Tools

西门子中国西门子中国

Site ExplorerSite Explorer
Close site explorer

安全总线协议PROFIsafe在汽车厂总装车间的应用

摘要:本文阐述了安全总线协议PROFIsafe的总线安全原理和特点,并针对汽车厂生产工艺和控制方式特点,对其在北京奔驰-戴克有限公司总装车间的应用,进行了详细介绍。

关键字:安全总线  PROFIsafe  PROFIBUS  安全模块

1. 项目介绍

       北京奔驰-戴姆勒柯莱斯勒有限公司是北京北汽集团与奔驰-戴姆勒柯莱斯勒的合资企业,于05年10月开始在北京亦庄新建汽车生产厂,本地化生产奔驰E200、E280系列和戴姆勒柯莱斯勒300C系列车型。新建厂由两个厂区组成,一边是生产奔驰车的焊装和总装车间,另一边是生产300C的焊装和总装车间。两个车间共用一个喷涂车间,这次建厂并没有新建冲压车间。整个项目控制系统的实施完全依照IntegraBBDC V1.02标准(奔驰和Siemens合订汽车厂控制系统标准)和北京奔驰-戴姆勒柯莱斯勒汽车有限公司企业标准。

       根据300C整车生产工艺,控制系统机构如图1。设备层面控制系统采用总线方式,集中控制各生产车间生产线,各生产控制系统上层通过TCP/IP通讯协议和厂级计算机系统相接入的接口。现场总线采用SIEMENS公司PROFIBUS总线,相关总线I/O扩展元件以此为基础搭建。通常情况下工厂的控制系统可以分为五层:传感器/执行器层、现场总线层、控制层、 区域管理层、生产管理层。


                               图1. 生产车间控制系统简图

       在控制层采用了Siemens控制系统 CPU416F-2作系统主站,采用WinCC开发了中控室人机界面;而现场总线层采用了如下PROFIBUS从站:ET200S和ET200ECO作分布式I/O,MasterDrive作工艺线和升降机的驱动装置,ET200FC变频器作滚床、推车机等设备的驱动设备,PP17作操作面板,TP270作现场HMI;传感器层采用了Siemens大量接近开关。安全系统方面采用了Siemens的PROFIsafe安全总线协议、分布式安全模块4/8F-DI和4F-DO、光幕、急停按钮和门开关等产品。

     本文针对PROFIsafe在300C总装车间的应用,描述了PROFIsafe实现安全机制的机理,结合PROFIsafe的实际工程应用,探讨了应用方法和使用效果。

 

       在汽车生产厂,尤其是在自动化程度较高的焊装车间和总装车间,大量的焊接机器人和装配机械手的出现,造成了许多需要安全保护的危险区域,所以安全传感器,如区域保护扫描器、安全光幕、安全锁、安全地毯、急停开关等的使用已经非常普遍,但现在连接这些安全设备的控制系统仍停留在“安全继电器”或“安全PLC”的非总线控制系统的低级控制状态,大大限制了生产过程控制系统的发展。但如果将这些安全设备连接到非安全的现场总线系统(如标准的Profibus)上去,就会存在比较大的安全隐患,是一种非安全的控制状态。北京奔驰-戴克有限公司300C项目的总装车间采用PROFIBUS作为现场控制网络,同时采用PROFIsafe为安全通信协议,实现了控制网络和安全网络的完美集成,简化了控制网络结构,节省了安装成本和工程施工时间,使系统具有了可靠的安全保护装置,为安全、稳定生产提供保障。

2. PROFIsafe原理介绍:

       随着现场总线技术的发展和广泛应用,故障安全通信技术近年也得到了飞速发展,安全总线系统的应用使得工业控制系统更具安全性和可用性,同时提高了系统灵活性,有效节约了布线和工程施工的成本。

     与SafetyBus p这种独立的安全网络和独立的安全PLC想比,Siemens推出的安全通信协议PROFIsafe将安全设备和标准设备的数据流完全整合在以PROFIBUS为平台的总线系统中,使标准设备和安全设备能同时共用一条通信链路。从1999年PROFIsafe引入以来,TUV已经认证了其在PROFIBUS上运用的安全性,达到了IEC61508中SIL3的等级,最近它还获得了PROFInet上使用安全性的认证。开放架构的PROFIsafe使得选择其他厂商的产品成为可能。目前有大量的厂商都提供支持PROFIsafe的设备,如Banner,Beckhoff,Sick,Turck和Wago等。

     与传统安全系统相比PROFIsafe具有如下优点:

      (1)安全通信和标准通信在同一根电缆上共存;

      (2)PROFIsafe-故障安全性建立在单信道通信系统之上,安全通信不通过冗余电缆来达到目的;

