符合IEC62061标准的安全型控制器的设计和实现

时间：2023-06-16 理论教育 版权反馈

【摘要】：为了简洁地、系统性地描述符合IEC61508标准的安全相关电气控制系统的设计、安全评估和实现等流程，标准IEC62061采用了一种基于以下结构元素的结构化设计原理。任何一个子系统出现故障，均会导致安全相关控制系统出现故障。在IEC 62061标准中，术语“子系统”是用于一种严格定义的层级术语中。符合标准IEC 62061的子系统的安全性能根据标准IEC 62061的规定，“安全完整性”必须满足以下三个基本要求。

1.原理/理论

（1）安全相关控制系统的结构化原理

正确的设计，是控制器按照预定目标正常运行必不可少的前提。为了实现这一目标，IEC 62061定义了一个系统性的、自上而下的设计流程：

安全相关电气控制系统（SRECS）包括负责信息采集（检测装置，如急停按钮、安全门锁、安全光幕）、信息评估（评估单元，如安全继电器、安全PLC）直至动作执行（执行装置，如带有强制断开结构的接触器）等的全部组件。为了简洁地、系统性地描述符合IEC61508标准的安全相关电气控制系统（SRECS）的设计、安全评估和实现等流程，标准IEC62061采用了一种基于以下结构元素的结构化设计原理（见图3-4）。

图3-4 系统结构的结构化元素

对于计划中需要设计和制造的一台机器，我们首先可以将其划分为“虚拟”（即功能）视图和“真实”（即系统）视图。从功能视图的角度，只考虑需要实现的功能因素（如工艺过程），例如需要采集（监测）的信息、信息之间的组合（逻辑关系），以及需要产生的动作等，而不需要考虑实现这些功能的硬件和软件是如何实现的，也就是说，对于信息收集是否要求使用冗余结构的传感器、如果需要根据逻辑结果控制多个执行器，在这里不需要进行描述。对于所考虑的安全相关电气控制系统（SRECS），只是从“真实视图”的角度才考虑如何实现相关的安全功能的问题。此后，必须对需要实现的目标——各个安全性能要求，采用一个还是两个传感器完成特定信息的采集等问题作出决定。本章节将对相关术语进行定义。

（2）用于功能结构化（功能视图）的术语

1）功能块：安全相关控制功能（SRCF）的最小结构单元。这类单元出现故障时将会导致安全相关控制系统出现故障。

说明：

a）在IEC 62061中，SRCF（F）被看作功能块（FB）之间的逻辑“与”（＆）运算，例如，F=FB1＆FB2＆…＆FBn；

b）IEC 61131标准和其他标准对功能块的定义与此处的定义不同。

2）功能块元素：某个功能块的组成部分。

（3）用于真实系统结构化（系统视图）的术语

1）安全相关电气控制系统（SRECS）：机器的电气控制系统出现故障时，将会导致风险直接上升。

说明：

a）安全相关电气控制系统（SRECS）包含了电气控制系统的全部零部件；

b）这些零部件的故障将导致安全功能的性能下降，甚至完全丧失安全功能；

c）安全相关电气控制系统（SRECS）既包括电源供电回路，也包括电气控制回路。

2）子系统：是安全相关电气控制系统（SRECS）体系结构设计中的顶层的组成部分。任何一个子系统出现故障，均会导致安全相关控制系统出现故障。

说明：

这里的“子系统”与可以指称任意下层单元的通用“子系统”不同。在IEC 62061标准中，术语“子系统”是用于一种严格定义的层级术语中。“子系统”意即顶层的细分。某个子系统进一步细分后所形成的各个部分被称为“子系统元素”。

3）子系统元素：是某个子系统的组成部分，包括单个组件或者一组组件。采用这些结构化元素，可以按照清晰的流程组织各个控制功能，将所定义的功能部分分配给特定的硬件组件以及子系统。其结果是，可以清晰地定义各个子系统的要求，从而在各个子系统的设计与实现的过程中，就相互关系而言，是彼此独立的。对子系统进行结构设计可以获得整个控制系统的实现结构。其过程类似于对功能内部的功能块进行的逻辑设计。

