機械電氣設(shè)備無線控制系統(tǒng)安全功能要求與驗證方法探析*

黃祖廣 王文浩 薛瑞娟 蔣 崢

（國家機床質(zhì)量監(jiān)督檢驗中心 北京100102）

石油化工、電力設(shè)備、機械制造等相關(guān)領(lǐng)域，在國民基礎(chǔ)工業(yè)中扮演著重要角色。進(jìn)入二十一世紀(jì)以來，全球各個行業(yè)飛速發(fā)展，隨之而來的安全隱患也越來越多，行業(yè)內(nèi)相關(guān)企業(yè)急需安全可靠的安全控制系統(tǒng)來保障機械電氣設(shè)備安全、穩(wěn)定、連續(xù)的生產(chǎn)工作以及相關(guān)從業(yè)人員的人身安全。在某些高溫、震動、輻射等復(fù)雜的工業(yè)環(huán)境下，工作人員無法靠近工業(yè)設(shè)備進(jìn)行操作，以及對現(xiàn)場環(huán)境布線有著特殊要求無法滿足控制系統(tǒng)需求的場合，無線控制系統(tǒng)及無線控制裝置的使用顯得尤為重要。IEC 62745：2017作為機械安全領(lǐng)域重要國際標(biāo)準(zhǔn)，定義了機械電氣設(shè)備無線控制系統(tǒng)的一般要求，是機械安全標(biāo)準(zhǔn)體系的重要組成部分。為了提高無線控制系統(tǒng)安全性能，保障機械電氣設(shè)備安全生產(chǎn)，本文結(jié)合我國機械電氣設(shè)備無線控制系統(tǒng)發(fā)展現(xiàn)狀與IEC 62745國際標(biāo)準(zhǔn)，針對機械電氣設(shè)備無線控制系統(tǒng)的安全功能要求與實驗驗證方法開展了分析研究。

無線控制裝置指一種用于遠(yuǎn)程無線控制工業(yè)機器人、工程機械等工業(yè)設(shè)備的控制裝置，無線控制裝置的使用可以避免由纜線鋪設(shè)所造成的不便，擴大機械使用范圍，提高了工作人員的安全性。無線控制系統(tǒng)（cableless control system，CCS）應(yīng)用于各類機械電氣設(shè)備的無線控制裝置并為其提供操作界面，無線控制系統(tǒng)是無線控制裝置設(shè)計制造的重要組成部分，其功能及與整個機械控制系統(tǒng)接口的方法直接影響到相關(guān)機械電氣設(shè)備的安全性能。

機械設(shè)備的機械控制系統(tǒng)通常由操作員控制站、控制線路與無線控制系統(tǒng)基站構(gòu)成，各部分通過有線信號或無線信號進(jìn)行連接，如圖1所示。其中無線控制系統(tǒng)的遠(yuǎn)程站與有線控制站、有線懸掛控制器組成操作員控制站。無線控制系統(tǒng)部分由至少由一個遠(yuǎn)程站（經(jīng)由遠(yuǎn)程站，操作員接口與無線控制系統(tǒng)連接）和一個基站（帶機械控制系統(tǒng)接口的無線控制系統(tǒng)部分）組成，兩者之間使用無線信號傳輸命令。無線控制系統(tǒng)基站通過有線信號連接到機械控制系統(tǒng)的控制線路中。

圖1 無線控制系統(tǒng)的框圖示例及其與機械控制系統(tǒng)的交互

1 CCS安全功能要求

無線控制系統(tǒng)在生產(chǎn)裝置開車、停車、出現(xiàn)生產(chǎn)危險等狀況或?qū)υO(shè)備和工作人員提供了安全防護。在機械設(shè)備生產(chǎn)使用過程中，無線控制系統(tǒng)應(yīng)能夠根據(jù)相應(yīng)情況做出反應(yīng)并輸出正確的信號，控制機械設(shè)備處于相應(yīng)的狀態(tài)，因此對無線控制系統(tǒng)的各項功能都有具體要求，主要包括停止功能要求、遠(yuǎn)程站與基站數(shù)據(jù)傳輸要求、多基站與多遠(yuǎn)程站要求、鎖定控制與暫?？刂埔?、預(yù)防操作措施及電源損失行為要求，涵蓋了一般工業(yè)用機械電氣設(shè)備CCS的通用安全功能要求，如圖2所示。

