天车安全控制系统:SIL3双制动与PROFIsafe安全架构工程实践

天车的安全控制系统是保障设备与人员安全的最后一道防线——它在标准PLC运动控制之上独立运行SIL3安全逻辑,通过PROFIsafe协议与变频器和安全I/O通信,在急停、超速、限位超程、溜钩等危险工况下实现20ms内的安全响应。克鲁德重工基于西门子S7-1500F系列安全CPU,构建了涵盖安全转矩关断STO、安全速度限制SLS、安全制动控制SBC和安全方向监视SDI四大安全功能的标准化控制系统架构。本文从系统设计、硬件选型、安全逻辑编程到取证调试,完整阐述这一工程实践。

天车安全控制系统SIL3双制动PROFIsafe架构图




一、安全控制系统总体架构与SIL等级划分

天车安全控制系统遵循IEC 61508和GB/T 16855.1-2012《机械安全 控制系统安全相关部件》标准,设计目标为安全完整性等级SIL3(每小时危险失效概率低于10⁻⁷)。系统架构采用独立安全层与标准控制层分离的原则:标准控制层由S7-1500 CPU(如1513-1 PN)执行运动控制逻辑,安全层由S7-1500F系列安全CPU(如1515F-2 PN或1517F-3 PN/DP)独立运行安全逻辑,两层通过PROFIsafe协议在同一PROFINET网络上共存。

SIL等级 每小时危险失效概率PFH 安全可用性 适用场景
SIL1 ≥10⁻⁶~<10⁻⁵ 90%~99% 简易天车警示功能
SIL2 ≥10⁻⁷~<10⁻⁶ 99%~99.9% 中轻型天车速度限制
SIL3 ≥10⁻⁸~<10⁻⁷ 99.9%~99.99% SIL3是天车安全控制标准等级
SIL4 ≥10⁻⁹~<10⁻⁸ ≥99.99% 核废料吊运、军工

安全控制系统的硬件架构由三层组成。检测层包括F-DI故障安全数字量输入模块(采集急停按钮、限位开关、安全门锁、超速开关信号)和F-AI安全模拟量输入模块(采集安全编码器、载荷传感器信号)。控制层由S7-1500F安全CPU运行安全程序,安全逻辑采用F-LAD或F-SCL语言编写,通过TIA Portal的Safety Admin工具进行安全验证。执行层通过F-DQ安全数字量输出模块驱动安全继电器、制动器电磁阀和变频器STO端子,F-DQ模块内置双通道断开功能,确保单一故障不会导致安全功能丧失。

二、F-CPU选型与PROFIsafe安全通信

S7-1500F系列安全CPU在标准CPU的基础上集成了F-runtime安全运行环境,F-runtime作为独立的执行层与标准用户程序共享同一个CPU,安全程序在F-LAD中编写并通过TIA Portal的Safety Admin工具编译为经过认证的安全代码。克鲁德重工在天车项目中根据吨位和安全功能复杂度选用不同型号的F-CPU:20~50t标准天车选用CPU 1515F-2 PN(集成128KB程序内存和256KB安全F内存),50t以上重型天车或需要扩展安全功能的场景选用CPU 1517F-3 PN/DP(程序内存512KB,支持分布式安全I/O),简易天车安全升级选用CPU 1511F-1 PN(48KB程序内存,集成式安全I/O,部署在紧凑型控制柜内)。

PROFIsafe安全通信协议是SIL3安全数据传输的基础。PROFIsafe在标准PROFINET RT通信的基础上叠加F-host和F-device安全层,F-host(安全CPU)和F-device(F-DI/F-DQ模块、变频器安全功能)之间通过PROFIsafe报文交换安全数据。每个PROFIsafe报文包含2字节安全数据和1字节CRC校验和(16位CRC + 8位CRC),通讯帧中嵌入连续的看门狗计数器(F_WD_Time默认150ms)和连接标识(F_Source_Add/F_Dest_Add),确保数据传输的完整性、及时性和正确性。PROFIsafe报文在IO周期中与标准PROFINET报文并行传输,不影响运动控制的实时性能,安全数据的刷新率与IO周期一致,典型值为4~8ms。

