本工程简报介绍了西门子故障安全PLC的应用案例。演示系统包含一个安全区域,配置了带急停装置和光栅防护的电机。系统同时监测电机启动器触点熔焊情况,并实现了双手安全启动功能。我们将首先简要介绍硬件配置,随后重点讲解主系统与安全系统间的变量传输。
绝不能让设备重启操作对您或操作人员造成意外。
本资料面向已熟悉西门子S7-1200和S7-1500 PLC的技术人员与工程师。同时假定读者对本文所述的ET 200SP分布式I/O系统有一定了解。作为参考基准,我们默认您已掌握西门子数据块及结构化标签的使用方法。
所属分类 :理解应用 → 安全概念
难度等级 :
技师级 - 难度说明
最后更新 :2026年3月6日
引言
切勿将急停装置直接接入常规PLC。
该问题涉及两个层面:
-
硬件层面 :普通PLC输入模块并非为安全功能设计。本项目使用的安全级CPU 1215 FC PLC也不例外。安全相关I/O应通过图1所示的F-DI模块或ET 200SP安全模块处理。这些模块具备核心PLC所不具备的冗余设计和故障安全机制。
-
软件层面 :故障安全软件本质上是传统软件的功能子集。其经过精简,仅保留最基础的直连功能。更低的复杂度意味着更小的安全机制失效风险。
免责声明 :本资料仅用于教学目的。您需自行负责确定设备的安全完整性等级(SIL)及所需性能等级(PLr)。请遵守所有适用的地方、州、联邦及国际法规。
尽管我们已谨慎编写,资料中仍可能存在无意的错误或标准解读偏差。官方指导请参阅DigiKey服务条款。我们感谢您为改进叙述和事实内容提供的任何反馈意见。
图 1 :作者工作台上作为ET 200SP分布式I/O系统组成部分的西门子安全模块图像。
技术提示 :冗余是工业安全的一个决定性特征。例如,急停功能由形成"二取一"(1oo2)信号的硬件处理。这需要配备两个独立触点块的开关。有关急停按钮的更多信息,请参阅本页。
请注意,传统PLC输入不包含这种故障安全冗余功能。因此,它们不被认为适合用于监控安全装置。类似结论也适用于光幕产生的OSSD信号输出。
特色安全项目描述
该机器配置为单一安全区域,用于保护三相电机。主要目标是在触发急停或光幕中断时立即切断电机电源。
项目核心是S7-1200安全型PLC(CPU 1215 FC),其安全硬件集成在ET 200SP分布式I/O中。安全组件包括:
-
带冗余常闭触点的急停开关
-
具有输出信号切换装置(OSSD)的光幕
-
配备两个西门子3RT2015接触器的受监控电机启动器三相触点采用串联连接(冗余设计)通过监测辅助触点来检测衔铁卡死(触点粘连)情况注意:使用中间继电器将接触器连接到PLC本文介绍了接触器断开速度如何提升,这与标准PLC输出引脚采用二极管钳位方案形成对比。
-
安全功能包含双手安全启动装置
技术提示 :需区分启动与停机机制触点粘连和双手安全装置用于阻止机器启动,而急停和光幕用于立即停机
安全模块的物理连接
图2展示了安全I/O分配与标签名称。
安全输入连接
- 双路急停触点通过输入通道0和4构成1oo2接口。RemoteStop1的标签名关联地址%I10.0,其中10是该模块的选定地址。红色文字用于提醒输入通道0和4构成配对关系。
注意急停由源自基座单元下部连接的V0和V4信号驱动。这些信号用于检测短路和交叉接线故障。
-
光栅的OSSD信号通过1002分配方案连接至输入通道3和7。与急停不同,光栅会自行产生测试信号。因此不需要连接基座单元的下部信号发生器。
-
双手输入(常开)的开关触点连接至通道2和6。
-
监测电机启动器串联常闭辅助触点的线路连接至输入通道1。基座单元V1作为信号源使用。
安全输出连接
两个输出通过中间继电器驱动电机启动器。本可采用单输出通道驱动两个继电器。由于仅使用少量安全输出,此方案并无优势。
非安全连接
