現場總線技術發展至今，它的安全性如何仍然是用戶觀望等待的重要因素之一。對于電廠、化工廠、冶煉廠等用戶來說，現場總線的優越性己經了解很多，有些用戶可能已經開始在一些非重要部門采用現場總線控制系統，但要在工廠重要的、與安全相關的工業過程采用現場總線控制系統，還需要供應商提供更多的資料與保證。

　　現場總線的優勢很多，但換一個角度看可能就是劣勢:它的串行結構決定了它能節省布線、簡化系統安裝、維護和管理費用、簡化通信協議、方便解決總線供電等問題，是它的重要優勢，但同時也是重要的安全隱患。因為所有控制命令、維護信息都通過這條單一總線發送信號，一旦這條總線損壞，這條支路就癱瘓了;產品的可互操作性使用戶選擇產品的自由度增加，成本降低，但多家供應商提供的產品在一個系統中運行，它們的可互操作程度能達到多少?系統監控軟件可以提供設備的預診斷，但軟件中可能存在的成千上萬個 "bug"如何控制?現場總線上層連接以太網、Internet網，可以實現遠程在線診斷和維護，但如果 "黑客"們也通過這個網絡對系統進行遠程攻擊，我們設置的密碼是不是足夠?面對種種安全問題，我們是否該就此停步?表1是自動化領域技術的發展歷程。

　　上表實際上展示了一種趨勢，技術發展的腳步勢不可擋，關鍵是我們如何來選擇。在考慮安全應用的問題時，最終用戶的問題是選擇什么樣的系統，根據什么來決定在不同重要的場合使用哪種現場總線?如何評價一個現場總線系統的安全性水平?而供應商的問題是:我該怎么做才能讓用戶相信自己的產品或系統可以用于安全目的?

　　實際上，他們所提問題的答案都是IEC61508。

　　二、IEC61508概述

　　2000年5月，國際電工委員會正式發布了IEC61508標準，名為《電氣/電子/可編程電子安全系統的功能安全》，與之對應的我國國家標準正在制定中。該標準分七部分，涉及1000多個規范。

　　由電氣和電子部件構成的系統，多年來在許多領域中執行安全功能;以計算機為基礎的系統在許多領域中用于非安全目的，但也越來越多地用于安全目的。當前計算機、集成電路等技術的發展已經滲透到所有工業領域，計算能力的極大增加徹底改變了工廠和工業過程的控制，也改變了安全控制策略。對于包含有電子、電氣設備，計算機軟、硬件的系統，要用于關系到人身財產安全的領域中時，進行規范的安全指導是十分必要的。

　　TEC61508針對由電氣/電子/可編程電子部件構成的、起安全作用的電氣/電子/可編程電子系統(E/E/PE)的整體安全生命周期，建立了一個基礎的評價方法。目的是要針對以電子為基礎的安全系統提出一個一致的、合理的技術方案，統籌考慮 單獨系統(如傳感器、通信系統、控制裝置、執行器等)中元件與安全系統組合的問題。

　　TEC61508的七個部分內容分別為:

　　第1部分:一般要求，描述了主要概念、組織、生命期、文檔編制、引導證據及SIL的定義。

　　第2部分是對電氣/電子/可編程電子安全系統的要求，包括對設備和系統的要求，它的很多內容與第7部分的鑒別方法的應用有關，這些方法解決了隨機或系統失效問題。

　　第3部分是對軟件的要求，描述避免失效的方法，與第7部分的附錄相關。

　　第4部分是定義和縮略語。

　　第5部分給出一些確定安全完整性水平的方法示例。

　　第6部分包括第2和第3部分的應用指南。

　　第7部分給出測試方法，簡短的注釋并提供部分參考書目。

　　(一)IEC61508中的基本定義

　　1.安全功能 (safety function)

　　針對規定的危險事件，為達到或保持受控設備(EUC)的安全狀態，由E/E/PE安全系統、其他技術安全系統或外部風險降低設施實現的功能。

　　2.安全完整性 (Safety integrity)

　　在規定的條件下、規定的時間內，安全系統成功實現所要求的安全功能的概率。這一定義著重于安全系統執行安全功能的可靠性。在確定安全完整性過程中，應包括所有導致非安全狀態的因素，如隨機的硬件失效，軟件導致的失效以及由電氣干擾引起的失效，這些失效的類型，尤其是硬件失效可用測量方法來定量，如在危險模式中的失效和系統失效率，或按規定操作的安全防護系統失效的概率。但是，系統的安全完整性還取決于許多因素，這些因素無法精確定量，僅可定性考慮。

