Komponentkonstruktioner för att uppfylla standarder för funktionell säkerhet

Säkerheten har högsta prioritet i industriella tillämpningar för att skydda anställda och utrustning från skador. Svetsning, kapning och pressning likväl som höghastighetsaxlar och axlar som hanterar farliga arbetsstycken eller ämnen utgör det största hotet. I USA måste anläggningsägare uppfylla OSHA-reglerna (Occupational Safety and Health Administration) med hjälp av säker utrustning, verksamhetsrutiner och utbildningsprotokoll. Dessa system bör kompletteras med anläggningsspecifika analyser för att identifiera pragmatiska sätt att förbättra arbetstagarnas välbefinnande och utrustningens livslängd. Dessutom måste automatiserade maskiner uppfylla kraven på funktionell säkerhet genom automatiska maskinåtgärder eller korrigeringar av potentiellt eller konstaterat osäkra förhållanden eller fel.

Figur 1: I dagens ljustorn används lysdioder för effektivitet och synlighet. Vissa ökar säkerheten med en inbyggd summer som avger ett sirenljud på 100 dB vid säkerhetsöverträdelser. (Bildkälla: Menics)

System för funktionell säkerhet omfattar elektronik i form av sensorer, I/O, styrningar, omkopplare, elektromekaniska komponenter, vätskedrivna komponenter och program som upptäcker farliga förhållanden och ändrar maskinens tillstånd för att förhindra att farliga situationer uppstår. Funktionell säkerhet, som har sitt ursprung inom den europeiska unionen, men idag gäller dess konstruktion och föreskrifter för leverantörer, maskintillverkare och slutanvändare i hela världen. Den harmoniserade europeiska standarden (EN) och Internationella elektrotekniska kommissionens (IEC) standard EN/IEC 62061 - som anges i EU:s maskindirektiv 2006/42/EG - och Internationella standardiseringsorganisationens (ISO) standard EN/ISO 13849-1 är de mest använda.

ISO 13849-1 och IEC 62061 kan korsrefereras, och OEM-tillverkare och slutanvändare kan fritt använda båda. Den enda invändningen är att funktionell säkerhet gäller maskiner och styrningar och inte anordningar eller komponenter ... även om de senare kan erbjuda funktioner som gör det möjligt att uppfylla en viss säkerhetsklassificering.

EN/IEC 62061 beskriver krav och rekommendationer för nivåer av säkerhetsintegritet för konstruktion, integrering och validering av permanent installerade (icke bärbara) maskiner eller anläggningar - bestående av säkerhetsrelaterade elektriska, elektroniska och programmerbara kontroller (SREC). Nivåer för säkerhetsintegritet (SIL) enligt EN/IEC 62061 graderar ett systems funktionella säkerhet från 1 (mest elementär) till 4 (mest integrerat och sofistikerat), där SIL3 är den högsta möjliga nivån för maskiner. De risker som bestämmer den SIL-nivå som krävs, är bland annat hur ofta riskerna inträffar, hur allvarlig den potentiella skadan kan bli, hur stor sannolikheten är för att den inträffar och hur sannolikt det är att en maskinförares undanmanövrar kan bidra till att undvika skadan.

Tabell 1: De SIL-nivåer som krävs beror på hur allvarliga skador som kan uppstå om ett visst osäkert tillstånd uppstår samt på sannolikheten för att detta tillstånd inträffar. (Tabellkälla: IEC)

I EN/ISO 13849-1:2005 beskrivs däremot krav och rekommendationer baserade på SRP/CS - säkerhetsrelaterade delar av styrsystem. Prestandanivåer enligt SRP/CS gör det möjligt att kvantifiera maskinens säkerhetsförmåga oavsett delkomponenter. Standarden använder välkända prestandanivåer (PL) för funktionell säkerhet - från "a" (mest elementär) till "e" (mest integrerad och sofistikerad). De risker som styr den PL som krävs, omfattar de risker som är tillämpliga för SIL samt frekvenser och varaktighet för upprepad exponering för maskinens faror. En fullständig PL-klassificering omfattar dessutom ett kategorinummer (för att ange den övergripande systemarkitekturen) och den genomsnittliga tiden tills ett farligt fel inträffar eller (MTTFd).

