集散控制系统安全性优化探讨

1.系统的安全性概述

（1）安全性分类

1）功能安全（functional safety）是指系统正确地响应输入从而正确地输出。控制的能力（按IEC61508的定义）。在传统的工业控制系统中，特别是在所谓的安全系统（safety sys-tems）或安全相关系统（safety related systems）中，所指的安全性通常都是指功能安全；比如在连锁系统或保护系统中，安全性是关键性的指标，其安全性也是指功能安全。功能安全性差的控制系统，其后果不仅仅是系统停机的经济损失，而且往往会导致设备损坏、环境污染，甚至人身伤害。

2）人身安全（personal safety）是指系统在人对其进行正常使用和操作的过程中，不会直接导致人身伤害。比如，系统电源输入接地不良可能导致电击伤人，就属于设备人身安全设计必须考虑的问题。通常，每个国家对设备可能直接导致人身伤害的场合，都颁布了强制性的标准规范，产品在生产销售之前应该满足这些强制性规范的要求，并由第三方机构实施认证，这就是通常所说的安全规范认证，简称安规认证。

3）信息安全（information safety）是指数据信息的完整性、可用性和保密性。信息安全问题一般会导致重大经济损失，或对国家的公共安全造成威胁。病毒、黑客攻击及其他的各种非授权侵入系统的行为都属于信息安全研究的重点问题。

（2）安全性与可靠性的关系

安全性强调的是系统在承诺的正常工作条件或指明的故障情况下，不对财产和生命带来危害的性能。可靠性则侧重于考虑系统连续正常工作的能力。安全性注重于考虑系统故障的防范和处理措施，并不会为了连续工作而冒风险。可靠性高并不意味着安全性肯定高。安全性总是要依靠一些永恒的物理外力作为最后一道屏障，比如，重力不会因停电而消失，往往用于紧急情况下关闭设备。

当然，在一些情况下，停机就意味着危险的降临，比如飞机发动机停止工作。在这种情况下，几乎可以认为可靠性就是安全性。

（3）功能安全

几乎所有的工业系统都存在安全隐患，也就是说它们在某些时刻不能正确响应系统的输入，导致人身伤害、设备损坏或环境污染。

按照IEC61508的定义，功能安全是系统总体安全中的一部分，而不是全部。功能齐全强调的是以下内容：

1）危险前有信息输入。

2）系统能正确响应输入，发出控制指令，避免危险的发生。

举例来说，电动机线圈过热保护装置，其工作原理是：在线圈内安装温度探头，装置设定温度保护点，当探头测量到的温度超过设定点时，装置就切断电动机的电源。这就是一个完整的功能安全的例子。另一个例子：如果改善电动机线圈的材质或者提供高温保护层，就不属于功能安全，因为没有输入，这种安全保护属于对象本身的内在安全（inherent safety）。

如果一个系统存在某些功能上的要求，以确保系统将危险限制在可以接受的水平，就将这样的系统称为安全相关系统（safety related system）。这些功能上的要求就是所谓的安全功能（safety functions），安全功能包含两方面的内容：

1）安全功能需求：描述每项安全功能的作用，来源于危险分析（hazard analysis）过程。

2）安全度（degree of safety）要求：规定系统完成安全功能的概率，具体应用的安全度要求，从风险评估（risk assessment）过程中得到。

所以，当描述一个安全相关系统时，总是围绕“什么功能需要安全地执行”和“这些功能需要安全到什么程度”这两个主题来进行的。

一个安全相关系统，可以是一个独立于其他控制系统的系统，也可以包含在通用的控制系统之中。

（4）人身安全及安规认证

所有可能威胁人身安全的产品，在销售之前都必须通过某种要求的认证，一般每个国家都会列出一系列的产品目录，并规定每类产品应按何种标准进行安规认证或产品认证。产品认证主要是指产品的安全性检验或认证，这种检验或认证是基于各国的产品安全法及其引申出来的单一法规而进行的。在国际贸易中，这种检验或认证具有极其重要的意义。因为通过这种检验或认证，是产品进入当地市场合法销售的通行证，也是对在销售或使用过程中，因产品安全问题而引发法律或商务纠纷时的一种保障。

一般而言，产品安全性的检验、认证和使用合法标识的分类情况如图6-3所示。

图6-3 产品认证分类

1）产品责任法。在欧美国家，政府为了充分保护消费者的利益和社会整体的安定，制定了相当严格的产品责任法（product liability law）。与一般的民事或刑事法律相比，产品责任法有两个需要企业特别重视的基本原则：产品责任法强调的是“非过失责任”；在发生纠纷时，首先举证的责任在产品的供应方。

①所谓“非过失责任”，主要的意思是：即使产品的供应者并无意伤害他人，但只要在产品的常规使用过程中，发生了伤害，产品的供应者也必须承担相关的民事或刑事责任。这一基本原则实际上是要求，产品的供应者在设计和制造产品时，必须对常规使用过程中有可能发生的伤害做充分的评估，并在最大程度上采取可靠的防护措施。这种措施包括技术性措施，也包括警示性措施。麦当劳用来装热饮的杯子上的警语“小心：热饮烫口”，就是一个常见的例子。

②所谓“首先举证的责任在产品的供应方”，主要的意思是：若产品的使用者提出指控，因使用某产品而遭受伤害，他并不需要证明该伤害确实是由该产品造成的。相反的，被告的产品供应者必须设法证明，该伤害不是由其产品造成的。若产品的供应者无法证明这一点，则指控成立。

在欧盟，上述的伤害并不局限于对人员的伤害，也包括对财产的伤害，乃至家畜的伤害。

2）企业自行检验。在了解上述两条产品责任法的基本原则之后，便可以较正确地理解欧美国家对于产品认证的管理政策，即在市场准入方面，给企业提供多重选择性；在市场监管和执法方面，采取从严处理的措施。

关于中国出口欧美地区的大部分产品，如轻工产品、机电产品中的一部分，进入市场的合格检验原则上可以由企业自己执行。在这种情况下，产品进入市场后一旦发生产品责任，亦全部由企业自己承担。

一般而言，在企业可自检的产品范围内，是不存在任何法定合格标识的。但是，在欧盟，随着一系列CE指令的实施，玩具、灯具、家用电器、工业机械和信息产品的一部分自检类产品，在进入市场销售时，必须使用欧盟法定的CE标识。

3）自愿申请第三者认证。本着在市场准入方面给企业提供多重选择性的原则，欧美各国针对可自检类产品也认可一批专业认证机构，允许企业向这些认证机构申请产品的安全认证。企业选择第三者认证有三大好处。

①利用认证机构在产品法规和检验标准方面的专业性，确保产品检验的正确性和完整性，以避免检验不完整而带来的后顾之忧，包括避免买方或消费者借产品安全的理由人为地制造一些同务纠纷。

