前言
安全PLC是工业领域不可或缺的核心组件,在汽车制造行业具有明确且广泛的应用需求。2025年汇川技术正式推出全新自研的EVO 1000EF功能安全PLC,并配套Hi50分布式安全IO系统。在InoCar解决方案中,我们成功完成了对EVO 1000EF安全PLC的全面集成,同步开发了符合行业标准的程序模板,基于iFA平台共同构成一套完整可靠的功能安全系统解决方案,最高可以达到SIL3/PLe/Cat.4安全等级,满足各类高要求功能安全场景。
一 、安全PLC基础介绍
1.1 1000EF安全CPU系统
EVO 1000EF 安全PLC是一款集成CIP Safety over EtherNet/IP通信功能的安全控制器,需与EVO 1000EF-EIP通信单元配合使用,完整支持PLCopen Safety TC5标准的安全功能块。该控制器具备良好的系统开放性与扩展能力,可无缝接入第三方CIP Safety设备,最大支持254个CIP Safety资源链接,最高可以达到SIL3/PLe/Cat.4安全等级。
在功能执行层面,EVO 1000EF通过采集安全输入模块的实时数据,运行用户编写的安全逻辑程序,最后对安全输出模块进行精确控制,实现完整的安全闭环管理。
1.2 HI50安全IO从站系统
HI50安全IO系统模块采用三段式设计,模块背板、安全信号模块、接线端子通过组合式来实现灵活安装,通道与背板间电气隔离,支持通道级诊断,最高可以支持扩展32个安全信号模块,同时最高可以到达SIL3/PLe/Cat4安全等级。
(图1.2 EVO 1000EF PLC和Hi50从站)
HI50安全IO模块包括有安全数字量输入模块、安全数字量输出模块以及安全模拟量输入(I/V)模块,此外还包括测量热电偶TC、热电阻PT的专用温控模块,针对各个安全模块的安全等级以及使用说明请参考模块手册,这里不做具体说明。
1.3 安全模块接线
针对安全IO模块,不同的接线和供电方式,以及差异化的参数配置,对最终安全回路安全等级有一定的影响。以最常用的数字量安全输入和安全输出模块为例,通过调整接线方式以及匹配不同参数,安全等级也不相同。
针对8DI安全输入模块接线,对应安全等级如图1.4.1所示
(图1.4.1 输入安全模块接线)
针对8DO安全输出模块接线,对应安全等级如图1.4.2所示
(图1.4.2 输出安全模块接线)
二 、安全PLC模块基础应用配置
2.1 PLC安全参数配置
2.1.1 网口和IP配置
1000EF安全PLC通讯单元包含LAN1和EIP2两个通讯网口,其中LAN1主要用于安全工程调试和下载,以及建立安全 PLC 与标准 PLC之间的通讯。EIP2网口目前主要用于安全PLC与安全IO从站(如Hi50分布式IO)之间的CIP Safety链接。
在首次调试前,需要使用iFA Evolution编程工具对安全PLC的LAN1网口和EIP2网口进行配置后才可以使用,同时需要注意两组网口的IP不能在同一个网段。采用相同的方式,可以对Hi50安全耦合器通讯模块进行IP的分配,如下图所示
(图2.1.1)
2.1.2 SNN配置
SNN是安全PLC系统为各个网络设备分配的安全网络号,默认情况下iFA Evolution软件根据当前的系统时间进行分配。
2.1.3 安全模块UNID的设置
UNID是CIP Safety安全模块在网络中的唯一标识,对于在iFA Evolution软件中新组态的安全模块,一般情况下要执行重置UNID并设置UNID,只有完成UNID重置成功的安全模块,且模块版本匹配的情况下,才能够建立CIP Safety链接。
(图2.1.3)
2.2 安全DI输入模块参数配置
2.2.1 模块供电分组
针对Hi50分布式IO安全从站模块的供电主要有起始供电和拓展供电两种方式。起始供电通过选择指定的接线端子(浅色),通过采用电位组供电的方式,给当前以及后续排布的信号模块进行供电,后续模块则不需要在端子上重复接电源线供电。
