杜文博，韓 鵬，潘曉剛

（北京奔馳汽車(chē)有限公司，北京 100176）

基于PROFIsafe的北京奔馳焊裝車(chē)間控制系統(tǒng)的安全測(cè)試方法

杜文博，韓 鵬，潘曉剛

（北京奔馳汽車(chē)有限公司，北京 100176）

0 引言

在汽車(chē)制造行業(yè)，為滿足柔性的序列化生產(chǎn)需求，控制系統(tǒng)的自動(dòng)化水平和信息化水平需要隨之提高，大量的工業(yè)機(jī)器人和裝配機(jī)械手的出現(xiàn)，造成了許多需要安全保護(hù)的危險(xiǎn)區(qū)域。本文介紹了在北京奔馳汽車(chē)有限公司采用的安全測(cè)試標(biāo)準(zhǔn)和實(shí)施方法，以保證柔性化自動(dòng)生產(chǎn)線全面的設(shè)備安全性和可靠性。

如今的汽車(chē)制造等現(xiàn)場(chǎng)，由于操作者誤入到危險(xiǎn)區(qū)域、傳感器故障而導(dǎo)致的工傷事故時(shí)有發(fā)生。如果使用安全控制系統(tǒng)，則可以自動(dòng)識(shí)別危險(xiǎn)并立即停止設(shè)備，從而確保操作者和設(shè)備的安全。特別是在使用機(jī)器人的沖壓生產(chǎn)線、汽車(chē)焊接生產(chǎn)線等高危險(xiǎn)的工作區(qū)域，對(duì)單臺(tái)設(shè)備甚至對(duì)整個(gè)流水線的安全控制都是非常必要的。在危險(xiǎn)的設(shè)備上應(yīng)用安全控制系統(tǒng)，能夠有效減少勞動(dòng)災(zāi)害，確保制造現(xiàn)場(chǎng)的安全性和生產(chǎn)性[1]。

為驗(yàn)證工業(yè)自動(dòng)化控制系統(tǒng)符合標(biāo)準(zhǔn)規(guī)范，產(chǎn)品工廠驗(yàn)收測(cè)試（FAT），用來(lái)驗(yàn)證指定的系統(tǒng)功能測(cè)試、穩(wěn)定性測(cè)試、可用性測(cè)試?，F(xiàn)場(chǎng)驗(yàn)收測(cè)試（SAT），用作驗(yàn)證控制系統(tǒng)的安裝是否符合規(guī)范[2]?，F(xiàn)場(chǎng)綜合測(cè)試（SIT），用來(lái)驗(yàn)證不同的系統(tǒng)是否已整合為一個(gè)完整的系統(tǒng)，并且所有部件已按要求正常協(xié)同工作。本文介紹一種在北京奔馳焊裝車(chē)間控制系統(tǒng)的安全測(cè)試方法，可用于工廠安全驗(yàn)收測(cè)試和功能安全設(shè)備的年檢，作為一種SIT方法。

1 分布式安全系統(tǒng)的概念

分布式安全系統(tǒng)的目標(biāo)是通過(guò)使用基于PROFInet安全技術(shù)的控制系統(tǒng)安全相關(guān)部件（SRP/CS），使人身安全和環(huán)境所面臨的危險(xiǎn)最小化，同時(shí)不會(huì)對(duì)必要的工業(yè)生產(chǎn)、機(jī)械和化工產(chǎn)品的使用產(chǎn)生限制。

分布式安全系統(tǒng)采用的故障安全型PLC用于檢測(cè)到系統(tǒng)故障尤其是危險(xiǎn)故障時(shí)能使系統(tǒng)回到安全狀態(tài)，并通過(guò)詳細(xì)的診斷信息來(lái)改善故障檢測(cè)和定位系統(tǒng)，保證系統(tǒng)在安全相關(guān)的中斷后快速恢復(fù)生產(chǎn)[3]。分布式安全系統(tǒng)的最大特色是生產(chǎn)安全系統(tǒng)和控制系統(tǒng)的融合。

