產(chǎn)品功能安全系統(tǒng)設(shè)計與應(yīng)用目前在工業(yè)發(fā)達(dá)國家已經(jīng)發(fā)展到相當(dāng)先進(jìn)的 水平，我國工業(yè)界近幾年也緊跟國際潮流，相應(yīng)制定了相關(guān)的國家標(biāo)準(zhǔn)與實(shí)施計劃。在我國 工業(yè)地磅技術(shù)的發(fā)展歷程中，同樣離不開地磅功能安全技術(shù)的發(fā)展。由于目前國內(nèi)地磅行業(yè) 對于產(chǎn)品功能安全的理念和相關(guān)技術(shù)比較陌生，本文試圖根據(jù)最新國際IEC/EN、ISO/EN與 國內(nèi)相關(guān)標(biāo)準(zhǔn)內(nèi)容，結(jié)合地磅產(chǎn)品設(shè)計與應(yīng)用，以最簡潔的方式闡述工業(yè)地磅“功能安全” 概念及地磅技術(shù)的發(fā)展與應(yīng)用。

一、概述

從傳統(tǒng)的基于繼電器與人工防護(hù)的安全系統(tǒng) 到目前發(fā)展起來的功能安全集成系統(tǒng)，使得我國 工業(yè)產(chǎn)品的安全技術(shù)在不斷進(jìn)步。產(chǎn)品功能安全 系統(tǒng)設(shè)計與應(yīng)用是目前我國工業(yè)技術(shù)革命向縱深 發(fā)展的必由進(jìn)程。近幾年IEC國際電工技術(shù)委員 會與ISO國際標(biāo)準(zhǔn)化技術(shù)委員會相繼發(fā)布了《與 安全相關(guān)的電氣、電子和可編程電子控制系統(tǒng)的 功能安全》和《機(jī)械安全一控制系統(tǒng)的安全相 關(guān)部件》等標(biāo)準(zhǔn)，我國也根據(jù)上述國際標(biāo)準(zhǔn)等同 采用制定了或正在制定相應(yīng)的國家標(biāo)準(zhǔn)。2012年 11月初在上海舉辦的“2012中國國際工業(yè)博覽會”，主辦部門舉辦的“OEM機(jī)械設(shè)計技術(shù)高峰論 壇”就產(chǎn)品功能安全系統(tǒng)作了專題交流與研討， 研討會上許多國際知名公司如：施耐德、Rock-well、 ABB、Omron、Pilz、Semenz等相繼推出了最 新功能安全應(yīng)用的控制產(chǎn)品。

結(jié)合目前我國正在推行的AQ/T 9006-2010 《企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化基本規(guī)范》的要求，該標(biāo)準(zhǔn) 從保障人身、財產(chǎn)安全的角度對企業(yè)提出了十三 項(xiàng)要求，其中包含了 “隱患排查和治理”、“重大 危險源監(jiān)控”等要求，對與生產(chǎn)經(jīng)營場所相關(guān)的 設(shè)備設(shè)施進(jìn)行排查及危險源的辨識與安全評估。 國務(wù)院安委會“安委（2011） 4號”文件中明確提出達(dá)標(biāo)時限，其中冶金、機(jī)械等工貿(mào)企業(yè)額域 規(guī)模以上企業(yè)要在2013年底前，規(guī)模以下企業(yè)要 在2015年底前全面實(shí)現(xiàn)達(dá)標(biāo)。該標(biāo)準(zhǔn)的強(qiáng)制推行 從側(cè)面推動了制造企業(yè)產(chǎn)品的自身功能必須具備 安全性能。

由于目前國內(nèi)地磅行業(yè)對于產(chǎn)品功能安全的 理念比較陌生，本文擬結(jié)合我國地磅行業(yè)的應(yīng)用 特點(diǎn)，結(jié)合我國地磅行業(yè)正在制定的唯一的衡器 產(chǎn)品強(qiáng)制國家標(biāo)準(zhǔn)《電子衡器安全技術(shù)要求》，從 產(chǎn)品功能安全系統(tǒng)設(shè)計的概念開始結(jié)合地磅產(chǎn)品 的設(shè)計與應(yīng)用，特別是對于較復(fù)雜的工業(yè)稱重系 統(tǒng)談?wù)勛髡叩目捶ā?/span>