圖2 機械電氣設(shè)備CCS各項功能要求

1.1 CCS停止功能要求

機械設(shè)備的停止功能是在可能產(chǎn)生的危險或操作人員主動停機的情況下，實現(xiàn)機械設(shè)備安全停止的功能，是保障機械及其電氣設(shè)備的安全性的重要組成部分。在無線控制系統(tǒng)中，停止功能一般分為：控制停止、一般安全停止（general safe stop，GSS）、緊急停止（emergency stop，EMS）、自動停止（automatic stop，ATS）?？刂仆Ｖ构δ軆H在 CCS控制機械時才可用，且應(yīng)始終由操作員手動引發(fā)。

CCS的一般安全停止功能引發(fā)裝置應(yīng)具有直接開路動作，其手動引發(fā)方式需要在遠(yuǎn)程站清晰的單獨標(biāo)出，引發(fā)時將導(dǎo)致基站所有與安全有關(guān)的停止輸出處于關(guān)閉狀態(tài)。GSS引發(fā)后且控制致動器主動操作停止時，命令的作用應(yīng)通過裝置的接合來維持，直到通過遠(yuǎn)程站點的有意人工操作使其脫開。致動器不鎖定時不應(yīng)產(chǎn)生停止命令，無停止命令產(chǎn)生時，不應(yīng)出現(xiàn)致動器的鎖定。

緊急停止功能需要始終處于可用和可操作狀態(tài)，且其操作器應(yīng)具有符合規(guī)定的標(biāo)志/標(biāo)記，只有檢測到緊急停止功能處于正常狀態(tài)時，設(shè)備才能啟動和運行，并且設(shè)備的EMS需滿足ISO 13850的相關(guān)要求。當(dāng)機械設(shè)備的多個遠(yuǎn)程站同時與單個基站通信的情況下，單個遠(yuǎn)程站的禁用（禁用遠(yuǎn)程站的EMS功能不可用）將引發(fā)自動停止（ATS）功能[2]。

CCS的自動停止功能是安全相關(guān)的控制功能，通常在檢測到安全相關(guān)故障、有效信號缺失以及傳輸停止等情況下，自動引發(fā)基站安全相關(guān)的停止輸出處于 OFF狀態(tài)以防止機械的危險操作。在 CCS中，ATS功能應(yīng)具有安全性能不低于任何其他安全相關(guān)停止功能的安全性能。

為了保證機械設(shè)備的安全性，CCS設(shè)計時應(yīng)提供自動停止功能和至少一個停止功能，該功能需要由控制裝置上專門為此目的提供的蓄意動作引發(fā)（一般情況下該功能為一般安全停止或緊急停止）。機械不同的停止功能需要不同的停止類別，其基站應(yīng)提供足夠的停止輸出以適合機械的不同停止功能，CCS的每個安全相關(guān)停止功能應(yīng)具有至少SIL1/PLc的安全完整性，且每個安全相關(guān)停止功能應(yīng)在基站引發(fā)相關(guān)停止輸出的OFF狀態(tài)，以保障機械設(shè)備不同停止功能的需求。

CCS的停止功能可以手動或自動啟動，并可通過主動停止、被動停止執(zhí)行。主動停止是由停止信號從遠(yuǎn)程站到基站的傳輸導(dǎo)致的停止，被動停止是由于基站有效信號的缺失而導(dǎo)致的安全相關(guān)停止。一般工業(yè)用CCS典型的控制邏輯如圖 3所示。序列2屬于主動停止，是手動激活STOP制動器或響應(yīng)某種特定情況時，引起遠(yuǎn)程站在發(fā)送停止信號，從而在基站中引發(fā)OFF狀態(tài)，遠(yuǎn)程站傳輸功率不會消除。序列3指主動停止后自動消除遠(yuǎn)程站傳輸功率，其中序列3a屬于主動停止，3b屬于被動停止，基站通過主動停止3a和被動停止3b引發(fā)基站OFF狀態(tài)，因此即使主動停止3a無效，被動停止3b也能引發(fā)基站OFF狀態(tài)，例如手動激活STOP操動器或響應(yīng)特定情況時，在遠(yuǎn)程站中消除遠(yuǎn)程站傳輸功率，當(dāng)接受到停止信號時或檢測到隨后有效信號缺失時，引發(fā)基站OFF狀態(tài)。序列4是由于移除遠(yuǎn)程站傳輸功率導(dǎo)致的被動停止，當(dāng)手動激活STOP操動器或響應(yīng)特殊情況，使遠(yuǎn)程站取消遠(yuǎn)程站傳輸功率，此時基站檢測到?jīng)]有有效信號，引發(fā)基站OFF狀態(tài)。序列1表示手動引發(fā)的停止，其導(dǎo)致CCS的非安全相關(guān)停止輸出的狀態(tài)，此時基站不會引發(fā)OFF狀態(tài)。序列5屬于自動停止類型，其中被動停止和由此引發(fā)的OFF狀態(tài)在基站自動引發(fā)，例如當(dāng)遠(yuǎn)程站被移出工作范圍時，基站無有效信號自動引發(fā)OFF狀態(tài)。

