At arbejde sig gennem kompleksiteten ved at vælge den rigtige sikkerhedscontroller

Sikkerhed i industrielle systemer er et kritisk og komplekst emne, hvilket gør det udfordrende at specificere den bedste sikkerhedscontroller til en given applikation. Blandt overvejelserne er anvendeligheden af adskillige internationale standarder relateret til sikkerhedscontrollere som International Electrotechnical Commission (IEC) 60947-5-1, 61508-1/2/3, 61810-3, 62061 og International Standards Organization (ISO) 13849-1.

Der er også en bred vifte af kommunikationsprotokoller at vælge imellem, såsom Safety over EtherCAT, også kaldet FailSafe over EtherCAT (FSoE), som kombinerer kontrol- og sikkerhedsfunktioner. Der er også Ethernet/IP, PROFIsafe og Modbus/TCP industrielle Ethernet-kommunikationsprotokoller. Derudover er der også valget mellem enkeltstående eller integrerede løsninger. Nogle platforme har forskellige kombinationer af sikkerhedsklassificerede og ikke-sikkerhedsklassificerede udgange, nogle har fast funktionalitet, og andre kan omkonfigureres og udvides.

Denne artikel gennemgår kort de internationale sikkerhedsstandarder og deres anvendelighed. Den undersøger også brugen af de forskellige kommunikationsprotokoller, før den går i dybden med brugsscenarier, der spænder fra bordmonterede samlestationer til hele fabrikker for typer af sikkerhedscontrollere som modeller med fast funktion, rekonfigurerbare og udvidelige modeller. Den præsenterer specifikke eksempler med produkter fra Banner Engineering, Phoenix Contact, Schneider Electric, og Omron Automation.

Standarder

Funktionel sikkerhed af elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer (E/E/PE eller E/E/PES), eller IEC 61508, er den grundlæggende standard for funktionel sikkerhed, der gælder for alle brancher. Det omfatter metoder til anvendelse, design, implementering og vedligeholdelse af automatiske beskyttelsessystemer, kaldet sikkerhedsrelaterede systemer. Det er baseret på ideen om, at ethvert sikkerhedsrelateret system skal fejle på en forudsigelig måde, der er sikker i sig selv. For at måle effektiviteten af funktionelle sikkerhedsdesign definerer standarden sikkerhedsintegritetsniveauer (SIL) fra 1 til 4, hvor SIL4 angiver det højeste niveau af risikoreduktion og SIL1 angiver det laveste niveau. Begrebet SIL anvendes også i andre sikkerhedsstandarder, men antallet af SIL'er og deres definitioner kan variere afhængigt af behovene i driftsmiljøet.

Der findes mange sikkerhedsstandarder baseret på IEC 61508. Nogle af de standarder, der er relateret til sikkerhedscontrollere, omfatter:

IEC 60947-5-1:2016, Koblingsudstyr for lavspænding – Del 5-1: Udstyr til styrekredse og koblingselementer – Elektromekaniske styreindretninger, gælder for specifikke typer af enheder, herunder:

• Manuelle kontrolkontakter som trykknapper, fodkontakter, drejekontakter osv.
• Elektromagnetisk betjente kontrolkontakter som relæer eller kontaktorer, der er tidsforsinkede eller øjeblikkelige.
• Positionskontakter, der er inkluderet i en maskine
• Pilotkontakter som temperatur- eller trykfølsomme kontakter

IEC 62061:2021, Maskinsikkerhed - Funktionel sikkerhed for sikkerhedsrelaterede styresystemer er den maskinrelaterede version af IEC 61508. Den specificerer krav til design, integration og validering af sikkerhedsrelaterede kontrolsystemer. Det gælder for design på systemniveau af maskinrelaterede sikkerhedskontrolsystemer, delsystemer og sikkerhedsrelaterede enheder, der bruges individuelt eller i kombination til at implementere maskinsikkerhedsfunktioner.

IEC 61810-3:2015, Relæer med tvangsførte (mekanisk forbundne) kontakter, er en anden vigtig standard for sikkerhedscontrollere. Den beskriver særlige krav og tests for elementære relæer med tvangsstyrede kontakter, også kendt som mekanisk forbundne kontakter. Disse særlige krav gælder ud over de generelle krav i IEC 61810-1. Tvangsstyrede relæer er en grundlæggende komponent i mange sikkerhedsrelæmoduler. I et klasse A-sikkerhedsrelæ er alle kontakter tvangsstyrede. Standarden kræver, at hvis en normalt åben (NO) kontakt bliver svejset, skal alle normalt lukkede (NC) kontakter opretholde en minimumsåbning på 0,5 mm, når spolen ikke er aktiveret (figur 1).

Figur 1: Hvis en NO (eller NC) kontakt bliver svejset, skal alle NC (eller NO) kontakter holde en minimumsafstand på 0,5 mm, når spolen ikke er aktiveret. (Billedkilde: Omron Automation)

ISO 13849-1:2023, Maskinsikkerhed – Sikkerhedsrelaterede dele af styresystemer, indeholder vejledning i design og integration af sikkerhedsrelaterede dele af styresystemer (SRP/CS) og deres undersystemer, herunder mekaniske foranstaltninger som afskærmning eller låsefunktioner og relateret software. Det gælder for elektriske, hydrauliske, pneumatiske og mekaniske SRP/CS, der bruges i krævende og kontinuerlige driftstilstande.

