功能安全与地磅技术

产品功能安全系统设计与应用目前在工业发达国家已经发展到相当先进的 水平，我国工业界近几年也紧跟国际潮流，相应制定了相关的国家标准与实施计划。在我国 工业地磅技术的发展历程中，同样离不开地磅功能安全技术的发展。由于目前国内地磅行业 对于产品功能安全的理念和相关技术比较陌生，本文试图根据最新国际IEC/EN、ISO/EN与 国内相关标准内容，结合地磅产品设计与应用，以最简洁的方式阐述工业地磅“功能安全” 概念及地磅技术的发展与应用。

一、概述

从传统的基于继电器与人工防护的安全系统 到目前发展起来的功能安全集成系统，使得我国 工业产品的安全技术在不断进步。产品功能安全 系统设计与应用是目前我国工业技术革命向纵深 发展的必由进程。近几年IEC国际电工技术委员 会与ISO国际标准化技术委员会相继发布了《与 安全相关的电气、电子和可编程电子控制系统的 功能安全》和《机械安全一控制系统的安全相 关部件》等标准，我国也根据上述国际标准等同 采用制定了或正在制定相应的国家标准。2012年 11月初在上海举办的“2012中国国际工业博览会”，主办部门举办的“OEM机械设计技术高峰论 坛”就产品功能安全系统作了专题交流与研讨， 研讨会上许多国际知名公司如：施耐德、Rock-well、 ABB、Omron、Pilz、Semenz等相继推出了最 新功能安全应用的控制产品。

结合目前我国正在推行的AQ/T 9006-2010 《企业安全生产标准化基本规范》的要求，该标准 从保障人身、财产安全的角度对企业提出了十三 项要求，其中包含了 “隐患排查和治理”、“重大 危险源监控”等要求，对与生产经营场所相关的 设备设施进行排查及危险源的辨识与安全评估。 国务院安委会“安委（2011） 4号”文件中明确提出达标时限，其中冶金、机械等工贸企业额域 规模以上企业要在2013年底前，规模以下企业要 在2015年底前全面实现达标。该标准的强制推行 从侧面推动了制造企业产品的自身功能必须具备 安全性能。

由于目前国内地磅行业对于产品功能安全的 理念比较陌生，本文拟结合我国地磅行业的应用 特点，结合我国地磅行业正在制定的唯一的衡器 产品强制国家标准《电子衡器安全技术要求》，从 产品功能安全系统设计的概念开始结合地磅产品 的设计与应用，特别是对于较复杂的工业称重系 统谈谈作者的看法。

二、功能安全概念

由于产品研发人员在设计开发中对可靠性风 险管理意识的欠缺，自身安全性能存在缺陷的产 品已经造成人身安全、财产损失和环境危害等影 响，给社会带来了无法挽回的损失，为此引出了 功能安全的设计理念。

功能安全一无论产品的零部件或者整体系 统发生失效是随机失效、系统失效还是共因失效， 都不会导致安全系统的故障，进而不会对操作人 员或者环境产生危害，那么这个系统在功能上是 安全的。

无论是在正常工作状态或者是故障工作状态， 控制系统都必须考虑其环境因素，以保证其安全 功能。

三、功能安全相关标准

目前许多有关安全的设备供应商均在其说明 书或样本中声明其产品符合EN 954- 1安全标准的 规定。EN 954- 1和IEC、ISO有关的安全标准之 间的关系如何、有何区别？为了搞清楚这个问题 我们有必要先分别介绍一下相关标准的内容。

(一） EN 954- 1 标准

EN 954- 1 “机械安全——控制系统有关安全 的部件”是由欧洲标准委员会CEN制定的欧洲 标准，最早于1992年11月公布，它设定了一个 流程来选择和设计安全措施，这个流程包括以下5 个步骤：》危险分析与风险评估；2确定措施 以减少风险；3通过控制系统的与安全相关的部 件实现指定的安全要求；4设计；5验证。

EN 954- 1也提供了一个典型的安全功能的列 表：1停车；2紧急停车；3手动重置；夺 启动和重启；5响应时间；(）安全相关的参数； 7本地控制功能；8供电系统的波动，损失和 复位；9暂时失效；10安全功能手册。

EN 954- 1将危险等级分为CAT.B、CAT.1、 CAT.2、CAT.3、CAT.4五个等级。等级B是最低 的危险等级，对安全系统没有特别的要求，等级4 为最高的危险等级。控制等级分为4级，安全控 制等级必须大于等于其危险等级。EN 954- 1通常 适用于机械的低复杂性的安全系统。