TIA Portal中配置PROFIsafe需在设备视图中将F-CPU与F-DI/F-DQ模块建立F连接,设置F参数模块的F_Source_Add和F_Dest_Add(取值范围1~65534),配置F监控时间F_WD_Time和F_iPar_CRC校验版本号。安全程序通过TIA Portal的Safety Administration编辑器和测试功能进行编译和仿真验证,F-runtime自动为每个安全块生成16位CRC标识,任何代码修改都会导致CRC变化,从而触发安全子程序重新验证。

三、双通道急停回路与安全I/O冗余设计

天车控制系统的急停回路采用双通道冗余设计(Dual-Channel Redundancy),两个通道在电气和逻辑上完全独立,任一通道触发均可独立切断动力电源。通道A通过F-DI 16×24V DC模块采集急停按钮(SB1~SB4)的常闭触点信号,安全CPU在安全程序中执行双通道比较——通道A和通道B的信号状态必须在500ms内一致,否则触发F-Diff故障,系统进入停止态。通道B通过I/O接线直接串联急停按钮的辅助触点,经安全继电器K1的强制导向触点接入主接触器KM1的线圈控制回路。这种双通道设计满足IEC 61508对SIL3的体系要求——单点故障(Single Point Fault)不会导致安全功能丧失。

安全I/O模块的选择遵循故障安全(Fail-Safe)原则——模块内部元器件发生任何单一故障时,输出必须自动切换到安全状态(即断开/断电)。F-DI 16×24V DC模块每个输入通道内置两路独立的测试脉冲发生器,输出2路相位相反的测试脉冲(Test Pulse)到传感器/按钮端,通过回读脉冲检测线路短路和对地故障。F-DQ 8×24V DC/2A模块的输出通道内部集成双通道断开(2 Channel Disconnect)功能——每个输出由两路独立的开关管串联控制,任意一路故障均可断开负载供电。安全输出信号的测试脉冲频率为1Hz(即每500ms高电平+500ms低电平测试),F-CPU在每个安全扫描周期(20ms)内同步刷新F-DQ输出状态。

急停按钮的布置遵循GB/T 16754-2008《机械安全 急停 设计原则》标准,每台天车在操作室、地面遥控器、维修平台和两端端梁各配置一个急停按钮,所有急停按钮采用红色蘑菇头型(直径≥30mm),在面板上以黄色背景衬托。限位开关采用正开式(Positive Opening)触点结构,确保触点熔焊时仍能断开安全回路,终端限位和减速限位各自独立安装,不共用安装支架。

四、双制动器冗余控制与溜钩防护

天车起升机构的制动系统是安全控制的核心执行部件,克鲁德重工在SIL3安全架构中为每台天车配备两套独立的盘式制动器(制动器A和制动器B),每套制动器由独立的电磁铁和闸片组件构成,双制动器共用一个制动轮毂但机械安装完全独立。正常运行时两套制动器同时打开和闭合,任一制动器故障时另一套制动器仍能独立执行制动功能,满足SIL3要求的单点故障容错能力。

双制动器的控制时序是防溜钩的关键。打开时序:安全CPU通过F-DQ模块同时向制动器A和B发送打开指令——F-DQ通道1驱动制动器A的电磁铁MK1,通道2驱动制动器B的电磁铁MK2。MK1和MK2通电后两套闸片同时释放,释放到位信号由制动器上的磁性接近开关SQ1(制动器A)和SQ2(制动器B)检测,经F-DI模块回传至安全CPU,确认两个制动器完全打开后变频器才获得运行使能。闭合时序:安全CPU在电机降速至零速后发出闭合指令——F-DQ通道1和2同时断电,MK1和MK2失电后闸片在弹簧力作用下同时压紧制动轮毂,闭合到位后安全CPU确认零速保持300ms才释放变频器使能。

