Aktuální vydání

celé číslo

03

2021

Digitální transformace, chytrá výroba, digitální dvojčata

Komunikační sítě, IIoT, kybernetická bezpečnost

celé číslo

Bezpečnostní systém AS-Interface Safety at Work (část 2)

Bezpečnostní systém AS-Interface Safety at Work (část 2)

Radek Štohl, Petr Fiedler, Robert Dubjel
(dokončení z č. 5/2007)

4. Grafický konfigurační software Asimon

4.1 Určení
Grafický konfigurační software ASimon (Configurator for AS-Interface safety monitor) je určen k nastavování parametrů bezpečnostního monitoru a vytváření logické posloupnosti funkčních podmínek pro sepnutí nebo rozepnutí kontaktů relé bezpečnostního monitoru, kterými se hlídané zařízení uvádí do bezpečného stavu. Umožňuje také zobrazit na PC podrobné informace o všech bezpečnostních vstupních členech (safety slave) a připojeném bezpečnostním monitoru. Produkt byl uveden na trh v roce 2001 společně s technikou AS-Interface Safety at Work a je stále zdokonalován a rozšiřován. V současnosti je k dispozici ve verzi 2, která podporuje i bezpečnostní monitory typu 3 a 4. Stejně jako systém AS-Interface, je i software ASimon zpětně kompatibilní.

4.2 Způsob použití
Před zahájením tvorby samotného programu pro bezpečnostní monitor je třeba vložit potřebné údaje o použitém monitoru a síti AS-Interface. V dialogových oknech se zadají adresy připojených bezpečnostních i konvenčních podřízených členů a adresa, typ a verze (základní/rozšířená) bezpečnostního monitoru. Bezpečnostní monitory mohou být trojího druhu, a to podle počtu a uspořádání výstupních spínačů (Output Signal Switching Device – OSSD), označené jako:

  • one OSSD: jednokanálový bezpečnostní monitor (typ 1 a 3 podle tab. 5),
  • two independent OSSDs: dvoukanálový bezpečnostní monitor (typ 2 a 4),
  • two dependent OSSDs: dvoukanálový bezpečnostní monitor, kdy druhý kanál je závislý na prvním (typ 2 a 4).

Grafické interaktivní prostředí konfiguračního softwaru je ukázáno na obr. 6. Knihovna modulů obsahuje všechny funkční bloky pro bezpečnostní vstupní členy a systémové komponenty. Okno pro předzpracování (preprocessing) je určeno pro moduly, jejichž výstupy jsou propojeny na globální AND přes další logické hradlo (obr. 5 v předchozí části příspěvku). Pokud se tyto moduly nenacházejí v okně pro předzpracování, musí mít menší pořadové číslo (index) než modul logické funkce, na jejíž vstupy jsou připojeny (z důvodu cyklického provádění programu). Okna OSSD 1 a OSSD 2 reprezentují jednotlivé kanály bezpečnostního monitoru. V nich se vytváří vlastní posloupnost funkčních podmínek řídících spínání a rozpínání výstupních relé.

Jednotlivé funkční moduly jsou v knihovně rozděleny do těchto šesti základních tříd:

  • Monitoring devices (moduly reprezentující vlastní bezpečnostní vstupní členy),
  • Logic devices (moduly pro logické operace: AND, OR, klopný obvod atd.),
  • EDM devices (obsahuje funkční modul pro externí monitorovací zařízení),
  • Start devices (obsahuje podmínky pro spuštění),
  • Output devices (obsahuje výstupní podmínky, tj. zastavení kategorií 0 a 1),
  • System devices (systémové moduly: stav výstupu OSSD 1 a OSSD 2 atd.).

