home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Machineveiligheidsfuncties in aandrijvingen met variabele snelheid

Algemene principes van veiligheidsfuncties in elektronische apparatuur

Deze blog geeft een inleiding tot het gebruik van frequentieregelaars in machineveiligheidsfuncties. Het is bedoeld om diegenen te helpen die bekend zijn met AC-omvormers, maar minder met veiligheidsgerelateerde besturingssystemen. Het moet de lezer helpen de principes te begrijpen en toegang te krijgen tot de grote hoeveelheid gedetailleerd materiaal die beschikbaar is over veiligheidsgerelateerde systemen.

De term "functionele veiligheid" wordt gebruikt waar elektrische, elektronische of programmeerbare apparatuur wordt gebruikt om functies uit te voeren die de veiligheid van mensen beïnvloeden. Dit is een enorm onderwerp, dat diverse toepassingen omvat, zoals spoorwegsignalisatie en de bewaking en controle van grote procesinstallaties waar veel mensen gevaar kunnen lopen bij een ongeval. In aandrijftoepassingen verwijst het echter meestal naar een soort machine, waarbij het besturingssysteem kan worden gebruikt om een ​​situatie te voorkomen waarin een persoon het risico loopt op letsel door de bediening van de machine. Een eenvoudig voorbeeld is een veiligheidsbarrière, die vaak moet worden geopend om toegang te krijgen tot een deel van de machine, maar wanneer deze geopend is, mag de machine niet kunnen werken. Er kan een systeem van sensoren en actuatoren worden ontworpen om de toestand van de slagboom te detecteren en de machine te besturen.

Met de beschikbaarheid van intelligente programmeerbare apparatuur zoals PLC's en digitale VSD's, kunnen veiligheidssystemen flexibeler en intelligenter zijn dan dit voorbeeld, waardoor een flexibele werking mogelijk is terwijl de veiligheid behouden blijft. Het kan bijvoorbeeld mogelijk zijn om verder te gaan met verminderde snelheid wanneer een slagboom open is, mogelijk op voorwaarde dat een speciale veiligheidssleutel wordt bediend door een gekwalificeerd persoon, of misschien wanneer het gezicht van die persoon wordt herkend, of een andere voorzorgsmaatregel.

Foutmodi

De cruciale factor bij veiligheidsfuncties is dat de betrouwbaarheid van de functie aanzienlijk beter moet zijn dan kan worden bereikt met eenvoudige elektrische, elektronische of programmeerbare apparatuur. Hoe goed de kwaliteit van een conventioneel elektrisch of elektronisch circuit ook is, er kunnen fouten optreden in onderdelen die ertoe leiden dat de vereiste veiligheidsfunctie niet wordt uitgevoerd, maar zonder dat de fout duidelijk wordt. Hardware voor veiligheidsfuncties moet daarom worden ontworpen met ingebouwde zelftest- of "fail-safe"-functies. Tijdens de productontwikkeling moeten de effecten van hardwarestoringen worden geanalyseerd in een Failure Modes and Effects Analysis (FMEA) en potentieel gevaarlijke storingsmodi ontwerp tot een zeer laag niveau moet worden teruggebracht. Een typisch doelwit voor de PFHD (kans op falen in een gevaarlijke richting) voor integriteitsniveau SIL3 zou 10 -8 zijn per uur, d.w.z. een uitvalpercentage van minder dan één per 10.000 jaar. Dergelijke lage uitvalpercentages vereisen altijd speciale constructies in elektronische besturingssystemen. Merk op dat we verwijzen naar willekeurige storingen die optreden tijdens de beoogde levensduur van de apparatuur, en niet naar de levensverwachting. Onderdelen met bekende slijtagemechanismen binnen de beoogde levensduur van het systeem kunnen worden beheerd door middel van gepland onderhoud.

Besturingsstructuren

In de meeste toepassingen waarbij aandrijvingen betrokken zijn, wordt de veiligheid van een vaste machine aangepakt, en de meest gebruikelijke optie is om twee onafhankelijke kanalen te gebruiken voor de veiligheidsfunctie, waarbij kruiscontroles zijn aangebracht zodat in het geval van een discrepantie de aandrijving stopt, d.w.z. de aandrijfkoppel stopt. Bij de meeste machines resulteert dit in een veilige toestand. Voor een machine zoals een takel die zonder aandrijving onder de zwaartekracht zou kunnen bewegen, moeten maatregelen worden genomen om ervoor te zorgen dat er geen gevaar kan ontstaan ​​wanneer het aandrijfkoppel wegvalt.

