机械安全控制系统－金锄头文库

资源描述

《机械安全控制系统》由会员分享，可在线阅读，更多相关《机械安全控制系统（32页珍藏版）》请在金锄头文库上搜索。

1、书书书第章机械安全控制系统机械安全控制系统的技术规范与设计用于机械控制的安全相关部件四种风险因素采用风险评估，可以通过以下四种风险因素对风险进行判定：）潜在性损伤的严重性；）人员出现（暴露）在危险区域的频繁程度（频率）；）危险性事件发生的概率；）避免损伤或实现伤害最小化的可能性。这些风险因素构成了用于实现安全相关控制功能的输入参数：采用这些输入参数，可以将风险分摊给安全相关控制的相关要求。因此，提供了一个程序，用于这些风险因素的评估和安全性能的分级（见图）。图与被识别危险有关的风险确定必要的安全性能（安全完整性）如果风险评估判定控制器失灵，或保护装置

2、的故障可能导致超过容许程度的严重风险，则必须将该风险概率降低至剩余风险可以被接受的程度。换句话说，即该控制器必须达到足够的 “ 安全性能” 。提供了一个程序，该程序采用了一种对风险进行分级的方法，也就是说对于风险进行了概率的、量化的分析，从而对于安全性能实现了层次化的分级。这个风险分析的结果即是相关安全功能的安全完整性等级（）。包含有一个类似的、对安全性能进行量化和层次化分析的过程。该标准中所规定的不同的性能等级（），可以通过指定的故障概率与中的关联起来。通过采用和标准，机器制造商可以保持与新机械指令所规定的内容的一致性，从而也就具备了出口能力和承担了相关的责任。这些标

3、准既引入了定量，也引入了定性方面的考虑因素。通过采用合适的安全功能，并引入用于降低风险的保护措施，均源自风险评估的程序。此后，采用硬件组件和软件组件（如果适用的话），对安全功能的解决方案进行检查和评估，直至已经达到风险评估所要求的安全完整性为止。注：对于将要设计制造的机器设备，如果符合一个已有的类标准，则优先考虑该标准中描述的保护措施。然而，为了保证其技术要求不落后于当前最先进的技术发展水平，仍然必须进行上述检查过程。风险图（参考标准：）目的：采用风险因素计算所需要的性能等级，即危险性系统故障的概率（见图）。图根据制作的风险图，用于确定所要求的性能等级为了确定必要

4、的性能等级，使用了参数（损伤的严重程度）、（暴露在危险区域中的频率和（或）持续时间）和（避免危险或实现伤害最小化的可能性）。对于损伤的严重程度，通常分为可逆性的（例如，挤压创伤或轻伤，通常是可以恢复的）和不可逆性的（例如，截肢、死亡，通常是不可以恢复的）。对于暴露（出现）在危险区域中的频繁程度（频率）和持续时间，通常没有一个严格意义上的时间限度。如果人员暴露在危险区域的频率超过每小时一次（例如，需要去安放和固定需要加工的工件），则必须选择（连续不断且频繁地暴露（出现）在危险中）。该参数的选择与是否是同一个操作人员暴露（出现）在危险区域

5、中无关。如果这一类操作只是偶尔才需要执行，则可以选择（很少地或者不经常性地暴露（出现）在危险区域中）。对于避免危险或实现伤害最小化的可能性，存在很多不同的影响因素。此时，必须考虑操作人员接受培训后的结果、知识水平，以及规避风险的措施是否可以确保提高风险避免的概率，或者操作是否始终是在监管下进行的。只有确实可以避免事故或者可以明显减小损伤水平的情况下，才必须选择参数（特定条件下可以）。性能等级（）是安全性能的一种定量的方法，如同和中的安全第章机械安全控制系统完整性等级（）。用于实现控制器的安全性能（参考标准：）标准附录用表格的形式描述了这个程序。这些

6、表格可以直接用于风险评估数据和的分配结果。对于各个风险参数，采用表头中给出的分值为其选择相关权重。全部参数的加权值的和构成了损伤概率。暴露频率和持续时间采用参数 “ ”表示。不同的运行模式（自动模式、维护模式等）要求操作人员进入危险区的必要性，可能是不同的。操作类型（设置刀具、供料等）也至关重要。从相关表格中选择适用频度和持续时间。如果暴露时间小于，则其值可以参考下一级的规定分值。然而，小于等于时，频度值不得做减小处理。危险事件的发生概率采用参数 “ ”表示。该参数的评估必须独立于其他参数。此时，也必须考虑操作人员的行为（即约束条件，例如因时间限制承受的精神压力、并未意识到

7、危险等）。对于正常生产条件下的最坏情况，该概率为 “ 极高” 。采用较低分值时，必须对具体原因进行解释（例如操作人员的能力极好）。避免伤害或伤害受限的概率采用参数 “ ”表示。此时，必须考虑机器的因素（例如将机器从危险区域移走的可性能）和危险能否检出的因素（例如因周围噪声过高无法检测出危险）。根据该表格进行分级（不可能、可能、很可能）。借助该概率类别以及被考虑危险可能导致的损伤严重性，可以从该表查出相关安全功能必须具备的等级。其目的是根据风险因素，确定系统必须具备的安全完整性等级（见图）。图确定所需要的机械安全技术及应用安全要求的技术说明对于已经标识为与

8、安全相关的控制功能，或者需要采用控制器实现的防护措施，必须在安全要求技术说明中定义这些 “ 安全功能”（“ 安全相关控制功能” ）准确的要求。该技术说明包含了对各个安全相关功能的描述信息：）功能性，即所需的全部输入信息以及它们的逻辑组合、相关输出状态或动作，以及使用频度；）必要响应时间；）所要求的安全性能。安全要求技术说明包含控制器的设计和实现所需要的全部信息。它是机器设计人员和控制器制造商集成商之间的接口性文件，因此安全要求的技术说明也可以用来界定各方的责任。设计和实现符合标准的（安全型）控制器原理理论（）安全相关控制系统的结构化原理正确的设计，是控制器按照预定目标正常

9、运行必不可少的前提。为了实现这一目标，定义了一个系统性的、自上而下的设计流程：安全相关电气控制系统（）包括负责信息采集（检测装置，如急停按钮、安全门锁、安全光幕）、信息评估（评估单元，如安全继电器、安全）直至动作执行（执行装置，如带有强制断开结构的接触器）等的全部组件。为了简洁地、系统性地描述符合标准的安全相关电气控制系统（）的设计、安全评估和实现等流程，标准采用了一种基于以下结构元素的结构化设计原理（见图）。图系统结构的结构化元素对于计划中需要设计和制造的一台机器，我们首先可以将其划分为 “ 虚拟” （即功能）视图和 “ 真实”（即系统）视图。从功

10、能视图的角度，只考虑需要实现的功能因素（如工艺过程），例如需要采集（监测）的信息、信息之间的组合（逻辑关系），以及需要产生的动作等，而不需要考虑实现这些功能的硬件和软件是如何实现的，也就是说，对于信息收集是否要求使用冗余结构的传感器、如果需要根据逻辑结果控制多个执行器，在这里不需要进行第章机械安全控制系统描述。对于所考虑的安全相关电气控制系统（），只是从 “ 真实视图”的角度才考虑如何实现相关的安全功能的问题。此后，必须对需要实现的目标各个安全性能要求，采用一个还是两个传感器完成特定信息的采集等问题作出决定。本章节将对相关术语进行定义。（）用于功能结构化（功能视

