智能型功能安全继电器的设计与实现

郭建昇;徐伯庆

【摘 要】In order to improve safety in industrial processes ,to achieve functional safety of safety relays localization ,to reduce application costs ,the basic principles of functional safety relays were studied ,and safety-related functions and the development of standards and the safety relay were interpretated .Combined with the practical application of internal and external security of the relay,to improve the shortcomings of traditional security for the relay ,making use of micro-controller

technology ,intelligent safety relay was proposed in line with international standards ,not only can achieve the traditional safety relay functionality and also with automatic detection and delay function ,thus greatly improving its functionality and application security ,which is instructive for its use in the field of industrial safety .%为了提高工业生产过程中的安全性,实现功能安全型安全继电器的国产化,降低应用成本,研究了功能安全继电器的基本原理,并对与安全继电器开发有关的功能安全标准进行了解读.结合国内外安全继电器的实际应用情况,针对传统安全继电器的不足之处进行改进,利用微控制器技术,提出一种符合国际标准的智能型功能安全继电器,不仅可以实现传统安全继电器的功能,还具有自动检测功能和延时功能,提高其应用功能和安全性,对其在工业安全领域的运用具有指导意义.

【期刊名称】《仪表技术与传感器》 【年(卷),期】2017(000)001

【总页数】4页(P46-49)

【关键词】功能安全;安全继电器;双MCU;机械控制;工业安全 【作 者】郭建昇;徐伯庆

【作者单位】上海理工大学,上海 200093;上海理工大学,上海 200093 【正文语种】中 文 【中图分类】TQ420.5

20世纪80年代，国外就在工业自动化安全领域推出一系列用于安全生产控制的产品，最先推出的是安全继电器，然后又开发出安全PLC和安全总线控制系统，随后又推出可编程安全继电器[1]。然而国内的安全继电器研发比较滞后，相关产品功能也比较单一，获得国际功能安全认证的产品比较少，目前市场上还没有国产的智能型功能安全继电器。因此，在深入了解功能安全标准的基础上，提出一种智能型功能安全继电器的设计方案。可以和急停开关、光栅、安全地毯等安全设备组成安全系统，达到相关的功能安全要求，实现自动检测内部故障的功能，并且具有自动和手动模式，进行继电器输出和逻辑输出，具有较高的可靠性，保障生产过程中的安全。

安全控制系统主要包括安全输入设备(急停按钮、光栅、安全地毯等)、安全逻辑部件(安全继电器、可编程安全继电器、安全PLC等)以及安全输出设备(安全阀、接触器)。可编程安全继电器用于4～14个安全设备的场合，PLC一般用于10个触点以上的场合，但它们的价格都比较昂贵，不适用于触点较少的场合。功能安全继电器适用于触点较少的场合，由数个安全继电器与一些电路所组成的继电器模块，具有强制导向作用，用于低等中等复杂程度的机械设备或控制系统中，来预防因机器操作人员的错误或是机器故障所引起的危险事项[2]。

功能安全继电器用来控制急停、光栅、安全门、双手按钮、安全地毯等。和普通的继电器相比，安全继电器具有强制导向作用，可以有效防止触点的粘连，造成误动作而引发事故。固态继电器对负载的电压和电流有要求，为的是保证固态继电器的可靠性、安全性和控制精确性，而安全继电器利用的是机械断开模式，切换容量只与内部的继电器有关，并且具有较高的安全性和稳定性。

对于涉及安全的部件都有较高的功能安全标准，功能安全继电器主要应用于机械类的安全控制系统。首先要符合功能安全基础标准GB 20438或IEC61508的要求,在此基础上才能用于工业安全领域[3]。其次，因为是机械的一部分，功能安全继电器符合机械类的功能安全标准IEC62061。然后,功能安全继电器由电子元器件组合而成,因此还要符合机械电气安全标准GB 5226.1—2008或IEC 60204中有关安全设计的要求。最后,根据功能安全继电器实际和哪些执行器件结合,还要符合相关的机械安全标准,若和急停按钮组合，则要满足GB 16754—2008 机械安全急停设计原则[4]。若和安全地毯组合，则要满足GB/T 17454—2008 机械安全压敏保护装置[5]。

