大话安全——关于功能安全您需要知道的四个问答

随着安全法律法规的完善和人们安全意识的提高，越来越多的安全相关系统在自动化领域中被采用。这里所说的“安全“不是网络安全更不是交通安全，而是指国际标准IEC 61508（对应GB/T 20438）《电气/电子/可编程电子安全相关系统的功能安全》！

1.1什么是安全？

什么是安全，这是最先被问到的问题。一般的说法，安全是没有危险，不受威胁，不出事故。如果按照这个说法，安全是一个绝对的概念，是不可控的。

在 IEC 61508 中，要回答这个问题，先要了解两个安全术语，伤害和风险：

伤害——对人体健康的损害或损伤以及对财产或环境的损害

风险——出现伤害的概率及该伤害严重性的组合

可以简单的理解风险的表达式为：风险（R）＝伤害的严重性（S）× 伤害的频度（P）。其中严重性表示发生一次伤害造成的损失数值；频度表示在一定的时间内伤害发生的次数，这两个因素都会影响风险。

IEC 61508 给出安全的定义是“不存在不可接受的风险”。如果对将要出现的伤害的概率以及严重程度是可以接受的那就是安全的，不能接受，那就是不安全的。

所以说不存在绝对的安全，只有相对的安全。而且这个定义，将安全问题转化为了风险问题，通过控制风险使安全变得可控。因为，出现伤害的可能性是可以通过一些措施减小的，只要将风险减小到可接受的程度，就相当于达到了安全。

安全相关系统大多是围绕着如何减小出现伤害的概率来工作的。比如，一台机器，通过一些安全措施，操作人员操作十万次才可能会出现一次割破手指的伤害，这样来说是可以接受的，那么这台机器是安全的。

1.2什么是安全完整性等级 SIL，SIL 越高越好吗？

如何衡量一个安全相关系统执行这安全功能的能力呢？或者说为了安全，受控设备对安全相关系统的要求是什么呢？这就需要提到安全完整性和安全完整性等级（SIL）。

根据 IEC 61508 的定义，安全完整性是在规定的条件下和规定的时间内，安全系统成功实现所要求的安全功能的概率。安全完整性等级 SIL 是一种离散的等级，用于规定安全相关系统的安全功能的安全完整性要求。有 4 种安全完整性等级，SIL4 是最高的，SIL1 是最低的。IEC 61508 对不同操作模式下的安全完整性等级规定了相应的失效概率范围，见下表1和表2。（低要求操作模式：要求的操作频率每年不大于一次或不大于两倍的检测测试频率，否则均应作为高要求操作模式或连续操作模式）。

从表中可以看出来，安全相关系统的安全完整性等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。

举例来说，一个锅炉燃烧控制系统，安全功能是当锅炉压力达到危险值时关闭炉火防止发生爆炸危险。如果要想达到 SIL2 等级，那就要求系统在锅炉压力达到危险值关闭炉火这个功能出现不能执行的概率要低于10-6。

确定安全完整性等级要基于危险与风险分析，不恰当的风险分析会导致安全相关系统的安全完整性等级过高或过低。安全完整性等级过高会造成不必要的过高的安全成本，安全完整性等级过低又会导致安全相关系统不能满足安全要求。

1.3安全的 PLC 控制系统都需要哪些组件？

图2  安全相关系统构成

通常情况下的基于 PLC 的安全控制系统由传感器子系统、逻辑子系统和执行子系统三个子系统构成，其他形式的安全控制系统也是类似的。实现安全功能要贯穿从传感器到执行器的整个安全系统，所以，整个系统的安全完整性等级 SIL 是由构成系统的三个子系统的 SIL 等级来确定的，即：

SIL 系统=SIL 传感器+SIL 逻辑+SIL 执行

例 如 传 感 器 子系统为 S I L 2  ，逻辑单元子系统为 SIL3，执行机构子系统为SIL1，则初步确定整个系统的安全完整性等级为 SIL1。也就是说整个系统由其构成的三个子系统中最低的 SIL 等级决定。尽管逻辑子系统为 SIL3，但整个系统 SIL 等级仅为 SIL1。

