数控车床与车削中心功能安全设计方法的研究

周肇元

(沈阳机床(集团)有限责任公司，辽宁 沈阳 110142)

随着GB 22997-2008《机床安全 小规格数控车床与车削中心》与GB 22998-2008 机床安全 大规格数控车床与车削中心》两个标准的实施，车类数控机床在其功能安全设计上进入了新的时代。本文将对这两个标准进行深入的解读。

1 概述

GB 22997-2008 标准是在欧洲标准EN 12415:2000 的基础上等效修改而来，GB22998-2008 标准是在欧洲标准EN 12478:2000 的基础上等效修改而来。这两个标准大同小异，本文仅针对GB 22997-2008 标准进行分析。

国际上对机械电气安全有两套成熟的体系，一类是以IEC 61508 为基础的IEC 62061，其对应国标为GB 28526-2012《机械电气安全 安全相关电气、电子和可编程电子控制系统的功能安全》。另一类即是ISO 13849-1。

这两套标准体系的侧重点不同，IEC 62061 更适合用来评估比较复杂的电子系统，其根据相关计算得出每个控制通道的PFH(每小时的危险失效概率)将元件或者系统分为了3 个SIL 等级，即SIL1 级、SIL2 级、和SIL3 级，但不仅是针对电子电气系统;当然它也参照了IEC 60204、ISO 12100 和ISO 13849 等，但主要是参照了其中对机械安全和电气安全的要求。ISO 13849 则不然，它基本上还是传承了EN 14121 和EN 954 的基本原则，侧重于分析控制电路的结构，按照电路结构，将电路分成B、1、2、3、4 共5 个类别，再辅以适当的MTTF 值和DC 值，来达到预期的PL(performance level)等级a、b、c、d、e 这5 个等级。

由此可以看出，使用ISO 13849 对机床的安全电路进行评估，会比较方便，GB 22997-2008 中也确实是这么做的。

ISO 13849-1:2006 的等效国标为GB/T 16855.1-2008《机械安全 控制系统有关安全部件第1 部分:设计通则》，该标准是我们解读GB 22997 的理论基础。

2 风险评估

风险评估是以系统方法对与机械有关的风险进行分析和评价的一系列逻辑步骤，风险评估之后需要进行风险减小。为了尽可能通过采取保护措施消除危险或充分减小风险，有必要重复进行该过程。

保护措施是设计者和使用者根据图1 所采取的措施的组合。在设计阶段采取的措施优于在试用阶段由使用者采取的措施，而且通常更有效。

对应到数控车床的安全设计上，首先要按照GB/T 15706-2012 中第4 章和GB/T 16856.1-2008 的规定进行安全评估，最终形成危险一览表。然后设计者应根据图1 所示流程分3 步采取保护措施:第1 步需要提高机械部分的本质安全设计，比如在危险区域设置防护装置等;第2 步开始进行功能安全设计，即是本文的宗旨;第3 步是在功能安全设计无法顾及的方面设置安全提示。

GB 22997-2008 标准中已将小规格数控车床上涉及的风险进行了详细的评估，并已形成详尽的危险一览表，同时对各项危险指标给予了明确的安全要求和保护措施。本文将针对标准中涉及控制系统的几项重要的功能安全部分进行详细解读。

3 控制系统相关功能安全设计

3.1 起动

GB 22997-2008 对该部分的要求除了要符合GB 5226.1-2008 的相关规定外，特殊做了下面的强调，“起动和重新启动应符合GB/T 16855.1-2008 中规定的1 类要求”。

GB/T 16855.1-2008 即等效ISO 13849-1:2006，该标准的最终目的是要使控制电路的结构达到其预期的PL 等级。而Cat.类别是计算PL 等级水平的结构因素。

Cat.1 类结构是一种单通道的系统(图2)，同时属于1 类的SRP/CS 应采用经验证的元件和经验证的安全原则来设计和构造。在有关的应用中，“经验证的元件”是指下列之一:

(a)在过去类似的应用中取得了成功效果的元件。

(b)在有关安全的应用中，采用证明了其实用性和可靠性的原则而制造的且经过验证的元件。

如果最新开发的元件和行程的安全原则满足(b)中的条件，那么可认为其与“经验证的”等效。决定是否接收一个特殊元件作为“经验证的”元件取决于实际应用。

每个通道的MTTFd(平均危险失效时间)应是最高的。

综上所述，起动回路的设计方法维持单通道即可，但需保证回路中的元件是“经验证的元件”。

对于起动的其他一些动作要求，参见GB 22997-2008 标准的5.1.3 中的规定执行。

3.2 运行中停止

GB 22997-2008 标准中规定，在机床运行中停止时，除了需要符合GB 5226.1-2008 中9.2.2 规定的2 类停止要求，对于需保持动力的工件夹持主轴，应配有主轴驱动监视器。监视器应满足GB/T 16855.1-2008 中规定的3 类要求。