Figur 2: Den lämpliga nivån av funktionell säkerhet för en viss installation beror på kvalitativa variabler, kvantitativa värden och resultaten av programvarubaserade analyser. (Bildkälla: Design World)

IEC 61508 och IEC 62061 innebär att säkerhetskontrollerna testas (och att maskinlägen, statuskriterier och korrigeringar valideras) för att bekräfta maskinens funktionella säkerhetsklassificering. EN ISO 13849-1 och 2 kräver även dokumenterad testning (statisk och dynamisk) för att bekräfta att integreringen av säkerhetskontrollen är sömlös.

Skyddskomponenter som utlöses av operatören

Många skyddsrelaterade komponenter är utformade för att ta emot inmatning från anläggningens personal och inte genom någon mellanliggande sektion eller axel i en maskin eller ett skydd. Dessa inkluderar taktila säkerhetsmattor, ljusridåer, konsoler och gränssnitt för människa och maskin (HMI), vidröringsbara maskinlås och (endast i nödfall) ljusröda nödstoppsknappar. Skyddskomponenter för personal omfattar även kapslingar (som skyddar inbyggda komponenter enligt NEMA-klassning) samt maskinsköldar och kabelkanaler - enkla men tillförlitliga delar för maskinsäkerhet som skyddar personal som måste arbeta nära (och ibland i) maskiner och deras kraft- och styrpaneler.

Kabeldragbrytare som omger farliga maskinsektioner gör det möjligt för operatören att utlösa nödstopp med ett snabbt ryck i kabeln. Dessa skyddsdelar är särskilt vanliga runt maskiner med öppen yta (som är omöjliga att skydda) och obevakade transportörer, och skiljer sig från frånkopplingsbrytare som stänger av strömkretsar och säkrar farliga arbetsceller för att hålla personal borta. Andra erbjudanden inkluderar skyddskanter (remsor) som installeras runt maskinöppningar (särskilt de som utför skärande eller pressande uppgifter) och golvmattor som utlöser (via specialiserade säkerhetsreläer) säkerhetsreaktioner vid detektering av att en operatör trampar på eller står på deras ytor.

De tidigare nämnda ljusridåerna är något mer sofistikerade. Dessa inkluderar en sändare av fotoelektriska strålar som, om de bryts i detektionsplanet på vägen till en mottagare, snabbt stoppar farliga processer. De är dyrare än andra alternativ men är motiverade när maskinoperatörer ofta interagerar med en maskinsektion. En annan sofistikerad skyddskomponent är säkerhetskonsolen med tvåhandsgrepp. Denna kräver vanligtvis samtidig aktivering av separata brytare för att starta eller bibehålla maskinens drift.

Innan de kan skydda anläggningens personal och utrustning måste alla operatörsstyrda skyddskomponenter (och den säkerhetslogik eller styrning som de integreras i) verifieras. Enligt testningsstandarderna IEC 61508 och IEC 62061 krävs till exempel att ett nödstopp som använder redundanta reläer ska fungera om en operatör utlöser den första kanalen mellan logiken och fältenheterna ... och även ska fungera på den andra kanalen mellan dem. Sådana redundanta nödstoppsfunktioner valideras separat vid driftsättningen av maskinen.

Automatiska säkerhetsbrytare, sensorer och skyddsanordningar

Figur 3: Laserskannrar är en typ av beröringsfri återkopplingskomponent för säkerhet som är mest känd för att hjälpa AGV:er att navigera i anläggningar. De har dock många användningsområden - och kan ibland vara ett alternativ till ljusridåer. (Bildkälla: IDEC)

Separat från de skyddsrelaterade komponenter som utlöses av personal finns komponenter för automatiska maskinfunktioner.

