把安全功能集成到標(biāo)準(zhǔn)開(kāi)發(fā)環(huán)境

摘要
        獨(dú)立的PLC開(kāi)放組織，連同其成員和外部安全有關(guān)的國(guó)際組織，在 IEC 61131-3 開(kāi)發(fā)環(huán)境下，一起定義了安全相關(guān)的規(guī)范。有了它，就可以在專用的軟件工具中，支持安全規(guī)范，也就是說(shuō)，把安全相關(guān)功能集成到軟件的開(kāi)發(fā)工具中。這樣的話，在邏輯控制和運(yùn)動(dòng)控制的應(yīng)用中，還可以結(jié)合進(jìn)安全相關(guān)功能。這種結(jié)合可以幫助開(kāi)發(fā)者把安全相關(guān)功能集成到系統(tǒng)中，甚至從開(kāi)發(fā)周期的開(kāi)始。而且，它還有助于理解安全安全問(wèn)題，以及減少認(rèn)證的時(shí)間和費(fèi)用。

機(jī)床制造企業(yè)面臨著一個(gè)艱難的世界

        在歐洲的機(jī)床制造商面對(duì)大約300 個(gè)安全相關(guān)標(biāo)準(zhǔn)，這使得制造商、特別是較小的機(jī)械制造商不可能知道它們?nèi)?，或者知道也無(wú)法能夠正確地執(zhí)行它們。然而，最終他們?nèi)砸獙?duì)他們產(chǎn)品的安全相關(guān)問(wèn)題負(fù)責(zé)。結(jié)果是使用者的安全風(fēng)險(xiǎn)降低，特別當(dāng)相關(guān)的立法形成了嚴(yán)厲的約束。而對(duì)設(shè)備供應(yīng)商，更增加了他們的責(zé)任。

       在公司內(nèi)部的實(shí)際情況是，不同的人員有著不同的背景，使用著不同的工具，開(kāi)發(fā)應(yīng)用程序、安全程序和系統(tǒng)程序。安全功能通常是在最后“加入”系統(tǒng)，所做的測(cè)試也非常有限。這種情況增加了這個(gè)組織持續(xù)發(fā)展的風(fēng)險(xiǎn)。

       政府的要求增加了復(fù)雜性。比如，美國(guó)基于FDA－食品和藥品管理委員會(huì)，制定了嚴(yán)格的規(guī)責(zé)必須遵守。不遵從規(guī)范的制造商，可能遭到嚴(yán)厲的財(cái)政處罰，又削弱組織的可持續(xù)發(fā)展。  

標(biāo)準(zhǔn)加速了安全規(guī)范的實(shí)施

        有這么多的標(biāo)準(zhǔn)可以使用，則需要有人幫助用戶實(shí)施它們，而且不會(huì)約束原有的功能和性能，也不能增加費(fèi)用。集成安全規(guī)范，要從產(chǎn)品開(kāi)發(fā)周期的一開(kāi)始，就應(yīng)該把它加入進(jìn)來(lái)。

        這些區(qū)域與 PLC開(kāi)放組織相關(guān)，也得到了多個(gè)技術(shù)委員會(huì)的支持和貢獻(xiàn)。功能的標(biāo)準(zhǔn)化、集成化和支持軟件工具，從開(kāi)始階段就要幫助程序員在他們的應(yīng)用中集成安全功能。

       為了達(dá)到這個(gè)目的，PLC開(kāi)放組織技術(shù)委員會(huì)的工作分為兩個(gè)層次： 
       一、安全功能的外觀和感覺(jué)的標(biāo)準(zhǔn)化； 
       二、在開(kāi)發(fā)環(huán)境中融合安全標(biāo)準(zhǔn)。  

