控制系统安全性的评估

控制系统安全性的评估　熊菊秀赖晓健王国红徐义亨　关键词：控制系统系统评估特性评定　安全性　累绩评估意糠ｌ＝）　所　如．电路短路或诸如　激光源等光学发射器　其本身不会造成危害的程度。　工作时能产生和传播　我们在讨论系统的安全性时，　强度可达到危害程度　不包括被控过程的安全性。如果将　的光。（５）放射性，　系统用于执行安全功能，则被控过　如系统含有放射性元　程的安全性无疑会依赖于控制系统　件则可能成为危害　本身的可信性．即依赖于控制系统　源。（６）生物危害，　第一作者熊菊秀女士　在一定条件下，在一定时间内能否　含有生物元件（例如　正确地专门完成一项任务的可信赖的程　生物芯片）的系统可能成为危害源。（７）　度。　化学危害，含有化学物质的系统或元件　本文综述控制系统安全性评估的内　（如电解电容）可能成为诸如毒性或腐蚀　容和论证方法。　等的危害源。　ｂ．危害受体　一安全性的三要素和　危害后果的受体可以是人类，也可　降低风险的基本措施　以是生物或设备。受体所能接受的伤害　程度取决于受体的类型特性以及受体所　１．安全性的三要素　处的区域。例如工业过程的测量控制系　在评估系统的安全性时，必须考虑　统所处的环境可分成诸如控制室、装置　三个要素：危害源、危害的传播途径和　现场等不同的区域，在不同的区域内，　危害后果的受体。　每一种受体受伤害的程度是不一样的。　ａ．危害源　当前在”以人为本”的理念下，保护人类　根据标准（（ＩＥＣ　６１　０６９Ｐ，测量控制　的安全尤显重要。　系统造成的危害源的种类可包括下列７　Ｃ．危害的传播途径　大类：（１）机械危害，包括由重力、压　对于有伤害性的危害，危害源与受　力、弹力、振动等造成的危害。（２）电气　体之间必然存在一种传播途径。传播途　危害，包括短路电流产生的热以及危险　径有以下几种：（１）直接传播途径，它　电压产生的电击等。（３）电磁场，系统　表示受体直接接触危害源（例如手指接　能发出不同强度和频率的电磁场，这些　触危险电压导线）。（２）间接传播途径，　电磁场对人类和设备可能成为一种危害　表示受体通过任何可移动物体（例如工　源。（４）光．系统能发出不同强度和频　具）或固定的结构件（例如支架或导轨）　率的光，这些光可能成为伤害源。例　接触危害源。（３）动态传播途径，表示　ｃ一、　熊菊秀女士，浙江中控技术有限公司总工程师　赖晓健先生．总师办主任：王国红先生，　ｃＥ认证项目经理：徐义亨先生，　高级技术顾问。　受体通过任何动态媒介（例如流动液体或　气体）接触危害源。（４）非接触传播途　径，表示受体通过例如辐射、光或电磁　场暴露于危害源下。　在多数情况下．一个完整的传播途　径往往是由若干个单一类型的传播途径　组合而成的。　２．降低伤害风险的基本措施　降低伤害风险的最好方法应该是通　过对测量控制系统的设计，使危害源不　能达到可能造成受体伤害的限值。然　而，这并不是总能做到的，因此一般还　可通过下列的方法来降低伤害的风险：　（１）减少伤害源．如选用本质安全元件　等：（２）阻断传播途径，如防护隔离，增　加爬电距离，拉开伤害源与受体之间的　距离等：（３）受体处于危害区域的　可能性，如访问的条件，警告标识等。　对诸如ＤＣＳ、ＰＬＣ等控制系统的安　全性，主要的危害种类是电磁场危害和　电气危害。其中电磁场危害包括电磁发　射和电磁抗扰度两个方面。下面结合　ＤＣＳ产品的安全论证就控制系统的安全　性作一阐述。　二电磁发射（ＥＭ１）　所谓电磁兼容性（ＥＭＣ）系指设备或　７　２０　・　０６　’　誊　维普资讯 http://www.cqvip.com

