Facebook

Elementy topologii układów bezpieczeństwa – część I

Elektrosystemy 5/2008Projektant opracowując nową aplikację bezpieczeństwa musi postępować zgodnie z pewnym algorytmem zwanym procesem redukcji ryzyka. Jest on przedstawiony w normie PN-EN ISO 12100-2. Norma określa również kolejność działań projektanta – dobór aparatury do realizacji funkcji bezpieczeństwa jest poprzedzony analizą ryzyka, ona bowiem narzuca dobór właściwej aparatury. Przejście od analizy ryzyka do konkretnego rozwiązania technicznego umożliwia w wypadku układów o niskim stopniu złożoności kategoria bezpieczeństwa, natomiast dla układów o wysokim stopniu złożoności – poziom nienaruszalności bezpieczeństwa (SIL).

Ustalenie kategorii bezpieczeństwa lub poziomu SIL warunkuje w sposób jednoznaczny rodzaj koniecznych do zastosowania elementów oraz sposób powiązań między nimi, który właśnie określany jest pojęciem topologii układu sterowania bezpieczeństwem.
Należy pamiętać, że przestrzeganie zasad określonych dla procesu redukcji ryzyka jest istotnym elementem uzyskania zgodności z wymaganiami zasadniczymi dla maszyn nowych oraz w przypadku realizacji tak zwanej „głębokiej modernizacji” dla maszyn będących w użytkowaniu, prowadzącej do realizacji maszyny określanej jako „jak nowa”. Przebieg procesu redukcji ryzyka może być również przedmiotem analizy przez organ kontroli uprawniony do nadzoru rynku zgodnie z ustawą o systemie oceny zgodności.

Topologia ogólna

Niniejszy artykuł koncentruje się na topologii ogólnej elektrycznego układu sterowania bezpieczeństwem (SRECS) dla różnych kategorii bezpieczeństwa.
Poniżej przedstawiono ogólne cechy układów sterowania bezpieczeństwem dla każdej kategorii. Przy czym nie każda kategoria wymaga określonej topologii lub wnosi w niej coś nowego. Kategorie bezpieczeństwa zostały zdefiniowane w normie PN-EN 954-1, ale wprowadzenie nowej wersji Dyrektywy Maszynowej spowoduje jej wycofanie i zastąpienie nową normą PN-EN ISO 13849-1, która z nową Dyrektywą będzie zharmonizowana. Zmiany nie będą dotyczyć jednak liczby czy nazw kategorii, lecz generalnie sposobu ich ustalania. W nowej normie jest to proces dwuetapowy, prowadzący przez pośrednio określany poziom zapewnienia bezpieczeństwa (PL).

Rys. 1. Topologia ogólna elektrycznego układu sterowania bezpieczeństwem w kategorii B i 1. oraz przykład aplikacyjny

Rys. 1. Topologia ogólna elektrycznego układu sterowania bezpieczeństwem w kategorii B i 1. oraz przykład aplikacyjny

Kategoria B i 1.

