隨著社會進步，政府和企業(yè)在安全方面的投入日益增大。為了改善效益，越來越多的儀表與自動化企業(yè)正在著手向安全領域轉產，如傳統(tǒng)生產DCS的企業(yè)向SIS領域進軍、傳統(tǒng)的PLC企業(yè)轉而生產安全PLC、傳統(tǒng)的儀表企業(yè)開始研制安全型儀表等等。但如果不能正確理解與掌握“安全性”問題，不了解產品應具備什么安全特征，這樣的轉產是有很大風險的。
　　
　　本文介紹一下儀表與自動化產品的安全性問題，同時介紹其產品具有的安全特征。
　　
　　一、安全性問題的基礎
　　
　　安全性表現(xiàn)產品的安全品質，是通過設計、制造出來的，但只靠產品無法維持。安全有其自身特點，不了解其基本概念與方法，僅靠原有的自動化技術知識是不能合理地處理安全性問題的。
　　
　　從事安全工作的人必須深刻了解以下幾個要點：
　　
　?。?）安全的對象是人
　　
　　我們說，自動化控制系統(tǒng)可以用來保護人、環(huán)境與設備，但安全的zui終關注點在人，也就是說，安全的對象是人。是人就會有人性的弱點，出了事故就要考慮承擔法律責任。要充分考慮所有與人有關的安全模式，執(zhí)行安全標準來規(guī)避風險，避免法律糾紛。
　　
　　·理解人性弱點，增加生理學知識
　　
　　由于人性的弱點，會產生無知、好奇、恐慌等不良情緒，誤判導致錯誤操作zui終導致事故，應盡可能對上述所有異常行為采取相應措施，如果不能，也需要對使用者規(guī)定一般的素質要求，針對不同的種類考慮不同的限制，規(guī)定相應的界限。
　　
　　舉一些例子。某飛機進入著陸姿勢時開關已經(jīng)扳向自動操縱方式，但飛行員錯誤地認為處于手動位置，并持續(xù)地扳動操縱桿，結果自動裝置向相反方面動作，zui終導致了墜機事故。某段鐵路的兩個信號表示不同線路的狀態(tài)，司機由于看錯了相鄰的信號而發(fā)生撞車事故。有很多安全事故的原因違反了技術人員的常識，是技術人員所不能理解的。如電梯中有開門和關門兩個按鈕，電路設計時會充分考慮按下任意按鈕時電梯應做出的反映，但乘客可能會同時按下兩個按扭，或者以極微小的時差按下兩個按鈕。對于這種“游戲”動作估計不足，就會導致電梯非正常停車，結果把乘客關在電梯中，不得不靠外面的救援。
　　
　　這類錯誤很多，安全產品開發(fā)時應從生理學的角度進行深入研究，并找出避免出錯的措施；充分考慮異常的動作、對狀況判斷失誤等“可預見與不可預見的”事件，即使萬一出錯，也應該有補救的方法，不至于zui終導致事故。
　　
　　·了解與人有關的安全模式。
　　
　　研究安全模式就是找出產品使用過程中所有可能導致人員傷害的機制與可能性。
　　
　　自動化產品與系統(tǒng)的安全模式主要分為兩類。*類是與功能失效相關的安全模式，在領域內人們稱這類安全為功能安全，如緊急停車系統(tǒng)的故障會導致危險時無法緊急停機；第二類是產品在使用過程中對人體產生如觸電、電擊、熱燙、著火、爆炸、機械等直接的傷害，在領域內人們稱這類安全為電氣安全、機械安全與防爆安全。
　　
　?。?）安全需要高成本
　　
　　為“安全”而設計的自動化產品，其結構會比原來只考慮功能結構時復雜，成本也會增加。如果不肯下功夫增成本，就會制造出危險的產品，一旦發(fā)生事故，造成巨大的損失。
　　
　　（3）危險特點要了解
　　
　　應用于安全領域的儀表與自動化產品，承擔著“在生產過程中監(jiān)測與安全有關的狀態(tài)參數(shù)，發(fā)現(xiàn)故障與異常，及時采取措施以避免事故發(fā)生”的重要任務，但不同的應用領域危險特點不同，不了解這些特點，輕易轉產到“安全領域”，容易忽視新的應注意的問題點，導致重要損失。
　　
　　例如，某工廠在加工過程中使用大量酒精，由于設置在廠房頂部的排風扇發(fā)生故障，致使酒精濃度上升，引起爆炸。分析事故原因時，發(fā)現(xiàn)原來設計安全控制方案時已經(jīng)預料到風扇故障會導致爆炸危險，所以設計安裝了安全聯(lián)鎖裝置來監(jiān)視電動機轉速，保證電動機停時生產線停。但沒料到的是，傳動皮帶輪脫落導致不能排氣，這種故障在一般的工廠是通過使用者定期檢查皮帶張力時發(fā)現(xiàn)的，但這家工廠的屋頂非常高，維修人員無法到達，安全控制方案的設計者沒有充分考慮該廠的實際情況。在安全控制方案存在嚴重缺陷的情況下，安全聯(lián)鎖裝置設計得再好、產品再可靠，安全性也沒有保障。