Vlastnosti jednotlivých typů funkčních bloků třídy Monitoring devices jsou takovéto:

  • dva nuceně spínané kanály (double channel, forced): funkční moduly určené pro bezpečnostní vstupní členy s dvojicí kontaktů, které se společně sepnou okamžitě po aktivaci členu; oba kontakty jsou buď vždy sepnuté, nebo rozepnuté; sepnutí nebo rozepnutí některého z dvojice kontaktů mimo časovou toleranci způsobí chybový stav; jde o funkční moduly vhodné např. pro nouzové vypínače nebo bezkontaktní bezpečnostní prvky (optické závory),

  • dva závislé kanály (double channel, dependent): funkční moduly pro bezpečnostní vstupní členy s dvojicí kontaktů, které se nemusí spínat současně; dobu, do které se musí druhý kontakt po aktivaci prvního sepnout (synchronization time) a při jejímž překročení bezpečnostní monitor vyžaduje přezkoušení funkce členu, nastavuje sám uživatel; jde o funkční moduly vhodné např. pro dvouruční ovládání nebo bezpečnostní prvky se dvěma oddělenými kontakty,

  • dva závislé kanály s odskoky (double channel, dependent with debouncing): funkční moduly s určením stejným jako u předchozího typu, ale s možností nastavit čas potřebný k ustálení systému, dochází-li vlivem mechanické konstrukce k odskokům a několikanásobnému spínání koncových spínačů (např. při rychlém zavírání dveří); při překročení nastavené doby je vyžádáno přezkoušení funkceschopnosti vstupního členu; jde o funkci dostupnou pouze u monitorů typu 3 a typu 4,

  • dva podmíněně závislé kanály (double channel, conditionaly dependent): funkční moduly určené pro bezpečnostní spínače se zámkem, kde jeden kanál vstupního členu odpovídá spínači, druhý zámku a spínač smí být rozepnut pouze v případě, je-li odblokován zámek; závislý a nezávislý kanál vstupního členu zvolí uživatel; zvolená posloupnost je hlídána bezpečnostním monitorem a její nedodržení způsobí chybový stav; jde o funkční moduly vhodné např. pro dveřní spínače se zámkem, opět dostupné pouze pro monitory typů 3 a 4,

  • dva nezávislé kanály (double channel, independent): funkční moduly určené pro bezpečnostní vstupní členy, jejichž oba kanály mohou být sepnuty nebo rozepnuty nezávisle na sobě; funkce je vhodná ke sledování dveří apod.

U funkčních modulů typů double channel, forced a double channel, dependent lze také aktivovat funkce:

  • ověření před spuštěním (start-up test), kdy bezpečnostní monitor vyžaduje před spuštěním stroje kontrolu funkceschopnosti všech bezpečnostních vstupních členů, u nichž je tato funkce aktivována,

  • lokální potvrzení (local acknowledgement), vhodné např. tehdy, kdy je střežená oblast vzdálená od řídicího stanoviště a před spuštěním zařízení je třeba vykonat vizuální kontrolu volné pracovní plochy stroje; u bezpečnostních vstupních členů s aktivovanou touto funkcí (např. světelné závory) zadá uživatel bitovou adresu konvenčního vstupního členu (např. modul tlačítek), kterým musí být potvrzeno, že stroj lze bezpečně spustit.

4.3 Použití pro diagnostiku
Pracuje-li bezpečnostní monitor v chráněném módu, přenášejí se údaje o stavu všech monitorovaných podřízených členů průběžně přes konfigurační rozhraní do softwaru ASimon, kde je lze kdykoliv zobrazit příkazem Diagnostic v menu Monitor. Na obr. 7 jsou tři ukázky možností této diagnostiky (na konfiguraci systému SaW použité dále v kap. 6). Virtuální svítivé diody v barvách zelená, žlutá, červená a šedá, přiřazené každému funkčnímu modulu, případným stálým nebo přerušovaným svitem neustále názorně informují uživatele o stavu sledovaného zařízení. Tři doplňkové diody vedle každého OSSD odpovídají diodám indikujícím aktuální stav zařízení na čelním panelu bezpečnostního monitoru.

5. Diagnostika bezpečnostního monitoru prostřednictvím sběrnice AS-Interface

5.1 Princip činnosti
Bezpečnostní monitor může jako podřízený člen prostřednictvím své adresy poskytovat diagnostické informace o vlastním stavu a stavu jemu přiřazených podřízených členů řídicímu členu sběrnice AS-Interface a přes něj i nadřazenému řídicímu systému. K výměně diagnostických dat se používají odpovědi bezpečnostního monitoru na výzvy (0) až (B), a to tak, jak je popsáno v následujících odstavcích.

