Крюк

Система безопасности либо работает, либо нет — и когда она не работает, люди получают травмы. Это непреложная реальность промышленной функциональной безопасности. Но чтобы перевести эту реальность в спецификацию закупки ПЛК, необходимо учитывать уровни SIL, стандарт IEC 61511, отказоустойчивые входы/выходы и рынок, полный пересекающихся сертификатов, от которых может закружиться голова.

В 2026 году это уже не просто инженерная проблема, а юридическая. Европейская директива NIS2 теперь охватывает производство как критическую инфраструктуру. Проекты на Ближнем Востоке, реализуемые в соответствии со стандартами Saudi Aramco и ADNOC, требуют соблюдения требований IEC 61511 с конкретными целевыми показателями SIL. Даже в Северной Америке, где OSHA исторически относилась к стандартам безопасности автоматизации менее строго, страховые компании разрабатывают страховые полисы, в которых упоминается IEC 61508.

Эта статья поможет разобраться в сложном наборе аббревиатур. К концу чтения вы будете знать, какой уровень SIL необходим вашему приложению, какие семейства ПЛК безопасности его обеспечивают и как выглядит сопроводительная документация для соответствия требованиям.

Основы

Что на самом деле означает функциональная безопасность?

Функциональная безопасность — это не то же самое, что электробезопасность. Электробезопасность предотвращает поражение электрическим током и пожары — надлежащее заземление, защита цепей, защитные корпуса. Функциональная безопасность гарантирует, что в случае возникновения неполадок система управления выйдет из строя таким образом, чтобы обеспечить безопасность людей.

Система функциональной безопасности выполняет три задачи: обнаружение опасной ситуации (разрыв световой завесы), принятие решения (остановка печатного станка) и надежное выполнение этого решения (отключение контактора двигателя). Вся цепочка — датчик, логический решатель, конечный элемент — должна быть спроектирована таким образом, чтобы отказ какого-либо отдельного компонента не препятствовал выполнению системой своих функций.

SIL: Число, определяющее всё

Уровень целостности безопасности (SIL) измеряет, насколько функция безопасности снижает риск. Он варьируется от SIL 1 (самый низкий) до SIL 4 (самый высокий, практически не используется в автоматизации производства).

Уровень SIL | Коэффициент снижения риска | Вероятность отказа по требованию | Типичное применение

SIL 1 | 10–100 | 0,1–0,01 (от 1 из 10 до 1 из 100) | Простой срабатывание защиты от превышения скорости

SIL 2 | 100–1000 | 0,01–0,001 (от 1 к 100 до 1 к 1000) | Клапан аварийного отключения технологического процесса

SIL 3 | 1000–10000 | 0,001–0,0001 (1 к 1000 до 1 к 10000) | Управление горелкой, защита от высокого давления

СИЛ 4 | 10 000–100 000 | 0,0001–0,00001 | Защита ядерного реактора

В сфере промышленной автоматизации уровни SIL 2 и SIL 3 охватывают 95% применений. Уровень SIL 4 существует лишь на бумаге и применяется на атомных электростанциях — вы не столкнетесь с ним на упаковочной линии или водоочистной станции.

Стек стандартов

Три стандарта составляют основу функциональной безопасности в промышленной автоматизации:

IEC 61508 — это общий стандарт. Он охватывает все отрасли промышленности, все электрические/электронные/программируемые системы безопасности. Определяет концепцию SIL и жизненный цикл безопасности.

IEC 61511 — это адаптация стандарта 61508 для обрабатывающей промышленности. Именно этому стандарту следуют нефтеперерабатывающие заводы, химические предприятия и электростанции. Он охватывает всю систему безопасности (SIS) от датчика до логического решателя и конечного элемента.

IEC 62061 / ISO 13849 — стандарты безопасности оборудования. Эти стандарты применяются при создании станков, упаковочных машин или роботизированных ячеек. Они определяют уровни производительности (PL a — PL e), которые приблизительно соответствуют SIL 1–3, но используют другую методологию расчета.

