为了说明"安全参考"这个功能,先来了解下"功能安全(functional safety)"这个自动化领域相对较时髦的术语。以下引用了"北京机械工业仪器仪表综合技术经济研究所的邓意先生"在"第七届工业仪表与自动化学术会 议"上的报告,我是从维基百科上看到的。
0 引言
随着我国工业的发展和国外先进技术的引进,功能安全这个概念给越来越多的为人所知。功能安全这个词汇源于2000年2 月,国际电工委员会(IEC)发布的功能安全基础标准IEC61508。这个标准解决了困扰多年对复杂安全系统功能安全保障的理论与实践问题。其首次提出 的安全完整性等级(SIL),并已逐渐成为各领域内合同的必备条款。IEC61508作为功能安全的基础标准,可应用于机械制造、流程工业、运输、医药等 所有领域。该标准使用的最好方法是在各工业领域制定相应的功能安全标准时引用它。但同时,如领域中没有相应标准,它也可直接应用于各领域。
1 功能安全的概念
为了理解功能安全这个概念,我们先从安全的定义开始。安全是 把身体、人身健康和直接或者间接对财产或者环境的损害从不可接受的风险解放出来。功能安全是依靠一个系统或者设备对其输入正常响应而获得全面安全的一部 分。它与系统能否正确执行其设计功能相关。例如过热保护装置,是指将一个热传感器用在电动机线圈里,在过热的时候可以停止电动机运转,这就是功能安全的一 个实例。
2 安全完整性等级的概念
在 1996 年,随着工业事故数量的增加,美国仪表协会(ISA)(曹大平注:ISA – the Instrumentation,system and Automation Society)颁布法律制定了一个标准来分级规范美国的工业过程;IEC又制定了工业国际标准IEC61508 来量化可编程电子领域的功能安全。这两个标准结合起来共同规范工业生产,还发现一旦把 SIL 这些主要决定因素最优化,就会额外提供更多的可靠性和有关过程的正常运行时间,还说明并且描述了检测仪表系统的安全性和可靠性以及绘制出安全性和可靠性之 间的对比关键部分。
安全完整性等级(SIL)是用来衡量一个特定过程的安全性指 标。需要明确最终用户对用这些方法来保障安全性的期望有多大,如果功能失效了会发生什么情况?这些衡量的细节部分都在 IEC 61508、 IEC 61511、JIS C 0508和 ISA SP84。01 等这些标准里面给出了描述。标准指示不能根据个别产品来测定 SIL。工业过程的个别构成组件,例如仪表使用方面,只能在特定的 SIL 环境里认证和使用。对工业过程 SIL 的评估应基于危险的安全分析(RBSA)。RBSA 的任务是评价一个工业过程的安全风险,将其量化,并把这些风险分类成可接受和不可接受两部分。可接受的风险是那些能够证明在思想上,财政上,或其他方面是 合理的。相反的,不可接受的风险是那些推论太大或者花销巨大的。不管怎么样,风险是能够判断的,其目的是为了达到工业安全生产。
现在我们对安全有了初步的认识,那么EPLAN 中的"安全参考"与"功能安全"有什么关系呢?
