数字技术的深化应用为避免安全事故发生或降低事故损失发挥了重要价值。不仅如此,工业安全中还有一项更重要的技术及管理手段,即功能安全。那么,什么是功能安全?实现功能安全的关键技术有哪些?功能安全发展现状与趋势如何?这些都是值得深思的问题。
本文撰写过程中请教了贝加莱工业自动化(中国)有限公司技术传播经理宋华振老师,在此表示感谢!
以下是正文:
在《
数字技术助力工业企业构筑安全生产的“钢铁长城”》一文中,我们谈到,数字技术的深化应用为避免安全事故发生或降低事故损失发挥了重要价值。不仅如此,工业安全中还有一项更重要的技术及管理手段,即功能安全。
功能安全始终贯穿着制造现场的设备安全运行,它关注于人的生命及设备运行的资产安全。那么,什么是功能安全?实现功能安全的关键技术有哪些?功能安全发展现状与趋势如何?这些都是值得深思的问题。
一、源起:什么是功能安全?
“功能安全”的概念还得追溯到20世纪70--80年代。彼时石油化工行业安全事故频发,事故危害力极大,且大多是由于相关系统自身的安全功能不完善导致的。例如1976年的赛维索剧毒化学品污染事件,是由于化工厂的TBC(1,2,3,4-四氯苯)加碱水解,反应放热失控,引起压力过高导致安全阀失灵而形成爆炸;1984年的博帕尔工业毒气事故,是由于装有45吨异氰酸甲酯的储料罐的压力过大,自动安全阀失灵,用于预防不测和减小损失的安全设置也失效导致的……人们逐渐关注“功能安全”。
据国际通用的功能安全标准IEC 61508定义,功能安全为与受控设备(EUC)和受控设备系统有关的整体安全的组成部分,它取决于电子/电气/可编程电子器件安全相关系统、其他技术的安全相关系统以及外部风险降低设备的功能正确执行来保证。通俗地说,针对特定的危险事件,为实现或保持 EUC 的安全状态,通过采取功能安全相关措施来管理和控制工业领域内安全相关系统的正确执行,将安全问题转化为风险问题,使得失效风险达到可接受的状态。而在功能安全技术体系中有几个关键性的内容:
安全生命周期:实现功能安全的第一步应该建立完整的安全生命周期管理体系,确保所有活动都是按一个有计划的系统的方法进行管理的。它不仅仅覆盖安全相关系统的设计,还包括安全相关系统规划、安装、调试、运行、维护、停用等所有的一系列步骤和活动,如图1所示。
这个完整的过程必须是经过安全认证机构严格认证的,并在法律意义上可被追溯,具有所有的“可追溯记录”。
图1 安全生命周期(IEC 61508电气电子可编程功能安全标准第一部分)
风险评估:风险评估是实施功能安全管理的前提,在安全相关系统设计初期,所有的潜在的可能必须被考虑在内。其中风险(R)是指危害发生的概率(P)和危害严重性(S)的组合,即R=P*S。对于导致严重后果的危险事件的发生概率,必须降到可接受的水平;对于后果较轻的危险事件的发生概率可以相对略高。
安全完整性等级:风险评估的结果用于确定安全相关系统所需的安全完整性等级(safety integrity level, SIL)。IEC 61508 将 SIL 分为四个级别(SIL1-SIL4),SIL 级别越高,安全相关系统不能实现所要求的安全功能的概率就越低,如表1所示。应该为每个安全相关系统确定适当的 SIL,并通过定量分析来验证是否达到了 SIL 目标。如果 SIL 高于实际要求,则会造成资源浪费,如果 SIL 低于实际要求,将导致一定的风险,即当发生危险事件时,安全相关系统将无法提供相应的保护。
表1 安全完整性等级划分标准表
二、探索:实现功能安全的关键技术
