黃祖廣 王文浩 薛瑞娟 蔣 崢

（國家機(jī)床質(zhì)量監(jiān)督檢驗(yàn)中心 北京100102）

石油化工、電力設(shè)備、機(jī)械制造等相關(guān)領(lǐng)域，在國民基礎(chǔ)工業(yè)中扮演著重要角色。進(jìn)入二十一世紀(jì)以來，全球各個(gè)行業(yè)飛速發(fā)展，隨之而來的安全隱患也越來越多，行業(yè)內(nèi)相關(guān)企業(yè)急需安全可靠的安全控制系統(tǒng)來保障機(jī)械電氣設(shè)備安全、穩(wěn)定、連續(xù)的生產(chǎn)工作以及相關(guān)從業(yè)人員的人身安全。在某些高溫、震動(dòng)、輻射等復(fù)雜的工業(yè)環(huán)境下，工作人員無法靠近工業(yè)設(shè)備進(jìn)行操作，以及對(duì)現(xiàn)場(chǎng)環(huán)境布線有著特殊要求無法滿足控制系統(tǒng)需求的場(chǎng)合，無線控制系統(tǒng)及無線控制裝置的使用顯得尤為重要。IEC 62745：2017作為機(jī)械安全領(lǐng)域重要國際標(biāo)準(zhǔn)，定義了機(jī)械電氣設(shè)備無線控制系統(tǒng)的一般要求，是機(jī)械安全標(biāo)準(zhǔn)體系的重要組成部分。為了提高無線控制系統(tǒng)安全性能，保障機(jī)械電氣設(shè)備安全生產(chǎn)，本文結(jié)合我國機(jī)械電氣設(shè)備無線控制系統(tǒng)發(fā)展現(xiàn)狀與IEC 62745國際標(biāo)準(zhǔn)，針對(duì)機(jī)械電氣設(shè)備無線控制系統(tǒng)的安全功能要求與實(shí)驗(yàn)驗(yàn)證方法開展了分析研究。

無線控制裝置指一種用于遠(yuǎn)程無線控制工業(yè)機(jī)器人、工程機(jī)械等工業(yè)設(shè)備的控制裝置，無線控制裝置的使用可以避免由纜線鋪設(shè)所造成的不便，擴(kuò)大機(jī)械使用范圍，提高了工作人員的安全性。無線控制系統(tǒng)（cableless control system，CCS）應(yīng)用于各類機(jī)械電氣設(shè)備的無線控制裝置并為其提供操作界面，無線控制系統(tǒng)是無線控制裝置設(shè)計(jì)制造的重要組成部分，其功能及與整個(gè)機(jī)械控制系統(tǒng)接口的方法直接影響到相關(guān)機(jī)械電氣設(shè)備的安全性能。

機(jī)械設(shè)備的機(jī)械控制系統(tǒng)通常由操作員控制站、控制線路與無線控制系統(tǒng)基站構(gòu)成，各部分通過有線信號(hào)或無線信號(hào)進(jìn)行連接，如圖1所示。其中無線控制系統(tǒng)的遠(yuǎn)程站與有線控制站、有線懸掛控制器組成操作員控制站。無線控制系統(tǒng)部分由至少由一個(gè)遠(yuǎn)程站（經(jīng)由遠(yuǎn)程站，操作員接口與無線控制系統(tǒng)連接）和一個(gè)基站（帶機(jī)械控制系統(tǒng)接口的無線控制系統(tǒng)部分）組成，兩者之間使用無線信號(hào)傳輸命令。無線控制系統(tǒng)基站通過有線信號(hào)連接到機(jī)械控制系統(tǒng)的控制線路中。

圖1 無線控制系統(tǒng)的框圖示例及其與機(jī)械控制系統(tǒng)的交互

1 CCS安全功能要求

無線控制系統(tǒng)在生產(chǎn)裝置開車、停車、出現(xiàn)生產(chǎn)危險(xiǎn)等狀況或?qū)υO(shè)備和工作人員提供了安全防護(hù)。在機(jī)械設(shè)備生產(chǎn)使用過程中，無線控制系統(tǒng)應(yīng)能夠根據(jù)相應(yīng)情況做出反應(yīng)并輸出正確的信號(hào)，控制機(jī)械設(shè)備處于相應(yīng)的狀態(tài)，因此對(duì)無線控制系統(tǒng)的各項(xiàng)功能都有具體要求，主要包括停止功能要求、遠(yuǎn)程站與基站數(shù)據(jù)傳輸要求、多基站與多遠(yuǎn)程站要求、鎖定控制與暫?？刂埔?、預(yù)防操作措施及電源損失行為要求，涵蓋了一般工業(yè)用機(jī)械電氣設(shè)備CCS的通用安全功能要求，如圖2所示。