Если вы работаете в нефтегазовом секторе Ближнего Востока, то основным стандартом является IEC 61511. Если вы являетесь производителем оборудования, экспортирующим продукцию в Европу, применяются стандарты IEC 62061 и ISO 13849. Узнайте, какой из них указан в страховом полисе вашего клиента.

Реальный мир

Архитектуры безопасных ПЛК: резервирование и диагностика

Программируемый логический контроллер с функцией безопасности — это не просто обычный ПЛК с наклейкой безопасности. Архитектура отличается на уровне микросхемы.

Двухканальный режим с сравнением (1oo2) — Два отдельных процессора выполняют одну и ту же логику безопасности. Аппаратный компаратор постоянно проверяет, совпадают ли решения обоих процессоров по каждому выходному сигналу. Если они расходятся хотя бы на один бит, выходы безопасности обесточиваются. Это стандартная архитектура для ПЛК безопасности уровня SIL 3. Allen-Bradley GuardLogix, Siemens S7-1500F, и Omron NX-SL используют ту или иную архитектуру 1002.

Тройное модульное резервирование (2003) — три процессора голосуют по каждому выходному сигналу. Отказ одного процессора не приводит к срабатыванию системы — оставшиеся два переголосовывают его. Эта архитектура (TMR) широко используется в системах Honeywell Safety Manager и Triconex для приложений уровня SIL 3, где ложные срабатывания приводят к огромным финансовым последствиям. Ложное срабатывание системы аварийного останова на морской платформе может стоить 1 миллион долларов потерянной добычи в день.

Одноканальный с диагностикой (1oo1D) — Один процессор с расширенной внутренней диагностикой. Подходит для приложений уровня SIL 2, где требования к снижению риска умеренные. В контроллерах безопасности TwinSAFE от Beckhoff и многих других компактных контроллерах безопасности используется именно такой подход.

Разница в безопасности ввода-вывода

Внешне модули ввода-вывода безопасности похожи на стандартные модули ввода-вывода. Однако внутри они принципиально отличаются:

· Импульсная проверка: Модуль посылает импульсы длительностью в микросекунды через выходную цепь для проверки целостности полевой проводки и отсутствия короткого замыкания нагрузки. Эти импульсы слишком короткие, чтобы активировать катушку контактора, но достаточно длинные, чтобы диагностическая система модуля обнаружила обрыв или короткое замыкание.

· Интервалы проверки в темноте: При поступлении цифровых сигналов модуль кратковременно отключает внутренний источник питания и проверяет, действительно ли входной сигнал падает до нуля. Это позволяет выявить сбой типа «залипание во включенном состоянии», который в противном случае остался бы незамеченным, поскольку вход всегда отображается как находящийся под напряжением.

· Двухканальные входы: Один вход безопасности (аварийная остановка, световая завеса) подключается к двум отдельным входным каналам. Модуль проверяет, изменяют ли оба канала состояние в течение заданного времени расхождения — обычно 100–500 миллисекунд. Если один канал открывается, а другой остается закрытым после истечения времени расхождения, модуль объявляет о неисправности и принудительно переводит устройство в безопасное состояние.

Эти диагностические процедуры выполняются непрерывно, сотни раз в секунду. Вы их не видите. ПЛК не сообщает о них, если только они не приводят к сбою. Но именно они отличают систему, которая безопасна на бумаге, от системы, которая остается безопасной после трех лет вибрации, перегрева и пренебрежения.

Логика безопасности программирования: различия в правилах

Логика безопасности выполняется в отдельной программе безопасности со своим собственным исполнительным блоком. Стандартная управляющая программа не может записывать данные в метки безопасности — она может только считывать их. Логика безопасности использует ограниченный набор инструкций: никаких циклов, никакой косвенной адресации, никакого динамического выделения памяти. Каждый возможный путь выполнения должен быть доступен для анализа во время компиляции.