11、图）的术语）功能块：安全相关控制功能（）的最小结构单元。这类单元出现故障时将会导致安全相关控制系统出现故障。说明：）在中，（）被看作功能块（）之间的逻辑 “ 与” （）运算，例如，；）标准和其他标准对功能块的定义与此处的定义不同。）功能块元素：某个功能块的组成部分。（）用于真实系统结构化（系统视图）的术语）安全相关电气控制系统（）：机器的电气控制系统出现故障时，将会导致风险直接上升。说明：）安全相关电气控制系统（）包含了电气控制系统的全部零部件；）这些零部件的故障将导致安全功能的性能下降，甚至完全丧失安全功能；）安全相关电气控制系统（）既

12、包括电源供电回路，也包括电气控制回路。）子系统：是安全相关电气控制系统（）体系结构设计中的顶层的组成部分。任何一个子系统出现故障，均会导致安全相关控制系统出现故障。说明：这里的 “ 子系统”与可以指称任意下层单元的通用 “ 子系统”不同。在标准中，术语 “ 子系统”是用于一种严格定义的层级术语中。“ 子系统”意即顶层的细分。某个子系统进一步细分后所形成的各个部分被称为 “ 子系统元素” 。）子系统元素：是某个子系统的组成部分，包括单个组件或者一组组件。采用这些结构化元素，可以按照清晰的流程组织各个控制功能，将所定义的功能部分分配给特定的硬件组件以及子系统。其结果是，可以清晰地定义各个

13、子系统的要求，从而在各个子系统的设计与实现的过程中，就相互关系而言，是彼此独立的。对子系统进行结构设计可以获得整个控制系统的实现结构。其过程类似于对功能内部的功能块进行的逻辑设计。安全相关控制系统（）的设计流程（）设计流程获得安全要求技术说明后，即可设计、实现所要求的控制系统。通常，市面上无法直接购买到能够满足特定应用的专用的控制系统，取而代之的是，必须针对目标机器的具体情况进行二次开发，采用可用设备设计并制造这类控制系统。本设计流程采用循序渐进的设计方法。第一步是为各个安全功能寻找合适的安全控制系统结构。接下来，对所设计的目标机器的所有安全功能的结构进行集成，即构成一个安全控制系统

14、（见图）。机械安全技术及应用图安全相关控制系统的设计过程（）安全功能的结构化结构化设计的基本原理涉及将各个控制功能细分到相应的功能块。细分的目的是确保这些功能块可以分配给具体的子系统（见图）。各个功能块的选择必须确保特定子系统可以完整地实现相应的安全功能。必须注意，每一个功能块都代表着为了正确地实现所有安全功能而必须正确地实现的逻辑单元。（）符合标准的子系统的安全性能根据标准的规定，“ 安全完整性”必须满足以下三个基本要求。这三个要求根据进行了如下分级：第章机械安全控制系统图将安全功能分配给功能块以及将功能块分配给子系统）系统完整性；）结构约束（即容错能

15、力）；）安全功能的危险的随机失效概率（）。系统对整个功能要求的系统完整性）以及结构约束）既适用于单个子系统，也同样适用于整个系统。也就是说，如果各个子系统满足了某个特定所要求的系统完整性和结构约束，则整个控制系统也满足这些要求。但是，如果某个子系统只能满足某个较低的相关要求，则会限制整个控制系统可以达到的安全等级。因此，我们将其称为子系统的“ 要求限制（） ” 。系统完整性：结构约束：对危险的随机失效概率）进行的限制，适用于整个功能。也就是说，全部子系统作为一个整体考虑，不得超过这个概率。此时，有安全功能系统设计（）结构设计针对特定安全功能控制系统的结构，其逻

16、辑结构与此前确定的安全功能的结构相一致。为了定义实际的系统结构，安全功能的功能块被分配给特定的子系统。此后，需要完成这些子系统的互联。还需依据功能结构指定的连接方式，通过互联来建立连接。物理互联需要考虑所选技术的特性，例如通过单线连接（点对点）或者总线连接进行。对于机器或工厂的其他安全功能，也采用该程序进行同样的处理。但是进行这样操作的同时，与其他安全功能相应的功能块也可以分配给相同的子系统（见图）。这样，就可采用相同的传感器为两个不同功能采集相同的信息（例如，同一扇防护门的位置信息）。机械安全技术及应用图示例：安全功能的系统结构（）选择合适的装置（子系统）用来实现某

17、个安全功能的子系统必须具备必要的功能性，且必须符合标准的相关要求。基于微处理器的子系统必须达到标准规定的相关安全等级。各个子系统必须符合技术说明中所要求的安全参数（和）的规定。大多数情况下，这些装置必须配合其他故障检测措施（诊断）才能真正达到作为一个子系统被要求实现的安全性能。通过附加装置（例如，安全继电器）或者在逻辑处理期间通过相应的软件诊断块也可以完成这类故障检测任务。对于这类情况，设备描述中必须包含相应的信息。如果无法获得符合所述子系统要求的合适装置，则必须采用可用装置组装成该装置，也就是说，必须对现有可用的资源进行二次开发。这种情况要求一个后续设计的步骤。关于该设计

18、步骤，详细描述请参阅 “ 子系统的设计和实现” 。实现安全相关控制系统实现安全相关控制系统时，必须确保该系统完全满足根据目标所确定的全部要求。其目的是有效地降低可能危害安全功能并导致其出现系统性故障和随机性故障的概率。请注意以下的因素：）硬件完整性，换句话说，也就是结构约束（容错能力））系统完整性，换句话说，也就是避免缺陷和控制缺陷时必须具备的要求）检测出缺陷时以及软件设计开发期间的处理方式（）硬件完整性对于目标安全等级的系统所要求的、足够的容错能力，每个子系统都必须具备。这取决于子系统中可以转换成某种安全状态的缺陷与子系统可能出现的全部缺陷之间的比。某个子系统中，诊断功能可以

19、及时检测出来的、潜在的危险缺陷可以被视为能够转换成某种安全状态的缺陷。通常在技术说明中指定等级，对容许的安全功能的故障概率进行限制。（）系统完整性第章机械安全控制系统如何避免系统性缺陷，以及如何控制系统中残留缺陷，适合采用并且必须采用以下措施：）避免系统性缺陷：）必须严格遵照安全规划完成系统的安装；）必须严格遵守制造商提供的设备技术规格；）电气安装过程必须严格符合标准（章节、和）的要求；）必须仔细检查设计的适用性，并完成相应的修正；）请使用计算机辅助设计工具，以便充分利用预先组态的、成熟的单元模块。）控制系统性缺陷：）采用电源切断准则；）采取相关措施，以便控制

