希馬（上海）工業(yè)自動(dòng)化有限公司總經(jīng)理Peter Sieber先生在“2020 ARC工業(yè)論壇”上做了《降低風(fēng)險(xiǎn) 優(yōu)化安全支出》的報(bào)告，我們根據(jù)此次演講內(nèi)容，來談?wù)劰I(yè)物聯(lián)網(wǎng)時(shí)代的功能安全策略。

現(xiàn)代大工業(yè)，尤其是過程行業(yè)，從誕生之日起就面臨著各種各樣的風(fēng)險(xiǎn)和隱患。為了減少事故的發(fā)生頻率和降低事故的災(zāi)難性后果，現(xiàn)代工業(yè)設(shè)施在設(shè)計(jì)之初就會(huì)有大量安全方面的考慮，比如將重要設(shè)備和易燃易爆區(qū)域隔離的本質(zhì)安全方法，就非常受歡迎。

這就如同2020年人們最熟悉的保持社交距離或者居家隔離，它非常有效，但是當(dāng)人們開始必不可少的生產(chǎn)生活活動(dòng)，彼此之間的交互變得不可避免的時(shí)候，這種邏輯上最為簡單的方法就必須要進(jìn)行改進(jìn)或者采用其他的方法進(jìn)行補(bǔ)充。在抗擊呼吸道傳染病的時(shí)候，人們佩戴口罩使用洗手液，而在工業(yè)設(shè)施當(dāng)中，功能安全技術(shù)和系統(tǒng)也就起到了相同的作用。

按照國際電工理事會(huì)（IEC）的定義，過程風(fēng)險(xiǎn)是危險(xiǎn)事件發(fā)生頻率和后果的乘積，而風(fēng)險(xiǎn)分析和管理的目標(biāo)，就是要通過功能安全技術(shù)中不同的保護(hù)層將風(fēng)險(xiǎn)降低到可以被接受的水平?？梢哉f，功能安全為過程管理帶來了全新的理念，現(xiàn)代過程工業(yè)才能得以按照現(xiàn)有的方式運(yùn)行為普通大眾所接受。

我們可以將需要保護(hù)的過程，即受控設(shè)備（EUC）想象成一個(gè)旋轉(zhuǎn)的圓盤，如圖。圓盤上的洞，代表過程中的偏差或者是故障隱患。而洞的面積和數(shù)量代表著過程的失效概率?，F(xiàn)在假設(shè)我們蒙上雙眼用木劍刺向圓盤，如果木劍能夠正好通過那些漏洞刺破圓盤，就表示出現(xiàn)了過程失效。事實(shí)上人們對不同過程失效后果的接受程度差別很大，比如水箱的液位測量儀會(huì)有那么幾秒沒有測出精確的數(shù)值，可能沒有人會(huì)在意這點(diǎn)。但是在對火災(zāi)及易燃?xì)怏w的監(jiān)控中，如果測量不準(zhǔn)的時(shí)間持續(xù)十幾分鐘，那么可能就會(huì)引發(fā)巨大危險(xiǎn)。

▎受控設(shè)備（EUC）

為了應(yīng)對這些偏差，最常見的方法是增加第二個(gè)圓盤，如圖。也就是基本過程控制系統(tǒng)（BPCS），即第二個(gè)保護(hù)層，用于解決由于工藝設(shè)計(jì)的缺陷而導(dǎo)致的風(fēng)險(xiǎn)。從原理上這很好理解，即便每個(gè)圓盤上都有一些漏洞，但是因?yàn)樗鼈兟┒吹奈恢貌灰粯?，旋轉(zhuǎn)的速度也不同，一劍刺過去正好同時(shí)落在兩個(gè)圓盤的漏洞上的幾率實(shí)在是不高。然而，根據(jù)不同的應(yīng)用場合，往往對這種幾率的接受程度也有所不同。

▎基本過程控制系統(tǒng)（BPCS）

那么如何才能進(jìn)一步控制風(fēng)險(xiǎn)呢？方法很簡單，就是再加上第三個(gè)圓盤——安全儀表系統(tǒng)（SIS），如圖，即第三個(gè)保護(hù)層。即便這個(gè)新圓盤可能也會(huì)有一些洞，但是數(shù)量和尺寸都比第二個(gè)圓盤上的小很多。如果用木劍一千次（十的三次方）也無法同時(shí)刺破所有三個(gè)圓盤，我們實(shí)際上就實(shí)現(xiàn)了功能安全里的安全完整性等級SIL3，而要達(dá)到SIL4的話就是需要保證即便一萬次（十的四次方）也無法扎破。

當(dāng)然，從過程工業(yè)的角度，我們現(xiàn)在談?wù)摰牡托枨竽Ｊ?，也就是拿木劍刺圓盤的頻率要低于每年一次。換句話說，SIL3的要求就是受控設(shè)備出現(xiàn)事故的概率應(yīng)該是低于每一千年一次。面對這樣嚴(yán)格的要求，在設(shè)計(jì)SIS的時(shí)候，我們不但要考慮技術(shù)能力能否達(dá)到，也要考慮應(yīng)該采用什么樣的質(zhì)量工程技術(shù)保證SIS的可靠性和可用性。

