原标题：满足功能安全标准的组件设计

　　安全是工业应用中的重中之重，以保护员工和设备免受伤害和损坏。焊接、切割和压制操作以及高速轴和处理危险工件或物质的操作构成的威胁最大。在美国，工厂运营商必须通过安全设备、操作程序和培训协议满足职业安全与健康管理局 (OSHA) 的规定。补充这些系统应是针对特定工厂的分析，以确定提高工人福祉和设备寿命的实用方法。此外，自动化机械必须满足 功能安全 通过自动机器操作或纠正潜在或肯定不安全的条件或故障来要求。

　　图1： 灯塔 如今，使用 LED 来提高效率和可视性。有些通过内置蜂鸣器在安全违规时发出警报器至 100 dB 来提高安全性。(图片来源：梅尼克斯)

　　功能安全系统包括传感器、I/O、控制装置、开关、机电组件、流体动力组件和软件形式的电子设备，用于检测危险情况并更改机器状态以防止危险情况发生。功能安全设计和法规最初起源于欧盟，如今适用于世界各地的供应商、机器制造商和最终用户。统一的欧洲规范 (EN) 和国际电工委员会 (IEC) EN/IEC 62061 标准(列在欧盟机械指令 2006/42/EC 中)和国际标准化组织 (ISO) EN/ISO 13849-1 标准是应用最多的。

　　ISO 13849-1 和 IEC 62061 可以交叉引用，OEM 和最终用户可以免费使用。唯一需要注意的是，功能安全与机器和控制有关，而不是设备或组件......尽管后者可能提供支持满足给定安全评级的功能。

　　EN/IEC 62061 详细说明了永久安装(非便携式)机器或工厂安装 SRECS 的设计、集成和验证的安全完整性等级要求和建议，包括 s阿菲蒂——r兴高采烈 e电子、电子和可编程 c安特罗尔斯。EN/IEC 62061 安全完整性等级 (SIL) 将系统的功能安全等级从 1(最基本)到 4(最集成和最复杂)，SIL3 是机器的最高等级。决定所需 SIL 的风险包括风险暴露的规律性、潜在伤害的严重程度、发生率以及机器操作员的规避操作有助于避免伤害的可能性。

　　表 1：所需的 SIL 水平取决于发生给定不安全情况时损伤的严重程度以及发生该情况的可能性。(表来源： 国际电工委员会)

　　相比之下，EN/ISO 13849-1：2005 详细说明了基于 SRP/CS 的要求和建议 — s阿菲蒂——r兴高采烈 p的艺术 c昂特罗尔 s伊斯特姆。SRP/CS 性能水平允许量化机器安全能力，无论子组件如何。该标准采用众所周知的功能安全性能等级(PL)等级 - 范围从“a”(最基本)到“e”(最集成和最复杂)。决定所需PL的风险包括适用于SIL的风险以及反复暴露于机器危害的频率和持续时间。此外，完整的 PL 评级包括类别编号(用于指示整体系统架构)和平均危险故障时间或 MTTFd.

　　图 2：给定安装的适当功能安全级别取决于定性变量、定量值和基于软件的分析结果。(图片来源： 设计世界)

　　IEC 61508 和 IEC 62061 满意度涉及测试安全控制(并验证机器模式、状态标准和校正)以确认机器的功能安全等级。EN ISO 13849-1和2还要求记录测试(静态和动态)，以确认无缝安全控制集成。

　　操作员触发的安全组件

　　许多与安全相关的组件旨在接受工厂人员的输入，而不是通过机器或防护装置的某个中间部分或轴。这些包括触觉安全垫、光幕、控制台以及人机界面 (HMI)、可触摸机械锁和(仅用于紧急情况)鲜红色蘑菇头停止按钮。面向人员的安全组件还包括外壳(根据 NEMA 等级保护外壳组件)以及机器防护罩和 钢丝槽 — 简单而可靠的机器安全元件，用于保护必须在机器及其电源和控制面板附近(有时在机器中)工作的人员。

　　环绕危险机器部分的拉线开关使操作员能够通过快速牵引来触发紧急停止(急停)。这些安全元件在开放式机器(无法防护)和无人防护的输送机周围尤其常见，与断开开关不同，隔离开关使电路断电并固定危险的工作单元以防止人员进入。其他产品包括安装在机床开口周围的安全边缘(条带)(特别是那些执行切割或压制任务的开口)和地板安全垫，在检测到操作员踩踏或站在其表面上时触发(通过专门的安全继电器)安全响应。

　　更复杂的是前面提到的光幕。其中包括光电束的发射器，如果在到达接收器的途中在检测平面中损坏，则会迅速停止危险过程。它们比其他选项更昂贵，但在机器操作员经常与机器部分交互的情况下是合理的。另一个复杂的安全组件是双手安全控制台。这些通常需要同时激活单独的开关来启动或维持机器运行。

　　在信任他们保护工厂人员和设备之前，必须验证所有操作员触发的安全组件(以及它们集成的安全逻辑或控件)。例如 IEC 61508 IEC 62061 测试标准要求，如果操作员触发逻辑和现场设备之间的第一个通道，则使用冗余继电器的急停应工作......并且还应该在它们之间的第二个通道上工作。这种冗余的急停功能在机器调试期间单独验证。

　　自动安全开关、传感器和防护装置

　　图3： 激光扫描仪 是一种非接触式安全反馈组件，以其帮助AGV导航设施而闻名。然而，它们的应用比比皆是——它们有时可以提供光幕的替代品。(图片来源： IDEC)