20、（例如因电源中断而造成的）子系统的临时性故障或缺陷；）采用总线方式连接子系统时，必须符合标准对于数据通信（例如和）的要求；）必须对子系统的（布线）连接或接口进行缺陷检测，并且确保可以做出合适的响应。对于系统性处理工作，要求将接口和布线视作相关子系统的组件部分。详细描述，请参阅标准。（）检测出某个缺陷时的行为对于可能导致某个安全功能出现故障的子系统缺陷，必须及时检测出这类缺陷，且确保可以做出合适的响应，以避免危险的发生。对自动缺陷检测（诊断）功能的性能要求取决于所用装置的故障率，以及要求达到的安全等级（或者子系统必须具备）。检测出某个缺陷时，系统或子系统必

21、须采取的行为取决于相关子系统的容错性能。如果检测出的缺陷不会直接导致安全功能出现故障，也就是说，容错率，则无需立即进行缺陷响应；但随后出现缺陷的概率变得更大的情况除外（通常数小时或数天后再次出现缺陷）。如果检测出的缺陷将会直接导致安全功能出现故障，也就是说，容错率，则必须在出现危险时立即进行缺陷响应。（）达到的安全性能每个安全功能的技术说明都定义了该安全功能所要求的安全性能。安全相关控制系统必须满足该安全性能的要求。测定某个系统已经达到的安全性能时，必须考察每一个安全功能。也就是说，必须通过对各个被考察的安全功能所涉及的系统结构和子系统的安全参数来完成该项测定。（）根据标准的要

22、求进行设计安全相关系统可以达到的安全等级受限于子系统的 “ 适合性” 。系统的值将被限制为所用子系统的值的最小值（也就是说，链条整体的强度取决于其最薄弱的环节；或理解为 “ 木桶效应” ）。）系统完整性：）结构约束：机械安全技术及应用对于各个子系统之间的互联，必须满足同样的要求。因此，每一根连线都被视作相互连接的两个子系统各自的组成部件。采用总线连接时，发送和接收的硬件软件也是子系统的组成部件。除了基本适用性之外，还必须考虑每一个安全功能的危险故障的发生概率。该概率的数值就是相应安全功能涉及的各个子系统的故障概率的、简单的累加值：对于总线连接方式，上述概率的数值还得加上数

23、据传输可能出现错误的概率（）。对于某个具体的安全功能，采用上面的公式计算出来的数值必须小于等于根据相关所确定的值。安全功能危险故障概率的极限值见表。表安全功能危险故障概率的极限值安全完整性等级单位小时危险性故障概率（）全部安全功能的系统集成完成全部安全功能的结构设计之后，下一步是对这些具体功能的结构进行集成，以构建完整的安全相关控制系统。任何时候，只要出现多个安全功能采用同样的功能块，则可以采用公用子系统实现这些安全功能：）例如，仅需要采用一个模块化安全系统就可以实现全部安全功能的逻辑。）必须监测同一扇防护门的状态，以降低数量众多的不同类型的危险，也就是说，不同安全功能都

24、需要使用该状态信息，那么这扇防护门上只需要为这些不同的安全功能安装一个传感器（如安全门开关）。上述做法并不会影响已经为各个安全功能确定的安全完整性。唯一的例外是，确定机电装置（如易损耗的行程开关）的开关频率时，必须考虑上述做法是否影响安全完整性。实现子系统的设计除了可以直接选用市面上已有的子系统之外，另一种可选方案是，采用本身不能满足安全需求，但是组合使用后可以满足安全需求的装置组装成一个子系统。此时，与系统完整性和结构约束相关的安全功能的等级，强制要求实现的要求限制（）。对于各个子系统，在设计系统结构时，已经确定了危险的随机故障概率（）和最大值。无论是实现必要的容

25、错性能，还是启用故障检测（诊断），通常都要求实现冗余至少和要求如此。此外，采用两个装置组合成一个子系统时，也可能需要减小危险性故障的概率。关于子系统的设计和实现，准确的要求请参阅标准的章节和。以下章节仅提供一些概括性的描述。（）子系统的结构设计如果直接使用针对某个特定任务（子功能、“ 功能块” ）而提供的装置而无法达到必要的安全完整性（安全性能）时，就必须考虑设计专用的子系统结构。通常情况下，以下安全相关功能只有通过专用的结构措施才能够实现：第章机械安全控制系统）小故障概率；）容错、故障控制；）故障检测。特殊措施的必要性取决于所要求的安全性能（安全完整性

26、）。专用（子）功能、功能块（例如锁定防护门）被分配给子系统。这个功能块首先被细分给各个单元（功能块单元）；接下来这些单元被分配给具体的装置和子系统单元。同一个功能，通常可以分配给两个功能块单元（实际上，该功能被复制成两份）。采用单独的装置实现这些功能块单元后，该子系统将具备单故障容错性能（单冗余）。（）检测子系统中的故障（诊断）对于不具备容错性能的子系统，每出现一个故障都意味着失去一个功能。功能故障可能使机器进入危险状态，也可能使机器进入安全状态。这主要取决于故障的类型。使机器进入危险状态的故障非常危险，它们被称为 “ 危险故障” 。为避免危险的故障导致真正的

27、危险，可以通过诊断的方式检测出特定故障，并在危险出现前让机器进入安全状态。从而可以将通过诊断功能检测出来的危险故障转变成 “ 安全故障” 。但是，对于冗余子系统来说，通常第一个故障不会导致功能故障。只有后续的（或称之为 “ 累积的” ）故障才会导致功能丧失。因此，为了避免子系统出现故障，必须在第二个故障出现之前，检测出第一个故障。当然，故障检测功能必须与某个合适的系统响应相关联。最简单的方法是，直接关停机器，将机器转至不需要任何（故障）安全功能的安全状态。将故障检测（诊断）功能关联至合适的故障响应之后，两种情况下相关安全功能出现危险性故障的概率将更小。该概率的数值的下降程度，除了其

28、他因素之外，还取决于可以检测出来的危险性故障的数量。该指标采用诊断覆盖率（）进行衡量。某个子系统内的故障检测功能可以由相关子系统自己来完成，也可以由另一个装置（例如安全继电器）来完成。（）子系统的系统完整性设计和实现某个子系统时，必须采用相应措施来避免或者控制系统性故障，如下：）所采用的装置必须符合相关国际国内标准的要求；）必须严格遵守制造商给出的使用条件；）所采用的设计和材料必须能够适应所有的预期环境条件；）必须预先定义对环境影响的响应行为，以保证机器始终处于某种安全状态；）支持在线故障检测；）可以强制性地启动某个保护措施。标准中描述的设计需要，仅仅适用于低复杂程度的

29、电气子系统，也就是说，不适合带有微处理器的子系统。所要求的措施同样适用于所有的安全等级。（）子系统的故障概率（）可能出现的故障，根据它们是 “ 安全的”还是 “ 危险的”进行区分。子系统危险性故障的定义如下：危险性故障指安全相关电气控制系统（）、子系统或者子系统单元中出现的可能导致危险事件发生或者无法正常工作状态的故障。机械安全技术及应用注：此类状态是否出现可能取决于系统结构。在安全性更好的多通道系统中，可能导致全面性危险状态或者某个功能故障的危险性硬件故障的概率较小。这意味着，在某个冗余子系统（即容错能力为）中，对于某个通道中的某个故障，如果在没有第二个通道的情况，该故障

