引言
随着我国工业制造水平不断提高,生产工艺日益复杂,对工业安全也提出了更高的要求,因此安全技术及安全相关系统无疑将扮演越来越重要的角色。近年来,以计算机为基础的系统已经渗透到几乎所有的工控领域,彻底改变了工厂和工业过程的控制,而且包含电子、电气设备和计算机软硬件的系统被越来越多地用于安全目的。1998年,国际电工委员会正式发布了IEC61508,即《电气/电子/可编程电子安全相关系统的功能安全》,该标准的发布实质上正式承认了以软件为基础的安全相关系统,并且已经成为国际公认的功能安全基础标准,与之对应的我国国家标准GB/T20438也已经正式发布。
IEC61508还有一个重要的目标是促进应用领域标准的制订。因此,在IEC61508的基础上,已经制定了一些具体行业或应用领域的功能安全标准。其中,独立于生产商和产品的全球性协会的PLCopen组织,致力于解决控制编程等相关方面问题,从而支持使用该领域国际标准;旗下6个技术委员会分别关注:TC1标准; TC2功能;TC2-TF运动控制;TC3认证;TC4通讯;TC5安全;TC6XML。其中第5个技术委员会专注于研究IEC61508和IEC61511等相关的安全标准,为我们应用IEC61131-3标准时,如何使它匹配安全相关的标准而提出建议。
根据IEC标准,安全型系统称为Safety-Related System。它覆盖的范围很广,适用于所有工控自动化系统,它包含了影响安全的各种因素,如仪表组成的保护系统,工艺设备的安全措施以及管理和人员的操作和规章制度等各方面。对于我们平常所说的安全控制系统就是指仪表和控制设备构成的保护系统。
安全控制系统主要由现场检测仪表、控制逻辑单元和现场执行装置和他们之间的连线组成,其中控制逻辑单元是整个控制系统的核心。这一系统能以符合安全要求的概率,在工艺过程出现预先规定的故障情况时,使过程处在安全状态。
在安全控制系统的设计中,为了定量的来分析各种生产装置的安全性,并作为安全控制系统的配置依据,IEC61508定义了4个安全度等级( Safety Integrity Level)SIL1-4,同时每个等级包括两个定量的安全要求,即系统连续操作每小时故障概率(PFH)和按要求模式执行指定功能的故障概率(PFD),参见表1:
表1 安全等级划分标准
安全控制系统的设计以及系统结构既要满足工业过程的安全度要求,又要保证可靠性和可用性,因此,必须对具体的工业过程进行安全评价。我国目前还没有具体的安全等级评价和设计标准,而目前国际上通用的标准有德国的DIN19250、美国的ISA S84.01和IEC61508;权威的认证机构包括德国的T?V、美国的UL和FM等。
安全度等级可以根据IEC61508提供的风险图(Risk Graph),按照估计发生危险时的损害程度、人员存在的可能性、防止危险发生的可能性以及无保护系统时出现危险的可能性这四个参数来计算故障概率PFD而最终确定。按照这一要求,电厂的炉膛安全保护系统的安全度等级一般被定义为SIL3 (IEC61508),此等级相当于DIN19250标准的RC6级。
对于安全相关的控制系统来说,一直以来所采用的硬件主要有以下三种形式:
1) 继电器;2) 硬接线固态威廉希尔官方网站 ;3) 可编程电子系统(大多为PLC 系统)。
目前,由于采用微处理器技术的PLC具有高可靠性、高可用性和可维护性,因此在工程实际中得到了广泛的应用。
2.1 概述
安全方面的实现,可集成到软件的开发工具中。这样的结合可使得开发者在刚开始进入开发周期时,就可将与安全相关的功能集成到他们的系统中去。
图1 在一个平台上合并三个环境
2.2 安全控制系统的基本要求
在所有可应用的安全标准中,对机械制造商来说,一个安全应用程序的通用基本要求如下:
表1 安全等级划分标准
安全控制系统的设计以及系统结构既要满足工业过程的安全度要求,又要保证可靠性和可用性,因此,必须对具体的工业过程进行安全评价。我国目前还没有具体的安全等级评价和设计标准,而目前国际上通用的标准有德国的DIN19250、美国的ISA S84.01和IEC61508;权威的认证机构包括德国的T?V、美国的UL和FM等。
安全度等级可以根据IEC61508提供的风险图(Risk Graph),按照估计发生危险时的损害程度、人员存在的可能性、防止危险发生的可能性以及无保护系统时出现危险的可能性这四个参数来计算故障概率PFD而最终确定。按照这一要求,电厂的炉膛安全保护系统的安全度等级一般被定义为SIL3 (IEC61508),此等级相当于DIN19250标准的RC6级。
对于安全相关的控制系统来说,一直以来所采用的硬件主要有以下三种形式:
