在控制層采用了Siemens控制系統 CPU416F-2作系統主站，采用WinCC開(kāi)發(fā)了中控室人機界面；而現場(chǎng)總線(xiàn)層采用了如下PROFIBUS從站：ET200S和ET200ECO作分布式I/O，MasterDrive作工藝線(xiàn)和升降機的驅動(dòng)裝置,ET200FC變頻器作滾床、推車(chē)機等設備的驅動(dòng)設備，PP17作操作面板，TP270作現場(chǎng)HMI；傳感器層采用了Siemens大量接近開(kāi)關(guān)。安全系統方面采用了Siemens的PROFIsafe安全總線(xiàn)協(xié)議、分布式安全模塊4/8F-DI和4F-DO、光幕、急停按鈕和門(mén)開(kāi)關(guān)等產(chǎn)品。
　　
    本文針對PROFIsafe在300C總裝車(chē)間的應用，描述了PROFIsafe實(shí)現安全機制的機理，結合PROFIsafe的實(shí)際工程應用，探討了應用方法和使用效果。
　　
    在汽車(chē)生產(chǎn)廠(chǎng)，尤其是在自動(dòng)化程度較高的焊裝車(chē)間和總裝車(chē)間，大量的焊接機器人和裝配機械手的出現，造成了許多需要安全保護的危險區域,所以安全傳感器，如區域保護掃描器、安全光幕、安全鎖、安全地毯、急停開(kāi)關(guān)等的使用已經(jīng)非常普遍，但現在連接這些安全設備的控制系統仍停留在“安全繼電器”或“安全PLC”的非總線(xiàn)控制系統的低級控制狀態(tài)，大大限制了生產(chǎn)過(guò)程控制系統的發(fā)展。但如果將這些安全設備連接到非安全的現場(chǎng)總線(xiàn)系統（如標準的Profibus）上去，就會(huì )存在比較大的安全隱患，是一種非安全的控制狀態(tài)。北京奔馳-戴克有限公司300C項目的總裝車(chē)間采用PROFIBUS作為現場(chǎng)控制網(wǎng)絡(luò )，同時(shí)采用PROFIsafe為安全通信協(xié)議，實(shí)現了控制網(wǎng)絡(luò )和安全網(wǎng)絡(luò )的完美集成，簡(jiǎn)化了控制網(wǎng)絡(luò )結構，節省了安裝成本和工程施工時(shí)間，使系統具有了可靠的安全保護裝置，為安全、穩定生產(chǎn)提供保障。
　　
2. PROFIsafe原理介紹：
　　
    隨著(zhù)現場(chǎng)總線(xiàn)技術(shù)的發(fā)展和廣泛應用,故障安全通信技術(shù)近年也得到了飛速發(fā)展，安全總線(xiàn)系統的應用使得工業(yè)控制系統更具安全性和可用性，同時(shí)提高了系統靈活性，有效節約了布線(xiàn)和工程施工的成本。
　　
    與SafetyBus p這種獨立的安全網(wǎng)絡(luò )和獨立的安全PLC想比,Siemens推出的安全通信協(xié)議PROFIsafe將安全設備和標準設備的數據流完全整合在以PROFIBUS為平臺的總線(xiàn)系統中,使標準設備和安全設備能同時(shí)共用一條通信鏈路。從1999年P(guān)ROFIsafe引入以來(lái),TUV已經(jīng)認證了其在PROFIBUS上運用的安全性,達到了IEC61508中SIL3的等級,最近它還獲得了PROFInet上使用安全性的認證。開(kāi)放架構的PROFIsafe使得選擇其他廠(chǎng)商的產(chǎn)品成為可能。目前有大量的廠(chǎng)商都提供支持PROFIsafe的設備，如Banner，Beckhoff，Sick，Turck和Wago等。
　　
    與傳統安全系統相比PROFIsafe具有如下優(yōu)點(diǎn)：
    
