安全保护与运动控制的整合

发布时间：2009-07-14 作者：Frank J. Bartos, P.E

　　安全功能系统与运动控制系统一直以来都是相互独立的。通过二者的整合，可以使操作更简单、费用更低廉，在某些情况下，可以避免全厂范围的停工。

　　持续提高的设备速率和生产流程都离不开集成安全功能的帮助。
　　图片来源：Siemens公司

　　并不是所有的“紧急状况”都需要机械系统的全面停机。然而，传统的安全系统却只提供完全停机，而不考虑危险级别，毫无疑问，这将导致生产率降低。
　　一种新方法是对机械系统的风险和可靠性进行全面评价，确定需要停机的紧迫程度，以阻止危险或伤害的发生。确保在主电源不被切断的情况下，安全地靠近设备，完成设置和排障任务，尽可能快地恢复生产。附加安全功能可以阻止电机或执行机构的不必要或者意外的动作。
　　安全标准定义了功能安全，并且令其成为运动控制至关重要的一部分，而以前，功能安全是与运动控制独立的另一个系统。欧洲率先采用了例如EN954-1 和IEC61508的标准，2007版NFPA79为美国制造商和用户打开了功能安全的新纪元。（关于功能安全的更多信息，可以查看在线信息工业安全专题www.cechina.cn/special/safety。）专家称，促使两者结合的真正动力是国家认可实验室根据相应标准判定功能安全这一能力的成熟。

　　安全、整合、益处
　　在考核技术和生产率这类问题的时候，重要的是牢记安全运动：阻止工人受伤或者发生事故。
　　博世力士乐（Bosch Rexroth）公司认为快速连通性和更短的设备停止时间是安全与运动集成带来的最大的好处，博世力士乐公司的食品和包装应用工程师David Arens说道：“当安全功能被激活，你就不希望再有任何耽搁，不希望现场总线适配器和/或慢监控PLC先判断再执行安全功能。”重要的是，快速地使设备进入安全停止状态，可以减少伤害发生的机率。
　　采用了安全系统的监控和诊断功能，这种整合最大程度地发挥了设备的优点。Arens解释道：“有效的诊断能够使设备快速回复生产，这节省了成本。”
　　使用现场总线也会带来相应的维护成本的降低。Arens说道：“这对OEM厂商和最终用户十分有利，因为快速系统连通性意味着更少故障点，也就意味着更少的检查。” Bosch Rexroth公司采用四种现场总线在其驱动和运动系统中整合安全功能：SERCOS III、Profibus、Profinet、和EtherCAT。
　　Siemens Energy & Automation公司为安全功能与运动控制的整合带来了更多的优点，包括比传统安全功能电路板更少的元件、电路板开发时间的缩短、元件安装空间的缩小和更短的安装布线时间。
　　kutsky说道：“而且，整合的安全功能带来了更强的诊断能力，这在原本的固件系统中是无法实现的。”驱动控制器可以发送信息，告知哪种安全功能被激活和为什么被激活，并在HMI屏幕上显示出来，便于操作人员进行评价，这种可读数据减少了排障时间。
　　Siemens公司在其Sinamics S系列驱动产品中搭建了7种安全功能，提供了伺服、通量向量和开环电机控制。安全功能包括安全断开扭矩（STO）、1级安全停机(SS1)、2级安全停机(SS2)、安全运行停止（SOS）、安全限制速度（SLS）、安全速度监视器（SSM）以及安全制动控制（SBC）——在标准IEC61800-5-2中明确定义（更多请查看在线信息）。通过使用Sinamics S系列产品的设置软件Starter和选择合适动作，就可以实现安全功能。
　　Krasnokutsky指出：“三种基本的安全指令（STO、SS1和SBC）可以直接整合到驱动器中，无须额外硬件。然而，用户可以通过Profibus或者Profinet系统的Profisafe框架来初始化所有安全功能。”一种可选的安装方案是使用安全终端组件，连接被称为Drive-CliQ的Sinamics S系列底板。
　　安全功能包括先进的特性，例如，SOS可以使电机保持满扭矩（0速度），监控电机相对于设定点的位移；SLS可以在两个旋转方向上监控多达4个的设定速度极限。

Bosch Rexroth公司基于驱动的SafeMotion系统和基于控制器的
Safe Logic系统确保食品加工和包装工业中的操作员安全接近设备，快速校正故障，无须停机。

