Vi ser på omstendighetene forbundet med å velge den riktige sikkerhetsstyringen

Sikkerhet i industrisystemer er et svært viktig og komplekst tema, noe som gjør det utfordrende å spesifisere den beste sikkerhetsstyringen for et gitt bruksområde. Noen av faktorene er anvendbarheten av de flertallige internasjonale standardene relatert til sikkerhetsstyringene, slik som IEC (International Electrotechnical Commission) 60947-5-1, 61508-1/2/3, 61810-3, 62061 og ISO (International Standards Organization) 13849-1.

Det er også et bredt utvalg av kommunikasjonsprotokoller å velge mellom, for eksempel Safety over EtherCAT, også kalt «FailSafe over EtherCAT» (FSoE), som kombinerer styrings- og sikkerhetsfunksjoner. Det finnes også Ethernet/IP-, PROFIsafe- og Modbus/TCP-kommunikasjonsprotokoller for industrielt Ethernet. I tillegg er det alternativer med frittstående eller integrerte løsninger. Noen plattformer har forskjellige kombinasjoner av sikkerhetsklassifiserte og ikke-sikkerhetsklassifiserte utganger, noen har fast funksjonalitet, mens andre er rekonfigurerbare og utvidbare.

Denne artikkelen gjennomgår kort de internasjonale sikkerhetsstandardene og deres anvendelighet. Den ser også nærmere på bruken av de ulike kommunikasjonsprotokollene, og går deretter dypere i brukstilfeller som spenner fra bordplatemonteringsstasjoner til hele fabrikker for ulike typer sikkerhetsstyringer, for eksempel modeller med faste funksjoner eller modeller som er rekonfigurerbare eller utvidbare. Den presenterer spesifikke eksempler med produkter fra Banner Engineering, Phoenix Contact, Schneider Electric og Omron Automation.

Standarder

Funksjonssikkerhet for elektriske/elektroniske/programmerbare elektroniske sikkerhetsrelaterte systemer (E/E/PE eller E/E/PES) eller IEC 61508, er den grunnleggende funksjonssikkerhetsstandarden som gjelder for alle bransjer. Metoder for å bruke, designe, distribuere og vedlikeholde automatiske vernesystemer, kalt sikkerhetsrelaterte systemer, er inkludert. Den er basert på tanken om at alle sikkerhetsrelaterte systemer må svikte på en forutsigbar måte som er iboende sikker. For å måle effektiviteten til funksjonssikkerhetskonstruksjoner, definerer standarden sikkerhetsintegritetsnivåer (SIL – safety integrity level) fra 1 til 4, der SIL4 markerer det høyeste nivået for risikoreduksjon og SIL1 markerer det laveste nivået. SIL-konseptet brukes også i andre sikkerhetsstandarder, men antallet SIL-er og deres definisjoner kan variere basert på behovene til driftsmiljøet.

Det er mange sikkerhetsstandarder basert på IEC 61508. Noen av standardene relatert til sikkerhetsstyringer, omfatter:

IEC 60947-5-1:2016, Lavspent bryterutstyr og styringsutstyr – Del 5-1: Styringskretsutstyr og koblingselementer – Elektromekanisk styringskretsutstyr, gjelder for spesifikke enhetstyper, deriblant:

• Manuelle styringsbrytere som trykknapper, fotbrytere, roterbare brytere og så videre
• Elektromagnetisk drevne styringsbrytere som reléer eller kontaktorer, som er enten tidsforsinkede eller momentane
• Posisjonsbrytere som er inkludert i en maskin
• Pilotbrytere som temperatur- eller trykkfølsomme brytere

IEC 62061:2021, Maskinsikkerhet – Funksjonssikkerhet for sikkerhetsrelaterte styringssystemer er den maskinrelaterte versjonen av IEC 61508. Den spesifiserer krav for å konstruere, integrere og validere sikkerhetsrelaterte styringssystemer. Den anvendes for konstruksjon på systemnivå av maskinrelaterte sikkerhetsstyringssystemer, delsystemer og sikkerhetsrelaterte anordninger som enten brukes individuelt eller i kombinasjon for å implementere maskinsikkerhetsfunksjoner.

