PLC Sistemlerinde Fonksiyonel Güvenlik: SIL Seviyeleri, Güvenlik Röleleri ve Uyumluluk Açıklaması
Bir güvenlik sistemi ya çalışır ya da çalışmaz; çalışmadığında ise insanlar yaralanır. Bu, endüstriyel fonksiyonel güvenliğin değişmez gerçeğidir. Ancak bu gerçeği bir PLC tedarik şartnamesine dönüştürmek, SIL seviyeleri, IEC 61511, arıza emniyetli G/Ç ve başınızı döndürebilecek kadar çok sayıda örtüşen sertifikayla dolu bir pazarda gezinmek anlamına gelir.
2026 yılında bu sadece mühendislikle ilgili bir sorun değil, aynı zamanda yasal bir sorun. Avrupa'nın NIS2 direktifi artık imalatı kritik altyapı olarak kapsıyor. Suudi Aramco ve ADNOC standartları kapsamındaki Orta Doğu projeleri, belirli SIL hedefleriyle IEC 61511 uyumluluğunu zorunlu kılıyor. Hatta OSHA'nın otomasyon güvenlik standartlarına tarihsel olarak daha hafif bir yaklaşım sergilediği Kuzey Amerika'da bile, sigorta şirketleri IEC 61508'e atıfta bulunan poliçe şartları yazıyor.
Bu makale, teknik terimler karmaşasını ortadan kaldırıyor. Makaleyi bitirdiğinizde, uygulamanızın hangi SIL seviyesine ihtiyaç duyduğunu, hangi güvenlik PLC ailelerinin bunu sağladığını ve uyumluluk belgelerinin nasıl göründüğünü öğreneceksiniz.
İşlevsel güvenlik, elektriksel güvenlik ile aynı şey değildir. Elektriksel güvenlik, elektrik çarpmalarını ve yangınları önler; doğru topraklama, devre koruması, muhafazalar gibi önlemler gerektirir. İşlevsel güvenlik ise, bir sorun oluştuğunda kontrol sisteminin insanların güvenliğini sağlayacak şekilde arızalanmasını garanti eder.
İşlevsel bir güvenlik sisteminin üç görevi vardır: tehlikeli bir durumu tespit etmek (ışık perdesi kırılır), bir karar vermek (baskı makinesini durdurmak) ve bu kararı güvenilir bir şekilde uygulamak (motor kontaktörünün enerjisini kesmek). Sensör, mantık çözücü ve son elemandan oluşan tüm zincir, tek bir bileşen arızasının sistemin görevini yerine getirmesini engellemeyecek şekilde tasarlanmalıdır.
Güvenlik Bütünlüğü Seviyesi (SIL), bir güvenlik fonksiyonunun ne kadar risk azaltımı sağladığını ölçer. SIL 1'den (en düşük) SIL 4'e (en yüksek, fabrika otomasyonunda neredeyse hiç kullanılmaz) kadar değişir.
SIL Seviyesi | Risk Azaltma Faktörü | Talep Üzerine Arıza Olasılığı | Tipik Uygulama
SIL 1 | 10–100 | 0,1–0,01 (10'da 1 ila 100'de 1) | Basit aşırı hız tetikleme sistemi
SIL 2 | 100–1.000 | 0,01–0,001 (100'de 1 ila 1.000'de 1) | Proses kapatma vanası
SIL 3 | 1.000–10.000 | 0,001–0,0001 (1/1.000 ila 1/10.000) | Brülör yönetimi, yüksek basınç koruması
SIL 4 | 10.000–100.000 | 0,0001–0,00001 | Nükleer reaktör koruması
Endüstriyel otomasyon için SIL 2 ve SIL 3, uygulamaların %95'ini kapsar. SIL 4 ise kağıt üzerinde ve nükleer santrallerde mevcuttur; bir ambalaj hattında veya su arıtma tesisinde buna rastlamazsınız.
