產(chǎn)品功能安全系統(tǒng)設(shè)計(jì)與應(yīng)用目前在國外工業(yè)發(fā)達(dá)國已經(jīng)發(fā)展到相當(dāng)先進(jìn)的水平，我 國工業(yè)界近幾年也緊跟國際潮流，相應(yīng)制定了相關(guān)的國家標(biāo)準(zhǔn)與實(shí)施計(jì)劃。在我國工業(yè)電子秤技術(shù)的 發(fā)展歷程中，同樣離不開電子秤功能安全技術(shù)的發(fā)展。本文針對(duì)目前國內(nèi)電子秤行業(yè)對(duì)于產(chǎn)品功能安全 的理念和相關(guān)技術(shù)比較陌生的實(shí)際情況，試圖根據(jù)最新國際ffiC/EN、ISO/EN相關(guān)標(biāo)準(zhǔn)內(nèi)容，結(jié)合電子秤產(chǎn)品設(shè)計(jì)與應(yīng)用，以最簡潔的方式闡述工業(yè)電子秤“功能安全”概念及電子秤技術(shù)的發(fā)展與應(yīng)用。

概述

從傳統(tǒng)的基于繼電器與人工防護(hù)的安全系統(tǒng)到目前發(fā)展起來的功能安全集成系統(tǒng)，使得我國工 業(yè)產(chǎn)品的安全技術(shù)在不斷進(jìn)化。產(chǎn)品功能安全系統(tǒng)設(shè)計(jì)與應(yīng)用是目前我國工業(yè)技術(shù)革命向縱深發(fā)展 的必由進(jìn)程。近幾年IEC國際電工技術(shù)委員會(huì)與ISO國際標(biāo)準(zhǔn)化技術(shù)委員會(huì)相繼發(fā)布了“與安全相 關(guān)的電氣、電子和可編程電子控制系統(tǒng)的功能安全”，“機(jī)械安全一控制系統(tǒng)的安全相關(guān)部件”等標(biāo) 準(zhǔn)，我國也根據(jù)上述國際標(biāo)準(zhǔn)等同采用制定或正在制定相應(yīng)的國家標(biāo)準(zhǔn)。2011年11月初在上海舉 辦的“2012中國國際工業(yè)博覽會(huì)”上，主辦部門舉辦的“OEM機(jī)械設(shè)計(jì)技術(shù)高峰論壇”上就產(chǎn)品功能 安全系統(tǒng)作了專題交流與研討，研討會(huì)上許多國際知名公司如：Rockwell，ABB， Omron，Pilz等 相繼推出了最新功能安全應(yīng)用的控制產(chǎn)品。由于目前國內(nèi)電子秤行業(yè)對(duì)于產(chǎn)品功能安全的理念比較陌 生，本文擬結(jié)合我國電子秤行業(yè)正在制定的唯一的衡器產(chǎn)品強(qiáng)制國家標(biāo)準(zhǔn)《電子衡器安全技術(shù)要求》， 從產(chǎn)品功能安全系統(tǒng)設(shè)計(jì)的概念開始結(jié)合電子秤產(chǎn)品的設(shè)計(jì)與應(yīng)用，特別是對(duì)于較復(fù)雜的工業(yè)稱重系 統(tǒng)談?wù)勛约旱目捶ā?/span>

一、功能安全概念

由于產(chǎn)品研發(fā)人員在開發(fā)制造中由于可靠性風(fēng)險(xiǎn)管理意識(shí)的不足，自身安全性能存在缺陷的產(chǎn) 品已經(jīng)造成人身安全、財(cái)產(chǎn)損失和環(huán)境危害等影響，給社會(huì)帶來了無法挽回的損失，為此引出了功 能安全的設(shè)計(jì)理念。

功能安全一無論產(chǎn)品的零部件或者整體系統(tǒng)發(fā)生失效是隨機(jī)失效、系統(tǒng)失效還是共因失效，都 不會(huì)導(dǎo)致安全系統(tǒng)的故障，進(jìn)而不會(huì)對(duì)操作人員或者環(huán)境產(chǎn)生危害，那么這個(gè)系統(tǒng)在功能上就是安全 的。