    （1）安全通信和標準通信在同一根電纜上共存；
　　
    （2）PROFIsafe-故障安全性建立在單信道通信系統之上，安全通信不通過(guò)冗余電纜來(lái)達到目的； 
　　
    （3）標準通信部件，如電纜、專(zhuān)用芯片、DP-棧軟件等等，無(wú)任何變化； 
　　
    （4）故障安全措施封閉在終端模塊中（F-Master，F-Slave） ，采用專(zhuān)利SIL監視器獲得極高的安全性； 
　　
    （5）最高故障安全完整性等級為SIL3（IEC61508）； 
　　
    （6）既可用于低能耗（Ex-i）的過(guò)程自動(dòng)化，又可用于反應迅速的制造業(yè)自動(dòng)化； 
　　
    PROFIsafe使標準現場(chǎng)總線(xiàn)技術(shù)和故障安全技術(shù)合為一個(gè)系統，即故障安全通信和標準通信在同一根電纜上共存，安全通信不通過(guò)冗余電纜來(lái)實(shí)現。這不僅在布線(xiàn)上和品種多樣性方面可以節約成本，而且也方便日后系統的改造。圖2所示，標準控制器、I/O和安控制器、F-I/O共用一條總線(xiàn)，通過(guò)F-網(wǎng)關(guān)可連接到其他安全總線(xiàn)系統。采用PROFIsafe既可使用單總線(xiàn)結構也可根據要求采用標準總線(xiàn)和安全總線(xiàn)分開(kāi)的結構。
　　
    圖3為PROFIsafe的ISO/OSI簡(jiǎn)化模型，PROFIBUS在ISO/OSI模型中使用了1、2和7層，相對安全層來(lái)說(shuō)，它是一個(gè)黑色通道（Black Channel）；PROFIsafe為置于第7層之上的安全層（Safety-Layer），其僅負責有效數據的安全傳送,而有效數據的準備和提供則是由依照故障安全技術(shù)要求設計的固件來(lái)完成。

    圖4為PROFIsafe通信的簡(jiǎn)單報文結構，從這里可以看出，安全通信的報文與標準通信報文是同時(shí)在PROFIBUS網(wǎng)絡(luò )上進(jìn)行通信的。而且根據制造業(yè)和過(guò)程工業(yè)不同的要求，有兩種有效數據長(cháng)度。
　　
    PROFIsafe采用PROFIBUS標準機制的主從輪詢(xún)通信方式使F-CPU和F-Slave交換信息，這樣在主站與從站之間存在著(zhù)1：1的關(guān)系,輪詢(xún)操作（Polling）能夠立即察覺(jué)一旦出現故障的某個(gè)設備，這正是故障安全技術(shù)的基本原則。為了避免網(wǎng)絡(luò )傳輸錯誤，PROFIsafe采用了故障安全按位編號，帶應答的時(shí)間監控，用密碼標識發(fā)送器和接收器,增設16/32位循環(huán)冗余校驗（CRC）等措施以保證數據的安全。此外,PROFIsafe還采用了SIL-Monitor專(zhuān)利技術(shù)，SIL監視器本身不是硬件，而是可實(shí)現PROFIsafe-驅動(dòng)器軟件的一部分。借助SIL-Monitor，F-系統能夠在故障率超過(guò)一定限度之前即采取有效的安全保護措施，從而避免系統中出現險情。