30、可能导致机器出现危险状态，则认为该故障是危险的。对于安全要求来说，危险性故障的概率非常的关键。尽管 “ 安全故障”会影响系统的可用性，但是它们不会导致危险事件。子系统的故障概率取决于构成该子系统、系统结构和诊断措施的装置的故障率。标准中给出了两种最常用结构的故障率的计算公式。（）带诊断功能的非容错型结构采用这种结构（见图）时，子系统的任何一个单元出现故障都会导致子系统故障，也就是说，单个故障就可能导致实际的安全功能出现故障。但是，这并不意味着一定会出现安全功能丧失这样的危险性。根据故障类型的不同，机器可能转至某种安全状态，也可能转至某个危险状态，也就是说，子系统的故障可能是 “ 安全

31、的”或 “ 危险的”故障。如果危险的失效概率（）大于技术说明中的给定值，则必须通过诊断措施检测出这些故障，并在危险出现前启动某个故障响应。这种方法可将危险故障转变成安全故障，从而降低危险的失效概率；据此，有可能达到技术说明中容许的故障概率。图带诊断功能的非容错型子系统的逻辑结构（）带简单容错功能和诊断功能的结构采用这种结构（见图）时，第一个故障暂时不会导致功能故障。但是，在第二个故障出现的概率大于技术说明中给出的限制值（也就是说，子系统出现故障）之前，必须检测出第一个故障。除了随机性的独立故障之外，冗余子系统出现共因故障的可能性也必须高度注意。同质化的冗余结构设计对这类故障的

32、预防将无能为力。因此，必须在设计阶段采取相应的系统性措施，以便将它们的概率降至足够低的水平。计算子系统故障概率时，必须考虑共因故障，因为无论怎样努力，并不能彻底根除这类故障。此时常常借助共因因子。共因因子可用来评估所采用措施的有效性。标准的附录给出了一个表，采用该表可以确定所达到的共因因子。采用这种结构后，任何一个子系统单元中的单一故障均不会导致安全相关控制功能出现故障。第章机械安全控制系统图带简单容错功能和诊断功能的子系统的逻辑结构（）子系统的结构约束根据子系统可能出现故障类型的不同，结构约束（即容错能力）要求达到某个最低程度的容错性能。对于某个特定，“ 安全”故障的占比越大

33、，所要求的容错性能越低。表中列出了相关极限的数值。此处的 “ 安全故障”也包括由诊断功能检测出来的潜在性危险故障。表子系统的结构约束安全故障的比例硬件容错（数量）不容许（关于例外，请参阅标准）说明：硬件容错指标为表示第个错误将会导致功能丧失。因此，对于例如某个的子系统，如果以上的故障会导致系统进入某种安全状态，则该子系统无需任何容错能力（）。绝大多数装置仅靠本身的设计性能无法达到这个数值。然而，采用诊断功能来检测故障并及时启动合适的响应，可以降低危险性故障的比例。某个子系统安全故障的分数值是使机器进入某种安全状态的故障占该子系统全部故障的加权百分比，其中加权系数为各

34、个故障的出现的概率。根据标准设计和实现某个控制器的安全相关部分（）目的安全相关（控制）系统必须正确无误地执行安全功能。即使出现故障，安全相关（控制）系统的行为方式必须确保机器或工厂处于（或者进入）某种安全状态。（）确定必要的安全性能（安全完整性）安全功能的要求，通过风险评估过程进行确定。参见章节 “ 用于机器控制的安全相关机械安全技术及应用部件。标准规定了必要的性能等级。参见章节 “ 用于机器控制的安全相关部件” 。（）控制器的安全相关部件的设计过程和相比，标准中的安全类别也涉及安全相关系统（的安全功能）及其子系统。根据标准的要求，设计和实现安全相关控制

35、系统时，同样的安全相关系统的结构设计原则也可以用作标准中所描述的相关部分。此时，以这种方式划分的各个子系统都必须达到安全功能所要求的性能等级。安全类别的相关要求同样适用于子系统彼此之间的连接。标准中，还将性能等级引入了设计阶段，将其作为与安全类别有关的故障概率的定量分析的指标。图中描述了用于设计控制器安全相关部件（）的迭代过程：（）根据标准进行设计结构设计围绕着所要求的性能等级进行。中的设计方案基于事先专门定义的控制器安全相关部件的结构。某个安全功能可能由一或多个安全相关控制器部件（）组成。此外，安全功能也可能是诸如用于启动某个过程的双手控制装置等的操作功能。典型的安全

36、功能通常由以下安全相关部件组成：）输入（）；）逻辑过程（）；）输出能量传输单元（）；）连接（，）（例如，电气连接、光学连接）。注：安全相关部件可能包含一或多个组件；每个组件可以包括一或多个单元。所连接的全部单元都包括在安全相关部件内。确定了控制器的安全功能之后，必须确定控制器的安全相关部件。此外，还必须评估它们在风险降低过程中的作用（）。（）性能等级对于标准，安全相关部件实现某个安全功能的能力可以通过性能等级的确定来描述。对于选择用来完成某个安全功能的每个和（或）组合都必须进行评估。确定的时，必须进行以下评估：）（平均危险

37、故障时间）；）（诊断覆盖率）；）（共因故障）；）结构；）安全功能在故障条件下的表现；）安全相关软件；第章机械安全控制系统图用于设计控制器安全相关部件的迭代过程机械安全技术及应用）系统性故障。（）各个通道的平均危险故障时间（）各个通道的值的定义有三个级别（见表）。对于每一个通道，必须单独地考虑该值（例如单个通道或者冗余系统中的每一个通道）。关于，可以确定年数的最大值是。（）诊断覆盖率（）诊断覆盖率的值定义为四个级别（见表）。评估诊断覆盖率时，大多数情况下，可以采用失效模式和后果分析（）程序或者类似程序。在这种情况下，必须考

38、虑所有的相关故障和（或）失效模式，而且，还必须参照目标性能等级（），检查用于完成相关安全功能的组合的值。标准附录给出了一种简单的评估方法。表平均危险故障时间（）低年年一般年年高年年表诊断覆盖率（）无低一般高类别的设计和实现（）类别为了实现类别，控制器的安全相关部件必须符合以下要求，此外，还必须根据这些要求完成这些部件的结构设计、选择和组合使用。）满足基本安全原则；）可以在预期的操作要求下持续地工作。这些要求包括组件的开关容量或操作频率；）必须可以抵抗需要加工的材料和环境条件（例如油、清洁剂、盐雾等）产生的影响作用；）必须可以抵

39、抗其他相关外部因素（包括机械震动、电磁干扰、供电中断或电源故障等）的影响作用。对于类别的系统，各个通道的平均危险故障时间（）可以是从低至高。这类系统没有诊断覆盖率的要求（平均诊断覆盖率无）。其结构通常是单通道的，由于与无关，该安全类别不考虑。类别的系统可以达到的最高性能等级为。单通道设计意味着单个故障即可导致安全功能的丧失。上述类别的结构的示例：）：传感器（例如，行程开关）；）：逻辑单元（例如，安全继电器）；）：执行器（例如，接触器）。结构特点：单通道设计（见图）。图类别的结构示例第章机械安全控制系统（）类别为了实现类