②在通过认证后，企业可以在产品上使用认证机构的认证标志，以此将自己的产品与同行的自检产品加以区分，增加买方的信任，提高市场的接受度。

③在产品进入市场后一旦发生产品责任问题时，可以取得认证机构的技术支持和法律支持。

这种自愿性的第三者认证制度，是机电产品范围内最常见的现象。以欧美最流行的两大认证标志为例，美国的UL和德国的GS都是这样一种自愿性的第三者认证。类似的例子还有英国的BS、加拿大的CSA、法国的NF、意大利的IMQ等。

事实上，这种基于自愿原则的认证，由于买方的强烈要求和市场的接受度，已产生了一种商业活动意义上的强制性。没有UL标志的机电产品，几乎无法外销美国；没有GS标志的机电产品出口德国将困难重重。

在欧盟，由于CE指令要求采用欧洲标准作为统一的检验标准，各国原有的认证机构也迅速地采用欧洲标准，作为自愿性认证的技术标准。所以，产品在通过认证机构的认证后，同时也符合了CE的要求，这样企业便可以在产品上同时使用法定的CE标识和认证机构的认证标志。

4）强制性第三者认证。在欧美，强制性第三者认证主要适用于高风险产品范围，如医疗器械、承压设备、爆炸性产品、人员运输设备、金属切割机械、食品及药品等直接关系到人身安全的产品。在很长一段时间内，这类产品的上市许可程序，即使在一个国家内，也有很大的差别，也包括许多政府行为。欧盟的CE指令提出了较符合现代经济发展和科技进步的认证管理方法。

①管理机构负责监督法规的执行情况，而将直接的测试和认证工作授权给专业的认证机构执行。

②所有产品范围内，统一认证程序主要包括两个部分：第一部分是样品的技术检验，第二部分是生产时的质量保证体系认证。

在欧洲，强制性第三者认证的范围正在逐步精简。在某些国家，强制性第三者认证的范围则仍较广泛，亦涵盖家用电器和信息产品等。俄罗斯的GOST-R认证和中国的CCC标志就是这样的例子。

5）主要的机电产品认证标志。主要机电产品的认证标志见表6-3。

（5）信息安全

1）信息安全概述。计算机网络在政治、经济、社会及文化等领域起着越来越大的作用，基于因特网的电子商务也迅速发展。信息安全如果得不到保障，将会给庞大的计算机网络造成巨大的损失。

表6-3 主要机电产品认证标志

目前我国已形成国家公用网络、国家专用网络和企业网络三大类别的计算机网络系统，互联网已覆盖我国200多个城市，3000多个政府数据库和10000多个企业数据库链接在互联网上，在网上自由传递的电子邮件等更是难以计数。信息安全问题已经成为我国信息化进程中比较突出而且亟待解决的难题。

通俗地讲，信息安全是要保证信息的完整性、可用性和保密性。目前的信息安全可以分为3个层面：网络的安全、系统的安全及信息数据的安全。

①网络层安全问题的核心在于网络是否得到控制，也就是说，是不是任何一个IP地址来源的用户都能够进入网络。一旦危险的访问者进入企业网络，后果是不堪设想的。这就要求网络能够对来访者进行分析，判断来自这一IP地址的数据是否安全，以及是否会对本网络造成危害；同时还要求系统能自动将危险的来访者拒之门外，并对其进行自动记录，使其无法再次危害。

②系统层面的安全问题主要是病毒对于网络的威胁。病毒的危害已是人尽皆知了，它就像是暗藏在网络中的炸弹，系统随时都有可能遭到破坏而导致严重后果，甚至造成系统瘫痪。因此企业必须做到实时监测，随时查毒、杀毒，不能有丝毫的懈怠与疏忽。

③信息数据是安全问题的关键，其要求保证信息传输的完整性、保密性等。这一安全问题所涉及的是，使用系统中的资源和数据的用户是否是那些真正被授权的用户。这就要求系统能够对网络中流通的数据信息进行监测、记录，并对使用该系统信息数据的用户进行强有力的身份认证，以保证企业的信息安全。

目前，针对这3个层面而开发出的信息安全产品主要包括杀毒软件、防火墙、安全管理、认授权及加密等。其中以杀毒软件和防火墙应用最为广泛。

2）信息安全标准和法规。根据《中华人民共和国计算机信息系统安全保护条例》，依据公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》规定程序，我国信息安全产品实行销售许可证制度，由公安部计算机管理监察部门，负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。

信息安全的管理和评价实行分等级制度，GB17859—1999《计算机信息系统安全保护等级划分准则》，就是中国在信息安全等级保护方面的强制性国家标准。

GB17859规定了计算机系统安全保护能力的5个等级。

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级。

国际方面，信息安全等级标准的发展过程如图6-4所示。

图6-4 国际信息安全等级标准的发展过程

①TCSEC标准。在TCSEC中，美国国防部按处理信息的等级和应采用的相应措施，将计算机安全从高到低分为：A、B、C、D四类8个级别，共27条评估准则。其中，D级为无保护级、C级为自主保护级、B级为强制保护级、A级为验证保护级。随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。

②通用准则CC。CC共包含的11个安全功能类。

FAU类：安全审计；

FCO类：通信；

FCS类：密码支持；

FDP类：用户数据保护；

FIA类：标识与鉴别；

FMT类：安全管理；

FPR类：隐秘；

FPT类：TFS保护；

FAU类：资源利用；

FTA类：TOE访问；

FTP类：可信信道/路径。

安全保证要求部分提出了7个评估保证级别（EALs）。

EALl：功能测试；

EAL2：结构测试；

EAL3：系统测试和检查；

EAL4：系统设计、测试和复查；

EAL5：半形式化设计和测试；

EAL6：半形式化验证的设计和测试；

EAL7：形式化验证的设计和测试。

各评估标准之间的对应关系见表6-4。

表6-4 国际信息安全评估标准分级对应表

3）信息安全技术。信息安全主要采用以下几种技术：

①防火墙。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术：包过滤技术、应用网关技术和代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

②虚拟专有网。虚拟专有网VPN是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

③安全服务器。安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

④电子签证机构。电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。

⑤用户认证产品。由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其他技术如动态口令相结合，对用户身份进行有效地识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜及脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得用户身份的认证和识别更趋完善。

⑥安全管理中心。由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

⑦安全操作系统。给系统中的关键服务器提供安全运行平台，构成安全WWW服务、安全FTP服务、安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

针对工业控制行业的信息安全技术，ISA在2004年发布了如下对应的技术报告：

ISATR 99.00.01—2004：Security Technologies for Manufacturing and Control Systems。

ISATR 99.00.02—2004：Integrating Electronic Security into the Manufacturing and Control Systems Environment。

2.环境适应性设计技术

环境变量是影响系统可靠性和安全性的重要因素，所以研究可靠性，就必须研究系统的环境适应性。通常纳入考虑的环境变量有：温度、湿度、气压、振动、冲击、防尘、防水、防腐、防爆、抗共模干扰、抗差模干扰、电磁兼容性（EMC）及防雷击等。下面简单说明一下各种环境变量对系统可靠性和安全性构成的威胁。

（1）温度

环境温度过高或过低都会对系统的可靠性带来威胁。

低温一般指低于0℃的温度。低温的危害有电子元器件参数变化、低温冷脆及低温凝固（如液晶的低温不可恢复性凝固）等。低温的严酷等级可分为：-5℃、-15℃、-25℃、-40℃、-55℃、-65℃、-80℃等。

