Aktuální vydání

celé číslo

08

2019

MSV 2019 v Brně

celé číslo

Zajištění bezpečnosti strojů s využitím systému Simatic S7-300F

Článek popisuje způsob realizace bezpečnostních funkcí na rozsáhlejším zařízení – výrobní lince, která je z hlediska bezpečnosti rozdělena na samostatné úseky. U rozsáhlejšího zařízení je návrh bezpečnostních obvodů podstatně složitější než u jednotlivého stroje. V článku je naznačen postup při navrhování obvodů nouzového vypnutí od úvodní analýzy rizika až po vlastní realizaci bezpečnostních funkcí řídicího systému vytlačovací linky při použití FailSafe systému Simatic S7-300F od společnosti Siemens. Obvody nouzového vypnutí realizované s použitím techniky Siemens jsou vhodné jak pro běžná zařízení, tak i pro zařízení s pohony s frekvenčními měniči, kde je nutné řešit bezpečnost složitěji.
 

Obvody nouzového zastavení vytlačovací linky

 
Každý stroj, který může být nebezpečný svému okolí (ohrožení obsluhy, sebe samého či jiných zařízení), musí být opatřen zařízením pro nouzové zastavení. K tomuto zastavení může být použit vypínač pro nouzové zastavení umístěný v silových obvodech, kdy jde o tzv. neřízené zastavení. V případě, že jsou na stroji použity pohony s frekvenčními měniči, se používá tzv. řízené zastavení. Prostřednictvím řídicích obvodů, aktivovaných ovladačem „nouzové zastavení“, se zastaví regulované pohony a po určité časové prodlevě se měniče odpojí od napájení. Při aktivaci obvodů zajišťujících nouzové zastavení stroje musí být odpojeny všechny spotřebiče na stroji, které mohou být přímým zdrojem nebezpečí.
 
Zařízením, které může být potenciálně nebezpečné z hlediska úrazu obsluhy, je také vytlačovací linka běhounu na výrobu pneumatik. Linka se skládá ze tří úseků: z hlavní vytlačovací linky, pomocné linky a společného extrudéru. Každý úsek je tvořen několika navzájem spolupracujícími stroji. Každý ze strojů má své vlastní obvody nouzového zastavení. Jsou-li aktivovány obvody nouzového zastavení na jednom ze strojů, musí se zastavit nejenom tento stroj, ale i navazující stroje a příslušný úsek linky. Úseky linky jsou z hlediska bezpečnosti navzájem nezávislé. Výsledkem je poměrně složitý systém bezpečnostních obvodů.
 

Požadavky na funkční bezpečnost obvodů nouzového zastavení

 
Při vypracovávání návrhu obvodů nouzového zastavení je nejprve třeba stanovit riziko provázející provoz strojního zařízení a z něj pak potřebnou kategorii bezpečnosti obvodů nouzového zastavení. Odhad rizika je důležitým krokem k zajištění toho, že stroj bude splňovat požadavky všech zákonných předpisů. V tomto prvním kroku jsou v plném rozsahu identifikována nebezpečí (rizika) všeho druhu ještě před tím, než se přistoupí v vlastnímu projektování bezpečnostních obvodů stroje. Při navrhování konkrétního zařízení musí být vždy zevrubně přezkoumány všechny specifické rysy dané úlohy. Zejména je třeba vzít v úvahu veškeré vnější vlivy a místní podmínky a také speciální předpisy platné pro daný typ stroje a předpokládané použití stroje, včetně rozumně předvídatelného nesprávného použití apod.
 
Stanovit potřebnou kategorii bezpečnosti 1 až 4 obvodů nouzového zastavení ve vazbě na riziko podle platných norem lze při použití grafické metody (obr. 1). Norma EN 954-1 rozlišuje pět kategorií požadavků na bezpečnostní části řídicího systému, přičemž jednotlivé kategorie definují schopnost bezpečnostních částí odolávat závadám.
 
