今日頭條
官方微信
官方抖音
案例頻道
黃之炯(1977-)
男,上海交通大學(xué)工程碩士(在讀)。現(xiàn)就職于德國Pilz自動化有限公司,任高級產(chǎn)品經(jīng)理,長期從事安全自動化產(chǎn)品的技術(shù)和市場工作。
摘要:介紹安全PLC,并結(jié)合國際標(biāo)準(zhǔn)EN/ISO 13849-1 對安全PLC構(gòu)成的相關(guān)安全系統(tǒng)的安全性和可靠性進行分析。
關(guān)鍵詞:安全PLC;安全性能等級;安全完整性;安全失效分?jǐn)?shù)
Abstract: The paper describes safety PLC and analyzes of safety & reliability in the safety PLC related system according to the international standard EN/ISO 13849-1.
Key words: safety PLC; Safety Integrity Level; Category; safe failure fraction
1 前言
安全,這兩個字在人們的生活、工作之中無處不在。無論是生活中的食品安全、交通安全還是工作中的機械安全、生產(chǎn)安全,已經(jīng)被越來越重視。在工業(yè)領(lǐng)域中,安全繼電器(或稱之為安全模塊)由于其緊湊的結(jié)構(gòu)、易掌握、易使用、低價格的特點,最先進入中國的工業(yè)自動化領(lǐng)域,并且被廣大的電氣設(shè)計人員和最終用戶所接受。但是對于中、大型安全自動化控制,大規(guī)模的使用安全繼電器必然會導(dǎo)致設(shè)計復(fù)雜、成本增加、接線繁瑣、故障診斷困難等弊端。與普通PLC的出現(xiàn)替代了大規(guī)模普通繼電器的硬接線回路一樣,安全PLC也應(yīng)運而生,用于中、大型的安全自動化控制。
2 安全PLC簡介
一套安全控制系統(tǒng),由安全輸入信號(即安全功能,如緊急停止信號、安全門信號等)、安全控制模塊(如安全繼電器、安全PLC)和被控輸出元件(如主接觸器、閥等)三部分組成。安全PLC作為安全控制模塊,需要對安全輸入信號進行分析、處理,并最終控制輸出元件。從邏輯上來說,以上控制功能采用普通PLC也可以達到相同的效果。但是在采用普通PLC的系統(tǒng)之中可能會出現(xiàn)以下安全隱患:處理器不規(guī)則、輸入輸出卡件硬件故障、輸入回路故障(比如短路、觸點融焊)、輸出元器件故障(如觸點融焊)、輸出回路故障(如短路、斷路)。這些安全隱患,都會導(dǎo)致安全功能失效,從而導(dǎo)致事故的發(fā)生。所以,安全PLC就是要求能夠可靠的控制安全輸入信號,一旦當(dāng)安全輸入信號變化或安全控制系統(tǒng)中出現(xiàn)任何故障,立即做出反應(yīng)并輸出正確信號,使機器安全停車,以阻止危險的發(fā)生或事故的擴散。
安全PLC的硬件上主要采取了以下措施來達到安全要求:
● 采用冗余性控制
● 采用多樣性控制
● 頻繁、可靠的自檢
● 程序CRC校驗
● 安全認(rèn)證功能塊
通常,安全PLC采用了多套中央處理器進行控制,并且這些處理器來自不同的生產(chǎn)商。這樣的控制方式符合了冗余、多樣性控制的要求。這是安全PLC與普通PLC最根本的區(qū)別。當(dāng)一定數(shù)量的處理器出現(xiàn)故障后,完好的處理器依然執(zhí)行安全功能,切斷所有安全輸出使系統(tǒng)停機。導(dǎo)致系統(tǒng)停機的處理器的故障數(shù)量取決于不同的系統(tǒng)。如,1oo2系統(tǒng)(2取1的系統(tǒng)),一旦一個處理器出現(xiàn)故障,系統(tǒng)立刻進入故障安全狀態(tài);又如,2oo3系統(tǒng)(3取2的系統(tǒng)),當(dāng)一個處理器出現(xiàn)故障,系統(tǒng)并不會停機。系統(tǒng)只有在2個處理器同時出現(xiàn)故障的情況下才會導(dǎo)致系統(tǒng)停機。前者通常成為2重冗余系統(tǒng),安全可靠性較高、可用性較低;后者我們通常成為3重冗余系統(tǒng),其安全可靠性和可用性較高,但相比前者成本高。