二、功能安全概念

由于產(chǎn)品研發(fā)人員在設(shè)計開發(fā)中對可靠性風(fēng) 險管理意識的欠缺，自身安全性能存在缺陷的產(chǎn) 品已經(jīng)造成人身安全、財產(chǎn)損失和環(huán)境危害等影 響，給社會帶來了無法挽回的損失，為此引出了 功能安全的設(shè)計理念。

功能安全一無論產(chǎn)品的零部件或者整體系 統(tǒng)發(fā)生失效是隨機(jī)失效、系統(tǒng)失效還是共因失效， 都不會導(dǎo)致安全系統(tǒng)的故障，進(jìn)而不會對操作人 員或者環(huán)境產(chǎn)生危害，那么這個系統(tǒng)在功能上是 安全的。

無論是在正常工作狀態(tài)或者是故障工作狀態(tài)， 控制系統(tǒng)都必須考慮其環(huán)境因素，以保證其安全 功能。

三、功能安全相關(guān)標(biāo)準(zhǔn)

目前許多有關(guān)安全的設(shè)備供應(yīng)商均在其說明 書或樣本中聲明其產(chǎn)品符合EN 954- 1安全標(biāo)準(zhǔn)的 規(guī)定。EN 954- 1和IEC、ISO有關(guān)的安全標(biāo)準(zhǔn)之 間的關(guān)系如何、有何區(qū)別？為了搞清楚這個問題 我們有必要先分別介紹一下相關(guān)標(biāo)準(zhǔn)的內(nèi)容。

(一） EN 954- 1 標(biāo)準(zhǔn)

EN 954- 1 “機(jī)械安全——控制系統(tǒng)有關(guān)安全 的部件”是由歐洲標(biāo)準(zhǔn)委員會CEN制定的歐洲 標(biāo)準(zhǔn)，最早于1992年11月公布，它設(shè)定了一個 流程來選擇和設(shè)計安全措施，這個流程包括以下5 個步驟：》危險分析與風(fēng)險評估；2確定措施 以減少風(fēng)險；3通過控制系統(tǒng)的與安全相關(guān)的部 件實(shí)現(xiàn)指定的安全要求；4設(shè)計；5驗(yàn)證。

EN 954- 1也提供了一個典型的安全功能的列 表：1停車；2緊急停車；3手動重置；奪 啟動和重啟；5響應(yīng)時間；(）安全相關(guān)的參數(shù)； 7本地控制功能；8供電系統(tǒng)的波動，損失和 復(fù)位；9暫時失效；10安全功能手冊。

EN 954- 1將危險等級分為CAT.B、CAT.1、 CAT.2、CAT.3、CAT.4五個等級。等級B是最低 的危險等級，對安全系統(tǒng)沒有特別的要求，等級4 為最高的危險等級。控制等級分為4級，安全控 制等級必須大于等于其危險等級。EN 954- 1通常 適用于機(jī)械的低復(fù)雜性的安全系統(tǒng)。

EN 954- 1存在的問題：沒有覆蓋PLC可編程 系統(tǒng)及單片機(jī)系統(tǒng)；沒有涉及系統(tǒng)故障概率；安全 等級劃分不明確；有效期至2011年12月31曰。

(二） IEC 61508標(biāo)準(zhǔn)（現(xiàn)行國家標(biāo)準(zhǔn)為 GB/T 20438.1/20438.7-2006《電氣 / 電子 / 可編程 電子安全相關(guān)系統(tǒng)的功能安全第1—7部分》

IEC 61508 “電氣/電子/可編程電子 E/E/PE安全相關(guān)系統(tǒng)的功能安全”是由國際電 工委員會在1998年12月發(fā)布的國際標(biāo)準(zhǔn)，該標(biāo) 準(zhǔn)包括電氣/電子/可編程電子安全系統(tǒng)的要求， 分為7個部分，涉及1000多個規(guī)范，包括對設(shè)備 和系統(tǒng)的要求，對軟件的要求，描述避免失效的 方法，給出一些確定安全完整性等級的方法示例， 給出測試方法。

IEC 61508標(biāo)準(zhǔn)主要適用于對安全系統(tǒng)有較復(fù) 雜要求的系統(tǒng)，根據(jù)發(fā)生故障的可能性分為4個 SIL安全完整性等級Safety Integrity Level等級, 級別越高要求其危險失效概率越低，如表1所示。