制动器不同步检测机制:安全CPU在每个起升循环中记录MK1和MK2的通断时间差Δt(从发出指令到接近开关状态翻转)。当Δt超过设定的同步阈值(默认50ms)时,系统记录一次同步偏差事件。连续3次循环偏差超过阈值或单次偏差超过100ms时,安全CPU触发F-Diff报警——PLC立即停止运行并使能STO,操作面板显示”制动器不同步”故障码,需维护人员检查电磁铁供电电压和闸片磨损状态后方可复位。制动器磨损补偿方面,系统累计记录每次抱闸的打开时间t_open和关闭时间t_close,与初始标称值(t_open≈150ms,t_close≈100ms)比较后根据闸片磨损趋势自动调整打开指令的提前量,确保实际打开时点和制动力矩始终在安全范围内,补偿周期为2000次循环后自动进行参数自整定。

参数 制动器A 制动器B 同步偏差阈值
电磁铁型号 MK1-24VDC-40W MK2-24VDC-40W
打开指令发出→到位反馈 ≤180ms ≤180ms 50ms
闭合指令发出→到位反馈 ≤130ms ≤130ms 50ms
闸片间隙 0.8~1.2mm 0.8~1.2mm ≥0.3mm
磨损补偿周期 2000次循环 2000次循环 同步触发

五、安全功能实现:STO/SLS/SBC/SDI

天车安全控制系统的四大安全功能通过S7-1500F安全CPU与G120变频器的PROFIsafe接口协同实现。安全功能全部在F-LAD中编程并通过TIA Portal Safety Admin验证,每个安全功能块均包含双通道信号处理、交叉比较(Cross-Comparison)和故障安全输出逻辑。

安全转矩关断STO(Safe Torque Off)是天车安全控制的基础功能,对应IEC 61800-5-2标准的STO子功能。STO通过PROFIsafe将G120变频器的脉冲使能信号直接切断,防止电机意外产生驱动力矩,响应时间小于20ms。触发条件包括:操作室急停按钮按下、地面遥控器急停触发、任一限位开关超程、安全门锁打开、双制动器反馈异常、安全CPU自检故障。STO触发后变频器自动执行内部制动(DC制动注入),天车在惯性和负载作用下自然停止。STO复位需操作面板手动确认(Reset按钮),安全CPU检查所有触发条件已解除且制动器已闭合到位后,方允许重新使能运行。

安全速度限制SLS(Safely Limited Speed)通过安全编码器(增量型编码器通过F-DI读取脉冲信号,或安全速度传感器直接反馈)实时监测电机转速。当小车或大车以额定速度运行接近端部限位前200mm时,安全CPU通过PROFIsafe向变频器发送速度限制值(额定速度的10%),变频器自动执行减速,安全CPU持续监测速度是否在规定安全范围内(≤0.3m/s)。若安全CPU检测到速度超出SLS限值(安全PLC执行速度比较:实际转速n_act > SLS阈值n_sls且持续超过50ms),立即触发SLS-Fault并执行STO。SLS功能的响应时间小于50ms。

安全制动控制SBC(Safe Brake Control)与前述双制动器冗余控制协同工作。SBC功能由安全CPU内的F-SBR功能块执行,F-SBR输出两路独立的SBC_Open指令到F-DQ模块,分别控制制动器A和B的电磁铁。安全CPU在每个安全扫描周期内执行SBC状态检查:当STO激活或SLS触发或安全CPU检测到变频器零速保持超时时,F-SBR自动强制闭合两套制动器,并在闭合到位后通过PROFIsafe向变频器发送”制动器闭合确认”信号。SBC还包含制动力矩监测功能——通过载荷传感器信号和制动器闭合后的电机零速状态推断制动力矩是否充足,当制动力矩低于额定值的80%时触发SBC警告。

安全方向监视SDI(Safe Direction Indication)防止天车在小车或大车机构收到反向指令前发生误动作方向故障。SDI通过安全编码器脉冲的相位关系判断实际运动方向,与变频器反馈的运行方向进行一致性比较。当安全CPU检测到实际运动方向与控制指令方向相反且持续超过100ms时,触发SDI-Fault并执行STO。SDI方向冲突通常由变频器参数配置错误(电机电缆相序反接)或编码器接线错误引起,触发STO后需维护人员检查接线和参数后手动复位。

