6ES7231-7PC22-0XA0原装代理
新的数字技术现在可以灵活的把过程控制和安全仪表功能集成在一个常见的自动化设备上。虽然这可以提高生产率和管理效益,但是如果操作不当,就会危及工业操作的安全。所以,在过程工厂中使用者理解两者的区别就十分重要了。网络安全和一些破坏活动进一步强调了 SIS(安全仪表系统)的安全性。
当然,“通用平台”的解决方案,即为控制和安全功能使用相似的硬件和软件,可以论证,会对每个领域都会有不同程度的费用节省。但是,为安全和控制使用分开、独立、不同的硬件、软件是抵制经常发生的潜在灾难性后果和系统设计和应用错误的好方法,这一观点已经被广泛认同。
不同的供应商提供了不同等级的各式各样的解决方案。问题是,怎样才能提供一个不降低安全和控制性能,甚至可以增强功能和生产率的综合解决方案呢?还有,用户怎么才能划分出安全与控制的分界线呢?
这个答案可以基于Invensys近展开的一项聚焦化工、石油、天然气等过程操作公司的一些调查中得出。调查显示,在200名受访者中,78%的受访人士表示为了安全保护坚持严格的把安全和控制区分开。74%的受访者表明独立保护层十分重要,66%的受访者把这个看成一个重大问题。
在同样的调查中,只有8%的人表示,“差异”不是它们所关注的,同时89%的用户,他们选择系统时,控制和安全都非常重要。
这个调查的结果,结合了与世界范围内过程工业大量终端用户的深入讨论,清晰的表明,大部分用户在安全手段与过程控制系统上的区分是在维持独立层的保护与差异性上。
独立层保护的重要性
在国际安全标准(包括IEC61508和IEC61511)的核心,纵深防御和独立保护层的概念的基础就是每个层的保护,包括控制和安全层,都应该是完全独立的。这个基本要求的原因就是避免连带性的错误,小化系统错误,和抵制意外访问和网络攻击而进行的安全保护。把两层保护合并在一起,就可能引起安全隐患。
加州大学土木工程学院的一份新的研究显示,主管修建和监控飓风防洪堤的工程公司在20世纪70年代中期开始把他们的理念由安全转向了效益。飓风克特里娜在30年后的一次袭击中揭示了他们系统设计上的重大问题。在过程工业里,由于暂时的诱惑而跨过那条分界线的一些行为即把IPL合并起来,只能在未来重大的化学灾难事故中才能发现了。
那些发现自己已经站在这个分岔路口的过程工厂的用户,应该要全面了解通过合并独立保护层而在安全上的危害。保持这些层间的独立无疑是一条零妥协的道路,这条道路可以使风险降到低。
对安全标准的解释
性能所依据的标准,如IEC61508、IEC61511和ANSI ISA-S84.00.01-2004,旨在为蓬勃发展的工程设计领域开启一扇门。这些标准设置了一些性能指标,而不是规定具体的配置。问题就出在执行这些性能标准时断章取义或者只是选择执行。
一些控制系统供应商似乎毫无创造力。然而,除了在技术驱动下的过程安全,我们也应该使用数字技术在信息、预测维护和HMI水平结合起来。
IEC61511-1的第11.2.4号条款规定,BPCS(基本过程控制系统)应该是相互分开且独立的,其程度要达到SIS的功能完整性不受损。
一些自动化厂商却片面理解为标准没有要求物理上分开或是存在差异。
然而相同的标准IEC61511-1,条款9.5,要求防止关联性失败。条款9.5.2说明评估时应该考虑到(a)保护层之间的独立性(b)保护层之间的差异性(c)保护层之间的物理分离性(d)保护层和BPCS之间的关联性失败。
问题是,我们怎样遵循条款11.2.4而没有物理上的差异?IEC 61508和IEC61511也承认实际上无法评估一个软件的失败率,进而无法对系统失败进行量化。
试图解决分离性和差异性的问题,而且同时要提高可靠性和自诊断能力并不是一个正确的选择。只关注PFD,而在工程可靠性上减少对标准的依赖,本身不会完成安全性指标。在安全整体评估的过程中就会出现系统错误、关联性错误、软件错误。
ISA TR84.00.04的部分是对IEC615511的执行情况的一些解释。这个技术报告有很多好的建议,包括附件F中的F.4部分。
