產(chǎn)品功能安全系統(tǒng)設(shè)計(jì)與應(yīng)用目前在工業(yè)發(fā)達(dá)國家已經(jīng)發(fā)展到相當(dāng)先進(jìn)的 水平，我國工業(yè)界近幾年也緊跟國際潮流，相應(yīng)制定了相關(guān)的國家標(biāo)準(zhǔn)與實(shí)施計(jì)劃。在我國 工業(yè)地磅技術(shù)的發(fā)展歷程中，同樣離不開地磅功能安全技術(shù)的發(fā)展。由于目前國內(nèi)地磅行業(yè) 對(duì)于產(chǎn)品功能安全的理念和相關(guān)技術(shù)比較陌生，本文試圖根據(jù)最新國際IEC/EN、ISO/EN與 國內(nèi)相關(guān)標(biāo)準(zhǔn)內(nèi)容，結(jié)合地磅產(chǎn)品設(shè)計(jì)與應(yīng)用，以最簡(jiǎn)潔的方式闡述工業(yè)地磅“功能安全” 概念及地磅技術(shù)的發(fā)展與應(yīng)用。

一、概述

從傳統(tǒng)的基于繼電器與人工防護(hù)的安全系統(tǒng) 到目前發(fā)展起來的功能安全集成系統(tǒng)，使得我國 工業(yè)產(chǎn)品的安全技術(shù)在不斷進(jìn)步。產(chǎn)品功能安全 系統(tǒng)設(shè)計(jì)與應(yīng)用是目前我國工業(yè)技術(shù)革命向縱深 發(fā)展的必由進(jìn)程。近幾年IEC國際電工技術(shù)委員 會(huì)與ISO國際標(biāo)準(zhǔn)化技術(shù)委員會(huì)相繼發(fā)布了《與 安全相關(guān)的電氣、電子和可編程電子控制系統(tǒng)的 功能安全》和《機(jī)械安全一控制系統(tǒng)的安全相 關(guān)部件》等標(biāo)準(zhǔn)，我國也根據(jù)上述國際標(biāo)準(zhǔn)等同 采用制定了或正在制定相應(yīng)的國家標(biāo)準(zhǔn)。2012年 11月初在上海舉辦的“2012中國國際工業(yè)博覽會(huì)”，主辦部門舉辦的“OEM機(jī)械設(shè)計(jì)技術(shù)高峰論 壇”就產(chǎn)品功能安全系統(tǒng)作了專題交流與研討， 研討會(huì)上許多國際知名公司如：施耐德、Rock-well、 ABB、Omron、Pilz、Semenz等相繼推出了最 新功能安全應(yīng)用的控制產(chǎn)品。

結(jié)合目前我國正在推行的AQ/T 9006-2010 《企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化基本規(guī)范》的要求，該標(biāo)準(zhǔn) 從保障人身、財(cái)產(chǎn)安全的角度對(duì)企業(yè)提出了十三 項(xiàng)要求，其中包含了 “隱患排查和治理”、“重大 危險(xiǎn)源監(jiān)控”等要求，對(duì)與生產(chǎn)經(jīng)營場(chǎng)所相關(guān)的 設(shè)備設(shè)施進(jìn)行排查及危險(xiǎn)源的辨識(shí)與安全評(píng)估。 國務(wù)院安委會(huì)“安委（2011） 4號(hào)”文件中明確提出達(dá)標(biāo)時(shí)限，其中冶金、機(jī)械等工貿(mào)企業(yè)額域 規(guī)模以上企業(yè)要在2013年底前，規(guī)模以下企業(yè)要 在2015年底前全面實(shí)現(xiàn)達(dá)標(biāo)。該標(biāo)準(zhǔn)的強(qiáng)制推行 從側(cè)面推動(dòng)了制造企業(yè)產(chǎn)品的自身功能必須具備 安全性能。

由于目前國內(nèi)地磅行業(yè)對(duì)于產(chǎn)品功能安全的 理念比較陌生，本文擬結(jié)合我國地磅行業(yè)的應(yīng)用 特點(diǎn)，結(jié)合我國地磅行業(yè)正在制定的唯一的衡器 產(chǎn)品強(qiáng)制國家標(biāo)準(zhǔn)《電子衡器安全技術(shù)要求》，從 產(chǎn)品功能安全系統(tǒng)設(shè)計(jì)的概念開始結(jié)合地磅產(chǎn)品 的設(shè)計(jì)與應(yīng)用，特別是對(duì)于較復(fù)雜的工業(yè)稱重系 統(tǒng)談?wù)勛髡叩目捶ā?/span>

二、功能安全概念

由于產(chǎn)品研發(fā)人員在設(shè)計(jì)開發(fā)中對(duì)可靠性風(fēng) 險(xiǎn)管理意識(shí)的欠缺，自身安全性能存在缺陷的產(chǎn) 品已經(jīng)造成人身安全、財(cái)產(chǎn)損失和環(huán)境危害等影 響，給社會(huì)帶來了無法挽回的損失，為此引出了 功能安全的設(shè)計(jì)理念。