Endüstriyel otomasyonda fonksiyonel güvenliğin temelini üç standart oluşturur:
IEC 61508 — Şemsiye standart. Tüm sektörleri, tüm elektrikli/elektronik/programlanabilir güvenlik sistemlerini kapsar. SIL kavramını ve güvenlik yaşam döngüsünü tanımlar.
IEC 61511 — 61508'in proses endüstrisine uyarlanmış halidir. Rafineriler, kimya tesisleri ve enerji santralleri bu standardı takip eder. Sensörden mantık çözücüye ve son elemana kadar tüm güvenlik enstrümantasyon sistemini (SIS) kapsar.
IEC 62061 / ISO 13849 — Makine güvenliği standartları. Bir takım tezgahı, paketleme makinesi veya robot hücresi inşa ediyorsanız, bunlar geçerlidir. Bunlar, kabaca SIL 1-3'e karşılık gelen ancak farklı bir hesaplama metodolojisi kullanan Performans Seviyelerini (PL a'dan PL e'ye) tanımlar.
Orta Doğu petrol ve doğalgaz sektöründeyseniz, geçerli standardınız IEC 61511'dir. Avrupa'ya ihracat yapan bir makine üreticisiyseniz, IEC 62061 ve ISO 13849 geçerlidir. Müşterinizin sigorta poliçesinde hangisinin belirtildiğini öğrenin.
Güvenlik PLC'si, sadece üzerine güvenlik etiketi yapıştırılmış sıradan bir PLC değildir. Mimari yapısı silikon seviyesinde farklılık gösterir.
Karşılaştırmalı Çift Kanal (1oo2) — İki ayrı işlemci aynı güvenlik mantığını yürütür. Bir donanım karşılaştırıcısı, her iki işlemcinin de her çıkış kararında hemfikir olup olmadığını sürekli olarak kontrol eder. Tek bir bit bile farklı görüşte olurlarsa, güvenlik çıkışlarının enerjisi kesilir. Bu, SIL 3 güvenlik PLC'leri için standart mimaridir. Allen-Bradley GuardLogix, Siemens S7-1500FOmron NX-SL ve diğerleri de bir tür 1oo2 mimarisi kullanmaktadır.
Üçlü modüler yedekli (2oo3) — Her çıktı için üç işlemci oy kullanır. Tek bir işlemcinin arızalanması sistemi devre dışı bırakmaz; kalan iki işlemci onu geçersiz kılar. Bu mimari (TMR), yanlış tetiklemelerin büyük mali sonuçlar doğurduğu SIL 3 uygulamaları için Honeywell Safety Manager ve Triconex sistemlerinde yaygındır. Açık deniz platformunun acil durum kapatma sisteminde yanlış bir tetikleme, günlük 1 milyon dolarlık üretim kaybına neden olabilir.
Tanılama özellikli tek kanallı (1oo1D) — Kapsamlı dahili tanılama özelliğine sahip tek işlemci. Risk azaltma gereksiniminin orta düzeyde olduğu SIL 2 uygulamaları için uygundur. Beckhoff'un TwinSAFE'i ve birçok kompakt güvenlik kontrol cihazı bu yaklaşımı kullanmaktadır.
Güvenlik giriş/çıkış modülleri dışarıdan standart giriş/çıkış modüllerine benzer. Ancak iç yapıları temelde farklıdır:
· Darbe testi: Modül, saha kablolamasının sağlam olduğunu ve yükün kısa devre yapmadığını doğrulamak için çıkış devresinden mikrosaniye süreli darbeler gönderir. Bu darbeler, kontaktör bobinini enerjilendirmek için çok kısa, ancak modülün teşhis sisteminin açık veya kısa devreyi tespit etmesi için yeterince uzundur.
· Karanlık test aralıkları: Dijital girişlerde, modül dahili güç kaynağını kısa süreliğine kapatır ve giriş sinyalinin gerçekten sıfıra düştüğünü kontrol eder. Bu, giriş her zaman enerjili olarak okunduğu için aksi takdirde tespit edilemeyecek olan "açık kalma" arızasını yakalar.
