Sterowniki bezpieczeństwa przegląd właściwości pod kątem funkcji bezpieczeństwa
Wraz z coraz większą wiedzą producentów i użytkowników w zakresie wymagań bezpieczeństwa przy budowie i eksploatacji maszyn, rosną potrzeby wykorzystania rozwiązań automatyki, umożliwiających spełnienie tych warunków. Do grupy takiego wyposażenia niewątpliwie można zaliczyć programowalne sterowniki bezpieczeństwa. W artykule przytoczono najważniejsze oczekiwania, stawiane obwodom bezpieczeństwa przez wymagania norm PN-EN ISO 13849-1 i PN-EN 62061, wraz z przeanalizowaniem możliwości ich spełnienia, w oparciu o wybrane modele dostępne na rynku.
Od wstąpienia Polski do Unii Europejskiej minęło już ponad 10 lat. Unijna legislacja wpłynęła w korzystny sposób na wiele aspektów życia mieszkańców oraz funkcjonowania instytucji państwowych i podmiotów prywatnych. Zmieniły się m.in. oczekiwania względem bezpieczeństwa różnego rodzaju produktów, wprowadzanych do obrotu na rynku europejskim, do których należą m.in. maszyny. Znajduje to uzasadnienie, zważywszy że obecnie około 2 proc. globalnego produktu UE jest tracone z powodu wypadków przy pracy, przy czym aż 70 proc. z nich jest związanych z obsługą maszyn. Co więcej, ze względu na istotny udział obrotu maszynami (około 20 proc.) w wysokości całkowitego dochodu Unii, stawiane im wymagania mają w pewien sposób również chronić lokalny rynek przed napływem tańszych maszyn spoza UE, często niespełniających wymagań.
Czym jest bezpieczeństwo maszyn?
Według europejskiej koncepcji bezpieczeństwa maszyn, wszyscy w środowisku zawodowym kształtują bezpieczeństwo i odpowiadają za nie. Dotyczy to producentów maszyn i użytkowników. Wymagania prawne, gwarantujące właściwą realizację wspomnianych celów, sformułowano w dyrektywach ekonomicznych i socjalnych. Obecnie dla tzw. nowych maszyn ich projektanci, producenci i dostawcy są zobligowani do spełnienia wymagań zasadniczych dyrektywy 2006/42/WE, wdrożonej do prawa krajowego przez Rozporządzenie Ministra Gospodarki z 21 października 2008 r. Normy zharmonizowane z dyrektywą są narzędziem pomocnym przy spełnieniu jej wymagań.
Dla drugiej grupy adresatów – użytkowników, a praktycznie pracodawców – maszyny stanowią jeden z elementów stanowisk pracy. Minimalne wymagania, stawiane pracodawcom w zakresie bezpieczeństwa sprzętu roboczego, zawarto w dyrektywie 2009/104/WE, wdrożonej do prawa krajowego przez Rozporządzenie Ministra Gospodarki z 30 października 2002 r. Zapisy dyrektywy mają również zastosowanie do tzw. starych maszyn, czyli w przypadku Polski tych wyprodukowanych i wprowadzonych do obrotu po raz pierwszy przed 1 maja 2004 r.
Jak powstają bezpieczne maszyny?
Dzięki wyżej opisanemu podejściu w ciągu ostatnich kilku lat wśród producentów i użytkowników maszyn znacznie wzrosła wiedza na temat wymagań stawianych maszynom. Znajduje to realne przełożenie w sposobie ich bezpieczniejszej konstrukcji oraz rodzajach wykorzystywanego w nich wyposażenia i podzespołów, niezależnie od tego, czy dotyczy to pierwotnej budowy, czy wtórnej przebudowy – modernizacji. Oczywiście zasadniczą funkcją maszyny jest umożliwienie uzyskania danego produktu, ale jednocześnie konieczne jest przy tym zachowanie stosowanych wymagań bezpieczeństwa.
