Elementy topologii układów bezpieczeństwa – część II
Artykuł jest kontynuacją zamieszczonej w majowym wydaniu magazynu Elektrosystemy publikacji na temat aplikacji bezpieczeństwa oraz różnych kategorii bezpieczeństwa. Kolejna, druga cześć artykułu poświęcona jest układom złożonym i połączeniom kaskadowym.
Odnosząc się do rysunku 8 w pierwszej części publikacji (Elektrosystemy 05.2008) należy zwrócić uwagę, iż zarówno bardziej złożone czujniki, jak i układy wykonawcze mogą być strukturami programowalnymi. Zagadnienie to zostanie rozpatrzone na przykładzie dwóch wybranych urządzeń: skanera laserowego (jako czujnika w systemie bezpieczeństwa) oraz przekształtnika częstotliwości PWM z wbudowanymi funkcjami bezpieczeństwa (jako urządzenia wykonawczego w układzie bezpieczeństwa). Wymienione wyżej urządzenia można potraktować jako podsystemy w systemie bezpieczeństwa maszyny. Zostały one przedstawione na rysunku 1.
Integracja funkcji bezpieczeństwa w podsystemach
Dla rozważań przyjęto najprostszą strukturę programowalnego systemu sterowania bezpieczeństwem, jako pojedynczego łańcucha: skaner-przekaźnik bezpieczeństwa-przekształtnik. Dokonując redukcji zgodnie z normą PN-EN 61508-2 otrzymuje się wynikowo system o poziomie nienaruszalności bezpieczeństwa SIL 2. Jednak, aby niniejszy układ wykorzystać w praktycznym zastosowaniu, należy dane podsystemy właściwie skonfigurować (przekaźnik) lub sparametryzować (skaner i przekształtnik).
Parametryzacja urządzeń programowalnych generalnie nie zmienia topologii systemu, ale prowadzi do redukcji ryzyka, jeżeli jest zrealizowana właściwie.
W zakresie topologii należy zwrócić uwagę na redundantne połączenie (w celu utrzymania poziomu SIL 2) pomiędzy wyjściami bezpieczeństwa skanera i wejściami przekaźnika. Ważne jest tu również właściwe wykorzystanie wejść, ponieważ skaner posiada dwa półprzewodnikowe wyjścia bezpieczeństwa, które w celu zapewnienia prawidłowej pracy muszą być połączone z odpowiednimi, przystosowanymi do przyjęcia sygnałów w tym standardzie wejściami przekaźnika 3TK 2845… Na rysunku 2 przedstawiono jedną z ilustracji pochodzących z oryginalnej dokumentacji wymienionego wyżej przekaźnika, z zaznaczeniem grup wejść i wyjść bezpieczeństwa o różnej funkcjonalności. Na rysunku tym widać dwie grupy bezpotencjałowych wyjść: I – bez opóźnienia czasowego, III – z opóźnieniem zmiany stanu. Wyjścia tych grup mogą być połączone z wejściami bezpieczeństwa modułu sterującego przekształtnika Sinamics G120 zawierającego funkcje bezpieczeństwa. Przy jednoczesnym zachowaniu redundancji połączenia przewodowego oraz parametryzacji (programowania) tego przekształtnika możliwe jest utrzymanie w systemie poziomu SIL 2.
Na rysunku 3 przedstawiono w sposób schematyczny wewnętrzną, programową strukturę przekształtnika Sinamics z modułem sterowania CU 240S DP-F, który pozwala na realizację podsystemu z funkcjami bezpieczeństwa na poziomie SIL 2. Widoczna na rysunku struktura zapewnia pełną redundancję we wszystkich aspektach programowania podsystemu: wprowadzania parametrów, przeniesienia parametrów do obszaru pamięci nieulotnej procesorów i realizacji testów zgodności w trybie czasu rzeczywistego. Dokładne omówienie zasady pracy przekształtnika oraz realizowanych przez moduł funkcji bezpieczeństwa wykracza poza ramy niniejszego opracowania. Można jedynie nadmienić, że spełniają one wymagania normy PN-EN 61800-5-2: 2007 „Elektryczne układy napędowe mocy o regulowanej prędkości – Część 5-2: Wymagania dotyczące bezpieczeństwa – Funkcjonalne.”
