如何在 PLC 中利用激光雷达逻辑编程 AMR 动态安全区域

AMR 的虚拟安全围栏是一种由 PLC 控制的速度和停止策略，它将激光雷达的区域入侵映射为确定性的运动限制。在实践中，控制器会根据激活的保护区域和符合 ISO 3691-4 标准的故障安全输入逻辑，将机器人从全速状态钳位至警告速度设定点或零速。

虚拟安全围栏并非软件中绘制的圆圈，而是对空间入侵的确定性控制响应。如果响应路径薄弱，那么这种围栏在本质上就是虚设的。

对于 AMR 而言，有意义的区分不在于“是否安装了传感器”，而在于警告区域减速与保护区域停止，并通过您可以实际验证的扫描路径来执行。ISO 3691-4 设定了安全目标；而 PLC 和安全架构决定了当有人进入路径时，机器是否能做出正确的行为。

Ampergon Vallis 指标： 在 OLLA Lab 对 AMR 激光雷达场景的内部验证中，通过标准非安全以太网路径路由警告区域减速指令，在 12 次高速接近测试中有 3 次产生了足够的指令延迟，导致区域越界；而在同一场景集中，将虚拟警告信号直接映射到本地控制器输入则消除了这些越界现象。方法论： 针对固定警告/保护区域布局进行 12 次模拟接近测试，速度为 2.0 m/s，基准比较器为网络路由速度钳位，时间窗口为 2026 年 3 月的验证会话。这仅支持一个狭窄的观点：信号路径设计会实质性地影响模拟停止行为。它并不建立适用于所有 AMR 架构的通用延迟数值。

OLLA Lab 在此的作用是有限且务实的。它是一个基于 Web 的梯形图逻辑和数字孪生环境，用于在任何人尝试在真实车辆上操作之前，预演高风险的验证任务——包括逻辑测试、I/O 追踪、故障注入和调试风格的修订。语法是廉价的，但安全部署并非如此。

动态安全区域是由激光雷达定义的保护包络，它根据检测到的入侵以及（在某些架构中）车辆运动学参数（如速度或转向角）来改变 AMR 的允许运动状态。

在操作层面，“虚拟安全围栏”不是一个单一区域，而是一个区域集（field set）。典型的配置包括：

• 清晰区域（clear field）：允许指令行驶；
• 警告区域（warning field）：降低速度；
• 保护区域（protective field）：通过安全等级动作停止运动。

这种区分至关重要，因为并非每次入侵都应产生相同的机器响应。在必须进行紧急停止之前，速度钳位通常是正确的应对方案。

警告区域和保护区域有何区别？

警告区域是受控减速条件，而保护区域是停止条件。

| 激光雷达区域状态 | 典型触发条件 | PLC / 安全响应 | AMR 速度指令 | 典型用途 | |---|---|---|---|---| | 清晰区域 | 未检测到入侵 | 允许正常运动 | 100% 参考值，例如 2.0 m/s | 正常行驶 | | 警告区域 | 外部区域检测到物体或人 | 钳位速度，通常伴随警报或信标 | 降低设定点，例如 15% | 受控减速和风险降低 | | 保护区域 | 内部区域检测到物体或人 | 保护性停止，通常与 STO 或等效安全停止路径关联 | 0% | 防止接触或危险接近 |

ISO 3691-4 与此逻辑有何关联？

ISO 3691-4:2020 规定了无人驾驶工业车辆及其系统的安全要求和验证。对于本文而言，相关的工程要点很明确：AMR 必须在经过验证的架构内检测危险并转换为适当的风险降低状态。

这并不意味着“装上扫描仪并祈祷驱动器表现正常”。这意味着区域逻辑、停止类别、减速行为和验证方法必须作为一个系统保持一致。

此处的“仿真就绪（Simulation-Ready）”意味着什么？

“仿真就绪”意味着工程师可以在逻辑到达真实 AMR 之前，针对真实的机器行为证明、观察、诊断并强化区域逻辑。

在操作上，这包括：

• 观察激光雷达区域状态的变化；
• 将这些变化追踪到 PLC 或安全控制器的输入；
• 验证产生的速度参考值或停止指令；
• 注入异常条件，如陈旧输入或延迟指令；
• 比较梯形图状态与模拟车辆运动；
• 在测试失败后修订逻辑。

