背叉式AGV控制系统的有关安全部件设计

根据行业权威统计机构报告显示，2019年国内叉车AGV销量达2700台，较之于2018年度增长幅度为80%，市场规模达13亿元。其中，背叉式AGV以载重大、速度快、灵活柔性等特点，占据叉车AGV 市场60%以上的产量。随着市场发展，产品迭代更新速度加快，低成本、高效率、安全、可靠等是产品竞争力指标，为确保AGV安全性能在产品迭代更新过程中稳步提高，以标准为基础，数据指标为支撑，进行标准化、模块化的控制系统安全功能设计，能科学、有效地实现这一目标。

本文介绍的设计方案主要基于行业公认参考标准EN 1525:1998，并结合产品风险评估报告分析结果和实践验证，并取得国际专业机构认证。设计方案技术指标依照标准EN ISO 13849-1:2015的规定。（注：设计方案针对的是常用类型背叉式AGV最基础的安全功能设计，当涉及举升高度大于1.8m、载重大于5t、载人运行或防爆、防腐蚀等特殊设计要求的产品时，应依据相关标准，采取符合要求的安全功能设计。）

一、设计依据

AGV控制系统安全功能设计应遵循国家/国际标准，相关标准如表1。

二、系统结构

本文根据实际案例推荐一套合理、可行的设计方案。

背叉式AGV控制系统有关安全部件（SRP/CS）设计方案的关键技术指标：安全类别（Category）与性能等级（PL），见表2。

其中，速度控制、转向控制、紧急停止、障碍物检测、手动/自动模式切换的安全部件类别均为Category 3。根据EN ISO 13849-1:2015的定义，Category 3/4属于冗余的安全逻辑结构，即逻辑结构的部件中的任何一个单一故障都不会导致安全功能的丧失，针对特殊安全要求的控制系统。

值得注意的是，对于SRP/CS的评价Category只是定性的指标，而PL才是综合衡量的指标，必须定性指标Category与定量指标—每小时危险失效概率（PFHD）相结合才能取得综合、完善的安全性能评价。其中PFHD、PL之间的关系，见表3。

在安全逻辑结构设计、安全器件选型时，相关器件的安全性能参数：PL、Category、PFHD、危险故障间隔时间（MTTFd）、元器件10%样本发生失效的操作次数（B10d）等，将对设计方案最终能达到的安全性能（PL）起到决定性作用。

1.安全逻辑结构

安全逻辑结构从功能上划分为输入、逻辑、输出三部分；从安全类别与性能等级划分为Category 1/PL b、Category 2/PL c、Category 3/PL d三部分。设计方案的总体安全逻辑结构，详见图2。

2.安全逻辑器件

从简化设计复杂性，模块化设计需求出发，在安全逻辑结构中采用安全型可编程逻辑控制器（安全PLC）作为安全逻辑器件，实现设计指标为Category 2~3/PL c~d的相关安全功能，安全PLC分为逻辑运算模块、IO模块、速度监控、转向监控、通讯模块。

设计指标为Category 1/PL b的相关安全功能建立在以车载控制器为逻辑控制器件的基础之上。

3.安全输出器件

（1）背叉式AGV的停车制动方式为切断动力电源与驱动器KEY信号、释放牵引电机电磁抱闸，因此与紧急制动相关的安全功能，如：速度控制、转向控制、障碍物检测、紧急停止、侧边防护、超驰障碍物检测、从卸货方向停止车辆、手动/自动模式切换的安全输出器件都是同一部件。为达到设计安全性能，与此相关的安全输出器件需设计达到Category 3/PL d的安全性能。动力电源的控制采用冗余的直流/交流接触器（含有辅助NC反馈触点），驱动器带有All OK反馈信号，抱闸控制采用安全继电器。

（2）背叉式AGV液压控制（Category 2/PL c）安全输出部件为液压驱动器、液压控制阀，安全信号由安全PLC控制，当液压控制系统链路中的故障被检测到时，安全PLC应切断液压驱动器KEY信号，关闭液压控制阀，同时激活AGV停车制动措施。

（3）AGV的充电控制与声光控制（Category 1/PL d）的安全输出器件，如：指示灯、蜂鸣器、充电接触器等，通过车载控制器信号控制。

4.安全输入器件

（1）速度控制（Category 3/PL d）：其目的在于确保AGV行驶在安全的速度范围之内，使AGV紧急制动的性能不会受到干扰降低。为达到冗余的逻辑结构，且便于安装，采用内部冗余结构的安全型增量编码器安装于电机轴上采集舵轮速度，并通过安全PLC的速度监控模块对采集的数据进行监控，监控方式应包含：静止监控、超速监控、速度梯形监控等。

（2）转向控制（Category 3/PL d）：其目的在于确保AGV行驶的速度范围与舵轮转向角度相对应。采用内部冗余结构的安全型编码器监控舵轮角度，安装于转向齿轮轴上采集舵轮角度，并通过安全PLC转向监控模块对采集的数据进行监控，监控方式应包含：静止监控、绝对位置监控、角速度梯形监控等。

（3）液压控制（Category 2/PL c）：其目的在于确保AGV货叉举升不超出高度限制的范围，并使货叉高度调节不会造成AGV的稳定性降低。液压控制的安全输入器件采用CANopen型拉绳编码器、高度限位磁开关，监控货叉高度。

