Komponentutforminger for å tilfredsstille standarder for funksjonssikkerhet

Sikkerhet er en høyeste prioritet i industrielle utrustninger for å beskytte ansatte og utstyr mot skade og ødeleggelse. Sveising, skjæring og pressing samt høyhastighetsakser og de som håndterer farlige arbeidsstykker eller stoffer utgjør den største trusselen. I USA må anleggsoperatører tilfredsstille arbeidsmiljøadministrasjonens (OSHA) forskrifter med sikkert utstyr, driftsprosedyrer og opplæringsprotokoller. Utfyllende for disse systemene bør være anleggsspesifikke analyser for å identifisere pragmatiske måter å forbedre arbeidstakernes velvære og utstyrets levetid på. I tillegg må automatiserte maskiner oppfylle funksjonelle sikkerhetskrav gjennom automatiske maskinhandlinger eller korrigeringer av potensielt eller sikkert usikre forhold eller feil.

Figur 1: Lystårn bruker i dag lysdioder for virkningsgrad. Noen forbedrer sikkerheten med innebygde alarmer for å sende ut en sirene på 100 dB under sikkerhetsbrudd. (Bildekilde: Menics)

Funksjonelle sikkerhetssystemer inkluderer elektronikk i form av sensorer, I/O, styringer, brytere, elektromekaniske komponenter, væskekraftkomponenter og programvare som oppdager farlige forhold og endrer maskintilstanden for å forhindre at farlige situasjoner oppstår. Dagens design og forskrifter for funksjonssikkerhet gjelder for leverandører, maskinbyggere og sluttbrukere over hele verden, først og fremst fra EU. Det harmoniserte direktivet (European Norm – EN) og (IEC – International Electrotechnical Commission) EN/IEC 62061 – oppført i EUs maskindirektiv 2006/42/EØS — og ISO-standarden EN/ISO 13849-1 (International Organization for Standardization) er de mest brukte.

ISO 13849-1 og IEC 62061 kan kryssrefereres, og OEM-er og sluttbrukere velge selv hvilken de vil benytte. Den eneste advarselen er at funksjonssikkerhet gjelder maskiner og betjeningsinnretninger og ikke innretninger eller komponenter … selv om sistnevnte kan tilby funksjoner som støtter tilfredsstillelsen av en gitt sikkerhetsklassifisering.

EN/IEC 62061 beskriver krav og anbefalinger som sikkerhetsintegritetsnivåer for design, integrasjon og validering av permanent installert (ikke-bærbar) maskin eller anleggsinstallasjon SRECS – bestående av sikkerhets-relaterte, elektroniske og programmerbare styringer (safety-related electrical, electronic, and programmable controls – SRECS). Sikkerhetsintegritetsnivåer (safety integrity levels – SILs) i EN/IEC 62061 klassifiserer et systems funksjonelle sikkerhet fra 1 (laveste/mest elementært) til 4 (mest integrerte og sofistikerte) med SIL3 høyest mulig for maskiner. Risikoer som dikterer det påkrevde SIL inkluderer regelmessigheten av risikoeksponering, alvorlighetsgraden av den potensielle skaden, sannsynligheten for forekomst og sannsynligheten for at en maskinoperatørs unnamanøvrer kan bidra til å unngå skade.

Tabell 1: Nødvendige SIL-nivåer avhenger av alvorlighetsgraden av skaden dersom en gitt usikker tilstand skulle oppstå, samt sannsynligheten for at denne tilstanden oppstår. (Tabellkilde: IEC)

NS-EN/ISO 13849-1:2005 beskriver derimot krav og anbefalinger basert på SRP/CSS (safety-related parts of control systems). SRP/CS-ytelsesnivåer gir mulighet for kvantifisering av maskinsikkerhet uavhengig av del-komponentene (under-komponentene). Standarden benytter velkjente ytelsesnivåer – PL (performance level) når det gjelder funksjonell sikkerhet — fra «a» (laveste/mest elementært) til «e» (mest integrert og sofistikert). Risikoer som dikterer påkrevd ytelsesnivå (PL) inkluderer de som gjelder for sil så vel som frekvensene og varighetene av gjentatte eksponeringer for maskinfaren. I tillegg inkluderer en fullstendig ytelsesnivå-klassifisering (PL-klassifisering) et kategorinummer (for å indikere den generelle systemarkitekturen) og gjennomsnittlig tid til farlig avbrudd ellerMTTFd.