高温一般指高于40℃以上的温度。高温的危害有电子元器件性能破坏、高温变形及高温老化等。高温严酷等级可分为：40℃、55℃、60℃、70℃、85℃、100℃、125℃、150℃、200℃等。

温度变化还会带来精度的温度漂移。

设备的温度指标有两个：工作环境温度和存储环境温度。

1）工作环境温度：设备能正常工作时，其外壳以外的空气温度，如果设备装于机柜内，指机柜内空气温度。

2）存储环境温度：指设备无损害保存的环境温度。

对于PLC和DCS类设备，按照IEC61131-2的要求，带外壳的设备，其工作环境温度为5～40℃；无外壳的板卡类设备，其工作环境温度为5～55℃。而在IEC60654—1：1993中，进一步将工作环境进行分类：有空调场所为A级20～25℃，室内封闭场所为B级5～40℃，有掩蔽（但不封闭）场所为C级-25～55℃，露天场所为D级-50～40℃。

关于温度，在一些文章中，也经常被分为商业级、工业级和军用级三种等级，这些说法是元器件厂商的习惯用语，一般并无严格定义。通常，将元器件按下列温度范围分别划分等级（不同厂家的划分标准可能不同）：商业级0～70℃，工业级-40～85℃，军用级-55～125℃。

关于工业控制系统的温度分级标准，可以参见IEC60654—1：1993（对应国标GB/T17214.1—1998——工业过程测量和控制装置的工作条件第1部分：气候条件）或ISA—71.01—1985——Environmental Conditions for Process Measurement and Control Systems：Tem-perature and Humidity。

（2）湿度

工作环境湿度：设备能正常工作时，其外壳以外的空气湿度，如果设备装于机柜内，指机柜内空气湿度。

存储环境湿度：指设备无损害保存的环境湿度。

混合比：是水汽质量与同一容积中空气质量的比值。

相对湿度：相对湿度是空气中实际混合比（r）与同温度下空气的饱和混合比（r_s）之百分比。相对湿度的大小可以直接表示空气距离饱和的程度。

在描述设备的相对湿度时，往往还附加一个条件——不凝结（Non-condensing），指的是不结露。因为当温度降低时，湿空气会饱和结露，所以不凝结实际上是对温度的附加要求。

在空气中水汽含量和气压不变的条件下，当气温降低到使空气达到饱和时的那个温度称为露点温度，简称为露点。

在气压不变的条件下，露点温度的高低只与空气中的水汽含量有关。水汽含量越多，露点温度越高，所以露点温度也是表示水汽含量多少的物理量。当空气处于未饱和状态时，其露点温度低于当时的气温；当空气达到饱和时，其露点温度就是当时的气温，由此可知，气温与露点温度之差，即温度露点差的大小也可以表示空气距离饱和的程度。

温度对设备的影响如下：

1）相对湿度超过65%，就会在物体表面形成一层水膜，使绝缘劣化。

2）金属在高湿度下腐蚀加快。相对湿度的严酷等级可分为：5%、10%、15%、50%、75%、85%、95%、100%等。关于工业控制系统的湿度分级标准，可以参见IEC60654-1：1993（对应国标GB/T17214.1—1998——工业过程测量和控制装置的工作条件第1部分：气候条件）或ISA71.01—1985——Environmental Conditions for Process Measurement and Con-trol Systems：Temperature and Humidity。

（3）气压

空气绝缘强度随气压降低而降低（海拔每升高100m，气压降低1%）。散热能力随气压降低而降低（海拔每升高100m，元器件的温度上升0.2～1℃）气压的严酷等级常用海拔表示，比如海拔3000m。一个标准大气压=气温在0℃及标准重力加速度（g=9.80665）下760mmHg所具有的压强，即一个大气压=1.35951×104×9.80665×0.76=101325Pa。海拔每升高100m，气压就下降5mmHg（0.67kPa）。

（4）振动和冲击

振动（Vibration）是指设备受连续交变的外力作用。

振动可导致设备紧固件松动或疲劳断裂。设备安装在转动机械附近，即典型的振动DCS系统的振动要求标准主要是IEC606534—3：1983《工业过程测量和控制装置的工作条件第3部分：机械影响》（对应国标GB/T 17214.3—2000）。

控制设备的振动分为低频振动（8～9Hz）和高频振动（48～62Hz）两种，严酷等级一般以加速度表示：0.1g、0.2g、0.5g、1g、2g、3g、5g。

振动的位移幅度一般分0.35～15mm等级。

冲击（Shock）是短时间的或一次性的施加外力。跌落就是典型的冲击。DCS系统的冲击要求标准也主要是由IEC60654-3规定。

冲击的严酷等级以自由跌落的高度来表示，一般分25mm、50mm、100mm、250mm、500mm、1000mm、2500mm、5000mm和10000mm。

（5）防尘和防水

防尘和防水常用标准IEC60529（对应国标GB 4208—1993）——外壳防护等级。其他标准有NEMA250，UL 50和508，CSA C22.2No.94-M91。上述标准规定了设备外壳的防护等级，包含两方面的内容：防固体异物进入和防水。IEC60529采用IP编码（International Protection，IP）代表防护等级，在IP字母后跟两位数字，第一位数字表示防固体异物的能力，第二位数字表示防水能力，如IP55。IEC60529/IP编码含义见表6-5。各类防护标准等级简易对照见表6-6。

表6-5 IEC60529/IP编码含义

表6-6 各类防护标准等级简易对照表

（续）

（6）防腐蚀

IEC60654-4：1987将腐蚀环境分为几个等级。主要根据硫化氢、二氧化硫、氯气、氟化氢、氨气、氧化氮、臭氧和三氯乙烯等腐蚀性气体；盐雾和油雾；固体腐蚀颗粒三大类腐蚀条件和其浓度进行分级。

腐蚀性气体按种类和浓度分为4级：一级为工业清洁空气，二级为中等污染，三级为严重污染，四级为特殊情况。

油雾按浓度分为4级：一级＜5/μg/kg干空气，二级＜50/μg/kg干空气，三级＜500μg/kg干空气，四级＞500μg/kg干空气。

盐雾按距海岸线距离分为3级：一级距海岸线0.5km以外的陆地场所，二级距海岸线0.5km以内的陆地场所，三级为海上设备。

固体腐蚀物未在IEC60654-4：1987标准中分级，但该标准也叙述了固体腐蚀物腐蚀程度的组成因素，主要是空气湿度、出现频率或浓度、颗粒直径、运动速度、热导率、电导率及磁导率等。

上述规定可以参见IEC654-4：1987（等效标准JB/T 9237.1—1999）《工业过程测量和控制装置的工作条件第4部分：腐蚀和浸蚀影响》。

另外，ISA-71.04—1985——Environmental Conditions for Process Measurement and Control Systems：Airborne Contaminants也规定了腐蚀条件分级。

