安全二:安全工作

十年前，安全系统和运动系统保持分开。这些天，安全性和运动的分离是软化的。越来越多地，安全性能够直接嵌入到运动控制组件中并进入系统本身。下一步从安全运动中加强了梯子是安全的运动控制，这是一个不同的自然的野兽，说，罗伯塔·尼尔森·谢伊斯（Roberta Nelson Shea）Pilz自动化安全(广东,密歇根州)。安全的运动控制不仅仅是在特定情况下消除扭矩或控制速度，它还需要确认运动系统认为它正在做的事情实际上正在发生。

你是怎么做到的呢?首先，冗余。我们已经确定了它冗余是安全的关键原则之一，但即使在机电继电器的世界中，冗余设计也不是那么容易。“人们没有意识到他们需要双电路来确保他们不会错过e站，这仍然让我感到吃惊，”蒂姆帕默说，他是安全解决方案专家西门子能源及自动化（诺克斯，格鲁吉亚）。“他们将滥用双交换机，只有一个到安全电路的一半，我一直在找到它。你必须考虑单一的失败点。使用一个e-stop按钮或门保护开关，它们只是监控它的一半，他们认为它们会获得高级安全性，因为它进入了继电器而不是PLC。“任何故障保护技术的关键功能，无论是继电器还是PLC，都可确保没有单一的故障可以防止安全所需的操作。双电路有助于确保信号通过;设计系统以消除共模故障更好。

然而，电子设计中的冗余并不总是显而易见。“在我们今天拥有的网络技术中，我们在通信协议中有额外的测试层，”Parmer说。“You don’t physically see two wires, it's just that if the network fails, there is extra test logic in the communication protocol and more than one monitoring circuit that fails to a safe state -- typically on both ends of the wire, the CPU and the I/O.”

理想的系统应该能够检测到轴的滑移或断裂，或伺服编码器上的耦合断裂。不过，仅仅加倍可能还不够。例如，如果你有一个想要监控速度和位置的轴，你可以添加一个反馈回路。如果你真的想确定坐标轴在做它说的事情，你就增加一个秒来监视第一个，对吧?但是你如何确保它是准确的呢?

“Probably the first mistake that I see is a designer thinks, ‘I need to check this,’ so they put in something to check it but they don’t realize that the component they put in to check it could fail,” says Nelson Shea. “Now, you’re in a situation where your checker has to be checked, but then the checker’s checker’s checker has to be checked, so it’s never as simple as you think. What if the two encoders slip compared to each other? What if they both slipped together compared to what's happening and neither of them are right but they still agree? It’s not just whether you’re monitoring it, it's how you’re monitoring it.”

第二个大错误是假设系统实际上是设计的。它不仅要检查组件的操作，而是为了验证并在功能上检查设计的最终结果是至关重要的。它似乎很明显，但并不总是发生。

当我们将讨论讨论到这一级别时，安全和反馈似乎重叠，但它们远离同样的事情，尼尔逊谢厄斯很快就指出了。“闭环反馈是如何确保产品按照您的喜好执行的方式。但这并不意味着它安全地执行。您可以具有累积的错误，因此可能具有妨碍移动或防止移动的其他设备的错误。撞击运动的物体可能是粉碎的身体，例如，反馈循环会说的是，'我不是到达我的观点，让我们尝试一下更难。'“

当人员进入危险区域时，或者当嵌入参数在某些区域中的嵌入式参数中妨碍运动时，它需要一个安全系统，或者当嵌入参数在某些区域中或故障中检测到发生故障时。

具有讽刺意味的是，在缺乏适当训练的情况下，如今复杂的安全等级驱动器实际上会带来新的风险。在机电式继电器系统中，一个常见的捷径是在仅仅敲击e-stop之后开始处理电机的终端，而不是调用e-stop和锁定/标记两者。帕尔默说:“我强调的一点是，客户必须加强培训，让他们知道什么时候可以亲自把手放在电源终端上。”“当你让接触器断开电源时，他们可以按下e-stop，把手放在终端上。现在，带有安全额定驱动器的e-stop可能会停止运动，但会留下直流电压，所以e-stop和锁定都需要移除电源。”他很快指出，这也是机电继电器的正确程序，但工作人员通常会走捷径。“他们以前应该像这样做e-stop/lock out，但他们可以不这样做。现在他们不应该这么做了。”

