Login
logo
比较

移动机器的安全集成:从逻辑到行动

31 3月 2026
Anybus
采用标准化黑通道协议,实现AGV与AMR的无线安全功能。作者:Stefan Kraus,HMS拉芬斯堡技术中心功能安全产品经理

移动机器人(如AGV和AMR)已不再是生产车间边缘的孤立机器。它们正日益成为工厂工作流程的有机组成部分,与人、基础设施以及固定式自动化系统协同作业。

尽管移动机器的车载安全概念已相当成熟,但将这些机器集成到工厂车间的安全系统中,仍然带来了新的挑战——尤其是当唯一可行的连接方式是无线时。理解这些挑战及其应对方法,是在现代生产环境中规模化部署移动自动化的关键。

1. 系统架构:挑战从这里开始

要理解为何将移动机器集成到工厂车间安全系统中存在困难,需要从整体上审视系统架构:包括移动设备、工厂车间,以及必须连接两者的无线网络。

1.1 移动机器:车轮上的安全孤岛

现代AGV和AMR可以被看作“车轮上的安全孤岛”。它们通常自带安全传感器和安全逻辑,用于保护机器附近的人员与设备。急停按钮、激光扫描器以及与驱动相关的安全功能都在本地处理,从而在检测到危险时实现极快的响应。

这种本地安全设置通常基于移动机器内部的同构安全网络。同样重要的是,这套车载安全系统由机器制造商所有并完成认证。因此,通常不允许第三方访问车载安全网络。这些原则在ISO 36914等标准中有所体现,并得到了欧盟机器法规2023/1230的进一步强化。这些标准与法规都越来越强调为移动机器定义清晰的安全概念。

简而言之,移动机器自身是安全的——但其安全系统与它日益需要交互的工厂车间安全基础设施之间,却是相互隔离的。

 

1.2 工厂车间安全系统:分布式且异构

当我们把视线从移动机器转向工厂车间,情况则完全不同。工厂车间的安全系统具有以下特点: 

  • 由最终用户选择,而非机器制造商;
  • 分布在大面积区域内;
  • 通常是分层的,包含多个PLC和安全区域。

不同的机器、单元和基础设施组件可能使用不同的安全协议和自动化平台。最终形成的是一种异构的安全架构。安全信号需要在从未被设计为无缝协作的机器、区域和系统之间进行交换。

核心挑战很明确:如何将移动机器人车队接入工厂车间的安全信号处理系统?

 

1.3 无线作为唯一的桥梁,以及它带来的问题

实际上,将移动机器连接到工厂车间安全系统,只有一种现实可行的方式:无线通信。移动机器会移动,有线安全连接根本不可行。

然而,无线通信带来了一系列新问题:

  • 通信稳定性降低;
  • 需要在接入点之间漫游; 
  • 共享空口作为传输介质;
  • 网络延迟可能远高于100毫秒。

无线基础设施通常是为IT流量设计的,缓冲和重传是可以接受的。但安全通信则不同。安全信号不能无限缓冲,持续的丢包会导致系统进入安全状态,往往会引发不必要的停机,降低系统可用性。

 

1.4 弥合架构鸿沟:将无线视为黑通道

 解决方案不是让无线变得具有确定性,而是将其视为黑通道。在黑通道方法中,底层传输介质在设计上就被认为是不稳定的。安全完整性完全由安全协议保证,而不是由网络来保证。

CIP Safety和PROFIsafe等标准化安全协议正是为此目的而设计的。它们允许安全信号通过标准以太网(包括Wi-Fi)进行传输,同时保持高达SIL 3 / PL e的安全完整性等级。

即使网络质量出现波动,信号的安全完整性也不会受到影响。受到影响的是可用性。网络质量会影响有多少设备能够安全地通信,以及安全超时时间需要设置多长,这反过来又会影响响应时间。

 