一、外觀和感覺(jué)的標(biāo)準(zhǔn)化

        為了幫助用戶使用安全相關(guān)功能，標(biāo)準(zhǔn)需要確認(rèn)在用戶感覺(jué)舒服的地方加入，使得用戶能夠容易接受這種工作方式。為了達(dá)到這個(gè)目標(biāo)，需要在安全功能的外觀和感覺(jué)標(biāo)準(zhǔn)化。以這種方式，安全功能才能很好地辨認(rèn)和使用，而不依賴于具體應(yīng)用的系統(tǒng)。這樣就不需要進(jìn)行重新培訓(xùn)，而且趨向于創(chuàng)建專用的安全功能時(shí)，隱藏的風(fēng)險(xiǎn)減少了。

       同時(shí)，它加入了認(rèn)證機(jī)構(gòu)的證明。因此，指定、以及檢查安全功能變得非常容易，而且非?？焖?，風(fēng)險(xiǎn)較少，成本較低。

       在高層集成安全功能，使得它較少地依靠底層的硬件結(jié)構(gòu)。有了這些，人們能夠使用相同的功能用于不同的硬件系統(tǒng)，系統(tǒng)包含安全輸入和安全輸出模塊，以及基于網(wǎng)絡(luò)的系統(tǒng)。在高層，執(zhí)行的細(xì)節(jié)能夠?qū)τ脩綦[藏，使得安全相關(guān)功能的執(zhí)行更容易和更便宜。

       為了支持這項(xiàng)工作， PLC開(kāi)放組織技術(shù)委員會(huì)定義了一個(gè)多層的方法：

       A．定義一套安全相關(guān)功能的功能和功能塊，包括一個(gè)外加的使用指南； 
       B．支持編程環(huán)境，包括語(yǔ)言和功能，結(jié)合安全相關(guān)開(kāi)發(fā)環(huán)境和編程指南，用     戶能夠創(chuàng)建安全相關(guān)應(yīng)用程序； 
       C．錯(cuò)誤處理和診斷。 
       這種完整的方法為用戶提供了一個(gè)整體統(tǒng)一的、和諧的應(yīng)用畫(huà)面。

[DividePage:NextPage]

A. 功能和功能塊

      PLC開(kāi)放組織第5技術(shù)委員會(huì)– 安全已經(jīng)確定了16 安全功能，它們由20個(gè)功能塊來(lái)表示。它們提供了在一個(gè)集成環(huán)境中，開(kāi)發(fā)認(rèn)證功能塊的基礎(chǔ)。 

所有功能塊列表如下：  

   
       下一步是要在多個(gè)平臺(tái)上執(zhí)行這些功能塊。在那個(gè)等級(jí)，這些功能塊 FB 要經(jīng)過(guò)獨(dú)立組織的認(rèn)證。因?yàn)槿绱?，要在更廣泛的軟件工具上支持標(biāo)準(zhǔn)化的外觀和感覺(jué) ，再加上舒適感覺(jué)，而且減少了創(chuàng)建自己功能的錯(cuò)誤。

       規(guī)范本身提供了對(duì)所有功能塊的統(tǒng)一描述。包括的元素有： 
       1.  應(yīng)用安全標(biāo)準(zhǔn)，并提供相關(guān)規(guī)范的參考；
       2.  接口描述，包括功能塊的名稱，和簡(jiǎn)短描述；
       3.  功能描述，包括安全狀態(tài)描述，以文字形式和圖形形式兩種方式，包括正常運(yùn)行和啟動(dòng)行為的描述； 
       4.  錯(cuò)誤檢測(cè)，帶外部信號(hào)、內(nèi)部信號(hào)和外部測(cè)試信號(hào)的描述； 
       5.   錯(cuò)誤行為； 
       6.   功能塊具體錯(cuò)誤和狀態(tài)編碼。
B. 編程環(huán)境的支持