Najniższa kategoria jest określona jako B i polega na zaleceniu stosowania w systemie sterowania bezpieczeństwem aparatury specjalnie do tego celu zaprojektowanej. Ten warunek musi być przestrzegany łącznie z innymi dla każdej w wyższych kategorii. Przy czym określona topologia układu sterowania bezpieczeństwem nie jest tu narzucona.
Uzupełnienie powyższego warunku o zastosowanie wypróbowanych elementów i rozwiązań zgodnych ze „sztuką inżynierską” podnosi układ do kategorii 1. Nie rzutuje to bezpośrednio na konkretną topologię, ale wymaga spełnienia pewnych wymagań praktycznych, z których chyba najważniejsze jest opisane w normie PN-EN 1037 i polega na zapobieganiu samoistnemu, niezamierzonemu uruchomieniu. W praktyce technicznej warunek taki spełnia na przykład standardowy układ załączania pojedynczego napędu (silnika elektrycznego) za pośrednictwem stycznika sterowanego dwoma przyciskami (Start/ Stop) z tak zwanym samopodtrzymaniem. W takim układzie krótkotrwały zanik napięcia zasilającego nie prowadzi do ponownego samoczynnego rozruchu po jego powrocie. Ponowny rozruch napędu może być bowiem uzyskany dopiero po świadomym naciśnięciu przycisku Start. Jak się okazuje doprecyzowania wymaga określenie „wypróbowane elementy”. Nie jest to bowiem termin przypadkowy. Jego wyjaśnienie można odszukać w normie PN-EN ISO 13849-2 dotyczącej walidacji systemów sterowania związanych z bezpieczeństwem. Istotnym przykładem może być tu kwalifikowanie, jako wypróbowanego elementu, stycznika głównego.
W wymienionej wyżej normie znajduje się tabela D. 4. zawierająca listę wypróbowanych elementów dla części elektrycznej układu bezpieczeństwa. Według niej, aby zakwalifikować stycznik jako wypróbowany element, należy uwzględnić pewne dodatkowe warunki: oddziaływanie na stycznik drgań, przewymiarowanie i konieczność zastosowania odpowiednich termicznych urządzeń ochronnych w celu zabezpieczenia przed przeciążeniem i nadmiernym odciążeniem. Interesujące jest zagadnienie przewymiarowania: aby ustalić jego parametry, należy odwołać się do innej tablicy – D. 2., która definiuje między innymi przewymiarowanie. Należy zatem: obniżyć prąd przenoszony przez stycznik do maksymalnie połowy wartości prądu znamionowego, obniżyć częstotliwość przełączania elementów poniżej połowy wartości znamionowej oraz obniżyć całkowitą liczbę przełączeń danego aparatu dziesięć razy w stosunku do wartości katalogowej. Jak widać z niniejszego przykładu, posługując się normami należy wnikliwie sprawdzać znaczenie poszczególnych określeń, nie korzystając z ich zwyczajowego (potocznego) znaczenia.
Na rysunku 1 przedstawiono ogólną topologię układu. Należy zwrócić uwagę na oznacznik znajdujący się na schemacie przykładu aplikacyjnego przy styku czynnym przekaźnika wyłącznika pozycyjnego związanego z ruchomą osłoną bezpieczeństwa. Symbol oznacza aparat o konstrukcji zapewniającej wymuszone prowadzenie styków, co pozwala na stosowanie w układach bezpieczeństwa do kategorii 4. włącznie. Taki oznacznik towarzyszy zatem odpowiednim stykom na wszystkich schematach aplikacyjnych zamieszczonych niżej.

Rys. 2. Topologia ogólna elektrycznego układu sterowania bezpieczeństwem w kategorii 2. oraz przykład aplikacyjny

Rys. 2. Topologia ogólna elektrycznego układu sterowania bezpieczeństwem w kategorii 2. oraz przykład aplikacyjny

Kategoria 2.

Układ sterowania bezpieczeństwem w kategorii 2. wymaga zrealizowania wewnętrznej funkcji diagnostycznej, która pozwala na zweryfikowanie poprawności działania jego funkcji bezpieczeństwa „we właściwych odstępach czasu”. Niniejszy warunek wymaga już realizacji funkcji logicznej nadzoru, która determinuje topologię obiektu.
Na rysunku 2 przedstawiono ogólną topologię takiego układu. Układ praktycznie musi posiadać analogiczną strukturę w podstawowym torze sterowania, natomiast wymaga obecności modułu testującego, który sprawuje nadzór nad wszystkimi elementami (czujnik, układ logiczny i element wykonawczy). Nadzór obejmuje sekwencję działania układu.
W celu wizualizacji ewentualnie stwierdzonych nieprawidłowości konieczne jest zastosowanie urządzenia wyjściowego układu testującego. Współpraca układów logicznego i testującego jest jak widać dwukierunkowa.

Rys. 3. Topologia ogólna elektrycznego układu sterowania bezpieczeństwem w kategorii 3. i 4. oraz odpowiednie schematy aplikacyjne.

Rys. 3. Topologia ogólna elektrycznego układu sterowania bezpieczeństwem w kategorii 3. i 4. oraz odpowiednie schematy aplikacyjne.

Kategoria 3. i 4.

