黃之炯（1977－）
男，上海交通大學工程碩士（在讀）。現就職于德國Pilz自動化有限公司，任高級產品經理，長期從事安全自動化產品的技術和市場工作。

摘要：介紹安全PLC，并結合國際標準EN/ISO 13849-1 對安全PLC構成的相關安全系統的安全性和可靠性進行分析。

關鍵詞：安全PLC；安全性能等級；安全完整性；安全失效分數

Abstract:  The paper describes safety PLC and analyzes of safety & reliability in the safety PLC related system according to the international standard EN/ISO 13849-1.

Key words:  safety PLC; Safety Integrity Level; Category; safe failure fraction

1 前言

    安全，這兩個字在人們的生活、工作之中無處不在。無論是生活中的食品安全、交通安全還是工作中的機械安全、生產安全，已經被越來越重視。在工業領域中，安全繼電器（或稱之為安全模塊）由于其緊湊的結構、易掌握、易使用、低價格的特點，最先進入中國的工業自動化領域，并且被廣大的電氣設計人員和最終用戶所接受。但是對于中、大型安全自動化控制，大規模的使用安全繼電器必然會導致設計復雜、成本增加、接線繁瑣、故障診斷困難等弊端。與普通PLC的出現替代了大規模普通繼電器的硬接線回路一樣，安全PLC也應運而生，用于中、大型的安全自動化控制。

2 安全PLC簡介

    一套安全控制系統，由安全輸入信號（即安全功能，如緊急停止信號、安全門信號等）、安全控制模塊（如安全繼電器、安全PLC）和被控輸出元件（如主接觸器、閥等）三部分組成。安全PLC作為安全控制模塊，需要對安全輸入信號進行分析、處理，并最終控制輸出元件。從邏輯上來說，以上控制功能采用普通PLC也可以達到相同的效果。但是在采用普通PLC的系統之中可能會出現以下安全隱患：處理器不規則、輸入輸出卡件硬件故障、輸入回路故障（比如短路、觸點融焊）、輸出元器件故障（如觸點融焊）、輸出回路故障（如短路、斷路）。這些安全隱患，都會導致安全功能失效，從而導致事故的發生。所以，安全PLC就是要求能夠可靠的控制安全輸入信號，一旦當安全輸入信號變化或安全控制系統中出現任何故障，立即做出反應并輸出正確信號，使機器安全停車，以阻止危險的發生或事故的擴散。

    安全PLC的硬件上主要采取了以下措施來達到安全要求：

    ● 采用冗余性控制

    ● 采用多樣性控制

    ● 頻繁、可靠的自檢

    ● 程序CRC校驗

    ● 安全認證功能塊

    通常，安全PLC采用了多套中央處理器進行控制，并且這些處理器來自不同的生產商。這樣的控制方式符合了冗余、多樣性控制的要求。這是安全PLC與普通PLC最根本的區別。當一定數量的處理器出現故障后，完好的處理器依然執行安全功能，切斷所有安全輸出使系統停機。導致系統停機的處理器的故障數量取決于不同的系統。如，1oo2系統（2取1的系統），一旦一個處理器出現故障，系統立刻進入故障安全狀態；又如，2oo3系統（3取2的系統），當一個處理器出現故障，系統并不會停機。系統只有在2個處理器同時出現故障的情況下才會導致系統停機。前者通常成為2重冗余系統，安全可靠性較高、可用性較低；后者我們通常成為3重冗余系統，其安全可靠性和可用性較高，但相比前者成本高。

    對于信號的采集、處理和輸出的過程，安全PLC都采用了冗余控制的方式。當信號進入PLC后，分別進入多個輸入寄存器，再通過對應的多個中央處理器的處理，最后進入多個輸出寄存器。這樣，安全PLC就構成了多個冗余的通道。整個過程之中，信號狀態、處理結果等可以通過安全PLC內部的暫存裝置進行相互比較，如果出現不一致，則可以根據不同的系統特性，進入故障安全狀態或將故障檢測出來。

    輸入回路可以采用雙通道的方式，通過2條物理接線進入安全PLC。安全PLC也可以提供安全測試脈沖，用以檢測輸入通道中的故障。

    安全PLC的輸出內部電路也采用了冗余、多樣性的方式，對一個輸出節點進行安全可靠控制。安全PLC可以通過2種不同的手段，即切斷基極信號和切斷集電極電源兩種不同的方式，將輸出信號由1轉變為0。無論那種方式出現故障，另外一種方式依然完好的執行安全功能。同時，安全PLC提供了內部檢測脈沖，以檢測內部故障。

    安全PLC的掃描時間要求為每千條指令1ms以下。快速的中央處理功能不僅可以達到緊急停車的要求，同時能夠以較短的時間完成整套系統的安全功能自檢。

    在軟件方面，安全PLC必須有可靠的編程環境、校驗手段，以保證安全。這主要可以通過規范安全功能編程來實現。如Pilz的安全PLC，提供了通過認證的MBS安全標準功能塊，以幫助編程人員進行合理的、安全的編程。這些安全功能塊經過加密，不能夠修改。只需要在功能塊的輸入和輸出部分填入相應的地址、參數和中間變量，即可以完成對安全功能的編程。這些MBS功能塊涵蓋了機械制造領域及流程化工領域的安全功能控制。

