模糊自动化和安全之间的界限

由于标准和法律的变化，安全系统和自动化控制现在可以合并为一个系统。尽管最初对此有些犹豫，但用户正在接受这种集成，并体验到远远超出安全的底线优势。“整合的主要动机是提高成本效益，”制造咨询副总裁Asish Ghosh表示。

文/汉克·霍根二六年七月一日

一目了然

常见故障
安全完整性等级
基于软件的安全
更低的布线和其他成本

栏:
安全水平、组件选择影响成本

由于标准和法律的变化，安全系统和自动化控制现在可以合并为一个系统。尽管最初对此有些犹豫，但用户正在接受这种集成，并体验到远远超出安全的底线优势。

马萨诸塞州ARC advisory Group负责制造业咨询服务的副总裁高希(Asish Ghosh)说，整合的主要动机是提高成本效益。节省来自较低的工程和生命周期成本。例如，使用组合系统可以大大减少布线需求，从而节省布线费用和机柜空间。

罗克韦尔自动化GuardLogix的市场经理Kevin Colloton指出了GuardLogix的其他好处，比如一套用于控制和安全的通用系统组件。这种共性也延伸到了硬件之外。制造商还可以降低软件和支持成本;他解释说:“同样的软件可以在整个工厂使用，操作员只需要学习一种架构。”

那么，集成安全和控制系统是什么样子的，它们今天是如何应用的?

避免失败

在ARC的一份报告中，Ghosh指出，需要仔细设计和配置集成系统，以降低共因故障的风险，即控制侧的问题会危及安全功能。Ghosh建议首先采用适当的安全实施标准，IEC 61511或ANSI/ISA-84.00.01。选择之后，必须根据标准进行危害和风险分析。该过程的一部分应该包括为给定的制造操作决定正确的保护级别。在分析完成后，可以起草一份经过认证的供应商名单，最后选择一个符合要求的系统。

系统制造商以各种方式解决安全问题和可能的共同原因故障。例如，ABB使用TÜV认证的硬件符合IEC 61508和IEC 61511标准。例如，这种安排可以防止下载到运行安全应用程序的控制器，因此应用程序的安全完整性级别(SIL)不会受到损害。更重要的是，该公司的产品以逻辑上独立的方式运行控制和安全应用程序，实际上创建了两台机器。ABB公司系统营销经理罗伊•坦纳(Roy Tanner)说，完成这一操作后，任何外部应用程序，无论是SIL还是非SIL，都不能在不使用人工交互的情况下写入相关的SIL应用程序，这需要经过确认。

制造商还建立了保护措施，以防止在配置过程中发生的电源故障引起的损坏和其他问题。系统将默认为安全运行模式。

WAGO Corp.的产品培训经理马克•伊莫尔迪诺(Marc Immordino)说，也要记住，要达到的安全标准并不是一成不变的文件，它们会不断变化，有时会让事情变得更容易，有时则不会。

例如，目前正在开发的ISO 11161和ANSI B11.20的更改应该允许区域内的制造系统在相邻区域因问题而停止工作时继续工作。“区域”的定义是模糊的，但显然需要区域之间的相互通信。

Immordino说，在风险评估方面，ISO13849-1与IEC 61508和62061的合理化将意味着必须对安全功能进行评估，并且必须确定机电和机械设备的平均故障时间——尽管这可能高度依赖于应用本身。任何集成的系统实现都应该考虑基于标准的问题，这将因行业和其他因素而异。

终端用户的腐败

这些和其他措施几乎可以保证防止无意的腐败。然而，这种努力确实为最终用户产生的腐败和共同原因故障敞开了大门。这些问题可能发生在初始配置或后期更改过程中。因此，在配置过程中遵循系统制造商和第三方(如TÜV)概述的指导方针非常重要。

访问保护策略需要到位。许多集成系统制造商使用密码和其他手段来控制访问。“对于生产场景，我们可以实施几种安全措施中的一种，限制对控制器的访问，并确保只有授权人员才能访问控制器，”罗克韦尔自动化的Colloton说。

