產品功能安全系統設計與應用目前在工業發達國家已經發展到相當先進的 水平，我國工業界近幾年也緊跟國際潮流，相應制定了相關的國家標準與實施計劃。在我國 工業地磅技術的發展歷程中，同樣離不開地磅功能安全技術的發展。由于目前國內地磅行業 對于產品功能安全的理念和相關技術比較陌生，本文試圖根據最新國際IEC/EN、ISO/EN與 國內相關標準內容，結合地磅產品設計與應用，以最簡潔的方式闡述工業地磅“功能安全” 概念及地磅技術的發展與應用。

一、概述

從傳統的基于繼電器與人工防護的安全系統 到目前發展起來的功能安全集成系統，使得我國 工業產品的安全技術在不斷進步。產品功能安全 系統設計與應用是目前我國工業技術革命向縱深 發展的必由進程。近幾年IEC國際電工技術委員 會與ISO國際標準化技術委員會相繼發布了《與 安全相關的電氣、電子和可編程電子控制系統的 功能安全》和《機械安全一控制系統的安全相 關部件》等標準，我國也根據上述國際標準等同 采用制定了或正在制定相應的國家標準。2012年 11月初在上海舉辦的“2012中國國際工業博覽會”，主辦部門舉辦的“OEM機械設計技術高峰論 壇”就產品功能安全系統作了專題交流與研討， 研討會上許多國際知名公司如：施耐德、Rock-well、 ABB、Omron、Pilz、Semenz等相繼推出了最 新功能安全應用的控制產品。

結合目前我國正在推行的AQ/T 9006-2010 《企業安全生產標準化基本規范》的要求，該標準 從保障人身、財產安全的角度對企業提出了十三 項要求，其中包含了 “隱患排查和治理”、“重大 危險源監控”等要求，對與生產經營場所相關的 設備設施進行排查及危險源的辨識與安全評估。 國務院安委會“安委（2011） 4號”文件中明確提出達標時限，其中冶金、機械等工貿企業額域 規模以上企業要在2013年底前，規模以下企業要 在2015年底前全面實現達標。該標準的強制推行 從側面推動了制造企業產品的自身功能必須具備 安全性能。

由于目前國內地磅行業對于產品功能安全的 理念比較陌生，本文擬結合我國地磅行業的應用 特點，結合我國地磅行業正在制定的唯一的衡器 產品強制國家標準《電子衡器安全技術要求》，從 產品功能安全系統設計的概念開始結合地磅產品 的設計與應用，特別是對于較復雜的工業稱重系 統談談作者的看法。

二、功能安全概念

由于產品研發人員在設計開發中對可靠性風 險管理意識的欠缺，自身安全性能存在缺陷的產 品已經造成人身安全、財產損失和環境危害等影 響，給社會帶來了無法挽回的損失，為此引出了 功能安全的設計理念。

功能安全一無論產品的零部件或者整體系 統發生失效是隨機失效、系統失效還是共因失效， 都不會導致安全系統的故障，進而不會對操作人 員或者環境產生危害，那么這個系統在功能上是 安全的。

無論是在正常工作狀態或者是故障工作狀態， 控制系統都必須考慮其環境因素，以保證其安全 功能。

三、功能安全相關標準

目前許多有關安全的設備供應商均在其說明 書或樣本中聲明其產品符合EN 954- 1安全標準的 規定。EN 954- 1和IEC、ISO有關的安全標準之 間的關系如何、有何區別？為了搞清楚這個問題 我們有必要先分別介紹一下相關標準的內容。

(一） EN 954- 1 標準

EN 954- 1 “機械安全——控制系統有關安全 的部件”是由歐洲標準委員會CEN制定的歐洲 標準，最早于1992年11月公布，它設定了一個 流程來選擇和設計安全措施，這個流程包括以下5 個步驟：》危險分析與風險評估；2確定措施 以減少風險；3通過控制系統的與安全相關的部 件實現指定的安全要求；4設計；5驗證。