通常,为实现功能安全,需要传感器子系统、逻辑控制子系统、安全通信通道、执行单元子系统等部分共同协作,如图2所示。即由传感器单元感知特定的物理参数(温度、压力、距离、位置等),通过安全通信通道将信号传给逻辑控制单元,然后逻辑控制单元将检知的参数值进行计算比较,判断状态是否正常,最终通知执行部分实施恰当的安全措施,如停止运转、紧急停车、启动安全装置、向人员发出警报等等。
图2 功能安全系统组成
1、传感器子系统
传感器子系统作为主要的检测装置,是一个能把物理量、化学量、生物量等转换成便于利用的电信号的器件。在传感器子系统中,安全传感器是符合功能安全标准且经过第三方机构认证了的传感器,除了能够实现基本的功能外(感知特定的物理参数),安全传感器还需保证系统在出现故障的情况下仍然能够安全。通常,安全传感器的主要产品有安全开关、安全光栅等。
其中安全开关即安全门开关,包括插销式开关、磁性安全开关、编码式安全开关、安全门锁开关、安全拉绳开关、紧急停止按钮、绞链连锁开关、安全使能开关、安全限位开关、防爆开关等,是一种可在所有安全条件得到满足以前防止人员进入危险区域的开关。
安全开关由相互独立的两部分组成:开关本体和开关的操动件。安全开关的工作原理是,当安全防护门打开时,开关操动件被从开关本体中拉出,此时开关内的常闭触点会通过一个机械反弹装置断开,切断控制电路,以防止事故发生。
安全光栅即安全光幕,又称光电安全保护装置、安全保护器、红外线安全保护装置等,是避免人员接近移动机械或误入危险区域的一种光电设备。
一般而言,安全光栅成对存在,分为发射端和接收端。安全光栅的工作原理是,发射器发出红外线,由接收器接收,形成光幕,当有物体进入光幕中,通过内部控制线路,受光器马上做出反应,控制设备进行停止或者报警等动作,保障作业人员的人身安全以及设备的正常安全运作。
2、逻辑控制子系统
逻辑控制子系统作为实现功能安全的重要部分,主要用于执行功能逻辑的决策和转换部分,它可以根据输入信号的状态进行逻辑判断和控制输出信号的状态。该子系统的部件必须符合功能安全基础标准 IEC 61508的要求,通过预先设定的控制逻辑使系统处于安全状态,并检测出故障类型及故障所在位置。通常,逻辑控制子系统的主要产品包含安全继电器、安全PLC等。
安全继电器是一种典型的安全功能电控制器件,当输入的信号不在安全范围内,安全继电器会瞬时做出反应。与普通继电器相比,安全继电器采用冗余的双通道设计,为的是要能互补彼此的异常缺陷,达到正确且低误动作的继电器完整功能,使其失误和失效值愈低,安全因素则愈高。此外,在硬件上,采用经验证的可靠的电子元器件,继电器模块采用了强制导向接点的特殊设计,在发生接点熔结现象时也能确保安全。在软件上,采用了多种程序可靠性设计方法,并且能够通过软件对可以预见的故障进行检测。其工作原理是,在工作过程中,只要双通道中任一通道信号断开,安全继电器都会停止输出,直到两个通道信号都正常且复位后才能正常工作,以确保输出信号的正常。
安全PLC(Programmable Logic Controller)是指在自身或外围元器件或执行机构出现故障时(包括通信中断、急停被按下等预设紧急状态),依然能按照既定的安全逻辑动作正确响应,有序停机,并及时切断输出的可编程系统,专门为关键控制系统和高安全要求系统的安全应用而设计。与普通PLC相比,安全PLC的元器件采用了冗余多样性结构,内部CPU数量至少两个或者多个,可同时对同一个程序中的逻辑运算、算数运算、通讯功能等各执行一次,并将其结果进行比较和校验,当结果一致时才进行输出,如果不一致则不输出或者停机,从而实现安全控制功能。此外,在软件方面,安全PLC提供的相关安全功能块,如急停、安全门、安全光栅等均经过认证并加密,用户仅需调用功能块进行相关功能配置即可,保证了用户在设计时不会因为安全功能上的程序漏洞而导致安全功能丢失。
3、现场总线功能安全通信