Obecnie przyjmuje się, że za znaczącą część bezpieczeństwa maszyny odpowiadają struktura i sposób działania jej układu sterowania. Jego poprawna konstrukcja i dobór właściwej dla danej aplikacji aparatury są bardzo istotne. Należy podkreślić, że układ sterowania, przynajmniej w zakresie funkcji bezpieczeństwa, powinien być zawsze zaprojektowany i wykonany w oparciu o wyniki wcześniej przeprowadzonego, wymaganego przez dyrektywy, procesu oceny ryzyka. Ocena ryzyka, jak i inne wymagania dyrektyw i norm, mogą czasami bardzo rozbudować wstępnie zakładany układ sterowania – na tyle, że bardzo trudne będzie stworzenie go w oparciu o standardowe komponenty automatyki. Dlatego też, ze względu na szeroki wachlarz oferowanych funkcji, takie elementy jak programowalne sterowniki bezpieczeństwa są coraz szerzej stosowane w celu stworzenia bezpiecznych układów sterowania w relatywnie szybki i prosty sposób.
Ocena ryzyka a układy sterowania
Zgodnie z jedną z powszechnych definicji, w ujęciu bezpieczeństwa maszyn, ryzyko jest kombinacją prawdopodobieństwa wystąpienia szkody oraz jej ciężkości. W celu zapanowania nad nim przeprowadza się proces jego oceny, w którym na podstawie analizy i przy uwzględnieniu takich czynników, jak socjalne, ekonomiczne oraz środowiskowe zostaje wydane orzeczenie o akceptacji określonego ryzyka.
Proces oceny
Przed przystąpieniem do wyboru konkretnej metody oceny ryzyka warto zwrócić uwagę na istotny problem, towarzyszący zrozumieniu samego procesu. Bardzo często dobór metody oceny jest mylony z metodą szacowania bądź ewaluacji ryzyka. W celu rozwiania wątpliwości warto sięgnąć do normy PN-EN ISO 12100, charakteryzującej te zagadnienia. Schemat obrazujący najważniejsze etapy i elementy procesu nadzorowania ryzyka – oceny i redukcji przedstawiono na rysunku 1.
Rzetelnie przeprowadzona ocena ryzyka, np. według własnej autorskiej metody, poza zidentyfikowaniem zagrożeń i nadaniem im odpowiadającej wartości ryzyka powinna jednocześnie narzucić wymagania na układy sterowania – niezbędne, jeżeli później zdecydowano by się na redukcję ryzyka przy wykorzystaniu komponentów włączanych w układ sterowania maszyny. Z punktu widzenia doboru komponentów do układu sterowania bezpieczeństwa, najważniejszym elementem całego procesu oceny ryzyka jest więc jego oszacowanie, ponieważ to właśnie wtedy zostają ustalone wymagania dotyczące niezawodności i architektury wykorzystanej aparatury.
Normy i kategorie
Specyfikację w zakresie konstrukcji obwodów sterowania, odpowiedzialnych za bezpieczeństwo, określają obecnie wymagania dwóch norm (obie są zharmonizowane z dyrektywą 2006/42/WE): PN-EN ISO 13849-1, operującej parametrem niezawodności Performance
Level (PL) oraz PN-EN 62061, gdzie tę rolę pełni Safety Integrity Level (SIL), czyli poziom nienaruszalności bezpieczeństwa. Decyzja, która z norm zostanie wybrana, powinna być uzależniona od możliwości aplikacji, ale i wiedzy konstruktora.
Warto wspomnieć również o starszej normie PN-EN 954-1, gdzie parametrem niezawodności układów sterowania jest Kategoria. Mimo że została ona już wycofana i zastąpiona przez normę PN-EN ISO 13849-1, to nadal w wielu innych aktualnych normach, np. szczegółowych typu C dla wybranych rodzajów maszyn, pojawiają się odwołania dotyczące realizacji określonych obwodów bezpieczeństwa w oparciu o jej wytyczne.
Identyfikacja zagrożeń
Równie ważnym elementem procesu oceny ryzyka, z uwagi na dobór aparatury do obwodów sterowania, jest identyfikacja zagrożeń. Krok ten jest istotny, ponieważ – w zależności od charakteru zagrożeń występujących na maszynie – w celu ich poprawnego nadzorowania konieczne będzie stworzenie algorytmu zachowania maszyny w danej sytuacji zagrożenia, czyli potencjalnej chwili, kiedy operator będzie bezpośrednio narażony na kontakt z czynnikiem zagrażającym. W praktyce algorytm ten jest sprowadzony do funkcji bezpieczeństwa maszyny, czyli działań związanych z redukcją ryzyka, jednak bazą do ich określenia jest wcześniejsza wnikliwa identyfikacja wszelkich zagrożeń na maszynie. W globalnym ujęciu procesu oceny ryzyka krok ten jest przeprowadzany tuż przed oszacowaniem ryzyka.
