ISO 13849原則在物流裝備電氣設計中的認識

文 / 張偉

一、引言

為避免機械設備運行時重要信號失效，工程技術人員在設計電氣原理圖時會增加冗余設計，例如將行程開關雙動作信號設計為雙觸點輸出，或將接觸器輔助觸點接入PLC監測其動作狀態，以增加電氣回路的可靠性。然而這樣的設計方法缺乏可量化的安全指標。自EN ISO 13849-1:2008出版以來，沿用了多年的EN 954-1被逐漸取代[1-2]。隨著EN ISO 13849-1:2008中的安全設計原則開始被多國接受，目前已成為自動化機械設備安全功能設計的首要原則。我國也發布了基于ISO 13849標準的GB/T 16855《機械安全 控制系統安全相關部件》在機械自動化行業內推廣使用[3]。

ISO 13849原則的經典應用是雙手操作裝置、雙控制回路、動作監測等設計；元器件廠商提供安全元器件的PL（性能等級，Performance Level）等級、低壓元器件B10D（10%元件危險失效時的周期數）等參數。目前機械設備正不斷走向高度自動化、智能化，更多的液壓、氣動、傳感器、電氣元件被集成在機械設備中，使其變得更靈活、功能更強大。但是復雜程度高的機械設備，其控制電路出現信號被干擾、元器件失效、線纜損壞等故障的概率也會相應增加，因此會造成機械設備的損壞，甚至嚴重的安全生產事故。所以在設計控制電路之初對重要的控制回路進行安全指標評估就顯得尤為重要。

物流裝備最為重要的機械設備，經過多年快速發展。中、低端物流裝備已經具備了相當規模和產能。在高端物流裝備走向世界的過程中，雖部分指標已經能夠比肩一流水平。但是在安全功能設計、人員安全主動保護方面的認識還存在著較大的不足。因此全面研究物流裝備的風險點，利用ISO 13849原則量化安全功能指標，并分析多種安全手段實現某項安全功能的適應性，可指導工程技術人員設計非標定制項目的安全功能，也可用于出口裝備的CE認證。

二、物流裝備的風險點分析

物流裝備包括輸送線、堆垛機、AGV、RGV、提升機，其實質都能夠在輸送和堆垛機設備上體現。輸送線和堆垛機也是應用最為廣泛的物流裝備，探討輸送線和堆垛機風險點，具有普遍意義。

1. 輸送設備

在輸送線設備中，主要存在的風險是防止人員闖入正在運行的輸送設備，避免機械擠壓、卷入、撞擊。工程師在設計階段主要通多增加護欄實現物理區域的隔離，但是輸送設備都會存在開放的上下料口，以及根據工藝、效率所需要劃分的區域。因此在實際工作中需要使用光幕、安全地毯、急停、安全門鎖等安全元器件。雖然增加安全元器件在一定程度上增加了安全性能，但是隨著安全元器件所控制執行單元的增加，即系統中變頻器、接觸器、開關數量也相應增加，這無疑提高了元器件失效概率，造成安全功能保護等級降低。

考慮到輸送設備特點，為了對某項功能進行安全評估，工程技術人員在設計電氣原理圖之前，應先繪制出輸送線中安全功能框圖，體現安全元器件、邏輯單元、執行單元組合關系，建立安全功能所選用類別與控制架構，方便工程技術人員使用ISO 13849原則計算安全等級，如圖1所示，ISO 13849原則提供了物流裝備控制系統安全相關部件（SRP/CS）設計標準和評估規范。

圖1 安全光幕功能安全框圖

2. 堆垛機設備

對于堆垛機設備，傳感器、PLC單元、電機驅動器等都可作為物流裝備的SRP/CS（控制系統安全相關部件），提升物流裝備的安全等級。目前我國尚缺少堆垛機設備的標準，因此作者參考了EN 528-2021的安全要求進行設備安全評估[4]。堆垛機主要存在的安全風險是巷道內撞擊、擠壓、脫軌、墜落等，尤其是當堆垛機在維修時還需要進行鋼絲繩斷帶保護、安全限速、急停等保護。例如在設計鋼絲繩斷帶保護功能時，往往需要多個安全型行程開關檢測鋼絲繩狀態，在安全回路中則表現為多安全元器件輸出的形態，如圖2所示。

