人們普遍認為控制系統在使用過程中必須是安全的。 考慮到這一點,大多數現代控制系統的設計如圖 1 所示。
圖 1. 控制系統的一般設計
使控制系統安全的最簡單方法是在其周圍建造一堵堅不可摧的牆,以防止人員進入或乾擾危險區域。 這樣的系統將非常安全,儘管不切實際,因為不可能獲得訪問權限以執行大多數測試、維修和調整工作。 因為在某些條件下必須允許進入危險區域,所以需要除牆壁、柵欄等之外的保護措施來促進生產、安裝、維修和維護。
其中一些保護措施可以部分或全部集成到控制系統中,如下所示:
- 如果有人進入危險區域,可以通過緊急停止 (ES) 按鈕立即停止運動。
- 按鈕控制僅在激活按鈕時才允許移動。
- 雙手控制 (DHC) 只有在雙手同時按下兩個控制元件時才允許移動(從而確保雙手遠離危險區域)。
這些類型的保護措施由操作員激活。 然而,由於人類通常是應用程序中的弱點,因此許多功能(例如以下)都是自動執行的:
- 維修或“示教”期間機器人手臂的運動非常緩慢。 儘管如此,速度仍受到持續監控。 如果由於控制系統故障,自動機械臂的速度在維修或示教期間意外增加,監控系統將啟動並立即終止運動。
- 提供光柵以防止進入危險區域。 如果光束被中斷,機器將自動停止。
控制系統的正常運行是生產最重要的前提。 如果生產功能因控制故障而中斷,那至多是不便但不會造成危險。 如果不執行與安全相關的功能,可能會導致生產損失、設備損壞、人身傷害甚至死亡。 因此,與安全相關的控制系統功能必須比普通控制系統功能更可靠、更安全。 根據歐洲委員會指令 89/392/EEC(機器指南),控制系統的設計和構造必須安全可靠。
控件由許多連接在一起的組件組成,以執行一項或多項功能。 控件被細分為通道。 通道是執行特定功能(例如,啟動、停止、緊急停止)的控件的一部分。 從物理上講,通道是由一串組件(晶體管、二極管、繼電器、門等)創建的,通過這些組件,從一個組件到下一個組件,代表該功能的(主要是電氣)信息從輸入傳輸到輸出。
在為安全相關功能(涉及人的功能)設計控制通道時,必須滿足以下要求:
- 具有安全相關功能的控制通道中使用的組件必須能夠承受正常使用的嚴酷條件。 一般來說, 他們必須足夠可靠.
- 邏輯錯誤不得導致危險情況。 一般來說, 與安全相關的通道應具有足夠的故障證明.
- 外部影響(因素)不應導致安全相關通道的暫時或永久故障。
可靠性
可靠性 是控制通道或組件在給定時間段的指定條件下執行所需功能的能力 沒有失敗. (可以使用合適的方法計算特定組件或控制通道的概率。)必須始終為特定時間值指定可靠性。 通常,可靠性可以用圖2中的公式表示。
圖 2. 可靠性公式
複雜系統的可靠性
系統是由組件構建的。 如果已知組件的可靠性,則可以計算整個系統的可靠性。 在這種情況下,以下適用:
串行系統
總可靠性 R合計 由具有相同可靠性 R 的 N 個組件組成的串聯繫統C 計算如圖 3 所示。
圖 3. 串聯組件的可靠性圖
總可靠性低於最不可靠組件的可靠性。 隨著串聯組件數量的增加,鏈條的總可靠性會顯著下降。
並行系統
總可靠性 R合計 由具有相同可靠性 R 的 N 個組件組成的並聯繫統C 計算如圖 4 所示。
圖 4. 並聯組件的可靠性圖
通過並聯兩個或多個組件可以顯著提高總體可靠性。
圖 5 說明了一個實際示例。 請注意,電路將更可靠地關閉電機。 即使繼電器 A 或 B 未能打開其觸點,電機仍會關閉。
圖 5. 圖 4 的實際示例
如果所有必要的組件可靠性已知且可用,則計算通道的總可靠性很簡單。 對於復雜組件(集成電路、微處理器等),如果製造商未發布必要信息,則總可靠性的計算是困難的或不可能的。
安全指引
當專業人士談論安全並呼籲安全機器時,他們指的是整個機器或系統的安全。 然而,這種安全性過於籠統,並且對於控制設計者而言定義不夠精確。 下面的定義 安全 對控制電路的設計者可能是實用的和有用的:安全是控制系統在規定的限制內,在給定的持續時間內執行所需功能的能力,即使發生預期的故障。 因此,在設計過程中必須明確安全相關通道必須有多“安全”。 (設計者可以開發一個安全的通道,防止第一次故障、任何一次故障、兩次故障等。)此外,執行用於防止事故的功能的通道可能本質上是可靠的,但它沒有不可避免地避免失敗。 以下示例可以最好地解釋這一點:
