李佳

女，漢族，天津人，現(xiàn)任西門子自動(dòng)化集團(tuán)自動(dòng)化系統(tǒng)部故障安全產(chǎn)品經(jīng)理。
研究方向?yàn)楣收习踩到y(tǒng)在工廠自動(dòng)化中的應(yīng)用。


摘要：本文介紹了工業(yè)自動(dòng)化中故障安全應(yīng)用必要性，安全控制的發(fā)展歷程及現(xiàn)狀，以及我國安全系統(tǒng)的現(xiàn)狀。
同時(shí)介紹了相關(guān)安全標(biāo)準(zhǔn)的要求和正確的安全系統(tǒng)構(gòu)成方式。并以西門子故障安全為例，介紹了其相關(guān)解決方案和優(yōu)勢(shì)。

關(guān)鍵詞：西門子；故障安全系統(tǒng)；安全完整性等級(jí)

Abstract: This article introduces the necessary of failsafe in industrial automation,
development process of safety control and Safety system current status.Meanwhile, take 
Siemens integrated safety as an illustration,present related safety solution and advantage.

Key words: Siemens; Distributed Safety; SIL

1 工業(yè)中的故障安全應(yīng)用

    故障安全是工業(yè)生產(chǎn)無論從設(shè)備還是系統(tǒng)都必須考慮的重要因素。因?yàn)槿魏喂I(yè)過程都或多或少地同風(fēng)險(xiǎn)聯(lián)系在一起，從而會(huì)：

    造成人員傷亡；

    破壞自然環(huán)境；

    對(duì)設(shè)備和生產(chǎn)過程造成危險(xiǎn)從而有損投資。

    不僅如此，大部分的應(yīng)用和工業(yè)過程都伴隨著更高的風(fēng)險(xiǎn)。比如壓力機(jī)械、印刷機(jī)械、紡織機(jī)械、灌裝機(jī)械、機(jī)床、機(jī)器人、傳送與包裝系統(tǒng)、高速旋轉(zhuǎn)系統(tǒng)，游藝設(shè)施，高壓工藝過程、海上石油平臺(tái)技術(shù)、火災(zāi)與煙氣報(bào)警器、燃燒器、索道傳輸系統(tǒng)，等等。這些應(yīng)用需要更為安全的自動(dòng)化預(yù)防和安全控制技術(shù)。雖然標(biāo)準(zhǔn)自動(dòng)化的故障率或事故率對(duì)于一般的應(yīng)用場(chǎng)合是可以接受的，但它對(duì)于上述有很大風(fēng)險(xiǎn)的應(yīng)用，則是不夠的。有很多例子，如鐵嶺的鋼包墜落，切爾諾貝利核電站的核泄漏事故等，都是因?yàn)橄到y(tǒng)沒有正確的執(zhí)行安全功能所致。安全保護(hù)可以跟郵政系統(tǒng)類似，一般信件要求的可靠性是可以接受的（普通系統(tǒng)），重要的郵件則應(yīng)使用特別的保護(hù)技術(shù)，比如“掛號(hào)信”（安全系統(tǒng)），使其更為安全、可靠。所以要保證安全系統(tǒng)的正常運(yùn)行，需要將由功能錯(cuò)誤造成的危險(xiǎn)在其發(fā)生之前做好保護(hù)來杜絕其發(fā)生。

那么如何讓設(shè)備和系統(tǒng)更安全呢？

    這不得不提到自動(dòng)化發(fā)展的歷史。我們知道，自動(dòng)控制領(lǐng)域從最初的4-20mA信號(hào)發(fā)展到總線系統(tǒng)，使得自動(dòng)控制的靈活性和可用性得到了很大的提高，相應(yīng)的成本也大幅度的降低了。而最初安全標(biāo)準(zhǔn)在這個(gè)新技術(shù)中的應(yīng)用是被禁止的，因?yàn)槟菚r(shí)安全的自動(dòng)化還必須采用“硬接線”并通過使用安全繼電器技術(shù)為基礎(chǔ)，如圖1所示。

                                 圖1   傳統(tǒng)安全繼電器控制的安全方案

    然而，隨著總線系統(tǒng)的日趨普及，所以出現(xiàn)針對(duì)自動(dòng)控制PLC的安全技術(shù)、安全通信產(chǎn)品和安全的解決方案，到目前為止，自動(dòng)化的安全產(chǎn)品日趨完善，相關(guān)的安全技術(shù)也日臻成熟。由于其靈活性，操作及復(fù)位方式簡(jiǎn)單，診斷更方便，并且符合所有的安全規(guī)范所要求的安全等級(jí)，目前在過程自動(dòng)化和機(jī)械自動(dòng)化中的應(yīng)用越來越廣泛，如圖2所示。