Основные функции безопасности, которые вам предстоит запрограммировать:

· Контроль аварийной остановки: двухканальный вход, требуется ручной сброс, логика защиты от перегрузки, предотвращающая отключение аварийной остановки.

· Отключение световой завесы: временно отключите функцию безопасности, чтобы пропустить материал, используя датчики отключения, расположенные таким образом, чтобы человек не мог активировать тот же набор сигналов.

· Безопасное отключение крутящего момента (STO): обесточивает выходной каскад привода двигателя без отключения основного питания, что позволяет быстро перезапустить его после срабатывания системы безопасности.

· Ограничение скорости (SLS): Контроль обратной связи от энкодера и срабатывание защиты, если скорость двигателя превышает заданный предел.

· Управление горелкой: время продувки, обнаружение пламени, проверка топливных клапанов и последовательность аварийного отключения.

Региональные модели внедрения

Ближний Восток: Стандарт SAES-J-601 компании Saudi Aramco требует соответствия стандарту IEC 61511 для всех новых систем технологической безопасности. Уровень SIL 3 является стандартным для систем обнаружения пожара и газа, аварийного останова и систем защиты от высокого давления (HIPPS). На рынке представлено оборудование Honeywell Safety Manager и Triconex, а Yokogawa ProSafe-RS набирает популярность в японских проектах, реализуемых по схеме EPC (проектирование, закупка и строительство). Если вы поставляете оборудование для проекта Aramco, перед вводом в эксплуатацию следует предусмотреть в бюджете сертифицированный ПЛК безопасности и оценку функциональной безопасности (FSA), проводимую инженером, сертифицированным TÜV.

Европа: Для маркировки CE теперь требуется документально подтвержденный жизненный цикл безопасности оборудования. Регламент ЕС по машиностроению 2023/1230 (вступил в силу в 2027 году, но поставщики уже соблюдают его требования) ужесточает требования к автономным мобильным роботам и коллаборативным роботам — оба типа роботов в значительной степени полагаются на ПЛК безопасности для контроля скорости и расстояния. В Германии и Восточной Европе доминируют процессоры Siemens F-CPU. Pilz PSS 4000 является предпочтительным решением для приложений, связанных исключительно с безопасностью.

Америка: OSHA PSM (Управление безопасностью технологических процессов, 29 CFR 1910.119) стимулирует внедрение в нефтепереработке и химической промышленности. GuardLogix пользуется большим спросом, поскольку предприятия уже используют экосистему Rockwell. Переход к интегрированной безопасности (логика безопасности на той же платформе, что и стандартное управление) ускорился с тех пор, как Rockwell Studio 5000 Logix Designer сделал программирование безопасности практически идентичным стандартному программированию.

Глубокое погружение

Расчет правильного уровня SIL

Уровни SIL не определяются наугад. Они рассчитываются с помощью анализа уровней защиты (LOPA). Метод:

1. Начнем с частоты возникновения аварийных ситуаций — как часто возникает опасная ситуация? Избыточное давление в реакторе может возникать раз в год. Затор на конвейере может возникать раз в день.

2. Определите допустимый риск — какова максимально допустимая частота возникновения вредного исхода? В отрасли общепринятые целевые показатели для случаев со смертельным исходом варьируются от 1 × 10⁻⁴ до 1 × 10⁻⁶ в год.

3. Учитывайте не-SIS защитные слои — предохранительные клапаны, реакцию оператора, физическую изоляцию. Каждый независимый защитный слой (IPL) снижает риск в несколько раз.

4. Оставшийся пробел – это то, что должна покрывать ваша функция обеспечения безопасности, – именно этот пробел определяет требуемый уровень SIL.