EN 954- 1存在的问题：没有覆盖PLC可编程 系统及单片机系统；没有涉及系统故障概率；安全 等级划分不明确；有效期至2011年12月31曰。

(二） IEC 61508标准（现行国家标准为 GB/T 20438.1/20438.7-2006《电气 / 电子 / 可编程 电子安全相关系统的功能安全第1—7部分》

IEC 61508 “电气/电子/可编程电子 E/E/PE安全相关系统的功能安全”是由国际电 工委员会在1998年12月发布的国际标准，该标 准包括电气/电子/可编程电子安全系统的要求， 分为7个部分，涉及1000多个规范，包括对设备 和系统的要求，对软件的要求，描述避免失效的 方法，给出一些确定安全完整性等级的方法示例， 给出测试方法。

IEC 61508标准主要适用于对安全系统有较复 杂要求的系统，根据发生故障的可能性分为4个 SIL安全完整性等级Safety Integrity Level等级, 级别越高要求其危险失效概率越低，如表1所示。

SIL以故障率表示如表2所示。

其中：PFHd——每小时发生危险故障的概率。 SIL等级与故障概率的解释如下：

当没有SIL等级要求时，每小时产生危险故障 可以认为是在104小时和105小时之间，意味着1 年到10年的时间内产生1次危险故障；

当SIL等级为SIL3时，每小时产生危险故障 可以认为是在107小时和108小时之间，意味着1千年到i万年的时间内产生i次危险故障。

其实，这里的概念并不是指多少年会发生一 次故障，而是说的一个概率的概念，就像交通工 具中飞机发生事故的概率要比其他交通工具低很 多一样，即一个SIL3级的安全系统比一个无安全 要求的系统发生危险的概率要低非常多，用以满 足在设备或系统运行周期内无风险的要求。

(三）IEC 61511标准（现行国家标准为 GB/T 21109-2007《过程工业领域安全仪表系统 的功能安全第1-3部分》

IEC 61511是适用于过程控制应用的安全仪表 系统的国际化标准，是IEC 61508的补充。该标 准定义了硬件故障裕度的概念，即部件或子系统 在出现一个或几个硬件故障的情况下，功能单元 继续执行所要求的仪表安全功能的能力。对仪表 安全功能而言，称重传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度，硬件故障裕度 表示了最低的部件或子系统冗余。

IEC 61511标准中规定了逻辑解算器在设计和 使用过程中，须采用的基本原则，以及构成仪表 安全系统的各类称重传感器和最终元件所应达到 的最低标准，并提出了达到这些最低标准的安全 生命周期活动的方法。

㈣ IEC 62061、ISO/EN 13849- 1 风险评估 标准（现行国家标准为GB/T 16855.1-2008《机械 安全控制系统有关安全部件第1部分：设计通 则》)

安全标准主要依据应是风险、故障概率的描 述和安全等级，现IEC 62061将注意力集中在机 械设备安全功能的量化上，是IEC 61508标准的 简化版。与IEC 61508标准相同由每小时故障率 PFH决定安全完整性等级SIL,如表2所示。

ISO/EN 13849- 1 旧版本（1999 与 EN 954-1 是相同的，ISO 13849- 1新版本（2006版引入 控制系统安全性能等级的新概念PL Performance Level ,是一种定性故障评估的方法，考虑了控制 系统外在因素的可变性。新的安全控制标准ISO 13849- 1在2009年12月取代EN 954- 1强制执 行，该标准涵盖了气压系统、机械安全控制系统， 还引入了 Bwd, MTTFd等概念。

(1） PL (Performance Level 控制系统执行安全功能的能力，以每小时发生危险故障的概 率表示，并划分5个等级，依次为PLa、PLb、 PLc、PLd、PLe。PL等级与危险故障概率关系， 如图1所示。

图1中PLe为最高等级，PLa为最低等级。

（2）风险评估图如图2所示。

(3） PL评估参数

B10d值—发生10%故障概率时，零件危 险失效时的周期数。

B10d=0.5x B10

其中B1。——制造商提供的10%故障概率零件 危险失效时的周期数。

MTTFd—每个通道的平均危险故障时间 (mean- time- to- dangerous failure of each channe)