采用PROFIsafe為安全通信協(xié)議，實(shí)現(xiàn)了控制網(wǎng)絡(luò)和安全網(wǎng)絡(luò)的集成，簡(jiǎn)化了控制網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省了安裝成本和工程施工時(shí)間，使系統(tǒng)具有了可靠的安全保護(hù)裝置，為安全、穩(wěn)定生產(chǎn)提供保障。

1.1 PROFIsafe協(xié)議

PROFIsafe是一種分布式系統(tǒng)的安全通信技術(shù)，使標(biāo)準(zhǔn)現(xiàn)場(chǎng)總線技術(shù)和故障安全技術(shù)合為一個(gè)系統(tǒng)，即故障安全通信和標(biāo)準(zhǔn)通信共用一條通信鏈路。PROFIsafe協(xié)議符合IEC 61784-3-3和中國(guó)標(biāo)準(zhǔn)（GB/Z20830-2007），并且其在PROFInet上運(yùn)用的安全性達(dá)到了IEC 61508中SIL3的等級(jí)。

PROFInet在ISO/OSI模型中僅使用了第1層（物理層）、第2層（數(shù)據(jù)鏈路層）和第7層（應(yīng)用層），PROFIsafe安全總線協(xié)議置于第7層之上的安全層。由于該層僅對(duì)有效數(shù)據(jù)的安全傳送負(fù)責(zé)，它需要上層負(fù)責(zé)準(zhǔn)備與提供有效數(shù)據(jù)，而在一個(gè)安全現(xiàn)場(chǎng)設(shè)備（例如：安全輸入）中是由它的技術(shù)固件來(lái)施行的。這類固件通常至少有一部分是按照故障安全技術(shù)要求設(shè)計(jì)的。在冗余的硬、軟件結(jié)構(gòu)中嵌入PROFIsafe功能也可以達(dá)到上述目的。同標(biāo)準(zhǔn)操作一樣，過(guò)程信號(hào)及過(guò)程數(shù)據(jù)出現(xiàn)在相應(yīng)的有效報(bào)文中[4]。

1.2 分布式安全設(shè)備

為保證安全高效的生產(chǎn)，一般在汽車(chē)制造現(xiàn)場(chǎng)，采用合理的系統(tǒng)配置和高安全性的自動(dòng)化產(chǎn)品。圖1介紹了基于PROFInet+PROFIsafe協(xié)議的北京奔馳焊裝車(chē)間的控制系統(tǒng)結(jié)構(gòu)和基本線路圖。

圖1 控制系統(tǒng)結(jié)構(gòu)和基本線路圖

安全輸入設(shè)備有安全光幕/光柵、激光掃描儀、急停按鈕、維修開(kāi)關(guān)和安全門(mén)開(kāi)關(guān)等產(chǎn)品，性能級(jí)別可達(dá)到PLe。安全控制系統(tǒng)方面采用了西門(mén)子故障安全型319F PLC、PROFInet+PROFIsafe安全總線協(xié)議、分布式安全模塊F-DI/F-DO等，性能級(jí)別可達(dá)到PLd/PLe?？杀话踩＼?chē)的的設(shè)備（被控安全輸出設(shè)備）有工業(yè)機(jī)器人、驅(qū)動(dòng)器、閥和接觸器等，性能級(jí)別可達(dá)到PLd/PLe。

1.3 功能安全標(biāo)準(zhǔn)IEC 61508

功能安全規(guī)范要求通常將一個(gè)部件或系統(tǒng)的安全表示為單個(gè)數(shù)字，而這個(gè)數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護(hù)因子。IEC 61508國(guó)際標(biāo)準(zhǔn)目的是建立一個(gè)可應(yīng)用于各種工業(yè)領(lǐng)域的基本功能安全標(biāo)準(zhǔn)，其核心內(nèi)容是通過(guò)應(yīng)用包括E/E/PES或其他工業(yè)技術(shù)構(gòu)成的安全功能，把對(duì)人類和環(huán)境存在的潛在危險(xiǎn)降至最低[4]。IEC 61508標(biāo)準(zhǔn)的核心思想為SIL安全等級(jí)的識(shí)別或評(píng)估與降解受控。