圖3 CCS停止功能邏輯

當(dāng) CCS的一般停止功能或緊急停止功能引發(fā)后復(fù)位時，應(yīng)控制遠(yuǎn)程站和基站應(yīng)采取有意行動來控制可能被激活的危險操作。若鎖定的安全停止裝置脫開導(dǎo)致通信重新建立，需在遠(yuǎn)程站上進(jìn)行額外的手動復(fù)位操作。當(dāng)檢測到CCS存在故障或電源中斷和重新連接的情況時，不應(yīng)導(dǎo)致先前啟動的相關(guān)安全停止功能重置。

1.2 遠(yuǎn)程站與基站數(shù)據(jù)傳輸?shù)南嚓P(guān)功能要求

遠(yuǎn)程站與基站的安全穩(wěn)定數(shù)據(jù)傳輸是 CCS與機械設(shè)備安全工作的基礎(chǔ)，確保其數(shù)據(jù)傳輸?shù)姆€(wěn)定和安全在無線系統(tǒng)功能設(shè)計中顯得尤為重要。CCS的數(shù)據(jù)傳輸一般采用串行數(shù)據(jù)傳輸，要求串行數(shù)據(jù)傳輸?shù)臐h明距離應(yīng)為4或一幀中的總比特數(shù)除以20，取其較大者為準(zhǔn)，或在CCS中提供其他確保串行數(shù)據(jù)傳輸中未被檢測到的錯誤幀概率 R(Pe)＜1×10-8的手段[3]。

當(dāng)操作者取消遠(yuǎn)程站點數(shù)據(jù)傳輸時，CCS設(shè)計時需提供迅速停止遠(yuǎn)程站傳輸?shù)氖侄危ɡ绮皇褂玫墓ぞ呒纯扇〕鲭姵?、具有直接開路的遠(yuǎn)程站電源傳輸?shù)闹袛嘌b置等手段）。在實際工作環(huán)境要求遠(yuǎn)程站停止傳輸時，在操作命令停止后中性幀應(yīng)傳輸一段時間，且CCS應(yīng)在預(yù)定的中性幀傳輸期結(jié)束時引發(fā)自動停止功能，若CCS沒有提供自動停止傳輸，其中性幀需一直被傳輸，直到下一個操作命令信號。當(dāng)遠(yuǎn)程站檢測到可導(dǎo)致安全相關(guān)功能喪失的故障時應(yīng)停止傳輸。

在電源中斷、遠(yuǎn)程站電池更換等特殊情況下，遠(yuǎn)程站啟動或重新建立通信時，不能激活用于控制機械危險操作的任何輸出，在遠(yuǎn)程站重新建立通信（基站接收到中性幀）前，基站不應(yīng)響應(yīng)可以激活用于控制機械危險操作輸出的操作命令信號。對具有自動停止特性的CCS，需確認(rèn)CCS數(shù)據(jù)傳輸時：

（1）中性幀的傳輸時間；

（2）在傳輸時間內(nèi)沒有導(dǎo)致機械危險操作的輸出；

（3）中性幀傳輸結(jié)束后引發(fā)ATS功能。

1.3 多基站與多遠(yuǎn)程站功能要求

隨著工業(yè)的發(fā)展，愈加復(fù)雜的操作環(huán)境要求下，配備多基站與多遠(yuǎn)程站的 CCS逐漸應(yīng)用在各種復(fù)雜工作環(huán)境。當(dāng)CCS配備多個遠(yuǎn)程站時，CCS設(shè)計時應(yīng)確保任何一個遠(yuǎn)程站被使用時應(yīng)在該遠(yuǎn)程站或基站予以顯示，且其他遠(yuǎn)程站除緊急停止功能外不允許被使用。在遠(yuǎn)程站切換過程中，應(yīng)在基站或遠(yuǎn)程站上應(yīng)提供指示，以降低控制權(quán)轉(zhuǎn)移的潛在危險。