这是有用的阈值：不仅仅是画一个梯级，而是验证一个响应路径。

您可以通过将扫描仪输出转换为代表区域状态的确定性输入信号，然后利用这些状态来驱动速度钳位或停止行为，从而将激光雷达区域数据映射到 PLC 逻辑中。

在许多实际系统中，安全扫描仪通过安全等级输出（如 OSSD 对、安全现场总线或安全控制器接口）暴露区域状态。具体的硬件路径各不相同，但控制原则是一致的：PLC 或安全层必须接收到无需猜测即可评估的明确状态。

PLC 实际上应该接收什么？

控制器应接收离散的、有界的区域状态信号，例如：

• `LIDAR_CLEAR_OK`
• `LIDAR_WARNING_ACTIVE`
• `LIDAR_PROTECTIVE_ACTIVE`
• `SCANNER_FAULT`
• `FIELDSET_SELECT_VALID`

这优于模糊的抽象。如果标签名称无法告诉您它代表什么机器状态，那么调试过程最终会迫使您去弄清楚。

为什么故障安全输入约定很重要？

故障安全输入设计之所以重要，是因为断线、信号丢失或扫描仪故障必须使系统偏向安全状态，而不是继续运动。

对于安全电路，这通常意味着在功能层面围绕常闭（NC）安全逻辑行为进行设计，即使具体的设备接口使用的是双通道电子输出，而不是字面上的干接点 NC 链。工程原则在于：丢失健康信号绝不能被解释为允许运行。

一个实用的映射可能如下所示：

• 存在健康的扫描仪通道 = 可以评估运动
• 警告区域被入侵 = 降低速度指令
• 保护区域被入侵 = 停止指令
• 通道不一致或扫描仪故障 = 停止指令
• 无效的区域集选择 = 停止或禁止运动，具体取决于风险评估

动态区域切换又如何？

动态区域切换意味着激活的激光雷达区域集会随机器状态而改变，通常基于：

• 当前速度；
• 转向角；
• 行驶方向；
• 负载状况；
• 通道模式或开放区域模式；
• 对接或精密接近状态。

这就是动态安全区域中“动态”二字的真正含义。缓慢对接操作的保护包络不一定与全速开放区域行驶的包络相同。

您可以通过评估激活的激光雷达区域状态、为每个有效条件分配有界速度参考值，并为任何保护或故障状态强制执行零速或停止路径，来编写 AMR 速度钳位逻辑。

梯形图逻辑应具有足够的可读性，以便其他工程师能够快速审计。安全相关逻辑不是卖弄技巧的地方。

第 1 步：读取并标准化激光雷达输入

首先将扫描仪或安全控制器的状态引入命名标签中。

示例输入标签：

• `LIDAR_Healthy`
• `Zone_Warning`
• `Zone_Protective`
• `AMR_Enable`
• `Drive_Permissive`
• `Scanner_Fault`

在此阶段，标准化矛盾的状态。如果 `Zone_Warning` 和 `Zone_Protective` 同时激活，逻辑应解析为更严格的状态。

第 2 步：创建单一的区域状态决策

使用内部位或整数状态寄存器来建立一个权威的运动条件。

示例状态优先级：

1. 故障或扫描仪不健康
2. 保护区域激活
3. 警告区域激活
4. 清晰区域

优先级很重要，因为运动逻辑在模糊状态下应安全降级。

第 3 步：移动正确的速度设定点

使用有界的整数或实数值来驱动 AMR 速度参考值。

说明性梯形图概念：

语言：梯形图 (Ladder Diagram)

// 保护性停止逻辑 |---[/]-------------------------------[MOV]---|     LIDAR_Healthy                       0                                             AMR_Speed_Ref

|---[ ]--------------------------------[MOV]---|     Zone_Protective                    0                                             AMR_Speed_Ref