PL i SIL w ujęciu norm
Aby zagwarantować poprawność działania układów sterowania, odpowiedzialnych za realizację funkcji bezpieczeństwa, należy dołożyć wszelkich starań, by ich konstrukcja była oparta na wymaganiach normy PN-EN ISO 13849-1 lub normy PN-EN 62061.
Performance Level
W przypadku pierwszej z nich skuteczność działania obwodów jest opisywana parametrem Performance Level, który definiuje pięć poziomów od „a” do „e”, zależnych od poziomu ryzyka, określających wymagania jakościowe, związane z zachowaniem się obiektu w razie wystąpienia uszkodzenia (Kategoria) oraz wymagania ilościowe, opisane elementami niezawodności: Mean Time To Dangerous Failure (MTTFd) – Średni Czas Do wystąpienia Niebezpiecznego Uszkodzenia, Diagnostic Coverage (DC) – Pokrycie Diagnostyczne i Common Cause Failure (CCF) – Uszkodzenia Spowodowane Wspólną Przyczyną. Szczegółowe zależności pomiędzy wybranymi parametrami przedstawiono na rysunku 2.
Norma PN-EN 62061 jest tzw. normą sektorową dla normy PN-EN 61508, poruszającej w szerokim zakresie zagadnienie bezpieczeństwa. PN-EN 62061 dotyczy wyłącznie specyfiki sektora maszynowego. Ma ułatwiać określanie niezawodności działania systemów elektrycznego sterowania, związanych z bezpieczeństwem w odniesieniu do znaczących zagrożeń, generowanych przez maszyny.
Safety Integrity Level
Safety Integrity Level, przedstawiony w normie PN-EN 62061, to poziom dyskretny (dla sektora maszyn jeden z trzech możliwych: SIL 1–SIL 3). Poziom ten, podobnie jak Performance Level w przypadku PN-EN ISO 13849-1 określa zdolność układu do realizacji funkcji bezpieczeństwa i jest również określany poprzez pewne parametry składowe, do których możemy zaliczyć architekturę podsystemów, wchodzących w skład obwodu oraz ich wskaźniki uszkodzeń bezpiecznych SFF, strumienie uszkodzeń λ, współczynnik uszkodzeń spowodowanych wspólną przyczyną β czy pokrycie diagnostyczne DC.
Ponieważ norma PN-EN 62061 rozpatruje obwody bezpieczeństwa wykonane wyłącznie w szeroko rozumianej technice elektrycznej, nie może ona w pełni zapanować nad bezpieczeństwem maszynowym. Wszędzie tam, gdzie w obwodach bezpieczeństwa konieczne jest wykorzystanie elementów nieelektrycznych, np. zaworów pneumatycznych, w celu zatrzymania określonych siłowników, konieczne jest stosowanie normy PN-EN ISO 13849-1. Mimo przeznaczenia normy PN-EN 62061 tylko dla techniki elektrycznej, znalazła ona szerokie zastosowanie wśród producentów wyposażenia bezpieczeństwa, takiego jak sterowniki i przekaźniki.
Dwie normy, dwa postępowania
Obie normy umożliwiają wzajemne – wymienne – stosowanie, ale niestety każda z nich przedstawia odrębną metodę szacowania ryzyka. Często doprowadza to do ustalania różnych wymagań dla obwodów bezpieczeństwa. Jak wskazuje praktyka, najlepszym sposobem, aby świadomie zapanować nad tą sytuacją, jest stosowanie jednej spójnej metody oceny ryzyka (np. opracowanej na własne potrzeby).
W dużym uproszczeniu można powiedzieć, że wraz ze wzrostem ryzyka w danej strefie maszyny, w celu jego ograniczenia, konieczne będzie zminimalizowanie prawdopodobieństwa wystąpienia zdarzenia niebezpiecznego. Można to osiągnąć przez wykonanie obwodów bezpieczeństwa, nadzorujących strefę na coraz to wyższym (bardziej niezawodnym) Performance Level lub Safety Integrity Level. Z tego względu do podjęcia decyzji o wyborze konkretnego sterownika bezpieczeństwa czy innego rozwiązania konieczna jest wiedza na temat oczekiwań, wynikających z procesu oceny ryzyka. Większość dostępnych na rynku programowalnych sterowników bezpieczeństwa umożliwia stworzenie najbardziej niezawodnych, redundantnych i monitorowanych (np. PL e przy Kategorii 4 według PN-EN ISO 13849-1) funkcji bezpieczeństwa.
