黄之炯（1977－）
男，上海交通大学工程硕士（在读）。现就职于德国Pilz自动化有限公司，任高级产品经理，长期从事安全自动化产品的技术和市场工作。

摘要：介绍安全PLC，并结合国际标准EN/ISO 13849-1 对安全PLC构成的相关安全系统的安全性和可靠性进行分析。

关键词：安全PLC；安全性能等级；安全完整性；安全失效分数

Abstract:  The paper describes safety PLC and analyzes of safety & reliability in the safety PLC related system according to the international standard EN/ISO 13849-1.

Key words:  safety PLC; Safety Integrity Level; Category; safe failure fraction

1 前言

    安全，这两个字在人们的生活、工作之中无处不在。无论是生活中的食品安全、交通安全还是工作中的机械安全、生产安全，已经被越来越重视。在工业领域中，安全继电器（或称之为安全模块）由于其紧凑的结构、易掌握、易使用、低价格的特点，最先进入中国的工业自动化领域，并且被广大的电气设计人员和最终用户所接受。但是对于中、大型安全自动化控制，大规模的使用安全继电器必然会导致设计复杂、成本增加、接线繁琐、故障诊断困难等弊端。与普通PLC的出现替代了大规模普通继电器的硬接线回路一样，安全PLC也应运而生，用于中、大型的安全自动化控制。

2 安全PLC简介

    一套安全控制系统，由安全输入信号（即安全功能，如紧急停止信号、安全门信号等）、安全控制模块（如安全继电器、安全PLC）和被控输出元件（如主接触器、阀等）三部分组成。安全PLC作为安全控制模块，需要对安全输入信号进行分析、处理，并最终控制输出元件。从逻辑上来说，以上控制功能采用普通PLC也可以达到相同的效果。但是在采用普通PLC的系统之中可能会出现以下安全隐患：处理器不规则、输入输出卡件硬件故障、输入回路故障（比如短路、触点融焊）、输出元器件故障（如触点融焊）、输出回路故障（如短路、断路）。这些安全隐患，都会导致安全功能失效，从而导致事故的发生。所以，安全PLC就是要求能够可靠的控制安全输入信号，一旦当安全输入信号变化或安全控制系统中出现任何故障，立即做出反应并输出正确信号，使机器安全停车，以阻止危险的发生或事故的扩散。

    安全PLC的硬件上主要采取了以下措施来达到安全要求：

    ● 采用冗余性控制

    ● 采用多样性控制

    ● 频繁、可靠的自检

    ● 程序CRC校验

    ● 安全认证功能块

    通常，安全PLC采用了多套中央处理器进行控制，并且这些处理器来自不同的生产商。这样的控制方式符合了冗余、多样性控制的要求。这是安全PLC与普通PLC最根本的区别。当一定数量的处理器出现故障后，完好的处理器依然执行安全功能，切断所有安全输出使系统停机。导致系统停机的处理器的故障数量取决于不同的系统。如，1oo2系统（2取1的系统），一旦一个处理器出现故障，系统立刻进入故障安全状态；又如，2oo3系统（3取2的系统），当一个处理器出现故障，系统并不会停机。系统只有在2个处理器同时出现故障的情况下才会导致系统停机。前者通常成为2重冗余系统，安全可靠性较高、可用性较低；后者我们通常成为3重冗余系统，其安全可靠性和可用性较高，但相比前者成本高。

    对于信号的采集、处理和输出的过程，安全PLC都采用了冗余控制的方式。当信号进入PLC后，分别进入多个输入寄存器，再通过对应的多个中央处理器的处理，最后进入多个输出寄存器。这样，安全PLC就构成了多个冗余的通道。整个过程之中，信号状态、处理结果等可以通过安全PLC内部的暂存装置进行相互比较，如果出现不一致，则可以根据不同的系统特性，进入故障安全状态或将故障检测出来。

    输入回路可以采用双通道的方式，通过2条物理接线进入安全PLC。安全PLC也可以提供安全测试脉冲，用以检测输入通道中的故障。

    安全PLC的输出内部电路也采用了冗余、多样性的方式，对一个输出节点进行安全可靠控制。安全PLC可以通过2种不同的手段，即切断基极信号和切断集电极电源两种不同的方式，将输出信号由1转变为0。无论那种方式出现故障，另外一种方式依然完好的执行安全功能。同时，安全PLC提供了内部检测脉冲，以检测内部故障。

    安全PLC的扫描时间要求为每千条指令1ms以下。快速的中央处理功能不仅可以达到紧急停车的要求，同时能够以较短的时间完成整套系统的安全功能自检。

    在软件方面，安全PLC必须有可靠的编程环境、校验手段，以保证安全。这主要可以通过规范安全功能编程来实现。如Pilz的安全PLC，提供了通过认证的MBS安全标准功能块，以帮助编程人员进行合理的、安全的编程。这些安全功能块经过加密，不能够修改。只需要在功能块的输入和输出部分填入相应的地址、参数和中间变量，即可以完成对安全功能的编程。这些MBS功能块涵盖了机械制造领域及流程化工领域的安全功能控制。

3 安全PLC相关安全系统的可靠性研究

    评判一套运用了安全PLC的安全系统是否符合安全要求，最好的手段就是通过国际/欧洲/国内相关标准对此系统进行分析、评估。现今，常用的安全相关控制系统的标准有EN 954-1、EN/ISO 13849、EN/IEC 61508。其中EN 954-1是一个较老的标准，已经不符合现代自动化领域新技术的要求。针对机械制造领域，笔者仅以EN/ISO 13849-1和IEC 62061作为参照，进行安全PLC相关安全系统的可靠性研究。

