希馬（上海）工業(yè)自動化有限公司總經理Peter Sieber先生在“2020 ARC工業(yè)論壇”上做了《降低風險 優(yōu)化安全支出》的報告，我們根據此次演講內容，來談談工業(yè)物聯(lián)網時代的功能安全策略。

現(xiàn)代大工業(yè)，尤其是過程行業(yè)，從誕生之日起就面臨著各種各樣的風險和隱患。為了減少事故的發(fā)生頻率和降低事故的災難性后果，現(xiàn)代工業(yè)設施在設計之初就會有大量安全方面的考慮，比如將重要設備和易燃易爆區(qū)域隔離的本質安全方法，就非常受歡迎。

這就如同2020年人們最熟悉的保持社交距離或者居家隔離，它非常有效，但是當人們開始必不可少的生產生活活動，彼此之間的交互變得不可避免的時候，這種邏輯上最為簡單的方法就必須要進行改進或者采用其他的方法進行補充。在抗擊呼吸道傳染病的時候，人們佩戴口罩使用洗手液，而在工業(yè)設施當中，功能安全技術和系統(tǒng)也就起到了相同的作用。

按照國際電工理事會（IEC）的定義，過程風險是危險事件發(fā)生頻率和后果的乘積，而風險分析和管理的目標，就是要通過功能安全技術中不同的保護層將風險降低到可以被接受的水平。可以說，功能安全為過程管理帶來了全新的理念，現(xiàn)代過程工業(yè)才能得以按照現(xiàn)有的方式運行為普通大眾所接受。

我們可以將需要保護的過程，即受控設備（EUC）想象成一個旋轉的圓盤，如圖。圓盤上的洞，代表過程中的偏差或者是故障隱患。而洞的面積和數(shù)量代表著過程的失效概率?，F(xiàn)在假設我們蒙上雙眼用木劍刺向圓盤，如果木劍能夠正好通過那些漏洞刺破圓盤，就表示出現(xiàn)了過程失效。事實上人們對不同過程失效后果的接受程度差別很大，比如水箱的液位測量儀會有那么幾秒沒有測出精確的數(shù)值，可能沒有人會在意這點。但是在對火災及易燃氣體的監(jiān)控中，如果測量不準的時間持續(xù)十幾分鐘，那么可能就會引發(fā)巨大危險。

▎受控設備（EUC）

為了應對這些偏差，最常見的方法是增加第二個圓盤，如圖。也就是基本過程控制系統(tǒng)（BPCS），即第二個保護層，用于解決由于工藝設計的缺陷而導致的風險。從原理上這很好理解，即便每個圓盤上都有一些漏洞，但是因為它們漏洞的位置不一樣，旋轉的速度也不同，一劍刺過去正好同時落在兩個圓盤的漏洞上的幾率實在是不高。然而，根據不同的應用場合，往往對這種幾率的接受程度也有所不同。

▎基本過程控制系統(tǒng)（BPCS）

那么如何才能進一步控制風險呢？方法很簡單，就是再加上第三個圓盤——安全儀表系統(tǒng)（SIS），如圖，即第三個保護層。即便這個新圓盤可能也會有一些洞，但是數(shù)量和尺寸都比第二個圓盤上的小很多。如果用木劍一千次（十的三次方）也無法同時刺破所有三個圓盤，我們實際上就實現(xiàn)了功能安全里的安全完整性等級SIL3，而要達到SIL4的話就是需要保證即便一萬次（十的四次方）也無法扎破。

當然，從過程工業(yè)的角度，我們現(xiàn)在談論的低需求模式，也就是拿木劍刺圓盤的頻率要低于每年一次。換句話說，SIL3的要求就是受控設備出現(xiàn)事故的概率應該是低于每一千年一次。面對這樣嚴格的要求，在設計SIS的時候，我們不但要考慮技術能力能否達到，也要考慮應該采用什么樣的質量工程技術保證SIS的可靠性和可用性。

▎安全儀表系統(tǒng)（SIS）

物聯(lián)網技術為過程行業(yè)提速，功能和模塊的變更將更加迅速，更加容易，但是更快的速度也意味著BPCS犯錯的次數(shù)會更多。雖然SIS有著一整套行之有效的標準，但是每一次變革都會帶來大量的工作，而且工作與基本控制系統(tǒng)的自動化不同，通常需要調動人力才能完成。

如果SIS與基本控制系統(tǒng)集成，采用同樣的自動化變更方式，這樣系統(tǒng)的靈活性可以得到一定的提升，但是會帶來另外一個關鍵性的問題——獨立性。一旦SIS的失效方式與基本控制系統(tǒng)的失效存在關聯(lián)，就會出現(xiàn)所謂的系統(tǒng)性問題，即一個系統(tǒng)失效另外一個同時也失效。

按照如上圓盤的概念，如果兩個圓盤很相似，也就是漏洞都出現(xiàn)在類似的位置，同時被刺穿的風險就大大增加了。因此，SIS和BPCS通常會采用不同的技術，避免使用相同的元素，比如操作系統(tǒng)、網絡協(xié)議或者電路，從而減少共因失效的概率。

▎物聯(lián)網給功能安全帶來的挑戰(zhàn)

但是不管怎樣，過程行業(yè)都應該做好準備實施各種物聯(lián)網解決方案，我們需要思考如何適應物聯(lián)網的靈活性以及建立與物聯(lián)網兼容的工作流程，為此首先需要對現(xiàn)有的工作內容以及流程進行評估。