    PROFIsafe的發(fā)展拓寬了PROFIBUS在工廠(chǎng)自動(dòng)化和過(guò)程自動(dòng)化領(lǐng)域的應用范圍。本文通過(guò)探討PROFIsafe的通信原理及其在汽車(chē)廠(chǎng)的實(shí)際應用，展現了PROFIsafe的實(shí)用性和優(yōu)越性。
　　
3. 300C總裝車(chē)間控制系統結構
　　
    現場(chǎng)總線(xiàn)技術(shù)的發(fā)展，改變了汽車(chē)廠(chǎng)控制系統的控制結構，近年新上項目均采用了以現場(chǎng)總線(xiàn)和分布式I/O為主的控制結構。開(kāi)放式現場(chǎng)總線(xiàn)技術(shù)的使用，不僅能使不同供貨商的設備共存于一個(gè)總線(xiàn)系統中，而且還能簡(jiǎn)化布線(xiàn)，加快信息在數字網(wǎng)絡(luò )上的傳播。但際上，標準的現場(chǎng)總線(xiàn)系統還不能算是一個(gè)完美的總線(xiàn)系統，尤其在“安全控制”方面存在著(zhù)很大的漏洞。PROFIsafe安全通信協(xié)議是PROFIBUS網(wǎng)絡(luò )在安全領(lǐng)域的擴展，PROFIsafe的引入使PROFIBUS更具完整性。
　　
    300C項目總裝車(chē)間按工藝分由三部分構成：漆后緩沖區、門(mén)線(xiàn)、內飾/底盤(pán)線(xiàn)。漆后緩沖區實(shí)現了總裝車(chē)間和噴涂車(chē)間的接口，從噴涂車(chē)間接收到噴好漆的車(chē)身,然后根據車(chē)的不同型號和顏色進(jìn)行編組，根據管理層的生產(chǎn)任務(wù)，按要求將車(chē)身移交給總裝的內飾線(xiàn)。內飾線(xiàn)由兩條輸送線(xiàn)組成，全長(cháng)300米，45個(gè)工位，線(xiàn)上按汽車(chē)安裝工藝編排工位任務(wù)，兩條內飾線(xiàn)間通過(guò)快鏈銜接。與內飾線(xiàn)相同，底盤(pán)線(xiàn)也有兩條線(xiàn)組成，內飾和底盤(pán)間通過(guò)快鏈相連，底盤(pán)線(xiàn)上要與發(fā)動(dòng)機合裝線(xiàn)和加注機進(jìn)行信號交接。在底盤(pán)線(xiàn)的末端會(huì )有升降機將裝配好的車(chē)放到尾線(xiàn)上，進(jìn)行裝門(mén)和監測。門(mén)線(xiàn)作為總裝的一部分，完成車(chē)門(mén)的安裝和輸送。
　　
    整個(gè)總裝車(chē)間控制系統建立在PROFIBUS現場(chǎng)總線(xiàn)基礎上，根據工藝劃分由三部分構成，每部分由一個(gè)CPU416F-2作為PROFIBUS主站和ET200S分布式I/O組成，不同PROFIBUS網(wǎng)絡(luò )間采用DP COUPLER交接信號。本文以?xún)蕊?底盤(pán)線(xiàn)為例介紹了系統控制結構和PROFIsafe的應用。

    內飾底盤(pán)線(xiàn)分慢鏈和快鏈,慢鏈為工藝線(xiàn),包括2條內飾線(xiàn)、2條底盤(pán)線(xiàn)、尾線(xiàn)，全長(cháng)700多米；快鏈實(shí)現了2條內飾線(xiàn)、2條底盤(pán)線(xiàn)間的銜接和吊具緩沖功能?？刂葡到y由一個(gè)CPU416F-2為主站,20個(gè)ET200S、11個(gè)ET200ECO、7個(gè)MasterDrive和8個(gè)PP17和1個(gè)TP270等從站組成,通過(guò)DP Coupler與緩沖區交接信號。如圖5為內飾底盤(pán)線(xiàn)的控制網(wǎng)絡(luò )PROFIBUS簡(jiǎn)圖,安全模塊分布于各個(gè)ET200S從站內,通過(guò)IM151HF接口模塊與主站416F-2進(jìn)行安去通信?，F場(chǎng)急停、門(mén)開(kāi)關(guān)、限位開(kāi)關(guān)、光幕等安全信號通過(guò)安全模塊輸入點(diǎn)連接到控制系統中。這樣整個(gè)系統的控制設備和安全設備就通過(guò)一條PROFIBUS總線(xiàn)連接起來(lái)了。
　　
    安全模塊的輸入采用4/8F-DI，輸出采用4F-DO，在電氣硬件設計上安全模塊的本身特性使安全模塊的供電和模塊接線(xiàn)與控制部分相分離，既如果安全模塊和普通模塊電氣設計上相互交叉，安全模塊將報錯。在硬件組態(tài)中，也可對安全模塊的屬性進(jìn)行進(jìn)一步的設置，例如選擇通道評估類(lèi)型，兩線(xiàn)傳感器輸出信號的誤差時(shí)間，產(chǎn)生誤差后替代值。同時(shí)，在軟件設計上，PROFIsafe也采用控制軟件與安全通信軟件相分離的方法，來(lái)提高系統的安全等級。軟件設計中所有的安全程序將通過(guò)一個(gè)屬性為F-CALL的FC塊，完成程序的執行。
　　
    本系統安全程序參照Siemens安全程序編寫(xiě)標準的基礎上,采用奔馳 IntegraBBDC標準程序庫,采集安全模塊的輸入并進(jìn)行處理,同時(shí)通過(guò)安全模塊的輸出來(lái)控制電機接觸器的分斷。圖6為安全程序基本機構,通過(guò)處理輸入點(diǎn)的FC程序塊，對急停、限位開(kāi)關(guān)、光幕等安全輸入信號進(jìn)行處理,同時(shí)將處理過(guò)的信號輸出給處理輸出模塊的FC塊，輸出模塊的FC塊直接輸出控制信號給DO點(diǎn)，來(lái)控制接觸器動(dòng)作。圖6中，分別采集了兩個(gè)急停的輸入信號給兩個(gè)FC塊，把FC塊的輸出相與給到輸出模塊的輸入點(diǎn)上，這樣只要有一個(gè)急停被觸發(fā)，輸出模塊就會(huì )動(dòng)作。

