黃之炯（1977－）
男，上海交通大學(xué)工程碩士（在讀）。現(xiàn)就職于德國Pilz自動(dòng)化有限公司，任高級(jí)產(chǎn)品經(jīng)理，長期從事安全自動(dòng)化產(chǎn)品的技術(shù)和市場(chǎng)工作。

摘要：介紹安全PLC，并結(jié)合國際標(biāo)準(zhǔn)EN/ISO 13849-1 對(duì)安全PLC構(gòu)成的相關(guān)安全系統(tǒng)的安全性和可靠性進(jìn)行分析。

關(guān)鍵詞：安全PLC；安全性能等級(jí)；安全完整性；安全失效分?jǐn)?shù)

Abstract:  The paper describes safety PLC and analyzes of safety & reliability in the safety PLC related system according to the international standard EN/ISO 13849-1.

Key words:  safety PLC; Safety Integrity Level; Category; safe failure fraction

1 前言

    安全，這兩個(gè)字在人們的生活、工作之中無處不在。無論是生活中的食品安全、交通安全還是工作中的機(jī)械安全、生產(chǎn)安全，已經(jīng)被越來越重視。在工業(yè)領(lǐng)域中，安全繼電器（或稱之為安全模塊）由于其緊湊的結(jié)構(gòu)、易掌握、易使用、低價(jià)格的特點(diǎn)，最先進(jìn)入中國的工業(yè)自動(dòng)化領(lǐng)域，并且被廣大的電氣設(shè)計(jì)人員和最終用戶所接受。但是對(duì)于中、大型安全自動(dòng)化控制，大規(guī)模的使用安全繼電器必然會(huì)導(dǎo)致設(shè)計(jì)復(fù)雜、成本增加、接線繁瑣、故障診斷困難等弊端。與普通PLC的出現(xiàn)替代了大規(guī)模普通繼電器的硬接線回路一樣，安全PLC也應(yīng)運(yùn)而生，用于中、大型的安全自動(dòng)化控制。

2 安全PLC簡(jiǎn)介

    一套安全控制系統(tǒng)，由安全輸入信號(hào)（即安全功能，如緊急停止信號(hào)、安全門信號(hào)等）、安全控制模塊（如安全繼電器、安全PLC）和被控輸出元件（如主接觸器、閥等）三部分組成。安全PLC作為安全控制模塊，需要對(duì)安全輸入信號(hào)進(jìn)行分析、處理，并最終控制輸出元件。從邏輯上來說，以上控制功能采用普通PLC也可以達(dá)到相同的效果。但是在采用普通PLC的系統(tǒng)之中可能會(huì)出現(xiàn)以下安全隱患：處理器不規(guī)則、輸入輸出卡件硬件故障、輸入回路故障（比如短路、觸點(diǎn)融焊）、輸出元器件故障（如觸點(diǎn)融焊）、輸出回路故障（如短路、斷路）。這些安全隱患，都會(huì)導(dǎo)致安全功能失效，從而導(dǎo)致事故的發(fā)生。所以，安全PLC就是要求能夠可靠的控制安全輸入信號(hào)，一旦當(dāng)安全輸入信號(hào)變化或安全控制系統(tǒng)中出現(xiàn)任何故障，立即做出反應(yīng)并輸出正確信號(hào)，使機(jī)器安全停車，以阻止危險(xiǎn)的發(fā)生或事故的擴(kuò)散。

    安全PLC的硬件上主要采取了以下措施來達(dá)到安全要求：

    ● 采用冗余性控制

    ● 采用多樣性控制

    ● 頻繁、可靠的自檢

    ● 程序CRC校驗(yàn)