Funkcje bezpieczeństwa
Nawiązując do definicji zawartych w normach, za funkcję bezpieczeństwa maszyny uważa się taką, której wadliwa realizacja może powodować natychmiastowy wzrost ryzyka. Tak jak zostało to opisane wcześniej, na funkcje bezpieczeństwa maszyny składają się zasady reakcji maszyny w wyniku wystąpienia sytuacji zagrożenia dla operatora.
Każda z funkcji bezpieczeństwa powinna być zbudowana na odpowiednim poziomie niezawodności, w oparciu o wyniki procesu oceny ryzyka i wymagania norm PN-EN ISO 13849-1 lub PN-EN 62061. Elementami realizującymi funkcje bezpieczeństwa są tzw. podsystemy, które dzieli się najczęściej na trzy grupy: wejściowe, logiczne i wyjściowe. Do typowych podsystemów wejściowych w obwodach bezpieczeństwa zaliczamy takie elementy, jak urządzenia zatrzymywania awaryjnego, urządzenia blokujące i blokujące z ryglowaniem, sprzężone z osłonami, elektroczułe urządzenia optoelektroniczne i wiele innych. Wśród elementów logicznych wyróżniamy przekaźnikowe moduły bezpieczeństwa, programowalne sterowniki bezpieczeństwa, ale w określonych aplikacjach mogą znaleźć się również zwykłe programowalne sterowniki lub kombinacje styczników i przekaźników. Ostatnią z grup reprezentują najczęściej styczniki, elektrozawory pneumatyczne i hydrauliczne oraz napędy elektryczne. Warto dodać, że sam element wykonujący ruch, np. siłownik pneumatyczny czy silnik elektryczny, nie jest częścią łańcucha realizującego funkcję bezpieczeństwa, lecz jedynie czynnikiem przez nią nadzorowanym.
Programowalne sterowniki bezpieczeństwa
Bardzo często zdarza się, że jeden podsystem (niezależnie od przynależności do grupy) może być częścią kilku łańcuchów realizujących funkcje bezpieczeństwa. Przykładowo jedno urządzenie zatrzymywania awaryjnego może zarówno inicjować zatrzymanie awaryjne określonego napędu elektrycznego w jednej ze stref maszyny, jak również innych siłowników pneumatycznych w strefie sąsiedniej. Z punktu widzenia konstrukcji i analiz obwodów bezpieczeństwa maszyn będą to osobne funkcje. Co więcej, ze względu na różne możliwe ciężkości urazów, powodowane przez te elementy ruchome, również o prawdopodobnie innych zakładanych wcześniej na etapie oceny ryzyka, jak i finalnie uzyskanych, parametrach PL/SIL.
Znakomitym przykładem takiego komponentu jest programowalny sterownik bezpieczeństwa. W zależności od indywidualnych cech danego modelu, może on być podsystemem umożliwiającym realizację określonej liczby funkcji w tym samym czasie. Wynika to oczywiście w głównej mierze z liczby jednocześnie obsługiwanych wejść/wyjść oraz oczekiwań odnośnie parametrów PL/SIL dla samych funkcji bezpieczeństwa.
Typowe funkcje
Do najczęstszych przykładów funkcji bezpieczeństwa można zaliczyć:
- zatrzymanie ruchu niebezpiecznego, wyzwolonego przez techniczny środek ochronny – np. w wyniku otwarcia osłony blokującej;
- reset manualny, w celu anulowania wcześniejszej komendy zatrzymania, wyzwalany przez zamierzone działanie na przycisk, przed ponownym restartem określonych ruchów;
- muting – celowa i okresowa dezaktywacja danego technicznego środka ochronnego (np. kurtyn świetlnych), w celu umożliwienia wykonania określonej operacji technologicznej dzięki wykorzystaniu innych odpowiednich czujników;
- monitorowanie przełączania takich elementów, jak styczniki czy elektrozawory;
- monitorowanie prędkości ruchu elementów niebezpiecznych, przy jednoczesnej pracy z urządzeniem zezwalającym, wyposażanym w dodatkowe przyciski pełniące rolę urządzeń sterowanych podtrzymywanych;
- zatrzymywanie awaryjne.
