17/10/2021

БЕЗОПАСНОСТ ПРИ МОДЕРНИЗАЦИЯ НА РЕЛЕЙНА ЛОГИКА С ИНДУСТРИАЛНИ PLC

В последните години са актуални безопасни индустриални PLC с общо предназначение, притежаващи сертификат за ниво на безопасност SIL3 и SIL4. В Европа подобни продукти предлагат немските производители Hima и Phoenix Contact. Това са контролери от сериите HiMax/HiMatrix на Hima и Trisafe/SafetyBridge на Phoenix Contact.

Тези контролери са изградени от електрони компоненти, които са организирани в структурни елементи гарантиращи постигане на безопасна обработка на информацията и реализиране на вход/изход подсистема.

 

 

 

 

 

 

 

 

 

Фигура 1                    Фигура 2

Структурата за постигане на функционална безопасност 1oo2D (Фигура 1) при PLC на Hima е схема с излишък 1 от 2 (Фигура 2) , сравняваща резултата от двата канала за обработка (8 – uP1 и uP2), посредством модул за сравнение (5 – компаратор). Освен това в рамките на 1oo2D има диагностика, която проверява дали устройствата или каналите функционират правилно. Диагностиката е вътрешна базирана включваща стражеви таймер (6).

Процесорът следи последователността и правилното логическо изпълнение на операционната система и потребителска програма. Следните функции се наблюдават по време:

  • Проверка на хардуера и софтуера на процесора.
  • Цикъл CPU RUN (включително потребителската програма).
  • I / O тестове и обработка на I / O сигнали.

При Trisafe на Phoenix Contact вътрешната структура е подобна на тази при Hima. Това е видно от снимката (Фигура 3) на разглобени PLC от серията Trisafe. На преден план са два микроконтролера, а на заден план ясно си личи двуканалната структура на системата за вход/изход.

Фигура 3

Входно/изходните модули на безопасния PLC при SafetyBridge (Фигура 4) са предназначена за контрол на контактни сензори и управление на електромеханични изпълнителни елемент (контактори или релета), работещи с номинално напрежение 24V DC. Тази особеност ги прави директно съвместими (без необходимост от междинен интерфейс) с релейната логика в съществуващата релейна ОТ (например АПУ или ЕГЦ).

Фигура 4

Входно изходната система при Trisafe е идентична с тази на SafetyBridge. Това прави технологиите подходящи за модернизация на конвенционална ОТ като: ТДИ, междугарова блокировка, стрелка на открит път, разделен пост, ПВУ, дистанционно управление, скоростна сигнализация и др.

Цифровия вход допуска конфигурация за едноканален ли двуканален режим на работа. Разполага с помощни сигнали UT1 и UT2 за достоверно четене на контактни системи (релета или бутони). При едноканално четене на фронтов контакт на първокласно реле с тактов сигнал UT1 се гарантира достоверността на информацията. Разпознава се късо съединение между вход и захранване положителен/отрицателен полюс или между вход и вериги работещи с тактов сигнал UT2. Цифровия изход допуска хардуерна конфигурация за едноканален или двуканален режим на работа. Има възможност за активиране на строб импулси, тестващи работоспособността на комутиращите изхода пулопроводникови елементи. При нарушена работоспособност на изхода се преминава в защитно състояние – групово изключване на изходния модул. Разпознава се късо съединение между изхода и захранване положителен или отрицателен полюс, контролира се претоварване в изходната верига.

Безопасната логика на PLC е достъпна за конфигуриране от потребителя, като функционални блок диаграми FBD в софтуера SAFECONF (Фигура 5). Те са интегрирани с опциите на хардуера на безопасния PLC, като по този начин е създадено комплексно безопасно решение.

Фигура 5

Фигура 6

Разгледаните контролери притежават сертификат за ниво на безопасност SIL3 по индустриалния стандарт ICE 61508, като контролерите на Hima покриват и ниво на безопасност SIL4 по стандартите на Cenelec EN 5012X.

Веднага възниква въпроса: Как индустриалния контролер може едновременно да бъде SIL3 и SIL4?

Сравнявайки стандартите става ясно, че IEC 61508 представлява общ стандарт за безопасността при експлоатация на електрически/електронни/програмируеми електронни системи, свързани с безопасността. Основна цел на стандарта е да улесни прилагането на секторните международни стандарти, като това се потвърждава например в EN 50129, в който е записано, че е „специфична интерпретация за сектора на IEC 61508”.

След преглед на стандарта IEC 61508 си проличава, че Част 1 на стандарта съответства на стандарт EN 50126, Част 2 на EN 50129, а Част 3 – на EN 50128 .Еднакъв е подхода за определяне на интегрираното ниво на безопасност SIL, посочен в табличен вид в приложение А на EN 50129 и част 5 на IEC 61508 (Таблица 1).

Таблица 1

Следователно критериите на секторните стандарти CENELEC в областта на железниците са идентични с изискванията в IEC 61508.

Ако критериите в стандартите са идентични то възниква следващия въпрос: Каква е разликата?

Разликата си проличава когато се изясни какво стои зад израза от в EN 50129 – „специфична интерпретация за сектора на IEC 61508”. Това най-общо казано трябва да се разбира като „специфика на употребата“.

В индустрията безопасните PLC се употребяват за управление на машини, където най – често се свързват към електродвигатели. Класическата схема за безопасно управление на трифазен електродвигател е дадена на Фигура 7. Според документацията на Phoenix Contact тази схема може да притежава ниво на безопасност максимум SIL3. Това е в следствие от употребата на контактори, които притежават симетричен отказ – могат да останат изключени (при прекъсване на верига) или включени (при залепване на контакт).

Фигура 7

В областта на железниците елементите които се свързват към безопасните PLC притежават несиметричен отказ – не могат да останат задействани при изключване. Такива елементи са първокласните релета, където несиметричния отказ е постигнат конструктивно. Тези релета се явяват основни градивни елементи на релейната логика.

Следователно: Ограничението на нивото на безопасност при индустриалните контролери е извън тях – във външните елементи свързани към тях.

Различните външни елементи в индустрията и в железниците са причината един и същ контролер да има различно ниво на безопасност по два идентични като критерии стандарта за безопасност.

От тук можем да направим извода, че:

При модернизация на първокласна релейна логика (АПУ или ЕГЦ), с безопасен PLC, притежаващ сертификат SIL3 по IEC 61508, нивото на безопасност на новата хибридната схема е не по-ниско от нивото на безопасност на старата схема.