EN 954- 1也提供了一個典型的安全功能的列 表：1停車；2緊急停車；3手動重置；奪 啟動和重啟；5響應時間；(）安全相關的參數； 7本地控制功能；8供電系統的波動，損失和 復位；9暫時失效；10安全功能手冊。

EN 954- 1將危險等級分為CAT.B、CAT.1、 CAT.2、CAT.3、CAT.4五個等級。等級B是最低 的危險等級，對安全系統沒有特別的要求，等級4 為最高的危險等級。控制等級分為4級，安全控 制等級必須大于等于其危險等級。EN 954- 1通常 適用于機械的低復雜性的安全系統。

EN 954- 1存在的問題：沒有覆蓋PLC可編程 系統及單片機系統；沒有涉及系統故障概率；安全 等級劃分不明確；有效期至2011年12月31曰。

(二） IEC 61508標準（現行國家標準為 GB/T 20438.1/20438.7-2006《電氣 / 電子 / 可編程 電子安全相關系統的功能安全第1—7部分》

IEC 61508 “電氣/電子/可編程電子 E/E/PE安全相關系統的功能安全”是由國際電 工委員會在1998年12月發布的國際標準，該標 準包括電氣/電子/可編程電子安全系統的要求， 分為7個部分，涉及1000多個規范，包括對設備 和系統的要求，對軟件的要求，描述避免失效的 方法，給出一些確定安全完整性等級的方法示例， 給出測試方法。

IEC 61508標準主要適用于對安全系統有較復 雜要求的系統，根據發生故障的可能性分為4個 SIL安全完整性等級Safety Integrity Level等級, 級別越高要求其危險失效概率越低，如表1所示。

SIL以故障率表示如表2所示。

其中：PFHd——每小時發生危險故障的概率。 SIL等級與故障概率的解釋如下：

當沒有SIL等級要求時，每小時產生危險故障 可以認為是在104小時和105小時之間，意味著1 年到10年的時間內產生1次危險故障；

當SIL等級為SIL3時，每小時產生危險故障 可以認為是在107小時和108小時之間，意味著1千年到i萬年的時間內產生i次危險故障。

其實，這里的概念并不是指多少年會發生一 次故障，而是說的一個概率的概念，就像交通工 具中飛機發生事故的概率要比其他交通工具低很 多一樣，即一個SIL3級的安全系統比一個無安全 要求的系統發生危險的概率要低非常多，用以滿 足在設備或系統運行周期內無風險的要求。

(三）IEC 61511標準（現行國家標準為 GB/T 21109-2007《過程工業領域安全儀表系統 的功能安全第1-3部分》

IEC 61511是適用于過程控制應用的安全儀表 系統的國際化標準，是IEC 61508的補充。該標 準定義了硬件故障裕度的概念，即部件或子系統 在出現一個或幾個硬件故障的情況下，功能單元 繼續執行所要求的儀表安全功能的能力。對儀表 安全功能而言，稱重傳感器、邏輯解算器和最終元件應具有最低的硬件故障裕度，硬件故障裕度 表示了最低的部件或子系統冗余。

IEC 61511標準中規定了邏輯解算器在設計和 使用過程中，須采用的基本原則，以及構成儀表 安全系統的各類稱重傳感器和最終元件所應達到 的最低標準，并提出了達到這些最低標準的安全 生命周期活動的方法。

㈣ IEC 62061、ISO/EN 13849- 1 風險評估 標準（現行國家標準為GB/T 16855.1-2008《機械 安全控制系統有關安全部件第1部分：設計通 則》)

安全標準主要依據應是風險、故障概率的描 述和安全等級，現IEC 62061將注意力集中在機 械設備安全功能的量化上，是IEC 61508標準的 簡化版。與IEC 61508標準相同由每小時故障率 PFH決定安全完整性等級SIL,如表2所示。