当不采用电位组的供电方式情况下,即仅使用深色供电模块,对应参数应选择“供电拓展模块”。请注意,针对电位组的供电方式要注意电流负荷。
(图2.2.1 Hi50模块接线)
2.2.2 信号模块配置
(图2.2.2 模块参数配置)
2.2.2.1.模块故障(钝化)响应
针对安全模块在模块硬件、通信、通道硬件等发生故障时,整个模块或者通道将进入安全状态,此时输入输出保持安全值“0”,在iFA Evolution软件中可以选择两种组态方式,分别为模块进入安全状态或者通道进入安全状态,具体可以参考图2.2.2中①标识部分。
2.2.2.2.使能测试脉冲
测试脉冲是安全模块的一个重要功能,主要是为了检测外部接线故障和传感器触点故障而周期性发出的一种非常短暂的低电平脉冲,确保了安全回路在任何时候的完整性。使用测试脉冲T0/T1前,必须要使能测试脉冲,否则T0/T1将不会生效。
在iFA Evolution软件中,可以配置测试脉冲包括脉冲周期和宽度,具体可根据现场实际工况来选择,具体参考图2.2.2中②标识部分。
2.2.2.3.模块通道配置
(图2.2.2.3 通道参数配置)
①以安全8通道输入模块为例,参考图2.2.2.3 通道参数配置
- 传感器评估
在传感器评估中提供了如下选项,主要包括“1oo1评估”、“1oo2评估”和“安全垫”。
1.“1oo1 评估”:即一个传感器,通过一个单通道连接到安全模块中。
2.“1oo2 评估”:安全模块中两个通道将组合成一个通道对,需要连接外部两个单通道传感器或者一个双通道传感器,如连接急停或者安全门。
- 通道差异特征和差异时间
该参数主要针对“1oo2 评估”,以同值评估为例,当两个通道所连接的传感器电平不同且超过设置的差异时间值,或者通道发生异常时,通道状态将切为安全状态,此时通道输入将根据用户选择来确定。
1.提供上一个“有效值”:检测到影响的两个输入通道的信号之间存在误差后,误差出现之前的最后一个有效值(旧值)便立即在安全程序中变为可用。该值将一直可用,直至误差消失或者误差时间到期并检测到误差错误。
2.提供值“0”:检测到影响的两个输入通道的信号之间存在误差后,值“0”就会被用作安全值上报
- 差异后重新恢复
该参数主要针对“1oo2 评估”,它指定当通道差异恢复,通道重新恢复的条件,主要包括“需要测试0信号”和“无需要测试0信号”。
1.需要测试0信号:两个相关输入通道都出现低电平信号时,才认为差异错误已得到纠正,通道恢复正常
2.无需测试0信号:两个相关输入通道上电位信号一致(同时为高电平或者同时低电平),认为误差错误已更正,通道恢复正常。
2.3 安全DO输出模块参数配置
关于安全输出模块的故障特性和供电设置与安全输入模块基本一致,不同的是安全输出模块具有脉冲间隔测试和状态回读功能,当对应输出通道使能后,通道需要连接如安全继电器、直流接触器或者电磁阀等负载设备,如下是关于安全输出模块的配置参数说明。
(图2.3 通道参数配置)
- 最大测试间隔
该参数可以设置关断测试脉冲的最大间隔。关断测试脉冲可诊断输出信号为高电平时通道的内部故障及外部接线故障。通过该参数,可指定对整个模块进行关断测试的时间。超出该时间值后将重新测试。
- 关断测试脉冲最大回读时间
通过该参数,可以设置回读时间。在关断测试中,输出通道具有高电平信号时,测试信号将切换到输出通道中。超出关断测试的回读时间后,如果无法正确回读指定信号,则禁用输出通道。
2.4 安全模块报警的处理
2.4.1 模块故障安全响应
对于安全输入或者输出模块,在模块硬件、通信、通道硬件等发生故障时,整个模块或者通道进入安全(钝化)状态,此时输入输出保持安全值“0”,对于部分故障可允许恢复(如通信故障、外部接线故障),此时安全IO模块需要重新集成,若安全IO模块配置的“故障后恢复方式”为“手动”,需要用户手动对模块进行确认后,模块或通道才能正常运行。
2.4.2 自动恢复方式
当前模块通道接线检测恢复后,比如双通道的检测当信号差异时间超过差异值,一般发生在传感器、按钮触点或者某处线路损坏,导致故障的触发,当双通道的信号恢复完整时,故障自动消除。
