基于PROFIsafe的北京奔馳焊裝車間控制系統(tǒng)的安全測試方法

杜文博，韓 鵬，潘曉剛

（北京奔馳汽車有限公司，北京 100176）

基于PROFIsafe的北京奔馳焊裝車間控制系統(tǒng)的安全測試方法

杜文博，韓 鵬，潘曉剛

（北京奔馳汽車有限公司，北京 100176）

0 引言

在汽車制造行業(yè)，為滿足柔性的序列化生產(chǎn)需求，控制系統(tǒng)的自動化水平和信息化水平需要隨之提高，大量的工業(yè)機(jī)器人和裝配機(jī)械手的出現(xiàn)，造成了許多需要安全保護(hù)的危險(xiǎn)區(qū)域。本文介紹了在北京奔馳汽車有限公司采用的安全測試標(biāo)準(zhǔn)和實(shí)施方法，以保證柔性化自動生產(chǎn)線全面的設(shè)備安全性和可靠性。

如今的汽車制造等現(xiàn)場，由于操作者誤入到危險(xiǎn)區(qū)域、傳感器故障而導(dǎo)致的工傷事故時有發(fā)生。如果使用安全控制系統(tǒng)，則可以自動識別危險(xiǎn)并立即停止設(shè)備，從而確保操作者和設(shè)備的安全。特別是在使用機(jī)器人的沖壓生產(chǎn)線、汽車焊接生產(chǎn)線等高危險(xiǎn)的工作區(qū)域，對單臺設(shè)備甚至對整個流水線的安全控制都是非常必要的。在危險(xiǎn)的設(shè)備上應(yīng)用安全控制系統(tǒng)，能夠有效減少勞動災(zāi)害，確保制造現(xiàn)場的安全性和生產(chǎn)性[1]。

為驗(yàn)證工業(yè)自動化控制系統(tǒng)符合標(biāo)準(zhǔn)規(guī)范，產(chǎn)品工廠驗(yàn)收測試（FAT），用來驗(yàn)證指定的系統(tǒng)功能測試、穩(wěn)定性測試、可用性測試?，F(xiàn)場驗(yàn)收測試（SAT），用作驗(yàn)證控制系統(tǒng)的安裝是否符合規(guī)范[2]?，F(xiàn)場綜合測試（SIT），用來驗(yàn)證不同的系統(tǒng)是否已整合為一個完整的系統(tǒng)，并且所有部件已按要求正常協(xié)同工作。本文介紹一種在北京奔馳焊裝車間控制系統(tǒng)的安全測試方法，可用于工廠安全驗(yàn)收測試和功能安全設(shè)備的年檢，作為一種SIT方法。

1 分布式安全系統(tǒng)的概念

分布式安全系統(tǒng)的目標(biāo)是通過使用基于PROFInet安全技術(shù)的控制系統(tǒng)安全相關(guān)部件（SRP/CS），使人身安全和環(huán)境所面臨的危險(xiǎn)最小化，同時不會對必要的工業(yè)生產(chǎn)、機(jī)械和化工產(chǎn)品的使用產(chǎn)生限制。

分布式安全系統(tǒng)采用的故障安全型PLC用于檢測到系統(tǒng)故障尤其是危險(xiǎn)故障時能使系統(tǒng)回到安全狀態(tài)，并通過詳細(xì)的診斷信息來改善故障檢測和定位系統(tǒng)，保證系統(tǒng)在安全相關(guān)的中斷后快速恢復(fù)生產(chǎn)[3]。分布式安全系統(tǒng)的最大特色是生產(chǎn)安全系統(tǒng)和控制系統(tǒng)的融合。

采用PROFIsafe為安全通信協(xié)議，實(shí)現(xiàn)了控制網(wǎng)絡(luò)和安全網(wǎng)絡(luò)的集成，簡化了控制網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省了安裝成本和工程施工時間，使系統(tǒng)具有了可靠的安全保護(hù)裝置，為安全、穩(wěn)定生產(chǎn)提供保障。

