魏 巍，吴辛华

（上海汽车集团股份有限公司乘用车分公司，上海 201804）

设备设计时通常以一个控制器为最小单元。当设备出现报警时，对整体设备进行停机响应。随着控制器的处理能力日新月异，单个控制器可控制多个乃至十多个工位。且随着安全PLC的普及，同一个控制器已具备对安全信号的逻辑处理能力。故我们在此引入安全分区的概念，意在通过电气控制架构的设计和逻辑编程，将设备分成更小的单元，将报警进行级别和响应的划分，由同一个控制器总体把控各区域内的逻辑，当出现报警时，根据设定，进行分区控制输出。在出现非安全或能源（气、电、液压）故障时，将故障影响范围缩小，最小限度地影响机床非故障区域的运行，提升机床开动率，从而提升整线JPH。JPH是实时计算在指定最快连续生产产品数量下的平均节拍时间和指定时间段内的等效每小时的合格品输出目标[1]。所有的设计必须以不会影响人和设备的安全为前提。

1 硬件

1.1 系统需满足的安全条件

根据ISO 13849-1[2]，将设备的性能能级分为a-e五个级别，见图1。该能级直接反映因设备出现失效而造成人员伤亡的后果严重程度和概率，见图2。现代化工厂均要求设备达到PLd及以上的标准，用于保证操作工及维修工等相关人员的安全。

图1

图2

设备设计为满足以上安全需求，必须使用双回路设计的安全元器件。

各机床的控制系统需具备安全信号的处理能力，控制器需具备处理双通道回路安全信号，做出安全响应的能力，能够区分安全报警和普通报警。

需采用类似SIEMENS S7 317F及以上的控制器，如图3所示。使用该类型的控制器可在保证设备安全表现等级不降低的情况下，对安全信号进行判断和处理。当然，安全逻辑必须合理且有效。

图3 互联系统设计及信息流程图

图3

1.2 执行部件要求

由于各区为独立的安全分区，则各区内部的安全信号和输入输出信号均需使用独立的模块采集和输出。由此可实现控制器对各安全分区内的各种信号总体把控，分区控制。

现场使用的分布式IO系统，各分区需具备独立的分布式IO模块。

对于直接接入机床内部的信号可采用ET200SP模块，同样分为可处理安全信号模块（6ES7136-6DC00-0CA0）和非安全信号模块（ES7131-6BH01-0BA0），如图4所示。

图4

设备需有主气源开关及三联件。各分区的气源来自该设备主气源，但控制应当独立分开，有独立的控制阀，具备由PLC控制独立关断和打开的能力。

1.3 其他安全部件

门锁和急停按钮必须采用安全型产品，使用双回路控制，当一路触点失效时整个系统必须停止。急停装置作为工业自动化过程中基础且关键的部件，其产品的安全性和可靠性至关重要，直接关系到设备和人员的安全[3]。同时，如PLC与外部通信时，需使用CP343-1advanced用以防护[4]。

2 设备报警的分类和响应设计

当硬件满足条件后，需在软件中对报警进行分类，从而实现包括安全报警在内的各类报警的不同响应。

2.1 报警的分类

2.1.1 安全报警

安全报警为最高级别报警，是通常所说的急停报警。电气紧急停止控制是设备安全运行至关重要的保护措施[5]。当机床门打开、断电、断气、急停拍下、光栅触发等安全元器件被触发时，机床应响应安全报警。这些报警的触发元器件均为安全型元器件，由可处理安全信号的IO模块输入到PLC，并进行处理。当这些元器件的任意一个出现失效，设备会当作报警被触发处理，最大程度保证人员和设备的安全。

安全报警根据触发内容的不同，分为一级安全报警和二级安全报警。

一级安全报警包括：急停、安全光栅触发、安全门锁意外打开、气源故障等。此类报警为意外触发的报警，如果设备继续动作存在可能发生重大安全事故，造成人员的伤亡。

二级安全报警包括：请求安全门锁打开后打开安全门锁。当人员请求安全门打开后，设备进入循环结束后停止模式，会在完成当前加工循环后停止设备，并允许安全门锁被拉开，此时门打开后，设备处于停止状态，但安全系统被触发。

