20世紀(jì)80年代，PLIZ設(shè)計了第一款用于安全控制領(lǐng)域的安全繼電器，其誕生已有30多年歷史。但國內(nèi)安全繼電器生產(chǎn)廠家的發(fā)展滯后，產(chǎn)品的功能也相對簡單，通過安全認證的安全繼電器廠家很少。主要因素有以下幾方面。一是國內(nèi)安全標(biāo)準(zhǔn)未和國際接軌。國內(nèi)往往只有出口的機械設(shè)備，為滿足國外的安全標(biāo)準(zhǔn)需求，才加上安全繼電器；而用于內(nèi)銷的機械設(shè)備，很多是不加安全繼電器的。因此，國內(nèi)自主的生產(chǎn)驅(qū)動需求不大。二是安全認證的難度和成本很高。國內(nèi)生產(chǎn)廠家經(jīng)過努力開發(fā)出安全繼電器的產(chǎn)品，但通過認證又是一道比較高的門檻，加大了安全繼電器產(chǎn)品的開發(fā)難度。三是傳統(tǒng)安全繼電器的核心部件，強制導(dǎo)向繼電器。據(jù)了解，國內(nèi)并沒有廠家真正地研發(fā)出用于安全領(lǐng)域的繼電器。強制導(dǎo)向繼電器的國內(nèi)需求主要靠進口，成本不低，這就導(dǎo)致國內(nèi)自主開發(fā)出來的安全繼電器的硬件成本并不低于國外品牌的安全繼電器，在市場上的競爭力遠遠低于國外品牌?；诘诙?、第三條原因，結(jié)合功能安全認證的流程和需求，開發(fā)出基于雙微控制單元(microcontroller unit，MCU)的智能安全繼電器。該安全繼電器的安全等級可以達到PLe、Cat.4、SIL3，滿足安全需求，同時硬件成本遠低于傳統(tǒng)的安全繼電器。

安全繼電器是符合功能安全開發(fā)要求的。開發(fā)依據(jù)的主要標(biāo)準(zhǔn)有IEC62061和ISO13849。因此，可以將安全繼電器開發(fā)過程分解為三個階段：概念階段、設(shè)計階段、驗證階段。

1、概念階段
概念階段主要是對安全繼電器的需求進行定義，規(guī)劃開發(fā)過程中工具、方法，如產(chǎn)品的安全功能、安全狀態(tài)定義、產(chǎn)品應(yīng)用、系統(tǒng)圖、診斷措施、安全結(jié)構(gòu)、安全等級、性能參數(shù)等。系統(tǒng)框圖如圖1所示。
 

圖1 安全繼電器系統(tǒng)框圖

安全繼電器安全功能定義為接收安全傳感器的信號(如急停按鈕、雙手按鈕、磁性開關(guān)、安全光幕等信號)。當(dāng)這些安全傳感器被觸發(fā)，安全繼電器輸出安全信號，切斷供電回路，達到保證安全的作用；安全狀態(tài)定義為繼電器輸出處于斷開狀態(tài)；要達到的安全等級為SIL3、PLe。安全繼電器應(yīng)用如圖2所示。

圖2 安全繼電器應(yīng)用示意圖

A1、A2為電源接口，可以接入24VDC開關(guān)電源；T1、T2、In1、In2為輸入驅(qū)動及輸入接口，用于接收安全傳感器的信號及輸出驅(qū)動信號。S33、S34、S35為復(fù)位回路。其中：S33、S34為手動復(fù)位，S33、S35為自動復(fù)位。13-14/23-34為輸出回路，接入現(xiàn)場的執(zhí)行機構(gòu)。該應(yīng)用為工業(yè)現(xiàn)場的安全門鎖的應(yīng)用。當(dāng)安全門S1打開，能可靠斷開接觸器K3、K4，使得執(zhí)行單元M停止，達到保證安全的目的。

概念階段在功能安全開發(fā)階段處于重要的階段，也是周期最長的階段。概念階段策劃良好，對后續(xù)工作的開展具有極為重要的指導(dǎo)作用。

2、設(shè)計階段
設(shè)計階段主要是對產(chǎn)品的硬件、軟件、產(chǎn)品的功能進行開發(fā)，滿足概念階段的需求。具體可以分為兩個部分：硬件設(shè)計和軟件設(shè)計。

2.1 硬件設(shè)計
硬件電路主要由4部分組成：電源電路，輸入電路，控制電路和輸出電路。電路硬件框架如圖3所示。

2.1.1 硬件設(shè)計
電源電路設(shè)計基于以下兩點：①滿足現(xiàn)有不同子電路的供電需求；②符合安全等級需求。具體來說，考慮兩個故障同時發(fā)生，安全繼電器能夠進入安全狀態(tài)或者安全功能不會受到影響；達到這個要求后，可以將電源回路設(shè)計為單通道的結(jié)構(gòu)。