4. 完成的功能
　　
    內飾/底盤(pán)控制系統的PROFIsafe實(shí)現了現場(chǎng)30個(gè)急停和30個(gè)保護開(kāi)關(guān)及光幕的通信監測，實(shí)現了標準控制網(wǎng)絡(luò )與安全網(wǎng)絡(luò )的良好集成，簡(jiǎn)化了控制網(wǎng)絡(luò )結構，節省了安裝成本和工程施工時(shí)間。本系統于2006年6月開(kāi)始投入使用,至今運行穩定。當系統正常運行時(shí)，維護人員基本不用考慮與安全設備相關(guān)的問(wèn)題，就像安全相關(guān)的設備不在這個(gè)系統中一樣，但實(shí)際上其已經(jīng)集成在了這個(gè)系統中了。由于控制信息和安全信息在一個(gè)網(wǎng)絡(luò )上進(jìn)行傳輸，所以操作員可以通過(guò)一個(gè)人機界面就可以觀(guān)察現場(chǎng)的所有部件運行狀況，這無(wú)論對生產(chǎn)控制或者避免非安全事件的發(fā)生，都能產(chǎn)生更為有效的反應。
　　
    在系統的調試階段碰到的問(wèn)題有兩個(gè)：
　　
    （1）連接到PROFIBUS上的TP270不能接收到CPU傳過(guò)來(lái)的數據，按項目的最初設計，TP270應該與其他分布式I/O和現場(chǎng)控制設備共存于一個(gè)PROFIBUS網(wǎng)絡(luò ),但調試TP270時(shí)，其卻不能得到CPU416F-2的數據。分析原因可能是安全模塊過(guò)多,造成網(wǎng)絡(luò )負荷過(guò)大。解決方案是利用CPU的另一個(gè)PROFIBUS接口建立與TP的連接，完成通信。
    
    （2）位于底盤(pán)2的加注機給我們的信號有急停，而且其要求急停信號可在兩個(gè)回路間切換。實(shí)現加注機開(kāi)或關(guān)閉時(shí)，急停都能控制輸送線(xiàn)的運行。這里邊存在的問(wèn)題是，安全模塊限制這樣的回路切換，一旦切換就會(huì )報短路故障。解決方法是在安全模塊的硬件屬性設置里邊有一項“Short circuit test”設置，將其默認屬性“cyclic”改成“l(fā)ock”，這樣這塊模塊就不具備了短路監測功能，當切換時(shí)也不會(huì )發(fā)生短路故障報警。但這樣作同時(shí)也降低了系統的安全等級。

5. 小結
　　
    PROFIsafe自1999年推出以來(lái)，在歐美地區制造業(yè)和過(guò)程工業(yè)都取得了良好的業(yè)績(jì)。北京奔馳-戴克汽車(chē)廠(chǎng)PROFIsafe安全通信協(xié)議的應用，實(shí)現了安全通信和標準通信的集成，節省了安裝費用，沒(méi)有復雜的反饋接線(xiàn)，安全邏輯通過(guò)程序來(lái)實(shí)現,增強了靈活性，實(shí)現了系統對故障的實(shí)時(shí)監測。隨著(zhù)現場(chǎng)總線(xiàn)在中國的大力發(fā)展,安全總線(xiàn)及其帶來(lái)的經(jīng)濟利益將倍受關(guān)注，對于面臨全球化的中國企業(yè)來(lái)說(shuō),使自己的生產(chǎn)系統可進(jìn)行安全等級評價(jià),也增強了企業(yè)的競爭力,相信不久的將來(lái),PROFIsafe將在中國取得更大的發(fā)展。

    參考文獻
    1 PNO: PROFIBUS Profile, “PROFIsafe-Profile for Safety Technology”, Version 1.20, October 2002, Order No.3.092
    2 System Manual Safety Technology. 5 Edition. Order No. 6ZB5 000-0AA02-0BA1
    3 SIMATIC S7 Distributed Safety: feedback for Version 10/2004 A5E00297771