基于PROFIsafe的北京奔驰焊装车间控制系统的安全测试方法

杜文博，韩 鹏，潘晓刚

（北京奔驰汽车有限公司，北京 100176）

基于PROFIsafe的北京奔驰焊装车间控制系统的安全测试方法

杜文博，韩 鹏，潘晓刚

（北京奔驰汽车有限公司，北京 100176）

0 引言

在汽车制造行业，为满足柔性的序列化生产需求，控制系统的自动化水平和信息化水平需要随之提高，大量的工业机器人和装配机械手的出现，造成了许多需要安全保护的危险区域。本文介绍了在北京奔驰汽车有限公司采用的安全测试标准和实施方法，以保证柔性化自动生产线全面的设备安全性和可靠性。

如今的汽车制造等现场，由于操作者误入到危险区域、传感器故障而导致的工伤事故时有发生。如果使用安全控制系统，则可以自动识别危险并立即停止设备，从而确保操作者和设备的安全。特别是在使用机器人的冲压生产线、汽车焊接生产线等高危险的工作区域，对单台设备甚至对整个流水线的安全控制都是非常必要的。在危险的设备上应用安全控制系统，能够有效减少劳动灾害，确保制造现场的安全性和生产性[1]。

为验证工业自动化控制系统符合标准规范，产品工厂验收测试（FAT），用来验证指定的系统功能测试、稳定性测试、可用性测试。现场验收测试（SAT），用作验证控制系统的安装是否符合规范[2]。现场综合测试（SIT），用来验证不同的系统是否已整合为一个完整的系统，并且所有部件已按要求正常协同工作。本文介绍一种在北京奔驰焊装车间控制系统的安全测试方法，可用于工厂安全验收测试和功能安全设备的年检，作为一种SIT方法。

1 分布式安全系统的概念

分布式安全系统的目标是通过使用基于PROFInet安全技术的控制系统安全相关部件（SRP/CS），使人身安全和环境所面临的危险最小化，同时不会对必要的工业生产、机械和化工产品的使用产生限制。

分布式安全系统采用的故障安全型PLC用于检测到系统故障尤其是危险故障时能使系统回到安全状态，并通过详细的诊断信息来改善故障检测和定位系统，保证系统在安全相关的中断后快速恢复生产[3]。分布式安全系统的最大特色是生产安全系统和控制系统的融合。

采用PROFIsafe为安全通信协议，实现了控制网络和安全网络的集成，简化了控制网络结构，节省了安装成本和工程施工时间，使系统具有了可靠的安全保护装置，为安全、稳定生产提供保障。

1.1 PROFIsafe协议

PROFIsafe是一种分布式系统的安全通信技术，使标准现场总线技术和故障安全技术合为一个系统，即故障安全通信和标准通信共用一条通信链路。PROFIsafe协议符合IEC 61784-3-3和中国标准（GB/Z20830-2007），并且其在PROFInet上运用的安全性达到了IEC 61508中SIL3的等级。

PROFInet在ISO/OSI模型中仅使用了第1层（物理层）、第2层（数据链路层）和第7层（应用层），PROFIsafe安全总线协议置于第7层之上的安全层。由于该层仅对有效数据的安全传送负责，它需要上层负责准备与提供有效数据，而在一个安全现场设备（例如：安全输入）中是由它的技术固件来施行的。这类固件通常至少有一部分是按照故障安全技术要求设计的。在冗余的硬、软件结构中嵌入PROFIsafe功能也可以达到上述目的。同标准操作一样，过程信号及过程数据出现在相应的有效报文中[4]。

1.2 分布式安全设备

为保证安全高效的生产，一般在汽车制造现场，采用合理的系统配置和高安全性的自动化产品。图1介绍了基于PROFInet+PROFIsafe协议的北京奔驰焊装车间的控制系统结构和基本线路图。