3 安全PLC相關安全系統的可靠性研究

    評判一套運用了安全PLC的安全系統是否符合安全要求，最好的手段就是通過國際/歐洲/國內相關標準對此系統進行分析、評估。現今，常用的安全相關控制系統的標準有EN 954-1、EN/ISO 13849、EN/IEC 61508。其中EN 954-1是一個較老的標準，已經不符合現代自動化領域新技術的要求。針對機械制造領域，筆者僅以EN/ISO 13849-1和IEC 62061作為參照，進行安全PLC相關安全系統的可靠性研究。

    EN/ISO 13849-1 的全稱是機械的安全——制系統有關的安全部件。這個標準將會取代EN 954-1，幫助筆者量化的判斷硬件系統的安全性。其安全等級通過PLr（Required Performance Level）來評定。EN/IEC 62061 的全稱是針對機械領域的電氣/電子/可編程電子系統的功能安全。其安全等級通過SIL（Safety Integrity Level）安全完整性來評定。從表1可以看到，無論是EN/ISO 13849-1，還是EN/IEC 62061，都是通過PFH每小時失效概率來評估其等級。簡而言之，要判斷一套運用安全PLC的安全硬件系統的安全性、可靠性，量化的計算出其每小時危險失效概率是直觀有效的手段。

    表1   PFH每小時失效概率來評估其等級表

    可以對以下一個安全控制系統進行安全、可靠性分析。系統如圖1簡述。

圖1   安全能控制系統分析圖

圖2   三個子系統圖

    這樣一來，PFH總 = PFH子系統1+PFH子系統2+PFH子系統3

    由于子系統2（即為安全PLC部分）的PFH值由元器件供應商提供，又可以將整個系統再進行轉化。

    PFH_總= PFH_子系統1+PFH_子系統2+PFH_子系統3= PFH_{子系統1+子系統2 + PFH子系統3} = PFH_{傳感器＋觸發器} + PFH_邏輯控制

    現在的關鍵問題即為PFH傳感器＋觸發器的計算問題。

    根據EN/ISO 13849-1，確定PFH值必須要有以下關鍵參數：

    ● MTTFd ——平均無危險故障時間

    ● Category ——（安全）等級

    ● DC-Diagnostic Coverage —— 診斷覆蓋率

    ● CCF-Common Cause Failure —— 共因故障

MTTFd —— 平均無危險故障時間：

    該參數的單位為年。通常元器件廠商會提供此參數，如本例中的電磁解鎖開關S1，其MTTFd 的值由Pilz提供，為1381年。但是對于一些磨損器件，如本例中的機械式開關S2，廠商會提供B10d這個參數，意指該元器件在操作B10d次數后，該元器件中10％部分出現危險故障。

    其中0.1為校正系數，n_op為該元器件每年的操作次數。

    對于目標子系統（傳感器和觸發器）：

Category ——等級

    根據輸入、控制和輸出構成的傳輸鏈的結構確定等級。等級可以分為B、1、2、3、4，由低至高。等級的確認可以借鑒老的標準EN 954-1。此系統的結構符合Category 4。

DC-Diagnostic Coverage——診斷覆蓋率

    診斷覆蓋率指，由自診斷測試而產生的危險硬件故障可能性的減少。

    DC數值的確定需要參照標準的附錄E。

    對于目標子系統（傳感器和觸發器）：

CCF-Common Cause Failure ——共因故障

    共因故障是由一個或多個事件導致的，并且引起1個多通道系統中2個或多個獨立通道的同時故障，從而導致一個系統的故障。如過電壓、電磁兼容故障都可以成為共因故障。

    針對目標子系統（傳感器和觸發器），已經獲得以下關鍵參數的信息：

    MTTFd為180（年）

    Category為4級

    DC值為99％

    CCF分數值為75（通過一定的措施減少共因故障，如信號通道物理隔離、過壓過流保護、EMC防護等）

    這樣，通過對照表，可以得到PFH傳感器＋觸發器 ＝ 2.47 E-8 

    PFH_整個系統＝ PFH_{傳感器＋觸發器}＋PFH_控制器＝2.47 E-8 + 2.5 E-9 + 4.6 E-9 + 1.55 E-8 = 4.727 E-8

    最終可以得到這個安全PLC相關安全系統的PFH值為4.727 E-8。參照表1之后，此安全PLC相關安全系統符合EN/ISO 13849-1 PL e。

    相比EN/ISO 13849-1的PL等級確定，根據EN/IEC 62061確定系統的SIL等級要復雜一些。SIL等級的確定不僅需要參照PFH或PFD值，還需要參考SFF安全失效分數。同時，在PFH或PFD值的計算中，所需要的關鍵參數也與EN/ISO 13849-1中的要求有所不同。

4 結束語

    用于機械制造領域的安全PLC早在90年代末就出現在國內的自動化領域。這些安全PLC以Pilz的PSS可編程安全控制系統為代表，應用于國內的汽車制造、玻璃、造紙、纜車和鋼鐵等領域中的安全控制。現今的安全PLC又有了兩大發展趨勢。第一，為了降低中小型安全系統的成本、減少電氣控制箱中占用空間，在不影響PLC易控制、易診斷等優點的前提下，出現了多種的緊湊的、模塊化結構的小型安全PLC。第二，隨著總線系統的普及和推廣，安全PLC已經作為安全現場總線中不可缺少的重要組成部分，出現在中、大型的安全控制系統之中。

    在系統變得越來越復雜的同時，人們也必須注意安全設計規范和安全標準的重要性。對于一個有著PL e要求的機械，不是僅采用了PL e等級的安全PLC，就表示相關安全控制系統達到了PL e的要求。而是需要有一個系統的從安全評估、安全設計直至安全檢查的設計流程，才能夠設計、制造出一臺高水準、符合安全要求的機械。