Řídicí člen sběrnice AS-Interface posílá střídavě bezpečnostnímu monitoru výzvy (0) a (1). Odpovědi na tyto výzvy obsahují základní údaje o stavu monitoru (operační mód, výstupní obvody sepnuty/rozepnuty). Obě odpovědi ve skutečnosti obsahují stejná data: tři bity s informací (D2, D1, D0) a kontrolní bit D3, který má pro sudé výzvy (0) logickou hodnotu 1 a pro liché výzvy (1) logickou hodnotu 0 (aby řídicí systém vždy spolehlivě rozeznal příchod nové odpovědi). Stejná informace se ve dvou samostatných odpovědích bezpečnostního monitoru vysílá proto, že doba programového cyklu nadřazeného řídicího systému (PLC) může být delší, než je doba aktualizace dat v bezpečnostním monitoru. Vývojový diagram uvedené sekvence je na obr. 8.

Odpovědi na výzvy (0) a (1) mají za normálního provozního stavu hodnotu x000bin (pracovní mód monitoru, oba kanály jsou sepnuté). Při diagnostice s použitím softwaru ASimon tomu odpovídá stav, kdy jsou všechny virtuální svítivé diody zelené. Je-li použit pouze jednokanálový monitor nebo není-li druhý kanál monitoru nakonfigurován, vrátí se v odpovědích popisujících stav druhého kanálu informace „vše je v pořádku“. Operátor proto musí být obeznámen s konfigurací daného bezpečnostního monitoru.

Signalizují-li odpovědi na výzvy (0) a (1) rozpojení některého výstupního obvodu, lze dotazy (2) až (B) vyžádat podrobné informace o stavu bezpečnostního monitoru. Odpovědi na výzvy (2) a (3) vždy obsahují informaci o stavu indikačních svítivých diod v obou kanálech bezpečnostního monitoru.

Výzvy (4) až (B) řídicího členu sběrnice se využívají k postupnému získání informací o stavu všech komponent přiřazených jednotlivým kanálům bezpečnostního monitoru; tím jsou do nadřazeného řídicího systému odeslány informace o stavu všech připojených bezpečnostních vstupních členů i systémových bloků bezpečnostního monitoru. Podle počáteční konfigurace bezpečnostního monitoru (nastavením v sekci „informace o monitoru a síti“ prostředí ASimon) přicházejí stavová data do systému buď roztříděná podle jednotlivých kanálů, nebo netříděná.

5.2 Tříděná data
Data o stavu jednotlivých zařízení přiřazených k bezpečnostnímu monitoru lze předávat roztříděná podle toho, je-li zařízení přiřazeno ke kanálu 1, nebo ke kanálu 2 monitoru. Celá sekvence dotazů na detailní stav prvního kanálu bezpečnostního monitoru je ukázána na obr. 9. Obdrží-li řídicí člen na výzvu (1) odpověď, že výstupní obvod je rozpojen, může použitím výzvy (4) zjistit počet neaktivních zařízení a poté ve stejném počtu cyklů jejich aktuální stavy. Takto může operátor okamžitě dostat hlášení o příčině výpadku sledovaného systému.

5.3 Netříděná data
Druhým možným způsobem je nechat z bezpečnostní monitoru vracet data postupně podle hodnoty indexu, aniž by byla tříděna podle toho, ke kterému z kanálů patří. Takto lze získat informace i o komponentách systému použitých pouze v okně pro předzpracování. Operátor musí podle situace rozhodnout, který způsob je výhodnější, a podle toho patřičně zkonfigurovat bezpečnostní monitor.

6. Demonstrační model

Aby bylo možné v praxi názorně předvést přednosti komunikačního systému AS-Interface, a to zejména při použití bezpečnostních komponent typu Safety at Work (SaW) připojovaných přímo ke sběrnici AS-Interface, byl na pracovišti autorů vytvořen fyzický demonstrační model systému AS-Interface Safety at Work.

Demonstrační model je koncipován jako panel s modelem soustruhu, neboť na obráběcím zařízení lze vhodně a názorně použít bezpečnostní prvky primárně určené k ochraně obsluhy a strojů. Demonstrační panel se skládá z elektronických komponent sběrnice AS-Interface obstarávajících řízení a signalizaci, bezpečnostních komponent (světelné závory, nouzový vypínač, bezpečnostní monitor), napájecích zdrojů a vlastního mechanického modelu pracovní části obráběcího zařízení (vřeteno a lineární pojezd, oboje poháněné stejnosměrnými motory s převodovkami). Obráběcí nástroje reprezentuje laserová dioda. Pohled na demonstrační panel je na obr. 10 a blokové schéma elektrického zapojení panelu na obr. 11.

