余文錚，李志強，孔淑華

（一汽-大眾汽車有限公司 規(guī)劃部，吉林 長春 130011）

1 安全控制系統(tǒng)的概念

1.1 分析發(fā)生事故的原因

機械事故的發(fā)生主要有兩個原因。

（1）人的不安全行為。主要指違章、違規(guī)操作。在現代化工廠里，人與機器協同工作，存在一些具有潛在危險的生產線，如沖壓鑄造生產線、金屬切削剪切設備、自動化裝配生產線、汽車裝配生產線、自動化焊接線、噴漆系統(tǒng)、機械傳送搬運線等或者危險區(qū)域（有毒、高壓、高溫等），極易造成作業(yè)人員的人身傷害。比如操作者進入機器人工位維護設備，卻誤將安全門鎖合上，不掛警告牌，導致其他人啟動系統(tǒng)的可能性；規(guī)定現場必須兩人進行維護操作，結果卻只有一個人在現場進行維修，危險性增加；需要雙手按鈕的工位，為了圖操作方便，將其改為單手操作，極易發(fā)生事故；操作車床時，女工不帶安全帽。

（2）物的不安全狀態(tài)。主要指機器的失效和誤動作。

1.2 安全控制系統(tǒng)要求

必須提供一種高度可靠的安全保護手段，最大限度地避免機器的不安全因素、保護生產裝置和人身安全，防止惡性事故的發(fā)生、減少損失。這種手段就是安全系統(tǒng)。安全系統(tǒng)在開車、停車、出現工藝擾動以及正常維護操作期間對生產裝置提供安全保護。一旦當工廠裝置本身出現危險，或由于人為原因而導致危險時，系統(tǒng)立即做出反應并輸出正確信號，使裝置安全停車，阻止危險的發(fā)生和事故的擴散。

2 安全系統(tǒng)設計

一套安全控制系統(tǒng)由安全輸入信號（即安全功能，如緊急停止信號、安全門信號等）、安全控制模塊（如安全繼電器、安全PLC）和被控輸出元件（如主接觸器、閥等）三部分組成。

在國內不少具有安全要求的機器中，普通的繼電器或PLC被廣泛地作為控制模塊對安全功能進行監(jiān)控。從表面看來，這樣的機器在一定條件下也能夠保證安全性。當普通的繼電器和PLC由于自身缺陷或外界原因導致功能失效時（如觸點熔焊、電氣短路、處理器紊亂等故障），就會丟失安全保護功能，引發(fā)事故。對于安全控制模塊，由于其采用冗余、多樣的結構，加之自我檢測和監(jiān)控、可靠電氣元件、反饋回路等安全措施，保證在發(fā)生本身缺陷或外部故障的情況下，依然能夠保證安全功能，并且可以及時地檢測出故障。從而在最大程度上保證了整個安全控制系統(tǒng)的正常運行，保護了人和機器的安全。

一汽-大眾汽車有限公司焊裝車間無論是采用VW的電氣標準還是Audi的電氣標準，安全繼電器都大量應用，以保證安全。電控柜的安全元件如圖1所示。

圖1 電控柜中的安全元件

2.1 設計原則

2.1.1 采用成熟的電路技術和元件

激光掃描儀、安全光柵、安全光幕、急?？刂破?、緊急停止按鈕、安全門鎖開關等安全器件能提高安全的等級。

2.1.2 采用冗余技術

冗余技術能有效地提供安全保證。如安全PLC內部設有兩個不同生產廠家的不同設計、制造工藝的微處理器，內部軟件也是采取不同設計理念，因而無論硬件還是軟件同時出現故障的幾率都非常低。加之基于它們設計的兩個監(jiān)控系統(tǒng)互為冗余，只有兩個系統(tǒng)均檢測到該信號正常且允許輸出，一個對應的邏輯信號才能正確地傳送到下一級接收單元，直到輸出。

2.1.3 采用相異技術

相異是指采用不同的原理進行冗余防護。如機器人工位，通常要在安全圍欄的基礎上加裝安全激光掃描器，從不同的角度進行防護。

2.1.4 功能測試

安全系統(tǒng)同時要有自診斷功能。

2.2 設計步驟

2.2.1 確定機械的危險區(qū)域

需分析出不同區(qū)域的范圍，確定哪些是警告區(qū)域，哪些是危險區(qū)域，操作者如進入不同的區(qū)域要采用不同的應對措施。進行警告區(qū)域，一般進行聲光報警就可以，不需要馬上停止設備；而進入危險區(qū)域，在聲光報警的同時，還必須馬上停止設備。