功能安全一無論產(chǎn)品的零部件或者整體系 統(tǒng)發(fā)生失效是隨機(jī)失效、系統(tǒng)失效還是共因失效， 都不會(huì)導(dǎo)致安全系統(tǒng)的故障，進(jìn)而不會(huì)對(duì)操作人 員或者環(huán)境產(chǎn)生危害，那么這個(gè)系統(tǒng)在功能上是 安全的。

無論是在正常工作狀態(tài)或者是故障工作狀態(tài)， 控制系統(tǒng)都必須考慮其環(huán)境因素，以保證其安全 功能。

三、功能安全相關(guān)標(biāo)準(zhǔn)

目前許多有關(guān)安全的設(shè)備供應(yīng)商均在其說明 書或樣本中聲明其產(chǎn)品符合EN 954- 1安全標(biāo)準(zhǔn)的 規(guī)定。EN 954- 1和IEC、ISO有關(guān)的安全標(biāo)準(zhǔn)之 間的關(guān)系如何、有何區(qū)別？為了搞清楚這個(gè)問題 我們有必要先分別介紹一下相關(guān)標(biāo)準(zhǔn)的內(nèi)容。

(一） EN 954- 1 標(biāo)準(zhǔn)

EN 954- 1 “機(jī)械安全——控制系統(tǒng)有關(guān)安全 的部件”是由歐洲標(biāo)準(zhǔn)委員會(huì)CEN制定的歐洲 標(biāo)準(zhǔn)，最早于1992年11月公布，它設(shè)定了一個(gè) 流程來選擇和設(shè)計(jì)安全措施，這個(gè)流程包括以下5 個(gè)步驟：》危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估；2確定措施 以減少風(fēng)險(xiǎn)；3通過控制系統(tǒng)的與安全相關(guān)的部 件實(shí)現(xiàn)指定的安全要求；4設(shè)計(jì)；5驗(yàn)證。

EN 954- 1也提供了一個(gè)典型的安全功能的列 表：1停車；2緊急停車；3手動(dòng)重置；奪 啟動(dòng)和重啟；5響應(yīng)時(shí)間；(）安全相關(guān)的參數(shù)； 7本地控制功能；8供電系統(tǒng)的波動(dòng)，損失和 復(fù)位；9暫時(shí)失效；10安全功能手冊(cè)。

EN 954- 1將危險(xiǎn)等級(jí)分為CAT.B、CAT.1、 CAT.2、CAT.3、CAT.4五個(gè)等級(jí)。等級(jí)B是最低 的危險(xiǎn)等級(jí)，對(duì)安全系統(tǒng)沒有特別的要求，等級(jí)4 為最高的危險(xiǎn)等級(jí)。控制等級(jí)分為4級(jí)，安全控 制等級(jí)必須大于等于其危險(xiǎn)等級(jí)。EN 954- 1通常 適用于機(jī)械的低復(fù)雜性的安全系統(tǒng)。

EN 954- 1存在的問題：沒有覆蓋PLC可編程 系統(tǒng)及單片機(jī)系統(tǒng)；沒有涉及系統(tǒng)故障概率；安全 等級(jí)劃分不明確；有效期至2011年12月31曰。

(二） IEC 61508標(biāo)準(zhǔn)（現(xiàn)行國家標(biāo)準(zhǔn)為 GB/T 20438.1/20438.7-2006《電氣 / 電子 / 可編程 電子安全相關(guān)系統(tǒng)的功能安全第1—7部分》

IEC 61508 “電氣/電子/可編程電子 E/E/PE安全相關(guān)系統(tǒng)的功能安全”是由國際電 工委員會(huì)在1998年12月發(fā)布的國際標(biāo)準(zhǔn)，該標(biāo) 準(zhǔn)包括電氣/電子/可編程電子安全系統(tǒng)的要求， 分為7個(gè)部分，涉及1000多個(gè)規(guī)范，包括對(duì)設(shè)備 和系統(tǒng)的要求，對(duì)軟件的要求，描述避免失效的 方法，給出一些確定安全完整性等級(jí)的方法示例， 給出測(cè)試方法。

IEC 61508標(biāo)準(zhǔn)主要適用于對(duì)安全系統(tǒng)有較復(fù) 雜要求的系統(tǒng)，根據(jù)發(fā)生故障的可能性分為4個(gè) SIL安全完整性等級(jí)Safety Integrity Level等級(jí), 級(jí)別越高要求其危險(xiǎn)失效概率越低，如表1所示。

