Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 61069:工业自动化系统属性评估方法论 — 工程师如何科学地选择控制系统
标准速览
IEC 61069 系列标准全称为”工业过程测量、控制和自动化 — 为系统评估目的而对系统属性的评价”,由 IEC/TC 65(工业过程测控)下属 SC 65A(系统方面)编制。该标准共分 8 个部分(Part 1~8),2016 年全面升级为第二版。它提供了结构化方法论:通过 System Requirements Document(SRD)定义用户需求,对照 System Specification Document(SSD)评估供应商系统,覆盖功能性、性能、可信性、可操作性、安全性、可维护性和其他属性七大维度,帮助工程师在 DCS、SCADA、PLC 等控制系统选型中做出科学决策。
IEC 61069 系列标准全称为”工业过程测量、控制和自动化 — 为系统评估目的而对系统属性的评价”,由 IEC/TC 65(工业过程测控)下属 SC 65A(系统方面)编制。该标准共分 8 个部分(Part 1~8),2016 年全面升级为第二版。它提供了结构化方法论:通过 System Requirements Document(SRD)定义用户需求,对照 System Specification Document(SSD)评估供应商系统,覆盖功能性、性能、可信性、可操作性、安全性、可维护性和其他属性七大维度,帮助工程师在 DCS、SCADA、PLC 等控制系统选型中做出科学决策。
一、IEC 61069 架构全景:七大属性与评估框架
1.1 标准组织结构(8 Parts)
IEC 61069:2016 第二版对 1991/1999 第一版进行了全面重组,将原本分散的内容整合为统一的 8 部分体系:
| Part | 标题 | 核心内容 | 评估对象 |
|---|---|---|---|
| 61069-1 | 术语与基本概念 | BCS 模型、SRD/SSD 定义、影响因素分类、评估流程 | 方法论基础 |
| 61069-2 | 功能性评估 | 控制功能覆盖度、功能完整性、功能裕度分析 | 系统能做什么 |
| 61069-3 | 性能评估 | 响应时间、吞吐量、精度、抖动、容量裕度 | 系统做得有多好 |
| 61069-4 | 可信性评估 | 可用性、可靠性、可恢复性、容错、冗余架构 | 系统可以信赖多久 |
| 61069-5 | 可操作性评估 | 人机界面设计、操作流程复杂度、培训需求、误操作防护 | 系统有多好用 |
| 61069-6 | 可维护性评估 | 故障诊断时间、备件策略、在线维护能力、模块化程度 | 系统修起来多快 |
| 61069-7 | 安全性评估 | 危险源识别、隔离、减轻、免疫力/鲁棒性、危害传播路径 | 系统有多安全 |
| 61069-8 | 其他属性评估 | 信息安全(Security)、可持续性、合规性等非功能属性 | 系统其他重要特质 |
1.2 BCS 模型:理解控制系统的统一抽象
IEC 61069 的核心创新之一是Basic Control System(BCS)概念模型。该模型将任意工业控制系统抽象为五大功能接口,为评估提供了统一参照系:
- 过程/机器接口功能(Process/Machine Interface):传感器信号采集、执行器驱动输出 — 控制系统的”手和眼”。
- 数据处理功能(Data Processing):控制算法、逻辑运算、数据记录、报警管理 — 控制系统的”大脑”。
- 通信功能(Communication):现场总线、以太网、无线链路 — 控制系统的”神经网络”。
- 人机接口功能(Human Interface):操作站 HMI、工程师站、报警面板 — 控制系统的”面孔”。