控制系统安全性的评估　者系统在其电磁环境中能正常工作且不　２．传导发射　对该环境中的任何事物构成不能承受的　现今，由于开关电源在体积、重量　电磁骚扰的能力。这表明对任何一种用　和效率三个方面具有传统线性电源无可　电设备或系统，它的电磁兼容性包含着　比拟的优点，故广泛地被应用。但开关　抗扰度”和　发射”两个方面的要求。电　电源系利用２０　ｋＨｚ以上的频率（目前可　磁发射又包括电磁辐射发射（ＲＥ）和传导　达２５０　ｋＨｚ以上），并以开和关的时间之　发射（ＣＥ）两种。　比来控制稳定输出电压　所以在电源线　路内的ｄＵ／ｄｔ和ｄｌ／ｄｔ变化很激烈，会　１．电磁辐射发射　产生很大的浪涌电压和其他各类脉ｊ中，　根据　ｌＥｃ　６１　３２６＞＞，控制系统的发　形成一个强烈的干扰源。　射要求应满足该标准规定的发射限值　所谓传导发射是指控制系统的开关　（见表１）。以便控制设备或系统发射的　电源在工作时，从电源线上耦合出来的　电磁能量。　并返回到交流电源上的干扰信号　应测　发射测量应在电波暗室里进行以消　量这些信号是否超过标准所要求的限值　除环境电磁干扰的影响。控制系统可有　（见表１）。　不同形式的配置，包括卡件的种类、数　测量的方法如图７所示　它是用功　量和安装方式等，但不必对每一种配置　率吸收钳来测量控制系统的传导发射。　都进行试验。为了真实地模拟与发射和　图中的滤波器是将交流电源中的高频信　抗扰度都有关的ＥＭＣ条件，设备的配置　号滤掉。　应由制造商规定一种典型的组合。这些　试验应作为型式试验在制造商规定的正　常条件下进行。　电磁辐射发射往往源自系统设备电　路里诸如时钟的高频振荡电路，抑制电　磁辐射的一般措施为：（１）改进电路板　图１　甬功率吸收锚　量传导发影　设计．高速的信号线要尽可能短，避免　减少开关电源的传导发射主要可从　长线传输。时钟信号的环路面积要尽可　如下几方面着手：（１）抑制开关电源自　能小。时钟电路和时钟线都应远离Ｉ／Ｏ　身的干扰强度，包括采用高速开关二极　端口和通信端口。此外　加大印刷线之　管和非晶体磁环等措施：（２）开关电源　间的距离以减少线间耦合：（２）尽可能　本身的屏蔽接地：（３）对开关电源的多　减小线路中的接地线阻抗：（３）采取屏　负载进行布线时，应使线路尽量平衡，以　蔽措施：（４）在容易产生发射的信号线　减少将共模噪声转化成较大的串模噪声。　上适当地加铁氧体磁环可减弱电磁辐射　发射。　三电磁抗扰度　表１设备的发射限值　为了保　端口　频率范围ＭＨｚ　限值　注释　系统整体机柜　３０～２３０　准峰值４０ｄＢ（１ｉＶ／ｍ）　测量距离１Ｏｍ　如测量距离为３ｍ．　证控制系统　２３０～１０００　准峰值４７　ｄ８（ｇＶ／ｍ），测量距离１０ｍ　限值应增加１Ｏｄ８。　的功能安全　０　１　５～０　５　准峰值７９ｄＢ（ｐＶ）　和信息安全　交流电源　平均值６６　ｄＢ（ｐＶ）　Ｏ　５～３Ｏ　准峰值７３ｄＢ（Ｉ．ＩＶ）　必须考虑控　平均值６ＯｄＢ（ｐＶ）　制系统本身　２　Ａ　ＶｏＩ．１Ｏ　Ｎｏ．７　７・２００６　讲座：泵统评估言矗（二）　对外界干扰的抑制能力，特别是电磁抗　扰度。电磁抗扰度是表示控制系统面临　电磁干扰不降低运行性能的能力。它包　括静电放电抗扰度、浪涌抗扰度、电快　速瞬变脉；中群抗扰度、电压暂降和电压　变化抗扰度等。　评定控制系统的抗扰度试验结果　有如下４个性能判据等级：　陛能判据１：试验时　在技术规范极　限内性能正常。　