Aktuální vydání

celé číslo

12

2020

Systémy DCS pro kontinuální a dávkové výrobní procesy

Provozní analytická technika

celé číslo

Jak nejlépe dosáhnout funkční bezpečnosti strojních zařízení?

Se spínací technikou Sirius a efektivními řešeními bezpečnostních úloh od společnosti Siemens, která jsou známá pod názvem Safety Integrated, lze zajistit nejen ochranu pracovníků, strojů a životního prostředí, ale i maximální ekonomickou efektivitu a flexibilitu.

Příčiny ohrožení i technická opatření k jejich snížení jsou různorodé. Různé jsou i druhy bezpečnosti. Rozlišuje se např. ochrana před úrazem elektrickým proudem, před teplem nebo ohněm či před nebezpečným pohybem zařízení. Funkční bezpečnost je pouze část celkové bezpečnosti, na níž závisí správné fungování bezpečnostních částí strojního zařízení. Společnost Siemens doporučuje a nabízí řešení, která umožňují kombinovat bezpečnostní funkce.

Úvod

Zcela výjimečně na stroji vystačíme pouze s jedinou bezpečnostní funkcí. Jednotlivé bezpečnostní funkce, k nimž patří např. nouzové zastavení, monitorování polohy ochranných krytů, monitorování pohybu osob v blízkosti strojního zařízení, monitorování provozních a nulových otáček nebo dvouruční ovládání, je zpravidla nutné vzájemně kombinovat, a to tak, aby celkové zbytkové riziko stroje bylo na přijatelné úrovni a zároveň nebyla omezena produktivita strojního zařízení.

Sériové zapojení bezpečnostních senzorů

Přístroje, které snímají požadavek na bezpečnostní funkci (dále v článku uvedeny jen jako bezpečnostní senzory), je možné za určitých podmínek zapojit do série. Tlačítka nouzového zastavení a polohové (koncové) spínače k monitorování uzavření ochranných krytů smějí být zapojeny do série do úrovně funkční bezpečnosti podle SIL 2 (ČSN EN 62061) nebo úrovně bezpečnostních vlastností PL d (ČSN EN ISO 13849-1), je-li možné vyloučit, že tlačítko nouzového zastavení a ochranný kryt budou ovládány současně. V opačném případě by nebyl splněn požadavek detekce každé jednotlivé závady.

Kaskáda bezpečnostních funkcí

Jsou-li propojeny dvě části strojního zařízení nebo více tak, že požadavek na bezpečnostní funkci v jedné z částí zařízení (část A) vyvolá bezpečnostní funkci v jiné části („cílová“ část B), musí být přenos tohoto bezpečnostního řídicího signálu zajištěn minimálně se stejnými požadavky na úroveň bezpečnosti jako v části zařízení, v níž je bezpečnostní funkce vyvolána (část B).

Pro názornost uveďme příklad. Strojní zařízení se skládá z částí 1 a 2, v každé z nich je umístěno tlačítko nouzového zastavení, přičemž část 1 splňuje požadavky SIL 3/PL e, část 2 požadavky SIL 2/PL d (požadovaná úroveň bezpečnosti vyplývá z analýzy rizik). Zatímco stisknutí tlačítka nouzového zastavení v části 2 vyvolá požadovanou bezpečnostní funkci jen v této části zařízení, stisknutím tlačítka nouzového zastavení v části 1 se vybaví bezpečnostní funkce v obou částech strojního zařízení.

Protože „cílová“ část 2 splňuje požadavky SIL 2/PL d, musí být přenos bezpečnostního signálu z části 1 do „cílové“ části 2 realizován rovněž s požadavky na SIL 2/PL d. Vodiče pro přenos bezpečnostního signálu musí být uložené tak, aby nemohlo nastat křížové spojení obvodů, popř. musí být bezpečnostní signál přenášen komunikací s bezpečnostním protokolem, např. ASIsafe. Tlačítka pro potvrzení poruchy a spuštění zařízení musí být instalována na takovém místě, aby nebezpečný prostor zařízení byl dobře viditelný.