Pro řízení systému je použit samostatný řídicí člen (master) systému AS-Interface typu Controler E AC1312 od firmy ifm electronic. Jde o klasický malý programovatelný automat se dvěma řídicími moduly AS-i. Jako programovací software je použito známé prostředí Codesys, které podporuje všechny programovací jazyky pro PLC podle normy IEC 61131-3 a současně obsahuje nástroje pro volnou tvorbu vizualizace řízené technologie. O bezpečnostní funkce systému se stará jednokanálový bezpečnostní monitor AC001S, rovněž výrobek firmy ifm electronic.

Model soustruhu je řízen z PLC. Jednotlivé stavy, v nichž se model může při své činnosti nacházet, jsou uvedeny v jeho stavovém diagramu na obr. 12.

Po zapnutí napájení model zůstává ve stavu stop do stisku spouštěcího tlačítka (zelené). Po spuštění se přes spouštěče (přímý, obousměrný) aktivují stejnosměrné motory otáčející vřetenem a lineárním posuvem suportu soustruhu a přes reléový modul se přivede napětí na laserovou diodu představující obráběcí nástroj. Model poté přechází střídavě mezi stavy vpravo a vlevo, kdy je prostřednictvím koncových bezdotykových indukčnostních snímačů a obousměrného spouštěče motoru přepínán směr lineárního posuvu suportu. Po stisku zastavovacího tlačítka (červené) se motory prostřednictvím spouštěčů zastaví a model znovu přechází do vyčkávacího stavu stop. Při opětovném spuštění suport soustruhu vždy najíždí nejdřív do levé koncové „inicializační“ polohy.

V kterémkoliv okamžiku své činnosti může model při aktivaci některé z bezpečnostně relevantních komponent přejít do bezpečného stavu, na obr. 12 označeného jako E-stop (emergency stop). V daném zapojení jsou takové komponenty dvě, a to nouzový vypínač a bezpečnostní světelná záclona (sada světelných závor), připojené přes bezpečnostní modul k síti AS-Interface. Světelné závory se aktivují v okamžiku vniknutí cizího tělesa do pracovního prostoru stroje. Stav těchto bezpečnostních komponent je nepřetržitě sledován bezpečnostním monitorem, který při aktivaci nebo poruše kterékoliv z nich přímo odpojí napájecí napětí obou motorů, a uvede tím systém do požadovaného bezpečného stavu. Výstupy bezpečnostního monitoru se znovu sepnou až po deaktivaci všech bezpečnostních komponent a stisku zastavovacího tlačítka; tím obsluha potvrdí bezpečný stav a systém přejde zpět do vyčkávacího stavu stop.

Na panelu je aktuální stav systému signalizován na semaforu a signalizace na ovládacích tlačítkách. Ve stavu stop svítí zelené světlo, při chodu modelu výstražné červené světlo a stav E-stop je signalizován přerušovaným červeným světlem. Dále lze stav modelu sledovat na počítači připojeném k PLC přes programovací rozhraní RS-232C pomocí vizualizace modelu vytvořené v programu CoDeSys. Současně je možné na daném modelu, díky využití diagnostických možností bezpečnostního monitoru, také sledovat aktuální stav všech bezpečnostně relevantních komponent.

7. Závěr

Metoda AS-Interface Safety at Work umožňuje zcela nahradit konvenční reléová zařízení sběrnicí AS-Interface i v oblasti bezpečnostní techniky. Dalším přínosem tohoto řešení je plná zpětná kompatibilita komponent SaW, takže bezpečnostní monitor lze provozovat se všemi dříve vyráběnými řídicími členy a uživatel nemusí měnit ani koncepci řízení, ani samotné komponenty. Bezpečnostní monitor může také vykonávat některé řídicí úlohy (např. blokace opětovného spuštění), které by jinak vyžadovaly zvláštní řídicí jednotku.

