安全總線協(xié)議PROFIsafe在汽車廠總裝車間的應(yīng)用

北京奔馳-戴姆勒柯萊斯勒有限公司是北京北汽集團與奔馳-戴姆勒柯萊斯勒的合資企業(yè)，于05年10月開始在北京亦莊新建汽車生產(chǎn)廠，本地化生產(chǎn)奔馳E200、E280系列和戴姆勒柯萊斯勒300C系列車型。新建廠由兩個廠區(qū)組成，一邊是生產(chǎn)奔馳車的焊裝和總裝車間，另一邊是生產(chǎn)300C的焊裝和總裝車間。兩個車間共用一個噴涂車間，這次建廠并沒有新建沖壓車間。整個項目控制系統(tǒng)的實施完全依照IntegraBBDC V1.02標準（奔馳和Siemens合訂汽車廠控制系統(tǒng)標準）和北京奔馳-戴姆勒柯萊斯勒汽車有限公司企業(yè)標準。

根據(jù)300C整車生產(chǎn)工藝，控制系統(tǒng)機構(gòu)如圖1。設(shè)備層面控制系統(tǒng)采用總線方式，集中控制各生產(chǎn)車間生產(chǎn)線，各生產(chǎn)控制系統(tǒng)上層通過TCP/IP通訊協(xié)議和廠級計算機系統(tǒng)相接入的接口。現(xiàn)場總線采用SIEMENS公司PROFIBUS總線，相關(guān)總線I/O擴展元件以此為基礎(chǔ)搭建。通常情況下工廠的控制系統(tǒng)可以分為五層：傳感器/執(zhí)行器層、現(xiàn)場總線層、控制層、 區(qū)域管理層、生產(chǎn)管理層。

圖1. 生產(chǎn)車間控制系統(tǒng)簡圖

在控制層采用了Siemens控制系統(tǒng) CPU416F-2作系統(tǒng)主站，采用WinCC開發(fā)了中控室人機界面；而現(xiàn)場總線層采用了如下PROFIBUS從站：ET200S和ET200ECO作分布式I/O，MasterDrive作工藝線和升降機的驅(qū)動裝置，ET200FC變頻器作滾床、推車機等設(shè)備的驅(qū)動設(shè)備，PP17作操作面板，TP270作現(xiàn)場HMI；傳感器層采用了Siemens大量接近開關(guān)。安全系統(tǒng)方面采用了Siemens的PROFIsafe安全總線協(xié)議、分布式安全模塊4/8F-DI和4F-DO、光幕、急停按鈕和門開關(guān)等產(chǎn)品。

本文針對PROFIsafe在300C總裝車間的應(yīng)用，描述了PROFIsafe實現(xiàn)安全機制的機理，結(jié)合PROFIsafe的實際工程應(yīng)用，探討了應(yīng)用方法和使用效果。

在汽車生產(chǎn)廠，尤其是在自動化程度較高的焊裝車間和總裝車間，大量的焊接機器人和裝配機械手的出現(xiàn)，造成了許多需要安全保護的危險區(qū)域，所以安全傳感器，如區(qū)域保護掃描器、安全光幕、安全鎖、安全地毯、急停開關(guān)等的使用已經(jīng)非常普遍，但現(xiàn)在連接這些安全設(shè)備的控制系統(tǒng)仍停留在“安全繼電器”或“安全PLC”的非總線控制系統(tǒng)的低級控制狀態(tài)，大大限制了生產(chǎn)過程控制系統(tǒng)的發(fā)展。但如果將這些安全設(shè)備連接到非安全的現(xiàn)場總線系統(tǒng)（如標準的Profibus）上去，就會存在比較大的安全隱患，是一種非安全的控制狀態(tài)。北京奔馳-戴克有限公司300C項目的總裝車間采用PROFIBUS作為現(xiàn)場控制網(wǎng)絡(luò)，同時采用PROFIsafe為安全通信協(xié)議，實現(xiàn)了控制網(wǎng)絡(luò)和安全網(wǎng)絡(luò)的完美集成，簡化了控制網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省了安裝成本和工程施工時間，使系統(tǒng)具有了可靠的安全保護裝置，為安全、穩(wěn)定生產(chǎn)提供保障。

隨著現(xiàn)場總線技術(shù)的發(fā)展和廣泛應(yīng)用，故障安全通信技術(shù)近年也得到了飛速發(fā)展，安全總線系統(tǒng)的應(yīng)用使得工業(yè)控制系統(tǒng)更具安全性和可用性，同時提高了系統(tǒng)靈活性，有效節(jié)約了布線和工程施工的成本。

