一种功能安全型安全继电器的开发流程

阚明生 曹萃文

(华东理工大学化工过程先进控制和优化技术教育部重点实验室，上海 200237)

一种功能安全型安全继电器的开发流程

阚明生 曹萃文

(华东理工大学化工过程先进控制和优化技术教育部重点实验室，上海 200237)

为了实现功能安全型安全继电器的国产化，研究了安全继电器的基本原理，并对与安全继电器开发有关的功能安全标准进行了解读。结合进口安全继电器的实际应用情况，提出了一种紧凑型安全继电器开发设计的流程，并对流程中的风险分析、确定方案、产品实现和功能安全认证等核心步骤进行了详细的介绍。此流程在后续的典型产品实现过程中得到了充分的验证，对开发安全控制系统相关的安全部件具有一定的指导意义。

安全继电器 功能安全 安全逻辑部件 性能等级 安全完整性等级 失效模式和影响分析(FMEA)

0 引言

随着工业自动化水平的不断提高，人们在追求更高生产率的同时，将注意力越来越多地转向了生产的安全性。在工业自动化安全领域，国外早在20世纪80年代末就推出了用于安全控制的安全继电器产品，后来又逐渐开发出安全PLC和安全总线控制系统，并往可编程安全控制设备方向发展。而我国在该领域的研究还处于起步阶段。近年来国内企业对安全产品的需求量逐年增加，不少规模较大的企业纷纷引进国外现成的安全设备，但这些设备价格昂贵，增加了企业的投资成本，尤其限制了不少中小型企业对安全产品的使用。就安全继电器来说，国内市场基本被外国公司垄断，如德国的皮尔磁(Pilz)、德国的施迈赛(Schmersal)、日本的欧姆龙(Omron)等。近两年，虽然国内也出现了少量国产安全继电器产品，但是这些安全产品大多没有获得国际权威机构的功能安全认证，与进口安全继电器产品相比没有实质的竞争力。如何依据相关功能安全国际标准开发出安全设备，实现安全产品的国产化，并最终获得国际权威机构的功能安全认证是摆在我们面前的关键问题。

1 安全继电器的基本原理

安全继电器作为安全控制系统的一部分，是一种典型的安全功能执行部件，被广泛应用于一些低等或中等复杂程度的机械设备和控制系统中。安全控制系统在开车、停车、出现工艺扰动以及正常维护、操作期间对生产装置提供安全保护。一旦工厂装置本身出现危险，或由于人为原因而导致危险时，系统立即做出反应并输出正确信号，使装置安全停车，以阻止危险的发生或事故的扩散[1]。安全控制系统的组成结构如图1所示。

除了实现基本的安全功能外，安全继电器还必须保证在系统出现故障的情况下仍然能够保证安全。对于可以预见的故障，安全继电器通过预先设定的控制逻辑能够使系统处于安全状态，并能够检测出故障类型及故障所在位置。安全继电器内部采用的都是经过验证的可靠的元器件，一般情况下不会出现故障，即使由于硬件随机失效而引起的安全功能危险失效率也被控制在一个极低的水平。

为了达到可靠安全控制的要求，安全继电器采用了多种有效措施。在结构上，采用了冗余的双通道设计，并且两个通道在逻辑上相互监控和制约。在硬件上，采用经验证的可靠的电子元器件，继电器模块采用了强制导向接点的特殊设计。在软件上，采用了多种程序可靠性设计方法，并且能够通过软件对可以预见的故障进行检测。在接线上，可以通过触点反馈、复位按钮等方式防止机器意外重启。

紧凑型安全继电器从设计角度来说，大致可分为两大类：一类是完全由硬件构成，这些硬件按照较为复杂而又严密的逻辑关系相互组合，保证了安全功能的实现；另一类是由硬件和软件构成，其安全功能更多地依赖软件的检测功能。第一类安全继电器的安全性能比较可靠，但是故障检测功能不强；第二类安全继电器的安全性能需要由稳定可靠的软件来保障，因而安全性能降低不少，但是它的故障检测功能大大增强。