随着现场总线和现场总线控制系统的广泛应用,安全相关系统也逐渐采用了现场总线通信技术,而现场总线功能安全通信可以理解为具有功能安全特性同时又满足工业现场总线要求的安全通信过程,
即在工业自动化领域中,通过现场总线技术实现对安全相关设备之间的通信和数据交换,同时增加安全通信层,使其达到相应的SIL要求,避免信号传输过程中由于数据失真、帧丢失、中断等原因引发的通信异常,确保在工业控制系统中的安全设备(如安全传感器、安全执行器等)之间的可靠和安全的通信,以实现对工业过程的安全监控和控制。
4、执行单元子系统
执行单元子系统是按照逻辑控制子系统输出的指令驱动现场设备运行状态发生变化,从而达到控制被控对象的目的。例如安全阀门就是典型的执行部件。安全阀门是当设备或管道内的介质压力升高超过规定值时,通过向系统中的一部分气体/流体排入大气/管道外,来防止管道或设备内介质压力超过规定数值的特殊阀门,主要用于锅炉、压力容器和管道上,控制压力不超过规定值,保证系统不因压力过高而发生事故。安全阀一般直接安装在特种设备上的,其设计、制造、安装、使用、检验等不仅要符合特种设备相关规定的要求,还需要满足功能安全的相关标准,因为它的动作可靠性和性能好坏直接关系到设备和人身的安全,并与节能和环境保护紧密相关。
例如锅炉燃烧控制系统,通过压力探测器、火焰感受器,在检测到锅炉压力过高或发生火灾时执行安全阀门动作,自动开启排汽泄压,防止压力继续升高同时能发出音响警报,警告司炉人员,以便采取必要的措施,降低锅炉压力,以保证锅炉及汽轮机的安全。
也就是说,当生产工艺异常时,安全相关系统将采取适当的动作和措施,阻止被保护对象进入危险状态,保障生命财产安全。
为实现功能安全,这些组成部分都是经过验证的并且具有可靠性,一般情况下不会出现故障,即使由于系统性失效和随机硬件失效而引起的安全功能危险失效率也会被控制到一个极低的水平。如上述的锅炉燃烧控制系统中,可通过故障假设/检查表(What If/Checklist)、失效模式和影响分析(FMEA)、危险和可操作性分析(HAZOP)、故障树分析(FTA)、事件树分析(ETA)等方法评估风险,并对系统进行SIL定级,再将SIL等级分解到传感器子系统、逻辑控制子系统和执行单元等子系统中,确认每个系统的失效率,对比所规定的SIL,判断系统的SIL是否达到要求,若达不到要求应对安全相关系统进行改进,直至要求时失效概率能够满足对应的SIL。
三、落地:功能安全应用场景广泛
随着IEC 61508的普及,不同行业的功能安全标准也相继推出。例如流程工业领域的IEC 61511、核工业的IEC 61513、机械行业的IEC 62061、铁路的EN 50126/8/9、汽车行业的ISO 26262等(如图3所示),国际功能安全标准体系逐渐形成。在我国,机械工业仪器仪表综合技术经济研究所(ITEI)将国际先进的功能安全技术引入,于2005年成立功能安全专业团队(功能安全中心);2006年等同采用国际标准IEC 61508中国国家标准GB/T 20438-2006发布;2007年,等同采用国际标准IE C61511的中国国家标准GB/T 21109-2007发布……(如图4所示)
图3 国际功能安全标准体系
图4 国内功能安全标准体系
如今,功能安全技术的应用已渗透到石油、化工、铁路、机械、汽车等不同行业,也随之衍生出了不同类别的安全相关系统,例如安全仪表系统(SIS)、列车自动保护系统(ATP)、电池管理系统(BSM)、生产线紧急停车系统(ESD)等等。
1、石油化工功能安全
石油化工行业具有易燃易爆、有毒有害、高温高压、低压负压等危险,在生产过程中当某些工艺参数超过安全极限,未及时处理或者处理不当时,极易发生火灾或爆炸事故,造成人员伤亡、设备损坏、环境污染等恶性事故。