與SafetyBus p這種獨立的安全網(wǎng)絡(luò)和獨立的安全PLC想比，Siemens推出的安全通信協(xié)議PROFIsafe將安全設(shè)備和標準設(shè)備的數(shù)據(jù)流完全整合在以PROFIBUS為平臺的總線系統(tǒng)中，使標準設(shè)備和安全設(shè)備能同時共用一條通信鏈路。從1999年P(guān)ROFIsafe引入以來，TUV已經(jīng)認證了其在PROFIBUS上運用的安全性，達到了IEC61508中SIL3的等級，最近它還獲得了PROFInet上使用安全性的認證。開放架構(gòu)的PROFIsafe使得選擇其他廠商的產(chǎn)品成為可能。目前有大量的廠商都提供支持PROFIsafe的設(shè)備，如Banner，Beckhoff，Sick，Turck和Wago等。

與傳統(tǒng)安全系統(tǒng)相比PROFIsafe具有如下優(yōu)點：

（1）安全通信和標準通信在同一根電纜上共存；

（2）PROFIsafe-故障安全性建立在單信道通信系統(tǒng)之上，安全通信不通過冗余電纜來達到目的；

（3）標準通信部件，如電纜、專用芯片、DP-棧軟件等等，無任何變化；

（4）故障安全措施封閉在終端模塊中(F-Master，F(xiàn)-Slave) ，采用專利SIL監(jiān)視器獲得極高的安全性；

（5）最高故障安全完整性等級為SIL3(IEC61508)；

（6）既可用于低能耗(Ex-i)的過程自動化，又可用于反應(yīng)迅速的制造業(yè)自動化；

PROFIsafe使標準現(xiàn)場總線技術(shù)和故障安全技術(shù)合為一個系統(tǒng)，即故障安全通信和標準通信在同一根電纜上共存，安全通信不通過冗余電纜來實現(xiàn)。這不僅在布線上和品種多樣性方面可以節(jié)約成本，而且也方便日后系統(tǒng)的改造。圖2所示，標準控制器、I/O和安全控制器、F-I/O共用一條總線，通過F-網(wǎng)關(guān)可連接到其他安全總線系統(tǒng)。采用PROFIsafe既可使用單總線結(jié)構(gòu)也可根據(jù)要求采用標準總線和安全總線分開的結(jié)構(gòu)。

圖3為PROFIsafe的ISO/OSI簡化模型，PROFIBUS在ISO/OSI模型中使用了1、2和7層，相對安全層來說，它是一個黑色通道（Black Channel）；PROFIsafe為置于第7層之上的安全層(Safety-Layer)，其僅負責有效數(shù)據(jù)的安全傳送，而有效數(shù)據(jù)的準備和提供則是由依照故障安全技術(shù)要求設(shè)計的固件來完成。

圖2.標準通信和安全通信同在一個網(wǎng)絡(luò)內(nèi)

圖4為PROFIsafe通信的簡單報文結(jié)構(gòu)，從這里可以看出，安全通信的報文與標準通信報文是同時在PROFIBUS網(wǎng)絡(luò)上進行通信的。而且根據(jù)制造業(yè)和過程工業(yè)不同的要求，有兩種有效數(shù)據(jù)長度。

PROFIsafe采用PROFIBUS標準機制的主從輪詢通信方式使F-CPU和F-Slave交換信息，這樣在主站與從站之間存在著1：1的關(guān)系，輪詢操作(Polling)能夠立即察覺一旦出現(xiàn)故障的某個設(shè)備，這正是故障安全技術(shù)的基本原則。為了避免網(wǎng)絡(luò)傳輸錯誤，PROFIsafe采用了故障安全按位編號，帶應(yīng)答的時間監(jiān)控，用密碼標識發(fā)送器和接收器，增設(shè)16/32位循環(huán)冗余校驗(CRC)等措施以保證數(shù)據(jù)的安全。此外，PROFIsafe還采用了SIL-Monitor專利技術(shù)，SIL監(jiān)視器本身不是硬件，而是可實現(xiàn)PROFIsafe-驅(qū)動器軟件的一部分。借助SIL-Monitor，F(xiàn)-系統(tǒng)能夠在故障率超過一定限度之前即采取有效的安全保護措施，從而避免系統(tǒng)中出現(xiàn)險情。

圖3. PROFIsafe的ISO/OSI模型

圖4. 標準通信中的PROFIsafe報文

PROFIsafe的發(fā)展拓寬了PROFIBUS在工廠自動化和過程自動化領(lǐng)域的應(yīng)用范圍。本文通過探討PROFIsafe的通信原理及其在汽車廠的實際應(yīng)用，展現(xiàn)了PROFIsafe的實用性和優(yōu)越性。