Na rysunku 3 została przedstawiona topologia układu sterowania bezpieczeństwem spełniającego wymagania 3. i 4. kategorii. W ogólności dla obu kategorii schemat blokowy jest identyczny, ponieważ 3. kategoria wymaga redundancji, co widać jako podwojenie każdego z elementów. Schemat pokazuje również sprzężenia zwrotne urządzeń wyjściowych, przekazujące sygnał potwierdzenia zadziałania do układu logicznego. Układy logiczne realizują kontrolę wzajemną (monitoring skrośny) prawidłowości działania i bieżącego stanu realizacji programu. Różnice pomiędzy kategoriami 3. i 4. wynikają ze sposobu testowania obwodów (w kategorii 4. system nie może dopuścić nakładania się defektów, co prowadziłoby do utraty funkcji sterowania bezpieczeństwem) realizowanego na bieżąco (w czasie rzeczywistym). Wymagania funkcjonalne dla elementów kategorii 4. są na tyle wysokie, że nie wszystkie urządzenia są w stanie im sprostać. W wielu wypadkach nie jest to jednak potrzebne, bowiem analiza ryzyka nie wykazuje konieczności spełnienia tak wysokich wymagań. Producenci zatem nie dążą do spełnienia specyfikacji 4. kategorii w układach czujnikowych i wykonawczych o dużym stopniu złożoności, jak na przykład skanery laserowe czy przekształtniki częstotliwości, zadowalając się kategorią 3., co wystarcza w większości zastosowań nie prowadząc do nadmiernego forsowania cen. Rozwój raczej koncentruje się obecnie na zwiększeniu funkcjonalności podsystemów, a w szczególności liczbie dostępnych funkcji bezpieczeństwa.

Różnice kategorii 3. i 4.
Na schematach aplikacyjnych jedyną różnicą topologiczną jest sposób podłączenia styków S1 i S2 wyłączników pozycyjnych związanych z osłoną ruchomą bezpieczeństwa. Otóż w wypadku aplikacji spełniającej wymagania kategorii 3. są one połączone szeregowo w jednym obwodzie, co pozwala na spełnienie zarówno warunku redundancji, jak i wykrycie przez przekaźnik zadziałania każdego z nich. Tak skonstruowany obwód nie zabezpiecza jednak przed nałożeniem się defektów, które może prowadzić do utraty funkcji bezpieczeństwa. Dlatego schemat dla kategorii 4. wygląda w tym miejscu inaczej. Przekaźnik bezpieczeństwa oczywiście monitoruje na bieżąco obwody wejściowe, tak aby wykryć awarię jednego obwodu przed pojawieniem się drugiej – czyli zapobiega nałożeniu się efektów awarii mogących doprowadzić do utraty funkcji bezpieczeństwa. Oczywiście źródłem awarii może być również uszkodzenie kabla, dlatego należy w procesie projektowania wziąć pod uwagę, aby każdy w obwodów prowadzić inna drogą.

Rys. 4. Połączenie szeregowe przycisków zatrzymania awaryjnego w obwodach wejściowych przekaźnika bezpieczeństwa, zgodnie z wymaganiami kategorii 3. i 4. bezpieczeństwa

Rys. 4. Połączenie szeregowe przycisków zatrzymania awaryjnego w obwodach wejściowych przekaźnika bezpieczeństwa, zgodnie z wymaganiami kategorii 3. i 4. bezpieczeństwa

Łączenie przycisków i wyłączników

Schemat pokazany na rysunku 4 przedstawia możliwość szeregowego połączenia wielu przycisków zatrzymania awaryjnego w ramach jednego obwodu wejściowego przekaźnika bezpieczeństwa (a właściwie dwóch obwodów w przypadku redundancji styków od kategorii 3.). Aplikacja taka może również być stosowana dla układu sterowania w kategorii 4. Można bowiem wykluczyć jednoczesność faktu zaistnienia awarii i naciśnięcia przycisku sterującego stopem awaryjnym. Równoległe łączenie przycisków nie jest dopuszczalne.

Rys. 5. Połączenie szeregowe styków wyłączników pozycyjnych sprzężonych z osłonami bezpieczeństwa w obwodach wejściowych przekaźnika bezpieczeństwa, zgodne z wymaganiami kategorii 3.