SIL以故障率表示如表2所示。

其中：PFHd——每小時(shí)發(fā)生危險(xiǎn)故障的概率。 SIL等級(jí)與故障概率的解釋如下：

當(dāng)沒有SIL等級(jí)要求時(shí)，每小時(shí)產(chǎn)生危險(xiǎn)故障 可以認(rèn)為是在104小時(shí)和105小時(shí)之間，意味著1 年到10年的時(shí)間內(nèi)產(chǎn)生1次危險(xiǎn)故障；

當(dāng)SIL等級(jí)為SIL3時(shí)，每小時(shí)產(chǎn)生危險(xiǎn)故障 可以認(rèn)為是在107小時(shí)和108小時(shí)之間，意味著1千年到i萬年的時(shí)間內(nèi)產(chǎn)生i次危險(xiǎn)故障。

其實(shí)，這里的概念并不是指多少年會(huì)發(fā)生一 次故障，而是說的一個(gè)概率的概念，就像交通工 具中飛機(jī)發(fā)生事故的概率要比其他交通工具低很 多一樣，即一個(gè)SIL3級(jí)的安全系統(tǒng)比一個(gè)無安全 要求的系統(tǒng)發(fā)生危險(xiǎn)的概率要低非常多，用以滿 足在設(shè)備或系統(tǒng)運(yùn)行周期內(nèi)無風(fēng)險(xiǎn)的要求。

(三）IEC 61511標(biāo)準(zhǔn)（現(xiàn)行國家標(biāo)準(zhǔn)為 GB/T 21109-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng) 的功能安全第1-3部分》

IEC 61511是適用于過程控制應(yīng)用的安全儀表 系統(tǒng)的國際化標(biāo)準(zhǔn)，是IEC 61508的補(bǔ)充。該標(biāo) 準(zhǔn)定義了硬件故障裕度的概念，即部件或子系統(tǒng) 在出現(xiàn)一個(gè)或幾個(gè)硬件故障的情況下，功能單元 繼續(xù)執(zhí)行所要求的儀表安全功能的能力。對(duì)儀表 安全功能而言，稱重傳感器、邏輯解算器和最終元件應(yīng)具有最低的硬件故障裕度，硬件故障裕度 表示了最低的部件或子系統(tǒng)冗余。

IEC 61511標(biāo)準(zhǔn)中規(guī)定了邏輯解算器在設(shè)計(jì)和 使用過程中，須采用的基本原則，以及構(gòu)成儀表 安全系統(tǒng)的各類稱重傳感器和最終元件所應(yīng)達(dá)到 的最低標(biāo)準(zhǔn)，并提出了達(dá)到這些最低標(biāo)準(zhǔn)的安全 生命周期活動(dòng)的方法。

㈣ IEC 62061、ISO/EN 13849- 1 風(fēng)險(xiǎn)評(píng)估 標(biāo)準(zhǔn)（現(xiàn)行國家標(biāo)準(zhǔn)為GB/T 16855.1-2008《機(jī)械 安全控制系統(tǒng)有關(guān)安全部件第1部分：設(shè)計(jì)通 則》)

安全標(biāo)準(zhǔn)主要依據(jù)應(yīng)是風(fēng)險(xiǎn)、故障概率的描 述和安全等級(jí)，現(xiàn)IEC 62061將注意力集中在機(jī) 械設(shè)備安全功能的量化上，是IEC 61508標(biāo)準(zhǔn)的 簡(jiǎn)化版。與IEC 61508標(biāo)準(zhǔn)相同由每小時(shí)故障率 PFH決定安全完整性等級(jí)SIL,如表2所示。

ISO/EN 13849- 1 舊版本（1999 與 EN 954-1 是相同的，ISO 13849- 1新版本（2006版引入 控制系統(tǒng)安全性能等級(jí)的新概念PL Performance Level ,是一種定性故障評(píng)估的方法，考慮了控制 系統(tǒng)外在因素的可變性。新的安全控制標(biāo)準(zhǔn)ISO 13849- 1在2009年12月取代EN 954- 1強(qiáng)制執(zhí) 行，該標(biāo)準(zhǔn)涵蓋了氣壓系統(tǒng)、機(jī)械安全控制系統(tǒng)， 還引入了 Bwd, MTTFd等概念。

(1） PL (Performance Level 控制系統(tǒng)執(zhí)行安全功能的能力，以每小時(shí)發(fā)生危險(xiǎn)故障的概 率表示，并劃分5個(gè)等級(jí)，依次為PLa、PLb、 PLc、PLd、PLe。PL等級(jí)與危險(xiǎn)故障概率關(guān)系， 如圖1所示。

圖1中PLe為最高等級(jí)，PLa為最低等級(jí)。

（2）風(fēng)險(xiǎn)評(píng)估圖如圖2所示。

(3） PL評(píng)估參數(shù)