Упрощенный пример: событие, связанное с избыточным давлением, происходит раз в 10 лет. Без защиты это привело бы к гибели оператора. Допустимый риск составляет 1 × 10⁻⁴ в год (один смертельный случай на 10 000 лет). Предохранительный клапан обеспечивает 100-кратное снижение риска (один IPL). Остаточный риск: 1 × 10⁻³ в год. Для достижения 1 × 10⁻⁴ необходим еще один множитель 10 — это SIL 1. Ваш ПЛК безопасности должен закрывать впускной клапан в течение времени, необходимого для обеспечения безопасности процесса, когда давление превышает точку срабатывания.

Проверка достоверности: этап, которого никто не планирует.

Ваш сертифицированный по стандарту SIL ПЛК безопасности имеет показатель вероятности отказа по требованию (PFDavg). Этот показатель предполагает, что вы проводите проверку системы через регулярные интервалы — обычно каждые 12 месяцев. Проверка подтверждает работоспособность всей цепочки безопасности от датчика до конечного элемента. Она выявляет отказы, которые пропустила автоматическая диагностика.

Проверка безопасности ПЛК включает в себя:

· Принудительное срабатывание защитных входных сигналов и проверка корректности выходных сигналов безопасности.

· Проверка времени отклика (должно находиться в пределах времени, обеспечивающего безопасность процесса).

· Проверка работоспособности диагностического покрытия (ввод ошибки, подтверждение того, что ПЛК её обнаруживает и сообщает о ней).

· Проверка работы сторожевого таймера (аппаратного таймера, который принудительно переводит устройство в безопасное состояние в случае зависания процессора безопасности).

Планируйте проведение контрольных испытаний во время плановых остановок. Документируйте результаты каждого испытания. Эта документация послужит доказательством в случае, если в ходе расследования инцидента возникнут сомнения в том, что система безопасности обслуживалась в соответствии с требованиями спецификации.

Кибербезопасность и функциональная безопасность вместе.

В Европе стандарт NIS2 требует защиты систем, связанных с безопасностью, от киберугроз. Программируемый логический контроллер (ПЛК) безопасности, подключенный к несегментированной сети предприятия, небезопасен — не потому, что ПЛК выйдет из строя, а потому, что скомпрометированная рабочая станция инженера может загрузить модифицированную программу безопасности, которая отключает средства защиты.

Модель многоуровневой защиты для ПЛК безопасности:

· Сегментация сети: ПЛК безопасности размещены на выделенном сегменте сети безопасности, изолированном от сети управления предприятием.

· Управление изменениями: Все изменения в программе безопасности требуют документального утверждения, независимой проверки и функционального тестирования.

· Целостность микропрограммного обеспечения: микропрограммное обеспечение ПЛК безопасности должно быть подписано цифровой подписью и проверено при загрузке.

· Физическая безопасность: предохранительный ключевой выключатель ПЛК установлен не просто так. Используйте его.

Цены и наличие

· Omron NX-SL3300 SIL 3 Safety CPU: 1200–1800 долларов США; время выполнения задачи безопасности 10–20 мс; интегрируется с платформой ввода-вывода серии NX.

· Аллен-Брэдли 1756-L82ES GuardLogix SIL 3: 12 000–18 000 долларов США; поддерживает интегрированную безопасность и стандартное управление в одном контроллере.

· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: 6000–9000 долларов США; интегрирован с TIA Portal; F-CPU с PROFIsafe через PROFINET

· Honeywell Safety Manager SIL 3: Цена по запросу (обычно от 25 000 долларов США только за логический решатель); архитектура TMR; предпочтительно для крупных нефтегазовых компаний.

· Примечание: Все цены указаны без учета модулей ввода-вывода безопасности, которые обычно увеличивают общую стоимость оборудования на 30–50%. Сроки поставки: 4–12 недель в зависимости от платформы. Снятые с производства реле безопасности и устаревшие ПЛК безопасности (Pilz PNOZmulti Classic, более старые модели GuardLogix) по-прежнему доступны на сайте tztechio.com/industrial-automation

Часто задаваемые вопросы

Нужен ли мне отдельный ПЛК безопасности, или я могу использовать свой стандартный ПЛК?