無論是在正常工作狀態(tài)或者是故障工作狀態(tài)，控制系統(tǒng)都必須保證其安全功能。

二、功能安全相關(guān)標(biāo)準(zhǔn)

目前許多有關(guān)安全的設(shè)備供應(yīng)商均在其說明書或樣本中聲明其產(chǎn)品符合EN 954-1安全標(biāo)準(zhǔn)的 規(guī)定。EN 954-1和IEC、ISO有關(guān)的安全標(biāo)準(zhǔn)之間的關(guān)系如何，有何區(qū)別。為了搞清楚這個(gè)問題我 們有必要先分別介紹一下相關(guān)標(biāo)準(zhǔn)的內(nèi)容。

1、EN 954-1 標(biāo)準(zhǔn)

EN 954-1“機(jī)械安全——控制系統(tǒng)有關(guān)安全的部件”是由歐洲標(biāo)準(zhǔn)委員會(huì)（CEN)制定的歐洲標(biāo) 準(zhǔn)，最早于1992年11月公布，它設(shè)定了一個(gè)流程來選擇和設(shè)計(jì)安全措施，這個(gè)流程包括以下5個(gè) 步驟：（1)危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估；（2)確定措施以減少風(fēng)險(xiǎn)；（3)通過控制系統(tǒng)的與安全相關(guān) 的部件實(shí)現(xiàn)指定的安全要求；（4)設(shè)計(jì)；（5)驗(yàn)證。

EN 954-1也提供了一個(gè)典型的安全功能的列表：（1)停車；（2)緊急停車；（3)手動(dòng)重置;

(4)啟動(dòng)和重啟；（5)響應(yīng)時(shí)間；（6)安全相關(guān)的參數(shù)；（7)本地控制功能；（8)供電系統(tǒng) 的波動(dòng)，損失和復(fù)位；（9)暫時(shí)失效；（10)安全功能手冊(cè)。

EN 954-1將危險(xiǎn)等級(jí)分為CAT.B、CAT.1、CAT.2、CAT.3、CAT.4五個(gè)等級(jí)。等級(jí)B是最低， 對(duì)安全系統(tǒng)沒有特別的要求，等級(jí)4為最高的危險(xiǎn)等級(jí)。控制等級(jí)分為4級(jí)，安全控制等級(jí)必須大 于等于其危險(xiǎn)等級(jí)。EN954-1通常適用于機(jī)械的低復(fù)雜性的安全系統(tǒng)。

EN 954-1存在的問題：沒有覆蓋PLC可編程系統(tǒng)及單片機(jī)系統(tǒng)；沒有涉及系統(tǒng)故障概率；安 全等級(jí)劃分不明確；有效期至2011年12月31日。

2、IEC 61508 標(biāo)準(zhǔn)

IEC 61508“電氣/電子/可編程電子（E/E/PE)安全相關(guān)系統(tǒng)的功能安全”是由國際電工委員會(huì) 在1998年12月發(fā)布的國際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)包括電氣/電子/可編程電子安全系統(tǒng)的要求，包括對(duì)設(shè)備 和系統(tǒng)的要求，對(duì)軟件的要求，描述避免失效的方法，給出一些確定安全完整性水平的方法示例， 給出測(cè)試方法。

IEC 61508標(biāo)準(zhǔn)主要適用于對(duì)安全系統(tǒng)有較復(fù)雜要求的系統(tǒng)，根據(jù)發(fā)生故障的可能性分為4個(gè) SIL (安全完整等級(jí) Safety Integrity Level)等級(jí).