2. 支持CIP Safety和PROFIsafe

CIP Safety和PROFIsafe都遵循黑通道原则,但它们在无线环境中的行为有所不同。

以太网/IP上的CIP安全完全基于IP,这使得通过标准IT基础设施和现有无线网络进行路由变得更为便捷。因此,它特别适用于那些已经依赖Wi-Fi进行车队管理或诊断的移动机器。

PROFIsafe 在通信层上更为高效,但要求无线接入点具备特定能力。

在许多工厂中,两种协议是共存的。因此,移动机器必须根据实际部署环境,准备好支持其中任意一种协议。

 

3. 引入Safe2Link:弥合鸿沟

这正是Anybus Safe2Link所要弥合的鸿沟。
Safe2Link利用现有无线基础设施实现标准化安全协议,允许安全信号在移动设备与固定式安全系统之间进行交换,且无需更改车载安全配置。
其方法不是编写新的安全逻辑,而是对经过认证的安全功能进行参数化配置,并复用设备侧和工厂车间侧已有的资源。

 

3.1 从架构到实现 

在典型的系统架构中,移动机器已经包含了用于导航和运动的车辆控制器、用于快速响应的本地安全传感器和安全逻辑,以及用于连接车队或仓库管理等上层系统的无线通信。

与此同时,工厂车间包含外部急停设备、安全PLC以及其他安全相关基础设施。这些设施必须能够影响移动机器的行为。挑战在于:在不修改已认证的车载安全网络的前提下,将这些外部安全信号接入移动机器,并且要通过不可靠的无线链路来实现。

这种组合系统视图凸显了为什么需要一种专用的标准化机制,来安全地桥接移动与固定安全系统,同时保持快速的本地响应和整体系统认证。

 

3.2 Safe2Link 硬件特性 

Safe2Link是一款专为移动环境设计的紧凑、坚固的远程安全I/O设备。主要硬件特性包括:

  • 支持带CIP Safety的EtherNet/IP(PROFIsafe支持已在规划中);
  • IP54防护等级的铝制外壳,适用于严苛环境; 
  • 集成以太网交换机和M12连接器;
  • 安全和非安全I/O,包括双路安全输入、双路安全输出以及SS1t指示。

清晰的状态指示灯有助于在调试和运行期间进行快速故障排查。

 

3.3 Safe2Link 软件特性 

在软件方面,Safe2Link专注于互操作性和降低再认证工作量:

  • 通过一致性认证的EtherNet/IP适配器和CIP Safety目标设备; 
  • 通过EDS文件和Sistema库进行标准化集成;
  • 通过安全现场总线对移动设备进行唯一寻址。

Safe2Link无需编写定制的安全逻辑,而是允许在启动时进行安全参数传输、可配置的过滤以及传感器监控。这显著降低了集成风险和认证工作量。 

高级功能如安全停止类别1(SS1t)SafeBound™,可将快速的本地安全停止与较慢的远程安全停止相结合,这在无法避免无线延迟时尤为关键。

 

3.4 集成远程安全停止的结构化路径

集成远程安全停止遵循四个清晰的步骤:

  1. 接入一个额外的安全停止源; 
  2. 利用现有无线基础设施建立通信链路;
  3. 使用经过型式认证的组件配置外部安全网络;
  4. 作为系统认证的一部分,验证安全操作。 

这种结构化的方法使移动机械能够参与工厂级的安全概念,同时保持其车载安全系统的完整性。 

 

4. 结论 

随着移动机器成为现代生产环境中不可或缺的一部分,将它们集成到工厂车间安全系统中已不再是一个可选项。无线通信是不可避免的,但它不必以牺牲安全为代价。

通过将标准化的黑通道安全协议与Safe2Link这样的实用实现相结合,安全集成变得可预测、可认证、可扩展。这正是我们如何从安全逻辑走向现实行动的方式。

 

关于作者  

Stefan Kraus是HMS Networks的功能安全产品经理。Stefan在工业通信领域拥有超过20年的经验,自2012年起专注于功能安全。

了解更多