触摸屏按钮的安全确认功能配置

触摸屏按钮的安全确认功能配置

工业现场中，误触触摸屏导致的设备意外启动或停机，是引发安全事故的主要隐患之一。安全确认功能通过强制操作者进行二次确认，将误触风险降低两个数量级以上。本文从硬件选型到程序落地，完整拆解配置全流程。

第一阶段：硬件与软件选型确认

1.1 确认触摸屏是否支持安全功能

并非所有触摸屏都具备安全确认能力。购买前或改造前，必须核实以下参数：

打开 产品规格书，搜索 关键词 "safety", "force confirmation", "two-hand"。若三项均未出现，该触摸屏无法实现本指南所述功能，需更换硬件。

1.2 确认配套 PLC 的安全等级匹配

安全触摸屏必须与具备同等安全等级的 PLC 配合使用：

• PL e / SIL 3 级触摸屏 → 必须连接 S7-1500F、Allen-Bradley GuardLogix 等 F-CPU
• 无安全认证的触摸屏 → 仅能通过软件模拟确认，无法满足高危险场合要求

查阅 PLC 型号铭牌，记录 型号后缀。西门子系列中带 "F" 的 CPU（如 1516F-3 PN/DP）、罗克韦尔系列中带 "Guard" 的控制器，方可进入下一阶段。

第二阶段：安全功能原理与接线

2.1 理解双通道确认原理

高安全等级要求采用异或逻辑检测线路故障：两路输入信号必须保持"相反且同时有效"的状态，任一通道断路、短路或同步失效均触发安全停机。

正常工作状态：

• 通道 A：24V（高电平）
• 通道 B：0V（低电平）

故障状态（任一种）：

• 通道 A = 通道 B（两路同为高或同为低）→ 线路短接故障
• 通道 A 或 B 超时未响应 → 响应超时故障
• 通道 A 与 B 切换不同步 → 触点粘连故障

2.2 硬件接线配置

以西门子 KTP900F Mobile 与 S7-1500F 的典型连接为例：

准备 线缆：两芯屏蔽双绞线，截面积 0.5mm²，用于安全信号；普通网线用于以太网通信。

执行 接线：

1. 断开 所有电源，确认 触摸屏与 PLC 均断电
2. 连接 触摸屏端子 X10 的 SAFETY_IN_1（引脚 1）至 PLC 的 F-DI 通道 0+
3. 连接 触摸屏端子 X10 的 SAFETY_IN_2（引脚 2）至 PLC 的 F-DI 通道 1+
4. 连接 两路信号的公共端（引脚 3）至 PLC 的 F-DI 公共端 0V
5. 短接 PLC 侧 F-DI 的 0- 与 1-（启用双通道异或检测）

检查 接线：用万用表电阻档测量，未按下确认按钮时，通道 A 对 0V 应为无穷大（开路），通道 B 对 0V 应为接近 0Ω（闭合）；按下按钮后状态对调。

第三阶段：触摸屏项目配置

3.1 创建安全按钮对象

启动 WinCC (TIA Portal)，打开 目标项目。

执行 创建：

1. 打开 画面编辑器，从 工具箱 拖拽 "Safety Button" 至画面（若工具箱无此选项，确认 已安装 Safety 支持包）
2. 双击 按钮，进入 属性面板
3. 设置 "Button Mode" 为 Two-hand confirmation（双手确认）或 Enable button（使能确认）

3.2 配置确认时序参数

定位 属性面板 "Timing" 分组，按 下表设置：

关键理解：Max. difference time 是防误触核心。若操作者单手同时触碰两个按钮，因人体动作无法完全同步，两通道必有先后，时差超过 500ms 即判定为违规操作，拒绝输出。

3.3 配置视觉反馈

安全按钮必须提供清晰的状态指示。进入 "Appearance" 属性分组：

设置 颜色状态：

• 未就绪（等待确认）：灰色 #808080，文字 "请双手同时按下"
• 确认中（时差检测通过）：黄色 #FFFF00，文字 "确认中..."
• 已激活（安全输出有效）：绿色 #00FF00，文字 "设备运行中"
• 故障状态（线路异常）：红色 #FF0000，文字 "安全回路故障"，启用 闪烁效果（1Hz）

启用 声音反馈：勾选 "Acoustic signal"，选择 Safety tone 1（1000Hz 持续蜂鸣表示激活，400Hz 间歇蜂鸣表示故障）。

第四阶段：PLC 安全程序编写

4.1 创建安全功能块

打开 TIA Portal 的 "Program blocks"，添加 新块：

1. 选择 块类型为 FB（Function Block）
2. 命名 为 FB_Safety_Confirm
3. 勾选 "Create as safety"（创建为安全块，仅 F-CPU 可用）

