數控車床與車削中心功能安全設計方法的研究

周肇元

(沈陽機床(集團)有限責任公司，遼寧 沈陽 110142)

隨著GB 22997-2008《機床安全 小規格數控車床與車削中心》與GB 22998-2008 機床安全 大規格數控車床與車削中心》兩個標準的實施，車類數控機床在其功能安全設計上進入了新的時代。本文將對這兩個標準進行深入的解讀。

1 概述

GB 22997-2008 標準是在歐洲標準EN 12415:2000 的基礎上等效修改而來，GB22998-2008 標準是在歐洲標準EN 12478:2000 的基礎上等效修改而來。這兩個標準大同小異，本文僅針對GB 22997-2008 標準進行分析。

國際上對機械電氣安全有兩套成熟的體系，一類是以IEC 61508 為基礎的IEC 62061，其對應國標為GB 28526-2012《機械電氣安全 安全相關電氣、電子和可編程電子控制系統的功能安全》。另一類即是ISO 13849-1。

這兩套標準體系的側重點不同，IEC 62061 更適合用來評估比較復雜的電子系統，其根據相關計算得出每個控制通道的PFH(每小時的危險失效概率)將元件或者系統分為了3 個SIL 等級，即SIL1 級、SIL2 級、和SIL3 級，但不僅是針對電子電氣系統;當然它也參照了IEC 60204、ISO 12100 和ISO 13849 等，但主要是參照了其中對機械安全和電氣安全的要求。ISO 13849 則不然，它基本上還是傳承了EN 14121 和EN 954 的基本原則，側重于分析控制電路的結構，按照電路結構，將電路分成B、1、2、3、4 共5 個類別，再輔以適當的MTTF 值和DC 值，來達到預期的PL(performance level)等級a、b、c、d、e 這5 個等級。

由此可以看出，使用ISO 13849 對機床的安全電路進行評估，會比較方便，GB 22997-2008 中也確實是這么做的。

ISO 13849-1:2006 的等效國標為GB/T 16855.1-2008《機械安全 控制系統有關安全部件第1 部分:設計通則》，該標準是我們解讀GB 22997 的理論基礎。

2 風險評估

風險評估是以系統方法對與機械有關的風險進行分析和評價的一系列邏輯步驟，風險評估之后需要進行風險減小。為了盡可能通過采取保護措施消除危險或充分減小風險，有必要重復進行該過程。

保護措施是設計者和使用者根據圖1 所采取的措施的組合。在設計階段采取的措施優于在試用階段由使用者采取的措施，而且通常更有效。

對應到數控車床的安全設計上，首先要按照GB/T 15706-2012 中第4 章和GB/T 16856.1-2008 的規定進行安全評估，最終形成危險一覽表。然后設計者應根據圖1 所示流程分3 步采取保護措施:第1 步需要提高機械部分的本質安全設計，比如在危險區域設置防護裝置等;第2 步開始進行功能安全設計，即是本文的宗旨;第3 步是在功能安全設計無法顧及的方面設置安全提示。

GB 22997-2008 標準中已將小規格數控車床上涉及的風險進行了詳細的評估，并已形成詳盡的危險一覽表，同時對各項危險指標給予了明確的安全要求和保護措施。本文將針對標準中涉及控制系統的幾項重要的功能安全部分進行詳細解讀。

3 控制系統相關功能安全設計

3.1 起動

GB 22997-2008 對該部分的要求除了要符合GB 5226.1-2008 的相關規定外，特殊做了下面的強調，“起動和重新啟動應符合GB/T 16855.1-2008 中規定的1 類要求”。

GB/T 16855.1-2008 即等效ISO 13849-1:2006，該標準的最終目的是要使控制電路的結構達到其預期的PL 等級。而Cat.類別是計算PL 等級水平的結構因素。

Cat.1 類結構是一種單通道的系統(圖2)，同時屬于1 類的SRP/CS 應采用經驗證的元件和經驗證的安全原則來設計和構造。在有關的應用中，“經驗證的元件”是指下列之一:

(a)在過去類似的應用中取得了成功效果的元件。

(b)在有關安全的應用中，采用證明了其實用性和可靠性的原則而制造的且經過驗證的元件。

如果最新開發的元件和行程的安全原則滿足(b)中的條件，那么可認為其與“經驗證的”等效。決定是否接收一個特殊元件作為“經驗證的”元件取決于實際應用。

每個通道的MTTFd(平均危險失效時間)應是最高的。

綜上所述，起動回路的設計方法維持單通道即可，但需保證回路中的元件是“經驗證的元件”。

對于起動的其他一些動作要求，參見GB 22997-2008 標準的5.1.3 中的規定執行。

3.2 運行中停止

GB 22997-2008 標準中規定，在機床運行中停止時，除了需要符合GB 5226.1-2008 中9.2.2 規定的2 類停止要求，對于需保持動力的工件夾持主軸，應配有主軸驅動監視器。監視器應滿足GB/T 16855.1-2008 中規定的3 類要求。