To, zda má být každá část zařízení vybavena vlastním tlačítkem, závisí na analýze rizik. Přenos bezpečnostního signálu v rámci rozváděče smí být realizován jednokanálově až do SIL 3/PL e, protože uložení vodičů v rozváděči je považováno za odolné proti křížovému spojení (vyloučení závady ve smyslu ČSN EN 13849-2).

Příklady úloh s typickými kombinacemi bezpečnostních funkcí

V příkladech se používají přístroje, které jsou součástí průmyslové bezpečnostní platformy Sirius Safety Integrated, jejichž seznam zájemci najdou na webových stránkách technické podpory společnosti Siemens https://support.industry.siemens.com. Zároveň si zde mohou stáhnout schémata zapojení, nastavení parametrů a logická schémata zapojení pro parametrizovatelná relé 3SK2 nebo 3RK3, data CAx (www.siemens.com/cax) použitých přístrojů a postup ověření dosažené úrovně bezpečnosti včetně souboru pro import do aplikace Safety Evaluation Tool (www.siemens.de/safety-evaluation-tool).

Přístup k datům CAx a do Safety Evaluation Tool je zdarma po registraci, popř. lze využít současnou registraci do portálu Siemens Service & Support Portal nebo do online katalogu Industry Mall.

Literatura:

[1] ČSN EN 62061. Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností. Praha: ČNI, 2005.

[2] ČSN EN ISO 13849-1. Bezpečnost strojních zařízení – Bezpečnostní části ovládacích systémů. Část 1: Všeobecné zásady pro konstrukci. Praha: ČNI, 2008.

[3] ČSN EN 13849-2. Bezpečnost strojních zařízení Bezpečnostní části ovládacích systémů. Část 2: Ověřování. Praha: ČNI, 2004.

[4] Safety Evaluation Tool. SIRIUS Safety Integrated: Technical Support [online]. München: Siemens AG [cit. 2016-08-29]. Dostupné z: www.siemens.de/safety-evaluation-tool

[5] SIRIUS Safety Integrated: Emergency stop and protective door monitoring to SIL 3 or PL e with a safety relay. SIRIUS Safety Integrated: FAQ [online]. München: Siemens AG, 2016 [cit. 2016-08-29]. Dostupné z: https://support.industry.siemens.com/cs/ww/de/view/74562495

[6] SIRIUS Safety Integrated: Cascading of safety relays to SIL 3 or PL e. Sirius Safety Integrated: FAQ [online]. München: Siemens AG, 2016 [cit. 2016-08-29]. Dostupné z: https://support.industry.siemens.com/cs/ww/en/view/77282496

[7] Safe slave-to-slave communication between several plant sections to SIL 3 or PL e via AS-i. Sirius Safety Integrated: Application example [online]. München: Siemens AG, 2014 [cit. 2016-08-29]. Dostupné z: https://support.industry.siemens.com/cs/ww/en/view/88823146

[8] Failsafe and standard cross communication of the MSS 3RK3 via AS-Interface. Sirius Safety Integrated: FAQ [online]. München: Siemens AG, 2012 [cit. 2016-08-29]. Dostupné z: https://support.industry.siemens.com/cs/ww/de/view/58512565

[9] Sirius ACT Sensor Buttons in Two-Hand Control Station. Sirius Safety Integrated: FAQ [online]. München: Siemens AG, 2015 [cit. 2016-08-29]. Dostupné z: https://support.industry.siemens.com/cs/ww/en/view/109479531

Ing. Zdeněk Bekr,
Siemens, s. r. o.

 

 Nouzové zastavení a monitorování ochranného krytu, SIL 3/PL e

K ohraničení nebezpečných zón v dosahu stroje se často využívá oplocení s brankami, které dovolují přístup povolaným osobám. Poloha branky je monitorována koncovým spínačem. Při otevření branky se strojní zařízení nebo jeho příslušná část uvede do bezpečného stavu. Další možností je monitorování polohy branky s blokováním (uzamčením) branky v ochranné poloze. V tomto případě je přístup možný jedině po ukončení pracovního cyklu stroje a nebo na vyžádání stisknutím tlačítka u branky.

