Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 62745:2017 — 机械安全:无缆控制系统要求
💡 核心观点:无缆(无线)控制系统引入了有线系统不存在的独特失效模式——信号丢失、干扰、延迟和电池耗尽。本标准系统地解决了这些风险,以确保安全完整性等同于有线控制。
1. 范围与应用
IEC 62745 规定了在操作员控制站与机械控制系统之间提供通信的无缆控制系统(CCS)的功能和接口要求。该标准涵盖各种无线技术,包括射频(RF)和红外(IR)通信。它特别针对可由操作员携带的便携式操作员控制站。
标准采用基于角色的架构:”远程站”是操作员携带的便携式操作员控制站,”基站”与机械控制系统接口。这允许多场景下的双向通信。该标准不涵盖不属于操作员控制站的机械部件之间的无缆通信。
✅ 安全背景:无线控制越来越多地用于桥式起重机、工业车辆、建筑设备和自动化制造单元。无线链路的故障可能导致安全控制的丧失——该标准确保制造商系统地应对这些风险。
2. 功能要求与停止功能
2.1 停止功能分类
标准定义了具有不同安全完整性要求的特定停止功能。紧急停止功能必须即使在通信丢失后也能启动和维持停止状态。手动停止功能通过专用按钮由操作员启动。自动停止功能(ATS)在检测到指定条件(如信号丢失、电池电量低、位置超出安全区域)时自动激活。被动停止功能在操作员释放使能装置时触发——对于需要”死人开关”控制的手持吊挂装置至关重要。
| 停止功能类型 | 触发方式 | 安全完整性要求 |
|---|---|---|
| 紧急停止 | 专用红色按钮(蘑菇头型) | 通信丢失后必须起作用 |
| 手动停止 | 操作员动作 | 与机械停止功能相同PLr |
| 自动停止(ATS) | 信号丢失、低电量、超时 | 无需操作员自主激活 |
| 被动停止 | 释放使能装置 | 操作员释放后立即执行 |
2.2 通信完整性
标准规定了具有最小汉明距离要求的错误检测码,并对安全相关命令的延迟施加了严格限制。对于停止功能,规定了从操作到执行的最大可接受时间。通信协议必须包括序列编号、时间戳或其他机制,以防止重放攻击并确保消息的新鲜性。
⚠️ 关键工程要求:电池电压必须连续监控。在电压降至安全工作所需水平之前,CCS必须启动自动停止。这需要具有定义阈值和滞后的电池监控电路,以防止误跳闸。
3. 验证与确认
3.1 验证要求
制造商必须提供CCS满足所有功能要求的验证。验证包括:在指定条件下进行通信距离型式试验、环境测试(温度、湿度、振动)、电磁兼容性测试和电池耐久性测试。标准提供了详细的验证表,规定了哪些必须由CCS制造商验证,哪些必须由机械集成商验证。
| 验证项目 | 责任方 | 方法 |
|---|---|---|
| 通信距离 | CCS制造商 | 指定条件下型式试验 |
| 停止功能性能 | CCS制造商+集成商 | 时序测量、故障注入 |
| 电池耐久性 | CCS制造商 | 负载下生命周期测试 |
| EMC抗扰度 | CCS制造商 | 按IEC 61000系列标准 |
| 环境耐受性 | CCS制造商 | 温度/湿度循环 |
| 系统集成 | 机械集成商 | 与机械控制系统的集成测试 |
4. 工程设计要点
💡 工程师实用建议:
- 冗余架构:对于安全相关命令(尤其是停止功能),考虑使用双通道通信或多样传输介质。标准允许但不强制要求——您的风险评估应确定所需的架构。
- 地址编码策略:在有多台机械的环境中(如工厂车间有20台桥式起重机),地址编码方案必须防止交叉通信。汉明距离要求确保地址字段的位错误不会导致一个CCS控制错误的机械。
- 电池管理是安全关键的:使用至少两种独立方法(电压检测和库仑计数)实现电池监控。自动停止阈值应包括滞后,以防止在截止电压附近振荡。
- 延迟预算分析:从操作员动作到机械响应,总延迟包括:输入处理+协议编码+传输时间+协议解码+安全逻辑执行+执行器响应。必须对每个组件进行表征和预算。
- 环境干扰缓解:工业环境中的无线电链路受到电机、焊机和其他射频源的干扰。应考虑跳频扩频(FHSS)或带有自动重试的数字信道选择。
5. 常见问题解答
Q1: CCS能否用作唯一的紧急停止手段?
CCS上的紧急停止功能可以用作辅助急停装置,但标准要求机械还必须至少有一个从固定位置可访问的紧急停止装置。CCS紧急停止必须有专用的红色按钮(蘑菇头型),并且即使在通信丢失后也必须起作用。
Q2: 停止命令的最大可接受延迟是多少?
标准未规定单一的通用延迟值——必须根据特定机械危险的风险评估确定。然而,典型的工业应用目标是一般命令的停止功能延迟≤500 ms,安全相关停止命令≤200 ms。关键在于总停止距离(包括延迟)必须在风险评估确定的安全距离内。
Q3: 标准如何处理多个操作员在同一机械上使用CCS?
标准要求当多个远程站与一台机械一起使用时,系统必须防止冲突命令。可以通过”令牌传递”方案(任何时候只有一个远程站具有控制权)、”投票”方案(命令需要站间一致)或基于优先级的方案来实现。具体方法取决于应用的风险评估。
Q4: CCS与机械失去通信时会发生什么?
通信丢失时(通过超时或过高错误率检测),CCS必须启动自动停止。机械必须设计为故障安全状态。远程站必须向操作员指示通信丢失(通常通过视觉和声音指示器)。恢复操作需要在通信恢复后有意的操作员动作。