尽管没有人真的会置疑物理分离和多样性的优点,但是,有一些问题,譬如“我们能把这个标准的解释延伸多远呢?”。设计系统时,如果我们断章取义,而忽略整个标准的意图,是不会通过一个良好的工程实践创造一个安全的工作环境的。
“基于风险”与“以风险为指引的”制定决策的区别就是风险只能是决策时的一个输入条件,而不是解决办法。“纵深防御”才是一个安全设计的基石。
作为一个对过程安全负有责任的用户。他不应该忽视这样一个新的术语“功能完整且相互分离的安全和控制”。物理上的分离和多样性是保证完全分离的唯一途径。把控制和安全混淆只会使问题恶化,有时甚至会产生危险。为了灵活性或是低价格而牺牲安全性是不可取的。
关于分离性的其它应用标准的说明
除了上述讨论的性能标准以外,一系列专门的应用标准也将会实施。例如:
● NFPA 85—锅炉和燃烧系统危险等级标准 2001版-条款1.9.3.2.3对于独立性是这样要求的:“为锅炉管理执行安全功能的逻辑系统不应与其它任何逻辑混合使用”。
● API 14C-海洋石油生产平台基本表面安全系统的分析、设计、安装和试验。11页3.3和3.4章节指出“两个级别的保护层应该分开,另外,在日常操作中使用控制设备”。
● API操作规程建议554(1995)-过程检测与控制:“停车和控制功能应该相互独立并且在硬件上相互独立”
● IEEE 1993核电站安全系统的数字计算机标准准则7-4.3.2-“为了防止错误在安全通道和不安全计算机上传播,要考虑将安全和控制分离”。
● IEEE 1992标准384-1E级设备和电路独立性的判定标准“1E级电路在物理上要与安全系统设备分离,其分离程度要达到使安全系统在非安全设备失败时可以完成其职能的目的”。
如果你关心过程安全,SIS和BPCS之间的物理分离和差异性是一个很好的工程实践,有益于安全工作环境。
在SIL要求下安全控制融合的效果
控制与安全的结合可能会影响你的SIL(安全完整性水平)要求。例如,如果你使用LOPA或是其它的SIL分配算法,这些算法集成了外层的保护优点,这些优点可以使控制系统更加完整并减少了SIS的一些要求。我们必须要对工程重新进行评估。
一个控制/安全集成的系统已经跨越了各层分离和独立界线,因为在控制系统中内置了相同的SIS逻辑解决方案,或是使用了相同的操作系统。这就会产生系统设计和连带性错误,这会导致BPCS层所采取的独立性措施无效。底线是安全手段的功能完整性可能会有一些妥协。
如果HAZOP/SIL决定某个安全功能需要SIL2,作为一个IPL,BPCS不会得到任何好处,新的分配有可能因为安全功能而增加新的要求(SIL3)。
在这种情况下,任何由于把安全和控制集成起来所得到的性能都会一笔勾销的。事实上,如果增加新的现场测试来满足SIL目标,花费有可能还会增加。
我们都十分警惕黑客、病毒。木马、蠕虫等入侵防火墙、破译安全密码、破坏计算网络系统。
把安全系统和控制系统融合到一起,结果就会连接到LAN或是WAN,这样也会增加危险指数。
通过网络连接进行远程进程监控、远程诊断、维护和评估管理已经成为一个有效的工具。然而,密码和防火墙只是黑客们的一个暂时挑战,花费一定的时间和精力,他们就会破译。安全系统,作为防御的好一道防线,需要被很好的保护起来。在澳大利亚昆士兰州的一个计算机化的废品处理工厂,一个系统承包商由于不满该工厂不再选用他继续承包而对废品处理厂进行破坏。这个黑客把上百万加仑的未处理的污水转道流入排水沟和河流。
内部人员、不满的员工、网络黑客和恐怖分子都是过程工厂的实实在在的威胁,2005年10月4号,亚洲某媒体报道的公司新闻里说,南韩的500名计算机黑客为了要入侵北韩、美国、日本的计算机系统而接受5年的军事院校的培训项目。
即使再多的防火墙和入侵检测系统也是不够用的。所有的系统都是脆弱的。没有什么是安全的,只有通过各层的保护。
问题:
怎样才能提供一个综合的解决方案具有更高的性能和生产率而不损害安全性呢?
