把安全功能集成到标准开发环境

摘要
        独立的PLC开放组织，连同其成员和外部安全有关的国际组织，在 IEC 61131-3 开发环境下，一起定义了安全相关的规范。有了它，就可以在专用的软件工具中，支持安全规范，也就是说，把安全相关功能集成到软件的开发工具中。这样的话，在逻辑控制和运动控制的应用中，还可以结合进安全相关功能。这种结合可以帮助开发者把安全相关功能集成到系统中，甚至从开发周期的开始。而且，它还有助于理解安全安全问题，以及减少认证的时间和费用。

机床制造企业面临着一个艰难的世界

        在欧洲的机床制造商面对大约300 个安全相关标准，这使得制造商、特别是较小的机械制造商不可能知道它们全部，或者知道也无法能够正确地执行它们。然而，最终他们仍要对他们产品的安全相关问题负责。结果是使用者的安全风险降低，特别当相关的立法形成了严厉的约束。而对设备供应商，更增加了他们的责任。

       在公司内部的实际情况是，不同的人员有着不同的背景，使用着不同的工具，开发应用程序、安全程序和系统程序。安全功能通常是在最后“加入”系统，所做的测试也非常有限。这种情况增加了这个组织持续发展的风险。

       政府的要求增加了复杂性。比如，美国基于FDA－食品和药品管理委员会，制定了严格的规责必须遵守。不遵从规范的制造商，可能遭到严厉的财政处罚，又削弱组织的可持续发展。  

标准加速了安全规范的实施

        有这么多的标准可以使用，则需要有人帮助用户实施它们，而且不会约束原有的功能和性能，也不能增加费用。集成安全规范，要从产品开发周期的一开始，就应该把它加入进来。

        这些区域与 PLC开放组织相关，也得到了多个技术委员会的支持和贡献。功能的标准化、集成化和支持软件工具，从开始阶段就要帮助程序员在他们的应用中集成安全功能。

       为了达到这个目的，PLC开放组织技术委员会的工作分为两个层次： 
       一、安全功能的外观和感觉的标准化； 
       二、在开发环境中融合安全标准。  

一、外观和感觉的标准化

        为了帮助用户使用安全相关功能，标准需要确认在用户感觉舒服的地方加入，使得用户能够容易接受这种工作方式。为了达到这个目标，需要在安全功能的外观和感觉标准化。以这种方式，安全功能才能很好地辨认和使用，而不依赖于具体应用的系统。这样就不需要进行重新培训，而且趋向于创建专用的安全功能时，隐藏的风险减少了。

       同时，它加入了认证机构的证明。因此，指定、以及检查安全功能变得非常容易，而且非常快速，风险较少，成本较低。

       在高层集成安全功能，使得它较少地依靠底层的硬件结构。有了这些，人们能够使用相同的功能用于不同的硬件系统，系统包含安全输入和安全输出模块，以及基于网络的系统。在高层，执行的细节能够对用户隐藏，使得安全相关功能的执行更容易和更便宜。

       为了支持这项工作， PLC开放组织技术委员会定义了一个多层的方法：

       A．定义一套安全相关功能的功能和功能块，包括一个外加的使用指南； 
       B．支持编程环境，包括语言和功能，结合安全相关开发环境和编程指南，用     户能够创建安全相关应用程序； 
       C．错误处理和诊断。 
       这种完整的方法为用户提供了一个整体统一的、和谐的应用画面。

[DividePage:NextPage]

A. 功能和功能块

      PLC开放组织第5技术委员会– 安全已经确定了16 安全功能，它们由20个功能块来表示。它们提供了在一个集成环境中，开发认证功能块的基础。 

所有功能块列表如下：  

   
       下一步是要在多个平台上执行这些功能块。在那个等级，这些功能块 FB 要经过独立组织的认证。因为如此，要在更广泛的软件工具上支持标准化的外观和感觉 ，再加上舒适感觉，而且减少了创建自己功能的错误。

       规范本身提供了对所有功能块的统一描述。包括的元素有： 
       1.  应用安全标准，并提供相关规范的参考；
       2.  接口描述，包括功能块的名称，和简短描述；
       3.  功能描述，包括安全状态描述，以文字形式和图形形式两种方式，包括正常运行和启动行为的描述； 
       4.  错误检测，带外部信号、内部信号和外部测试信号的描述； 
       5.   错误行为； 
       6.   功能块具体错误和状态编码。
B. 编程环境的支持

        首先，有三个级别的用户，具有不同经验子集和授权来管理安全相关规范：
     ●基本 / 用户级 – 对应于安全-应用编程人员，使用特定的功能块； 
     ●扩展 / 专家级 – 扩展功能，具有自己定义和扩展特殊功能块的能力； 
     ●系统级 – 对应于（特定）功能块的执行。这个级别不在这里描述。

[DividePage:NextPage]

     不做过多的细节描述，我们把目光聚焦于第一组成员。为此，安全标准 IEC 61508，第 7章，在首选的编程语言中，定义一个简集，用于不同的 SIL 等级 (强烈推荐，推荐或者不推荐)。基于如此，这个组的首选语言是图形语言功能块FBD 和梯形图LD，并且定义一个它们的子集。这些图形语言提供了一种清晰的安全程序的概览，并且由工具厂商可以实现对用户更好的支持和指导。
       精减数据类型和声明 (参见 IEC 61131-3；表 10)

         精减功能和功能块
         标准功能块：(参见 IEC 61131-3；表 22-30)

       标准功能块：(参见 IEC 61131-3；表 34-37)

  

C. 错误处理和诊断
        一个透明和唯一的诊断观念形成所有功能块的基础。为此，所有安全相关功能块都有两个错误相关的输出：错误 Error 和诊断码 DiagCode。这些信息为用户应用级提供了诊断目标，而不是系统级和硬件级的诊断。