ISO/EN 13849- 1 舊版本（1999 與 EN 954-1 是相同的，ISO 13849- 1新版本（2006版引入 控制系統安全性能等級的新概念PL Performance Level ,是一種定性故障評估的方法，考慮了控制 系統外在因素的可變性。新的安全控制標準ISO 13849- 1在2009年12月取代EN 954- 1強制執 行，該標準涵蓋了氣壓系統、機械安全控制系統， 還引入了 Bwd, MTTFd等概念。

(1） PL (Performance Level 控制系統執行安全功能的能力，以每小時發生危險故障的概 率表示，并劃分5個等級，依次為PLa、PLb、 PLc、PLd、PLe。PL等級與危險故障概率關系， 如圖1所示。

圖1中PLe為最高等級，PLa為最低等級。

（2）風險評估圖如圖2所示。

(3） PL評估參數

B10d值—發生10%故障概率時，零件危 險失效時的周期數。

B10d=0.5x B10

其中B1。——制造商提供的10%故障概率零件 危險失效時的周期數。

MTTFd—每個通道的平均危險故障時間 (mean- time- to- dangerous failure of each channe)

是統計值，不是可以保證的壽命值。

MTTFd可以分為3級如表3所示：見GB/T 16855.1-2008 中表 5。

(4）舉例說明

在一條工業原料或產品生產線上，稱重裝置 是必不可少的一個檢測環節。而稱重裝置的安全 功能將直接影響到產品的質量，例如：在配料生 產線上，由于稱重安全功能失效，可能造成生產 線的停工或后道配料的成分失效，帶來產品的失 效。現以一臺生產過程中較為典型的單通道電子地磅為例，設定其傷害的嚴重程度為S1,暴露于 危險的頻率和（或時間為F1,避免危險的可能 性為P2,要求的安全功能的性能等級為PLr=b。其 組成的典型模塊有承載器、稱重傳感器、AD轉換 器、CPU、鍵盤、顯示器等六大部分，其中與功能 安全相關的部件為稱重傳感器、AD轉換器、CPU、 鍵盤、顯示器等5大部分。系統功能安全分析可采 用功能模塊法，電子秤的安全功能模塊圖如圖4所 示。即可理解為該電子地磅作為一個整體單通道, 而五個部分是組成其單通道的各個分單元，只要 求出各個分單元的MTTh,就能利用上面的公式 求出整臺電子地磅的平均危險故障時間MTTFd值。

3）CCF 的估算

根據GB/T 16855.1-2008中附錄F對防止CCF 措施的逐項評分如表6所示，由于被估算的系 統在各單元的分離性、差異性及環境條件的要求 上優勢明顯，總分可得到85分，足以滿足防止CCF 的要求。

4）判斷類別及PL性能等級

根據圖3可知，整個通道的MTTFd為“低” (5.65年)，DCavg為“低”，防止CCF的措施足夠 時，對應的類別為Cat.3類，性能等級PL=b。

根據該電子地磅要求的性能等級PLr=b，則滿 足了 PLS PLr的要求。即該通道的功能安全控制系 統能滿足對風險減少的要求。根據GB/T 16855.1-2008中表4的PL與SIL的關系，可得到 安全完整性等級SIL為1級。

5）系統分析與減少風險所采取的保護措施

①由于通道的安全完整性等級估算SIL為1 級，為減少系統中影響安全功能的故障或失效的 可能性，在系統設計中應減少單元部件中元件的 故障概率，采用經驗證的高于SIL-1級的安全元 件。例如：對于稱重傳感器單元部件，應考慮采 用經驗證的全密封接線端子，以減少由于防潮密 封不良，而使模擬信號輸出失效；對于數據處理 裝置（CPU主板，應采用工業級SIL-2級以上的 電阻、電容元器件等措施。

②本通道經估算的類別為Cat.3類，說明當發 生單一故障時，安全功能總是有效的，某些故障 將會被檢測到，無需采用部件單元的冗余設計措 施。但未發現故障的累積能導致安全功能的損失， 為避免故障的危險影響，應改善通道部件單元的 結構，可以通過改善嵌入式軟件功能的方法實現 功能結構的完善，例如：在不增加通道中的冗余 部件，而通過不同的故障報警連鎖的方式，避免 故障的危險影響。