石油化工的功能安全采用IEC 61511标准,依赖于安全仪表系统和其他保护层正确的实施其功能,如图5所示。即通过良好的设计和控制系统降低风险概率,通过关键报警和工作人员响应、安全仪表系统防止危险事故发生,通过泄压设备、消防设施以及全场紧急响应减小事故的严重性。其中安全仪表系统的作用举足轻重,由传感器、逻辑控制器以及最终元件组成,主要用来监视工艺过程的状态,判断危险条件,并在危险条件出现时按照预先设定的程序,及时输出安全保护指令,使工艺过程或生产装置回到安全状态,防止任何危险恶性事故的发生。通常采用保护层分析法(LOPA)来确定SIL等级,依据企业可接受水平、过程固有风险等来确定安全仪表系统所需要的SIL等级,再将整体SIL等级分配至传感器、逻辑控制器以及最终元件等子系统中。
图5 石油化工功能安全保护层
2、轨道交通功能安全
在科技创新的强力驱动下,轨道交通飞速发展。而对于轨道交通行业而言,任何自动化和智能化的前提都是对于安全的苛求,如果轨道交通信号系统等安全相关系统一旦发生危险故障,将会导致重大的生命财产损失。
因此,轨道交通行业通过引入国际标准、沉淀行业优秀经验等一系列技术手段和管理手段,促进轨道交通产品的功能安全,以保证列车行车的安全性。例如,列车自动保护系统(ATP)是轨道交通行业实现功能安全的核心保证,其功能安全为列车超过规定速度时即自动制动,当车载设备接收地面限速信息,经信息处理后与实际速度比较,当列车实际速度超过限速后,由制动装置控制列车制动系统制动。
目前行业内通用的安全标准是以IEC 61508为基础形成的EN 50126、EN 50128、EN 50129等,需要满足SIL4的安全等级要求,即最高安全等级。
图6 列车自动保护系统 (ATP) 结构示意图
3、汽车行业功能安全
不仅轨道交通苛求安全,随着汽车产业朝着“新四化”趋势不断深入发展,车内传感器、控制器、执行器等各类电子部件越来越多,这些电子部件都存在系统性失效和随机硬件失效的风险,因此相应的功能安全也越来越受到重视。
其中,汽车行业的通用功能安全标准是ISO 26262。为满足汽车行业功能安全的要求,车载电子电气系统在检测到潜在的危险情况时,需要启动保护或纠正装置,以防止发生危险事件或提供缓解措施以减轻危险事件的后果。例如在新能源汽车中,与电池相关的安全事故频发,大多原因在于纯电动汽车发生碰撞导致电池挤压变形从而短路,而电池组未及时断电,进而引发火灾。针对这种情况,电池管理系统(BMS)可以进行冗余设计,通常是同时使用两个独立执行模块,尽量缩短碰撞信号的采集、确认以及执行器执行整车切断高压电指令的时间,只有响应时间越短,系统安全性才能越高。
图7 供电冗余架构设计(图片来源:汽车功能安全发展趋势)
4、工业机械功能安全
在现代化的工厂生产车间,需要大量引入机械设备以满足生产工艺及自动化的需求,如压缩机、数控车床及工业机器人等。随着这些机械设备复杂程度的提高,安全风险也在随之增大,由此产生的功能安全技术已经作为现代化制造加工过程中降低风险和保障安全的有效方法,正得到越来越多国内外企业和相关从业者的重视。
以在机器人等电机控制装置中为避免出现危险状况而使电机停止工作的情况为例,图8是以通过 MCU 控制电机旋转的系统作为采取功能安全措施的例子。为了实现功能安全,首先要进行风险评估,即分析与装置相关的风险,并研究相应的措施,而功能安全的装置(安全装置)能够通过电子电路等,实现以风险评估结果为基础制定的安全措施。在这里,功能安全与传统安全装置之间存在很大差异,
即“安全装置”需要根据 IEC 61508、IEC 62061、ISO 13849等国际标准进行标准化,使“安全装置”规格的合理性能够通过客观,定量的方法来实现。