    EN/ISO 13849-1 的全称是机械的安全——制系统有关的安全部件。这个标准将会取代EN 954-1，帮助笔者量化的判断硬件系统的安全性。其安全等级通过PLr（Required Performance Level）来评定。EN/IEC 62061 的全称是针对机械领域的电气/电子/可编程电子系统的功能安全。其安全等级通过SIL（Safety Integrity Level）安全完整性来评定。从表1可以看到，无论是EN/ISO 13849-1，还是EN/IEC 62061，都是通过PFH每小时失效概率来评估其等级。简而言之，要判断一套运用安全PLC的安全硬件系统的安全性、可靠性，量化的计算出其每小时危险失效概率是直观有效的手段。

    表1   PFH每小时失效概率来评估其等级表

    可以对以下一个安全控制系统进行安全、可靠性分析。系统如图1简述。

图1   安全能控制系统分析图

图2   三个子系统图

    这样一来，PFH总 = PFH子系统1+PFH子系统2+PFH子系统3

    由于子系统2（即为安全PLC部分）的PFH值由元器件供应商提供，又可以将整个系统再进行转化。

    PFH_总= PFH_子系统1+PFH_子系统2+PFH_子系统3= PFH_{子系统1+子系统2 + PFH子系统3} = PFH_{传感器＋触发器} + PFH_逻辑控制

    现在的关键问题即为PFH传感器＋触发器的计算问题。

    根据EN/ISO 13849-1，确定PFH值必须要有以下关键参数：

    ● MTTFd ——平均无危险故障时间

    ● Category ——（安全）等级

    ● DC-Diagnostic Coverage —— 诊断覆盖率

    ● CCF-Common Cause Failure —— 共因故障

MTTFd —— 平均无危险故障时间：

    该参数的单位为年。通常元器件厂商会提供此参数，如本例中的电磁解锁开关S1，其MTTFd 的值由Pilz提供，为1381年。但是对于一些磨损器件，如本例中的机械式开关S2，厂商会提供B10d这个参数，意指该元器件在操作B10d次数后，该元器件中10％部分出现危险故障。

    其中0.1为校正系数，n_op为该元器件每年的操作次数。

    对于目标子系统（传感器和触发器）：

Category ——等级

    根据输入、控制和输出构成的传输链的结构确定等级。等级可以分为B、1、2、3、4，由低至高。等级的确认可以借鉴老的标准EN 954-1。此系统的结构符合Category 4。

DC-Diagnostic Coverage——诊断覆盖率

    诊断覆盖率指，由自诊断测试而产生的危险硬件故障可能性的减少。

    DC数值的确定需要参照标准的附录E。

    对于目标子系统（传感器和触发器）：

CCF-Common Cause Failure ——共因故障

    共因故障是由一个或多个事件导致的，并且引起1个多通道系统中2个或多个独立通道的同时故障，从而导致一个系统的故障。如过电压、电磁兼容故障都可以成为共因故障。

    针对目标子系统（传感器和触发器），已经获得以下关键参数的信息：

    MTTFd为180（年）

    Category为4级

    DC值为99％

    CCF分数值为75（通过一定的措施减少共因故障，如信号通道物理隔离、过压过流保护、EMC防护等）

    这样，通过对照表，可以得到PFH传感器＋触发器 ＝ 2.47 E-8 

    PFH_整个系统＝ PFH_{传感器＋触发器}＋PFH_控制器＝2.47 E-8 + 2.5 E-9 + 4.6 E-9 + 1.55 E-8 = 4.727 E-8

    最终可以得到这个安全PLC相关安全系统的PFH值为4.727 E-8。参照表1之后，此安全PLC相关安全系统符合EN/ISO 13849-1 PL e。

    相比EN/ISO 13849-1的PL等级确定，根据EN/IEC 62061确定系统的SIL等级要复杂一些。SIL等级的确定不仅需要参照PFH或PFD值，还需要参考SFF安全失效分数。同时，在PFH或PFD值的计算中，所需要的关键参数也与EN/ISO 13849-1中的要求有所不同。

4 结束语

    用于机械制造领域的安全PLC早在90年代末就出现在国内的自动化领域。这些安全PLC以Pilz的PSS可编程安全控制系统为代表，应用于国内的汽车制造、玻璃、造纸、缆车和钢铁等领域中的安全控制。现今的安全PLC又有了两大发展趋势。第一，为了降低中小型安全系统的成本、减少电气控制箱中占用空间，在不影响PLC易控制、易诊断等优点的前提下，出现了多种的紧凑的、模块化结构的小型安全PLC。第二，随着总线系统的普及和推广，安全PLC已经作为安全现场总线中不可缺少的重要组成部分，出现在中、大型的安全控制系统之中。

    在系统变得越来越复杂的同时，人们也必须注意安全设计规范和安全标准的重要性。对于一个有着PL e要求的机械，不是仅采用了PL e等级的安全PLC，就表示相关安全控制系统达到了PL e的要求。而是需要有一个系统的从安全评估、安全设计直至安全检查的设计流程，才能够设计、制造出一台高水准、符合安全要求的机械。