图1  经TüV测试并根据SIL 3评估获得认证：无线电遥控装置带来安全

经TüV测试并根据SIL 3评估授予一种无线电远程控制装置认证书，此无线电远程控制装置不仅支持所有重要的总线结构，而且利用一种编码解码法以冗余结构工作。

无线电远程控制越来越盛行，因为在许多行业中都可以发现它们的身影，但是随着用无线电远程控制完成的任务范围越来越广，对它们提出的安全要求也越来越高，它们需要满足大量的规则和标准。而且随着欧洲一体化的范围越来越广，将来还会有更多的规范和标准出台。趋势将朝哪个方向发展，现在还不可预见。为了能够向用户提供必要的未来安全，Gross-Funk公司研发了CODEC方案，该方案已经过TüV测试，并获得了SIL 3（安全综合水平3级）的评价（图1）。

在某些应用领域，对无线电远程控制提出的安全要求特别高。例如应用在核心技术的设备或者联邦铁路，无人驾驶的工作机械设备的运行也属于这类应用，在这些用途中对无线电远程控制的功能安全性提出了极高的要求。为了在这些用途中也能够拿出必要的安全证据，往往需要花费高额费用进行单独验收。Schopp市Gross-Funk公司研发了一种全新的技术方案，以Gross-Funk CODEC为名推上市场。CODEC是缩略语，起源于编码和解码这一概念。新研发的系统经TüV根据DIN EN ISO 61508的要求进行测试，被评为SIL 3安全要求等级，在总共四个安全等级中它已经是很高的了。该系统不只适用于所有采用直接继电器输出端和模拟信号的传统控制装置，而且支持所有也可以和老一代无线电遥控装置一起工作的新型总线技术。

支持所有新的总线技术

所有通用的现场总线类型，如CANBUS、CANopen、Profibus DP和Modbus等，一般是直接连接，或者是用一个备选的网关进行连接。基于CODEC最小型号的接收机，除了必备的安全紧急停机之外，还有一条装有CANopen接口的总线，所有指令和信息数据均经该总线运行。总线上传递的数据也安全地通过无线电进行传递，并由一个带有冗余结构的系统来分析处理。所有使用标准输入输出信号的系统均建立在这个基础类型之上。因此，通过基于总线的基本系统的扩展，产生了一种混合接口技术。这对于规划师和设计师们来说意味着极大的优势，因为这样就可以把传统的接口与CANopen总线内置在一个系统中（图2）。

图2  不仅是紧急停车设计有冗余，而且无线电遥控装置的所有功能都设计有冗余

某些类型的发射机除了无线电传输之外，也可以实现直接的CANopen接口。由此产生的优点是显而易见的，因为这样每个无线电发射机就可以作为CANopen的操作部分使用，不管是同时用电缆与机器连接的无线电方案，或者是作为独立的电缆控制操作部分。此外，如果具备所有必要的前提条件，那么现在机器上已经具备的CANopen操作部分可以改装成无线电操作部分。这样不仅可以对紧急停机进行控制，而且也可以对所有的功能继电器冗余地进行控制。

符合SIL 3的功能安全

对机器的控制起决定作用的是安全标志“防止无故运动的安全”，以及自动的故障识别和由此产生的向安全状态的过渡。最后提到的机器特性被称为“故障安全”，也符合CODEC的情况。这个概念按字面上翻译的意思是“故障安全”，不过在“故障安全”下人们也许会想到，可能没有故障发生。然而这个特性没有产品能够使用，因为实际需要的是由故障的结果得出的结论。而且这个结论必须称为“安全”。

正如人们所说遗憾是经常发生的那样，受控制的机器及其调整不能满足安全上的要求，而又要求使用安全级别很高的无线电远程控制装置，这一点用处也没有。为了生动形象地来表达，确实没有人会想到，用一根羊毛线来固定一条安全带。为了避免出现这种现象，Gross-Funk公司在新系统引进时也一并提供培训。这样，CODEC提供的安全也真正地交付到机器上，使整个系统也满足必要的安全要求。安全方案是非常重要的，在考察安全问题时，只评价无线电远程控制和受控制的机器是不够的，设备的使用以及特别是由此产生的各种危险，也必须在放大镜下进行极为仔细地观察。必须回答这样的问题，如“如何在我的机器上达到安全状态？”，“简单的关机就够了吗？”，“机器必须逐步减速再停下来吗？”这是些本质的问题，也还有这样的问题：“在确定被动停车时间时我可以选择长于500ms的时间吗？”或者“哪些功能在主动停机后还必须运转”，这些问题在设计安全方案时必需考虑。

舒适地进行诊断

变得越来越复杂的系统大幅度地增加了售后服务的难度，尤其是在采用传统开关输出端的传统系统转换到基于场总线的系统上时，技术员和安装人员负担很重。利用过去在故障查找方面曾经立下了汗马功劳的简单万用表，今天只能有限地做某些工作。为了简化对基于CODEC新系统的诊断，Gross-Funk公司提供了一种无线电远程控制诊断机。诊断机装有显示器，因而可以读出用明文表示的各种状态信息和故障编码。原先的系统只是通过发光二极管的闪动作故障提示，新系统则可以快得多的速度确定故障之所在，而且维修时间也明显缩短了。