在工业控制自动化领域,我们最常讨论的安全标准就是IEC 61508,它是一种基础性的工业安全标准,具有最为广泛的影响力和指导性。我们的话题也就在于此。
最近CEC记者在机器安全话题上对风河公司的采访中,风河公司工业控制认证领域项目资深专家Andreas Buchwieser先生介绍:“IEC 61508是一种功能性安全的标准,其目标就是设备在自动化控制条件下,防止任何对人员造成伤害的可能发生,这里既包括对人身的物理伤害,也包括对人健康的直接或间接的伤害。在其之上,还有各种衍生的行业性强,安全程度要求更高的标准分支。”企业在其控制系统满足IEC 61508能为其带来哪些优势呢?Andreas列举了包括日本福岛核电站核泄漏的若干国际性的重大生产事故,而这些事故背后的问题正是他要说明的关键:“如企业的自动化产品满足IEC 61508标准,就能证明产品(系统)自身不存在因设计缺陷造成的潜在风险。这对于企业至关重要,因为一旦发生实际的重大安全性事故,任何连带的责任方,包括产品开发存在潜在缺陷的设计方,在法律上必须付出的代价都往往是企业自身根本无法承受的。” Andreas说。
首先,我们要对风险管理有个整体上的认识。就Andreas的介绍,从设备在控制状态下的风险(EUC风险 Equipment Under Control Risk)降低到可承受的风险范围,即实现必要的风险降低,并不等于已经到达了实际风险底线。这里仍有一定的残留风险。一般情况下,风险是不可能完全去除的。系统中,要想降低系统风险,就必须降低系统相关的所有风险因子的发生概率,使风险降低到更低的底线,但这仍旧不等于零风险。认证标准(如IEC 61508)的作用就是量化的衡量、证明风险是否存在,是否可控,或者在产品设计、系统设计中,潜在风险是否已经降到了最低。
中国工业领域对工业安全有足够的重视程度,Andreas和他的中国同事,风河中国区资深销售经理李宁对此拥有共识。然而,国内工业企业如何可以快速实现控制设计的安全有效,并获得IEC 61508认证承认呢?Andreas和李宁对此的建议是:采用商业现货版(COTS)具有安全控制认证的实时操作系统(RTOS)应该是中国工业界的一个便利选择。VxWorks Cert平台正是基于VxWorks 6.6 操作系统的标准商业版,即所谓商业现货(COTS)的解决方案。VxWorks Cert平台以全面的认证工件为凭据,支持所有IEC 61508 SIL 3 要求。从软件系统架构上看,它基于VxWorks系统,而在其上系统内核中增加了的特定合规文件包和文件库,从而保障基于其系统上安全合规控制的应用可以得到正确的运行。
使用商业现货版的好处在于既节约开发成本,有能更高效的做到合规,获得认证。风河中国区资深销售经理李宁告诉记者:“我们国内不少最终用户都有自行开发控制应用的能力,但难度在于如何获得国际认证。除了在系统功能上要确实严格做到合规,还要在技术文档中详细的表述出来,这对国内企业是个挑战。而基于所谓商业现货版的具有安全控制认证的实时操作系统的明显好处就是各种相关的安全认证资料都是写好的,风河的 IEC 61508 Certification Evidence DVD包含一整套COTS认证资源包,只需组合调用即可。”这对于想尽快完成设计合规并获得认证是一个利好。而风河开发平台周边的开发套件可以让工程师在实际开发中变得更加高效控制工程网版权所有,这也应是商业现货版因节约开发成本、提高开发效率的而受欢迎的理由之一。
如何从VxWorks平台升级成VxWorks Cert平台?据Andreas Buchwieser先生介绍,升级是很方便的,只是要注意VxWorks Cert平台支持主流的硬件平台,但支持范围仍不及VxWorks平台。所以升级前要查看自身硬件平台是否被支持。而且有意思的是,风河中国区资深销售经理李宁介绍:“如果用户发现其硬件平台并非在VxWorks Cert支持之列,也很有可能可以通过风河专业人员的技术支持做到平台兼容。当然,这要就事论事。”显然,李宁经理在这方面是有实际操作经验的。
VxWorks Cert平台值得向国内有哪些重点领域推荐呢?李宁说:“高铁、化工、石化等都是重点领域。另外还有我国自主研发的航空项目,如C919等,其的安全认证工作如何基于 VxWorks Cert展开将是最佳选择。因为VxWorks Cert平台不仅提供IEC 61508合规认证支持,还提供全球航天航空业的RTCA DO-178B和EUROCAE ED-12B(“机载系统和设备认证中的软件考虑事项”)、以及其他相关软件标准严格要求认证的安全关键型应用程序。这些规范现统一由许多商业航空管制机构予以强制执行,其中包括美国联邦航空管理局(FAA)、欧洲航空安全局(EASA)和加拿大交通部等。基于VxWorks CertCONTROL ENGINEERING China版权所有,开发人员可以充分利用微处理器方面的技术进步,以实时操作系统为基础,以满足最苛刻的安全认证标准的应用开发。
