黄祖广 王文浩 薛瑞娟 蒋 峥
(国家机床质量监督检验中心 北京100102)
石油化工、电力设备、机械制造等相关领域,在国民基础工业中扮演着重要角色。进入二十一世纪以来,全球各个行业飞速发展,随之而来的安全隐患也越来越多,行业内相关企业急需安全可靠的安全控制系统来保障机械电气设备安全、稳定、连续的生产工作以及相关从业人员的人身安全。在某些高温、震动、辐射等复杂的工业环境下,工作人员无法靠近工业设备进行操作,以及对现场环境布线有着特殊要求无法满足控制系统需求的场合,无线控制系统及无线控制装置的使用显得尤为重要。IEC 62745:2017作为机械安全领域重要国际标准,定义了机械电气设备无线控制系统的一般要求,是机械安全标准体系的重要组成部分。为了提高无线控制系统安全性能,保障机械电气设备安全生产,本文结合我国机械电气设备无线控制系统发展现状与IEC 62745国际标准,针对机械电气设备无线控制系统的安全功能要求与实验验证方法开展了分析研究。
无线控制装置指一种用于远程无线控制工业机器人、工程机械等工业设备的控制装置,无线控制装置的使用可以避免由缆线铺设所造成的不便,扩大机械使用范围,提高了工作人员的安全性。无线控制系统(cableless control system,CCS)应用于各类机械电气设备的无线控制装置并为其提供操作界面,无线控制系统是无线控制装置设计制造的重要组成部分,其功能及与整个机械控制系统接口的方法直接影响到相关机械电气设备的安全性能。
机械设备的机械控制系统通常由操作员控制站、控制线路与无线控制系统基站构成,各部分通过有线信号或无线信号进行连接,如图1所示。其中无线控制系统的远程站与有线控制站、有线悬挂控制器组成操作员控制站。无线控制系统部分由至少由一个远程站(经由远程站,操作员接口与无线控制系统连接)和一个基站(带机械控制系统接口的无线控制系统部分)组成,两者之间使用无线信号传输命令。无线控制系统基站通过有线信号连接到机械控制系统的控制线路中。
图1 无线控制系统的框图示例及其与机械控制系统的交互
无线控制系统在生产装置开车、停车、出现生产危险等状况或对设备和工作人员提供了安全防护。在机械设备生产使用过程中,无线控制系统应能够根据相应情况做出反应并输出正确的信号,控制机械设备处于相应的状态,因此对无线控制系统的各项功能都有具体要求,主要包括停止功能要求、远程站与基站数据传输要求、多基站与多远程站要求、锁定控制与暂停控制要求、预防操作措施及电源损失行为要求,涵盖了一般工业用机械电气设备CCS的通用安全功能要求,如图2所示。
图2 机械电气设备CCS各项功能要求
机械设备的停止功能是在可能产生的危险或操作人员主动停机的情况下,实现机械设备安全停止的功能,是保障机械及其电气设备的安全性的重要组成部分。在无线控制系统中,停止功能一般分为:控制停止、一般安全停止(general safe stop,GSS)、紧急停止(emergency stop,EMS)、自动停止(automatic stop,ATS)。控制停止功能仅在 CCS控制机械时才可用,且应始终由操作员手动引发。
CCS的一般安全停止功能引发装置应具有直接开路动作,其手动引发方式需要在远程站清晰的单独标出,引发时将导致基站所有与安全有关的停止输出处于关闭状态。GSS引发后且控制致动器主动操作停止时,命令的作用应通过装置的接合来维持,直到通过远程站点的有意人工操作使其脱开。致动器不锁定时不应产生停止命令,无停止命令产生时,不应出现致动器的锁定。