40、别，必须满足类别的全部要求。此外还必须满足以下要求：控制器的安全相关部件必须采用经过现场验证的组件，此外还必须严格遵守经过现场验证的安全原则（见）。在类别的系统中，各个通道的必须为高。其可以实现的最高性能等级为。上述类别的结构的示例：）：传感器（例如行程开关）；）：逻辑单元（例如安全继电器）；）：执行器（例如接触器）。结构特点：）单通道设计（见）；）采用经过现场验证的组件。图类别的结构示例（）类别为了实现类别，必须满足类别的全部要求；必须严格遵守经过现场验证的安全原则；此外还必须满足以下要求：类别系统的控制器的安全相关

41、部件，必须通过机器的控制器在合适的间隔时间进行测试。对于安全功能的测试，机器的控制器必须在以下条件下完成：）机器起动期间；）各种危险状态出现之前，例如新的机器循环开始时，或者其他动作开始，等。测试结果：）检测到某个故障时，必须产生合适的故障响应；）检测到某个故障时，运行必须被禁止。无论什么情况下，故障响应都必须使机器进入某种安全状态。故障排除之后，机器才可以继续正常运行。若无法进入安全状态（例如触头出现粘接），则必须给出危险警告信息。对于类别的系统，各个通道的为从低至高，具体视所要求的而定。控制系统的安全相关部件的诊断覆盖率必须达到从低至平均水平。与些同时，还必须采取相应的

42、措施（见标准附录）。此外，测试本身不得导致任何其他危险。测试设备可以是控制系统的某个安全相关部件，也可以是单独实现测试功能的设备。类别的系统可以达到的最高性能等级为。机械安全技术及应用注：类别的系统是单通道被测系统，标准中的简单流程对其进行了定义：出现危险性故障的情况下，只有在下一个安全功能要求出现之前进行故障检测测试，才能获得有效的（或者说，有意义的）故障检测结果。因此，要求的测试速度必须比安全功能的要求速度快倍。上述类别的结构示例：）：传感器（例如行程开关）；）：逻辑单元（例如安全继电器）；）：执行器（例如接触器）；）：测试设备结

43、构特点：）单通道结构设计（见图）；）采用测试设备进行监控。图类别的结构示例（）类别为了实现类别，必须满足类别的全部要求；必须严格遵守经过现场验证的安全原则；此外还必须满足以下要求：类别的控制系统的安全相关部件所采用的设计必须可以确保单一故障不会导致安全功能的丧失。无论在什么情况下，必须在下一个安全功能要求执行时（或之前）完成单一故障的检测。对于类别的系统，各个冗余通道的为从低至高，具体视所要求的而定。控制系统的安全相关部件的诊断覆盖率必须达到从低至平均水平。与些同时，还必须采取相应的措施（见标准附录）。上述类别的结构的示例：）和：传感器

44、和（例如两个带有强制断开触头的行程开关）；）和：逻辑单元和（例如已经集成了两个微处理器的某种型号的安全继电第章机械安全控制系统器）；）和：执行器和（例如两个带有强制断开触头的接触器）。结构特点：）采用冗余结构设计（见图）；）传感器监控（同步输入监控）；）使能回路（即安全输出回路）监控（监控和反馈回路的比较）。图类别的结构示例（）类别为了实现类别，必须满足类别的全部要求；必须严格遵守经过现场验证的安全原则；此外还必须满足以下要求：类别的控制系统的安全相关部件所采用的设计必须可以确保单一故障不会导致安全功能的丧失。必须

45、在下一个安全功能要求执行时（或之前）完成单一故障的检测。如果无法检测某种故障，则这类故障的累积不得导致安全功能的丧失。在类别的系统中，各个冗余通道的必须为高。控制系统的安全相关部件的诊断覆盖率必须为高。与些同时，还必须采取相应的措施（见标准附录）。上述类别的结构示例：）和：传感器和（例如两个带有强制断开触头的行程开关）；）和：逻辑单元和（例如已经集成了两个微处理器的某种型号的安全继电器）；）和：执行器和（例如两个带有强制断开触头的接触器）。结构特点：）采用冗余结构设计（见图）；）传感器监控（同步输入监控）；）使

46、能回路（即安全输出回路）监控（监控和反馈回路的比较）；）所有子系统都具备高诊断覆盖率。机械安全技术及应用图类别的结构示例安全控制系统简介安全控制系统何谓 “ 安全” ？“ 安全”的话题，从广义的角度来说，可能涉及社会系统工程（，）的范畴，可以涵盖任何社会主体的所有的安全领域，诸如：经济安全（物质文明）、文化安全（精神文明）、政治安全（政治文明，包括军事）、环境安全（生态文明）、人本安全（人本文明）等。其中，安全控制系统工程是世纪年代迅速发展起来的一门新兴工程学科，它是以系统工程的方法研究、解决生产过程中安全问题的工程技术。安全控制系统

47、工程用来识别、分析和消除系统潜在的危险，使系统的风险减少到可接受水平。它在保证工业生产和产品安全方面显现了巨大的效果。在国外，安全控制系统工程得到了广泛的应用，成为工业生产中必须采用的安全技术。在国内，随着我国加入走向世界，安全控制系统工程的建设受到极大地重视，从安全控制系统工程的教育、研究到工程实践都得到长足的发展。作为从事安全技术或管理工作的安全工程师，必须具备安全控制系统工程的知识，掌握安全控制系统工程的分析方法。什么是安全呢？在我们的日常生活和工作中，处处可以见到安全。在游乐场、观光缆车、地铁屏蔽门、电梯等应用场合，我们都可以见到安全。而在工业生产领域，评估一台机器或设备的优劣，不单

48、单要看其功能有多强大，其安全性也是品评机器优劣的一大重要因素。由于 “ 安全”定义的只是一种状态，也就是说，是将风险通过适当的方式降低至可以接受的水平或程度。根据这个定义，安全主要涉及的是人、机器以及环境。我们再来说说 “ 安全控制系统”是怎么回事。安全控制系统是由与生产安全问题有关的相互联系、相互作用、相互制约的若干个因素结合成的、具有特定功能的有机整体。在工业企业里，人机系统、安全技术、职业卫生和安全管理构成了一个安全控制系统。它除了具有一般系统的特点外，还有自己的结构特点。第一，它是以人为中心的人机匹配、有反馈过程的系统：因此，在安全模式中要充分考虑人与机器的互相协调；第二，安全事故（

49、系统的不安全状态）的发生具有随机性：首先是事故的发生与否呈现出不确定性；其次是第章机械安全控制系统事故发生后将造成什么样的后果，事先不可能确切得知；第三，事故识别的模糊性：安全控制系统中存在一些无法进行定量描述的因素，因此对安全控制系统状态的描述无法达到明确的量化。安全控制系统的活动要根据以上这些特点来开展研究工作，寻求处理安全问题的有效方法。安全控制系统的目的则是将应用环境中的人员和机器风险降至一个可接受的水平。因此，首先要识别应用环境中的风险。为了对具体应用进行可靠评估，必须分析机器或设备的每一具体功能是否存在潜在的危险性。何谓 “ 安全功能” ？一个 “ 安全功能”描述的是机器设备

