安全系统中的 HMI 注意事项
在 SIL 级别安全系统中使用 HMI 设备时,应遵照以下预防措施和指南。
预防措施
您必须在 HMI 设备上采取预防措施并实施特定的技术。这些预防措施包括但不限于以下内容:
- 受限访问和安全性
- 技术规范、测试和验证
- 关于数据和访问的限制
- 关于数据和参数的限制
在 HMI 和控制器内的应用软件中使用适当的技术。
访问安全相关系统
HMI 相关功能包含两种主要活动:读数据和写数据。
读数据不受限制,因为读取不影响安全系统的特性。但是,所读取数据的数量、频率和大小会影响控制器的可用性。为避免出现安全相关的误跳闸,应通过良好的通信实践来限制通信处理对控制器造成的影响。不得将读速率设为最大可能的速率。
在对安全功能执行数据写入或参数修改时,目标在于最大限度减少误差及与设计规范的偏差。可使用不同的数据检查方法设置安全相关参数,包括但不限于以下注意事项:
- 仅限经过专项培训的授权操作员,可通过 HMI 在安全相关系统中执行数据写入操作。
- 通过 HMI 对安全相关系统写入数据的操作员应负责由此对安全回路造成的影响。
- 您必须清晰地记录要写入的变量。
- 在通过 HMI 进行安全相关更改时,必须采取透明、全面和明晰的操作步骤。
- 只有在发生以下一系列事件的情况下,安全相关系统中的写入数据才会被接受:
- 新数值必须发送两次,分别写入两个不同的标准标签。这两个值都不能通过一个命令进行更改。
- 从 HMI 接收值的两个标准标签必须映射到两个安全标签中。
- 控制器中正在执行的安全相关代码必须检查两个安全标签是否相等,并确保它们处于范围内(边界检查)。
- 必须读回两个新变量,并将它们显示在 HMI 设备上。HMI 显示读取安全标签,这些标签接收了来自标准标签的映射数值。
- 必须由经过培训的操作员目测两个变量是否相同,以及变量值是否正确。
- 必须由经过培训的操作员在 HMI 显示屏上手动确认变量值正确,继而向安全逻辑发送一条命令,允许在安全功能中使用新值。在任何一种情况下,操作员都必须确认更改的有效性,之后方可接受更改并在安全回路中应用。
- 在安全评估过程中测试所有更改。
- 充分记录通过 HMI 执行的所有安全相关更改,包括以下内容:
- 授权
- 影响分析
- 执行
- 测试信息
- 版本信息
- 对安全相关系统进行的过程安全变更必须符合 IEC 61511 要求。
- 对安全相关系统进行的机器安全变更必须符合 IEC 62061 要求。
- 与其他应用软件开发一样,开发人员必须遵循优良的开发技术和流程,包括操作员界面的验证和测试以及操作员界面对程序其他部分的访问。在控制器应用软件中,创建一个可由 HMI 访问的表格,并限制对所需数据点的访问。
- 类似于控制器程序,在系统经过验证和测试后,需要对 HMI 软件进行安全设置和维护,以符合 SIL 等级。
提供反馈