2.2.2 定義危險參數S、F、P

S為傷害的程度：1=輕傷；2=重傷或死亡。

F為面臨危險的時間和頻率：1=從無到經常發(fā)生；2=從經常發(fā)生到持續(xù)發(fā)生。

P為避免危險的可能性：1=在特定條件下可能；2=幾乎不可能。

以車間常用的一些設備來確定它們的安全等級。

（1）升降機。

升降機在工廠的各層之間上下搬運零部件。升降機的周邊用硬件防護欄進行防護。這就需要安全系統(tǒng)來防護升降機的入口處并檢測升降機的下方是否有人。升降機體積寵大，一旦出現事故，造成人員的傷害程度很大，所以傷害程度為S2。

操作者面臨危險的時間和頻率很小，一般不進入這個區(qū)域，只有出現故障的時候才進入維修，所以面臨危險的時間和頻率為F1。

一旦升降機升起來，人員進入這個區(qū)域維護，避免危險的能力就很弱，幾乎沒有辦法避免危險，所以避免危險的可能性為P2。

（2）機器人工位。

機器人的力量很大，一旦出現事故，帶給人員的傷害程度很大，所以傷害程度為S2。

如果該工位采用人工上件的形式，則操作者每天要多次進入該區(qū)域內上件，數量根據產量而定，如果某個車型日產320輛，則每天最少為320次，所以面臨危險的時間和頻率為F2。

機器人的工作節(jié)拍很快，也就是說速度很快，一旦出現事故，操作者幾乎沒有辦法避免危險，所以避免危險的可能性為P2。

2.2.3 使用危險圖表確定所要求的安全等級

目前有很多安全等級標準，以常用的、容易理解的EN954安全等級（見圖2）為例。

圖2 EN954安全等級

根據對升降機的分析，S2、F1、P2，則安全等級為2級或3級。根據對手工上件的機器人工位的分析，S2、F2、P2，則安全等級為4級。

安全等級的具體介紹如下。

2.2.3.1 B級

控制器的安全相關部分的選擇必須根據最新的技術，并且可以承受預期的運行強度，能夠承受運行過程中工作介質的影響和相關外部環(huán)境的影響，但一個故障可以導致安全功能的丟失,一些故障依然不會被監(jiān)測出來。20世紀80年代至90年代的自動化系統(tǒng)基本上都是B級。

如圖3所示，這是一個最常用的系統(tǒng)，當安全門被打開時，引發(fā)：

--＞機械上的位置開關常閉觸點斷開

--＞中間繼電器線圈失電

--＞中間繼電器上的常閉觸點斷開

--＞接觸器繞圈失電

--＞交流接觸器常閉觸點斷開

--＞電機斷電，起到保護作用。

由圖3可知，該系統(tǒng)初看并沒有什么問題，但仔細分析卻漏洞百出。最簡單的一個安全隱患如圖4所示，中間繼電器的觸點發(fā)生熔焊，線圈斷電，但常閉觸點不斷開，電機不斷電還繼續(xù)進行，這樣的系統(tǒng)是很危險的。

2.2.3.2 1級系統(tǒng)

在等級B的基礎上，必須使用具有安全功能保證的元器件。原理如同等級B但在安全功能上更加

圖3 有缺陷的系統(tǒng)

圖4 繼電器失效

可靠。兩種限位開關模式如圖5、圖6所示。

圖5 強制斷開模式（正確應用）

圖6 非強制斷開模式（錯誤應用）

強制斷開模式（見圖5）的觸點斷開是依靠外力的作用，而限位開關采用強制斷開模式（見圖6）引發(fā)故障的機率更少，相應的提高了安全等級。

1級系統(tǒng)的觸發(fā)一定要依靠外力，不能依靠系統(tǒng)自身的力量，因為系統(tǒng)本身也會有出故障的時候。

2.2.3.3 2級系統(tǒng)

符合等級B的要求，并使用適當的、可靠的安全設計法則。在機器啟動時，執(zhí)行一個安全檢測功能，若有必要可以周期性的執(zhí)行。該檢測功能的作用是只有設備是安全的，系統(tǒng)才能夠啟動。通過一個頻繁的檢測，故障可以被檢測出來，也就是說具有高等級的安全特性，屬于單通道的輸入使用并啟動檢測功能。2級安全標準如圖7所示。

圖7 2級安全標準

該系統(tǒng)使用的安全繼電器代替了傳統(tǒng)的中間繼電器，增加了如下功能。

（1）啟動前，有效判斷K1M的狀態(tài)，如果K1M的觸點有問題，則K1M失電后不能正常斷開，常閉觸點在復位時不能閉合，導致不能啟動，在啟動前就能檢測出K1M存在問題。

（2）由于采用了安全繼電器，對于K1M線圈的得電，在安全繼電器的內部相當于采用串聯觸點的形式，這就能保證在按下急停按鈕時，常開觸點斷開的能力要大大加強。

2.2.3.4 3級安全系統(tǒng)

