我们都知道,随着大量可编程设备、自动化系统和软件产品的使用,在增加了设备自动化运转效率的同时,由于设计中的缺失以及开发制造中风险管理意识的不足,使得可能造成人身安全、财产损失和环境危害等事故的风险也暴露出来。为此,在工业自动化领域,电子、电气及可编程电子安全控制系统相关的技术逐渐发展为一套成熟的产品安全设计技术,即“功能安全”技术,并由IEC61508标准来定义,对应的国标是GB/T20438。IEC61508将安全完整性等级(SIL)分成4级,第4级为最高完整性。
在类似于以上地铁屏蔽门普遍使用的SIL3等级的安全回路中,可以由安全继电器来搭建,也可以使用由安全PLC和其他安全从站构成的安全网络来实现,比如CC-LinkSafety、CC-LinkIESafety。无论使用哪种方法,都必须要满足以下几点:
1采用冗余结构设计
2必须要有传感器监测来作为同步输入监测
3具备回路监测
安全相关系统在设计时,须要遵循IEC61508所遵循的“故障导向安全”,认为人员操作总是会失误的,并且任何小概率发生的失误最终都会发生,必须将其导向至可以接受的风险。同时,我们认为机器总是比人可靠,因此对于安全功能的分配,能让机器完成的功能当然要让机器完成,并不断提升安全系统的裕度,比如通过并联和表决的方式来实现安全系统的冗余。
以实际使用中最常用的紧急停止开关为例,(以上地铁事故中的屏蔽门和列车停止互锁系统也可以简单类比),如果故障设备被修复或者被旁路,紧急停止控制装置断开且反馈回路已经闭合,此时可以按下“复位”按钮,重新启动设备,在设备重启前必须先确认运行环境安全,再进行复位,即只有进行复位后,重启功能才能执行。至于何种情况下应采用何种复位方式(自动复位、手动复位、可监控复位),视具体行业的具体工艺要求而定。需要注意的是:采用自动复位,必须对现场运行环境进行大量且全面的评估,确认自动复位后,整个系统并不会产生任何危险,在实际应用中需要慎之又慎。
在现场运行的自动化系统中,实际构建安全网络的情况往往又会比较复杂,虽然各个子系统单独运行均能达到SIL3甚至SIL4等级,但我们可能需要这些子系统整合后进行联动,例如上述地铁运行时的列车运行控制系统需要和屏蔽门控制系统进行联动,整合后的安全系统由于没有充分考虑到人为因素的影响,可能就无法到达相应的安全等级了,因此在设计时需要穷举所有可能发生的故障和风险,编制详尽的安全手册,并依次将其导向为可接受风险。
由于现代化的的自动化系统高度复杂,可编程器件和软件大量应用,很多场合可能的风险隐患也呈几何级数增加,已不再适合使用安全继电器等来构建可靠的安全回路,在现场,电气工程师会普遍使用安全PLC,并通过安全网络来实现,比如CC-LinkSafety和CC-LinkIESafety。作为中国国家标准,CC-LinkSafety和CC-LinkIESafety在设计时已经进行了相关规范的安全设计,包括冗余双回路的设计、传输信号的表决机制、信号传输过程中的差错交叉校验等,保证了电气工程师能够以最大的便利性来设计和构建安全回路,同时,也能够有效防止人为误操作而造成的安全隐患,在使用时只要将兼容的安全设备接入网络,即可实现SIL3等级的安全系统。
从本次地铁事故来看,功能安全在目前的自动化系统中已经起到了举足轻重的作用,未来也会成为自控领域的一个热点,必定也必须要引起所有系统工程师的重视,使用安全网络构建系统也将逐渐成为主流,从而保证现场设备运行更加安全。