Figur 2: Det hensiktsmessige funksjonelle sikkerhetsnivået for et gitt anlegg avhenger av kvalitative variabler, kvantitative verdier og resultatene av programvarebasert analyse. (Bildekilde: Design World)

IEC 61508 og IEC 62061 tilfredsstillelse innebærer testing av sikkerhetskontroller (og validering av maskinmoduser, statuskriterier og korreksjoner) for å bekrefte maskinens funksjonelle sikkerhetsklassifisering. EN ISO 13849-1 og -2 krever også dokumentert prøving (statisk og dynamisk) for å bekrefte sømløs integrering av sikkerhetskontroll.

Operatørutløste sikkerhetskomponenter

Mange sikkerhetsrelaterte komponenter er konstruerte for å ta imot innspill fra anleggspersonell og ikke gjennom noen mellomliggende seksjon eller akse på en maskin eller et vern. Disse inkluderer taktile sikkerhetsmatter, lysgardiner, konsoller samt menneske-maskin-grensesnitt (HMI), berøringsbare maskinlåser og (kun i nødstilfeller) lyse røde sopphode stoppknapper. Sikkerhetskomponenter som vender mot personell inkluderer også kabinetter (beskytter komponenter i huset i henhold til NEMA-klassifiseringer) samt maskinskjold ogledningskanaler – enkle, men pålitelige maskinsikkerhetselementer for å beskytte personell som må arbeide i nærheten av (og noen ganger inni) maskiner og deres strøm- og kontrollpaneler.

Kabeltrekkbrytere som omkranser farlige maskinseksjoner lar operatører utløse nødstopp (e-stopp) med et raskt nykk (trekk) i snora. Spesielt vanlig rundt åpne maskiner (umulig å beskytte) så vel som ubeskyttede transportsystemer, disse sikkerhetselementene skiller seg fra frakoblingsbrytere som kobler fra strømkretser og sikrer farlige arbeidsceller for å holde personell ute. Andre tilbud inkluderer sikkerhetskanter (lister) som installeres rundt maskinverktøyåpninger (spesielt de som utfører skjære- eller presseoppgaver) og gulvsikkerhetsmatter som utløser (via spesialiserte sikkerhetsreléer) sikkerhetsrespons ved oppdagelse av en operatør som tråkker eller står på overflatene.

Noe mer sofistikerte er de nevnte lysgardinene. Disse inkluderer en emitter av fotoelektriske bjelker som, hvis de brytes i deteksjonsplanet på vei til en mottaker, raskt stopper farlige prosesser. De er dyrere enn andre alternativer, men berettiget der maskinoperatører ofte samhandler med en maskinseksjon. Énda en sofistikert sikkerhetskomponent er den tohånds sikkerhetskonsollen. Disse krever vanligvis samtidig aktivering av separate brytere for å starte eller vedlikeholde maskindrift.

Før de er betrodd å beskytte anleggets personell og utstyr, må man verifisere alle operatørutløste sikkerhetskomponenter (og sikkerhetslogikken eller kontrollene som de integreres i). Som eksempel, teststandardene IEC 61508 og IEC 62061 krever at en nødstopp som bruker redundante reléer skal fungere slik at; hvis en operatør utløser den første kanalen mellom logikk- og feltenhetene, må den også fungere på den andre kanalen mellom dem. Slike redundante e-stoppfunksjoner valideres separat under igangkjøring av maskinen.

Automatiske sikkerhetsbrytere, sensorer og vern

Figur 3: Laserskannere er en type kontaktfri komponent for sikkerhetstilbakemelding som er mest kjent for å hjelpe AGV-er (Automated Guided Vehicle) med å navigere anlegg. Men bruksområdene deres er mange – og de kan noen ganger tilby et alternativ til lysgardiner. (Bildekilde: IDEC)

Separat fra personellutløste sikkerhetsrelaterte komponenter er de for automatiske maskinfunksjoner.