至关重要的是，这些保障措施不能撤销。政策和程序必须到位，例如，密码不会成为常识，最终成为不可更改的默认值，或者被写在粘在系统本身的纸条上。

最后，必须在控制环境和安全环境之间有足够的视觉区分，以便操作人员能够一目了然地区分它们。避免视觉共性，有助于防止用户错误地在错误的系统上工作。然而，考虑到组合后的系统可能在每一边都有非常相似的外观和感觉，实现所需的区分可能很困难。事实上，这种相似性有时是集成的一个卖点。

另一方面，某些设置可能天生比其他设置更安全，这仅仅是因为它们的性质。博世力士乐电气驱动与控制公司的机床分支经理Karl Rapp指出，基于驱动器的参数不像可编程逻辑控制器中的参数那样经常被修改。他说，这使得“基于驱动的安全系统非常可靠和独立，很少受到有意或意外的干扰。”

提高效率

以下几个例子说明了如何使用综合控制和安全系统。总部位于布宜诺斯艾利斯的Atanor SA是化学品、石化产品、聚合物和农用化学品的全球领导者。该公司也是阿根廷过氧化氢的主要生产商，过氧化氢作为漂白剂在造纸厂的需求日益增加。最近，阿纳诺在其位于里约特塞罗的工厂投产了一家新工厂。这家名为aoa2的工厂最终每年将生产超过1.4万吨过氧化氢，达到阿根廷国内总需求。

在建设该设施时，Atanor采用了ABB的集成安全和控制实施方案，该方案已通过独立机构TÜV的认证，成为符合IEC 61508和IEC 61511的安全仪表系统(SIS)。它还具有满足SIL要求的组件，包括控制器、现场输入设备、I/O模块和现场执行器。

该设置包括五个操作工作站，每个工作站有六个本地屏幕和一个远程屏幕。还有工程视图、信息管理视图和维护视图。aoa2、aoa1和Rio Tercero的苦行酸厂总经理Odel Priotti表示，新系统在不影响安全的情况下减少了人员需求。例如，他说，“一个操作员可以在不到10分钟的时间内完全启动电厂。集成的控制和安全系统也提供了快速和安全的关闭。如果有必要，我们可以在五分钟内关闭工厂。过去，两名操作人员需要45分钟才能关闭核电站。

集成系统的另一个关键优势是一个通用的工程环境，这意味着控制和安全功能都是一套工程工具。这种统一的设置减少了工程、培训、操作、维护和备件需求，降低了相关的生命周期成本。“该系统也带来了维护优势——从控制室到PC工程，”Priotti补充道。“我们可以配置仪器，修改报警可视化范围，等等。”

分散、综合

离散制造商也看到了集成安全的好处。在汽车行业，位于瑞士瓦森的Mewag Mewag mehinenfabrik AG提供弯曲设备，根据需要对工件进行成型。机械化弯曲头使不同半径和复杂几何形状的弯曲成为可能。处理直径达150毫米的管道，即使它们具有带法兰，环组件和螺母的机加工端。

为了减少最终用户更换刀具的时间，Mewag设计了易于使用的刀具头，并将机床水平放置。除了速度快，更换工具头还需要安全，这也是Mewag设计智能安全系统的原因之一。为此，他们采用了分散的方法，采用博世力士乐(Bosch Rexroth)驱动器，该驱动器无需外部硬件即可支持各种安全功能。例如，没有必要遵循在主电源或发动机供电线路上使用电源继电器的传统安全做法。

Mewag的技术经理Samuel Gerber指出，这种分散但集成的控制和安全方法带来了多重好处。他说:“没有外部监控设备和测量系统意味着我们需要更少的布线，也节省了控制柜的空间。”

其他方面提供了额外的好处。在特殊的操作模式下，可以使工具以安全的减速运行。当从正常操作切换到特殊操作时，安全区域内的驱动器将安全停止，允许机器操作员无风险进入该区域。

当与易于访问的工具头相结合时，停止(在集成环境中快速完成)提供了一个优势。格伯说:“这反过来意味着处理时间大大缩短了。”

还有一种安全奖励。驱动器中的安全运动可以在两毫秒内检测到错误，将运动限制在2毫米。相比之下，如果作业人员在受保护区域内对错误进行接触器验证，则可以获得更长的停止距离，可能达到数百毫米。