V současnosti se hardware SaW skládá z bezpečnostního monitoru (kontrolní a dohlížecí zařízení) a bezpečnostních vstupních členů. K rozšíření již existující sítě typu AS-Interface o bezpečnostní funkce k ní stačí přidat pouze potřebné bezpečnostních komponenty. Řídicí člen sběrnice zachází s bezpečnostními vstupními členy stejně jako s konvenčními a řídí cyklickou výměnu dat. Bezpečnostní monitor sleduje výměnu dat, filtruje bezpečnostní zprávy a určuje, kdy lze stroj zapnout a kdy musí být stroj vypnut. Na jedné sběrnici AS-Interface jsou tudíž zpracovávány dvě různé řídicí úlohy. Konvenční automat řídí stroj nebo proces a bezpečnostní monitor zajišťuje bezpečnost osob a strojů. Technika AS-Interface Safety at Work je schválena k použití až do kategorie bezpečnosti 4 podle normy EN 954-1 a vyhovuje také požadavkům na bezpečnostní úroveň SIL 3 podle normy IEC 61508, pokud jde o bezpečnost přenosu dat.

V současné úrovni techniky SaW je povel k nouzovému vypnutí dáván přes sběrnici AS-Interface, ale bezpečnostní monitor rozpíná pomocné napájení, nebo přímo napájení motoru, podobně jako konvenční reléová technika. V budoucnu lze tedy očekávat vznik bezpečnostních akčních členů, které umožní přijmout přes sběrnici AS-Interface vedle povelu ke spuštění stroje i bezpečnostní povolení spuštění nebo zastavení a spolehlivě je zpracovat. Protože rozlehlá zařízení nelze sledovat jedním bezpečnostním monitorem, je možné předpokládat vývoj bezpečnostních bran (gateway) návazných na vyšší bezpečnostní sběrnice, které by poté mohly nahradit funkci dnešních bezpečnostních monitorů.

Systém AS-Interface s technikou Safety at Work má z hlediska koncových uživatelů zejména tyto výhodné vlastnosti:

  • výměna standardních i bezpečnostně relevantních dat probíhá po jednom fyzickém dvouvodičovém vedení,
  • nejsou nutné speciální řídicí jednotky (PLC) se zabezpečením proti chybám ani speciální řídicí (master) moduly,
  • lze snadno vytvářet skupiny bezpečnostních signálů,
  • je možné využít široké možnosti diagnostiky bezpečnostního monitoru,
  • koncept Safety at Work je certifikován institucemi TÜV a BIA k použití až do kategorie bezpečnsti 4 podle normy EN 954-1,
  • existující sítě lze snadno a rychle rozšířit o bezpečnstní komponenty a funkce SaW,
  • na trhu je nabízena široká paleta komponent pro sběrnici AS-Interface od mnoha výrobců.

Literatura:
[1] BECKER, R. a kol.: AS-Interface, řešení pro automatizaci. AS-Interface Česká republika, 2004, ISBN 80-214-2958-5.
[2] ASiMon-configurator for safety monitor, ver. 2.0.3/03.08.2004. Počítačový program, AS-Interface Safety at Work Consortium, 2004.
[3] AS-i components – technical description. CD-ROM, Sick AG, 2004.

Ing. Radek Štohl, Ph.D.,
Ing. Petr Fiedler, Ph.D.,
Ing. Robert Dubjel,
ústav automatizace a měřicí techniky FEKT VUT v Brně
(stohl@feec.vutbr.cz)

Obr. 6. Pracovní plocha interaktivního konfiguračního softwaru Asimon
Obr. 7. Ukázky diagnostiky v prostředí AsiMon: a) výstupní relé bezpečnostního monitoru sepnuta, b) aktivovaný nouzový vypínač, c) bezpečnostní monitor čeká na splnění podmínek pro spuštění
Obr. 8. Sekvence dotazování řídicího členu na stav bezpečnostního monitoru [2]
Obr. 9. Dotaz řídicího členu na stav zařízení přiřazeného ke kanálu 1 [2]
Obr. 10. Demonstrační panel systému AS-Interface Safety at Work v podobě modelu soustruhu (vlevo)
Obr. 11. Blokové schéma zapojení komponent demonstračního panelu
Obr. 12. Stavový diagram demonstračního panelu „model soustruhu“ (NZV – nouzový vypínač, E-stop – nouzové zastavení)

Příspěvek lze ve formátu PDF stáhnout zde