Komponentdesign til opfyldelse af standarder for funktionel sikkerhed

Sikkerhed er en topprioritet i industrielle applikationer for at beskytte medarbejdere og udstyr mod uheld og skader. Svejsning, skæring og presning samt højhastighedsakser og arbejde med farlige emner eller stoffer udgør den største trussel. I USA skal driftsledere opfylde OSHA-reglerne (Occupational Safety and Health Administration) med sikkert udstyr, driftsprocedurer og træningsprotokoller. Disse systemer bør suppleres med anlægsspecifikke analyser for at finde frem til pragmatiske måder at forbedre arbejdstagernes trivsel og udstyrets levetid på. Desuden skal automatiserede maskiner opfylde kravene til funktionel sikkerhed ved hjælp af automatiske maskinhandlinger eller korrektioner af potentielt eller helt sikkert usikre forhold eller fejl.

Figur 1: Lystårne bruger i dag LED'er for at opnå effektivitet og synlighed. Nogle forbedrer sikkerheden med indbyggede buzzere, der afgiver en sirene på 100 dB ved sikkerhedsbrud. (Billedkilde: Menics)

Funktionelle sikkerhedssystemer omfatter elektronik i form af sensorer, I/O, styringer, kontakter, elektromekaniske komponenter, væskekraftkomponenter og software, der registrerer farlige forhold og ændrer maskinens tilstand for at forhindre farlige situationer i at opstå. Design og regler for funktionel sikkerhed blev oprindeligt udviklet i EU, men i dag gælder de for leverandører, maskinbyggere og slutbrugere i hele verden. Den harmoniserede europæiske norm (EN) og den internationale elektrotekniske kommission (IEC) EN/IEC 62061-standard - som er opført i EU's maskindirektiv 2006/42/EF - og Den Internationale Standardiseringsorganisation (ISO) EN/ISO 13849-1-standarden er de mest anvendte.

ISO 13849-1 og IEC 62061 kan der henvises til hinanden, og OEM'er og slutbrugere kan frit bruge begge dele. Det eneste forbehold er, at funktionel sikkerhed vedrører maskiner og styringer og ikke anordninger eller komponenter ... selv om sidstnævnte kan tilbyde funktioner, der understøtter opfyldelsen af en given sikkerhedsklassificering.

EN/IEC 62061 beskriver krav og anbefalinger vedrørende sikkerhedsintegritetsniveauer for design, integration og validering af permanent installerede (ikke transportable) SRECS til maskiner eller anlægsinstallationer - bestående af sikkerhes-relaterede elektriske, elektroniske og programmerbare styringer. EN/IEC 62061-sikkerhedsintegritetsniveauer (SIL) klassificerer et systems funktionelle sikkerhed fra 1 (mest rudimentære) til 4 (mest integrerede og sofistikerede) med SIL3 som det højest mulige niveau for maskiner. De risici, der dikterer den krævede SIL, omfatter regelmæssigheden af risikoeksponeringen, alvoren af den potentielle skade, sandsynligheden for forekomst og sandsynligheden for, at en maskinoperatørs undvigemanøvrer kan bidrage til at undgå skade.

Tabel 1: De krævede SIL-niveauer afhænger af alvorligheden af skader, hvis en given usikker tilstand opstår, samt af sandsynligheden for, at den pågældende tilstand opstår. (Kilde til tabellen: IEC)

I modsætning hertil beskriver EN/ISO 13849-1:2005 krav og anbefalinger baseret på SRP/CS'er - sikkerheds-relaterede dele af kontrol systemer. SRP/CS-ydelsesniveauer gør det muligt at kvantificere maskinens sikkerhedsevne uanset delkomponenterne. Standarden anvender velkendte klassifikationer af funktionel sikkerhed på præstationsniveau (PL) - fra "a" (mest rudimentær) til "e" (mest integreret og sofistikeret). De risici, der dikterer den krævede PL, omfatter de risici, der gælder for SIL'er, samt hyppigheden og varigheden af gentagne eksponeringer for maskinens fare. Desuden omfatter en komplet PL-klassificering et kategorinummer (for at angive den overordnede systemarkitektur) og den gennemsnitlige tid til farlig svigt eller MTTFd.