當(dāng)遠(yuǎn)程站配備多個通信基站時，CCS應(yīng)在遠(yuǎn)程站上提供選擇欲連接基站的手段，連接到該基站時不應(yīng)在該基站引發(fā)控制命令，且在CCS設(shè)計時應(yīng)提供相應(yīng)指示以確認(rèn)處于遠(yuǎn)程站控制下的基站。

1.4 鎖定控制功能及暫停CCS控制

對一些需要鎖定功能的機械電氣設(shè)備，例如在磁性提升裝置、電磁起重裝置等設(shè)備中，需要對磁性夾持裝置進(jìn)行鎖定以保持在運行過程中保持吊裝能力，并且降低危險隱患，因此其CCS需在基站或遠(yuǎn)程站實現(xiàn)控制鎖定能力。為了防止鎖定功能導(dǎo)致的危險隱患，基站的鎖定控制功能不能用于支持機械的危險操作（除非風(fēng)險評估支持并作為安全功能實現(xiàn)），鎖定遠(yuǎn)程站的控制邏輯只能用于預(yù)期控制機械非危險操作的輸出，還需通過測試確定鎖定控制功能對CCS的上電和通信的重新建立的影響。

機械設(shè)備擁有多個遠(yuǎn)程站或多個操作員控制站時，當(dāng)遠(yuǎn)程站或操作員控制站斷開時，為保持遠(yuǎn)程站電量及防止安全隱患，常使其處于暫停模式。遠(yuǎn)程站的暫停模式要求在遠(yuǎn)程站顯示且在基站激活機械控制系統(tǒng)的輸出信號。當(dāng)遠(yuǎn)程站開始處于暫定模式或暫停模式結(jié)束重新控制遠(yuǎn)程站時，需設(shè)計有指定開關(guān)等專門為此目的設(shè)計的措施。

1.5 操作預(yù)防措施及其他相關(guān)要求

CCS在設(shè)計時需充分考慮控制器跌落、電子失效等意外措施的存在對機械設(shè)備安全工作的影響，并且采取相應(yīng)措施進(jìn)行預(yù)防。在遠(yuǎn)程站及其控制器的設(shè)計和布置應(yīng)盡可能減少意外制動的可能性，且應(yīng)保證 CCS的操作指令信號僅引發(fā)預(yù)期遠(yuǎn)程站和基站的功能。

CCS在設(shè)計時需考慮遠(yuǎn)程站、控制器等部件的電源變化情況，以保證電池電壓或電源變化時不應(yīng)引起基站的意外輸出命令。當(dāng)CCS電池電壓變化超過規(guī)定限制時，應(yīng)設(shè)計相應(yīng)的視覺警告裝置，電池電壓過低至無法保證可靠傳輸時，應(yīng)消除傳輸功率直到電壓回復(fù)并進(jìn)行手動復(fù)位。CCS的供電系統(tǒng)在產(chǎn)品使用前應(yīng)進(jìn)行測試，在測試試驗期間（若使用電池供電，建議其處于滿電狀態(tài)），充電電源應(yīng)與遠(yuǎn)程站斷開，遠(yuǎn)程站應(yīng)與最多數(shù)量的基站連接通信及試驗期間遠(yuǎn)程站應(yīng)持續(xù)傳輸。

2 CCS安全功能要求驗證

無線控制系統(tǒng)的安全功能測試是為了確保其控制的機械設(shè)備以正確合理的方式運行，在CCS產(chǎn)品投入使用前，其制造商應(yīng)根據(jù)CCS安全功能的相關(guān)要求對無線控制系統(tǒng)進(jìn)行驗證如表1，驗證的常用方式包括計算分析、測試試驗、目視檢查，其中測試試驗主要包括型式試驗、驗收/常規(guī)試驗、功能試驗及集成試驗。不同的安全功能可能要求不同的驗證方式，其驗證結(jié)果需滿足前文的安全功能要求。

表1 機械電氣CCS的功能要求驗證方法

3 結(jié)語

CCS的安全水平作為保障機械工業(yè)設(shè)備安全生產(chǎn)的重要組成部分，對于提升我國機械裝備質(zhì)量安全水平，保障相關(guān)從業(yè)人員的人身安全有著重要意義。本文通過對機械電氣設(shè)備的無線控制系統(tǒng)的安全功能與驗證方法展開分析研究，針對CCS的停止功能要求、遠(yuǎn)程站與基站數(shù)據(jù)傳輸要求、多遠(yuǎn)程站與多基站功能要求等方面詳細(xì)闡述了 CCS的安全功能和接口要求，并對其各項安全功能的要求提出了相關(guān)的驗證方式，對CCS的設(shè)計制造起到了建議和指導(dǎo)作用。