物联网时代功能安全策略——智能安全和全生命周期安全管理
随着过程工业变得越来越复杂,依赖系统自身的本质安全越来越难以简单地实现。因此功能安全的概念也就自然而然地在更多的行业得到了普及。那么,在人工智能和物联网技术日新月异的今天,针对功能安全又有哪些挑战和全新解决方案呢?
希马(上海)工业自动化有限公司总经理Peter Sieber先生在“2020 ARC工业论坛”上做了《降低风险 优化安全支出》的报告,我们根据此次演讲内容,来谈谈工业物联网时代的功能安全策略。 功能安全的保护层设计 现代大工业,尤其是过程行业,从诞生之日起就面临着各种各样的风险和隐患。为了减少事故的发生频率和降低事故的灾难性后果,现代工业设施在设计之初就会有大量安全方面的考虑,比如将重要设备和易燃易爆区域隔离的本质安全方法,就非常受欢迎。 这就如同2020年人们最熟悉的保持社交距离或者居家隔离,它非常有效,但是当人们开始必不可少的生产生活活动,彼此之间的交互变得不可避免的时候,这种逻辑上最为简单的方法就必须要进行改进或者采用其他的方法进行补充。在抗击呼吸道传染病的时候,人们佩戴口罩使用洗手液,而在工业设施当中,功能安全技术和系统也就起到了相同的作用。 按照国际电工理事会(IEC)的定义,过程风险是危险事件发生频率和后果的乘积,而风险分析和管理的目标,就是要通过功能安全技术中不同的保护层将风险降低到可以被接受的水平。可以说,功能安全为过程管理带来了全新的理念,现代过程工业才能得以按照现有的方式运行为普通大众所接受。 那么,过程控制中如何实现功能安全呢?Peter Sieber提出了圆盘模型,将受控设备、基本过程控制系统和安全仪表系统想象成三个圆盘。下面就先来看一段Peter关于圆盘模型的视频讲解。
我们可以将需要保护的过程,即受控设备(EUC)想象成一个旋转的圆盘,如图。圆盘上的洞,代表过程中的偏差或者是故障隐患。而洞的面积和数量代表着过程的失效概率。现在假设我们蒙上双眼用木剑刺向圆盘,如果木剑能够正好通过那些漏洞刺破圆盘,就表示出现了过程失效。事实上人们对不同过程失效后果的接受程度差别很大,比如水箱的液位测量仪会有那么几秒没有测出精确的数值,可能没有人会在意这点。但是在对火灾及易燃气体的监控中,如果测量不准的时间持续十几分钟,那么可能就会引发巨大危险。 ▎受控设备(EUC) 为了应对这些偏差,最常见的方法是增加第二个圆盘,如图。也就是基本过程控制系统(BPCS),即第二个保护层,用于解决由于工艺设计的缺陷而导致的风险。从原理上这很好理解,即便每个圆盘上都有一些漏洞,但是因为它们漏洞的位置不一样,旋转的速度也不同,一剑刺过去正好同时落在两个圆盘的漏洞上的几率实在是不高。然而,根据不同的应用场合,往往对这种几率的接受程度也有所不同。 ▎基本过程控制系统(BPCS) 那么如何才能进一步控制风险呢?方法很简单,就是再加上第三个圆盘——安全仪表系统(SIS),如图,即第三个保护层。即便这个新圆盘可能也会有一些洞,但是数量和尺寸都比第二个圆盘上的小很多。如果用木剑一千次(十的三次方)也无法同时刺破所有三个圆盘,我们实际上就实现了功能安全里的安全完整性等级SIL3,而要达到SIL4的话就是需要保证即便一万次(十的四次方)也无法扎破。 当然,从过程工业的角度,我们现在谈论的低需求模式,也就是拿木剑刺圆盘的频率要低于每年一次。换句话说,SIL3的要求就是受控设备出现事故的概率应该是低于每一千年一次。面对这样严格的要求,在设计SIS的时候,我们不但要考虑技术能力能否达到,也要考虑应该采用什么样的质量工程技术保证SIS的可靠性和可用性。 ▎安全仪表系统(SIS) 物联网给功能安全带来的挑战 物联网技术为过程行业提速,功能和模块的变更将更加迅速,更加容易,但是更快的速度也意味着BPCS犯错的次数会更多。虽然SIS有着一整套行之有效的标准,但是每一次变革都会带来大量的工作,而且工作与基本控制系统的自动化不同,通常需要调动人力才能完成。 如果SIS与基本控制系统集成,采用同样的自动化变更方式,这样系统的灵活性可以得到一定的提升,但是会带来另外一个关键性的问题——独立性。一旦SIS的失效方式与基本控制系统的失效存在关联,就会出现所谓的系统性问题,即一个系统失效另外一个同时也失效。 按照如上圆盘的概念,如果两个圆盘很相似,也就是漏洞都出现在类似的位置,同时被刺穿的风险就大大增加了。因此,SIS和BPCS通常会采用不同的技术,避免使用相同的元素,比如操作系统、网络协议或者电路,从而减少共因失效的概率。 ▎物联网给功能安全带来的挑战 但是不管怎样,过程行业都应该做好准备实施各种物联网解决方案,我们需要思考如何适应物联网的灵活性以及建立与物联网兼容的工作流程,为此首先需要对现有的工作内容以及流程进行评估。 