【白皮書】工業(yè)設備的功能安全（上）

一

概要

近年來，“功能安全”正在成為工業(yè)設備領域中實現系統(tǒng)安全性的可靠方法。除了向來重視安全的汽車領域之外，在工業(yè)設備領域，也會因為機器故障和事故的發(fā)生以及人身傷害事件對工廠運轉造成影響或引起社會關注，而且還導致了經濟損失。為了避免這些情況，“功能安全”的重要性與日俱增。在通過人與機器人協同作業(yè)來提高作業(yè)效率的進程中，設備安全性越發(fā)受到關注。因此，越來越多的設備制造商以滿足社會與用戶的要求和提高商品競爭力為目的，開始研究功能安全設備。

在本文章中，我們將對功能安全的定義和必要性，實際系統(tǒng)結構，開發(fā)中存在的課題以及瑞薩為解決這些課題而提供的功能安全解決方案進行說明。

二

什么是功能安全

功能安全的目的是，通過“功能”把因裝置誤動作，誤操作而造成的人身傷害，財產損害或社會危害等風險控制在容許限度以內。

下面將以在機器人等電機控制裝置中為避免出現危險狀況而使電機停止工作的情況為例，進行具體說明。

圖1是以通過MCU控制電機旋轉的系統(tǒng)作為采取功能安全措施的例子。為了實現功能安全，首先要分析與裝置相關的風險，并研究相應的措施。這被稱為風險評估，而功能安全的裝置（安全裝置）能夠通過電子電路等，實現以風險評估結果為基礎制定的安全措施。在這里，功能安全與傳統(tǒng)安全裝置之間存在很大差異，即“安全裝置”需要根據IEC61508等國際標準進行標準化，使“安全裝置”規(guī)格的合理性能夠通過客觀，定量的方法來實現。

圖1 功能安全的電機驅動裝置結構示例

功能安全規(guī)格的要求事項有許多，如通過分析因安全裝置故障造成的誤動作的影響，設計基于診斷功能的，在安全裝置故障時也能引導至安全狀態(tài)的措施；通過做出設計方法和設計流程的相關規(guī)定，避免因軟硬件設計缺陷等原因導致的誤動作等。通過這些要求事項，便可更加客觀地判斷其安全規(guī)格以及作為安全裝置的動作準確性（可靠性）。另外，此類FA系統(tǒng)還要求采用類似圖1所示的雙配置MCU結構，在系統(tǒng)結構上實現即使一個MCU在動作期間出現故障等動作不良，也能通過正常動作的另一個MCU執(zhí)行可靠的安全動作。

三

工業(yè)領域功能安全系統(tǒng)的具體示例

下面將用FA系統(tǒng)來說明實際應用中的功能安全系統(tǒng)結構示例。

圖2是功能安全相關系統(tǒng)結構示例。該FA系統(tǒng)由以下部分構成：檢測是否有人進入危險區(qū)域的安全傳感器等輸入設備，由整體控制安全系統(tǒng)的安全PLC等構成的控制設備，驅動具體設備的驅動設備以及連接以上設備的網絡。其內部結構如圖2下半部分所示，是由2個MCU構成的雙配置MCU結構。采用這種機構的目的是，即使在安全功能的某處發(fā)生故障，也能通過正常動作的MCU準確執(zhí)行用于避免危險的動作，從而使設備能夠可靠地執(zhí)行安全動作。

圖2 FA系統(tǒng)的結構示例

接下來將說明構成該FA系統(tǒng)的各類設備，即安全驅動設備，安全IO設備以及安全網絡設備。

安全驅動設備

驅動設備的基本安全規(guī)格是通過監(jiān)控電機是否安全受控來實現的。在開頭的圖1中也已經對它的結構作了說明，一般采用在使電機旋轉的機構外側加裝監(jiān)控單元的結構，用于監(jiān)控電機安全動作。該監(jiān)控單元通過雙配置SafetyMCU監(jiān)控電機轉速以及用于在緊急等時候緊急停止裝置的緊急停止信號，并在這些狀態(tài)被判斷為危險狀態(tài)時，執(zhí)行向電機控制端發(fā)送電機停止信號的動作。設計這些動作時采用了雙配置結構，因此即使監(jiān)控單元內發(fā)生故障，也可以通過其中一個正常動作的SafetyMCU轉移到安全動作。此外，根據FA系統(tǒng)的用途，有多種電機的監(jiān)控方法和停止方法，其規(guī)格已在電機驅動設備的安全標準IEC61800-5-2中定義。

安全遠程I/O設備

安全遠程I/O設備是傳輸信號的設備，這些信號包括根據安全傳感器等的輸入信號向需要緊急停止的設備輸出的信號等。它的內部結構是雙配置MCU結構，即使安全裝置發(fā)生故障，也能可靠地執(zhí)行安全動作。此外，通過用雙SafetyMCU執(zhí)行用于安全控制程序，也能以同樣結構實現安全PLC（主要是低端型）。

安全網絡設備

安全網絡設備是可以通過工業(yè)網絡實現安全數據通信的設備。這里也采用了2個SafetyMCU，除了安全IO處理，還能根據安全網絡標準進行通信安全數據處理。右側的網絡設備被稱為“黑色通道（Black Channel）”，是非安全處理的一部分。黑色通道意味著不安全，不過安全網絡中的標準化安全協議有方法確認從黑色通道接收的數據是否被正確傳送，即通過用2個SafetyMCU進行確認來實現。

未完待續(xù)