上周去山东一家化工厂做安全审计,站在满墙的奖项下面,我却怎么都笑不出来。
原因?
他们最新的一条产线,紧急停机按钮旁边居然贴着一张A4纸——‘勿碰,误触罚款200元’。我看到这个的时候,血压蹭就上来了。真的。搞安全搞了二十年,最怕的不是没有规章制度,而是这种自欺欺人的做法。你好歹把罚款通告贴在按钮上方还行,可偏偏紧挨着,操作工紧急情况下还得花半秒去想‘我要不要为了保命花这200块’——这半秒,够炸好几回了。
说实话,那次审计的结果对厂家来说是灾难性的,但我觉得我得写点什么,就从那个荒唐的按钮说起吧。这篇文章不打算教条,想到哪写到哪,有几次差点失控的经历,有功能安全的糊涂账,也有最近几年标准落地的真实例子。最后那组问答,是我平时被问到最多的,看看有没有你的困惑。
别光盯着那个红色按钮
聊紧急停机系统,大部分人第一反应就是蘑菇头按钮。红的,黄的,带个保持机构,拍下去就停。没错,这是人机接口。可你要是以为买了几个符合ISO 13850的按钮就万事大吉,那等着你的不是停产就是事故。紧急停机系统——老外叫ESD(Emergency Shutdown),或者安全相关控制系统里说的SRECS——它是一个完整的功能链:从传感器(比如光栅、地毯)到逻辑解算器(安全继电器或安全PLC),再到执行器(接触器、变频器安全扭矩关断)。中间任何一节脱钩,整个链条就断了。
我2008年在东风的一家配套厂调试,就碰上过一档子事。工人按下急停,设备纹丝不动。查了半天,发现安全继电器输出触点粘连,可程序里根本没做触点监测。那个年轻电工挠着头说‘不是有急停按钮吗,怎么还不停’。你说气不气人。当时我骂了句脏话,至今不后悔。从那以后,我看任何紧急停机系统,先顺着信号跑一遍:急停按钮的双通道触点进安全继电器,安全继电器用正向导向触点控制主接触器,接触器再反馈给安全继电器——缺一个环节,就是缺一条命。
现在很多新设备喜欢搞集成的安全驱动,用FSoE(Fail-safe over EtherCAT)之类的总线,急停信号进了PLC,逻辑再下发。方便是真方便,可一旦网络拓扑不合理,或者没做冗余,急停就成了一场赌。前几天看个案例,一家包装机厂在SAFETY PLC里做了急停功能块,但安全程序没按照SIL要求进行变量防异变保护,一个意外的内存翻转可能就让你整套逻辑失效。细节,妈的,全是细节。
功能安全到底是个啥?
功能安全这个词,这几年被集成商挂在嘴边,像极了当年ISO 9000刚进中国时的样子——人人都讲,可真正算过SIL等级的人,少。紧急停机系统在设计的时候,首先得确定需要达到的安全完整性等级,SIL 1、SIL 2,还是SIL 3?不是越高越好。SIL 3要求极为苛刻,你给一台小冲床搞SIL 3的急停,成本翻三倍不止,可风险分析一做,发现SIL 2完全够用,那何必?问题是,很多厂连风险分析都不做,拍脑门‘我觉得人命关天就SIL 3吧’,结果维护不了,最后干脆绕开不用。
我自己的习惯是,哪怕是一个简单的急停回路,也逼着自己走一遍失效模式与影响分析(FMEA)。比如急停按钮本身,最典型的故障是触点被焊接、弹簧卡滞,或者接线松脱。所以标准才会要求采用冗余结构——比如双通道触点加监测回路,并且诊断覆盖率要足够。安全继电器里的电路会不停检测这两个通道是否同步,一旦发现不一致,立刻进入安全状态,并且锁死,必须手动复位。这就是强制导向的精髓。
不过话说回来,再完美的设计也怕人的自作聪明。2015年富士康的一个冲压车间,操作工为了赶产量,用扎带把急停按钮绑死了,因为‘一按就停线,停了影响绩效’。后来出事,断了两根手指。你问设计有问题吗?原件没问题,但防操纵没有考虑。现在有些急停按钮带有护圈或者双步骤操作,能一定程度防止误复位,但真要有意识破坏,还是得靠管理。唉,安全系统和安全文化,永不能分家。
一个痛苦又必须搞懂的问答
每年培训新工程师,我都会被问到各种问题,整理两个最典型的:
问:紧急停机按钮和普通停止按钮到底有什么区别?不都按下后设备停了吗?