Afbeelding 1 illustreert een eenvoudig tweekanaals veiligheidssysteem dat ook wel een "één op twee"- of 1oo2-systeem wordt genoemd, wat betekent dat als een van de twee kanalen om een ​​stop vraagt, de machine stopt. Dit is de meest gebruikelijke regeling voor een machineveiligheidscontrolesysteem. Een storing in de sensor of de signaalverwerkingsprocessor leidt niet tot verlies van de veiligheidsfunctie. Merk op dat figuur 1 alleen een functioneel diagram is, de "EN-poort" aan de uitgang is geen eenvoudige logische chip, omdat dat een enkelvoudig faalmechanisme zou introduceren als de logische chip zou falen. Het kan een tweekanaals STO-ingang op de schijf zijn, of een andere methode waarbij de veelvoorkomende storing van een enkel apparaat wordt geëlimineerd.

De grijs weergegeven diagnostische functie is meestal nodig om een ​​continue veiligheid te garanderen, want zonder deze functie, hoewel een storing in één kanaal niet leidt tot uitval van de veiligheidsfunctie, zou het mogelijk zijn dat de machine voor onbepaalde tijd blijft werken met één kanaal in de onveilige staat. Een tweede storing zou dan tot een gevaarlijke situatie leiden.

Afbeelding 1:Eén-op-twee besturingsstructuur

Software/firmware

Het gebruik van embedded processors met firmware en software introduceert een nieuwe dimensie in functionele veiligheid. De software heeft geen willekeurige fouten, maar vanwege de complexiteit is het moeilijk om ervoor te zorgen dat deze onder alle omstandigheden en opeenvolging van gebeurtenissen werkt zoals bedoeld. Dit kan niet worden bewezen door een test van het volledige systeem als een "zwarte doos" - de software moet zijn geschreven in een goed gedefinieerde taal met maatregelen om codeerfouten te voorkomen, en zorgvuldig gestructureerd in modules die kunnen worden gespecificeerd en getest bij elke stap. Ook moet worden bewezen dat de modules niet nadelig kunnen worden beïnvloed door andere activiteiten in het processorsysteem, en dit is moeilijk als andere niet-veiligheidscode op dezelfde processor draait.

De noodzakelijke discipline van het maken van een duidelijke eenduidige specificatie, met een testplan en het grondig documenteren van het proces, geldt zowel voor het schrijven van de code als voor het ontwerpen van het complete systeem.

Een belangrijke controle over de softwarekwaliteit is het onderscheiden van een "beperkte variabiliteitstaal" (LVL) van een "volledige variabiliteitstaal" (FVL). De LVL is beperkt tot het configureren van vooraf goedgekeurde modules met goed gedefinieerde functies op een beperkte manier, zodat het resultaat kan worden getest met een eenvoudig sequentieel testprogramma. De LVL zou zijn gemaakt met behulp van een FVL zoals C++ enz., die een volledig rigoureus ontwerpproces had ondergaan en vervolgens buiten toegang werd vergrendeld door de LVL-programmeur.

Het gemak waarmee software kan worden gewijzigd, betekent ook dat er een veilig systeem van versiebeheer moet zijn, inclusief het voorkomen van ongeoorloofde wijzigingen.

Drive-applicaties

Veel veiligheidsfuncties, die eenvoudige sequenties en combinaties van ingangen om uitgangen te besturen, omvatten, kunnen worden geïmplementeerd in een PLC met speciale functies om gevaren door hardware- en softwarefouten te voorkomen, d.w.z. een "veiligheids-PLC". Er zijn echter toepassingen waarbij de drive bijzonder goed geplaatst is om dergelijke functies kosteneffectief te implementeren:

  • Preventie van de aandrijving – de frequentieregelaar heeft unieke eigenschappen die passen bij de laatste schakel in de veiligheidsketen, namelijk het voorkomen van de ontwikkeling van koppel in de motor wanneer dat nodig is, met een zeer hoge integriteit. Dit wordt gedefinieerd als Safe Torque Off (STO).
  • Beperking van het bewegingsbereik, inclusief koppel, versnelling, snelheid, richting of positie, hetzij in absolute waarden, hetzij in relatieve waarden, zoals positieverhogingen. De omvormer bestuurt deze variabelen en heeft vaak nauwkeurige en snel reagerende metingen ervan, b.v. via een as- of positie-encoder, of eventueel door het gedrag van de motorspanning en -stroom te observeren. Als deze aandrijfgerelateerde functies worden gecombineerd met enkele eenvoudige combinatorische en sequentiële logica voor invoer van machinesensoren zoals poortschakelaars en sleutelschakelaars, kan een grote klasse aan veiligheidstoepassingen worden geïmplementeerd.

Normen voor veiligheidsgerelateerde onderdelen van machinebesturingssystemen

De noodzaak van streng beheer en implementatie van het ontwerp van veiligheidssystemen betekent dat de relevante internationale normen complex en compact zijn. In deze notitie kijken we naar enkele belangrijke kenmerken van de normen die het meest relevant zijn voor machineveiligheid.