Если ваш стандартный ПЛК имеет сертификат безопасности (например, GuardLogix или S7-1500F), логика безопасности работает в отдельном разделе на том же оборудовании — функционально отдельно, но физически интегрирована. Если ваш стандартный ПЛК — это стандартный контроллер без сертификации безопасности, вам потребуется отдельный ПЛК для обеспечения безопасности. Никогда не запускайте логику безопасности на несертифицированном контроллере.

В чём разница между SIL и PL?

Уровень безопасности SIL (Safety Integrity Level) определяется стандартом IEC 61508/61511 и применяется к обрабатывающей промышленности и сложным системам безопасности. Уровень производительности PL (Performance Level, a–e) определяется стандартом ISO 13849 и применяется к оборудованию. Они частично совпадают: PL d примерно равен SIL 2, PL e примерно равен SIL 3. Если вы сертифицируете машину для европейского рынка, вам нужен PL. Если вы проектируете систему безопасности технологического процесса, вам нужен SIL. Некоторые ПЛК безопасности сертифицированы по обоим уровням.

Могут ли программируемые логические контроллеры безопасности Omron интегрироваться со стандартными ПЛК других производителей?

Да. Процессор безопасности Omron NX-SL передает данные безопасности по EtherCAT с использованием протокола FSoE (Fail-Safe over EtherCAT). Любой EtherCAT-мастер, поддерживающий FSoE, может обмениваться данными безопасности с NX-SL. Это означает, что вы можете использовать процессор безопасности Omron со стандартным ПЛК Beckhoff или наоборот, если оба поддерживают протокол FSoE.

Как часто необходимо заменять программируемые логические контроллеры безопасности (ПЛК)?

В руководстве по безопасности ПЛК с защитой указан «срок полезной эксплуатации», обычно 20 лет с даты изготовления. После этого вероятность отказов, учитываемая при расчете уровня безопасности (SIL), больше не гарантируется. Многие предприятия эксплуатируют ПЛК с защитой более 20 лет, но в случае инцидента расследование покажет, что оборудование превысило свой сертифицированный срок службы. Заложите в бюджет замену через 15 лет, чтобы учесть время на переход к новой системе до истечения установленного срока.

Требуется ли функциональная безопасность для водоочистных сооружений на Ближнем Востоке?

Не повсеместно, но становится стандартом. Крупные проекты по опреснению и очистке сточных вод в Саудовской Аравии, ОАЭ и Катаре теперь предусматривают уровень SIL 2 для дозирования хлора и SIL 2–3 для защиты мембран обратного осмоса высокого давления. Если проект имеет ссылку на спецификацию Aramco или ADNOC, соответствие стандарту IEC 61511 является обязательным независимо от отрасли.

--------------------------------------------------------------------------------------------------------------------

TZ Tech — профессиональный поставщик компонентов для промышленной автоматизации и электрооборудования, а также некоторых приборов и телекоммуникационных компонентов. В основном мы продаем товары со склада дистрибьютора по конкурентоспособным ценам и с короткими сроками поставки. Мы также можем поставить даже снятые с производства детали, поскольку имеем большой складской запас.

Мы понимаем ваши опасения, поэтому гарантируем качество. Мы тщательно проверяем необходимые вам компоненты, поэтому вам не нужно беспокоиться о каких-либо проблемах с качеством полученного товара. Что касается специализированных деталей, снятых с производства, мы честно сообщим вам об их фактическом состоянии. На все новые детали предоставляется гарантия 1 год.

Если вам понадобятся какие-либо запчасти, пожалуйста, отправьте запрос. Наши сотрудники оперативно ответят в течение 6 часов (кроме выходных).