        首先，有三個(gè)級(jí)別的用戶，具有不同經(jīng)驗(yàn)子集和授權(quán)來(lái)管理安全相關(guān)規(guī)范：
     ●基本 / 用戶級(jí) – 對(duì)應(yīng)于安全-應(yīng)用編程人員，使用特定的功能塊； 
     ●擴(kuò)展 / 專家級(jí) – 擴(kuò)展功能，具有自己定義和擴(kuò)展特殊功能塊的能力； 
     ●系統(tǒng)級(jí) – 對(duì)應(yīng)于（特定）功能塊的執(zhí)行。這個(gè)級(jí)別不在這里描述。

[DividePage:NextPage]

     不做過(guò)多的細(xì)節(jié)描述，我們把目光聚焦于第一組成員。為此，安全標(biāo)準(zhǔn) IEC 61508，第 7章，在首選的編程語(yǔ)言中，定義一個(gè)簡(jiǎn)集，用于不同的 SIL 等級(jí) (強(qiáng)烈推薦，推薦或者不推薦)?；谌绱?，這個(gè)組的首選語(yǔ)言是圖形語(yǔ)言功能塊FBD 和梯形圖LD，并且定義一個(gè)它們的子集。這些圖形語(yǔ)言提供了一種清晰的安全程序的概覽，并且由工具廠商可以實(shí)現(xiàn)對(duì)用戶更好的支持和指導(dǎo)。
       精減數(shù)據(jù)類型和聲明 (參見(jiàn) IEC 61131-3；表 10)

         精減功能和功能塊
         標(biāo)準(zhǔn)功能塊：(參見(jiàn) IEC 61131-3；表 22-30)

       標(biāo)準(zhǔn)功能塊：(參見(jiàn) IEC 61131-3；表 34-37)

  

C. 錯(cuò)誤處理和診斷
        一個(gè)透明和唯一的診斷觀念形成所有功能塊的基礎(chǔ)。為此，所有安全相關(guān)功能塊都有兩個(gè)錯(cuò)誤相關(guān)的輸出：錯(cuò)誤 Error 和診斷碼 DiagCode。這些信息為用戶應(yīng)用級(jí)提供了診斷目標(biāo)，而不是系統(tǒng)級(jí)和硬件級(jí)的診斷。

        在這一級(jí)，保證獨(dú)立于廠商的執(zhí)行，唯一診斷信息以一套每個(gè)功能塊預(yù)定義診斷碼的形式給用戶。如果功能塊內(nèi)部狀態(tài)沒(méi)有指出錯(cuò)誤(狀態(tài)機(jī))。一個(gè)錯(cuò)誤通過(guò)二進(jìn)制輸出（錯(cuò)誤）指出，我們可以通過(guò)診斷碼，重新找回在功能塊內(nèi)部和外部錯(cuò)誤的詳細(xì)信息。

        用于安全相關(guān)環(huán)境的規(guī)則是把系統(tǒng)切換到安全相關(guān)功能做為最高優(yōu)先級(jí)，然后切換具有足夠的時(shí)間用于診斷，可以從應(yīng)用程序或者從操作員界面得到相關(guān)信息。  

[DividePage:NextPage]

二、集成的標(biāo)準(zhǔn)步驟

      安全相關(guān)的功能通過(guò)提供的功能塊來(lái)表出，下一步就是：怎樣把功能塊結(jié)合到安全相關(guān)的程序中。在這個(gè)級(jí)別，軟件工具能夠幫助用戶如何進(jìn)行操作。