Kromě toho je monitorováno tlačítko nouzového zastavení pro případné uvedení stroje do bezpečného stavu obsluhou v nouzi.

Popis zapojení (obr. 1)

Bezpečnostní relé monitoruje jednokanálově každý koncový spínač ochranného krytu (branky). Tlačítko nouzového vypnutí je dvoukanálově připojeno ke vstupnímu rozšiřovacímu modulu 3SK1220-1AB40. Stisknutím tlačítka nouzového zastavení nebo při otevření krytu zastaví uvolňovací obvody bezpečnostního relé 3SK1121-1AB40 prostřednictvím redundantní stykačové kombinace s tzv. zrcadlovým kontaktem motor. Další provoz stroje je možný, jsou-li splněny všechny podmínky pro jeho spuštění: kryt je v ochranné poloze, tlačítko nouzového zastavení je opět odaretováno a obvod zpětné vazby, v němž jsou zapojeny zrcadlové kontakty redundantní stykačové kombinace, je uzavřen. Další podrobnosti viz [5].

Kaskáda bezpečnostních funkcí nouzové vypnutí a monitorování ochranného krytu, SIL 3/PL e

Kaskádní zapojení bezpečnostních relé slouží k logickému propojení několika bezpečnostních funkcí, především k vytvoření závislosti nadřízená-podřízená bezpečnostní funkce a k selektivnímu vypínání částí zařízení.

Popis zapojení (obr. 2)

Obě bezpečnostní relé jsou propojena pomocí tzv. kaskádních vstupů. Je-li stisknuto tlačítko nouzového zastavení připojené k bezpečnostnímu relé pohonu 1, musí se zastavit oba dva pohony. Otevře-li se ochranný kryt pohonu 2, musí se zastavit pouze pohon 2 v této části zařízení. Funkce nouzové zastavení je tudíž nadřazena funkci monitorování ochranného krytu pohonu 2. Restart pohonu 2 je automatický a se zavřením ochranného krytu se motor může okamžitě rozběhnout. Jsou-li oba pohony zastaveny funkcí nouzové zastavení, je nutné ručně restartovat každý z nich samostatně. Společné restartovací tlačítko lze použít jen tehdy, jsou-li všechny nebezpečné prostory dobře viditelné z místa, kde je restartovací tlačítko umístěno.

Je-li každé bezpečnostní relé umístěno v jiném rozváděči, je nutné zajistit adekvátní uložení propojovacích vodičů tak, aby byly odolné proti křížovému spojení. Další podrobnosti viz [6].

Přenos několika bezpečnostních signálů mezi částmi strojního zařízení

Je-li nutné přenést několik bezpečnostních signálů mezi jednotlivými částmi strojního zařízení, lze využít přednosti průmyslové sítě AS-Interface (AS-i) s protokolem ASIsafe. Komunikaci řídí master, který může být integrován do řídicího systému Simatic S7 nebo je samostatný (stand alone), nezávislý na použitém řídicím systému. Přenášejí-li se bezpečnostní signály pouze v rámci sítě AS-i, není nutné bezpečnostní PLC. Bezpečnostní signály protokolu ASIsafe monitoruje a vyhodnocuje modulární bezpečnostní systém MSS 3RK3 ASIsafe nebo 3RK3 Advanced. K nastavení parametrů a vytvoření logického schématu bezpečnostního řízení je určen software Sirius Safety ES.

Popis zapojení (obr. 3)

Obě části zařízení jsou vzájemně nezávislé. Jestliže je jedna část zařízení pomocí bezpečnostní funkce uvedena do bezpečného stavu, do sítě AS-Interface (žlutý kabel) je o tom vyslán bezpečností signál, který je vyhodnocen bezpečnostním modulárním systémem MSS 3RK3 v druhé části zařízení a zpracován podle uloženého logického schématu. Kromě toho lze mezi oběma částmi stroje přenášet diagnostické a pomocné signály. Více viz [7] a [8].