· Çift kanallı girişler: Tek bir güvenlik girişi (acil durdurma, ışık perdesi) iki ayrı giriş kanalına bağlanır. Modül, her iki kanalın da tanımlanmış bir sapma süresi içinde (genellikle 100-500 milisaniye) durum değiştirdiğini doğrular. Bir kanal açılırken diğeri sapma süresinin ötesinde kapalı kalırsa, modül bir arıza bildirir ve güvenli bir duruma geçmeyi zorlar.
Bu teşhis işlemleri saniyede yüzlerce kez, sürekli olarak çalışır. Bunları görmezsiniz. PLC, arıza meydana gelmedikçe bunları rapor etmez. Ancak bunlar, kağıt üzerinde güvenli olan bir sistem ile üç yıl boyunca titreşim, ısı ve ihmale maruz kaldıktan sonra güvenli olan bir sistem arasındaki farkı oluşturur.
Güvenlik mantığı, kendi yürütme bölümüne sahip ayrı bir güvenlik programında çalışır. Standart kontrol programı güvenlik etiketlerine yazamaz; yalnızca okuyabilir. Güvenlik mantığı kısıtlı bir komut kümesi kullanır: döngü yok, dolaylı adresleme yok, dinamik bellek tahsisi yok. Her olası yürütme yolu derleme zamanında analiz edilebilir olmalıdır.
Programlayacağınız yaygın güvenlik fonksiyonları:
· Acil durdurma izleme: Çift kanallı giriş, manuel sıfırlama gereklidir, acil durdurmanın devre dışı bırakılmasını önlemek için anti-bağlantı mantığı.
· Işık perdesi sessizleştirme: Bir kişinin aynı sensör desenini tetikleyemeyeceği şekilde yerleştirilmiş sessizleştirme sensörleri kullanarak, malzemenin geçmesine izin vermek için güvenlik işlevini geçici olarak devre dışı bırakın.
· Güvenli tork kapatma (STO): Ana gücü kesmeden motor sürücüsünün çıkış kademesinin enerjisini keserek, bir güvenlik olayından sonra hızlı yeniden başlatmaya olanak tanır.
· Güvenli Sınırlı Hız (SLS): Enkoder geri bildirimini izleyin ve motor yapılandırılabilir bir hız sınırını aşarsa devreyi kesin.
· Brülör yönetimi: Tahliye zamanlaması, alev tespiti, yakıt vanası testi ve acil durum kapatma sıralaması
Orta Doğu: Saudi Aramco'nun SAES-J-601 standardı, tüm yeni proses güvenlik sistemleri için IEC 61511 uyumluluğunu zorunlu kılmaktadır. Yangın ve gaz algılama, acil durum kapatma ve yüksek bütünlüklü basınç koruma sistemleri (HIPPS) için varsayılan seviye SIL 3'tür. Honeywell Safety Manager ve Triconex kurulu tabanda hakim konumdadır; Yokogawa ProSafe-RS ise Japonya merkezli EPC projelerinde pazar payı kazanmaktadır. Bir Aramco projesine ekipman tedarik ediyorsanız, devreye almadan önce sertifikalı bir güvenlik PLC'si ve TÜV sertifikalı bir mühendis tarafından yapılacak fonksiyonel güvenlik değerlendirmesi (FSA) için bütçe ayırın.
Avrupa: CE işaretlemesi artık makineler için belgelenmiş bir güvenlik yaşam döngüsü gerektiriyor. AB Makine Yönetmeliği 2023/1230 (2027'de yürürlüğe girecek, ancak tedarikçiler şimdiden uyum sağlıyor) otonom mobil robotlar ve işbirlikçi robotlar için gereksinimleri sıkılaştırıyor; bunların her ikisi de hız ve mesafe izleme için güvenlik PLC'lerine büyük ölçüde bağımlı. Siemens F-CPU'lar Almanya ve Doğu Avrupa'da hakim konumda. Pilz PSS 4000 ise saf güvenlik uygulamaları için tercih edilen ürün.
