20世紀80年代，PLIZ設計了第一款用于安全控制領域的安全繼電器，其誕生已有30多年歷史。但國內安全繼電器生產廠家的發展滯后，產品的功能也相對簡單，通過安全認證的安全繼電器廠家很少。主要因素有以下幾方面。一是國內安全標準未和國際接軌。國內往往只有出口的機械設備，為滿足國外的安全標準需求，才加上安全繼電器；而用于內銷的機械設備，很多是不加安全繼電器的。因此，國內自主的生產驅動需求不大。二是安全認證的難度和成本很高。國內生產廠家經過努力開發出安全繼電器的產品，但通過認證又是一道比較高的門檻，加大了安全繼電器產品的開發難度。三是傳統安全繼電器的核心部件，強制導向繼電器。據了解，國內并沒有廠家真正地研發出用于安全領域的繼電器。強制導向繼電器的國內需求主要靠進口，成本不低，這就導致國內自主開發出來的安全繼電器的硬件成本并不低于國外品牌的安全繼電器，在市場上的競爭力遠遠低于國外品牌。基于第二、第三條原因，結合功能安全認證的流程和需求，開發出基于雙微控制單元(microcontroller unit，MCU)的智能安全繼電器。該安全繼電器的安全等級可以達到PLe、Cat.4、SIL3，滿足安全需求，同時硬件成本遠低于傳統的安全繼電器。

安全繼電器是符合功能安全開發要求的。開發依據的主要標準有IEC62061和ISO13849。因此，可以將安全繼電器開發過程分解為三個階段：概念階段、設計階段、驗證階段。

1、概念階段
概念階段主要是對安全繼電器的需求進行定義，規劃開發過程中工具、方法，如產品的安全功能、安全狀態定義、產品應用、系統圖、診斷措施、安全結構、安全等級、性能參數等。系統框圖如圖1所示。
 

圖1 安全繼電器系統框圖

安全繼電器安全功能定義為接收安全傳感器的信號(如急停按鈕、雙手按鈕、磁性開關、安全光幕等信號)。當這些安全傳感器被觸發，安全繼電器輸出安全信號，切斷供電回路，達到保證安全的作用；安全狀態定義為繼電器輸出處于斷開狀態；要達到的安全等級為SIL3、PLe。安全繼電器應用如圖2所示。

圖2 安全繼電器應用示意圖

A1、A2為電源接口，可以接入24VDC開關電源；T1、T2、In1、In2為輸入驅動及輸入接口，用于接收安全傳感器的信號及輸出驅動信號。S33、S34、S35為復位回路。其中：S33、S34為手動復位，S33、S35為自動復位。13-14/23-34為輸出回路，接入現場的執行機構。該應用為工業現場的安全門鎖的應用。當安全門S1打開，能可靠斷開接觸器K3、K4，使得執行單元M停止，達到保證安全的目的。

概念階段在功能安全開發階段處于重要的階段，也是周期最長的階段。概念階段策劃良好，對后續工作的開展具有極為重要的指導作用。

2、設計階段
設計階段主要是對產品的硬件、軟件、產品的功能進行開發，滿足概念階段的需求。具體可以分為兩個部分：硬件設計和軟件設計。

2.1 硬件設計
硬件電路主要由4部分組成：電源電路，輸入電路，控制電路和輸出電路。電路硬件框架如圖3所示。

2.1.1 硬件設計
電源電路設計基于以下兩點：①滿足現有不同子電路的供電需求；②符合安全等級需求。具體來說，考慮兩個故障同時發生，安全繼電器能夠進入安全狀態或者安全功能不會受到影響；達到這個要求后，可以將電源回路設計為單通道的結構。

電源電路需要考慮的故障主要有：過電壓，欠壓，過流，開路，短路。

欠壓故障的處理通過MCU對電源電壓的監控，利用ADC采樣。當電壓低于某一規定的限值時，輸出進入安全狀態。

過電壓故障的處理通過以下兩種。①壓敏電阻和TVS管組合，電源的過壓故障容易對硬件電路造成損壞，因此需要壓敏電阻或TVS管進行防護，需要壓敏電阻及TVS管的組合是基于耐受兩個故障。②MCU對電源電壓的監控，當電源電壓超過一定的限值，輸出進入安全狀態。

過流故障主要通過可恢復保險絲來完成。當電源回路電流超過保險絲的額定值，保險絲斷開，各子電路失去供電，進入安全狀態。
開路和短路故障可以利用fail-safe技術實現。

圖3 安全繼電器電路硬件框圖

電源電路的功能實現比較簡單，主要將24V電壓轉換成12V電壓。考慮該部分電壓主要用于繼電器線圈的供電，應盡量選擇DC/DC轉換芯片，提高效率。12 V電壓再通過LDO轉換為3.3V電壓，用于MCU和其他邏輯芯片的供電。

2.1.2 輸入電路
基于ISO13849標準的要求，要達到Cat.4等級，安全繼電器的輸入電路需采用雙通道帶診斷的結構，In1/In2構成雙通道的輸入，In1/In2的信號同時被MCUA和MCUB采集。當In1或In2的任一通道發生故障時，其他通道的MCU均能診斷出這一故障，形成通道間的故障互相診斷。