紧急停止功能需要始终处于可用和可操作状态,且其操作器应具有符合规定的标志/标记,只有检测到紧急停止功能处于正常状态时,设备才能启动和运行,并且设备的EMS需满足ISO 13850的相关要求。当机械设备的多个远程站同时与单个基站通信的情况下,单个远程站的禁用(禁用远程站的EMS功能不可用)将引发自动停止(ATS)功能[2]。
CCS的自动停止功能是安全相关的控制功能,通常在检测到安全相关故障、有效信号缺失以及传输停止等情况下,自动引发基站安全相关的停止输出处于 OFF状态以防止机械的危险操作。在 CCS中,ATS功能应具有安全性能不低于任何其他安全相关停止功能的安全性能。
为了保证机械设备的安全性,CCS设计时应提供自动停止功能和至少一个停止功能,该功能需要由控制装置上专门为此目的提供的蓄意动作引发(一般情况下该功能为一般安全停止或紧急停止)。机械不同的停止功能需要不同的停止类别,其基站应提供足够的停止输出以适合机械的不同停止功能,CCS的每个安全相关停止功能应具有至少SIL1/PLc的安全完整性,且每个安全相关停止功能应在基站引发相关停止输出的OFF状态,以保障机械设备不同停止功能的需求。
CCS的停止功能可以手动或自动启动,并可通过主动停止、被动停止执行。主动停止是由停止信号从远程站到基站的传输导致的停止,被动停止是由于基站有效信号的缺失而导致的安全相关停止。一般工业用CCS典型的控制逻辑如图 3所示。序列2属于主动停止,是手动激活STOP制动器或响应某种特定情况时,引起远程站在发送停止信号,从而在基站中引发OFF状态,远程站传输功率不会消除。序列3指主动停止后自动消除远程站传输功率,其中序列3a属于主动停止,3b属于被动停止,基站通过主动停止3a和被动停止3b引发基站OFF状态,因此即使主动停止3a无效,被动停止3b也能引发基站OFF状态,例如手动激活STOP操动器或响应特定情况时,在远程站中消除远程站传输功率,当接受到停止信号时或检测到随后有效信号缺失时,引发基站OFF状态。序列4是由于移除远程站传输功率导致的被动停止,当手动激活STOP操动器或响应特殊情况,使远程站取消远程站传输功率,此时基站检测到没有有效信号,引发基站OFF状态。序列1表示手动引发的停止,其导致CCS的非安全相关停止输出的状态,此时基站不会引发OFF状态。序列5属于自动停止类型,其中被动停止和由此引发的OFF状态在基站自动引发,例如当远程站被移出工作范围时,基站无有效信号自动引发OFF状态。
图3 CCS停止功能逻辑
当 CCS的一般停止功能或紧急停止功能引发后复位时,应控制远程站和基站应采取有意行动来控制可能被激活的危险操作。若锁定的安全停止装置脱开导致通信重新建立,需在远程站上进行额外的手动复位操作。当检测到CCS存在故障或电源中断和重新连接的情况时,不应导致先前启动的相关安全停止功能重置。
远程站与基站的安全稳定数据传输是 CCS与机械设备安全工作的基础,确保其数据传输的稳定和安全在无线系统功能设计中显得尤为重要。CCS的数据传输一般采用串行数据传输,要求串行数据传输的汉明距离应为4或一帧中的总比特数除以20,取其较大者为准,或在CCS中提供其他确保串行数据传输中未被检测到的错误帧概率 R(Pe)<1×10-8的手段[3]。
当操作者取消远程站点数据传输时,CCS设计时需提供迅速停止远程站传输的手段(例如不使用的工具即可取出电池、具有直接开路的远程站电源传输的中断装置等手段)。在实际工作环境要求远程站停止传输时,在操作命令停止后中性帧应传输一段时间,且CCS应在预定的中性帧传输期结束时引发自动停止功能,若CCS没有提供自动停止传输,其中性帧需一直被传输,直到下一个操作命令信号。当远程站检测到可导致安全相关功能丧失的故障时应停止传输。