▎安全儀表系統(tǒng)（SIS）

物聯(lián)網(wǎng)技術(shù)為過程行業(yè)提速，功能和模塊的變更將更加迅速，更加容易，但是更快的速度也意味著BPCS犯錯(cuò)的次數(shù)會(huì)更多。雖然SIS有著一整套行之有效的標(biāo)準(zhǔn)，但是每一次變革都會(huì)帶來大量的工作，而且工作與基本控制系統(tǒng)的自動(dòng)化不同，通常需要調(diào)動(dòng)人力才能完成。

如果SIS與基本控制系統(tǒng)集成，采用同樣的自動(dòng)化變更方式，這樣系統(tǒng)的靈活性可以得到一定的提升，但是會(huì)帶來另外一個(gè)關(guān)鍵性的問題——獨(dú)立性。一旦SIS的失效方式與基本控制系統(tǒng)的失效存在關(guān)聯(lián)，就會(huì)出現(xiàn)所謂的系統(tǒng)性問題，即一個(gè)系統(tǒng)失效另外一個(gè)同時(shí)也失效。

按照如上圓盤的概念，如果兩個(gè)圓盤很相似，也就是漏洞都出現(xiàn)在類似的位置，同時(shí)被刺穿的風(fēng)險(xiǎn)就大大增加了。因此，SIS和BPCS通常會(huì)采用不同的技術(shù)，避免使用相同的元素，比如操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議或者電路，從而減少共因失效的概率。

▎物聯(lián)網(wǎng)給功能安全帶來的挑戰(zhàn)

但是不管怎樣，過程行業(yè)都應(yīng)該做好準(zhǔn)備實(shí)施各種物聯(lián)網(wǎng)解決方案，我們需要思考如何適應(yīng)物聯(lián)網(wǎng)的靈活性以及建立與物聯(lián)網(wǎng)兼容的工作流程，為此首先需要對現(xiàn)有的工作內(nèi)容以及流程進(jìn)行評估。

根據(jù)IEC 61511，首先我們要做過程危害與風(fēng)險(xiǎn)分析，然后是保護(hù)層分析，形成安全需求規(guī)范，之后進(jìn)行設(shè)計(jì)和實(shí)施、測試及維護(hù)，當(dāng)然在維護(hù)的過程中還要進(jìn)行變更管理?？v覽整個(gè)流程，其中只有設(shè)計(jì)和實(shí)施環(huán)節(jié)可以認(rèn)為是與BPCS相同的，某些環(huán)節(jié)是SIS專屬的，譬如危害與風(fēng)險(xiǎn)分析、保護(hù)層分析以及安全需求規(guī)格書，其他的環(huán)節(jié)測試、維護(hù)、維護(hù)及變更管理雖然類似于BPCS，但是細(xì)節(jié)上的區(qū)別卻非常之大。

▎增加功能安全靈活性

如果我們要提高效率、更加靈活，我們必須清楚SIS系統(tǒng)相關(guān)的工作流程是以功能安全為中心的流程。

縱覽整個(gè)安全儀表系統(tǒng)流程的每個(gè)環(huán)節(jié)的具體做法，不難發(fā)現(xiàn)，很多工作都是各自獨(dú)立，采用不同的工具，甚至很多都是人工完成的，形成的文檔格式及類型也是五花八門。工程師們?yōu)榱颂岣咝?，一般都?huì)更傾向平臺(tái)類工具，因?yàn)樗鼈兛梢愿采w安全工程的方方面面。這樣的工具，既可以做LOPA分析，也可以關(guān)注那些非安全需求，調(diào)用專門的功能數(shù)據(jù)庫，將工程工具的功能轉(zhuǎn)化成安全系統(tǒng)的工具。

基于唯一的平臺(tái)，就意味著不需要各種獨(dú)立的工具和文件，就可以將識(shí)別出來的危險(xiǎn)與解決危險(xiǎn)的方法全部關(guān)聯(lián)起來，簡化迭代流程，這樣減少了實(shí)際工作量和人力成本，還能夠提升工程質(zhì)量。更為關(guān)鍵的是，可以輕松應(yīng)對政府的審查。

針對SIS的平臺(tái)工具主要有兩個(gè)層面：第一方面為信息處理層，主要采用平臺(tái)化的工具處理信息；另一個(gè)方面是功能安全層，需要使用功能安全相關(guān)的工程工具編程、配置安全系統(tǒng)。如果能夠使用專門的功能數(shù)據(jù)庫，調(diào)用很多之前信息處理過程中的測試和驗(yàn)證的數(shù)據(jù)，就可以大大降低這個(gè)階段測試的工作量。