B10d值—發(fā)生10%故障概率時(shí)，零件危 險(xiǎn)失效時(shí)的周期數(shù)。

B10d=0.5x B10

其中B1。——制造商提供的10%故障概率零件 危險(xiǎn)失效時(shí)的周期數(shù)。

MTTFd—每個(gè)通道的平均危險(xiǎn)故障時(shí)間 (mean- time- to- dangerous failure of each channe)

是統(tǒng)計(jì)值，不是可以保證的壽命值。

MTTFd可以分為3級(jí)如表3所示：見GB/T 16855.1-2008 中表 5。

(4）舉例說明

在一條工業(yè)原料或產(chǎn)品生產(chǎn)線上，稱重裝置 是必不可少的一個(gè)檢測(cè)環(huán)節(jié)。而稱重裝置的安全 功能將直接影響到產(chǎn)品的質(zhì)量，例如：在配料生 產(chǎn)線上，由于稱重安全功能失效，可能造成生產(chǎn) 線的停工或后道配料的成分失效，帶來產(chǎn)品的失 效。現(xiàn)以一臺(tái)生產(chǎn)過程中較為典型的單通道電子地磅為例，設(shè)定其傷害的嚴(yán)重程度為S1,暴露于 危險(xiǎn)的頻率和（或時(shí)間為F1,避免危險(xiǎn)的可能 性為P2,要求的安全功能的性能等級(jí)為PLr=b。其 組成的典型模塊有承載器、稱重傳感器、AD轉(zhuǎn)換 器、CPU、鍵盤、顯示器等六大部分，其中與功能 安全相關(guān)的部件為稱重傳感器、AD轉(zhuǎn)換器、CPU、 鍵盤、顯示器等5大部分。系統(tǒng)功能安全分析可采 用功能模塊法，電子秤的安全功能模塊圖如圖4所 示。即可理解為該電子地磅作為一個(gè)整體單通道, 而五個(gè)部分是組成其單通道的各個(gè)分單元，只要 求出各個(gè)分單元的MTTh,就能利用上面的公式 求出整臺(tái)電子地磅的平均危險(xiǎn)故障時(shí)間MTTFd值。

3）CCF 的估算

根據(jù)GB/T 16855.1-2008中附錄F對(duì)防止CCF 措施的逐項(xiàng)評(píng)分如表6所示，由于被估算的系 統(tǒng)在各單元的分離性、差異性及環(huán)境條件的要求 上優(yōu)勢(shì)明顯，總分可得到85分，足以滿足防止CCF 的要求。

4）判斷類別及PL性能等級(jí)

根據(jù)圖3可知，整個(gè)通道的MTTFd為“低” (5.65年)，DCavg為“低”，防止CCF的措施足夠 時(shí)，對(duì)應(yīng)的類別為Cat.3類，性能等級(jí)PL=b。

根據(jù)該電子地磅要求的性能等級(jí)PLr=b，則滿 足了 PLS PLr的要求。即該通道的功能安全控制系 統(tǒng)能滿足對(duì)風(fēng)險(xiǎn)減少的要求。根據(jù)GB/T 16855.1-2008中表4的PL與SIL的關(guān)系，可得到 安全完整性等級(jí)SIL為1級(jí)。

5）系統(tǒng)分析與減少風(fēng)險(xiǎn)所采取的保護(hù)措施

①由于通道的安全完整性等級(jí)估算SIL為1 級(jí)，為減少系統(tǒng)中影響安全功能的故障或失效的 可能性，在系統(tǒng)設(shè)計(jì)中應(yīng)減少單元部件中元件的 故障概率，采用經(jīng)驗(yàn)證的高于SIL-1級(jí)的安全元 件。例如：對(duì)于稱重傳感器單元部件，應(yīng)考慮采 用經(jīng)驗(yàn)證的全密封接線端子，以減少由于防潮密 封不良，而使模擬信號(hào)輸出失效；對(duì)于數(shù)據(jù)處理 裝置（CPU主板，應(yīng)采用工業(yè)級(jí)SIL-2級(jí)以上的 電阻、電容元器件等措施。

②本通道經(jīng)估算的類別為Cat.3類，說明當(dāng)發(fā) 生單一故障時(shí)，安全功能總是有效的，某些故障 將會(huì)被檢測(cè)到，無需采用部件單元的冗余設(shè)計(jì)措 施。但未發(fā)現(xiàn)故障的累積能導(dǎo)致安全功能的損失， 為避免故障的危險(xiǎn)影響，應(yīng)改善通道部件單元的 結(jié)構(gòu)，可以通過改善嵌入式軟件功能的方法實(shí)現(xiàn) 功能結(jié)構(gòu)的完善，例如：在不增加通道中的冗余 部件，而通過不同的故障報(bào)警連鎖的方式，避免 故障的危險(xiǎn)影響。

