【白皮书】工业设备的功能安全（上）

一

概要

近年来，“功能安全”正在成为工业设备领域中实现系统安全性的可靠方法。除了向来重视安全的汽车领域之外，在工业设备领域，也会因为机器故障和事故的发生以及人身伤害事件对工厂运转造成影响或引起社会关注，而且还导致了经济损失。为了避免这些情况，“功能安全”的重要性与日俱增。在通过人与机器人协同作业来提高作业效率的进程中，设备安全性越发受到关注。因此，越来越多的设备制造商以满足社会与用户的要求和提高商品竞争力为目的，开始研究功能安全设备。

在本文章中，我们将对功能安全的定义和必要性，实际系统结构，开发中存在的课题以及瑞萨为解决这些课题而提供的功能安全解决方案进行说明。

二

什么是功能安全

功能安全的目的是，通过“功能”把因装置误动作，误操作而造成的人身伤害，财产损害或社会危害等风险控制在容许限度以内。

下面将以在机器人等电机控制装置中为避免出现危险状况而使电机停止工作的情况为例，进行具体说明。

图1是以通过MCU控制电机旋转的系统作为采取功能安全措施的例子。为了实现功能安全，首先要分析与装置相关的风险，并研究相应的措施。这被称为风险评估，而功能安全的装置（安全装置）能够通过电子电路等，实现以风险评估结果为基础制定的安全措施。在这里，功能安全与传统安全装置之间存在很大差异，即“安全装置”需要根据IEC61508等国际标准进行标准化，使“安全装置”规格的合理性能够通过客观，定量的方法来实现。

图1 功能安全的电机驱动装置结构示例

功能安全规格的要求事项有许多，如通过分析因安全装置故障造成的误动作的影响，设计基于诊断功能的，在安全装置故障时也能引导至安全状态的措施；通过做出设计方法和设计流程的相关规定，避免因软硬件设计缺陷等原因导致的误动作等。通过这些要求事项，便可更加客观地判断其安全规格以及作为安全装置的动作准确性（可靠性）。另外，此类FA系统还要求采用类似图1所示的双配置MCU结构，在系统结构上实现即使一个MCU在动作期间出现故障等动作不良，也能通过正常动作的另一个MCU执行可靠的安全动作。

三

工业领域功能安全系统的具体示例

下面将用FA系统来说明实际应用中的功能安全系统结构示例。

图2是功能安全相关系统结构示例。该FA系统由以下部分构成：检测是否有人进入危险区域的安全传感器等输入设备，由整体控制安全系统的安全PLC等构成的控制设备，驱动具体设备的驱动设备以及连接以上设备的网络。其内部结构如图2下半部分所示，是由2个MCU构成的双配置MCU结构。采用这种机构的目的是，即使在安全功能的某处发生故障，也能通过正常动作的MCU准确执行用于避免危险的动作，从而使设备能够可靠地执行安全动作。

图2 FA系统的结构示例

接下来将说明构成该FA系统的各类设备，即安全驱动设备，安全IO设备以及安全网络设备。

安全驱动设备

驱动设备的基本安全规格是通过监控电机是否安全受控来实现的。在开头的图1中也已经对它的结构作了说明，一般采用在使电机旋转的机构外侧加装监控单元的结构，用于监控电机安全动作。该监控单元通过双配置SafetyMCU监控电机转速以及用于在紧急等时候紧急停止装置的紧急停止信号，并在这些状态被判断为危险状态时，执行向电机控制端发送电机停止信号的动作。设计这些动作时采用了双配置结构，因此即使监控单元内发生故障，也可以通过其中一个正常动作的SafetyMCU转移到安全动作。此外，根据FA系统的用途，有多种电机的监控方法和停止方法，其规格已在电机驱动设备的安全标准IEC61800-5-2中定义。

安全远程I/O设备

安全远程I/O设备是传输信号的设备，这些信号包括根据安全传感器等的输入信号向需要紧急停止的设备输出的信号等。它的内部结构是双配置MCU结构，即使安全装置发生故障，也能可靠地执行安全动作。此外，通过用双SafetyMCU执行用于安全控制程序，也能以同样结构实现安全PLC（主要是低端型）。

安全网络设备

安全网络设备是可以通过工业网络实现安全数据通信的设备。这里也采用了2个SafetyMCU，除了安全IO处理，还能根据安全网络标准进行通信安全数据处理。右侧的网络设备被称为“黑色通道（Black Channel）”，是非安全处理的一部分。黑色通道意味着不安全，不过安全网络中的标准化安全协议有方法确认从黑色通道接收的数据是否被正确传送，即通过用2个SafetyMCU进行确认来实现。

未完待续