Figur 2: Det passende funktionelle sikkerhedsniveau for et givet anlæg afhænger af kvalitative variabler, kvantitative værdier og resultaterne af softwarebaserede analyser. (Billedkilde: Design World)

IEC 61508- og IEC 62061-tilfredshed indebærer test af sikkerhedskontroller (og validering af maskinens tilstande, statuskriterier og korrektioner) for at bekræfte maskinens funktionelle sikkerhedsklassificering. EN ISO 13849-1 og 2 kræver også dokumenteret testning (statisk og dynamisk) til bekræftelse af problemfri integration af sikkerhedskontrol.

Sikkerhedskomponenter, der udløses af operatøren

Mange sikkerhedsrelaterede komponenter er konstrueret til at modtage input fra anlægspersonalet og ikke gennem en mellemliggende sektion, akse i en maskine eller en afskærmning. Disse omfatter taktile sikkerhedsmåtter, lysgardiner, konsoller samt HMI (Human-Machine Interface), maskinlåse med berøringsmuligheder og (kun i nødstilfælde) knapper med lyse røde svampehoveder til at stoppe. Personaleorienterede sikkerhedskomponenter omfatter også kabinetter (der beskytter indkapslede komponenter i henhold til NEMA-klassificeringer) samt maskinafskærmninger og kabelkanaler - enkle, men pålidelige maskinsikkerhedselementer til beskyttelse af personale, der skal arbejde i nærheden af (og nogle gange i) maskiner og deres strøm- og kontrolpaneler.

Med kabeltræk-kontakter, der omkranser farlige maskinsektioner, kan operatørerne udløse nødstop med et hurtigt træk. Disse sikkerhedselementer, der især er almindelige omkring maskiner med åbne flader (umulige at beskytte) og ubeskyttede transportører, adskiller sig fra afbrydere, der afbryder strømkredse og sikrer farlige arbejdsceller for at holde personale ude. Andre muligheder omfatter sikkerhedskanter (strips), der installeres omkring værktøjsmaskineåbninger (især dem, der udfører skære- eller presseopgaver) og gulvsikkerhedsmåtter, der udløser (via specialiserede sikkerhedsrelæer) sikkerhedsreaktioner, når en operatør træder eller står på deres overflade.

Noget mere sofistikerede er de førnævnte lysgardiner. Disse omfatter en udsendelse af fotoelektriske stråler, der, hvis de brydes i detektionsområdet på vej til en modtager, hurtigt stopper farlige processer. De er dyrere end andre muligheder, men er berettigede, når maskinoperatører ofte interagerer med en maskinsektion. Endnu en sofistikeret sikkerhedskomponent er den to-hånds sikkerhedskonsol. Disse kræver typisk samtidig aktivering af separate afbrydere for at starte eller opretholde maskinens drift.

Før de kan beskytte personale og udstyr på anlægget, skal alle operatørudløste sikkerhedskomponenter (og den sikkerhedslogik eller styring, som de er integreret i) verificeres. For eksempel kræver IEC 61508- og IEC 62061-teststandarderne, at et E-stop med redundante relæer skal virke, hvis en operatør udløser den første kanal mellem logikken og feltenhederne ... og også skal virke på den anden kanal mellem dem. Sådanne redundante E-stop-funktioner valideres separat under idriftsættelsen af maskinen.

Automatiske sikkerhedsafbrydere, sensorer og afskærmninger

Figur 3: Laserscannere er en type kontaktløs sikkerhedsfeedbackkomponent, der er bedst kendt for at hjælpe AGV'er med at navigere i anlæg. Der er dog mange anvendelsesmuligheder - og de kan undertiden være et alternativ til lysgardiner. (Billedkilde: IDEC)

Adskilt fra de personudløste sikkerhedsrelaterede komponenter er komponenterne til automatiske maskinfunktioner.