Podsumowując należy zauważyć, że oczekiwany poziom nienaruszalności bezpieczeństwa narzuca stosowanie w systemie zarówno odpowiednich komponentów (podsystemów i ich specjalnego wyposażenia), realizację właściwych połączeń (topologia sprzętu) oraz programowego wykorzystania funkcji bezpieczeństwa (topologia oprogramowania). Ponieważ w wypadku stosowania urządzeń zawierających zintegrowane funkcje bezpieczeństwa niejako automatycznie przechodzi się do układów złożonych, w niniejszej części artykułu posługiwano się również pojęciem poziomu nienaruszalności bezpieczeństwa. Jednak ponieważ opisany wyżej przykład był prosty topologicznie, można w tym wypadku przyjąć, że układ spełnia wymagania 3. kategorii bezpieczeństwa. Jest to typowy poziom dla aplikacji napędowych, takich jak na przykład transport wewnętrzny.
Selektywność w układzie bezpieczeństwa – połączenia kaskadowe
Jeżeli maszyna (ciąg technologiczny) jest relatywnie rozległa i zróżnicowana, z analizy ryzyka może wynikać możliwość podziału systemu sterowania bezpieczeństwem na sekcje. Takie podejście jest uzasadnione dlatego, że dana osoba, którą system ma ochraniać ma ograniczony zasięg (w sensie dostępu do stref niebezpiecznych) lub strefy te mają ograniczone rozmiary. Z ostatnim faktem wiąże się również zagadnienie różnicowania zagrożeń generowanych przez poszczególne sekcje maszyny. Z reguły bowiem ciągi technologiczne konstruuje się jako pewien zespół kolejno połączonych maszyn wykonujących zróżnicowane czynności technologiczne, a więc niosących odmienne zagrożenia. Sposoby ochrony przed tymi zagrożeniami muszą być zatem również odmienne i w większości przypadków nie ma podstaw do przypuszczeń, że eliminacja danego zagrożenia niesie za sobą konieczność zatrzymania całości maszyny.
Oczywiście nie wolno dopuścić do sytuacji, aby wykonanie czynności stopu awaryjnego dla jednej sekcji spowodowało powstanie zagrożenia nowego rodzaju. Ocena takiej potencjalnej sytuacji musi być zatem również elementem analizy ryzyka. Przykładowo, jeżeli samotok służący do transportu blachy w ciągłym procesie produkcji rur stalowych jest całkowicie bierny, natomiast transportem pasma blachy stalowej sterują dwa układy walców na jego początku i końcu, to nagłe zatrzymanie końcowych walców spowoduje wobec sztywności blachy jej szybkie uniesienie w środkowej części nawet do wysokości dachu hali i powstanie niestabilnego wzniesienia o wadze nawet kilku ton, które może przewrócić się na bok stanowiąc zagrożenie dla całego obszaru. Zatem nie tylko nie należy budować selektywnego układu stopu awaryjnego dla każdego z wyżej opisanych dwóch napędów (dwóch odrębnych i odległych sekcji napędowych), ale dodatkowo przeanalizować niezawodnościowe skutki zatrzymania napędu odbierającego w sytuacji, gdy pracuje napęd podający. Dodatkowym tematem do rozważenia są względy czysto technologiczne, to znaczy odpowiedź na pytanie, co się stanie z maszyną względnie surowcem, czy procesem w wypadku awaryjnego zatrzymania jednej sekcji. Tu też mogą powstać zagrożenia, na przykład w przemyśle spożywczym czy chemicznym.
Przyciski stopu
Problem częściowego zatrzymania maszyny wiąże się również z rozmieszczeniem przycisków służących do inicjowania zatrzymania. W niektórych przypadkach spotkać można nawet dwa przyciski stopu awaryjnego obok siebie, jeden służący do zatrzymania całej instalacji, a drugi lokalny. Natomiast w normie PN-EN ISO 13850 (punkt 4.1.1) poświęconej zagadnieniom projektowania stopu awaryjnego zwraca się wyraźnie uwagę na konieczność eliminowania pomyłki użycia przycisku lub innego elementu aktywującego dla sekcji izolowanej od pozostałej części maszyny.