Wszystkie powyższe funkcje mogą być zrealizowane z wykorzystaniem programowalnych sterowników bezpieczeństwa. Decyzja o wyborze sterownika bezpieczeństwa powinna być poparta m.in. analizą liczby funkcji bezpieczeństwa, które należy zaimplementować w układzie sterowania maszyny. Czasami bowiem może okazać się, że przy relatywnie małej liczbie funkcji bezpieczeństwa na maszynie bardziej opłacalne może być zastosowanie pewnej liczby modułów przekaźnikowych bezpieczeństwa.
Funkcje w sterownikach programowalnych
Niewątpliwą zaletą programowalnych sterowników bezpieczeństwa jest możliwość realizacji funkcji bezpieczeństwa przeznaczonych dla określonych technicznych środków ochronnych, przy zachowaniu ich cech lub funkcji bezpieczeństwa, typowych dla danego rodzaju maszyn – przykładowo gotowe bloki w oprogramowaniu do realizacji cech urządzenia oburęcznego sterowania (trwanie, synchroniczność i jednoczesność) czy funkcje do kontroli układu krzywkowego na prasach mechanicznych. Duża liczba zaimplementowanych funkcji ułatwia wymienność sterownika oraz ogranicza liczbę indywidualnych modułów przekaźnikowych bezpieczeństwa, którą w danej aplikacji należałoby wykorzystać osobno dla każdej funkcji bezpieczeństwa.
PLC klasyczne i PLC bezpieczeństwa
W praktyce przemysłowej zdarzają się sytuacje, że sterownik PLC, poza standardowymi obszarami zastosowania – sterowania technologicznego – bywa wykorzystywany również do realizacji funkcji bezpieczeństwa. Na wejścia sterownika podłączane są różnego rodzaju techniczne środki ochronne.
Biorąc pod uwagę kryterium kosztów, zasadne wydaje się rozważenie, czy przemysłowy PLC na pewno nie nadaje się do danej aplikacji bezpieczeństwa i koniecznie jest ponoszenie dodatkowych nakładów na elementy bezpieczeństwa. Prawdą jest, że niejednokrotnie takie sterowniki bardzo dobrze mogłyby poradzić sobie z logiczną realizacją sterowania bezpieczeństwa. Jednak aby dostatecznie dobrze uzasadnić stosowanie programowalnych sterowników bezpieczeństwa, konieczne jest przywołanie ich podstawowych różnic względem przemysłowych.
Dwukanałowa struktura
Wewnętrznie dwukanałowa struktura sterowników bezpieczeństwa sprawia, że operacje logiczne są analizowane i porównywane przez dwa wewnętrzne ,niezależne kanały. W przypadku gdy jeden z kanałów uległby uszkodzeniu, zagrożenia w maszynie zostaną sprowadzone do stanu bezpiecznego dzięki odpowiedniej reakcji z nadal poprawnie funkcjonującego kanału. Podobna sytuacja miałaby miejsce, gdyby pomiędzy zdwojonym analizowanym sygnałem wejściowym nastąpiły rozbieżności.
Zabezpieczenia przed zakłóceniami EMC
Producenci stosują różnego rodzaju rozwiązania konstrukcyjne zabezpieczające sterowniki przed błędami wspólnej przyczyny oraz znacznie podnoszące odporność na zewnętrzne zakłócenia elektromagnetyczne. Z praktyki przemysłowej znane są przypadki, kiedy na wyjściach przemysłowych sterowników PLC, pod wpływem silnych zewnętrznych oddziaływań elektromagnetycznych (często przypadkowych), zazwyczaj nie występujących w pobliżu miejsca instalacji sterownika PLC, pojawiają się wysokie stany. Nieoczekiwane pojawienie się wysokiego sygnału na wyjściu sterownika PLC może doprowadzić do wysterowania niebezpiecznego dla operatora w danym momencie ruchu. W przypadku urządzeń bezpieczeństwa progi odporności określone w normach (np. na natężenia pól zakłócających, zakłócenia typu surge itp.) są dużo wyższe niż dla urządzeń automatyki przemysłowej, niewyspecjalizowanych w technice bezpieczeństwa.