Indbyggede spærringer med låse og afbrydere

Afbrydere og interlocks er vigtige elementer på de ydre områder af maskinens arbejdsceller. Sikkerhedsafbrydere har kontakter, der tjener til automatisk at kontrollere maskinelementers positioner eller bevægelser. I modsætning hertil anvender sikkerhedsafbrydere med højere funktioner - de såkaldte interlock-sikkerhedsafbrydere, som bruger drejningsmoment eller hængslet interlock-mekanismer som manipulationssikre maskinafskærmninger med positivt drevne (dobbelt verificerende NO- og NC-) switch-kontakter. Låsesikringskontakter med fastlåste nøgler med mekaniske nøgler og låse holder døre til maskinarbejdsrum lukket, indtil adgangen er sikker. Det bliver dog stadig mere almindeligt med berøringsfri RFID- og magnetiske sikkerhedsafbrydere, der overvåger positionen (åben eller lukket) af døre i arbejdsområdet og forhindrer operatøren i at få adgang under farlige processer.

Indbygget sikkerhed med elektriske afbrydere og isolatorer

Sikkerhedskomponenter, der udløses af maskinens status, omfatter også komponenter til sikring af den elektriske sikkerhed. Afbrydere (ligesom sikringer) beskytter mod de skadelige og farlige virkninger af overbelastningsstrømme på net-, strømforgrenings- og signalkredsløb. Nogle installationer omfatter isolatorer til galvanisk adskillelse mellem feltenheder og styringer for at sikre egensikker drift. Som supplement til alle konstruktioner til elektrisk sikkerhed er der overspændingsbeskyttende komponenter, der forhindrer spændingsspidser i at beskadige elektriske og elektroniske automatiseringskomponenter, der er involveret i net- og drevstrøm og/eller feedback- og styresignalfordeling.

Indbygget mekanisk sikkerhed med bremser

Bremser, der kan betegnes som sikkerhedsbremser, kaldes også fejlsikrede bremser. De går som standard til en stoppet tilstand (typisk for at låse eller holde en bevægelsesakse), selv hvis den elektriske eller flydende strøm svigter eller fjernes. Alle er afhængige af fjederbelastet eller anden mekanisk funktion for at sikre denne fejlsikre funktion.

Et eksempel herpå: Fjederindstillede friktionsbremser, der udløses pneumatisk, tjener ofte som fejlsikre bremser i servomotor-drevne automatiseringsapplikationer. Alle skal være forsynet med en rating, der bekræfter overensstemmelse med ISO 13849-1 - typisk fra den internationale produkttestorganisation Intertek Group. Takket være deres mekaniske låsning bruger de ingen elektrisk strøm, mens de holder ... hvilket giver maksimal pålidelighed for sikkerhedskvalitet og undgår overophedning i forbindelse med andre elektrisk baserede stopmetoder. Levetiden angives i millioner af cyklusser, før der opstår fejl af fælles årsag (forudsigelig) for nogle procent af alle komponenter i serien. Hvor IIoT-funktionalitet er nyttig, kan fejlsikre bremser også omfatte indbygget diagnosticering og sensorfeedback til at spore driftsstatus.

Bremser med de højeste funktionelle sikkerhedsklassificeringer har flere fjedre, der mekanisk låser maskinens akser via friktionsflader, der interagerer med stationære elementer inde i bremsehuset. Sikkerhedsstandarderne kræver også, at der er indbygget sensorer til at bekræfte bremsestatus.

Sikkerhedsrelæer og andre sikkerhedskontroller

Figur 4: Enkelt udstyr, der kun har brug for en håndfuld sikkerheds-I/O'er, kan økonomisk set anvende elektromekaniske sikkerhedsrelæer som dette. (Billedkilde: Omron Automation and Safety)

Sikkerhedsafbrydere, sensorer og afskærmninger understøttes af sikkerhedsrelæer og andre kontrolelementer. De har alle en fælles evne til (når det er nødvendigt) at bringe maskinen til en sikker tilstand ved at fjerne elektrisk eller væskekraft - eller bremse eller låse en maskine, der stadig er drevet, til en sikker tilstand.