50、对某个特定事件的反应。例如，打开防护门时或者是紧急停止按钮被按下时，设备的运行状态是否发生改变？“ 安全功能”是由安全控制系统执行的。电气安全控制的方式用普通继电器或者可编程序逻辑控制器（）搭建的、具有自锁和互锁功能的双回路线路。这是最原始的安全控制方式，能达到较低的安全等级。其优点是成本低廉。但是对于较大的系统，采用大量的继电器连接、繁琐的配线带来了较高的故障率，诊断也困难。使用安全继电器搭建的安全回路，可以用于控制单一或数量较少的安全功能。主要适用于单机或简单的自动化生产线等小型的安全控制系统。其安全输出通常有继电器触头式输出或电子式输出。无论何种形式的输出结构，都能够保证至少两个通

51、道进行输出的控制。由于采用了冗余的设计结构，这样可以在一个输出通道出现故障的情况下，另外一个通道依然能够保证安全继电器的安全功能的实现，并且及时检测出故障通道。这种控制方式的成本适中。但如果安全的元器件太多，会导致线路设计会比较复杂，不适于大型生产线。使用安全可编程序逻辑控制器（），甚至安全总线系统，适用于大型、离散式的安全控制系统。其原理是在现有工业现场总线的基础上，采用了一系列的时间检测、地址检测、连接检测和冗余校验等措施，达到较高的安全等级。安全是上世纪末出现的产品，优点是可编程序性能强大，使用安全总线能实现较高要求的安全控制，但成本较高。使用可编程序的模块化安全控制系统进行

52、安全控制。模块化安全控制系统是近年推出的安全控制模块类产品，介于安全继电器和安全之间，即具有一定的可编程能力和可扩展性，同时价格却不是很高。模块化安全控制系统是一个多功能、可自由配置的模块化的安全控制模块。与其他普通安全继电器不同，可编程序安全继电器的安全电路可在个人计算机上使用图形配置工具轻松生成。通过接口可以直接向安全控制模块中写入程序。安全控制系统安全控制系统（见图）通常包括三个子系统：检测装置、评估单元和执行装置。（）检测装置）通常也可以统称为安全传感器，包括急停按钮、安全门锁、安全光栅、安全光幕、激光扫描器、拉绳开关、脚踏开关、安全地毯、双手操作控制装置、安全触边等；

53、）主要用于监测机器设备的实际状态，例如监测急停按钮是否被按下或安全地毯是否被踩踏等，并传递相应的信号；）输出的信号类型可以是继电器触点式（如急停按钮、安全门开关等），也可以是电子式（如安全光栅光幕、激光扫描器等）。机械安全技术及应用图安全控制系统示例（）评估单元）安全控制系统的 “ 核心”部分 “ 逻辑”子系统；）用于监测输入信号（安全传感器）的状态变化；）根据预先设计的逻辑关系，将逻辑结果输出给执行装置，并监测执行装置的正确运行；）根据故障检测，启动反应动作；）检测安全要求，启动安全反应（如设备起动回路的断开）；）如果有故障发生，具备防止设备重起的

54、功能；）符合标准的要求；）获得相关机构的安全认证，如、等。（）执行装置）执行装置的作用主要是为了隔离危险；）通常需要设计反馈回路，用于评估装置对执行装置的实际动作进行监控。安全控制模块安全控制模块的定义在标准机械安全机械电气设备第部分：通用技术条件的第章中，对于故障情况下的控制功能有了明确的定义，即 “ 一般要求电气设备中的故障或干扰会引起危险情况或损坏机械和加工件时，应采取适当措施以减少这些危险的可能性。所需的措施及其实现，无论单独或结合使用，均依赖于有关应用的风险评价等级” ，并且规定了在故障情况下降低风险的措施，包括：）采用成熟的电路技术和元件；）采用冗余

55、技术；）采用相异技术；）功能测试。因此，各个生产厂商提供的安全继电器产品尽管各具特色，但其符合的安全标准的要求第章机械安全控制系统是一致的。通常，安全控制模块根据不同的设计特点，适用的场合也是不同的。如图例中可以让我们对于安全控制模块的应用有一些基本的了解。通常产品的选型依据是与实际应用的安全功能的数量有关的。图安全控制模块的比较注：在实际应用中，采用何种安全控制模块，取决于应用场合的安全技术要求的复杂程度，也就是说与 “ 安全功能”数量的多少、逻辑复杂还是不复杂，以及 “ 安全功能”在现场的分布情况有关，而与达到的安全等级无关。换句话说，安全继电器、可编程序的模块化安全控制系统，以

56、及安全，最高可以达到的安全等级是一样的。安全继电器（）继电器的作用继电器是一种电子控制器件，它包括控制系统（又称输入回路）和被控制系统（又称输出回路），通常应用于自动控制电路中，它实际上是用较小的电流去控制较大电流的一种“ 自动开关” 。故在电路中起着自动调节、安全保护、转换电路等作用。继电器通常分为电磁继电器、干簧管继电器、固态继电器（半导体继电器）等。）电磁继电器的工作原理和特性电磁式继电器一般由铁心、线圈、动铁心（衔铁）、触点簧片等组成的。只要在线圈两端施加一定的电压，线圈中就会流过一定的电流，从而产生电磁效应，动铁心就会在电磁力吸引的作用下克服弹簧的拉力靠近

57、铁心，从而带动动铁心的动触头与静触头（常开触头，也称动合触头）吸合。当线圈断电后，电磁的磁性也随之消失，动铁心就会在弹簧的反作用力返回原来的位置，使动触头与原来的静触头（常闭触头，也称动断触头）吸合。这样的吸合、释放的动作，从而达到了电路的导通、切断的目的。对于继电器的 “ 常开、常闭”触头，可以这样来区分：继电器线圈未通电时处于断开状态的静触头，称为 “ 常开触头” ；处于接通状态的静触头称为 “ 常闭触头” 。）固态继电器（）的工作原理和特性机械安全技术及应用固态继电器是一种两个接线端为输入端，另两个接线端为输出端的四端器件，中间采用隔离器件实现输入输出的电隔离。（）安全继

58、电器的作用在有安全要求的机器设备中，普通的继电器或者可编程序逻辑控制器（）被广泛地用作控制模块，对机器设备进行监控，使机器设备按照预先的设计执行工艺动作，例如实现物料的加工、处理、包装、搬运等。从表面看来，这样的设备在一定条件下也能够保证安全性。但是，当普通的继电器或者可编程序逻辑控制器（）由于自身缺陷或外界原因导致功能失效时（如触头熔焊、电气短路、处理器紊乱等故障），就会丧失安全保护功能，从而引发事故。而对于安全控制模块，由于其采用冗余、多样的结构，加之以自我检测和监控、可靠电气元件、反馈回路等安全措施，保证在本身缺陷或外部故障的情况下，依然能够保证安全功能，并且可以及时地将故