　　3.E/E/PE系統

　　基于電氣/電子和可編程電子裝置的用于控制、防護或監視的系統，包括系統中所有的元素如電源、傳感器、所有其他輸入輸出裝置及所有通信手段。

　　4.EUC(Equipment Under Control)

　　受控設備，指用于制造、運輸、醫療或其他領域的設備、機器、裝置或裝備。

　　5.可接受鳳險 (ACCeptable risk)

　　風險指的是出現傷害的概率及該傷害嚴重性的組合。可接受風險指根據當今社會的水準所能夠接受的風險。

　　6.安全 (Safety)

　　不存在不可接受的風險。

　　7.安全系統 (Safely-elated-syStem)

　　是用于兩個目的:一是執行要求的安全功能以達到或保持EUC的安全狀態;二是自身或與其他E/E/PES安全系統、其他技術安全系統或外部風險降低設施一道，對于要求的安全功能達到必要的安全完整性。

　　安全系統是在接受命令后采取適當的動作以防止EUC進入危險狀態。安全系統的失效應被包括在導致確定的危險事件中。盡管可能有其他系統具備安全功能，但僅是指用其自身能力達到要求的允許風險的安全系統。安全系統可大致分為安全控制系統和安全防護系統。

　　安全系統可以是EUC控制系統的組成部分，也可用傳感器和/或執行器與EUC的接口，既可用在EUC控制系統中執行安全功能的方式達到要求的安全完整性水平，也可用分離的/獨立的專門用于安全的系統執行安全功能。

　　(二)IEC61508的基本概念

　　TEC61508標準規定隨機失效的后果必須定量評估，使用隨機存取測量系統 (RAMS)方法計算有效性。量化與故障相關的系統失效是沒有用的，應當通過組織指導來避免系統失效，或通過技術措施來控制。

　　1.風險和安全完整性慨念

　　2.功能安全保證的內容

　　功能安全保證主要包括兩部分內容:失效識別和安全完整性水平。

　　(1)失效識別。

　　失效就是功能單元失去實現其功能的能力。一些功能是根據所達到的行為進行規定的，在執行功能時，某些特定的行為是不允許的，這些行為的出現就是失效。失效可能是隨機失效，這種失效通常由于硬件裝置的耗損所致。也可能是系統失效，這在硬件和軟件中都可能出現。失效識別就是要分辨出不同部件的各種失效原因，估算出系統失效概率。

　　(2)安全完整性水平 (SIL) (safety integrity level)。

　　一種離散的水平，用于規定分配給E/E/PE安全系統的安全功能的安全完整性要求，安全系統的安全完整性水平越高，安全系統實現所要求的安全功能失敗的可能性就越低。IEC61508中規定系統有4種安全完整性水平，SIL4是最高的，安全完整性水平1是最低的。

　　三、現場總線系統的功能安全評價

　　(一)現場總線系統完成的功能

　　現場總線系統所起的作用是通信，它包括一組硬件和軟件，允許兩個或多個裝置之間信息交換。在受控過程中，它不應該傳播或建立會產生危險情形的錯誤:它應能找出數據的訛誤，保證實時數據的傳送，傳遞應有序，避免混亂。同時應能隨時了解可能出現的故障狀態，避免出現因通信錯誤觸發不合理的安全動作，例如使過程在不該停止時停了下來，或使過程在出現故障時還繼續工作等。

　　(二)現場總線系統安全功能評價的方法

　　要證明一個系統或子系統是否可以用在安全領域，是否符合IEC61508標準，有兩個途徑:一是按照IEC61508的原則設計一個新系統;二是沿用以前已經使用并證明是安全的系統，用"proven in use"方法來驗證。現場總線系統的功能安全評價一般都采取第二種方法。這是一個在"使用中證實"的概念。如果一種產品或系統已經在使用中，只要供應商有足夠的證據證明它是安全的，那么以后相同的產品或系統就允許應用在同等安全的領域。

　　IEC61508中提出的這種"proven in use"的概念對于供應商和用戶都有極大的激勵作用。目前世界上此重要的設備供應商都開始對自己的產品進行這方面認證工作。但"Proven in use"實際上有很嚴格的限制條件:

　　(l)Proven in use方法只能用于那些滿足相關要求的功能和接口子系統;

　　(2)子系統的工作條件與原子系統的工作條件完全相同或十分相近;

　　(3)如果子系統的工作條件不同，則需要用分析和測試的方法來論證該系統的功能安全完整性可能達到的水平，以保證該系統可用于安全領域;

　　(4)聲明的失效率有足夠的統計學數據基礎;

　　(5)收集有足夠的失效數據;

　　(6)考慮了子系統的復雜性，子系統對風險降低的貢獻，子系統失效對整個系統可能造成的后果，新設計等。