// 警告区域速度钳位逻辑 |---[ ]---[/]--------------------------[MOV]---|     Zone_Warning  Zone_Protective       15                                             AMR_Speed_Ref

// 清晰区域正常速度 |---[/]---[/]---[ ]--------------------[MOV]---|     Zone_Warning Zone_Protective AMR_Enable                                             100                                             AMR_Speed_Ref

这只是简单的示例。在生产架构中，通常会将标准速度参考逻辑与安全等级停止路径分开，并仔细验证它们之间的交互。

第 4 步：将速度钳位与保护性停止路径分离

降低速度指令与安全停止不是一回事。

这种区别在模拟器中很容易模糊，而在真实机器上模糊则非常危险。通过标准控制逻辑发出的零速度参考值，并不自动等同于安全等级停止功能。根据架构，保护动作可能需要触发安全转矩关断（STO）、安全停止 1（SS1）或符合 IEC 62061 / IEC 61508 设计原则的其他已验证安全功能。

第 5 步：在合理的情况下添加诊断和锁存

诊断功能可改善调试和故障隔离。

有用的添加项包括：

• 扫描仪不健康警报；
• 无效状态警报；
• 区域越界事件记录；
• 停止原因寄存器；
• 保护性停止后的手动复位要求（如果风险评估有要求）。

一台停止了却不告诉您原因的机器，只能算是一半的协作。

正确的停止行为取决于机器的风险评估、负载、动力学以及已验证的安全功能设计。

一个常见的误区是：最快的停止总是最安全的。事实并非如此。0 类停止会立即切断电源；在某些 AMR 上，特别是那些携带不稳定负载或液体的 AMR，这可能会因惯性、晃动或失去受控制动而产生二次危险。

什么时候适合警告区域减速？

当目标是在保护性停止变得必要之前降低动能时，警告区域减速是合适的。

典型用途包括：

• 可能存在行人的开放区域行驶；
• 高速下的长制动距离；
• 外部检测区域存在间歇性入侵的环境；
• 受控减速可提高稳定性的应用。

什么时候需要保护性停止？

当入侵到达内部区域，或者扫描仪或安全路径无法再保证安全运动时，需要进行保护性停止。

这可能导致：

• 安全转矩关断（STO）；
• 受控停止后切断转矩；
• 运动禁止加复位序列；
• 或由机器安全功能定义的其他已验证安全响应。

标准不奖励即兴发挥，它奖励证明。

您可以通过在正常和故障条件下比较控制器状态、指令速度和模拟 AMR 运动，来针对数字孪生验证 PLC 激光雷达逻辑。

这就是 OLLA Lab 在操作上变得有用的地方。其基于浏览器的梯形图编辑器、仿真模式、变量面板以及 3D/WebXR 场景，允许工程师在不将人员或硬件暴露于逻辑初稿的情况下测试因果关系。

您应该首先测试什么？

从最小的确定性案例开始：

• 清晰区域激活，无警告或保护状态；
• 标称速度下的警告区域入侵；
• 标称速度下的保护区域入侵；
• 扫描仪故障；
• 健康信号丢失；
• 矛盾的区域状态输入；
• 停止后的复位和重启行为。

使用变量面板观察：

• 激活的区域位；
• `AMR_Speed_Ref`；
• 驱动使能状态；
• 停止原因标签；
• 警报位；
• 任何定时器或去抖动逻辑。

有效的数字孪生测试是什么样的？

有效的测试不是“机器人减速了一次”，而是预期行为与观察行为之间可重复的比较。

在 OLLA Lab 中，这意味着您可以：

• 切换或诱导区域状态；
• 观察梯形图转换；
• 检查速度参考寄存器；
• 在 3D 场景中查看 AMR 响应；
• 在相同条件下重复测试；
• 当机器响应与预期控制理念不符时修订逻辑。

这就是动画与验证的区别。

为什么在物理 AMR 上进行实地测试不是学习此项技术的理想场所？

实地测试昂贵、危险，且通常无法容忍探索性的错误。

初级工程师不应该在运动的负载车辆上才发现警告区域钳位是通过缓慢或非确定性路径路由的。OLLA Lab 为这类错误提供了一个有界的预演环境：后果严重、常见且难以在真实设备上安全练习。

