2024年5月20日发(作者：税怡乐)

ePLANP8V2.0中一个不得不说的功能（安全参考）

ePLAN Electric P8 2.0中一个不得不说的功能（安全参）

为了说明＂安全参考＂这个功能，先来了解下＂功能安全

（functional safety）＂这个自动化领域相对较时髦的术语。以下引

用了＂北京机械工业仪器仪表综合技术经济研究所的邓意先生＂在＂

第七届工业仪表与自动化学术会议＂上的报告，我是从维基百科上看

到的。

0 引言

随着我国工业的发展和国外先进技术的引进，功能安全这个概念

给越来越多的为人所知。功能安全这个词汇源于2000年2 月，国际电

工委员会（IEC）发布的功能安全基础标准IEC61508。这个标准解决

了困扰多年对复杂安全系统功能安全保障的理论与实践问题。其首次

提出的安全完整性等级（SIL），并已逐渐成为各领域内合同的必备条

款。IEC61508作为功能安全的基础标准，可应用于机械制造、流程工

业、运输、医药等所有领域。该标准使用的最好方法是在各工业领域

制定相应的功能安全标准时引用它。但同时，如领域中没有相应标准，

它也可直接应用于各领域。

1 功能安全的概念

为了理解功能安全这个概念，我们先从安全的定义开始。安全是

把身体、人身健康和直接或者间接对财产或者环境的损害从不可接受

的风险解放出来。功能安全是依靠一个系统或者设备对其输入正常响

应而获得全面安全的一部分。它与系统能否正确执行其设计功能相关。

例如过热保护装置，是指将一个热传感器用在电动机线圈里，在过热

的时候可以停止电动机运转，这就是功能安全的一个实例。

2 安全完整性等级的概念

在 1996 年，随着工业事故数量的增加，美国仪表协会（ISA）

（曹大平注:ISA - the Instrumentation，system and Automation

Society）颁布法律制定了一个标准来分级规范美国的工业过程；IEC

又制定了工业国际标准IEC61508 来量化可编程电子领域的功能安全。

这两个标准结合起来共同规范工业生产，还发现一旦把 SIL 这些主要

决定因素最优化，就会额外提供更多的可靠性和有关过程的正常运行

时间，还说明并且描述了检测仪表系统的安全性和可靠性以及绘制出

安全性和可靠性之间的对比关键部分。

安全完整性等级（SIL）是用来衡量一个特定过程的安全性指标。

需要明确最终用户对用这些方法来保障安全性的期望有多大，如果功

能失效了会发生什么情况？这些衡量的细节部分都在 IEC 61508、 IEC

61511、JIS C 0508和 ISA SP84。01 等这些标准里面给出了描述。

标准指示不能根据个别产品来测定 SIL。工业过程的个别构成组件，例

如仪表使用方面，只能在特定的 SIL 环境里认证和使用。对工业过程

SIL 的评估应基于危险的安全分析（RBSA）。RBSA 的任务是评价一

个工业过程的安全风险，将其量化，并把这些风险分类成可接受和不

可接受两部分。可接受的风险是那些能够证明在思想上，财政上，或

其他方面是合理的。相反的，不可接受的风险是那些推论太大或者花

销巨大的。不管怎么样，风险是能够判断的，其目的是为了达到工业

安全生产。

现在我们对安全有了初步的认识，那么EPLAN 中的＂安全参考＂

与＂功能安全＂有什么关系呢?