    ● 安全認(rèn)證功能塊

    通常，安全PLC采用了多套中央處理器進(jìn)行控制，并且這些處理器來自不同的生產(chǎn)商。這樣的控制方式符合了冗余、多樣性控制的要求。這是安全PLC與普通PLC最根本的區(qū)別。當(dāng)一定數(shù)量的處理器出現(xiàn)故障后，完好的處理器依然執(zhí)行安全功能，切斷所有安全輸出使系統(tǒng)停機(jī)。導(dǎo)致系統(tǒng)停機(jī)的處理器的故障數(shù)量取決于不同的系統(tǒng)。如，1oo2系統(tǒng)（2取1的系統(tǒng)），一旦一個(gè)處理器出現(xiàn)故障，系統(tǒng)立刻進(jìn)入故障安全狀態(tài)；又如，2oo3系統(tǒng)（3取2的系統(tǒng)），當(dāng)一個(gè)處理器出現(xiàn)故障，系統(tǒng)并不會(huì)停機(jī)。系統(tǒng)只有在2個(gè)處理器同時(shí)出現(xiàn)故障的情況下才會(huì)導(dǎo)致系統(tǒng)停機(jī)。前者通常成為2重冗余系統(tǒng)，安全可靠性較高、可用性較低；后者我們通常成為3重冗余系統(tǒng)，其安全可靠性和可用性較高，但相比前者成本高。

    對(duì)于信號(hào)的采集、處理和輸出的過程，安全PLC都采用了冗余控制的方式。當(dāng)信號(hào)進(jìn)入PLC后，分別進(jìn)入多個(gè)輸入寄存器，再通過對(duì)應(yīng)的多個(gè)中央處理器的處理，最后進(jìn)入多個(gè)輸出寄存器。這樣，安全PLC就構(gòu)成了多個(gè)冗余的通道。整個(gè)過程之中，信號(hào)狀態(tài)、處理結(jié)果等可以通過安全PLC內(nèi)部的暫存裝置進(jìn)行相互比較，如果出現(xiàn)不一致，則可以根據(jù)不同的系統(tǒng)特性，進(jìn)入故障安全狀態(tài)或?qū)⒐收蠙z測(cè)出來。

    輸入回路可以采用雙通道的方式，通過2條物理接線進(jìn)入安全PLC。安全PLC也可以提供安全測(cè)試脈沖，用以檢測(cè)輸入通道中的故障。

    安全PLC的輸出內(nèi)部電路也采用了冗余、多樣性的方式，對(duì)一個(gè)輸出節(jié)點(diǎn)進(jìn)行安全可靠控制。安全PLC可以通過2種不同的手段，即切斷基極信號(hào)和切斷集電極電源兩種不同的方式，將輸出信號(hào)由1轉(zhuǎn)變?yōu)?。無論那種方式出現(xiàn)故障，另外一種方式依然完好的執(zhí)行安全功能。同時(shí)，安全PLC提供了內(nèi)部檢測(cè)脈沖，以檢測(cè)內(nèi)部故障。

    安全PLC的掃描時(shí)間要求為每千條指令1ms以下。快速的中央處理功能不僅可以達(dá)到緊急停車的要求，同時(shí)能夠以較短的時(shí)間完成整套系統(tǒng)的安全功能自檢。

    在軟件方面，安全PLC必須有可靠的編程環(huán)境、校驗(yàn)手段，以保證安全。這主要可以通過規(guī)范安全功能編程來實(shí)現(xiàn)。如Pilz的安全PLC，提供了通過認(rèn)證的MBS安全標(biāo)準(zhǔn)功能塊，以幫助編程人員進(jìn)行合理的、安全的編程。這些安全功能塊經(jīng)過加密，不能夠修改。只需要在功能塊的輸入和輸出部分填入相應(yīng)的地址、參數(shù)和中間變量，即可以完成對(duì)安全功能的編程。這些MBS功能塊涵蓋了機(jī)械制造領(lǐng)域及流程化工領(lǐng)域的安全功能控制。

3 安全PLC相關(guān)安全系統(tǒng)的可靠性研究

    評(píng)判一套運(yùn)用了安全PLC的安全系統(tǒng)是否符合安全要求，最好的手段就是通過國際/歐洲/國內(nèi)相關(guān)標(biāo)準(zhǔn)對(duì)此系統(tǒng)進(jìn)行分析、評(píng)估。現(xiàn)今，常用的安全相關(guān)控制系統(tǒng)的標(biāo)準(zhǔn)有EN 954-1、EN/ISO 13849、EN/IEC 61508。其中EN 954-1是一個(gè)較老的標(biāo)準(zhǔn)，已經(jīng)不符合現(xiàn)代自動(dòng)化領(lǐng)域新技術(shù)的要求。針對(duì)機(jī)械制造領(lǐng)域，筆者僅以EN/ISO 13849-1和IEC 62061作為參照，進(jìn)行安全PLC相關(guān)安全系統(tǒng)的可靠性研究。

