什麼是故障安全系統?
故障安全系統是工業自動化控制系統的一種較為特殊的形式,其主要的功能是對自動化生産線或裝置中的潛在危險工況進行評估,一旦有風險發生,将觸發相應的安全功能,将裝置維持在一個相對安全的狀态,進而避免發生進一步的傷害。故障安全系統在保證人員、裝置安全甚至保護環境方面起到了非常重要的作用。
故障安全系統的基本原理是什麼?
故障安全系統的基本原理,是通過一定的技術手段,對系統中存在的可能導緻系統失效的風險進行評估、監測,并保證系統自身不能失效的情況下,避免發生更加嚴重的事故。是以,在故障安全系統中,常用的技術手段主要是備援以及故障檢測技術。
在安全系統中,更多情況下故障指的是系統失效。
在針對系統進行安全性和可靠性的評估時,除了了解系統在正常工況下的工作狀态,其實更加重要的是對于系統失效工況的了解:如果傳感器發生故障将會怎樣?如果閥門卡澀沒有打開系統将會怎樣?而系統的解決此類問題的方法,其實是一套完整的解決方案,最常用的基礎工具是失效模式和影響分析(FMEA)。
FMEA是在産品設計階段和過程設計階段,對構成産品的子系統、零件以及構成過程的各個工序逐一進行分析,找出所有潛在的失效模式,并分析其可能的後果,進而預先采取必要的措施,以提高産品的品質和可靠性的一種系統化的活動。
為什麼會出現故障安全系統?
大家都是自動化領域的工程師,相信對自動化控制系統都不陌生。而随着控制要求的不斷提高,大家對自動控制系統也逐漸有了一定的要求,例如:系統的穩定性、系統的可靠性以及系統的安全性。一般情況下,廣大的使用者對于控制系統的穩定性的要求是比較關注的,因為一個穩定的控制系統是保證生産活動的基礎,這個也是比較基本的要求。
但其實,在工業自動化不斷發展的過程中,随着風險意識的提高,人們對于自動化控制系統的可靠性和安全性越來越關注起來。經過幾十年的努力,工程師們在這個領域内不斷地研究和總結,逐漸形成了可靠性和安全性工程這樣一個研究領域。在這個領域裡,大家提出了一系列新的概念和術語,例如:可靠性、安全性、平均無故障時間(MTBF)等等,并建立了相應的評估體系。
這裡,我們将傳統的自動化控制系統定義為基本控制系統,與之相對應的就是安全控制系統。這兩個系統在完成主要功能的時候,可以是互相獨立的。
安全控制系統與基本控制系統有什麼差別?
其實,安全控制系統與基本控制系統的基本構成和工作原理都是一樣的,但兩種控制系統之間還是有一定差別的,主要差別在于:
(1)功能上的差別
對于基本控制系統來講,主要是讀取标準傳感器的信号,之後CPU進行邏輯運算、資料運算,然後向執行機構(例如:閥門或電機)發出控制指令,進而完成控制功能。這個是大家都非常熟悉的過程。
而對于安全控制系統來講,其主要的功能,也是首先讀取傳感器的信号,但這個傳感器是訓示“故障”的傳感器(例如:急停按鈕—一般認為,現場有了故障才需要按下急停按鈕),之後安全系統的評估單元(安全PLC)進行計算或實作判别潛在危險工況的邏輯,并将結果輸出給執行機構完成安全功能(例如:電機的主回路接觸器斷開),以避免進一步的危險工況的發生。
是以,從工作方式上看,兩種控制系統都是一樣的,但從功能上來講,基本控制系統主要是讓裝置“動作”,完成控制工藝,滿足生産的要求;而安全控制系統則主要是讓裝置“停下來”,防止發生進一步的危險,起到保護人員和裝置的作用。
(2)評價名額不同
對于基本控制系統,我們更關注的是系統的可用性,即在任何時候系統都能正常工作的機率。例如在許多行業,任何非計劃的停機都有可能造成非常大的損失,是以對于基本控制系統,其可用性是最重要的評價名額。
而對于安全控制系統,其設計的原則是必須保證在裝置出現故障的時候,安全系統能夠立即響應,完成相應的安全功能(例如:急停功能),進而保證裝置仍然處于安全狀态。此時,裝置的可用性可能暫時無法保證,裝置的安全性才是最重要的評價名額。
西門子的安全控制系統
(1)西門子的安全系統的組成
西門子故障安全系統包括相關的硬體和軟體。
1)硬體構成:組成西門子故障安全系統的硬體主要分為三個部分:危險源的檢測、危險源的評估以及響應。
其中各個部分都由不同的硬體組成,其功能也各不相同:
- 檢測部分:主要是指檢測安全信号的傳感器,例如:急停按鈕、安全門位置開關等,該信号經過處理或通過人員的指令來記錄一個危險事件的發生。
- 評估單元:對檢測到的危險信号進行讀入、評估、診斷、執行安全功能、輸出診斷并向執行機構輸出信号。其主要組成硬體包括安全型的PLC系統(包括F-DI,F-CPU和F-DQ系統)和安全繼電器。另外,有的光幕裝置也自帶評估單元。