Hvis vi vender tilbage til IEC 61508, definerer standarden også "sorte kanaler" til sikkerhedsrelateret kommunikation.

Sorte kanaler og kommunikationsprotokoller

IEC 61508 giver kun en generel definition af sorte kanaler og henviser til standarder som IEC 61784-3 for fieldbus-applikationer og IEC 62280 for jernbanesignaler. Begrebet sort kanal-kommunikation er afledt af udtrykket ”sort boks”. I sort kanal-kommunikation er netværket den sorte boks og bruges udelukkende som transmissionsmedie; kanalen er ikke sikret, og sikkerheden varetages af et dedikeret sikkerhedslag i applikationssoftwaren.

Sorte kanaler kan implementeres på ethvert standardnetværk, f.eks. forskellige implementeringer af Ethernet som PROFIsafe eller trådløse lokalnetværk (WLAN)-teknologier. I en sort kanal-applikation antages det, at den primære kommunikationskanal ikke er sikker nok til sikkerhedsrelateret kommunikation, og der tilføjes et ekstra sikkerhedslag for at identificere og eliminere eventuelle kommunikationsfejl (figur 2).

Figur 2: PROFIsafe kan bruges til at implementere sikkerhedslaget til sort kanal-kommunikation. (Billedkilde: Phoenix Contact)

Ud over PROFIsafe kan sorte kanaler implementeres med andre protokoller som Common Industrial Protocol Safety (CIP Safety) og FSoE. Disse protokoller er i overensstemmelse med IEC 61784-3:2021, herunder forbedringer, der adresserer fejl i forbindelse med aktualitet, autenticitet, maskering og dataintegritet.

Sikkerhed på bordet

Sikkerhedsproblemer er ikke begrænset til store eller kraftige maskiner; bordmonteringsstationer kan kræve sikkerhedssystemer. I et tilfælde bruges halvautomatiske bordmontagestationer til at fremstille elektroniske komponenter. Hver station har en kraftig sikkerhedsdør med en berøringsfri sikkerhedsafbryder, et sikkerhedslysgardin ved emneindføringen og en nødstopknap til at beskytte operatørerne mod halvautomatisk udstyr. Sikkerhedsrelæcontrollere med en enkelt funktion kan bruges på små maskiner som denne bordmonteringsstation til at forbinde sikkerhedsanordningerne og maskinen for at give sikre start- og stopfunktioner.

I dette tilfælde blev en model SC10-2ROE fra SC10-serien af sikkerhedscontrollere fra Banner Engineering installeret i kabinettet på hver bordmonteringsstation (figur 3). Denne sikkerhedscontroller kombinerer funktionerne fra flere sikkerhedsrelæmoduler i en enkelt enhed, hvilket forenkler ledningsføringen og reducerer den nødvendige plads til installationen. Ud over at understøtte sikkerheden i små maskiner er disse controllere velegnede til brug i overfyldte kontrolskabe. Selv små sikkerhedscontrollere som SC10-serien kan have en bred vifte af funktioner:

• In-Series Diagnostics (ISD) kan tilslutte op til 70 sikkerhedsanordninger. ISD giver detaljerede status- og ydelsesdata fra hver sikkerhedsanordning, der er tilgængelig med en HMI (human machine interface), PLC eller lignende anordning, så brugerne kan fejlfinde maskinsikkerhedssystemer, forhindre fejl og reducere nedetid.
• Den ikonbaserede drag-and-drop-programmering kører på en pc og forenkler opsætning og enhedsadministration.
• Et eksternt hukommelseskort kan bruges til at konfigurere enheden uden at skulle have forbindelse til en pc, hvilket gør konfigurationsændringer hurtigere.
• Ti indgange, herunder fire, der kan konfigureres som ikke-sikkerhedsudgange. Den automatiske terminaloptimeringsfunktion (ATO) kan bruges til at øge det samlede antal indgange til 14.
• To 6 A sikkerhedsrelæudgange er tilgængelige med tre NO-sæt af uafhængigt styrede kontakter.
• Evnen til at udføre to funktionelle stoptyper:
  • Kategori 0 er et ukontrolleret stop med øjeblikkelig fjernelse af strømmen.
  • Kategori 1 er et kontrolleret stop med en forsinkelse, før strømmen afbrydes. Forsinket stop kan være nyttigt i tilfælde, hvor maskiner har brug for strøm til en bremsemekanisme.
• Understøttelse af kommunikationsprotokollerne Ethernet/IP, PROFINET og Modbus/TCP.