Internationale normen worden voorafgegaan door ISO of IEC. Europese CENELEC-normen worden voorafgegaan door EN. We zullen hier de EN-versies bekijken, de internationale formulieren gebruiken dezelfde nummers met verschillende voorvoegsels. De EN-versies hebben de status van geharmoniseerde normen voor de EG-machinerichtlijn.

EN ISO 12100 beschrijft hoe de machinerisicobeoordeling moet worden uitgevoerd, wat resulteert in de toewijzing van veiligheidsfuncties aan het besturingssysteem indien nodig. Dit is een essentiële voorloper voor het juiste ontwerp van de veiligheidsgerelateerde besturing en is de verantwoordelijkheid van de machineontwerper.

EN 61800-5-2 is een norm voor functionele veiligheid van aandrijfsystemen. Het definieert een aantal functies[1] die bijzonder geschikt zijn voor aandrijvingen, ook wel aangeduid als "aangewezen veiligheidssubfuncties", zoals Safe Torque Off (STO), Safely-limited speed (SLS) enz. De veiligheidsintegriteit van een volledige veiligheidsfunctie wordt gemeten door de SIL, die waarden kan aannemen van 1 (laagste) tot 3. Aangezien de omvormer een subsysteem is van een volledig veiligheidsgerelateerd besturingssysteem, wordt dit de "SIL-mogelijkheid" genoemd.

EN 62061 is een norm voor elektrische/elektronische/programmeerbare besturingssystemen van machines, die dezelfde SIL-metriek gebruikt als EN 61800-5-2

EN ISO 13849-1 is een standaard voor besturingssystemen van machines, inclusief niet-elektrische systemen. Het gebruikt een andere maatstaf, het prestatieniveau (PL) en categorie (van B tot 4). Een aanvullende norm EN ISO 13849-2 omvat "Validatie", inclusief richtlijnen over welke fouten moeten worden overwogen en die kunnen worden verdisconteerd ("uitsluitingen van fouten").

De basis van veel standaardisatie van veiligheidsgerelateerde elektrische/elektronische/programmeerbare systemen is de EN 61508- # series, delen 1 t/m 7. Dit zijn op zich geen geharmoniseerde normen, aangezien ze betrekking hebben op alle systemen en niet alleen op besturingssystemen voor machines.

Veiligheidsintegriteitsniveaus

De vereiste SIL of PL voor een bepaalde veiligheidsfunctie is gekoppeld aan de mate van risico die de functie moet mitigeren, d.w.z. de waarschijnlijkheid en ernst van een mogelijk letsel. Het proces om dit te beslissen begint met de risicobeoordeling van de machine, die wordt beschreven in EN ISO 12100 . Regels voor het afleiden van de vereiste SIL of PL worden gegeven in EN 62061 en EN ISO 13849-1 .

Safe Torque Off in inverter-aandrijvingen (STO)

De meest elementaire veiligheidsfunctie die een aandrijving kan bieden, is STO. Een inverter-aandrijving die een inductiemotor bestuurt, is bijzonder geschikt voor deze functie, omdat de inverter-vermogenstrap continu actief moet zijn met een complex en goed gecontroleerd PWM-schakelpatroon voor de meeste vermogenshalfgeleiders om enig koppel in de motor te produceren. Afbeelding 2 illustreert de basisvermogensstructuur van de omvormer.

Afbeelding 2:Basisvermogensstructuur van DC-linkomvormer

De motor heeft een roterend magnetisch veld nodig om koppel te produceren, dat alleen kan worden gegenereerd door de zes vermogenstransistoren volgens een complex en goed gedefinieerd schakelpatroon dat een driefasige spanning genereert die is ingesteld op de uitgangsklemmen. Bij afwezigheid van dit regelpatroon, aangezien de voeding naar de omvormer gelijkstroom is, zijn er geen fouten in het voedingscircuit van de omvormer die de neiging kunnen hebben om koppel te veroorzaken. Het ergste geval zou zijn dat twee transistors in de tegenovergestelde polen van twee poten van de omvormer onbedoeld geleiden, zoals weergegeven door de rode pijlen in afbeelding 2. In dat geval zou er een hoge ongecontroleerde stroom in één motorfase vloeien totdat ofwel het overstroombeveiligingsschema in werking trad of de omvormer is vernield (de ingangszekering of stroomonderbreker schakelt uit). Niets van dit alles geeft een roterend magnetisch veld, dus er wordt geen koppel gegenereerd.

In het geval van een permanente magneet of reluctantiemotor zou deze fout in het slechtste geval een tijdelijk uitlijnkoppel veroorzaken totdat het beveiligingsapparaat in werking trad. In de limiet zou de motor kunnen draaien met één poolsteek voor een PM-motor of een halve poolsteek voor een reluctantiemotor.