1.4 風(fēng)險(xiǎn)評(píng)估

性能等級(jí)（PL）和安全完整性等級(jí)（SIL）針對(duì)安全性能評(píng)估定義了一種清晰的分層量化方法。為了保證每一個(gè)安全功能都能達(dá)到高可靠性，控制系統(tǒng)安全相關(guān)部件（SRP/CS）必須使用算法進(jìn)行設(shè)計(jì)。這些算法考慮了安全相關(guān)電路中所有的元件和設(shè)備，標(biāo)準(zhǔn)也使用了不同的詞匯和說(shuō)明圖標(biāo)。作為安全功能一部分的不同SRP/CS，其PL應(yīng)大于或等于該安全功能所需的性能等級(jí)（PLr）。SRP/CS實(shí)現(xiàn)的風(fēng)險(xiǎn)減小總和越多PLr就越高。

表1 安全性能SIL和PL對(duì)照表

ISO 13849-1確保所有與安全相關(guān)的電路（電動(dòng)、液壓和氣壓）的設(shè)計(jì)都針對(duì)指定的安全功能，滿足確定的性能等級(jí)，將危險(xiǎn)層級(jí)降低到可以接受的水平。安全功能的危險(xiǎn)失效概率取決于軟硬件結(jié)構(gòu)，主要針對(duì)部件可靠性平均危險(xiǎn)失效時(shí)間（MTTFd），故障檢測(cè)裝置的范圍的診斷覆蓋率（DCavg），設(shè)計(jì)流程、環(huán)境條件和操作程序等 。

B10d值：在B10值測(cè)試中，通常至少為十個(gè)機(jī)器樣品在適合的典型條件下進(jìn)行檢測(cè)。操作周期的平均樹(shù)木達(dá)到危險(xiǎn)條件樣品故障的10%之前被稱為B10d值。

MTTFd：平均危險(xiǎn)失效時(shí)間與上面的數(shù)值相同，但是只考慮了危險(xiǎn)失效。減小元件級(jí)的故障概率； 目的是減小影響安全功能的故障或失效的可能性，可以通過(guò)增加元件的可靠性來(lái)實(shí)現(xiàn)。

DCavg：平均診斷覆蓋率是上述覆蓋率的平均值?？梢允褂檬Ｊ郊坝绊懛治觯‵MEA）或類推的方法來(lái)估算DCavg。

CCF：共因失效。如果有一個(gè)失效或者條件影響了在其他情況下彼此獨(dú)立的多個(gè)設(shè)備，認(rèn)為這是一個(gè)共因失效。同一事件引起的不同產(chǎn)品的失效；這些失效相互之間沒(méi)有因果關(guān)系。

PFHd：每小時(shí)危險(xiǎn)失效概率，但是它只考慮危險(xiǎn)失效。

安全相關(guān)設(shè)備的PL等級(jí)可由B10d，MTTFd，DCavg，CCF，PFHd計(jì)算得出，如下以急停開(kāi)關(guān)為例介紹了PL等級(jí)的計(jì)算方法。圖2中的急停開(kāi)關(guān)將觸發(fā)故障安全型PLC的保護(hù)，接觸器K1和K2隨之失電，電機(jī)停轉(zhuǎn)。觸發(fā)復(fù)位開(kāi)關(guān)后，接觸器重新得點(diǎn)，電機(jī)將在啟動(dòng)開(kāi)關(guān)觸發(fā)后重新運(yùn)轉(zhuǎn)。

圖2 單一急停系統(tǒng)的配置圖

圖3 單一急停系統(tǒng)的時(shí)序圖

通過(guò)安全相關(guān)設(shè)備的參數(shù)[5]可計(jì)算出每小時(shí)危險(xiǎn)失效概率（PFHd），結(jié)合安全類別目錄可得出此設(shè)備相應(yīng)的性能等級(jí)（PL）。在本例中，性能安全等級(jí)由IFA提供的PL評(píng)估工具SISTEMA計(jì)算[6]。

