Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Manufacturing Technology >> Industrietechnik

Maschinensicherheitsfunktionen in drehzahlgeregelten Antrieben

Allgemeine Prinzipien von Sicherheitsfunktionen in elektronischen Geräten

Dieser Blog gibt eine Einführung in die Verwendung von Frequenzumrichtern in Maschinensicherheitsfunktionen. Es soll denjenigen helfen, die mit Wechselstrom-Umrichterantrieben vertraut sind, jedoch weniger mit sicherheitsbezogenen Steuerungssystemen. Es soll dem Leser helfen, die Prinzipien zu verstehen und auf die große Menge an detailliertem Material zuzugreifen, das über sicherheitsbezogene Systeme verfügbar ist.

Der Begriff „Funktionale Sicherheit“ wird verwendet, wenn elektrische, elektronische oder programmierbare Geräte verwendet werden, um Funktionen auszuführen, die die Sicherheit von Menschen betreffen. Dies ist ein riesiges Thema, das verschiedene Anwendungen wie Eisenbahnsignalisierung und die Überwachung und Steuerung großer Prozessanlagen umfasst, in denen bei einem Unfall viele Menschen gefährdet sein könnten. In Antriebsanwendungen bezieht es sich jedoch am häufigsten auf eine Art von Maschine, bei der das Steuersystem verwendet werden kann, um eine Situation zu verhindern, in der eine Person durch den Betrieb der Maschine verletzt werden könnte. Ein einfaches Beispiel ist eine Sicherheitsbarriere, die häufig geöffnet werden muss, um Zugang zu einem Teil der Maschine zu erhalten, aber wenn sie geöffnet ist, darf die Maschine nicht in Betrieb sein. Ein System aus Sensoren und Aktuatoren kann entwickelt werden, um den Zustand der Barriere zu erkennen und die Maschine zu steuern.

Mit der Verfügbarkeit intelligenter programmierbarer Geräte wie SPS und digitaler Frequenzumrichter können Sicherheitssysteme flexibler und intelligenter sein als in diesem Beispiel und einen flexiblen Betrieb bei gleichzeitiger Wahrung der Sicherheit ermöglichen. Zum Beispiel könnte es möglich sein, den Betrieb mit reduzierter Geschwindigkeit fortzusetzen, wenn eine Schranke geöffnet ist, möglicherweise unter der Bedingung, dass ein spezieller Sicherheitsschlüssel von einer qualifizierten Person bedient wird, oder vielleicht, wenn das Gesicht dieser Person erkannt wird, oder eine andere Vorsichtsmaßnahme.

Fehlermodi

Entscheidend bei Sicherheitsfunktionen ist, dass die Zuverlässigkeit der Funktion deutlich besser sein muss, als dies durch einfache elektrische, elektronische oder programmierbare Einrichtungen erreicht werden kann. So gut die Qualität einer herkömmlichen elektrischen oder elektronischen Schaltung auch sein mag, es können einige Bauteilfehler auftreten, die dazu führen, dass sie die erforderliche Sicherheitsfunktion nicht erfüllen, ohne dass der Fehler offensichtlich wird. Hardware für Sicherheitsfunktionen muss daher mit eingebauten Selbsttest- oder „Fail-Safe“-Funktionen konstruiert werden. Während der Produktentwicklung müssen die Auswirkungen von Hardwareausfällen in einer Fehlermöglichkeits- und Einflussanalyse (FMEA) und potenziell gefährliche Fehlermodi analysiert werden muss konstruktionsbedingt auf ein sehr niedriges Niveau reduziert werden. Ein typisches Ziel für den PFHD (Ausfallwahrscheinlichkeit in gefährlicher Richtung) für Integritätsstufe SIL3 wäre 10 -8 pro Stunde, also eine Ausfallrate von weniger als einem pro 10.000 Jahre. Solche niedrigen Ausfallraten erfordern immer spezielle Strukturen in elektronischen Steuerungen. Beachten Sie hier, dass wir uns auf zufällige Ausfälle beziehen, die während der vorgesehenen Lebensdauer des Geräts auftreten, und nicht auf die Lebenserwartung. Teile mit bekannten Verschleißmechanismen innerhalb der beabsichtigten Lebensdauer des Systems können durch geplante Wartung verwaltet werden.