Amerika kıtası: OSHA PSM (Proses Güvenliği Yönetimi, 29 CFR 1910.119), rafineri ve kimya sektörlerinde benimsenmeyi teşvik ediyor. GuardLogix, tesislerde zaten Rockwell ekosisteminin kurulu olması nedeniyle güçlü bir ivme kazanıyor. Rockwell'in Studio 5000 Logix Designer'ı güvenlik programlamasını standart programlamaya neredeyse özdeş hale getirdiğinden beri, entegre güvenliğe (standart kontrolle aynı platformda güvenlik mantığı) doğru geçiş hızlandı.
SIL seviyelerini tahmin edemezsiniz. Bunları Koruma Katmanı Analizi (LOPA) kullanarak hesaplarsınız. Yöntem şöyledir:
1. Öncelikle olayın gerçekleşme sıklığıyla başlayalım — Tehlikeli durum ne sıklıkla ortaya çıkıyor? Bir reaktörde aşırı basınç yılda bir kez meydana gelebilir. Bir konveyör tıkanması günde bir kez meydana gelebilir.
2. Tolere edilebilir riski belirleyin — Zararlı sonucun kabul edilebilir maksimum sıklığı nedir? Ölümle sonuçlanan vakalar için, sektörde yaygın olarak kabul edilen hedefler yılda 1 × 10⁻⁴ ile 1 × 10⁻⁶ arasında değişmektedir.
3. SIS dışı koruma katmanlarını da hesaba katın: Emniyet valfleri, operatör müdahalesi, fiziksel muhafaza. Her bağımsız koruma katmanı (IPL) riski bir faktör kadar azaltır.
4. Geriye kalan boşluk, güvenlik ölçüm cihazlarınızın işlevinin kapatması gereken kısımdır; bu boşluk, gerekli SIL seviyesini belirler.
Basitleştirilmiş bir örnek: Aşırı basınç olayı her 10 yılda bir meydana gelir. Koruma olmadan, bir operatörün ölümüne neden olabilir. Kabul edilebilir riskiniz yılda 1 × 10⁻⁴'tür (10.000 yılda bir ölüm). Bir emniyet valfi 100 kat risk azaltımı sağlar (bir IPL). Kalan risk: yılda 1 × 10⁻³. 1 × 10⁻⁴'e ulaşmak için, 10 kat daha fazla koruma gerekir - bu da SIL 1'dir. Güvenlik PLC'niz, basınç tetikleme noktasını aştığında giriş valfini proses güvenlik süresi içinde kapatmalıdır.
SIL sertifikalı güvenlik PLC'nizin, talep üzerine arıza olasılığı (PFDavg) değeri belirlenmiştir. Bu değer, sistemi düzenli aralıklarla (genellikle 12 ayda bir) test ettiğinizi varsayar. Test, sensörden son elemana kadar tüm güvenlik zincirini doğrular. Otomatik teşhisin gözden kaçırdığı arızaları bulur.
Bir güvenlik PLC'si üzerinde yapılan doğrulama testi şunları içerir:
· Güvenlik girdilerini zorlamak ve doğru güvenlik çıktılarını doğrulamak, yanıt vermeyi sağlar.
· Tepki süresinin test edilmesi (işlem güvenliği süresi içinde olmalıdır)
· Teşhis kapsamının çalıştığını doğrulamak (bir arıza enjekte etmek, PLC'nin bunu algılayıp raporladığını doğrulamak)
· Güvenlik işlemcisi takılıp kaldığında güvenli bir duruma geçmeyi zorlayan donanım zamanlayıcısı olan gözetleme devresinin test edilmesi.
Planlı duruşlar sırasında programlı doğrulama testleri yapın. Her test sonucunu belgeleyin. Bu belgeler, bir olay soruşturması sırasında güvenlik sisteminin güvenlik gereksinimleri şartnamesine uygun olarak korunup korunmadığı konusunda şüphe duyulması durumunda kanıtınız olacaktır.