SIL以故障率表示如表2所示。

其中：PFHd——每小時發(fā)生危險故障的概率。 SIL等級與故障概率的解釋如下：

當(dāng)沒有SIL等級要求時，每小時產(chǎn)生危險故障 可以認(rèn)為是在104小時和105小時之間，意味著1 年到10年的時間內(nèi)產(chǎn)生1次危險故障；

當(dāng)SIL等級為SIL3時，每小時產(chǎn)生危險故障 可以認(rèn)為是在107小時和108小時之間，意味著1千年到i萬年的時間內(nèi)產(chǎn)生i次危險故障。

其實(shí)，這里的概念并不是指多少年會發(fā)生一 次故障，而是說的一個概率的概念，就像交通工 具中飛機(jī)發(fā)生事故的概率要比其他交通工具低很 多一樣，即一個SIL3級的安全系統(tǒng)比一個無安全 要求的系統(tǒng)發(fā)生危險的概率要低非常多，用以滿 足在設(shè)備或系統(tǒng)運(yùn)行周期內(nèi)無風(fēng)險的要求。

(三）IEC 61511標(biāo)準(zhǔn)（現(xiàn)行國家標(biāo)準(zhǔn)為 GB/T 21109-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng) 的功能安全第1-3部分》

IEC 61511是適用于過程控制應(yīng)用的安全儀表 系統(tǒng)的國際化標(biāo)準(zhǔn)，是IEC 61508的補(bǔ)充。該標(biāo) 準(zhǔn)定義了硬件故障裕度的概念，即部件或子系統(tǒng) 在出現(xiàn)一個或幾個硬件故障的情況下，功能單元 繼續(xù)執(zhí)行所要求的儀表安全功能的能力。對儀表 安全功能而言，稱重傳感器、邏輯解算器和最終元件應(yīng)具有最低的硬件故障裕度，硬件故障裕度 表示了最低的部件或子系統(tǒng)冗余。

IEC 61511標(biāo)準(zhǔn)中規(guī)定了邏輯解算器在設(shè)計和 使用過程中，須采用的基本原則，以及構(gòu)成儀表 安全系統(tǒng)的各類稱重傳感器和最終元件所應(yīng)達(dá)到 的最低標(biāo)準(zhǔn)，并提出了達(dá)到這些最低標(biāo)準(zhǔn)的安全 生命周期活動的方法。

㈣ IEC 62061、ISO/EN 13849- 1 風(fēng)險評估 標(biāo)準(zhǔn)（現(xiàn)行國家標(biāo)準(zhǔn)為GB/T 16855.1-2008《機(jī)械 安全控制系統(tǒng)有關(guān)安全部件第1部分：設(shè)計通 則》)

安全標(biāo)準(zhǔn)主要依據(jù)應(yīng)是風(fēng)險、故障概率的描 述和安全等級，現(xiàn)IEC 62061將注意力集中在機(jī) 械設(shè)備安全功能的量化上，是IEC 61508標(biāo)準(zhǔn)的 簡化版。與IEC 61508標(biāo)準(zhǔn)相同由每小時故障率 PFH決定安全完整性等級SIL,如表2所示。

ISO/EN 13849- 1 舊版本（1999 與 EN 954-1 是相同的，ISO 13849- 1新版本（2006版引入 控制系統(tǒng)安全性能等級的新概念PL Performance Level ,是一種定性故障評估的方法，考慮了控制 系統(tǒng)外在因素的可變性。新的安全控制標(biāo)準(zhǔn)ISO 13849- 1在2009年12月取代EN 954- 1強(qiáng)制執(zhí) 行，該標(biāo)準(zhǔn)涵蓋了氣壓系統(tǒng)、機(jī)械安全控制系統(tǒng)， 還引入了 Bwd, MTTFd等概念。

(1） PL (Performance Level 控制系統(tǒng)執(zhí)行安全功能的能力，以每小時發(fā)生危險故障的概 率表示，并劃分5個等級，依次為PLa、PLb、 PLc、PLd、PLe。PL等級與危險故障概率關(guān)系， 如圖1所示。

圖1中PLe為最高等級，PLa為最低等級。

（2）風(fēng)險評估圖如圖2所示。

(3） PL評估參數(shù)