其中：PFHd 每小時(shí)發(fā)生危險(xiǎn)故障的概率。

3、IEC 61511 標(biāo)準(zhǔn)

IEC 61511是適用于工藝過程工業(yè)的安全儀表系統(tǒng)的國際化標(biāo)準(zhǔn)，是IEC 61508的補(bǔ)充。

4、IEC/EN 62061、ISO/EN 13849-1 風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)

安全標(biāo)準(zhǔn)主要依據(jù)應(yīng)是風(fēng)險(xiǎn)、故障概率的描述和安全等級(jí)，現(xiàn)IEC/EN 62061將注意力集中在 機(jī)械設(shè)備安全功能的量化上，是ffiC 61508標(biāo)準(zhǔn)的簡化版。與IEC 61508標(biāo)準(zhǔn)相同由每小時(shí)故障率 PFH決定安全完整性等級(jí)SIL，如上表2所示。

ISO/EN 13849-1 舊版本（1999)與EN 954-1 是相同的，ISO/EN 13849-1 新版本（2006 版）引 入控制系統(tǒng)安全性能等級(jí)的新概念PL (Performance Level)，是一種定性故障評(píng)估的方法，考慮了 控制系統(tǒng)外在因素的可變性。新的安全控制標(biāo)準(zhǔn)EN /ISO13849-1在2009年12月取代EN 954-1強(qiáng)制 執(zhí)行，標(biāo)準(zhǔn)覆蓋了氣壓系統(tǒng)、機(jī)械安全控制系統(tǒng)。還引入了B1M，MTTFd等概念。

(1) PL (Performance Level) 控制系統(tǒng)執(zhí)行安全功能的能力，以每小時(shí)發(fā)生危險(xiǎn)故障的概率表示，并劃分5個(gè)等級(jí)，依次為PL a、PL b、PL c、PL d、PL e。

上圖中PL e為最高等級(jí)，PL a為最低等級(jí)。

(2)風(fēng)險(xiǎn)評(píng)估圖

(3) PL評(píng)估參數(shù) A. B1M值——發(fā)生10%故障概率時(shí)，開關(guān)動(dòng)作的次數(shù)。

B10d=0.5 X B10

其中氏。一一制造商提供的10%故障概率開關(guān)動(dòng)作的次數(shù)。

B . MTTFd 每個(gè)通道的平均無危險(xiǎn)故障時(shí)間（mean-time-to-dangerous failure of each

channel)，是統(tǒng)計(jì)值，不是可以保證的壽命值。

MTTFd可以分為3級(jí)。

此范圍值低于3無法接受。

MTTFd的大小取決于實(shí)際開關(guān)動(dòng)作的頻率。

DC 診斷覆蓋率（diagnostic coverage)。

Architecture 類另ij (the category)

三、風(fēng)險(xiǎn)評(píng)估的流程

首先要確定當(dāng)前或者發(fā)展中可能存在風(fēng) 險(xiǎn)的等級(jí)，通過評(píng)估、設(shè)計(jì)、選擇、驗(yàn)證以 及維護(hù)等一系列程序來建立真正安全的生產(chǎn) 環(huán)境，這些都要遵循相關(guān)的國際安全標(biāo)準(zhǔn)和 規(guī)則。較為復(fù)雜的工業(yè)產(chǎn)品系統(tǒng)能夠達(dá)到何 種安全等級(jí)一般是需要由第三方機(jī)構(gòu)進(jìn)行認(rèn) 證的。目前我國主要由一些權(quán)威的外資機(jī)構(gòu) 如德國TUV公司等在中國開展了產(chǎn)品安全 等級(jí)測(cè)試及認(rèn)證工作?；?/span>IEC 61508，IEC 61511，IEC 13849-1，IEC 62061 等標(biāo)準(zhǔn)，對(duì) 安全設(shè)備的安全完整性等級(jí)（SIL)或者性能 等級(jí)（PL)進(jìn)行評(píng)估和確認(rèn)的一種第三方評(píng) 估、驗(yàn)證和認(rèn)證。功能安全認(rèn)證主要涉及針 對(duì)安全設(shè)備開發(fā)流程的文檔管理（FSM)評(píng) 估，硬件可靠性計(jì)算和評(píng)估、軟件評(píng)估、環(huán) 境試驗(yàn)、EMC電磁兼容性測(cè)試等內(nèi)容。以下 是風(fēng)險(xiǎn)等級(jí)評(píng)估的流程。