（4）紧急停止Category （Category 3/PL d）：其目的是为特殊情况采用手动触发AGV紧急制动的措施，紧急停止的安全输入器件为2NC触点的急停开关，两端分别与安全PLC的测试信号和数字输入信号相连接，急停开关的安装位置应便于人员在安全的位置触发，当多个急停开关串联时应考虑B10d值较小可能造成整体安全性能等级的降低。

（5）障碍物检测（Category 3/PL d）：其目的是通过非接触式安全部件检测车辆主行驶方向上的障碍物，并通过减速或紧急制动的方式停止车辆的措施，障碍物检测的安全输入器件为安全激光扫描仪。安装位置应尽可能靠近地面（建议扫描仪激光面离地100mm左右），安全激光扫描仪与安全PLC之间通过安全总线通讯，扫描仪将根据AGV的行驶速度、舵轮角度，动态的切换保护区域的尺寸，保护区域分3类梯次区域，依次为减速、停止、急停区域，区域尺寸应考虑车体宽度、行驶速度、行驶减速度、制动距离、信号延时、逻辑运算延时等因素。

（6）侧面防护（Category 2/PL c）：其目的是通过接触式安全部件检测车辆转向路径上的障碍物，并通过紧急制动的方式停止车辆的措施。侧面防护的安全输入器件为安全触边缓冲条与触边检测继电器。安全触边缓冲条安装于车头下方的触边缓冲安装支架上，触边信号通过继电器转换为数字量输出信号并与安全PLC的I/O模块相连接。安全触边缓冲条的离地高度应不大于35mm，防止人员脚部卷入车底。

（7）超驰（OVERRIDE）障碍物检测（Category 2/PL c）：其目的在于当AGV处于障碍物检测（包括前、后、两侧的检测部件）触发使车辆紧急制动情况下，提供人员通过手动操作解除AGV的紧急制动状态的特殊功能。超驰障碍物检测的安全输入器件为OVERRIDE功能按钮与1NC+1NO触点OVERREIDE使能两档钥匙开关，超驰障碍物检测功能在自动模式下无法激活。

（8）从卸货方向停止车辆（Category 2/PL c）：其目的是通过接触式安全部件检测车辆后退路径上的障碍物，并通过紧急制动的方式停止车辆的措施。从卸货方向停止车辆的安全输入器件为安装于后腿缓冲装置上的接近检测开关。

（9）手动/自动模式切换（Category 3/PL d）：其目的是为了覆盖车辆模式切换时可能造成非法启动的安全隐患，使模式切换时车辆紧急制动，需手动重启。手动/自动模式切换的安全输入器件是2NC触点两档钥匙开关，钥匙开关安装于车辆控制面板，开关两端分别与安全PLC的输入模块测试信号和数字输入信号相连接。

（10）充电控制（Category 1/PL b）：其目的是通过电池管理系统（BMS）对电池充电状态进行监控，BMS通过数字量输出信号与安全PLC的I/O模块相连。

（11）重启（Reset）按钮：在AGV无急停信号输入的条件下，解除车辆急停状态的功能按钮。

5.安全功能程序设计

安全PLC的程序设计按照安全逻辑结构图的逻辑控制，其中：

（1）非接触式障碍物检测（安全激光扫描仪）信号采用自动复位方式。

（2）紧急停止、接触式障碍物检测（侧面防护、从卸货方向停止车辆）信号、手动/自动模式切换检测信号采用手动复位方式。

（3）速度控制、转向控制、液压(移栽)控制、输出部件诊断检测信号触发安全PLC进入安全模式，切断控制器与驱动器的KEY信号和所有安全输出信号，同时触发黑匣子记录故障原因。

（4）超驰障碍物检测功能仅允许在AGV手动模式情况下超驰因接触/非接触式障碍物检测信号触发的车辆停止状态，在超驰状态下AGV的行驶速度被限制在0.15m/s。

安全功能程序应检查防止程序漏洞，并进行故障模拟测试，避免因程序漏洞导致的输出部件误激活，确保程序设计的安全完整性。

三、安全完整性验算

安全完整性验算是从理论角度验算设计方案的安全性能是否符合预期的技术指标。验算的基础数据来源于器件供应商提供的安全性能数值，如PL、Category、PFHD、MTTFd、B10d、DCavg等，验算方式依据标准EN ISO 13849-1:2015的定义。

验算过程可以利用SISTEMA软件完成，能有效减少繁琐的验算过程，并建立项目形式的过程文件，便于查询、修改、完善。

四、小结

1.AGV的安全功能设计应在实践经验基础上依照相关标准要求，结合产品风险性分析→安全功能逻辑结构设计→安全完整性计算→安全功能实验测试的标准化流程来完善产品的安全功能细节，从而系统的提升产品本质安全性。

2.最终设计出的样车应通过相对应的产品安全性能实验测试检验，如车辆稳定性测试、碰撞冲击力测试、刹车距离测试、超载测试、抱闸性能测试等，一方面能更加客观了解车辆的性能极限，确定产品可应用环境范围，另一方面也可以更清晰、快速的了解产品的缺陷，为产品改进找到目标和方向。

3.AGV的安全功能设计应随使用环境的变化，动态的做出改变，以尽可能完整的安全措施覆盖产品安全风险。

4.AGV的安全功能应覆盖从生产、调试、装卸、运输、使用、维护直到报废的完整产品生命周期，同时应编制专业、完整的指导文件（用户手册）供相关人员学习、培训。

5.AGV的安全功能设计应符合产品使用单位所在国家、地区的法规、标准要求，技术人员应在充分了解当地法规、标准的基础上开展设计、制造工作。