B10d值—發(fā)生10%故障概率時，零件危 險失效時的周期數(shù)。

B10d=0.5x B10

其中B1。——制造商提供的10%故障概率零件 危險失效時的周期數(shù)。

MTTFd—每個通道的平均危險故障時間 (mean- time- to- dangerous failure of each channe)

是統(tǒng)計值，不是可以保證的壽命值。

MTTFd可以分為3級如表3所示：見GB/T 16855.1-2008 中表 5。

(4）舉例說明

在一條工業(yè)原料或產(chǎn)品生產(chǎn)線上，稱重裝置 是必不可少的一個檢測環(huán)節(jié)。而稱重裝置的安全 功能將直接影響到產(chǎn)品的質(zhì)量，例如：在配料生 產(chǎn)線上，由于稱重安全功能失效，可能造成生產(chǎn) 線的停工或后道配料的成分失效，帶來產(chǎn)品的失 效?，F(xiàn)以一臺生產(chǎn)過程中較為典型的單通道電子地磅為例，設(shè)定其傷害的嚴(yán)重程度為S1,暴露于 危險的頻率和（或時間為F1,避免危險的可能 性為P2,要求的安全功能的性能等級為PLr=b。其 組成的典型模塊有承載器、稱重傳感器、AD轉(zhuǎn)換 器、CPU、鍵盤、顯示器等六大部分，其中與功能 安全相關(guān)的部件為稱重傳感器、AD轉(zhuǎn)換器、CPU、 鍵盤、顯示器等5大部分。系統(tǒng)功能安全分析可采 用功能模塊法，電子秤的安全功能模塊圖如圖4所 示。即可理解為該電子地磅作為一個整體單通道, 而五個部分是組成其單通道的各個分單元，只要 求出各個分單元的MTTh,就能利用上面的公式 求出整臺電子地磅的平均危險故障時間MTTFd值。

3）CCF 的估算

根據(jù)GB/T 16855.1-2008中附錄F對防止CCF 措施的逐項(xiàng)評分如表6所示，由于被估算的系 統(tǒng)在各單元的分離性、差異性及環(huán)境條件的要求 上優(yōu)勢明顯，總分可得到85分，足以滿足防止CCF 的要求。

4）判斷類別及PL性能等級

根據(jù)圖3可知，整個通道的MTTFd為“低” (5.65年)，DCavg為“低”，防止CCF的措施足夠 時，對應(yīng)的類別為Cat.3類，性能等級PL=b。

根據(jù)該電子地磅要求的性能等級PLr=b，則滿 足了 PLS PLr的要求。即該通道的功能安全控制系 統(tǒng)能滿足對風(fēng)險減少的要求。根據(jù)GB/T 16855.1-2008中表4的PL與SIL的關(guān)系，可得到 安全完整性等級SIL為1級。

5）系統(tǒng)分析與減少風(fēng)險所采取的保護(hù)措施

①由于通道的安全完整性等級估算SIL為1 級，為減少系統(tǒng)中影響安全功能的故障或失效的 可能性，在系統(tǒng)設(shè)計中應(yīng)減少單元部件中元件的 故障概率，采用經(jīng)驗(yàn)證的高于SIL-1級的安全元 件。例如：對于稱重傳感器單元部件，應(yīng)考慮采 用經(jīng)驗(yàn)證的全密封接線端子，以減少由于防潮密 封不良，而使模擬信號輸出失效；對于數(shù)據(jù)處理 裝置（CPU主板，應(yīng)采用工業(yè)級SIL-2級以上的 電阻、電容元器件等措施。

②本通道經(jīng)估算的類別為Cat.3類，說明當(dāng)發(fā) 生單一故障時，安全功能總是有效的，某些故障 將會被檢測到，無需采用部件單元的冗余設(shè)計措 施。但未發(fā)現(xiàn)故障的累積能導(dǎo)致安全功能的損失， 為避免故障的危險影響，應(yīng)改善通道部件單元的 結(jié)構(gòu)，可以通過改善嵌入式軟件功能的方法實(shí)現(xiàn) 功能結(jié)構(gòu)的完善，例如：在不增加通道中的冗余 部件，而通過不同的故障報警連鎖的方式，避免 故障的危險影響。