Kontrollstrukturen

Bei den meisten Anwendungen mit Antrieben geht es um die Sicherheit einer ortsfesten Maschine, und die häufigste Option besteht darin, zwei unabhängige Kanäle für die Sicherheitsfunktion zu verwenden, wobei die Querprüfung so angeordnet ist, dass der Antrieb im Falle einer Abweichung stoppt, d. h Antriebsmoment stoppt. Bei den meisten Maschinen führt dies zu einem sicheren Zustand. Bei einer Maschine wie einem Hebezeug, das sich ohne Antrieb unter der Schwerkraft bewegen könnte, müssen Maßnahmen getroffen werden, um sicherzustellen, dass es keine Gefahr geben kann, wenn das Antriebsmoment verschwindet.

Abbildung 1 zeigt ein grundlegendes zweikanaliges Sicherheitssystem, das auch als „Eins-von-Zwei“- oder 1oo2-System bezeichnet wird, was bedeutet, dass die Maschine stoppt, wenn einer der beiden Kanäle einen Stopp anfordert. Dies ist die gebräuchlichste Anordnung für ein Maschinensicherheits-Steuerungssystem. Ein Fehler im Sensor oder im Signalkonditionierungsprozessor führt nicht zum Verlust der Sicherheitsfunktion. Beachten Sie, dass Abbildung 1 nur ein Funktionsdiagramm ist, das „UND-Gatter“ am Ausgang ist kein einfacher Logikchip, da dies einen Single-Point-Failure-Mechanismus einführen würde, wenn der Logikchip ausfällt. Es könnte sich um einen zweikanaligen STO-Eingang am Antrieb oder um eine andere Methode handeln, bei der der Ausfall eines einzelnen Geräts aufgrund gemeinsamer Ursache eliminiert wird.

Die grau dargestellte Diagnosefunktion ist in der Regel notwendig, um die Sicherheit weiter zu gewährleisten, da ohne sie ein einkanaliger Fehler zwar nicht zum Ausfall der Sicherheitsfunktion führt, die Maschine aber mit einem Kanal im unsicheren Zustand unendlich weiterarbeiten könnte Zustand. Ein zweiter Ausfall würde dann zu einem gefährlichen Zustand führen.

Abbildung 1:One-out-of-two-Kontrollstruktur

Software/Firmware

Die Verwendung von eingebetteten Prozessoren, auf denen Firmware und Software ausgeführt werden, eröffnet eine neue Dimension der funktionalen Sicherheit. Die Software weist keine zufälligen Ausfälle auf, aber ihre Komplexität bedeutet, dass es schwierig ist sicherzustellen, dass sie unter allen Bedingungen und Abfolgen von Ereignissen wie vorgesehen funktioniert. Dies kann nicht durch einen Test des Gesamtsystems als „Black Box“ nachgewiesen werden – die Software muss in einer wohldefinierten Sprache geschrieben sein, Maßnahmen zur Vermeidung von Codierungsfehlern getroffen haben und sorgfältig in Module strukturiert sein, die jederzeit spezifiziert und getestet werden können Schritt. Es muss auch nachgewiesen werden, dass die Module nicht durch andere Aktivitäten im Prozessorsystem beeinträchtigt werden können, was schwierig ist, wenn anderer Nicht-Sicherheitscode auf demselben Prozessor läuft.

Die notwendige Disziplin, eine klare, eindeutige Spezifikation mit einem Testplan zu erstellen und den Prozess gründlich zu dokumentieren, gilt sowohl für das Schreiben des Codes als auch für das Design des gesamten Systems.