通過采用上述兩種措施，除共因失效分析外， 還應(yīng)考慮危險(xiǎn)失效和系統(tǒng)失效的分析方法。 由于 本例僅為電子地磅中最基本的結(jié)構(gòu)型式，其中對(duì) 于軟件及系統(tǒng)失效還都沒有實(shí)質(zhì)性的計(jì)算與分析， 只能作為地磅中最基本的實(shí)例分析。

目前在自動(dòng)化系統(tǒng)工程中，為了讓設(shè)計(jì)工程 師可以輕松地根據(jù)新標(biāo)準(zhǔn)執(zhí)行安全系統(tǒng)化的程序， 一些跨國自動(dòng)化OEM商開發(fā)了專用的系統(tǒng)安全計(jì) 算器，例如：Pilz公司專門開發(fā)了一款軟件工具 PAScal安全計(jì)算器，它可以計(jì)算機(jī)械設(shè)備安全功 能的PFHd值。根據(jù)ISO 13849，將制定的性能指 標(biāo)對(duì)結(jié)果進(jìn)行驗(yàn)證，或根據(jù)IEC 62061，采用安全 完整性等級(jí)SIL進(jìn)行驗(yàn)證，并列出需要采取的所有 措施，通過圖例向用戶顯示何處可能需要提高安 全等級(jí)，大大方便了用戶的系統(tǒng)設(shè)計(jì)選型。

四、功能安全與EMC環(huán)境的關(guān)系

IEC 61326-3- 1 “測(cè)量、控制和實(shí)驗(yàn)室用的電 氣設(shè)備電磁兼容性要求第3-1部分：與安全相關(guān) 系統(tǒng)和執(zhí)行與安全相關(guān)功能設(shè)備叻能安全的 抗擾度要求一般工業(yè)應(yīng)用”，該標(biāo)準(zhǔn)應(yīng)用于當(dāng)安 全相關(guān)系統(tǒng)在執(zhí)行安全功能時(shí)，如果遇到諸如電 磁輻射等各類騷擾時(shí)，可能會(huì)產(chǎn)生錯(cuò)誤、誤動(dòng)作、 故障和損壞，從而導(dǎo)致安全相關(guān)系統(tǒng)的性能下降 或失效，甚至引起危險(xiǎn)時(shí)，規(guī)定了安全相關(guān)系統(tǒng) 設(shè)備的抗擾度水平的要求。強(qiáng)調(diào)了電氣/電子/可 編程電子（E/E/PE安全相關(guān)系統(tǒng)對(duì)系統(tǒng)的EMC 特性進(jìn)行評(píng)估，以保證要求SIL規(guī)定的失效率。

五、風(fēng)險(xiǎn)評(píng)估的流程

首先要確定當(dāng)前或者發(fā)展中可能存在的風(fēng)險(xiǎn) 等級(jí)，通過評(píng)估、設(shè)計(jì)、選擇、驗(yàn)證以及維護(hù)等 一系列程序來建立真正安全的生產(chǎn)環(huán)境，這些都 要遵循相關(guān)的國際安全標(biāo)準(zhǔn)和規(guī)則。較為復(fù)雜的 工業(yè)產(chǎn)品系統(tǒng)能夠達(dá)到何種安全等級(jí)（SIL3等級(jí) 以上的要求由第三方機(jī)構(gòu)進(jìn)行認(rèn)證。目前我國 主要由一些權(quán)威的外資機(jī)構(gòu)如德國TUV公司等在 中國開展了產(chǎn)品安全等級(jí)測(cè)試及認(rèn)證工作。基于 IEC 61508、IEC 61511、IEC13849- 1、IEC 62061 等標(biāo)準(zhǔn)，對(duì)安全設(shè)備的安全完整性等級(jí)(SIL)或者 性能等級(jí)(PL)進(jìn)行評(píng)估和確認(rèn)的一種第三方評(píng)估、 驗(yàn)證和認(rèn)證。功能安全認(rèn)證主要涉及針對(duì)安全設(shè) 備開發(fā)流程的文檔管理FSM評(píng)估，硬件可靠性 計(jì)算和評(píng)估、軟件評(píng)估、環(huán)境試驗(yàn)、EMC電磁兼 容性測(cè)試等內(nèi)容。

㈠如何確認(rèn)供應(yīng)商聲稱的SIL級(jí)別（IEC 61508 標(biāo)準(zhǔn)

（1）應(yīng)用條件是否相同 目前很多公司的子系統(tǒng)產(chǎn)品進(jìn)行過IEC 61508認(rèn)證，通過權(quán)威機(jī)構(gòu)認(rèn)證，達(dá)到SIL3級(jí)。 但用戶在選擇這種子系統(tǒng)時(shí)，要考慮現(xiàn)場(chǎng)采用的 工作條件是否完全相同或相近。 如果系統(tǒng)的工作 條件不同，則需要用分析和測(cè)試的方法來論證該 系統(tǒng)的SIL可能達(dá)到的水平，以保證該系統(tǒng)可用于 安全領(lǐng)域。