Innebygde sperrer med låser og brytere

Brytere og sperremekanismer er viktige elementer på de ytre omkretsene av maskinens arbeidsceller. Sikkerhetsgrensebrytere har kontakter som automatisk verifiserer maskinelementets posisjoner eller bevegelser. I motsetning til dette bruker sikkerhetsbrytere med høyere funksjoner – de kalles sikkerhetsbrytere med sperremekanisme – bruk sperremekanisme med tunge- eller hengslesperremekanismer som er sabotasjesikre og manipuleringssikre maskinvern som har positivt drevne (dobbeltverifiserende NO- og NC-) bryterkontakter. Brytere med permanent nøkkel med sperremekanisme med mekaniske nøkler og låser som holder dører inn til maskinens arbeidsområder lukket, inntil tilgangen er trygg. Disse er stadig vanligere selv om er berøringsfrie RFID og magnetiske sikkerhetsbrytere som overvåker posisjonen (åpen eller lukket) av arbeidssone dører og ikke tillater operatør tilgang under farlige prosesser.

Innebygd sikkerhet med elektriske brytere og isolatorer

Sikkerhetskomponenter som utløses av maskinstatus inkluderer også de som sikrer elektrisk sikkerhet. Automatsikringer (sikringsbrytere) beskytter (på samme måte som smeltesikringer) mot skadelige og farlige effekter av overbelastningsstrømmer på strømnettet, strømforgreningen og signalkretsene. Noen installasjoner inkluderer isolatorer for galvanisk atskillelse mellom feltinnretninger og betjeningsinnretninger for å sikre egensikker drift. Utfyller alle konstruksjoner for elektrisk sikkerhet er overspenningsbeskyttende komponenter for å forhindre spenningstopper (transienter) fra å skade elektriske og elektroniske automasjonskomponenter involvert i strømnettet og drivstrøm og/eller tilbakemelding og styresignaldistribusjon.

Innebygd mekanisk sikkerhet med bremser

Bremser som kvalifiserer som sikkerhetsbremser kalles også feilsikre bremser. Disse er standard til en stoppet tilstand (vanligvis for å låse eller holde en bevegelsesakse) selv om elektrisk strøm eller væskekraft svikter eller fjernes (tas av). Alle er avhengige av fjærbelastet eller annen mekanisk påvirkning for denne feilsikre operasjonen.

Eksempel: Fjærfaste friksjonsbremser som frigjøres pneumatisk (med trykkluft) fungerer ofte som feilsikre bremser i utrustninger med servomotordreven automatisering. Alle må ha en vurdering som bekrefter samsvar med ISO 13849-1 – vanligvis fra den internasjonale produkttestingsorganisasjonen Intertek Group. Takket være deres mekaniske låsing, bruker disse ingen elektrisk strøm mens de holder og som gir maksimal pålitelighet for sikkerhetsklasseytelse og unngår overoppheting forbundet med andre elektrisk baserte stoppmoduser. Levetid er angitt i millioner sykluser før vanlig årsak (forutsigbar) til svikt til noen prosent av alle komponentene i serien. Der IIoT-funksjonalitet er nyttig, kan feilsikre bremser også inkludere omborddiagnostikk og sensorfeedback for å spore driftsstatus.

Bremser med de høyeste funksjonelle sikkerhetsklassene har flere fjærer som mekanisk låser maskinakser via friksjonsflater som samhandler med stasjonære elementer inne i bremsehuset. Standarder for funksjonssikkerhet krever også at det er inkludert sensorer for å bekrefte bremsestatus.

Sikkerhetsreléer og andre sikkerhetskontroller

Figur 4: Enkelt utstyr som trenger bare en håndfull I/O-sikkerhet, kan bruke elektromekaniske sikkerhetsreleer som dette økonomiske releet. (Bildekilde: Omron Automation and Safety)

Sikkerhetsreléer og andre kontroller støtter funksjonene til sikkerhetsbrytere, sensorer og vern. Alle deler en felles evne til (når det er nødvendig) å ta maskinen til en sikker tilstand gjennom fjerning av elektrisk eller flytende strøm — eller bremse eller låse en stillestående maskin inn i en sikker tilstand.