2 相关功能安全标准

安全继电器是满足功能安全要求的安全相关系统的逻辑控制部件，安全继电器主要应用于机械类的安全相关系统。因此，安全继电器的开发设计，应符合以下标准要求。

首先，作为满足功能安全要求的安全相关系统的一部分，安全继电器的开发必须符合功能安全基础标准IEC 61508[2]的要求，在基础标准的大框架下开展更加细致的工作。

其次，作为机械类的安全相关系统的一个部件，安全继电器的设计应符合机械类的功能安全标准如IEC 62061[3]或者ISO 13849[4]。这两个标准均规定了设计和执行机器控制系统有关安全部件的要求。根据这两个标准的范围，采用其中任何一个标准都可假定安全继电器满足相关的基本安全要求[4]。

第三，由于安全继电器大多由电子元器件构成，因此在设计时还应参照机械电气安全标准IEC 60204[5]中有关电气安全设计的要求。

最后，结合安全继电器执行的具体安全功能，还要参考机械安全标准体系中的有关内容，如机械安全类紧急停止设计原则ISO 13850[6]、机械安全类防止意外启动设计原则ISO 14118[7]、机械安全类双手操纵装置功能状况及设计原则ISO 13851[8]等。

3 安全继电器的开发过程

3.1 风险评价

风险评价的第一步是识别风险。经过考察和分析，可以通过由安全继电器构成的安全控制系统来降低的风险如下。

① 机器操作出现异常，加工出不合格产品，不能及时停止机器，造成原材料损失。

② 操作工人或维修人员进入机器运作区域时，机器不能及时停止运行或机器突然意外启动，都可能造成人身伤害。

③ 在由人操控机器运行且操作人员与机器交互频繁的场合，操作人员的肢体尚未完全离开危险区域时机器突然启动，可能造成人身伤害(尤其是操作人员的手)。

针对上述可识别到的风险，要确定相应的安全功能来降低风险。对于每个安全功能，需要确定该安全功能所需的性能等级(performance level，PL)或安全完整性等级(safety integrity level，SIL)。该安全功能及其所需的PL等级或SIL等级由相应的安全控制系统来实现。由安全继电器构成的安全控制系统实现的安全功能主要有安全停止功能和安全操作功能两类。对于上述识别到的三种主要风险，各自所需的安全功能和负责实现该安全功能的安全控制系统如表1所示。

表1 风险评价结果

3.2 确定所需的PL等级和SIL等级

用于实现安全停止功能的安全继电器可以与急停按钮或带限位开关的安全门配合使用，实现降低风险1或风险2所需的安全功能。用于实现安全操作功能的安全继电器可以与双手操纵装置配合使用，实现降低风险3所需的安全功能。

ISO 13849-1指出，安全控制系统所要实现的安全功能的PL等级取决于风险评价的结果，并且参考了控制系统有关安全部件实现的风险减小量。风险减小总和越多，单个风险所需的性能等级(PLr)就越高。ISO 13849-1借助风险图进行风险评估，评价标准包括伤害的严重性、暴露于危险的频率和避免风险的可能性三个方面。评价的结果用单个风险所需的性能等级(PLr)来表示，它共有a、b、c、d、e五个等级，其中等级e最高，等级a最低。风险评估针对单个风险，从风险图上的起始点开始，对每个评价变量逐一判定，沿着相应的路径得到所需的性能等级。

前面已经讲过，ISO 13849标准和IEC 62061标准在内容上有非常紧密的联系，因此，用上述方法确定了PLr以后，可以根据ISO 13849-1中的表4找到与之对应的SIL等级。