通過采用上述兩種措施，除共因失效分析外， 還應(yīng)考慮危險失效和系統(tǒng)失效的分析方法。 由于 本例僅為電子地磅中最基本的結(jié)構(gòu)型式，其中對 于軟件及系統(tǒng)失效還都沒有實(shí)質(zhì)性的計算與分析， 只能作為地磅中最基本的實(shí)例分析。

目前在自動化系統(tǒng)工程中，為了讓設(shè)計工程 師可以輕松地根據(jù)新標(biāo)準(zhǔn)執(zhí)行安全系統(tǒng)化的程序， 一些跨國自動化OEM商開發(fā)了專用的系統(tǒng)安全計 算器，例如：Pilz公司專門開發(fā)了一款軟件工具 PAScal安全計算器，它可以計算機(jī)械設(shè)備安全功 能的PFHd值。根據(jù)ISO 13849，將制定的性能指 標(biāo)對結(jié)果進(jìn)行驗(yàn)證，或根據(jù)IEC 62061，采用安全 完整性等級SIL進(jìn)行驗(yàn)證，并列出需要采取的所有 措施，通過圖例向用戶顯示何處可能需要提高安 全等級，大大方便了用戶的系統(tǒng)設(shè)計選型。

四、功能安全與EMC環(huán)境的關(guān)系

IEC 61326-3- 1 “測量、控制和實(shí)驗(yàn)室用的電 氣設(shè)備電磁兼容性要求第3-1部分：與安全相關(guān) 系統(tǒng)和執(zhí)行與安全相關(guān)功能設(shè)備叻能安全的 抗擾度要求一般工業(yè)應(yīng)用”，該標(biāo)準(zhǔn)應(yīng)用于當(dāng)安 全相關(guān)系統(tǒng)在執(zhí)行安全功能時，如果遇到諸如電 磁輻射等各類騷擾時，可能會產(chǎn)生錯誤、誤動作、 故障和損壞，從而導(dǎo)致安全相關(guān)系統(tǒng)的性能下降 或失效，甚至引起危險時，規(guī)定了安全相關(guān)系統(tǒng) 設(shè)備的抗擾度水平的要求。強(qiáng)調(diào)了電氣/電子/可 編程電子（E/E/PE安全相關(guān)系統(tǒng)對系統(tǒng)的EMC 特性進(jìn)行評估，以保證要求SIL規(guī)定的失效率。

五、風(fēng)險評估的流程

首先要確定當(dāng)前或者發(fā)展中可能存在的風(fēng)險 等級，通過評估、設(shè)計、選擇、驗(yàn)證以及維護(hù)等 一系列程序來建立真正安全的生產(chǎn)環(huán)境，這些都 要遵循相關(guān)的國際安全標(biāo)準(zhǔn)和規(guī)則。較為復(fù)雜的 工業(yè)產(chǎn)品系統(tǒng)能夠達(dá)到何種安全等級（SIL3等級 以上的要求由第三方機(jī)構(gòu)進(jìn)行認(rèn)證。目前我國 主要由一些權(quán)威的外資機(jī)構(gòu)如德國TUV公司等在 中國開展了產(chǎn)品安全等級測試及認(rèn)證工作?；?/span> IEC 61508、IEC 61511、IEC13849- 1、IEC 62061 等標(biāo)準(zhǔn)，對安全設(shè)備的安全完整性等級(SIL)或者 性能等級(PL)進(jìn)行評估和確認(rèn)的一種第三方評估、 驗(yàn)證和認(rèn)證。功能安全認(rèn)證主要涉及針對安全設(shè) 備開發(fā)流程的文檔管理FSM評估，硬件可靠性 計算和評估、軟件評估、環(huán)境試驗(yàn)、EMC電磁兼 容性測試等內(nèi)容。

㈠如何確認(rèn)供應(yīng)商聲稱的SIL級別（IEC 61508 標(biāo)準(zhǔn)

（1）應(yīng)用條件是否相同 目前很多公司的子系統(tǒng)產(chǎn)品進(jìn)行過IEC 61508認(rèn)證，通過權(quán)威機(jī)構(gòu)認(rèn)證，達(dá)到SIL3級。 但用戶在選擇這種子系統(tǒng)時，要考慮現(xiàn)場采用的 工作條件是否完全相同或相近。 如果系統(tǒng)的工作 條件不同，則需要用分析和測試的方法來論證該 系統(tǒng)的SIL可能達(dá)到的水平，以保證該系統(tǒng)可用于 安全領(lǐng)域。