    EN/ISO 13849-1 的全稱是機(jī)械的安全——制系統(tǒng)有關(guān)的安全部件。這個(gè)標(biāo)準(zhǔn)將會(huì)取代EN 954-1，幫助筆者量化的判斷硬件系統(tǒng)的安全性。其安全等級(jí)通過PLr（Required Performance Level）來評(píng)定。EN/IEC 62061 的全稱是針對(duì)機(jī)械領(lǐng)域的電氣/電子/可編程電子系統(tǒng)的功能安全。其安全等級(jí)通過SIL（Safety Integrity Level）安全完整性來評(píng)定。從表1可以看到，無論是EN/ISO 13849-1，還是EN/IEC 62061，都是通過PFH每小時(shí)失效概率來評(píng)估其等級(jí)。簡(jiǎn)而言之，要判斷一套運(yùn)用安全PLC的安全硬件系統(tǒng)的安全性、可靠性，量化的計(jì)算出其每小時(shí)危險(xiǎn)失效概率是直觀有效的手段。

    表1   PFH每小時(shí)失效概率來評(píng)估其等級(jí)表

    可以對(duì)以下一個(gè)安全控制系統(tǒng)進(jìn)行安全、可靠性分析。系統(tǒng)如圖1簡(jiǎn)述。

圖1   安全能控制系統(tǒng)分析圖

圖2   三個(gè)子系統(tǒng)圖

    這樣一來，PFH總 = PFH子系統(tǒng)1+PFH子系統(tǒng)2+PFH子系統(tǒng)3

    由于子系統(tǒng)2（即為安全PLC部分）的PFH值由元器件供應(yīng)商提供，又可以將整個(gè)系統(tǒng)再進(jìn)行轉(zhuǎn)化。

    PFH_總= PFH_{子系統(tǒng)1}+PFH_{子系統(tǒng)2}+PFH_{子系統(tǒng)3}= PFH_{子系統(tǒng)1+子系統(tǒng)2 + PFH子系統(tǒng)3} = PFH_{傳感器＋觸發(fā)器} + PFH_邏輯控制

    現(xiàn)在的關(guān)鍵問題即為PFH傳感器＋觸發(fā)器的計(jì)算問題。

    根據(jù)EN/ISO 13849-1，確定PFH值必須要有以下關(guān)鍵參數(shù)：

    ● MTTFd ——平均無危險(xiǎn)故障時(shí)間

    ● Category ——（安全）等級(jí)

    ● DC-Diagnostic Coverage —— 診斷覆蓋率

    ● CCF-Common Cause Failure —— 共因故障

MTTFd —— 平均無危險(xiǎn)故障時(shí)間：

    該參數(shù)的單位為年。通常元器件廠商會(huì)提供此參數(shù)，如本例中的電磁解鎖開關(guān)S1，其MTTFd 的值由Pilz提供，為1381年。但是對(duì)于一些磨損器件，如本例中的機(jī)械式開關(guān)S2，廠商會(huì)提供B10d這個(gè)參數(shù)，意指該元器件在操作B10d次數(shù)后，該元器件中10％部分出現(xiàn)危險(xiǎn)故障。

    其中0.1為校正系數(shù)，n_op為該元器件每年的操作次數(shù)。

    對(duì)于目標(biāo)子系統(tǒng)（傳感器和觸發(fā)器）：

Category ——等級(jí)

    根據(jù)輸入、控制和輸出構(gòu)成的傳輸鏈的結(jié)構(gòu)確定等級(jí)。等級(jí)可以分為B、1、2、3、4，由低至高。等級(jí)的確認(rèn)可以借鑒老的標(biāo)準(zhǔn)EN 954-1。此系統(tǒng)的結(jié)構(gòu)符合Category 4。