59、障检测出来。从而在最大程度上保证了整个安全控制系统的正常运行，保护了人员和设备的安全。最典型的安全控制模块就是安全继电器。在图中显示了安全继电器最基本的一些技术特点。图安全继电器的内部结构示意图安全继电器通常是由数个继电器与电路组合而成，为的是要能互补彼此的异常缺陷，确保正确地动作，且尽可能降低误动作的概率。其失误和失效值愈低，安全性愈高，因此需要设计出多种安全继电器，来预防不同类型的机械设备可能出现的危险动作，以及保护暴露于不同危险之中的操作人员。（）安全继电器的工作原理下面就以常见的 “ 继电器”结构来说明安全继电器的工作原理。如图所示。我们来简单分析一下安全继电器是如何工作的？通

60、常，紧急停止按钮采用常闭触头结构，即未被触发时，通常处于抬起（导通）状态。如果此时按下复位按钮，具有延时断开功能的线圈得电，的主触头闭合，由此导致线圈、得电。松开复位按钮后，线圈延时失电并导致其主触头断开后，电路的自锁功能设计使得线圈、仍然保持得电状态，因此、主触头保持闭合状态。此时由于线圈已经失电，辅助触头处于闭合状态，由此安全继电器始终保持输出状态。随后操作人员可以对于机器设备进行正常的起动和停止的操作。第章机械安全控制系统图 “ 继电器”结构示意图一同理，如果是双通道的输入形式，则需要对电路结构做些调整。如图所示，此时的急停按钮的触头模块设计为两个常

61、闭触头。如果此时按下复位按钮，具有延时断开功能的线圈得电，的主触头闭合，由此导致线圈、得电。松开复位按钮后，线圈延时失电并导致其主触头断开后，电路的自锁功能设计使得线圈、仍然保持得电状态，因此、主触头保持闭合状态。此时由于线圈已经失电，辅助触头处于闭合状态，由此安全继电器始终保持输出状态。随后操作人员可以对于机器设备进行正常的起动和停止的操作。图 “ 继电器”结构示意图二（）西门子的安全继电器现在越来越的新技术应用在安全继电器产品中，比如微处理器技术等。西门子公司在年发布的，并且赢得了汉诺威国际设计论坛产品设计大奖的新型安全继电器就属于这类产品，如图所示

62、。机械安全技术及应用这款产品以更小的空间实现了更多功能体现了集成性，简洁的产品系列设计给客户的选图安全继电器型、系统设计带来了方便，同时继承了西门子继电器传统的模块化的特点，即降低了成本，又支撑了系统架构自由拼接的灵活性，可以说集中体现了西门子安全产品的优势。标准型系统的典型配置如图所示。增强型系统的典型配置如图所示。更多产品和技术的信息，详见：。图标准型系统的典型配置标准型基本装置输出扩展模块输出扩展模块图增强型系统的典型配置电源模块输入扩展模块增强型基本装置输出扩展模块输出扩展模块可编程序的模块化安全控制系统（）模块化安全控制系统的硬件架构通常用户在设

63、计和搭建安全控制回路的同时，需要考虑经济因素，即成本问题。那么提供一种成本相对低廉的、性价比较好的、简单的安全解决方案，在满足比较复杂的安全技术要求的同时，也能够符合的，以及的的要求，这样的问题摆在了安全产品生产厂商的面前。模块化安全控制系统应运而生。采用灵活的、模块化的方案，利用专用的工程组态软件，以及采用经过安全认证的专用功能块的要求将可以满足上述用户的安全要求。模块化安全控制系统除了必须配置用于安全组态的基本单元之外，通常还根据实际应用的需要，对于输入输出点进行扩展，这包括了安全的输入输出扩展，也包括了标准的输入输出扩展。此外，如果需要与上位机等设备进行通信，则需要配置接口

64、模块；如果需要操作人员在现场进行诊断，还需要考虑配置用于现场诊断的文本诊断器这样的装置（见图）。不同功能的模块之间，通常需要加装用于信号及电源供给的总线装置，如扁平电缆等。（）模块化安全控制系统的软件架构模块化安全控制系统通常需要与专用的工程组态软件配合使用。这类软件通过操作人员对于参数进行简单、快速地赋值，从而取代了繁琐的布线（见图）。工程组态软件一般是以图形化的编程语言为主。组态后的应用软件在下载到硬件系统的同时，完成编译工作。宏文件的使用，使得用户的组态工作更加的灵活和高效。它允许用户编译库文件中的自定义的功能块，并可以将其重复应用于其他项目中。第章机械安全控制系统图

65、模块化安全控制系统结构示意图文本诊断器接口模块基本单元扩展模块（包括安全的输入输出扩展模块和标准的输入输出扩展模块）存储模块图模块化安全控制系统软件组态机械安全技术及应用工程组态软件通常具备在线监控的功能。通过在线监控每个功能块的状态，为用户提供图功能块示例了一个可靠的诊断方法。（）模块化安全控制系统的功能块专用的工程组态软件通常会提供大量的已经过认证的专用功能块，如用于急停功能监控的 “ 急停功能块” ，用于安全光栅状态监控的 “ 监控功能块” ，用于操作模式转换监控的 “ 操作模式选择功能块”等。除了提供大量的专用于安全应用的功能块，通常这类组态软件还会提供很多用于

66、标准信号传递的功能块，如 “ 标准输出”功能块等（见图）。同时，工程组态软件还提供了大量的，诸如 “ 与” 、“ 或” 、“ 非” 、 “ 异或” 、 “ 计时” 、 “ 计数” 、“ 置位复位” 、“ 时钟”等大量的专用功能块，使得用户可以更加灵活地开发应用程序。安全控制系统与普通控制系统的差异安全控制系统与普通控制系统之间的差异，我们可以从下面四个方面进行说明：（）安全控制系统和普通控制系统属于两个完全不同的概念采用了普通的继电器或者可编程序逻辑控制器（）的电气控制回路主要是根据工作任务的目的（如需要对于物料进行加工、处理、包装和搬运等）而设计，完成机器预定的工艺动作。

67、电控回路通常分为主回路和控制回路。我们知道，在工业现场，机器在工作过程中（即在完成预定的工艺动作的同时），可能因为发生了意想不到的事件，从而对于人员健康、设备运行，甚至环境造成潜在的威胁，为了避免人员的二次伤害或者是避免事故影响的扩大化，需要在设计阶段，根据可能发生的危险事件预先考虑应急预案，以避免或减少危险的事件的发生。因此根据标准 “ 机械安全安全相关的控制部件第部分：设计通则” ，明确规定，安全控制回路是分不同等级的。也就是说，安全等级较低的控制回路仅是满足控制功能而设计，而只有较高等级的控制回路，或称之为安全控制回路，才可能满足较高的安全技术要求。（）控制系统用来保持设

68、备在各种外部条件下能够在正常的限定范围内运行为了实现自动控制的基本任务，必须对系统在控制过程中表现出来的行为提出要求。对控制系统的基本要求，通常是通过系统对特定输入信号的响应来满足。例如，假设有一个汽车的驱动系统，汽车的速度是其加速器位置的函数。通过控制加速器踏板的压力，可以保持所希望的速度（或可以达到所希望的速度变化）。这个汽车驱动系统（加速器、汽化器和发动机）便组成了一个控制系统。按照控制原理的不同，控制系统分为开环控制系统和闭环控制系统。狭义理解的控制系统，通常包括了三个基本的要素，即用于检测传感器信号的输入部分，用于逻辑运算的控制部分（逻辑单元），以及用于驱动执行机构动