      (3)标准通信部件,如电缆、专用芯片、DP-栈软件等等,无任何变化;

      (4)故障安全措施封闭在终端模块中(F-Master,F-Slave) ,采用专利SIL监视器获得极高的安全性;

      (5)最高故障安全完整性等级为SIL3(IEC61508);

      (6)既可用于低能耗(Ex-i)的过程自动化,又可用于反应迅速的制造业自动化;

       PROFIsafe使标准现场总线技术和故障安全技术合为一个系统,即故障安全通信和标准通信在同一根电缆上共存,安全通信不通过冗余电缆来实现。这不仅在布线上和品种多样性方面可以节约成本,而且也方便日后系统的改造。图2所示,标准控制器、I/O和安全控制器、F-I/O共用一条总线,通过F-网关可连接到其他安全总线系统。采用PROFIsafe既可使用单总线结构也可根据要求采用标准总线和安全总线分开的结构。

       图3为PROFIsafe的ISO/OSI简化模型,PROFIBUS在ISO/OSI模型中使用了1、2和7层,相对安全层来说,它是一个黑色通道(Black Channel);PROFIsafe为置于第7层之上的安全层(Safety-Layer),其仅负责有效数据的安全传送,而有效数据的准备和提供则是由依照故障安全技术要求设计的固件来完成。


                                  图2.标准通信和安全通信同在一个网络内

      图4为PROFIsafe通信的简单报文结构,从这里可以看出,安全通信的报文与标准通信报文是同时在PROFIBUS网络上进行通信的。而且根据制造业和过程工业不同的要求,有两种有效数据长度。

       PROFIsafe采用PROFIBUS标准机制的主从轮询通信方式使F-CPU和F-Slave交换信息,这样在主站与从站之间存在着1:1的关系,轮询操作(Polling)能够立即察觉一旦出现故障的某个设备,这正是故障安全技术的基本原则。为了避免网络传输错误,PROFIsafe采用了故障安全按位编号,带应答的时间监控,用密码标识发送器和接收器,增设16/32位循环冗余校验(CRC)等措施以保证数据的安全。此外,PROFIsafe还采用了SIL-Monitor专利技术,SIL监视器本身不是硬件,而是可实现PROFIsafe-驱动器软件的一部分。借助SIL-Monitor,F-系统能够在故障率超过一定限度之前即采取有效的安全保护措施,从而避免系统中出现险情。


                                     图3. PROFIsafe的ISO/OSI模型


                            图4. 标准通信中的PROFIsafe报文

      PROFIsafe的发展拓宽了PROFIBUS在工厂自动化和过程自动化领域的应用范围。本文通过探讨PROFIsafe的通信原理及其在汽车厂的实际应用,展现了PROFIsafe的实用性和优越性。

3. 300C总装车间控制系统结构

        现场总线技术的发展,改变了汽车厂控制系统的控制结构,近年新上项目均采用了以现场总线和分布式I/O为主的控制结构。开放式现场总线技术的使用,不仅能使不同供货商的设备共存于一个总线系统中,而且还能简化布线,加快信息在数字网络上的传播。但际上,标准的现场总线系统还不能算是一个完美的总线系统,尤其在“安全控制”方面存在着很大的漏洞。PROFIsafe安全通信协议是PROFIBUS网络在安全领域的扩展,PROFIsafe的引入使PROFIBUS更具完整性。

        300C项目总装车间按工艺分由三部分构成:漆后缓冲区、门线、内饰/底盘线。漆后缓冲区实现了总装车间和喷涂车间的接口,从喷涂车间接收到喷好漆的车身,然后根据车的不同型号和颜色进行编组,根据管理层的生产任务,按要求将车身移交给总装的内饰线。内饰线由两条输送线组成,全长300米,45个工位,线上按汽车安装工艺编排工位任务,两条内饰线间通过快链衔接。与内饰线相同,底盘线也有两条线组成,内饰和底盘间通过快链相连,底盘线上要与发动机合装线和加注机进行信号交接。在底盘线的末端会有升降机将装配好的车放到尾线上,进行装门和监测。门线作为总装的一部分,完成车门的安装和输送。

       整个总装车间控制系统建立在PROFIBUS现场总线基础上,根据工艺划分由三部分构成,每部分由一个CPU416F-2作为PROFIBUS主站和ET200S分布式I/O组成,不同PROFIBUS网络间采用DP COUPLER交接信号。本文以内饰/底盘线为例介绍了系统控制结构和PROFIsafe的应用。