安全功能 IEC标准 响应时间 触发条件 复位方式
STO IEC 61800-5-2 <20ms 急停/超程/安全门/故障 手动Reset
SLS IEC 61800-5-2 <50ms 接近限位端(200mm) 自动解除
SBC IEC 61800-5-2 <130ms STO触发/零速保持超时 自动+手动
SDI IEC 61800-5-2 <100ms 方向与指令不一致 手动Reset

六、调试验证与安全认证流程

天车安全控制系统的调试和验证分为六个标准步骤。第一步安全功能参数组态——在TIA Portal的安全性编辑器中创建安全程序(F-LAD),配置F-CPU和F-DI/F-DQ模块的PROFIsafe连接参数:F_Source_Add(F-CPU地址)、F_Dest_Add(F模块地址)、F_WD_Time(默认150ms)、F_iPar_CRC校验版本号和F_Param_CRC。每个安全功能块配置双通道变量,交叉比较逻辑由F-runtime自动生成。编译后获取F-prog CRC和F-CRC签名,两者不匹配时说明安全程序被修改,需重新验证。

第二步离线仿真验证——使用PLCSIM Advanced加载安全程序,连接虚拟F-DI/F-DQ模块,通过PLCSIM的Safety Simulation功能模拟急停触发、限位超程和制动器反馈异常三种工况。在仿真环境中验证STO响应时间(≤20ms)、SLS触发的速度阈值(精度≤5%)、SBC双制动器同步偏差监测(50ms阈值触发F-Diff报警)和SDI方向冲突检测(100ms阈值触发STO)。所有安全功能在仿真中通过后生成Safety Validation Report。

第三步现场接线验证——使用万用表和示波器逐点验证F-DI模块的测试脉冲(1Hz方波,幅值24V)和F-DQ模块的双通道断开功能。急停按钮的双通道接线分别测量:通道A的F-DI端子脉冲波形和通道B的硬线辅助触点通断,确认两个通道在急停按钮按下时均能正确切断安全回路。制动器电磁铁的供电电压实测值在22.8~24.5V范围内,示波器捕捉电磁铁通电电流曲线(峰值约1.6A,稳态维持电流约0.8A)。

第四步负载功能测试——在空载和额定负载条件下分别执行三次触发测试:操作室急停按钮触发、遥控器急停触发和限位超程触发。每次触发必须验证STO/SLS/SBC/SDI全部安全功能正确执行:STO触发后变频器脉冲使能在20ms内断开,变频器Drive-CLiQ状态变更为Fault;SLS触发后速度曲线下降斜率与变频器减速参数匹配,最大超调量≤10%;SBC触发后两套制动器同时闭合,Δt≤50ms;SDI方向冲突模拟通过反接编码器A/B相验证触发。各项测试数据记录在调试报告中。

第五步TÜV认证准备——整理安全相关文档:系统架构说明书(描述安全层和标准控制层的功能划分和接口)、安全功能定义表(STO/SLS/SBC/SDI的触发条件、响应时间和复位方式全部量化)、FMEA分析表(列出所有可预见的单点故障及其对安全功能的影响评估)、PROFIsafe连接参数配置表和仿真验证报告。文档按照EN ISO 13849-1和IEC 62061的格式要求编写。

第六步持续监控与定期检验——安全控制系统投入运行后,安全CPU自动记录安全事件日志(急停触发次数、SLS激活次数、制动器不同步事件数、F-Diff故障次数),每24小时生成安全运行状态摘要并通过OPC UA推送至中控室安全管理平台。现场维护人员每季度执行一次安全功能全面测试(按GB/T 3811-2008《起重机设计规范》的安全相关条款执行),每12个月由第三方检验机构(如TÜV或国家特种设备检验研究院)执行一次安全功能现场验证,测试记录保存至下一次检验周期。

