Cangkuk

Sistem keselamatan sama ada berfungsi atau tidak — dan apabila ia tidak berfungsi, orang ramai akan tercedera. Itulah realiti keselamatan fungsian perindustrian yang tidak dapat dikurangkan. Tetapi menterjemahkan realiti itu ke dalam spesifikasi perolehan PLC bermakna menavigasi tahap SIL, IEC 61511, I/O selamat gagal dan pasaran yang penuh dengan pensijilan bertindih yang boleh membuatkan anda pening.

Pada tahun 2026, ini bukan sekadar kebimbangan kejuruteraan. Ia adalah satu perkara yang berkaitan dengan undang-undang. Arahan NIS2 Eropah kini merangkumi pembuatan sebagai infrastruktur kritikal. Projek Timur Tengah di bawah piawaian Saudi Aramco dan ADNOC mewajibkan pematuhan IEC 61511 dengan sasaran SIL tertentu. Malah di Amerika Utara, di mana OSHA secara tradisinya mengambil sentuhan yang lebih ringan terhadap piawaian keselamatan automasi, syarikat insurans menulis keperluan polisi yang merujuk IEC 61508.

Artikel ini merangkumi keseluruhan abjad. Apabila anda selesai membacanya, anda akan tahu tahap SIL yang diperlukan oleh aplikasi anda, keluarga PLC keselamatan yang benar-benar menyediakannya, dan bagaimana rupa kertas kerja pematuhan di bahagian yang lain.

Asas-asasnya

Apa Sebenarnya Maksud Keselamatan Fungsian

Keselamatan berfungsi tidak sama dengan keselamatan elektrik. Keselamatan elektrik mencegah renjatan dan kebakaran — pembumian yang betul, perlindungan litar, dan penutup. Keselamatan berfungsi menjamin bahawa apabila sesuatu berlaku, sistem kawalan akan gagal dengan cara yang memastikan keselamatan orang ramai.

Sistem keselamatan berfungsi mempunyai tiga tugas: mengesan keadaan berbahaya (tirai lampu pecah), membuat keputusan (menghentikan penekan), dan melaksanakan keputusan tersebut dengan andal (menyahdayakan penyentuh motor). Keseluruhan rantai — sensor, penyelesai logik, elemen akhir — mesti direka bentuk supaya tiada kegagalan komponen tunggal yang menghalang sistem daripada menjalankan tugasnya.

SIL: Nombor Yang Menentukan Segalanya

Tahap Integriti Keselamatan (SIL) mengukur sejauh mana pengurangan risiko yang disediakan oleh fungsi keselamatan. Ia bermula dari SIL 1 (terendah) hingga SIL 4 (tertinggi, hampir tidak pernah digunakan dalam automasi kilang).

Tahap SIL | Faktor Pengurangan Risiko | Kebarangkalian Kegagalan Atas Permintaan | Aplikasi Lazim

SIL 1 | 10–100 | 0.1–0.01 (1 dalam 10 berbanding 1 dalam 100) | Perjalanan laju yang mudah

SIL 2 | 100–1,000 | 0.01–0.001 (1 dalam 100 kepada 1 dalam 1,000) | Injap penutupan proses

SIL 3 | 1,000–10,000 | 0.001–0.0001 (1 dalam 1,000 hingga 1 dalam 10,000) | Pengurusan pembakar, perlindungan tekanan tinggi

SIL 4 | 10,000–100,000 | 0.0001–0.00001 | Perlindungan reaktor nuklear

Untuk automasi perindustrian, SIL 2 dan SIL 3 meliputi 95% aplikasi. SIL 4 wujud di atas kertas dan di loji nuklear — anda tidak akan menemuinya di barisan pembungkusan atau loji rawatan air.

Tumpukan Piawaian

Tiga piawaian membentuk tulang belakang keselamatan fungsian dalam automasi perindustrian:

IEC 61508 — Piawaian payung. Meliputi semua industri, semua sistem keselamatan elektrik/elektronik/boleh atur cara. Mentakrifkan konsep SIL dan kitaran hayat keselamatan.

IEC 61511 — Adaptasi industri proses 61508. Inilah yang diikuti oleh kilang penapisan, loji kimia dan stesen janakuasa. Ia merangkumi keseluruhan sistem instrumen keselamatan (SIS) daripada sensor kepada penyelesai logik hingga elemen akhir.