Rys. 5. Połączenie szeregowe styków wyłączników pozycyjnych sprzężonych z osłonami bezpieczeństwa w obwodach wejściowych przekaźnika bezpieczeństwa, zgodne z wymaganiami kategorii 3.

Jak pokazano na schemacie z rysunku 5, łączenie szeregowe wyłączników pozycyjnych jest dopuszczalne, jeżeli można w danej aplikacji wykluczyć równoczesność otwarcia wielu drzwi ochronnych. W przeciwnym razie nie można by było zagwarantować wykrycia ewentualnej usterki w układzie bezpieczeństwa. Stosowanie tej topologii nie jest w żadnym wypadku możliwe dla 4. kategorii bezpieczeństwa.
Stosowanie układu połączeń jak na rysunku 6. jest dopuszczalne w kategorii 3. bezpieczeństwa, jeżeli zagwarantowane zostanie, że użycie przycisku wyłączenia awaryjnego nie następuje w czasie, gdy otwarte są drzwi ochronne. Tak więc prawidłowość zastosowania tego rodzaju układu zależy nie tylko od jego topologii, lecz również od algorytmu pracy lub rozmieszczenia elementów na maszynie. Powyższy układ nie może być stosowany w kategorii 4., ponieważ nie ma możliwości wyeliminowania skutków nakładania się awarii, prowadzących tą drogą do utraty funkcji bezpieczeństwa.

Rys. 6. Schemat szeregowego połączenia przycisku stopu awaryjnego i wyłączników pozycyjnych drzwi ochronnych dla kategorii 3. bezpieczeństwa

Rys. 6. Schemat szeregowego połączenia przycisku stopu awaryjnego i wyłączników pozycyjnych drzwi ochronnych dla kategorii 3. bezpieczeństwa

Styczniki

Jak to przedstawiono na rysunku 7, możliwe jest wykorzystanie pojedynczego wyjścia przekaźnika bezpieczeństwa do sterowania wieloma stycznikami, można to jednak zrealizować pod warunkiem zachowania pewnych ograniczeń, do których należą: konieczność montażu styczników w tej samej szafie sterowniczej oraz zapewnienie ich niezawodności działania drogą właściwego doboru prądowego (muszą one łączyć w sposób pewny i nie obciążać nadmiernie danego wyjścia przekaźnika bezpieczeństwa). Takie połączenie uważa się za skuteczne zarówno dla 3., jak i 4. kategorii bezpieczeństwa. Zasada niniejsza opiera się na założeniu, że można wykluczyć zwarcie w tym układzie (jako usterkę).

Rys. 7. Prosty schemat podłączenia cewek sterujących styczników wykonawczych układu bezpieczeństwa do wyjścia przekaźnika bezpieczeństwa

Rys. 7. Prosty schemat podłączenia cewek sterujących styczników wykonawczych układu bezpieczeństwa do wyjścia przekaźnika bezpieczeństwa

Urządzenia składowe

Jak widać na rysunku 8, każdy elektryczny układ sterowania bezpieczeństwem składa się z czujników, systemu logicznego i układów wykonawczych. Liczba tych elementów jest zależna od potrzeb i również wynika z analizy ryzyka. W ogólności każdy z elementów składowych może być urządzeniem programowalnym lub nieprogramowalnym, a także zawierać część materialną (hardware – „H/W”) i programową (software – „S/W”). Urządzenia składowe mogą być zarówno proste, jak i złożone, stanowiąc oddzielne podsystemy posiadające określoną, przynależną im (inherentną) kategorię bezpieczeństwa lub poziom SIL. W wypadku układów gotowych jest ona zadeklarowana przez producenta, a w wypadku podsystemów zestawianych przez projektanta powinna być ustalona na podstawie zasad określonych w wieloarkuszowej normie PN-EN 61508. Przy czym w rzeczywistym układzie urządzeniom bardzo złożonym, jak na przykład bezpieczne sterowniki programowalne (safety PLC), towarzyszą elementy tak proste, jak styczniki i przyciski grzybkowe. Przy czym, jak to pokazano przykładowo na rysunkach 4. i 5. również sposób połączenia elementów podsystemów może rzutować na kategorię bezpieczeństwa.

