基于GB27607机械压力机电气安全系统的集成控制

邵光存，李海明，杨 帅，王学军，郭来平，姜新军

（1.济宁科力光电产业有限责任公司，山东 济宁 272000；2.济南铸造锻压机械研究所有限公司，山东 济南 250306）

机械压力机是用曲柄连杆或肘杆机构、凸轮机构、螺杆机构传动的锻压机械，通过对坯件施加强大的压力使其发生变形和断裂来加工零件，是机械工业中量大面广的工作母机。具有生产效率高，易于实现机械化、自动化等特点。同时，机械压力机操作时存在冲压、挤压等危险因素，如果在设计、制造和操作过程中，风险评估不充分或安全措施不够全面，将给操作者带来巨大伤害[1]。

1 我国机械压力机安全生产现状

为保障操作者人身安全，2011年GB27607机械压力机安全技术要求标准发布。标准从压力机设计、工作危险区域防护、控制系统、维保和其他危险等5个方面，提出机械压力机的基本安全要求。但2014年国家公布的机械压力机产品质量监督抽查结果，参与抽查的60家企业60批次产品，竟然发现51家企业生产的51批次产品不符合标准要求[2，3]。

分析其中原因，主要是企业和操作者对安全生产的重视程度或对功能安全的理解不充分。早在1996年美国率先实施过程工业仪表系统的安全标准，2000年国际电工委员发布了功能安全标准IEC 61508，2003年发布了适用于石油、化工等过程工业的标准IEC 61511，并成为美国国家标准。我国直到2006年才等同采用IEC 61508和IEC 61511，发布国家标准GB/T 20438和GB/T 21109，仅为推荐性标准而非强制性标准，且尚未发布与标准相应的应用指南或指令，某种程度上限制了功能安全标准在我国的实施步伐[4]。本文基于国情和GB 27607的安全要求，按照功能安全理念，从风险评估、安全完整性等级和安全生命周期三方面，提供一个经济可靠的机械压力机安全保护方案。

2 控制系统设计方案

用于机械压力机电气安全的控制系统采用ISO 13849-1指定的4类结构，两独立输入单元采用冗余方式接收外部设备信号，两控制单元独立进行逻辑处理，分别输出控制信号（图1）。急停、安全光幕、双手按钮等安全相关功能部件的工作状态，通过输入电路传送到控制单元，控制单元根据压力机特性和GB 27607的要求，采用失效断言技术判断安全设备的状态，输出安全控制信号，控制双联阀和急停工作并检测受控设备的状态，防止机床发生危险失效。

图1 安全控制系统4类结构框图

2.1 控制单元设计方案

控制单元产生系统工作指令，发送外部设备状态检测信号，通过外部开关设备和输入电路回读检测信号，根据返回的检测信号判断外部功能设备和布线状态，完成外部设备状态监控功能。根据GB 27607的安全要求和压力机工作逻辑需求处理外部安全设备的工作状态，通过安全输出控制机床运行。

控制单元由主控制核和从控制核组成，两控制核组成功能相同的双核系统，每个控制核包括控制模块、输入模块、功能模块、输出模块、测试模块和内核通信模块6部分，如图2所示。

图2 FPGA内部功能结构框图

2.1.1 主控制核设计方案

主控制核产生系统的工作指令，控制外围电路输出周期性检测信号，检测外部设备和机床电气的布线状态，形成闭合的检测信号链。根据返回的检测信号和设备特性，判断压力机的安全状态，控制压力机制动电路工作，防止发生冲压危险。

主核控制模块产生系统工作指令，协调内部各模块工作。测试模块接收工作指令，依次输出外部和内部测试信号，逐点检测外部设备和内部电路的工作状态，形成控制核、压力机安全设备、布线和控制系统内部电路的闭环信号链。输入模块根据测试信号依次判断每个输入信号的正确性，将输入信号状态发送到功能模块。功能模块根据每个压力机设备的特性处理输入信号，如根据GB/T 19671中ⅢC类型处理双手装置的功能逻辑，监控双手信号的一致性，采用失效断言技术判断双手装置的启动条件。对于安全光幕信号，检测输入信号安全性的同时，结合压力机工作状态处理安全光幕信号，压力机回程期间，启动安全光幕抑制功能，上死点位置启动安全光幕的自动复位功能，在保证安全的前提下提高压力机工作效率。输出模块根据功能模块处理结果，控制外部开关装置的工作状态，并在控制信号中调制动态检测信号，周期性检测外部开关装置的受控状态，形成输出和反馈的闭合信号链。内核通信模块将主控制核的指令信息、输入信号状态、输入设备处理状态、输出状态和故障检测状态等信息实时发送到从控制核，接收从控制核发送的相关信息，采用动态检测方法和失效断言技术检测两控制核工作状态的一致性。