Dvouruční ovládání kapacitními tlačítky, SIL 3/PL e

Pult dvouručního ovládání se kromě hřibového tlačítka nouzového zastavení skládá ze dvou elektromechanických nebo bezkontaktních kapacitních tlačítek 3SU1200-1SK10-2SA0, která jsou konstruována k ovládání stroje dotykem. Obsluha tedy nemusí vynaložit tlak na stisknutí tlačítka. Aby došlo ke spuštění příslušné funkce strojního zařízení, musí být obě tlačítka stisknuta současně s tolerancí 0,5 s. Poloha obou rukou obsluhy je tak během trvání nebezpečí vázána na tlačítka.

Popis zapojení (obr. 4)

K monitorování časového souběhu 0,5 s včetně křížového spojení mezi oběma kanály je určeno hardwarově parametrizovatelné bezpečnostní relé 3SK1 Advanced nebo softwarově parametrizovatelné bezpečnostní relé 3SK2, popř. modulární bezpečnostní systém MSS 3RK3. Tlačítko nouzového zastavení je připojeno k vstupnímu rozšiřovacímu modulu 3SK1220, který je se základním modulem 3SK1 Advanced propojen pomocí patic 3ZY1212 (povinné příslušenství). Výstupy bezpečnostního relé uvolňují spuštění pohonu prostřednictvím redundantní stykačové kombinace 3RT2. Více viz [9].

Bezpečnostní vypnutí motoru

Výstupy bezpečnostních relé uvolňují spuštění motoru zpravidla pomocí měniče frekvence nebo redundantní stykačové kombinace, místo níž lze pro motory do 7 A (3 kW, 400 V) použít výkonový bezpečnostní modul spouštěče 3RM1 failsafe. Provozní zapínání a vypínání i bezpečnostní vypnutí motoru je tak možné řídit jedním bezpečnostním výstupem, při reverzačním spouštění dvěma výstupy. Monitorování stavu spouštěče pomocným rozpínacím zrcadlovým kontaktem (tzv. nucené vedení rozpínacího kontaktu) jako u stykače přitom není nutné, protože spouštěče 3RM1 failsafe jsou vybaveny vlastním monitorováním stavů v souladu s požadavky na dosažení úrovně integrity SIL 3 podle ČSN EN 62061, popř. s požadavky na úrovně vlastností PL e podle ČSN ISO 173849-1. Všechny spouštěče 3RM1 failsafe mohou spouštět a chránit proti přetížení motory určené do prostředí s nebezpečím výbuchu (certifikace ATEX). Realizace bezpečnostního řetězce „senzor – vyhodnocení – reakce“ se podstatně zjednoduší. V porovnání s tradičně zapojenými modulárními motorovými vývody je zapojení se spouštěči Sirius 3RM1 kompaktnější, menší (šířka přímého i reverzačního vývodu je pouze 22,5 mm), jednodušší, protože vývod obsahuje méně přístrojů a vyžaduje méně propojování, a hospodárnější, neboť se dosáhne rychlejšího propojení s nižší chybovostí. Bezpečnostní signál pro vypnutí až pěti spouštěčů se přenáší propojovacími napájecími paticemi, další pětici spouštěčů je možné připojit k dalšímu z reléových nebo tranzistorových výstupů stejného základního nebo rozšiřovacího bezpečnostního modulu.

 Obr. 1. Schéma zapojení nouzového zastavení a monitorování ochranného krytu

Obr. 2. Schéma zapojení kaskády bezpečnostních funkcí nouzového vypnutí a monitorování ochranného krytu

Obr. 3. Schéma zapojení pro přenos několika bezpečnostních signálů mezi dvěma částmi strojního zařízení

Obr. 4. Schéma zapojení dvouručního ovládání s kapacitními tlačítky