1.1 PROFIsafe協(xié)議

PROFIsafe是一種分布式系統(tǒng)的安全通信技術(shù)，使標(biāo)準(zhǔn)現(xiàn)場總線技術(shù)和故障安全技術(shù)合為一個系統(tǒng)，即故障安全通信和標(biāo)準(zhǔn)通信共用一條通信鏈路。PROFIsafe協(xié)議符合IEC 61784-3-3和中國標(biāo)準(zhǔn)（GB/Z20830-2007），并且其在PROFInet上運(yùn)用的安全性達(dá)到了IEC 61508中SIL3的等級。

PROFInet在ISO/OSI模型中僅使用了第1層（物理層）、第2層（數(shù)據(jù)鏈路層）和第7層（應(yīng)用層），PROFIsafe安全總線協(xié)議置于第7層之上的安全層。由于該層僅對有效數(shù)據(jù)的安全傳送負(fù)責(zé)，它需要上層負(fù)責(zé)準(zhǔn)備與提供有效數(shù)據(jù)，而在一個安全現(xiàn)場設(shè)備（例如：安全輸入）中是由它的技術(shù)固件來施行的。這類固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計(jì)的。在冗余的硬、軟件結(jié)構(gòu)中嵌入PROFIsafe功能也可以達(dá)到上述目的。同標(biāo)準(zhǔn)操作一樣，過程信號及過程數(shù)據(jù)出現(xiàn)在相應(yīng)的有效報(bào)文中[4]。

1.2 分布式安全設(shè)備

為保證安全高效的生產(chǎn)，一般在汽車制造現(xiàn)場，采用合理的系統(tǒng)配置和高安全性的自動化產(chǎn)品。圖1介紹了基于PROFInet+PROFIsafe協(xié)議的北京奔馳焊裝車間的控制系統(tǒng)結(jié)構(gòu)和基本線路圖。

圖1 控制系統(tǒng)結(jié)構(gòu)和基本線路圖

安全輸入設(shè)備有安全光幕/光柵、激光掃描儀、急停按鈕、維修開關(guān)和安全門開關(guān)等產(chǎn)品，性能級別可達(dá)到PLe。安全控制系統(tǒng)方面采用了西門子故障安全型319F PLC、PROFInet+PROFIsafe安全總線協(xié)議、分布式安全模塊F-DI/F-DO等，性能級別可達(dá)到PLd/PLe?？杀话踩＼嚨牡脑O(shè)備（被控安全輸出設(shè)備）有工業(yè)機(jī)器人、驅(qū)動器、閥和接觸器等，性能級別可達(dá)到PLd/PLe。

1.3 功能安全標(biāo)準(zhǔn)IEC 61508

功能安全規(guī)范要求通常將一個部件或系統(tǒng)的安全表示為單個數(shù)字，而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護(hù)因子。IEC 61508國際標(biāo)準(zhǔn)目的是建立一個可應(yīng)用于各種工業(yè)領(lǐng)域的基本功能安全標(biāo)準(zhǔn)，其核心內(nèi)容是通過應(yīng)用包括E/E/PES或其他工業(yè)技術(shù)構(gòu)成的安全功能，把對人類和環(huán)境存在的潛在危險(xiǎn)降至最低[4]。IEC 61508標(biāo)準(zhǔn)的核心思想為SIL安全等級的識別或評估與降解受控。

1.4 風(fēng)險(xiǎn)評估

性能等級（PL）和安全完整性等級（SIL）針對安全性能評估定義了一種清晰的分層量化方法。為了保證每一個安全功能都能達(dá)到高可靠性，控制系統(tǒng)安全相關(guān)部件（SRP/CS）必須使用算法進(jìn)行設(shè)計(jì)。這些算法考慮了安全相關(guān)電路中所有的元件和設(shè)備，標(biāo)準(zhǔn)也使用了不同的詞匯和說明圖標(biāo)。作為安全功能一部分的不同SRP/CS，其PL應(yīng)大于或等于該安全功能所需的性能等級（PLr）。SRP/CS實(shí)現(xiàn)的風(fēng)險(xiǎn)減小總和越多PLr就越高。

