一種功能安全型安全繼電器的開發流程

闞明生 曹萃文

(華東理工大學化工過程先進控制和優化技術教育部重點實驗室，上海 200237)

一種功能安全型安全繼電器的開發流程

闞明生 曹萃文

(華東理工大學化工過程先進控制和優化技術教育部重點實驗室，上海 200237)

為了實現功能安全型安全繼電器的國產化，研究了安全繼電器的基本原理，并對與安全繼電器開發有關的功能安全標準進行了解讀。結合進口安全繼電器的實際應用情況，提出了一種緊湊型安全繼電器開發設計的流程，并對流程中的風險分析、確定方案、產品實現和功能安全認證等核心步驟進行了詳細的介紹。此流程在后續的典型產品實現過程中得到了充分的驗證，對開發安全控制系統相關的安全部件具有一定的指導意義。

安全繼電器 功能安全 安全邏輯部件 性能等級 安全完整性等級 失效模式和影響分析(FMEA)

0 引言

隨著工業自動化水平的不斷提高，人們在追求更高生產率的同時，將注意力越來越多地轉向了生產的安全性。在工業自動化安全領域，國外早在20世紀80年代末就推出了用于安全控制的安全繼電器產品，后來又逐漸開發出安全PLC和安全總線控制系統，并往可編程安全控制設備方向發展。而我國在該領域的研究還處于起步階段。近年來國內企業對安全產品的需求量逐年增加，不少規模較大的企業紛紛引進國外現成的安全設備，但這些設備價格昂貴，增加了企業的投資成本，尤其限制了不少中小型企業對安全產品的使用。就安全繼電器來說，國內市場基本被外國公司壟斷，如德國的皮爾磁(Pilz)、德國的施邁賽(Schmersal)、日本的歐姆龍(Omron)等。近兩年，雖然國內也出現了少量國產安全繼電器產品，但是這些安全產品大多沒有獲得國際權威機構的功能安全認證，與進口安全繼電器產品相比沒有實質的競爭力。如何依據相關功能安全國際標準開發出安全設備，實現安全產品的國產化，并最終獲得國際權威機構的功能安全認證是擺在我們面前的關鍵問題。

1 安全繼電器的基本原理

安全繼電器作為安全控制系統的一部分，是一種典型的安全功能執行部件，被廣泛應用于一些低等或中等復雜程度的機械設備和控制系統中。安全控制系統在開車、停車、出現工藝擾動以及正常維護、操作期間對生產裝置提供安全保護。一旦工廠裝置本身出現危險，或由于人為原因而導致危險時，系統立即做出反應并輸出正確信號，使裝置安全停車，以阻止危險的發生或事故的擴散[1]。安全控制系統的組成結構如圖1所示。

除了實現基本的安全功能外，安全繼電器還必須保證在系統出現故障的情況下仍然能夠保證安全。對于可以預見的故障，安全繼電器通過預先設定的控制邏輯能夠使系統處于安全狀態，并能夠檢測出故障類型及故障所在位置。安全繼電器內部采用的都是經過驗證的可靠的元器件，一般情況下不會出現故障，即使由于硬件隨機失效而引起的安全功能危險失效率也被控制在一個極低的水平。

為了達到可靠安全控制的要求，安全繼電器采用了多種有效措施。在結構上，采用了冗余的雙通道設計，并且兩個通道在邏輯上相互監控和制約。在硬件上，采用經驗證的可靠的電子元器件，繼電器模塊采用了強制導向接點的特殊設計。在軟件上，采用了多種程序可靠性設計方法，并且能夠通過軟件對可以預見的故障進行檢測。在接線上，可以通過觸點反饋、復位按鈕等方式防止機器意外重啟。

緊湊型安全繼電器從設計角度來說，大致可分為兩大類：一類是完全由硬件構成，這些硬件按照較為復雜而又嚴密的邏輯關系相互組合，保證了安全功能的實現；另一類是由硬件和軟件構成，其安全功能更多地依賴軟件的檢測功能。第一類安全繼電器的安全性能比較可靠，但是故障檢測功能不強；第二類安全繼電器的安全性能需要由穩定可靠的軟件來保障，因而安全性能降低不少，但是它的故障檢測功能大大增強。