在欧美,"安全"已经深入人心,电气设备或产品必须进行安全认证。在欧洲地区进行销售的设备需要进行CE认证;而在北美地区销售的设备需要进行UL认证,这都会涉及到对系统的安全性能检测,其目的是确保设计和生产的设备能够达到相应的安全等级。
要实现系统或设备的"功能安全",设计时通常从两个方面来完成,其一是系统本身的冗余设计;其二是采用安全元器件,比如安全PLC、安全总线、安全继电器、安全输入输出元件(安全门联锁、安全光电开关、安全光栅或光幕)等。
冗余设计是指通过多重备份来增加系统的可靠性。比如,用于电机控制的接触器主触点,有可能因为某种原因会发生触点熔接,无法分断主回路导致风险。此时可以 用两个接触器的主触点进行串联控制电机,这样风险将会大大地降低。又如,为了防止操作人员在尚未停稳的转动设备中添加或取放物品,采用双按钮控制方式,也 就是两只手必须同时按下相距一定距离的按钮才能让设备开门,避免手接触旋转设备,也就降低了安全风险。
而采用安全器件则能有效防止器件本身失效带来的风险。比如安全PLC,它就有自侦测故障的功能。常规PLC内部CPU的数量有一个或多个,作用是单独或多 CPU系统协同处理数据,一旦发生程序异常或硬件故障,输出结果将难以预料;安全PLC的CPU至少有两个或多个,两个CPU的功能是分别执行同一用户程 序,然后对执行结果进行比较,如果比较的结果是一致的,就输出这个结果,如果是不一致的,选择安全的结果输出。此外,两个CPU还可以互相监测,自行发现 异常,确保设备的安全。又如安全继电器,它是由数个继电器与电路组合而成,为的是要能互补彼此的异常缺陷,达到正确且低误动作的继电器完整功能,使其失误 和失效值降低。安全继电器在内部出现触点熔接的故障情况下,也能够把电源安全的从负载断开。同时通过内部冗余、强制断开触点的结构、自检测等功能,检测内 部电路和外部输入和输出控制回路的故障情况。
在EPLAN 2.0中,元件的属性对话框的"符号功能数据"选项卡下,新增加了一个功能选项"安全参考(Relevant to safety)",如下图所示;部件库中,定义部件的功能模板时也可以设置"安全参考"。这个功能是随同2010年修订的IEC61508增加的。在 IEC61508中,使用的术语是"功能安全(Functional Safety)"。
激活"安全参考"选项,表明设计过程中所使用的部件,是通过了专门的认证公司(如TUV、FM)按照国际安全标准(如IEC61508(详细信息见后 面)、IEC61511)等进行的安全完整性等级判定(SIL)。在进行整机的安全认证时,这些具有"安全参考"的元件无需再次认证(但要提供相关证 明),而不具有"安全参考"的元件需要随同整机进行测试。在EPLAN 中,为相应的元件正确地设置"安全参考",最终生成的元器件的部件明细表中可以将元器件标示出来,方便认证过程中的资料审定。
0 引言
随着我国工业的发展和国外先进技术的引进,功能安全这个概念给越来越多的为人所知。功能安全这个词汇源于2000年2 月,国际电工委员会(IEC)发布的功能安全基础标准IEC61508。这个标准解决了困扰多年对复杂安全系统功能安全保障的理论与实践问题。其首次提出 的安全完整性等级(SIL),并已逐渐成为各领域内合同的必备条款。IEC61508作为功能安全的基础标准,可应用于机械制造、流程工业、运输、医药等 所有领域。该标准使用的最好方法是在各工业领域制定相应的功能安全标准时引用它。但同时,如领域中没有相应标准,它也可直接应用于各领域。
1 功能安全的概念
为了理解功能安全这个概念,我们先从安全的定义开始。安全是 把身体、人身健康和直接或者间接对财产或者环境的损害从不可接受的风险解放出来。功能安全是依靠一个系统或者设备对其输入正常响应而获得全面安全的一部 分。它与系统能否正确执行其设计功能相关。例如过热保护装置,是指将一个热传感器用在电动机线圈里,在过热的时候可以停止电动机运转,这就是功能安全的一 个实例。
2 安全完整性等级的概念
在 1996 年,随着工业事故数量的增加,美国仪表协会(ISA)(曹大平注:ISA – the Instrumentation,system and Automation Society)颁布法律制定了一个标准来分级规范美国的工业过程;IEC又制定了工业国际标准IEC61508 来量化可编程电子领域的功能安全。这两个标准结合起来共同规范工业生产,还发现一旦把 SIL 这些主要决定因素最优化,就会额外提供更多的可靠性和有关过程的正常运行时间,还说明并且描述了检测仪表系统的安全性和可靠性以及绘制出安全性和可靠性之 间的对比关键部分。
安全完整性等级(SIL)是用来衡量一个特定过程的安全性指 标。需要明确最终用户对用这些方法来保障安全性的期望有多大,如果功能失效了会发生什么情况?这些衡量的细节部分都在 IEC 61508、 IEC 61511、JIS C 0508和 ISA SP84。01 等这些标准里面给出了描述。标准指示不能根据个别产品来测定 SIL。工业过程的个别构成组件,例如仪表使用方面,只能在特定的 SIL 环境里认证和使用。对工业过程 SIL 的评估应基于危险的安全分析(RBSA)。RBSA 的任务是评价一个工业过程的安全风险,将其量化,并把这些风险分类成可接受和不可接受两部分。可接受的风险是那些能够证明在思想上,财政上,或其他方面是 合理的。相反的,不可接受的风险是那些推论太大或者花销巨大的。不管怎么样,风险是能够判断的,其目的是为了达到工业安全生产。
现在我们对安全有了初步的认识,那么EPLAN 中的"安全参考"与"功能安全"有什么关系呢?
