大话安全——关于功能安全您需要知道的四个问答

admin 2024-11-16 02:36:4954 122

随着安全法律法规的完善和人们安全意识的提高，越来越多的安全相关系统在自动化领域中被采用。这里所说的“安全“不是网络安全更不是交通安全，而是指国际标准IEC61508（对应GB/T20438）《电气/电子/可编程电子安全相关系统的功能安全》！

1.1什么是安全？

什么是安全，这是最先被问到的问题。一般的说法，安全是没有危险，不受威胁，不出事故。如果按照这个说法，安全是一个绝对的概念，是不可控的。

在IEC61508中，要回答这个问题，先要了解两个安全术语，伤害和风险：

伤害——对人体健康的损害或损伤以及对财产或环境的损害

风险——出现伤害的概率及该伤害严重性的组合

可以简单的理解风险的表达式为：风险（R）＝伤害的严重性（S）×伤害的频度（P）。其中严重性表示发生一次伤害造成的损失数值；频度表示在一定的时间内伤害发生的次数，这两个因素都会影响风险。

IEC61508给出安全的定义是“不存在不可接受的风险”。如果对将要出现的伤害的概率以及严重程度是可以接受的那就是安全的，不能接受，那就是不安全的。

所以说不存在绝对的安全，只有相对的安全。而且这个定义，将安全问题转化为了风险问题，通过控制风险使安全变得可控。因为，出现伤害的可能性是可以通过一些措施减小的，只要将风险减小到可接受的程度，就相当于达到了安全。

安全相关系统大多是围绕着如何减小出现伤害的概率来工作的。比如，一台机器，通过一些安全措施，操作人员操作十万次才可能会出现一次割破手指的伤害，这样来说是可以接受的，那么这台机器是安全的。

1.2什么是安全完整性等级SIL，SIL越高越好吗？

如何衡量一个安全相关系统执行这安全功能的能力呢？或者说为了安全，受控设备对安全相关系统的要求是什么呢？这就需要提到安全完整性和安全完整性等级（SIL）。

根据IEC61508的定义，安全完整性是在规定的条件下和规定的时间内，安全系统成功实现所要求的安全功能的概率。安全完整性等级SIL是一种离散的等级，用于规定安全相关系统的安全功能的安全完整性要求。有4种安全完整性等级，SIL4是最高的，SIL1是最低的。IEC61508对不同操作模式下的安全完整性等级规定了相应的失效概率范围，见下表1和表2。（低要求操作模式：要求的操作频率每年不大于一次或不大于两倍的检测测试频率，否则均应作为高要求操作模式或连续操作模式）。

表1、2不同要求模式下的的失效概率范围

从表中可以看出来，安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。

举例来说，一个锅炉燃烧控制系统，安全功能是当锅炉压力达到危险值时关闭炉火防止发生爆炸危险。如果要想达到SIL2等级，那就要求系统在锅炉压力达到危险值关闭炉火这个功能出现不能执行的概率要低于10的-6次方。

确定安全完整性等级要基于危险与风险分析，不恰当的风险分析会导致安全相关系统的安全完整性等级过高或过低。安全完整性等级过高会造成不必要的过高的安全成本，安全完整性等级过低又会导致安全相关系统不能满足安全要求。

1.3安全的PLC控制系统都需要哪些组件？

图2安全相关系统构成

通常情况下的基于PLC的安全控制系统由传感器子系统、逻辑子系统和执行子系统三个子系统构成，其他形式的安全控制系统也是类似的。实现安全功能要贯穿从传感器到执行器的整个安全系统，所以，整个系统的安全完整性等级SIL是由构成系统的三个子系统的SIL等级来确定的，即：

SIL系统=SIL传感器+SIL逻辑+SIL执行

例如传感器子系统为SIL2，逻辑单元子系统为SIL3，执行机构子系统为SIL1，则初步确定整个系统的安全完整性等级为SIL1。也就是说整个系统由其构成的三个子系统中最低的SIL等级决定。尽管逻辑子系统为SIL3，但整个系统SIL等级仅为SIL1。

因此在对安全PLC控制系统进行硬件选型时要注意。首先是传感器和执行元件，为了完成安全功能，使整个系统SIL等级达到设计要求，需要使用合格的器件。而对于作为逻辑子系统的PLC来说，需要使用F-CPU，而且在连接安全功能所使用的传感器/执行元件时要使用F-IO模块，因为普通的CPU和IO模块是没有SIL等级的，不能完成安全功能。同样，通常情况下，使用F-CPU搭配普通的IO模块是不能实现安全功能的。

常用于SIMATICSafety故障安全系统的硬件组件有：

•F-CPU：

–S7-1200F-CPU,例如CPU1214FCDC/DC/DC

–S7-1500F-CPU,例如CPU1516F-3PN/DP

–ET200SPF-CPU,例如CPU1510SPF-1PN

图3S7-1200/1500/ET200SPF-CPU

•安全输入和输出(F-I/O)

–S7-1500/ET200MP安全模块

–S7-1200安全模块

–ET200SP安全模块

–ET200pro安全模块

–ET200ecoPN安全I/O模块

–ET200AL安全I/O模块

图4ET200MP/ET200SPF-IO

在安全的PLC控制系统中，除了使用F-CPU和F-IO模块硬件组件外，还需要专门的软件组件——STEP7Safety，用于安全系统进行组态和编程。

使用STEP7Safety，可以：

•支持在TIA博途的硬件和网络编辑器中组态F-I/O

•支持使用LAD和FBD创建安全程序并该安全程序中集成有错误检测功能

•在LAD和FBD中编写安全程序的指令

•在LAD和FBD中编写具有特定安全功能的安全程序指令

图5STEP7Safety

1.4西门子安全PLC与普通PLC有什么区别？

1）安全型的PLC是经过安全认证的，可以满足系统对安全完整性要求的。同时，安全的CPU具有普通CPU所有的功能，也能被用于普通系统；但普通的PLC不能被用于安全系统。

2）安全型的PLC在硬件模板的设计上与普通PLC是有区别的。

在F-IO模板上，内部电路都是采用双通道的设计，可以对采集的信号进行比较和校验；另外，在模板上也增加了更多的诊断功能，能够对短路或者断线等外部故障进行诊断。F-CPU通过一定的校验机制，可以保证安全程序在F-CPU内处理执行都是安全准确的，而普通的CPU则不能处理安全的信号也不能编写安全程序。

3）安全型的PLC里F-CPU与F-IO模板之间的通讯是通过PROFIsafe协议来保证数据安全的。PROFIsafe协议是加载在PROFIBUS或PROFINET协议层之上的，在数据中增加了更多的校验机制，因此可靠性更高。另外，采用西门子安全PLC的安全系统中可以将安全模板与标准模板混用，也可以使用标准的PROFIBUS或PROFINET网络进行安全数据的传输。

4）F-CPU编写安全程序时使用的标准安全功能块也是经过安全认证的。