2.4.3 手动恢复方式
当故障发生后,在排除硬件故障的情况下,需要通过指定的复位指令对故障模块进行复位,目前支持两种复位方式,一种是通过指定的手动确认位来进行复位操作,如图2.4所示,另一种是通过全局的SF_ManualAck指令进行复位操作。
2.4.4 自定义方式
选择自定义后,根据实际的场景需求,对同一信号模块的不同通道的故障恢复方式进行组态,如果是自动恢复方式,则故障消失后模块自动恢复至正常状态,如果选择手动方式,在排除故障现象后,需要参考手动复位方式来解决故障问题。
(图2.4 通道参数配置)
三、安全程序在INOCAR标准模版中的集成
在InoCar解决方案中,我们基于iFA Evolution编程平台,开发了符合行业应用规范的PLC程序模板和HMI画面模板,并对基于CIP SAFETY总线型的网络设备进行了充分验证。经实际项目验证,EVO 1000EF满足汽车行业在功能安全方面的严格要求。
3.1 标准化安全程序模板库
在安全设备集成层面,系统依托安全PLC对急停、光栅、区域扫描仪以及总线型安全门进行集中信号采集与统一诊断,构筑了可靠的安全防护基础。在应用逻辑层面,针对不同的交互应用场景,系统还考虑光栅与区扫的屏蔽功能,同时针对机器人示教等场景优化了安全门的控制逻辑,确保了安全防护与生产流程的无缝衔接。
(图3.1 基于CIP Safety的安全网络设备架构)
3.1.1 标准化的程序架构
安全PLC的程序结构通常采用分层、模块化的设计,在InoCar解决方案模板中,通过规范化的数据类型、标准化的程序结构和全局数据关系,来构建PLC安全程序。具体程序架构如图3.1.1所示。
(图3.1.1 安全PLC程序架构)
3.1.2 集成安全签名信息
在InoCar解决方案中,除了安全信号和安全逻辑的处理外,我们将安全PLC的关键运行数据显示在人机界面,方便用户对安全PLC的运行状态建立直观地了解,诊断信息主要包括安全数字签名、安全任务执行周期、PLC工作模式等。
(图3.1.2 安全PLC集成信息视图)
3.2 HMI画面模板
在InoCar解决方案中,集成了安全PLC程序的同时,也针对各个安全传感器设备定制化开发了对应的画面模板库,对于工程师用户,只需要从模板库中将设备图幅拖拽至画面中并关联上对应的设备标签名称即可完成安全设备的可视化组态,集成的模板库极大地提高了用户编程效率。
(图3.2.1 集成安全设备HMI模板库)
3.3 安全PLC与标准PLC的数据通信
EVO 1000EF安全PLC是一款独立的PLC,所以当安全PLC完成安全信号或者逻辑处理后,一般需要将安全信号发送给产线标准PLC,此时需要建立安全PLC和标准PLC的数据通道,该数据通道也称“C2C”链接,目的是实现双方数据的交互。
3.3.1 C2C通信链接的建立
在iFA Evolution网络视图中,通过对标准PLC的EtherNet/IP网口与安全PLC的Lan1端口进行关联,即可创建双方的数据链路,如图3.3.1所示。
(图3.3.1 C2C通讯链接创建)
3.3.2 C2C数据映射配置
完成了iFA Evolution网络视图数据链路的创建后,需要对本地站点和伙伴站点的数据进行映射关联,该过程不仅支持单个变量元素,同时还支持数据结构体,在InoCar模板中,我们已经构建了针对“C2C”交互的数据结构,一定程度上减少了“C2C”的组态工作,如图3.3.2所示。在完成组态后,需要对本地站点和伙伴站点的硬件组态进行重新下载后生效。
(图3.3.2 C2C数据映射)
结语
从标准化的程序基石,到汇川EVO1000EF安全PLC的深度集成,我们在InoCar解决方案的实践中,成功地将先进的安全理念转化为了可快速部署的工程实践。这不仅是技术上的整合,更是我们努力为国产行业树立的一个新标杆。展望未来,我们将继续携手行业合作伙伴,以InoCar解决方案为平台,不断推动工程效率的提升,助力客户在实现项目快速交付的同时,构筑面向未来的可持续竞争力。