表1 安全性能SIL和PL對照表

ISO 13849-1確保所有與安全相關(guān)的電路（電動、液壓和氣壓）的設(shè)計(jì)都針對指定的安全功能，滿足確定的性能等級，將危險(xiǎn)層級降低到可以接受的水平。安全功能的危險(xiǎn)失效概率取決于軟硬件結(jié)構(gòu)，主要針對部件可靠性平均危險(xiǎn)失效時間（MTTFd），故障檢測裝置的范圍的診斷覆蓋率（DCavg），設(shè)計(jì)流程、環(huán)境條件和操作程序等 。

B10d值：在B10值測試中，通常至少為十個機(jī)器樣品在適合的典型條件下進(jìn)行檢測。操作周期的平均樹木達(dá)到危險(xiǎn)條件樣品故障的10%之前被稱為B10d值。

MTTFd：平均危險(xiǎn)失效時間與上面的數(shù)值相同，但是只考慮了危險(xiǎn)失效。減小元件級的故障概率； 目的是減小影響安全功能的故障或失效的可能性，可以通過增加元件的可靠性來實(shí)現(xiàn)。

DCavg：平均診斷覆蓋率是上述覆蓋率的平均值?？梢允褂檬Ｊ郊坝绊懛治觯‵MEA）或類推的方法來估算DCavg。

CCF：共因失效。如果有一個失效或者條件影響了在其他情況下彼此獨(dú)立的多個設(shè)備，認(rèn)為這是一個共因失效。同一事件引起的不同產(chǎn)品的失效；這些失效相互之間沒有因果關(guān)系。

PFHd：每小時危險(xiǎn)失效概率，但是它只考慮危險(xiǎn)失效。

安全相關(guān)設(shè)備的PL等級可由B10d，MTTFd，DCavg，CCF，PFHd計(jì)算得出，如下以急停開關(guān)為例介紹了PL等級的計(jì)算方法。圖2中的急停開關(guān)將觸發(fā)故障安全型PLC的保護(hù)，接觸器K1和K2隨之失電，電機(jī)停轉(zhuǎn)。觸發(fā)復(fù)位開關(guān)后，接觸器重新得點(diǎn)，電機(jī)將在啟動開關(guān)觸發(fā)后重新運(yùn)轉(zhuǎn)。

圖2 單一急停系統(tǒng)的配置圖

圖3 單一急停系統(tǒng)的時序圖

通過安全相關(guān)設(shè)備的參數(shù)[5]可計(jì)算出每小時危險(xiǎn)失效概率（PFHd），結(jié)合安全類別目錄可得出此設(shè)備相應(yīng)的性能等級（PL）。在本例中，性能安全等級由IFA提供的PL評估工具SISTEMA計(jì)算[6]。

圖4 單一急停系統(tǒng)的方框圖

表2 安全相關(guān)設(shè)備的參數(shù)

2 安全區(qū)設(shè)計(jì)原則

現(xiàn)場總線技術(shù)的發(fā)展，改變了汽車廠控制系統(tǒng)的控制結(jié)構(gòu)，近年新上項(xiàng)目均采用了以現(xiàn)場總線和分布式I/O為主的控制結(jié)構(gòu)。開放式現(xiàn)場總線技術(shù)的使用，不僅能使不同供貨商的設(shè)備共存于一個總線系統(tǒng)中，而且還能簡化布線，加快信息在數(shù)字網(wǎng)絡(luò)上的傳播。

2.1 工業(yè)機(jī)器人安全定義及安全區(qū)設(shè)計(jì)

機(jī)器人到安全欄的移動距離。高暴露區(qū)域的，機(jī)器人需在防護(hù)柵欄內(nèi)的設(shè)定停滯。這是通過鑒定所定義的工作場所。但是，機(jī)器人的超限空間是必須的。