現(xiàn)場總線技術(shù)的發(fā)展，改變了汽車廠控制系統(tǒng)的控制結(jié)構(gòu)，近年新上項目均采用了以現(xiàn)場總線和分布式I/O為主的控制結(jié)構(gòu)。開放式現(xiàn)場總線技術(shù)的使用，不僅能使不同供貨商的設(shè)備共存于一個總線系統(tǒng)中，而且還能簡化布線，加快信息在數(shù)字網(wǎng)絡(luò)上的傳播。但際上，標準的現(xiàn)場總線系統(tǒng)還不能算是一個完美的總線系統(tǒng)，尤其在“安全控制”方面存在著很大的漏洞。PROFIsafe安全通信協(xié)議是PROFIBUS網(wǎng)絡(luò)在安全領(lǐng)域的擴展，PROFIsafe的引入使PROFIBUS更具完整性。

300C項目總裝車間按工藝分由三部分構(gòu)成：漆后緩沖區(qū)、門線、內(nèi)飾/底盤線。漆后緩沖區(qū)實現(xiàn)了總裝車間和噴涂車間的接口，從噴涂車間接收到噴好漆的車身，然后根據(jù)車的不同型號和顏色進行編組，根據(jù)管理層的生產(chǎn)任務(wù)，按要求將車身移交給總裝的內(nèi)飾線。內(nèi)飾線由兩條輸送線組成，全長300米，45個工位，線上按汽車安裝工藝編排工位任務(wù)，兩條內(nèi)飾線間通過快鏈銜接。與內(nèi)飾線相同，底盤線也有兩條線組成，內(nèi)飾和底盤間通過快鏈相連，底盤線上要與發(fā)動機合裝線和加注機進行信號交接。在底盤線的末端會有升降機將裝配好的車放到尾線上，進行裝門和監(jiān)測。門線作為總裝的一部分，完成車門的安裝和輸送。

整個總裝車間控制系統(tǒng)建立在PROFIBUS現(xiàn)場總線基礎(chǔ)上，根據(jù)工藝劃分由三部分構(gòu)成，每部分由一個CPU416F-2作為PROFIBUS主站和ET200S分布式I/O組成，不同PROFIBUS網(wǎng)絡(luò)間采用DP COUPLER交接信號。本文以內(nèi)飾/底盤線為例介紹了系統(tǒng)控制結(jié)構(gòu)和PROFIsafe的應(yīng)用。

圖5. 內(nèi)飾、底盤線控制網(wǎng)絡(luò)

內(nèi)飾底盤線分慢鏈和快鏈，慢鏈為工藝線，包括2條內(nèi)飾線、2條底盤線、尾線，全長700多米；快鏈實現(xiàn)了2條內(nèi)飾線、2條底盤線間的銜接和吊具緩沖功能。控制系統(tǒng)由一個CPU416F-2為主站，20個ET200S、11個ET200ECO、7個MasterDrive和8個PP17和1個TP270等從站組成，通過DP Coupler與緩沖區(qū)交接信號。如圖5為內(nèi)飾底盤線的控制網(wǎng)絡(luò)PROFIBUS簡圖，安全模塊分布于各個ET200S從站內(nèi)，通過IM151HF接口模塊與主站416F-2進行安去通信。現(xiàn)場急停、門開關(guān)、限位開關(guān)、光幕等安全信號通過安全模塊輸入點連接到控制系統(tǒng)中。這樣整個系統(tǒng)的控制設(shè)備和安全設(shè)備就通過一條PROFIBUS總線連接起來了。

安全模塊的輸入采用4/8F-DI，輸出采用4F-DO，在電氣硬件設(shè)計上安全模塊的本身特性使安全模塊的供電和模塊接線與控制部分相分離，既如果安全模塊和普通模塊電氣設(shè)計上相互交叉，安全模塊將報錯。在硬件組態(tài)中，也可對安全模塊的屬性進行進一步的設(shè)置，例如選擇通道評估類型，兩線傳感器輸出信號的誤差時間，產(chǎn)生誤差后替代值。同時，在軟件設(shè)計上，PROFIsafe也采用控制軟件與安全通信軟件相分離的方法，來提高系統(tǒng)的安全等級。軟件設(shè)計中所有的安全程序?qū)⑼ㄟ^一個屬性為F-CALL的FC塊，完成程序的執(zhí)行。