2.1.2 从控制核设计方案

从控制核产生与主控制核相同的工作指令，用于主控制核输出信息的监控和输入信号的处理。根据内部功能模块处理结果，输出外部开关设备控制信号。从控制核内部各功能模块与主控制核相同，只有测试模块产生的测试信号不驱动外围电路工作，用于检测主控制核输出的测试信号。

两控制核配合工作，采用ISO13849中性能等级PLe推荐的技术，将外部压力机安全设备、机床电气布线、控制系统输入电路和控制核组成闭环的输入信号链，控制核与控制系统输出电路和压力机安全控制部件组成闭环的输出信号链，两控制核之间采用失效断言技术和动态检测方法，形成闭环监控信号链。两控制核组成独立的双通道，对每个安全输出可控可寻址，通过两核之间的动态监控实现1oo2D结构。控制核设计过程中，采用功能安全标准强烈推荐的模块化方法和半形式化方法等措施[5]，保障系统安全。

2.2 输入单元设计方案

输入单元采用光电隔离方式并行接收急停、安全门、光幕、凸轮、超程、模式、双手等安全设备的状态信号，将外部设备状态转换为内部逻辑电平后，内部检测电路按照测试模块的输出时序，逐路检测输入电路的正确性。通过外部测试和内部检测方式，动态监控压力机设备和输入电路的合法性，采用冗余方式将每个输入信号分别发送到两控制核。

2.3 输出单元设计方案

输出电路采用推挽结构输出控制信号，利用开关管交越特性反馈输出电路的工作状态。通过交越特性反馈输出状态，可有效避免电路故障引起调制和反馈信号短路导致的危险失效。两控制核独立控制输出单元的工作状态，依次输出每个输出通道的活性检测信号，交越产生的反馈信号依次输出到两控制核，两控制核采用失效断言技术判断反馈信号的正确性。为满足PLe系统的要求，采用动态检测技术监控每个输出通道的状态，同时采用双通道输出急停、安全阀等安全控制设备的驱动信号，通过EDM功能监控安全阀等设备的开关状态，实现输出控制的闭环监控。

3 结语

本文设计的安全控制系统，将急停、光幕、双联阀等机械压力机所有电气安全相关部件集成控制，根据压力机控制系统的工作指令完成冲压工作，保证压力机原有工作特性的基础上，对压力机的安全输入设备和安全控制设备进行闭环监控，实现危险操作区域的全方位防护，使机械压力机电气控制系统满足GB 27607的安全要求。安全控制系统性能等级达到PLe，安全完整性等级为SIL3，获得国际和国家权威机构的功能安全认证。系统的诊断覆盖率DC=99.99%，危险失效概率PFHD=1.15×10-8，单通道危险失效时间MTTFd=83.6年，其功能特性和安全特性都达到世界先进水平，安全输出电路部分获得国家发明专利。同时，本文设计的安全控制系统立足国情，在提高机械压力机电气系统安全性的同时，实现标准化生产，节约成本，促进工业安全和功能安全事业发展。

[1] 郭来平，周 敏.机械压力机安全生产现状及应对策略[J].现代职业安全，2006，63（ 11） ：82-83.

[2] 机械压力机产品质量国家监督抽查结果公告[EB].中国质量万里行，2014，（ 3）：60-61.

[3] 林 燕.部分机械压力机不符标准[R].中国质量技术监督，2014，（3）：32.

[4] 靳江红，吴宗之，赵寿堂，等.安全仪表系统的功能安全国内外发展综述[J].化工自动化仪表，2010，37（ 5）：1-5.

[5] IEC 61508-2010 Functionalsafety ofelectrical/electronic/programmable electronicsafety-related systems [S]. IEC，Geneva， Switzerland，2010.