在经济全球化的今天, 对客户多变需求的快速响应, 货物送达的速度及准确性在企业发展进程中扮演着越来越重要的角色, 对互联网企业, 如阿里巴巴, 亚马逊等, 尤其如此!根据统计数据, 阿里巴巴中国平均每天需要快速处理1亿个货物包裹, 而有效支撑这么庞大数量货物处理的正是大型智能物流仓储系统。本文论述的仓储系统基于欧洲最新的安全标准设计, 主要有轨道穿梭车 (RGV) , 大型存放货架, 输送系统, 堆垛机, 提升机和逻辑控制及上位机管理系统组成, 整个仓储系统共分两层设计, 依据其功能分为以下7个区域:
●区域1包含4台堆垛机的自动化仓库
●区域2包含多台输送机的自动化仓库前缓冲区
●区域3包含1台RGV的中转一区
●区域4一层装卸区
●区域5中转一区 (一层) 和二区 (二层) 间的转运区
●区域6包含1台RGV的中转二区
●区域7拆包区
安全设计总是开始于风险评估, 其目标是使得各类风险最小化达到可辨识的程度。本系统的风险评估面临诸多挑战, 如:系统主要组成部分和功能区域众多, 需要每部分高度协同配合存取货物;其次不仅需要对每个区域分析, 对区域之间的配合动作及其可能出现误操作误使用也需要进行预判分析。
风险评估是在产品设计阶段降低潜在风险的一个重要工具。良好且有效的的风险评估会支持设计方和使用方开发出一套友好的安全解决方案, 它能够降低安全系统失效的概率。在目前欧盟机械指令2006/42/EC里面有如下明确要求:
设备生产厂家或授权代表必须确保执行风险评估以便确定其满足最低的安全要求。设备必须按照风险评估的结论进行设计和生产。
“The manufacturer of machinery or his authorized representative must ensure that a risk assessment is carried out in order to determine the health and safety requirements which apply to the machinery.The machinery must then be designed and constructed taking into account the results of the risk assessment.”
安全在相关标准或规范里面是一个相对概念, 实际上, 不太可能和完全没有必要进行所谓的“零风险”设计, 这也是为什么我们允许残余风险存在。在风险识别出后, 在迭代过程中需进行风险评价使得达到所要求的安全水平。在每一步迭代过程中, 我们不得不判断是否必要和/或足够的降低了风险以及是否需采取安全保护措施。很明显, 增加保护技术是风险减少一种方法, 它能降低危害发生的可能性。风险减少的程度正比于保护技术执行其功能的可靠性, 而这正是功能安全的基础。
按优先顺序有以下五个步骤, 见图1。
目前, 一些标准和/或法规里或其他专业文件论述了安全控制水平与其影响因子 (危害严重性/频率/可能性/规避性) 之间的关系。基于我们的项目经验, 并考虑到此仓储物流系统并不仅仅是单体设备, 我们参考并引用了过程安全领域中的一些有用信息, 汇总成表1和表2以便确定最终的安全控制水平。表2仅供一般性指导, 不应用于转换目的。新标准ISO/IEC 17305将在不久的将来合并EN ISO 13849和IEC62061。*表示使用表2中的下一个控制水平。
表1 影响因子分类 下载原表
表2 安全控制水平 下载原表
为确保控制系统达到所需的安全水平, 相关标准中给出了一些因素, 例如:EN ISO 13849-1和EN 62061等。
●硬件架构
●组件可靠性
●诊断覆盖率 (DC)
●共因失效 (CCF)
●过程处理
在参考功能呢个安全标准之前, 我们应该清楚哪些更适合本文论述的控制系统。参考图2, 根据实际控制技术, 参考EN ISO 13849和IEC 62061。
安全控制系统的设计步骤依据图3顺序并且每一步都应有文件存档。
控制系统依据风险等级至少需要达到等级3硬件架构, 设计中往往被忽视的一点是执行部件的反馈监控, 如接触器, 液压组件等。为了更好地进行诊断, 组件状态的可靠反馈是必要的, 这可以通过使用“机械连接”的正向导向触点来实现, 这些触点是安全应用中反馈电路所需要的。在其整个生命周期中, 常闭和常开触点始终不会同时闭合, 对于更大定额的组件, 通常称为“镜像触点”。在本系统中, 我们选择AB 100S-F系列接触器, 如图4。
依据表3的安全联锁矩阵, 本系统使用了大量联锁组件, 而且通常它们都是串联连接到安全输入模块。然而, 这样的设计有一个明显的弊端-故障屏蔽, 图5。使用的联锁组件越多, 动作频次越高, 将会导致高故障屏蔽率和低诊断覆盖率, 图6。即使终端用户定期执行功能检查和/或每年进行必要的维护, 其安全控制水平最高只能达到PLd, 而且这是由安全管理 (人为因素) 决定的。基于以上原因, 我们选择ABB Eden非接触式安全门联锁, 其每秒通过其电子器件进行多次自检, 并且很容易达到PLe, 而这样的设计不需要终端用户的功能检查。
表3 部分安全联锁功能 下载原表
软件失效本质上是系统的固有特性, 失效是由它的架构, 编写或编译方式引起的。因此, 软件故障主要是由生成它的系统引起的, 而不是由其应用引起。然而, 我们无需在软件架构内部深究其原因, 如软件工程中的V模型。在实际应用中, 大多数可编程安全设备都能提供“认证”功能块或例程, 这大大简化了设计人员和/或终端用户的验证工作, 但应注意对于最终完成的应用程序仍需验证。对于既定的设计功能, 程序中使用的的安全块及其内联和参数化也应验证是正确且有效的。本系统使用了西门子S7-1500 CPU1511F-1PN和ET200SP输入/输出安全模块。对于安全程序验证, 我们总结了如表4的主要检查项目。
表4 安全程序检查列表 下载原表
安全控制水平需要核算, 如以可管理的方式去执行, 软件工具可提供出色的帮助。我们选择使用由BGIA (现在称为IFA) 开发的软件工具SISTEMA, 使用SISTEMA, 可以“构建”安全功能, 验证它们并生成所需的技术文档。
过去, 我们更关注于生产和效率而忽视安全, 这导致了伤害和风险增加, 而今天, 大多数制造商和终端用户都认为安全与生产同等重要。我们使用安全部件并严格满足指令和标准要求, 并采用更好的诊断技术。在不久的将来, 显然, 集成和智能安全控制系统将广泛应用特别是在工业4.0时代, 更先进的控制算法和传感技术将应用于机器人, AGV/RGV和其它自动化设备, 安全设备可通过安全网络进行配置和编程。总之, 未来的安全对于设计者和终端用户来说将是透明的。