壓力機控制的故障安全系統應用

沈盛陽，裴建斌，董培培

（揚力集團股份有限公司，江蘇 揚州 225000）

0 引言

壓力機生產過程中或多或少都存在危險，在運行過程中可能會發生故障而導致某些危險，這些危險可能會造成很大的傷害，包括人的身體的損傷、健康狀態的損害、財產的損失或者環境的破壞。發生危險時可能會造成傷害，也可能不會造成傷害。當造成傷害時，有的情況下是一種輕度傷害，有的情況下是比較嚴重的傷害。我們把危險發生時，造成傷害的概率和傷害程度的組合，稱為風險。在當前社會發展水平下，如果某個給定范圍內的風險都是可以接受的，稱之為“可容忍風險”。我們將這種沒有不可接受風險的狀態，稱為“安全”。

在確定安全完整性時應包括所有導致非安全狀態的失效原因，比如：硬件失效、軟件導致的失效和電磁干擾導致的失效。某些類型的失效，尤其是隨機硬件失效，可以用危險失效模式下的平均失效頻率或安全相關保護系統未能在要求時動作的概率來量化。但是安全完整性還取決于許多不能精確量化的、只可定性考慮的因素。SIL 是“安全完整性等級”的首字母縮寫認證，分為SIL1、SIL2、SIL3、SIL4，其中1 級是最低的產品功能安全等級，4 是最高的級別。目前市場上壓力機主流的故障安全標準控制在SIL3，SIL4 一般不做要求。

本文將以西門子可編程控制器為例，從硬件連接、安全組態及軟件編程來具體闡述如何做到SLI3的安全等級。

1 硬件連接

可編程控制器必須選用安全型PLC，本文中以S7-1515F 為例，輸入模塊必須選用安全數字量模塊F-DI*16。特別需要注意的是，整個控制系統可達到的安全等級也取決于連接到安全數字量模塊上的傳感器的質量以及IEC 61508:2010 標準中規定的運行時間，如果傳感器的質量低于安全級別所要求的質量，則必須使用并評估通過雙通道連接的冗余傳感器。模塊上硬件接線如表1 所示，1oo1 的含義為，對于每個過程信號，通過一個通道連接一個傳感器，可以使用內部電源，也可以使用外部電源。1oo2 對等的含義為，對于每個過程信號，將一個雙通道傳感器對等連接到安全數字量模塊的兩個輸入端，也可通過外部傳感器電源為一個或兩個傳感器開關進行供電。1oo2 非對等的含義為，對于每個過程信號，將非對等傳感器連接到安全數字量模塊的兩個輸入端，也可以使用外部傳感器電源為傳感器供電。

表1 傳感器評估及電源

2 安全組態

在西門子TIA Portal 中添加如圖1 所示的硬件配置，配置完成后在組態中設置參數，先設置傳感器電源參數，通過該參數，可指定是否使用內部傳感器電源，以及內部傳感器電源的類型和所用通道組，相應的選擇適用于整個通道組（CH0-3、4-7、8-11、12-15）。如需要進行短路測試時，則需要選擇內部電源傳感器。短路測試僅通常適用于自身不帶電源的簡單開關。對于自身帶有電源的開關（如3/4 線制接近開關或帶OSSD 輸出的光電傳感器），則需修改“短路測試后傳感器的啟動時間”參數設置，與所用的傳感器進行匹配。短路檢測時，會短時關斷內部傳感器的電源。失效時長等于組態的“傳感器測試時間”，如果檢測到短路，安全數字量模塊將觸發診斷中斷，并鈍化輸入。如果禁用短路測試，則必須對線路進行短路和跨接測試，或者選擇使用誤差檢測跨接的連接類型。再設置通道參數，選擇好與硬件連接相應的傳感器評估類型，最后根據抑制引發的干擾，可為通道或通道對設置一個輸入延時，能夠抑制脈沖時間小于輸入延時設置（單位ms）的干擾脈沖，抑制的干擾脈沖在過程映像輸入中不可見。但較長的輸入延時將抑制長干擾脈沖，從而導致響應時間過長。需注意，設置的輸入延時值需小于所組態的“短路測試后傳感器的啟動時間”和“短路測試時間”。

圖1 TIA Portal 安全組態硬件配置

3 編程

以上工作完成后，在安全程序中，添加對應的功能塊，以壓力機操作站的雙手為例，如圖2 所示，IN1和IN2 為雙手的輸入信號；ENABLE 為使能開關，false 為不使用，true 為使用；DISCTIME 為IN1 和IN2之間的所允許的誤差時間；Q 為輸出信號；DIAG 為診斷數據，不同的數值代表不同的診斷狀態。往功能塊的針腳中輸入正確的數值后，至此就完成了一個符合SIL3 等級的故障安全應用。

圖2 雙手安全功能塊

4 結論

通過以上所述的故障安全系統的應用，可極大減少甚至規避壓力機在運行過程出現的各種風險，提高壓力機使用環境的安全系數，從而提升沖壓現場的安全體驗，提高勞動生產效率。