Dilema yang Dihadapi Setiap Pengurus Loji

Penarafan SIL sistem keselamatan PLC — carian itu sampai di sini kerana seseorang dalam organisasi anda baru sahaja diberikan dapatan audit pematuhan, spesifikasi projek yang memerlukan SIL 3 atau sebut harga untuk PLC keselamatan yang berharga 45% lebih tinggi daripada pengawal standard yang mereka bajetkan. Tiada siapa yang mahu kurang spesifikasi keselamatan dan mendapat laporan insiden. Tiada siapa yang mahu berbelanja lebih dan dikecam dalam semakan bajet. Artikel ini merangkumi apa yang sebenarnya dilakukan oleh PLC keselamatan, produk yang wujud dengan nombor bahagian sebenar dan cara membuat keputusan tanpa berjudi atau membazir wang.

---

Asas-asasnya

SIL (Tahap Integriti Keselamatan) mengukur pengurangan risiko mengikut IEC 61508. Terdapat empat tahap. SIL 1 (faktor pengurangan risiko 10–100) merangkumi risiko kecederaan ringan. SIL 2 (RRF 100–1,000) mengendalikan potensi kecederaan serius — ini adalah penarafan paling biasa dalam jentera umum. SIL 3 (RRF 1,000–10,000) terpakai di tempat kegagalan berisiko menyebabkan pelbagai kematian: ESD minyak dan gas, perlindungan reaktor kimia, keselamatan tekan berkelajuan tinggi. SIL 4 (RRF 10,000–100,000) hidup dalam nuklear, penerbangan dan kereta api — tiada PLC keselamatan perindustrian standard yang mendakwanya sendirian.

Jangan kelirukan SIL dengan PL (Tahap Prestasi) daripada ISO 13849. Peraturan jentera Eropah merujuk PL (a–e); industri proses menggunakan SIL. Pemetaan kasar: SIL 2 ≈ PLd, SIL 3 ≈ PLe. PLC keselamatan yang diperakui kepada SIL 3 biasanya memenuhi keperluan PLe, tetapi laluan dokumentasi dan metodologi penilaian berbeza.

PLC keselamatan berbeza daripada PLC standard dalam tiga cara. Pertama, pemproses dwi-saluran berjalan seiring dengan semakan silang — kedua-duanya mesti bersetuju tentang output dalam tetingkap percanggahan atau sistem akan mati. Kedua, setiap mod kegagalan yang diketahui menghasilkan keadaan selamat (tidak bertenaga) — ini diperakui, bukan diandaikan. Ketiga, memori program keselamatan membawa perlindungan checksum; kod rosak dikesan sebelum pelaksanaan. PLC standard dengan logik pengawas tidak dapat memberikan kebarangkalian kegagalan yang diperakui atas permintaan yang disediakan oleh PLC keselamatan bertaraf SIL. Jika aplikasi anda memerlukan SIL yang diperakui, PLC standard tidak layak.

---

Dunia Nyata

Lima platform mendominasi pemasangan PLC keselamatan:

Siemens S7-1500F: Varian F-CPU menjalankan program standard dan keselamatan dalam memori berpartisi. 6ES7516-3FN02-0AB0 (CPU 1516F-3 PN/DP, SIL 3, memori program 2 MB) dan 6ES7517-3FP00-0AB0 (CPU 1517F-3 PN/DP, prestasi lebih tinggi) dipasangkan dengan I/O selamat-gagal ET 200SP berbanding PROFIsafe. Siemens mendominasi pemasangan keselamatan Eropah dan Timur Tengah.

Allen-Bradley GuardLogix 5580: The 1756-L83ES (SIL 3 / PLe, memori pengguna 10 MB, memori keselamatan 1 GB) menyampaikan keselamatan melalui EtherNet/IP melalui CIP Safety. GuardLogix menerajui industri berat Amerika Utara — kilang penapisan, automotif, pulpa dan kertas. Studio 5000 mengendalikan logik standard dan keselamatan dalam satu projek.

Keselamatan Schneider Electric M580: BMEP584040S (CPU Keselamatan M580, SIL 3) menambah pemproses bersama keselamatan pada satah belakang M580 standard. Schneider menyasarkan industri proses hibrid — kimia, farmaseutikal, penjanaan kuasa — menggunakan EcoStruxure Control Expert.