性能判据２：试验时　功能或性能暂　时降低或丧失，但能自行恢复。　性能判据３：试验时　功能或性能暂　时降低或丧失　但需要操作者干预或系　统复位。　性能判据４：由于设备、元器件、软　件的损坏　或数据丢失　造成不能恢复　的降级或功能丧失。　对性能判据２和３　如果在试验信　号施加过程中　受试设备表现出规定的　抗扰度，并且在试验结束后　受试设备　满足产品技术规范中规定的功能性要　求，那么受试设备就通过了试验。而性　能判据４通常是不能接受的。　１．静电放电抗扰度　静电由非常低的能量累积以电容模　式储存在人体或设备表面　由突发触及　使其储能以极大的速度崩溃放电而成　其频宽可由数百ＭＨｚ到数个ＧＨｚ。静电　放电具有高电位、低电量、小电流和作　用时间短的特点。其放电过程如图２所　示。由图２可知　由于静电放电波形的　上升沿时间很短　约１　ｎｓ左右　电流的　图２静电放电波形　维普资讯 http://www.cqvip.com

控制系统安全性的评估　变化率很大，所以对电路的影响很大，　特别是对ＣＭＯＳ器件，因为其氧化膜的　耐压界限一般仅为（１　００～１　５０）Ｖ。　讲蛮：亲统评估言囊（二）　度有如下几点可行措施：（１）系统所有　暴露在外的金属部件必须接地，为静电　放电电流提供释放路径：（２）对静电敏　感电路实行屏蔽，使敏感电路不受静电　放电产生的电场的干扰或损坏：（３）凡　绝缘面板和电路板之间应加设火花吸收　器（即接地的金属板）：（４）在设计时，　不要采用边沿触发形的逻辑电路，因为　形。　表３浪涌抗扰囊的试验等级（ｋｖ）　等级　１　２　３　４　开路试验￣ｒ－Ｆ，（ｋＶ）　０．５　１　０　２Ｏ　控制系统静电放电的试验过程是模　拟操作人员或物体在接触控制系统时的　放电，以观察被试的控制系统抵抗静电　放电干扰的能力。所以该试验包括：接　触放电和空气放电。根据标准ＧＢ／Ｔ　４　０　特定　根据（（ＩＥＣ　６１　０００—４—５：１　９９５　，控制　１　７６２６．２—１　９９８控制系统静电放电抗扰度　试验等级如表２所示。由于接触放电和　空气放电有不同的放电形式，因此相同　的放电电压并不意味着有相同的试验等　级。　表２静电放电抗扰度试验等级　等级　接触放电电压（ｋＶ）　空气放电电压（ｋＶ）　１　２　２　２　４　４　３　６　８　４　８　１　５　特定　特定　控制系统的下列部件需进行静电放　电抗扰度试验：系统整体机柜或者单个　底座（机笼）：各类卡件：上位机（工控　机）　电源或配电箱：端子板或接线排：　通信线（网线）：信号线等。　所考虑的试验点包括：与地绝缘的　金属外壳　操作人员容易接触的区　域：指示器、发光二极管、缝隙、栅格　等。　试验时，放电的接地电缆要与被　试设备至少保持２０　ｃｍ的距离，以避免　感应影响试验结果。试验速度１次／ｓ，　每一个放电点至少放电１　０次。直接放电　试验应包括在使用中可能接触到的任何　地方。　依据标准ＧＢ／Ｔ　１　８２６８—２０００，控制　系统的防静电抗扰度应达到：空气放电　为３级，接触放电为２级，在试验期间，　允许性能降低，但实际工作状态或存储　的数据不允许改变。　对控制系统本身而言，防止因静电　放电所引起的故障，提高它的静电抗扰　这种电路对静电放电很敏感：（５）电路　板上所有的环路面积要尽量小，以避免　静电电流产生的磁场对电路的影响：　（６）在电路板的周边设置一圈接地的保　护环：（７）设计软件时应做到——当程　序受到瞬间干扰的影响而异常时，则程　序的运行不能　死机”，而必须能适当地　恢复运行。这就是所谓容锚软件的编　制。　