De interface tussen de vermogenstrap van de inverter en de STO-besturingsingang van de omvormer moet zo worden ontworpen dat de kans op een onveilige storing zeer klein is, wat zou betekenen dat het complexe PWM-besturingspatroon onbedoeld werd doorgegeven aan de invertertransistors. Meestal gebruikt de opstelling een soort van "fail safe"-techniek, waarbij net als in de omvormer zelf, alle soorten componentstoringen resulteren in het verlies van het "Enable"-commando. Er kunnen twee onafhankelijke kanalen zijn, zodat de STO-functie gemakkelijk kan worden gekoppeld aan een tweekanaals veiligheidscontroller.

Meer geavanceerde rijveiligheidsfuncties

De meeste van de andere door de drive aangewezen veiligheidsfuncties vereisen enige analyse van gegevens zoals motorstroom en/of snelheid enz. Dit wordt typisch geïmplementeerd in een microcontroller, waarbij een tweede controller continu de invoer- en uitvoergegevens en de processoracties controleert, zoals geïllustreerd in Afbeelding 3. Het resultaat van een gedetecteerde discrepantie is steevast dat de schijf wordt uitgeschakeld via de STO-functie.

De kans op een hardwarefout in de gevaarlijke richting wordt teruggebracht tot een aanvaardbaar niveau door twee kanalen met kruiscontrole te hebben. Invoerapparaten zoals schakelaars worden gedupliceerd om de detectie van eenvoudige "vastzittende" fouten mogelijk te maken, en ze kunnen worden geleverd met gediversifieerde elektrische pulsen zodat subtielere sluipfouten tussen kanalen kunnen worden gedetecteerd. Basis incrementele as-encoders hebben een handige inherente functie waarmee de meeste fouten kunnen worden gedetecteerd, aangezien de twee pulssporen een faseverschuiving van 90 ° hebben, wat betekent dat de meeste fouten resulteren in een onmogelijke pulsreeks, die kan worden gedetecteerd. Digitale uitgangen worden gecontroleerd door middel van regelmatige testpulsen die testen of een uitgang die opzettelijk in de hoge (echte) logische toestand wordt gehouden, nog steeds in staat is om laag te gaan - soms OSSD-uitgangen genoemd.

De waarschijnlijkheid van een systematische fout, d.w.z. een inherente fout in het ontwerp, wordt tot een aanvaardbaar niveau teruggebracht door een zeer rigoureus proces van het definiëren van de precieze vereisten voor de veiligheidsfuncties en het volgen van hun implementatie, testen en documentatie.

Complete machines en veiligheidscomponenten

Het rigoureuze proces van het specificeren en volgen van veiligheidsfuncties moet voor elke individuele toepassing worden gevolgd, en de machineontwerper is hier uiteindelijk verantwoordelijk voor. Als een omvormer met functionele veiligheidskenmerken wordt gebruikt als onderdeel van het ontwerp, wordt het een veiligheidscomponent en worden de specificatie en certificering van de eigen veiligheidseisen een onderdeel van de volledige systeemdocumentatie.

Binnen de Europese Unie is deze eis wettelijk verankerd in de Machinerichtlijn 2006/42/EG, waarin een definitie en eisen zijn opgenomen voor veiligheidscomponenten waar deze afzonderlijk op de markt worden gebracht. In de praktijk betekent dit meestal dat de aandrijving met veiligheidsfuncties wordt geleverd met een EG-typeonderzoekcertificaat dat is afgegeven door een onafhankelijke, door de overheid goedgekeurde Notified Body, zodat deze kan worden gebruikt in het veiligheidsgerelateerde besturingssysteem van een machine. Als deze standaard de STO-functie heeft ingebouwd, zodat deze al dan niet als veiligheidscomponent kan worden gebruikt, dan moet de aandrijving volgens de Machinerichtlijn en de Laagspanningsrichtlijn over twee aparte EG-fabrikantverklaringen beschikken.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. Veiligheidstips voor CNC-machines
    2. Aandrijvingen en machineveiligheid
    3. Stroom, vermogen en koppel in aandrijvingen met variabele snelheid
    4. Motorkabels voor aandrijvingen met variabele snelheid
    5. Energie-efficiëntie met aandrijvingen met variabele snelheid (deel 2)
    6. Energie-efficiëntie met aandrijvingen met variabele snelheid (deel 1)
    7. De 5 kosten die u vermijdt door te investeren in machineveiligheid
    8. Belangrijkste oorzaken van machinestoringen en hoe ze te voorkomen
    9. Veiligheidsvoorzieningen en overwegingen
    10. 5 veiligheidstips voor het werken met machines
    11. De drie soorten veiligheidsrisico's in CNC-machinewerkplaatsen