展望未来，安全和运动的融合可能会继续。不过，如果超过了某个点，就应该谨慎对待。Nelson Shea警告说:“它不可能完全整合。”“你不希望设备的安全相关部分完全集成在一起，以至于没有人意识到安全相关的部分是什么，因为你可能会做出更改，(意外地)影响安全。”

分发情报和安全
虽然可以使用集中式或分布式控制执行安全性，但分布式架构提供了某些固有的优点。除了减少分布式架构的通信带宽需求外，智能驱动为电子安全系统的冗余电路和软件检查提供处理能力和存储器。事实上，如今渗透到运动控制中的智能的一大好处就是可以获得大量的诊断信息。

在过去，如果通过安全系统中的故障关闭机器，则操作员可以搜索问题。如今，每个安全通道和设备都可以在运动系统中具有地址。例如，如果有人碰到光幕，则操作员在人机界面（HMI）上看到了一条消息，告诉它们不仅将故障源于光幕，而且是光幕。如果故障是系统相关的，例如已经振动松动并触发关闭的电线，它也会告诉他们。

有了这样的专一性，停机时间就从几个小时变成了几分钟。帕尔默说:“在过去，你必须搜索每一个光幕、每一扇门、每一个e站。“有了集成的安全系统，你不必带着欧姆表和收音机，去寻找导致你关闭的松动的电线。现在，我们已经有了技术和安全标准，可以在通用工程工具中内置系统级保护，实现完全集成的安全和自动化。这是简化安全设计的关键，并在需要的地方和时间提供关键的操作信息，以增加机器正常运行时间，提高工厂运行效率。”

安全第一
关于安全系统的大抱怨之一是发生滋扰的停止源于松动的电线。他们可能不会涉及生命，肢体和机器的危险，但它们仍然在停机时间和产量损失方面的成本，更不用说挫败感。它归结为具有正确的安全系统，但它也归结为具有安全文化。从一开始就设计的安全系统将有电线锁定，使得它们不能松动并产生间歇性故障。纳尔逊谢伊说：“往往有点击中或错过了对安全性和对安全的理解往往有更多的滋扰。”

“如果您有一家用于安全的公司，他们正在使用正确的工作技术，”同意Hollister。

他强调，安全不是可以选择性地完成的东西，或者作为事后的事项。这种方法只是要求麻烦。“我们看到的最大问题是人们实施安全的一部分或仅用于电气的一部分，而不是所有危险能源的源泉（气动，液压，机械等），”Hollister说。“很多次，安全最终是一个事后的想法。他们会建造一台机器，然后说，'哦，我们需要安全。如果你在比赛中这样做，那么它变得几乎是一个障碍。您最终会提出妨碍操作的警卫，或者试图将Cram控制器进入已经填充的内阁。如果您从一开始就签署了安全性，您通常可以设计一个系统，作为您的标准过程灵活和高效。“

从开头设计安全也是供应商建筑组件的福利，他们希望获得安全评级。Nelson Shea说，如果工程师开始通过咨询标准机构开始咨询标准机构的必要性并与他们合作，而批准过程并不昂贵且耗时耗时。“如果一家公司拥有产品，他们设计的安全停止，那么他们就会获得批准，审批流程永远采取。那是因为有人在没有完全了解所有“如果是”的情况下设计了一些东西，这将通过安全的角度来设计。“

相反，同一公司在开始时与标准机构坐下来，并将产品描述为功能运行水平，并在整个开发过程中持续讨论，事情会有所不同。“批准过程真的很容易，”她说，“因为设计在被设计时经历了批准过程。”

提前规划还可以告知哪些批准是必要的。“营销角度来源的挑战正在计划您的产品线并试图了解大多数申请的何处[安全类别]，”Yaskawa Electric America Inc.的产品营销经理Chris Knudsen表示，BG in new窗口（Waukegan，伊利诺伊州）。“该类别确定了产品所需的安全设计水平。”

随着运动控制安全技术的进步，供应商需要不断寻求更好的理解，如何使安全技术和实施尽可能对终端客户有用，这意味着建立对话。帕默说，到目前为止，反馈都是积极的。“每当我提到它，我在房间里都很兴奋，因为现在你可以做一个真正的集成系统，其中安全PLC监控所有的安全停止设备，并直接与安全驱动器通信。我所有的客户都想了解它。”“这是瓶子里的闪电。”