根據IEC 61511，首先我們要做過程危害與風險分析，然后是保護層分析，形成安全需求規(guī)范，之后進行設計和實施、測試及維護，當然在維護的過程中還要進行變更管理?？v覽整個流程，其中只有設計和實施環(huán)節(jié)可以認為是與BPCS相同的，某些環(huán)節(jié)是SIS專屬的，譬如危害與風險分析、保護層分析以及安全需求規(guī)格書，其他的環(huán)節(jié)測試、維護、維護及變更管理雖然類似于BPCS，但是細節(jié)上的區(qū)別卻非常之大。

▎增加功能安全靈活性

如果我們要提高效率、更加靈活，我們必須清楚SIS系統(tǒng)相關的工作流程是以功能安全為中心的流程。

縱覽整個安全儀表系統(tǒng)流程的每個環(huán)節(jié)的具體做法，不難發(fā)現(xiàn)，很多工作都是各自獨立，采用不同的工具，甚至很多都是人工完成的，形成的文檔格式及類型也是五花八門。工程師們?yōu)榱颂岣咝剩话愣紩鼉A向平臺類工具，因為它們可以覆蓋安全工程的方方面面。這樣的工具，既可以做LOPA分析，也可以關注那些非安全需求，調用專門的功能數(shù)據庫，將工程工具的功能轉化成安全系統(tǒng)的工具。

基于唯一的平臺，就意味著不需要各種獨立的工具和文件，就可以將識別出來的危險與解決危險的方法全部關聯(lián)起來，簡化迭代流程，這樣減少了實際工作量和人力成本，還能夠提升工程質量。更為關鍵的是，可以輕松應對政府的審查。

針對SIS的平臺工具主要有兩個層面：第一方面為信息處理層，主要采用平臺化的工具處理信息；另一個方面是功能安全層，需要使用功能安全相關的工程工具編程、配置安全系統(tǒng)。如果能夠使用專門的功能數(shù)據庫，調用很多之前信息處理過程中的測試和驗證的數(shù)據，就可以大大降低這個階段測試的工作量。

當然，測試和維護也需要納入到兩個層面的考慮當中，這樣才能夠自動獲取關于安全系統(tǒng)運行狀態(tài)的信息，可以驗證一個低需求模式的系統(tǒng)是否的確處于低需求模式。比如說，如果傳感器的預期失效頻率是平均每十年一次，通過將維護數(shù)據輸入到信息處理層，就可以進行驗證，有必要時進行更改。平臺工具可以設定安全系統(tǒng)的關鍵指標（KPI）并進行監(jiān)控，這就是單純的安全工程和風險管理的主要區(qū)別。如果可靠性指標存在不足，過程企業(yè)就可以采取行動以保證KPI的達成。

如上所述的平臺工具及工程工具，不但適用于功能安全的流程，也同樣適用于在其非功能安全的流程，譬如網絡安全。這樣企業(yè)就擁有了全局的、統(tǒng)一的風險管理系統(tǒng)。

過程工廠的功能安全的投資，也分為兩個階段。在資本支出階段，完成安全計劃、風險分析、詳細設計和試車。在運營支出階段，需要考慮安全系統(tǒng)的維護管理、周期性測試和績效評估。為了優(yōu)化總體安全成本，應該盡可能讓兩個階段的工作盡量相互重疊，我們稱之為安全卓越，而實現(xiàn)這一理念的方法就是一體化風險管理——整合項目的投資和運營成本。

那么如何將投資和運營成本的整合落到實處呢？

以希馬解決方案為例，所有產品采用了統(tǒng)一的安全區(qū)的理念，希馬的功能安全層（特別是與之前所述的信息層）允許與外界進行數(shù)據交互，希馬為此與MANGAN軟件公司合作，引入其生命周期管理的平臺化工具，該平臺與希馬安全區(qū)建立開放的、安全的通訊連接，這樣就構成了優(yōu)化資本支出和運營支出的基礎。

首先，是面向功能安全的信息安全

物聯(lián)網以開放性為特點，但是同時也面臨網絡安全巨大的挑戰(zhàn)。希馬掌握其所有安全系統(tǒng)的核心，99%以上的軟件都是由自主開發(fā)，非常穩(wěn)定和可靠。圍繞產品核心，基于網絡安全管理的標準及法律法規(guī)，我們針對其安全系統(tǒng)定義了網絡安全環(huán)境和安全邊界。同時，對于系統(tǒng)網絡安全的管理也形成了獨特的解決方案。我們的客戶正在全世界運行超過35,000套系統(tǒng)，目前為止沒有發(fā)生任何安全相關的事故。

其次，安全功能的智能化生成

將信息層的數(shù)據自動導入功能安全層，將信息層的因果表或者邏輯描述，轉換為功能安全層可執(zhí)行的功能塊，在此過程中也可以對前期設計進行校驗。

第三，智能邏輯測試

希馬平臺工程軟件對所有的邏輯可以制定測試計劃，邏輯完成后即可進行自動測試，自動形成測試文檔，也可以減少測試的人為失誤。

第四，智能回路測試

希馬安全控制器集成HART接口，可以從HART設備讀取診斷信息，并發(fā)送測試值給HART設備。結合上述的智能邏輯測試功能，就可以短時間完成大量HART設備的回路測試。

第五，智能績效檢查

使用OPC UA，可以安全地將功能安全層的數(shù)據實時反饋給信息層，以實現(xiàn)智能的績效檢查。

總而言之，面向物聯(lián)網的智能安全解決方案，兼顧了網絡安全性，在設計操作中也充分秉承了物聯(lián)網智能、靈活、開放的理念，實現(xiàn)了同質化的安全工程以及基于云的安全工程工具的操作，充分整合投資和運營成本，讓安全系統(tǒng)更加適應過程行業(yè)的發(fā)展要求，使得過程工廠更加兼顧經濟、安全和效率。