- 外部系统接口功能(External System Interface):MES、ERP、云端接口 — 控制系统的”外交官”。
工程直觉
在进行系统评估时,最常见的陷阱是将评估限定在单一功能域。一个 PLC 的数据处理功能可能满分,但如果它的通信接口只能支持该厂商私有协议(破坏了 BCS 模型的”通信功能”),整个系统的可集成性就会严重受损。BCS 模型强制你在五个接口维度上同时思考,这就是它的深层价值。
在进行系统评估时,最常见的陷阱是将评估限定在单一功能域。一个 PLC 的数据处理功能可能满分,但如果它的通信接口只能支持该厂商私有协议(破坏了 BCS 模型的”通信功能”),整个系统的可集成性就会严重受损。BCS 模型强制你在五个接口维度上同时思考,这就是它的深层价值。
1.3 SRD vs SSD:评估的”双文档”机制
IEC 61069 引入了两个关键文档的概念:
- SRD(System Requirements Document,系统需求文档):由用户(最终用户或系统集成商)编写,定义了对目标系统的具体需求,包括功能列表、性能指标、可信性期望、环境约束等。SRD 是评估的”标尺”。
- SSD(System Specification Document,系统规格文档):由供应商提供,描述其系统实际具备的功能、性能参数和属性。SSD 是评估的”靶子”。
评估的本质工作就是将 SSD 的各项指标逐一对标 SRD 的相应要求,通过结构化的方法判断系统在每一属性维度上的符合程度。
常见失误:SRD 写得像愿望清单
很多项目在编写 SRD 时,将”系统应具有高可靠性”这类模糊表述当作需求。这是典型的无效需求 — 它不可测量、不可验证。正确的 SRD 应该写:”系统控制器单次故障恢复时间(MTTR)不超过 30 分钟,系统可用率不低于 99.95%(按年统计,不含计划停机)”。SRD 的每一条需求都应该是可量化、可验证的。
很多项目在编写 SRD 时,将”系统应具有高可靠性”这类模糊表述当作需求。这是典型的无效需求 — 它不可测量、不可验证。正确的 SRD 应该写:”系统控制器单次故障恢复时间(MTTR)不超过 30 分钟,系统可用率不低于 99.95%(按年统计,不含计划停机)”。SRD 的每一条需求都应该是可量化、可验证的。
二、七大系统属性深度解析与评估实践
2.1 功能性(Functionality)– 评估 Part 2
功能性评估回答一个最基础的问题:系统是否能完成所要求的控制任务?这看似简单,实则包含多层含义:
- 功能覆盖度:SSD 列出的功能集合是否覆盖了 SRD 中定义的所有功能?缺失项是不可接受的。
- 功能裕度:系统的功能是否有扩展空间?例如 I/O 点数的预留系数(通常建议不少于 20%)。
- 功能正确性:PID 调节、顺控逻辑、联锁保护等核心功能是否实现正确且符合标准。
功能性评估中有一个重要概念是功能-模块-元件的分层结构:每个功能可以分解为若干模块,每个模块又由若干元件实现。评估时应该在这个三层结构上逐级检查,避免遗漏底层细节。
2.2 性能(Performance)– 评估 Part 3
性能评估量化了系统在规定的操作条件下完成功能的速度、精度和效率。关键指标包括:
| 性能指标 | 典型含义 | 工程关注点 |
|---|---|---|
| 响应时间(Response Time) | 从输入变化到输出响应的时间 | 安全联锁回路通常要求 < 100 ms;过程控制回路 100~500 ms 可接受 |
| 扫描周期(Scan Cycle) | PLC 完成一次完整程序扫描的时间 | 高速包装线可能需要 < 10 ms;水处理 < 500 ms 即可 |
| 吞吐量(Throughput) | 单位时间处理的最大数据/事件量 | SOE(事件顺序记录)系统需处理高达 10,000+ 事件/秒 |