Reléer for fastmontert sikkerhet

Et alternativ for feilsikker kontroll er sikkerhetsrelémoduler. Disse benytter elektronikk med kortslutnings- og overspenningsbeskyttelse, så vel som komplementære reléer. Hardwired elektromekaniske reléer har blitt brukt i flere tiår; de kobler ganske enkelt til automatiserte kontroller og (i forbindelse med nødstopp eller lysgardiner) elektrisk koble fra maskinens underseksjoner etter behov. Ulemper inkluderer behovet for omfattende ledninger på stedet og manglende rekonfigurasjonsevne. Mer avanserte sikkerhetsreleer har I/O og en modulær design for å forenkle fleksibel integrasjon med sensorer, maskinkontroller og automasjonsnettverk.

Sikkerhetskontrollere for programmerbar sikkerhet

Et annet alternativ for sikkerhet som kvalifiserer som feilsikker, er integrasjon av dedikerte sikkerhetskontrollere. Slike styringer er mer egnet enn reléer for komplekse automasjonssystemer fordi de kan betjene større I/O-matriser, så vel som PLS-funksjoner. Den ene advarselen er at disse frittstående sikkerhetskontrollerne krever ytterligere programmering og personellopplæring. Men deres digitale elektronikk gir mulighet for automatiseringsfunksjoner som er fullt konfigurerbare via programvare.

Figur 5: Sikkerhetsstyreenheter kan forene flere sikkerhetsfunksjoner for fleksible og rekonfigurerbare sikkerhetsinstallasjoner. I arbeidscellen som illustreres her, inkluderer den første sikkerhetskretsen en lysgardin som (ved rapportering av en avbrutt status) åpner en kretsbryter for å stoppe dreieskiven. Den andre sikkerhetskretsen integrerer muting-kontroller som lar roboten fungere normalt hvis et arbeidsstykke kommer inn i arbeidscellen når dreieskiven stoppes. Ellers åpner denne kretsen en bryter for å deaktivere roboten. Den tredje sikkerhetskretsen inkluderer en nødstopp som åpner alle brytere og stopper både dreieskive og robot. (Bildekilde: Panasonic Industrial Automation Sales)

Ingeniører kan definere soner som trenger sikkerhetsdekning og endre innstillingene sine uten å måtte koble om hele arbeidscellen. (Det reduserer igjen kablingsmateriell og arbeidskostnader.) Vanligvis støtter sikkerhetsstyringsbaserte installasjoner også nettverksutvidelse og IIoT-tilkobling etter hvert som driften utvikler seg.

Integrert sikkerhet på sikkerhetsklassifiserte industristyringer

Et tredje alternativ for feilsikker sikkerhetskontroll som blir stadig vanligere i avanserte maskiner, er integrerte sikkerhets-PLS-er, programmerbare automasjonsstyringer (PAC-er) og andre PC-baserte styringer. Noen sliket elektronikkutstyr kan påta seg sikkerhetsfunksjoner i tillegg til dagligdagse maskinfunksjoner. Resultatet er programmerbart og derfor fleksibel styring over både automatisert maskinutstyr og sikkerhetsfunksjonene deres operasjoner krever.

Konklusjon

Tilstrekkelig maskinsikkerhet er avhengig av tilbakemeldinger (feedback) og kontrollkomponenter som er klassifisert for å gi beskyttelse som står i forhold til gitte farer i utrustningene. Maskinsikkerhet krever også riktig komponentintegrasjon, dokumentasjon og validering. Sistnevnte sikrer at sikkerhetskretsene fungerer riktig for alle maskinens driftsmoduser, selv under feil.

IEC 61508 og 62061 sikkerhets-levesyklusstandarder definerer hvordan sikkerhetsintegrasjonen utføres på riktig måte – fra innledende risikovurdering og design til reell verifisering av et installert systems ytelse av OEM-en og til slutt; av eller for sluttbrukeren når maskinen er installert. Sistnevnte setter maskiner «på prøve» med tester av normale driftssekvenser, nedbremsinger, stopp og nullstillingsrutiner.