表3 機(jī)器人各系統(tǒng)安全程度定義

1）查看標(biāo)注顏色，高危區(qū)域?yàn)榧t色，低危區(qū)域?yàn)辄S色，安全區(qū)域?yàn)榫G色。

高危區(qū)域：在機(jī)器人可觸及范圍內(nèi)EBF、上件位、導(dǎo)出工位必須標(biāo)為紅色。

低危區(qū)域：在機(jī)器人可觸及范圍內(nèi)，但無人工作的區(qū)域例如圍欄、BRT屏標(biāo)為黃色。

安全區(qū)域：在機(jī)器人不可及范圍內(nèi)，即機(jī)器人周圍的仿真圈外部，標(biāo)為綠色。

2）查看該安全區(qū)內(nèi)的安全機(jī)器人數(shù)目與提交的文檔中機(jī)器人數(shù)目與名字能夠匹配。

圖5 工業(yè)機(jī)器人安全定義

3）注意查看高危級別的安全機(jī)器人與低級別的安全機(jī)器人劃分是否正確。

高級別安全機(jī)器人：需要與人工交互的安全機(jī)器人，例如上件位、導(dǎo)出工位等，標(biāo)注顏色為藍(lán)色；

低級別安全機(jī)器人：在機(jī)器人的仿真圈內(nèi)存在人員活動區(qū)域的，但該機(jī)器人不需要進(jìn)行交互的，則定義為低級別安全機(jī)器人，標(biāo)注顏色為紫色，如圖5所示。

1）監(jiān)控空間的形式稱應(yīng)為受保護(hù)區(qū)或?yàn)楣ぷ鲄^(qū)。

受保護(hù)區(qū)：一般是用在機(jī)器人可及范圍內(nèi)的上位機(jī)、上件工位、導(dǎo)出工位這幾個區(qū)域，其中上位機(jī)需要激發(fā)方式為保持開啟，上件工位與導(dǎo)出工位激發(fā)方式為輸入信號開啟。另一種情況為在非機(jī)器人工作區(qū)的上件工位與導(dǎo)出工位的激發(fā)方式需要為保持開啟。

工作區(qū)：此保護(hù)區(qū)一般針對特殊的工作方式需要精密控制的，例如激光焊中的填絲熔焊與飛行焊，因?yàn)榧す獾奈ｋU(xiǎn)性需要及時精密的控制，加入此保護(hù)區(qū)意味著只有當(dāng)激光發(fā)射端進(jìn)入此區(qū)域后才允許發(fā)射激光。

2）監(jiān)控空間在技術(shù)文檔中需要包含這些信息：類型、參考系統(tǒng)、激發(fā)方式、停車邊界、工件或工具需要被包含在工具保護(hù)球中。

2.2 安全測試標(biāo)準(zhǔn)

每套PLC有若干個安全區(qū)，用安全圍欄做區(qū)分，可用作不同安全區(qū)分開運(yùn)行全自動模式或手動模式。每套PLC有獨(dú)立的急停區(qū)域，即某一個安全輸入設(shè)備觸發(fā)后，故障安全型PLC將切換到安全狀態(tài)，并通過的診斷信息來檢測故障點(diǎn)和定位系統(tǒng)，以保證控制系統(tǒng)在故障復(fù)位后快速恢復(fù)生產(chǎn)。

3 軟件設(shè)計(jì)