圖2 機(jī)械電氣設(shè)備CCS各項(xiàng)功能要求

1.1 CCS停止功能要求

機(jī)械設(shè)備的停止功能是在可能產(chǎn)生的危險(xiǎn)或操作人員主動(dòng)停機(jī)的情況下，實(shí)現(xiàn)機(jī)械設(shè)備安全停止的功能，是保障機(jī)械及其電氣設(shè)備的安全性的重要組成部分。在無線控制系統(tǒng)中，停止功能一般分為：控制停止、一般安全停止（general safe stop，GSS）、緊急停止（emergency stop，EMS）、自動(dòng)停止（automatic stop，ATS）。控制停止功能僅在 CCS控制機(jī)械時(shí)才可用，且應(yīng)始終由操作員手動(dòng)引發(fā)。

CCS的一般安全停止功能引發(fā)裝置應(yīng)具有直接開路動(dòng)作，其手動(dòng)引發(fā)方式需要在遠(yuǎn)程站清晰的單獨(dú)標(biāo)出，引發(fā)時(shí)將導(dǎo)致基站所有與安全有關(guān)的停止輸出處于關(guān)閉狀態(tài)。GSS引發(fā)后且控制致動(dòng)器主動(dòng)操作停止時(shí)，命令的作用應(yīng)通過裝置的接合來維持，直到通過遠(yuǎn)程站點(diǎn)的有意人工操作使其脫開。致動(dòng)器不鎖定時(shí)不應(yīng)產(chǎn)生停止命令，無停止命令產(chǎn)生時(shí)，不應(yīng)出現(xiàn)致動(dòng)器的鎖定。

緊急停止功能需要始終處于可用和可操作狀態(tài)，且其操作器應(yīng)具有符合規(guī)定的標(biāo)志/標(biāo)記，只有檢測(cè)到緊急停止功能處于正常狀態(tài)時(shí)，設(shè)備才能啟動(dòng)和運(yùn)行，并且設(shè)備的EMS需滿足ISO 13850的相關(guān)要求。當(dāng)機(jī)械設(shè)備的多個(gè)遠(yuǎn)程站同時(shí)與單個(gè)基站通信的情況下，單個(gè)遠(yuǎn)程站的禁用（禁用遠(yuǎn)程站的EMS功能不可用）將引發(fā)自動(dòng)停止（ATS）功能[2]。

CCS的自動(dòng)停止功能是安全相關(guān)的控制功能，通常在檢測(cè)到安全相關(guān)故障、有效信號(hào)缺失以及傳輸停止等情況下，自動(dòng)引發(fā)基站安全相關(guān)的停止輸出處于 OFF狀態(tài)以防止機(jī)械的危險(xiǎn)操作。在 CCS中，ATS功能應(yīng)具有安全性能不低于任何其他安全相關(guān)停止功能的安全性能。

為了保證機(jī)械設(shè)備的安全性，CCS設(shè)計(jì)時(shí)應(yīng)提供自動(dòng)停止功能和至少一個(gè)停止功能，該功能需要由控制裝置上專門為此目的提供的蓄意動(dòng)作引發(fā)（一般情況下該功能為一般安全停止或緊急停止）。機(jī)械不同的停止功能需要不同的停止類別，其基站應(yīng)提供足夠的停止輸出以適合機(jī)械的不同停止功能，CCS的每個(gè)安全相關(guān)停止功能應(yīng)具有至少SIL1/PLc的安全完整性，且每個(gè)安全相關(guān)停止功能應(yīng)在基站引發(fā)相關(guān)停止輸出的OFF狀態(tài)，以保障機(jī)械設(shè)備不同停止功能的需求。

