安全完整性等级(SIL)与安全系统

安全完整性等级(SIL)是功能安全标准中的一个关键概念。SIL是一种性能指标,用于衡量安全系统在执行特定安全功能时的可靠性。为了符合标准,在系统设计阶段,必须进行SIL验证,以证明达到的SIL符合/超过风险评估期间分配的SIL。与工业应用不同,安全系统通常由经过认证的设备或具有长期使用历史的设备组成,大型物理实验室的安全系统在系统架构和所用设备方面不太标准化,所以问题更复杂。此外,由于可靠性信息有限,通常采用定制设计的电子设备,验证这些系统的SIL需要对可靠性评估有深入的了解。本文初步调研了一些加速器装置的安全系统,简要介绍了安全完整性等级在这些安全系统中的实现。

LHC Access Safety System

该系统通过将项目锁定在IEC 61508/61511方法的基础上,成功设计、开发、测试并按时调试了SIL3安全系统。该系统将最新的西门子冗余安全(redundant safety)可编程逻辑控制器与传统的继电器逻辑硬接线回路相结合。在现场,他们配备了人员在场探测器,包括使用先进的生物测量学检查,确保不持有所需凭证的用户对控制区域的不可侵犯性。多年的运行经验表明,该系统已经达到了预期的安全完整性水平,从而确认了项目的设计选择。项目的关键在于在项目生命周期阶段正确使用基于IEC61508的方法以及理清访问安全系统的重要技术原理。该系统还需要在运行和维护阶段收集经验并改进系统,以减少因访问相关问题导致的加速器停机时间。

LMJ Personnel Safety System

激光兆焦耳(LMJ,The Laser MegaJoule)是一个176束激光设备,位于波尔多(法国)附近的CEA CESTA实验室。该系统应用了HIMA的Planar4系统。Planar4声称是唯一一个根据IEC 61508第2版(2010年)批准实施SIL4的硬接线控制器。由于Planar4是硬接线的,因此无需使用软件进行编程,这使它对各种错误具有极强的抵抗能力。因此,不仅不可能收到网络攻击,物理攻击也是不可能的。

Planar4

VELA Personnel Safety System

STFC Daersbury实验室有一个高性能电子束测试设备VELA(通用电子直线加速器)。它将用于向工业用户提供高质量、短脉冲电子束,以帮助开发医疗、安全、能源和废物处理领域的新产品。该加速器决定使用商用安全网络控制器和I/O来实现人员安全系统,目标是提供一个高完整性、低成本的解决方案,同时也允许设计模块化,可编程,易于扩展。改系统使用了欧姆龙NE1A安全网络控制器和DST1系列安全I/O终端,并根据IEC61508(电气/电子/可编程电子安全相关的功能安全)构建满足安全完整性等级SIL3要求的安全控制网络。NE1A系列控制器提供安全逻辑操作、安全I/O控制和DeviceNet安全协议。DST1系列安全I/O终端支持DeviceNet安全协议,直接与I/O设备接口。DeviceNet安全网络上的每个连接将建立主从关系,并且可以使用标准I/O通信在同一DeviceNet上的标准OMRON CJ2M PLC中监控安全I/O数据的状态。这些I/O数据通过以太网传输到运行在EPICS(实验物理和工业控制系统)环境中的VELA控制系统。

曾看过一篇文章,其中有一个观点,就是EPICS不能用于安全系统(或者是安全完整性等级比较高的系统),但是安全系统可以提供与EPICS控制系统的接口,以便于EPICS控制系统监视、存储故障信息,以及进行故障溯源。

发表回复