例如1
圖 6 中所示的示例是執行所需安全功能的安全相關控制通道。 第一個組件可以是一個開關,用於監控例如通往危險區域的通道門的位置。 最後一個組件是電機,它驅動危險區域內的移動機械部件。
圖 6. 執行所需安全功能的安全相關控制通道
在這種情況下所需的安全功能是雙重的:如果門關閉,電機可能會運行。 如果門打開,則必須關閉電機。 了解可靠性 R1 到R6, 可以計算可靠性 R早期的。 設計者應該使用可靠的組件,以保持整個控制系統足夠高的可靠性(即,在設計中應該考慮到即使在 20 年內該功能仍然可以執行的可能性)。 因此,設計人員必須完成兩項任務:(1) 電路必須執行所需的功能,以及 (2) 組件和整個控制通道的可靠性必須足夠。
現在應該問以下問題:即使系統發生故障(例如,如果繼電器觸點粘住或組件發生故障),上述通道是否會執行所需的安全功能? 答案是不”。 原因是僅由串聯連接的組件組成並使用靜態信號的單個控制通道對於一次故障是不安全的。 通道只能具有一定的可靠性,這保證了功能被執行的可能性。 在這種情況下,安全始終意味著 故障相關.
例如2
如果控制通道既可靠又安全,則必須如圖 7 所示修改設計。所示示例是一個安全相關的控制通道,由兩個完全獨立的子通道組成。
圖 7. 具有兩個完全獨立子通道的安全相關控制通道
這種設計對於第一次故障(以及同一子通道中可能的進一步故障)是安全的,但對於可能發生在兩個不同子通道中(同時或不同時間)的兩次故障是不安全的,因為沒有故障檢測電路。 因此,最初兩個子通道都以高可靠性工作(參見並行系統),但在第一次故障後只有一個子通道將工作,可靠性降低。 如果在仍在工作的子通道中發生第二次故障,則兩者都將失效,並且將不再執行安全功能。
例如3
圖 8 中所示的示例是一個安全相關的控制通道,由兩個完全獨立的子通道組成,它們相互監控。
圖 8. 一個安全相關的控制通道,帶有兩個相互監控的完全獨立的子通道
這種設計是故障安全的,因為在發生任何故障後,只有一個子通道將不起作用,而另一個子通道仍然可用並將執行安全功能。 此外,該設計具有故障檢測電路。 如果由於故障,兩個子通道無法以相同方式工作,則“異或”電路將檢測到這種情況,結果機器將自動關閉。 這是設計機器控制的最佳方法之一——設計與安全相關的子通道。 它們對一次故障是安全的,同時提供足夠的可靠性,因此同時發生兩次故障的可能性微乎其微。
冗餘
顯然,設計者可以通過多種方法提高可靠性和/或安全性(防止故障)。 前面的示例說明瞭如何通過各種解決方案實現功能(即,門關閉,電機可以運行;門打開,電機必須停止)。 有些方法非常簡單(一個子通道),而另一些方法則比較複雜(兩個相互監督的子通道)。 (見圖 9。)
圖 9. 有或沒有故障檢測的冗餘系統的可靠性
與簡單電路和/或組件相比,複雜電路和/或組件存在一定的冗餘。 冗餘 可以定義如下: (1) 冗餘是指存在比簡單實現所需功能所需的更多的手段(組件、通道、更高的安全係數、額外的測試等); (2) 冗餘顯然不會“改善”功能,無論如何都會執行。 冗餘隻會提高可靠性和/或安全性。
一些安全專業人士認為,冗餘隻是系統的兩倍或三倍等。 這是一個非常有限的解釋,因為冗餘可以被更廣泛和靈活地解釋。 冗餘可能不僅包含在硬件中; 它也可能包含在軟件中。 提高安全係數(例如,更強的繩索而不是更弱的繩索)也可以被視為一種冗餘形式。
熵
熵,一個主要出現在熱力學和天文學中的術語,可以定義如下:一切都傾向於衰變。 因此,可以肯定的是,無論使用何種技術,所有組件、子系統或系統總有一天會出現故障。 這意味著沒有 100% 可靠和/或安全的系統、子系統或組件。 根據結構的複雜性,所有這些都或多或少是可靠和安全的。 不可避免地較早或較晚發生的故障證明了熵的作用。