提高控制系统抗静电能力可提高　系统对大多数其他射频干扰的抗干扰能　力。　２．浪涌抗扰度　浪涌的主要来源包括电源系统的切　换瞬变、各种系统的故障（如接地系　统间的短路等）和雷电电磁脉；中（包括直　击雷和感应雷）等。浪涌的特点是上升　沿的变化速度快，瞬态功率大。用于控　制系统的浪涌试验波形如图３所示，其　中１．２／５０为电压波形，８／２０为电流波　１００ｊ６　５Ｏ％　１　２　ｋＡ　图３　１　２／５０波形和８，／２０波形　系统浪涌抗扰度的试验等级如表３所　不。　依据标准ＧＢ／Ｔ　１　８２６８—２０００，控制　系统的浪涌抗扰度应达到：（１）交流电　源：线对线１　ｋＶ，线对地２　ｋＶ：（２）信号　端：线对线１　ｋＶ，线对地２　ｋＶ。　试验时首先要确定试验部位（电源／　输入／输出）：在每个试验部位，正负极　性的干扰至少要各加５次，每次浪涌的　最大重复率为１次／ｍｉｎ。相对于交流电　源，干扰波应同步在电源波形的过零点　和正负峰值点上。试验电压逐步增加到　规定的电平值，试验电压逐次加在每一　根线与线之间或线与地之间。试验电压　不能随意超过规定的要求。控制系统的　浪涌抗扰度主要取决于端Ｅｌ上浪涌吸收　电路的设计。　３．电快速瞬变脉冲群抗扰度　电快速瞬变脉冲群来源于下列的一　些情况，如：小感性负载的切换，如继　电器、接触器的跳动：高压开关装置　的切换。其频谱范围为１～１Ｏ０ＭＨｚ．　甚至可高达３００ＭＨｚ。　电快速瞬变脉；中群的特点是　上升时间快（５　ｎｓ），持续时间短　（５０　ｎｓ），能量低，但具有较高的重　复频率。其可能会骚扰控制系统，　但通常不大可能引起损坏。　根据标准ＧＢ／Ｔ　１７６２６．４－１　９９８　控制系统电快速瞬变脉冲群抗扰度　的试验等级如表４所示。　电快速瞬变脉冲群发生器的　７・２ＯＯ６糍　鬻暇曩　维普资讯 http://www.cqvip.com

控制系统安全性的评估　特性参数（接５０Ｑ负载时）如下（见图４）：　（１）正负极性：（２）单个脉冲的上升时间　ｉ井窖：泵统评估专囊（二）　短时中断可认为是１　ＯＯ％幅值的电压　瞬时跌落。　电压变化　系指供电电压　也说明系统的安全性愈好。　（５￣３０％）ｎｓ：（３）脉冲持续时间（半峰　值）（５０￣３０￣）ｎ　ｓ：（４）与供电电源同　步：（５）脉冲群持续时间（１　５２２０％）ｍｓ：　（６）脉冲群周期（３００￣２０￣）ｍｓ；（７）脉　逐渐变得高于或者低于额定电压。变化　的持续时间相对于周期来说，可长可　短。　四防电气危害　控制系统电气安全的评估系指在使　与低压电网连接的控制系统，由于　供电电网、变电设备发生故障，或由于　负荷突然发生大的变动　乃至备用电源　用控制系统时有否对用户构成伤害的可　能。它包括下列项目的测试和检查：绝　缘电阻和绝缘强度：电气间隙和爬电距　离：防电击　接地系统的连接电阻：警　告标识和说明文件等。　冲重复率开路输出电压为０．２５、０．５、　１、２　ｋＶ时为（５ｋ￣２０￣）Ｈｚ：开路输出电　压为４　ｋＶ时为（２．５ｋ￣２０％）Ｈｚ；（８）开路　的切换．均能引起电压暂降、短时中断　和电压变化。　其试验等级如表５所示。对５０Ｈｚ　的交流电源，Ｏ．５个周期相当于１０ｍｓ。　表５电压暂降和短时中断试验优先等级和持续时淘　输出电压为（０．２５　ｋＶ一１　０％）～（４　ｋＶ＋　１　０％）。　控制系统需进行电快速瞬变脉冲群　抗扰度试验的部件同于静电放电抗扰度　试验。　１．绝缘电阻和绝缘强度　控制系统的绝缘电阻和　绝缘强度是确定控制系统的　试验等级，％Ｕ　电压暂降和短时中断．