        這個(gè)部分內(nèi)容在PLC開(kāi)放組織中，也進(jìn)行了考慮。為了明確地區(qū)分安全相關(guān)信號(hào)和標(biāo)準(zhǔn)信號(hào)，定義了一個(gè)新的帶有診斷的“安全”數(shù)據(jù)類型。因此，編程人員能夠識(shí)別哪些信號(hào)是安全相關(guān)的，必須進(jìn)行特殊的處理。此外，因?yàn)檫@個(gè)診斷數(shù)據(jù)連接能夠自動(dòng)校驗(yàn)， 檢測(cè)任何沒(méi)有許可的標(biāo)準(zhǔn)信號(hào)和安全相關(guān)信號(hào)的連接，雖然 “安全”數(shù)據(jù)類型不能保證信號(hào)的狀態(tài)是否安全 （比如：外圍設(shè)備不正確的接線），但不管怎樣，使用一個(gè)管理工具可以使應(yīng)用程序?qū)崿F(xiàn)的錯(cuò)誤最少。 加之，當(dāng)發(fā)布應(yīng)用程序時(shí)，能夠清晰的分辨安全相關(guān)信號(hào)，簡(jiǎn)單而快速地進(jìn)行安全信號(hào)的校驗(yàn)。安全數(shù)據(jù)類型是在安全相關(guān)環(huán)境中的可應(yīng)用的數(shù)據(jù)類型，這些數(shù)據(jù)類型用于區(qū)分安全信號(hào)和非安全信號(hào)，也容易用于校驗(yàn)和確認(rèn)的目的。

        在編程環(huán)境中，支持安全相關(guān)數(shù)據(jù)類型，可能意味著： 
        ? 安全數(shù)據(jù)類型的顯示和表示不同 
        ? 編譯器支持安全的數(shù)據(jù)類型

        安全布爾SAFEBOOL是一種數(shù)據(jù)類型，用于安全相關(guān)的環(huán)境，并且代表了一個(gè)高級(jí)安全完整性等級(jí)。安全相關(guān)的變量與非安全相關(guān)變量是不同的，安全布爾SAFEBOOL作為安全系統(tǒng)中的布爾BOOL，但能夠包含更多的信息 （屬性）， 用于安全狀態(tài)和等級(jí)（包含類別/PL，SIL，PFD/PFH）。這些信息使用編程工具可以用于計(jì)算 SIL。

        控制系統(tǒng)在系統(tǒng)限制內(nèi)保證安全完整性等級(jí)。 SAFExx 變量代表一個(gè) "單個(gè)-通道"，不管內(nèi)部結(jié)構(gòu) (它們可以是1oo1，1oo2D，2oo2 或者 2oo3)。因此，這樣的控制系統(tǒng)，可以執(zhí)行帶有 SAFExx 輸入和輸出的功能塊 FB，而這些功能塊已經(jīng)通過(guò)認(rèn)證，特別關(guān)于SAFExx 信號(hào)的發(fā)生。

        在應(yīng)用級(jí)，基本上有（至少）兩種方法得到一個(gè)安全布爾 SAFEBOOL 變量：

        1．設(shè)備提供的安全數(shù)據(jù)類型，即可以是設(shè)備本身，也可以是操作系統(tǒng)或者固件。這包含在一個(gè)安全網(wǎng)絡(luò)中。
        2. 由應(yīng)用本身的安全輸入提供的數(shù)據(jù)（比如做為兩個(gè)安全單-通道輸入）
        用于安全布爾 SAFEBOOL 的安全值必須是假（FALSE）。應(yīng)用設(shè)計(jì)者確認(rèn)所有安全布爾 SAFEBOOL 變量在置位到假（FALSE）時(shí)的安全行為結(jié)果。在初始化和發(fā)現(xiàn)任何錯(cuò)誤時(shí)，安全布爾SAFEBOOL 變量置為假（FALSE）。

結(jié)合一般應(yīng)用和安全應(yīng)用

        在同一個(gè)環(huán)境下，把安全應(yīng)用集成進(jìn)一般應(yīng)用中，我們需要進(jìn)行兩者之間的數(shù)據(jù)交換。這需要超越診斷功能，它包括操作員的確認(rèn)，它能夠給出一般的狀態(tài)信息。當(dāng)然，從安全環(huán)境到操作應(yīng)用有不同的規(guī)則，反之也是。再有，安全相關(guān)軟件工具會(huì)幫助用戶避免錯(cuò)誤發(fā)生。