| 确定性(Determinism) | 响应时间的波动幅度(抖动) | 运动控制需要低至微秒级的确定性;过程控制容忍较高抖动 |
| 容量裕度(Capacity Margin) | CPU 负载率、内存占用率、通信带宽利用率 | 验收时应确保 CPU 负载 < 60%(峰值),为未来扩展留空间 |
性能陷阱:实验室数据 vs 现场真实负载
供应商的 SSD 通常列出”理想条件”下的性能数据 — CPU 空载、无 HMI 更新、无通信负载。在实际工程中,一旦组态数据库完成、HMI 画面全部激活、历史数据开始记录、OPC 客户端开始轮询,系统性能可能急剧下降 40%~70%。评估时务必要求供应商提供模拟真实负载条件下的性能基准测试报告,而不是实验室数据手册。
供应商的 SSD 通常列出”理想条件”下的性能数据 — CPU 空载、无 HMI 更新、无通信负载。在实际工程中,一旦组态数据库完成、HMI 画面全部激活、历史数据开始记录、OPC 客户端开始轮询,系统性能可能急剧下降 40%~70%。评估时务必要求供应商提供模拟真实负载条件下的性能基准测试报告,而不是实验室数据手册。
2.3 可信性(Dependability)– 评估 Part 4
可信性是 IEC 61069 中最综合的属性之一,它包含了可用性、可靠性、可恢复性和容错等多个子维度。在关键基础设施(电厂、化工、水处理)中,可信性往往是决定供应商排名的首要因素。
核心评估维度:
- 可用性(Availability):系统在规定条件下、规定时间区间内处于可执行功能状态的概率。通常用 A = MTBF / (MTBF + MTTR) 计算。关键系统要求 99.99%(”四个9″)或更高。
- 可靠性(Reliability):系统在规定条件下和规定时间内完成规定功能的能力。定量用 MTBF(平均故障间隔时间)。
- 冗余架构:控制器冗余(热备/温备)、网络冗余(环网/双星型)、电源冗余、I/O 冗余 — 每种冗余方案都有不同的切换时间和成本。
- 故障恢复:控制器切换是否无扰(bumpless)?网络自愈时间是否低于过程安全时间?系统重启后操作画面是否自动恢复到故障前状态?
2.4 可操作性(Operability)– 评估 Part 5
可操作性衡量系统在正常运行条件下被操作人员有效、高效、满意地使用的能力。这个属性常常被低估,但它是日常运营中最直接影响生产力的维度。
关键技术点:
- 人机界面(HMI)质量:报警优先级分层、导航深度、颜色编码一致性、趋势图交互设计。
- 操作流程效率:完成常见操作任务(如启停泵组、切换PID模式)的步骤数和时间。
- 误操作防护:关键操作是否有确认对话框?权限分级是否合理?互锁条件是否在操作前被预判并提示?
- 情境感知(Situation Awareness):操作员能否在一屏之内掌握全局状态?(参考 ISA-101 HMI 设计标准)。
工程直觉
当两个系统在功能性、性能和可信性上相当时,可操作性往往是”决胜负”的维度。一个真正好用的系统,其操作员培训时间可缩短 30% 以上,操作错误率可降低 50%。在 20 年的系统生命周期中,好的可操作性节约的运营成本远超硬件采购差价。评估时一定要让一线操作员参与测试,而不是仅由工程经理做决定。
当两个系统在功能性、性能和可信性上相当时,可操作性往往是”决胜负”的维度。一个真正好用的系统,其操作员培训时间可缩短 30% 以上,操作错误率可降低 50%。在 20 年的系统生命周期中,好的可操作性节约的运营成本远超硬件采购差价。评估时一定要让一线操作员参与测试,而不是仅由工程经理做决定。
2.5 安全性(Safety)– 评估 Part 7
IEC 61069-7 将系统安全性评估构建在危险源-危害-传播路径的分析框架上,这种结构与功能安全标准 IEC 61508/61511 的思路一脉相承。
安全性的五个子属性:
- 危险降低(Hazard Reduction):通过设计消除或最小化危险源存在的可能性。
- 危险隔离(Hazard Isolation):将危险限制在定义的区域内,防止传播(如本安隔离、防火墙)。
- 免疫力/鲁棒性(Immunity/Robustness):系统抵抗内外部有害影响(EMC干扰、过电压、网络攻击)而不触发危险状态的能力。
- 避让(Aversion):检测到危险后主动转移到安全状态的能力(如故障安全 fallback)。
- 减轻(Mitigation):危险发生后限制损害范围的能力(如物理防护、泄压系统)。
传播路径分析是 IEC 61069-7 的独特价值之一。它要求评估者追踪从”危险源”到”受危害体”(人员、环境、设备、生产)的所有可能传播路径,并检查每条路径上是否有足够的防御层。这种思考范式与 bow-tie 模型高度互补。
2.6 可维护性与信息安全
可维护性(Maintainability,Part 6)关注系统发生故障后恢复到正常运行状态所需的时间、资源和技能。关键指标包括 MTTR、诊断覆盖率、在线更换模块的能力、远程诊断功能。一个好的可维护性设计意味着 2 AM 发生故障时,值班工程师不需要打电话叫醒系统专家 — 系统自己能告诉他哪里出了问题、如何修复。
其他属性(Part 8)中最突出的是信息安全(Security),这在 IEC 62443 系列标准中有更详细的展开。IEC 61069-8 提供了将网络安全属性纳入系统评估的统一框架,包括访问控制、网络分段、日志审计、补丁管理策略等评估维度。
2.7 七大属性对比总览
| 系统属性 | 核心问题 | 主要评估方法 | 典型度量 |
|---|---|---|---|
| 功能性 | 系统能做什么? | 功能清单对比、差距分析 | 功能覆盖度百分比 |
| 性能 | 系统做得多快多准? | 基准测试、仿真、现场实测 | ms、Mbps、% 精度 |
| 可信性 | 系统值得信赖多久? | 可靠性框图、FMEA、失效统计 | MTBF、可用率 % |
| 可操作性 | 系统好不好用? | 启发式评估、操作员测试 | 操作时间、错误率 |
| 安全性 | 系统会不会造成伤害? | HAZOP、传播路径分析、SIL 验证 | SIL 等级、危险事件概率 |
| 可维护性 | 系统修起来多快? | 维修任务分析、备件策略评估 | MTTR、诊断覆盖率 |
| 其他(安全) | 系统是否抵御网络威胁? | 漏洞扫描、渗透测试、威胁建模 | SL 等级 (IEC 62443) |
三、结构化评估流程与工程选型实践
3.1 五步评估方法论
IEC 61069-1 定义了一个通用评估流程,适用于每一个系统属性的评估:
- 定义评估目标:明确为什么要做评估(供应商选型?升级决策?合规审计?),确定评估范围和深度。
- 评估设计与布局:选择需要评估的系统属性(七大属性全选还是子集?),为每个属性分配权重。例如一个核电站控制系统会赋予安全性和可信性最高权重,而一个食品包装线可能更关注性能和可操作性。
- 评估计划编制:定义评估指标、选择评估技术(分析性评估 vs 实证性评估)、制定时间表、分配资源。
- 执行评估:收集 SRD/SSD 文档,进行分析性评估(文档审查、建模分析),必要时进行实证性评估(基准测试、现场见证测试),记录所有发现。
- 编写评估报告:汇总各属性维度的评估结果,给出综合结论和推荐。报告应清晰区分”评估事实”和”主观判断”。
3.2 分析性评估 vs 实证性评估
IEC 61069 定义了两种互补的评估技术:
| 维度 | 分析性评估(Analytical) | 实证性评估(Empirical) |
|---|---|---|
| 手段 | 文档审查、数学模型、仿真、检查表 | 测试、测量、现场试验、原型验证 |
| 成本 | 低 ~ 中 | 中 ~ 高 |