Figur 3: Denne bordmontagestation indeholder en sikkerhedscontroller af modellen SC10-2ROE (gul enhed under montagestationen). (Billedkilde: Banner Engineering)

Skalerbar sikkerhed på tværs af produktionslinjer

I den anden ende af kompleksitetsspektret fra bordmontering kan integreret sikkerhed implementeres i samlebånd på tværs af en fabrik. For eksempel integrerer Sysmac NX102-controllere fra Omron Automation flere åbne industriprotokoller som EtherNET I/P, EtherCAT, IO-Link og CIP Safety. Automationscontroller modellen NX102-1020 har tre kommunikationsporte, og den kan integrere højhastighedssikkerhed i maskinstyringen på linjer, der kræver hurtige cyklustider. Derudover er Omrons NX integrerede sikkerhedscontrollere SIL3-certificerede og inkluderer FSoE-tilslutning. NX-SL5-controllere som model NX-SL5500 kan samtidig kommunikere FSoE over EtherCAT og CIP Safety på Ethernet/IP, hvilket muliggør applikationer, der involverer synkron bevægelse med høj hastighed, maskine-til-maskine-styring eller kommunikation med eksterne enheder, der bruger CIP Safety (figur 4).

Figur 4: NX integrerede sikkerhedscontrollere fra Omron kan samtidig kommunikere FSoE og CIP-sikkerhed for at implementere integreret sikkerhed på tværs af samlebånd. (Billedkilde: Omron Automation)

Kan konfigureres og udvides

Når omstændighederne kræver en sikkerhedsløsning, der kan konfigureres og udvides, tilbyder Phoenix Contact sikkerhedssystemet PSRmodular. Systemet kan konfigureres til små applikationer med kun tre sikkerhedsfunktioner og store systemer med op til 160 I/O'er. Systemet indeholder en række sikkerhedsfunktioner som et analogt modul til overvågning af 0 til 20 mA eller 0 til 10 V signaler, moduler til bevægelsesovervågning af nærhedsafbrydere og forskellige typer bevægelsesenkodere. De relæer, der er installeret i sikkerhedsrelæmodulet, har tvangsstyrede kontakter (figur 5). Systemet kan implementere en række sikkerhedsfunktioner, herunder:

• Elektrofølsomt beskyttelsesudstyr
• Nødstop
• Overvågning af bevægelige afskærmninger som sikkerhedsdøre
• Betjeningsanordninger til to hænder
• Nulhastighedsovervågning og hastighedsovervågning

Figur 5: PSRmodular-systemets sikkerhedsrelæmodul med tvangsstyrede kontakter. (Billedkilde: Phoenix Contact)

PSRmodular-sikkerhedssystemet består af flere basismoduler med kernefunktionalitet som model 1104981 og udvidelsesmoduler til forbedrede I/O- og beskyttelsesfunktioner som model 1104884. Modulerne kan softwarekonfigureres, og systemet kan udvides ved hjælp af en PSR-TBUS DIN-skinneforbindelse.

Sikkerhed for enkle til mellemkomplekse maskiner

Harmony-sikkerhedsmoduler fra Schneider Electric er designet til enkle til mellemkomplekse maskiner som dem, der bruges i fødevare- og drikkevareforarbejdning, hejsning, materialehåndtering og emballering. De tilbydes i to serier (figur 6):

• Harmony XPS Basic er en optimeret løsning til applikationer, der bruger fastforankrede sikkerhedsmoduler.
• Harmony XPS Universal kombinerer den enkle anvendelse af kablede sikkerhedsmoduler med forskellige meddelelser, der normalt kræver feltbusteknologi at implementere.

Figur 6: Harmony XPS Basic og Universal sikkerhedsrelæer er ideelle til nem styring af enkelte sikkerhedsfunktioner. (Billedkilde: Schneider Electric)

XPSBAT basale sikkerhedsmoduler som XPSBAT12A1AP bruges til overvågning af nødstopkredsløb og giver kategori 0- og kategori 1-styringsmuligheder. Kategori 0 implementerer øjeblikkelige stop, mens kategori 1 implementerer forsinkede stop, hvor forsinkelsen kan justeres fra 0 til 15 minutter (900 sekunder).

XPSUAK universelle sikkerhedsmoduler som model XPSUAK12AP kan også implementere kategori 0- og 1-afbrydelser. Disse sikkerhedsmoduler kan interface med et bredere udvalg af sikkerhedsanordninger, herunder:

• Nødstopkredsløb
• Afbrydere aktiveret af beskyttelsesanordninger som mekaniske beskyttelsesafbrydere og RFID-sikkerhedsafbrydere
• Lysgardiner
• 4-leder sensormåtter

Konklusion

Når man vælger sikkerhedsafbrydere til industrielle systemer, er der en lang række internationale standarder, man skal tage højde for, plus kommunikationsprotokoller, herunder sort kanal-kommunikation. Men det er kun begyndelsen; der er sikkerhedsafbrydere, der er optimeret til små systemer som bordmontage, til kablede installationer, der findes i fødevare- og drikkevareforarbejdning og materialehåndtering, til systemer, der har brug for konfigurerbare eller udvidelige løsninger, og enheder, der er optimeret til at understøtte skalerbare løsninger på tværs af hele fabrikker.