GB 5226.1-2008 中关于停止功能的3 种类型规定如下:

0 类:用即刻切除机械致动机构动力的办法停车(即不可控停止);

1 类:给机械致动机构施加动力去完成停车并在停车后切除动力的可控停止;

2 类:利用储留动能施加于机械致动机构的可控停止。

GB/T 16855.1-2008 中对Cat.3 类结构要求:3 类的SRP/CS 的设计应使得任何这些部件中的单一故障都不会导致安全功能丧失。只要合理可行，在有关安全功能的下一个指令发出时或发出之前应检测出单一故障(图3)。

简而言之，Cat.3 类结构是一种双通道冗余设计，符合3 类要求的电路具备在任意一个通道出现故障时，另一个通道可以检测出故障并触发相应的安全保护功能。

根据标准要求，在车床工件主轴的功能设计时，对其停止时的零速监控需要进行双通道冗余设计，在数控系统与驱动系统的零速监控基础上，需额外附加一组独立的电路用以确保主轴处于零速状态。这里可以使用Pilz 等公司生产的速度监控模块来实现。

对于运行中的其他一些动作要求，参见GB 22997-2008 标准的5.1.4 中的规定执行。

3.3 紧急停止

紧急停止功能是机床功能安全设计的一项十分重要的指标。GB 22997-2008 规定该功能应符合GB 5226.1-2008 中9.2.2 规定的1 类停止要求，并符合GB 5226.1-2008 中9.2.5.4 和GB/T 16754-2008 的有关规定。

除此之外，标准中更是强调了紧急停止功能如果采用硬线控制，应符合GB/T 16855.1-2008 中规定的1 类要求。对于其他情况(如软件控制)应符合GB/T 16855.1-2008 中规定的3 类要求。

换言之，紧急停止功能如果通过硬件线路实现，即按下急停按钮实现可控停止后，即将整个致动机构的外部供电切断，此时使用单通道的电路结构即可符合要求。但是如果将紧急停止的信号接入运算部件(如PLC)，通过软件进行紧急停止，就需要对进行双通道冗余设计方式。因此建议紧急停止功能应尽量使用硬件线路，通过安全继电器进行控制以实现标准中的要求。

对于紧急停止的其他要求，参见GB 22997-2008 标准中5.1.5 中的规定执行。

3.4 模式选择

GB 22997-2008 中规定机床必须设置两种工作方式，即生产工作方式和调整工作方式，图4 对两种工作方式下的机床安全措施进行了解释。对于这两种工作方式必须设置工作方式选择开关，选择开关在所选方式下能锁住。同时按照GB 5226.1-2008 中9.2.3 的规定，应采取合适的措施(如钥匙开关、通路编码)来防止工作方式选择可能引起的险情。因此强烈建议该选择开关使用钥匙开关。

GB 22997-2008 中还规定选择功能应符合GB/T 16855.1-2008 中的1 类要求(见3.2)。

3.4.1 生产工作方式

在生产工作方式下，当活动式防护装置脱开时，机床部件应停止运动，下列情况除外:换工件时，工件夹具的脱开和闭合运动;主轴运转由自复位命令装置(瞬时开关)控制，转速≤50 r/min。

只有当联锁的活动式防护装置闭合时，才允许其他的运动。

标准中对这部分的讲解，简单来说即是在生产工作方式下，当机床主防护门打开时，机床各轴均应停止运动。此时仅允许执行卡盘松卡的动作，并且主轴仅允许点动操作，同时速度限制为最高50 r/min(对应大型数控车床及车削中心，此项参数有区别，具体参见GB 22998-2008)。

3.4.2 调整工作方式

在调整工作方式下，当活动式防护装置脱开时，机床部件的运动，应在下列条件下进行:

(1)轴线运动最高速度≤2 m/min。只允许用自复位命令装置(瞬时开关)(符合GB/T 16855.1-2008 中规定的3类要求)控制，移动距离≤6 mm。

(2)工件主轴和/或刀具主轴的转速≤50 r/min，并且运动由自复位命令装置(瞬时开关)控制。

(3)只有当操作者的双手处在危险之外时，才允许刀架转动/分度。如采用GB/T 19671-2005 中6.2 规定的II 行或IIIB 型双手操纵开关，或采用同使能装置一起使用的自复位命令装置(瞬时开关)。

