功能安全与衡器技术

蘩0··《 ····················· 。 Science＆TechnologyApplication：."：出达标时限，其中冶金、机械等工贸企业 (领域)规模以上企业要在 2013年底前，规模以下企业要在 2015年底前全面实现达标。该标准的强制推行从侧面推动了制造企业产品的自身功能必须具备安全性能。

由于目前国内衡器行业对于产品功能安全的理念比较陌生，本文拟结合我国衡器行业的应用特点，结合我国衡器行业正在制定的唯-的衡器产品强制国家标准 《电子衡器安全技术要求》，从产品功能安全系统设计的概念开始结合衡器产品的设计与应用 ，特别是对于较复杂的工业称重系统谈谈作者的看法。

二、功能安全概念由于产品研发人员在设计开发中对可靠性风险管理意识的欠缺，自身安全性能存在缺陷的产品已经造成人身安全、财产损失和环境危害等影响，给社会带来了无法挽回的损失 ，为此引出了功能安全的设计理念。

功能安全- 无论产品的零部件或者整体系统发生失效是随机失效、系统失效还是共因失效，都不会导致安全系统的故障，进而不会对操作人员或者环境产生危害 ，那么这个系统在功能上是安全的。

无论是在正常工作状态或者是故障工作状态，控制系统都必须考虑其环境因素，以保证其安全功能。

三、功能安全相关标准目前许多有关安全的设备供应商均在其说明书或样本中声明其产品符合 EN 954-1安全标准的规定。EN 954-1和 IEC、ISO有关的安全标准之间的关系如何、有何区别为了搞清楚这个问题我们有必要先分别介绍-下相关标准的内容。

(-)EN 954-1标准EN 954-1机械安全--控制系统有关安全的部件”是由欧洲标准委员会 (CEN)制定的欧洲标准，最早于 1992年 l1月公布，它设定了-个流程来选择和设计安全措施，这个流程包括以下5个步骤：1)危险分析与风险评估；2)确定措施以减少风险；3)通过控制系统的与安全相关的部件实现指定的安全要求；4)设计；5)验证。

EN 954-l也提供了-个典型的安全功能的列表：1)停车；2)紧急停车；3)手动重置；4)岛 0 露整·· ·······················。 & TechnologyApplication："· ：元件应具有最低的硬件故障裕度，硬件故障裕度表示了最低的部件或子系统冗余。

IEC 6151 1标准中规定了逻辑解算器在设计和使用过程中，须采用的基本原则，以及构成仪表安全系统的各类称重传感器和最终元件所应达到的最低标准，并提出了达到这些最低标准的安全生命周期活动的方法。

(四)IEC 62061、ISO/EN 13849-1风险评估标准 (现行国家标准为GB/T 16855.1-2008《机械安全 控制系统有关安全部件 第 1部分：设计通则》)安全标准主要依据应是风险、故障概率的描述和安全等级，现IEC 62061将注意力集中在机械设备安全功能的量化上，是IEC 61508标准的简化版。与IEC 61508标准相同由每小时故障率PFH决定安全完整性等级 SIL，如表 2所示。

P J局风险图2 风险评估图s--伤害的严重性。其中s ：轻微的，s：：严重不可恢复的。

F 风险发生的频率或暴露的时间。其中F ：很少，F：：频繁。

P- 避免风险的可能性。其中P ：可能，P ：几乎不可能。

口 口 口 口 口 l瓣 j ·..：Science& TechnologyApplication 。

(3)PL评估参数1)B 刚值--发生 10%故障概率时，零件危险失效时的周期数。

B1od0.5×B1o其中B 厂 制造商提供的 10%故障概率零件危险失效时的周期数。

2)MTTF厂- 每个通道的平均危险故障时间(mean-time-to-dangerous failure of each channe1)是统计值，不是可以保证的寿命值。

M1Tr 可以分为 3级如表 3所示 ： (见 GB/T16855.1-2008中表 5)。

表 3 MrrFd范围MTI'Fd等级 范围低 3年～l0年中 l0年 30年高 30年～100年此范围值低于 3无法接受。

①根据 B 0d计算 MTFFd(按 GB/T 16855.1-2008中附录C)：MTYFd (式 1)式中：n - 年平均操作次数n ：虫 .(式2)t周期式中：d -平均工作时间，单位以天每年计；h。 -平均工作时间，单位以小时每天计；t周期--元件每个相继周期起的起始点之间的平均工作时间，单位以秒每周期计。