IEC 61810-3:2015, Reléer med tvangsstyrte (mekanisk koblede) kontakter, er en annen viktig standard for sikkerhetsstyringer. Den avgrenser spesielle krav og tester for elementære reléer med tvangsstyrte kontakter, også kjent som mekanisk koblede kontakter. Disse spesielle kravene gjelder i tillegg til de generelle kravene i IEC 61810-1. Tvangsstyrte reléer er en grunnleggende komponent i mange sikkerhetsrelémoduler. I et sikkerhetsrelé av klasse A er alle kontaktene tvangsstyrt. Standarden krever at hvis en normalt åpen (NO – normally open) kontakt blir sammensveiset, må alle normalt lukkede (NC – normally closed) kontakter opprettholde en minimumsåpning på 0,5 mm når spolen ikke er strømsatt (figur 1).

Figur 1: Hvis en NO-kontakt (eller NC-kontakt) blir sammensveiset, må alle NC-kontakter (eller NO-kontakter) opprettholde en minimumsavstand på 0,5 mm når spolen ikke er strømsatt. (Bildekilde: Omron Automation)

ISO 13849-1:2023, Maskinsikkerhet Sikkerhetsrelaterte deler av styringssystemer, inkluderer veiledning for å konstruere og integrere de sikkerhetsrelaterte delene av styringssystemer (SRP/CS) og de tilknyttede delsystemene, for eksempel mekaniske tiltak som verne- eller forriglingsfunksjoner, og relatert programvare. Den gjelder for elektrisk, hydraulisk, pneumatisk og mekanisk SRP/CS som brukes under krevende og kontinuerlig drift.

Hvis vi går tilbake til IEC 61508, så definerer standarden også «svarte kanaler» for sikkerhetsrelatert kommunikasjon.

Svarte kanaler og kommunikasjonsprotokoller

IEC 61508 gir bare en generell definisjon av svarte kanaler, og refererer til standarder som IEC 61784-3 for feltbusskonstruksjoner og IEC 62280 for jernbanesignalering. Begrepet svart kanal-kommunikasjon er avledet fra begrepet «svart boks». I svart kanal-kommunikasjon er nettverket den svarte boksen, og den brukes kun som overføringsmedium. Kanalen er usikret, og sikkerheten ivaretas med et dedikert sikkerhetslag i programvaren for konstruksjonen.

Svarte kanaler kan implementeres på et hvilket som helst standardnettverk, for eksempel ulike implementeringer av Ethernet som PROFIsafe- eller WLAN-teknologier (WLAN – Wireless Local Area Network). I en svart kanal-konstruksjon antas det at den primære kommunikasjonskanalen ikke er sikker nok for sikkerhetsrelatert kommunikasjon, så et ekstra sikkerhetslag legges til for å identifisere og eliminere potensielle kommunikasjonsfeil (figur 2).

Figur 2: PROFIsafe kan brukes til å implementere sikkerhetslaget for svart kanal-kommunikasjon. (Bildekilde: Phoenix Contact)

I tillegg til PROFIsafe, kan svarte kanaler implementeres med andre protokoller, slik som CIP-sikkerhet (CIP – common industrial protocol) og FSoE. Disse protokollene er i samsvar med IEC 61784-3:2021, og inkluderer forbedringer som adresserer aktualitet, autentisitet, maskering og dataintegritetsfeil.

Trygghet på bordplaten

Sikkerhetsbekymringer er ikke begrenset til store eller kraftige maskiner. Bordplatemonteringsstasjoner kan også ha behov for sikkerhetssystemer. I ett tilfelle brukes halvautomatiske bordplatemonteringsstasjoner til å lage elektroniske komponenter. Hver stasjon har en robust sikkerhetsdør med en berøringsfri sikkerhetsbryter, en sikkerhetslysgardin ved delemateren og en nødstoppknapp som beskytter operatører mot halvautomatisk utstyr. Sikkerhetsreléstyringer med en enkelt funksjon kan brukes på små maskiner, som denne bordplatemonteringsstasjonen, for å koble til sikkerhetsanordningene og maskinen for å gi tilgang til trygge start- og stoppfunksjoner.

