运动控制领域的机器安全技术

贝加莱工业自动化（上海）有限公司 宋华振

运动控制领域的机器安全技术

贝加莱工业自动化（上海）有限公司 宋华振

1 引言

运动控制领域的安全技术是机器安全控制的重要一环，在IEC62061/EN13849的规范中，关于运动控制的安全技术包含了多项，然而必须落实在具体的应用并为生产及人员带来安全保证，才能有实际的应用。事实上，运动控制的安全概念涉及了较多方面。

2 安全技术思想的转变

近年，安全技术正在成为工业自动化领域最为关注的技术热点，然而，关于安全，尽管少数专业人士对其较为了解，但大部分人对其理解仍然是局部和片面的，有几个重要思想必须得以纠正，否则就会产生因安全技术的片面了解而导致安全技术无法做出全局判断。

2.1 安全技术涉及的是生命周期管理理念而非“产品概念”

“我们的产品符合SIL3等级认证”这是一个典型的产品概念，某个产品的SIL3等级认证仅代表这个产品满足认证所要求的电气器件设计的安全要求，不代表系统的安全等级是SIL3，因为安全系统必须是一个全局的，全生命周期的概念，任何孤立的看待它的思想都是不合适的，它是一个从系统风险评估、方案确定、设计、测试、仿真、运行、升级、维护全过程必须遵循安全规范与标准的过程。安全系统更多意义是一个管理思想在技术上的延伸，而非仅仅是一个技术问题或者产品问题。

概括来讲，安全系统更接近一个“生产运行的管理系统”，而非一个技术或产品的构成，任何将安全理解为技术和产品的概念均是“局部的”或“片面的”。

2.2 安全带来的是收益而非无回报的投入

安全系统的另一个问题在于企业对于安全投入的忽视，因为，安全系统总是被认为投入而没有大的作用，另外就是会增加成本而无法实现，事实上，安全系统会给企业带来收益体现在以下几个方面：

2.2.1 安全带来的生产效率提升

对于安全系统而言，由于采用了新的安全设计如贝加莱（B&R）提供的智能安全响应技术（Smart Safe Reaction）可以在不停机状态下确保人身的安全，并同时确保了生产的连续性，人身安全对于企业的风险在于人身事故所带来的潜在赔付与法律责任的成本，而这一成本在安全得到更为重视的今天也变得更为巨大，因此，安全系统带来的不仅仅是人身安全潜在利益，也在于生产连续性避免生产再制品的损失。

2.2.2 安全保护重要的设备投资

对于重要的设备如注塑模具、挤出机螺杆、纺织机械以及包装机械设备的高精度凸轮机构、风力发电机组、燃气轮机等关键高值设备而言，安全系统也能确保他们避免被损坏，甚至损毁所带来的潜在巨大财产损失。

2.2.3 安全技术突破技术壁垒与市场进入的准入证

对于未来，国产设备若想要进入全球市场，安全技术会成为潜在的市场进入壁垒，而安全技术将成为未来机器领域的一个重要技术壁垒，这是欧美日本等机械制造发达国家强调安全技术的重要性的原因，不仅仅是出于安全考虑，也是出于市场考虑，因此，必须未雨绸缪地实现对安全技术的研发与应用。

3 SafeMotion所涵盖的范围

运动控制的安全如同IEC61508所定义的思想，即，任何一个环节的单独安全并不代表整体的安全，功能安全一致性必须以整个系统的各个环节均为安全才能定义为安全系统，因此，它包含了安全的编码器、电机、驱动技术、安全编程、安全通信多个环节，当然也包含了本次并不列入介绍范围的安全逻辑——处理器的安全。

3.1 SafeMOTION安全驱动技术

驱动的安全是安全运动控制的核心，其基于安全的产品设计、功能开发、规范与标准，其中安全功能包含了STO、SS1、SLS、SMP等重要的功能设计要求，以确保运动过程的安全，本节将以贝加莱的SafeMOTION作为参考详细介绍其中一些关键的功能及应用实际。

3.1.1 STO-安全扭矩切出（如图1所示）

STO是最基本的安全功能，是通过硬接线方式来实现，直接的驱动触发信号接入，这是大多数驱动和变频器均具有的基本功能，STO功能用于阻止驱动器非预期的重新启动，根据EN60204-1,5.4的规约，STO使得驱动脉冲无效，并且切断掉电机的电源供应（EN60204-1 0类急停），这个状态在驱动内部可以监测。