電源電路需要考慮的故障主要有：過電壓，欠壓，過流，開路，短路。

欠壓故障的處理通過MCU對電源電壓的監(jiān)控，利用ADC采樣。當(dāng)電壓低于某一規(guī)定的限值時，輸出進入安全狀態(tài)。

過電壓故障的處理通過以下兩種。①壓敏電阻和TVS管組合，電源的過壓故障容易對硬件電路造成損壞，因此需要壓敏電阻或TVS管進行防護，需要壓敏電阻及TVS管的組合是基于耐受兩個故障。②MCU對電源電壓的監(jiān)控，當(dāng)電源電壓超過一定的限值，輸出進入安全狀態(tài)。

過流故障主要通過可恢復(fù)保險絲來完成。當(dāng)電源回路電流超過保險絲的額定值，保險絲斷開，各子電路失去供電，進入安全狀態(tài)。
開路和短路故障可以利用fail-safe技術(shù)實現(xiàn)。

圖3 安全繼電器電路硬件框圖

電源電路的功能實現(xiàn)比較簡單，主要將24V電壓轉(zhuǎn)換成12V電壓?？紤]該部分電壓主要用于繼電器線圈的供電，應(yīng)盡量選擇DC/DC轉(zhuǎn)換芯片，提高效率。12 V電壓再通過LDO轉(zhuǎn)換為3.3V電壓，用于MCU和其他邏輯芯片的供電。

2.1.2 輸入電路
基于ISO13849標(biāo)準(zhǔn)的要求，要達到Cat.4等級，安全繼電器的輸入電路需采用雙通道帶診斷的結(jié)構(gòu)，In1/In2構(gòu)成雙通道的輸入，In1/In2的信號同時被MCUA和MCUB采集。當(dāng)In1或In2的任一通道發(fā)生故障時，其他通道的MCU均能診斷出這一故障，形成通道間的故障互相診斷。

輸入驅(qū)動電路的作用是：MCUA和MCUB編碼產(chǎn)生兩個不同的周期性脈沖電平T1、T2，脈沖電平進入到輸入電路，能夠被MCUA和MCUB識別和判斷。當(dāng)外部傳感器電路發(fā)生短路時，進入的脈沖電平會進行疊加，產(chǎn)生不同于原T1、T2的波形，MCU不能識別該波形為T1或T2，從而判定出輸入短路故障。輸入電路及脈沖波形如圖4所示。

圖4 輸入電路及脈沖波形示意圖

2.1.3 控制電路
控制電路主要由兩個MCU及必須的外圍電路組成。根據(jù)功能安全的要求，采用雙通道的MCU方案，MCU之間需要進行數(shù)據(jù)的交互和診斷。MCU之間是通過SPI進行通信，SPI的高速率，可以滿足實時的需求。MCU之間采用兩根I/O線進行時間同步。MCU需要加入硬件看門狗電路來防止程序的跑飛。

2.1.4 輸出電路
輸出電路采用兩個具有一組轉(zhuǎn)換觸點的普通繼電器，利用轉(zhuǎn)換觸點的閉合/斷開特性來實現(xiàn)觸點的粘連故障診斷。繼電器觸點和繼電器控制電路有隔離的需求。因此，采用高壓電容進行隔離，并采用周期性脈沖波形的方式進行診斷信號及檢測信號的傳輸。輸出電路如圖5所示。

圖5 輸出電路

繼電器的診斷過程如下(以J1繼電器進行說明)。
①在每次啟動繼電器之前，由MCUA產(chǎn)生周期性脈沖信號，通過高壓電容C1、C2、J1常閉觸點、C3、C4傳輸?shù)綑z測電路。
②通過R9，C5將周期性脈沖信號變成高電平信號，控制Q6導(dǎo)通。
③當(dāng)Q6導(dǎo)通后，MCUA采集到低電平信號，判定觸點沒有發(fā)生粘連，完成診斷過程。

2.2 軟件設(shè)計
智能安全繼電器的軟件設(shè)計與普通產(chǎn)品的功能設(shè)計不同，普通產(chǎn)品的設(shè)計僅需要考慮功能實現(xiàn)。而功能安全產(chǎn)品不僅需要考慮功能的實現(xiàn)，還需要從功能安全的角度考慮。本軟件采用分層的設(shè)計思路，每一層針對的功能和需求不同，具體來說分為3層：驅(qū)動層，診斷層和應(yīng)用層。 驅(qū)動層和診斷層是基礎(chǔ)和通用設(shè)計，不同功能安全產(chǎn)品的設(shè)計在這兩層的設(shè)計是相似的，改變不大；但應(yīng)用層的設(shè)計是根據(jù)產(chǎn)品功能進行的。不同的產(chǎn)品，這一層的軟件設(shè)計是完全不同的。