Tlod旦 (式 3)Il0p式中：T。0广 10%的元件发生危险失效时的平均时间。

MTYFd (式 4)②每个通道的 M1TrF的部件计数法 (按 GB/T16855.1-2008中附录D)：∑ .(式5) MTYFd MTTFdi ～式中：M1TrF。广-用于整个通道；M1TrF - -对安全功能有-定作用的每个元件的 M1Tr 。

3)DC--诊断覆盖率 (diagnostic coverage) . Science& TechnologyApplication：：· ...。

根据上述 (式 3)：Tlod旦叫.： 6：2.77年(即l0%显示器 - 十 川 业小竹的有效工作时间为 2.77年)根据上述 (式 4)：MTFd鲁 27.7年根据表 3得出该显示器的MTrF 为 中”。

同理，可计算出称重传感器、AD转换器、CPU、键盘的MTYFd值，分别为30年、40年、30年、20年。

根据上述 (式 5)，则整台电子秤的MrITI 为：jMrI'T F 27 7 30 40 30 20 ，则d . 。 。 。 。 年 MTFFd5.65年。根据表 3得出该电子秤的 MTFF为 低”。

2)估算平均诊断覆盖率Dc根据 GB/T 16855.1-2008中附录 E的 DC选择原则，现假设显示器的DC90% (中)，称重传感器 DC60% (低)，AD转换器的DC90% (中)，CPU的DC90% (中)，键盘的DC99% (高)。

根据上述 (式 6)则：! 2 DCavsMTrFd1 。MTI'F 。M1TrFdN 1 1等1 873% .1. . .1 丽十 十十十根据表 4得出，DC为 低”。

3)CCF的估算根据 GB/T 16855.1-2008中附录 F对防止 CCF措施的逐项评分 (如表 6所示)，由于被估算的系统在各单元的分离性、差异性及环境条件的要求上优势明显 ，总分可得到 85分 ，足以满足防止表 6 防止 CCF措施的打分编号 防止 CCF的措施 标准得分 实际考核得分1 分离/隔离 15 152 差异性 20 203 设计/应用/经验 20 154 评价/分析 5 05 能力/培训 5 06 环境 35 35总 分 lo0 85 誊搿- Science& TechnologyApplicationCCF的要求。

4)判断类别及 PL性能等级根据图 3可知 ，整个通道的 MTYFd为 低”(5.65年)，DCavs为 低”，防止 CCF的措施足够时，对应的类别为Cat3类，性能等级PLb。

根据该电子衡器要求的性能等级PLb，则满足了pLy>PL的要求。即该通道的功能安全控制系统能 满 足对 风 险 减少 的要 求 。根 据 GB/T16855.1-2008中表 4的PL与 SIL的关系，可得到安全完整性等级 SIL为 1级。

5)系统分析与减少风险所采取的保护措施①由于通道的安全完整性等级估算 SIL为 1级，为减少系统中影响安全功能的故障或失效的可能性，在系统设计中应减少单元部件中元件的故障概率，采用经验证的高于SIL-1级的安全元件。例如：对于称重传感器单元部件，应考虑采用经验证的全密封接线端子 ，以减少由于防潮密封不良，而使模拟信号输出失效；对于数据处理装置 (CPU主板)，应采用工业级 SIL-2级以上的电阻、电容元器件等措施。

②本通道经估算的类别为Cat.3类，说明当发生单-故障时，安全功能总是有效的，某些故障将会被检测到，无需采用部件单元的冗余设计措施。但未发现故障的累积能导致安全功能的损失，为避免故障的危险影响，应改善通道部件单元的结构，可以通过改善嵌入式软件功能的方法实现功能结构的完善，例如：在不增加通道中的冗余部件，而通过不同的故障报警连锁的方式，避免故障的危险影响。

通过采用上述两种措施，除共因失效分析外，还应考虑危险失效和系统失效的分析方法。由于本例仅为电子衡器中最基本的结构型式，其中对于软件及系统失效还都没有实质性的计算与分析，只能作为衡器中最基本的实例分析。

目前在自动化系统工程中，为了让设计工程师可以轻松地根据新标准执行安全系统化的程序，- 些跨国自动化 OEM商开发了专用的系统安全计算器，例如：Pilz公司专门开发了-款软件工具PAScal安全计算器，它可以计算机械设备安全功能的 PFH 值。根据 ISO 13849，将制定的性能指标对结果进行验证，或根据 IEC 62061，采用安全完整性等级 SIL进行验证，并列出需要采取的所有 瓣鼙琵啦鹱 碧 毒 Science＆ Technology Application""....。