Eine wichtige Kontrolle über die Softwarequalität besteht darin, eine „Limited Variability Language“ (LVL) von einer „Full Variability Language“ (FVL) zu unterscheiden. Das LVL ist darauf beschränkt, vorab genehmigte Module mit klar definierten Funktionen auf eingeschränkte Weise zu konfigurieren, sodass das Ergebnis durch ein einfaches sequentielles Testprogramm getestet werden kann. Die LVL wäre mit einer FVL wie C++ usw. erstellt worden, die einen vollständigen strengen Entwurfsprozess durchlaufen hatte und dann für den Zugriff durch den LVL-Programmierer gesperrt wurde.

Die Leichtigkeit, mit der Software geändert werden kann, bedeutet auch, dass ein sicheres Versionskontrollsystem vorhanden sein muss, einschließlich der Verhinderung unbefugter Änderungen.

Drive-Anwendungen

Viele Sicherheitsfunktionen, die einfache Sequenzen und Kombinationen von Eingängen zur Steuerung von Ausgängen umfassen, können in einer SPS mit speziellen Merkmalen implementiert werden, um Gefahren durch Hardware- und Softwarefehler zu vermeiden, d. h. eine „Sicherheits-SPS“. Es gibt jedoch Anwendungen, bei denen der Antrieb besonders geeignet ist, solche Funktionen kostengünstig zu realisieren:

Normen für sicherheitsbezogene Teile von Maschinensteuerungen

Die Notwendigkeit einer rigorosen Verwaltung und Implementierung des Sicherheitssystemdesigns bedeutet, dass die relevanten internationalen Standards komplex und dicht sind. In diesem Hinweis betrachten wir nur einige Schlüsselmerkmale der Normen, die für die Maschinensicherheit am relevantesten sind.

Internationalen Standards wird ISO oder IEC vorangestellt. Den europäischen CENELEC-Normen ist EN vorangestellt. Wir werden uns hier die EN-Versionen ansehen, die internationalen Formen verwenden dieselben Nummern mit unterschiedlichen Präfixen. Die EN-Versionen haben den Status harmonisierter Normen zur EG-Maschinenrichtlinie.

EN ISO 12100 beschreibt, wie die Risikobeurteilung der Maschine durchgeführt werden sollte, was gegebenenfalls zur Zuordnung von Sicherheitsfunktionen zum Steuerungssystem führt. Dies ist eine wesentliche Vorstufe zum korrekten Entwurf der sicherheitsbezogenen Steuerung und liegt in der Verantwortung des Maschinenkonstrukteurs.

EN 61800-5-2 ist eine Norm für die funktionale Sicherheit von Leistungsantriebssystemen. Sie definiert eine Reihe von Funktionen[1], die besonders für Antriebe geeignet sind und als „designated safety sub-functions“ bezeichnet werden, wie z. B. Safe Torque Off (STO), Safely-limited speed (SLS) etc. Die Sicherheitsintegrität von a Die vollständige Sicherheitsfunktion wird durch den SIL gemessen, der Werte von 1 (niedrigster Wert) bis 3 annehmen kann. Da der Antrieb ein Teilsystem eines vollständigen sicherheitsbezogenen Steuerungssystems ist, wird dies als seine „SIL-Fähigkeit“ bezeichnet. P>

EN 62061 ist eine Norm für elektrische/elektronische/programmierbare Steuerungssysteme von Maschinen, die die gleiche SIL-Metrik wie EN 61800-5-2 verwendet

EN ISO 13849-1 ist eine Norm für Steuerungssysteme von Maschinen, einschließlich nichtelektrischer Systeme. Es verwendet eine andere Metrik, das Performance Level (PL) und die Kategorie (von B bis 4). Eine ergänzende Norm EN ISO 13849-2 deckt „Validierung“ ab, die Anleitungen dazu enthält, welche Fehler berücksichtigt werden müssen und welche ausgeschlossen werden können („Fehlerausschlüsse“).

Die Grundlage vieler Standardisierungen sicherheitsbezogener elektrischer/elektronischer/programmierbarer Systeme ist die EN 61508- # Serie, Teile 1 bis 7. Dies sind an sich keine harmonisierten Normen, da sie alle Systeme abdecken und nicht nur Steuerungssysteme für Maschinen.