                                    圖2   基于安全PLC控制的安全方案

    歐美國家在自動(dòng)化安全方面的研究發(fā)展包括相應(yīng)的安全標(biāo)準(zhǔn)和規(guī)范的歷史已經(jīng)有30余年。在工業(yè)安全方面也有著相應(yīng)成熟的標(biāo)準(zhǔn)和技術(shù)方案 。比如說國際性功能安全的基本標(biāo)準(zhǔn)IEC 61508，是“涉及到電氣/電子/可編程電子系統(tǒng)安全的功能性安全”標(biāo)準(zhǔn)，它充分考慮了電氣裝備功能安全的要求，且包括基本原則與方法，在2007年，它也已經(jīng)轉(zhuǎn)化為我國的國家安全基本標(biāo)準(zhǔn)GB20438。它將安全的有效性要求 (安全性能) 根據(jù)相關(guān)風(fēng)險(xiǎn)進(jìn)行了分級(jí)。該分級(jí)標(biāo)準(zhǔn)的安全級(jí)別稱為安全完整性等級(jí)Safety Integrity Level，用來計(jì)算安全功能危險(xiǎn)失效的概率，由低到高被劃分為 SIL1到SIL3 (SIL=Safety Integrity Level)。

    表1   IEC61508中所規(guī)范的SIL等級(jí)對(duì)應(yīng)表

    每小時(shí)產(chǎn)生危險(xiǎn)故障的平均概率 [1/h]    SIL [EN 61508-1 (IEC 61508-1)]

     ≥ 10-5 to < 10-4                     無特殊safety 安全要求

     ≥ 3 x 10-6 to < 10-5                          1

     ≥ 10-6 to < 3 x 10-6                          1

     ≥ 10-7 to < 10-6                              2

     ≥ 10-8 to < 10-7                              3

    當(dāng)沒有SIL等級(jí)要求時(shí)，每小時(shí)產(chǎn)生危險(xiǎn)故障可以認(rèn)為是在104 小時(shí)和105 小時(shí)之間，意味著1年到10年的時(shí)間內(nèi)產(chǎn)生1次危險(xiǎn)故障；當(dāng)SIL等級(jí)為SIL3時(shí)，每小時(shí)產(chǎn)生危險(xiǎn)故障可以認(rèn)為是在107 小時(shí)和108 小時(shí)之間，意味著1千年到1萬年的時(shí)間內(nèi)產(chǎn)生1次危險(xiǎn)故障。其實(shí)，這里的概念并不是指多少年會(huì)發(fā)生一次故障，而是說的一個(gè)概率的概念，就像交通工具中飛機(jī)發(fā)生事故的的安全概率要比其他交通工具的低很多一樣，即一個(gè)SIL3級(jí)的安全系統(tǒng)比一個(gè)無安全要求的系統(tǒng)發(fā)生危險(xiǎn)的概率要低非常多，用以滿足在設(shè)備或系統(tǒng)運(yùn)行周期內(nèi)無風(fēng)險(xiǎn)的要求。

    所以，要實(shí)現(xiàn)構(gòu)建一個(gè)故障安全系統(tǒng)，首先需要這個(gè)系統(tǒng)中的設(shè)備和子系統(tǒng)都支持要求的SIL等級(jí)的規(guī)范。符合這個(gè)SIL等級(jí)規(guī)范的模塊和產(chǎn)品是由TV這個(gè)安全認(rèn)證機(jī)構(gòu)來進(jìn)行認(rèn)證的，說明相應(yīng)的安全模塊所能支持的安全SIL等級(jí)。西門子所提供的安全產(chǎn)品都有其相應(yīng)的TV的認(rèn)證證書，標(biāo)明它能夠支持到的安全等級(jí)。          

                                 表2   安全信號(hào)的檢測(cè)，處理和響應(yīng)

    如表2的分類，安全系統(tǒng)主要分為三個(gè)子系統(tǒng)，安全信號(hào)的檢測(cè)，安全信號(hào)的分析和處理及安全信號(hào)的響應(yīng)。這三個(gè)部分構(gòu)成了真正意義上的安全系統(tǒng)：