當(dāng)然，測試和維護(hù)也需要納入到兩個(gè)層面的考慮當(dāng)中，這樣才能夠自動(dòng)獲取關(guān)于安全系統(tǒng)運(yùn)行狀態(tài)的信息，可以驗(yàn)證一個(gè)低需求模式的系統(tǒng)是否的確處于低需求模式。比如說，如果傳感器的預(yù)期失效頻率是平均每十年一次，通過將維護(hù)數(shù)據(jù)輸入到信息處理層，就可以進(jìn)行驗(yàn)證，有必要時(shí)進(jìn)行更改。平臺(tái)工具可以設(shè)定安全系統(tǒng)的關(guān)鍵指標(biāo)（KPI）并進(jìn)行監(jiān)控，這就是單純的安全工程和風(fēng)險(xiǎn)管理的主要區(qū)別。如果可靠性指標(biāo)存在不足，過程企業(yè)就可以采取行動(dòng)以保證KPI的達(dá)成。

如上所述的平臺(tái)工具及工程工具，不但適用于功能安全的流程，也同樣適用于在其非功能安全的流程，譬如網(wǎng)絡(luò)安全。這樣企業(yè)就擁有了全局的、統(tǒng)一的風(fēng)險(xiǎn)管理系統(tǒng)。

過程工廠的功能安全的投資，也分為兩個(gè)階段。在資本支出階段，完成安全計(jì)劃、風(fēng)險(xiǎn)分析、詳細(xì)設(shè)計(jì)和試車。在運(yùn)營支出階段，需要考慮安全系統(tǒng)的維護(hù)管理、周期性測試和績效評估。為了優(yōu)化總體安全成本，應(yīng)該盡可能讓兩個(gè)階段的工作盡量相互重疊，我們稱之為安全卓越，而實(shí)現(xiàn)這一理念的方法就是一體化風(fēng)險(xiǎn)管理——整合項(xiàng)目的投資和運(yùn)營成本。

那么如何將投資和運(yùn)營成本的整合落到實(shí)處呢？

以希馬解決方案為例，所有產(chǎn)品采用了統(tǒng)一的安全區(qū)的理念，希馬的功能安全層（特別是與之前所述的信息層）允許與外界進(jìn)行數(shù)據(jù)交互，希馬為此與MANGAN軟件公司合作，引入其生命周期管理的平臺(tái)化工具，該平臺(tái)與希馬安全區(qū)建立開放的、安全的通訊連接，這樣就構(gòu)成了優(yōu)化資本支出和運(yùn)營支出的基礎(chǔ)。

首先，是面向功能安全的信息安全

物聯(lián)網(wǎng)以開放性為特點(diǎn)，但是同時(shí)也面臨網(wǎng)絡(luò)安全巨大的挑戰(zhàn)。希馬掌握其所有安全系統(tǒng)的核心，99%以上的軟件都是由自主開發(fā)，非常穩(wěn)定和可靠。圍繞產(chǎn)品核心，基于網(wǎng)絡(luò)安全管理的標(biāo)準(zhǔn)及法律法規(guī)，我們針對其安全系統(tǒng)定義了網(wǎng)絡(luò)安全環(huán)境和安全邊界。同時(shí)，對于系統(tǒng)網(wǎng)絡(luò)安全的管理也形成了獨(dú)特的解決方案。我們的客戶正在全世界運(yùn)行超過35,000套系統(tǒng)，目前為止沒有發(fā)生任何安全相關(guān)的事故。

其次，安全功能的智能化生成

將信息層的數(shù)據(jù)自動(dòng)導(dǎo)入功能安全層，將信息層的因果表或者邏輯描述，轉(zhuǎn)換為功能安全層可執(zhí)行的功能塊，在此過程中也可以對前期設(shè)計(jì)進(jìn)行校驗(yàn)。

第三，智能邏輯測試

希馬平臺(tái)工程軟件對所有的邏輯可以制定測試計(jì)劃，邏輯完成后即可進(jìn)行自動(dòng)測試，自動(dòng)形成測試文檔，也可以減少測試的人為失誤。

第四，智能回路測試

希馬安全控制器集成HART接口，可以從HART設(shè)備讀取診斷信息，并發(fā)送測試值給HART設(shè)備。結(jié)合上述的智能邏輯測試功能，就可以短時(shí)間完成大量HART設(shè)備的回路測試。

第五，智能績效檢查

使用OPC UA，可以安全地將功能安全層的數(shù)據(jù)實(shí)時(shí)反饋給信息層，以實(shí)現(xiàn)智能的績效檢查。

總而言之，面向物聯(lián)網(wǎng)的智能安全解決方案，兼顧了網(wǎng)絡(luò)安全性，在設(shè)計(jì)操作中也充分秉承了物聯(lián)網(wǎng)智能、靈活、開放的理念，實(shí)現(xiàn)了同質(zhì)化的安全工程以及基于云的安全工程工具的操作，充分整合投資和運(yùn)營成本，讓安全系統(tǒng)更加適應(yīng)過程行業(yè)的發(fā)展要求，使得過程工廠更加兼顧經(jīng)濟(jì)、安全和效率。