IEC 62061 / ISO 13849 — Piawaian keselamatan jentera. Jika anda membina alat mesin, mesin pembungkusan atau sel robot, piawaian ini terpakai. Piawaian ini mentakrifkan Tahap Prestasi (PL a hingga PL e) yang secara kasarnya sepadan dengan SIL 1–3 tetapi menggunakan metodologi pengiraan yang berbeza.

Jika anda berada dalam sektor minyak dan gas Timur Tengah, IEC 61511 ialah piawaian pengawal selia anda. Jika anda seorang pembina mesin yang mengeksport ke Eropah, IEC 62061 dan ISO 13849 terpakai. Ketahui yang mana satu yang dinyatakan dalam polisi insurans pelanggan anda.

Dunia Nyata

Senibina PLC Keselamatan: Redundansi dan Diagnostik

PLC keselamatan bukan sekadar PLC biasa dengan pelekat keselamatan. Seni binanya berbeza pada tahap silikon.

Dwi-saluran dengan perbandingan (1oo2) — Dua pemproses berasingan melaksanakan logik keselamatan yang sama. Pembanding perkakasan sentiasa menyemak sama ada kedua-dua pemproses bersetuju dengan setiap keputusan output. Jika mereka tidak bersetuju walaupun dengan satu bit, output keselamatan akan dinyahdayakan. Ini adalah seni bina standard untuk PLC keselamatan SIL 3. Allen-Bradley GuardLogix, Siemens S7-1500F, dan Omron NX-SL semuanya menggunakan beberapa bentuk seni bina 1oo2.

Lewah modular tiga kali ganda (2oo3) — Tiga pemproses mengundi untuk setiap output. Kegagalan pemproses tunggal tidak akan menyebabkan sistem terhenti — dua lagi mengundi mengatasinya. Seni bina (TMR) ini adalah perkara biasa dalam sistem Honeywell Safety Manager dan Triconex untuk aplikasi SIL 3 di mana terjatuh palsu membawa akibat kewangan yang besar. Terjatuh palsu pada sistem penutupan kecemasan platform luar pesisir boleh menyebabkan kerugian pengeluaran sebanyak $1 juta setiap hari.

Saluran tunggal dengan diagnostik (1oo1D) — Satu pemproses dengan diagnostik dalaman yang meluas. Sesuai untuk aplikasi SIL 2 yang memerlukan keperluan pengurangan risiko adalah sederhana. TwinSAFE Beckhoff dan banyak pengawal keselamatan padat menggunakan pendekatan ini.

Perbezaan I/O Keselamatan

Modul I/O keselamatan kelihatan serupa dengan modul I/O standard di bahagian luar. Secara dalaman, ia berbeza secara asasnya:

· Ujian denyutan: Modul menghantar denyutan berdurasi mikrosaat melalui litar output untuk mengesahkan pendawaian medan adalah utuh dan beban tidak mengalami pintasan. Denyutan ini terlalu pendek untuk memberi tenaga kepada gegelung kontaktor tetapi cukup lama untuk diagnostik modul mengesan litar terbuka atau pintasan.

· Selang ujian gelap: Pada input digital, modul mematikan bekalan kuasa dalaman secara ringkas dan memeriksa sama ada isyarat input sebenarnya jatuh ke sifar. Ini mengesan kegagalan "tersekat" yang sebaliknya tidak akan dikesan kerana input sentiasa dibaca sebagai bertenaga.

· Input dwi-saluran: Input keselamatan tunggal (henti kecemasan, langsir lampu) bersambung kepada dua saluran input berasingan. Modul ini mengesahkan kedua-dua saluran mengalami perubahan keadaan dalam masa percanggahan yang ditetapkan — biasanya 100–500 milisaat. Jika satu saluran terbuka tetapi saluran yang satu lagi kekal tertutup melebihi masa percanggahan, modul akan mengisytiharkan kerosakan dan memaksa keadaan selamat.

Diagnostik ini berjalan secara berterusan, ratusan kali sesaat. Anda tidak melihatnya. PLC tidak melaporkannya melainkan ia gagal. Tetapi ia adalah perbezaan antara sistem yang selamat di atas kertas dan sistem yang selamat selepas tiga tahun getaran, haba dan pengabaian.