2 相關功能安全標準

安全繼電器是滿足功能安全要求的安全相關系統的邏輯控制部件，安全繼電器主要應用于機械類的安全相關系統。因此，安全繼電器的開發設計，應符合以下標準要求。

首先，作為滿足功能安全要求的安全相關系統的一部分，安全繼電器的開發必須符合功能安全基礎標準IEC 61508[2]的要求，在基礎標準的大框架下開展更加細致的工作。

其次，作為機械類的安全相關系統的一個部件，安全繼電器的設計應符合機械類的功能安全標準如IEC 62061[3]或者ISO 13849[4]。這兩個標準均規定了設計和執行機器控制系統有關安全部件的要求。根據這兩個標準的范圍，采用其中任何一個標準都可假定安全繼電器滿足相關的基本安全要求[4]。

第三，由于安全繼電器大多由電子元器件構成，因此在設計時還應參照機械電氣安全標準IEC 60204[5]中有關電氣安全設計的要求。

最后，結合安全繼電器執行的具體安全功能，還要參考機械安全標準體系中的有關內容，如機械安全類緊急停止設計原則ISO 13850[6]、機械安全類防止意外啟動設計原則ISO 14118[7]、機械安全類雙手操縱裝置功能狀況及設計原則ISO 13851[8]等。

3 安全繼電器的開發過程

3.1 風險評價

風險評價的第一步是識別風險。經過考察和分析，可以通過由安全繼電器構成的安全控制系統來降低的風險如下。

① 機器操作出現異常，加工出不合格產品，不能及時停止機器，造成原材料損失。

② 操作工人或維修人員進入機器運作區域時，機器不能及時停止運行或機器突然意外啟動，都可能造成人身傷害。

③ 在由人操控機器運行且操作人員與機器交互頻繁的場合，操作人員的肢體尚未完全離開危險區域時機器突然啟動，可能造成人身傷害(尤其是操作人員的手)。

針對上述可識別到的風險，要確定相應的安全功能來降低風險。對于每個安全功能，需要確定該安全功能所需的性能等級(performance level，PL)或安全完整性等級(safety integrity level，SIL)。該安全功能及其所需的PL等級或SIL等級由相應的安全控制系統來實現。由安全繼電器構成的安全控制系統實現的安全功能主要有安全停止功能和安全操作功能兩類。對于上述識別到的三種主要風險，各自所需的安全功能和負責實現該安全功能的安全控制系統如表1所示。

表1 風險評價結果

3.2 確定所需的PL等級和SIL等級

用于實現安全停止功能的安全繼電器可以與急停按鈕或帶限位開關的安全門配合使用，實現降低風險1或風險2所需的安全功能。用于實現安全操作功能的安全繼電器可以與雙手操縱裝置配合使用，實現降低風險3所需的安全功能。

ISO 13849-1指出，安全控制系統所要實現的安全功能的PL等級取決于風險評價的結果，并且參考了控制系統有關安全部件實現的風險減小量。風險減小總和越多，單個風險所需的性能等級(PLr)就越高。ISO 13849-1借助風險圖進行風險評估，評價標準包括傷害的嚴重性、暴露于危險的頻率和避免風險的可能性三個方面。評價的結果用單個風險所需的性能等級(PLr)來表示，它共有a、b、c、d、e五個等級，其中等級e最高，等級a最低。風險評估針對單個風險，從風險圖上的起始點開始，對每個評價變量逐一判定，沿著相應的路徑得到所需的性能等級。

前面已經講過，ISO 13849標準和IEC 62061標準在內容上有非常緊密的聯系，因此，用上述方法確定了PLr以后，可以根據ISO 13849-1中的表4找到與之對應的SIL等級。