　　与人员触发的安全相关组件分开的是用于自动机器功能的组件。

　　带闩锁和开关的内置锁定装置

　　开关和联锁装置是机器工作单元外围的基本元件。安全限位开关具有用于自动验证机器元件位置或运动的触点。相比之下，具有更高功能的安全开关 - 那些称为 联锁 安全开关 — 使用榫舌或铰链互锁机构作为防篡改机器防护装置，具有 积极驱动 (双重验证常开和常闭)开关触点。带有机械钥匙和锁的锁匙联锁开关使进入机器工作区的门保持关闭，直到安全进入。然而，非接触式RFID和磁性安全开关越来越普遍，它们监控工作区门的位置(打开或关闭)，并在危险过程中禁止操作员进入。

　　电气断路器和隔离器的内置安全性

　　由机器状态触发的安全组件还包括确保电气安全的组件。断路器(很像保险丝)可防止过载电流对电源、电源分支和信号电路的有害和危险影响。一些安装包括用于现场设备和控制器之间电气隔离的隔离器，以确保本质安全操作。浪涌保护组件是所有电气安全设计的补充，可防止电压尖峰损坏电源和驱动电源和/或反馈和控制信号分配中涉及的电气和电子自动化组件。

　　带制动器的内置机械安全装置

　　符合安全制动条件的制动器也称为故障安全制动器。它们默认为停止状态(通常锁定或保持运动轴)，即使电力或流体动力发生故障或被移除也是如此。所有这些都依赖于弹簧加载或其他机械动作来实现这种故障安全操作。

　　举个例子：气动释放的弹簧组摩擦制动器通常用作伺服电机驱动的自动化应用中的故障安全制动器。所有产品都必须具有证明符合ISO 13849-1的评级 - 通常来自国际产品测试组织Intertek集团。由于它们的机械锁定，这些在保持...这为安全级性能提供了最大的可靠性，并避免了与其他基于电气的停止模式相关的过热。寿命以百万个周期为单位，在常见原因(可预测)故障之前，占系列中所有组件的百分之几。在IIoT功能有用的地方，故障安全制动器还可以包括车载诊断和传感器反馈，以跟踪运行状态。

　　具有最高功能安全等级的制动器包含多个弹簧，这些弹簧通过摩擦表面机械锁定机器轴，摩擦表面与制动器外壳内的固定元件相互作用。安全标准还要求包含传感器以确认制动状态。

　　安全继电器和其他安全控制装置

　　图 4：只需少量安全 I/O 即可经济地使用简单设备 机电安全继电器 比如这个。(图片来源： 欧姆龙自动化与安全)

　　支持安全开关、传感器和防护装置功能的是安全继电器和其他控制装置。它们都有一个共同的能力，即(在需要时)通过移除电力或流体动力将机器带到安全状态，或者减慢或锁定静止动力的机器进入安全状态。

　　用于硬连线安全的继电器

　　故障安全控制的一个选项是安全继电器模块。它们采用具有短路和过压保护的电子设备以及互补继电器。硬连线机电继电器已经使用了几十年;它们只需连接到自动控制装置，并根据需要(与急停或光幕配合)对机器子部分进行电气断开。缺点包括需要在现场进行大量布线和缺乏可重新配置性。更先进的安全继电器采用 I/O 和模块化设计，便于与传感器、机器控制和自动化网络灵活集成。

　　用于可编程安全的安全控制器

　　符合故障安全条件的另一种安全选择是集成专用安全控制器。这种控制器比继电器更适合复杂的自动化系统，因为它们可以提供更大的I / O阵列以及PLC功能。需要注意的是，这些独立的安全控制器需要额外的编程和人员培训。然而，他们的数字电子设备允许通过软件完全配置的自动化功能。

　　图 5：安全控制器可以统一多个安全功能，以实现灵活且可重新配置的安全安装。在这里所示的工作单元中，第一个 安全电路 包括一个光幕(在报告中断状态时)打开电路开关以停止转盘。第二个安全回路集成了屏蔽控制，当转盘停止时，如果工件进入工作单元，机器人可以正常运行。否则，该电路将打开一个开关以禁用机器人。第三个安全回路包括一个紧急停止，可打开所有开关并停止转盘和机器人。(图片来源： 松下工业自动化销售)

　　工程师可以定义需要安全覆盖的区域并修改其设置，而无需重新连接整个工作单元。(这反过来又减少了布线硬件和劳动力成本。通常，随着运营的发展，基于安全控制器的安装还支持网络扩展和 IIoT 连接。

　　安全级工业控制装置的集成安全性

　　故障安全控制在复杂机械中越来越常见的第三个选项是集成安全 PLC、可编程自动化控制器 (PAC) 和其他基于 PC 的控制。除了日常机器功能外，一些此类电子硬件还可以承担安全功能。结果是可编程的，因此可以灵活地控制自动化机器设备及其操作所需的安全功能。

　　结论

　　足够的机器安全性依赖于反馈和控制组件的额定值，以提供与给定应用的危险相称的保护。机器安全还需要适当的组件集成、文档记录和验证。后者可确保安全电路在所有机器操作模式下正常工作，即使在故障期间也是如此。

　　IEC 61508 和 62061 安全生命周期标准定义了如何正确执行安全集成 — 从最初的风险评估和设计到原始设备制造商对已安装系统性能的实际验证，以及在机器安装后由最终用户再次验证或为最终用户进行验证。后者通过测试正常操作顺序、减速、停止和重置程序来“通过步伐”机器。