2. 核心安全架构:安全联锁系统的层级架构(Level 0-3),硬件与软件的安全功能分配
聊到ASML光刻机的安全架构,我习惯把它想象成一栋楼的消防系统。你想想看,楼里有烟感报警器、有喷淋头、有防火门、还有疏散指示牌——它们各自负责不同层级的安全。光刻机的安全联锁系统也是这个道理,分成了四个层级,从Level 0到Level 3。
每个层级干的事不一样,硬件和软件的分工也完全不同。我在现场调试时见过不少工程师把层级搞混,结果安全功能要么过于敏感频繁停机,要么该触发时没反应。嗯,这里咱们得好好捋一捋。
2.1 安全联锁的四层架构总览
先看一张我画的架构图,把四个层级的关系说清楚:
这张图我建议你存下来。每次做安全设计时,先问自己:这个安全功能该放在哪个层级?放错了,要么反应慢半拍,要么误动作频繁。
2.2 Level 0:执行层——纯硬件,没有商量余地
Level 0是安全联锁的最后一公里。说白了,就是直接切断能量、停止运动的物理元件。这个层级我坚持一个原则:绝对不能用软件。
为什么?因为软件会死机、会跑飞、会有bug。但继电器断开就是断开了,接触器释放就是释放了。我在项目中遇到过一台光刻机,因为Level 0的继电器选型不当,触点粘连导致安全门打开后激光器没完全断电。嗯,那次之后我对Level 0的元件选型格外较真。
Level 0 典型元件清单:
- 安全继电器(强制导向触点型)
- 电机抱闸制动器
- 气动安全阀(切断压缩空气)
- 激光器快门(机械式)
- 急停按钮(直接断开主回路)
⚠ 注意:Level 0的元件必须满足ISO 13849-1的Category 3或4要求。我曾经见过有人用普通继电器代替安全继电器,结果安全功能失效——千万别省这个钱。
2.3 Level 1:设备级——传感器+硬接线逻辑
Level 1是安全联锁的感知层。各种传感器、安全门锁、光幕、双手启动按钮都在这一层。它们的信号通过硬接线直接送到安全PLC或安全继电器模块,不经过普通PLC。
我个人习惯把Level 1叫做「肌肉反射层」。就像你手碰到烫锅会瞬间缩回,不需要大脑思考。光刻机里也是这样——安全门一打开,光幕一被遮挡,信号在毫秒级内传递到执行层切断能量。
这里有个关键点:Level 1的传感器必须是双通道冗余的。比如安全门锁,必须有两个独立的触点,一个常开一个常闭。为什么?因为单通道如果短路了,你根本不知道安全功能已经失效了。
| 传感器类型 | 冗余方式 | 典型响应时间 |
|---|---|---|
| 安全门锁 | 双触点(NO+NC) | ≤ 20ms |
| 安全光幕 | 双光束冗余 | ≤ 10ms |
| 急停按钮 | 双断开触点 | ≤ 5ms |
| 双手启动按钮 | 双通道+时间监控 | ≤ 50ms |
2.4 Level 2:区域级——安全PLC的软件逻辑
到了Level 2,软件开始介入。但注意,这里的软件不是普通PLC的软件,而是安全PLC里的安全逻辑。安全PLC和普通PLC的区别在于:它通过了TÜV的SIL 3认证,硬件和固件都是经过严格验证的。
Level 2负责什么呢?它把Level 1传来的传感器信号进行逻辑组合,判断某个区域是否安全。比如曝光区域,需要同时满足:安全门关闭且锁紧、光幕未被遮挡、急停未按下、腔内温度正常——所有这些条件都满足,安全PLC才会给Level 0发释放信号。
💡 我的经验:写安全PLC程序时,一定要用「正逻辑」思维。什么意思?就是安全条件满足时信号为1,不满足时为0。千万别用负逻辑,否则调试时脑子容易绕晕。我曾经接手过一个项目,前任工程师用负逻辑写安全程序,排查故障时差点把我逼疯。
Level 2还有一个重要功能:故障诊断。安全PLC会记录每次安全事件发生的时间、原因、触发了哪个传感器。这些数据对事后分析非常宝贵。我记得有一次光刻机频繁停机,查了三天没找到原因,最后调出安全PLC的日志,发现是某个安全门锁的触点接触不良,间歇性断开。
2.5 Level 3:系统级——中央安全监控与仲裁
Level 3是最高层级,相当于安全系统的「大脑」。它不直接控制执行元件,而是监控整个安全系统的健康状态,并在多个区域安全逻辑发生冲突时进行仲裁。
举个例子:光刻机正在曝光,突然晶圆传输区域的安全门被打开了。Level 2会立即停止晶圆传输,但曝光区域要不要停?这需要Level 3来判断。如果曝光区域和传输区域之间有物理隔离(比如光闸),Level 3可能允许曝光继续完成当前晶圆,再进入待机状态。如果没有隔离,Level 3会命令曝光区域也紧急停止。
Level 3的硬件通常是一台独立的安全控制器,与上位机(EAP、MES)通信,但通信链路本身不参与安全功能。说白了,上位机可以知道安全状态,但不能控制安全功能。
硬件与软件的安全功能分配总结:
- Level 0:纯硬件,零软件
- Level 1:硬件传感器 + 硬接线,无软件逻辑
- Level 2:安全PLC软件逻辑,但硬件平台是安全认证的
- Level 3:安全控制器软件 + 系统级仲裁算法
2.6 避坑指南:层级分配中常见的错误
做了这么多年安全系统,我见过太多设计上的坑。挑几个典型的说说:
- 把Level 0的功能放到Level 2去做——比如用安全PLC的输出去控制电机停止,而不是用硬件接触器直接切断。一旦安全PLC死机,电机停不下来。
- Level 1的传感器信号走了普通PLC——有人为了省成本,把安全门锁信号先接到普通PLC,再转发给安全PLC。这等于在安全链路上加了一个不可控的中间环节。
- Level 3过度干预Level 0——Level 3应该做监控和仲裁,不应该直接控制执行元件。否则一旦Level 3故障,整个安全系统可能瘫痪。
⚠ 我曾经踩过的坑:有一台光刻机,设计时把急停按钮的信号同时送给了安全PLC和普通PLC。结果普通PLC的一个程序bug导致急停信号被误触发,光刻机每周无故停机两三次。排查了两个月才发现是普通PLC的输入滤波时间设置太短,把干扰信号当成了急停信号。从那以后,我坚持急停信号只走安全链路,绝不经过普通PLC。
好了,关于安全联锁的层级架构就聊到这儿。记住四个层级的分工,硬件和软件各司其职,安全系统才能既可靠又高效。下一节咱们会深入每个层级的具体实现细节,包括安全PLC的编程规范和传感器的选型标准。
公众号:蓝海资料掘金营,微信deep3321