当前计算机、集成电路等技术的发展已经渗透到所有工业领域,计算能力的极大增加彻底改变了工厂和工业过程的控制,也改变了安全控制策略。对于包含有电子、电气设备,计算机软、硬件的系统,要用于关系到人身财产安全的领域中时,进行规范的安全指导是十分必要的。

工控安全本身就是一个覆盖面广,涉及到的设备及流程复杂,要求从业者对信息安全和工业控制现场设备都有一定了解。但有时看一些资料的时候,对于工控设备一些相关标准还不是很清楚,这些标准不同于等保2.0、能源局36号文、国网1084号文、南网3号文等的相关要求。对于工控现场设备的标准规定通常是具体到某个行业、设备或系统,例如现场总线、安全仪表系统、各类系统的安全等级评估等。

在工业设备及控制的功能安全方面,常说应满足IEC61508等标准规定的SIL、PL安全等级要求。通信网络安全应要求IEC62443-3-3、IEC62443-4-1/2等标准要求。这些标准具体又是什么要求,要求哪一方面呢?

2000年5月,国际电工委员会(IEC)正式发布了IEC61508标准,名为《电气 / 电子 / 可编程电子安全系统的功能安全》。电气 / 电子 / 可编程电子(E/E/PE),我国也制定了针对E/E/PE的国标,GBT20438,该标准分为七个部分,涉及1000多个规范。

在IEC提出的诸多安全理论和国际标准中,IEC61508是比较核心和基础的一个,是目前为止安全相关系统的理论概括和技术总结。提出的是一个基础评价方法,综合考虑各独立系统中元件与安全系统组合的问题。没有指定具体的应用领域。

其规定的电气 / 电子 / 可编程电子(E/E/PE),电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。

在IEC61508 中,安全仪表系统SIS被称为安全相关系统(Safety Related System),将被控对象称为被控设备(EUC)。安全相关系统是指为了保证控制设备处于安全状态,采用安全相关技术和风险降低措施执行所需安全功能的系统。

安全相关系统的失控可导致物理层面的损失,进而对人员造成伤害。而IEC61508是从整体上进行规范,用安全完善性等级来说明安全相关系统的安全目标,它的主要目标是预测安全相关系统运行时的故障概率。

安全生命周期,从方案的确定阶段开始,到安全相关系统等设备不再可用时为止的时间。通过定义安全生命周期各个阶段的安全性目标和必须达到的要求来对系统开发应用的每一个环节严格把关,实现整体系统的安全。

针对电子系统功能安全保证主要包括两部分内容: 失效识别和安全完整性水平。

失效识别就是功能单元失去实现其功能的能力。对于特定功能单元来说,某些操作是不允许的,那这些行为其实就是失效的。导致失效的原因可能是硬件也可能是软件的原因。

安全完整性水平 (SIL) (safety integrity level)。就是在规定的时间周期内和规定的条件下,安全相关系统成功地完成所需安全功能的能力。安全系统的安全完整性水平越高,安全系统实现所要求的安全功能失败的可能性就越低。

IEC61508中规定系统有4种安全完整性水平,SIL4是最高的,SIL1是最低的。SIL安全完整性这个要求也经常被各类文件要求提及,多少要留个印象。

对整个系统而言,单个现场总线的SIL并不能表示整个系统的SIL。完整系统的SIL需要综合考虑,不能简单地应用木桶原理,所有元件子系统都满足相应的SIL,但组成的系统并不一定满足预定SIL的要求。

那如果要验证系统是否符合IEC61508相关的安全域要求,应该怎么做呢?
第一种是根据IEC61508相关的要求设计一个新系统
第二种是采用原先已证明是安全的系统,采用"proven in use"方法来对现有系统进行验证。

第二种验证方法在现场总线的应用比较广泛。"proven in use"即在使用中验证。某种产品或系统正在使用中,只要厂家有足够证明能保证它是安全的,那之后相同的产品就允许应用到同等的安全域。

实际上"proven in use"方法的使用,有很严格的条件,此处就不展开了,有兴趣的小伙伴可以查询相关的资料,或是以后有机会单开一篇讲讲怎么用。

IEC61508 主要讨论的就是怎样利用安全技术和分析方法降低电气/电子/可编程电子安全相关系统的风险,IEC61508的特点是把风险作为度量危险的指标。这里的风险是指危害发生的概率和危害严重性的组合。其规定的四种风险指标分别是:
被控装置的风险:控制和受控系统相互作用而产生的风险
可容忍的风险:给定情景下可被接受的风险
残余的风险:采取了防护措施后仍然保留的风险
必须的风险降低:降低设备的风险,确保不超过可容忍的风险

其实风险评估的结果是用于确定安全系统所需的整体安全完整性等级,再将总的安全完整性等级分配到 E/E/PE 安全相关系统、其他技术安全相关系统,使系统的风险降低到允许的水平。

安全是永远是相对的, 风险是不可能完全消除的。对于危险事件的风险,必须降低到可接受的水平。实际上,IEC61508中没有规定具体的危险和风险分析技术,但给出了技术选用应考虑的因素。

规章制度是人制定的,用于约束客观事物更加符合我们的要求。这里有两个忠告给大家。一是必须要按国家文件的相关要求来做,这样一来,即使出现问题,按国家文件要求做和不按国家文件要求做,出现事故的责任是完全不一样的;二是所有的规章制度和二次安防,最大的不可控因素是人,再完善的制度也是由人去执行,因此要时常开展思想活动教育,要让团队都信服同一个理念,进而将文件要求贯彻落实到位。