Avrupa'daki NIS2 standardı, güvenlikle ilgili sistemlerin siber tehditlerden korunmasını gerektirir. Bölümlere ayrılmamış bir tesis ağına bağlı bir güvenlik PLC'si güvenli değildir; bunun nedeni PLC'nin arızalanması değil, ele geçirilmiş bir mühendislik iş istasyonunun korumaları devre dışı bırakan değiştirilmiş bir güvenlik programı indirebilmesidir.
Güvenlik PLC'leri için derinlemesine savunma modeli:
· Ağ bölümlendirmesi: Tesis kontrol ağından güvenlik duvarıyla ayrılmış, özel bir güvenlik ağı bölümündeki güvenlik PLC'leri.
· Değişiklik yönetimi: Tüm güvenlik programı değişiklikleri belgelendirilmiş onay, bağımsız doğrulama ve fonksiyonel test gerektirir.
· Ürün yazılımı bütünlüğü: Güvenlik PLC ürün yazılımı, başlatma sırasında dijital olarak imzalanmalı ve doğrulanmalıdır.
· Fiziksel güvenlik: Güvenlik PLC şalteri bir amaçla orada bulunmaktadır. Kullanın.
· Omron NX-SL3300 SIL 3 Güvenlik CPU'su: 1.200–1.800 ABD Doları; 10–20 ms güvenlik görevi döngü süresi; NX serisi G/Ç platformuyla entegre olur.
· Allen-Bradley 1756-L82ES GuardLogix SIL 3: 12.000–18.000 ABD Doları; tek bir kontrol cihazında entegre güvenlik ve standart kontrolü destekler.
· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: 6.000–9.000 ABD Doları; TIA Portal entegre; PROFINET üzerinden PROFIsafe özellikli F-CPU
· Honeywell Safety Manager SIL 3: Fiyat talep üzerine (genellikle sadece mantık çözücü için 25.000$ ve üzeri); TMR mimarisi; büyük petrol ve doğalgaz şirketleri tarafından tercih edilmektedir.
· Not: Tüm fiyatlara, toplam donanım maliyetine genellikle %30-50 oranında ekleme yapan güvenlik I/O modülleri dahil değildir. Teslim süreleri: Platforma bağlı olarak 4-12 hafta. Üretimi durdurulan güvenlik röleleri ve eski güvenlik PLC'leri (Pilz PNOZmulti Classic, eski GuardLogix) tztechio.com/industrial-automation adresinde hala mevcuttur.
Ayrı bir güvenlik PLC'sine ihtiyacım var mı, yoksa standart PLC'mi kullanabilir miyim?
Standart PLC'niz güvenlik sertifikalı ise (GuardLogix veya S7-1500F gibi), güvenlik mantığı aynı donanım üzerinde ayrı bir bölümde çalışır; işlevsel olarak ayrı, fiziksel olarak entegre. Standart PLC'niz güvenlik sertifikası olmayan standart bir kontrol cihazı ise, ayrı bir güvenlik PLC'sine ihtiyacınız vardır. Güvenlik mantığını asla sertifikasız bir kontrol cihazında çalıştırmayın.
SIL ve PL arasındaki fark nedir?
SIL (Güvenlik Bütünlüğü Seviyesi), IEC 61508/61511'den gelir ve proses endüstrileri ile karmaşık güvenlik sistemleri için geçerlidir. PL (Performans Seviyesi, a–e), ISO 13849'dan gelir ve makineler için geçerlidir. Bunlar örtüşür: PL d yaklaşık olarak SIL 2'ye, PL e yaklaşık olarak SIL 3'e eşittir. Avrupa pazarı için bir makineyi sertifikalandırıyorsanız, PL'ye ihtiyacınız vardır. Bir proses güvenlik sistemi tasarlıyorsanız, SIL'e ihtiyacınız vardır. Bazı güvenlik PLC'leri her ikisi için de sertifikalıdır.
Omron güvenlik PLC'leri, Omron olmayan standart PLC'lerle entegre edilebilir mi?