在欧美，＂安全＂已经深入人心，电气设备或产品必须进行安全

认证。在欧洲地区进行销售的设备需要进行CE认证；而在北美地区销

售的设备需要进行UL认证，这都会涉及到对系统的安全性能检测，其

目的是确保设计和生产的设备能够达到相应的安全等级。

要实现系统或设备的＂功能安全＂，设计时通常从两个方面来完

成，其一是系统本身的冗余设计；其二是采用安全元器件，比如安全

PLC、安全总线、安全继电器、安全输入输出元件（安全门联锁、安全

光电开关、安全光栅或光幕）等。

冗余设计是指通过多重备份来增加系统的可靠性。比如，用于电

机控制的接触器主触点，有可能因为某种原因会发生触点熔接，无法

分断主回路导致风险。此时可以用两个接触器的主触点进行串联控制

电机，这样风险将会大大地降低。又如，为了防止操作人员在尚未停

稳的转动设备中添加或取放物品，采用双按钮控制方式，也就是两只

手必须同时按下相距一定距离的按钮才能让设备开门，避免手接

触旋转设备，也就降低了安全风险。

而采用安全器件则能有效防止器件本身失效带来的风险。比如安

全PLC，它就有自侦测故障的功能。常规PLC内部CPU的数量有一个

或多个，作用是单独或多CPU 系统协同处理数据，一旦发生程序异常

或硬件故障，输出结果将难以预料；安全PLC的CPU至少有两个或多

个，两个CPU的功能是分别执行同一用户程序，然后对执行结果进行

比较，如果比较的结果是一致的，就输出这个结果，如果是不一致的，

选择安全的结果输出。此外，两个CPU还可以互相监测，自行发现异

常，确保设备的安全。又如安全继电器，它是由数个继电器与电路组

合而成，为的是要能互补彼此的异常缺陷，达到正确且低误动作的继

电器完整功能，使其失误和失效值降低。安全继电器在内部出现触点

熔接的故障情况下，也能够把电源安全的从负载断开。同时通过内部

冗余、强制断开触点的结构、自检测等功能，检测内部电路和外部输

入和输出控制回路的故障情况。

在EPLAN 2.0中，元件的属性对话框的＂符号功能数据＂选项

卡下，新增加了一个功能选项＂安全参考（Relevant to safety）＂，

如下图所示；部件库中，定义部件的功能模板时也可以设置＂安全参

考＂。这个功能是随同2010年修订的IEC61508增加的。在

IEC61508中，使用的术语是＂功能安全（Functional Safety）＂。

激活＂安全参考＂选项，表明设计过程中所使用的部件，是通过

了专门的认证公司（如TUV、FM）按照国际安全标准（如IEC61508

（详细信息见后面）、IEC61511）等进行的安全完整性等级判定

（SIL）。在进行整机的安全认证时，这些具有＂安全参考＂的元件无

需再次认证（但要提供相关证明），而不具有＂安全参考＂的元件需

要随同整机进行测试。在EPLAN 中，为相应的元件正确地设置＂安全

参考＂，最终生成的元器件的部件明细表中可以将元器件标示出来，

方便认证过程中的资料审定。

2024年5月20日发(作者：税怡乐)