GB 5226.1-2008 中關于停止功能的3 種類型規定如下:

0 類:用即刻切除機械致動機構動力的辦法停車(即不可控停止);

1 類:給機械致動機構施加動力去完成停車并在停車后切除動力的可控停止;

2 類:利用儲留動能施加于機械致動機構的可控停止。

GB/T 16855.1-2008 中對Cat.3 類結構要求:3 類的SRP/CS 的設計應使得任何這些部件中的單一故障都不會導致安全功能喪失。只要合理可行，在有關安全功能的下一個指令發出時或發出之前應檢測出單一故障(圖3)。

簡而言之，Cat.3 類結構是一種雙通道冗余設計，符合3 類要求的電路具備在任意一個通道出現故障時，另一個通道可以檢測出故障并觸發相應的安全保護功能。

根據標準要求，在車床工件主軸的功能設計時，對其停止時的零速監控需要進行雙通道冗余設計，在數控系統與驅動系統的零速監控基礎上，需額外附加一組獨立的電路用以確保主軸處于零速狀態。這里可以使用Pilz 等公司生產的速度監控模塊來實現。

對于運行中的其他一些動作要求，參見GB 22997-2008 標準的5.1.4 中的規定執行。

3.3 緊急停止

緊急停止功能是機床功能安全設計的一項十分重要的指標。GB 22997-2008 規定該功能應符合GB 5226.1-2008 中9.2.2 規定的1 類停止要求，并符合GB 5226.1-2008 中9.2.5.4 和GB/T 16754-2008 的有關規定。

除此之外，標準中更是強調了緊急停止功能如果采用硬線控制，應符合GB/T 16855.1-2008 中規定的1 類要求。對于其他情況(如軟件控制)應符合GB/T 16855.1-2008 中規定的3 類要求。

換言之，緊急停止功能如果通過硬件線路實現，即按下急停按鈕實現可控停止后，即將整個致動機構的外部供電切斷，此時使用單通道的電路結構即可符合要求。但是如果將緊急停止的信號接入運算部件(如PLC)，通過軟件進行緊急停止，就需要對進行雙通道冗余設計方式。因此建議緊急停止功能應盡量使用硬件線路，通過安全繼電器進行控制以實現標準中的要求。

對于緊急停止的其他要求，參見GB 22997-2008 標準中5.1.5 中的規定執行。

3.4 模式選擇

GB 22997-2008 中規定機床必須設置兩種工作方式，即生產工作方式和調整工作方式，圖4 對兩種工作方式下的機床安全措施進行了解釋。對于這兩種工作方式必須設置工作方式選擇開關，選擇開關在所選方式下能鎖住。同時按照GB 5226.1-2008 中9.2.3 的規定，應采取合適的措施(如鑰匙開關、通路編碼)來防止工作方式選擇可能引起的險情。因此強烈建議該選擇開關使用鑰匙開關。

GB 22997-2008 中還規定選擇功能應符合GB/T 16855.1-2008 中的1 類要求(見3.2)。

3.4.1 生產工作方式

在生產工作方式下，當活動式防護裝置脫開時，機床部件應停止運動，下列情況除外:換工件時，工件夾具的脫開和閉合運動;主軸運轉由自復位命令裝置(瞬時開關)控制，轉速≤50 r/min。

只有當聯鎖的活動式防護裝置閉合時，才允許其他的運動。

標準中對這部分的講解，簡單來說即是在生產工作方式下，當機床主防護門打開時，機床各軸均應停止運動。此時僅允許執行卡盤松卡的動作，并且主軸僅允許點動操作，同時速度限制為最高50 r/min(對應大型數控車床及車削中心，此項參數有區別，具體參見GB 22998-2008)。

3.4.2 調整工作方式

在調整工作方式下，當活動式防護裝置脫開時，機床部件的運動，應在下列條件下進行:

(1)軸線運動最高速度≤2 m/min。只允許用自復位命令裝置(瞬時開關)(符合GB/T 16855.1-2008 中規定的3類要求)控制，移動距離≤6 mm。

(2)工件主軸和/或刀具主軸的轉速≤50 r/min，并且運動由自復位命令裝置(瞬時開關)控制。

(3)只有當操作者的雙手處在危險之外時，才允許刀架轉動/分度。如采用GB/T 19671-2005 中6.2 規定的II 行或IIIB 型雙手操縱開關，或采用同使能裝置一起使用的自復位命令裝置(瞬時開關)。