图1 控制系统结构和基本线路图

安全输入设备有安全光幕/光栅、激光扫描仪、急停按钮、维修开关和安全门开关等产品，性能级别可达到PLe。安全控制系统方面采用了西门子故障安全型319F PLC、PROFInet+PROFIsafe安全总线协议、分布式安全模块F-DI/F-DO等，性能级别可达到PLd/PLe。可被安全停车的的设备（被控安全输出设备）有工业机器人、驱动器、阀和接触器等，性能级别可达到PLd/PLe。

1.3 功能安全标准IEC 61508

功能安全规范要求通常将一个部件或系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。IEC 61508国际标准目的是建立一个可应用于各种工业领域的基本功能安全标准，其核心内容是通过应用包括E/E/PES或其他工业技术构成的安全功能，把对人类和环境存在的潜在危险降至最低[4]。IEC 61508标准的核心思想为SIL安全等级的识别或评估与降解受控。

1.4 风险评估

性能等级（PL）和安全完整性等级（SIL）针对安全性能评估定义了一种清晰的分层量化方法。为了保证每一个安全功能都能达到高可靠性，控制系统安全相关部件（SRP/CS）必须使用算法进行设计。这些算法考虑了安全相关电路中所有的元件和设备，标准也使用了不同的词汇和说明图标。作为安全功能一部分的不同SRP/CS，其PL应大于或等于该安全功能所需的性能等级（PLr）。SRP/CS实现的风险减小总和越多PLr就越高。

表1 安全性能SIL和PL对照表

ISO 13849-1确保所有与安全相关的电路（电动、液压和气压）的设计都针对指定的安全功能，满足确定的性能等级，将危险层级降低到可以接受的水平。安全功能的危险失效概率取决于软硬件结构，主要针对部件可靠性平均危险失效时间（MTTFd），故障检测装置的范围的诊断覆盖率（DCavg），设计流程、环境条件和操作程序等 。

B10d值：在B10值测试中，通常至少为十个机器样品在适合的典型条件下进行检测。操作周期的平均树木达到危险条件样品故障的10%之前被称为B10d值。

MTTFd：平均危险失效时间与上面的数值相同，但是只考虑了危险失效。减小元件级的故障概率； 目的是减小影响安全功能的故障或失效的可能性，可以通过增加元件的可靠性来实现。

DCavg：平均诊断覆盖率是上述覆盖率的平均值。可以使用失效模式及影响分析（FMEA）或类推的方法来估算DCavg。

CCF：共因失效。如果有一个失效或者条件影响了在其他情况下彼此独立的多个设备，认为这是一个共因失效。同一事件引起的不同产品的失效；这些失效相互之间没有因果关系。

PFHd：每小时危险失效概率，但是它只考虑危险失效。

安全相关设备的PL等级可由B10d，MTTFd，DCavg，CCF，PFHd计算得出，如下以急停开关为例介绍了PL等级的计算方法。图2中的急停开关将触发故障安全型PLC的保护，接触器K1和K2随之失电，电机停转。触发复位开关后，接触器重新得点，电机将在启动开关触发后重新运转。

图2 单一急停系统的配置图

图3 单一急停系统的时序图

通过安全相关设备的参数[5]可计算出每小时危险失效概率（PFHd），结合安全类别目录可得出此设备相应的性能等级（PL）。在本例中，性能安全等级由IFA提供的PL评估工具SISTEMA计算[6]。

图4 单一急停系统的方框图

表2 安全相关设备的参数

2 安全区设计原则

现场总线技术的发展，改变了汽车厂控制系统的控制结构，近年新上项目均采用了以现场总线和分布式I/O为主的控制结构。开放式现场总线技术的使用，不仅能使不同供货商的设备共存于一个总线系统中，而且还能简化布线，加快信息在数字网络上的传播。