符合等級B的要求，并且要求使用適當的、可靠的安全設計法則。3級安全標準如圖8所示。

必須按照以下設計：

（1）在任何部分的單一故障不會導致安全功能的丟失。

（2）任何時候使用適當的方法，單一故障能夠被檢測出來。

（3）屬于雙通道觸點(或兩個分離的)安全輸入設備，連接至兩個獨立的電路單元。

（4）一個單一故障的出現不會導致安全功能的丟失，并在下一次安全功能實施前，能夠檢測出該單一故障，但并不是所有的故障都會被檢測出來，一個累計的故障才會導致安全功能的丟失。

圖8 3級安全標準

如圖8所示，對電機的斷電，采用繼電器K1M和繼電器K2M，利用兩個接觸器進行控制，出現危險的機率減小了。

2.2.3.5 4級安全系統(tǒng)

任何部分的單一故障都不會導致安全功能的丟失，并且任何時候使用適當的方法，單一故障能夠被檢測出來，一個累計的故障不會導致安全功能的丟失，能夠及時檢測出單一故障以防止安全功能的丟失，先前的、累計的故障不會導致安全功能的丟失。4級安全標準如圖9所示。

圖9 4級安全標準

如圖9所示，K1M和K2M構成了對電機M的雙保險，只有K1M和K2M都出現故障時，電機M才不能有效制動，而K1M和K2M都出現故障的機率是非常低的。K1M和K2M通過安全繼電器的雙常開觸點進行控制，保證能有效斷開。復位輸入同時判斷K1M和K2M的常閉觸點，能有效在啟動時發(fā)現存在的缺陷問題。

2.2.4 根據所要求的等級，設計出相應的安全系統(tǒng)等級確定了就要根據上述原則進行系統(tǒng)設計。原則上不能選用普通繼電器做為安全繼電器使用，普通繼電器使用線圈及金屬觸點的機械動作來切換負載。金屬觸點可能由于反復操作而熔焊。一旦發(fā)生此種情況，機器在操作員按下急停按鈕后還會繼續(xù)運行，此時使用戶置于危險環(huán)境。許多歐洲安全標準、美國國家和國際標準禁止在具有危險的機器上使用簡單的繼電器和接觸器。以光柵為例（見圖10)。首先根據要防護的內容選擇合適的分辨率（有防護手指、防護手、防護身體的區(qū)分），分辨率根據直徑和中心距等幾何特性確定，與光柵的外部和操作條件無關。

圖10 分辨率分類

分辨率由R=I+d得出（見圖11），計算出 感應區(qū)高度和保護區(qū)高度；感應區(qū)高度為第一束光束的上沿到最后一束光束的下沿的距離；保護區(qū)高度是指有效的保護區(qū)域，物體的尺寸大于等于光柵的分辨率，這樣能安全地使光束變暗。

圖11 分辨率

確定光柵的安裝位置

式中 S為光柵到危險設備的距離；K為操作人員的移動速度；T為設備接到停止信號后的反應時間；C為最小危險距離。

最后根據確定的安全等級，選出合適的光柵型號（見圖12）。

圖12 安全光柵的應用

帶muting（屏蔽）功能的光幕，車通過不報警（見圖13）；人通過則要報警（見圖14)；人與車的區(qū)別（見圖15、圖16）；也可以采用激光掃描儀實現相同的功能，通過不同對象的編程，實現不同的控制方式（見圖17）；人的掃描形狀與工件不相同，進入危險區(qū)域要報警（見圖18）；激光掃描儀的典型應用如圖19所示。

圖13 車進入不報警

圖14 操作者進入報警

3 結論

圖15 滑橇擋住2束光

圖16 操作者檔住的光束多于2束

圖17 工件形狀符合安全區(qū)域形狀

圖18 掃描形狀不同

圖19 操作者已進入危險區(qū)域

如今的汽車制造等現場，由于操作者誤入到危險區(qū)域、傳感器故障而導致的工傷事故時有發(fā)生；如果使用安全控制系統(tǒng)，則可以自動識別危險并立即停止設備，從而確保操作者和設備的安全。特別是在使用機器人的沖壓生產線、汽車焊接生產線等高危險的工作區(qū)域，對單臺設備甚至對整個流水線的安全控制都是非常必要的。在危險的設備上應用安全控制系統(tǒng)，能夠有效減少勞動災害，確保制造現場的安全性和生產性。

隨著中國汽車工業(yè)的快速發(fā)展，尤其是對轎車質量和產量的要求不斷提高，汽車焊裝車間電控系統(tǒng)的自動化水平和信息化水平也需要隨之提高。一汽-大眾長春工廠焊裝車間的安全技術也進行了飛速發(fā)展。從Audi A4、Audi Q5等車型采用安全模塊，到發(fā)展為Audi A6、Audi Q3等車型采用了Seimens 319F（配Profinet+Profisafe安全總線）安全PLC的最新技術以及大量安全光幕、安全掃描儀、安全圍欄的應用，說明只有采用合理的系統(tǒng)配置和高安全性的自動化產品，才能保證安全、高效的生產。