3.3 設計方案

經過風險評價，用于監控急停按鈕或安全門的安全繼電器的PL等級至少應達到PLe級，SIL等級至少應達到SIL3級；用于監控雙手操縱按鈕的安全繼電器的PL等級應達到PLe級，SIL等級應達到SIL3級。

根據ISO 13849-1，安全設備的PL等級主要由結構類別Cat.(Category)、單個通道的平均危險故障時間(mean time to dangerous failure，MTTFd)、診斷覆蓋率(diagnose coverage，DC)和共因失效(common cause failure，CCF)四個因素確定，如圖2所示。由圖2可知，如果采用結構類別3或4，那么PL等級至少達到PLe級,對MTTFd和DC的要求相對寬松，在一定程度上增加了設計的可行性。事實上，市面上的安全繼電器產品均采用了結構類別3或者4。

設計方面需要考慮的因素很多，如機械設備的特點、工藝操作的特點、安全設計理念、人為因素等。綜合上述多種因素，給出一種應用于安全停止功能的安全繼電器的設計方案。

圖2 PL與每個通道的類別、DCavg和MTTFd的關系

依據ISO 13849-1第六章的相關要求，采用雙通道冗余結構，確保發生一個故障時不能導致安全功能失效。采用經驗證的元器件，用簡單元器件搭建邏輯控制電路，不采用復雜的可編程器件。經驗證的元器件見ISO 13849-1附錄C。安全控制邏輯如表2所示，表中列出了所有可能發生的輸出狀態變化的情況。采用此控制邏輯,可以實現如下監測功能:①監控輸入設備斷路故障;②監控輸入設備短路故障;③監控兩個輸入設備之間的短路故障;④監控內部輸出觸點熔焊故障;⑤監控外部接觸器輸出觸點熔焊故障。

當發生上述任意一個故障時，在故障未排除之前，機器無法重新啟動。此外，設計應符合ISO 13849-1附錄F對防止共因失效(CCF)的要求。如可以采用如下措施，確保CCF評分達到65分以上。

① 信號路徑之間采用物理分離。

② 采用差異性設計。如雙通道采用不同的技術或物理原則。

③ 采用過電壓、過電流等保護措施。

④ 設計中考慮故障分析的結果。

⑤ 根據適當的標準，通過防止電磁干擾的影響來防止CCF。

⑥ 設計時考慮其他環境因素，如溫度、沖擊、振動、濕度等的抗擾性要求。

表2 應用于安全停止功能的安全繼電器控制邏輯

安全繼電器的內部框圖及應用其搭建的安全控制系統示意圖如圖3所示。

圖3 安全繼電器的內部框圖及安全控制系統示意圖

它有兩個通道，每個通道均包含一個輸入裝置、若干與邏輯控制有關的器件和一個內部繼電器單元。其中，內部繼電器單元擁有多個常開觸點和多個常閉觸點，它們采用了強制導向的特殊設計(如通過特殊的結構設計，使任意一組常開觸點和常閉觸點不能同時處于閉合或斷開狀態)，部分常開觸點用作安全輸出，其余觸點參與邏輯控制，實現特定的監測功能。如果外部接觸器的觸點也采用強制導向結構，通過將其常閉觸點串入復位通道，就能對外部輸出觸點進行監測，增強系統的安全性能。

3.4 產品實現過程

功能安全產品與一般電氣產品的實現過程最大的不同在于增加了與安全功能有關的分析和驗證活動，如失效模式和影響分析[9](failure modes and effects analysis，FMEA)、故障插入測試等。產品實現過程如圖4所示。

FMEA分析在硬件原理圖設計完成之后進行，通過仿真或原理分析等方法確定每個元器件可能出現的所有故障及其對模塊或整機產生的影響。對照相關標準，可以預估產品所能達到的SIL等級或PL等級。只有當預估的SIL等級或PL等級符合要求時，才能進入后續環節，否則，需要對硬件原理圖進行修改，必要時還應重新確定方案。

對樣機的故障表現進行測試和驗證,如功能測試、EMC測試、環境測試、故障插入測試等[10]。其中，故障插入測試在樣機制作完成之后進行，此過程需要參考之前完成的FMEA分析結果。