設計人員應對熵的唯一方法是冗餘,這是通過 (a) 為組件引入更多可靠性和 (b) 在整個電路架構中提供更多安全性來實現的。 只有充分提高所需功能在所需時間段內執行的概率,設計人員才能在某種程度上抵禦熵。
風險評估
潛在風險越大,所需的可靠性和/或安全性(針對故障)就越高(反之亦然)。 以下兩個案例說明了這一點:
案例1
固定在註塑機中的模具由門保護。 如果門關閉,機器可以工作,如果門打開,所有危險動作都必須停止。 在任何情況下(即使在安全相關通道發生故障的情況下)都不得發生任何運動,尤其是那些操作工具的運動。
案例2
在氣動壓力下組裝小型塑料部件的自動控制裝配線的入口由一扇門保護。 如果打開這扇門,就必須停止生產線。
情況1,如果門監控系統發生故障,工具意外關閉,可能會造成嚴重傷害。 在情況2中,如果門監控系統發生故障,則可能造成輕微傷害或輕微傷害。
很明顯,在第一種情況下,必須引入更多的冗餘以獲得防止極端高風險所需的可靠性和/或安全性(防止故障)。 事實上,根據歐洲標準EN 201,注塑機門的監控系統必須具有三個通道; 其中兩個是電氣的,相互監督,其中一個主要配備液壓系統和測試電路。 所有這三個監督功能都與同一扇門有關。
相反,在案例 2 中描述的應用程序中,由具有正向動作的開關激活的單個通道適合於風險。
控制類別
由於上述所有考慮通常都基於信息論,因此適用於所有技術,因此控制系統是否基於電子、機電、機械、液壓或氣動組件(或它們的混合)並不重要,或其他一些技術。 一方面是設計師的創造力,另一方面是經濟問題,是影響關於如何實現安全相關通道的幾乎無數解決方案的主要因素。
為防止混淆,設置某些排序標準是實用的。 用於執行安全相關功能的機器控制中最典型的通道結構分類如下:
- 可靠性
- 失敗時的行為
- 故障披露時間。
表 1. 機器控制中用於安全相關功能的一些可能的電路結構組合
|
標準(問題) |
基本攻略 |
|||||
|
通過提高可靠性(故障的發生是否轉移到可能遙遠的未來?) |
通過合適的電路結構(架構),故障將至少被檢測到(類別 2)或故障對通道的影響將被消除(類別 3)或故障將被立即披露(類別 4) |
|||||
|
分類 |
||||||
|
這個解決方案基本上是錯誤的 |
B |
1 |
2 |
3 |
4 |
|
|
電路元件能否承受預期的影響; 它們是根據最先進的技術建造的嗎? |
沒有 |
是 |
是 |
是 |
是 |
是 |
|
是否使用了久經考驗的組件和/或方法? |
沒有 |
沒有 |
是 |
是 |
是 |
是 |
|
能否自動檢測故障? |
沒有 |
沒有 |
沒有 |
是 |
是 |
是 |
|
故障是否會阻止安全相關功能的執行? |
是 |
是 |
是 |
是 |
沒有 |
沒有 |
|
何時會檢測到故障? |
決不 |
決不 |
決不 |
早(最遲在不長於一個機器週期的區間結束時) |
立即(當信號失去動態 |
|
|
在消費品中 |
用於機器 |
|||||
適用於特定機器及其安全相關控制系統的類別大多在新的歐洲標準 (EN) 中指定,除非國家當局、用戶和製造商相互同意應適用另一個類別。 然後,設計人員開發了一個滿足要求的控制系統。 例如,管理控制通道設計的考慮因素可能包括以下內容:
- 組件必須能夠承受預期的影響。 (是/否)
- 它們的建造應符合最先進的標準。 (是/否)
- 使用久經考驗的組件和方法。 (是/否)
- 失敗 必須檢測. (是/否)
- 即使發生故障,安全功能也會執行嗎? (是/否)
- 何時會檢測到故障? (從不、早期、立即)
這個過程是可逆的。 使用相同的問題,可以確定現有的、以前開發的控制通道屬於哪一類。
類別示例
B類
主要用於消費品的控制通道組件必須能夠承受預期的影響,並根據最先進的技術進行設計。 一個設計良好的開關可以作為一個例子。
八類佈線系統