對于信號的采集、處理和輸出的過程,安全PLC都采用了冗余控制的方式。當(dāng)信號進入PLC后,分別進入多個輸入寄存器,再通過對應(yīng)的多個中央處理器的處理,最后進入多個輸出寄存器。這樣,安全PLC就構(gòu)成了多個冗余的通道。整個過程之中,信號狀態(tài)、處理結(jié)果等可以通過安全PLC內(nèi)部的暫存裝置進行相互比較,如果出現(xiàn)不一致,則可以根據(jù)不同的系統(tǒng)特性,進入故障安全狀態(tài)或?qū)⒐收蠙z測出來。
輸入回路可以采用雙通道的方式,通過2條物理接線進入安全PLC。安全PLC也可以提供安全測試脈沖,用以檢測輸入通道中的故障。
安全PLC的輸出內(nèi)部電路也采用了冗余、多樣性的方式,對一個輸出節(jié)點進行安全可靠控制。安全PLC可以通過2種不同的手段,即切斷基極信號和切斷集電極電源兩種不同的方式,將輸出信號由1轉(zhuǎn)變?yōu)?。無論那種方式出現(xiàn)故障,另外一種方式依然完好的執(zhí)行安全功能。同時,安全PLC提供了內(nèi)部檢測脈沖,以檢測內(nèi)部故障。
安全PLC的掃描時間要求為每千條指令1ms以下。快速的中央處理功能不僅可以達到緊急停車的要求,同時能夠以較短的時間完成整套系統(tǒng)的安全功能自檢。
在軟件方面,安全PLC必須有可靠的編程環(huán)境、校驗手段,以保證安全。這主要可以通過規(guī)范安全功能編程來實現(xiàn)。如Pilz的安全PLC,提供了通過認(rèn)證的MBS安全標(biāo)準(zhǔn)功能塊,以幫助編程人員進行合理的、安全的編程。這些安全功能塊經(jīng)過加密,不能夠修改。只需要在功能塊的輸入和輸出部分填入相應(yīng)的地址、參數(shù)和中間變量,即可以完成對安全功能的編程。這些MBS功能塊涵蓋了機械制造領(lǐng)域及流程化工領(lǐng)域的安全功能控制。
3 安全PLC相關(guān)安全系統(tǒng)的可靠性研究
評判一套運用了安全PLC的安全系統(tǒng)是否符合安全要求,最好的手段就是通過國際/歐洲/國內(nèi)相關(guān)標(biāo)準(zhǔn)對此系統(tǒng)進行分析、評估。現(xiàn)今,常用的安全相關(guān)控制系統(tǒng)的標(biāo)準(zhǔn)有EN 954-1、EN/ISO 13849、EN/IEC 61508。其中EN 954-1是一個較老的標(biāo)準(zhǔn),已經(jīng)不符合現(xiàn)代自動化領(lǐng)域新技術(shù)的要求。針對機械制造領(lǐng)域,筆者僅以EN/ISO 13849-1和IEC 62061作為參照,進行安全PLC相關(guān)安全系統(tǒng)的可靠性研究。
EN/ISO 13849-1 的全稱是機械的安全——制系統(tǒng)有關(guān)的安全部件。這個標(biāo)準(zhǔn)將會取代EN 954-1,幫助筆者量化的判斷硬件系統(tǒng)的安全性。其安全等級通過PLr(Required Performance Level)來評定。EN/IEC 62061 的全稱是針對機械領(lǐng)域的電氣/電子/可編程電子系統(tǒng)的功能安全。其安全等級通過SIL(Safety Integrity Level)安全完整性來評定。從表1可以看到,無論是EN/ISO 13849-1,還是EN/IEC 62061,都是通過PFH每小時失效概率來評估其等級。簡而言之,要判斷一套運用安全PLC的安全硬件系統(tǒng)的安全性、可靠性,量化的計算出其每小時危險失效概率是直觀有效的手段。
