物聯(lián)網(wǎng)時(shí)代功能安全策略——智能安全和全生命周期安全管理
隨著過(guò)程工業(yè)變得越來(lái)越復(fù)雜,依賴系統(tǒng)自身的本質(zhì)安全越來(lái)越難以簡(jiǎn)單地實(shí)現(xiàn)。因此功能安全的概念也就自然而然地在更多的行業(yè)得到了普及。那么,在人工智能和物聯(lián)網(wǎng)技術(shù)日新月異的今天,針對(duì)功能安全又有哪些挑戰(zhàn)和全新解決方案呢?
希馬(上海)工業(yè)自動(dòng)化有限公司總經(jīng)理Peter Sieber先生在“2020 ARC工業(yè)論壇”上做了《降低風(fēng)險(xiǎn) 優(yōu)化安全支出》的報(bào)告,我們根據(jù)此次演講內(nèi)容,來(lái)談?wù)劰I(yè)物聯(lián)網(wǎng)時(shí)代的功能安全策略。 功能安全的保護(hù)層設(shè)計(jì) 現(xiàn)代大工業(yè),尤其是過(guò)程行業(yè),從誕生之日起就面臨著各種各樣的風(fēng)險(xiǎn)和隱患。為了減少事故的發(fā)生頻率和降低事故的災(zāi)難性后果,現(xiàn)代工業(yè)設(shè)施在設(shè)計(jì)之初就會(huì)有大量安全方面的考慮,比如將重要設(shè)備和易燃易爆區(qū)域隔離的本質(zhì)安全方法,就非常受歡迎。 這就如同2020年人們最熟悉的保持社交距離或者居家隔離,它非常有效,但是當(dāng)人們開(kāi)始必不可少的生產(chǎn)生活活動(dòng),彼此之間的交互變得不可避免的時(shí)候,這種邏輯上最為簡(jiǎn)單的方法就必須要進(jìn)行改進(jìn)或者采用其他的方法進(jìn)行補(bǔ)充。在抗擊呼吸道傳染病的時(shí)候,人們佩戴口罩使用洗手液,而在工業(yè)設(shè)施當(dāng)中,功能安全技術(shù)和系統(tǒng)也就起到了相同的作用。 按照國(guó)際電工理事會(huì)(IEC)的定義,過(guò)程風(fēng)險(xiǎn)是危險(xiǎn)事件發(fā)生頻率和后果的乘積,而風(fēng)險(xiǎn)分析和管理的目標(biāo),就是要通過(guò)功能安全技術(shù)中不同的保護(hù)層將風(fēng)險(xiǎn)降低到可以被接受的水平??梢哉f(shuō),功能安全為過(guò)程管理帶來(lái)了全新的理念,現(xiàn)代過(guò)程工業(yè)才能得以按照現(xiàn)有的方式運(yùn)行為普通大眾所接受。 那么,過(guò)程控制中如何實(shí)現(xiàn)功能安全呢?Peter Sieber提出了圓盤(pán)模型,將受控設(shè)備、基本過(guò)程控制系統(tǒng)和安全儀表系統(tǒng)想象成三個(gè)圓盤(pán)。下面就先來(lái)看一段Peter關(guān)于圓盤(pán)模型的視頻講解。
我們可以將需要保護(hù)的過(guò)程,即受控設(shè)備(EUC)想象成一個(gè)旋轉(zhuǎn)的圓盤(pán),如圖。圓盤(pán)上的洞,代表過(guò)程中的偏差或者是故障隱患。而洞的面積和數(shù)量代表著過(guò)程的失效概率?,F(xiàn)在假設(shè)我們蒙上雙眼用木劍刺向圓盤(pán),如果木劍能夠正好通過(guò)那些漏洞刺破圓盤(pán),就表示出現(xiàn)了過(guò)程失效。事實(shí)上人們對(duì)不同過(guò)程失效后果的接受程度差別很大,比如水箱的液位測(cè)量?jī)x會(huì)有那么幾秒沒(méi)有測(cè)出精確的數(shù)值,可能沒(méi)有人會(huì)在意這點(diǎn)。但是在對(duì)火災(zāi)及易燃?xì)怏w的監(jiān)控中,如果測(cè)量不準(zhǔn)的時(shí)間持續(xù)十幾分鐘,那么可能就會(huì)引發(fā)巨大危險(xiǎn)。 ▎受控設(shè)備(EUC) 為了應(yīng)對(duì)這些偏差,最常見(jiàn)的方法是增加第二個(gè)圓盤(pán),如圖。也就是基本過(guò)程控制系統(tǒng)(BPCS),即第二個(gè)保護(hù)層,用于解決由于工藝設(shè)計(jì)的缺陷而導(dǎo)致的風(fēng)險(xiǎn)。從原理上這很好理解,即便每個(gè)圓盤(pán)上都有一些漏洞,但是因?yàn)樗鼈兟┒吹奈恢貌灰粯樱D(zhuǎn)的速度也不同,一劍刺過(guò)去正好同時(shí)落在兩個(gè)圓盤(pán)的漏洞上的幾率實(shí)在是不高。然而,根據(jù)不同的應(yīng)用場(chǎng)合,往往對(duì)這種幾率的接受程度也有所不同。 ▎基本過(guò)程控制系統(tǒng)(BPCS) 那么如何才能進(jìn)一步控制風(fēng)險(xiǎn)呢?方法很簡(jiǎn)單,就是再加上第三個(gè)圓盤(pán)——安全儀表系統(tǒng)(SIS),如圖,即第三個(gè)保護(hù)層。即便這個(gè)新圓盤(pán)可能也會(huì)有一些洞,但是數(shù)量和尺寸都比第二個(gè)圓盤(pán)上的小很多。如果用木劍一千次(十的三次方)也無(wú)法同時(shí)刺破所有三個(gè)圓盤(pán),我們實(shí)際上就實(shí)現(xiàn)了功能安全里的安全完整性等級(jí)SIL3,而要達(dá)到SIL4的話就是需要保證即便一萬(wàn)次(十的四次方)也無(wú)法扎破。 當(dāng)然,從過(guò)程工業(yè)的角度,我們現(xiàn)在談?wù)摰牡托枨竽J?,也就是拿木劍刺圓盤(pán)的頻率要低于每年一次。換句話說(shuō),SIL3的要求就是受控設(shè)備出現(xiàn)事故的概率應(yīng)該是低于每一千年一次。面對(duì)這樣嚴(yán)格的要求,在設(shè)計(jì)SIS的時(shí)候,我們不但要考慮技術(shù)能力能否達(dá)到,也要考慮應(yīng)該采用什么樣的質(zhì)量工程技術(shù)保證SIS的可靠性和可用性。 ▎安全儀表系統(tǒng)(SIS) 物聯(lián)網(wǎng)給功能安全帶來(lái)的挑戰(zhàn) 物聯(lián)網(wǎng)技術(shù)為過(guò)程行業(yè)提速,功能和模塊的變更將更加迅速,更加容易,但是更快的速度也意味著B(niǎo)PCS犯錯(cuò)的次數(shù)會(huì)更多。雖然SIS有著一整套行之有效的標(biāo)準(zhǔn),但是每一次變革都會(huì)帶來(lái)大量的工作,而且工作與基本控制系統(tǒng)的自動(dòng)化不同,通常需要調(diào)動(dòng)人力才能完成。 如果SIS與基本控制系統(tǒng)集成,采用同樣的自動(dòng)化變更方式,這樣系統(tǒng)的靈活性可以得到一定的提升,但是會(huì)帶來(lái)另外一個(gè)關(guān)鍵性的問(wèn)題——獨(dú)立性。一旦SIS的失效方式與基本控制系統(tǒng)的失效存在關(guān)聯(lián),就會(huì)出現(xiàn)所謂的系統(tǒng)性問(wèn)題,即一個(gè)系統(tǒng)失效另外一個(gè)同時(shí)也失效。 按照如上圓盤(pán)的概念,如果兩個(gè)圓盤(pán)很相似,也就是漏洞都出現(xiàn)在類似的位置,同時(shí)被刺穿的風(fēng)險(xiǎn)就大大增加了。因此,SIS和BPCS通常會(huì)采用不同的技術(shù),避免使用相同的元素,比如操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議或者電路,從而減少共因失效的概率。 ▎物聯(lián)網(wǎng)給功能安全帶來(lái)的挑戰(zhàn) 但是不管怎樣,過(guò)程行業(yè)都應(yīng)該做好準(zhǔn)備實(shí)施各種物聯(lián)網(wǎng)解決方案,我們需要思考如何適應(yīng)物聯(lián)網(wǎng)的靈活性以及建立與物聯(lián)網(wǎng)兼容的工作流程,為此首先需要對(duì)現(xiàn)有的工作內(nèi)容以及流程進(jìn)行評(píng)估。 