【白皮書】工業(yè)設(shè)備的功能安全（上）

一

概要

近年來，“功能安全”正在成為工業(yè)設(shè)備領(lǐng)域中實現(xiàn)系統(tǒng)安全性的可靠方法。除了向來重視安全的汽車領(lǐng)域之外，在工業(yè)設(shè)備領(lǐng)域，也會因為機(jī)器故障和事故的發(fā)生以及人身傷害事件對工廠運轉(zhuǎn)造成影響或引起社會關(guān)注，而且還導(dǎo)致了經(jīng)濟(jì)損失。為了避免這些情況，“功能安全”的重要性與日俱增。在通過人與機(jī)器人協(xié)同作業(yè)來提高作業(yè)效率的進(jìn)程中，設(shè)備安全性越發(fā)受到關(guān)注。因此，越來越多的設(shè)備制造商以滿足社會與用戶的要求和提高商品競爭力為目的，開始研究功能安全設(shè)備。

在本文章中，我們將對功能安全的定義和必要性，實際系統(tǒng)結(jié)構(gòu)，開發(fā)中存在的課題以及瑞薩為解決這些課題而提供的功能安全解決方案進(jìn)行說明。

二

什么是功能安全

功能安全的目的是，通過“功能”把因裝置誤動作，誤操作而造成的人身傷害，財產(chǎn)損害或社會危害等風(fēng)險控制在容許限度以內(nèi)。

下面將以在機(jī)器人等電機(jī)控制裝置中為避免出現(xiàn)危險狀況而使電機(jī)停止工作的情況為例，進(jìn)行具體說明。

圖1是以通過MCU控制電機(jī)旋轉(zhuǎn)的系統(tǒng)作為采取功能安全措施的例子。為了實現(xiàn)功能安全，首先要分析與裝置相關(guān)的風(fēng)險，并研究相應(yīng)的措施。這被稱為風(fēng)險評估，而功能安全的裝置（安全裝置）能夠通過電子電路等，實現(xiàn)以風(fēng)險評估結(jié)果為基礎(chǔ)制定的安全措施。在這里，功能安全與傳統(tǒng)安全裝置之間存在很大差異，即“安全裝置”需要根據(jù)IEC61508等國際標(biāo)準(zhǔn)進(jìn)行標(biāo)準(zhǔn)化，使“安全裝置”規(guī)格的合理性能夠通過客觀，定量的方法來實現(xiàn)。

圖1 功能安全的電機(jī)驅(qū)動裝置結(jié)構(gòu)示例

功能安全規(guī)格的要求事項有許多，如通過分析因安全裝置故障造成的誤動作的影響，設(shè)計基于診斷功能的，在安全裝置故障時也能引導(dǎo)至安全狀態(tài)的措施；通過做出設(shè)計方法和設(shè)計流程的相關(guān)規(guī)定，避免因軟硬件設(shè)計缺陷等原因?qū)е碌恼`動作等。通過這些要求事項，便可更加客觀地判斷其安全規(guī)格以及作為安全裝置的動作準(zhǔn)確性（可靠性）。另外，此類FA系統(tǒng)還要求采用類似圖1所示的雙配置MCU結(jié)構(gòu)，在系統(tǒng)結(jié)構(gòu)上實現(xiàn)即使一個MCU在動作期間出現(xiàn)故障等動作不良，也能通過正常動作的另一個MCU執(zhí)行可靠的安全動作。