基于软件的安全

在汽车行业的另一个例子中，库卡托莱多生产运营有限责任公司(KTPO)转向西门子能源与自动化公司的集成自动化和控制系统。KTPO是库卡的子公司，库卡是一家制造车身机器人生产系统的公司，也是戴姆勒克莱斯勒的车身供应商。为了成为一级供应商，KTPO需要设计一个更好的安全解决方案，而不是在每个生产单元中安装硬连线系统。

硬连线汽车机械安全系统传统上使用硬围栏、远程紧急停止按钮、安全门开关、安全垫、光幕以及大量冗余继电器和冗余布线。这是一个昂贵而不灵活的方案。

库卡与西门子合作，提出了一种集成的方法，将安全和标准机器控制结合在一个现场总线上。这几乎消除了所有的继电器，节省了控制面板空间和其他硬件。它还削减了工程设计、故障排除和总体布线成本。集成控制和安全系统与电源接线的变化相结合，实现了模块化三相母线。新的电力布线方法将整个电池占地面积减少了20%。

通过从基于硬件的安全系统转移到驻留在软件中的安全系统，Kuka能够拥有可以从一个系统更改和移植到另一个系统的通用安全代码。这种能力缩短了调试时间。库卡工程师罗德•布朗(Rod Brown)说:“我们很快就建成了这套系统，调试也非常容易。”“这种方法仅在首次安装时就节省了数万美元。”

这些节省部分是由于需要更少的布线和其他组件。库卡工程师报告说，采用这种新方法，继电器、本地I/O、终端块和电缆连接减少了85%。这是可能的原因之一是对所有关键的标准和安全I/O使用点级诊断。这些相同的诊断用于总线级故障。通过使用诊断中继器，将现场总线上的信息报告到人机界面上。为了帮助故障排除，系统可以定位到一英尺范围内的通信电缆故障。

在这种设置中，西门子处理器处理正常的机器功能，以及监视和控制所有安全设备。有一个通用的编程环境，具有用于过程控制和安全功能的类似阶梯逻辑。

简单的实现

3M公司位于加拿大安大略省伦敦的胶带制造厂生产40多种胶带。在8台磁带转换机中的一台上，将粘合剂涂在背面，固化，然后切割成合适的宽度。虽然这些机器符合3M的高质量标准，但其控制系统却没有给人足够的信心，这主要是因为它们的年代久远。

3M Canada的高级电气工程师特雷西•哈维(Tracy Harvey)说，我们担心旧的控制装置，有些已经使用了30到40年，如果某个部件出现故障，可能会使机器瘫痪数周或数月。另一个问题是，旧的控制使其难以遵守新的安全法规。

面对升级控制的需求，3M决定使用罗克韦尔自动化的集成控制和安全解决方案。将这两个系统集成在一起意味着可以共享数据标签并简化实现。长期使用罗克韦尔自动化产品的经验也在这一决定中发挥了作用。

该计划要求对其中一台转换机器进行升级，然后对其他机器进行升级。哈维报告说，第一次安装进展顺利，没有任何生产影响，他预计新的控制系统(以及运行机器的驱动器的升级)将提高产量。他说，尤其是更好的扭矩控制，应该能让工程师减少浪费，从而提高产量。目前正在对这些改进进行调查，并计划对其余机器进行升级。

这些和其他例子表明，综合安全和控制系统正在成功实施。它们还在许多行业中带来了安全以外的好处。

在线额外

安全水平、组件选择影响成本

Wago Corp.的产品培训经理马克•伊莫迪诺(Marc Immordino)指出，要确定一个安全系统的完整性，最终需要回答一系列与部件相关的问题。第一个问题是决定使用哪一类安全保护。这种选择部分是由监管驱动的，部分是由标准要求驱动的，还有部分是由地理因素驱动的。例如，在欧洲，安全保护是法律规定的，而在美国，安全更有可能包含在可能产生法律和财务后果的指导方针中。

然而，Immordino表示，无论在哪里，确保安全总是会对成本产生影响。由于每个安全完整性级别(SIL)的危险故障率是前一个级别的十分之一，因此随着级别的提高，实施成本也会飙升。安全级别驱动安全传感器的类型、停止开关的位置以及诸如光幕或安全垫之类的组件的考虑。由于这个原因，Immordino说，即使所有这些组成部分的问题都得到了回答，还有更多的事情要做。