大多数化工、原油、天然气工厂(上述调查中所涉及到的)工厂操作人员认为,只有严格保持过程控制和安全手段之间物理的分离和差异,促进在信息、诊断、配置和HMI水平上的安全性的结合才能做到。这才是划出分界线的地方。过程工厂应该对自动化供应商的要求应该是在这个水平上的融合。
把SIS嵌入到控制系统的做法和这项技术虽然旨在功能上的融合,但是却带来了系统及连带问题和一些网络安全问题。
另外,任何等级上保护层的融合都会在SIL的安全仪表功能上带来不好的影响。
用户也不会在他们的工厂上牺牲安全利益。
底线就是独立保护层需要充分独立。
1. 引 言
随着铁路运输朝着高密、重载及高速的方向发展,既有的车站铁路信号联锁装置已无法适应铁路信号对可靠性与故障——安全性的更高要求。就技术方面而言,铁路信号系统已经历了机械联锁、电气联锁(继电联锁)等二个阶段,目前在我国干线铁路或企业自备铁路上所使用的联锁系统绝大多数仍为继电联锁系统。70年代末期新型微处理器的出现以及容错理论与技术的逐步完善,激励人们以微型计算机为核心构成计算机联锁系统。
但是常规的计算机控制系统并不具有故障——安全特性,也即不具有辩别外部输入信息的正确与否或在系统故障时能将系统导向安全的能力,在应用中受到了极大的限制。目前在我国干线铁路上装备的计算机联锁系统大多系国外铁路信号公司的容错计算机信号控制系统,其价格相当昂贵。因此近年内国内不少铁路行业科研院所都将研制故障——安全的铁路信号控制系统作为近期的主要工作。
2. 铁路信号计算机联锁系统的性能要求分析
2.1. 计算机联锁系统的基本结构
由于计算机联锁系统的综合性能远远超过继电联锁系统,因此车站联锁系统由继电装置向计算机联锁系统转化已成为一种不可扭转的趋势。具体来说计算机联锁系统的优势主要表现在适时性、安全性、可靠性、可维护性及性价比等若干方面。
计算机联锁系统是利用目前已有的工业控制计算机,研制一套专用的硬件与软件系统实现信号、进路与道岔间的联锁关系,因此它实质上是一个满足故障——安全信号原则的联锁逻辑运算系统,计算机在系统中的作用是将操作命令与现场各种输入的表示信息读入,再根据计算机内部状态等条件进行逻辑运算,判断后输出控制信息至执行机构,实现多变量数字输入和多变量数字输出这样一个复杂传递函数的变换,图1是逻辑运算系统的原理图。
图1 联锁逻辑运算系统原理图
2.2. 实时性要求
联锁系统必须不失时机地采集到输入变量的变化情况,及时刷新站场各类表示信息,及时输出道岔和信号的控制命令,而且对涉及安全(危险侧[1])的控制命令必须以具有故障——安全特征的形式输出。
2.3. 可靠性与故障——安全性
信号联锁系统是一种实时控制系统,它必须是高可靠的,通常继电联锁系统在采取预防性维护措施的前提下其MTBF可达1.3×105h[2](约15年),采用工业级的控制计算机与容错技术完全可以达到并超出这一指标。
具体来说,对计算机联锁系统而言必须解决两个主要问题。
系统内信息传递的可靠性与安全性:鉴于工业计算机自身不具备故障——安全特性,因此系统内传递的信息也不具备安全性,受各种干扰、辐射以及各类故障的影响, 信息畸变在所难免,从而造成逻辑运算错误而可能引发危险侧输出。