图8 功能安全的电机驱动装置结构示例(来源:瑞萨电子有限公司)
除了上述的应用行业与场景外,功能安全还广泛应用于危险工艺装置的紧急停车系统、消防灭火的火气系统、机床的防护联锁和紧急停车系统、有毒气体检测、气体燃烧器管理、起重机自动安全锁定指示器、危险化学品运输应急保障系统等众多行业场景。
四、未来:功能安全“任重道远”
虽然越来越多的行业和企业开始重视和应用功能安全,但是功能安全推进“任重道远”。
1、功能安全不是“产品概念”
一块木板(单个产品)无法确定能否实现装水的功能,但是若干块足够长的木板(单个产品)组合在一起做成一个木桶,就可以实现装水的目的。而根据“木桶原理”,一只木桶能盛多少水,取决于其中最低的那块木板。
功能安全也是如此,它不是“产品概念”,而是“全系统、全生命周期的概念”。例如某个产品达到SIL3等级认证仅代表这个产品满足认证所要求的电气器件设计的安全要求,不代表系统的安全等级是SIL3,还需要从系统风险评估、方案确定、设计、测试、仿真、运行、升级、维护全过程综合考量其他技术和产品的安全等级,然后根据“木桶原理”,整体安全水平由安全级别最低的部分所决定。
2、安全与效率要平衡
众所周知,安全是生产工作的生命线,而良好的生产效益是安全生产的目的,两者缺一不可。
不仅要确保人身安全,同时也要让生产能够处于连续状态,因为对于工厂而言,停机意味着在制品的损失,以及机器重启所需的设置与测试带来产品的浪费,因此,要综合考虑安全与效率问题。这些可以通过安全功能来实现:例如,机器的安全运动控制STO(安全扭矩切出),当人进入危险工作区域(如裁切刀),电机会停止于当前位置(保留位置信息),在人离开危险区后,继续从原有状态工作,确保不会造成在制品的损失;或者如SLS(安全限制速度)为系统提供一个预先设置的限速,当人进入工作区间时机器的速度降低至较低状态,确保人身安全,但是生产不会完全停机。
3、安全技术是进入市场的壁垒
目前,国外从产品测评、认证到功能安全应用已经建立了一套完整的功能安全应用体系,并从功能安全软件产品、硬件产品、安全集成系统、工程咨询、检测认证以及培训等其他服务形成了完善配套的功能安全产业链。而我国在功能安全理论、技术方法和标准的研究制定等方面起步较晚,目前相关的研究工作主要还处于引进、消化、吸收并实时跟踪国外最新发展动态阶段,与国外差距还很大。
而随着国际市场对于功能安全要求愈发严格,国产设备若想要进入全球市场,安全技术会成为潜在的市场进入壁垒,这也是欧美日本等工业发达国家强调安全技术的重要性的原因,不仅仅是出于安全考虑,也是出于市场考虑,因此,需要未雨绸缪地实现对安全技术的研发与应用。
总结
总而言之,功能安全是一个复杂而又庞大的体系,无论是石油化工、轨道交通还是汽车、机械都有涉及,并且这些领域还与我们的生活息息相关。尽管目前功能安全的发展还存在诸多问题和挑战,但是随着越来越多的行业和企业对功能安全技术的持续探索,未来功能安全技术必将成为让世界更为安全的基石。
参考文献
[1] 宋华振.运动控制领域的机器安全技术[J].自动化博览, 2014(2):24-26.DOI:10.3969/j.issn.1003-0492.2014.02.019.
[2] 包伟华,张浩.功能安全标准与技术的研究[C]//第八届工业仪表与自动化学术会议.0[2023-07-10].
[3] 孟邹清.第一讲 新工业形态下功能安全技术发展及安全一体化概述[J].仪器仪表标准化与计量, 2020(1):5.DOI:CNKI:SUN:YQBJ.0.2020-01-012.
[4] 付莹莹,孙德龙,王胜放等.汽车功能安全发展趋势[J].重型汽车, 2022(3):2.