摘要:自动化设备的控制系统中除了能满足应用的智能控制以外安全控制至关重要,安全相关系统可以最大限度地防止这些高度集成和智能设备的不安全状态,防止恶性事故的发生或在事故发生后尽可能地减少损失,保护装置及最重要的人身安全。本文阐述了安全相关系统的背景,根据经验总结了一些关于自动化控制中安全相关系统的设计原则,以及安全特殊器件、安全回路、安全联锁机制、安全转矩关断功能等几种具体的设计方法。
关键词:安全相关系统 安全继电器模块 安全回路 安全联锁机制 安全转矩关断功能
Abstract:Automation equipment control system except can satisfy the application of intelligent control in the safety control is crucial, safety related system can maximize prevent unsafe state of these highly integrated and intelligent equipment, prevent vicious accidents or reducing losses as much as possible after the accident, personal safety protection device and the most important. This paper describes the background of safety related system, and summarizes some design principles of safety related system in automatic control, as well as several specific design methods such as safety special device, safety loop, safety interlock mechanism and safety torque turn-off function.
Keyword:Safety related system Safety relay module Safety circuit Safety interlocking mechanism Safety torque shutoff function
【中图分类号】TE687.1 【文献标识码】B 文章编号1606-5123(2019)11-0046-05
1 引言
近半个世纪以来,我国工业的飞速发展给人们带来巨大经济效益的同时,也伴随着越来越多的工控设备引起的火灾、爆炸、人身伤亡等安全事故。特别是高温、高压、易燃、易爆、有毒的行业。同时机械、工业装置等设备越来越集成化和自动化,在这些自动化设备的自动控制系统工作不正常情况下(电气、电子及可编程电子设备的失效)有可能产生诸如火灾、爆炸、辐射超剂量、机械卷入等危险事件,对人员和环境产生一定风险,轻者设备损坏,重者机毁人亡。
自动控制系统中这种电气、电子及可编程电子设备的失效既可能因为器件的物理故障(随机硬件失效),也可能因为系统性故障(在系统的设计和规范中人为错误在一些特别输入组合的情况下导致的系统性失效)或者因为某个环境条件而产生。为了确保装置和设备安全的自动运行,防止和/或控制电气、电子或者可编程电子设备的失效,能提供一个基于风险方法的整体框架的安全相关系统就显得非常有必要了。
2 功能安全IEC与GB标准
2.1 IEC-61508
2000 年5 月,国际电工委员会 (IEC)正式发布了IEC-61508标准,名为“电气/电子/可编程电子安全系统的功能安全”。该标准共计七个部分,涉及到1000多个规范。该标准针对起安全作用的电气/电子/可编程电子系统(E/E/PE)提出了一个基础、合理的技术方案,并建立一个相应的评价方法,综合考虑如传感器、通信系统、控制装置、执行器等元器件与安全系统组合的问题。
2.2 IEC-61511
2003年1月,在IEC-61508的基础上,IEC又发布了IEC-61511“过程工业部门仪表型安全系统的功能安全”。对过程工业领域中安全相关系统的设计、安装、调试、运行和维护等一系列的要求进行标准化,并对应用和安全整体级别的确定方面提供指导。
2.3 GB/T 20438