2.1.2 一般报警

其他非安全部件触发的逻辑报警均为一般报警。

一般报警包括一级总体报警、一级分区报警和二级总体报警、二级分区报警。

一级总体报警为逻辑上的错误，导致下一步动作可能会引起意外的错误。如某工位上有工件，且传感器被触发。但移位寄存器显示无工件。此时设备会报警工位状态未知或不可信。此时机器人不可以继续动作将工件放在此工位上，因为会出现碰撞风险。

一级分区报警同一级总体报警，但该报警只影响一个安全分区内的动作，不涉及整台机床，如辊道电机故障。

二级总体报警为警告或提示，出现报警后暂时不会引起意外的错误，但可能因条件不满足而导致生产停止。如某螺堵上料机构传感器无信号显示缺料或进料辊道报警进料超时/卡料。此类报警在发生后不影响当前正在加工的部件，只是可能会影响后续的加工，提醒操作工对状态进行确认。

二级分区报警同一级总体报警，但该报警只影响一个安全分区内的动作，不涉及整台机床，如涂胶罐重量不足。

2.2 设备对报警的响应

当机床出现一级安全报警时，所有安全分区需紧急停止。设备切断24V控制电源，切断气源供气，立即释放设备控制，所有运动部件紧急停止。

当机床出现二级安全报警时，所有安全分区循环结束后停止。设备在受控的情况下停止所有动作。不切断控制电源，切断气源。

当机床出现一级总体报警时，所有安全分区需紧急停止。设备切断24V控制电源，切断气源供气，立即释放设备控制，所有运动部件紧急停止。

当机床出现二级总体报警时，该机床需循环结束后停止。

当机床出现一级分区报警时，该安全分区需紧急停止，其他安全分区循环结束后停止。

当机床出现二级分区报警时，该安全分区需循环结束后停止，其他安全分区不对该报警响应。

逻辑如表1所示。

表1

3 安全区域划分原则

程序中对报警进行分级分类后，软件和硬件已满足对不同区域出现的不同级别报警进行的不同响应。

针对各类型的设备，合理有效地设置安全区域和响应方式，可大幅度提高设备开动率。

当设备出现报警后，机床内的工件均为未完成工件，无法继续使用，但出料辊道上的工件及线边在制品已完成加工，如果辊道在各功能完备的情况下停止运行而与下一个工序之间的手动上下料工位由该机床控制，那么下一道工序则会因辊道无工件进入且无法手动上在制品在完成当前加工后因缺料导致停机。同理，如果当本设备出现报警，但上一个工序可正常生产，且两道工序之间的手动上下料工位由该机床控制，则无法完成在制品下料，造成上一台机床的堵料停机。因此，大体上应按照上料辊道、下料辊道和加工区域进行划分。

对于有压装系统/涂胶系统等无法反工工位的设备来讲，此类工位需单独设立安全区域，当其他工位出现不影响压装过程的故障时，可保证当前加工工件完成加工，不造成不必要的工废。

对于串联的多个工位，工位与工位之间无法手动上下料的，每增加一个安全分区，至多只能保证多一个工件流入下一个工序。考虑到增加安全分区的成本和程序控制复杂程度，除非有上述特殊工位，否则均不再单独设立分区。

对于并联的多个工位，工位与工位之间进行相同的加工流程，可考虑每个工位设置一个安全分区，任一工位出现报警，不会影响其他工位的正常运行。

对于设立的安全分区需要有独立的MHI操作画面，该画面主要针对维修人员使用，如图5所示。在该操作画面下，可对该安全分区进行调整到手动模式等操作。可实现不影响其他分区运行的同时对特定安全分区进行维修、调整等操作[6]。