Po určení kategorie bezpečnosti podle obr. 1 je třeba stanovit kategorii funkce nouzového zastavení. Funkce nouzového zastavení (funkce STOP) se dělí do těchto tří kategorií:
  • kategorie 0: neřízené zastavení bezpečnostním vypnutím, tj. zastavení pohybu stroje vypnutím přívodu energie do pohonů stroje, přičemž jsou v činnosti všechny brzdy a mechanické přístroje určené k zastavení stroje,
  • kategorie 1: řízené zastavení, kdy jsou pohony stroje napájeny tak, aby se dosáhlo zastavení všech částí stroje, a přívod energie k pohonům je odpojen teprve po celkovém zastavení stroje,
  • kategorie 2: řízené zastavení, při kterém akční členy řídicího systému zůstávají pod napětím.
Každý stroj musí být vybaven řídicí funkcí STOP kategorie 0, a vyžadují-li to bezpečnost a funkční potřeby stroje (jsou-li např. použity pohony s měniči), musí být stroj vybaven i funkcí STOP kategorie 1 nebo kategorie 2.
 

Možná provedení obvodů nouzového zastavení

 
Podle shora stanovených kritérií se určí způsob provedení obvodů nouzového zastavení. Obvod může být proveden pouze technickými prostředky (na úrovni hardwaru), tzn. použije se speciálně vyráběný bezpečnostní modul zapojený podle stanovené kategorie bezpečnosti a funkčních potřeb. Flexibilnější způsob je využít bezpečný průmyslový automat, v němž lze nakonfigurovat všechny potřebné funkce.
 
Funkci bezpečnostního modulu lze ve stručnosti popsat následovně: řídicí přístroj (vypínač ovládaný tlačítkem) snímá požadavek na aktivaci bezpečnostní funkce, a jestliže se tento požadavek objeví, bezpečnostní modul vydá povel k vykonání bezpečnostní funkce. Tento povel je propojovacím vedením přenesen na akční člen (např. relé, stykač apod.), který vykonává zásah vedoucí k dosažení bezpečného stavu zařízení (zastavení stroje). V bezpečném stavu zařízení zůstává do té doby, než je příslušný nouzový vypínač uvolněn a je potvrzeno, že pominulo nebezpečí. Ukončení bezpečného stavu ovšem nesmí vést k opětovnému spuštění stroje.
 
Všechny uvedené funkce bezpečnostního modulu lze zkonfigurovat (naprogramovat) v bezpečnostním automatu. Vhodnou konfigurací jeho modulů I/O lze splnit požadavky příslušné kategorie bezpečnosti.
 

Technika Siemens pro realizaci bezpečnostních obvodů

 
Firma Siemens dodává pro realizaci bezpečnostních obvodů bezpečnostní, tzv Fail-Safe systémy ve dvou řadách. Jsou to řady:
  1. Distributed Safety s procesorovými jednotkami řady S7-300F, např.CPU-315F nebo IM151F, což je systém určený pro úlohy menšího rozsahu,
  2. F-Systems s procesorovými jednotkami řady S7-400F, např. CPU-416F, jako systém určený pro rozsáhlejší úlohy.
Součástí uvedených systémů jsou speciální bezpečné moduly I/O řady ET200M nebo ET200S. Tyto moduly jsou v názvu označeny písmenem F, např. SM326F (8× DI). Podle požadované kategorie bezpečnosti 1 až 4 se vytvoří projekt připojení snímačů a akčních členů k těmto bezpečným modulům. Moduly se podle projektu zapojí a zkonfigurují.
 
Bezpečnostní funkce systému je zajišťována již na úrovni bezpečných modulů I/O. V modulech jsou signály zpracovány tak, aby softwarová část systému pracovala s platnými, tj. bezpečnými signály. Například signál ze snímače typu ano/ne připojený podle obr. 2 je platný, pouze jestliže je napětí označené Vs přivedeno jen na jeden z dvojice kanálů DI. Kdyby se napětí objevilo na obou kanálech nebo nebylo na žádném z kanálů, vyhodnotí modul neplatný signál na vstupu. Procesor nastaví pro daný vstup stav poruchy a modul je deaktivován. Modul zůstává deaktivován až do okamžiku, kdy je odstraněna příčina poruchy připojeného signálu a toto je potvrzeno operátorem.
 