使用久經考驗的組件和方法是類別 1 的典型做法。類別 1 的示例是具有正向動作的開關(即,需要強制打開觸點)。 該開關採用堅固的部件設計,由相對較大的力啟動,因此僅在觸點斷開時才具有極高的可靠性。 儘管觸點粘連甚至焊接,這些開關仍會打開。 (注意:晶體管和二極管等元件不被視為經過充分試驗的元件。)圖 10 將用作類別 1 控制的圖示。
圖 10. 具有正向動作的開關
該通道採用正動作開關S。 接觸器 K 由指示燈 L 監控。操作員通過指示燈 L 提示常開 (NO) 觸點粘住。接觸器 K 具有強制導向觸點。 (注意:與通常的繼電器或接觸器相比,具有強制引導觸點的繼電器或接觸器具有由絕緣材料製成的特殊籠子,因此如果常閉(NC)觸點閉合,則必須打開所有 NO 觸點,反之反之亦然。這意味著通過使用 NC 觸點,可以進行檢查以確定工作觸點沒有粘在一起或焊接在一起。)
八類佈線系統
類別 2 提供故障的自動檢測。 必須在每次危險動作之前生成自動故障檢測。 只有在測試呈陽性時才能進行運動; 否則機器將停止。 自動故障檢測系統用於光柵以證明它們仍在工作。 原理如圖 1 所示。
圖 11. 包含故障檢測器的電路
通過向輸入註入脈衝來定期(或偶爾)測試該控制系統。 在一個正常工作的系統中,這個脈衝將被傳輸到輸出並與來自測試發生器的脈衝進行比較。 當兩種衝動都存在時,系統顯然有效。 否則,如果沒有輸出脈衝,系統就失敗了。
八類佈線系統
之前已在本文安全部分的示例 3 下描述了電路,圖 8。
要求——即自動故障檢測和執行安全功能的能力,即使在任何地方發生一個故障——可以通過雙通道控制結構和兩個通道的相互監督來實現。
僅對於機器控制,必須調查危險故障。 需要注意的是有兩種故障:
- 非危險品 故障是指在故障發生後通過關閉電機而使機器進入“安全狀態”的故障。
- 危險的 故障是指在故障發生後導致機器處於“不安全狀態”的故障,因為電機無法關閉或電機意外啟動。
八類佈線系統
類別 4 通常用於在輸入端應用動態、連續變化的信號。 輸出裝置上存在動態信號 運行 (“1”),並且沒有動態信號意味著 停止 (“0”)。
對於此類電路,通常在任何組件出現故障後,動態信號將不再在輸出端可用。 (注意:輸出端的靜態電位無關緊要。)此類電路可稱為“故障安全”。 所有故障將立即披露,而不是在第一次更改後(如第 3 類電路)。
關於控制類別的進一步評論
表 1 是為常用機器控制開發的,僅顯示基本電路結構; 根據機器指令,應該在一個機器週期內只發生一次故障的假設下進行計算。 這就是為什麼在兩個同時發生故障的情況下不必執行安全功能的原因。 假定將在一個機器週期內檢測到故障。 機器將停止,然後進行維修。 然後控制系統再次啟動,完全可操作,沒有故障。
設計者的第一個意圖應該是不允許出現“常設”故障,這些故障在一個週期內不會被檢測到,因為它們以後可能會與新出現的故障(故障累積)結合在一起。 這種組合(持續故障和新故障)甚至會導致 3 類電路發生故障。
儘管採用了這些策略,但有可能在同一機器週期內同時發生兩個獨立的故障。 這是非常不可能的,特別是如果使用了高度可靠的組件。 對於非常高風險的應用程序,應使用三個或更多子通道。 這種理念基於這樣一個事實,即平均故障間隔時間比機器週期長得多。
然而,這並不意味著該表不能進一步擴展。 表 1 基本上和結構上與 EN 2-954 中使用的表 1 非常相似。 但是,它不會嘗試包含太多排序標準。 這些要求是根據嚴格的邏輯法則定義的,因此只能得到明確的答案(是或否)。 這允許對提交的電路(安全相關通道)進行更準確的評估、分類和分類,最後但並非最不重要的一點是,顯著提高評估的可重複性。
如果風險可以分為不同的風險級別,然後在風險級別和類別之間建立明確的聯繫,這將是理想的,而這一切都與所使用的技術無關。 然而,這並非完全可能。 在創建類別後的早期,很明顯即使使用相同的技術,也無法充分回答各種問題。 哪個更好:非常可靠且設計良好的第 1 類組件,還是滿足第 3 類要求但可靠性較差的系統?