是统计值，不是可以保证的寿命值。

MTTFd可以分为3级如表3所示：见GB/T 16855.1-2008 中表 5。

(4）举例说明

在一条工业原料或产品生产线上，称重装置 是必不可少的一个检测环节。而称重装置的安全 功能将直接影响到产品的质量，例如：在配料生 产线上，由于称重安全功能失效，可能造成生产 线的停工或后道配料的成分失效，带来产品的失 效。现以一台生产过程中较为典型的单通道电子地磅为例，设定其伤害的严重程度为S1,暴露于 危险的频率和（或时间为F1,避免危险的可能 性为P2,要求的安全功能的性能等级为PLr=b。其 组成的典型模块有承载器、称重传感器、AD转换 器、CPU、键盘、显示器等六大部分，其中与功能 安全相关的部件为称重传感器、AD转换器、CPU、 键盘、显示器等5大部分。系统功能安全分析可采 用功能模块法，电子秤的安全功能模块图如图4所 示。即可理解为该电子地磅作为一个整体单通道, 而五个部分是组成其单通道的各个分单元，只要 求出各个分单元的MTTh,就能利用上面的公式 求出整台电子地磅的平均危险故障时间MTTFd值。

3）CCF 的估算

根据GB/T 16855.1-2008中附录F对防止CCF 措施的逐项评分如表6所示，由于被估算的系 统在各单元的分离性、差异性及环境条件的要求 上优势明显，总分可得到85分，足以满足防止CCF 的要求。

4）判断类别及PL性能等级

根据图3可知，整个通道的MTTFd为“低” (5.65年)，DCavg为“低”，防止CCF的措施足够 时，对应的类别为Cat.3类，性能等级PL=b。

根据该电子地磅要求的性能等级PLr=b，则满 足了 PLS PLr的要求。即该通道的功能安全控制系 统能满足对风险减少的要求。根据GB/T 16855.1-2008中表4的PL与SIL的关系，可得到 安全完整性等级SIL为1级。

5）系统分析与减少风险所采取的保护措施

①由于通道的安全完整性等级估算SIL为1 级，为减少系统中影响安全功能的故障或失效的 可能性，在系统设计中应减少单元部件中元件的 故障概率，采用经验证的高于SIL-1级的安全元 件。例如：对于称重传感器单元部件，应考虑采 用经验证的全密封接线端子，以减少由于防潮密 封不良，而使模拟信号输出失效；对于数据处理 装置（CPU主板，应采用工业级SIL-2级以上的 电阻、电容元器件等措施。

②本通道经估算的类别为Cat.3类，说明当发 生单一故障时，安全功能总是有效的，某些故障 将会被检测到，无需采用部件单元的冗余设计措 施。但未发现故障的累积能导致安全功能的损失， 为避免故障的危险影响，应改善通道部件单元的 结构，可以通过改善嵌入式软件功能的方法实现 功能结构的完善，例如：在不增加通道中的冗余 部件，而通过不同的故障报警连锁的方式，避免 故障的危险影响。

通过采用上述两种措施，除共因失效分析外， 还应考虑危险失效和系统失效的分析方法。 由于 本例仅为电子地磅中最基本的结构型式，其中对 于软件及系统失效还都没有实质性的计算与分析， 只能作为地磅中最基本的实例分析。

目前在自动化系统工程中，为了让设计工程 师可以轻松地根据新标准执行安全系统化的程序， 一些跨国自动化OEM商开发了专用的系统安全计 算器，例如：Pilz公司专门开发了一款软件工具 PAScal安全计算器，它可以计算机械设备安全功 能的PFHd值。根据ISO 13849，将制定的性能指 标对结果进行验证，或根据IEC 62061，采用安全 完整性等级SIL进行验证，并列出需要采取的所有 措施，通过图例向用户显示何处可能需要提高安 全等级，大大方便了用户的系统设计选型。

四、功能安全与EMC环境的关系

IEC 61326-3- 1 “测量、控制和实验室用的电 气设备电磁兼容性要求第3-1部分：与安全相关 系统和执行与安全相关功能设备叻能安全的 抗扰度要求一般工业应用”，该标准应用于当安 全相关系统在执行安全功能时，如果遇到诸如电 磁辐射等各类骚扰时，可能会产生错误、误动作、 故障和损坏，从而导致安全相关系统的性能下降 或失效，甚至引起危险时，规定了安全相关系统 设备的抗扰度水平的要求。强调了电气/电子/可 编程电子（E/E/PE安全相关系统对系统的EMC 特性进行评估，以保证要求SIL规定的失效率。

五、风险评估的流程

首先要确定当前或者发展中可能存在的风险 等级，通过评估、设计、选择、验证以及维护等 一系列程序来建立真正安全的生产环境，这些都 要遵循相关的国际安全标准和规则。较为复杂的 工业产品系统能够达到何种安全等级（SIL3等级 以上的要求由第三方机构进行认证。目前我国 主要由一些权威的外资机构如德国TUV公司等在 中国开展了产品安全等级测试及认证工作。基于 IEC 61508、IEC 61511、IEC13849- 1、IEC 62061 等标准，对安全设备的安全完整性等级(SIL)或者 性能等级(PL)进行评估和确认的一种第三方评估、 验证和认证。功能安全认证主要涉及针对安全设 备开发流程的文档管理FSM评估，硬件可靠性 计算和评估、软件评估、环境试验、EMC电磁兼 容性测试等内容。