Softwarová část bezpečnostního systému zpracovává signály ze vstupních modulů s použitím bezpečných funkcí. Zpracované výsledky předává do výstupních modulů. Bezpečné funkce se liší podle druhu systému (Distributed Safety, popř. F-Systems). Použití funkcí má určitá pravidla, která musí programátor dodržet.
 
Spojením bezpečného zpracování signálů na úrovni hardwaru s bezpečným zpracováním těchto signálů řídicím programem je zajištěna požadovaná kategorie bezpečnosti celého řídicího systému.
 

Realizace obvodů nouzového zastavení vytlačovací linky

 
Pro modernizaci obvodů nouzového zastavení vytlačovací linky byla zvolena bezpečnostní jednotka Simatic IM151F-CPU řady Distributed Safety. Tato jednotka vychází z decentralizovaných jednotek IM151 řady ET200S a navíc obsahuje procesorovou jednotku umožňující řešit bezpečnostní úlohy s bezpečnostním certifikátem (FailSafe). Všechny signály nouzového zastavení jsou připojeny do bezpečnostních modulů řady IM151-HF, které jsou modulárně součástí decentralizované jednotky. Celá decentralizovaná jednotka je připojena k řídicímu systému vytlačovací linky přes rozhraní Profibus-DP.
 
Vývojovým prostředím v daném případě je programovací nástroj Step7, stejně jako u všech ostatních procesorů řady S7-300. Pro běžné řídicí úlohy samotné vývojové prostředí Step7 postačuje. Pro bezpečnostní úlohy však bylo nutné základní vývojové prostředí doplnit o modul S7 Distributed Safety Programming (obr. 3). S tímto modulem se nainstalují bezpečnostní moduly do hardwarové konfigurace, knihovny bezpečnostních funkcí a prostředky pro kompilaci bezpečné části vytvořeného programu. Struktura řídicího programu byla zvolena s ohledem na požadavky rozdělení jednotlivých úseků vytlačovací linky.
 
Při tvorbě bezpečnostních funkcí bylo nutné dodržet určitá pravidla, která systém vyžaduje. Základním pravidlem je, že pro zpracování vstupních bezpečných signálů lze použít pouze bezpečnostní funkce. Při vytváření logických závislostí je možné použít logické funkce s použitím bezpečných proměnných z vyhrazených (bezpečných) datových bloků. Pro samotnou funkci nouzového zastavení byla využita funkce s názvem F_ESTOP1, která je součástí knihovny Distributed Safety (viz obr. 3). Tato funkce splňuje všechny požadavky kladené na obvody nouzového zastavení. Splňuje také požadavek řízeného zastavení, nutného pro zastavení pohonů s frekvenčními měniči.
 

Závěr

 
Popsané provedení obvodů nouzového zastavení vytlačovací linky bylo navrženo zkušenými odborníky firmy Compas automatizace, která dvacet let působí na trhu jako přední dodavatel v oboru automatizace nespojitých i spojitých průmyslových procesů. Aby byl projekt úspěšný a řešení skutečně „bezpečné“, musí realizaci předcházet kvalitní inženýrská činnost od zpracování analýzy rizik, přes vlastní technický návrh po jeho provedení a kvalitní zdokumentování. Použití bezpečné techniky pro realizaci obvodů nouzového zastavení má mnoho předností. Hlavní předností je, stejně jako u všech programovatelných řídicích systémů, možnost změnit funkci a členění nouzového zastavení celé vytlačovací linky bez zásahů do zapojení jejích elektrických obvodů. K flexibilnímu řešení bezpečnostních funkcí je třeba použít odpovídající a spolehlivou automatizační techniku. Vzhledem k tomu, že celá linka je řízena programovatelnými automaty (PLC) řady Simatic a pracovníci údržby u provozovatele linky již mají zkušenosti a prostředky pro diagnostiku této techniky, je využití techniky Siemens Distributed Safety přirozeným rozšířením instalované základny a znalostí pracovníků podniku.
 
Ing. Jiří Petr,
Ing. Vlastimil Braun,
 
Obr. 1. Grafická metoda stanovení bezpečnostní kategorie obvodů nouzového zastavení
Obr. 2. Příklad zapojení snímače typu ano/ne v bezpečnostní kategorii 4
Obr. 3. Tvorba bezpečnostních funkcí v prostředí S7 Distributed Safety Programming