（7）防爆

在石油化工和采矿等行业中，防爆是设计控制系统时关键安全功能要求。每个国家和地区都授权权威的第三方机构，制定防爆标准，并对申请在易燃易爆场所使用的仪表进行测试和认证。

美国电气设备防爆法规的国家电气代码（National Electric Code，NEC，由NFPA负责发布）中，最重要的条款代码为NEC500和NEC505，属于各州法定的要求，以此为基础，美国各防爆标准的制定机构发布了相应的测试和技术标准，这些机构主要有如下几个：

1）国家防火协会（National Fire Protection Association，NFPA）。

2）保险业者实验室（Underwriters Laboratories，UL）。

3）工厂联研会（Factory Mutual，FM）。

4）美国仪表协会（Instrumentation Systems and Automation Society，ISA）。

不过多数产品都选择通过UL或FM的认证。

加拿大防爆标准的制定机构主要是加拿大标准协会（Canadian Standards Association，CSA）。

在欧洲，相应的标准由欧洲电工标准委员会（CENELEC）制定。国际标准中，主要遵循IEC 60079系列标准。

在中国，国家制定了防爆要求的强制性标准，即GB3836系列标准。检验机构主要是国家级仪表防爆安全监督检验站（National Supervision and Inspection Center for Explosion Protec-tion and Safety of Instrumentation，NESPI），设在上海自动化仪表所。各种防爆标准近似对应见表6-7。

表6-7 各类防爆标准近似对应

下面以GB3836为例，简要介绍一下防爆的分类、等级和标记。

1）场所分类。

Ⅰ类：有甲烷等气体的煤矿井下。

Ⅱ类：各种易燃易爆气体的工业场所。

Ⅲ类：有易燃易爆粉尘的场所。

2）易爆等级分类（可燃物类型）。按易爆物质类型，其中I类不再细分，Ⅱ类细分为A、B、C三级，Ⅲ类细分为A、B两级，A、B、C三级依次变得易引爆。

3）温度分类。环境温度不一样，易爆程度也不同。

Ⅰ、Ⅱ类分为6个级别：TI（300～450℃）、T2（200～300℃）、T3（135～200℃）、T4（100～135℃）、T5（85～100℃）和T6（低于85℃）。

Ⅲ类分为3个级别：T1—1（200～270℃）、T1—2（140～200℃）和T1—3（低于140℃）

4）类型标记符号。仪表和系统可以采用多种技术原理实现防爆功能，每种技术原理类型采用一个英文字符表示，如隔爆型“d”、冲油型“o”、正压型“p”、增安型“e”、冲砂型“q”、浇封型“m”、本安型“i”、火花型“n”、气密型“h”。其中增安型是在隔爆型的基础上再加上无火花设计形成的；本安型又分为ia和ib两级，ia安全数更大。

5）防爆仪表的标识。按“原理类型标记符号、场所类型、温度等级”的顺序，将上述的分类代号连成一串，组成防爆仪表的完整标识，如dIIBT3，表示隔爆型仪表，可用于乙烯环境中，其表面温度不超过200℃；iaIIAT5，表示本安ia型，可用于乙炔、汽油环境中，表面温度不超过100℃。

在实际应用中，采用本安（intrinsic safety）型仪表或采用安全栅（intrinsic safety barri-er）是最常见的选择。

3.电磁兼容性和抗干扰

（1）电子系统的电磁兼容性和抗干扰概述

DCS作为复杂的电子系统，其电磁兼容性（EMC）和抗干扰能力在很大程度上决定了系统的可靠性，所以，从本节开始到本书结束，都是围绕这一主题展开讨论的。下面先介绍电磁兼容性和抗干扰的一些基本概念。

1）电磁兼容性（Electro Magnetic Compatibility，EMC）：设备在其电磁环境中能正常工作，且不具备对该环境中其他设备构成不能承受的电磁骚扰的能力。

2）骚扰（Disturbance）：专指本产品对别的产品造成的电磁影响。(www.xing528.com)

3）干扰（Interference）：或称为抗干扰，专指本产品抵抗别的产品的电磁影响。

4）形成电磁干扰的三要素是：骚扰源、传播途径和接收器。

5）骚扰源：危害性电磁信号（即干扰信号，或称为噪声）的发射者。

6）传播途径：指电磁信号的传播途径，主要有辐射和传导两种方式。

7）辐射（Radiated Emission）：通过空间发射。

8）传导（Conducted Emission）：沿着导体发射。

注意：不要将发射和辐射混淆，辐射和传导都统属于发射。

9）接收器：收到电磁信号的电路。消除骚扰源（噪声）、传播途径和接收器这三要素之一，产品间电磁干扰就不存在了。

噪声的种类和产生原因噪声分为自然噪声和人为噪声两大类。

1）自然噪声：宇宙射线和太阳辐射（频率大于10 MHz）；雷电（频率小于10 MHz）。

2）人为噪声：故意行为，如雷达、电子战发射装置；无意行为，如电焊机、电源、继电器及静电等。

在DCS系统中，噪声通过辐射或传导叠加到电源、信号线和通信线上，轻则造成测量的误差，严重的噪声（如雷击、大的串模干扰）可造成设备损坏。DCS中常见的干扰（噪声）有以下几种：

1）电阻耦合引入的干扰（传导引入）：

①当几种信号线在一起传输时，由于绝缘材料老化、漏电而影响到其他信号中引入干扰。

图6-5 两点接地的干扰

②在一些用电能作为执行手段的控制系统中（如电热炉、电解槽等）信号传感器漏电，接触到带电体，也会引入很大的干扰。

③在一些老式仪表和执行机构中，现场端采用AC 220V供电，有时设备烧坏，造成电源与信号线间短路，也会造成较大的干扰。

④由于接地不合理，例如，在信号线的两端接地，会因为地电位差而加入一较大的干扰，如图6-5所示。信号线的两端同时接地，这样，如果A、B两点的距离较远，则可能会有较大的电位差eN，这个电位差可能会在A、B两端之间的信号线上产生一个很大的环流。

2）电容电感耦合引入的干扰。因为在被控现场往往有很多信号同时接入计算机，而且这些信号线或者走电缆槽，或者走电缆管，但肯定是很多根信号线在一起走线。这些信号之间均有分布电容存在，会通过这些分布电容将干扰加到别的信号线上，同时，在交变信号线的周围会产生交变的磁通，而这些交变磁通会在并行的导体之间产生电动势，这也会造成线路上的干扰。

3）计算机供电线路上引入的干扰。在一些工业现场（特别是电厂冶金企业、大的机械加工厂）大型电气设备起动频繁，大的开关装置动作也较频繁，这些电动机的起动、开关的闭合产生的火花会在其周围产生很大的交变磁场。这些交变磁场既可以通过在信号线上耦合产生干扰，也可能通过电源线上产生高频干扰，这些干扰如果超过容许范围，也会影响计算机系统的工作。