Konstrukcja wejść i wyjść
Istotna jest także konstrukcja wejść/wyjść w sterowniku bezpieczeństwa. Sposób ich obsługi zapewnia ciągłą, dynamiczną kontrolę uszkodzeń, zwarć itp. W przypadku wykrycia zakłócenia wyjścia sterownika muszą przejść w stan niski – bezpieczny. Stan wyjść dla sterowników przemysłowych nie jest zdefiniowany.
Bezpieczne programowanie
W celu wyeliminowania błędów podczas programowania software jest tak przygotowany i przebadany przez jednostki notyfikowane, aby uniknąć takich błędów, jak np. zapętlenia programu. Co więcej, sposób programowania sterowników bezpieczeństwa – najczęściej restrykcyjne zasady połączeń bloków funkcyjnych – eliminują możliwe błędy przy pisaniu aplikacji. Bloki funkcyjne mają ograniczenia podłączeń wewnętrznych, co wpływa na przejrzystość struktury.
Wymagania norm
Zupełne wykluczenie stosowania przemysłowych sterowników PLC w obwodach bezpieczeństwa nie jest zasadne. Należy jednak nadmienić, że większość aspektów realizacji obwodów sterowania funkcji bezpieczeństwa jest zarezerwowana wyłącznie dla sterowników (lub przekaźników) bezpieczeństwa. Podstawowe ograniczenia wynikają m.in. z definicji parametrów Kategorii w normie PN-EN ISO 13849-1. Często przywoływanym przykładem jest brak możliwości wykorzystania sterownika PLC do realizacji obwodów o architekturze Kategorii 1, ponieważ nie jest on tzw. sprawdzonym elementem bezpieczeństwa, przywołanym w definicji Kategorii 1 jako konieczny do zastosowania w takich obwodach.
Kolejnym przykładem są obwody redundantne (np. Kategorii 3 lub 4 według PN-EN ISO 13849-1). Ze względu na swoją strukturę przemysłowy sterownik PLC mógłby posłużyć jako podsystem logiczny w każdym z kanałów osobno, czyli konieczne byłoby zastosowanie dwóch pojedynczych sterowników. Ponadto konieczne byłoby zrealizowanie komunikacji pomiędzy sterownikami w celu analizy zdwojonych sygnałów wejściowych. Teoretycznie, jeżeli możliwe byłoby osiągnięcie dla każdego ze sterowników odpowiednich pozostałych wartości parametrów ilościowych, składających się na Performance Level – MTTFd, DC i CCF, być może całkowita funkcja bezpieczeństwa osiągnęłaby oczekiwany (w domyśle wysoki) PL na poziomie d lub e. Najczęściej jednak parametr MTTFd nie jest określany przez producentów dla przemysłowych sterowników PLC, co praktycznie ogranicza ich stosowanie również w obwodach wyższych Kategorii.
Sposoby zastosowania
Przemysłowy sterownik PLC w niektórych aplikacjach, np. obwodach o architekturze Kategorii 3 według PN-EN ISO 13849-1, może być wykorzystywany jako element pomocniczy, realizujący proste, dodatkowe funkcje związane z bezpieczeństwem, np. monitorowanie reakcji maszyny na przełączenie elementów bezpieczeństwa. W przypadku wykrycia błędu sterownik przemysłowy PLC powinien mieć wówczas możliwość przełączenia maszyny w stan bezpieczny, bez spowodowania nowych lub dodatkowych zagrożeń.
W przypadku programowalnych sterowników bezpieczeństwa dla określonych funkcji bezpieczeństwa producenci aparatury bardzo często przedstawiają przykłady implementacyjne, jak przy pewnych założeniach zrealizować dany obwód na konkretnym poziomie niezawodności PL/SIL. Wówczas, zakładając dochowanie zaleceń producenta, można łatwo zrealizować kompleksowo funkcję bezpieczeństwa.
Wykorzystanie przemysłowych sterowników PLC do realizacji obwodów bezpieczeństwa niesie ze sobą ryzyko, wynikające z ich dużej podatności na warunki zewnętrzne, przez co nie zaleca się stosowania ich jako jedynych elementów logicznych w obwodach bezpieczeństwa. Mogą być one używane do realizacji funkcji pomocniczych dla podstawowych komponentów logicznych bezpieczeństwa. Tutaj konieczne jest jednak zachowanie nadrzędności decyzyjności logicznych układów bezpieczeństwa nad obwodami technologicznymi.