CCS的停止功能可以手動(dòng)或自動(dòng)啟動(dòng)，并可通過主動(dòng)停止、被動(dòng)停止執(zhí)行。主動(dòng)停止是由停止信號(hào)從遠(yuǎn)程站到基站的傳輸導(dǎo)致的停止，被動(dòng)停止是由于基站有效信號(hào)的缺失而導(dǎo)致的安全相關(guān)停止。一般工業(yè)用CCS典型的控制邏輯如圖 3所示。序列2屬于主動(dòng)停止，是手動(dòng)激活STOP制動(dòng)器或響應(yīng)某種特定情況時(shí)，引起遠(yuǎn)程站在發(fā)送停止信號(hào)，從而在基站中引發(fā)OFF狀態(tài)，遠(yuǎn)程站傳輸功率不會(huì)消除。序列3指主動(dòng)停止后自動(dòng)消除遠(yuǎn)程站傳輸功率，其中序列3a屬于主動(dòng)停止，3b屬于被動(dòng)停止，基站通過主動(dòng)停止3a和被動(dòng)停止3b引發(fā)基站OFF狀態(tài)，因此即使主動(dòng)停止3a無效，被動(dòng)停止3b也能引發(fā)基站OFF狀態(tài)，例如手動(dòng)激活STOP操動(dòng)器或響應(yīng)特定情況時(shí)，在遠(yuǎn)程站中消除遠(yuǎn)程站傳輸功率，當(dāng)接受到停止信號(hào)時(shí)或檢測(cè)到隨后有效信號(hào)缺失時(shí)，引發(fā)基站OFF狀態(tài)。序列4是由于移除遠(yuǎn)程站傳輸功率導(dǎo)致的被動(dòng)停止，當(dāng)手動(dòng)激活STOP操動(dòng)器或響應(yīng)特殊情況，使遠(yuǎn)程站取消遠(yuǎn)程站傳輸功率，此時(shí)基站檢測(cè)到?jīng)]有有效信號(hào)，引發(fā)基站OFF狀態(tài)。序列1表示手動(dòng)引發(fā)的停止，其導(dǎo)致CCS的非安全相關(guān)停止輸出的狀態(tài)，此時(shí)基站不會(huì)引發(fā)OFF狀態(tài)。序列5屬于自動(dòng)停止類型，其中被動(dòng)停止和由此引發(fā)的OFF狀態(tài)在基站自動(dòng)引發(fā)，例如當(dāng)遠(yuǎn)程站被移出工作范圍時(shí)，基站無有效信號(hào)自動(dòng)引發(fā)OFF狀態(tài)。

圖3 CCS停止功能邏輯

當(dāng) CCS的一般停止功能或緊急停止功能引發(fā)后復(fù)位時(shí)，應(yīng)控制遠(yuǎn)程站和基站應(yīng)采取有意行動(dòng)來控制可能被激活的危險(xiǎn)操作。若鎖定的安全停止裝置脫開導(dǎo)致通信重新建立，需在遠(yuǎn)程站上進(jìn)行額外的手動(dòng)復(fù)位操作。當(dāng)檢測(cè)到CCS存在故障或電源中斷和重新連接的情況時(shí)，不應(yīng)導(dǎo)致先前啟動(dòng)的相關(guān)安全停止功能重置。

1.2 遠(yuǎn)程站與基站數(shù)據(jù)傳輸?shù)南嚓P(guān)功能要求

遠(yuǎn)程站與基站的安全穩(wěn)定數(shù)據(jù)傳輸是 CCS與機(jī)械設(shè)備安全工作的基礎(chǔ)，確保其數(shù)據(jù)傳輸?shù)姆€(wěn)定和安全在無線系統(tǒng)功能設(shè)計(jì)中顯得尤為重要。CCS的數(shù)據(jù)傳輸一般采用串行數(shù)據(jù)傳輸，要求串行數(shù)據(jù)傳輸?shù)臐h明距離應(yīng)為4或一幀中的總比特?cái)?shù)除以20，取其較大者為準(zhǔn)，或在CCS中提供其他確保串行數(shù)據(jù)傳輸中未被檢測(cè)到的錯(cuò)誤幀概率 R(Pe)＜1×10-8的手段[3]。