4）雷击引入的干扰。雷击可能在系统周围产生很大的电磁干扰，也可能通过各种接地线引入干扰。

噪声可以通过以下3种机构传播和接收。

1）通过天线或等效于天线的结构接收。

2）通过机箱接收。

3）通过导线接收。

对于上述三种基本的信号传播机构，可构成九种可能的耦合，其中，天线-天线，天线-导线、导线-导线是三种最主要的耦合方式，所以电磁兼容性的研究和标准也主要是围绕这种模式进行的。机箱-机箱模式除低频磁场外，一般不是主要的。

（2）电磁兼容性标准概述

早在1934年，IEC成立“国际无线电干扰特别委员会”（法文缩写为CISPR）开始制定一系列的电磁兼容标准。

1979年，IEC在C65专业（工业过程测量和控制设备专业委员会）下成立WG4工作组，专门研究该领域的电磁兼容性问题，并于1984年提出了著名的IEC801系列标准。

1989年，欧共体发布89/336/EEC产品指令，规定到1995年底为过渡期，之后凡未达到该指令中电磁兼容标准的产品，不得进入欧盟市场。

1990年，IECTC77（专门研究电气设备电磁兼容的委员会）认为IEC801的成果与其工作重叠，决定采纳IEC 801为基础标准，改标准号为IEC61000-4系列。

美国联邦通信委员会（FCC）也制定了相应的EMC标准。

电磁兼容性标准可以分为发射标准和抗扰度标准两大类（DCS作为工业控制产品，其抗扰度受到更多的关注），每类标准根据标准的适用范围，又分为基础标准、通用标准、产品簇标准和专用产品标准，如图6-6所示。

发射（Emission/Disturbance）标准：用于表述产品发出电磁信号骚扰别的产品的具体规定，如IEC61000-6-4工业环境中的发射标准。

抗扰度（Irnmumty）标准：用于表述产品抵抗电磁骚扰信号的具体规定。如IEC61000-6-2工业环境中的抗扰度要求。

图6-6 电磁兼容标准体系层次图

基础标准（Basic Standards）：只阐述测量和试验方法，不规定环境，不规定何种产品应达到什么等级的要求。如IEC61000-4系列，规定了基础性抗扰度标准。

通用标准（Generic Standards）：对规定的某类环境中的产品提出一系列最低的电磁兼容性要求。如IEC61000-6系列，规定了住宅和工业环境的电磁兼容标准。

产品簇标准（Product Family Standards）：在通用标准和基础标准的基础上，具体规定了某类产品的电磁兼容要求和测试方法。如GB/T 17618—1998（idt CISPR 24：1997）——《信息技术设备抗扰度限值和测量方法》。

专用产品标准（Product Specific Standards）：具体规定某一型号产品的电磁兼容要求，一般不单独编制某产品的电磁兼容标准，而只是将其电磁兼容的要求编写在该产品的通用技术条件或产品标准中，以引用其他电磁兼容标准的条款的形式表达，如用于PLC的IEC61131-2。

在国际电磁兼容性标准中，最著名的是IEC6l000系列标准，分为以下几大系列：

IEC61000-1系列：《总论》，一般性的讨论和定义，术语。

IEC61000-2系列：《环境》，环境分类及描述。

IEC61000-3系列：《限值》，发射和抗扰度限值。

IEC61000-4系列：《测试技术》，测量和试验技术。

IEC61000-5系列：《安装于调试指南》，安装指南，调试方法与设备。

IEC61000-6系列：《通用标准》，规定不同环境下的抗扰度和发射要求。

在上述标准中，IEC61000-4系列标准是DCS中经常采用的抗扰度测试基础标准IEC61000-4系列标准来源于原来的IEC801系列标准，见表6-8。

表6-8 IEC61000-4系列标准与原IEC 801系列标准对应表

DCS的电磁兼容性的一般要求，目前国际国内并无专门的产品标准，但作为典型的工业控制设备，一般将其归为轻工类工业产品（1ight industry）或信息设备（Information Tech-nology Equipment，ITE），从而采用对应的通用标准或产品簇标准。

CISPR 24和CISPR 22是国际无线电干扰标准化委员会为信息技术设备制定的产品电磁兼容簇标准，前者为抗扰度标准，后者为发射标准。我国对应国标为GB/T17618—1998《信息技术设备抗扰度限值和测量方法》（idt CISPR 24：1997）；GB9254—1998《信息技术设备的无线电骚扰限值和测量方法》（idt CISPR22：1997）；CISPR24的测量方法引用基础标准IEC61000-4系列（“电磁兼容试验和测量技术静电放电抗扰度试验”即GB/T 17626系列1998）。

目前国外的DCS厂家，直接采用IEC61000-4系列标准，并标明其产品的测试结果，一般来说，对于DCS产品，只要表6-8所列的几种IEC61000-4标准的2级以上，就可以满足其使用环境的要求。2002年，IEC发表了适合于工业控制设备使用的EMC产品簇标准，即IEC61326：2002（废除和代替了IEC61326-1：1997和1998及2000年的两次补充），也是以IEC61004系列标准为基础编制的。

GB/T17618—1998中对信息技术电子设备抗扰度的要求见表6-9。

表6-9 信息技术电子设备抗扰度要求

GB/T17618—1998分级准则：

A级：产品在试验中和试验后都能正常工作，且无性能下降。

B级：产品在试验后能正常工作，且无性能下降；产品在试验中允许性能有降低，但不允许实际工作状态或存储数据有变化。

C级：产品在试验中或试验后有暂时的性能下降或状态变化，但可以通过控制操作来自行恢复或人工恢复（比如重新上电复位）。

（3）产品的电磁兼容性和抗干扰设计

电子系统要在复杂的电磁环境中可靠地工作，必须从设计上确保各种干扰得到抑制。电磁兼容性和抗干扰是非常相近的内容。在电子系统设计中，提高其电磁兼容性和抗干扰能力的“六大法宝”是：接地、隔离、屏蔽、双绞、吸收、滤波。

在接下来将逐一对上述方法进行阐述。

4.提高电磁兼容性和抗干扰能力的“六大法宝”

（1）接地

众所周知，地球可以视为一个巨大的电容器，可以存储海量的电荷。接地就是基于这样一个基本的物理基础所采取的技术手段。接地按其作用可分为保护性接地和功能性接地两大类。

1）保护性接地。

①防电击接地：为了防止电气设备绝缘损坏或产生漏电流时，使平时不带电的外露导电部分带电而导致电击，将设备的外露导电部分接地，称为防电击接地。这种接地还可以限制线路涌流或低压线路及设备由于高压窜入而引起的高电压；当产生电器故障时，有利于过电流保护装置动作而切断电源。这种接地，也是通常的狭义的“保护接地”，它又分为保护导体接地（PE，也称为保护接地）和保护中性导体接地（PEN，也称为保护接零）两种方式。

②防雷接地：将雷电导入大地，防止雷电流使人身受到电击或财产受到破坏。

③防静电接地：将静电荷引入大地，防止由于静电电压对人体和设备造成危害。特别是目前电子设备中集成电路用得很多，而集成电路容易受到静电作用产生故障，接地后可防止集成电路的损坏。