在电源中断、远程站电池更换等特殊情况下,远程站启动或重新建立通信时,不能激活用于控制机械危险操作的任何输出,在远程站重新建立通信(基站接收到中性帧)前,基站不应响应可以激活用于控制机械危险操作输出的操作命令信号。对具有自动停止特性的CCS,需确认CCS数据传输时:
(1)中性帧的传输时间;
(2)在传输时间内没有导致机械危险操作的输出;
(3)中性帧传输结束后引发ATS功能。
随着工业的发展,愈加复杂的操作环境要求下,配备多基站与多远程站的 CCS逐渐应用在各种复杂工作环境。当CCS配备多个远程站时,CCS设计时应确保任何一个远程站被使用时应在该远程站或基站予以显示,且其他远程站除紧急停止功能外不允许被使用。在远程站切换过程中,应在基站或远程站上应提供指示,以降低控制权转移的潜在危险。
当远程站配备多个通信基站时,CCS应在远程站上提供选择欲连接基站的手段,连接到该基站时不应在该基站引发控制命令,且在CCS设计时应提供相应指示以确认处于远程站控制下的基站。
对一些需要锁定功能的机械电气设备,例如在磁性提升装置、电磁起重装置等设备中,需要对磁性夹持装置进行锁定以保持在运行过程中保持吊装能力,并且降低危险隐患,因此其CCS需在基站或远程站实现控制锁定能力。为了防止锁定功能导致的危险隐患,基站的锁定控制功能不能用于支持机械的危险操作(除非风险评估支持并作为安全功能实现),锁定远程站的控制逻辑只能用于预期控制机械非危险操作的输出,还需通过测试确定锁定控制功能对CCS的上电和通信的重新建立的影响。
机械设备拥有多个远程站或多个操作员控制站时,当远程站或操作员控制站断开时,为保持远程站电量及防止安全隐患,常使其处于暂停模式。远程站的暂停模式要求在远程站显示且在基站激活机械控制系统的输出信号。当远程站开始处于暂定模式或暂停模式结束重新控制远程站时,需设计有指定开关等专门为此目的设计的措施。
CCS在设计时需充分考虑控制器跌落、电子失效等意外措施的存在对机械设备安全工作的影响,并且采取相应措施进行预防。在远程站及其控制器的设计和布置应尽可能减少意外制动的可能性,且应保证 CCS的操作指令信号仅引发预期远程站和基站的功能。
CCS在设计时需考虑远程站、控制器等部件的电源变化情况,以保证电池电压或电源变化时不应引起基站的意外输出命令。当CCS电池电压变化超过规定限制时,应设计相应的视觉警告装置,电池电压过低至无法保证可靠传输时,应消除传输功率直到电压回复并进行手动复位。CCS的供电系统在产品使用前应进行测试,在测试试验期间(若使用电池供电,建议其处于满电状态),充电电源应与远程站断开,远程站应与最多数量的基站连接通信及试验期间远程站应持续传输。
无线控制系统的安全功能测试是为了确保其控制的机械设备以正确合理的方式运行,在CCS产品投入使用前,其制造商应根据CCS安全功能的相关要求对无线控制系统进行验证如表1,验证的常用方式包括计算分析、测试试验、目视检查,其中测试试验主要包括型式试验、验收/常规试验、功能试验及集成试验。不同的安全功能可能要求不同的验证方式,其验证结果需满足前文的安全功能要求。
表1 机械电气CCS的功能要求验证方法
CCS的安全水平作为保障机械工业设备安全生产的重要组成部分,对于提升我国机械装备质量安全水平,保障相关从业人员的人身安全有着重要意义。本文通过对机械电气设备的无线控制系统的安全功能与验证方法展开分析研究,针对CCS的停止功能要求、远程站与基站数据传输要求、多远程站与多基站功能要求等方面详细阐述了 CCS的安全功能和接口要求,并对其各项安全功能的要求提出了相关的验证方式,对CCS的设计制造起到了建议和指导作用。