要解釋這一困境,必須區分兩種品質:可靠性和安全性(防止故障)。 它們沒有可比性,因為這兩種品質具有不同的特徵:
- 具有最高可靠性的組件具有令人不快的特徵,即在發生故障時(即使極不可能)功能將停止執行。
- 類別 3 系統即使在發生一次故障的情況下仍會執行功能,但在同時發生兩種故障時並不安全(可能重要的是是否使用了足夠可靠的組件)。
考慮到上述情況,最好的解決方案(從高風險的角度來看)可能是使用高度可靠的組件並對其進行配置,以便電路能夠安全應對至少一次(最好是多次)故障。 很明顯,這樣的解決方案不是最經濟的。 實際上,優化過程主要是所有這些影響和考慮的結果。
實際使用這些類別的經驗表明,設計一個始終只使用一個類別的控制系統幾乎是不可能的。 兩個甚至三個部分的組合,每個部分屬於不同的類別,是典型的,如以下示例所示:
許多安全光柵設計為 4 類,其中一個通道使用動態信號。 在這個系統的末端通常有兩個相互監督的子通道,它們使用靜態信號。 (這滿足類別 3 的要求。)
根據 EN 50100,此類光柵被歸類為 類型 4 電敏保護裝置, 儘管它們由兩部分組成。 不幸的是,對於如何命名由兩個或多個部分組成的控制系統,每個部分屬於另一個類別,還沒有達成一致。
可編程電子系統 (PES)
用於創建表 1 的原則,當然有一定的限制,通常也適用於 PES。
PES-only系統
在使用 PES 進行控制時,信息通過大量組件從傳感器傳輸到激活器。 除此之外,它甚至“通過”軟件。 (見圖 12)。
圖 12. PES 系統電路
儘管現代 PES 非常可靠,但可靠性沒有處理安全功能所需的那麼高。 除此之外,通常的 PES 系統不夠安全,因為它們在發生故障時不會執行與安全相關的功能。 因此,不允許在沒有任何附加措施的情況下使用 PES 來處理安全功能。
極低風險應用:具有一個 PES 和附加措施的系統
當使用單個 PES 進行控制時,系統由以下主要部分組成:
輸入部分
傳感器的可靠性和 PES 的輸入可以通過將它們加倍來提高。 這樣的雙系統輸入配置可以由軟件進一步監督,以檢查兩個子系統是否正在傳遞相同的信息。 因此可以檢測到輸入部分的故障。 這幾乎與類別 3 所要求的理念相同。但是,由於監督是通過軟件完成的並且只有一次,因此這可能被命名為 3-(或不如 3 可靠)。
中部
這部分雖然不能很好的翻倍,但是可以測試一下。 開機時(或運行期間),可以對整個指令集進行檢查。 在相同的時間間隔內,還可以通過合適的位模式檢查內存。 如果進行此類檢查沒有失敗,則 CPU 和內存這兩個部分顯然工作正常。 中間部分具有第 4 類(動態信號)的某些典型特徵和第 2 類的其他典型特徵(以適當的時間間隔定期進行測試)。 問題是,儘管這些測試範圍廣泛,但它們並不能真正完成,因為 one-PES 系統本身就不允許進行這些測試。
輸出部分
與輸入類似,輸出(包括激活器)也可以加倍。 兩個子系統都可以針對相同的結果進行監督。 將檢測到故障並執行安全功能。 但是,存在與輸入部分相同的弱點。 因此,在這種情況下選擇類別 3。
在圖 13 中,繼電器具有相同的功能 A 和 B. 控制觸點 a 和 b, 然後通知兩個輸入系統兩個繼電器是否在做同樣的工作(除非其中一個通道發生故障)。 監督由軟件再次完成。
圖 13. 帶有故障檢測系統的 PES 電路
整個系統可以被描述為類別 3-/4/2/3- 如果正確和廣泛地完成。 然而,不能完全消除上述系統的弱點。 事實上,改進後的 PES 僅在風險相當低的情況下才用於與安全相關的功能(Hölscher 和 Rader 1984)。