2.安全相关控制系统（SRECS）的设计流程

（1）设计流程

获得安全要求技术说明后，即可设计、实现所要求的控制系统。通常，市面上无法直接购买到能够满足特定应用的专用的控制系统，取而代之的是，必须针对目标机器的具体情况进行二次开发，采用可用设备设计并制造这类控制系统。

本设计流程采用循序渐进的设计方法。第一步是为各个安全功能寻找合适的安全控制系统结构。接下来，对所设计的目标——机器的所有安全功能的结构进行集成，即构成一个安全控制系统（见图3-5）。

图3-5 安全相关控制系统的设计过程

（2）安全功能的结构化

结构化设计的基本原理涉及将各个控制功能细分到相应的功能块。细分的目的是确保这些功能块可以分配给具体的子系统（见图3-6）。各个功能块的选择必须确保特定子系统可以完整地实现相应的安全功能。必须注意，每一个功能块都代表着为了正确地实现所有安全功能而必须正确地实现的逻辑单元。

（3）符合标准IEC 62061的子系统的安全性能

根据标准IEC 62061的规定，“安全完整性”必须满足以下三个基本要求。这三个要求根据SIL进行了如下分级：

图3-6 将安全功能分配给功能块以及将功能块分配给子系统

1）系统完整性；

2）结构约束（即容错能力）；

3）安全功能的危险的随机失效概率（PFHD）。

系统对整个功能要求的系统完整性1）以及结构约束2）既适用于单个子系统，也同样适用于整个系统。也就是说，如果各个子系统满足了某个特定SIL所要求的系统完整性和结构约束，则整个控制系统也满足这些要求。但是，如果某个子系统只能满足某个较低SIL的相关要求，则会限制整个控制系统可以达到的SIL安全等级。因此，我们将其称为子系统的“SIL要求限制（SIL CL）”。

①系统完整性：

SIL SYS≤SIL CL_lowest

②结构约束：

SIL SYS≤SIL CL_lowest

对危险的随机失效概率3）进行的限制，适用于整个功能。也就是说，全部子系统作为一个整体考虑，不得超过这个概率。此时，有

PFHD=PFHD₁+…+PFHD_n

3.安全功能系统设计

（1）结构设计

针对特定安全功能控制系统的结构，其逻辑结构与此前确定的安全功能的结构相一致。为了定义实际的系统结构，安全功能的功能块被分配给特定的子系统。此后，需要完成这些子系统的互联。还需依据功能结构指定的连接方式，通过互联来建立连接。物理互联需要考虑所选技术的特性，例如通过单线连接（点对点）或者总线连接进行。

对于机器或工厂的其他安全功能，也采用该程序进行同样的处理。但是进行这样操作的同时，与其他安全功能相应的功能块也可以分配给相同的子系统（见图3-7）。这样，就可采用相同的传感器为两个不同功能采集相同的信息（例如，同一扇防护门的位置信息）。

图3-7 示例：安全功能的系统结构

（2）选择合适的装置（子系统）

用来实现某个安全功能的子系统必须具备必要的功能性，且必须符合标准IEC 62061的相关要求。基于微处理器的子系统必须达到标准IEC 61508规定的相关SIL安全等级。

各个子系统必须符合技术说明中所要求的安全参数（SIL CL和PFHD）的规定。

大多数情况下，这些装置必须配合其他故障检测措施（诊断）才能真正达到作为一个子系统被要求实现的安全性能。通过附加装置（例如，安全继电器）或者在逻辑处理期间通过相应的软件诊断块也可以完成这类故障检测任务。对于这类情况，设备描述中必须包含相应的信息。