（2）對評估員或評估機(jī)構(gòu)獨(dú)立性的要求 IEC 61508規(guī)定，對系統(tǒng)、子系統(tǒng)或器件進(jìn)行SIL級別評估的必須是相對獨(dú)立的人或組織。對 于SILl,只需要同一個組織中的一個獨(dú)立人，SIL2 則需要一個獨(dú)立的部門。至于SIL3和SIL4則要求 獨(dú)立的組織以及評估員具有合格的工作能力。

中國功能安全中心于1999年成立，專門跟蹤 國際功能安全相關(guān)標(biāo)準(zhǔn)發(fā)展、研究其應(yīng)用并進(jìn)行 技術(shù)轉(zhuǎn)化的專業(yè)性機(jī)構(gòu)。主持完成了等同采用國 際標(biāo)準(zhǔn)IEC 61508的中國國家標(biāo)準(zhǔn)制定（GB/T 20438-2006以及等同采用國際標(biāo)準(zhǔn)IEC 61511 的中國國家標(biāo)準(zhǔn)制定（GB/T 21109-2007 ；下屬 的功能安全技術(shù)研發(fā)中心（FSchm)是國內(nèi)負(fù)責(zé) 功能安全/SIL相關(guān)技術(shù)的推廣、培訓(xùn)、研究和認(rèn) 證評估工作，在國際上代表中國參與功能安全 /SIL等相關(guān)技術(shù)標(biāo)準(zhǔn)的制修訂工作（對口國際組 織 IEC TC65A。

(3）對機(jī)器進(jìn)行過危險性分析后，制造商可 以采取如下三種措施來減少事故的可能性，將機(jī) 器的危險性降低到可以承受的程度：

1）在設(shè)計機(jī)器時將可能出現(xiàn)的危險降低到最?。?/span>

2）對于無法避免的危險，采取必要的安全保 護(hù)措施；

3）對用戶進(jìn)行培訓(xùn)，避免剩余危險可能導(dǎo)致 的傷害。

為達(dá)到上述標(biāo)準(zhǔn)的各類安全等級，最常用的 設(shè)計方法為熱備份的冗余設(shè)計方法。例如：安全 開關(guān)的雙觸點(diǎn)結(jié)構(gòu)、安全繼電器的雙通道輸入、 安全PLC的雙CPU結(jié)構(gòu)、控制軟硬件的冗余設(shè) 計。此類設(shè)計方法已經(jīng)或正引起越來越多的產(chǎn)品 設(shè)計與應(yīng)用部門的重視。

（4）地磅產(chǎn)品的機(jī)電部件設(shè)計安全的具體要求

1）對于作旋轉(zhuǎn)運(yùn)動的零部件應(yīng)裝設(shè)防護(hù)罩或 防護(hù)擋板、防護(hù)欄桿等安全防護(hù)裝置，以防發(fā)生 絞傷。

2）對于超壓、超載、超溫度、超時間、超行 程等能發(fā)生危險事故的零部件，應(yīng)裝設(shè)保險裝置， 如超負(fù)荷限制器、行程限制器、安全閥、溫度繼 電器、時間斷電器等等，以便當(dāng)危險情況發(fā)生時， 由于保險裝置的作用而排除險情，防止事故的發(fā) 生。

3）對于某些動作需要對人們進(jìn)行警告或提醒 注意時，應(yīng)安設(shè)信號裝置或警告牌等。如電鈴、 喇叭、蜂鳴器等聲音信號，還有各種燈光信號、 各種警告標(biāo)志牌等都屬于這類安全裝置。

4）對于某些動作順序不能搞顛倒的零部件應(yīng) 裝設(shè)聯(lián)鎖裝置。即某一動作，必須在前一個動作 完成之后，才能進(jìn)行，否則就不可能動作。這樣 就保證了不致因動作順序搞錯而發(fā)生事故。