Oddzielnym zagadnieniem jest również występowanie dla danej aplikacji elementów sterowniczych odłączalnych, co może powodować sytuacje, gdy w zasięgu wzroku operatora znajduje się przycisk stopu, który jest chwilowo nieaktywny, ponieważ nie jest on ruchomy i w danym momencie niepołączony z układem sterowania bezpieczeństwem. Problem nie jest zatem trywialny.
Generalnie wydaje się słuszne przyjęcie założenia, że aby w ramach analizy ryzyka można było daną część maszyny uznać za oddzielną (posiadającą własny układ sterowania bezpieczeństwem), musi ona spełniać warunek całkowitej izolacji, to znaczy, że musi być odrębna ruchowo, technologicznie, a nawet wzrokowo od reszty układu.
Ponadto użycie stopu bezpieczeństwa musi być monitorowane w układzie nadrzędnym, aby można było określić jednoznacznie, który z elementów został uruchomiony i w jakiej chwili. Rozważania powinny uwzględniać także procedurę przywracania ruchu (czy musi być ona w danym wypadku ręczna, czy dopuszczona może być funkcja autostartu).
Przekaźniki bezpieczeństwa
Elementy przeznaczone do stosowania w układach sterowania bezpieczeństwem są wyposażane w wyjścia (stykowe lub elektroniczne) sygnalizujące ich stan zadziałania. Na rysunku 4 pokazano przykład takiego wyjścia sygnałowego, które może służyć do przekazywania sygnału monitorującego zadziałanie obwodu bezpieczeństwa przez układ sterowania technologicznego. Dokumentacja przekaźnika bezpieczeństwa zawiera jednak zapis, że wyjście sygnałowe nie może być stosowane w obwodzie bezpieczeństwa, lecz tylko do sygnalizacji stanu układu sterowania bezpieczeństwem dla potrzeb systemu sterowania technologicznego lub powiadomienia operatora.
Aktywowanie układu sterowania bezpieczeństwem nie odbywa się oczywiście w wielu przypadkach jedynie za pomocą przycisków grzybkowych lub linek stopu awaryjnego, lecz również za pomocą urządzeń blokujących sprzężonych z osłonami. W takim wypadku prawdopodobieństwo pomyłki operatora co do zakresu działania danego urządzenia aktywującego jest minimalne.
Na rysunku 5 pokazano schemat aplikacyjny układu sterowania bezpieczeństwem, w którym wykorzystany został pojedynczy przekaźnik bezpieczeństwa do sterowania dużą liczbą napędów silnikowych.
Wracając do rysunku 7 z pierwszej części artykułu oraz jego opisu należy zauważyć, że projektant podejmując decyzję o optymalizacji topologii układu bezpieczeństwa może w uzasadnionym wypadku połączyć więcej niż jeden obwód sterowania stycznika do pojedynczego wyjścia przekaźnika bezpieczeństwa (bez obniżania kategorii bezpieczeństwa) lub wykorzystać wiele przekaźników do sterowania awaryjnym wyłączeniem pojedynczych napędów. Ponieważ ostatnie rozwiązanie może okazać się kosztowne, istnieje możliwość zastosowania modułów rozszerzających 3TK2830…, jak to pokazano na rysunku 5. Takie rozwiązanie, pod warunkiem zachowania zasad zawartych w instrukcji modułu, nie obniża kategorii bezpieczeństwa. Oczywiście zastosowanie pojedynczego przekaźnika powoduje, że wszystkie napędy wyłączane są jednocześnie. Wyzwalanie modułów rozszerzających odbywa się w przykładowej aplikacji za pośrednictwem obwodów zaznaczonych kolorem czerwonym, a styki potwierdzające zadziałanie modułów rozszerzających (zaciski 51-52) należy połączyć szeregowo ze stykami pomocniczymi styczników w obwodzie sprzężenia zwrotnego przekaźnika (kolor zielony). Obwody sterowania cewek styczników muszą posiadać właściwe zabezpieczenia.