    安全信號(hào)點(diǎn)（急停，安全鎖，雙手按鈕等等）的檢測(cè)，一般通過急停按鈕、信號(hào)燈、安全門鎖、光柵、激光掃描儀等來完成；

    安全信號(hào)點(diǎn)的分析和處理一般通過安全PLC，安全繼電器等完成，以保證安全信號(hào)的正確性；

    安全信號(hào)點(diǎn)的響應(yīng)一般通過安全驅(qū)動(dòng)裝置將安全信號(hào)最后輸出給驅(qū)動(dòng)裝置，完成安全功能的執(zhí)行。

    每一部分缺一不可。因?yàn)橐坏┟總€(gè)子系統(tǒng)不能達(dá)到要求的安全等級(jí)，就會(huì)影響整個(gè)系統(tǒng)的安全完整性。其中安全分析和處理單元和安全相應(yīng)單元在安全功能上所占的比重要比安全檢測(cè)部分大得多。但是在目前來看，我國的自動(dòng)化應(yīng)用中的安全技術(shù)存在著很多不規(guī)范的地方。比如現(xiàn)在在工廠里的情形通常是，存在安全設(shè)備的檢測(cè)元件，一般都存在安全急停等裝置，但是這些安全信號(hào)的處理和響應(yīng)通常不是由安全的PLC和安全驅(qū)動(dòng)完成的。所以看似是一個(gè)安全系統(tǒng)，但其實(shí)卻是假的，不能達(dá)到真正的安全等級(jí)。

    國內(nèi)自動(dòng)化領(lǐng)域另一個(gè)對(duì)安全系統(tǒng)的誤解就是安全功能的使用會(huì)降低生產(chǎn)效率。而正確的使用安全功能不僅不會(huì)對(duì)生產(chǎn)效率產(chǎn)生影響，反而可以有效的降低調(diào)試時(shí)間和維修過程。比如，通過安全限速SLS(Safety Limited Speed)的方式，即在調(diào)試，運(yùn)行和維修狀態(tài)時(shí)，可以將電機(jī)的轉(zhuǎn)速降低到一個(gè)對(duì)人身沒有危害的速度上，當(dāng)維修完成，快速恢復(fù)到正常運(yùn)行速度可以有效地減少停機(jī)時(shí)間；或者，通過本地急停的方式提高生產(chǎn)效率，縮短調(diào)試和停機(jī)時(shí)間。在工廠中，我們看到安全急停的使用一般都是全局急停，即急停按鈕一旦按下，系統(tǒng)整個(gè)停車。而通過本地急停的方式，即使部分區(qū)域停車，但其他部分可以正常工作的方式來提高生產(chǎn)效率。除此之外，安全系統(tǒng)所提供的診斷功能，也可以直觀的顯示故障信息，故障發(fā)生的位置和排除故障的方法來幫助快速的找到故障和排除故障。

2 西門子安全解決方案

    西門子故障安全產(chǎn)品是以黃色標(biāo)明為安全產(chǎn)品標(biāo)記，在命名上以F（Failsafe）為標(biāo)示，如CPU319F等。

    除了剛才提到的安全限速，本地急停等降低調(diào)試和維修時(shí)間，詳細(xì)的診斷信息等優(yōu)勢(shì)以外，西門子的安全解決方案的最大優(yōu)勢(shì)在于它的安全TIA（Total Integrated Automation）全集成自動(dòng)化。TIA是西門子一直提倡的系統(tǒng)構(gòu)建理念，在安全系統(tǒng)的TIA包含兩個(gè)層面。

2.1 安全產(chǎn)品和系統(tǒng)的全集成

    網(wǎng)絡(luò)結(jié)構(gòu)上從黃色的底層ASI總線，到紫色的PROFIBUS-DP總線網(wǎng)絡(luò)，再到上層綠色的PROFINET以太網(wǎng)，將剛才所提到的從安全檢測(cè)，評(píng)估到相應(yīng)的所有安全產(chǎn)品和通常使用的安全功能網(wǎng)羅其中。

    比如安全的檢測(cè)單元，如安全光柵，可以通過PROFIBUS-DP紫色總線直接連接到PLC上，將安全信號(hào)有檢測(cè)單元輸送給安全處理單元。安全PLC設(shè)備和安全的輸入輸出IO模塊也都提供相應(yīng)的DP或PN接口連接到對(duì)應(yīng)的PROFIBUS-DP和PROFINET網(wǎng)絡(luò)中。同樣，安全的驅(qū)動(dòng)裝置，如G120、S120都是帶有安全功能的驅(qū)動(dòng)設(shè)備連接到網(wǎng)絡(luò)中來。