（2）對(duì)評(píng)估員或評(píng)估機(jī)構(gòu)獨(dú)立性的要求 IEC 61508規(guī)定，對(duì)系統(tǒng)、子系統(tǒng)或器件進(jìn)行SIL級(jí)別評(píng)估的必須是相對(duì)獨(dú)立的人或組織。對(duì) 于SILl,只需要同一個(gè)組織中的一個(gè)獨(dú)立人，SIL2 則需要一個(gè)獨(dú)立的部門。至于SIL3和SIL4則要求 獨(dú)立的組織以及評(píng)估員具有合格的工作能力。

中國功能安全中心于1999年成立，專門跟蹤 國際功能安全相關(guān)標(biāo)準(zhǔn)發(fā)展、研究其應(yīng)用并進(jìn)行 技術(shù)轉(zhuǎn)化的專業(yè)性機(jī)構(gòu)。主持完成了等同采用國 際標(biāo)準(zhǔn)IEC 61508的中國國家標(biāo)準(zhǔn)制定（GB/T 20438-2006以及等同采用國際標(biāo)準(zhǔn)IEC 61511 的中國國家標(biāo)準(zhǔn)制定（GB/T 21109-2007 ；下屬 的功能安全技術(shù)研發(fā)中心（FSchm)是國內(nèi)負(fù)責(zé) 功能安全/SIL相關(guān)技術(shù)的推廣、培訓(xùn)、研究和認(rèn) 證評(píng)估工作，在國際上代表中國參與功能安全 /SIL等相關(guān)技術(shù)標(biāo)準(zhǔn)的制修訂工作（對(duì)口國際組 織 IEC TC65A。

(3）對(duì)機(jī)器進(jìn)行過危險(xiǎn)性分析后，制造商可 以采取如下三種措施來減少事故的可能性，將機(jī) 器的危險(xiǎn)性降低到可以承受的程度：

1）在設(shè)計(jì)機(jī)器時(shí)將可能出現(xiàn)的危險(xiǎn)降低到最小；

2）對(duì)于無法避免的危險(xiǎn)，采取必要的安全保 護(hù)措施；

3）對(duì)用戶進(jìn)行培訓(xùn)，避免剩余危險(xiǎn)可能導(dǎo)致 的傷害。

為達(dá)到上述標(biāo)準(zhǔn)的各類安全等級(jí)，最常用的 設(shè)計(jì)方法為熱備份的冗余設(shè)計(jì)方法。例如：安全 開關(guān)的雙觸點(diǎn)結(jié)構(gòu)、安全繼電器的雙通道輸入、 安全PLC的雙CPU結(jié)構(gòu)、控制軟硬件的冗余設(shè) 計(jì)。此類設(shè)計(jì)方法已經(jīng)或正引起越來越多的產(chǎn)品 設(shè)計(jì)與應(yīng)用部門的重視。

（4）地磅產(chǎn)品的機(jī)電部件設(shè)計(jì)安全的具體要求

1）對(duì)于作旋轉(zhuǎn)運(yùn)動(dòng)的零部件應(yīng)裝設(shè)防護(hù)罩或 防護(hù)擋板、防護(hù)欄桿等安全防護(hù)裝置，以防發(fā)生 絞傷。

2）對(duì)于超壓、超載、超溫度、超時(shí)間、超行 程等能發(fā)生危險(xiǎn)事故的零部件，應(yīng)裝設(shè)保險(xiǎn)裝置， 如超負(fù)荷限制器、行程限制器、安全閥、溫度繼 電器、時(shí)間斷電器等等，以便當(dāng)危險(xiǎn)情況發(fā)生時(shí)， 由于保險(xiǎn)裝置的作用而排除險(xiǎn)情，防止事故的發(fā) 生。

3）對(duì)于某些動(dòng)作需要對(duì)人們進(jìn)行警告或提醒 注意時(shí)，應(yīng)安設(shè)信號(hào)裝置或警告牌等。如電鈴、 喇叭、蜂鳴器等聲音信號(hào)，還有各種燈光信號(hào)、 各種警告標(biāo)志牌等都屬于這類安全裝置。

4）對(duì)于某些動(dòng)作順序不能搞顛倒的零部件應(yīng) 裝設(shè)聯(lián)鎖裝置。即某一動(dòng)作，必須在前一個(gè)動(dòng)作 完成之后，才能進(jìn)行，否則就不可能動(dòng)作。這樣 就保證了不致因動(dòng)作順序搞錯(cuò)而發(fā)生事故。