圖4 單一急停系統(tǒng)的方框圖

表2 安全相關(guān)設(shè)備的參數(shù)

2 安全區(qū)設(shè)計(jì)原則

現(xiàn)場(chǎng)總線技術(shù)的發(fā)展，改變了汽車(chē)廠控制系統(tǒng)的控制結(jié)構(gòu)，近年新上項(xiàng)目均采用了以現(xiàn)場(chǎng)總線和分布式I/O為主的控制結(jié)構(gòu)。開(kāi)放式現(xiàn)場(chǎng)總線技術(shù)的使用，不僅能使不同供貨商的設(shè)備共存于一個(gè)總線系統(tǒng)中，而且還能簡(jiǎn)化布線，加快信息在數(shù)字網(wǎng)絡(luò)上的傳播。

2.1 工業(yè)機(jī)器人安全定義及安全區(qū)設(shè)計(jì)

機(jī)器人到安全欄的移動(dòng)距離。高暴露區(qū)域的，機(jī)器人需在防護(hù)柵欄內(nèi)的設(shè)定停滯。這是通過(guò)鑒定所定義的工作場(chǎng)所。但是，機(jī)器人的超限空間是必須的。

表3 機(jī)器人各系統(tǒng)安全程度定義

1）查看標(biāo)注顏色，高危區(qū)域?yàn)榧t色，低危區(qū)域?yàn)辄S色，安全區(qū)域?yàn)榫G色。

高危區(qū)域：在機(jī)器人可觸及范圍內(nèi)EBF、上件位、導(dǎo)出工位必須標(biāo)為紅色。

低危區(qū)域：在機(jī)器人可觸及范圍內(nèi)，但無(wú)人工作的區(qū)域例如圍欄、BRT屏標(biāo)為黃色。

安全區(qū)域：在機(jī)器人不可及范圍內(nèi)，即機(jī)器人周?chē)姆抡嫒ν獠浚瑯?biāo)為綠色。

2）查看該安全區(qū)內(nèi)的安全機(jī)器人數(shù)目與提交的文檔中機(jī)器人數(shù)目與名字能夠匹配。

圖5 工業(yè)機(jī)器人安全定義

3）注意查看高危級(jí)別的安全機(jī)器人與低級(jí)別的安全機(jī)器人劃分是否正確。

高級(jí)別安全機(jī)器人：需要與人工交互的安全機(jī)器人，例如上件位、導(dǎo)出工位等，標(biāo)注顏色為藍(lán)色；

低級(jí)別安全機(jī)器人：在機(jī)器人的仿真圈內(nèi)存在人員活動(dòng)區(qū)域的，但該機(jī)器人不需要進(jìn)行交互的，則定義為低級(jí)別安全機(jī)器人，標(biāo)注顏色為紫色，如圖5所示。

1）監(jiān)控空間的形式稱應(yīng)為受保護(hù)區(qū)或?yàn)楣ぷ鲄^(qū)。

受保護(hù)區(qū)：一般是用在機(jī)器人可及范圍內(nèi)的上位機(jī)、上件工位、導(dǎo)出工位這幾個(gè)區(qū)域，其中上位機(jī)需要激發(fā)方式為保持開(kāi)啟，上件工位與導(dǎo)出工位激發(fā)方式為輸入信號(hào)開(kāi)啟。另一種情況為在非機(jī)器人工作區(qū)的上件工位與導(dǎo)出工位的激發(fā)方式需要為保持開(kāi)啟。

工作區(qū)：此保護(hù)區(qū)一般針對(duì)特殊的工作方式需要精密控制的，例如激光焊中的填絲熔焊與飛行焊，因?yàn)榧す獾奈ｋU(xiǎn)性需要及時(shí)精密的控制，加入此保護(hù)區(qū)意味著只有當(dāng)激光發(fā)射端進(jìn)入此區(qū)域后才允許發(fā)射激光。