Inbyggda spärrar med lås och omkopplare

Omkopplare och förreglingar är viktiga element i arbetscellernas yttre gränser på maskinerna. Gränslägesbrytare för säkerhetssystem har kontakter som automatiskt kontrollerar maskinelementens positioner eller rörelser. Säkerhetsbrytare med högre funktioner - så kallade förreglade säkerhetsbrytare - använder förreglingsmekanismer med tungor eller gångjärn som manipuleringssäkra maskinskydd med positivt drivna kopplingskontakter (dubbelt verifierande NO och NC). Förreglingsbrytare med fastlåsta mekaniska nycklar och lås håller dörrar till maskinutrymmen stängda tills tillträde är säkert. Det blir dock allt vanligare med kontaktlös RFID och magnetiska säkerhetsbrytare som övervakar positionen (öppen eller stängd) för dörrar i arbetsområdet och som hindrar operatören från att komma in under farliga processer.

Inbyggd säkerhet med elektriska brytare och isolatorer

Skyddskomponenter som utlöses av maskinens status omfattar även komponenter som säkerställer elsäkerhet. Strömbrytare (i likhet med säkringar) skyddar mot de skadliga och farliga effekterna av överbelastningsströmmar på elnätet, elgrupper och signalkretsar. Vissa installationer innehåller isolatorer för galvanisk separation mellan fältenheter och styrenheter för att säkerställa en egen säker drift. Som komplement till all konstruktion för elsäkerhet finns skyddskomponenter för överspänningar för att förhindra att spänningsspikar skadar elektriska och elektroniska automationskomponenter som är involverade i nät- och drivkraft och/eller återkoppling och styrsignaldistribution.

Inbyggd mekanisk säkerhet med bromsar

Bromsar som används som skyddsanordningar kallas även för säkerhetsbromsar. Dessa är i sitt standardläge bromsade (vanligtvis för att låsa eller hålla fast en rörelseaxel) även om el- eller vätskekraft saknas eller tas bort. Alla är beroende av fjäderbelastning eller annan mekanisk påverkan för denna säkerhetsfunktion.

Ett exempel på detta: Fjäderställda friktionsbromsar som släpps pneumatiskt fungerar ofta som säkerhetsbromsar i servomotordrivna automationstillämpningar. Alla måste ha en klassificering som intygar överensstämmelse med ISO 13849-1 - vanligtvis från den internationella produkttestorganisationen Intertek Group. Tack vare den mekaniska låsningen förbrukar de ingen elektrisk ström när de bromsar ... vilket ger maximal tillförlitlighet för säkerhetsmässiga prestanda och undviker överhettning i samband med andra elektriskt baserade stoppmetoder. Livslängden anges i miljontals cykler innan en viss procent av alla komponenter i serien drabbas av fel av gemensam orsak (förutsägbart fel). När IIoT-funktioner är användbara kan säkerhetsbromsar även inkludera inbyggd diagnostik och sensoråterkoppling för att spåra driftsstatus.

Bromsar med de högsta nivåerna av funktionell säkerhet har flera fjädrar som mekaniskt låser maskinens axlar via friktionsytor som interagerar med fasta element inuti bromsens kapsling. Säkerhetsstandarderna kräver även att det finns sensorer som bekräftar bromsens status.

Säkerhetsreläer och andra säkerhetskontroller

Figur 4: Enkel utrustning som bara behöver en handfull skyddsin-/utgångar kan använda elektromekaniska säkerhetsreläer som detta till en låg kostnad. (Bildkälla: Omron Automation and Safety)

Som stöd för säkerhetsbrytare, sensorer och skyddsanordningar finns även säkerhetsreläer och andra styrenheter. Alla har en gemensam förmåga att (vid behov) ställa maskinen i ett säkert tillstånd genom att ta bort el- eller vätskekraft - eller att bromsa eller låsa en maskin som fortfarande drivs till ett säkert tillstånd.