當(dāng)操作者取消遠(yuǎn)程站點(diǎn)數(shù)據(jù)傳輸時(shí)，CCS設(shè)計(jì)時(shí)需提供迅速停止遠(yuǎn)程站傳輸?shù)氖侄危ɡ绮皇褂玫墓ぞ呒纯扇〕鲭姵亍⒕哂兄苯娱_路的遠(yuǎn)程站電源傳輸?shù)闹袛嘌b置等手段）。在實(shí)際工作環(huán)境要求遠(yuǎn)程站停止傳輸時(shí)，在操作命令停止后中性幀應(yīng)傳輸一段時(shí)間，且CCS應(yīng)在預(yù)定的中性幀傳輸期結(jié)束時(shí)引發(fā)自動(dòng)停止功能，若CCS沒有提供自動(dòng)停止傳輸，其中性幀需一直被傳輸，直到下一個(gè)操作命令信號(hào)。當(dāng)遠(yuǎn)程站檢測(cè)到可導(dǎo)致安全相關(guān)功能喪失的故障時(shí)應(yīng)停止傳輸。

在電源中斷、遠(yuǎn)程站電池更換等特殊情況下，遠(yuǎn)程站啟動(dòng)或重新建立通信時(shí)，不能激活用于控制機(jī)械危險(xiǎn)操作的任何輸出，在遠(yuǎn)程站重新建立通信（基站接收到中性幀）前，基站不應(yīng)響應(yīng)可以激活用于控制機(jī)械危險(xiǎn)操作輸出的操作命令信號(hào)。對(duì)具有自動(dòng)停止特性的CCS，需確認(rèn)CCS數(shù)據(jù)傳輸時(shí)：

（1）中性幀的傳輸時(shí)間；

（2）在傳輸時(shí)間內(nèi)沒有導(dǎo)致機(jī)械危險(xiǎn)操作的輸出；

（3）中性幀傳輸結(jié)束后引發(fā)ATS功能。

1.3 多基站與多遠(yuǎn)程站功能要求

隨著工業(yè)的發(fā)展，愈加復(fù)雜的操作環(huán)境要求下，配備多基站與多遠(yuǎn)程站的 CCS逐漸應(yīng)用在各種復(fù)雜工作環(huán)境。當(dāng)CCS配備多個(gè)遠(yuǎn)程站時(shí)，CCS設(shè)計(jì)時(shí)應(yīng)確保任何一個(gè)遠(yuǎn)程站被使用時(shí)應(yīng)在該遠(yuǎn)程站或基站予以顯示，且其他遠(yuǎn)程站除緊急停止功能外不允許被使用。在遠(yuǎn)程站切換過程中，應(yīng)在基站或遠(yuǎn)程站上應(yīng)提供指示，以降低控制權(quán)轉(zhuǎn)移的潛在危險(xiǎn)。

當(dāng)遠(yuǎn)程站配備多個(gè)通信基站時(shí)，CCS應(yīng)在遠(yuǎn)程站上提供選擇欲連接基站的手段，連接到該基站時(shí)不應(yīng)在該基站引發(fā)控制命令，且在CCS設(shè)計(jì)時(shí)應(yīng)提供相應(yīng)指示以確認(rèn)處于遠(yuǎn)程站控制下的基站。

1.4 鎖定控制功能及暫停CCS控制

對(duì)一些需要鎖定功能的機(jī)械電氣設(shè)備，例如在磁性提升裝置、電磁起重裝置等設(shè)備中，需要對(duì)磁性夾持裝置進(jìn)行鎖定以保持在運(yùn)行過程中保持吊裝能力，并且降低危險(xiǎn)隱患，因此其CCS需在基站或遠(yuǎn)程站實(shí)現(xiàn)控制鎖定能力。為了防止鎖定功能導(dǎo)致的危險(xiǎn)隱患，基站的鎖定控制功能不能用于支持機(jī)械的危險(xiǎn)操作（除非風(fēng)險(xiǎn)評(píng)估支持并作為安全功能實(shí)現(xiàn)），鎖定遠(yuǎn)程站的控制邏輯只能用于預(yù)期控制機(jī)械非危險(xiǎn)操作的輸出，還需通過測(cè)試確定鎖定控制功能對(duì)CCS的上電和通信的重新建立的影響。