Pilz PSS 4000: Pilz hanya membina pengawal keselamatan. PSS 4000 (SIL 3 / PLe) menggunakan protokol SafetyNET p dan mendominasi keselamatan tekan kompleks, perlindungan sel robotik dan pengurusan pembakar di mana kepakaran keselamatan yang mendalam penting.

ABB AC500-S: Pemproses bersama keselamatan pada platform AC500, diperakui SIL 3, menggunakan PROFIsafe berbanding PROFINET. ABB memposisikannya untuk aplikasi yang menggabungkan AC500 standard dan keselamatan — rawatan air, pengudaraan terowong, kawalan kren.

Pemasangan sebenar menunjukkan julatnya. Sebuah platform luar pesisir di Teluk Parsi menjalankan CPU Siemens S7-1500F untuk ESD kepala telaga di SIL 3 — perjalanan palsu menelan belanja $500,000–$2 juta, jadi ketersediaan adalah penting di samping keselamatan. Sebuah kilang penyetem automotif di Michigan menggunakan Allen-Bradley GuardLogix 1756-L83ES untuk perlindungan tekan dengan langsir ringan dan tikar keselamatan, menilai gangguan pancaran dan mengeluarkan arahan berhenti dalam masa 15 ms untuk memenuhi OSHA 1910.217. Sebuah kilang kimia Jerman menggunakan Schneider M580 Safety untuk perlindungan tekanan lampau dengan tiga pemancar berlebihan dalam seni bina pengundian 2oo3 — SIF mesti menutup injap penutup dalam masa keselamatan proses 2 saat.

---

DSelam dalam

Tiga protokol keselamatan memindahkan data keselamatan merentasi rangkaian loji. PROFIsafe menggunakan PROFINET sebagai protokol saluran hitam — rangkaian yang tidak dipercayai, lapisan keselamatan yang dipercayai dengan penomboran jujukan, CRC dan pengesahan alamat. Berasal daripada Siemens dan ABB. CIP Safety melanjutkan EtherNet/IP dengan pendekatan saluran hitam yang sama, berkemampuan penghala merentasi subnet. Berasal daripada Allen-Bradley GuardLogix. FSoE (FailSafe melalui EtherCAT) menggunakan bingkai EtherCAT secara langsung — terdapat terutamanya dalam konfigurasi Beckhoff TwinSAFE dan beberapa konfigurasi Pilz. Pilihan protokol mengikut pilihan platform; gerbang wujud untuk persekitaran campuran tetapi menambah kependaman.

Seni bina redundansi memperdagangkan keselamatan untuk ketersediaan. 1oo1 (saluran tunggal) adalah yang paling murah tetapi sebarang kerosakan menghentikan pengeluaran — boleh diterima untuk SIL 2 dengan gangguan palsu yang boleh diterima. 1oo2 (dua saluran, sama ada boleh terganggu) menyediakan keselamatan yang lebih tinggi tetapi masih mengalami gangguan pada sebarang gangguan tunggal. 2oo3 (tiga saluran, dua mesti bersetuju) mengekalkan keselamatan melalui satu kegagalan sambil mengelakkan gangguan palsu — standard dalam ESD minyak dan gas di mana ketersediaan mempunyai berat ekonomi. Sistem 2oo3 yang diperakui TÜV seperti Siemens S7-1500FH mengendalikan penyegerakan undi secara dalaman, tetapi kepelbagaian perkakasan diperlukan untuk mengelakkan kegagalan punca biasa.

Kitaran hayat keselamatan fungsian IEC 61511 mengawal keseluruhan sistem, bukan sahaja PLC. HAZOP/LOPA menentukan SIL sasaran. SRS mendokumenkan titik ranap, masa tindak balas dan tingkah laku penetapan semula. Pengesahan SIL mengira PFDavg untuk keseluruhan gelung — PLC keselamatan biasanya menyumbang kurang daripada 15% daripada jumlah kebarangkalian kegagalan; sensor dan elemen akhir mendominasi. Pengujian bukti pada selang masa yang ditetapkan (biasanya 12 bulan untuk fungsi proses SIL 3) secara langsung mempengaruhi PFDavg. Dan keselamatan siber mengikut IEC 62443 kini bersilang dengan keselamatan fungsian: penandatanganan perisian tegar, akses berasaskan peranan dan perubahan program keselamatan yang dijejaki audit adalah standard pada PLC keselamatan moden. PLC keselamatan yang terjejas tidak mempunyai penarafan SIL dalam apa jua erti kata yang bermakna.