圖2 斷帶保護安全框圖

綜上，對于一個復雜的系統，往往存在安全保護的多種形式。安全回路控制架構往往比較形態復雜，為方便工程技術人員對安全回路所達到的PL進行評估，需要遵循ISO 13849原則計算出安全回路的PFHD（平均每小時危險失效概率）從而確定安全回路PL。在ISO 13849中，將安全等級都被劃分為五個等級，其中PL=e為最高，PL=a為最低，如表1所述。因此對每項安全功能進行評估是設計過程中重要的工作。

表1 PL與PFHD對照表

三、安全回路類型選擇

如前所述，對物流設備進行安全計算的目的是建立一個精確且直觀的計算模型，通過計算出安全回路PFHD值，參照表1確定安全回路所達到的PL，以評估安全回路設計的合理性。ISO 13849引入了cat（類別）構架的概念，cat（類別）構架是多個SRP/CS組合而成的安全功能構架，在ISO 13849中給定了五種指定構架，分別是cat B、cat 1、cat 2、cat 3、cat 4，SRP/CS結構對PL結果有直接影響，表2為每種指定構建可實現的最大PL值。每種cat都能用框圖表示，cat B為典型基礎構架，如圖3所示，其中I是輸入元器件、L是邏輯模塊、O是執行元器件、im是連接方式。

表2 指定構建可實現的最大PL值

圖3 cat B的制定構架

因此，對于安全功能PLr（所需性能等級）在設計之初應確定SRP/CS使用何種構架。以堆垛機急停功能為例，在EN 528的要求中，急停功能所需安全等級是PLr=d。根據表2所示，對于PLr=d的安全功能，雖然cat 2構架最高能達到PL=d，但堆垛機回路中存在多個執行原器件，隨著執行元器件數量增加，安全回路PFHD將會急劇降低，無法滿足設計要求，因此急停功能必須采用雙回路設計，符合Cat3或Cat4構架設計安全回路，如圖4所示。其中，Cat4比Cat3擁有的冗余設計確保不會導致安全功能喪Cat4中DCavg（平均診斷覆蓋率）更高，且每個通道所需的MTTFD（平均危險失效間隔時間）僅為高。在實際設計中，需要考慮該安全回路中單個元器件的損壞不會導致該安全功能喪失；單一故障下該安全回路在使用之前能被檢查到。因此安全回路使用Cat3或Cat4構架時需要對SRP/CS實際使用中可實現的組合情況進行具體分析計算。

圖4 cat 3和cat 4的制定構架

四、基于SISTEMA的安全計算

SISTEMA軟件是德國社會意外保險職業安全與健康研究所（IFA）開發的一款符合ISO 13849原則的安全回路計算軟件[5]。隨著計算機技術的發展，對于大型項目或復雜系統而言，可以使用SISTEMA軟件實現安全回路建模和計算，尤其對于大型工程，使用SISTEMA軟件大幅降低了工程技術人員工作強度、提高設計效率、縮短設計周期。本文使用2.0.8 Build 4版本的SISTEMA軟件計算。急停功能在物流行業使用最為廣泛，以PLr=d的急停功能為例，計算急停安全回路的PL等級。

在該系統中急停按鈕使用施耐德XA2系列產品作為輸入元器件；安全輸入選用西門子SIMATIC ET200SP系列的安全DI模塊作為邏輯模塊的輸入元器件；PLC選擇SIMATIC S7 F-CPU系列CPU作為邏輯元器件；輸出模塊選用施耐德ALTIVAR 340變頻器作為輸出元器件。利用施耐德和西門子安全元器件Library中的元器件信息，添加到建立的Safety Function中，如圖5所示。完成元器件添加后，SISTEMA軟件即可計算出該回路的PL等級，計算結果如圖6所示。由計算結果可知，該急停安全回路PL=d，PFHD=4.2E-9，符合PLr=d的設計目標。

圖5 Safety Function

圖6 PL等級計算結果

五、結論

本文主要開展了輸送線設備和堆垛機設備安全回路特點總結，基于ISO 13849原則闡述如何選擇安全回路SRP/CS類型構架；通過使用SISTEMA軟件對安全回路進行安全計算，得到堆垛機急停功能PL=d，PFHD=4.2E-9的計算結果，符合PLr=d設計目標。通過使用SISTEMA軟件計算安全回路，減少了大量的計算過程。工程技術人員使用ISO 13849原則設計物流系統的安全回路可縮短設計周期、提高設計準確性。