2）監(jiān)控空間在技術(shù)文檔中需要包含這些信息：類型、參考系統(tǒng)、激發(fā)方式、停車(chē)邊界、工件或工具需要被包含在工具保護(hù)球中。

2.2 安全測(cè)試標(biāo)準(zhǔn)

每套PLC有若干個(gè)安全區(qū)，用安全圍欄做區(qū)分，可用作不同安全區(qū)分開(kāi)運(yùn)行全自動(dòng)模式或手動(dòng)模式。每套PLC有獨(dú)立的急停區(qū)域，即某一個(gè)安全輸入設(shè)備觸發(fā)后，故障安全型PLC將切換到安全狀態(tài)，并通過(guò)的診斷信息來(lái)檢測(cè)故障點(diǎn)和定位系統(tǒng)，以保證控制系統(tǒng)在故障復(fù)位后快速恢復(fù)生產(chǎn)。

3 軟件設(shè)計(jì)

故障安全型PLC的安全測(cè)試軟件設(shè)計(jì)的四個(gè)主要目標(biāo)如下：

1）確保安全矩陣中所有安全輸入設(shè)備被測(cè)試；

2）用于檢查安全停車(chē)是否嚴(yán)格按照安全停車(chē)矩陣執(zhí)行；

3）用于確保檢查結(jié)果被可靠存檔；

4）在檢查間隔到達(dá)后，用于要求重復(fù)檢查所有安全設(shè)備。

3.1 功能描述

圖6 安全測(cè)試功能概述

安全停車(chē)矩陣用于自動(dòng)化控制系統(tǒng)的初始化測(cè)試和年檢測(cè)試。為實(shí)現(xiàn)全自動(dòng)檢測(cè)，安全停車(chē)矩陣中條目將由Excel工具導(dǎo)入西門(mén)子PLC S7數(shù)據(jù)塊（DBs）。功能塊FB 7用于檢測(cè)控制系統(tǒng)中全面的安全設(shè)備和安全停車(chē)矩陣，在人機(jī)界面上顯示信號(hào)偏差。使用安全輸入設(shè)備，功能塊來(lái)決定它是否被觸發(fā)，指定的執(zhí)行器被檢查緊急停車(chē)狀態(tài)，根據(jù)安全矩陣。停車(chē)故障由一個(gè)故障信息指示。此外，檢查指定的執(zhí)行器在確認(rèn)前不改變狀態(tài)，確認(rèn)后改變狀態(tài)。確認(rèn)故障或啟動(dòng)故障由一個(gè)故障信息指示，正確的觸發(fā)一個(gè)安全設(shè)備的信息被儲(chǔ)存在一個(gè)帶有時(shí)間戳（年月日）的數(shù)據(jù)塊（DB）中。如果停車(chē)測(cè)試的間隔超過(guò)期限（例如，期限為6個(gè)月），出錯(cuò)信息會(huì)顯示出來(lái)功能FB7僅用于可以處理FB和DB的S7 CPU。因此S7程序與會(huì)安全停車(chē)矩陣進(jìn)行比較。此功能與生產(chǎn)系統(tǒng)獨(dú)立。并且此功能不會(huì)觸發(fā)任何安全設(shè)備或執(zhí)行器，僅檢測(cè)它們。

3.2 設(shè)計(jì)架構(gòu)

為實(shí)現(xiàn)測(cè)試功能，需在西門(mén)子Step7項(xiàng)目中集成一個(gè)用戶自定義功能塊FB7，并不需要組織塊（OB）調(diào)用。在預(yù)設(shè)的安全測(cè)試間隔結(jié)束后，系統(tǒng)會(huì)自動(dòng)生成相關(guān)報(bào)警信息，此功能FB7可由上位機(jī)的人機(jī)界面觸發(fā)。功能塊FB7的設(shè)計(jì)架構(gòu)如圖7所示。

圖7 安全測(cè)試功能塊的設(shè)計(jì)架構(gòu)