　　
　　（4）標準規(guī)范很重要
　　
　　重大事故是低概率事件，一個企業(yè)不可能都經(jīng)歷過，企業(yè)內的個人沒有學習過有關經(jīng)驗，這與通過積累經(jīng)驗取得進步的質量管理是*不同的，因此，借鑒外部他人的經(jīng)驗，執(zhí)行行業(yè)*的標準是十分重要的。
　　
　　比如說，功能安全標準是歐美等國安全控制領域的專家多年經(jīng)驗的總結，它不但提出了一整套完整的實現(xiàn)安全的方案，還規(guī)定了從控制方案提出、實現(xiàn)直到停用的整個生命周期中所有相關人員的工作目標與職責，建立了與安全控制相關的法律責任體系。執(zhí)行標準是保證安全的重要措施，同時也是規(guī)避風險、免除法律責任的重要手段。
　　
　　二、自動化產品應具備的安全品質
　　
　　產品的安全品質表現(xiàn)在兩個方面：一是單個產品的安全性，二是單個產品作為系統(tǒng)的一個單元時，需要考慮的系統(tǒng)安全性。
　　
　　單個產品的安全性是每一個產品都必須滿足的安全品質，自動化產品的安全品質首先表現(xiàn)在防爆安全、電氣安全與機械安全等方面，也就是說，產品使用過程中不能對人體與環(huán)境產生如觸電、電擊、熱燙、著火、爆炸、機械等直接的傷害。
　　
　　自動化產品的系統(tǒng)安全性主要表現(xiàn)在功能安全方面。獨立的儀表及自動化產品不存在功能安全問題，但它用于組合成安全控制系統(tǒng)或安全保護系統(tǒng)時，就需要考慮它執(zhí)行某一特定安全功能的能力，用SIL表示，即產品的安全完整性能力（SILCapable），或稱為該產品zui大可聲明的SIL等級。
　　
　　這很像由多塊木板組成的一個木桶，拿出任何一塊木板，問這塊木板能不能讓桶里的水保持1米的水位，誰都回答不了。組成這個木桶的每一塊木板必須足夠長，才能組成一個能裝至少1米深水的木桶。
　　
　　產品具有越高等級的SIL，就表示該產品可以被用于更高等級的安全相關系統(tǒng)中，有能力承擔更高等級的風險控制任務。
　　
　　具有SIL能力的產品，或稱為功能安全型產品的主要特征是能有效地避免故障與失效。對于純硬件組成的產品，技術的核心集中在如何避免硬件隨機失效，而對于由軟硬件組合的自動化產品，技術的核心除了考慮避免硬件隨機失效，還要避免系統(tǒng)失效。系統(tǒng)失效是只有對設計或制造過程、操作規(guī)程、文檔或其它相關因素進行修改后，才有可能排除的失效。
　　
　　概要地說，儀表與自動化產品如果聲稱具有安全完整性能力，它必須具有以下特性：
　　
　　（1）有確定、較高的產品可靠性
　　
　　提高產品可靠性，就是降低硬件中由一種或幾種機能退化可能產生的隨機失效率。該失效率是SIL中*可用可靠性工程方法定量確定的部分，根據(jù)每個組成部件的失效率、系統(tǒng)結構、系統(tǒng)狀態(tài)、約束條件等參量，分析計算，可優(yōu)化出PFD（要求時的失效率），從而控制硬件的隨機失效。
　　
　　（2）有較高的容錯（故障）能力
　　
　　目前在行業(yè)內流行的叫法是“容錯”，也有叫“故障容忍度”，在IEC61508標準中正式的術語是“硬件故障裕度”。一般采用冗余技術來提高硬件故障裕度。硬件故障裕度為0，就如一個單通道系統(tǒng)，出現(xiàn)一個故障就會導致該通道功能喪失。故障裕度為1就如1oo2系統(tǒng)，出現(xiàn)一個故障時仍能正常工作，只有兩個故障同時出現(xiàn)才會導致系統(tǒng)的功能喪失。故障裕度為2就如1oo3系統(tǒng)，它能在2個故障同時發(fā)生時仍能正常工作，只有3個故障同時出現(xiàn)才會導致系統(tǒng)的功能喪失。