I dette tilfellet ble en SC10-2ROE-modell fra sikkerhetsstyringene i SC10-serien fra Banner Engineering installert i kabinettet til hver bordplatemonteringsstasjon (figur 3). Denne sikkerhetsstyringen kombinerer funksjonene fra flere sikkerhetsrelémoduler i én enkelt enhet, noe som forenkler kablingen og reduserer den nødvendige plassen som trengs for installasjonen. I tillegg til å støtte sikkerhet i små maskiner, er disse styringene godt egnet for bruk i overfylte kontrollskap. Selv små sikkerhetsstyringer som SC10-serien kan ha et bredt utvalg av funksjoner:

• ISD (In-Series Diagnostics) kan koble til opptil 70 sikkerhetsenheter. ISD gir detaljerte status- og ytelsesdata fra hver sikkerhetsenhet som er tilgjengelig med et menneske-maskin-grensesnitt (HMI), en PLS eller lignende enhet, slik at brukeren kan feilsøke maskinsikkerhetssystemer, forhindre feil og redusere nedetid.
• Den ikonbaserte dra-og-slipp-programmeringen kjører på en datamaskin, og forenkler konfigurasjon og enhetsadministrasjon.
• Et eksternt minnekort kan brukes til å konfigurere enheten uten å måtte koble til en datamaskin, noe som øker hastigheten på konfigurasjonsendringene.
• Ti innganger, inkludert fire som kan konfigureres som ikke-sikkerhetsutganger. Funksjonen for automatisk terminaloptimalisering (ATO) kan brukes til å øke det totale antallet innganger til 14.
• To sikkerhetsreléutganger på 6 A er tilgjengelige med tre NO-sett med uavhengig styrte kontakter.
• Muligheten til å utføre to funksjonelle stopptyper:
  • Kategori 0 er en ukontrollert stopp med umiddelbar fjerning av strøm.
  • Kategori 1 er en kontrollert stopp med en forsinkelse før strømmen kuttes. Forsinket stopp kan være nyttig i tilfeller der maskiner trenger strøm for en bremsemekanisme.
• Støtte for Ethernet/IP-, PROFINET- og Modbus/TCP-kommunikasjonsprotokoller.

Figur 3: Denne bordplatemonteringsstasjonen inkluderer en SC10-2ROE-sikkerhetsstyringsmodell (gul enhet under monteringsstasjonen). (Bildekilde: Banner Engineering)

Skalerbar sikkerhet på tvers av produktlinjer

I den andre enden av kompleksitetsspekteret, fra bordplatemontering, kan integrert sikkerhet implementeres i monteringslinjer på tvers av en fabrikk. Sysmac NX102-styringer fra Omron Automation integrerer for eksempel flere åpne industriprotokoller som EtherNET I/P, EtherCAT, IO-Link og CIP Safety. Automasjonsstyringsmodellen NX102-1020 har tre kommunikasjonsporter, og den kan integrere høyhastighetssikkerhet i maskinstyringen i linjer som krever raske syklustider. I tillegg er Omrons NX integrerte sikkerhetsstyringer (NX Integrated Safety Controllers) SIL3-sertifiserte, og de inkluderer FSoE-konnektivitet. NX-SL5-styringer, slik som NX-SL5500-modellen, kan kommunisere FSoE over EtherCAT og CIP Safety på Ethernet/IP samtidig, noe som muliggjør konstruksjoner som involverer høyhastighets synkron bevegelse, maskin-til-maskin-styring eller kommunikasjon med eksterne enheter som bruker CIP Safety (figur 4).