如果无法获得符合所述子系统要求的合适装置，则必须采用可用装置组装成该装置，也就是说，必须对现有可用的资源进行二次开发。这种情况要求一个后续设计的步骤。关于该设计步骤，详细描述请参阅“子系统的设计和实现”。

4.实现安全相关控制系统

实现安全相关控制系统时，必须确保该系统完全满足根据目标SIL所确定的全部要求。其目的是有效地降低可能危害安全功能并导致其出现系统性故障和随机性故障的概率。请注意以下的因素：

1）硬件完整性，换句话说，也就是结构约束（容错能力）

2）系统完整性，换句话说，也就是避免缺陷和控制缺陷时必须具备的要求

3）检测出缺陷时以及软件设计开发期间的处理方式

（1）硬件完整性

对于目标安全等级的系统所要求的、足够的容错能力，每个子系统都必须具备。这取决于子系统中可以转换成某种安全状态的缺陷与子系统可能出现的全部缺陷之间的比。某个子系统中，诊断功能可以及时检测出来的、潜在的危险缺陷可以被视为能够转换成某种安全状态的缺陷。

通常在技术说明中指定SIL等级，对容许的安全功能的故障概率进行限制。

（2）系统完整性

如何避免系统性缺陷，以及如何控制系统中残留缺陷，适合采用并且必须采用以下措施：

1）避免系统性缺陷：

a）必须严格遵照安全规划完成系统的安装；

b）必须严格遵守制造商提供的设备技术规格；

c）电气安装过程必须严格符合标准IEC 60204-1（章节7.2、9.1.1和9.4.3）的要求；

d）必须仔细检查设计的适用性，并完成相应的修正；

e）请使用计算机辅助设计工具，以便充分利用预先组态的、成熟的单元模块。

2）控制系统性缺陷：

a）采用电源切断准则；

b）采取相关措施，以便控制（例如因电源中断而造成的）子系统的临时性故障或缺陷；

c）采用总线方式连接子系统时，必须符合标准IEC 61508-2对于数据通信（例如PROFIsafe和ASIsafe）的要求；

d）必须对子系统的（布线）连接或接口进行缺陷检测，并且确保可以做出合适的响应。对于系统性处理工作，要求将接口和布线视作相关子系统的组件部分。

详细描述，请参阅标准IEC 620616.4。(www.daowen.com)

（3）检测出某个缺陷时的行为

对于可能导致某个安全功能出现故障的子系统缺陷，必须及时检测出这类缺陷，且确保可以做出合适的响应，以避免危险的发生。对自动缺陷检测（诊断）功能的性能要求取决于所用装置的故障率，以及要求达到的SIL安全等级（或者子系统必须具备PFH）。

检测出某个缺陷时，系统或子系统必须采取的行为取决于相关子系统的容错性能。如果检测出的缺陷不会直接导致安全功能出现故障，也就是说，容错率>0，则无需立即进行缺陷响应；但随后出现缺陷的概率变得更大的情况除外（通常数小时或数天后再次出现缺陷）。如果检测出的缺陷将会直接导致安全功能出现故障，也就是说，容错率=0，则必须在出现危险时立即进行缺陷响应。

（4）达到的安全性能

每个安全功能的技术说明都定义了该安全功能所要求的安全性能。安全相关控制系统必须满足该安全性能的要求。

测定某个系统已经达到的安全性能时，必须考察每一个安全功能。也就是说，必须通过对各个被考察的安全功能所涉及的系统结构和子系统的安全参数来完成该项测定。

（5）根据标准IEC 62061的要求进行设计

安全相关系统可以达到的SIL安全等级受限于子系统的“SIL适合性”。系统的SIL值将被限制为所用子系统的SIL值的最小值（也就是说，链条整体的强度取决于其最薄弱的环节；或理解为“木桶效应”）。

1）系统完整性：

SIL SYS≤SIL CL_lowest

2）结构约束：

SIL SYS≤SIL CL_lowest

对于各个子系统之间的互联，必须满足同样的要求。因此，每一根连线都被视作相互连接的两个子系统各自的组成部件。采用总线连接时，发送和接收的硬件/软件也是子系统的组成部件。