表1 PFH每小時失效概率來評估其等級表
|
每小時危險失效 |
PL, - EN/ISO 13849-1 |
SIL, - EN/IEC 62061Safety Integrity Level |
|
10-5 < PFH < 10-4 |
a |
沒有安全要求 |
|
3 x 10-6 < PFH < 10-5 |
b |
1 |
|
10-6 < PFH < 3 x 10-6 |
c |
1 |
|
10-7 < PFH < 10-6 |
d |
2 |
|
10-8 < PFH < 10-7 |
e |
3 |
|
10-9 < PFH < 10-8 |
無 |
4 |
可以對以下一個安全控制系統(tǒng)進行安全、可靠性分析。系統(tǒng)如圖1簡述。
圖1 安全能控制系統(tǒng)分析圖
該系統(tǒng)的安全功能是安全門控制。2個安全門開關(guān)作為輸入傳感元器件控制安全門。安全PLC(Pilz PSS可編程安全控制系統(tǒng))作為安全控制模塊。控制對象有2個交流接觸器。這兩個交流接觸器串聯(lián)構(gòu)成冗余回路控制主電機。如果要對這套系統(tǒng)進行安全可靠性分析,就要計算出其PFH值。
已知情況如下:
開關(guān)S1:電磁解鎖門開關(guān),MTTFd = 1381年
開關(guān)S2:機械式門開關(guān),B10d = 2000000
安全PLC:CPU 的PFH為1.55 E-8;輸入模塊的PFH為2.49 E-9;輸出模塊的PFH為2.49 E-9。
交流接觸器K1/K2:B10d = 2000000
以上數(shù)據(jù)皆應(yīng)該由元器件供應(yīng)商提供。
該安全門每小時需要動作10次。一旦安全門動作,安全PLC必須切斷交流接觸器,保證電機安全停止。
在以上參數(shù)和實際運行條件下,可以根據(jù)EN/ISO 13849-1計算PFH值。整個系統(tǒng)可以被拆分為三個子系統(tǒng),如圖2所示。
圖2 三個子系統(tǒng)圖
這樣一來,PFH總 = PFH子系統(tǒng)1+PFH子系統(tǒng)2+PFH子系統(tǒng)3
由于子系統(tǒng)2(即為安全PLC部分)的PFH值由元器件供應(yīng)商提供,又可以將整個系統(tǒng)再進行轉(zhuǎn)化。
PFH總= PFH子系統(tǒng)1+PFH子系統(tǒng)2+PFH子系統(tǒng)3= PFH子系統(tǒng)1+子系統(tǒng)2 + PFH子系統(tǒng)3 = PFH傳感器+觸發(fā)器 + PFH邏輯控制
現(xiàn)在的關(guān)鍵問題即為PFH傳感器+觸發(fā)器的計算問題。
根據(jù)EN/ISO 13849-1,確定PFH值必須要有以下關(guān)鍵參數(shù):
● MTTFd ——平均無危險故障時間
● Category ——(安全)等級
● DC-Diagnostic Coverage —— 診斷覆蓋率
● CCF-Common Cause Failure —— 共因故障
MTTFd —— 平均無危險故障時間:
該參數(shù)的單位為年。通常元器件廠商會提供此參數(shù),如本例中的電磁解鎖開關(guān)S1,其MTTFd 的值由Pilz提供,為1381年。但是對于一些磨損器件,如本例中的機械式開關(guān)S2,廠商會提供B10d這個參數(shù),意指該元器件在操作B10d次數(shù)后,該元器件中10%部分出現(xiàn)危險故障。
其中0.1為校正系數(shù),nop為該元器件每年的操作次數(shù)。