同時，故障插入測試也是對FMEA分析結果的驗證。當某些實際測試結果與FMEA分析結果發生沖突時，需要對FMEA分析結果進行修改，并重新預估SIL等級或PL等級。當安全等級不符合要求時，需要重新確定方案。

圖4 產品實現過程

3.5 功能安全認證的準備工作

在安全繼電器產品開發的各個階段都要考慮認證的事情。與產品開發有關的重要信息都應該文檔化，尤其是項目計劃文檔(SP)、概念文檔(SC)、安全要求規范文檔(SRS)、安全確認文檔(V&V)等，這些都需要以書面報告的形式遞交第三方認證機構。

此外，在產品開發的過程中形成的FMEA分析結果、樣機測試結果等重要數據也應匯總到第三方認證機構手中。當然，必要時他們也會參與一些關鍵的分析和測試活動。產品認證過程中所需的必要信息如圖5所示。

圖5 功能安全認證所需的信息

第三方認證機構會對所有必要的文檔和數據進行仔細審核，然后按照相關標準的要求對安全產品的安全性能做出評價，判定該安全產品是否達到了降低風險所需的SIL等級或PL等級。

4 結束語

本文在深入了解安全繼電器的市場需求、使用環境和基本性能的基礎上，對功能安全型安全繼電器的開發流程進行了探索。提出的針對緊湊型安全繼電器的開發設計方案是在深入解讀國際、國內相關功能安全標準的基礎上提煉并整合有用信息后確定的，具有堅實的理論基礎，并在后續的典型產品實現過程中得到了充分的驗證，具有很強的實際應用價值。

[1] 王歧.對機械制造中安全控制系統有關問題的探究[J].中國科技博覽，2012(13)：32.

[2] IEC 61508-1 Functional safety of electrical/electric/programmable electric safety related systems-part 1:general requirements[S].International Electrotechnical Commission,2010.

[3] IEC 62061 Safety of machinery:functional safety of safety-related electrical/electronic/programmable electronic control systems[S].International Organization for Standardization,2005.

[4] ISO 13849-1 Safety of machinery:safety-related parts of control systems-part 1:general principles for design[S].International Organization for Standardization,2006.

[5] IEC 60204-1 Safety of machinery:electrical equipment of machines-part 1:General Requirements[S].International Electrotechnical Commission,2005.

[6] ISO 13850 Safety of machinery:emergency stop-principles for design[S].International Organization for Standardization,2006.

[7] ISO 14118 Safety of machinery:prevention of unexpected start-up[S].International Organization for Standardization,2000.

[8] ISO 13851 Safety of machinery:wwo-hand control devices-Funtional aspects and design Principles[S].International Organization for Standardization,2002.

[9] 吳寧寧，劉進，云建軍,等.安全繼電器的安全驗證技術[J].自動化與儀器儀表，2012(3)：82-83.

[10]ISO 13849-2 Safety of machinery:safety-related parts of control systems-part 2:validation[S].International Organization for Standardization,2006.

Developing Process of the Functional Safety Relay

In order to achieve the localization of the safety functional relay, the basic principle of the safety relay is researched, and relevant functional safety standards for developing safety relays are interpreted. Combining with the practical application situation of imported safety relays, the process of development and design of safety relay is proposed. The kernel steps in this process, such as risk analysis, scheme determination, product implementation and functional safety certification are introduced in detail. This process is fully verified in subsequent implementation of typical products, and possesses certain significance in development of related safety parts in safety control systems.

Safety relay Functional safety Safety logic part Performance level(PL) SIL FMEA

上海市自然科學基金資助項目(編號：12ZR1408100)。

闞明生(1990-)，男，現為華東理工大學控制工程專業在讀碩士研究生；主要從事功能安全、復雜系統建模與優化、嵌入式系統開發等方面的研究。

TP211+.5

A

10.16086/j.cnki.issn1000-0380.201504012

修改稿收到日期：2014-09-15。