2.2.1 驅(qū)動層
驅(qū)動層的主要工作是對MCU硬件進行設(shè)置和控制，如時鐘、MCU I/O配置、讀取、寫入、存儲空間的分區(qū)、SPI通信初始化，以及數(shù)據(jù)接收和發(fā)生，Usart的初始化、數(shù)據(jù)讀取、ADC的初始化、模擬量讀取、DMA的設(shè)置等。該部分的軟件代碼可以直接從MCU的廠家標(biāo)準(zhǔn)庫取得，或者根據(jù)產(chǎn)品需求，進行相關(guān)修改。

2.2.2 診斷層
診斷層的主要工作是對MCU進行診斷，保證單片機能夠正確地執(zhí)行相應(yīng)的功能，或者當(dāng)發(fā)生故障時單片機能夠進入安全狀態(tài)。
要考慮的故障主要有以下幾類。
①FLASH故障：FLASH能夠被正確地讀寫，F(xiàn)LASH在運行過程中，不被改變。
②RAM故障：RAM能夠被正確讀寫。
③SPI通信故障。
④UART故障。
⑤I/O故障。
⑥程序執(zhí)行故障，跑飛。
診斷層的實現(xiàn)，主要依據(jù)IEC 61508推薦的技術(shù)措施進行設(shè)計。程序執(zhí)行故障，可以采用程序段編號方式實現(xiàn)。通過軟件很難實現(xiàn)或者不易達到要求的軟件故障，可以采用硬件的手段進行補救。

2.2.3 應(yīng)用層
應(yīng)用層的設(shè)計依據(jù)安全繼電器的應(yīng)用要求進行功能設(shè)計、產(chǎn)品的應(yīng)用。應(yīng)用層的主要工作是根據(jù)安全繼電器的應(yīng)用要求進行功能設(shè)計：如輸入驅(qū)動脈沖的實現(xiàn)，DI信號的采集、識別，不同安全傳感器功能的實現(xiàn)，MCU之間的數(shù)據(jù)交換、數(shù)據(jù)比對，指示燈控制，外部故障處理，繼電器的輸出，繼電器觸點的診斷以及和PC機之間的UART通信等。

3、驗證階段
驗證階段需要對智能安全繼電器進行驗證及相關(guān)測試。驗證階段主要進行的工作有：可靠性數(shù)據(jù)計算，集成測試，故障插入測試，軟件測試等。

可靠性數(shù)據(jù)計算可按如下步驟進行。第一步由通用數(shù)據(jù)庫或元器件廠家提供的可靠性數(shù)據(jù)計算出每一個器件的可靠性數(shù)據(jù)。第二步對原理進行通道劃分(依據(jù)安全結(jié)構(gòu))，計算出每一個通道的失效數(shù)據(jù)λs、λd、λdu、λdd。第三步由失效數(shù)據(jù)計算出MTTF、PFH、CCF等。

集成測試主要是測試產(chǎn)品的性能，環(huán)境電磁兼容 (electromagnetic compatibility，EMC)試驗，集成測試的測試項目主要依據(jù)產(chǎn)品功能、行業(yè)標(biāo)準(zhǔn)、功能安全對EMC的加強測試標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)等。

故障插入測試通過對硬件、軟件進行故障的模擬，來觀察安全繼電器的輸出是否符合預(yù)期的要求。

軟件測試需要進行的常規(guī)測試有白盒測試、黑盒測試、靜態(tài)測試。

安全手冊主要向客戶說明產(chǎn)品符合的標(biāo)準(zhǔn)、安全功能、安全狀態(tài)、安全完整性要求、安裝、連接、維護等要求或者說明。

本文基于功能安全的深入研究，提出了一種基于MCU的技術(shù)方案。采用了基于普通繼電器的技術(shù)方案，降低了硬件成本，具有很強的應(yīng)用推廣價值。同時本文對功能安全認證的流程和工作內(nèi)容進行了介紹，為需要進行功能安全認證的企業(yè)或者個人提供了借鑒。
作者：陳小全、周婷

相關(guān)閱讀
安全繼電器知識講義
Bruce Desmond談安全繼電器選用
是否可以把安全繼電器換成普通繼電器