(4)尾座套筒的操作，有自復位命令裝置(瞬時開關)控制。所采用的安全裝置和措施，如在自復位命令裝置(瞬時開關)控制下，降低刀具、主軸和軸線運動的運行速度;采用雙手操縱開關或同使能裝置一起使用的自復位命令裝置(瞬時開關)，轉動/分度轉塔刀架，僅應在調整方式下進行。

標準中對這部分的講解，簡而言之即在調整工作方式下，軸向運動的機床軸只能點動操作(該點動按鍵回路必須為雙通道冗余控制，如數控系統具備相關認證，可使用系統自帶按鍵操作，如果系統不具備相關認證，必須自行設計控制回路予以實現)，并且速度限制為最高2 m/min。主軸也僅允許點動操作運行，同時速度限制為最高50 r/min(對應大型數控車床及車削中心，此項參數有區別，具體參見GB 22998-2008)。

3.5 速度控制

GB 22997-2008 中規定對于監控共建主軸和刀具主軸速度的控制系統安全部件，應符合GB/T 16855.1-2008 中規定的3類要求(見3.2);對于監控軸線運動速度的控制系統安全部件，應符合GB/T 16855.1-2008 中規定的2 類要求。

GB/T 16855.1-2008 中對Cat.2 類結構要求:

2 類的SRP/CS 的設計應使其功能按照適當的時間間隔通過及其控制系統進行檢查(圖5)。安全功能的檢查應在以下情況下進行:在機器啟動時，或某種危險狀況發生之前，例如新周期開始時、其他運動開始時、和(或)如果風險評價和操作類型表明是有必要的，周期性定期運行期間。

該檢查可能是自動進行的。安全功能的任何檢查應做到如果沒有檢測到故障，允許運行;或者如果檢測到故障，產生觸發適當控制動作的輸出。

只要可能，這種輸出應產生一種安全狀態。安全狀態應保持到故障清除為止。當不可能產生安全狀態時(例如終極開關裝置中的觸點焊合)，該輸出應發出危險警告。

簡而言之，Cat.2 類結構是一種單通道有監控的設計，因此軸向運動的機床軸應確保配置全閉環控制系統，同時數控系統應具備相應的認證。

4 結語

GB 22997-2008《機床安全 小規格數控車床與車削中心》與GB 22998-2008《機床安全 大規格數控車床與車削中心》標準的實施代表了我國在機床功能安全設計方面與國際接軌的決心。同時為了適應及過渡，國標中并沒有執行ISO 13849-1:2006 的核心性能等級PL，而是使用了EN954 時代的結構等級(B、1、2、3、4 等5 類)標準。國內的機床廠家應及早對各自的產品進行結構上的改進，以免落后于時代的潮流。

［1］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB 5226.1-2008，機械電氣安全 機械電氣設備第1 部分:通用技術條(IEC 60204-1:2005，IDT)［S］.北京:中國標準出版社，2009.

［2］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 15706-2012，機械安全 設計通則 風險評估與風險減小(ISO 12100:2010，IDT)［S］.北京:中國標準出版社，2013.

［3］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 15760-2004，金屬切削機床 安全防護通用技術條件［S］.北京:中國標準出版社，2005.

［4］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB 16754-2008，機械安全 急停 設計通則(ISO 13850:2006，IDT)［S］.北京:中國標準出版社，2008.

［5］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 16855.1-2008，機械安全 控制系統有關安全部件 第1 部分:設計通則(ISO 13849-1:2006，IDT)［S］.北京:中國標準出版社，2008.

［6］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 16856.2-2008，機械安全 風險評價 第2部分:實施指南和方法舉例(ISO/TR 14121-2:2007，IDT)［S］.北京:中國標準出版社，2009.

［7］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB 22997-2008，機床安全 小規格數控車床與車削中心(EN 12415:2000，MOD)［S］.北京:中國標準出版社，2009.

［8］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB 22998-2008，機床安全 大規格數控車床與車削中心(EN 12478:2000，MOD)［S］.北京:中國標準出版社，2009.

［9］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB 28526-2012，機械電氣安全 安全相關電氣、電子和可編程電子控制系統的功能安全(IEC 62061:2005，IDT)［S］.北京:中國標準出版社，2012

［10］張建國.淺談機械安全-E/E/PE 控制系統的功能安全標準IEC 62061［J］.中國儀器儀表，2009(5):49-55.