Logik Keselamatan Pengaturcaraan: Peraturan Yang Berbeza

Logik keselamatan berjalan dalam program keselamatan yang berasingan dengan partition pelaksanaannya sendiri. Program kawalan standard tidak boleh menulis pada tag keselamatan — ia hanya boleh membacanya. Logik keselamatan menggunakan set arahan terhad: tiada gelung, tiada pengalamatan tidak langsung, tiada peruntukan memori dinamik. Setiap laluan pelaksanaan yang mungkin mesti boleh dianalisis pada masa kompilasi.

Fungsi keselamatan biasa yang akan anda programkan:

· Pemantauan hentian kecemasan: Input dwi-saluran, tetapan semula manual diperlukan, logik anti-tiedown untuk mengelakkan daripada mengalahkan E-stop

· Peredaman langsir cahaya: Lumpuhkan fungsi keselamatan buat sementara waktu untuk membolehkan bahan melaluinya, menggunakan sensor peredam yang disusun supaya seseorang tidak dapat mencetuskan corak sensor yang sama.

· Tork selamat mati (STO): Nyahdayakan peringkat output pemacu motor tanpa menanggalkan kuasa utama, membolehkan permulaan semula yang pantas selepas peristiwa keselamatan

· Kelajuan terhad selamat (SLS): Pantau maklum balas pengekod dan pelantikan jika motor melebihi had laju yang boleh dikonfigurasikan

· Pengurusan pembakar: Pemasaan pembersihan, pengesanan nyalaan, pembuktian injap bahan api dan penjujukan penutupan kecemasan

Corak Penerimaan Serantau

Timur Tengah: Piawaian SAES-J-601 Saudi Aramco mewajibkan pematuhan IEC 61511 untuk semua sistem keselamatan proses baharu. SIL 3 ialah piawai lalai untuk pengesanan kebakaran dan gas, penutupan kecemasan dan sistem perlindungan tekanan berintegriti tinggi (HIPPS). Honeywell Safety Manager dan Triconex mendominasi pangkalan yang dipasang, dengan Yokogawa ProSafe-RS mendapat bahagian dalam projek yang diterajui EPC Jepun. Jika anda membekalkan peralatan kepada projek Aramco, peruntukkan bajet untuk PLC keselamatan yang diperakui dan penilaian keselamatan berfungsi (FSA) oleh jurutera yang diperakui TÜV sebelum pentauliahan.

Eropah: Penandaan CE kini memerlukan kitaran hayat keselamatan yang didokumenkan untuk jentera. Peraturan Jentera EU 2023/1230 (berkuat kuasa 2027, tetapi pembekal sudah mematuhi) mengetatkan keperluan untuk robot mudah alih autonomi dan robot kolaboratif — kedua-duanya sangat bergantung pada PLC keselamatan untuk pemantauan kelajuan dan pemisahan. Siemens F-CPU mendominasi di Jerman dan Eropah Timur. Pilz PSS 4000 ialah pilihan utama untuk aplikasi keselamatan tulen.

Amerika: OSHA PSM (Pengurusan Keselamatan Proses, 29 CFR 1910.119) memacu penggunaan dalam penapisan dan bahan kimia. GuardLogix mempunyai daya tarikan yang kukuh kerana loji sudah mempunyai ekosistem Rockwell. Peralihan ke arah keselamatan bersepadu (logik keselamatan dalam platform yang sama dengan kawalan standard) telah dipercepatkan sejak Studio 5000 Logix Designer Rockwell menjadikan pengaturcaraan keselamatan hampir sama dengan pengaturcaraan standard.

Menyelam Dalam

Mengira Tahap SIL yang Tepat

Anda tidak meneka pada tahap SIL. Anda mengiranya menggunakan Analisis Lapisan Perlindungan (LOPA). Kaedahnya:

1. Mulakan dengan kekerapan peristiwa permulaan — Berapa kerapkah keadaan berbahaya timbul? Tekanan berlebihan reaktor mungkin berlaku sekali setahun. Kesesakan penghantar mungkin berlaku sekali sehari.

2. Tentukan risiko yang boleh diterima — Apakah kekerapan maksimum yang boleh diterima bagi hasil yang berbahaya? Bagi kematian, sasaran industri biasa adalah antara 1 × 10⁻⁴ hingga 1 × 10⁻⁶ setahun.

3. Kirakan lapisan perlindungan bukan SIS — Injap pelega, tindak balas pengendali, pembendungan fizikal. Setiap lapisan perlindungan bebas (IPL) mengurangkan risiko sebanyak satu faktor.