Sicherheitsintegritätsstufen

Der erforderliche SIL oder PL für eine bestimmte Sicherheitsfunktion ist mit dem Grad des Risikos verknüpft, das die Funktion mindern muss – d. h. der Wahrscheinlichkeit und Schwere einer möglichen Verletzung. Der Entscheidungsprozess beginnt mit der Risikobeurteilung der Maschine, die in der EN ISO 12100 beschrieben ist . Regeln zur Ableitung des erforderlichen SIL bzw. PL sind in EN 62061 angegeben und EN ISO 13849-1 .

Safe Torque Off in Umrichterantrieben (STO)

Die grundlegendste Sicherheitsfunktion, die ein Antrieb bieten kann, ist STO. Ein Umrichterantrieb, der einen Asynchronmotor ansteuert, ist für diese Funktion besonders geeignet, da die Umrichter-Endstufe mit einem komplexen und gut kontrollierten PWM-Schaltmuster für die meisten Leistungshalbleiter ständig aktiv sein muss, um ein Drehmoment im Motor zu erzeugen. Abbildung 2 zeigt die grundlegende Leistungsstruktur des Wechselrichters.

Abbildung 2:Grundlegende Leistungsstruktur des DC-Link-Wechselrichters

Der Motor benötigt ein rotierendes Magnetfeld, um ein Drehmoment zu erzeugen, das nur von den sechs Leistungstransistoren erzeugt werden kann, die einem komplexen und wohldefinierten Schaltmuster folgen, das eine an den Ausgangsklemmen eingestellte dreiphasige Spannung erzeugt. In Abwesenheit dieses Steuermusters gibt es keine Fehler in der Leistungsschaltung des Wechselrichters, die dazu neigen können, ein Drehmoment zu verursachen, da die Stromversorgung des Wechselrichters Gleichstrom ist. Der schlimmste Fehler wäre, wenn zwei Transistoren in den entgegengesetzten Polen von zwei Wechselrichterzweigen unbeabsichtigt leiten, wie durch die roten Pfeile in Abbildung 2 gezeigt. In diesem Fall würde ein hoher unkontrollierter Strom in einer Motorphase fließen, bis einer der Überstromschutzsysteme anspricht oder der Wechselrichter wurde zerstört (die Eingangssicherung oder der Trennschalter löst aus). Nichts davon erzeugt ein rotierendes Magnetfeld, sodass kein Drehmoment erzeugt wird.

Im Fall eines Permanentmagnet- oder Reluktanzmotors würde dieser Fehler im schlimmsten Fall ein vorübergehendes Ausrichtungsdrehmoment verursachen, bis die Schutzvorrichtung anspricht. Im Grenzfall könnte sich der Motor bei einem PM-Motor um eine Polteilung oder bei einem Reluktanzmotor um eine halbe Polteilung drehen.

Die Schnittstelle zwischen der Wechselrichter-Leistungsstufe und dem STO-Steuereingang des Antriebs muss so ausgelegt sein, dass die Wahrscheinlichkeit eines unsicheren Ausfalls sehr gering bleibt, was bedeuten würde, dass das komplexe PWM-Steuermuster versehentlich an die Wechselrichtertransistoren weitergegeben würde. Typischerweise verwendet die Anordnung eine Art „ausfallsichere“ Technik, wobei ebenso wie beim Wechselrichter selbst Komponentenausfälle aller Art zu einem Verlust des „Freigabe“-Befehls führen. Es können zwei unabhängige Kanäle vorhanden sein, sodass die STO-Funktion problemlos an eine zweikanalige Sicherheitssteuerung angeschlossen werden kann.

Erweiterte Fahrsicherheitsfunktionen

Die meisten anderen antriebsspezifischen Sicherheitsfunktionen erfordern eine gewisse Analyse von Daten wie Motorstrom und/oder Drehzahl usw. Dies wird typischerweise in einem Mikrocontroller implementiert, wobei ein zweiter Controller die Eingangs- und Ausgangsdaten und die Prozessoraktionen kontinuierlich gegenprüft, z wie in Abbildung 3 dargestellt. Das Ergebnis einer erkannten Diskrepanz ist ausnahmslos, dass der Antrieb durch die STO-Funktion deaktiviert wird.

