計操作中也充分秉承了物聯(lián)網(wǎng)智能、靈活、開(kāi)放的理念，實(shí)現了同質(zhì)化的安全工程以及基于云的安全工程工具的操作，充分整合投資和運營(yíng)成本，讓安全系統更加適應過(guò)程行業(yè)的發(fā)展要求，使得過(guò)程工廠(chǎng)更加兼顧經(jīng)濟、安全和效率。