4. Jurang yang tinggal adalah apa yang mesti diliputi oleh fungsi instrumen keselamatan anda — Jurang tersebut menentukan tahap SIL yang diperlukan.

Contoh mudah: Peristiwa tekanan berlebihan berlaku sekali setiap 10 tahun. Tanpa perlindungan, ia akan membunuh pengendali. Risiko yang boleh diterima ialah 1 × 10⁻⁴ setahun (satu kematian dalam 10,000 tahun). Injap pelega memberikan pengurangan risiko 100× (satu IPL). Baki risiko: 1 × 10⁻³ setahun. Untuk mencapai 1 × 10⁻⁴, anda memerlukan faktor 10 lagi — iaitu SIL 1. PLC keselamatan anda mesti menutup injap masuk dalam masa keselamatan proses apabila tekanan melebihi titik henti.

Ujian Bukti: Bahagian Yang Tiada Siapa Rancang

PLC keselamatan yang diperakui SIL anda mempunyai kebarangkalian kegagalan atas permintaan yang dinilai (PFDavg). Penarafan tersebut mengandaikan anda menguji sistem secara berkala — biasanya setiap 12 bulan. Ujian bukti mengesahkan keseluruhan rantaian keselamatan daripada sensor hingga elemen akhir. Ia menemui kegagalan yang terlepas pandang oleh diagnostik automatik.

Ujian bukti pada PLC keselamatan melibatkan:

· Memaksa input keselamatan dan mengesahkan tindak balas output keselamatan yang betul

· Menguji masa tindak balas (mestilah dalam masa keselamatan proses)

· Mengesahkan perlindungan diagnostik berfungsi (suntik kerosakan, sahkan PLC mengesan dan melaporkannya)

· Menguji litar pengawas (pemasa perkakasan yang memaksa keadaan selamat jika pemproses keselamatan macet)

Jadualkan ujian bukti semasa penutupan yang dirancang. Dokumentasikan setiap keputusan ujian. Dokumentasi adalah bukti anda sekiranya siasatan insiden mempersoalkan sama ada sistem keselamatan diselenggara mengikut spesifikasi keperluan keselamatan.

Keselamatan Siber Bertemu Keselamatan Fungsian

NIS2 di Eropah memerlukan sistem berkaitan keselamatan dilindungi daripada ancaman siber. PLC keselamatan yang disambungkan ke rangkaian loji yang tidak bersegmen tidak selamat — bukan kerana PLC akan gagal, tetapi kerana stesen kerja kejuruteraan yang terjejas boleh memuat turun program keselamatan yang diubah suai yang melumpuhkan perlindungan.

Model pertahanan mendalam untuk PLC keselamatan:

· Segmentasi rangkaian: PLC Keselamatan pada segmen rangkaian keselamatan khusus, di-firewall daripada rangkaian kawalan loji

· Pengurusan perubahan: Semua pengubahsuaian program keselamatan memerlukan kelulusan yang didokumenkan, pengesahan bebas dan ujian fungsian

· Integriti firmware: Firmware PLC Keselamatan mesti ditandatangani secara digital dan disahkan semasa but

· Keselamatan fizikal: Suis kekunci PLC keselamatan ada sebabnya. Gunakannya

Harga & Ketersediaan

· CPU Keselamatan Omron NX-SL3300 SIL 3: $1,200–$1,800 USD; masa kitaran tugas keselamatan 10–20 ms; disepadukan dengan platform I/O siri NX

· Allen-Bradley 1756-L82ES GuardLogix SIL 3: $12,000–$18,000 USD; menyokong keselamatan bersepadu dan kawalan standard dalam satu pengawal

· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: $6,000–$9,000 USD; Portal TIA bersepadu; F-CPU dengan PROFIsafe melalui PROFINET

· Pengurus Keselamatan Honeywell SIL 3: Harga semasa permohonan (biasanya $25,000+ untuk penyelesai logik sahaja); seni bina TMR; diutamakan oleh pengendali minyak dan gas utama

· Nota: Semua harga tidak termasuk modul I/O keselamatan, yang biasanya menambah 30–50% kepada jumlah kos perkakasan. Masa tunggu: 4–12 minggu bergantung pada platform. Relay keselamatan dan PLC keselamatan legasi yang dihentikan (Pilz PNOZmulti Classic, GuardLogix lama) masih tersedia di tztechio.com/industrial-automation

Soalan Lazim

Adakah saya memerlukan PLC keselamatan yang berasingan, atau bolehkah saya menggunakan PLC standard saya?