三

工業(yè)領(lǐng)域功能安全系統(tǒng)的具體示例

下面將用FA系統(tǒng)來說明實際應(yīng)用中的功能安全系統(tǒng)結(jié)構(gòu)示例。

圖2是功能安全相關(guān)系統(tǒng)結(jié)構(gòu)示例。該FA系統(tǒng)由以下部分構(gòu)成：檢測是否有人進(jìn)入危險區(qū)域的安全傳感器等輸入設(shè)備，由整體控制安全系統(tǒng)的安全PLC等構(gòu)成的控制設(shè)備，驅(qū)動具體設(shè)備的驅(qū)動設(shè)備以及連接以上設(shè)備的網(wǎng)絡(luò)。其內(nèi)部結(jié)構(gòu)如圖2下半部分所示，是由2個MCU構(gòu)成的雙配置MCU結(jié)構(gòu)。采用這種機(jī)構(gòu)的目的是，即使在安全功能的某處發(fā)生故障，也能通過正常動作的MCU準(zhǔn)確執(zhí)行用于避免危險的動作，從而使設(shè)備能夠可靠地執(zhí)行安全動作。

圖2 FA系統(tǒng)的結(jié)構(gòu)示例

接下來將說明構(gòu)成該FA系統(tǒng)的各類設(shè)備，即安全驅(qū)動設(shè)備，安全I(xiàn)O設(shè)備以及安全網(wǎng)絡(luò)設(shè)備。

安全驅(qū)動設(shè)備

驅(qū)動設(shè)備的基本安全規(guī)格是通過監(jiān)控電機(jī)是否安全受控來實現(xiàn)的。在開頭的圖1中也已經(jīng)對它的結(jié)構(gòu)作了說明，一般采用在使電機(jī)旋轉(zhuǎn)的機(jī)構(gòu)外側(cè)加裝監(jiān)控單元的結(jié)構(gòu)，用于監(jiān)控電機(jī)安全動作。該監(jiān)控單元通過雙配置SafetyMCU監(jiān)控電機(jī)轉(zhuǎn)速以及用于在緊急等時候緊急停止裝置的緊急停止信號，并在這些狀態(tài)被判斷為危險狀態(tài)時，執(zhí)行向電機(jī)控制端發(fā)送電機(jī)停止信號的動作。設(shè)計這些動作時采用了雙配置結(jié)構(gòu)，因此即使監(jiān)控單元內(nèi)發(fā)生故障，也可以通過其中一個正常動作的SafetyMCU轉(zhuǎn)移到安全動作。此外，根據(jù)FA系統(tǒng)的用途，有多種電機(jī)的監(jiān)控方法和停止方法，其規(guī)格已在電機(jī)驅(qū)動設(shè)備的安全標(biāo)準(zhǔn)IEC61800-5-2中定義。

安全遠(yuǎn)程I/O設(shè)備

安全遠(yuǎn)程I/O設(shè)備是傳輸信號的設(shè)備，這些信號包括根據(jù)安全傳感器等的輸入信號向需要緊急停止的設(shè)備輸出的信號等。它的內(nèi)部結(jié)構(gòu)是雙配置MCU結(jié)構(gòu)，即使安全裝置發(fā)生故障，也能可靠地執(zhí)行安全動作。此外，通過用雙SafetyMCU執(zhí)行用于安全控制程序，也能以同樣結(jié)構(gòu)實現(xiàn)安全PLC（主要是低端型）。

安全網(wǎng)絡(luò)設(shè)備

安全網(wǎng)絡(luò)設(shè)備是可以通過工業(yè)網(wǎng)絡(luò)實現(xiàn)安全數(shù)據(jù)通信的設(shè)備。這里也采用了2個SafetyMCU，除了安全I(xiàn)O處理，還能根據(jù)安全網(wǎng)絡(luò)標(biāo)準(zhǔn)進(jìn)行通信安全數(shù)據(jù)處理。右側(cè)的網(wǎng)絡(luò)設(shè)備被稱為“黑色通道（Black Channel）”，是非安全處理的一部分。黑色通道意味著不安全，不過安全網(wǎng)絡(luò)中的標(biāo)準(zhǔn)化安全協(xié)議有方法確認(rèn)從黑色通道接收的數(shù)據(jù)是否被正確傳送，即通過用2個SafetyMCU進(jìn)行確認(rèn)來實現(xiàn)。

未完待續(xù)