根據(jù)IEC 61511,首先我們要做過(guò)程危害與風(fēng)險(xiǎn)分析,然后是保護(hù)層分析,形成安全需求規(guī)范,之后進(jìn)行設(shè)計(jì)和實(shí)施、測(cè)試及維護(hù),當(dāng)然在維護(hù)的過(guò)程中還要進(jìn)行變更管理??v覽整個(gè)流程,其中只有設(shè)計(jì)和實(shí)施環(huán)節(jié)可以認(rèn)為是與BPCS相同的,某些環(huán)節(jié)是SIS專屬的,譬如危害與風(fēng)險(xiǎn)分析、保護(hù)層分析以及安全需求規(guī)格書(shū),其他的環(huán)節(jié)測(cè)試、維護(hù)、維護(hù)及變更管理雖然類似于BPCS,但是細(xì)節(jié)上的區(qū)別卻非常之大。 ▎增加功能安全靈活性 如果我們要提高效率、更加靈活,我們必須清楚SIS系統(tǒng)相關(guān)的工作流程是以功能安全為中心的流程。 面向物聯(lián)網(wǎng)的智能安全管理平臺(tái) 高 效 縱覽整個(gè)安全儀表系統(tǒng)流程的每個(gè)環(huán)節(jié)的具體做法,不難發(fā)現(xiàn),很多工作都是各自獨(dú)立,采用不同的工具,甚至很多都是人工完成的,形成的文檔格式及類型也是五花八門(mén)。工程師們?yōu)榱颂岣咝剩话愣紩?huì)更傾向平臺(tái)類工具,因?yàn)樗鼈兛梢愿采w安全工程的方方面面。這樣的工具,既可以做LOPA分析,也可以關(guān)注那些非安全需求,調(diào)用專門(mén)的功能數(shù)據(jù)庫(kù),將工程工具的功能轉(zhuǎn)化成安全系統(tǒng)的工具。 基于唯一的平臺(tái),就意味著不需要各種獨(dú)立的工具和文件,就可以將識(shí)別出來(lái)的危險(xiǎn)與解決危險(xiǎn)的方法全部關(guān)聯(lián)起來(lái),簡(jiǎn)化迭代流程,這樣減少了實(shí)際工作量和人力成本,還能夠提升工程質(zhì)量。更為關(guān)鍵的是,可以輕松應(yīng)對(duì)政府的審查。 針對(duì)SIS的平臺(tái)工具主要有兩個(gè)層面:第一方面為信息處理層,主要采用平臺(tái)化的工具處理信息;另一個(gè)方面是功能安全層,需要使用功能安全相關(guān)的工程工具編程、配置安全系統(tǒng)。如果能夠使用專門(mén)的功能數(shù)據(jù)庫(kù),調(diào)用很多之前信息處理過(guò)程中的測(cè)試和驗(yàn)證的數(shù)據(jù),就可以大大降低這個(gè)階段測(cè)試的工作量。 當(dāng)然,測(cè)試和維護(hù)也需要納入到兩個(gè)層面的考慮當(dāng)中,這樣才能夠自動(dòng)獲取關(guān)于安全系統(tǒng)運(yùn)行狀態(tài)的信息,可以驗(yàn)證一個(gè)低需求模式的系統(tǒng)是否的確處于低需求模式。比如說(shuō),如果傳感器的預(yù)期失效頻率是平均每十年一次,通過(guò)將維護(hù)數(shù)據(jù)輸入到信息處理層,就可以進(jìn)行驗(yàn)證,有必要時(shí)進(jìn)行更改。平臺(tái)工具可以設(shè)定安全系統(tǒng)的關(guān)鍵指標(biāo)(KPI)并進(jìn)行監(jiān)控,這就是單純的安全工程和風(fēng)險(xiǎn)管理的主要區(qū)別。如果可靠性指標(biāo)存在不足,過(guò)程企業(yè)就可以采取行動(dòng)以保證KPI的達(dá)成。 如上所述的平臺(tái)工具及工程工具,不但適用于功能安全的流程,也同樣適用于在其非功能安全的流程,譬如網(wǎng)絡(luò)安全。