對(duì)機(jī)器進(jìn)行過危險(xiǎn)性分析后，制造商可以采取如下三種措施來減少事故的可能性，將機(jī)器的危 險(xiǎn)性降低到可以承受的程度：

(1)在設(shè)計(jì)機(jī)器時(shí)將可能出現(xiàn)的危險(xiǎn)降低到最少；（2)對(duì)于無法避免的危險(xiǎn)，采取必要的安 全保護(hù)措施；（3)對(duì)用戶進(jìn)行培訓(xùn)，避免剩余危險(xiǎn)可能導(dǎo)致的傷害。

為達(dá)到上述標(biāo)準(zhǔn)的各類安全等級(jí)，最常用的設(shè)計(jì)方法為熱備份的冗余設(shè)計(jì)方法。例如：安全開關(guān)的雙觸點(diǎn)結(jié)構(gòu)、安全繼電器的雙通道輸入、安全PLC的雙CPU結(jié)構(gòu)、控制軟硬件的冗余設(shè)計(jì)。 此類設(shè)計(jì)方法已經(jīng)或正引起越來越多的產(chǎn)品設(shè)計(jì)與應(yīng)用部門的重視。

四、功能安全在工業(yè)電子秤中的應(yīng)用

功能安全控制系統(tǒng)的宗旨是提高工業(yè)產(chǎn)品的可靠性與安全性。目前在我國工業(yè)自動(dòng)衡器的產(chǎn)品 中采用功能安全集成控制系統(tǒng)已初露端倪。例如：重量自動(dòng)分選衡器、連續(xù)累計(jì)自動(dòng)衡器中皮帶秤、 給煤機(jī)、皮帶配料秤、重力式自動(dòng)裝料衡器中的大型稱重配料系統(tǒng)、產(chǎn)品稱重包裝生產(chǎn)線、動(dòng)態(tài)滾 道秤、動(dòng)態(tài)膠料秤等產(chǎn)品中，一些卓有遠(yuǎn)見的用戶已經(jīng)提出了功能安全集成控制系統(tǒng)的要求。

在上圖的產(chǎn)品生產(chǎn)稱重系統(tǒng)中，安全鎖、安全急停按鈕、拉線急停開關(guān)、感應(yīng)式安全光幕以及控 制柜中的安全繼電器、安全PLC等部件動(dòng)作互相關(guān)聯(lián)，組成了一個(gè)完整的功能安全集成控制系統(tǒng)。

作為一個(gè)設(shè)計(jì)人員應(yīng)該在機(jī)器的設(shè)計(jì)上把危險(xiǎn)減少到最小，就必須采用安全控制類產(chǎn)品。以下 將結(jié)合上海大和衡器有限公司近期在工業(yè)自動(dòng)衡器產(chǎn)品設(shè)計(jì)中的一些應(yīng)用實(shí)例，分別介紹各種安全 功能部件的應(yīng)用。

1、安全互鎖開關(guān)

安全互鎖開關(guān)是指通過強(qiáng)制斷開動(dòng)作結(jié)構(gòu)，即使在接點(diǎn)熔接時(shí)也能確保功能安全。

產(chǎn)品分為非接觸式、機(jī)械連鎖式兩種。例如：安全門鎖、舌簧互鎖開關(guān)、安全限位開關(guān)、非接 觸式安全開關(guān)等。上述用于安全互鎖開關(guān)的共同特點(diǎn)是必須要有兩個(gè)并列的安全回路。如：兩路常 開或兩路常閉.

