软件定义时代到来,如何保障关键运动控制应用的安全?
图片来源:TÜV
作者:Rolf Zöllner
电梯的产品安全和运行安全需要对软件进行及时和有序的更新。标准有助于降低运动控制应用的风险。
由软件系统来监控的现代电梯的数量正在增加,这使得固件和参数配置,对于两次定期检查之间电梯的安全运行至关重要。电梯业主和操作员必须验证完整的软件更新,并确认不会对产品安全和运行安全产生不利影响。
根据德国工业安全与健康条例(BetrSichV),电梯系统被归类为应受监测的装置,该条例执行2009/104/EC工作设备使用指令,因此,需要接受定期技术检查(PTI)。
过去,定期技术检查主要集中在纯机械或机电部件上,比如限速器。当电梯轿厢超过一定速度时,就会触发机械跳闸,并通过安全钳确保电梯轿厢受控减速。
为了确认安全组件功能可靠,并满足所有相关要求,制造商先委托认证机构对产品进行功能验证,然后再将产品投放市场。认证机构负责审查材料、设计、施工、制造和负载限制等标准是否符合。根据欧洲电梯标准EN 81-20客运和货运电梯建造和安装的安全规则,通过型式检验的部件可被电梯制造商用作安全部件。
硬件和软件的安全测试
硬件和软件系统越来越多地被用于控制、监测或替带纯机械安全功能。为此,纯操作功能建立了独立的“保护电路”,通常包括诸如传感器、控制系统和执行器之类的硬件,以及用于处理、分析和评估数据的软件。但是,具有更多硬件和软件组件这一事实,并不会改变经过测试批准的程序:硬件和软件必须在型式检验的范围内进行评估。
▎透明度对于确保电梯等关键运动控制应用中的硬件和软件非常重要,以降低所有参与者的风险。
在常规的电梯运行中,竖井编码系统会监测和控制电梯的上升或下降位置。安装在电梯竖井信息系统中的软件,还可以控制速度和制动过程。该数据可用于识别与安全相关的故障,启动适当对策并使电梯进入安全状态。这就要求硬件和软件系统识别关键的工作条件,并触发适当的功能,但绝不能以任何方式“反应过度”。
在IEC 61508国际安全相关系统标准系列中,定义了与安全相关的电气、电子和可编程电子系统的技术和程序要求。该系列标准的第3部分,规定了与安全相关软件的各个方面,包括安全生命周期、所用工具和文档质量的要求。
电梯系统中安装的软件,还必须根据电梯特定的运行环境和竖井信息系统的硬件进行配置。软件必须正确反映和处理诸如提升重量、跳闸速度和竖井编码之类的参数。必须采取措施确保软件不会被未经授权的第三方操作。此要求不限于连接到因特网或其它网络的智能系统,它适用于所有电梯。
软件更新和验证
即使是由授权方进行的软件变更(例如参数配置更改),对其进行检查也具有一定的挑战性,除非可以根据性能测试或清晰的软件信息直接识别这些变更。通常会在标签上提供系统所安装的软件版本的信息。
验证信息是否是最新的、软件是否更新以及是由谁更新的,可能并不容易。检查人员可能无法完全可靠地确定安全功能的后果,也无法验证电梯控制系统是否仍在使用与型式检查相同的软件。在定期技术检查中,这会被记录为不合格。
更要命的是,电梯正变得越来越“智能”。数字化和工业物联网(IIoT)正在为维修和维护扩展新的机会。例如,对电梯数据(比如磨损或故障)的集中评估,可以准确预测用户行为,帮助提高电梯系统的可用性,并可优化维护实践以进行预测性维护。
另一方面,这些机会也在数据完整性和网络安全等领域带来了新的问题,这些问题在IEC 61508标准中没有涉及。例如,如果通过无线传输发送更新怎么办?我们可以确定地排除数据传输过程中的故障和人为操纵吗?是否已采取预防措施以防止服务技术人员或外部维修人员对软件进行意外更改,或防止黑客攻击?解决这些问题需要参考一些其它标准,例如用于控制系统组件安全性的IEC 62443系列以及有关信息安全管理的ISO 27001标准。
如果应用得当,这些安全标准可确保在定期技术检查期间进行验证。在此情况下,关键是制造商提交的相关信息、代码和报告,以及有关系统配置的详尽且可追溯的文档。IEC 61508中要求的方法包括在适当的安全生命周期中进行软件开发、配置和发布管理操作以及创建安全手册。
▎在测试关键运动控制应用(例如电梯)的硬件和软件时,不要被一些容易导致事故的错误做法迷惑。标准和认证可以在这方面提供帮助。