例：当急停被按下时，必须切断电机的扭矩输出，当然，这个仅是指在需要切断扭矩输出的情况下，保持所设定的运动轴切断扭距，电机以自然惯性停车。

对于机器人应用而言，必须确保机械臂悬挂状态下的抱闸，安全功能需统筹考虑并设计。

图1 STO安全扭矩切出功能

3.1.2 SLS-安全限速（如图2所示）

对于一个运行中的机器，其动能非零状态即有潜在的危险，但是，降低速度即可确保人体受到伤害的大幅降低，同时也确保设备不会被中断运行，因为，对于很多运行中的设备而言，若重新启动可能意味着巨大的浪费。首先是在制品的破坏损失，由于启动所需的准备工时，例如纺纱过程、经编过程就会产生很大的重新穿纱和断纱处理工作。

SLS即为系统提供一个预先设置的限速，使得进入安全区域或者为了安全检修而进入低速运行状态，确保人身安全。

它的触发可以是外部的开关/光幕，这种方式对于机器比较常见，例如：经编机或机器人操作空间通常采用光幕来确保当人进入工作区间时机器的速度降低至较低状态，例如：从10m/s的线速度降低至1m/s，SLS必须在t0到t1这个时间区间降低速度，在安全系统中，这取决于安全通信总线的响应能力，对于基于实时以太网的网络可以在us级时间进行指令的传递并在ms级时间里实现安全速度的设定值。

图2 SLS安全限制速度

SLS功能用于监测驱动器到一个可编程的最大速度，四个不同的限制值可以被激活，在SOS情况下，速度设定点不自动影响，在SLS激活后，更高级的控制必须使得驱动在一个参考时间里降到速度限制以下。

3.1.3 SS1-安全停车（如图3所示）

当驱动的安全功能被激活并且运动由于负载惯量而没有足够快的停止，可以由整流器主动制动，这个集成的快速制动功能取消了受磨损影响的机械制动的需求。

图3 SS1安全停车1

当安全编码器被检测到失效，或者系统设计为具有SS1功能并被高一级的控制器激活SS1，对于SS1而言，其速度斜坡曲线可以被预先配置，系统监控其速度的下降，当下降至所设定的速度时即STO-切出扭矩，使得机器停车，应用时必须考虑到斜坡到达时的制动距离是否被计算为安全。

另外一个安全停车是SS2，不同于SS1是驱动提供完全停止扭矩。

3.1.4 SOS-安全运行停车（如图4所示）

SOS是对多轴应用的机器同步停车很重要的功能，当SOS被激活时，驱动器必须保持一个制动扭矩使得驱动轴保持当前位置，与SS1和SS2不同的在于驱动器并不自动制动，它由控制器给出斜坡下降，使得各个相关轴在可调整的延时里保持步调一致。

对于纺织机械如特里科经编机、细纱长车、多电机驱动的粗纱，以及印刷机的同步停车而言，至关重要，因为，这使得机器可以保持安全情况下，能够确保在制品如纱线、纸张、薄膜不被拉断，造成废品以及再开机的复杂机械与电气重启时间。

图4 安全运行停车SOS

3.1.5 SLI安全增量限制（如图5所示）

安全增量限制-由编码器的计算值来激活或安全逻辑设计激活，其配合其它如STO、SOS、SLS共同使用，当出现编码器未检测到、编码器失效值时该功能将被激活。

图5 SLI-安全限定增量功能

安全运动控制模块通过对编码器位置进行监控，也同时监测编码器的滞后偏差、失效等，并为位置设定窗口范围，在此范围内则不触发SLI功能，对于那些送料进给或传输的应用，通过监测增量可以确保送料在安全范围内，避免出现超量而带来的损害。

3.1.6 其它安全运动控制功能

除了以上几个功能外，限于篇幅，其它不做细节介绍，仅为参考，以贝加莱的SafeMOTION的功能设计为例，还包括一些其它的安全功能，如图6、图7所示。

图6 SMP示意图

SMP最大安全位置，控制器将监控安全位置窗口及独立于位置监控速度限制，以确保驱动器按照设计运行，并能安全找到原点。

图7 SLP-安全限定位置

安全限制位置SLP-这对于那些金属加工、CNC系统而言保证刀具的安全至关重要，SBC- SBC用于控制在零电流运转的制动，例如电机制动，刹车控制电路是一个故障安全，两通道设计，安全方向SDI确保不会产生因误操作而造成的禁止的反转，以确保机器与人员安全，限于篇幅不再赘述。