常开按钮连接至非安全输入模块。因复位不直接涉及安全停机或受控启动,采用非安全连接可接受。
图 2 :安全模块物理连接及标签名称分配。红色文字标注1oo2配对关系。
S7-1200 PLC 关键安全程序特性
本安全程序提供两类功能:
-
通过急停和光栅实现无争议停机 。
-
条件启动 需先监测电机启动器触点是否熔焊,并正确使用双手安全装置。
技术提示 :电机启动器由两个串联的三相接触器及过载模块组成。安全PLC会监测每个接触器的一组常闭辅助触点。当任一接触器衔铁卡死(如触点熔焊)时即触发故障。若无此安全功能,单个潜在故障将无法被检测,导致急停指令发出后系统仍持续运行。
故障安全梯形图示例
图3展示了最重要的梯形图网络。三相电机启动条件如下:
-
急停装置已释放(由两个ESTOP1功能块判定,分别对应急停按钮和光幕)。
-
FDBACK功能块确认无触点熔焊现象。
-
主[OB1]程序已发出电机启动请求。双手安全许可信号(未图示)将传递至主程序与其他条件进行逻辑组合。条件满足时,布尔量xMotorRunRequest将启动请求传回主程序。
当线圈1A和1B得电时电机运行。
图 3 :安全程序的核心梯形图网络。
安全程序的故障行为
可预测性是所有安全系统的基本属性。
必须杜绝设备意外启动。这种安全锁存行为已内置于ESTOP1和FDBACK模块设计中。触发后,各模块将保持故障状态直至收到确认(ACK)信号。因此,在故障模块复位前设备将保持停机。
图4展示了故障状态ACK复位信号。xResetRequest信号源自主程序,仅当主选择开关置于关闭位置且安全复位按钮按下时生效。这确保系统复位前设备处于已知的断电状态。
图 4 :ESTOP1与FDBACK模块共享ACK复位请求信号。
技术提示 :该系统的自锁特性再怎么强调都不为过。举个生动的例子,设想如果有人穿过光栅进入机器围栏会发生什么。是的,当光栅光束被阻断时设备会停止。但若没有自锁故障功能,当人员完全进入机器围栏时设备会立即重启。
如何在西门子 PLC 的主程序与安全程序间传递变量
仔细观察图3可发现所有标签都是安全标签(黄色高亮显示)。但我们之前声明xMotorRunRequest源自主程序。
为清晰起见,我们使用名为DataToSafety和DataFromSafety的全局数据块对在主程序与安全程序间传输变量。安全程序结构分为三部分:
-
从DataToSafety数据块读取(将全局标签传输至本地安全标签)
-
执行安全例程
-
写入DataFromSafety数据块(将本地安全标签传输至全局标签)
虽然这座"桥梁"并非绝对必要,但将全局标签与本地安全标签分离能提升编程清晰度,避免潜在错误。
技术提示 :这种三段式桥梁模拟了PLC扫描周期结构:读取输入、执行逻辑、设置输出。
我们称之为"PLC之道"。
故障识别
本特色项目存在三种潜在安全故障:急停、光栅及受监控电机启动器故障(触点粘连)。为有效排查故障,必须确保主程序能获取故障信息。这样可激活面板指示灯、HMI显示或将数据传输至更大型的SCADA系统或历史数据库。
通过包含结构化故障标签集的DataFromSafety数据块实现传输。主程序现在可访问每个故障并采取相应措施。
图 5 :用于从安全程序向主程序传输数据的标签。
结语
牢记在主程序与安全程序间传递变量的桥梁。
若其他都记不住,请遵循桥梁原则:读取输入、执行逻辑、设置输出。这个模式既适用于PLC扫描周期,也适用于主程序与安全程序的交互。
从那里开始,专注于编程。这不是那种光靠阅读就能掌握的事情。试图在主程序和安全程序之间建立合理协调的安全方案,比看起来要困难得多。
继续探索工业控制系统
若本文对您有所启发,您可能还对以下内容感兴趣:
DigiKey 导航
- 完整目录 :工业控制与自动化
相关基础文章