④防电蚀接地：地下埋设金属体作为牺牲阳极或阴极，以防止电缆、金属管道等受到电蚀。

2）功能性接地。

①逻辑接地：为了确保稳定的参考电位，将电子设备中的某个参考电位点（通常是电源的零电位点）接地，也称为电源地或直流地。

②屏蔽接地：将电气干扰源引入大地，抑制外来电磁干扰对电子设备的影响，也可减少电子设备产生的干扰影响其他电子设备。

③信号回路接地：如各变送器的负端接地，开关量信号的负端接地等。

④本安接地：为保证系统向防爆区传送的能量在规定的范围之内，将安全栅等设备安全地连接到供电电源的零电位点。

配电型式决定DCS系统的保护性接地方式。

保护性接地的主要目的是避免人身伤害，所以在介绍保护性接地之前，先介绍一下人体对电流的反应。通过人体的工频电流达到2～7mA，人会感到电击处强烈麻刺，肌肉痉挛；2～10mA，手已难以摆脱电源；20～25mA，人体已经不能自主，无法自己摆脱电源，且人体将感到痛苦和呼吸困难；25～80mA，呼吸肌痉挛，电击时间为25～30s，可发生心室纤维性颤动或心跳停止，将危及生命；80～100mA，电击时间为0.1～0.3s，即引起严重心室纤维性颤动造成死亡。因而通过人体的工频电流要在20mA以下，才能被认为是安全的。通过人体的电流值与加在人体上的电压及人体的电阻有关。人体在皮肤完好状态下的电阻是很高的，有时可达MΩ级，但当皮肤处于潮湿或损伤状态时，人体电阻将急剧降低，在这种不利情况下，认为人体电阻1～1.5kΩ是合适的。如再考虑到人足与大地间的接触电阻，则总电阻在2kΩ以上。如果用电压来衡量，人体最高可承受的安全电压为50V交流有效值以下。

为了保证在设备外壳带电时的人身安全，必须采用保护性接地措施，主要有保护接地（PE）和保护接零（PEN）两种选择。

保护接地（PE）可用于变压器中性点不接地、通过阻抗接地或直接接地供电系统，它是把一根导线，一端接在设备的金属外壳上，另一端接在接地体（专门埋入地下的金属棒管）上，让电器的金属外壳与大地连成一体。这样，万一金属外壳因某种原因带电时，电流就会通过导线流进大地，装在供电线路上的熔丝由于流过的电流突然增大而熔断，从而保护了人身和电器的安全。保护接地的接地电阻一般要求小于4Ω。

保护接零（PEN）仅用于三相四线制且变压器中性点直接接地的供电系统，它是把电器的金属外壳接到供电线路系统中的专用接零地线上，而不必专门自行埋设接地体。当某种原因造成电器金属外壳带电时，通过供电线路的相线（某一相导线）→金属外壳→专门接零地线，构成了一个单相电源短路的回路，供电线路的熔丝在流过很大的电流时熔断，从而消除了触电的危险。采用保护接零，必须确保三点：零线不可以断线、零线需要重复接地、中性点接地良好。

关于保护性接地的型式选择和安全要求，由国家强制性标准GB 14050—1993《系统接地的型式及安全技术要求》规定。

按照GB l4050，低压配电系统的接地方式有IT、WI′、TN 3种。在TN型中又分有TN-C、TN-S和TN-C-S 3种派生型。字母代号含义如下：

第一个字母反映电源中性点接地状态：T——表示电源端（变压器）中性点接地；I——表示电源中性点没有接地（或采用阻抗接地）。

第二个字母反映负载侧的接地状态：T——表示负载保护接地，但独立于电源端（变压器）接地；N——表示电气装置外壳与电源端接地点直接连接。

第三个字母C——表示中性导体与保护导体共用一线。

第四个字母S——表示中性导体与保护导体是分开的。

1）逻辑接地。逻辑地即电源地，逻辑地一般可以在本机柜内直接以星形方式连接到一点，该点一般也是与机柜绝缘的汇流条。通常，逻辑地可与屏蔽地共用汇流条。

2）屏蔽接地。对于DCS而言，大部分信号为低频信号，信号屏蔽层采用单端接地的方法，并且为了获得更高的模拟测控精度，机柜内屏蔽地为单独的汇流条，该回流条与机柜体的其他部分绝缘。

3）本安接地。本安接地是指本安仪表或安全栅的接地。这种接地除了抑制干扰外，还可使仪表和系统具有本质安全特性。本安接地会因为采用的设备的本安措施不同而不同，下面以齐纳式安全栅为例，说明其接地内容。如图6-7所示为一个齐纳式安全栅的接地原理图。

图6-7 齐纳式安全栅的接地原理图

安全栅的作用是保护危险现场端永远处于安全电源和安全电压范围之内。如果现场端短路，由于负载电阻和安全栅电阻R的限流作用，会将导线上的电流限制在安全范围内，使现场端不至于产生很高的温度，引起燃烧。如果计算机一端产生故障，则高压电信号加入了信号回路，由于齐纳二极管的钳位作用，也使电压位于安全范围。

值得提醒的是，由于齐纳安全栅的引入，使得信号回路上的电阻增大了许多，因此，在设计输出回路的负载能力时，除了要考虑真正的负载要求以外，还要充分考虑安全栅的电阻，留有余地。

上面介绍了几种接地：保护地、逻辑地、屏蔽地和安全地。对这几种接地，各家有各家的要求，可能略有不同，最常见的接地方法示意如图6-8所示，接地实施步骤如下：

图6-8 DCS系统的接地示意图

1）保护地。如前所述，目前很多工厂的供电系统为TT系统，所以AC 220V电源引入DCS时，只需要接入相线（L）和零线（N），电源系统的地线（E）并不接入，此时Ⅸ：5系统内保护地的接法是：首先，在安装时用绝缘垫和塑料螺钉垫圈保证各机柜与支撑底盘间绝缘（底盘由DCS厂家提供，焊接在地基槽钢上）；其次，将系统内务机柜（柜门和柜顶风扇等可动部分必须用导线与机柜良好接触）接地螺钉用接地导线用菊花链的形式连接起来，再从中间的机柜的接地点用一根接地线连接到ECS接地铜排（图6-8中G1点）。操作员站等PC的机壳也采用类似方法接入G1，需要注意的是，PC的5V电源地与其外壳是连在一起的，所以相当于PC的逻辑地是通过保护地接地的。

2）逻辑地。首先，各站内的逻辑地必须在本柜汇集于一点（柜内汇流排），然后，各柜内用粗绝缘导线以星形汇集到DCS接地铜排（Gl点）。逻辑地除了获得稳定的参考点，还有助于为静电积累提供释放通路，所以，即使是隔离电路，其逻辑地也应该是接地或通过大电阻（比如1MΩ以上）接地，不建议采用所谓的“浮空”处理。即使是在航天器等无法接入大地的场合，也需要将逻辑地接到设备中最大的金属片上。