㈠如何确认供应商声称的SIL级别（IEC 61508 标准

（1）应用条件是否相同 目前很多公司的子系统产品进行过IEC 61508认证，通过权威机构认证，达到SIL3级。 但用户在选择这种子系统时，要考虑现场采用的 工作条件是否完全相同或相近。 如果系统的工作 条件不同，则需要用分析和测试的方法来论证该 系统的SIL可能达到的水平，以保证该系统可用于 安全领域。

（2）对评估员或评估机构独立性的要求 IEC 61508规定，对系统、子系统或器件进行SIL级别评估的必须是相对独立的人或组织。对 于SILl,只需要同一个组织中的一个独立人，SIL2 则需要一个独立的部门。至于SIL3和SIL4则要求 独立的组织以及评估员具有合格的工作能力。

中国功能安全中心于1999年成立，专门跟踪 国际功能安全相关标准发展、研究其应用并进行 技术转化的专业性机构。主持完成了等同采用国 际标准IEC 61508的中国国家标准制定（GB/T 20438-2006以及等同采用国际标准IEC 61511 的中国国家标准制定（GB/T 21109-2007 ；下属 的功能安全技术研发中心（FSchm)是国内负责 功能安全/SIL相关技术的推广、培训、研究和认 证评估工作，在国际上代表中国参与功能安全 /SIL等相关技术标准的制修订工作（对口国际组 织 IEC TC65A。

(3）对机器进行过危险性分析后，制造商可 以采取如下三种措施来减少事故的可能性，将机 器的危险性降低到可以承受的程度：

1）在设计机器时将可能出现的危险降低到最小；

2）对于无法避免的危险，采取必要的安全保 护措施；

3）对用户进行培训，避免剩余危险可能导致 的伤害。

为达到上述标准的各类安全等级，最常用的 设计方法为热备份的冗余设计方法。例如：安全 开关的双触点结构、安全继电器的双通道输入、 安全PLC的双CPU结构、控制软硬件的冗余设 计。此类设计方法已经或正引起越来越多的产品 设计与应用部门的重视。

（4）地磅产品的机电部件设计安全的具体要求

1）对于作旋转运动的零部件应装设防护罩或 防护挡板、防护栏杆等安全防护装置，以防发生 绞伤。

2）对于超压、超载、超温度、超时间、超行 程等能发生危险事故的零部件，应装设保险装置， 如超负荷限制器、行程限制器、安全阀、温度继 电器、时间断电器等等，以便当危险情况发生时， 由于保险装置的作用而排除险情，防止事故的发 生。

3）对于某些动作需要对人们进行警告或提醒 注意时，应安设信号装置或警告牌等。如电铃、 喇叭、蜂鸣器等声音信号，还有各种灯光信号、 各种警告标志牌等都属于这类安全装置。

4）对于某些动作顺序不能搞颠倒的零部件应 装设联锁装置。即某一动作，必须在前一个动作 完成之后，才能进行，否则就不可能动作。这样 就保证了不致因动作顺序搞错而发生事故。

(5）地磅产品的安全仪表系统具体设计要求

1）考虑完整的安全仪表回路设计；

2）采用冗余谷错技术；

3）考虑系统在线可维护性；

4）使用在线测试技术；

5）重视整个安全生命周期内设计、实施、维 护规范；

6）要有独立的团队负责整个项目的管理和实施。

六、功能安全在工业地磅技术中的应用 功能安全控制系统的宗旨是提高工业产品的 可靠性与安全性。目前在我国工业自动衡器的产 品中采用功能安全集成控制系统已初露端倪。例 如：重量自动分选衡器、连续累计自动衡器中皮 带秤、给煤机、皮带配料秤、重力式自动装料衡 器中的大型称重配料系统、产品称重包装生产线、 动态滚道秤、动态胶料秤等产品中，一些卓有远 见的用户已经提出了功能安全集成控制系统的要 求。促使产品设计开发人员在称重系统的设计中 将安全锁、安全急停按钮、拉线急停开关、感应 式安全光幕以及控制柜中的安全继电器、安全 PLC以及安全型现场总线等软硬件动作互相关联, 组成一个完整的功能安全集成控制系统。