Relæer til fastforbundet sikkerhed

En mulighed for fejlsikker styring er sikkerhedsrelæmoduler. Disse anvender elektronik med kortslutnings- og overspændingsbeskyttelse samt supplerende relæer. Fastforbundne elektromekaniske relæer har været anvendt i årtier; de skal blot kobles til automatiske styringer og (i forbindelse med nødstop eller lysgardiner) afbryde maskinens underafsnit elektrisk efter behov. Ulemperne er bl.a. behovet for omfattende ledningsføring på stedet og manglende rekonfigurerbarhed. Mere avancerede sikkerhedsrelæer har I/O og et modulært design for at lette fleksibel integration med sensorer, maskinstyringer og automatiseringsnetværk.

Sikkerhedscontrollere til programmerbar sikkerhed

En anden mulighed for sikkerhed, der kan betegnes som fejlsikker, er integration af dedikerede sikkerhedscontrollere. Sådanne controllere er mere velegnede end relæer til komplekse automatiseringssystemer, fordi de kan betjene større I/O-arrays samt PLC-funktioner. Det eneste forbehold er, at disse selvstændige sikkerhedscontrollere kræver yderligere programmering og uddannelse af personalet. Deres digitale elektronik giver dog mulighed for automatiseringsfunktioner, der kan konfigureres fuldt ud via software.

Figur 5: Sikkerhedscontrollere kan forene flere sikkerhedsfunktioner til fleksible og rekonfigurerbare sikkerhedsinstallationer. I den her illustrerede arbejdscelle omfatter det første sikkerhedskredsløb et lysgardin, der (ved rapportering af en afbrudt tilstand) åbner en afbryder for at stoppe drejeskiven. Det andet sikkerhedskredsløb integrerer muting-kontroller, der lader robotten fungere normalt, hvis der kommer et emne ind i arbejdscellen, når drejeskiven er stoppet. Ellers åbner dette kredsløb en kontakt for at deaktivere robotten. Det tredje sikkerhedskredsløb omfatter et nødstop, der åbner alle afbrydere og stopper både drejeskive og robot. (Billedkilde: Panasonic Industrial Automation Sales)

Ingeniører kan definere zoner, der har brug for sikkerhedsdækning, og ændre deres indstillinger uden at det er nødvendigt at omkontaktere hele arbejdscellen. (Det reducerer igen omkostningerne til ledningshardware og arbejdskraft.) Normalt understøtter sikkerhedsstyringsbaserede installationer også netværksudvidelse og IIoT-tilslutning, efterhånden som driften udvikler sig.

Integreret sikkerhed på sikkerhedsklassificerede industrielle styringer

En tredje mulighed for fejlsikker sikkerhedskontrol, som er mere og mere almindelig i sofistikerede maskiner, er integrerede sikkerheds-PLC'er, programmerbare automatiseringscontrollere (PAC'er) og andre PC-baserede kontroller. Nogle af disse elektronikhardware kan varetage sikkerhedsfunktioner ud over de daglige maskinfunktioner. Resultatet er programmerbar og dermed fleksibel styring af både automatiseret maskinudstyr og de sikkerhedsfunktioner, som driften af disse maskiner kræver.

Konklusion

Tilstrækkelig maskinsikkerhed er afhængig af feedback- og kontrolkomponenter, der er dimensioneret til at yde en beskyttelse, der svarer til de risici, der er forbundet med en given anvendelse. Maskinsikkerhed kræver også korrekt integration, dokumentation og validering af komponenter. Sidstnævnte sikrer, at sikkerhedskredsløbene fungerer korrekt i alle maskinens driftsformer, selv under fejl.

IEC 61508- og 62061-standarderne for sikkerhedslivscyklus definerer, hvordan sikkerhedsintegration udføres korrekt - fra indledende risikovurdering og design til verifikation i den virkelige verden af et installeret systems ydeevne af OEM'en og igen af eller for slutbrugeren, når maskinen er installeret. Sidstnævnte sætter maskinerne "på prøve" med test af normale driftssekvenser, nedbremsninger, stop og nulstillingsrutiner.