| 适用场景 | 早期设计阶段、初步筛选供应商 | 最终选型、工厂验收测试(FAT) |
| 局限 | 依赖模型假设,可能与现实不符 | 样本有限,难以穷举所有场景 |
| 典型工具 | FMEA、可靠性框图、检查表对比 | 性能基准测试、HMI 可用性测试、环境试验 |
最佳实践:双轨并行
在实际项目中,最有效的做法是分析性评估作为初筛工具,实证性评估作为最终验证手段。先用检查表和文档审查将候选供应商从 8 家缩小到 3 家,然后对入围者进行严格的 FAT 基准测试和可用性评估。这种漏斗式策略兼顾了评估的广度和深度。
在实际项目中,最有效的做法是分析性评估作为初筛工具,实证性评估作为最终验证手段。先用检查表和文档审查将候选供应商从 8 家缩小到 3 家,然后对入围者进行严格的 FAT 基准测试和可用性评估。这种漏斗式策略兼顾了评估的广度和深度。
3.3 影响因素(Influencing Factors)– 容易被跳过的关键环节
IEC 61069-1 第 5.3 节专门讨论了系统评估中必须考虑的影响因素(来自 IEC TS 62603-1)。这些因素会对所有七大属性产生实质性影响,但它们往往在评估中被忽视:
- 安装环境:室内/室外、洁净室/粉尘环境、温湿度范围。
- 腐蚀与侵蚀:大气中气体污染物(H2S、SO2、Cl2)和固体气溶胶的浓度等级。
- EMC 电磁兼容:RF 辐射场(最高 10 V/m)、电快速瞬变脉冲群(最高 4 kV)、浪涌(最高 4 kV)、传导干扰、电压跌落和中断。
- 供电质量:电压偏差、频率偏差、谐波畸变、短时中断。
- 机械应力:振动谱、冲击、地震要求。
- 子系统集成:第三方设备互操作性、遗留系统兼容性、数据格式转换。
血的教训
一个在德国工厂完美运行的 DCS 系统,原封不动地搬到东南亚沿海工厂后,控制柜电路板在 18 个月内大面积腐蚀失效。根源是评估阶段忽略了”腐蚀与侵蚀影响因素”中 H2S 浓度等级的差异。IEC 61069 的影响因素框架存在的目的就是防止这种”工作系统换环境就死”的悲剧。系统评估绝不是只看功能表和报价单。
一个在德国工厂完美运行的 DCS 系统,原封不动地搬到东南亚沿海工厂后,控制柜电路板在 18 个月内大面积腐蚀失效。根源是评估阶段忽略了”腐蚀与侵蚀影响因素”中 H2S 浓度等级的差异。IEC 61069 的影响因素框架存在的目的就是防止这种”工作系统换环境就死”的悲剧。系统评估绝不是只看功能表和报价单。
4. 从标准到选型决策:评估矩阵与常见陷阱
4.1 供应商选型的评估矩阵实战
将 IEC 61069 的七大属性应用到一个实际的供应商选型场景中,可以构建一个加权评估矩阵:
| 系统属性 | 权重(化工) | 权重(食品) | 评估方法 | 数据来源 |
|---|---|---|---|---|
| 功能性 | 15% | 15% | 功能清单对比 | SSD、招标响应文件 |
| 性能 | 10% | 20% | 基准测试 | FAT 实测数据 |
| 可信性 | 25% | 15% | MTBF 数据、冗余架构分析 | 供应商可靠性数据、第三方认证 |
| 可操作性 | 10% | 20% | 操作员可用性测试 | 操作员访谈、HMI 评估 |
| 安全性 | 30% | 10% | HAZOP、传播路径分析 | SIL 证书、安全手册 |
| 可维护性 | 5% | 15% | MTTR 分析、备件策略 | 维修手册、服务协议 |
| 信息安全 | 5% | 5% | 漏洞扫描、网络安全审查 | 安全白皮书、渗透测试报告 |
注意:上面的权重分配完全取决于行业和应用场景。化工/石化行业将安全性放在第一位(30%),而食品饮料行业由于生产节拍更快、产品切换频繁,更看重性能和可操作性。不存在”一刀切”的权重分配。
4.2 常见系统评估陷阱与应对