Rodzaje sterowników bezpieczeństwa
Programowalne sterowniki bezpieczeństwa można podzielić na rozwiązania indywidualne, odrębne od części sterowania technologicznego, oraz rozwiązania zintegrowane z automatyką przemysłową, gdzie wymiana informacji pomiędzy obwodami bezpieczeństwa a częścią technologiczną odbywa się w głównej mierze poprzez systemy komunikacyjne, oparte na sieci Ethernet czy sieciach polowych, np. typu PROFIBUS. Oba rodzaje rozwiązań są dostarczane przez większość uznanych światowych producentów w dziedzinie automatyki.
Sterowniki indywidualne
W tabeli 1 zaprezentowano przykładowe sterowniki indywidualne. Jak łatwo zauważyć, wszystkie z nich umożliwiają zbudowanie funkcji bezpieczeństwa w najwyższych wymaganiach niezawodnościowych – Performance Level e przy Kategorii 4 czy Safety Integrity Level 3. Ważne jest jednak, aby przed decyzją o wyborze konkretnego modelu zweryfikować, czy pozostałe komponenty automatyki, tworzące podsystemy wejściowe i wyjściowe, mogą być poprawnie podłączone odpowiednio na wejścia/wyjścia sterownika.
Wśród sterowników indywidualnych można wyróżnić dodatkowo dwie podgrupy. Pierwsza ma określoną liczbę wejść/wyjść bezpiecznych w jednostce centralnej. Druga obejmuje takie, których jednostka centralna wymaga dołożenia określonych modułów. Do pierwszej z nich można zaliczyć przedstawione rozwiązania firmy Omron, Rockwell i Pilz, a do drugiej Sick. Rozwiązania z podgrupy pierwszej mogą być również poszerzane o dodatkowe moduły wejść/wyjść, które są podłączane przez odpowiednie zwory lub z wykorzystaniem sieci komunikacyjnych.
Jak wybierać?
Dokonując wyboru sterownika warto zwrócić uwagę na liczby wyjść testujących oraz wejść bezpieczeństwa. Sygnały testujące są wykorzystywane m.in. do diagnostyki stanu redundantnych kanałów podsystemów wejściowych w obwodach najwyższych Kategorii 3 i 4 i sprowadzane na wejścia bezpieczeństwa. Wykorzystanie takich sygnałów może pozwolić w podsystemach wejściowych na osiągnięcie parametru pokrycia diagnostycznego DC, wymaganego co najmniej na poziomie 90 proc. dla PL e przy Kategorii 3 lub na poziomie 99 proc. dla PL e przy Kategorii 4 (według PN-EN ISO 13849-1). Jeden sygnał testujący z danego wyjścia – w zależności od modelu sterownika bezpieczeństwa lub jego modułu rozszerzeń – może być sprowadzany jednocześnie przez nawet kilka wejść bezpieczeństwa.
Do wyjść bezpiecznych w sterownikach podłączane są elementy podsystemów wyjściowych, sterujące bezpośrednio elementami wykonawczymi. W zależności od sposobu wykonania, instalacji na obiekcie i liczby elementów wykonawczych, które np. ze względu na rozmieszczenie w różnych strefach mogą być rozłączane osobno poprzez zupełnie niezależne funkcje bezpieczeństwa realizowane przez sterownik, mała liczba wyjść bezpiecznych może być poważnym ograniczeniem. Przy rosnącej liczbie takich elementów dla większości sterowników konieczne będzie zastosowanie dodatkowych modułów wyjść bezpiecznych, a jeżeli takie nie są dostępne lub nie mogą już być obsłużone, rozwiązaniem będzie zastosowanie kolejnego sterownika.
Niektóre z modeli oferują również wyjścia zwykłe (pomocnicze), które nie są przeznaczone do bezpiecznego przełączania podsystemów wyjściowych. Mogą one posłużyć np. do komunikacji ze sterowaniem technologicznym maszyny, np. na potrzeby funkcji diagnostycznych.
Jak programować?