1) 继电器;2) 硬接线固态威廉希尔官方网站 ;3) 可编程电子系统(大多为PLC 系统)。
目前,由于采用微处理器技术的PLC具有高可靠性、高可用性和可维护性,因此在工程实际中得到了广泛的应用。
3.1 概述
安全方面的实现,可集成到软件的开发工具中。这样的结合可使得开发者在刚开始进入开发周期时,就可将与安全相关的功能集成到他们的系统中去。
图1 在一个平台上合并三个环境
3.2 安全控制系统的基本要求
在所有可应用的安全标准中,对机械制造商来说,一个安全应用程序的通用基本要求如下:
安全与非安全功能性的区别
可应用的编程语言和语言子集的运用
认证的软件模块的运用
可应用的编程指导方针的运用
安全相关软件的生命周期中,被认可的降低错误的测量手段的运用
3.3 提供易用的工业控制编程环境
对用户来说,为符合上述高要求所做的努力应该尽量减少。要做到这点,可采用标准化的解决方案,使得典型的功能可以轻松实现。功能块的标准化、软件工具的支持和集成,使得程序员从一开始就可在他们的应用中集成安全部分。
1. 安全功能块的标准化为了帮助开发者使用安全相关的功能,他们使用软件时的舒适度应当被提高,这样便更容易去接受这种工作方式。要做到这点,需要标准化安全功能块。这样,安全功能能更好地被辨认出来,做出专业化的安全功能块的趋势被降低。所以,便没有必要进行再培训;另外,也有利于认证实体更容易、快捷地检查安全软件。
在较高的层次提供功能块,使得它们较少地依赖于下层的硬件结构。
2. 标准程序的集成一旦功能块具有了其功能,下一步便要决定如何将安全相关的程序并入其中。在这一层面上,软件工具应该尽可能地帮助使用者。所以,我们可以定义一种新的布尔变量,它可应用于安全相关环境中,于是安全相关和非安全相关的布尔变量便有了区别。这使得开发工具有了可辨别安全程序部分的基础,引导用户做出被允许的连接,同时阻止了错误的连接。
并且,编程语言的功能要减少。另外,最好使用FBD和LD 图形,这样程序部分可以更容易地去写和检查。
4.1 控制系统的结构及相关的安全标准
不同标准开发阶段和运行时间的关系在“图4-1-1 框架”中示出。左侧是两个层次软件的开发环境。
图2 框架
1. 嵌入式软件、固件或操作系统,必须遵从IEC 61508规范,尤其是第3部分。该部分可以使用的语言包括C、C++、汇编或其它。这些是完全可变语言(FVL):是组件提供商用于实现(安全)固件、操作系统或开发工具的独立语言,很少用于安全应用本身。
2. 安全应用软件,如果用C、C++、汇编和其它语言实现的,必须象上面一样遵守IEC61508规则,它们仍是基于完全可变语言(FVL)。如果做到了精简编程语言、指令和认证功能块,那么机械业的标准,如IEC62061和ISO13849-1,则必须被用户在各个专业的工业中所遵守。这样可极大地简化软件的开发和认证。在这种情况下,它们可被认为是限制可变语言(LVL)。这些语言针对那些开发自己的安全应用功能块的用户。典型的语言是梯形图(LD)和功能块图(FBD)。这儿所说的功能块并不是IEC62061中定义的“子系统要素”,而是IEC61131-3功能块。功能块的IEC62061定义不同于IEC61131-3中的定义,就某一方面来说,前者包含硬件,提供安全子系统功能。
4.2 安全应用程序的结构模型
下面的软件结构模型描述了在机械控制系统中,安全功能块的一般位置。这个模型尽可能地做到简化,这样它便可覆盖到现有的和将来的安全控制系统。在这个软件说明中,不应该排斥任何的安全控制硬件结构。
图3 结构模型
上面的结构模型与功能应用部分和安全应用部分不同,它是与两个层次的软件环境相联系的。我们要做的是合并这两个环境,也就是,功能部分的开发环境中集成一个安全部分,包括编程语言和安全部分的功能的精简。
以上两个应用程序部分可以运行在一个设备上,或者在两个或更多的、虽然分散却被接在一起的设备上。上图中的虚线表示应用程序间的数据交换,它可以通过网络、连线输入/输出或设备中的存储器交换来实现。
模型的左侧是两类输入,右侧是两类输出。在中间,两个环境是分开来表示的,它们都与各自的输入输出相连接。
模型的中间表示了功能和安全应用程序所允许的数据交换。
功能应用程序有权读取安全输入和全局变量(正如左边的箭头所示)在安全应用程序中,非安全信号仅能用来控制程序走向,不能被直接连至安全输出上(正如右箭头和AND 操作符所示)
结语
安全控制系统的运行需要底层硬件的支持——硬件采集上来的数据本身已有安全信号和标准信号之分;但安全控制系统里的安全应用程序的实现则独立于底层硬件。在工业控制编程环境中提供安全数据变量和安全功能块,有利于用户轻松的将安全性集成到他们的功能应用中。
全部0条评论
快来发表一下你的评论吧 !