　　危险最小化
　　Yaskawa Electric America (YEA)公司看到，整合后的安全性节省了总成本，使危险最小化。更少的传感器和接触器需求以及更少的布线，也减少了成本。YEA称，更高的稳定性，更长的设备寿命，更少的安装、排障人工，效果是显而易见的。
　　YEA公司驱动技术总工程师Jun Kang博士说道：“整合安全性确保快速动作，这要归功于保护步骤的简化和更少的维护时间和花费，因为它工作于安全的环境中，通过了严格的TüV认证。”
　　Yaskawa公司在其V1000、A1000和F7可变频率驱动器和Sigma-5 SGDV系列伺服放大器中集成了STO安全功能。具有STO功能的安全触发电路，可以切断电机的电源（令电机停止），而驱动的电源不会被中断。A1000驱动器可以增加更多的可控电机停止模式（SS1和SS2），只要在软件上做一点改动即可。根据EN 954-1，V1000、A1000和F7 系列驱动器通过了国际认可测试代理机构TüV的认证。
　　YEA公司伺服产品市场部经理Scott Carlberg解释道，通过一块选配的卡或2009年夏天后将推出的可选配EtherCAT卡，SS1 和SS2功能可以被植入Sigma-5 SGDV放大器中。

Yaskawa Electric公司将当前用于机械安全风险评估的“黄金标准”EN954-1作为其
V1000和A1000驱动器的认证基础。2009年12月份，可执行更高的 ISO 13849-1标准中的
风险评价方法将会取代EN954-1。

　　安全评价至关重要
　　Carlberg解释道，电子驱动器中的安全功能，例如安全断开扭矩或安全停机，“围绕着一个核心问题：当工人进入潜在危险区域时，系统或者设备如何正确关断。”
　　BRC公司的Arens说道：“为了确保所有在设备中或设备周围的人员的安全，即使安全系统已经安装好了，适当的安全评价也是需要的。”另一个成功的关键是明确具体应用场合中要使用到的具体安全标准，例如，不同类型的保护装置、门、连锁装置和安全预警方式，应用于不同的设备。

　　冗余规则
　　冗余是安全系统的重要方面，因为它可以减小单一故障影响整个安全功能的可能性。Arens说道，在Bosch Rexroth公司，这被理解为在安全系统中使用至少2个操作通道——可能是两个固件通道、一个固件通道加一个现场总线通道或者现场总线中2个独立的通道。类似的，解码器模块也将其信号分解到2个监控通道。一旦其中任何一个监控器检测到不当运动，设备就会进入安全状态。
　　为了简单，Yaskawa公司V1000型微型驱动使用一个安全输入，但是其内部将输入信号分割开来，再送给驱动器，满足了EN954-1标准3类场合的冗余要求。任何一块电路板上的断电都会导致安全停机，关断晶体管门电路的输出，进而切断电机电源。A1000型驱动器使用2个安全输入，任何一个输入的断电都同样会导致安全停机。
　　Siemens公司Sinamics S系列驱动器的冗余设计由具有独立切断通道和内部监控的2个处理器系统实现。Krasnokutsky说道：“这提供了安全系统所需要的2个通道。因此，一旦一个通道失效了或者传输不稳定的信号，另一个通道就会检测到，然后使系统进入安全故障状态。”
　　将安全功能和运动功能整合到一个系统中，这已经付诸实现，这部分归功于更可靠地通讯总线的发展，取代了非智能固件系统。Arens说道，这要求通讯和运动控制可以在同一条现场总线上工作，互不影响，这种方法可以确保通信完整性，和高速数据流——低于10ms的循环时间或信息重复时间。同样功不可没的是驱动器、安全器件和I/O模块等等，用于读取安全信号，并足够快速地做出响应，还可以根据安全标准测试其稳定性。
　　EtherCAT Technology Group (ETG)北美代表Joey Stubbs指出一种值得注意的现场总线——EtherCAT——在某些场合可以为自动化、运动控制和安全应用提供高性能的通讯能力。
　　Stubbs说道：“EtherCAT功能安全（FsoE）协议针对EtherCAT现场总线的使用而开发，使用户能够完全享受设备控制设计中的集成安全性，而无须考虑和安全相关的布线或者通讯电缆的问题。”
　　对于增加安全功能，ETG最近将FSoE协议改进，引入了被称为Safety Drive Profile的基于EtherCAT的设备的标准设备框架集。Stubbs将Safety Drive Profile对集成运动和安全性带来的改善归结为3个方面：
　　■ DS402（CAN）或者SERCOS Drive Profile中明确定义了EtherCAT驱动框架；
　　■ 明确定义的FsoE协议，确保安全器件和逻辑控制器通过EtherCAT标准安装，不依赖于供应商；以及
　　■ 作为IEC 61800-5-2标准一部分的安全相关驱动器功能的定义。
　　他说道：“通过将这3点结合，当在运动应用中实现安全功能时，现在就有机会做到真正的不依赖于供应商。” FSoE Safety Drive Profile的优点据称涵盖了在包括运动的安全系统中更简便地集成第三方驱动和其他器件。
　　Stubbs说道：“对于那些想从众多供应商灵活地选择最合适的器件的人来说，这是必要条件。而且，当今的安全使能驱动器已经不再使用 ‘关断主电源’和‘关断电机’这些老式的方法，而是使用安全限制速度、安全停止功能和安全扭矩等等。2003年EtherCAT Technology Group的创立，标志着安全使能驱动器成为开放的设计。时至今日，ETG拥有来自于44个国家的910个成员，由驱动和设备供应商、系统集成商和最终用户组成。”

