1月22日下午，上海地鐵15號線(xiàn)祁安路站一位65歲的女乘客在下車(chē)時(shí)被屏蔽門(mén)夾住，工作人員幫助其脫困，但依舊發(fā)生了人身傷亡事故。從現場(chǎng)的視頻和現階段的報道來(lái)看，操作人員在操作時(shí)可能誤操作，隔離了屏蔽門(mén)，而沒(méi)有按下緊急停止開(kāi)關(guān)導致了事故的發(fā)生。事故的原因目前尚在調查中，但不論事故的責任方在哪里，這起事故都應該引起電氣系統設計者對功能安全的重視和對安全設備、安全網(wǎng)絡(luò )使用的重視。

我們都知道，隨著(zhù)大量可編程設備、自動(dòng)化系統和軟件產(chǎn)品的使用，在增加了設備自動(dòng)化運轉效率的同時(shí)，由于設計中的缺失以及開(kāi)發(fā)制造中風(fēng)險管理意識的不足，使得可能造成人身安全、財產(chǎn)損失和環(huán)境危害等事故的風(fēng)險也暴露出來(lái)。為此，在工業(yè)自動(dòng)化領(lǐng)域，電子、電氣及可編程電子安全控制系統相關(guān)的技術(shù)逐漸發(fā)展為一套成熟的產(chǎn)品安全設計技術(shù)，即“功能安全”技術(shù)，并由IEC61508標準來(lái)定義，對應的國標是GB/T20438。IEC 61508將安全完整性等級（SIL）分成4級，第4級為最高完整性。

在類(lèi)似于以上地鐵屏蔽門(mén)普遍使用的SIL3等級的安全回路中，可以由安全繼電器來(lái)搭建，也可以使用由安全PLC和其他安全從站構成的安全網(wǎng)絡(luò )來(lái)實(shí)現，比如CC-Link Safety、CC-Link IE Safety。無(wú)論使用哪種方法，都必須要滿(mǎn)足以下幾點(diǎn)：

1、采用冗余結構設計

2、必須要有傳感器監測來(lái)作為同步輸入監測

3、具備回路監測

安全相關(guān)系統在設計時(shí)，須要遵循IEC61508所遵循的“故障導向安全”，認為人員操作總是會(huì )失誤的，并且任何小概率發(fā)生的失誤最終都會(huì )發(fā)生，必須將其導向至可以接受的風(fēng)險。同時(shí)，我們認為機器總是比人可靠，因此對于安全功能的分配，能讓機器完成的功能當然要讓機器完成，并不斷提升安全系統的裕度，比如通過(guò)并聯(lián)和表決的方式來(lái)實(shí)現安全系統的冗余。

以實(shí)際使用中最常用的緊急停止開(kāi)關(guān)為例，（以上地鐵事故中的屏蔽門(mén)和列車(chē)停止互鎖系統也可以簡(jiǎn)單類(lèi)比），如果故障設備被修復或者被旁路，緊急停止控制裝置斷開(kāi)且反饋回路已經(jīng)閉合，此時(shí)可以按下“復位”按鈕，重新啟動(dòng)設備，在設備重啟前必須先確認運行環(huán)境安全，再進(jìn)行復位，即只有進(jìn)行復位后，重啟功能才能執行。至于何種情況下應采用何種復位方式（自動(dòng)復位、手動(dòng)復位、可監控復位），視具體行業(yè)的具體工藝要求而定。需要注意的是：采用自動(dòng)復位，必須對現場(chǎng)運行環(huán)境進(jìn)行大量且全面的評估，確認自動(dòng)復位后，整個(gè)系統并不會(huì )產(chǎn)生任何危險，在實(shí)際應用中需要慎之又慎。

在現場(chǎng)運行的自動(dòng)化系統中，實(shí)際構建安全網(wǎng)絡(luò )的情況往往又會(huì )比較復雜，雖然各個(gè)子系統單獨運行均能達到SIL3甚至SIL4等級，但我們可能需要這些子系統整合后進(jìn)行聯(lián)動(dòng)，例如上述地鐵運行時(shí)的列車(chē)運行控制系統需要和屏蔽門(mén)控制系統進(jìn)行聯(lián)動(dòng)，整合后的安全系統由于沒(méi)有充分考慮到人為因素的影響，可能就無(wú)法到達相應的安全等級了，因此在設計時(shí)需要窮舉所有可能發(fā)生的故障和風(fēng)險，編制詳盡的安全手冊，并依次將其導向為可接受風(fēng)險。

由于現代化的的自動(dòng)化系統高度復雜，可編程器件和軟件大量應用，很多場(chǎng)合可能的風(fēng)險隱患也呈幾何級數增加，已不再適合使用安全繼電器等來(lái)構建可靠的安全回路，在現場(chǎng)，電氣工程師會(huì )普遍使用安全PLC，并通過(guò)安全網(wǎng)絡(luò )來(lái)實(shí)現，比如CC-Link Safety和CC-Link IE Safety。作為中國國家標準，CC-Link Safety和CC-Link IE Safety在設計時(shí)已經(jīng)進(jìn)行了相關(guān)規范的安全設計，包括冗余雙回路的設計、傳輸信號的表決機制、信號傳輸過(guò)程中的差錯交叉校驗等，保證了電氣工程師能夠以最大的便利性來(lái)設計和構建安全回路，同時(shí)，也能夠有效防止人為誤操作而造成的安全隱患，在使用時(shí)只要將兼容的安全設備接入網(wǎng)絡(luò )，即可實(shí)現SIL3等級的安全系統。

從本次地鐵事故來(lái)看，功能安全在目前的自動(dòng)化系統中已經(jīng)起到了舉足輕重的作用，未來(lái)也會(huì )成為自控領(lǐng)域的一個(gè)熱點(diǎn)，必定也必須要引起所有系統工程師的重視，使用安全網(wǎng)絡(luò )構建系統也將逐漸成為主流，從而保證現場(chǎng)設備運行更加安全。