除了基本适用性之外，还必须考虑每一个安全功能的危险故障的发生概率。该概率的数值就是相应安全功能涉及的各个子系统的故障概率的、简单的累加值：

PFHD=PFHD₁+…+PFHD_n

对于总线连接方式，上述概率的数值还得加上数据传输可能出现错误的概率（PTE）。

对于某个具体的安全功能，采用上面的公式计算出来的数值必须小于等于根据相关SIL所确定的值。

安全功能危险故障概率的极限值见表3-1。

表3-1 安全功能危险故障概率的极限值

5.全部安全功能的系统集成

完成全部安全功能的结构设计之后，下一步是对这些具体功能的结构进行集成，以构建完整的安全相关控制系统。

任何时候，只要出现多个安全功能采用同样的功能块，则可以采用公用子系统实现这些安全功能：

1）例如，仅需要采用一个模块化安全系统就可以实现全部安全功能的逻辑。

2）必须监测同一扇防护门的状态，以降低数量众多的不同类型的危险，也就是说，不同安全功能都需要使用该状态信息，那么这扇防护门上只需要为这些不同的安全功能安装一个传感器（如安全门开关）。

上述做法并不会影响已经为各个安全功能确定的安全完整性。唯一的例外是，确定机电装置（如易损耗的行程开关）的开关频率时，必须考虑上述做法是否影响安全完整性。

6.实现子系统的设计

除了可以直接选用市面上已有的子系统之外，另一种可选方案是，采用本身不能满足安全需求，但是组合使用后可以满足安全需求的装置组装成一个子系统。此时，与系统完整性和结构约束相关的安全功能的SIL等级，强制要求实现SIL的要求限制（SIL CL）。对于各个子系统，在设计系统结构时，已经确定了危险的随机故障概率（PFHD）和PFH最大值。

无论是实现必要的容错性能，还是启用故障检测（诊断），通常都要求实现冗余——至少SIL 2和SIL 3要求如此。此外，采用两个装置组合成一个子系统时，也可能需要减小危险性故障的概率。

关于子系统的设计和实现，准确的要求请参阅标准IEC 62061的章节6.7和6.8。以下章节仅提供一些概括性的描述。

（1）子系统的结构设计

如果直接使用针对某个特定任务（子功能、“功能块”）而提供的装置而无法达到必要的安全完整性（安全性能）时，就必须考虑设计专用的子系统结构。通常情况下，以下安全相关功能只有通过专用的结构措施才能够实现：

1）小故障概率；

2）容错、故障控制；

3）故障检测。

特殊措施的必要性取决于所要求的安全性能（安全完整性）。

专用（子）功能、功能块（例如锁定防护门）被分配给子系统。这个功能块首先被细分给各个单元（功能块单元）；接下来这些单元被分配给具体的装置和子系统单元。同一个功能，通常可以分配给两个功能块单元（实际上，该功能被复制成两份）。采用单独的装置实现这些功能块单元后，该子系统将具备单故障容错性能（单冗余）。

（2）检测子系统中的故障（诊断）

对于不具备容错性能的子系统，每出现一个故障都意味着失去一个功能。功能故障可能使机器进入危险状态，也可能使机器进入安全状态。这主要取决于故障的类型。使机器进入危险状态的故障非常危险，它们被称为“危险故障”。为避免危险的故障导致真正的危险，可以通过诊断的方式检测出特定故障，并在危险出现前让机器进入安全状态。从而可以将通过诊断功能检测出来的危险故障转变成“安全故障”。

但是，对于冗余子系统来说，通常第一个故障不会导致功能故障。只有后续的（或称之为“累积的”）故障才会导致功能丧失。因此，为了避免子系统出现故障，必须在第二个故障出现之前，检测出第一个故障。当然，故障检测功能必须与某个合适的系统响应相关联。最简单的方法是，直接关停机器，将机器转至不需要任何（故障）安全功能的安全状态。

