一种功能安全型安全继电器的开发流程_阚明生

functional safety standards for developing safety relays are interpreted． Combining with the practical application situation of imported safety
relays，the process of development and design of safety relay is proposed． The kernel steps in this process，such as risk analysis，scheme
③ 在由人操控机器运行且操作人员与机器交互 频繁的场合，操作人员的肢体尚未完全离开危险区域 时机器突然启动，可能造成人身伤害 （ 尤其是操作人 员的手） 。
针对上述 可 识 别 到 的 风 险，要 确 定 相 应 的 安 全 功能来降低 风 险。对 于 每 个 安 全 功 能，需 要 确 定 该 安全功能 所 需 的 性 能 等 级 （ performance level，PL） 或 安全完整性等级 （ safety integrity level，SIL） 。该 安 全 功能及其所需的 PL 等级或 SIL 等级由相应的安全控 制系统来实现。由安全继电器构成的安全控制系统 实现的安全功能主要有安全停止功能和安全操作功 能两类。对于 上 述 识 别 到 的 三 种 主 要 风 险，各 自 所 需的安全功能和负责实现该安全功能的安全控制系 统如表 1 所示。
2 相关功能安全标准
安全继电器是满足功能安全要求的安全相关系统 的逻辑控制部件，安全继电器主要应用于机械类的安 全相关系统。因此，安全继电器的开发设计，应符合以 下标准要求。
首先，作为满足功 能 安 全 要 求 的 安 全 相 关 系 统 的 一部分，安全继电器 的 开 发 必 须 符 合 功 能 安 全 基 础 标 准 IEC 61508［2］的要求，在基础标准的大框架下开展更 加细致的工作。
于可以预见的故障，安全继电器通过预先设定的控制 逻辑能够使系统处于安全状态，并能够检测出故障类 型及故障所在位置。安全继电器内部采用的都是经过 验证的可靠的元器件，一般情况下不会出现故障，即使
44
PROCESS AUTOMATION INSTRUMENTATION Vol. 36 No. 4 April 2015
3 安全继电器的开发过程
3． 1 风险评价 风险评价 的 第 一 步 是 识 别 风 险。 经 过 考 察 和 分
析，可以通过由安全继电器构成的安全控制系统来降 低的风险如下。
① 机器操作出现异常，加工出不合格产品，不能 及时停止机器，造成原材料损失。
② 操作工人或维修人员进入机器运作区域时，机 器不能及时停止运 行 或 机 器 突 然 意 外 启 动 ，都 可 能 造 成人身伤害。
国内也出现了少量 国 产 安 全 继 电 器 产 品 ，但 是 这 些 安 全产品大多没有获得国际权威机构的功能安全认证， 与进口安全继电器产品相比没有实质的竞争力。如何 依据相关功能安全 国 际 标 准 开 发 出 安 全 设 备 ，实 现 安
图 1 安全控制系统框图 Fig． 1 Block diagram of the safety control system
操作人员必须双手同时操作才能启动机器运行，松开任意一只手 则机器立即停车，只有在两只手均松开后才能进入新的机器操作周期
3． 2 确定所需的 PL 等级和 SIL 等级 用于实现安全停止功能的安全继电器可以与急停
《自动化仪表》第 36 卷第 4 期 2015 年 4 月
按钮或带限位开关的安全门配合使用，实现降低风险 1 或风险 2 所需的安全功能。用于实现安全操作功能的
行了解读。结合进口安全继电器的实际应用 情 况，提 出 了 一 种 紧 凑 型 安 全 继 电 器 开 发 设 计 的 流 程 ，并 对 流 程 中 的 风 险 分 析、确 定 方
案、产品实现和功能安全认证等核心步骤进行了详细的介绍。此流程在后续的典型产品实现过程中得到了充分的验证，对开发安全
控制系统相关的安全部件具有一定的指导意义。
关键词： 安全继电器 功能安全 安全逻辑部件 性能等级 安全完整性等级 失效模式和影响分析（ FMEA）
中图分类号： TP211+． 5
文献标志码： A
DOI： 10． 16086 / j． cnki． issn1000－0380． 201504012
Abstract： In order to achieve the localization of the safety functional relay，the basic principle of the safety relay is researched，and relevant
determination，product implementation and functional safety certification are introduced in detail． This process is fully verified in subsequent
implementation of typical products，and possesses certain significance in development of related safety parts in safety control systems．
wenku.baidu.com
一种功能安全型安全继电器的开发流程 阚明生，等
由于硬件随机失效而引起的安全功能危险失效率也被 控制在一个极低的水平。
为了达到可靠安 全 控 制 的 要 求 ，安 全 继 电 器 采 用 了多种有效措施。在 结 构 上，采 用 了 冗 余 的 双 通 道 设 计，并且两个通道 在 逻 辑 上 相 互 监 控 和 制 约 。 在 硬 件 上，采用经验证的可靠的电子元器件，继电器模块采用 了强制导向接点 的 特 殊 设 计 。 在 软 件 上，采 用 了 多 种 程序可靠性设计方 法，并 且 能 够 通 过 软 件 对 可 以 预 见 的故障进行检测。在接线上，可以通过触点反馈、复位 按钮等方式防止机器意外重启。