故障安全型PLC的安全測試軟件設(shè)計(jì)的四個主要目標(biāo)如下：

1）確保安全矩陣中所有安全輸入設(shè)備被測試；

2）用于檢查安全停車是否嚴(yán)格按照安全停車矩陣執(zhí)行；

3）用于確保檢查結(jié)果被可靠存檔；

4）在檢查間隔到達(dá)后，用于要求重復(fù)檢查所有安全設(shè)備。

3.1 功能描述

圖6 安全測試功能概述

安全停車矩陣用于自動化控制系統(tǒng)的初始化測試和年檢測試。為實(shí)現(xiàn)全自動檢測，安全停車矩陣中條目將由Excel工具導(dǎo)入西門子PLC S7數(shù)據(jù)塊（DBs）。功能塊FB 7用于檢測控制系統(tǒng)中全面的安全設(shè)備和安全停車矩陣，在人機(jī)界面上顯示信號偏差。使用安全輸入設(shè)備，功能塊來決定它是否被觸發(fā)，指定的執(zhí)行器被檢查緊急停車狀態(tài)，根據(jù)安全矩陣。停車故障由一個故障信息指示。此外，檢查指定的執(zhí)行器在確認(rèn)前不改變狀態(tài)，確認(rèn)后改變狀態(tài)。確認(rèn)故障或啟動故障由一個故障信息指示，正確的觸發(fā)一個安全設(shè)備的信息被儲存在一個帶有時間戳（年月日）的數(shù)據(jù)塊（DB）中。如果停車測試的間隔超過期限（例如，期限為6個月），出錯信息會顯示出來功能FB7僅用于可以處理FB和DB的S7 CPU。因此S7程序與會安全停車矩陣進(jìn)行比較。此功能與生產(chǎn)系統(tǒng)獨(dú)立。并且此功能不會觸發(fā)任何安全設(shè)備或執(zhí)行器，僅檢測它們。

3.2 設(shè)計(jì)架構(gòu)

為實(shí)現(xiàn)測試功能，需在西門子Step7項(xiàng)目中集成一個用戶自定義功能塊FB7，并不需要組織塊（OB）調(diào)用。在預(yù)設(shè)的安全測試間隔結(jié)束后，系統(tǒng)會自動生成相關(guān)報(bào)警信息，此功能FB7可由上位機(jī)的人機(jī)界面觸發(fā)。功能塊FB7的設(shè)計(jì)架構(gòu)如圖7所示。

圖7 安全測試功能塊的設(shè)計(jì)架構(gòu)

3.3 安全測試方法

如果安全設(shè)備被觸發(fā)（兩路輸入＜＞儲存狀態(tài)），一段延時后FB功能塊檢查是否緊急停車設(shè)備當(dāng)前狀態(tài)與保存狀態(tài)不同（停車檢查）。如果某個安全設(shè)備當(dāng)前狀態(tài)與保存狀態(tài)一致，此設(shè)備相關(guān)的報(bào)錯信息“安全停車/確認(rèn)錯誤”會被觸發(fā)，并且在人機(jī)界面上顯示“停車錯誤”，檢查流程被中斷。

如果安全設(shè)備恢復(fù)正常，它需要被確認(rèn)。在確認(rèn)前，安全設(shè)備當(dāng)前狀態(tài)與保存狀態(tài)不同（確認(rèn)檢查）。如果出現(xiàn)錯誤，此設(shè)備相關(guān)的報(bào)錯信息“安全停車/確認(rèn)錯誤”會被觸發(fā)。如果執(zhí)行器在確認(rèn)時維持2秒的保存狀態(tài)，然后沒有錯誤信息。如果出現(xiàn)錯誤，人機(jī)界面上將顯示“確認(rèn)錯誤”，檢查流程被中斷。確認(rèn)后經(jīng)過一段預(yù)設(shè)的延時，停車設(shè)備需與保存狀態(tài)一致（啟動檢查）。如果出現(xiàn)錯誤，此設(shè)備相關(guān)的報(bào)錯信息“安全停車/確認(rèn)錯誤”會被觸發(fā)，并且在人機(jī)界面上顯示“啟動錯誤”，檢查流程被中斷。如果確定延時的設(shè)定值為0，將不執(zhí)行啟動檢查。如果所有檢查都正常后，檢查時間戳將被儲存，并且生成一個日志信息“安全測試正?！辈@示6秒左右。針對每個安全設(shè)備，確定延時被設(shè)定在安全測試矩陣中。檢查流程在每個安全設(shè)備狀態(tài)與保存狀態(tài)一致的情況下開始，并且每次只有一個安全設(shè)備被觸發(fā)。如果某個安全設(shè)備報(bào)出“停車/確認(rèn)錯誤”，這個信息不可以在檢查流程時被重置。如果檢查流程被中斷，“停車/確認(rèn)錯誤”將會保持，直到所有檢查流程正常結(jié)束。測試下個緊急停車設(shè)備，需在檢查流程結(jié)束后進(jìn)行。正常檢查的流程時序圖如圖7所示。