3.3 设计方案

经过风险评价，用于监控急停按钮或安全门的安全继电器的PL等级至少应达到PLe级，SIL等级至少应达到SIL3级；用于监控双手操纵按钮的安全继电器的PL等级应达到PLe级，SIL等级应达到SIL3级。

根据ISO 13849-1，安全设备的PL等级主要由结构类别Cat.(Category)、单个通道的平均危险故障时间(mean time to dangerous failure，MTTFd)、诊断覆盖率(diagnose coverage，DC)和共因失效(common cause failure，CCF)四个因素确定，如图2所示。由图2可知，如果采用结构类别3或4，那么PL等级至少达到PLe级,对MTTFd和DC的要求相对宽松，在一定程度上增加了设计的可行性。事实上，市面上的安全继电器产品均采用了结构类别3或者4。

设计方面需要考虑的因素很多，如机械设备的特点、工艺操作的特点、安全设计理念、人为因素等。综合上述多种因素，给出一种应用于安全停止功能的安全继电器的设计方案。

图2 PL与每个通道的类别、DCavg和MTTFd的关系

依据ISO 13849-1第六章的相关要求，采用双通道冗余结构，确保发生一个故障时不能导致安全功能失效。采用经验证的元器件，用简单元器件搭建逻辑控制电路，不采用复杂的可编程器件。经验证的元器件见ISO 13849-1附录C。安全控制逻辑如表2所示，表中列出了所有可能发生的输出状态变化的情况。采用此控制逻辑,可以实现如下监测功能:①监控输入设备断路故障;②监控输入设备短路故障;③监控两个输入设备之间的短路故障;④监控内部输出触点熔焊故障;⑤监控外部接触器输出触点熔焊故障。

当发生上述任意一个故障时，在故障未排除之前，机器无法重新启动。此外，设计应符合ISO 13849-1附录F对防止共因失效(CCF)的要求。如可以采用如下措施，确保CCF评分达到65分以上。

① 信号路径之间采用物理分离。

② 采用差异性设计。如双通道采用不同的技术或物理原则。

③ 采用过电压、过电流等保护措施。

④ 设计中考虑故障分析的结果。

⑤ 根据适当的标准，通过防止电磁干扰的影响来防止CCF。

⑥ 设计时考虑其他环境因素，如温度、冲击、振动、湿度等的抗扰性要求。

表2 应用于安全停止功能的安全继电器控制逻辑

安全继电器的内部框图及应用其搭建的安全控制系统示意图如图3所示。

图3 安全继电器的内部框图及安全控制系统示意图

它有两个通道，每个通道均包含一个输入装置、若干与逻辑控制有关的器件和一个内部继电器单元。其中，内部继电器单元拥有多个常开触点和多个常闭触点，它们采用了强制导向的特殊设计(如通过特殊的结构设计，使任意一组常开触点和常闭触点不能同时处于闭合或断开状态)，部分常开触点用作安全输出，其余触点参与逻辑控制，实现特定的监测功能。如果外部接触器的触点也采用强制导向结构，通过将其常闭触点串入复位通道，就能对外部输出触点进行监测，增强系统的安全性能。

3.4 产品实现过程

功能安全产品与一般电气产品的实现过程最大的不同在于增加了与安全功能有关的分析和验证活动，如失效模式和影响分析[9](failure modes and effects analysis，FMEA)、故障插入测试等。产品实现过程如图4所示。

FMEA分析在硬件原理图设计完成之后进行，通过仿真或原理分析等方法确定每个元器件可能出现的所有故障及其对模块或整机产生的影响。对照相关标准，可以预估产品所能达到的SIL等级或PL等级。只有当预估的SIL等级或PL等级符合要求时，才能进入后续环节，否则，需要对硬件原理图进行修改，必要时还应重新确定方案。

对样机的故障表现进行测试和验证,如功能测试、EMC测试、环境测试、故障插入测试等[10]。其中，故障插入测试在样机制作完成之后进行，此过程需要参考之前完成的FMEA分析结果。