69、作的输出部分。（）安全控制系统是为确保设备在出现故障时，仍处于安全状态的系统我们知道，“ 人的不安全行为”（如违章、违规操作）、“ 物的不安全状态” （如控制器第章机械安全控制系统件失效、机器误动作等）和 “ 环境因素”是导致事故发生的三个主要因素。当然，我们可以通过聘用合格的、有资质的员工，加强对于员工的培训，建立完善的、安全的生产流程来减少 “ 物的不安全状态” ，但我们如何来避免 “ 物的不安全状态”呢？从这个角度来考虑问题，那么我们必须提供一种高度可靠的安全保护手段，最大限度地避免机器的不安全状态、保护生产装置和人身安全，防止恶性事故的发生、减少损失。这种手段就是安全控制系统

70、。安全控制系统在开车、停车、出现工艺扰动以及正常维护操作期间对生产装置提供安全保护。一旦当机械装置本身出现危险，或由于人为原因而导致危险时，系统立即做出反应并输出正确信号，使装置安全停车，以阻止危险事件的发生或事故的扩散。所以，安全控制系统的作用是达到并保持安全功能的安全状态。（）普通控制系统的功能应服从于安全控制系统的要求我们从下面的示例中可以看到，控制对象是由安全输出和标准输出共同控制的（见图）。也就是说，标准输出的结果对于被控制的对象而言，只是一个环节；而另一个环节则是由安全控制系统的输出来控制的。所以，两个输出的 “ 与”逻辑结果，作用于控制对象。图安全控制系统与普通控制系

71、统的关系我们现在讨论的安全环节，就是安全控制系统。就控制系统的作用而言，安全控制系统无法独立存在，而必须依附于普通控制系统。也即是说，安全控制系统是由于普通控制系统在完成设计的工艺过程中，为了避免或者是减少危险的发生而设计的。但是这里有一点需要注意，即安全控制系统的优先级会高于普通控制系统。即出现危险情况时，安全控制系统首先在确保不失效的情况下，可靠而安全地切断安全控制回路，或者说，针对工业现场的机器设备，“ 停止运行”无疑是一种 “ 相对安全”的状态，但是 “ 停止运行”的状态并不一定适用于所有领域的所有机器设备。典型安全控制技术强制断开结构带有强制断开结构的继电器（）安全要求机械安

72、全技术及应用带有强制断开触头结构的继电器被应用于有安全要求的场合。这些继电器允许自监测系统的执行。一个带有强制断开触头结构的继电器包括至少一个常开（）触头和一个常闭图强制断开结构继电器的结构示意图（）触头，并且符合欧洲标准。：对于带有强制断开结构（机械连接）的触头，有明确规定：触头的断开和闭合在继电器整个工作期间一定不会同时进行。假使出现了故障，触头的间隙也必须至少保证。另外，绝缘值是主要的，可以达到较高的标准；带强制断开触头结构的继电器的污染程度为是被定义的。触头装配的弹簧和继电器内的其他操作部件也必须被确认没有短路或操作连接，否则会导致某些图强制断开结构

73、的电气符号部件频繁断开和闭合。（）强制断开结构的继电器的结构组成（见图）（）强制断开结构的电气符号（见图）（）非强制断开结构的继电器的工作状态的比较（见表）表非强制断开结构的继电器的工作状态的比较非强制断开结构的继电器强制断开结构的继电器说明线圈没有通电的情况下，两种结构的继电器没有表现出差别线圈通电后，两种结构的继电器没有表现出差别线圈失电后，两种结构的继电器表现出了不一样的结果，即强制断开结构的继电器的常开触头由于熔焊，处于导通的状态，在机械连杆的作用下，其常闭触头处于断开状态；而非强制断开结构的继电器出现了常开触头和常闭触头同时导通的情况。这在实际

74、应用中，是非常危险的注：断开；闭合。第章机械安全控制系统带有强制断开结构的行程开关（）行程开关的背景知识行程开关是一种常用的小电流主令电器。利用生产机械运动部件的碰撞使其触头动作来实现接通或分断控制电路，达到一定的控制目的。通常，这类开关被用来限制机械运动的位置或行程，使运动机械按一定位置或行程自动停止、反向运动、变速运动或自动往返运动等。在电气控制系统中，位置开关的作用是实现顺序控制、定位控制和位置状态的检测。用于控制机械设备的行程及限位保护。构造：由操作头、触头系统和外壳组成。在实际生产中，将行程开关安装在预先安排的位置，当装于生产机械运动部件上的模块撞击行程开关时，行程开关的

75、触头动作，实现电路的切换。因此，行程开关是一种根据运动部件的行程位置而切换电路的电器，它的作用原理与按钮类似。行程开关广泛用于各类机床和起重机械，用以控制其行程、进行终端限位保护。在电梯的控制电路中，还利用行程开关来控制开关轿门的速度，自动开关门的限位，轿厢的上、下限位保护。行程开关可以安装在相对静止的物体（如固定架、门框等，简称静物）上或者运动的物体（如行车、门等，简称动物）上。当动物接近静物时，开关的连杆驱动开关的触头引起闭合的触头分断或者断开的触头闭合。由开关触头开、合状态的改变去控制电路和机构的动作。（）安全要求如图所示，行程开关本体内的常闭触头随着操动头的动作（如从水

76、平位置转到垂直位置）而发生状态改变（如从闭合状态转为断开状态）。由于机械连杆的刚性连接，能够被强制断开，从而保证了回路的可靠切断，避免误动作。（）非强制断开模式非强制断开模式下，行程开关动作时，其常闭触头是依靠弹簧的释放从而使触头断开（见图）。图强制断开结构示意图图非强制断开结构示意图而当某些部件失效（如弹簧折断或丧失弹性）时，器件的常闭触头的状态并不会随着连杆的动作而变化。即可能出现危险性故障，如图所示，由此带来的后果是，机器将会继续运行。（）强制断开模式机械安全技术及应用强制断开模式下，行程开关动作时，其常闭触头是依靠机械连杆的移动，从而使触头断开（见图）

77、。图非强制断开结构示意图图强制断开结构示意图冗余单通道双通道冗余“ 冗余”是指对于同一功能，重复配置多个部件，当一个部件发生故障时，冗余配置的其他部件即介入，并承担故障部件的工作。由此可减少系统的故障时间。对于安全等级（）、（）和（）（）（某此情况下为）等应用，均需要系统冗余配置。最简单的冗余方式为双通道冗余。当一个回路故障时，也能确保安全保护功能。对于冗余系统配置，用于检测和反应的子系统也必须是双通道冗余配置。注：通常安全保护产品（符合安全等级（）、（）和（）（））的内部逻辑和输出回路均为冗余配置。单通道传感器连接（见图）双通道传感器连接（见图）图单通道传感器连接图双通道传感器连接强制断开触头第章机械安全控制系统

展开阅读全文