使用一個 PES 的中低風險應用程序
今天幾乎每台機器都配備了 PES 控制單元。 為了解決可靠性不足和通常對故障安全性不足的問題,通常採用以下設計方法:
- 在電梯等相對簡單的機器中,功能分為兩組: (1) 與安全無關的功能由 PES 處理; (2) 安全相關功能組合在一條鏈(安全電路)中並在 PES 外部處理(見圖 14)。
- 上面給出的方法不適用於更複雜的機器。 原因之一是此類解決方案通常不夠安全。 對於中等風險的應用,解決方案應滿足類別 3 的要求。圖 15 和圖 16 顯示了此類設計的一般概念。
高風險應用:具有兩個(或更多)PES 的系統
除了複雜性和費用外,沒有其他因素會阻止設計人員使用完全雙倍的 PES 系統,例如 Siemens Simatic S5-115F、3B6 Typ CAR-MIL 等。 這些通常包括兩個具有同質軟件的相同 PES,並假設使用“久經考驗”的 PES 和“久經考驗”的編譯器(一個久經考驗的 PES 或編譯器可以被認為在 3 年或更長時間的許多實際應用中表明系統性故障已明顯消除)。 雖然這些雙PES系統沒有單PES系統的弱點,但這並不意味著雙PES系統可以解決所有問題。 (見圖 17)。
圖 17. 具有兩個 PES 的複雜系統
系統故障
系統故障可能由規格、設計和其他原因中的錯誤引起,並且可能存在於硬件和軟件中。 雙 PES 系統適用於安全相關應用。 這樣的配置允許檢測隨機硬件故障。 通過硬件多樣性,例如使用兩種不同類型或兩個不同製造商的產品,可以揭示系統硬件故障(在兩個 PES 中發生相同硬件系統故障的可能性很小)。
軟體
軟件是安全考慮中的一個新元素。 軟件要么正確要么不正確(關於故障)。 一旦正確,軟件就不會立即變得不正確(與硬件相比)。 目的是消除軟件中的所有錯誤或至少識別它們。
有多種方法可以實現這一目標。 一個是 驗證 程序的錯誤(第二個人試圖在隨後的測試中發現錯誤)。 另一種可能性是 多樣 軟件,其中兩個不同的程序,由兩個程序員編寫,解決同一個問題。 如果結果相同(在一定範圍內),則可以假定兩個程序部分都是正確的。 如果結果不同,則認為存在錯誤。 (注意, 建築 硬件的自然也必須考慮。)
總結
使用 PES 時,通常需要考慮以下相同的基本注意事項(如前幾節所述)。
- 一個沒有任何冗餘的控制系統可以劃為 B 類。一個帶有附加措施的控制系統可以是 1 類甚至更高,但不高於 2 類。
- A two-part control system with mutual comparison of results may be allocated to Category 3. A two-part control system with mutual comparison of results and more or less diversity may be allocated to Category 3, 適用於較高風險的應用。
一個新的因素是,對於具有 PES 的系統,即使是軟件也應該從正確性的角度進行評估。 軟件,如果正確,是 100% 可靠的。 在技術發展的這個階段,最好的和已知的技術解決方案可能不會被使用,因為限制因素仍然是經濟的。 此外,各種專家組正在繼續制定 PES(例如 EC、EWICS)的安全應用標準。 儘管已經有各種標準可用(VDE0801、IEC65A 等),但這個問題是如此廣泛和復雜,以至於沒有一個可以被視為最終標準。