同时，故障插入测试也是对FMEA分析结果的验证。当某些实际测试结果与FMEA分析结果发生冲突时，需要对FMEA分析结果进行修改，并重新预估SIL等级或PL等级。当安全等级不符合要求时，需要重新确定方案。

图4 产品实现过程

3.5 功能安全认证的准备工作

在安全继电器产品开发的各个阶段都要考虑认证的事情。与产品开发有关的重要信息都应该文档化，尤其是项目计划文档(SP)、概念文档(SC)、安全要求规范文档(SRS)、安全确认文档(V&V)等，这些都需要以书面报告的形式递交第三方认证机构。

此外，在产品开发的过程中形成的FMEA分析结果、样机测试结果等重要数据也应汇总到第三方认证机构手中。当然，必要时他们也会参与一些关键的分析和测试活动。产品认证过程中所需的必要信息如图5所示。

图5 功能安全认证所需的信息

第三方认证机构会对所有必要的文档和数据进行仔细审核，然后按照相关标准的要求对安全产品的安全性能做出评价，判定该安全产品是否达到了降低风险所需的SIL等级或PL等级。

4 结束语

本文在深入了解安全继电器的市场需求、使用环境和基本性能的基础上，对功能安全型安全继电器的开发流程进行了探索。提出的针对紧凑型安全继电器的开发设计方案是在深入解读国际、国内相关功能安全标准的基础上提炼并整合有用信息后确定的，具有坚实的理论基础，并在后续的典型产品实现过程中得到了充分的验证，具有很强的实际应用价值。

[1] 王歧.对机械制造中安全控制系统有关问题的探究[J].中国科技博览，2012(13)：32.

[2] IEC 61508-1 Functional safety of electrical/electric/programmable electric safety related systems-part 1:general requirements[S].International Electrotechnical Commission,2010.

[3] IEC 62061 Safety of machinery:functional safety of safety-related electrical/electronic/programmable electronic control systems[S].International Organization for Standardization,2005.

[4] ISO 13849-1 Safety of machinery:safety-related parts of control systems-part 1:general principles for design[S].International Organization for Standardization,2006.

[5] IEC 60204-1 Safety of machinery:electrical equipment of machines-part 1:General Requirements[S].International Electrotechnical Commission,2005.

[6] ISO 13850 Safety of machinery:emergency stop-principles for design[S].International Organization for Standardization,2006.

[7] ISO 14118 Safety of machinery:prevention of unexpected start-up[S].International Organization for Standardization,2000.

[8] ISO 13851 Safety of machinery:wwo-hand control devices-Funtional aspects and design Principles[S].International Organization for Standardization,2002.

[9] 吴宁宁，刘进，云建军,等.安全继电器的安全验证技术[J].自动化与仪器仪表，2012(3)：82-83.

[10]ISO 13849-2 Safety of machinery:safety-related parts of control systems-part 2:validation[S].International Organization for Standardization,2006.

Developing Process of the Functional Safety Relay

In order to achieve the localization of the safety functional relay, the basic principle of the safety relay is researched, and relevant functional safety standards for developing safety relays are interpreted. Combining with the practical application situation of imported safety relays, the process of development and design of safety relay is proposed. The kernel steps in this process, such as risk analysis, scheme determination, product implementation and functional safety certification are introduced in detail. This process is fully verified in subsequent implementation of typical products, and possesses certain significance in development of related safety parts in safety control systems.

Safety relay Functional safety Safety logic part Performance level(PL) SIL FMEA

上海市自然科学基金资助项目(编号：12ZR1408100)。

阚明生(1990-)，男，现为华东理工大学控制工程专业在读硕士研究生；主要从事功能安全、复杂系统建模与优化、嵌入式系统开发等方面的研究。

TP211+.5

A

10.16086/j.cnki.issn1000-0380.201504012

修改稿收到日期：2014-09-15。