答:停的方式和法规要求不一样。普通停止按钮通过常规控制系统(比如PLC)发出停止命令,可能带有逻辑、延时、排序,而紧急停机必须在任何状态下立刻断开危险动力源,而且不能依赖任何可编程电子系统——除非那个系统本身就是经认证的安全相关控制系统。另外,紧急停机按钮复位后设备不能自行启动,必须有一个单独的手动重启指令。这是ISO 13850和IEC 60204-1死磕的底线。再形象点:你把急停按钮当成直接切断总闸的消防斧,普通停止按钮则是你电视遥控器上的睡眠键。斧子啥时候都能砍,遥控器没电就不好使。
问:我们的设备出口欧盟,客户要求CE认证,紧急停机系统一定要加安全继电器吗?我自己用普通继电器搭个双回路行不行?
答:绝对不行,千万别动这个歪心思。普通继电器没有正向导向触点结构,也就是说,常开和常闭触点不能保证在任何失效下都不会同时闭合。安全继电器内部用特殊的磁保持或强制导向结构,确保一个触点焊接时,其他所有触点都会在松开状态下保持断开。你自己搭电路,哪怕用了三四个继电器,也无法达到诊断覆盖率(DC)的要求,更别说共因失效的防护。想要过CE,老老实实选经过第三方认证的安全继电器或安全PLC,并且按它们的数据书去接,别随手发挥。血的教训太多了。对了,别忘了机械指令的整体风险评估,紧急停机只是其中一环。
最近的一点新变化
去年开始,我注意到几个大厂在更新紧急停机系统的设计规范,开始强调人因工程。传统布置急停按钮是按设备长度每隔一段放一个,可实际操作员在紧急情况下的奔跑路径、视野遮挡、手部可及高度,都开始被用计算机模拟评估。有的厂甚至在VR里测试急停按钮的位置是否能在0.5秒内被击打。我亲自体验了一次那个VR,戴着头显看到模拟火灾,下意识去拍按钮,结果扑了个空——实际位置在腰以下,模拟场景里视觉遮挡太严重。那次之后,我一口气改了三个项目的按钮布局。技术本身不新,但把这个思路真正用到紧急停机系统上,算是一个进步。✅
另外,无线急停也逐渐有了标准支撑。以前总觉得无线不可靠,但随着IEC 62745(无线控制系统的安全要求)的完善,一些危险场合比如天车、移动平台,使用无线急停按钮已经可行,前提是安全性能等级够高,比如达到PL e或SIL 3。我们有次在一个港口卸船机上试装,起初担心的干扰和延迟,在专用频率和冗余校验下表现极佳,延迟稳定在100毫秒内。当然,千万别拿消费级的蓝牙模块去搞,那是作死。
最后得说说法规更新。原安监总局发的《机械安全 紧急停机 设计原则》(GB/T 16754-2021)去年已经实施了,等同采用ISO 13850:2015。里头对复位装置的颜色标识(蓝色)、按钮的尺寸和力值都给了更细的指导。如果你们还在用十年前的老图纸,建议赶紧翻翻新版,别等项目验收时被打个措手不及。❗
就这样吧。文章写完了,但安全这事永远写不完。每次听到哪家出了事,心里还是咯噔一下。我们这帮搞机械电气的,手上过的每个回路,背后都是活生生的人。紧急停机系统,不该是罚款单能挡住的,而是刻在骨子里的本能。💡