系统内信息变换及逻辑运算的安全性:就联锁程序而言,无论设计调试方法多么严密也很难排除所有隐含的缺陷,这就要求必须引入避错及容错机制使故障形成的危险侧运算结果输出的概率达到规定的要求。
2.4. 结构模块化与标2.5. 准化
铁路站场的规模与作业需求不尽相同,因而无论是硬件还是软件都必须具有模块化结构特征,硬件模块化、软件真正实现程序、数据的有效分离。
2.5. 经济性
计算机联锁系统取代继电联锁系统的另外一个重要原因是为了降低系统费用成本,一般来说系统费用表现在设计、制作、施工、调试以及建筑费用上,因此计算机联锁系统必须在以上若干方面充分显示其优势。
2.6. 功能扩展
旧有的继电联锁系统只能提供基本联锁功能与操作界面,新型计算机联锁系统除此之外,还应具有故障诊断与分析、重演、远程通信及其他管理功能。
3. 总体设计方案与关键技术
笔者在认真分析了计算机联锁系统的性能特点以及对故障——安全性的特殊要求基础上,提出了适合于企业自备铁路使用的系统体系结构并实际运用于扬子石化公司二个自备铁路站场(道岔总数量约为80组,属大型编组站场),该系统被命名为HJ04A铁路信号计算机联锁系统,以下简称HJ04A系统。
3.1. 系统结构与工作原理
从HJ04A系统的体系结构来看属于二级集散式控制系统(系统结构详见图2),突破了旧有的集中式信号系统模式,具有模块化、层次化等特点。模块化是指联锁机主模块、PLC及信号结合模块等,层次化是指系统具有操作表示层、联锁运算层、复核驱动层、结合电路层及监控对象层等五个物理层次。这种结构的优点在于可根据车站规模的大小、作业需求的不同,在不改变联锁软件的基础上通过修改站场静态数据并增设相应硬件模块,即可满足系统的扩容要求,先进的控制体系结构结合工艺设计使得系统调试周期与现场施工、开通周期均大为缩短,具有很好的经济与实用性。
3.1.1. 人机对话层
将来自键盘、鼠标等操作输入,经串口送达联锁计算机,同时在图形显示器上显示站场表示信息。在站场规模较大致使联锁计算机负担较重或需要多终端操作的情况下,可设置操作命令采集机进行操作命令输入的有效性判别并转换成约定格式传送给联锁计算机。
3.1.2. 联锁运算层
联锁微机是系统的核心部分,承担着操作输入的判别、联锁信号的调理及分析、逻辑运算、控制命令生成、故障诊断等任务,其可靠性、安全性对系统的总体故障—安全性能有较大影响,HJ04A系统中设置了两台联锁微机,其中一台为冷备机,可进行人工切换。
3.1.3. 复核驱动层
复核驱动层由PLC组成,其承担着采集表示信息并将联锁微机下达的操作命令转化为故障—安全的控制信号的任务,作为系统安全性设计的重要环节之一,PLC还承担着对联锁微机形成的操作命令进行复核检查的屏障作用。
3.1.4. 结合电路层
结合电路的任务之一是实现现场监控设备 表示信息与PLC输出的驱动信号的安全逻辑转换,使PLC的输入、输出信息均具有故障—安全性能。
任务之二是用专用电路规范监控设备的测控过程,即包括表示信息采集机制与设备驱动流程。
3.1.5. 监控对象层
监控设备是指联锁系统的现场设备,即道岔、信号机与轨道电路。
3.2. 可靠性及故障—安全设计