我国标准GB/T 20438就是与IEC-61508标准相对应的关于针对所有以电为基础的安全相关系统提出的通用方法。在自动化设备控制系统中安全相关系统的设计、安装、调试、运行和维护有着重要的指导意义。
3 安全相关系统的设计原则
由于自动化设备控制系统高度集成和自动,其安全相关系统的设计就显得至关重要。根据我关于电梯控制、自动化码头、智慧物流等系统的设计经验,总结了以下关于安全相关系统设计时应能满足相关标准以外还应充分考虑的设计原则。
3.1 独立设置原则
安全相关系统应独立于自动化控制的过程控制系统,以降低控制功能和安全功能同时失效的概率,使安全相关系统不依附于过程控制系统就能独立完成自动保护和联锁的安全功能。
设计时必须考虑配置相应的通讯接口,使得过程控制系统也能够监视安全相关系统的运行状态。
需要独立设置的部件包括检测元件、执行元件、逻辑运算器、安全控制器件,以及与过程控制系统之间或其他设备的通讯组件。
对于较为复杂装置的安全相关系统适合分解为若干子系统,各子系统相对独立且分别设置后备手动功能。
3.2 结构选用的原则
安全相关系统应采用容错系统。在一个或多个元件发生故障时,系统仍然具有继续运行的能力。对于以逻辑运算器为基础的容错系统来说,一般都会采用冗余结构,并可参考采用以下方法:
● 对于有相互关系的参数之间可以使用不同的测量方法(如压力和温度);
● 对于同一变量采用不同的测量技术(如涡街流量计和电磁流量计);
● 对于冗余结构的每一个通道采用不同类型的可编程电子系统;
● 对于冗余的通讯结构来说可以使用不同的地址。
3.3 技术选用的原则
安全相关系统可以采用电气、电子或可编程技术,也可以采用电气、电子和可编程技术混合的方案。
在高负荷周期性的频繁改变状态时,作为定时器或锁定功能使用和复杂的逻辑应用场合时均不可以使用继电器。这时候可以考虑选用固态继电器,但也需恰当处理好故障安全模式。
另外要注意的是对于安全相关系统一般不推荐使用固态逻辑,即将内部逻辑元件(与、或、非等)用直接连线的方式来获得逻辑功能,而一般这些功能在故障安全方面是受限制的。
3.4 故障安全原则
安全相关系统必须是故障安全型的。所谓故障安全是指检测元件和最终执行元件在系统正常时应该是励磁的,即得电状态;在系统故障时应是非励磁的。这也称之为非励磁停车设计。
3.5 中间环节最少原则
自动化控制系统作为一个高效的系统,安全相关设计的中间环节越少越好,尽可能地采用最直接的测量和最可靠的执行方式,避免繁琐复杂和不必要的设计以及过多的电-气、气-电转换环节,另外在运行时也要考虑对人员干预和选择环节的需求是最少的或者没有。
针对上面描述的安全相关系统的设计原则,以下就关于自动化控制系统中具体的安全相关系统设计的几种方法做详细分析。
4 安全特殊器件
随着恶劣工作环境下的人工成本的增加,自动化程度较高设备在这类场合的应用最为广泛,控制系统的安全也最为重要。在这种多粉尘、含有易燃易爆气体环境下的控制系统设计时必须使用特殊器件。这些器件能直接在不安全环境下运行或者将不安全环境下的信号处理后进入自动化设备的控制系统。
4.1 防爆电气设备
市场上的防爆仪器仪表、防爆开关、防爆启动器等防爆电气设备是不会引起周围爆炸性混合物爆炸的电气设备,算是比较特殊的安全设备了。防爆电气设备是用隔离的方式来从控制易爆源、控制爆炸范围、控制引爆源来实现安全控制的。这种防爆电气设备能直接安装在不安全环境下运行,我们在相关系统设计时可参照国家标准GB3836-2000体系环境来选择这些防爆电气设备。GB3836-2000标准体系把防爆电气设备分为以下类型:
(1)隔爆型a:隔爆外壳既能承受内部爆炸混合物的爆炸压力,也能阻止内部的爆炸向外壳周围爆炸性混合物传播。
(2)增安型b:在其结构上采取措施,提高安全程度,以避免在正常或规定的过载条件下出现电弧、火花或可能点燃爆炸性混合物的高温。
(3)本质型c:在规定条件下,在正常工作或规定的故障状态下,产生的电火花和热效应均不能点燃爆炸性混合物的电路
(4)正压型d:向外壳内通入保护性气体,保持内部保护性气体的压力高于周围爆炸性环境的压力,以阻止外部爆炸性混合物进入壳内的外壳。
(5)充油型e:将全部部件、可能产生电火花或过热的部分部件浸在油内,使其不能点燃油面以上或壳外的爆炸性混合物。
(6)充砂型f:外壳内部充填砂粒材料,使其在规定条件下外壳内产生的电弧、传播的火焰、壳壁或砂粒材料表面的过热温度均不能引燃该型设备周围的爆炸性混合物。