Wszystkie z przywołanych w tabeli 1 sterowników mają własne środowisko do programowania z wykorzystaniem bloków funkcyjnych. Dzięki temu można stworzyć wydajne, proste i przejrzyste programy do kontrolowania aplikacji bezpieczeństwa. Dodatkowo bazy gotowych bloków dla określonych funkcji, takich jak np. reset czy EDM (ang. External Device Monitoring) – monitorowania urządzeń zewnętrznych, znacząco ułatwiają stworzenie programu. Warto odnotować, że mimo wielu udogodnień i zabezpieczeń w środowiskach programistycznych program sterownika bezpieczeństwa może zostać napisany w taki sposób, że zachowanie maszyny w wyniku wyzwolenia funkcji bezpieczeństwa może nie zawsze doprowadzić do stanu bezpiecznego bądź powodować niebezpieczne obejścia określonych bloków funkcyjnych. Stąd przed ostatecznym oddaniem danej aplikacji do użytku, dużą wagę należy przyłożyć do testów i walidacji systemu bezpieczeństwa, tak aby potwierdzić osiągnięcie oczekiwanej niezawodności, nie tylko po stronie sprzętu, ale również oprogramowania.
Sterowniki zintegrowane
W tabeli 2 zebrano rozwiązania zintegrowane z automatyką przemysłową. Rozwój takich aplikacji jest związany z chęcią ułatwienia wykonania całego układu sterowania: części technologicznej i bezpieczeństwa oraz ograniczenia ponoszenia przez odbiorców dodatkowych nakładów na konwencjonalne rozwiązania, wymagające – jak miało to miejsce dotychczas – m.in. znacznie więcej okablowania w rozległych aplikacjach. Przykład różnic między podłączeniami w obu technologiach przedstawiono na rysunku 3.
Dostawcy tego typu rozwiązań wykorzystują do komunikacji systemy oparte na sieci Ethernet. To pozwala im na zaoferowanie odpowiednich jednostek logicznych i modułów wejść/wyjść, które mogą współpracować z oferowanymi przez nich elementami sterowania technologicznego. Warto zwrócić uwagę, że niektórzy dostawcy, np. Pilz, dla swoich rozwiązań oferują możliwość komunikacji w wielu standardach.
Podobnie jak miało to miejsce w sterownikach indywidualnych, dostępne rozwiązania umożliwiają osiągnięcie najwyższych wymagań niezawodnościowych – Performance Level e przy Kategorii 4 czy Safety Integrity Level 3 dla funkcji bezpieczeństwa. Kluczową rolę dla bezpieczeństwa odgrywa tu jednak bezpieczny system komunikacji.
Mnogość modułów rozszerzeń oraz parametrów sieci pozwala na tworzenie aplikacji rozległych obszarowo i obejmujących wiele sygnałów wejściowych i wyjściowych. Z tego względu rozwiązania te wydają się odpowiednie m.in. dla rozbudowanych linii technologicznych. Dalszy rozwój tego typu rozwiązań w najbliższych latach wydaje się być przesądzony.
Do programowania sterowników ze zintegrowanymi funkcjami bezpieczeństwa najczęściej może być wykorzystane to samo środowisko, które służy do stworzenia części techno-
logicznej.
Podsumowanie
Wdrożenie wymagań bezpieczeństwa przy budowie i eksploatacji maszyn znalazło przełożenie na stworzenie i rozwój licznych produktów automatyki przemysłowej, umożliwiających realizacje celów dyrektyw. Przy postępującej automatyzacji i robotyzacji procesów wytwórczych technika bezpieczeństwa nie pozostaje w tyle i również podlega dalszemu ulepszaniu i dostosowywaniu do realiów produkcyjnych. Nowe rozwiązania, zintegrowane ze sterowaniem technologicznym, są tego idealnym przykładem. Łatwość wdrożenia, projektowanie modułowe i prostota modyfikacji są ukłonem w kierunku potrzeb dzisiejszej, niejednokrotnie dynamicznie zmieniającej się metody produkcji dóbr.
Z punktu widzenia rozwoju sterowników bezpieczeństwa ciekawym wyzwaniem dla dostawców tego typu komponentów będzie wdrożenie w najbliższych latach normy
IEC/ISO 17305, która zastąpi dotychczasowe PN-EN ISO 13849-1 i PN-EN 62061, oferując przy tym integralne podejście w dziedzinie funkcji bezpieczeństwa w układach sterowania maszyn.
source: Automatyka 1-2/2015