通過采用上述兩種措施，除共因失效分析外， 還應考慮危險失效和系統失效的分析方法。 由于 本例僅為電子地磅中最基本的結構型式，其中對 于軟件及系統失效還都沒有實質性的計算與分析， 只能作為地磅中最基本的實例分析。

目前在自動化系統工程中，為了讓設計工程 師可以輕松地根據新標準執行安全系統化的程序， 一些跨國自動化OEM商開發了專用的系統安全計 算器，例如：Pilz公司專門開發了一款軟件工具 PAScal安全計算器，它可以計算機械設備安全功 能的PFHd值。根據ISO 13849，將制定的性能指 標對結果進行驗證，或根據IEC 62061，采用安全 完整性等級SIL進行驗證，并列出需要采取的所有 措施，通過圖例向用戶顯示何處可能需要提高安 全等級，大大方便了用戶的系統設計選型。

四、功能安全與EMC環境的關系

IEC 61326-3- 1 “測量、控制和實驗室用的電 氣設備電磁兼容性要求第3-1部分：與安全相關 系統和執行與安全相關功能設備叻能安全的 抗擾度要求一般工業應用”，該標準應用于當安 全相關系統在執行安全功能時，如果遇到諸如電 磁輻射等各類騷擾時，可能會產生錯誤、誤動作、 故障和損壞，從而導致安全相關系統的性能下降 或失效，甚至引起危險時，規定了安全相關系統 設備的抗擾度水平的要求。強調了電氣/電子/可 編程電子（E/E/PE安全相關系統對系統的EMC 特性進行評估，以保證要求SIL規定的失效率。

五、風險評估的流程

首先要確定當前或者發展中可能存在的風險 等級，通過評估、設計、選擇、驗證以及維護等 一系列程序來建立真正安全的生產環境，這些都 要遵循相關的國際安全標準和規則。較為復雜的 工業產品系統能夠達到何種安全等級（SIL3等級 以上的要求由第三方機構進行認證。目前我國 主要由一些權威的外資機構如德國TUV公司等在 中國開展了產品安全等級測試及認證工作。基于 IEC 61508、IEC 61511、IEC13849- 1、IEC 62061 等標準，對安全設備的安全完整性等級(SIL)或者 性能等級(PL)進行評估和確認的一種第三方評估、 驗證和認證。功能安全認證主要涉及針對安全設 備開發流程的文檔管理FSM評估，硬件可靠性 計算和評估、軟件評估、環境試驗、EMC電磁兼 容性測試等內容。

㈠如何確認供應商聲稱的SIL級別（IEC 61508 標準

（1）應用條件是否相同 目前很多公司的子系統產品進行過IEC 61508認證，通過權威機構認證，達到SIL3級。 但用戶在選擇這種子系統時，要考慮現場采用的 工作條件是否完全相同或相近。 如果系統的工作 條件不同，則需要用分析和測試的方法來論證該 系統的SIL可能達到的水平，以保證該系統可用于 安全領域。

（2）對評估員或評估機構獨立性的要求 IEC 61508規定，對系統、子系統或器件進行SIL級別評估的必須是相對獨立的人或組織。對 于SILl,只需要同一個組織中的一個獨立人，SIL2 則需要一個獨立的部門。至于SIL3和SIL4則要求 獨立的組織以及評估員具有合格的工作能力。

中國功能安全中心于1999年成立，專門跟蹤 國際功能安全相關標準發展、研究其應用并進行 技術轉化的專業性機構。主持完成了等同采用國 際標準IEC 61508的中國國家標準制定（GB/T 20438-2006以及等同采用國際標準IEC 61511 的中國國家標準制定（GB/T 21109-2007 ；下屬 的功能安全技術研發中心（FSchm)是國內負責 功能安全/SIL相關技術的推廣、培訓、研究和認 證評估工作，在國際上代表中國參與功能安全 /SIL等相關技術標準的制修訂工作（對口國際組 織 IEC TC65A。