---

Harga dan Ketersediaan

PLC Keselamatan menawarkan premium 30–50% berbanding PLC setara standard. 6ES7516-3FN02-0AB0 (S7-1500F) berharga $4,800–$5,600 berbanding $3,200–$3,800 untuk 1516-3 standard. 1756-L83ES GuardLogix berharga $7,200–$8,500 berbanding 1756-L83E standard pada harga $4,800–$5,600. I/O Keselamatan menambah 30–40% berbanding I/O standard.

Tempoh penghantaran pada pertengahan tahun 2026 masih dilanjutkan: 16–20 minggu untuk CPU Siemens S7-1500F dan Allen-Bradley GuardLogix. Pesan PLC keselamatan pada peringkat spesifikasi — menunggu sehingga pentauliahan menjamin jadual tercapai. tztechio.com mengekalkan stok keselamatan serantau untuk nombor bahagian keselamatan Siemens dan Allen-Bradley yang biasa di Timur Tengah. Semak tztechio.com/plc, tztechio.com/siemens dan tztechio.com/allen-bradley untuk ketersediaan semasa.

Soalan Lazim

S: Adakah saya benar-benar memerlukan PLC keselamatan, atau bolehkah saya menggunakan geganti keselamatan?

Satu atau dua fungsi keselamatan mudah — satu e-stop, satu langsir cahaya — sesuai dengan geganti keselamatan yang boleh dikonfigurasikan seperti Pilz PNOZ X atau Siemens 3SK1 dengan harga kurang daripada separuh kos. PLC keselamatan menjadi perlu dengan berbilang zon keselamatan, isyarat keselamatan yang bersilang antara mesin, logik keselamatan fleksibel yang berubah mengikut mod pengeluaran atau diagnostik yang mengenal pasti peranti tepat yang terpelantik. Jika anda memasang lebih daripada tiga geganti keselamatan ke dalam kenalan siri yang kusut, PLC keselamatan membayarnya sendiri dalam pendawaian yang dikurangkan dan pengubahsuaian yang lebih mudah.

S: SIL 2 vs. SIL 3 — apakah perbezaan praktikalnya?

SIL 3 kira-kira 10x kurang berkemungkinan gagal atas permintaan berbanding SIL 2. Ini diterjemahkan kepada perkakasan: SIL 2 mungkin menggunakan input saluran tunggal dengan diagnostik; SIL 3 memerlukan input dwi-saluran dengan pemeriksaan percanggahan dan kira-kira menggandakan kiraan I/O. Kebanyakan jentera (mesin cetak, robot, pembungkusan) memenuhi keperluan kawal selia di SIL 2 / PLd. Nyatakan SIL 3 kerana penilaian risiko anda menyatakan anda memerlukannya, bukan kerana ia kedengaran lebih selamat.

S: Bolehkah saya menambah keselamatan pada PLC standard sedia ada saya?

Tidak. PLC standard tidak mempunyai seni bina dwi-pemproses, pemacu output selamat gagal dan firmware yang diperakui. Anda boleh mengintegrasikan PLC keselamatan berasingan bersama pengawal standard anda — banyak loji melakukan perkara ini. Ia menambah kerumitan komunikasi tetapi berfungsi.

S: Adakah PLC keselamatan SIL 3 memerlukan sensor dan penggerak SIL 3?

Keseluruhan SIF — sensor, penyelesai logik, elemen akhir — mesti secara kolektif memenuhi SIL sasaran. PLC SIL 3 dengan sensor SIL 2 dan injap SIL 2 mungkin tidak mencapai SIL 3 secara keseluruhan. Pengiraan PFDavg menentukan perkara ini. Sensor SIL 2 dalam susunan pengundian 1oo2 atau 2oo3 boleh memenuhi SIL 3 bergantung pada selang ujian bukti dan nombor PFD komponen.

S: Berapa kerapkah saya perlu menguji bukti PLC keselamatan?

Selang masa biasa: 12 bulan untuk keselamatan proses SIL 3, 12–24 bulan untuk jentera. Ujian mesti menjalankan keseluruhan gelung — sensor melalui elemen akhir. Diagnostik dalaman PLC keselamatan meliputi lebih 99% kerosakan, tetapi peranti medan memerlukan ujian aktif.