    安全信號(hào)的通信不僅支持連接到以上的網(wǎng)絡(luò)，可以通過網(wǎng)關(guān)，如DP/ASI Link或帶有兩種接口的安全CPU，將這兩種不同的網(wǎng)絡(luò)進(jìn)行連接，安全信號(hào)可以跨網(wǎng)進(jìn)行路由；并且它還支持無線以太網(wǎng)的通信模式。由于無線通信通常應(yīng)用在靈活移動(dòng)的場(chǎng)合，所以安全信號(hào)傳輸支持該通信模式對(duì)于應(yīng)用上來說無疑是一個(gè)好消息。

    安全信號(hào)在這些網(wǎng)絡(luò)媒質(zhì)中的傳輸和普通信號(hào)的傳輸相比，區(qū)別在于安全數(shù)據(jù)傳輸是通過PROFIBUS-DP和PROFINET網(wǎng)絡(luò)上加載的故障安全協(xié)議PROFIsafe實(shí)現(xiàn)的（如圖3所示）。PROFIsafe技術(shù)，從OSI網(wǎng)絡(luò)模型上說，是處于 PROFIBUS 和 PROFINET 協(xié)議之上的附加層。PROFIsafe 協(xié)議可以使在一個(gè)安全主控制器和其他安全設(shè)備之間的數(shù)據(jù)傳輸中的失效概率降低到安全標(biāo)準(zhǔn)所要求的范圍之內(nèi)。

                                        圖3   安全集成網(wǎng)絡(luò)


    PROFIsafe 在軟件非常容易實(shí)現(xiàn)，所以在使用 PROFIBUS 和 PROFINET 網(wǎng)絡(luò)通信的情況下，這種數(shù)據(jù)通信的安全協(xié)議覆蓋了過程自動(dòng)化和制造業(yè)自動(dòng)化中安全應(yīng)用的整個(gè)范圍。像上文提到的，PROFIsafe 安全協(xié)議同樣也應(yīng)用于無線通信技術(shù)，如 WLAN 和藍(lán)牙（Bluetooth）。它將數(shù)據(jù)信息安全技術(shù)（Security）包括在內(nèi)，可經(jīng)以太網(wǎng)獲得更加廣泛更加靈活的應(yīng)用。

2.2 安全系統(tǒng)和標(biāo)準(zhǔn)系統(tǒng)集成在一個(gè)故障安全PLC中

                                     圖4   安全集成的優(yōu)勢(shì)

    在一個(gè)系統(tǒng)中，通常存在著普通輸入輸出點(diǎn)來采集和響應(yīng)普通的信號(hào)和安全輸入輸出點(diǎn)來采集和響應(yīng)安全信號(hào)。在較早的傳統(tǒng)解決方案中，通常使用兩套系統(tǒng)。即普通PLC+普通的總線+普通的輸入輸出IO模塊來處理普通信號(hào)；安全部分通過一套安全PLC+總線+安全的輸入輸出IO連接下層設(shè)備來處理安全信號(hào)。即如圖4中的上半部分所示。在這種情形下，要使用兩套PLC（一套標(biāo)準(zhǔn)PLC和一套安全PLC），兩套接線和兩套IO模塊。在這種方案中，標(biāo)準(zhǔn)系統(tǒng)和安全系統(tǒng)往往還要進(jìn)行數(shù)據(jù)交換，若標(biāo)準(zhǔn)系統(tǒng)和安全系統(tǒng)不是同一廠家或不支持同一協(xié)議，數(shù)據(jù)通信方面工程上還要做很多工作。

    而西門子所提供的故障安全解決方案，通過一個(gè)安全PLC同時(shí)可以處理標(biāo)準(zhǔn)程序和安全程序。在輸入輸出模塊方面，標(biāo)準(zhǔn)IO模塊可以和故障安全模塊集成在一個(gè)背板上面。標(biāo)準(zhǔn)IO模塊連接標(biāo)準(zhǔn)信號(hào)，故障安全I(xiàn)O模塊連接安全信號(hào)。這種安全集成的方式可以有效的節(jié)省硬件、接線的成本，緊湊的方式可以增加控制柜內(nèi)的空間；同時(shí)，也省去了PLC之間的互相通信，提高了系統(tǒng)的靈活性和兼容性。最大程度的滿足客戶在系統(tǒng)和成本上的需求。

參考文獻(xiàn)

[1]  [德]沃爾夫?qū)?斯特里普（Dr. Wolfgang Stripf）著，惠敦炎譯.  PROFISafe系統(tǒng)描述. 2008年12月.