(7)无火花型g:使设备在正常运行时不产生具有点燃作用的电弧、火花或危险温度,并且在一般情况下也不会发生具有点燃作用的电气或机械故障。
(8)浇封型h:将整台设备或其中部分即可能产生点燃爆炸性混合物的电弧、火花或高温部分浇封在浇封剂中,在正常运行和认可的过载或认可的故障下不能点燃周围的爆炸性混合物
(9)气密型i:该外壳用熔化、挤压或胶粘的方法进行密封,防止壳外的气体进入壳内,使之与引燃源隔开。
(10)特殊型j:采取在结构上不属于上述基本防爆类型或上述基本防爆型的组合的其他特殊措施,具有防止引燃爆炸性气体混合物能力。
(11)粉尘防爆k:外壳能阻止可燃粉尘进入或进入量不会妨碍设备安全运行,内部堆积的粉尘也不易产生点燃危险,从而保证使用时不会引起周围爆炸性混合物爆炸。
4.2 信号安全栅
信号安全栅就是接在安全区电路和非安全区电路之间的电器件,通过信号安全栅能将安全区电路和非安全区电路之间进行电信号传输。信号安全栅是将安全电路的电压或电流限制在一定的安全范围内从而实现安全控制目的。信号安全栅分齐纳式安全栅和隔离式安全栅。
(1)齐纳式安全栅:
图1 齐纳式安全栅拓扑图
如图1所示,齐纳式安全栅电路中采用快速熔断器F、限流电阻R和限压二极管D以对输入的电能量进行限制,从而保证输出到危险区的能量。齐纳安全栅它的原理简单、电路实现容易、价格低廉,但因由于其自身原理的缺陷使其应用中的可靠性受到很大影响,并限制了其应用范围,其原因如下:
● 安装位置必须有非常可靠的接地系统,并且该齐纳式安全栅的接地电阻必须小于1Ω。
● 齐纳式安全栅对电源影响较大,同时也易因电源的波动而造成齐纳式安全栅的损坏。
● 由于齐纳式安全栅的电路原理需要吸收输入回路的能量,所以易造成输出不稳定。
● 要求来自危险区的现场仪表必须是隔离型,否则通过齐纳式安全栅的接地端子与大地相接后信号无法正确传送,并且由于信号接地,直接降低信号抗干扰能力,影响系统稳定性。
(2)隔离式安全栅:
图2 隔离式安全栅拓扑图
如图2所示拓扑图中,隔离式安全栅采用了将输入、输出以及电源三方之间相互电气隔离的电路结构,与齐纳安全栅相比,隔离式安全栅除具有限压与限流的作用之外,还带有电流隔离的功能。隔离栅通常由回路限能单元、电流隔离单元和信号处理单元三部分组成。回路限能单元为安全栅的核心部分。此外,辅助有用于驱动现场仪表的回路供电电路和用于仪表信号采集的检测电路。信号处理单元则根据安全栅的功能要求进行信号处理。对隔离式安全栅使用有以下特点:
● 由于采用了三方隔离方式,因此无需系统接地线路,给设计及现场施工带来极大方便。
● 由于信号线路无需共地,使得检测和控制回路信号的稳定性和抗干扰能力大大增强,从而提高了整个系统的可靠性。
● 具备更强的输入信号处理能力,能够接受并处理热电偶、热电阻、频率等信号。
● 可输出两路相互隔离的信号,以提供给使用同一信号源的两台设备使用,并保证两设备信号不互相干扰,同时提高所连接设备相互之间的电气安全绝缘性能。
● 对危险区的仪表要求大幅度降低,现场无需采用隔离式的仪表。
4.3 信号隔离器
信号隔离器是将传感器或仪表信号通过半导体调制变换后通过光感或磁感器件进行隔离转换,然后再进行解调变换回隔离前原信号,同时对隔离后信号的供电电源进行隔离处理。信号隔离器就是通过保证隔离后的信号、电源、地之间绝对独立,非安全区和安全区不能互相影响和干扰,从而实现安全控制的目的。
信号隔离器实际上是将信号进行了电-光、光-电或者电-磁、磁-电的转换处理。这种方式不仅能保护下级控制电路,还能削弱环境噪声对检测电路的影响,抑制公共接地、变频器、电磁阀及不明脉冲对设备的干扰,同时还有对下级设备限压、额流的功能。
在设计控制系统时要考虑信号隔离器安全区和非安全区接线完全隔离,信号隔离器不能直接在危险环境中安装。在变送器、仪表、变频器、电磁阀、PLC和DSC等输入输出通讯电路设计时可使用信号隔离器。
4.4 安全继电器模块
将安全继电器和其他组件组合配套,把基本的紧急停止电路、安全电路组成电路模块的产品称为安全继电器模块。可以看出来安全继电器模块是由数个安全继电器与电路组合而成,“安全继电器”并不是“没有故障的继电器”,而是发生故障时做出有规则的动作,它具有强制导向接点结构,万一发生接点熔结现象时也能确保安全。安全继电器模块能互补一般继电器彼此的异常缺陷,达到正确且低误动作的继电器完整功能,使其失误和失效值愈低,安全因素则愈高。