Rys. 8. Ogólna topologia elektrycznego układu sterowania bezpieczeństwem obrazująca systemy o niskim i wysokim stopniu złożoności

Rys. 8. Ogólna topologia elektrycznego układu sterowania bezpieczeństwem obrazująca systemy o niskim i wysokim stopniu złożoności

W celach praktycznych istotne jest ustalenie wypadkowej kategorii bezpieczeństwa lub poziomu SIL całego systemu, w tym wypadku również przychodzi projektantowi z pomocą wspomniana wyżej norma PN-EN 61508, ale głównie arkusz 2. Na rysunku 8. uwidoczniono przykład określania wypadkowego poziomu SIL dla szeregowej topologii systemu sterowania bezpieczeństwem.

Podsystemy

Rysunek 9 wygodnie jest rozpatrywać biorąc również pod uwagę rysunek 8, ponieważ za podsystem można uważać zarówno czujnik, jak i układ logiczny czy też element wykonawczy. Zatem szeregowe połączenie kurtyny świetlnej, przekaźnika bezpieczeństwa i przekształtnika ze zintegrowanymi funkcjami bezpieczeństwa będzie przykładem takiej właśnie topologii. Rysunek 9 obrazuje, że przysłowie „łańcuch jest tak mocny, jak jego najsłabsze ogniwo” opisuje ściśle metodę określania wypadkowego poziomu bezpieczeństwa w takim przypadku. Z wyłączeniem jednak sytuacji, gdy łańcuch podsystemów jest dłuższy, ponieważ jak wynika z rachunku prawdopodobieństwa (który stanowi dla układów o dużym stopniu złożoności właściwe narzędzie obliczeniowe), należy dodatkowo redukować wypadkowy poziom nienaruszalności bezpieczeństwa. Układy proste niejako z definicji nie tworzą długich łańcuchów logicznych, co jest uwzględnione w założeniach metodyki ustalania ich kategorii bezpieczeństwa.

Rys. 9. Schemat redukcji architektury systemu sterowania bezpieczeństwem dla przypadku szeregowego połączenia niewielkiej liczby podsystemów.

Rys. 9. Schemat redukcji architektury systemu sterowania bezpieczeństwem dla przypadku szeregowego połączenia niewielkiej liczby podsystemów.

Podsumowanie

Poszukując rozwiązania konkretnego układu sterowania bezpiecznym wyłączeniem maszyny w literaturze można natknąć się na szereg przykładów aplikacyjnych, natomiast normy techniczne podają jedynie ogólne wytyczne projektowania. Istotne jest zatem poszukiwanie zasad stosowania danego rodzaju elementów w celu eliminacji potencjalnych błędów projektowych. Zadaniem niniejszej pracy jest zwrócenie uwagi na wybrane elementy procesu projektowania w celu zaproponowania pewnego „stylu myślenia” pozwalającego na uniknięcie choć części problemów, które mogą wyniknąć w czasie walidacji układu sterowania związanego z bezpieczeństwem maszyny oraz w czasie eksploatacji.
Wobec rozległości tematyki przedstawiono jedynie kilka sposobów rozwiązania wybranych zagadnień, koncentrując się na problematyce układów o niewielkim stopniu złożoności, a więc opisywanych kategoriami bezpieczeństwa według normy PN-EN 954-1. Zbliżający się termin wprowadzenia nowej wersji Dyrektywy Maszynowej nieco zmodyfikuje podejście do niniejszych zagadnień, choć samo pojęcie kategorii bezpieczeństwa dla układów o niskim stopniu złożoności pozostanie w użyciu. Z ramach nowej wersji Dyrektywy zharmonizowana będzie norma PN-EN ISO 13849-1.

Marek Trajdos
Autor jest pracownikiem
firmy T-System Projekt
oraz członkiem klubu Paragraf 34
Wiesław Monkiewicz
Autor jest pracownikiem firmy Siemens
oraz członkiem klubu Paragraf 34

Aktualności

Notowania – GIE

Wyniki GUS

Archiwum

Elektrosystemy

Śledź nas