(5）地磅產(chǎn)品的安全儀表系統(tǒng)具體設(shè)計(jì)要求

1）考慮完整的安全儀表回路設(shè)計(jì)；

2）采用冗余谷錯(cuò)技術(shù)；

3）考慮系統(tǒng)在線可維護(hù)性；

4）使用在線測(cè)試技術(shù)；

5）重視整個(gè)安全生命周期內(nèi)設(shè)計(jì)、實(shí)施、維 護(hù)規(guī)范；

6）要有獨(dú)立的團(tuán)隊(duì)負(fù)責(zé)整個(gè)項(xiàng)目的管理和實(shí)施。

六、功能安全在工業(yè)地磅技術(shù)中的應(yīng)用 功能安全控制系統(tǒng)的宗旨是提高工業(yè)產(chǎn)品的 可靠性與安全性。目前在我國工業(yè)自動(dòng)衡器的產(chǎn) 品中采用功能安全集成控制系統(tǒng)已初露端倪。例 如：重量自動(dòng)分選衡器、連續(xù)累計(jì)自動(dòng)衡器中皮 帶秤、給煤機(jī)、皮帶配料秤、重力式自動(dòng)裝料衡 器中的大型稱重配料系統(tǒng)、產(chǎn)品稱重包裝生產(chǎn)線、 動(dòng)態(tài)滾道秤、動(dòng)態(tài)膠料秤等產(chǎn)品中，一些卓有遠(yuǎn) 見的用戶已經(jīng)提出了功能安全集成控制系統(tǒng)的要 求。促使產(chǎn)品設(shè)計(jì)開發(fā)人員在稱重系統(tǒng)的設(shè)計(jì)中 將安全鎖、安全急停按鈕、拉線急停開關(guān)、感應(yīng) 式安全光幕以及控制柜中的安全繼電器、安全 PLC以及安全型現(xiàn)場(chǎng)總線等軟硬件動(dòng)作互相關(guān)聯(lián), 組成一個(gè)完整的功能安全集成控制系統(tǒng)。

作為一個(gè)設(shè)計(jì)人員應(yīng)該在機(jī)器的設(shè)計(jì)上把危 險(xiǎn)降低到最小，就必須采用安全控制類產(chǎn)品。以 下將結(jié)合我公司近期在工業(yè)自動(dòng)衡器產(chǎn)品設(shè)計(jì)中 的一些應(yīng)用實(shí)例，分別介紹各種安全功能部件的 應(yīng)用。

(一）安全互鎖開關(guān)

安全互鎖開關(guān)是指通過強(qiáng)制斷開動(dòng)作結(jié)構(gòu)， 即使在接點(diǎn)熔接時(shí)也能確保功能安全。

產(chǎn)品分為非接觸式、機(jī)械連鎖式兩種。例如： 安全門鎖、舌簧互鎖開關(guān)、安全限位開關(guān)、非接 觸式安全開關(guān)等。上述用于安全互鎖開關(guān)的共同 特點(diǎn)是必須要有兩個(gè)并列的安全回路。如：兩路 常開或兩路常閉。

(二）安全繼電器

安全繼電器與一般繼電器不同，具有強(qiáng)制導(dǎo) 向的接點(diǎn)結(jié)構(gòu)，即使在接點(diǎn)熔接時(shí)也能確保功能 安全。安全繼電器一般與安全開關(guān)配套使用，具 有雙通道檢測(cè)功能。

安全繼電器的主要技術(shù)指標(biāo)如下：

(1）接點(diǎn)間隔不僅在通常運(yùn)行狀態(tài)而且在發(fā) 生故障狀態(tài)也應(yīng)達(dá)到0.5mm以上：

(2）接點(diǎn)負(fù)載開關(guān)應(yīng)符合AC15、DC13的要求；

(3機(jī)械壽命為1000萬次以上。

(三）急停裝置

該裝置主要用于緊急停車系統(tǒng)。 產(chǎn)品主要有 安全拉繩開關(guān)、急停按鈕等。該類設(shè)備用于一旦 系統(tǒng)出現(xiàn)異常故障，使操作者能在最短的時(shí)間， 最近的位置實(shí)施緊急停車。 例如在產(chǎn)品的包裝線 上、物料配料稱重輸送線上、皮帶秤和定量給料 機(jī)、給煤機(jī)的側(cè)面需使用安全拉繩開關(guān)。

(四）感應(yīng)式安全裝置

該類裝置屬于主動(dòng)安全防護(hù)，無需在設(shè)備和 操作者之間設(shè)置硬件防護(hù)。主要感應(yīng)生產(chǎn)線上的 操作者或移動(dòng)設(shè)備。較為典型的產(chǎn)品有安全光柵/ 光幕、安全掃描儀等。在地磅行業(yè)應(yīng)用最多的是 安全檢測(cè)光柵/光幕。在產(chǎn)品包裝熱封設(shè)備前用于 防止操作者手動(dòng)誤操作的紅外線安全光柵；設(shè)置 在動(dòng)態(tài)公路稱重收費(fèi)站秤臺(tái)邊的車輛檢測(cè)光幕。

