压力机控制的故障安全系统应用

沈盛阳，裴建斌，董培培

（扬力集团股份有限公司，江苏 扬州 225000）

0 引言

压力机生产过程中或多或少都存在危险，在运行过程中可能会发生故障而导致某些危险，这些危险可能会造成很大的伤害，包括人的身体的损伤、健康状态的损害、财产的损失或者环境的破坏。发生危险时可能会造成伤害，也可能不会造成伤害。当造成伤害时，有的情况下是一种轻度伤害，有的情况下是比较严重的伤害。我们把危险发生时，造成伤害的概率和伤害程度的组合，称为风险。在当前社会发展水平下，如果某个给定范围内的风险都是可以接受的，称之为“可容忍风险”。我们将这种没有不可接受风险的状态，称为“安全”。

在确定安全完整性时应包括所有导致非安全状态的失效原因，比如：硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效，尤其是随机硬件失效，可以用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化。但是安全完整性还取决于许多不能精确量化的、只可定性考虑的因素。SIL 是“安全完整性等级”的首字母缩写认证，分为SIL1、SIL2、SIL3、SIL4，其中1 级是最低的产品功能安全等级，4 是最高的级别。目前市场上压力机主流的故障安全标准控制在SIL3，SIL4 一般不做要求。

本文将以西门子可编程控制器为例，从硬件连接、安全组态及软件编程来具体阐述如何做到SLI3的安全等级。

1 硬件连接

可编程控制器必须选用安全型PLC，本文中以S7-1515F 为例，输入模块必须选用安全数字量模块F-DI*16。特别需要注意的是，整个控制系统可达到的安全等级也取决于连接到安全数字量模块上的传感器的质量以及IEC 61508:2010 标准中规定的运行时间，如果传感器的质量低于安全级别所要求的质量，则必须使用并评估通过双通道连接的冗余传感器。模块上硬件接线如表1 所示，1oo1 的含义为，对于每个过程信号，通过一个通道连接一个传感器，可以使用内部电源，也可以使用外部电源。1oo2 对等的含义为，对于每个过程信号，将一个双通道传感器对等连接到安全数字量模块的两个输入端，也可通过外部传感器电源为一个或两个传感器开关进行供电。1oo2 非对等的含义为，对于每个过程信号，将非对等传感器连接到安全数字量模块的两个输入端，也可以使用外部传感器电源为传感器供电。

表1 传感器评估及电源

2 安全组态

在西门子TIA Portal 中添加如图1 所示的硬件配置，配置完成后在组态中设置参数，先设置传感器电源参数，通过该参数，可指定是否使用内部传感器电源，以及内部传感器电源的类型和所用通道组，相应的选择适用于整个通道组（CH0-3、4-7、8-11、12-15）。如需要进行短路测试时，则需要选择内部电源传感器。短路测试仅通常适用于自身不带电源的简单开关。对于自身带有电源的开关（如3/4 线制接近开关或带OSSD 输出的光电传感器），则需修改“短路测试后传感器的启动时间”参数设置，与所用的传感器进行匹配。短路检测时，会短时关断内部传感器的电源。失效时长等于组态的“传感器测试时间”，如果检测到短路，安全数字量模块将触发诊断中断，并钝化输入。如果禁用短路测试，则必须对线路进行短路和跨接测试，或者选择使用误差检测跨接的连接类型。再设置通道参数，选择好与硬件连接相应的传感器评估类型，最后根据抑制引发的干扰，可为通道或通道对设置一个输入延时，能够抑制脉冲时间小于输入延时设置（单位ms）的干扰脉冲，抑制的干扰脉冲在过程映像输入中不可见。但较长的输入延时将抑制长干扰脉冲，从而导致响应时间过长。需注意，设置的输入延时值需小于所组态的“短路测试后传感器的启动时间”和“短路测试时间”。

图1 TIA Portal 安全组态硬件配置

3 编程

以上工作完成后，在安全程序中，添加对应的功能块，以压力机操作站的双手为例，如图2 所示，IN1和IN2 为双手的输入信号；ENABLE 为使能开关，false 为不使用，true 为使用；DISCTIME 为IN1 和IN2之间的所允许的误差时间；Q 为输出信号；DIAG 为诊断数据，不同的数值代表不同的诊断状态。往功能块的针脚中输入正确的数值后，至此就完成了一个符合SIL3 等级的故障安全应用。

图2 双手安全功能块

4 结论

通过以上所述的故障安全系统的应用，可极大减少甚至规避压力机在运行过程出现的各种风险，提高压力机使用环境的安全系数，从而提升冲压现场的安全体验，提高劳动生产效率。