EtherCAT通过基于EtherCAT协议的功能安全，实现机械系统中的运动类安全功能。
基于现场总线的工业以太网具有SIL 3等级。

　　美国的接纳
　　Arens陈述道：“大体上讲，美国在整合安全性上并不领先。”美国的方案是在设备安装结束之后再增加安全保护装置，而不是在设计阶段就开始考虑。由欧洲引领的在设计阶段就整合安全性的做法具有更低的成本和更广泛的安全功能，不仅限于设备的操作方面。
　　Arens补充道：“这允许设备操作人员针对会给系统增设旁路的集成安全性作出选择，而选项可能只有一个。美国最开始的接纳始于出口企业，主要在机床和印刷设备市场，通用自动化和包装设备市场的接受速度更缓慢一些。”
　　据Siemens公司称，例如IEC61508之类的标准，特别是2007版NFPA79标准促进了美国对驱动器集成安全功能的接纳。NFPA79标准现在允许基于控制器的软件/固件用于安全相关功能中，使驱动器作为最终开关元件，无须使用外部最终关断元件（接触器）。
　　Krasnokutsky补充道：“随着用户对新标准和集成安全能力的接纳，安全相关的驱动器系统将会越来越多。”
　　虽然安全与运动功能的整合技术在最近才变为现实，然而，人类安全和设备效率的最基本的原则早已为人熟知。1890年，Werner von Siemens陈述道：“事故预防不应该仅仅作为法律上的规则，它更应该从人类责任和经济学的角度被人们了解。”

　　安全运动在3D领域的预期发展
　　大多数工业机械用安全系统都依赖于安全器件，例如传感器、开关、安全门和光幕，这些器件基本都是二维器件。用在机器人上和加工车间里的安全摄像头系列产品最近的新成员使得安全运动可以达到另一个维度。
　　2007年，Pilz GmbH公司及其美国分公司——Pilz Automation Safety LP公司发布了据称是世界上第一台可以用于控制和监视的3D安全摄像头系统。此款被称为SafetyEye的视觉系统据报道，可以实现对潜在危险工作区域的安全监管，且比具有多个二维度传感器的系统更简便。
　　2008年11月于德国纽伦堡召开的SPS/IPC/Drives展览会上，Pilz公司的产品经理Andreas Hahn在报告中解释道：针对于具体应用，SafetyEye将受监控的危险区域分为报警区和检测区。
　　Hahn说道：“通过使用这种方法，当检测区域被侵入时，不会直接或者自动导致设备完全停止。如果系统检测到了人员进入报警区域，设备速度就会被降低到安全限制速度（SLS）以下，同时声光报警。此时人员应该退出报警区域，然后设备速度立即恢复正常值。”
　　然而，一旦SafetyEye检测到检测区域被侵入，设备就会实施2级安全停机（SS2）。SLS和SS2在IEC61800-5-2中的安全功能有明确定义（也可以查询其它在线信息）。Hahn总结道：“这就意味着很多时候，安全围栏[或者其它机械式安全保护装置]就不必要了。”

　　更多信息请访问：
　　www.boschrexroth-us.com
　　www.beckhoffautomation.com
　　www.ethercat.org
　　www.pilz.us
　　www.siemens.com
　　www.yaskawa.com
 　　翻译：辛磊夫