摘要：本文介绍了如何把安全管理的理念、方法和工作流程运用到自动控制系统的设计和维护中，以提高自动控制系统的运行可靠性，降低生产安全事故的发生概率。

　　关键词：安全管理；PLC；可靠性；预测性维护

　　1 概述

　　安全管理是为实现安全生产而组织和使用人力、物力和财力等各种物质资源的过程。它利用计划、组织、指挥、协调、控制等管理机能，控制来自自然界的、机械的、物质的不安全因素及人的不安全行为，避免发生伤亡事故，保证职工的生命安全和健康，保证生产顺利进行。

　　安全管理自控系统的应用就是把安全管理的理念、方法和工作流程渗透到自动控制系统的设计和维护中，通过完善，提高自动控制系统的运行可靠性，降低生产安全事故的发生几率。

　　自动控制系统实现的安全管理功能主要有：

　　1、 自动检测设备运行前的状态，只有满足安全条件，设备才能运行。

　　2、 当机器设备本身出现危险，或由于人为原因而导致危险时，系统立即做出反应并输出正确信号，使机器安全停车，以阻止危险的发生或事故的扩散。

　　3、 实现机械人旁站功能，通过分析设备状态变化趋势，进行预报警和预测性维护提醒。

　　4、 详细记录设备的状态信息，供事故分析使用。

　　2 使用工业安全控制设备进行自动控制系统建设

　　要实现自动控制系统的安全管理功能，首先要保障系统的核心运行可靠。对生产运行安全性要求高的行业，如生产制造行业，应该使用安全控制设备进行自动控制系统的建设。安全控制设备包括了安全继电器、安全PLC、安全检测元件和安全控制线路。

　　要使设备达到相应的安全等级就离不开必要的安全检测元件和安全线路，常见的安全检测元件有急停按钮、双手按钮、安全门开关、安全光栅、安全地毯等。这些设备通过线路（一般是双回路）连接到安全控制的核心，此核心不能使用普通的PLC，因为它不具备安全功能[3]，而需要使用安全PLC。

　　安全PLC具有独立的安全功能认证，但也有继电器逻辑或者固态逻辑的运算能力。安全PLC从传感器读入信号，执行事先编制好的程序或者事先设计好的功能，用于防止或者减轻潜在的安全隐患，然后通过发送信号到执行器或最终元件采取行动。

　　常规PLC内部CPU的数量有一个或多个，用户的程序通常就进行一次处理，多个CPU之间协作处理。而安全PLC的CPU至少有两个或多个，两个CPU的功能是：分别对同一个用户程序各自执行一次，然后再把两个结果放在一起进行比较，如果比较的结果是一致的，就输出这个结果，如果是不一致的，选择设定的安全结果输出。安全PLC与常规PLC第一个不同是“冗余＋比较”。安全PLC与常规PLC第二个的不同是“随时＋步步进行诊断和检测”。 这种检测有的是通过自身信息进行的，称为自检；还有的通过对方的信息进行检测，称为互检。安全PLC的诊断和检测比常规的PLC的检测要多很多，硬件和软件的设计更复杂。检测和诊断的范围也更广范，更细致。

　　常规PLC的输入通常接传感器的常开接点，而安全PLC的输入通常接传感器的常闭接点，用于提高输入信号的快速性和可靠性。有些安全PLC输入还具有"三态"功能，即"常开"、"常闭"和"断线"三个状态，而且通过"断线"来诊断输入传感器的回路是否断路，提高了输入信号的可靠性。常规PLC输出信号之后，就和PLC本身失去了关联，如说"接通"外部继电器，继电器本身最后到底通没通，PLC并不知道，这是因为没有外部设备的反馈所致。安全PLC具有所谓"线路检测"功能，即周期性的对输出回路发送短脉冲信号（毫秒级，并不让用电器导通）来检测回路是否断线，从而提高了输出信号的可靠性。

　　为达到安全控制的目的，安全控制系统能实现以下功能：

　　a) 线路通断检测和防止短路功能。安全PLC系统应有线路通断检测和防止短路功能，使用双回路的输出控制，保证设备运行在预期状态或防止在不满足条件下运行。

　　b) 确保强制断开。安全回路能保证在不满足条件的情况下强制断开，以防止危险和事故扩散。

　　c) 危险区域设定。通过安全门锁、安全地毯和安全光栅行程指定的安全区域，一旦进入安全门或踏上安全地垫或穿越光栅，在安全控制的作用下设备能够强制停机，保证生产人员的安全。

　　d) 冗余功能。安全PLC和安全总线都具有冗余功能，确保在外界干扰下的安全性能不受影响。

　　安全PLC的设计、制造和安装的要求标准是非常高的。在项目的建设中，不能忽略这些标准，或者按低于这些高标准的方法执行。从职业和社会的角度来看，不按标准建设是靠不住的、不负责任的。