根据IEC 61511,首先我们要做过程危害与风险分析,然后是保护层分析,形成安全需求规范,之后进行设计和实施、测试及维护,当然在维护的过程中还要进行变更管理。纵览整个流程,其中只有设计和实施环节可以认为是与BPCS相同的,某些环节是SIS专属的,譬如危害与风险分析、保护层分析以及安全需求规格书,其他的环节测试、维护、维护及变更管理虽然类似于BPCS,但是细节上的区别却非常之大。 ▎增加功能安全灵活性 如果我们要提高效率、更加灵活,我们必须清楚SIS系统相关的工作流程是以功能安全为中心的流程。 面向物联网的智能安全管理平台 高 效 纵览整个安全仪表系统流程的每个环节的具体做法,不难发现,很多工作都是各自独立,采用不同的工具,甚至很多都是人工完成的,形成的文档格式及类型也是五花八门。工程师们为了提高效率,一般都会更倾向平台类工具,因为它们可以覆盖安全工程的方方面面。这样的工具,既可以做LOPA分析,也可以关注那些非安全需求,调用专门的功能数据库,将工程工具的功能转化成安全系统的工具。 基于唯一的平台,就意味着不需要各种独立的工具和文件,就可以将识别出来的危险与解决危险的方法全部关联起来,简化迭代流程,这样减少了实际工作量和人力成本,还能够提升工程质量。更为关键的是,可以轻松应对政府的审查。 针对SIS的平台工具主要有两个层面:第一方面为信息处理层,主要采用平台化的工具处理信息;另一个方面是功能安全层,需要使用功能安全相关的工程工具编程、配置安全系统。如果能够使用专门的功能数据库,调用很多之前信息处理过程中的测试和验证的数据,就可以大大降低这个阶段测试的工作量。 当然,测试和维护也需要纳入到两个层面的考虑当中,这样才能够自动获取关于安全系统运行状态的信息,可以验证一个低需求模式的系统是否的确处于低需求模式。比如说,如果传感器的预期失效频率是平均每十年一次,通过将维护数据输入到信息处理层,就可以进行验证,有必要时进行更改。平台工具可以设定安全系统的关键指标(KPI)并进行监控,这就是单纯的安全工程和风险管理的主要区别。如果可靠性指标存在不足,过程企业就可以采取行动以保证KPI的达成。 如上所述的平台工具及工程工具,不但适用于功能安全的流程,也同样适用于在其非功能安全的流程,譬如网络安全。这样企业就拥有了全局的、统一的风险管理系统。 经济安全 过程工厂的功能安全的投资,也分为两个阶段。在资本支出阶段,完成安全计划、风险分析、详细设计和试车。在运营支出阶段,需要考虑安全系统的维护管理、周期性测试和绩效评估。为了优化总体安全成本,应该尽可能让两个阶段的工作尽量相互重叠,我们称之为安全卓越,而实现这一理念的方法就是一体化风险管理——整合项目的投资和运营成本。 那么如何将投资和运营成本的整合落到实处呢? 以希马解决方案为例,所有产品采用了统一的安全区的理念,希马的功能安全层(特别是与之前所述的信息层)允许与外界进行数据交互,希马为此与MANGAN软件公司合作,引入其生命周期管理的平台化工具,该平台与希马安全区建立开放的、安全的通讯连接,这样就构成了优化资本支出和运营支出的基础。 首先,是面向功能安全的信息安全 物联网以开放性为特点,但是同时也面临网络安全巨大的挑战。希马掌握其所有安全系统的核心,99%以上的软件都是由自主开发,非常稳定和可靠。围绕产品核心,基于网络安全管理的标准及法律法规,我们针对其安全系统定义了网络安全环境和安全边界。同时,对于系统网络安全的管理也形成了独特的解决方案。我们的客户正在全世界运行超过35,000套系统,目前为止没有发生任何安全相关的事故。 其次,安全功能的智能化生成 将信息层的数据自动导入功能安全层,将信息层的因果表或者逻辑描述,转换为功能安全层可执行的功能块,在此过程中也可以对前期设计进行校验。 第三,智能逻辑测试 希马平台工程软件对所有的逻辑可以制定测试计划,逻辑完成后即可进行自动测试,自动形成测试文档,也可以减少测试的人为失误。 第四,智能回路测试 希马安全控制器集成HART接口,可以从HART设备读取诊断信息,并发送测试值给HART设备。结合上述的智能逻辑测试功能,就可以短时间完成大量HART设备的回路测试。 第五,智能绩效检查 使用OPC UA,可以安全地将功能安全层的数据实时反馈给信息层,以实现智能的绩效检查。 总而言之,面向物联网的智能安全解决方案,兼顾了网络安全性,在设计操作中也充分秉承了物联网智能、灵活、开放的理念,实现了同质化的安全工程以及基于云的安全工程工具的操作,充分整合投资和运营成本,让安全系统更加适应过程行业的发展要求,使得过程工厂更加兼顾经济、安全和效率。