(5）地磅產(chǎn)品的安全儀表系統(tǒng)具體設(shè)計要求

1）考慮完整的安全儀表回路設(shè)計；

2）采用冗余谷錯技術(shù)；

3）考慮系統(tǒng)在線可維護(hù)性；

4）使用在線測試技術(shù)；

5）重視整個安全生命周期內(nèi)設(shè)計、實(shí)施、維 護(hù)規(guī)范；

6）要有獨(dú)立的團(tuán)隊負(fù)責(zé)整個項(xiàng)目的管理和實(shí)施。

六、功能安全在工業(yè)地磅技術(shù)中的應(yīng)用 功能安全控制系統(tǒng)的宗旨是提高工業(yè)產(chǎn)品的 可靠性與安全性。目前在我國工業(yè)自動衡器的產(chǎn) 品中采用功能安全集成控制系統(tǒng)已初露端倪。例 如：重量自動分選衡器、連續(xù)累計自動衡器中皮 帶秤、給煤機(jī)、皮帶配料秤、重力式自動裝料衡 器中的大型稱重配料系統(tǒng)、產(chǎn)品稱重包裝生產(chǎn)線、 動態(tài)滾道秤、動態(tài)膠料秤等產(chǎn)品中，一些卓有遠(yuǎn) 見的用戶已經(jīng)提出了功能安全集成控制系統(tǒng)的要 求。促使產(chǎn)品設(shè)計開發(fā)人員在稱重系統(tǒng)的設(shè)計中 將安全鎖、安全急停按鈕、拉線急停開關(guān)、感應(yīng) 式安全光幕以及控制柜中的安全繼電器、安全 PLC以及安全型現(xiàn)場總線等軟硬件動作互相關(guān)聯(lián), 組成一個完整的功能安全集成控制系統(tǒng)。

作為一個設(shè)計人員應(yīng)該在機(jī)器的設(shè)計上把危 險降低到最小，就必須采用安全控制類產(chǎn)品。以 下將結(jié)合我公司近期在工業(yè)自動衡器產(chǎn)品設(shè)計中 的一些應(yīng)用實(shí)例，分別介紹各種安全功能部件的 應(yīng)用。

(一）安全互鎖開關(guān)

安全互鎖開關(guān)是指通過強(qiáng)制斷開動作結(jié)構(gòu)， 即使在接點(diǎn)熔接時也能確保功能安全。

產(chǎn)品分為非接觸式、機(jī)械連鎖式兩種。例如： 安全門鎖、舌簧互鎖開關(guān)、安全限位開關(guān)、非接 觸式安全開關(guān)等。上述用于安全互鎖開關(guān)的共同 特點(diǎn)是必須要有兩個并列的安全回路。如：兩路 常開或兩路常閉。

(二）安全繼電器

安全繼電器與一般繼電器不同，具有強(qiáng)制導(dǎo) 向的接點(diǎn)結(jié)構(gòu)，即使在接點(diǎn)熔接時也能確保功能 安全。安全繼電器一般與安全開關(guān)配套使用，具 有雙通道檢測功能。

安全繼電器的主要技術(shù)指標(biāo)如下：

(1）接點(diǎn)間隔不僅在通常運(yùn)行狀態(tài)而且在發(fā) 生故障狀態(tài)也應(yīng)達(dá)到0.5mm以上：

(2）接點(diǎn)負(fù)載開關(guān)應(yīng)符合AC15、DC13的要求；

(3機(jī)械壽命為1000萬次以上。

(三）急停裝置

該裝置主要用于緊急停車系統(tǒng)。 產(chǎn)品主要有 安全拉繩開關(guān)、急停按鈕等。該類設(shè)備用于一旦 系統(tǒng)出現(xiàn)異常故障，使操作者能在最短的時間， 最近的位置實(shí)施緊急停車。 例如在產(chǎn)品的包裝線 上、物料配料稱重輸送線上、皮帶秤和定量給料 機(jī)、給煤機(jī)的側(cè)面需使用安全拉繩開關(guān)。

(四）感應(yīng)式安全裝置

該類裝置屬于主動安全防護(hù)，無需在設(shè)備和 操作者之間設(shè)置硬件防護(hù)。主要感應(yīng)生產(chǎn)線上的 操作者或移動設(shè)備。較為典型的產(chǎn)品有安全光柵/ 光幕、安全掃描儀等。在地磅行業(yè)應(yīng)用最多的是 安全檢測光柵/光幕。在產(chǎn)品包裝熱封設(shè)備前用于 防止操作者手動誤操作的紅外線安全光柵；設(shè)置 在動態(tài)公路稱重收費(fèi)站秤臺邊的車輛檢測光幕。