图1:风河 VxWorks Cert平台架构
在此次采访中,记者还就安全控制领域的另两个热点话题采访了Andreas先生。由于当前自动化领域采取基于PC-based以Windows为软件系统平台的控制系统也越来越多,记者也请教了Andreas先生在这两种平台上实现安全控制的不同之处。他对此表示:在目前的开发环境下,PC-based控制系统可以为用户提供基于Windows操作系统的控制黑匣子,即用户不需也不能进入系统内部,只要使用其功能即可。而RTOS嵌入式控制系统的思路可以被对比地描绘成控制白匣子。开发是可基于系统内部的,开放的,所以用户可以在认为必要时通过输入权限认证进入他想了解的系统任何部分,这样的系统运转效率更高www.cechina.cn,对用户更为透明,而对有进入系统内部需求的用户而言,对其自身的专业技术能力也要求更高。
另一个热点话题是风河如何看待android系统在自动化领域的应用前景?风河是否未来会有基于android系统的安全控制应用开发?这两个问题的答案其实在Andreas的一个答案中就同时变得足够清晰了:风河非常看好Android系统在自动化领域的应用前景,而具体操作层面,则采取与:VxWorks系统成为并行系统同时发挥各自优势的思路。
Andreas指出:源于linux底层技术的android系统的优势在于当前非常多的应用程序支持,和强大的图形显示功能。VxWorks平台的固有优势却在于对实时控制上的专精。风河通过自身开发的的Hypervisor虚拟机软件,可以实现两大系统在同一硬件平台上同时运行,这样既可以用VxWorks Cert完成某些机器安全方面的控制,有可以运行android系统的各种应用程序,及借助android系统的显示。同理,VxWorks、VxWorks Cert、Windows系统也都可以通过风河的Hypervisor软件技术实现单一硬件平台上双系统、多系统的同时运行。这极大地整合了各种系统的专精优势,为用户的实际需求提供快速、有效、稳定的系统解决方案。这也是风河平台可可扩展性的核心体现之一。
图2:VxWorks平台系统通过Hypervisor技术实现其多系统平台的可扩展性
附:
被采访人介绍:
风河公司工业控制认证领域项目资深专家 Andreas Buchwieser先生
Andreas Buchwieser在2006年加入风河公司,IEC61508, EN50128www.cechina.cn, IEC60880等安全相关的工业控制项目上有着长足的经验。在加入风河公司之前,他曾在德国IABG公司担任资深嵌入式系统顾问,并有超过十年的嵌入式软件开发经验。
风河中国区资深销售经理 李宁
李宁于2002年4月加入风河,从2005起,负责风河中国区域客户的销售,客户涵盖军工、工业控制、通讯、汽车和消费电子等。
关于IEC 61508(来源于网络)
IEC 61508是一项用于工业领域的国际标准,其名称是《电气/电子/可编程电子安全相关系统的功能安全》。
IEC 61508意图作为一个基本的功能安全标准应用于各种工业行业。它将功能安全定义为:相关受控设备(EUC)总体安全的一部分;依赖于电气/电子/可编程电子(E/E/PE)安全相关系统功能正确的EUC控制系统;以及其它安全相关系统技术和外部风险降低措施。”
IEC 61508标准起源于工业过程控制领域。该标准涵盖了完整的安全生命周期,当制定相关领域特定的功能安全标准时www.cechina.cn,需要进一步细化说明。
IEC 61508标准定义的安全生命周期包含16个阶段,粗略地可以分为3块:1-5阶段描述了分析过程;6-13阶段描述了实现过程;14-16阶段描述了运营过程。所有阶段关注的均是系统安全功能。标准有7个部分组成,1-3部分包括标准需求(规范性的);4-7部分包括开发过程指导和示例,因此是资料性的。
IEC 61508标准的核心是风险概念和安全功能。风险是指危害事件频率(或可能性)以及事件后果严重性。通过应用包括E/E/PES和/或其它技术构成的安全功能,使风险降低到可以容忍的水平。另外,其它技术也可能被用于降低风险,但IEC 61508标准的详细需求只覆盖了采用E/E/PES技术的安全功能。