2.1 工业机器人安全定义及安全区设计

机器人到安全栏的移动距离。高暴露区域的，机器人需在防护栅栏内的设定停滞。这是通过鉴定所定义的工作场所。但是，机器人的超限空间是必须的。

表3 机器人各系统安全程度定义

1）查看标注颜色，高危区域为红色，低危区域为黄色，安全区域为绿色。

高危区域：在机器人可触及范围内EBF、上件位、导出工位必须标为红色。

低危区域：在机器人可触及范围内，但无人工作的区域例如围栏、BRT屏标为黄色。

安全区域：在机器人不可及范围内，即机器人周围的仿真圈外部，标为绿色。

2）查看该安全区内的安全机器人数目与提交的文档中机器人数目与名字能够匹配。

图5 工业机器人安全定义

3）注意查看高危级别的安全机器人与低级别的安全机器人划分是否正确。

高级别安全机器人：需要与人工交互的安全机器人，例如上件位、导出工位等，标注颜色为蓝色；

低级别安全机器人：在机器人的仿真圈内存在人员活动区域的，但该机器人不需要进行交互的，则定义为低级别安全机器人，标注颜色为紫色，如图5所示。

1）监控空间的形式称应为受保护区或为工作区。

受保护区：一般是用在机器人可及范围内的上位机、上件工位、导出工位这几个区域，其中上位机需要激发方式为保持开启，上件工位与导出工位激发方式为输入信号开启。另一种情况为在非机器人工作区的上件工位与导出工位的激发方式需要为保持开启。

工作区：此保护区一般针对特殊的工作方式需要精密控制的，例如激光焊中的填丝熔焊与飞行焊，因为激光的危险性需要及时精密的控制，加入此保护区意味着只有当激光发射端进入此区域后才允许发射激光。

2）监控空间在技术文档中需要包含这些信息：类型、参考系统、激发方式、停车边界、工件或工具需要被包含在工具保护球中。

2.2 安全测试标准

每套PLC有若干个安全区，用安全围栏做区分，可用作不同安全区分开运行全自动模式或手动模式。每套PLC有独立的急停区域，即某一个安全输入设备触发后，故障安全型PLC将切换到安全状态，并通过的诊断信息来检测故障点和定位系统，以保证控制系统在故障复位后快速恢复生产。

3 软件设计

故障安全型PLC的安全测试软件设计的四个主要目标如下：

1）确保安全矩阵中所有安全输入设备被测试；

2）用于检查安全停车是否严格按照安全停车矩阵执行；

3）用于确保检查结果被可靠存档；

4）在检查间隔到达后，用于要求重复检查所有安全设备。

3.1 功能描述

图6 安全测试功能概述

安全停车矩阵用于自动化控制系统的初始化测试和年检测试。为实现全自动检测，安全停车矩阵中条目将由Excel工具导入西门子PLC S7数据块（DBs）。功能块FB 7用于检测控制系统中全面的安全设备和安全停车矩阵，在人机界面上显示信号偏差。使用安全输入设备，功能块来决定它是否被触发，指定的执行器被检查紧急停车状态，根据安全矩阵。停车故障由一个故障信息指示。此外，检查指定的执行器在确认前不改变状态，确认后改变状态。确认故障或启动故障由一个故障信息指示，正确的触发一个安全设备的信息被储存在一个带有时间戳（年月日）的数据块（DB）中。如果停车测试的间隔超过期限（例如，期限为6个月），出错信息会显示出来功能FB7仅用于可以处理FB和DB的S7 CPU。因此S7程序与会安全停车矩阵进行比较。此功能与生产系统独立。并且此功能不会触发任何安全设备或执行器，仅检测它们。

3.2 设计架构

为实现测试功能，需在西门子Step7项目中集成一个用户自定义功能块FB7，并不需要组织块（OB）调用。在预设的安全测试间隔结束后，系统会自动生成相关报警信息，此功能FB7可由上位机的人机界面触发。功能块FB7的设计架构如图7所示。

图7 安全测试功能块的设计架构

3.3 安全测试方法

如果安全设备被触发（两路输入＜＞储存状态），一段延时后FB功能块检查是否紧急停车设备当前状态与保存状态不同（停车检查）。如果某个安全设备当前状态与保存状态一致，此设备相关的报错信息“安全停车/确认错误”会被触发，并且在人机界面上显示“停车错误”，检查流程被中断。