Reläer för fast inkopplat skydd

Ett alternativ till skyddsstyrning är moduler med säkerhetsreläer. Dessa använder elektronik med kortslutnings- och överspänningsskydd samt kompletterande reläer. De är helt enkelt kopplade till automatiserade styrningar och (i kombination med nödstopp eller ljusridåer) kopplar de bort maskindelar vid behov. Nackdelarna är omfattande kabeldragning på plats och brist på möjligheter att konfigurera om. Mer avancerade säkerhetsreläer har I/O och en modulär konstruktion för att underlätta flexibel integration med sensorer, maskinstyrningar och automationsnätverk.

Säkerhetsstyrningar för programmerbar säkerhet

Ett annat skyddsalternativ som kan betraktas som säkert är integrering av dedikerade styrenheter för säkerhet. Sådana styrenheter är lämpligare än reläer i komplicerade automationssystem, eftersom de kan betjäna större I/O-matriser och fler PLC-funktioner. Den enda invändningen är att dessa fristående styrenheter för säkerhet kräver ytterligare programmering och personalutbildning. Deras digitala elektronik möjliggör dock automatiseringsfunktioner som är fullt konfigurerbara via programvara.

Figur 5: Säkerhetsstyrenheter kan förena flera säkerhetsfunktioner för flexibla säkerhetsinstallationer som kan konfigureras om. I den arbetscell som illustreras här omfattar den första skyddskretsen en ljusridå som (när den rapporterar ett brutet läge) öppnar en strömbrytare för att stoppa vändskivan. I den andra skyddskretsen finns en styrning för att stänga av ljudet så att roboten kan arbeta normalt om ett arbetsstycke kommer in i arbetscellen när vändskivan har stannat. I annat fall öppnar denna krets en strömbrytare för att inaktivera roboten. Den tredje skyddskretsen innehåller ett nödstopp som öppnar alla brytare och stoppar både vändskivan och roboten. (Bildkälla: Panasonic Industrial Automation Sales)

Ingenjörer kan definiera zoner som behöver omfattas av skyddet och ändra dess inställningar utan att behöva koppla om hela arbetscellen. (Detta minskar i sin tur kostnaderna för hårdvara och arbetskraft.) Vanligtvis stöder installationer baserade på säkerhetsstyrning även utökning av nätverket och anslutning av IIoT när verksamheten utvecklas.

Integrerad säkerhet i säkerhetsklassificerade industriella styrenheter

Ett tredje alternativ för säkerhetsstyrning som blir allt vanligare i sofistikerade maskiner är integrerade PLC:er för säkerhet, programmerbara automationsstyrenheter (PAC) och andra PC-baserade styrenheter. En del av denna elektronikutrustning kan hantera säkerhetsfunktioner utöver de vanliga maskinfunktionerna. Detta medför programmerbar och därmed flexibel styrning av både automatiserad maskinutrustning och de säkerhetsfunktioner som krävs för driften.

Sammanfattning

Tillräckligt maskinskydd bygger på komponenter för styrning och återkoppling som är dimensionerade för att ge ett skydd som motsvarar riskerna i en viss tillämpning. Maskinskyddet kräver även att komponenterna integreras, dokumenteras och valideras på rätt sätt. Det sistnämnda garanterar att skyddskretsarna fungerar korrekt i maskinens samtliga driftlägen, även vid fel.

I standarderna IEC 61508 och 62061 för säkerhetslivscykeln definieras hur säkerhetsintegrering ska utföras korrekt - från inledande riskbedömning och konstruktion till verifiering i verkligheten av ett installerat systems prestanda av OEM-företaget och ännu en gång av eller för slutanvändaren när maskinen är installerad. Det sistnämnda sätter maskinerna "på prov" med tester av normala driftsekvenser, inbromsningar, stopp och återställningsrutiner.