3.3 安全測(cè)試方法

如果安全設(shè)備被觸發(fā)（兩路輸入＜＞儲(chǔ)存狀態(tài)），一段延時(shí)后FB功能塊檢查是否緊急停車(chē)設(shè)備當(dāng)前狀態(tài)與保存狀態(tài)不同（停車(chē)檢查）。如果某個(gè)安全設(shè)備當(dāng)前狀態(tài)與保存狀態(tài)一致，此設(shè)備相關(guān)的報(bào)錯(cuò)信息“安全停車(chē)/確認(rèn)錯(cuò)誤”會(huì)被觸發(fā)，并且在人機(jī)界面上顯示“停車(chē)錯(cuò)誤”，檢查流程被中斷。

如果安全設(shè)備恢復(fù)正常，它需要被確認(rèn)。在確認(rèn)前，安全設(shè)備當(dāng)前狀態(tài)與保存狀態(tài)不同（確認(rèn)檢查）。如果出現(xiàn)錯(cuò)誤，此設(shè)備相關(guān)的報(bào)錯(cuò)信息“安全停車(chē)/確認(rèn)錯(cuò)誤”會(huì)被觸發(fā)。如果執(zhí)行器在確認(rèn)時(shí)維持2秒的保存狀態(tài)，然后沒(méi)有錯(cuò)誤信息。如果出現(xiàn)錯(cuò)誤，人機(jī)界面上將顯示“確認(rèn)錯(cuò)誤”，檢查流程被中斷。確認(rèn)后經(jīng)過(guò)一段預(yù)設(shè)的延時(shí)，停車(chē)設(shè)備需與保存狀態(tài)一致（啟動(dòng)檢查）。如果出現(xiàn)錯(cuò)誤，此設(shè)備相關(guān)的報(bào)錯(cuò)信息“安全停車(chē)/確認(rèn)錯(cuò)誤”會(huì)被觸發(fā)，并且在人機(jī)界面上顯示“啟動(dòng)錯(cuò)誤”，檢查流程被中斷。如果確定延時(shí)的設(shè)定值為0，將不執(zhí)行啟動(dòng)檢查。如果所有檢查都正常后，檢查時(shí)間戳將被儲(chǔ)存，并且生成一個(gè)日志信息“安全測(cè)試正常”并顯示6秒左右。針對(duì)每個(gè)安全設(shè)備，確定延時(shí)被設(shè)定在安全測(cè)試矩陣中。檢查流程在每個(gè)安全設(shè)備狀態(tài)與保存狀態(tài)一致的情況下開(kāi)始，并且每次只有一個(gè)安全設(shè)備被觸發(fā)。如果某個(gè)安全設(shè)備報(bào)出“停車(chē)/確認(rèn)錯(cuò)誤”，這個(gè)信息不可以在檢查流程時(shí)被重置。如果檢查流程被中斷，“停車(chē)/確認(rèn)錯(cuò)誤”將會(huì)保持，直到所有檢查流程正常結(jié)束。測(cè)試下個(gè)緊急停車(chē)設(shè)備，需在檢查流程結(jié)束后進(jìn)行。正常檢查的流程時(shí)序圖如圖7所示。