％Ｕ　持续ＩＮＩ＇．－Ｊ．（周期）　Ｏ　１ＯＯ　０５　．依据标准ＧＢ／Ｔ　１　８２６８—２０００，控制　电路对系统外壳的绝缘程度　以及电路和外壳之间在承受　较高电压时系统的本质安全　性能。控制系统的绝缘必须　具备足以防止击穿的绝缘强　１　系统的电快速瞬变脉冲群抗扰度应达　到：交流电源：２　ｋＶ：信号端：１　ｋＶ。　４０　６０　５　１０　７０　３０　２５　５Ｏ　４．电压暂降和电压变化抗扰度　所谓”电压暂降”系指在控制系统　供电电压突然下降，经历了半个周期到　几秒钟的短暂持续期后恢复正常。　短　时中断”系指供电电压消失一段时间，　电压暂降和短时中断的变化过程极　为短促，是在瞬间完成的。试验电压是　度和防止过量泄漏电流或热击穿的绝缘　电阻。　，　用有效值表示的，额定电压作为试验的　基础电压ＵＴ。　试验过程中应注　试验前，系统应在温度为３２—３８℃　的干燥箱内放置４　ｈ，然后在温度相同而　相对湿度为９Ｏ一９５％的环境下再放置　表４电快速瞬变脉冲群抗扰度的试验等级　开路输出试验电压和脉冲的重复频率　等级　供电电源端口．保护接地（ＰＥ）　在Ｉ１０信号．数据和控制端口　电压峰值ｋＶ　重复频率ｋＨｚ　１　２　意：（１）电压瞬时跌　落和短时中断，根据　试验等级和持续时间　的组合依次进行三次　试验　两次试验的间　隔最小时间为１　０　Ｓ：　２４ｈ　在随后的试验过程中应保持此湿度。　ａ．绝缘电阻　被试系统按正常工作状态准备。用　额定直流电压为５００Ｖ的兆欧表测量。　试验时断开电源　但应使电源开关　位于接通位置。将输入端子和电源端子　分别短接．然后测量下述端子问的绝缘　电压峰值ｋＶ　重复频率ｋＨｚ　０．２５　０　５　０．５　１　５　５　５　５　３　４　２　４　５　２　５　１　２　５　５　特定　特定　特定　特定　（２）电压突变发生在　过零处，以及标准规　电阻：（１）输入端子——接地端子：（２）　电源端子——接地端子：（３）输入端子　——定的关键相角处：４５。．９Ｏ。、　１　３　５ｏ、１　８０。：（３）电压渐　电源端子。　测量结果应符合相关标准规定的要　变，对被测系统进行的每一　种电压变化，都必须进行三　次试验，两次试验间隔时间　为１　０　Ｓ。　（ａ）双指数脉冲　图４电快速瞬变脉；中群　ＩＩＡ　ＶｏＩ．１Ｏ　Ｎｏ．７　７・２００６　求（如不小于２０Ｍ．Ｑ）。　ｂ．绝缘强度　按上述同样的试验方法，选择适当　的安全等级和试验电压，逐步升高试验　电压至规定值并保持１　ｍ＿ｎ，试验期间　不应出现击穿或飞弧。试验电压的有效　（ｂ）１　５ｍｓ脉冲串　（ｃ）脉冲串间隔　ｆ５ｋＨｚ）　是３００ｍｓ　控制系统ＥＭＣ的抗扰度　试验等级愈高，表明控制系　统的抗干扰能力愈强　从而　维普资讯 http://www.cqvip.com

控制系统安全性的评估　簧６绝缘强度的试验电匿　安全等级　额定电压或绝缘电压　证轻电迕　谎伺双值ｋＶ　讲座：泵统评估专置（二）　准试验指，标准试验指在不带力　的情况下所能接触到的零部件均为　可触及　。　所以对那些带危险电压的可　触及零部件，须采取诸如绝缘、加　能成为伤害源的机械危险包括：（１）　备的操作维护事项予以说明。　直流或交流有效值Ｖ　ｌ　＜６０　６０２５０　—０．５０　１　５０　０　７５　五防机械危险　ｌｌ　＜６０　６０２５０　—３　Ｏ０　有一定刚度的外壳或挡板以及采　重力：例如在提升或者下落时带来的危　值如表６所示。　用保护阻抗等措施。　２．电气间隙和爬电距离　４．