- “功能全=系统好”谬误:一个系统可能拥有 2000 页的功能列表,但其中只有 70% 被你的工艺真正需要,而剩下 30% 的”额外功能”非但没有价值,反而增加了复杂性、培训成本和潜在故障模式。评估时要关注适用功能而非总功能数。
- 忽略全生命周期成本:评估阶段只比较了硬件采购价,忽略了 20 年运营周期中的软件授权费、备件费、培训费、升级费和退役费。IEC 61069 的评估框架应该将 TCO(总拥有成本)纳入判断。
- 供应商锁定风险:选择了某个专有通信协议或专有编程环境的系统后,未来任何扩展、升级和备件采购都被锁定在该供应商的生态中。评估时应对供应商锁定风险进行评分。
- 纸上数字 vs 现场真相:供应商 SSD 中的可靠性数据(MTBF = 50 年)可能来自实验室加速寿命试验,而非大量现场设备在真实环境中的统计。要求供应商提供现场可靠性跟踪记录(field return data)。
- 跳过操作员参与:由工程管理团队在会议室里基于技术规格书做决策,而从未让实际操作用户参与试用。结果是系统技术指标完美,但操作员每天骂娘。
最大的错误是不做结构化评估
多年项目经验表明,控制系统选型中最常见的”失误”不是某个评估指标算错了,而是根本没有使用结构化评估方法。很多组织选系统靠的是”上次用了 A 品牌,这次还用 A”、”B 品牌的销售请吃了顿饭”、或”C 品牌在行业里名气最大”。IEC 61069 的存在意义就是提供了一个可追溯、可辩护、可比较的科学评估框架,确保你的选型决策能经得起任何技术审查。
多年项目经验表明,控制系统选型中最常见的”失误”不是某个评估指标算错了,而是根本没有使用结构化评估方法。很多组织选系统靠的是”上次用了 A 品牌,这次还用 A”、”B 品牌的销售请吃了顿饭”、或”C 品牌在行业里名气最大”。IEC 61069 的存在意义就是提供了一个可追溯、可辩护、可比较的科学评估框架,确保你的选型决策能经得起任何技术审查。
FAQ
Q: IEC 61069 和 IEC 61508 功能安全标准有什么关系?
A: 两者互补但不重叠。IEC 61508 和 IEC 61511 专注于安全相关系统的设计和验证(SIL 等级、安全生命周期),而 IEC 61069 提供了更广泛的系统评估框架,安全性只是七大属性之一。在实际项目中,可以用 IEC 61508 的方法论评估安全功能本身,用 IEC 61069 的方法论来综合权衡安全性与其他六个属性。IEC 61069-7 特别提供了安全性评估方法,其危险源-传播路径分析框架与 IEC 61508 的危险与风险分析阶段高度兼容。
Q: 小型自动化项目(如单台 PLC + HMI)是否需要应用 IEC 61069?
A: 可以按比例简化。IEC 61069 框架本身是”规模无关”的 — 它提供的是评估思路和组织原则,而不是规定必须填写 500 页的评估报告。对于小型项目,可以将评估简化为一张检查表:对照 SRD 的 20 条核心需求,逐条检查 SSD 的符合情况。即使是一个简单的评估,有结构总比”凭感觉”好。
Q: SRD 和 Functional Design Specification(FDS)有什么区别?
A: SRD 是更高层次的”需求文档”,它定义的是”用户需要什么样的系统属性”(what the user needs),主要用来评估和选择系统。FDS 是更详细的”设计文档”,它定义的是”系统如何被设计和配置以满足那些需求”(how the system will be configured)。通常项目流程是:SRD(选型阶段)– 选定系统 — FDS(详细设计阶段)。
Q: IEC 61069 评估结果的有效期是多长?
A: 标准本身没有定义有效期。实践中的建议是:当系统固件/软件版本发生大版本更新、工艺需求发生显著变化(如扩建改造)、或外部环境条件发生重大改变时,应重新进行针对性评估。对于连续运行的关键系统,建议每 3~5 年做一次轻量级复审,确认原有评估假设仍然成立。