喇叭、蜂鸣器等声音信号，还有各种灯光信号、各种警告标志牌等都属于这类安全装置。

4)对于某些动作顺序不能搞颠倒的零部件应装设联锁装置。即某-动作 ，必须在前-个动作完成之后，才能进行，否则就不可能动作。这样就保证了不致因动作顺序搞错而发生事故。

(5)衡器产品的安全仪表系统具体设计要求1)考虑完整的安全仪表回路设计；2)采用冗余容错技术；3)考虑系统在线可维护陛；4)使用在线测试技术；5)重视整个安全生命周期内设计、实施 、维护规范；6)要有独立的团队负责整个项目的管理和实施。

六、功能安全在工业衡器技术中的应用功能安全控制系统的宗旨是提高工业产品的可靠性与安全性。目前在我国工业自动衡器的产品中采用功能安全集成控制系统已初露端倪。例如：重量 自动分砚器 、连续累计 自动衡器中皮带秤、给煤机、皮带配料秤 、重力式 自动装料衡器中的大型称重配料系统、产品称重包装生产线、动态滚道秤、动态胶料秤等产品中，-些卓有远见的用户已经提出了功能安全集成控制系统的要求。促使产品设计开发人员在称重系统的设计中将安全锁、安全急停按钮 、拉线急酮关、感应式安全光幕以及控制柜中的安全继 电器 、安全PLC以及安全型现场总线等软硬件动作互相关联，组成-个完整的功能安全集成控制系统。

作为-个设计人员应该在机器的设计上把危险降低到最小 ，就必须采用安全控制类产品。以下将结合我公司近期在工业自动衡器产品设计中的-些应用实例，分别介绍各种安全功能部件的应用。

(-)安全互锁开关安全互锁开关是指通过强制断开动作结构，即使在接点熔接时也能确保功能安全。

产品分为非接触式、机械连锁式两种。例如：安全门锁、舌簧互锁开关、安全限位开关、非接触式安全开关等。上述用于安全互锁开关的共同特点是必须要有两个并列的安全回路。如 ：两路唱或两路常闭。

····················· j· ·· ·： Science&TechnoIogy Ap catio(二)安全继电器安全继电器与-般继电器不同，具有强制导向的接点结构，即使在接点熔接时也能确保功能安全。安全继电器-般与安全开关配套使用，具有双通道检测功能。

安全继电器的主要技术指标如下：(1)接点间隔不仅在通常运行状态而且在发生故障状态也应达到 0.5mm以上；(2)接点负载开关应符合 AC15、DC13的要求；(3)机械寿命为 1000万次以上。

(三)急停装置该装置主要用于紧急停车系统。产品主要有安全拉绳开关、急停按钮等。该类设备用于-旦系统出现异常故障，使操作者能在最短 的时间，最近的位置实施紧急停车。例如在产品的包装线上 、物料配料称重输送线上、皮带秤和定量给料机、给煤机的侧面需使用安全拉绳开关。

(四)感应式安全装置该类装置属于主动安全防护，无需在设备和操作者之间设置硬件防护。主要感应生产线上的操作者或移动设备∠为典型的产品有安全光栅/光幕、安全扫描仪等。在衡器行业应用最多的是安全检测光栅/光幕。在产品包装热封设备前用于防止操作者手动误操作的红外线安全光栅；设置在动态公路称重收费站秤台边的车辆检测光幕。

安全光幕还有光束屏蔽功能，由于工艺需要把光幕中的个别光束屏蔽不起作用。光幕输出为OSSD信号，该信号有短路输出、过载保护、PNP输出及交叉检测等功能。安全光幕还有外部设备监控功能，通过外部执行器的断开检测是否正常工作。

(五)安全 PLC目前市场上已有封装型可编程安全控制器 、集成安全控制器和安全 I/O，通过 RsNetwork编程 ，通讯采用 DeviceNet和 EtherNet/IP，该类产品最大的特点是采用标准与安全的两套 CPU控制，并实现安全通讯。

(六)现场总线系统的功能安全评价现场总线系统所起的作用是通信，它包括-组硬件和软件，允许两个或多个装置之间信息交换。在受控过程中，它不应该传播或建立会产生 l1.1.. Science&Technology Application'：.