(3）對機器進行過危險性分析后，制造商可 以采取如下三種措施來減少事故的可能性，將機 器的危險性降低到可以承受的程度：

1）在設計機器時將可能出現的危險降低到最小；

2）對于無法避免的危險，采取必要的安全保 護措施；

3）對用戶進行培訓，避免剩余危險可能導致 的傷害。

為達到上述標準的各類安全等級，最常用的 設計方法為熱備份的冗余設計方法。例如：安全 開關的雙觸點結構、安全繼電器的雙通道輸入、 安全PLC的雙CPU結構、控制軟硬件的冗余設 計。此類設計方法已經或正引起越來越多的產品 設計與應用部門的重視。

（4）地磅產品的機電部件設計安全的具體要求

1）對于作旋轉運動的零部件應裝設防護罩或 防護擋板、防護欄桿等安全防護裝置，以防發生 絞傷。

2）對于超壓、超載、超溫度、超時間、超行 程等能發生危險事故的零部件，應裝設保險裝置， 如超負荷限制器、行程限制器、安全閥、溫度繼 電器、時間斷電器等等，以便當危險情況發生時， 由于保險裝置的作用而排除險情，防止事故的發 生。

3）對于某些動作需要對人們進行警告或提醒 注意時，應安設信號裝置或警告牌等。如電鈴、 喇叭、蜂鳴器等聲音信號，還有各種燈光信號、 各種警告標志牌等都屬于這類安全裝置。

4）對于某些動作順序不能搞顛倒的零部件應 裝設聯鎖裝置。即某一動作，必須在前一個動作 完成之后，才能進行，否則就不可能動作。這樣 就保證了不致因動作順序搞錯而發生事故。

(5）地磅產品的安全儀表系統具體設計要求

1）考慮完整的安全儀表回路設計；

2）采用冗余谷錯技術；

3）考慮系統在線可維護性；

4）使用在線測試技術；

5）重視整個安全生命周期內設計、實施、維 護規范；

6）要有獨立的團隊負責整個項目的管理和實施。

六、功能安全在工業地磅技術中的應用 功能安全控制系統的宗旨是提高工業產品的 可靠性與安全性。目前在我國工業自動衡器的產 品中采用功能安全集成控制系統已初露端倪。例 如：重量自動分選衡器、連續累計自動衡器中皮 帶秤、給煤機、皮帶配料秤、重力式自動裝料衡 器中的大型稱重配料系統、產品稱重包裝生產線、 動態滾道秤、動態膠料秤等產品中，一些卓有遠 見的用戶已經提出了功能安全集成控制系統的要 求。促使產品設計開發人員在稱重系統的設計中 將安全鎖、安全急停按鈕、拉線急停開關、感應 式安全光幕以及控制柜中的安全繼電器、安全 PLC以及安全型現場總線等軟硬件動作互相關聯, 組成一個完整的功能安全集成控制系統。

作為一個設計人員應該在機器的設計上把危 險降低到最小，就必須采用安全控制類產品。以 下將結合我公司近期在工業自動衡器產品設計中 的一些應用實例，分別介紹各種安全功能部件的 應用。

(一）安全互鎖開關

安全互鎖開關是指通過強制斷開動作結構， 即使在接點熔接時也能確保功能安全。

產品分為非接觸式、機械連鎖式兩種。例如： 安全門鎖、舌簧互鎖開關、安全限位開關、非接 觸式安全開關等。上述用于安全互鎖開關的共同 特點是必須要有兩個并列的安全回路。如：兩路 常開或兩路常閉。