Jika PLC standard anda dinilai selamat (seperti GuardLogix atau S7-1500F), logik keselamatan berjalan dalam partition berasingan pada perkakasan yang sama — berasingan secara fungsi, bersepadu secara fizikal. Jika PLC standard anda ialah pengawal standard tanpa pensijilan keselamatan, anda memerlukan PLC keselamatan yang berasingan. Jangan sekali-kali menjalankan logik keselamatan pada pengawal yang tidak diperakui.

Apakah perbezaan antara SIL dan PL?

SIL (Tahap Integriti Keselamatan) berasal daripada IEC 61508/61511 dan terpakai kepada industri proses dan sistem keselamatan yang kompleks. PL (Tahap Prestasi, a–e) berasal daripada ISO 13849 dan terpakai kepada jentera. Ia bertindih: PL d secara kasarnya bersamaan dengan SIL 2, PL e secara kasarnya bersamaan dengan SIL 3. Jika anda memperakui mesin untuk pasaran Eropah, anda memerlukan PL. Jika anda mereka bentuk sistem keselamatan proses, anda memerlukan SIL. Sesetengah PLC keselamatan diperakui untuk kedua-duanya.

Bolehkah PLC keselamatan Omron disepadukan dengan PLC bukan standard Omron?

Ya. CPU keselamatan Omron NX-SL menyampaikan data keselamatan melalui EtherCAT menggunakan FSoE (Fail-Safe melalui EtherCAT). Mana-mana master EtherCAT yang menyokong FSoE boleh bertukar data keselamatan dengan NX-SL. Ini bermakna anda boleh menggunakan CPU keselamatan Omron dengan PLC standard Beckhoff, atau sebaliknya, selagi kedua-duanya menyokong protokol FSoE.

Berapa kerapkah PLC keselamatan perlu diganti?

PLC Keselamatan mempunyai "jangka hayat berguna" yang didokumenkan dalam manual keselamatannya, biasanya 20 tahun dari tarikh pembuatan. Selepas ini, kadar kegagalan kebarangkalian dalam pengiraan SIL tidak lagi dijamin. Banyak loji menjalankan PLC keselamatan melebihi 20 tahun, tetapi jika berlaku insiden, siasatan akan mendapati bahawa peralatan tersebut melebihi jangka hayatnya yang diperakui. Bajetkan untuk penggantian pada tanda 15 tahun untuk memberi masa untuk migrasi sebelum tarikh akhir.

Adakah keselamatan berfungsi diperlukan untuk loji rawatan air di Timur Tengah?

Bukan secara universal, tetapi ia menjadi standard. Projek penyahgaraman dan rawatan air sisa utama di Arab Saudi, UAE dan Qatar kini menetapkan SIL 2 untuk dos klorin dan SIL 2–3 untuk perlindungan membran RO tekanan tinggi. Jika projek tersebut mempunyai rujukan spesifikasi Aramco atau ADNOC, pematuhan IEC 61511 adalah wajib tanpa mengira industri.

--------------------------------------------------------------------------------------------------------------

TZ Tech ialah pembekal profesional untuk automasi perindustrian dan bahagian elektrik, serta beberapa alat ganti instrumentasi dan telekomunikasi. Kami kebanyakannya menjual stok pengedar sedia ada, dengan harga yang kompetitif dan masa tunggu yang singkat. Malah alat ganti yang telah dihentikan pengeluarannya juga boleh kami bekalkan kerana kami mempunyai inventori yang besar di sini.

Kami faham apa yang anda bimbangkan, jadi kami akan memastikan kualitinya. Kami menapis komponen yang anda perlukan dengan ketat, jadi anda tidak perlu risau tentang sebarang masalah kualiti dengan barang yang anda terima. Untuk alat ganti khusus yang telah lama dihentikan pengeluarannya, kami akan memaklumkan anda keadaan sebenar barang tersebut dengan ikhlas. Semua alat ganti baharu akan kami sokong dengan jaminan 1 tahun.

Jika anda memerlukan sebarang alat ganti yang berkaitan, sila hantarkan pertanyaan. Kakitangan kami akan membantu dalam masa 6 jam (kecuali hujung minggu di sini)