本系統(tǒng)安全程序參照Siemens安全程序編寫標準的基礎(chǔ)上，采用奔馳 IntegraBBDC標準程序庫，采集安全模塊的輸入并進行處理，同時通過安全模塊的輸出來控制電機接觸器的分斷。圖6為安全程序基本機構(gòu)，通過處理輸入點的FC程序塊，對急停、限位開關(guān)、光幕等安全輸入信號進行處理，同時將處理過的信號輸出給處理輸出模塊的FC塊，輸出模塊的FC塊直接輸出控制信號給DO點，來控制接觸器動作。圖6中，分別采集了兩個急停的輸入信號給兩個FC塊，把FC塊的輸出相與給到輸出模塊的輸入點上，這樣只要有一個急停被觸發(fā)，輸出模塊就會動作。

圖6. 安全程序基本結(jié)構(gòu)

內(nèi)飾/底盤控制系統(tǒng)的PROFIsafe實現(xiàn)了現(xiàn)場30個急停和30個保護開關(guān)及光幕的通信監(jiān)測，實現(xiàn)了標準控制網(wǎng)絡(luò)與安全網(wǎng)絡(luò)的良好集成，簡化了控制網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省了安裝成本和工程施工時間。本系統(tǒng)于2006年6月開始投入使用，至今運行穩(wěn)定。當系統(tǒng)正常運行時，維護人員基本不用考慮與安全設(shè)備相關(guān)的問題，就像安全相關(guān)的設(shè)備不在這個系統(tǒng)中一樣，但實際上其已經(jīng)集成在了這個系統(tǒng)中了。由于控制信息和安全信息在一個網(wǎng)絡(luò)上進行傳輸，所以操作員可以通過一個人機界面就可以觀察現(xiàn)場的所有部件運行狀況，這無論對生產(chǎn)控制或者避免非安全事件的發(fā)生，都能產(chǎn)生更為有效的反應(yīng)。

在系統(tǒng)的調(diào)試階段碰到的問題有兩個：

（1） 連接到PROFIBUS上的TP270不能接收到CPU傳過來的數(shù)據(jù)

按項目的最初設(shè)計，TP270應(yīng)該與其他分布式I/O和現(xiàn)場控制設(shè)備共存于一個PROFIBUS網(wǎng)絡(luò)，但調(diào)試TP270時，其卻不能得到CPU416F-2的數(shù)據(jù)。分析原因可能是安全模塊過多，造成網(wǎng)絡(luò)負荷過大。解決方案是利用CPU的另一個PROFIBUS接口建立與TP的連接，完成通信。

（2）位于底盤2的加注機給我們的信號有急停，而且其要求急停信號可在兩個回路間切換。實現(xiàn)加注機開或關(guān)閉時，急停都能控制輸送線的運行。這里邊存在的問題是，安全模塊限制這樣的回路切換，一旦切換就會報短路故障。解決方法是在安全模塊的硬件屬性設(shè)置里邊有一項“Short circuit test”設(shè)置，將其默認屬性“cyclic”改成“l(fā)ock”，這樣這塊模塊就不具備了短路監(jiān)測功能，當切換時也不會發(fā)生短路故障報警。但這樣作同時也降低了系統(tǒng)的安全等級。

圖7.現(xiàn)場控制柜安全模塊從站

PROFIsafe自1999年推出以來，在歐美地區(qū)制造業(yè)和過程工業(yè)都取得了良好的業(yè)績。北京奔馳-戴克汽車廠PROFIsafe安全通信協(xié)議的應(yīng)用，實現(xiàn)了安全通信和標準通信的集成，節(jié)省了安裝費用，沒有復(fù)雜的反饋接線，安全邏輯通過程序來實現(xiàn)，增強了靈活性，實現(xiàn)了系統(tǒng)對故障的實時監(jiān)測。隨著現(xiàn)場總線在中國的大力發(fā)展，安全總線及其帶來的經(jīng)濟利益將倍受關(guān)注，對于面臨全球化的中國企業(yè)來說，使自己的生產(chǎn)系統(tǒng)可進行安全等級評價，也增強了企業(yè)的競爭力，相信不久的將來，PROFIsafe將在中國取得更大的發(fā)展。

1 PNO: PROFIBUS Profile, “PROFIsafe-Profile for Safety Technology”, Version 1.20, October 2002, Order No.3.092

2 System Manual Safety Technology. 5 Edition. Order No. 6ZB5 000-0AA02-0BA1

3 SIMATIC S7 Distributed Safety: feedback for Version 10/2004 A5E00297771

Yang Hong Bo

Siemens A&D OD Beijing 100102

Abstract：In this paper, the principle and characteristic of the PROFIsafe are introduced. In the meanwhile, PROFIsafe application of Beijing Benz Daimler Chrysler assembly factory is described according to the technics and control type.

Keywords：Safety Bus PROFIsafe PROFIBUS Safety module

總裝車間輸送線