李佳

女，汉族，天津人，现任西门子自动化集团自动化系统部故障安全产品经理。
研究方向为故障安全系统在工厂自动化中的应用。


摘要：本文介绍了工业自动化中故障安全应用必要性，安全控制的发展历程及现状，以及我国安全系统的现状。
同时介绍了相关安全标准的要求和正确的安全系统构成方式。并以西门子故障安全为例，介绍了其相关解决方案和优势。

关键词：西门子；故障安全系统；安全完整性等级

Abstract: This article introduces the necessary of failsafe in industrial automation,
development process of safety control and Safety system current status.Meanwhile, take 
Siemens integrated safety as an illustration,present related safety solution and advantage.

Key words: Siemens; Distributed Safety; SIL

1 工业中的故障安全应用

    故障安全是工业生产无论从设备还是系统都必须考虑的重要因素。因为任何工业过程都或多或少地同风险联系在一起，从而会：

    造成人员伤亡；

    破坏自然环境；

    对设备和生产过程造成危险从而有损投资。

    不仅如此，大部分的应用和工业过程都伴随着更高的风险。比如压力机械、印刷机械、纺织机械、灌装机械、机床、机器人、传送与包装系统、高速旋转系统，游艺设施，高压工艺过程、海上石油平台技术、火灾与烟气报警器、燃烧器、索道传输系统，等等。这些应用需要更为安全的自动化预防和安全控制技术。虽然标准自动化的故障率或事故率对于一般的应用场合是可以接受的，但它对于上述有很大风险的应用，则是不够的。有很多例子，如铁岭的钢包坠落，切尔诺贝利核电站的核泄漏事故等，都是因为系统没有正确的执行安全功能所致。安全保护可以跟邮政系统类似，一般信件要求的可靠性是可以接受的（普通系统），重要的邮件则应使用特别的保护技术，比如“挂号信”（安全系统），使其更为安全、可靠。所以要保证安全系统的正常运行，需要将由功能错误造成的危险在其发生之前做好保护来杜绝其发生。

那么如何让设备和系统更安全呢？

    这不得不提到自动化发展的历史。我们知道，自动控制领域从最初的4-20mA信号发展到总线系统，使得自动控制的灵活性和可用性得到了很大的提高，相应的成本也大幅度的降低了。而最初安全标准在这个新技术中的应用是被禁止的，因为那时安全的自动化还必须采用“硬接线”并通过使用安全继电器技术为基础，如图1所示。

                                 图1   传统安全继电器控制的安全方案

    然而，随着总线系统的日趋普及，所以出现针对自动控制PLC的安全技术、安全通信产品和安全的解决方案，到目前为止，自动化的安全产品日趋完善，相关的安全技术也日臻成熟。由于其灵活性，操作及复位方式简单，诊断更方便，并且符合所有的安全规范所要求的安全等级，目前在过程自动化和机械自动化中的应用越来越广泛，如图2所示。

                                    图2   基于安全PLC控制的安全方案

    欧美国家在自动化安全方面的研究发展包括相应的安全标准和规范的历史已经有30余年。在工业安全方面也有着相应成熟的标准和技术方案 。比如说国际性功能安全的基本标准IEC 61508，是“涉及到电气/电子/可编程电子系统安全的功能性安全”标准，它充分考虑了电气装备功能安全的要求，且包括基本原则与方法，在2007年，它也已经转化为我国的国家安全基本标准GB20438。它将安全的有效性要求 (安全性能) 根据相关风险进行了分级。该分级标准的安全级别称为安全完整性等级Safety Integrity Level，用来计算安全功能危险失效的概率，由低到高被划分为 SIL1到SIL3 (SIL=Safety Integrity Level)。

    表1   IEC61508中所规范的SIL等级对应表

    每小时产生危险故障的平均概率 [1/h]    SIL [EN 61508-1 (IEC 61508-1)]

     ≥ 10-5 to < 10-4                     无特殊safety 安全要求

     ≥ 3 x 10-6 to < 10-5                          1

     ≥ 10-6 to < 3 x 10-6                          1

     ≥ 10-7 to < 10-6                              2

     ≥ 10-8 to < 10-7                              3

    当没有SIL等级要求时，每小时产生危险故障可以认为是在104 小时和105 小时之间，意味着1年到10年的时间内产生1次危险故障；当SIL等级为SIL3时，每小时产生危险故障可以认为是在107 小时和108 小时之间，意味着1千年到1万年的时间内产生1次危险故障。其实，这里的概念并不是指多少年会发生一次故障，而是说的一个概率的概念，就像交通工具中飞机发生事故的的安全概率要比其他交通工具的低很多一样，即一个SIL3级的安全系统比一个无安全要求的系统发生危险的概率要低非常多，用以满足在设备或系统运行周期内无风险的要求。

    所以，要实现构建一个故障安全系统，首先需要这个系统中的设备和子系统都支持要求的SIL等级的规范。符合这个SIL等级规范的模块和产品是由TV这个安全认证机构来进行认证的，说明相应的安全模块所能支持的安全SIL等级。西门子所提供的安全产品都有其相应的TV的认证证书，标明它能够支持到的安全等级。          