如果安全设备恢复正常，它需要被确认。在确认前，安全设备当前状态与保存状态不同（确认检查）。如果出现错误，此设备相关的报错信息“安全停车/确认错误”会被触发。如果执行器在确认时维持2秒的保存状态，然后没有错误信息。如果出现错误，人机界面上将显示“确认错误”，检查流程被中断。确认后经过一段预设的延时，停车设备需与保存状态一致（启动检查）。如果出现错误，此设备相关的报错信息“安全停车/确认错误”会被触发，并且在人机界面上显示“启动错误”，检查流程被中断。如果确定延时的设定值为0，将不执行启动检查。如果所有检查都正常后，检查时间戳将被储存，并且生成一个日志信息“安全测试正常”并显示6秒左右。针对每个安全设备，确定延时被设定在安全测试矩阵中。检查流程在每个安全设备状态与保存状态一致的情况下开始，并且每次只有一个安全设备被触发。如果某个安全设备报出“停车/确认错误”，这个信息不可以在检查流程时被重置。如果检查流程被中断，“停车/确认错误”将会保持，直到所有检查流程正常结束。测试下个紧急停车设备，需在检查流程结束后进行。正常检查的流程时序图如图7所示。

图8 正常检查流程时序图

1）触发紧急停车设备

确定信号被储存，停车时间开始计时。

2）时间到期（停车检查）

异常：错误信息，中断检查；

正常：询问停车设备的变换状态，保存状态的相反关系。

3）停车状态正常（确认检查）

异常：停车设备如果没有变换状态，将显示错误信息，中断检查；

正常：如果停车设备变换状态，并且在下面2秒内确认，将没有错误信息。

4）确认（变换到保存状态）

如果确认的延迟时间非零，计时（确认延时）开始，跳转到5）；

如果确认的延时时间为零，保存时间戳并生成日志信息。

5）时间到期（启动检查），询问停车设备状态与保存状态是否一致

异常：出现错误信息，中断检查，错误信息不能被确认 ；

正常：保存时间戳并生成日志信息，重置错误信息。

以下三种情况，检查流程将被中断：

1）如果紧急停车设备在延迟时间结束前切换到正常状态；

2）如果安全设备在正常检查后重复触发（在确认前或在确认延时中）；

3）如果测试期间有第二个安全输入设备被触发。

中断检查后，下一轮检查将在所有安全设备状态与保存状态一致的情况下开始。

4 结束语

针对汽车制造的焊装车间对控制系统的柔性和序列化生产的需求，以上介绍了可用于西门子319F型PLC的安全测试方法并提供量化的评估，从以前关注单一产品的安全性能提高到系统整体的功能安全，实现了集成故障安全的控制系统的可靠性、可用性和可维护性，从而最大限度的保证了生产现场的安全性，提升企业的核心竞争力。

图9 检查发生中断时序图

[1]坂东卫持.兼顾生产性和安全性两方面的需求欧姆龙以最新技术确保制造现场的安全[J].制造业自动化,2005,27:73-75.

[2]中国国家标准化管理委员会.GB-T 25928-2010[S].北京:中国标准出版社,2011.

[3]刘辉,刘猛,倪文婧.基于故障安全型PLC快速装车控制系统的研究[J].电子世界,2014:204-204.

[4]惠敦炎.FROFlsafe:PROFIBUS故障安全通信技术探讨[J].国内外机电一体化技术,2004,(1):7-14.

[5]NECA catalog. www.necagate.com/safety.

[6]Institut fuer Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung(IFA).www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp.

Safety test method of Beijing Benz body shop control system based on PROFIsafe

DU Wen-bo, HAN Peng, PAN Xiao-gang

开发了一种基于PROFInet的功能安全测试标准和实施方法，阐述了西门子分布式安全系统和自动化生产线安全区设计的原则，设计了测试安全元素的PLC软件程序。以保证柔性化自动生产线全面的设备安全性和可靠性，并且符合工业功能安全的国际标准IEC 61508。

PROFInet；风险评估；功能安全测试；分布式安全；IEC 61508

杜文博（1988 -），男，江苏徐州人，工程师，硕士，研究方向为自动化控制系统。

TP29

A

1009-0134(2015)12(上)-0044-06

10.3969/j.issn.1009-0134.2015.23.12

2015-09-17