                                          图5. 内饰、底盘线控制网络

       内饰底盘线分慢链和快链,慢链为工艺线,包括2条内饰线、2条底盘线、尾线,全长700多米;快链实现了2条内饰线、2条底盘线间的衔接和吊具缓冲功能。控制系统由一个CPU416F-2为主站,20个ET200S、11个ET200ECO、7个MasterDrive和8个PP17和1个TP270等从站组成,通过DP Coupler与缓冲区交接信号。如图5为内饰底盘线的控制网络PROFIBUS简图,安全模块分布于各个ET200S从站内,通过IM151HF接口模块与主站416F-2进行安去通信。现场急停、门开关、限位开关、光幕等安全信号通过安全模块输入点连接到控制系统中。这样整个系统的控制设备和安全设备就通过一条PROFIBUS总线连接起来了。

       安全模块的输入采用4/8F-DI,输出采用4F-DO,在电气硬件设计上安全模块的本身特性使安全模块的供电和模块接线与控制部分相分离,既如果安全模块和普通模块电气设计上相互交叉,安全模块将报错。在硬件组态中,也可对安全模块的属性进行进一步的设置,例如选择通道评估类型,两线传感器输出信号的误差时间,产生误差后替代值。同时,在软件设计上,PROFIsafe也采用控制软件与安全通信软件相分离的方法,来提高系统的安全等级。软件设计中所有的安全程序将通过一个属性为F-CALL的FC块,完成程序的执行。

       本系统安全程序参照Siemens安全程序编写标准的基础上,采用奔驰 IntegraBBDC标准程序库,采集安全模块的输入并进行处理,同时通过安全模块的输出来控制电机接触器的分断。图6为安全程序基本机构,通过处理输入点的FC程序块,对急停、限位开关、光幕等安全输入信号进行处理,同时将处理过的信号输出给处理输出模块的FC块,输出模块的FC块直接输出控制信号给DO点,来控制接触器动作。图6中,分别采集了两个急停的输入信号给两个FC块,把FC块的输出相与给到输出模块的输入点上,这样只要有一个急停被触发,输出模块就会动作。


                                          图6. 安全程序基本结构

4. 完成的功能

        内饰/底盘控制系统的PROFIsafe实现了现场30个急停和30个保护开关及光幕的通信监测,实现了标准控制网络与安全网络的良好集成,简化了控制网络结构,节省了安装成本和工程施工时间。本系统于2006年6月开始投入使用,至今运行稳定。当系统正常运行时,维护人员基本不用考虑与安全设备相关的问题,就像安全相关的设备不在这个系统中一样,但实际上其已经集成在了这个系统中了。由于控制信息和安全信息在一个网络上进行传输,所以操作员可以通过一个人机界面就可以观察现场的所有部件运行状况,这无论对生产控制或者避免非安全事件的发生,都能产生更为有效的反应。

      在系统的调试阶段碰到的问题有两个:

  (1)   连接到PROFIBUS上的TP270不能接收到CPU传过来的数据

    按项目的最初设计,TP270应该与其他分布式I/O和现场控制设备共存于一个PROFIBUS网络,但调试TP270时,其却不能得到CPU416F-2的数据。分析原因可能是安全模块过多,造成网络负荷过大。解决方案是利用CPU的另一个PROFIBUS接口建立与TP的连接,完成通信。

   (2)位于底盘2的加注机给我们的信号有急停,而且其要求急停信号可在两个回路间切换。实现加注机开或关闭时,急停都能控制输送线的运行。这里边存在的问题是,安全模块限制这样的回路切换,一旦切换就会报短路故障。解决方法是在安全模块的硬件属性设置里边有一项“Short circuit test”设置,将其默认属性“cyclic”改成“lock”,这样这块模块就不具备了短路监测功能,当切换时也不会发生短路故障报警。但这样作同时也降低了系统的安全等级。


                                           图7.现场控制柜安全模块从站

5. 小结

        PROFIsafe自1999年推出以来,在欧美地区制造业和过程工业都取得了良好的业绩。北京奔驰-戴克汽车厂PROFIsafe安全通信协议的应用,实现了安全通信和标准通信的集成,节省了安装费用,没有复杂的反馈接线,安全逻辑通过程序来实现,增强了灵活性,实现了系统对故障的实时监测。随着现场总线在中国的大力发展,安全总线及其带来的经济利益将倍受关注,对于面临全球化的中国企业来说,使自己的生产系统可进行安全等级评价,也增强了企业的竞争力,相信不久的将来,PROFIsafe将在中国取得更大的发展。

参考文献

1 PNO: PROFIBUS Profile, “PROFIsafe-Profile for Safety Technology”, Version 1.20, October 2002, Order No.3.092

2 System Manual Safety Technology. 5 Edition. Order No. 6ZB5 000-0AA02-0BA1

3 SIMATIC S7 Distributed Safety: feedback for Version 10/2004 A5E00297771