這樣企業(yè)就擁有了全局的、統(tǒng)一的風(fēng)險(xiǎn)管理系統(tǒng)。 經(jīng)濟(jì)安全 過(guò)程工廠的功能安全的投資,也分為兩個(gè)階段。在資本支出階段,完成安全計(jì)劃、風(fēng)險(xiǎn)分析、詳細(xì)設(shè)計(jì)和試車。在運(yùn)營(yíng)支出階段,需要考慮安全系統(tǒng)的維護(hù)管理、周期性測(cè)試和績(jī)效評(píng)估。為了優(yōu)化總體安全成本,應(yīng)該盡可能讓兩個(gè)階段的工作盡量相互重疊,我們稱之為安全卓越,而實(shí)現(xiàn)這一理念的方法就是一體化風(fēng)險(xiǎn)管理——整合項(xiàng)目的投資和運(yùn)營(yíng)成本。 那么如何將投資和運(yùn)營(yíng)成本的整合落到實(shí)處呢? 以希馬解決方案為例,所有產(chǎn)品采用了統(tǒng)一的安全區(qū)的理念,希馬的功能安全層(特別是與之前所述的信息層)允許與外界進(jìn)行數(shù)據(jù)交互,希馬為此與MANGAN軟件公司合作,引入其生命周期管理的平臺(tái)化工具,該平臺(tái)與希馬安全區(qū)建立開(kāi)放的、安全的通訊連接,這樣就構(gòu)成了優(yōu)化資本支出和運(yùn)營(yíng)支出的基礎(chǔ)。 首先,是面向功能安全的信息安全 物聯(lián)網(wǎng)以開(kāi)放性為特點(diǎn),但是同時(shí)也面臨網(wǎng)絡(luò)安全巨大的挑戰(zhàn)。希馬掌握其所有安全系統(tǒng)的核心,99%以上的軟件都是由自主開(kāi)發(fā),非常穩(wěn)定和可靠。圍繞產(chǎn)品核心,基于網(wǎng)絡(luò)安全管理的標(biāo)準(zhǔn)及法律法規(guī),我們針對(duì)其安全系統(tǒng)定義了網(wǎng)絡(luò)安全環(huán)境和安全邊界。同時(shí),對(duì)于系統(tǒng)網(wǎng)絡(luò)安全的管理也形成了獨(dú)特的解決方案。我們的客戶正在全世界運(yùn)行超過(guò)35,000套系統(tǒng),目前為止沒(méi)有發(fā)生任何安全相關(guān)的事故。 其次,安全功能的智能化生成 將信息層的數(shù)據(jù)自動(dòng)導(dǎo)入功能安全層,將信息層的因果表或者邏輯描述,轉(zhuǎn)換為功能安全層可執(zhí)行的功能塊,在此過(guò)程中也可以對(duì)前期設(shè)計(jì)進(jìn)行校驗(yàn)。 第三,智能邏輯測(cè)試 希馬平臺(tái)工程軟件對(duì)所有的邏輯可以制定測(cè)試計(jì)劃,邏輯完成后即可進(jìn)行自動(dòng)測(cè)試,自動(dòng)形成測(cè)試文檔,也可以減少測(cè)試的人為失誤。 第四,智能回路測(cè)試 希馬安全控制器集成HART接口,可以從HART設(shè)備讀取診斷信息,并發(fā)送測(cè)試值給HART設(shè)備。結(jié)合上述的智能邏輯測(cè)試功能,就可以短時(shí)間完成大量HART設(shè)備的回路測(cè)試。 第五,智能績(jī)效檢查 使用OPC UA,可以安全地將功能安全層的數(shù)據(jù)實(shí)時(shí)反饋給信息層,以實(shí)現(xiàn)智能的績(jī)效檢查。 總而言之,面向物聯(lián)網(wǎng)的智能安全解決方案,兼顧了網(wǎng)絡(luò)安全性,在設(shè)計(jì)操作中也充分秉承了物聯(lián)網(wǎng)智能、靈活、開(kāi)放的理念,實(shí)現(xiàn)了同質(zhì)化的安全工程以及基于云的安全工程工具的操作,充分整合投資和運(yùn)營(yíng)成本,讓安全系統(tǒng)更加適應(yīng)過(guò)程行業(yè)的發(fā)展要求,使得過(guò)程工廠更加兼顧經(jīng)濟(jì)、安全和效率。