圖8 正常檢查流程時(shí)序圖

1）觸發(fā)緊急停車(chē)設(shè)備

確定信號(hào)被儲(chǔ)存，停車(chē)時(shí)間開(kāi)始計(jì)時(shí)。

2）時(shí)間到期（停車(chē)檢查）

異常：錯(cuò)誤信息，中斷檢查；

正常：詢問(wèn)停車(chē)設(shè)備的變換狀態(tài)，保存狀態(tài)的相反關(guān)系。

3）停車(chē)狀態(tài)正常（確認(rèn)檢查）

異常：停車(chē)設(shè)備如果沒(méi)有變換狀態(tài)，將顯示錯(cuò)誤信息，中斷檢查；

正常：如果停車(chē)設(shè)備變換狀態(tài)，并且在下面2秒內(nèi)確認(rèn)，將沒(méi)有錯(cuò)誤信息。

4）確認(rèn)（變換到保存狀態(tài)）

如果確認(rèn)的延遲時(shí)間非零，計(jì)時(shí)（確認(rèn)延時(shí)）開(kāi)始，跳轉(zhuǎn)到5）；

如果確認(rèn)的延時(shí)時(shí)間為零，保存時(shí)間戳并生成日志信息。

5）時(shí)間到期（啟動(dòng)檢查），詢問(wèn)停車(chē)設(shè)備狀態(tài)與保存狀態(tài)是否一致

異常：出現(xiàn)錯(cuò)誤信息，中斷檢查，錯(cuò)誤信息不能被確認(rèn) ；

正常：保存時(shí)間戳并生成日志信息，重置錯(cuò)誤信息。

以下三種情況，檢查流程將被中斷：

1）如果緊急停車(chē)設(shè)備在延遲時(shí)間結(jié)束前切換到正常狀態(tài)；

2）如果安全設(shè)備在正常檢查后重復(fù)觸發(fā)（在確認(rèn)前或在確認(rèn)延時(shí)中）；

3）如果測(cè)試期間有第二個(gè)安全輸入設(shè)備被觸發(fā)。

中斷檢查后，下一輪檢查將在所有安全設(shè)備狀態(tài)與保存狀態(tài)一致的情況下開(kāi)始。

4 結(jié)束語(yǔ)

針對(duì)汽車(chē)制造的焊裝車(chē)間對(duì)控制系統(tǒng)的柔性和序列化生產(chǎn)的需求，以上介紹了可用于西門(mén)子319F型PLC的安全測(cè)試方法并提供量化的評(píng)估，從以前關(guān)注單一產(chǎn)品的安全性能提高到系統(tǒng)整體的功能安全，實(shí)現(xiàn)了集成故障安全的控制系統(tǒng)的可靠性、可用性和可維護(hù)性，從而最大限度的保證了生產(chǎn)現(xiàn)場(chǎng)的安全性，提升企業(yè)的核心競(jìng)爭(zhēng)力。

圖9 檢查發(fā)生中斷時(shí)序圖

[1]坂東衛(wèi)持.兼顧生產(chǎn)性和安全性兩方面的需求歐姆龍以最新技術(shù)確保制造現(xiàn)場(chǎng)的安全[J].制造業(yè)自動(dòng)化,2005,27:73-75.

[2]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB-T 25928-2010[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2011.

[3]劉輝,劉猛,倪文婧.基于故障安全型PLC快速裝車(chē)控制系統(tǒng)的研究[J].電子世界,2014:204-204.

[4]惠敦炎.FROFlsafe:PROFIBUS故障安全通信技術(shù)探討[J].國(guó)內(nèi)外機(jī)電一體化技術(shù),2004,(1):7-14.

[5]NECA catalog. www.necagate.com/safety.

[6]Institut fuer Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung(IFA).www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp.

Safety test method of Beijing Benz body shop control system based on PROFIsafe

DU Wen-bo, HAN Peng, PAN Xiao-gang

開(kāi)發(fā)了一種基于PROFInet的功能安全測(cè)試標(biāo)準(zhǔn)和實(shí)施方法，闡述了西門(mén)子分布式安全系統(tǒng)和自動(dòng)化生產(chǎn)線安全區(qū)設(shè)計(jì)的原則，設(shè)計(jì)了測(cè)試安全元素的PLC軟件程序。以保證柔性化自動(dòng)生產(chǎn)線全面的設(shè)備安全性和可靠性，并且符合工業(yè)功能安全的國(guó)際標(biāo)準(zhǔn)IEC 61508。

PROFInet；風(fēng)險(xiǎn)評(píng)估；功能安全測(cè)試；分布式安全；IEC 61508

杜文博（1988 -），男，江蘇徐州人，工程師，碩士，研究方向?yàn)樽詣?dòng)化控制系統(tǒng)。

TP29

A

1009-0134(2015)12(上)-0044-06

10.3969/j.issn.1009-0134.2015.23.12

2015-09-17