3.2 编码器与电机轴的连接监测（如图8所示）

图8 编码器与电机轴连接

安全运动控制必须考虑电机与编码器之间的轴连接的潜在风险，包括对轴的连接滞后偏差、编码器检测的破损与滑脱的监控，以确保运动控制的错误并及时响应。

编码器速度与负载速度不匹配，静态失调包括电机加速失控和编码器位置与负载位置不匹配的错误。

通过监测编码器的电气状态可以触发相关的安全机制，SS1、STO、SBC等功能均需监测编码器相应的速度、位置、滞后误差等。

3.3 机器人的安全-SafeROBOTICS

机器人的安全与同步定位控制的运动控制不同，其安全设计也不同于其它安全功能，最早为机器人提供基于总线技术安全的是来自贝加莱的SafeROBOTICS技术，该技术为机器人提供了运行操作空间的人身安全保证。

这项技术也被称为SLS&TCP，即，对机器人末端中心点的安全速度限制，它并不简单地类似SLS功能，因为，机器人的TCP速度并非由单个轴所定义，而且，它的安全动作也牵扯到机器人本身的计算，因此，它是一个更为复杂的安全设计，尽管从表面上看，它是利用降低速度来实现安全性。

机器人的安全是未来大量使用机器人时代必须考虑的因素。

4 安全设计与流程

安全系统的设计必须遵照严格的流程来进行，并设计为每个环节的验证和确认，否则将会导致无法达到预期的安全系统效果，在每个环节，均需参照国际IEC/ISO/EN标准来执行，并由经过认证的安全工程师来进行整个过程的监控，以及具有资质的认证机构如TÜV或SGS对整个安全过程进行全程认证。

4.1 安全管理系统建立

基于IEC61508和EN62601标准，对下列问题进行定义：

• 识别所有机器及周边安全相关的活动；

• 制定满足功能安全一致性要求的政策与管理策略；

• 明确相关人员责任；

• 文档过程、记录与资源管理；

• 验证并确认计划。

必须为机器的安全制定相应的管理体系，而不仅仅是技术和产品本身，因此，从这个角度说安全系统是一个管理系统问题并不为过，并且，IEC61508、EN62061及其它标准均采用的是基于生产运营管理的失效分析等方法与体系，其过程与管理运营控制遵循相同的管理理念与思想。

4.2 风险评估

可参考的标准有EN ISO12100-1：

• 判断机器可能造成的危害；

• 逐一评价已确定的风险（可能性、频次以及避免危害的可能性、严重性）。

这个阶段是非常重要的，所有的潜在的可能必须被考虑在内，风险评估的完整性、准确性是安全系统设计成功的基础保障。

4.3 降低安全风险

降低风险的措施，包括已有的安全设计方法，当然，也包括更安全的设计以及更好的设计流程，对于机械系统而言，相应的安全保护措施也必须予以考虑，对于相应的安全信息，从残留风险管理角度来看，也包括机器本体上的安全警示标签、警示灯、报警措施及操作规范与文件。

4.4 提出安全要求和设定目标

必须为安全系统设定目标，并且参考国际、行业、国内等相关标准的要求，例如：电梯行业、金属加工行业、船舶与交通等，各自有其对设备与系统的安全要求，作为安全目标，也可高于该目标。

SIL和PLC分别对应IEC61508和EN13849，其安全等级有相应的计算标准与方法，可参考相关资料。

4.5 设计实现安全功能系统

参考安全相关标准如EN ISO13849或EN62061等标准对运动控制相关的设计进行定义，如SIL和PL，对失效、错误响应时间、安全距离、危害的频次等相关参数进行计算并设计。

设计安全运动控制相关的功能块、架构与流程、编程并测试功能。

4.6 验证安全系统

使用子系统定义的SIL限制要求（SIL CL）来确定系统安全完整性，使用子系统定义的每小时危险失效发生的可能性（PFHd）来衡量系统随机硬件的安全完整性，使用常见失效原因分析（CCF）列表去检查所有必需的相关项目在创建的安全系统当中没有遗漏，根据SIL的定义确定获得SIL的水平。

4.7 文档化管理

对于安全系统而言，整个安全管理系统建立、目标设定、风险评估、系统设计、测试与验证所有过程必须制定严格的文档管理系统，并经认证，任何技术文档的缺失均代表安全系统不满足相关标准要求，也同样被认为不满足功能安全的要求。

4.8 认证符合标准

认证部分是最为重要的，由第三方认证机构对整个系统的管理系统、风险评估、设计等所有的文档、流程与规范、测试等全部进行按照标准的审核，才可以签字认证通过，未经认证的系统不能称为安全系统。

安全运动控制是一个非常严谨的设计过程，必须严格参考IEC61508、EN13849等国际标准并与安全技术提供商、认证机构、客户共同来完成，本文仅作参考。

宋华振（1972-）男，现任贝加莱工业自动化（上海）有限公司市场部经理、工程师，主要技术专长为运动控制和实时通信技术。