Evet. Omron NX-SL güvenlik CPU'su, FSoE (Fail-Safe over EtherCAT) kullanarak EtherCAT üzerinden güvenlik verilerini iletir. FSoE'yi destekleyen herhangi bir EtherCAT master'ı, NX-SL ile güvenlik verilerini alışveriş edebilir. Bu, her ikisi de FSoE protokolünü desteklediği sürece, bir Omron güvenlik CPU'sunu bir Beckhoff standart PLC ile veya tam tersi şekilde kullanabileceğiniz anlamına gelir.
Güvenlik PLC'lerinin ne sıklıkla değiştirilmesi gerekiyor?
Güvenlik PLC'lerinin güvenlik kılavuzlarında belgelenmiş bir "kullanım ömrü" vardır, bu genellikle üretim tarihinden itibaren 20 yıldır. Bundan sonra, SIL hesaplamasındaki olasılıksal arıza oranları artık garanti edilmez. Birçok tesis güvenlik PLC'lerini 20 yıldan daha uzun süre kullanır, ancak bir olay meydana gelirse, soruşturma ekipmanın sertifikalı ömrünü aştığını kaydedecektir. Son tarihten önce geçiş için zaman tanımak amacıyla 15. yılda değiştirme için bütçe ayırın.
Orta Doğu'daki su arıtma tesisleri için fonksiyonel güvenlik zorunlu mudur?
Evrensel olmasa da, standart hale geliyor. Suudi Arabistan, BAE ve Katar'daki büyük tuzdan arındırma ve atık su arıtma projelerinde artık klor dozlaması için SIL 2 ve yüksek basınçlı RO membran koruması için SIL 2-3 belirtiliyor. Projede Aramco veya ADNOC spesifikasyon referansı varsa, sektörden bağımsız olarak IEC 61511 uyumluluğu zorunludur.
--------------------------------------------------------------------------------------------------------------------
TZ Tech, endüstriyel otomasyon ve elektrik parçalarının yanı sıra bazı enstrümantasyon ve telekomünikasyon parçaları konusunda profesyonel bir tedarikçidir. Çoğunlukla distribütörlerin hazır stoklarını rekabetçi fiyatlarla ve kısa teslim süreleriyle satıyoruz. Geniş envanterimiz sayesinde, üretimi durdurulmuş parçaları bile temin edebiliyoruz.
Endişelerinizi anlıyoruz, bu nedenle kaliteyi garanti edeceğiz. İhtiyaç duyduğunuz parçaları titizlikle inceliyoruz, bu nedenle aldığınız ürünlerde herhangi bir kalite sorunu konusunda endişelenmenize gerek yok. Üretimi uzun zaman önce durdurulmuş özel parçalar için, ürünlerin gerçek durumu hakkında sizi içtenlikle bilgilendireceğiz. Tüm sıfır parçalar için 1 yıl garanti veriyoruz.
İlgili parçalara ihtiyacınız olursa lütfen bize ulaşın. Ekibimiz 6 saat içinde (hafta sonları hariç) hızlı yanıt verecektir.
Lütfen okumaya devam edin, gelişmelerden haberdar olun, abone olun ve düşüncelerinizi bize bildirmenizi bekliyoruz.
Ayrıca, izninizle, ziyaretinizi slOC ile daha kişisel bir etkileşim haline getirmek için çerezler yerleştirmek istiyoruz. Bunun için analitik ve reklam çerezleri kullanıyoruz. Bu çerezler sayesinde biz ve üçüncü taraflar, super-instrument.com içindeki ve dışındaki internet davranışınızı takip edebilir ve toplayabiliriz. Bununla biz ve üçüncü taraflar super-instrument.com'u ve reklamları ilginize göre uyarlıyoruz. Kabul Et'i tıklatarak bunu kabul etmiş olursunuz. Reddederseniz yalnızca gerekli çerezleri kullanırız ve ne yazık ki herhangi bir kişiselleştirilmiş içerik almayacaksınız. Daha fazla bilgi edinmek veya gelecekte onayınızı değiştirmek için lütfen Çerez politikamızı ziyaret edin.
Accept and continue Decline cookies