定义 接口变量：

4.2 编写双通道异或逻辑

安全程序必须使用经过认证的指令集。调用 SF_Equivalent 功能块（等价指令，实现双通道监控）：

// 网络 1：双通道一致性检测
"SF_Equivalent_DB"(
    IN1 := #Safety_IN_1,
    IN2 := NOT #Safety_IN_2,    // 通道 B 取反，实现异或逻辑
    DISC01 := 50,               // 离散值 0/1 容差 50ms
    DISC10 := 50,               // 离散值 1/0 容差 50ms
    ACK := #Confirm_ACK,
    Q => #Safety_Out,
    ACK_REQ => #Ack_Required,
    DIAG => #Diagnostic_Info
);

// 网络 2：故障代码解析
#Fault_Code := BYTE_TO_UBYTE(#Diagnostic_Info.%B0);

逻辑解析：SF_Equivalent 自动检测两路输入是否满足"一高一低"的相反状态，且切换时差是否在容差范围内。任何异常均切断 Q 输出，并置位诊断信息。

4.3 配置安全输出

安全输出需经过强制断点测试（Proof Test）。添加 SF_OutputCam 控制接触器线圈：

"SF_OutputCam_DB"(
    Activate := #Safety_Out,
    On1 := TRUE,                // 常开触点模式
    Off1 := FALSE,
    SwitchOnDelay := T#0ms,
    SwitchOffDelay := T#100ms,  // 100ms 断开延时，防止抖动
    StartupSuppress := TRUE,    // 启动抑制，防止上电误输出
    ErrorAck := #Confirm_ACK,
    Output1 => "Q_Motor_Contactor",
    Error => #Output_Fault
);

第五阶段：测试验证与文档归档

5.1 执行型式试验

型式试验验证安全功能在故障条件下的响应。准备 测试记录表，逐项 执行：

记录 每项测试的实际响应时间，核对 是否 ≤ 100ms。

5.2 编制安全操作手册

现场操作人员需掌握关键要点。编制 单页快速指南，张贴 于设备旁：

【安全确认按钮操作规范】

1. 启动前确认：双手干燥无油污，袖口收紧
2. 正确姿势：双手食指/中指自然弯曲，同时触碰两按钮中心
3. 错误示范：
   × 单手掌同时覆盖两按钮（时差不足，触发失败）
   × 使用肘部、工具等替代按压（无法检测，系统拒绝）
   × 一人操作、另一人辅助按压（责任不清，禁止行为）
4. 故障处理：红灯闪烁时，立即通知维修，禁止自行短接线路

5.3 建立定期验证制度

安全功能会因触点老化、软件变更而失效。制定 年度验证计划：

• 每班点检：操作者触发一次正常启动，确认功能存在
• 每月维护：清洁按钮表面，检查接线端子紧固
• 每年型试：重复 T-001 至 T-006 全套测试，更新测试报告
• 每五年评估：联系制造商获取最新安全通告，评估硬件升级必要性

第六阶段：常见问题排查

6.1 触摸屏显示"双手操作"但 PLC 无响应

排查步骤：

1. 检查 PLC 诊断缓冲区，确认 是否有 F-I/O 故障记录
2. 测量 触摸屏端子 X10 的 1、2 引脚对 3 引脚电压，确认 按下按钮时状态翻转
3. 核查 PLC 硬件配置中 F-DI 模块的传感器电源设置，确认 为 "External"（外部供电）而非 "Internal"（内部供电，可能电压不足）

6.2 频繁报"时差超限"故障

原因分析：操作者习惯单手快速滑过两按钮，表面同时触碰，实际存在 50-200ms 的先后。

优化措施：

• 调整 Max. difference time 至 750ms（牺牲少量安全性换取可操作性）
• 改造 机械结构：将两按钮间距从 30mm 增至 80mm，强制双手分离
• 增加 操作培训：使用模拟训练程序，实时显示操作时差，帮助操作者建立肌肉记忆

6.3 安全输出偶发跳闸

排查步骤：

1. 检查 SF_OutputCam 的 SwitchOffDelay 设置，确认 未过短（电磁干扰导致瞬时跌落）
2. 测量 接触器线圈电流，确认 未超过输出点额定值（感性负载需加续流二极管）
3. 核查 安全回路中是否串联了普通急停按钮，移除 或 更换 为安全认证型号（普通按钮触点弹跳可能导致双通道瞬时不同步）