輸入驅動電路的作用是：MCUA和MCUB編碼產生兩個不同的周期性脈沖電平T1、T2，脈沖電平進入到輸入電路，能夠被MCUA和MCUB識別和判斷。當外部傳感器電路發生短路時，進入的脈沖電平會進行疊加，產生不同于原T1、T2的波形，MCU不能識別該波形為T1或T2，從而判定出輸入短路故障。輸入電路及脈沖波形如圖4所示。

圖4 輸入電路及脈沖波形示意圖

2.1.3 控制電路
控制電路主要由兩個MCU及必須的外圍電路組成。根據功能安全的要求，采用雙通道的MCU方案，MCU之間需要進行數據的交互和診斷。MCU之間是通過SPI進行通信，SPI的高速率，可以滿足實時的需求。MCU之間采用兩根I/O線進行時間同步。MCU需要加入硬件看門狗電路來防止程序的跑飛。

2.1.4 輸出電路
輸出電路采用兩個具有一組轉換觸點的普通繼電器，利用轉換觸點的閉合/斷開特性來實現觸點的粘連故障診斷。繼電器觸點和繼電器控制電路有隔離的需求。因此，采用高壓電容進行隔離，并采用周期性脈沖波形的方式進行診斷信號及檢測信號的傳輸。輸出電路如圖5所示。

圖5 輸出電路

繼電器的診斷過程如下(以J1繼電器進行說明)。
①在每次啟動繼電器之前，由MCUA產生周期性脈沖信號，通過高壓電容C1、C2、J1常閉觸點、C3、C4傳輸到檢測電路。
②通過R9，C5將周期性脈沖信號變成高電平信號，控制Q6導通。
③當Q6導通后，MCUA采集到低電平信號，判定觸點沒有發生粘連，完成診斷過程。

2.2 軟件設計
智能安全繼電器的軟件設計與普通產品的功能設計不同，普通產品的設計僅需要考慮功能實現。而功能安全產品不僅需要考慮功能的實現，還需要從功能安全的角度考慮。本軟件采用分層的設計思路，每一層針對的功能和需求不同，具體來說分為3層：驅動層，診斷層和應用層。 驅動層和診斷層是基礎和通用設計，不同功能安全產品的設計在這兩層的設計是相似的，改變不大；但應用層的設計是根據產品功能進行的。不同的產品，這一層的軟件設計是完全不同的。

2.2.1 驅動層
驅動層的主要工作是對MCU硬件進行設置和控制，如時鐘、MCU I/O配置、讀取、寫入、存儲空間的分區、SPI通信初始化，以及數據接收和發生，Usart的初始化、數據讀取、ADC的初始化、模擬量讀取、DMA的設置等。該部分的軟件代碼可以直接從MCU的廠家標準庫取得，或者根據產品需求，進行相關修改。

2.2.2 診斷層
診斷層的主要工作是對MCU進行診斷，保證單片機能夠正確地執行相應的功能，或者當發生故障時單片機能夠進入安全狀態。
要考慮的故障主要有以下幾類。
①FLASH故障：FLASH能夠被正確地讀寫，FLASH在運行過程中，不被改變。
②RAM故障：RAM能夠被正確讀寫。
③SPI通信故障。
④UART故障。
⑤I/O故障。
⑥程序執行故障，跑飛。
診斷層的實現，主要依據IEC 61508推薦的技術措施進行設計。程序執行故障，可以采用程序段編號方式實現。通過軟件很難實現或者不易達到要求的軟件故障，可以采用硬件的手段進行補救。

2.2.3 應用層
應用層的設計依據安全繼電器的應用要求進行功能設計、產品的應用。應用層的主要工作是根據安全繼電器的應用要求進行功能設計：如輸入驅動脈沖的實現，DI信號的采集、識別，不同安全傳感器功能的實現，MCU之間的數據交換、數據比對，指示燈控制，外部故障處理，繼電器的輸出，繼電器觸點的診斷以及和PC機之間的UART通信等。

3、驗證階段
驗證階段需要對智能安全繼電器進行驗證及相關測試。驗證階段主要進行的工作有：可靠性數據計算，集成測試，故障插入測試，軟件測試等。

可靠性數據計算可按如下步驟進行。第一步由通用數據庫或元器件廠家提供的可靠性數據計算出每一個器件的可靠性數據。第二步對原理進行通道劃分(依據安全結構)，計算出每一個通道的失效數據λs、λd、λdu、λdd。第三步由失效數據計算出MTTF、PFH、CCF等。

集成測試主要是測試產品的性能，環境電磁兼容 (electromagnetic compatibility，EMC)試驗，集成測試的測試項目主要依據產品功能、行業標準、功能安全對EMC的加強測試標準和企業標準等。

故障插入測試通過對硬件、軟件進行故障的模擬，來觀察安全繼電器的輸出是否符合預期的要求。

軟件測試需要進行的常規測試有白盒測試、黑盒測試、靜態測試。

安全手冊主要向客戶說明產品符合的標準、安全功能、安全狀態、安全完整性要求、安裝、連接、維護等要求或者說明。

本文基于功能安全的深入研究，提出了一種基于MCU的技術方案。采用了基于普通繼電器的技術方案，降低了硬件成本，具有很強的應用推廣價值。同時本文對功能安全認證的流程和工作內容進行了介紹，為需要進行功能安全認證的企業或者個人提供了借鑒。
作者：陳小全、周婷

相關閱讀
安全繼電器知識講義
Bruce Desmond談安全繼電器選用
是否可以把安全繼電器換成普通繼電器