在欧美,"安全"已经深入人心,电气设备或产品必须进行安全认证。在欧洲地区进行销售的设备需要进行CE认证;而在北美地区销售的设备需要进行UL认证,这都会涉及到对系统的安全性能检测,其目的是确保设计和生产的设备能够达到相应的安全等级。
要实现系统或设备的"功能安全",设计时通常从两个方面来完成,其一是系统本身的冗余设计;其二是采用安全元器件,比如安全PLC、安全总线、安全继电器、安全输入输出元件(安全门联锁、安全光电开关、安全光栅或光幕)等。
冗余设计是指通过多重备份来增加系统的可靠性。比如,用于电机控制的接触器主触点,有可能因为某种原因会发生触点熔接,无法分断主回路导致风险。此时可以 用两个接触器的主触点进行串联控制电机,这样风险将会大大地降低。又如,为了防止操作人员在尚未停稳的转动设备中添加或取放物品,采用双按钮控制方式,也 就是两只手必须同时按下相距一定距离的按钮才能让设备开门,避免手接触旋转设备,也就降低了安全风险。
而采用安全器件则能有效防止器件本身失效带来的风险。比如安全PLC,它就有自侦测故障的功能。常规PLC内部CPU的数量有一个或多个,作用是单独或多 CPU系统协同处理数据,一旦发生程序异常或硬件故障,输出结果将难以预料;安全PLC的CPU至少有两个或多个,两个CPU的功能是分别执行同一用户程 序,然后对执行结果进行比较,如果比较的结果是一致的,就输出这个结果,如果是不一致的,选择安全的结果输出。此外,两个CPU还可以互相监测,自行发现 异常,确保设备的安全。又如安全继电器,它是由数个继电器与电路组合而成,为的是要能互补彼此的异常缺陷,达到正确且低误动作的继电器完整功能,使其失误 和失效值降低。安全继电器在内部出现触点熔接的故障情况下,也能够把电源安全的从负载断开。同时通过内部冗余、强制断开触点的结构、自检测等功能,检测内 部电路和外部输入和输出控制回路的故障情况。
在EPLAN 2.0中,元件的属性对话框的"符号功能数据"选项卡下,新增加了一个功能选项"安全参考(Relevant to safety)",如下图所示;部件库中,定义部件的功能模板时也可以设置"安全参考"。这个功能是随同2010年修订的IEC61508增加的。在 IEC61508中,使用的术语是"功能安全(Functional Safety)"。
激活"安全参考"选项,表明设计过程中所使用的部件,是通过了专门的认证公司(如TUV、FM)按照国际安全标准(如IEC61508(详细信息见后 面)、IEC61511)等进行的安全完整性等级判定(SIL)。在进行整机的安全认证时,这些具有"安全参考"的元件无需再次认证(但要提供相关证 明),而不具有"安全参考"的元件需要随同整机进行测试。在EPLAN 中,为相应的元件正确地设置"安全参考",最终生成的元器件的部件明细表中可以将元器件标示出来,方便认证过程中的资料审定。
815
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