图1为系统图，A1、A2接24 V电源正极和负极。S11和S21用于产生测试信号，S12和S22用于接收通道信号。X1复位模式可以自动或者手动，当A1之间接一个开关时，检测到下降沿信号时进行复位；当接S11时进行通道中短路检测，用于急停按钮、安全门等设备；当接S21时进行通道间短路检测用于安全地毯、光栅等设备。Y1逻辑信号输入端，用于输入逻辑信号。Y2逻辑输入方式选择，当悬空时不接逻辑输入信号；当接S11时表示与接入的信号进行与运算然后再输出；当接S21时表示与接入的信号进行或运算然后再输出。Y3/Y4用于设定不同的延时，可以接A1，S11，S21，通过组合可以形成9种不同的延时模式。Y5用于逻辑信号的输出，13-14和23-24用于继电器输出。

对于功能安全仪表，对硬件电路要求都比较高，要选用经过验证的可靠的元器件，

在电路设计中要采用冗余的方法等[6]。本设计采用双通道的模式，运用双微控制器监控所有关键器件，即使部分器件发生故障，也有冗余的元器件替代继续运行。当发生严重的故障可以有效监测出来，并让设备处于安全状态，通过指示灯闪烁信息反映故障的元器件[7]。硬件电路主要包括电源模块、指示灯模块、检测信号输出模块、信号输入模块、安全输出模块和微控制器模块。 4.1 电源模块

电源模块具有防浪涌冲击、过流保护和反向保护等作用。如图2所示，输入电压为24 V，采用5 V稳压芯片为微控制器和其他模块提供稳定电压。然后经过2.5 V稳压芯片提供参考电压。如图3所示，电压比较器U4防止电压过低或过高影响模块的正常工作，通过电阻的配置工作电压为19～30 V，这样就可以保障电压不正常时，保证不会误动作。 4.2 指示灯模块

主要有电源指示灯，用于指示是否有电流流入。如图4所示，INA和INB分别表示功能安全继电器的两个通道是否接通，OUT表示是否有安全输出。首先可以确定外部接入的电源信号，然后通过微控制器输出高低不同的信号才能正确显示，防止微控制器出现故障。另外，INA，INB和OUT组成不同的闪烁信号，用于显示发生故障的类型，包括外部接线的故障以及内部元器件的故障。 4.3 检测信号输出模块

图5为信号检测模块，信号为2路周期10 ms反向方波信号，进行信号判断和模式识别，可以让其在最多10 ms内采集到变化的信号，从而快速响应。通过微控制器将信号输入反向器，再输入U5。U5是智能型双通道高阻抗电源开关，具有过载保护、电流、短路保护等特性。当输入端为高电平时，对应输出为VCC端的电压，这样在输出端产生和微控制器输出的波形相反。加上TVS管，可以有效进行浪涌保护。

4.4 信号输入模块

如图6所示，信号输入模块主要用于接收外部信号，这里仅以S12为例，其他输入也是这样设计的，通过单独的反向器U6传送到微控制器。此外，微控制器的管脚U1P0.2用于控制是否接收外部的信号，正常工作时控制信号采用在固定周期内发射一个检测信号，反馈的信号可以监控各个反向器是否正常工作，以确保输入信号的正确性。 4.5 安全输出模块

如图7所示，安全输出模块用于继电器的输出，其中使用的继电器为2A2B的强制导向继电器，防止触点粘连，其中两对常开触点用于外部端子，两对常闭触点用于反馈至微控制器。继电器控制电路采用差错的方式，由2个微控制器分别提供一个高电平一个低电平，低电平信号通过或非门，高电平信号通过与门，如果任何一个微控制器发生故障都可以使继电器断开，不会错误输出。

如图8所示，逻辑输出与微控制器之间采用光电隔离，输出24 V的电压信号，可以与其他模块进行级联，如PLC或者其他带逻辑连接的功能安全继电器。 4.6 微控制器模块