您应该记录一份精简的工程证据，而不是截图库。

使用以下结构：

1. 系统描述 定义 AMR 模式、扫描仪布置、区域逻辑、驱动接口和相关假设。
2. “正确”的操作定义 明确说明在清晰、警告、保护和故障状态下必须发生什么。
3. 梯形图逻辑和模拟设备状态 捕获相关的梯级、标签以及模拟器中相应的 AMR 行为。
4. 注入的故障案例 记录引入的异常条件，如扫描仪故障、陈旧的警告位或延迟的速度钳位。
5. 所做的修订 展示逻辑、排序或信号路径中的变化。
6. 经验教训 总结控制洞察，而不仅仅是结果。例如：“通过标准网络控制进行的警告区域减速在功能上是正确的，但对于此接近速度案例来说太慢了。”

这种形式的证据比没有故障历史的精美仪表板图像更有用。调试记忆是建立在修订基础上的，而不是美化。

主要标准和技术框架是功能安全和移动机器人安全，而不是通用的机器人乐观主义。

最相关的参考资料包括：

- ISO 3691-4:2020，关于无人驾驶工业车辆及其系统；

• IEC 62061，关于机械功能安全；
• IEC 61508，作为基础功能安全框架；
• 制造商安全扫描仪手册，关于区域配置和响应行为；
• 以及定义所需安全功能和停止行为的应用特定风险评估。

关于数字孪生和基于仿真的验证的学术和行业文献也相关，但应谨慎使用。仿真可以提高预演质量、故障可见性和调试准备，但它不能取代真实系统上的正式安全验证。

OLLA Lab 是一个风险受控的验证和预演环境，适用于梯形图逻辑、I/O 行为、数字孪生观察和调试风格的故障排除。

在适当的范围内，这是一个强有力的声明，也是一个有用的声明。OLLA Lab 让工程师能够：

• 在基于 Web 的编辑器中构建梯形图逻辑；
• 在没有物理硬件的情况下运行仿真；
• 在变量面板中监控标签和 I/O；
• 在 3D/WebXR 环境中处理类似 AMR 的场景；
• 在现场暴露之前测试控制逻辑如何映射到机器行为。

它不认证安全功能，不取代正式的风险评估，也不通过关联使真实 AMR 变得安全。模拟器是预演室，而不是合规印章。

编程虚拟安全围栏是一个具有安全后果的控制问题。核心任务是将激光雷达区域状态映射为确定性的机器响应，然后验证 AMR 在正常和故障条件下是否确实按预期减速或停止。

持久的区别很简单：传感器存在与已验证的响应路径。许多集成问题都存在于这个差距中。

该领域有用的工程师不仅要精通梯形图语法，还要能够定义正确的行为，针对模拟设备进行测试，注入故障，修订逻辑，并解释为什么最终的控制路径比初稿更安全。

- 有关相邻机器人安全背景，请参阅 ISO 10218-1:2025：导航新的机器人安全分类。

• 要将此逻辑置于更广泛的控制系统行为中，请查看 高级过程控制与 PID 仿真实验室。
• 有关工厂级集成和合规压力，请参阅 协作应用标准 2026：OEM 生存指南。
• 在物理硬件上测试此逻辑风险很高。请在 OLLA Lab 中打开 AMR 激光雷达场景，针对 3D 数字孪生验证区域逻辑。

- 向下链接： 在 OLLA Lab 中运行此工作流。

• 向上链接： 探索工业 PLC 编程中心。
• 横向链接： 相关文章：主题 3 文章 1。
• 横向链接： 相关文章：主题 3 文章 3。

- ISO 3691-4 无人驾驶工业车辆安全要求 - IEC 62061 机械控制系统功能安全 - IEC 61508 功能安全概述 - 制造业数字孪生综述 (IFAC-PapersOnLine) - 工业 4.0 中的信息物理系统 (AQTR)