作为一个设计人员应该在机器的设计上把危 险降低到最小，就必须采用安全控制类产品。以 下将结合我公司近期在工业自动衡器产品设计中 的一些应用实例，分别介绍各种安全功能部件的 应用。

(一）安全互锁开关

安全互锁开关是指通过强制断开动作结构， 即使在接点熔接时也能确保功能安全。

产品分为非接触式、机械连锁式两种。例如： 安全门锁、舌簧互锁开关、安全限位开关、非接 触式安全开关等。上述用于安全互锁开关的共同 特点是必须要有两个并列的安全回路。如：两路 常开或两路常闭。

(二）安全继电器

安全继电器与一般继电器不同，具有强制导 向的接点结构，即使在接点熔接时也能确保功能 安全。安全继电器一般与安全开关配套使用，具 有双通道检测功能。

安全继电器的主要技术指标如下：

(1）接点间隔不仅在通常运行状态而且在发 生故障状态也应达到0.5mm以上：

(2）接点负载开关应符合AC15、DC13的要求；

(3机械寿命为1000万次以上。

(三）急停装置

该装置主要用于紧急停车系统。 产品主要有 安全拉绳开关、急停按钮等。该类设备用于一旦 系统出现异常故障，使操作者能在最短的时间， 最近的位置实施紧急停车。 例如在产品的包装线 上、物料配料称重输送线上、皮带秤和定量给料 机、给煤机的侧面需使用安全拉绳开关。

(四）感应式安全装置

该类装置属于主动安全防护，无需在设备和 操作者之间设置硬件防护。主要感应生产线上的 操作者或移动设备。较为典型的产品有安全光栅/ 光幕、安全扫描仪等。在地磅行业应用最多的是 安全检测光栅/光幕。在产品包装热封设备前用于 防止操作者手动误操作的红外线安全光栅；设置 在动态公路称重收费站秤台边的车辆检测光幕。

安全光幕还有光束屏蔽功能，由于工艺需要 把光幕中的个别光束屏蔽不起作用。光幕输出为 OSSD信号，该信号有短路输出、过载保护、PNP 输出及交叉检测等功能。安全光幕还有外部设备 监控功能，通过外部执行器的断开检测是否正常 工作。

(五）安全PLC

目前市场上已有封装型可编程安全控制器、 集成安全控制器和安全I/O，通过RSNetWork编 程，通讯采用DeviceNet和EtherNet/IP，该类产品 最大的特点是采用标准与安全的两套CPU控制， 并实现安全通讯。

(六）现场总线系统的功能安全评价

现场总线系统所起的作用是通信，它包括一 组硬件和软件，允许两个或多个装置之间信息交 换。在受控过程中，它不应该传播或建立会产生 危险情形的错误。它应能找出数据的讹误，保证 实时数据的传送、传递应有序，避免混乱。同时 应能随时了解可能出现的故障状态，避免出现因 通信错误触发不合理的安全动作，例如使过程在 不该停止时停了下来，或使过程在出现故障时还 继续工作等。

(1）现场总线系统安全功能评价的方法，要 证明一个系统或子系统是否可以用在安全领域， 是否符合IEC 61508标准，有两个途径：

1）按照IEC 61508的原则设计一个新系统；

2）沿用以前已经使用并证明是安全的系统， 用“Proven in use使用中证实”方法来验证。

(2）目前世界上重要的设备供应商都开始对 自己的产品进行这方面认证工作。Proven in use的 限制条件：

1 ）Proven in use方法只能用于那些满足相关 要求的功能和接口子系统；

2）子系统的工作条件与原子系统的工作条件 完全相同或十分相近；

3）如果子系统的工作条件不同，则需要用分 析和测试的方法来论证该系统的功能安全完整性 可能达到的水平，以保证该系统可用于安全领域；

4）声明的失效率有足够的统计学数据基础；

5）收集有足够的失效数据；

6）考虑了子系统的复杂性，子系统对风险降 低的贡献，子系统失效对整个系统可能造成的后 果、新设计等。

上述各种安全部件可以组成一个完整的功能 安全集成控制系统。在工业地磅的系统设计中应 根据现场的不同安全等级要求选择不同的功能安 全器件及功能安全系统。

七、结语

在功能安全控制系统的应用已经风靡全球工 业界的今天，工业衡器特别是自动衡器如何紧跟 这一时代发展的新潮流，已经成了我国衡器行业 技术发展急需提出的新课题。尽管越来越多的地磅产品最终用户和制造商已经意识到安全的重要 性，但并未认识到应从系统上根本解决安全的问 题，安全理念和相关技术与标准的实施在我国地磅行业推广的道路仍然漫长。愿本文能在地磅行 业起到一定的推动促进作用。