其次，作为机械类的安全相关系统的一个部件，安 全继电 器 的 设 计 应 符 合 机 械 类 的 功 能 安 全 标 准 如 IEC 62061［3］或者 ISO 13849［4］。这两个标准均规定了 设计和执行机器控制系统有关安全部件的要求。根据 这两个标准的范围，采 用 其 中 任 何 一 个 标 准 都 可 假 定
往可编程安全控制设备方向发展。而我国在该领域的 开车、停车、出现工艺扰动以及正常维护、操作期间对生
研究还处于起步阶段。近年来国内企业对安全产品的 产装置提供安全保护。一旦工厂装置本身出现危险，或
需求量逐年增加，不少规模较大的企业纷纷引进国外 由于人为原因而导致危险时，系统立即做出反应并输出
现成的安全设备，但这些设备价格昂贵，增加了企业的 投资成本，尤其限制 了 不 少 中 小 型 企 业 对 安 全 产 品 的
Keywords： Safety relay Functional safety Safety logic part Performance level（ PL） SIL FMEA
0 引言
全产品的国产化，并最终获得国际权威机构的功能安 全认证是摆在我们面前的关键问题。
随着工业自动化 水 平 的 不 断 提 高 ，人 们 在 追 求 更 高生产率的同时，将注意力越来越多地转向了生产的
除了实现基本的安全功能外，安全继电器还必须 保证在系统出现故障的情况下仍然能够保证安全。对
上海市自然科学基金资助项目（ 编号： 12ZR1408100） 。 修改稿收到日期： 2014－09－15。 第一作者阚明生（ 1990－） ，男，现为华东理工大学控制工程专业在读 硕士研究生； 主要从事功能安全、复杂系统建模与优化、嵌入式系统开发 等方面的研究。
识别到的风险 风险 1 风险 2
风险 3
表 1 风险评价结果 Tab． 1 Risk assessment results
安全控制系统
由急停按钮、安全继电器和接触器构成 由安全门（ 或安全光栅、安全地毯等） 、 安全继电器和接触器构成 由双手操纵装置、安全继电器和接触器构成
安全功能
急停按钮被按下时，立即切断机器运动部件的电源，使机器停车 操作工人或维修人员进入危险区域时，立即切断机器运动部件的电源， 使机器停车
前面已经讲过，ISO 13849 标准和 IEC 62061 标准 在内容上有非常紧密的联系，因此，用上述方法确定了 PLr 以后，可以根据 ISO 13849-1 中的表 4 找到与之对 应的 SIL 等级。 3． 3 设计方案
正确信号，使装置安全停车，以阻止危险的发生或事故 的扩散［1］。安全控制系统的组成结构如图 1 所示。
使用。就安全继电器 来 说 ，国 内 市 场 基 本 被 外 国 公 司
垄 断，如 德 国 的 皮 尔 磁 （ Pilz ） 、德 国 的 施 迈 赛
（ Schmersal） 、日本的欧姆龙（ Omron） 等。近两年，虽然
1 安全继电器的基本原理
安全性。在工业自动化安全领域，国外早在 20 世纪
安全继电器作为安全控制系统的一部分，是一种典
80 年代末就推出了用于安全控制的安全继电器产品， 型的安全功能执行部件，被广泛应用于一些低等或中等
后来又逐渐开发出安全 PLC 和安全总线控制系统，并 复杂程度的机械设备和控制系统中。安全控制系统在
45
一种功能安全型安全继电器的开发流程 阚明生，等
安全继电器可以与 双 手 操 纵 装 置 配 合 使 用 ，实 现 降 低 风险 3 所需的安全功能。
ISO 13849-1 指出，安全控制系统所要实现的安全 功能的 PL 等级取决于风险评价的结果，并且参考了 控制系统有关安全部件实现的风险减小量。风险减小 总和越多，单 个 风 险 所 需 的 性 能 等 级 （ PLr） 就 越 高。 ISO 13849-1 借助风险图进行风险评估，评价标准包括 伤害的严重性、暴露 于 危 险 的 频 率 和 避 免 风 险 的 可 能 性三个方面。评价的结果用单个风险所需的性能等级 （ PLr） 来表示，它共有 a、b、c、d、e 五个等级，其中等级 e 最高，等级 a 最低。风险评估针对单个风险，从风险 图上的起始点开始，对每个评价变量逐一判定，沿着相 应的路径得到所需的性能等级。
紧凑型安 全 继 电 器 从 设 计 角 度 来 说，大 致 可 分 为两大类： 一类是完全由硬件构成，这些硬件按照较 为复杂而又 严 密 的 逻 辑 关 系 相 互 组 合，保 证 了 安 全 功能的实现； 另一类是由硬件和软件构成，其安全功 能更多地依赖软件的检测功能。第一类安全继电器 的安全性能比较可靠，但是故障检测功能不强； 第二 类安全继电器的安全性能需要由稳定可靠的软件来 保 障 ，因 而 安 全 性 能 降 低 不 少 ，但 是 它 的 故 障 检 测 功 能大大增强。
安全继电器满足相关的基本安全要求［4］。 第三，由于安全继电器大多由电子元器件构成，因
此在设计时还应参照机械电气安全标准 IEC 60204［5］ 中有关电气安全设计的要求。
最后，结合安全继电器执行的具体安全功能，还要 参考机械安全标准 体 系 中 的 有 关 内 容 ，如 机 械 安 全 类 紧急停止设计原则 ISO 13850［6］、机械安全类防止意外 启动设计原则 ISO 14118［7］、机械安全类双手操纵装置 功能状况及设计原则 ISO 13851［8］等。
一种功能安全型安全继电器的开发流程 阚明生，等
一种功能安全型安全继电器的开发流程
Developing Process of the Functional Safety Relay
阚明生 曹萃文
（ 华东理工大学化工过程先进控制和优化技术教育部重点实验室，上海 200237）
摘 要： 为了实现功能安全型安全继电器的国产化，研究了安全继电器的基本原理，并对与安全继电器开发有关的功能安全标准进