安全光幕還有光束屏蔽功能，由于工藝需要 把光幕中的個別光束屏蔽不起作用。光幕輸出為 OSSD信號，該信號有短路輸出、過載保護(hù)、PNP 輸出及交叉檢測等功能。安全光幕還有外部設(shè)備 監(jiān)控功能，通過外部執(zhí)行器的斷開檢測是否正常 工作。

(五）安全PLC

目前市場上已有封裝型可編程安全控制器、 集成安全控制器和安全I/O，通過RSNetWork編 程，通訊采用DeviceNet和EtherNet/IP，該類產(chǎn)品 最大的特點(diǎn)是采用標(biāo)準(zhǔn)與安全的兩套CPU控制， 并實(shí)現(xiàn)安全通訊。

(六）現(xiàn)場總線系統(tǒng)的功能安全評價

現(xiàn)場總線系統(tǒng)所起的作用是通信，它包括一 組硬件和軟件，允許兩個或多個裝置之間信息交 換。在受控過程中，它不應(yīng)該傳播或建立會產(chǎn)生 危險情形的錯誤。它應(yīng)能找出數(shù)據(jù)的訛誤，保證 實(shí)時數(shù)據(jù)的傳送、傳遞應(yīng)有序，避免混亂。同時 應(yīng)能隨時了解可能出現(xiàn)的故障狀態(tài)，避免出現(xiàn)因 通信錯誤觸發(fā)不合理的安全動作，例如使過程在 不該停止時停了下來，或使過程在出現(xiàn)故障時還 繼續(xù)工作等。

(1）現(xiàn)場總線系統(tǒng)安全功能評價的方法，要 證明一個系統(tǒng)或子系統(tǒng)是否可以用在安全領(lǐng)域， 是否符合IEC 61508標(biāo)準(zhǔn)，有兩個途徑：

1）按照IEC 61508的原則設(shè)計一個新系統(tǒng)；

2）沿用以前已經(jīng)使用并證明是安全的系統(tǒng)， 用“Proven in use使用中證實(shí)”方法來驗(yàn)證。

(2）目前世界上重要的設(shè)備供應(yīng)商都開始對 自己的產(chǎn)品進(jìn)行這方面認(rèn)證工作。Proven in use的 限制條件：

1 ）Proven in use方法只能用于那些滿足相關(guān) 要求的功能和接口子系統(tǒng)；

2）子系統(tǒng)的工作條件與原子系統(tǒng)的工作條件 完全相同或十分相近；

3）如果子系統(tǒng)的工作條件不同，則需要用分 析和測試的方法來論證該系統(tǒng)的功能安全完整性 可能達(dá)到的水平，以保證該系統(tǒng)可用于安全領(lǐng)域；

4）聲明的失效率有足夠的統(tǒng)計學(xué)數(shù)據(jù)基礎(chǔ)；

5）收集有足夠的失效數(shù)據(jù)；

6）考慮了子系統(tǒng)的復(fù)雜性，子系統(tǒng)對風(fēng)險降 低的貢獻(xiàn)，子系統(tǒng)失效對整個系統(tǒng)可能造成的后 果、新設(shè)計等。

上述各種安全部件可以組成一個完整的功能 安全集成控制系統(tǒng)。在工業(yè)地磅的系統(tǒng)設(shè)計中應(yīng) 根據(jù)現(xiàn)場的不同安全等級要求選擇不同的功能安 全器件及功能安全系統(tǒng)。

七、結(jié)語

在功能安全控制系統(tǒng)的應(yīng)用已經(jīng)風(fēng)靡全球工 業(yè)界的今天，工業(yè)衡器特別是自動衡器如何緊跟 這一時代發(fā)展的新潮流，已經(jīng)成了我國衡器行業(yè) 技術(shù)發(fā)展急需提出的新課題。盡管越來越多的地磅產(chǎn)品最終用戶和制造商已經(jīng)意識到安全的重要 性，但并未認(rèn)識到應(yīng)從系統(tǒng)上根本解決安全的問 題，安全理念和相關(guān)技術(shù)與標(biāo)準(zhǔn)的實(shí)施在我國地磅行業(yè)推廣的道路仍然漫長。愿本文能在地磅行 業(yè)起到一定的推動促進(jìn)作用。