2、安全繼電器

安全繼電器與一般繼電器不同，具有強(qiáng)制導(dǎo)向的接點(diǎn)結(jié)構(gòu)，即使在接點(diǎn)熔接時(shí)也能確保功能安 全。安全繼電器一般與安全開關(guān)配套使用，具有雙通道檢測(cè)功能。

安全繼電器的主要技術(shù)指標(biāo)如下：

(1)接點(diǎn)間隔不僅在通常運(yùn)行狀態(tài)而且在發(fā)生故障胡狀態(tài)也應(yīng)達(dá)到0.5mm以上；

(2)接點(diǎn)負(fù)載開關(guān)應(yīng)符合AC15、DC13的要求；

(3）機(jī)械壽命為1000萬次以上。

下面為應(yīng)用在工業(yè)衡器上的安全繼電器實(shí)例

3、急停裝置

該裝置主要用于緊急停車系統(tǒng)。產(chǎn)品主要有安全拉繩開關(guān)、急停按鈕等。該類設(shè)備用于一旦系 統(tǒng)出現(xiàn)異常故障，使操作者能在最短的時(shí)間，最近的位置實(shí)施緊急停車。例如在產(chǎn)品的包裝線上、 物料配料稱重輸送線上、皮帶秤和定量給料機(jī)、給煤機(jī)的側(cè)面需使用安全拉繩開關(guān)。

4、感應(yīng)式安全裝置

該類裝置屬于主動(dòng)安全防護(hù)，無需在設(shè)備和操作者之間設(shè)置硬件防護(hù)。主要感應(yīng)生產(chǎn)線上的操 作者或移動(dòng)設(shè)備。較為典型的產(chǎn)品有安全光柵/光幕、安全掃描儀等。在電子秤行業(yè)應(yīng)用最多的是安全 檢測(cè)光柵/光幕。在產(chǎn)品包裝熱封設(shè)備前用于防止操作者手動(dòng)誤操作的紅外線安全光柵；設(shè)置在動(dòng)態(tài) 公路稱重收費(fèi)站秤臺(tái)邊的車輛檢測(cè)光幕。

安全光幕還有光束屏蔽功能，由于工藝需要把光幕中的個(gè)別光束屏蔽不起作用。光幕輸出為 OSSD信號(hào)，該信號(hào)有短路輸出、過載保護(hù)、PNP輸出及交叉檢測(cè)等功能。安全光幕還有外部設(shè)備 監(jiān)控功能：通過外部執(zhí)行器的斷開檢測(cè)是否正常工作。

5、安全PLC

目前市場(chǎng)上已有封裝型可編程安全控制器、集成安全控制器和安全I/O，通過RSNetWork編程， 通訊采用DeviceNet和EtherNet/IP，該類產(chǎn)品最大的特點(diǎn)是采用標(biāo)準(zhǔn)與安全的兩套CPU控制，并實(shí) 現(xiàn)安全通訊.

上述各種安全部件可以組成一個(gè)完整的功能安全集成控制系統(tǒng)。在工業(yè)電子秤的系統(tǒng)設(shè)計(jì)中應(yīng)根 據(jù)現(xiàn)場(chǎng)的不同安全等級(jí)要求選擇不同的功能安全器件及功能安全系統(tǒng)。

五、結(jié)尾

在功能安全控制系統(tǒng)的應(yīng)用已經(jīng)風(fēng)靡全球工業(yè)界的今天，工業(yè)電子秤特別是自動(dòng)衡器如何緊跟這 一時(shí)代發(fā)展的新潮流，已經(jīng)成了我國電子秤行業(yè)技術(shù)發(fā)展急需提出的新課題。盡管越來越多的電子秤產(chǎn) 品最終用戶和制造商已經(jīng)意識(shí)到安全的重要性，但并未認(rèn)識(shí)到應(yīng)從系統(tǒng)上根本解決安全的問題，安 全理念和相關(guān)技術(shù)與標(biāo)準(zhǔn)的實(shí)施在我國電子秤行業(yè)推廣的道路仍然漫長。愿本文能在電子秤行業(yè)起到一 定的推動(dòng)促進(jìn)作用。