图一 安全PLC和安全光栅

　　3 对现有的自动控制系统进行安全完善的建议

　　使用安全PLC安全性能高，但投资大，安装的要求标准也高的，在普通行业较难推广使用。因此，我依照安全理念和安全PLC的设计思想，提出以下的安全完善的建议。

　　3.1 多种措施并举，提高自动控制系统运行的可靠性。

　　（1）采用分散和集中控制的系统架构。自动控制系统架构分为3层：信息层、控制层、设备层，各层间用总线方式进行通讯。信息层主要是工程师站和服务器等，进行信息的展示和数据储存。控制层由大型PLC和专用的工业总线组成，负责生产数据的采集。设备层由多个小型PLC、变频器、智能仪表、智能机械等组成，进行设备运行的控制。三层各自独立，分担相应职责，其中一层设备维修或故障时并不影响其他层设备的运行及稳定，尽可能的减少故障的扩散范围。

　　（2）实行双通道系统。参照安全PLC的“冗余＋比较”方式，我们可以利用控制层和设备层的PLC控制器实现两路的“冗余＋比较”，提高控制的可靠性。根据安全关注点的不同，采取不同的输入、输出和功能分配方式，可以实现成功操作有效性的最大化（可靠性或可用性），或防止特殊失效的发生（失效安全，失效危险）。输出的接线有两种接法，称为冗余接法和安全接法。冗余接法指得是：输出的两个通道进行并联后再接执行器，逻辑关系为"或"，也就是说：一个通道为"1"，负载就可以获电，这样可以提高系统的容错能力，实现成功操作有效性的最大化。安全接法指得是：输出的两个通道进行串联后再接执行器，逻辑关系为"与"，也就是说：一个通道为"0"，负载就不得电，这样可以确保系统的安全性，防止特殊失效的发生。

　　如果是安全性系统，建议采用安全接法。两个控制器并行处理和物理连线把单个PLC危险失效的影响降到最低。系统提供了较低的失效可能性，增加了失效安全断路的可能性。失效安全断开率的增加，有助于提高流程系统的停车和机器系统的停机能力。

图二　安全接法示意图

　　（4）总线网络采用冗余结构，提高网络数据传输的可靠性。现时较成熟的冗余网络有工业以太网和ControlNet控制网。ControlNet网络是一种高速确定性网络，用于对时间有苛刻要求的应用场合的信息传输。它为对等通信提供实时控制和报文传送服务，它作为控制器和I/O设备之间的一条高速通信链路，综合了现有的各种网络的能力。

　　（5）加强通讯网络防雷工作，在室外远距离的网络线路尽可能改造为光纤网络。网络的两端都要安装信号防雷器，并保证良好接地。

　　（6）PLC的输出输入都加装电气隔离元件，如中间继电器，防止外部干扰或冲击信号串入控制器的输入、输出端口，引起控制器保护动作甚至损坏控制器。

　　3.2 充分考虑安全管理的需求。

　　在系统建设和改造的需求调研时要充分咨询安全管理员的需求建议，把生产安全需要放在首位。要高质量地完成以工作：①按照安全管理的要求配置相应的安全检测装置，如急停按钮、双手按钮、安全门开关、安全光栅、安全地垫等。②从生产安全的角度考虑设备控制所采取的控制方式，如是否需要两路控制、选择事故时即时停转或是保证设备运行等。③按照安全管理的流程进行安全管理控制程序的编写。④在控制程序中加强设备运行的互锁、运行准备和停机允许的条件检测的功能模块。

　　3.3 实现预测性维护。

　　安全管理要从过去的事后检验把关为主，变为预防、改进为主，从管结果变为管因素，把影响安全问题的诸因素查出来。设备和自动控制系统的维护也要从过去的故障维护或定期维护为主，变为预测性维护。通过自动控制系统对在线运行设备状态的监视、运行数据采集和分析，提出在线运行的设备是否要进行必要维护的建议。预测性维护最主要的效果是提高操作与维护人员的工作效率，也提高了设备的可靠性和生产的安全性。预测性维护的可预测性使问题在故障之前得到解决，而并非之后，和安全理念相符合的。

　　参考文献：
　　[1] 罗克韦尔公司. ControlNet系统概述[M]. Publication CNET-SO001A-ZH June 2003
　　[2] 乔灿. 工业安全的计划与期待. 今日自动化[J] 2009-5
　　[3] 刘博. 安全继电器及安全PLC在机床行业的应用. 今日自动化[J] 2009-5
　　[3] 乔灿. 预测性维护－让仪表维护恰到好处. 今日自动化[J] 2009-11
　　[4] 乔灿. 预测性维护提高工厂稳定性. 今日自动化[J] 2009-11