ePLANP8V2.0中一个不得不说的功能（安全参考）

ePLAN Electric P8 2.0中一个不得不说的功能（安全参）

为了说明＂安全参考＂这个功能，先来了解下＂功能安全

（functional safety）＂这个自动化领域相对较时髦的术语。以下引

用了＂北京机械工业仪器仪表综合技术经济研究所的邓意先生＂在＂

第七届工业仪表与自动化学术会议＂上的报告，我是从维基百科上看

到的。

0 引言

随着我国工业的发展和国外先进技术的引进，功能安全这个概念

给越来越多的为人所知。功能安全这个词汇源于2000年2 月，国际电

工委员会（IEC）发布的功能安全基础标准IEC61508。这个标准解决

了困扰多年对复杂安全系统功能安全保障的理论与实践问题。其首次

提出的安全完整性等级（SIL），并已逐渐成为各领域内合同的必备条

款。IEC61508作为功能安全的基础标准，可应用于机械制造、流程工

业、运输、医药等所有领域。该标准使用的最好方法是在各工业领域

制定相应的功能安全标准时引用它。但同时，如领域中没有相应标准，

它也可直接应用于各领域。

1 功能安全的概念

为了理解功能安全这个概念，我们先从安全的定义开始。安全是

把身体、人身健康和直接或者间接对财产或者环境的损害从不可接受

的风险解放出来。功能安全是依靠一个系统或者设备对其输入正常响

应而获得全面安全的一部分。它与系统能否正确执行其设计功能相关。

例如过热保护装置，是指将一个热传感器用在电动机线圈里，在过热

的时候可以停止电动机运转，这就是功能安全的一个实例。

2 安全完整性等级的概念

在 1996 年，随着工业事故数量的增加，美国仪表协会（ISA）

（曹大平注:ISA - the Instrumentation，system and Automation

Society）颁布法律制定了一个标准来分级规范美国的工业过程；IEC

又制定了工业国际标准IEC61508 来量化可编程电子领域的功能安全。

这两个标准结合起来共同规范工业生产，还发现一旦把 SIL 这些主要

决定因素最优化，就会额外提供更多的可靠性和有关过程的正常运行

时间，还说明并且描述了检测仪表系统的安全性和可靠性以及绘制出

安全性和可靠性之间的对比关键部分。

安全完整性等级（SIL）是用来衡量一个特定过程的安全性指标。

需要明确最终用户对用这些方法来保障安全性的期望有多大，如果功

能失效了会发生什么情况？这些衡量的细节部分都在 IEC 61508、 IEC

61511、JIS C 0508和 ISA SP84。01 等这些标准里面给出了描述。

标准指示不能根据个别产品来测定 SIL。工业过程的个别构成组件，例

如仪表使用方面，只能在特定的 SIL 环境里认证和使用。对工业过程

SIL 的评估应基于危险的安全分析（RBSA）。RBSA 的任务是评价一

个工业过程的安全风险，将其量化，并把这些风险分类成可接受和不

可接受两部分。可接受的风险是那些能够证明在思想上，财政上，或

其他方面是合理的。相反的，不可接受的风险是那些推论太大或者花

销巨大的。不管怎么样，风险是能够判断的，其目的是为了达到工业

安全生产。

现在我们对安全有了初步的认识，那么EPLAN 中的＂安全参考＂

与＂功能安全＂有什么关系呢?

在欧美，＂安全＂已经深入人心，电气设备或产品必须进行安全

认证。在欧洲地区进行销售的设备需要进行CE认证；而在北美地区销

售的设备需要进行UL认证，这都会涉及到对系统的安全性能检测，其

目的是确保设计和生产的设备能够达到相应的安全等级。

要实现系统或设备的＂功能安全＂，设计时通常从两个方面来完

成，其一是系统本身的冗余设计；其二是采用安全元器件，比如安全

PLC、安全总线、安全继电器、安全输入输出元件（安全门联锁、安全

光电开关、安全光栅或光幕）等。

冗余设计是指通过多重备份来增加系统的可靠性。比如，用于电

机控制的接触器主触点，有可能因为某种原因会发生触点熔接，无法

分断主回路导致风险。此时可以用两个接触器的主触点进行串联控制

电机，这样风险将会大大地降低。又如，为了防止操作人员在尚未停

稳的转动设备中添加或取放物品，采用双按钮控制方式，也就是两只

手必须同时按下相距一定距离的按钮才能让设备开门，避免手接

触旋转设备，也就降低了安全风险。

而采用安全器件则能有效防止器件本身失效带来的风险。比如安

全PLC，它就有自侦测故障的功能。常规PLC内部CPU的数量有一个

或多个，作用是单独或多CPU 系统协同处理数据，一旦发生程序异常

或硬件故障，输出结果将难以预料；安全PLC的CPU至少有两个或多

个，两个CPU的功能是分别执行同一用户程序，然后对执行结果进行

比较，如果比较的结果是一致的，就输出这个结果，如果是不一致的，

选择安全的结果输出。此外，两个CPU还可以互相监测，自行发现异

常，确保设备的安全。又如安全继电器，它是由数个继电器与电路组

合而成，为的是要能互补彼此的异常缺陷，达到正确且低误动作的继

电器完整功能，使其失误和失效值降低。安全继电器在内部出现触点

熔接的故障情况下，也能够把电源安全的从负载断开。同时通过内部

冗余、强制断开触点的结构、自检测等功能，检测内部电路和外部输

入和输出控制回路的故障情况。

在EPLAN 2.0中，元件的属性对话框的＂符号功能数据＂选项

卡下，新增加了一个功能选项＂安全参考（Relevant to safety）＂，

如下图所示；部件库中，定义部件的功能模板时也可以设置＂安全参

考＂。这个功能是随同2010年修订的IEC61508增加的。在

IEC61508中，使用的术语是＂功能安全（Functional Safety）＂。

激活＂安全参考＂选项，表明设计过程中所使用的部件，是通过

了专门的认证公司（如TUV、FM）按照国际安全标准（如IEC61508

（详细信息见后面）、IEC61511）等进行的安全完整性等级判定

（SIL）。在进行整机的安全认证时，这些具有＂安全参考＂的元件无

需再次认证（但要提供相关证明），而不具有＂安全参考＂的元件需

要随同整机进行测试。在EPLAN 中，为相应的元件正确地设置＂安全

参考＂，最终生成的元器件的部件明细表中可以将元器件标示出来，

方便认证过程中的资料审定。