        在模型的左邊，指定了兩組輸入，在右邊有兩種水平的輸出。在中部，兩種環(huán)境是分開(kāi)的，兩者連接它們相關(guān)的輸入和輸出。 在安全和一般應(yīng)用的數(shù)據(jù)交換在中部實(shí)現(xiàn)。

        一般應(yīng)用可以不受限制訪問(wèn)安全輸入。在安全環(huán)境的非安全輸入的使用是有限制的，如非安全布爾輸入?yún)?shù)，比如一個(gè) ‘復(fù)位’，要限制與功能和另一個(gè)安全布爾參數(shù)用一個(gè)安全相關(guān)輸入。對(duì)于兩個(gè)輸出功能也是同樣的。 

[DividePage:NextPage]

在應(yīng)用中集成安全功能 – 改變觀念

     現(xiàn)在在實(shí)踐中，安全相關(guān)部分與一般應(yīng)用之間，通常有一個(gè)清晰的分割。這種分裂是由于不同的系統(tǒng)有不同的環(huán)境，不同的工具，和不同的人員。這種分裂結(jié)果最終源自安全規(guī)范，從一開(kāi)始沒(méi)有把安全看作為整個(gè)系統(tǒng)的一部分。這種清晰的分割不是安全規(guī)范的初衷，所以這里需要改變組織結(jié)構(gòu)。

       而且，正在進(jìn)行的技術(shù)創(chuàng)新提供了當(dāng)今安全認(rèn)可的數(shù)字通信總線。支持這一趨勢(shì)，從硬接線系統(tǒng)朝著基于軟件解決方案的轉(zhuǎn)移?？梢援?huà)出一條平行線，從硬接線的繼電器向可編程控制器的方向移動(dòng)，這個(gè)趨勢(shì)當(dāng)然包括相關(guān)人員的觀念上的改變。一個(gè)變化需要廣泛的支持，從整個(gè)工業(yè)，到來(lái)自大學(xué)和院校的支持，以及認(rèn)證和規(guī)范機(jī)構(gòu)，最終還需要 – 時(shí)間去改變。

結(jié)束語(yǔ)

        PLC開(kāi)放組織被認(rèn)為是IEC61131－3的堅(jiān)決擁躉者，他們提出的功能塊模型，為眾多自動(dòng)化編程工具開(kāi)發(fā)商所參考和模仿。甚至一個(gè)編程工具與其兼容或形似的程度就代表了這個(gè)產(chǎn)品的開(kāi)放程度。

        針對(duì)安全問(wèn)題的挑戰(zhàn)，PLC開(kāi)放組織專門成立了第五技術(shù)委員會(huì)，為開(kāi)發(fā)商和用戶提供了一套－安全變量類型、安全標(biāo)準(zhǔn)功能塊和安全特定功能塊的參考模型，可以用于安全相關(guān)應(yīng)用的開(kāi)發(fā)。另外，PLC開(kāi)放組織也極力推薦把安全相關(guān)功能集成到標(biāo)準(zhǔn)的開(kāi)發(fā)環(huán)境中，因?yàn)檫@樣可以為用戶提供更多的益處，如：
        1． 為用戶節(jié)省了購(gòu)買專門用于安全相關(guān)應(yīng)用的軟件；
        2． 由于提供了與常規(guī)應(yīng)用相同的編程環(huán)境，所以減少了用戶對(duì)安全相關(guān)應(yīng)用的陌生感；
        3． 易于安全相關(guān)標(biāo)準(zhǔn)和規(guī)范的實(shí)施。

        在今后的項(xiàng)目中，不會(huì)再把安全部分當(dāng)作項(xiàng)目結(jié)尾和收工時(shí)的點(diǎn)綴，而是從項(xiàng)目的開(kāi)始，就把安全概念融入到整個(gè)的項(xiàng)目之中了。