安全光幕還有光束屏蔽功能，由于工藝需要 把光幕中的個(gè)別光束屏蔽不起作用。光幕輸出為 OSSD信號(hào)，該信號(hào)有短路輸出、過載保護(hù)、PNP 輸出及交叉檢測(cè)等功能。安全光幕還有外部設(shè)備 監(jiān)控功能，通過外部執(zhí)行器的斷開檢測(cè)是否正常 工作。

(五）安全PLC

目前市場(chǎng)上已有封裝型可編程安全控制器、 集成安全控制器和安全I/O，通過RSNetWork編 程，通訊采用DeviceNet和EtherNet/IP，該類產(chǎn)品 最大的特點(diǎn)是采用標(biāo)準(zhǔn)與安全的兩套CPU控制， 并實(shí)現(xiàn)安全通訊。

(六）現(xiàn)場(chǎng)總線系統(tǒng)的功能安全評(píng)價(jià)

現(xiàn)場(chǎng)總線系統(tǒng)所起的作用是通信，它包括一 組硬件和軟件，允許兩個(gè)或多個(gè)裝置之間信息交 換。在受控過程中，它不應(yīng)該傳播或建立會(huì)產(chǎn)生 危險(xiǎn)情形的錯(cuò)誤。它應(yīng)能找出數(shù)據(jù)的訛誤，保證 實(shí)時(shí)數(shù)據(jù)的傳送、傳遞應(yīng)有序，避免混亂。同時(shí) 應(yīng)能隨時(shí)了解可能出現(xiàn)的故障狀態(tài)，避免出現(xiàn)因 通信錯(cuò)誤觸發(fā)不合理的安全動(dòng)作，例如使過程在 不該停止時(shí)停了下來，或使過程在出現(xiàn)故障時(shí)還 繼續(xù)工作等。

(1）現(xiàn)場(chǎng)總線系統(tǒng)安全功能評(píng)價(jià)的方法，要 證明一個(gè)系統(tǒng)或子系統(tǒng)是否可以用在安全領(lǐng)域， 是否符合IEC 61508標(biāo)準(zhǔn)，有兩個(gè)途徑：

1）按照IEC 61508的原則設(shè)計(jì)一個(gè)新系統(tǒng)；

2）沿用以前已經(jīng)使用并證明是安全的系統(tǒng)， 用“Proven in use使用中證實(shí)”方法來驗(yàn)證。

(2）目前世界上重要的設(shè)備供應(yīng)商都開始對(duì) 自己的產(chǎn)品進(jìn)行這方面認(rèn)證工作。Proven in use的 限制條件：

1 ）Proven in use方法只能用于那些滿足相關(guān) 要求的功能和接口子系統(tǒng)；

2）子系統(tǒng)的工作條件與原子系統(tǒng)的工作條件 完全相同或十分相近；

3）如果子系統(tǒng)的工作條件不同，則需要用分 析和測(cè)試的方法來論證該系統(tǒng)的功能安全完整性 可能達(dá)到的水平，以保證該系統(tǒng)可用于安全領(lǐng)域；

4）聲明的失效率有足夠的統(tǒng)計(jì)學(xué)數(shù)據(jù)基礎(chǔ)；

5）收集有足夠的失效數(shù)據(jù)；

6）考慮了子系統(tǒng)的復(fù)雜性，子系統(tǒng)對(duì)風(fēng)險(xiǎn)降 低的貢獻(xiàn)，子系統(tǒng)失效對(duì)整個(gè)系統(tǒng)可能造成的后 果、新設(shè)計(jì)等。

上述各種安全部件可以組成一個(gè)完整的功能 安全集成控制系統(tǒng)。在工業(yè)地磅的系統(tǒng)設(shè)計(jì)中應(yīng) 根據(jù)現(xiàn)場(chǎng)的不同安全等級(jí)要求選擇不同的功能安 全器件及功能安全系統(tǒng)。

七、結(jié)語

在功能安全控制系統(tǒng)的應(yīng)用已經(jīng)風(fēng)靡全球工 業(yè)界的今天，工業(yè)衡器特別是自動(dòng)衡器如何緊跟 這一時(shí)代發(fā)展的新潮流，已經(jīng)成了我國衡器行業(yè) 技術(shù)發(fā)展急需提出的新課題。盡管越來越多的地磅產(chǎn)品最終用戶和制造商已經(jīng)意識(shí)到安全的重要 性，但并未認(rèn)識(shí)到應(yīng)從系統(tǒng)上根本解決安全的問 題，安全理念和相關(guān)技術(shù)與標(biāo)準(zhǔn)的實(shí)施在我國地磅行業(yè)推廣的道路仍然漫長。愿本文能在地磅行 業(yè)起到一定的推動(dòng)促進(jìn)作用。