将故障检测（诊断）功能关联至合适的故障响应之后，两种情况下相关安全功能出现危险性故障的概率将更小。该概率的数值的下降程度，除了其他因素之外，还取决于可以检测出来的危险性故障的数量。该指标采用诊断覆盖率（DC）进行衡量。

某个子系统内的故障检测功能可以由相关子系统自己来完成，也可以由另一个装置（例如安全继电器）来完成。

（3）子系统的系统完整性

设计和实现某个子系统时，必须采用相应措施来避免或者控制系统性故障，如下：

1）所采用的装置必须符合相关国际/国内标准的要求；

2）必须严格遵守制造商给出的使用条件；

3）所采用的设计和材料必须能够适应所有的预期环境条件；

4）必须预先定义对环境影响的响应行为，以保证机器始终处于某种安全状态；

5）支持在线故障检测；

6）可以强制性地启动某个保护措施。

标准IEC 62061中描述的设计需要，仅仅适用于低复杂程度的电气子系统，也就是说，不适合带有微处理器的子系统。所要求的措施同样适用于所有的SIL安全等级。

（4）子系统的故障概率（PFHD）

可能出现的故障，根据它们是“安全的”还是“危险的”进行区分。子系统危险性故障的定义如下：

危险性故障指安全相关电气控制系统（SRECS）、子系统或者子系统单元中出现的可能导致危险事件发生或者无法正常工作状态的故障。

注：此类状态是否出现可能取决于系统结构。在安全性更好的多通道系统中，可能导致全面性危险状态或者某个功能故障的危险性硬件故障的概率较小。

这意味着，在某个冗余子系统（即容错能力为1）中，对于某个通道中的某个故障，如果在没有第二个通道的情况，该故障可能导致机器出现危险状态，则认为该故障是危险的。

对于安全要求来说，危险性故障的概率非常的关键。尽管“安全故障”会影响系统的可用性，但是它们不会导致危险事件。

子系统的故障概率取决于构成该子系统、系统结构和诊断措施的装置的故障率。标准IEC 62061中给出了两种最常用结构的故障率的计算公式。

（5）带诊断功能的非容错型结构

采用这种结构（见图3-8）时，子系统的任何一个单元出现故障都会导致子系统故障，也就是说，单个故障就可能导致实际的安全功能出现故障。但是，这并不意味着一定会出现安全功能丧失这样的危险性。根据故障类型的不同，机器可能转至某种安全状态，也可能转至某个危险状态，也就是说，子系统的故障可能是“安全的”或“危险的”故障。如果危险的失效概率（PFHd）大于技术说明中的给定值，则必须通过诊断措施检测出这些故障，并在危险出现前启动某个故障响应。这种方法可将危险故障转变成安全故障，从而降低危险的失效概率；据此，有可能达到技术说明中容许的故障概率。

图3-8 带诊断功能的非容错型子系统的逻辑结构

（6）带简单容错功能和诊断功能的结构

采用这种结构（见图3-9）时，第一个故障暂时不会导致功能故障。但是，在第二个故障出现的概率大于技术说明中给出的限制值（也就是说，子系统出现故障）之前，必须检测出第一个故障。

除了随机性的独立故障之外，冗余子系统出现共因故障的可能性也必须高度注意。同质化的冗余结构设计对这类故障的预防将无能为力。因此，必须在设计阶段采取相应的系统性措施，以便将它们的概率降至足够低的水平。计算子系统故障概率时，必须考虑共因故障，因为无论怎样努力，并不能彻底根除这类故障。此时常常借助共因因子。共因因子可用来评估所采用措施的有效性。标准IEC 62061的附录F给出了一个表，采用该表可以确定所达到的共因因子。

采用这种结构后，任何一个子系统单元中的单一故障均不会导致安全相关控制功能出现故障。