Die Wahrscheinlichkeit eines Hardwarefehlers in gefährlicher Richtung wird durch zwei Kanäle mit kreuzweiser Prüfung auf ein tolerierbares Maß reduziert. Eingabegeräte wie Schalter werden dupliziert, um die Erkennung einfacher „Stuck at“-Fehler zu ermöglichen, und sie können mit diversifizierten elektrischen Impulsen versorgt werden, so dass subtilere Schleichfehler zwischen Kanälen erkannt werden können. Einfache Inkrementaldrehgeber haben eine nützliche Eigeneigenschaft, die es ermöglicht, die meisten Fehler zu erkennen, da die beiden Impulsspuren eine Phasenverschiebung von 90° aufweisen, was bedeutet, dass die meisten Fehler zu einer unmöglichen Impulsfolge führen, die erkannt werden kann. Digitale Ausgänge werden durch regelmäßige Testimpulse geprüft, die prüfen, ob ein Ausgang, der absichtlich im hohen (wahren) logischen Zustand gehalten wird, immer noch in der Lage ist, niedrig zu werden – manchmal auch als OSSD-Ausgänge bezeichnet.

Die Wahrscheinlichkeit eines systematischen Fehlers, d. h. eines inhärenten Fehlers in der Konstruktion, wird durch einen strengsten Prozess zur Definition der genauen Anforderungen an die Sicherheitsfunktionen und zur Verfolgung ihrer Implementierung, Prüfung und Dokumentation auf ein tolerierbares Maß reduziert.

Komplette Maschinen und Sicherheitskomponenten

Der strenge Prozess der Spezifikation und Nachverfolgung von Sicherheitsfunktionen muss für jede einzelne Anwendung eingehalten werden, und dafür ist letztendlich der Maschinenkonstrukteur verantwortlich. Wenn ein Antrieb mit funktionalen Sicherheitsmerkmalen als Teil der Konstruktion verwendet wird, wird er zu einer Sicherheitskomponente, und seine eigene Sicherheitsanforderungsspezifikation und -zertifizierung wird Teil der vollständigen Systemdokumentation.

Innerhalb der Europäischen Union ist diese Anforderung in Form der Maschinenrichtlinie 2006/42/EG gesetzlich verankert, die eine Definition und Anforderungen für Sicherheitsbauteile enthält, wenn sie separat in Verkehr gebracht werden. In der Praxis bedeutet dies in der Regel, dass der Antrieb mit Sicherheitsfunktionen mit einer EG-Baumusterprüfbescheinigung versehen ist, die von einer unabhängigen, staatlich anerkannten benannten Stelle ausgestellt wurde, um ihn in einem sicherheitsbezogenen Steuerungssystem einer Maschine verwenden zu können. Wenn die STO-Funktion standardmäßig integriert ist, sodass er als Sicherheitskomponente verwendet werden kann oder nicht, muss der Frequenzumrichter gemäß der Maschinenrichtlinie und der Niederspannungsrichtlinie über zwei separate EG-Herstellererklärungen verfügen. P>


Industrietechnik

  1. Sicherheitstipps am Arbeitsplatz für CNC-Maschinisten
  2. Antriebe und Maschinensicherheit
  3. Strom, Leistung und Drehmoment in drehzahlgeregelten Antrieben
  4. Motorkabel für Antriebe mit variabler Drehzahl
  5. Energieeffizienz mit drehzahlgeregelten Antrieben (Teil 2)
  6. Energieeffizienz mit drehzahlgeregelten Antrieben (Teil 1)
  7. Die 5 Ausgaben, die Sie vermeiden, wenn Sie in Maschinensicherheit investieren
  8. Die häufigsten Ursachen für Maschinenausfälle und wie man sie vermeidet
  9. Sicherheitsvorrichtungen und Überlegungen
  10. 5 Sicherheitstipps für die Arbeit mit Maschinen