機(jī)械設(shè)備擁有多個(gè)遠(yuǎn)程站或多個(gè)操作員控制站時(shí)，當(dāng)遠(yuǎn)程站或操作員控制站斷開時(shí)，為保持遠(yuǎn)程站電量及防止安全隱患，常使其處于暫停模式。遠(yuǎn)程站的暫停模式要求在遠(yuǎn)程站顯示且在基站激活機(jī)械控制系統(tǒng)的輸出信號(hào)。當(dāng)遠(yuǎn)程站開始處于暫定模式或暫停模式結(jié)束重新控制遠(yuǎn)程站時(shí)，需設(shè)計(jì)有指定開關(guān)等專門為此目的設(shè)計(jì)的措施。

1.5 操作預(yù)防措施及其他相關(guān)要求

CCS在設(shè)計(jì)時(shí)需充分考慮控制器跌落、電子失效等意外措施的存在對(duì)機(jī)械設(shè)備安全工作的影響，并且采取相應(yīng)措施進(jìn)行預(yù)防。在遠(yuǎn)程站及其控制器的設(shè)計(jì)和布置應(yīng)盡可能減少意外制動(dòng)的可能性，且應(yīng)保證 CCS的操作指令信號(hào)僅引發(fā)預(yù)期遠(yuǎn)程站和基站的功能。

CCS在設(shè)計(jì)時(shí)需考慮遠(yuǎn)程站、控制器等部件的電源變化情況，以保證電池電壓或電源變化時(shí)不應(yīng)引起基站的意外輸出命令。當(dāng)CCS電池電壓變化超過規(guī)定限制時(shí)，應(yīng)設(shè)計(jì)相應(yīng)的視覺警告裝置，電池電壓過低至無法保證可靠傳輸時(shí)，應(yīng)消除傳輸功率直到電壓回復(fù)并進(jìn)行手動(dòng)復(fù)位。CCS的供電系統(tǒng)在產(chǎn)品使用前應(yīng)進(jìn)行測(cè)試，在測(cè)試試驗(yàn)期間（若使用電池供電，建議其處于滿電狀態(tài)），充電電源應(yīng)與遠(yuǎn)程站斷開，遠(yuǎn)程站應(yīng)與最多數(shù)量的基站連接通信及試驗(yàn)期間遠(yuǎn)程站應(yīng)持續(xù)傳輸。

2 CCS安全功能要求驗(yàn)證

無線控制系統(tǒng)的安全功能測(cè)試是為了確保其控制的機(jī)械設(shè)備以正確合理的方式運(yùn)行，在CCS產(chǎn)品投入使用前，其制造商應(yīng)根據(jù)CCS安全功能的相關(guān)要求對(duì)無線控制系統(tǒng)進(jìn)行驗(yàn)證如表1，驗(yàn)證的常用方式包括計(jì)算分析、測(cè)試試驗(yàn)、目視檢查，其中測(cè)試試驗(yàn)主要包括型式試驗(yàn)、驗(yàn)收/常規(guī)試驗(yàn)、功能試驗(yàn)及集成試驗(yàn)。不同的安全功能可能要求不同的驗(yàn)證方式，其驗(yàn)證結(jié)果需滿足前文的安全功能要求。

表1 機(jī)械電氣CCS的功能要求驗(yàn)證方法

3 結(jié)語

CCS的安全水平作為保障機(jī)械工業(yè)設(shè)備安全生產(chǎn)的重要組成部分，對(duì)于提升我國機(jī)械裝備質(zhì)量安全水平，保障相關(guān)從業(yè)人員的人身安全有著重要意義。本文通過對(duì)機(jī)械電氣設(shè)備的無線控制系統(tǒng)的安全功能與驗(yàn)證方法展開分析研究，針對(duì)CCS的停止功能要求、遠(yuǎn)程站與基站數(shù)據(jù)傳輸要求、多遠(yuǎn)程站與多基站功能要求等方面詳細(xì)闡述了 CCS的安全功能和接口要求，并對(duì)其各項(xiàng)安全功能的要求提出了相關(guān)的驗(yàn)證方式，對(duì)CCS的設(shè)計(jì)制造起到了建議和指導(dǎo)作用。