Połączenie kaskadowe przekaźników bezpieczeństwa
W układzie pokazanym na rysunku 6 zademonstrowano przykład połączenia kaskadowego dwóch przekaźników bezpieczeństwa 1-3TK2841… – służącego do realizacji układów sterowania do kategorii 4. włącznie, oraz 2-3TK2842… – służącego do realizacji sterowania układami napędowymi z kategorią 1. stopu (według PN-EN 60204-1). Ponadto w powyższym układzie zastosowano przekształtnik częstotliwości, który został sparametryzowany w taki sposób, że wyjście 14. przekaźnika 1. podaje sygnał szybkiego zatrzymania napędu (połączenie oznaczone kolorem czerwonym), a po odliczonym przez wewnętrzny zegar przekaźnika nastawialnym czasie opóźnienia, napęd pozbawiany jest napięcia zasilania za pomocą redundantnych styczników K1 i K2 (obwód oznaczony kolorem żółtym). Styczniki K1 i K2 mają wymuszone prowadzenie styków. W normalnym trybie pracy napęd jest zatrzymywany po otwarciu drzwi ochronnych, zabezpieczonych redundantnymi wyłącznikami pozycyjnymi.
Połączenie oznaczone kolorem zielonym pozwala na zrealizowanie w układzie sterowania bezpieczeństwem funkcji sterowania kaskadowego. Wykorzystane tutaj zostało specjalne wejście (1.) przekaźnika 2., które połączono z normalnym wyjściem bezpieczeństwa przekaźnika 1. Realizuje on funkcję zatrzymania w wypadku zadziałania na przycisk Stopu awaryjnego (również z redundantnymi stykami). Ponowne uruchomienie układu napędowego odbywa się po przyciśnięciu przycisku „Start” (kolor żółty przycisku oznacza wyjście ze stanu nietypowego, jakim jest zadziałanie układu sterowania bezpieczeństwem wynikające z pobudzenia Stopu awaryjnego, a nie otwarcia drzwi ochronnych). Ewentualne zwiększenie liczby napędów sprzężonych z odpowiednimi osłonami można uzyskać zarówno przez wykorzystanie wyjścia 24. przekaźnika 1., jak i zastosowanie modułów rozszerzających 3TK2830… w sposób pokazany na rysunku 5.
Podsumowanie
Poszukując rozwiązania konkretnego układu sterowania bezpiecznym wyłączeniem maszyny w literaturze można znaleźć szereg przykładów aplikacyjnych, natomiast normy techniczne podają jedynie ogólne wytyczne projektowania. Istotne jest zatem poszukiwanie zasad stosowania danego rodzaju elementów w celu eliminacji potencjalnych błędów projektowych. Zadaniem niniejszego opracowania jest zwrócenie uwagi na wybrane elementy procesu projektowania w celu zaproponowania pewnego „stylu myślenia” pozwalającego na uniknięcie choć w części problemów, które mogą wyniknąć w czasie walidacji układu sterowania związanego z bezpieczeństwem maszyny oraz oczywiście w czasie eksploatacji.
Wobec ogromu zagadnienia przedstawiono jedynie kilka sposobów rozwiązania wybranych zagadnień, koncentrując się na problematyce układów o niskim stopniu złożoności, a więc opisywanych kategoriami bezpieczeństwa według normy PN-EN 954-1. Zbliżający się termin wprowadzenia nowej wersji Dyrektywy Maszynowej nieco zmodyfikuje podejście do niniejszych zagadnień, choć samo pojęcie kategorii bezpieczeństwa dla układów o niskim stopniu złożoności pozostanie w użyciu. W ramach nowej wersji Dyrektywy zharmonizowana będzie norma PN-EN ISO 13849-1. Ta nowa regulacja w pewien sposób pozwala na powiązanie kategorii bezpieczeństwa z poziomami nienaruszalności bezpieczeństwa SIL.
Marek Trajdos
Autor jest pracownikiem
firmy T-System Projekt
oraz członkiem klubu Paragraf 34
Wiesław Monkiewicz
Autor jest pracownikiem
firmy Siemens
oraz członkiem klubu Paragraf 34