- 響應部分:主要指的是安全型輸出控制的裝置(例如:接觸器、繼電器等),用于關斷系統驅動裝置的電源、關閉/打開電磁閥等。
2)軟體元件:一個完整的故障安全系統,除了硬體,軟體也是其非常重要的一個組成部分。特别是以安全型PLC作為評估單元的系統中,如果系統的軟體部分沒有達到安全等級的要求,那麼該安全系統內建在系統中在評估時往往是不能達到安全等級要求的。
一般來講,安全軟體部分主要包括:操作軟體和相關的使用者程式以及相關聯的軟體等部分。
對于西門子的故障安全系統,其安全相關的軟體部分主要是指基于TIA 博途平台的軟體包SIMATIC STEP7 Safety (Advanced或Basic)。
圖 STEP7 Safety (Advanced或Basic)界面
SIMATIC STEP7 Safety (Advanced或Basic)軟體包既包括了安全系統應用的環境,又涵蓋了安全的使用者程式部分,使用者隻需要将該軟體包內建在TIA Portal平台中即可保證項目的軟體部分滿足安全系統的要求。
3)安全總線:除了以上的硬體和軟體,西門子的故障安全系統還包括總線系統。
随着現場總線的廣泛應用,西門子最早于1999年便推出了基于現場總線的安全通信的協定PROFIsafe,将安全裝置和标準裝置的資料完全整合在以PROFIBUS/PROFINET為平台的總線系統中,并達到SIL3或PLe的安全等級,保證資料被安全地傳輸。同時提供了比标準現場總線更加完善的診斷機制,保證資料在傳輸過程中一旦出現錯誤,将立即自動觸發安全系統響應,啟動相應的安全機制。目前PROFIsafe已經成為國際标準(IEC61784)和國家标準(GB/T 20830-2015),被廣大廠商所應用。
圖 PROFIsafe協定的應用
(2)西門子故障安全系統的工作機制
就控制系統來講,早期傳統的安全控制系統的工作原理一般都是采用結構備援的原則,即:采用兩個(或以上)的相同的控制器,所有的系統都運作相同的程式,之後對運算的結果進行比較。但這種結構存在一些問題,比如成本較高,因為所有的模闆都是專用的,并且資料同步也容易出現問題。
随着西門子S7-300/400系列PLC的釋出,以及最新的S7-1500系列PLC的釋出,西門子的故障安全系統主要采取的技術也由原來的結構備援變成了編碼處理和時間備援,進而更加經濟、更加便捷地實作故障安全的功能。
例如,在标準控制系統中,我們需要進行一個運算操作z=x+y。如果将變量x和y分别進行指派,即可得到z的值,并可以直接輸出。
但在故障安全系統中,系統的評估體系需要對系統中所有采集到的值都進行校驗,也可以了解為“驗算”,即:除了标準系統進行正常的運算外,故障安全系統需要額外的對所有采集到的變量的值進行校驗,也需要對程式算法和得到的結果進行校驗。是以,當标準系統得到變量x和y的指派後,系統會同時在内部分别對這兩個值進行一個取反的操作,并得到兩個換算後的值xc和yc,同時,也會将原來的算法進行一個取反,得到新的運算方法zc=xc+yc+1,這個過程我們稱之為“編碼處理”。
之後,标準程式開始運算,利用x,y并得到相應的結果z。标準運算結束後,故障安全系統會緊接着利用新的算法對換算後的變量xc和yc進行運算,得到編碼處理後的運算結果zc。但這兩個過程,是依次進行的,并不是同時進行的,是以,我們稱之為“時間備援”。通過時間備援技術,我們可以将該運算放在同一個CPU内進行,而不再需要兩個備援的CPU硬體,進而節省一塊CPU硬體。
由于兩個“相反”的運算分别得到了兩個結果,此時,理論上我們将之前編碼取反的運算結果再次取反後就應該得到與标準運算一緻的結果。通過這樣的方法,我們就可以對整個資料采集以及運算的過程、結果進行“驗算”,進而保證整個過程的資料都是準确的。這個過程,我們稱之為“差異比較”。當然,如果在整個過程中有任何一個環節出錯,那麼比較後的結果應該是不同的。如果出現這種情況,則故障安全系統認為資料出現了錯誤,進而觸發安全機制,不再輸出運算結果,而輸出替代的“安全值”。一般情況下,此時會輸出安全值“0”,引導系統進入“停止”狀态,并保證裝置不能随意啟動。
以上就是西門子故障安全系統的工作原理。其中,由于使用了時間備援的技術,使得西門子的故障安全系統的CPU可以不再采用備援的硬體結構,僅采用單CPU來實作,并通過提高CPU的診斷覆寫率,可以達到SIL3或者PLe的安全等級。另外,由于使用了PROFIsafe協定,使得資料借助标準的PROFIBUS/PROFINET總線也可以實作安全的傳輸,無需專用的安全總線,同樣也大大節省了成本。
END
内容引自《西門子故障安全系統應用指南》