接地系统的连接电阻　所谓电气间隙系通过空气测得的两　所谓接地系统的连接电阻是指从机　个导电部件之间或导电部件与装置界面　柜内设备上的接地端子到机柜内的接地　之间的最短距离。而爬电距离是沿绝缘　汇流排之间的连线电阻，根据标准ＩＥＣ　表面测得的两个导电部件之间或一个导　６１１　３１－－，该电阻不得超过Ｏ．１　Ｑ。　电部件与装置导电界面之间的最短不漏　电距离。　５．警告标识和说明文件　标准ＩＥＣ　６１１　３１—２给出了可编程控　设备在有关安全的地方（如电源、　制器对应于不同情况下应达到的电气间　熔断器、端子、电池等）应进行标识，且　隙和爬电距离的最小值。一般情况下，　从外部能看到这些标识，或者在操作者　电气间隙或爬电距离的设计应考虑如下　不用工具就可打开的盖或门移开后能看　的条件：（１）额定线路电压。电气间隙　到。标识不应标在操作者不用工具就可　和爬电距离随额定线路电压的升高而增　拆掉的零部件上。　大：（２）海拔高度。大气压力降低时，　标识可由颜色　图形和文字组成，　空气绝缘强度下降，海拔每升高１　０Ｏｍ，　其中颜色为最直观，而图形最容易被人　绝缘强度将降低１％：（３）污染等级和环　们所理解。　境湿度。污染等级或环境湿度愈高，绝　在选用标识时应符合下列原则：简　缘性能降低，所以电气间隙和爬电距离　单直观：遵循惯例：应采用国际标准规　应随污染等级的增高而增大：（４）绝缘　定的图形符号。　强度的要求。绝缘强度的要求愈高，电　标识在正常情况下应保持清晰可辨，　气间隙和爬电距离也随之而增大。强化　并能耐受制造厂规定的清洁剂的擦洗。　绝缘的爬电距离应该是基本绝缘爬电距　制造商提供的技术规范以及使用说　离的两倍：（５）固体绝缘材料在潮湿条　明文件应提供标在设备上的警告标识的　件下的相比漏电起痕指数ＣＴＩ：ＣＴＩ值　说明和解释，甚至可把这些内容耐久清　愈大，爬电距离可愈小。　晰地标在设备上。同时应将与安全有关　的设备额定工作条件、设备安装以及设　３．防电击　根据标准ｌＥｃ　６１１　３１—２的规定，　Ｄ１　２　设备的可触及零部件不应危险带电，　所谓危险带电是指正常情况下，交流　电压大干３０Ｖ，直流电压大干６０Ｖ　而”可触及零部件“的判断，标　准规定了一种形状如图５所示的标　圈５标准试验指　险：（２）压力：例如由于管路或者容器　的破损带来的危险：（３）弹力：例如由　于弹簧或机械结构破损带来的危险：　（４）振动：例如由于材料疲劳或发出过　量的噪声带来的危害：（５）温度：例如　由于高温导致燃烧：（６）机械结构：例　如由于锐利边缘或粗糙表面导致受伤。　对控制系统而言，为了预防机械危　险，必须注意如下几点：（１）对把手之　类的运动零部件，不应挤压或刺穿接触　它们的操作者，也不应该严重压伤其皮　肤。（２）对机柜之类的设备，在起重搬　运时，考虑到加速度的作用，其上的吊　环应能承受设备重量四倍的力。如果机　柜上设有四个吊环，还必须考虑万一受　力仅在一个吊环上时，不应发生跌落危　险的可能，即每个吊环应能承受设备重　量四倍的力。（３）设备在正常使用中可　能遇到振动、　中击和碰撞时，其元器件　的固定及电气连接必须牢靠。　六防化学危害　对控制系统而言，防化学危害主要　是检查电池和电解电容等元器件有否危　害物质释放和泄漏。　七结束语　（（ＩＥＣ　６１　０６９））标准把一个工业过程　的测量和控制系统的特性分成：功能　性、性能、可信性、可操作性、安全性、　与任务无关的系统特性等６大类。安全　性是其中的一大特性，可见控制系统的　安全认证的重要性。皿