图5

4 应用实例分析

4.1 一般生产线上料工位的安全分区

安全分区实例举例如下：

一般生产线上料工位如图6的安全分区大致可分为Zone1/输送辊道、Zone2/对工件预操作（打标、安装RFID、安装托盘）、Zone3/转台+辊道。

图6

通常以辊道和加工区域为界，分为之前之后和本工位三个安全分区。考虑到类似Zone2区域内有多个工序，但工序间无法上下料，故均只划分一个区域，如部分装配工艺设计工位[7]。

当Zone1出现一般报警时，Zone2区域内的辊道由该分区内控制的电机驱动，因此可通过手动推料的方式进行上料。

当Zone2出现一般报警时，Zone3可继续运行，可将辊道上积存的工件或通过手动上料工位将工件送入下一工位。

当Zone3出现一般报警时，则需从Zone2手动下料，从下一个工序的入口手动上料。

假设该设备60JPH产能（每小时可生产60件合格工件），当各工位均出现10min的非安全报警时，设置安全分区和不设置安全分区的节拍损失如表2及表3所示。

表2

表3

情形1：设置安全分区。

情形2：不设置安全分区。

4.2 自动生产线多工位单机设备的安全分区

自动生产线上的单机设备指具备独立的控制系统，能够独立完成一个或多个加工工序，有来自上一个工序和输送到下一个工序的辊道，串联在整条生产线上的设备。

该类型的机床是机加工生产线最常见的PLC控制设备。

如图7，构建一台典型机加工生产线常见PLC控制辅机简易工位分布图。该设备包括一条进料辊道、两条出料辊道（合格辊道和不合格辊道）、加工区域。

图7

其中加工区域包括一台搬运机器人负责对工件进行调度和定位。

工位1压装工位对发动机缸体的碗型塞进行压装工作。压装工序具有不可返工的特性。

工位2负责压装后的测漏工作。

测漏完成后设备自动将工件放入对应的下料辊道。

其他如涂胶、打标、送料、信息识别、标准件等工序均未在图中标识。

安全分区方法实例：

通常将加工区域设置为一个单独的安全分区Zone1。

可将上料辊道和下料辊道分为一个或两个安全分区，取决于辊道的长度。当两段辊道均很短且结构简单时，可作为同一个分区，用以节约成本，简化程序。如上下料辊道较长，且包括转台，涉及正常下料和不合格下料等复杂情况，可设置独立的分区Zone2和Zone3。

当Zone1出现一般报警时，可通过Zone3对后续工序进行在制品上料。Zone4完成当前加工步骤后停止。Zone3保持正常上料直至在制品消耗完毕。

当Zone2出现一般报警时，可通过手动上料的方式对机床进行上料。

当Zone3出现一般报警时，可通过手动下料的方式对机床进行下料。

Zone4为压装工位，该工位具备不可返工的特点，考虑到Zone1中包含许多其他附件，容易出现报警。当同一分区内的其他工位出现报警时，如果压装正在进行中，突然停止会造成工废，故设置独立的安全分区Zone4。当Zone1区域出现非安全报警时，该工位应当完成当前加工步骤后停止。

共4个安全分区，假设该设备60JPH产能（每小时可生产60件合格工件），当各工位均出现10min的非安全报警时，设置安全分区和不设置安全分区的节拍损失如表4及表5所示：

表4

表5

情形1：设置安全分区，无在制品。

情形2：不设置安全分区。

除此之外，当设备出现故障时：（1）辊道可以继续运行可以保证线边在制品的顺利上料和下料；（2）已经在辊道上的工件可以顺利进入下一工序。

4.3 自动生产线并行工位单机设备的安全分区

该设备如图8，工位1和工位2进行完全相同的加工过程，是典型的并行加工工位。

图8

故对设备进行安全分区如上例，仅新增安全分区5。设置安全分区和不设置安全分区的节拍损失如表6及表7所示。

表6

情形1：设置安全分区，无在制品。

情形2：不设置安全分区（见表7）。

表7

5 结束语

通过上述应用实践可以发现，各类情况下，有效合理的安全分区可以将故障限定在最小的影响范围内，可在最大程度上利用现有条件减少停机时间，理论上可提升约50%开动效率，提高开动率，但该设计理念并未完成对多控制器的并行工序的讨论。