(4)尾座套筒的操作，有自复位命令装置(瞬时开关)控制。所采用的安全装置和措施，如在自复位命令装置(瞬时开关)控制下，降低刀具、主轴和轴线运动的运行速度;采用双手操纵开关或同使能装置一起使用的自复位命令装置(瞬时开关)，转动/分度转塔刀架，仅应在调整方式下进行。

标准中对这部分的讲解，简而言之即在调整工作方式下，轴向运动的机床轴只能点动操作(该点动按键回路必须为双通道冗余控制，如数控系统具备相关认证，可使用系统自带按键操作，如果系统不具备相关认证，必须自行设计控制回路予以实现)，并且速度限制为最高2 m/min。主轴也仅允许点动操作运行，同时速度限制为最高50 r/min(对应大型数控车床及车削中心，此项参数有区别，具体参见GB 22998-2008)。

3.5 速度控制

GB 22997-2008 中规定对于监控共建主轴和刀具主轴速度的控制系统安全部件，应符合GB/T 16855.1-2008 中规定的3类要求(见3.2);对于监控轴线运动速度的控制系统安全部件，应符合GB/T 16855.1-2008 中规定的2 类要求。

GB/T 16855.1-2008 中对Cat.2 类结构要求:

2 类的SRP/CS 的设计应使其功能按照适当的时间间隔通过及其控制系统进行检查(图5)。安全功能的检查应在以下情况下进行:在机器启动时，或某种危险状况发生之前，例如新周期开始时、其他运动开始时、和(或)如果风险评价和操作类型表明是有必要的，周期性定期运行期间。

该检查可能是自动进行的。安全功能的任何检查应做到如果没有检测到故障，允许运行;或者如果检测到故障，产生触发适当控制动作的输出。

只要可能，这种输出应产生一种安全状态。安全状态应保持到故障清除为止。当不可能产生安全状态时(例如终极开关装置中的触点焊合)，该输出应发出危险警告。

简而言之，Cat.2 类结构是一种单通道有监控的设计，因此轴向运动的机床轴应确保配置全闭环控制系统，同时数控系统应具备相应的认证。

4 结语

GB 22997-2008《机床安全 小规格数控车床与车削中心》与GB 22998-2008《机床安全 大规格数控车床与车削中心》标准的实施代表了我国在机床功能安全设计方面与国际接轨的决心。同时为了适应及过渡，国标中并没有执行ISO 13849-1:2006 的核心性能等级PL，而是使用了EN954 时代的结构等级(B、1、2、3、4 等5 类)标准。国内的机床厂家应及早对各自的产品进行结构上的改进，以免落后于时代的潮流。

［1］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB 5226.1-2008，机械电气安全 机械电气设备第1 部分:通用技术条(IEC 60204-1:2005，IDT)［S］.北京:中国标准出版社，2009.

［2］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 15706-2012，机械安全 设计通则 风险评估与风险减小(ISO 12100:2010，IDT)［S］.北京:中国标准出版社，2013.

［3］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 15760-2004，金属切削机床 安全防护通用技术条件［S］.北京:中国标准出版社，2005.

［4］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB 16754-2008，机械安全 急停 设计通则(ISO 13850:2006，IDT)［S］.北京:中国标准出版社，2008.

［5］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 16855.1-2008，机械安全 控制系统有关安全部件 第1 部分:设计通则(ISO 13849-1:2006，IDT)［S］.北京:中国标准出版社，2008.

［6］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 16856.2-2008，机械安全 风险评价 第2部分:实施指南和方法举例(ISO/TR 14121-2:2007，IDT)［S］.北京:中国标准出版社，2009.

［7］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB 22997-2008，机床安全 小规格数控车床与车削中心(EN 12415:2000，MOD)［S］.北京:中国标准出版社，2009.

［8］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB 22998-2008，机床安全 大规格数控车床与车削中心(EN 12478:2000，MOD)［S］.北京:中国标准出版社，2009.

［9］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB 28526-2012，机械电气安全 安全相关电气、电子和可编程电子控制系统的功能安全(IEC 62061:2005，IDT)［S］.北京:中国标准出版社，2012

［10］张建国.浅谈机械安全-E/E/PE 控制系统的功能安全标准IEC 62061［J］.中国仪器仪表，2009(5):49-55.