DC-Diagnostic Coverage——診斷覆蓋率

    診斷覆蓋率指，由自診斷測(cè)試而產(chǎn)生的危險(xiǎn)硬件故障可能性的減少。

    DC數(shù)值的確定需要參照標(biāo)準(zhǔn)的附錄E。

    對(duì)于目標(biāo)子系統(tǒng)（傳感器和觸發(fā)器）：

CCF-Common Cause Failure ——共因故障

    共因故障是由一個(gè)或多個(gè)事件導(dǎo)致的，并且引起1個(gè)多通道系統(tǒng)中2個(gè)或多個(gè)獨(dú)立通道的同時(shí)故障，從而導(dǎo)致一個(gè)系統(tǒng)的故障。如過電壓、電磁兼容故障都可以成為共因故障。

    針對(duì)目標(biāo)子系統(tǒng)（傳感器和觸發(fā)器），已經(jīng)獲得以下關(guān)鍵參數(shù)的信息：

    MTTFd為180（年）

    Category為4級(jí)

    DC值為99％

    CCF分?jǐn)?shù)值為75（通過一定的措施減少共因故障，如信號(hào)通道物理隔離、過壓過流保護(hù)、EMC防護(hù)等）

    這樣，通過對(duì)照表，可以得到PFH傳感器＋觸發(fā)器 ＝ 2.47 E-8 

    PFH_{整個(gè)系統(tǒng)}＝ PFH_{傳感器＋觸發(fā)器}＋PFH_控制器＝2.47 E-8 + 2.5 E-9 + 4.6 E-9 + 1.55 E-8 = 4.727 E-8

    最終可以得到這個(gè)安全PLC相關(guān)安全系統(tǒng)的PFH值為4.727 E-8。參照表1之后，此安全PLC相關(guān)安全系統(tǒng)符合EN/ISO 13849-1 PL e。

    相比EN/ISO 13849-1的PL等級(jí)確定，根據(jù)EN/IEC 62061確定系統(tǒng)的SIL等級(jí)要復(fù)雜一些。SIL等級(jí)的確定不僅需要參照PFH或PFD值，還需要參考SFF安全失效分?jǐn)?shù)。同時(shí)，在PFH或PFD值的計(jì)算中，所需要的關(guān)鍵參數(shù)也與EN/ISO 13849-1中的要求有所不同。

4 結(jié)束語

    用于機(jī)械制造領(lǐng)域的安全PLC早在90年代末就出現(xiàn)在國內(nèi)的自動(dòng)化領(lǐng)域。這些安全PLC以Pilz的PSS可編程安全控制系統(tǒng)為代表，應(yīng)用于國內(nèi)的汽車制造、玻璃、造紙、纜車和鋼鐵等領(lǐng)域中的安全控制。現(xiàn)今的安全PLC又有了兩大發(fā)展趨勢(shì)。第一，為了降低中小型安全系統(tǒng)的成本、減少電氣控制箱中占用空間，在不影響PLC易控制、易診斷等優(yōu)點(diǎn)的前提下，出現(xiàn)了多種的緊湊的、模塊化結(jié)構(gòu)的小型安全PLC。第二，隨著總線系統(tǒng)的普及和推廣，安全PLC已經(jīng)作為安全現(xiàn)場(chǎng)總線中不可缺少的重要組成部分，出現(xiàn)在中、大型的安全控制系統(tǒng)之中。

    在系統(tǒng)變得越來越復(fù)雜的同時(shí)，人們也必須注意安全設(shè)計(jì)規(guī)范和安全標(biāo)準(zhǔn)的重要性。對(duì)于一個(gè)有著PL e要求的機(jī)械，不是僅采用了PL e等級(jí)的安全PLC，就表示相關(guān)安全控制系統(tǒng)達(dá)到了PL e的要求。而是需要有一個(gè)系統(tǒng)的從安全評(píng)估、安全設(shè)計(jì)直至安全檢查的設(shè)計(jì)流程，才能夠設(shè)計(jì)、制造出一臺(tái)高水準(zhǔn)、符合安全要求的機(jī)械。