常见问题(FAQ)

Q1:SIL3安全等级是否必须使用F系列安全CPU?
是的,SIL3必须使用S7-1500F系列安全CPU。标准S7-1500 CPU不包含F-runtime安全运行环境,无法实现IEC 61508 SIL3要求的故障安全逻辑处理和PROFIsafe安全通信。F系列CPU内置F-runtime独立执行安全程序,具备双通道信号处理和交叉比较功能,安全代码经过TIA Portal Safety Admin编译为经过TÜV认证的安全代码。简易SIL2场景可用标准CPU配合外部安全继电器实现,但SIL3必须用F-CPU。
Q2:PROFIsafe和标准PROFINET有何区别?能否在同一网络中共存?
PROFIsafe是PROFINET的安全扩展层,在标准PROFINET RT通信帧中嵌入PROFIsafe报文(含安全数据+CRC校验+看门狗计数器+连接标识),通过F-host(安全CPU)和F-device(F-DI/F-DQ/G120安全功能)之间的F连接实现SIL3级安全数据传输。PROFIsafe和PROFINET在同一根物理电缆上并行传输,互不影响——标准PROFINET报文走运动控制数据,PROFIsafe报文走安全数据,IO周期保持一致。PROFIsafe的额外开销为每个安全设备约32字节/周期,对网络带宽影响可忽略。
Q3:双制动器如何确保同步动作?不同步时如何处理?
双制动器通过同一F-DQ模块的两个独立通道同时驱动MK1和MK2电磁铁,F-DQ在安全扫描周期(20ms)内同步刷新两个通道的输出状态。安全CPU通过F-DI模块检测两个制动器的到位信号(磁性接近开关SQ1和SQ2),在每个起升循环中自动记录MK1和MK2的通断时间差Δt。当Δt超过50ms同步阈值时记录一次偏差事件,连续3次偏差或单次偏差超过100ms时触发F-Diff报警并执行STO。不同步的常见原因包括电磁铁供电电压不一致、闸片磨损不均匀或接近开关安装偏差。维护人员排查后需通过操作面板手动复位,系统复位后自动执行一次自检循环确认两制动器同步正常后方可恢复运行。
Q4:天车安全控制系统需要取得哪些认证?周期多长?
天车安全控制系统需通过以下认证:①功能安全认证——依据IEC 61508和IEC 62061标准,由TÜV莱茵或TÜV南德执行,涵盖安全计划审核、FMEA分析审查、安全功能测试和现场验证,周期约4~8周;②CE机械指令认证——依据EN ISO 13849-1(控制系统安全相关部件)和EN 60204-1(机械电气安全)标准,周期约2~4周;③国家特种设备制造许可——依据TSG Q0002《起重机械安全技术规程》,安全控制系统作为整机安全部件需通过型式试验,周期约6~12周。克鲁德重工在每个SIL3项目中提供完整的认证文档包,包括系统架构说明书、FMEA分析表、PROFIsafe配置参数表和仿真验证报告,可直接提交认证机构。
Q1:SIL3安全等级是否必须使用F系列安全CPU?
SIL3必须使用S7-1500F系列安全CPU,内置F-runtime安全环境,支持PROFIsafe和双通道信号处理。
Q2:PROFIsafe和标准PROFINET有何区别?
PROFIsafe在PROFINET帧中叠加安全数据层(CRC+看门狗+连接标识),两协议在同一条电缆上并行共存。
Q3:双制动器如何确保同步?不同步如何处理?
通过同一F-DQ双通道同时驱动,Δt监测50ms阈值触发报警,超100ms执行STO。需检查电磁铁供电和闸片磨损。
Q4:天车安全控制系统需哪些认证?
TÜV功能安全认证(IEC 61508/62061,4-8周)+ CE机械指令认证(EN ISO 13849-1)+ 特种设备型式试验。

相关信息

contact

contact us

phone:
+86 13903802779

mail:3915269@qq.com

Working hours: Monday to Friday

Wechat
Wechat
分享本页
返回顶部