因此在对安全 PLC 控制系统进行硬件选型时要注意。首先是传感器和执行元件，为了完成安全功能，使整个系统 SIL 等级达到设计要求，需要使用合格的器件。而对于作为逻辑子系统的 PLC 来说，需要使用 F-CPU，而且在连接安全功能所使用的传感器/执行元件时要使用 F-IO 模块，因为普通的 CPU 和 IO 模块是没有 SIL 等级的，不能完成安全功能。同样，通常情况下，使用 F-CPU 搭配普通的 IO 模块是不能实现安全功能的。

常用于 SIMATIC Safety 故障安全系统的硬件组件有：

? F-CPU：

– S7-1200 F-CPU,例如 CPU 1214FC DC/DC/DC

– S7-1500 F-CPU,例如 CPU 1516F-3 PN/DP

– ET200SP F-CPU,例如 CPU 1510SP F-1 PN

图3  S7-1200/1500/ET200SP F-CPU

? 安全输入和输出 (F-I/O)

– S7-1500/ET 200MP 安全模块

– S7-1200 安全模块

– ET 200SP 安全模块

– ET 200pro 安全模块

– ET 200eco PN 安全 I/O 模块

– ET 200AL 安全 I/O 模块

图4  ET200MP/ET200SP F-IO

在安全的 PLC 控制系统中，除了使用 F-CPU 和 F-IO 模块硬件组件外，还需要专门的软件组件——STEP7 Safety，用于安全系统进行组态和编程。

使用 STEP7 Safety，可以：

? 支持在 TIA 博途的硬件和网络编辑器中组态 F-I/O

? 支持使用 LAD 和 FBD 创建安全程序并该安全程序中集成有错误检测功能

? 在 LAD 和 FBD 中编写安全程序的指令

? 在 LAD 和 FBD 中编写具有特定安全功能的安全程序指令

图5  STEP7 Safety

1.4西门子安全 PLC 与普通 PLC有什么区别？

1）安全型的 PLC 是经过安全认证的，可以满足系统对安全完整性要求的。同时，安全的 CPU 具有普通 CPU 所有的功能，也能被用于普通系统；但普通的 PLC 不能被用于安全系统。

2） 安全型的 PLC 在硬件模板的设计上与普通 PLC 是有区别的。

在 F-IO 模板上，内部电路都是采用双通道的设计，可以对采集的信号进行比较和校验；另外，在模板上也增加了更多的诊断功能，能够对短路或者断线等外部故障进行诊断。F-CPU 通过一定的校验机制，可以保证安全程序在 F-CPU 内处理执行都是安全准确的，而普通的 CPU 则不能处理安全的信号也不能编写安全程序。

3）安全型的 PLC 里 F-CPU 与 F-IO 模板之间的通讯是通过 PROFIsafe 协议来保证数据安全的。PROFIsafe 协议是加载在 PROFIBUS 或 PROFINET 协议层之上的，在数据中增加了更多的校验机制，因此可靠性更高。另外，采用西门子安全 PLC 的安全系统中可以将安全模板与标准模板混用，也可以使用标准的 PROFIBUS 或 PROFINET 网络进行安全数据的传输。

4）F-CPU 编写安全程序时使用的标准安全功能块也是经过安全认证的。

图6  西门子安全 PLC 保证满足安全要求

1.5总结

从安全的角度，无论是机器设备制造商还是工厂的相关人员必须注意很多事情：正确选择和使用相关组件、合理安全的布线、规范的工程设计以及完整正确的安全功能集成，这些安全功能和问题对于工程师来说，常常是无法完全自行设计或者解决的。因此，安全的这个话题也经常变成工程师的压力。

借助西门子 Safety Integrated的产品和功能，利用西门子 1847 学习平台提供的诸多安全相关的学习资料，可以使安全对于广大工程师来说不再是一个望而生畏的话题。为了人身和设备安全，让我们一起参与到工业自动化安全当中来吧！

本文版权归西门子工业1847俱乐部所有，转载或者引用本文内容需注明来源及作者。