(二）安全繼電器

安全繼電器與一般繼電器不同，具有強制導 向的接點結構，即使在接點熔接時也能確保功能 安全。安全繼電器一般與安全開關配套使用，具 有雙通道檢測功能。

安全繼電器的主要技術指標如下：

(1）接點間隔不僅在通常運行狀態而且在發 生故障狀態也應達到0.5mm以上：

(2）接點負載開關應符合AC15、DC13的要求；

(3機械壽命為1000萬次以上。

(三）急停裝置

該裝置主要用于緊急停車系統。 產品主要有 安全拉繩開關、急停按鈕等。該類設備用于一旦 系統出現異常故障，使操作者能在最短的時間， 最近的位置實施緊急停車。 例如在產品的包裝線 上、物料配料稱重輸送線上、皮帶秤和定量給料 機、給煤機的側面需使用安全拉繩開關。

(四）感應式安全裝置

該類裝置屬于主動安全防護，無需在設備和 操作者之間設置硬件防護。主要感應生產線上的 操作者或移動設備。較為典型的產品有安全光柵/ 光幕、安全掃描儀等。在地磅行業應用最多的是 安全檢測光柵/光幕。在產品包裝熱封設備前用于 防止操作者手動誤操作的紅外線安全光柵；設置 在動態公路稱重收費站秤臺邊的車輛檢測光幕。

安全光幕還有光束屏蔽功能，由于工藝需要 把光幕中的個別光束屏蔽不起作用。光幕輸出為 OSSD信號，該信號有短路輸出、過載保護、PNP 輸出及交叉檢測等功能。安全光幕還有外部設備 監控功能，通過外部執行器的斷開檢測是否正常 工作。

(五）安全PLC

目前市場上已有封裝型可編程安全控制器、 集成安全控制器和安全I/O，通過RSNetWork編 程，通訊采用DeviceNet和EtherNet/IP，該類產品 最大的特點是采用標準與安全的兩套CPU控制， 并實現安全通訊。

(六）現場總線系統的功能安全評價

現場總線系統所起的作用是通信，它包括一 組硬件和軟件，允許兩個或多個裝置之間信息交 換。在受控過程中，它不應該傳播或建立會產生 危險情形的錯誤。它應能找出數據的訛誤，保證 實時數據的傳送、傳遞應有序，避免混亂。同時 應能隨時了解可能出現的故障狀態，避免出現因 通信錯誤觸發不合理的安全動作，例如使過程在 不該停止時停了下來，或使過程在出現故障時還 繼續工作等。

(1）現場總線系統安全功能評價的方法，要 證明一個系統或子系統是否可以用在安全領域， 是否符合IEC 61508標準，有兩個途徑：

1）按照IEC 61508的原則設計一個新系統；

2）沿用以前已經使用并證明是安全的系統， 用“Proven in use使用中證實”方法來驗證。

(2）目前世界上重要的設備供應商都開始對 自己的產品進行這方面認證工作。Proven in use的 限制條件：

1 ）Proven in use方法只能用于那些滿足相關 要求的功能和接口子系統；

2）子系統的工作條件與原子系統的工作條件 完全相同或十分相近；

3）如果子系統的工作條件不同，則需要用分 析和測試的方法來論證該系統的功能安全完整性 可能達到的水平，以保證該系統可用于安全領域；

4）聲明的失效率有足夠的統計學數據基礎；

5）收集有足夠的失效數據；

6）考慮了子系統的復雜性，子系統對風險降 低的貢獻，子系統失效對整個系統可能造成的后 果、新設計等。

上述各種安全部件可以組成一個完整的功能 安全集成控制系統。在工業地磅的系統設計中應 根據現場的不同安全等級要求選擇不同的功能安 全器件及功能安全系統。

七、結語

在功能安全控制系統的應用已經風靡全球工 業界的今天，工業衡器特別是自動衡器如何緊跟 這一時代發展的新潮流，已經成了我國衡器行業 技術發展急需提出的新課題。盡管越來越多的地磅產品最終用戶和制造商已經意識到安全的重要 性，但并未認識到應從系統上根本解決安全的問 題，安全理念和相關技術與標準的實施在我國地磅行業推廣的道路仍然漫長。愿本文能在地磅行 業起到一定的推動促進作用。