目前,国内外进行高可靠系统的容错设计多采用三模静态冗余方案或二模动态冗余方案。其中前者完全是靠硬件冗余来提升可靠性的,后者则不仅使用了硬件冗余资源,同时也使用了故障检测技术与软件冗余资源。这二种方案的共同特点是对硬件故障具有较强的屏蔽与纠错能力。然而这二种方案均存在一定的实现难度与缺陷,三模冗余系统必须实现三模的同步进程及表决器的高可靠设计,尤其需要解决时钟容错的问题;二模动态冗余系统则要求冗余管理机构的高效与可靠性。目前这二类系统的可靠性计算都是在设定表决器或冗余管理机构的可靠度R(t)=1的基础上进行的[3],同时由于设备直接投资成本过高,因而在非航天、通讯等可靠性要求很高的领域应用不多。
在铁路信号领域,由于行车安全被认为是超过效率的重要考虑,因此相应对计算机联锁系统的可靠性与安全性要求很高,针对这种情况,可以有二种方式供我们在设计中进行选择。其一是强化系统的可靠性设计,这是基于可靠性理论包含了系统故障的屏蔽效应,因而用高可靠性换取系统的低故障率,以此隐含了对安全性的相对提升。但可靠性技术总是受一定的条件所限制,如硬件冗余资源使用、采用高可靠器件等,这完全取决于系统的可靠性要求及财力许可。其次我们可以基于这样一个思路来考虑问题:如果计算机联锁系统在保证一定可靠性要求基础上并结合故障—安全技术来得以实现,实质上也就是说牺牲少量的效率来避免昂贵的成本并换取系统的高安全性,同样也能满足铁路信号对联锁系统的性能要求。
图2 HJ04A计算机联锁系统结构
图2所示的HJ04A计算机联锁系统实质上是一个具有冷备联锁微机的单模(联锁机)系统,但可以设想:在系统可维护性较好并能使其平均故障恢复时间MTTR尽可能缩短的情况下(HJ04A系统结合故障诊断及模块化设计技术,MTTR通常小于2分钟),HJ04A系统在联锁微机级模块相当于二模动态冗余系统。
基于以上考虑,HJ04A系统的关键技术设计中主要融入了以下思想及技术措施。
3.2.1. 结构模块化、标准化,便于系统扩展并提高可维护性
HJ04A系统的硬件结构模块化设计主要体现在联锁机、PLC及安全信号结合电路的组合等三种主要设备或部件上。
HJ04A系统的标准化设计主要体现在联锁软件与结合电路上。联锁软件可以适应不同站场规模、不同作业要求;结合电路则可针对室外设备的不同类型具有通用性与兼容性。
3.2.2. 系统故障诊断与安全导向
HJ04A系统采用单模二级复核式容错结构的一个重要实现基础就是系统必须具有强大的故障诊断功能,只有这样才能保证系统在故障状态下的安全导向与快速维修响应速度。
联锁系统的硬件故障通常表现在联锁主机、PLC与结合电路模块、工作电源等设备上,软件故障表现为程序跑飞、技术条件错误、通信异常等。这些故障的表现方式及造成的结果不尽相同,有些故障可以及时发现,有些则难以识别;有些故障仅影响系统工作但不至于危及安全,而另外一些故障则可能造成危险侧输出。因些应当区别对待并采取相应的处理方式。
联锁系统的故障层次可被总结为逻辑层、数据层及系统层等三个层次上,其故障表现不尽相同但互为交叉,因此需针对不同的故障表现采取不同的故障诊断方法,故障确诊后再使用相应的故障处理措施以使系统导向安全或及时报警提示。
3.2.3. 变换联锁信号的逻辑表达形式