圖8 正常檢查流程時序圖

1）觸發(fā)緊急停車設(shè)備

確定信號被儲存，停車時間開始計(jì)時。

2）時間到期（停車檢查）

異常：錯誤信息，中斷檢查；

正常：詢問停車設(shè)備的變換狀態(tài)，保存狀態(tài)的相反關(guān)系。

3）停車狀態(tài)正常（確認(rèn)檢查）

異常：停車設(shè)備如果沒有變換狀態(tài)，將顯示錯誤信息，中斷檢查；

正常：如果停車設(shè)備變換狀態(tài)，并且在下面2秒內(nèi)確認(rèn)，將沒有錯誤信息。

4）確認(rèn)（變換到保存狀態(tài)）

如果確認(rèn)的延遲時間非零，計(jì)時（確認(rèn)延時）開始，跳轉(zhuǎn)到5）；

如果確認(rèn)的延時時間為零，保存時間戳并生成日志信息。

5）時間到期（啟動檢查），詢問停車設(shè)備狀態(tài)與保存狀態(tài)是否一致

異常：出現(xiàn)錯誤信息，中斷檢查，錯誤信息不能被確認(rèn) ；

正常：保存時間戳并生成日志信息，重置錯誤信息。

以下三種情況，檢查流程將被中斷：

1）如果緊急停車設(shè)備在延遲時間結(jié)束前切換到正常狀態(tài)；

2）如果安全設(shè)備在正常檢查后重復(fù)觸發(fā)（在確認(rèn)前或在確認(rèn)延時中）；

3）如果測試期間有第二個安全輸入設(shè)備被觸發(fā)。

中斷檢查后，下一輪檢查將在所有安全設(shè)備狀態(tài)與保存狀態(tài)一致的情況下開始。

4 結(jié)束語

針對汽車制造的焊裝車間對控制系統(tǒng)的柔性和序列化生產(chǎn)的需求，以上介紹了可用于西門子319F型PLC的安全測試方法并提供量化的評估，從以前關(guān)注單一產(chǎn)品的安全性能提高到系統(tǒng)整體的功能安全，實(shí)現(xiàn)了集成故障安全的控制系統(tǒng)的可靠性、可用性和可維護(hù)性，從而最大限度的保證了生產(chǎn)現(xiàn)場的安全性，提升企業(yè)的核心競爭力。

圖9 檢查發(fā)生中斷時序圖

[1]坂東衛(wèi)持.兼顧生產(chǎn)性和安全性兩方面的需求歐姆龍以最新技術(shù)確保制造現(xiàn)場的安全[J].制造業(yè)自動化,2005,27:73-75.

[2]中國國家標(biāo)準(zhǔn)化管理委員會.GB-T 25928-2010[S].北京:中國標(biāo)準(zhǔn)出版社,2011.

[3]劉輝,劉猛,倪文婧.基于故障安全型PLC快速裝車控制系統(tǒng)的研究[J].電子世界,2014:204-204.

[4]惠敦炎.FROFlsafe:PROFIBUS故障安全通信技術(shù)探討[J].國內(nèi)外機(jī)電一體化技術(shù),2004,(1):7-14.

[5]NECA catalog. www.necagate.com/safety.

[6]Institut fuer Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung(IFA).www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp.

Safety test method of Beijing Benz body shop control system based on PROFIsafe

DU Wen-bo, HAN Peng, PAN Xiao-gang

開發(fā)了一種基于PROFInet的功能安全測試標(biāo)準(zhǔn)和實(shí)施方法，闡述了西門子分布式安全系統(tǒng)和自動化生產(chǎn)線安全區(qū)設(shè)計(jì)的原則，設(shè)計(jì)了測試安全元素的PLC軟件程序。以保證柔性化自動生產(chǎn)線全面的設(shè)備安全性和可靠性，并且符合工業(yè)功能安全的國際標(biāo)準(zhǔn)IEC 61508。

PROFInet；風(fēng)險(xiǎn)評估；功能安全測試；分布式安全；IEC 61508

杜文博（1988 -），男，江蘇徐州人，工程師，碩士，研究方向?yàn)樽詣踊刂葡到y(tǒng)。

TP29

A

1009-0134(2015)12(上)-0044-06

10.3969/j.issn.1009-0134.2015.23.12

2015-09-17