對于目標(biāo)子系統(tǒng)(傳感器和觸發(fā)器):
Category ——等級
根據(jù)輸入、控制和輸出構(gòu)成的傳輸鏈的結(jié)構(gòu)確定等級。等級可以分為B、1、2、3、4,由低至高。等級的確認(rèn)可以借鑒老的標(biāo)準(zhǔn)EN 954-1。此系統(tǒng)的結(jié)構(gòu)符合Category 4。
DC-Diagnostic Coverage——診斷覆蓋率
診斷覆蓋率指,由自診斷測試而產(chǎn)生的危險硬件故障可能性的減少。
DC數(shù)值的確定需要參照標(biāo)準(zhǔn)的附錄E。
對于目標(biāo)子系統(tǒng)(傳感器和觸發(fā)器):
CCF-Common Cause Failure ——共因故障
共因故障是由一個或多個事件導(dǎo)致的,并且引起1個多通道系統(tǒng)中2個或多個獨立通道的同時故障,從而導(dǎo)致一個系統(tǒng)的故障。如過電壓、電磁兼容故障都可以成為共因故障。
針對目標(biāo)子系統(tǒng)(傳感器和觸發(fā)器),已經(jīng)獲得以下關(guān)鍵參數(shù)的信息:
MTTFd為180(年)
Category為4級
DC值為99%
CCF分?jǐn)?shù)值為75(通過一定的措施減少共因故障,如信號通道物理隔離、過壓過流保護、EMC防護等)
這樣,通過對照表,可以得到PFH傳感器+觸發(fā)器 = 2.47 E-8
PFH整個系統(tǒng)= PFH傳感器+觸發(fā)器+PFH控制器=2.47 E-8 + 2.5 E-9 + 4.6 E-9 + 1.55 E-8 = 4.727 E-8
最終可以得到這個安全PLC相關(guān)安全系統(tǒng)的PFH值為4.727 E-8。參照表1之后,此安全PLC相關(guān)安全系統(tǒng)符合EN/ISO 13849-1 PL e。
相比EN/ISO 13849-1的PL等級確定,根據(jù)EN/IEC 62061確定系統(tǒng)的SIL等級要復(fù)雜一些。SIL等級的確定不僅需要參照PFH或PFD值,還需要參考SFF安全失效分?jǐn)?shù)。同時,在PFH或PFD值的計算中,所需要的關(guān)鍵參數(shù)也與EN/ISO 13849-1中的要求有所不同。
4 結(jié)束語
用于機械制造領(lǐng)域的安全PLC早在90年代末就出現(xiàn)在國內(nèi)的自動化領(lǐng)域。這些安全PLC以Pilz的PSS可編程安全控制系統(tǒng)為代表,應(yīng)用于國內(nèi)的汽車制造、玻璃、造紙、纜車和鋼鐵等領(lǐng)域中的安全控制。現(xiàn)今的安全PLC又有了兩大發(fā)展趨勢。第一,為了降低中小型安全系統(tǒng)的成本、減少電氣控制箱中占用空間,在不影響PLC易控制、易診斷等優(yōu)點的前提下,出現(xiàn)了多種的緊湊的、模塊化結(jié)構(gòu)的小型安全PLC。第二,隨著總線系統(tǒng)的普及和推廣,安全PLC已經(jīng)作為安全現(xiàn)場總線中不可缺少的重要組成部分,出現(xiàn)在中、大型的安全控制系統(tǒng)之中。
在系統(tǒng)變得越來越復(fù)雜的同時,人們也必須注意安全設(shè)計規(guī)范和安全標(biāo)準(zhǔn)的重要性。對于一個有著PL e要求的機械,不是僅采用了PL e等級的安全PLC,就表示相關(guān)安全控制系統(tǒng)達到了PL e的要求。而是需要有一個系統(tǒng)的從安全評估、安全設(shè)計直至安全檢查的設(shè)計流程,才能夠設(shè)計、制造出一臺高水準(zhǔn)、符合安全要求的機械。
北京市公安局海淀分局備案號:11010802023656號