同时安全继电器模块是基于双路冗余思想设计的一个功能器件,通过安全模块搭建一个安全回路。简单地说,安全继电器模块都是双通道信号型,只有两个通道信号都正常时,安全继电器模块才能正常工作;在工作过程中,只要其中任一通道信号断开,安全继电器模块都会停止输出,直到两个通道信号都正常且复位后才能正常工作。
安全继电器模块是接受安全输入,通过内部回路的判断,确定性的输出开关信号到设备的控制回路里。安全继电器模块使用环境如下:
● 在紧急停止解除时,设备不允许出现突然再启动;
● 设备安全电路发生故障时,需要停止设备动力电源;
● 设备安全电路发生故障时,机器不允许再启动。
由此,在安全相关系统设计时安全继电器模块具体应用场合包含以下部分:
● 电磁门锁开关的应用,确保作业区的安全;
● 钥匙配合安全门开关,作为检测门开闭之用;
● 安全门限开关,检测门的位置,开或者关的应用;
● 安全光幕,防止工作人员进入危险工作范围;
● 安全垫开关,确认工作人员可以安全进入危险工作区域;
● 紧急停止按钮,紧急情况下,停止机器运转。
安全继电器模块需要和安全回路配合使用,安全继电器模块在不同应用行业以及不同的场景应用中接线模式不同,具体可参见相关行业标准以及制造商提供的产品技术规格书。
5 安全回路
将安装在自动化设备各安全关键部件上的安全开关信号串联起来,控制一只安全继电器(模块),这个回路就是安全回路。安全回路中只有在所有安全开关都在接通的情况下,安全继电器(模块)吸合,设备才能得电运行。
最早安全回路应用在电梯控制系统中,后来在自动化码头、智慧物流等高度自动化的控制系统中也有推广应用。安全回路中一般有多个安全开关,常见的电梯控制系统中安全回路使用的安全开关有如下(按照安装部位分类):
机房:控制屏急停开关、相序继电器、热继电器、限速器开关;
井道:上极限开关、下极限开关;
地坑:断绳保护开关、地坑检修箱急停开关、缓冲器开关;
轿内:操纵箱急停开关;
轿顶:安全窗开关、安全钳开关、轿顶检修箱急停开关。
6 安全联锁机制
在同一设备的控制系统中增加一套传感器信号检测装置,两套检测装置分别检测和处理信号,最后将信号形成安全联锁控制运动机构,该联锁机制可有效降低传感器失效造成不良后果,因此实现安全控制目的。
比如增加一套液位检测传感器信号和原来一套液位检测传感器信号进行联锁处理,可对长期处于有毒有害液体等恶劣环境下降低传感器失效带来的损失。
不仅如此,将“安全回路”中安全开关分一路信号进入可编程控制器,程序中将这些来自不同安全部件上的信号串联起来构成“软安全回路”,软安全回路信号和硬件信号串联的硬安全回路信号形成联锁处理,可降低安全开关一旦失效造成的不良后果。
6.1 转矩关断功能
电机在整个自动化设备中是直接驱动运动机构的动力设备,而变频器(伺服控制器)就成为最佳的电机控制设备了,变频器(伺服控制器)驱动电机运行中安全和可靠尤为重要,这种安全和可靠表现在两个方面:在紧急情况下能迅速制动和当不满足安全条件时不能启动。
变频器(伺服控制器)的这种“安全停止”功能(SAFE TORQUE OFF安全转矩关断,缩写为STO)是组成安全系统的一部分。在重要的驱动机构中可使用变频器(伺服控制器)的“安全转矩关断”,该功能被激活时变频器(伺服控制器)可切断对电机的电能供给,电机失去电能就无法向外输出转矩也就无法启动。因此实现安全控制设备的目的。
7 结束语
由于工控设备控制系统自动化程度越来越高,众多的电气、电子等器件或设备构成的控制系统在各个领域中执行着种种高度集成和智能功能,其中安全控制较为重要。我们在实际控制系统设计时需要全面了解该自动化设备应用行业标准、现场环境、工艺控制要求,不仅要熟悉现有的一些安全设计方法,还要不断学习和探索新型自动化设备或行业的安全相关系统设计技巧。在让自动化设备的控制系统更加智能的同时,更加安全可靠也应是系统集成设计工程师们的重要任务,需大家再接再厉。
参考文献
[1] GB∕T 20438.2-2017 电气∕电子∕可编程电子安全相关系统的功能安全 第2部分:电气∕电子∕可编程电子安全相关系统的要求.
[2] GB3836《爆炸性环境用防爆电气设备》.
[3] GB7588-2003《电梯制造与安装安全规范》.
作者简介
林志刚 男 工学学士 电气工程师 研究方向为工业自动化系统集成工程