　　
　　有一點要著重強調的：采用冗余方法提高自動化產品的SIL等級時，必須考慮共同原因失效問題，也就是說，必須盡力防止一個故障導致幾個冗余通道同時失效的問題。這就是為什么用“硬件故障裕度”來評價產品的SIL等級，而不是直接用冗余數(shù)來評價SIL等級。西門子、皮爾磁等公司在他們的安全產品中，采用3個不同公司生產的微處理器來構成3個冗余通道，就是為了避免共因失效，提高產品的容錯能力與安全性能。
　　
　　（3）具有較高自診斷覆蓋率
　　
　　對自動化產品來說，安全失效分數(shù)的定義為該產品的平均安全失效率加檢測到的平均危險失效率與子系統(tǒng)總平均失效率之比。提高安全失效分數(shù)，就是提高產品的故障安力，也就是說，當產品出現(xiàn)故障時，具有的使系統(tǒng)以安全的方式失效的能力。提高安全失效分數(shù)的辦法有很多，zui重要的就是提高診斷覆蓋率，也就是用各種內部診斷的方式將可能導致危險的失效檢測出來，提高診斷測試檢測到的危險失效概率在危險失效總概率中的比例。
　　
　?。?）有嚴格管理的開發(fā)過程
　　
　　由于硬件和軟件設計時存在的技術缺陷，會直接導致系統(tǒng)失效，因此，產品的開發(fā)過程中必須采取措施，有效控制硬件和軟件設計錯誤引起的系統(tǒng)失效。
　　
　?。?）能有效抵御環(huán)境應力影響
　　
　　環(huán)境因素，如電壓波動、電磁干擾、環(huán)境溫度、濕度、水、振動、灰塵、腐蝕物等的影響可能直接導致系統(tǒng)失效，因此，應研究并應用抗環(huán)境應力的技術與措施，有效控制系統(tǒng)失效。
　　
　　（6）能避免因操作失效導致系統(tǒng)功能失效
　　
　　操作員動作失誤是導致系統(tǒng)失效的重要原因，因此，產品設計時就要充分考慮到操作員失誤的可能性，并采取措施，有效避免由此而導致的系統(tǒng)功能失效。
　　
　　（7）在系統(tǒng)安全生命周期不同階段采取措施避免系統(tǒng)失效
　　
　　在系統(tǒng)與產品的整個生命周期中，有許多原因會導致系統(tǒng)失效，但不可能為避免系統(tǒng)失效進行定量分析。通常可以將系統(tǒng)失效分為兩類：
　　
　　·失效由產品安裝之前或產品安裝之中的故障誘發(fā)（例如，軟件故障包括規(guī)范和程序故障；硬件故障包括制造故障和部件的不正確選擇）；
　　
　　·失效由產品安裝之后的故障誘發(fā)（例如，硬件隨機失效，或使用不當引起的失效）。
　　
　　為了在系統(tǒng)安全生命周期的安全要求規(guī)范、設計開發(fā)、集成、操作和維護規(guī)程、安全確認等階段避免和控制上述情況發(fā)生引起失效，必須采取大量技術與措施，包括：項目管理、遵循指南和標準、編制文檔、分離開E/E/PE安全相關系統(tǒng)與非安全相關系統(tǒng)、結構化規(guī)范、結構化設計、模塊化、功能測試、操作和維護說明書、用戶友善性、維護友善性、在環(huán)境條件下測試功能、浪涌抗擾性測試、故障插入測試（當要求的診斷覆蓋率≥90%時）、形式化方法、半形式化方法、計算機輔助規(guī)范工具、檢查列表、規(guī)范的檢查、經(jīng)充分試驗過的部件使用、仿真、硬件的檢查、硬件的走查、受限的操作可能性、僅可由熟練操作員操作、防止操作員出錯、黑盒測試、統(tǒng)計測試、現(xiàn)場經(jīng)驗、靜態(tài)分析、動態(tài)分析、失效分析、zui差情況分析、擴展的功能測試、zui差情況測試、故障插入測試等等。
　　
　　三、結束語
　　
　　從上世紀70～80年代上推出故障安全型儀表與設備，到2000年發(fā)布功能安全基礎標準，上對自動化產品與系統(tǒng)的安全性問題已經(jīng)提出并有了一套解決方案，但是這套方案還在不斷修改與完善之中。在我國，越來越多的用戶已經(jīng)使用了安全控制設備或系統(tǒng)，也有很多企業(yè)準備開發(fā)相關產品，在了解安全性的同時，明確知道這類產品的安全特性對其是十分重要的。