                                 表2   安全信号的检测，处理和响应

    如表2的分类，安全系统主要分为三个子系统，安全信号的检测，安全信号的分析和处理及安全信号的响应。这三个部分构成了真正意义上的安全系统：

    安全信号点（急停，安全锁，双手按钮等等）的检测，一般通过急停按钮、信号灯、安全门锁、光栅、激光扫描仪等来完成；

    安全信号点的分析和处理一般通过安全PLC，安全继电器等完成，以保证安全信号的正确性；

    安全信号点的响应一般通过安全驱动装置将安全信号最后输出给驱动装置，完成安全功能的执行。

    每一部分缺一不可。因为一旦每个子系统不能达到要求的安全等级，就会影响整个系统的安全完整性。其中安全分析和处理单元和安全相应单元在安全功能上所占的比重要比安全检测部分大得多。但是在目前来看，我国的自动化应用中的安全技术存在着很多不规范的地方。比如现在在工厂里的情形通常是，存在安全设备的检测元件，一般都存在安全急停等装置，但是这些安全信号的处理和响应通常不是由安全的PLC和安全驱动完成的。所以看似是一个安全系统，但其实却是假的，不能达到真正的安全等级。

    国内自动化领域另一个对安全系统的误解就是安全功能的使用会降低生产效率。而正确的使用安全功能不仅不会对生产效率产生影响，反而可以有效的降低调试时间和维修过程。比如，通过安全限速SLS(Safety Limited Speed)的方式，即在调试，运行和维修状态时，可以将电机的转速降低到一个对人身没有危害的速度上，当维修完成，快速恢复到正常运行速度可以有效地减少停机时间；或者，通过本地急停的方式提高生产效率，缩短调试和停机时间。在工厂中，我们看到安全急停的使用一般都是全局急停，即急停按钮一旦按下，系统整个停车。而通过本地急停的方式，即使部分区域停车，但其他部分可以正常工作的方式来提高生产效率。除此之外，安全系统所提供的诊断功能，也可以直观的显示故障信息，故障发生的位置和排除故障的方法来帮助快速的找到故障和排除故障。

2 西门子安全解决方案

    西门子故障安全产品是以黄色标明为安全产品标记，在命名上以F（Failsafe）为标示，如CPU319F等。

    除了刚才提到的安全限速，本地急停等降低调试和维修时间，详细的诊断信息等优势以外，西门子的安全解决方案的最大优势在于它的安全TIA（Total Integrated Automation）全集成自动化。TIA是西门子一直提倡的系统构建理念，在安全系统的TIA包含两个层面。

2.1 安全产品和系统的全集成

    网络结构上从黄色的底层ASI总线，到紫色的PROFIBUS-DP总线网络，再到上层绿色的PROFINET以太网，将刚才所提到的从安全检测，评估到相应的所有安全产品和通常使用的安全功能网罗其中。

    比如安全的检测单元，如安全光栅，可以通过PROFIBUS-DP紫色总线直接连接到PLC上，将安全信号有检测单元输送给安全处理单元。安全PLC设备和安全的输入输出IO模块也都提供相应的DP或PN接口连接到对应的PROFIBUS-DP和PROFINET网络中。同样，安全的驱动装置，如G120、S120都是带有安全功能的驱动设备连接到网络中来。

    安全信号的通信不仅支持连接到以上的网络，可以通过网关，如DP/ASI Link或带有两种接口的安全CPU，将这两种不同的网络进行连接，安全信号可以跨网进行路由；并且它还支持无线以太网的通信模式。由于无线通信通常应用在灵活移动的场合，所以安全信号传输支持该通信模式对于应用上来说无疑是一个好消息。

    安全信号在这些网络媒质中的传输和普通信号的传输相比，区别在于安全数据传输是通过PROFIBUS-DP和PROFINET网络上加载的故障安全协议PROFIsafe实现的（如图3所示）。PROFIsafe技术，从OSI网络模型上说，是处于 PROFIBUS 和 PROFINET 协议之上的附加层。PROFIsafe 协议可以使在一个安全主控制器和其他安全设备之间的数据传输中的失效概率降低到安全标准所要求的范围之内。

                                        图3   安全集成网络


    PROFIsafe 在软件非常容易实现，所以在使用 PROFIBUS 和 PROFINET 网络通信的情况下，这种数据通信的安全协议覆盖了过程自动化和制造业自动化中安全应用的整个范围。像上文提到的，PROFIsafe 安全协议同样也应用于无线通信技术，如 WLAN 和蓝牙（Bluetooth）。它将数据信息安全技术（Security）包括在内，可经以太网获得更加广泛更加灵活的应用。

2.2 安全系统和标准系统集成在一个故障安全PLC中

                                     图4   安全集成的优势

    在一个系统中，通常存在着普通输入输出点来采集和响应普通的信号和安全输入输出点来采集和响应安全信号。在较早的传统解决方案中，通常使用两套系统。即普通PLC+普通的总线+普通的输入输出IO模块来处理普通信号；安全部分通过一套安全PLC+总线+安全的输入输出IO连接下层设备来处理安全信号。即如图4中的上半部分所示。在这种情形下，要使用两套PLC（一套标准PLC和一套安全PLC），两套接线和两套IO模块。在这种方案中，标准系统和安全系统往往还要进行数据交换，若标准系统和安全系统不是同一厂家或不支持同一协议，数据通信方面工程上还要做很多工作。

    而西门子所提供的故障安全解决方案，通过一个安全PLC同时可以处理标准程序和安全程序。在输入输出模块方面，标准IO模块可以和故障安全模块集成在一个背板上面。标准IO模块连接标准信号，故障安全IO模块连接安全信号。这种安全集成的方式可以有效的节省硬件、接线的成本，紧凑的方式可以增加控制柜内的空间；同时，也省去了PLC之间的互相通信，提高了系统的灵活性和兼容性。最大程度的满足客户在系统和成本上的需求。

参考文献

[1]  [德]沃尔夫冈.斯特里普（Dr. Wolfgang Stripf）著，惠敦炎译.  PROFISafe系统描述. 2008年12月.