3）屏蔽地。屏蔽地也叫模拟地（AG），几乎所有的系统都提出AG一点接地，而且接地电阻小于1Ω。DCS设计和制造中，在机柜内部都安置了AG汇流排或其他设施。用户在接线时将屏蔽线分别接到AG汇流排上，在机柜底部，用绝缘的铜辫连到一点，然后将各机柜的汇流点再用绝缘的铜辫或铜条以星形汇集到G1点。大多数的DCS要求，不仅各机柜AG对地电阻小于1Ω，而且各机柜之间的电阻也要小于1Ω。

4）安全栅地。我们回过头来再看图6-7所示的安全栅原理图。从图6-7中可以看出有3个接地点：B、E、D。通常B和E两点都在计算机这一侧，可以连在一起，形成一点接地。而D点是变送器外壳在现场的接地，若现场和控制室两接地点间有电位差存在，那么，D点和正点的电位就不同了。假设以E作为参考点，假定是D点出现10V的电势，此时，A点和正点的电位仍为24V，那么A和D间就可能有34V的电位差了，已超过安全极限电位差，但齐纳管不会被击穿，因为A和E间的电位差没变，因而起不到保护作用。这时如果不小心，现场的信号线碰到外壳上，就可能引起火花，从而点燃周围的可燃性气体，这样的系统也就不具备本安性能了。所以，在涉及安全栅的接地系统设计与实施时，一定要保证D点和B（E）点的电位近似相等。在具体实践中可以用以下方法解决此问题：用一根较粗的导线将D点与B点连接起来，来保证D点与B点的电位比较接近。另一种就是利用统一的接地网，将它们分别接到接地网上，这样，如果接地网的本身电阻很少，再用较好的连接，也能保证D点和B点的电位近似相等。

5）DCS接地点设置。各机柜内的地都用铜线连接到DCS接地铜排（G1点）后，需要用一根更粗的铜线将G1连接到工厂选定DCS接地点（G2），需要注意的是G2的选择。在很多企业，特别是电厂、冶炼厂等，其厂区内有一个很大的地线网，将变压器端接地与用电设备的接地连成一片。但是为了防止供电系统地的影响，建议供电线路用隔离变压器隔开。这对那些电力负荷很重，而且负荷经常起停的场合是应注意的。从抑制干扰的角度来看，将电力系统地和计算机系统的所有地分开是很有好处的，因为一般电力系统的地线是不太干净的。但从工程角度来看，在有些场合下，单设计算机系统地并保证其与供电系统地隔开一定距离是很困难的。考虑能否将计算机系统地和供电地共用一个，这要考虑如下几个因素：

①供电系统地上是否干扰很大，如大电流设备起停是否频繁，因为大电流入地时，由于土壤电阻的存在，离入地点越近，地电位上升越高，起落变化越大。

②供电系统地的接地电阻是否足够小，而且整个地网各个部分的电位差是否很小，即地网的各部分之间是否阻值很小（小于1Ω）。

③DCS的抗干扰能力及所用到的传输信号的抗干扰能力，例如有无小信号（热电偶、热电阻）的直接传输等。

以上讨论了几种接地的方法和DCS接地点的设置。在不同的系统中，对这几种接地的要求可能不同，但大多数系统对AG的接地电阻一般要求小于1Ω，而安全栅的接地电阻应小于4Ω，最好小于1Ω，PG和CG的接地电阻应小于4Ω。总的来说，一般工控机系统（包括自动化仪表）的接地系统，由接地线接地汇流排、公用连接板及接地体等几部分组成，如图6-9所示。

总之，对于DCS系统或其他电气系统的接地，其本质就是“能接地的接好地，并且一点接地”，不能“借河”出海，“百川”必须各自“归海”（否则各“河道”水位相互影响，而大地可视为海量的电容，“水位”几乎不变）。

（2）隔离

电路隔离的主要目的是通过隔离元器件把噪声干扰的路径切断，从而达到抑制噪声干扰的效果。在采用了电路隔离的措施以后，绝大多数电路都能够取得良好的抑制噪声的效果，使设备符合电磁兼容性的要求。电路隔离主要有：模拟电路间的隔离、数字电路间的隔离、数字电路与模拟电路之间的隔离。所使用的隔离方法有：变压器隔离法、脉冲变压器隔离法、继电器隔离法、光耦合器隔离法、直流电压隔离法、线性隔离放大器隔离法及光纤隔离法等。

图6-9 DCS接地系统的组成

数字电路的隔离主要有：脉冲变压器隔离、继电器隔离、光耦合器隔离及光纤隔离等。

模拟电路的隔离主要有：互感器隔离、线性隔离放大器隔离。模拟电路与数字电路之间的隔离可以采用A/D转换器转换成数字信号后再采用光耦合器隔离；对于要求较高的电路，应提前在A/D转换装置的前端采用模拟隔离元器件隔离。电路隔离都需要提供隔离电源，即被隔离的两部分电路使用无直接电气联系（如共地）的两个电源分别供电。电源隔离方法主要有变压器（交流电源）和隔离型DC/DC变换器。

1）供电系统的隔离。

①交流供电系统的隔离。由于交流电网中存在着大量的谐波、雷击浪涌、高频干扰等噪声，所以对由交流电源供电的控制装置和电子电气设备，都应采取抑制来自交流电源干扰的措施。采用电源隔离变压器，可以有效地抑制窜入交流电源中的噪声干扰。但是，普通变压器却不能完全起到抗干扰的作用。这是因为，虽然一次绕组和二次绕组之间是绝缘的，能够阻止一次侧的噪声电压、电流直接传输到二次侧，有隔离作用。然而，由于分布电容（绕组与铁心之间，绕组之间，层匝之间和引线之间）的存在，交流电网中的高频噪声会通过分布电容耦合到二次侧。为了抑制噪声干扰，必须在绕组间加屏蔽层，这样就能有效地抑制噪声，消除干扰，提高设备的电磁兼容性。如图6-10a、b所示为不加屏蔽层和加屏蔽层的隔离变压器分布电容的情况。

在图6-10a中，隔离变压器不加屏蔽层，C₁₂是一次绕组和二次绕组之间的分布电容，在共模电压U_1C的作用下，二次绕组所耦合的共模噪声电压为U_2C，C_2E是二次侧的对地电容，则知二次侧的共模噪声电压U_2C为

U_2C=U_1C·C₁₂/（C₁₂+C_2E） （6-23）

在图6-10b中，隔离变压器加屏蔽层，其中C₁₀、C₂₀分别代表一次绕组和二次绕组对屏蔽层的分布电容，Z_E是屏蔽层的对地阻抗，C_2E是二次侧的对地电容，则从图可知二次侧的共模电压U_2C为

U_2C=[U_1C·Z_E/（Z_E+1/jwC₁₀）]·[C_2E/（C₂₀+C_2E）] （6-24）

在低频范围内，Z_E≪（jwC₁₀），所以U_2C→0。由此可见采取屏蔽措施后，通过隔离变压器的共模噪声电压被大大地削弱了。

图6-10 无屏蔽和有屏蔽隔离变压器

a）无屏蔽 b）有屏蔽

②直流供电系统的隔离。当控制装置和电子电气设备的内部子系统之间需要相互隔离时，它们各自的直流供电电源间也应该相互隔离，其隔离方式如下：第一种是在交流侧使用隔离变压器，如图6-11a所示；第二种是使用直流电压隔离器（即DC/DC变换器），如图6-11b所示。