Figur 4: NX integrerte sikkerhetsstyringer fra Omron kan kommunisere FSoE og CIP Safety samtidig for å implementere integrert sikkerhet på tvers av produksjonslinjer. (Bildekilde: Omron Automation)

Konfigurerbar og utvidbar

Når omstendighetene krever en konfigurerbar og utvidbar sikkerhetsløsning, tilbyr Phoenix Contact PSRmodular-sikkerhetssystemet. Systemet kan konfigureres for små konstruksjoner med kun tre sikkerhetsfunksjoner, og store systemer med opptil 160 innganger/utganger (I/O-er). Systemet inkluderer en rekke sikkerhetsfunksjoner, for eksempel en analog modul for overvåking av signaler på 0 til 20 mA eller 0 til 10 V, moduler for bevegelsesovervåking med nærbrytere og ulike typer bevegelsespulsgivere (motion encoders). Reléene som er installert i sikkerhetsrelémodulen, har tvangsstyrte kontakter (figur 5). Systemet kan implementere en rekke sikkerhetsfunksjoner, deriblant:

• Elektrosensitivt verneutstyr
• Nødstopp
• Overvåking av bevegelige vern som sikkerhetsdører
• Tohånds styringsenheter
• Nullhastighetsovervåking og hastighetsovervåking

Figur 5: PSRmodular-systemsikkerhetsrelémodul med tvangsstyrte kontakter. (Bildekilde: Phoenix Contact)

PSRmodular-sikkerhetssystemet består av flere grunnleggende moduler med kjernefunksjonalitet som 1104981-modellen, og utvidelsesmoduler for forbedrede I/O- og beskyttelsesfunksjoner som 1104884-modellen. Modulene kan konfigureres med programvare, og systemet kan utvides ved å bruke en PSR-TBUS DIN-skinnetilkobling.

Sikkerhet for enkle til middels komplekse maskiner

Harmony-sikkerhetsmoduler fra Schneider Electric er utviklet for enkle til middels komplekse maskiner, slik som de som brukes i drikke- og næringsmiddelindustrien, heising, materialhåndtering og emballasje. De tilbys i to serier (figur 6):

• Harmony XPS Basic er en optimalisert løsning for konstruksjoner som bruker fastkoblede sikkerhetsmoduler.
• Harmony XPS Universal kombinerer den enkle bruken av fastkoblede sikkerhetsmoduler med diverse meldinger som vanligvis krever feltbuss-teknologi for å implementeres.

Figur 6: Harmony XPS Basic- og Universal-sikkerhetsreléer er ideelle for enkel håndtering av enkeltstående sikkerhetsfunksjoner. (Bildekilde: Schneider Electric)

XPSBAT grunnleggende sikkerhetsmoduler, for eksempel XPSBAT12A1AP, brukes til å overvåke nødstoppkretser og gi styringsmuligheter i kategori 0 og kategori 1. Kategori 0 implementerer momentanstopp, mens kategori 1 implementerer forsinket stopp med en forsinkelsen som er justerbar fra 0 til 15 minutter (900 sekunder).

XPSUAK universelle sikkerhetsmoduler, for eksempel XPSUAK12AP-modellen, kan også implementere nedstengninger i kategori 0 og kategori 1. Disse sikkerhetsmodulene kan samhandle med et bredere utvalg av sikkerhetsenheter, deriblant:

• Nødstoppkretser
• Brytere aktivert av beskyttelsesanordninger som mekaniske vernebrytere og RFID-sikkerhetsbrytere
• Lysgardiner
• Deteksjonsmatter med fire ledere

Konklusjon

Når sikkerhetsbrytere skal velges for industrielle systemer, er det et bredt utvalg av internasjonale standarder å ta hensyn til, i tillegg til kommunikasjonsprotokoller, inkludert svart kanal-kommunikasjon. Dette er imidlertid bare begynnelsen, for det finnes sikkerhetsbrytere som er optimalisert for små systemer som bordplatemonteringssystemer, for fastkoblede installasjoner som er å finne i drikke- og næringsmiddelindustrien og materialhåndtering, for systemer som trenger konfigurerbare eller utvidbare løsninger og enheter som er optimalisert for å støtte skalerbare løsninger på tvers av hele fabrikken.