        在这一级，保证独立于厂商的执行，唯一诊断信息以一套每个功能块预定义诊断码的形式给用户。如果功能块内部状态没有指出错误(状态机)。一个错误通过二进制输出（错误）指出，我们可以通过诊断码，重新找回在功能块内部和外部错误的详细信息。

        用于安全相关环境的规则是把系统切换到安全相关功能做为最高优先级，然后切换具有足够的时间用于诊断，可以从应用程序或者从操作员界面得到相关信息。  

[DividePage:NextPage]

二、集成的标准步骤

      安全相关的功能通过提供的功能块来表出，下一步就是：怎样把功能块结合到安全相关的程序中。在这个级别，软件工具能够帮助用户如何进行操作。

        这个部分内容在PLC开放组织中，也进行了考虑。为了明确地区分安全相关信号和标准信号，定义了一个新的带有诊断的“安全”数据类型。因此，编程人员能够识别哪些信号是安全相关的，必须进行特殊的处理。此外，因为这个诊断数据连接能够自动校验， 检测任何没有许可的标准信号和安全相关信号的连接，虽然 “安全”数据类型不能保证信号的状态是否安全 （比如：外围设备不正确的接线），但不管怎样，使用一个管理工具可以使应用程序实现的错误最少。 加之，当发布应用程序时，能够清晰的分辨安全相关信号，简单而快速地进行安全信号的校验。安全数据类型是在安全相关环境中的可应用的数据类型，这些数据类型用于区分安全信号和非安全信号，也容易用于校验和确认的目的。

        在编程环境中，支持安全相关数据类型，可能意味着： 
        • 安全数据类型的显示和表示不同 
        • 编译器支持安全的数据类型

        安全布尔SAFEBOOL是一种数据类型，用于安全相关的环境，并且代表了一个高级安全完整性等级。安全相关的变量与非安全相关变量是不同的，安全布尔SAFEBOOL作为安全系统中的布尔BOOL，但能够包含更多的信息 （属性）， 用于安全状态和等级（包含类别/PL，SIL，PFD/PFH）。这些信息使用编程工具可以用于计算 SIL。

        控制系统在系统限制内保证安全完整性等级。 SAFExx 变量代表一个 "单个-通道"，不管内部结构 (它们可以是1oo1，1oo2D，2oo2 或者 2oo3)。因此，这样的控制系统，可以执行带有 SAFExx 输入和输出的功能块 FB，而这些功能块已经通过认证，特别关于SAFExx 信号的发生。

        在应用级，基本上有（至少）两种方法得到一个安全布尔 SAFEBOOL 变量：

        1．设备提供的安全数据类型，即可以是设备本身，也可以是操作系统或者固件。这包含在一个安全网络中。
        2. 由应用本身的安全输入提供的数据（比如做为两个安全单-通道输入）
        用于安全布尔 SAFEBOOL 的安全值必须是假（FALSE）。应用设计者确认所有安全布尔 SAFEBOOL 变量在置位到假（FALSE）时的安全行为结果。在初始化和发现任何错误时，安全布尔SAFEBOOL 变量置为假（FALSE）。

结合一般应用和安全应用

        在同一个环境下，把安全应用集成进一般应用中，我们需要进行两者之间的数据交换。这需要超越诊断功能，它包括操作员的确认，它能够给出一般的状态信息。当然，从安全环境到操作应用有不同的规则，反之也是。再有，安全相关软件工具会帮助用户避免错误发生。

        在模型的左边，指定了两组输入，在右边有两种水平的输出。在中部，两种环境是分开的，两者连接它们相关的输入和输出。 在安全和一般应用的数据交换在中部实现。

        一般应用可以不受限制访问安全输入。在安全环境的非安全输入的使用是有限制的，如非安全布尔输入参数，比如一个 ‘复位’，要限制与功能和另一个安全布尔参数用一个安全相关输入。对于两个输出功能也是同样的。 

[DividePage:NextPage]

在应用中集成安全功能 – 改变观念

     现在在实践中，安全相关部分与一般应用之间，通常有一个清晰的分割。这种分裂是由于不同的系统有不同的环境，不同的工具，和不同的人员。这种分裂结果最终源自安全规范，从一开始没有把安全看作为整个系统的一部分。这种清晰的分割不是安全规范的初衷，所以这里需要改变组织结构。

       而且，正在进行的技术创新提供了当今安全认可的数字通信总线。支持这一趋势，从硬接线系统朝着基于软件解决方案的转移。可以画出一条平行线，从硬接线的继电器向可编程控制器的方向移动，这个趋势当然包括相关人员的观念上的改变。一个变化需要广泛的支持，从整个工业，到来自大学和院校的支持，以及认证和规范机构，最终还需要 – 时间去改变。

结束语

        PLC开放组织被认为是IEC61131－3的坚决拥趸者，他们提出的功能块模型，为众多自动化编程工具开发商所参考和模仿。甚至一个编程工具与其兼容或形似的程度就代表了这个产品的开放程度。

        针对安全问题的挑战，PLC开放组织专门成立了第五技术委员会，为开发商和用户提供了一套－安全变量类型、安全标准功能块和安全特定功能块的参考模型，可以用于安全相关应用的开发。另外，PLC开放组织也极力推荐把安全相关功能集成到标准的开发环境中，因为这样可以为用户提供更多的益处，如：
        1． 为用户节省了购买专门用于安全相关应用的软件；
        2． 由于提供了与常规应用相同的编程环境，所以减少了用户对安全相关应用的陌生感；
        3． 易于安全相关标准和规范的实施。

        在今后的项目中，不会再把安全部分当作项目结尾和收工时的点缀，而是从项目的开始，就把安全概念融入到整个的项目之中了。