图6-11 直流供电系统的隔离

a）交流侧隔离 b）直流侧隔离

2）模拟信号的隔离。对于具有直流分量和共模噪声干扰比较严重的场合，在模拟信号的测量中应采取措施，使输入与输出完全隔离，彼此绝缘，消除噪声的耦合。

①高电压、大电流信号的隔离。高电压、大电流信号采用互感器隔离，其抑制噪声的原理与隔离变压器类似。互感器隔离的应用如图6-12a所示。

②4～20mA/0～5V/0～10V/mV信号的隔离。一般采用线性隔离放大器的应用如图6-12b所示。

3）数字电路的隔离。在数字电路中，一般采用光耦合器、脉冲变压器及继电器来进行隔离。

①光耦合器隔离。光耦合器隔离方法是用光耦合器把输入信号与内部电路隔离开来，或者是把内部输出信号与外部电路隔离开来，如图6-13所示。

图6-12 模拟信号输入隔离系统

a）互感器隔离电路 b）线性隔离电路

图6-13 光耦合器电路

a）外部输入与内部电路的隔离 b）控制输出与外部电路的隔离

目前，大多数光耦合器件的隔离电压都在2.5kV以上，有些器件达到了8kV，既有高压大电流大功率光耦合器件，又有高速高频光耦合器件（频率高达10MHz）。

②脉冲变压器隔离。脉冲变压器是以太网接口常用的隔离方式。脉冲变压器的匝数较少，而且一次绕组和二次绕组分别绕于铁氧体磁心的两侧，这种工艺使得它的分布电容特小，仅为几皮法，所以可为脉冲信号的隔离器件。脉冲变压器传递输入、输出脉冲信号时，不传递直流分量。图6-14所示是脉冲变压器的示意图。高频（比如100kHz）脉冲变压器也是隔离型开关电源中的关键器件。

③继电器隔离。继电器是常用的数字输出隔离器件，用继电器作为隔离器件简单实用，价格低廉。

图6-15所示为继电器输出隔离的实例示意图。在该电路中，通过继电器把低压直流与高压交流隔离开来使高压交流侧的干扰无法进入低压直流侧。

图6-14 脉冲变压器

图6-15 继电器输出隔离

（3）屏蔽

屏蔽就是用金属导体，把被屏蔽的元器件、组合件、电话线及信号线包围起来。这种方法对电容性耦合噪声抑制效果很好。最常见的就是用屏蔽双绞线连接模拟信号。

在很多场合下，信号除了受电噪声干扰以外，主要还受到强交变磁场的影响，如电站、冶炼厂及重型机械厂等。那么，除了要考虑电气屏蔽以外，还要考虑磁屏蔽，即考虑用铁、镍等导磁性能好的导体进行屏蔽。

要想使屏蔽起到作用，屏蔽层必须接地。屏蔽层的接地，有时采用单点接地，有时采用多点接地，在多点接地不方便时，在两端接地。主要的理论依据是：屏蔽层也是一个导线，当其长度与电缆芯线传送信号的1/4波长接近时，屏蔽层也相当于一根天线。为简便起见，在DCS系统中，对于低频的信号线，只能将屏蔽层的一端接地，否则屏蔽层两端地电位差会在屏蔽层中形成电流，产生干扰；对于信号频率较高（100kHz以上）的信号，比如Profi-bus-DP电缆，其屏蔽层推荐两端接地。

虽然使用屏蔽电缆是一种很好地抑制耦合性干扰的方法，但其成本较高，另外，只要采取适当的措施，并不是所有信号都要采用屏蔽电缆才能满足使用要求，比如，正确的电缆敷设，就可以做到这一点，基本方法如下：

1）使所有的信号线很好地绝缘，使其不可能漏电，这样，防止由于接触引入的干扰。

2）正确敷设电缆的前提是对信号电缆进行正确分类，将不同种类的信号线隔离敷设（不在同一电缆槽中，或用隔板隔开），可以根据信号不同类型将其按抗噪声干扰的能力分成几类：

①模拟量信号（特别是低电平的模拟信号如热电偶信号、热电阻信号等）对高频的脉冲信号的抗干扰能力是很差的。建议用屏蔽双绞线连接，且这些信号线必须单独占用电缆管或电缆槽，不可与其他信号在同一电缆管（或槽）中走线。

②低电平的开关信号（干接点信号）、数据通信线路（RS-232、RS-485等）对低频的脉冲信号的抗干扰能力比模拟信号要强，但建议最好采用屏蔽双绞线（至少用双绞线）连接。此类信号也要单独走线，不可和动力线及大负载信号线在一起平行走线。

③高电平（或大电流）的开关量的输入/输出及其他继电器输入/输出信号，这类信号的抗干扰能力又强于以上两种，但这些信号会干扰别的信号，因此建议用双绞线连接，也单独走电缆管或电缆槽。

④供电线（AC 220V/380V）以及大通断能力的断路器、开关信号线等，这些线的电缆选择主要不是依抗干扰能力，而是由电流负载和耐压等级决定，建议单独走线。

以上说明，同一类信号可以放在一条电缆管（或槽）中，相近种类信号如果必须在同一电缆槽中走线，则一定要用金属隔板将它们隔开。

（4）双绞

用双绞线代替两根平行导线是抑制磁场干扰的有效办法，其原理如图6-16所示。

图6-16 双绞统一管理抑制磁场干扰的原理图

在图6-16中，每个绞扭环中会通过交变的磁通，而这些变化磁通会在周围的导体中产生电动势，它由电磁通感应定律决定（如图6-16中导线的箭头所示）。从图6-16中可以看出，相邻绞扭环中在同一导体上产生的电动势方向相反，相互抵消，这对电磁干扰起到了较好的抑制作用。单位长度内的绞数越多，抑制干扰的能力越强。

5.功能安全性设计

功能安全性设计不仅与产品狭义上的开发设计过程有关，而且与产品的安装和使用过程有关，因此IEC61508提出了系统的“安全生命周期”概念。涉及的步骤如图6-17所示。IEC61508对系统功能安全性进行了等级划分，共分为四个等级（SIL1～SIL4），其定义见表6-10。

图6-17 IEC61508安全生命周期

表6-10 IEC61508对安全度等级的划分

低要求模式（low demand mode）：非连续使用的系统，每年最多使用一次且预防性检修周期在半年以内（每年检修不少于两次）。

高要求模式（high demand or continuous mode）：每年使用两次以上，或者使用一次，预防性检修周期大于半年（每年检修少于两次）。

一些典型产品的SIL等级如下（通过TUV第三方认证）所述。

1）Siemens：Teleperm-XS SIL3。

2）Bently Nevada：3500汽机监测保护系统SIL 3。

另外，IEC 61508作为基础标准产生其他安全标准，如IEC 61511 Functional Safety：Safety Instrumented Systems for the process industry sector（功能安全：用于过程工业的安全仪表构成的系统）。