采用2个微控制器可以实现较高的SIL等级，避免发生故障。本设计采用不同厂家的51内核的单片机可以避免共因失效。采用同一个复位信号，其中U1主要用于信号输出，U2主要用于检测，所有的反馈信号同时送到两个单片机进行分析判断。因为2个单片机距离较近，因此采用串口TTL通讯，将U1和U2的TXD和RXD交叉连接，只有两者信息无误的情况下才能进行安全输出[8]。

图9为两个单片机的程序流程图。U1为主控制器，主要负责产生检测信号，对输入信号进行判断，然后和U2进行数据交换，再决定是否进行输出。U1和U2同时接收反馈信号，以便保证接收数据的可靠性。当发生故障时，通过改变LED的闪烁方式来反映故障的类别，可以检测外部连接的故障和内部主要元器件的故障。

LED分为长亮持续时间为500 ms，短亮持续时间为100 ms，闪烁时间间隔为200 ms，肉眼很容易辨别，假设常亮为1、短亮为0。如表1所示，故障类别共计28种故障类型，因篇幅较长，此处不便一一列举。所有的安全输出单元都是由U1和U2共同控制的，当它们同时执行正确输出时，才会有安全的继电器输出和逻辑输出。为避免出现死循环，2个单片机都自带看门狗模块，提高了系统的安全特性[9]。

本设计遵循功能安全的国际标准，欧洲机器安全标准EN 954-1对应于危险等级的5个等级，控制电路的安全等级也分为5个：B，1，2，3，4，若使用双通道信号输入检测2个输入触点间的短路，那么控制回路的安全等级是在4级。本设计采用双通道信号进入功能安全继电器，当两通道短路没有输出，符合控制回路安全等级是4的要求。根据ISO 13849-1,安全设备PL等级主要由结构类别

Cat(category)、单个通道的平均危险故障时间(MTTFd)、诊断覆盖率( DC)和共因失效( common CCF)4个因素确定。本设计符合控制类别Cat.4，使用经验证的可靠的元器件，使用软

硬件冗余的方式，可以达到MTTFd高的要求，符合附录F对防止共因失效(CCF)的要求，电路和电路板设计方面充分考虑标准推荐措施,如信号路径之间采用物理分离、采用双通道的技术或物理原则、采用过电压、过电流等保护措施，确保CCF 评分达到65分以上[10]。根据分析设计可以达到的安全等级为PLe，SIL等级达到SIL3，符合功能安全标准对安全继电器的要求。

本文在深入了解相关功能安全标准的基础上，对功能安全继电器进行深入研究，用微处理器技术拓展其功能，设计的产品不仅具有延时功能，并带有自检测功能和逻辑输出，能够和安全地毯、光栅和急停按钮等设备组成安全系统，应用领域广阔。随着工业4.0时代的到来，相信功能安全继电器将会在工业安全领域有更多的应用。

【相关文献】

[1] 刘博.安全继电器及安全PLC在制造行业的应用[J].设备管理与维护，2009(9):35-36.

[2] 全国机械安全标准化技术委员会.机械安全控制系统相关安全部件GB/T 16855—2008：[S].北京：中国标准出版社,2008.

[3] International electrotechnical commission.Functional safety of electrical/ electric/ programmable electric safetyrelated ：IEC61508[S].2010.

[4] 全国机械安全标准化技术委员会.机械安全急停设计原则：GB 16754—2008[S].北京：中国标准出版社,2008.

[5] 全国机械安全标准化技术委员会.机械安全压敏保护装置：GB/T 17454—2008[S].北京：中国标准出版社,2008.

[6] 方来华,吴宗之,魏利军，等.安全仪表系统的开发与要求[J].中全科学学报，2009,19(4):159-168.

[7] 杨栩楠,蒋大明.功能安全与微控制器自诊断技术的研究[J].铁路计算机应用，2011,20(7):12-15. [8] 李平均,张江,连荣刚.双单片机的应用[J].微电子学与计算机，2004(4):78-80.

[9] 陈盟盟,邵贝贝.“安全第一”的语言编程规范[J].单片机与嵌入式系统应用，2006(1):79-82. [10] 阚明生，曹萃文.一种功能安全性安全继电器的开发流程[J].自动化仪表,2015(4)：44-51.