在联锁系统中,与安全相关的信息是由具体的硬件设备的状态来表达的,这些硬件设备一般存在二个逻辑状态(指数字量),其中一个状态代表安全侧信息,另一个状态代表危险侧信息。根据故障—安全原则,凡是参与传递、存贮、处理和产生非安全信息的硬件设备故障时,必须以极大的概率导向安全侧状态,这就必须使电子电路的输出具有故障不对称性,也即在电路故障时输出安全侧的概率占压倒性优势。显然常规的电子电路与逻辑表达方法难以满足需求,其基本原因是“s-a-0”与“s-a-1”二种固定逻辑型故障是基本对称的。因此需要变换联锁信号的逻辑表达形式以及相应的电路结构才能实现。在HJ04A系统中,我们总结并采用了动/静形式结合相位判断的安全逻辑变量表达形式,也即用“脉动电平逻辑”表达设备的危险侧状态信息,很好地满足了联锁系统对安全逻辑的容错要求。
3.2.4. 算法冗余
联锁系统的系统层故障表现为产生了不正确的输出控制命令(包括危险侧控制命令),控制命令的错误有二种可能引发的原因。
系统中传输、存贮过程中的信息畸变必将体现在逻辑运算变量中, 从而 造成逻辑运算错误, 这一点已在前面介绍的3.2.2与3.2.3条中有过描述并提出了相应的解决方案。
联锁或PLC复 核软件出错一方面有可能是由各自的CPU或所使用的指 令引发的, 但更多的是被转化为程序的任务、技术条件的错误。因此, 能够识别技术条件的错误, 也就能预防由此而 引发错误运算结果的输出。
基于“同样一个数据变换调理错误或程序错误(性或暂时性)在二套算法不同的程序中同时出现的概率极小”[4]这样一个基本认识,HJ04A系统的控制命令生成采用了二级运算结果的一致判决机制,也就是双份软件判别机制。
表1显示在联锁、复核二级程序中所使用的不同技术备件与硬件、软件平台,由于联锁、复核二级软件不仅所处的物理空间不同、使用的编程语言不同、参予运算的逻辑变量不同,而且各自所使用的技术条件也完全不同,从而有效地解决了因系统硬件故障或软件出错而带来的系统安全性问题。
4. 总 结
由扬子石化公司与合肥工业大学合作研制开发的HJ04A铁路信号计算机联锁系统除已在扬子石化二个编组场成功应用外,目前又在冶金系统内西宁钢厂、鞍钢、包钢等国有大中型企业进行推广,具有较好的应用前景。总结起来,在HJ04A系统中我们已经建立了一整套运用于企业自备铁路使用的信号联锁系统技术解决方案并重点解决了以下几个问题。
4.1 在单模控制体系结构中,通过对铁路信号的深入分析,较为完整地建立了铁路信号联锁系统的故障模型并提出了相应的故障诊断与安全导向方案。
4.2 在企业自备铁路信号领域内较早采用了二级集散式控制体系结构,即采用联锁、复核二级检查机制,有效地解决了因CPU与编程语言缺陷、算法与编码错误而有可能带来的系统错误输出问题。
4.3 采用变换联锁信号的表达形式来解决系统的I/O接口安全性问题,研制了一整套故障—安全的结合电路,有效地防范了“s-a-0”或“s-a-1”固定逻辑型故障对系统整体安全性的破坏。
4.4 联锁、复核二级用户程序均有效实现了程序、数据分离的设计思想。
4.5 建立了一套量化计算联锁系统可靠性与安全性的评价体系。
但正如在HJ04A系统的鉴定意见中专家们的建议那样,HJ04A系统的设计定位仅仅只放在了企业自备铁路上,如果真正欲使该系统在应用面与技术水平上更进一步,还需在系统可靠性设计上进行重新定位;对部分目前少数仍在使用的触点型安全型继电器进行全电子化设计,我们将在后期的研究中努力予以实现。