Componentontwerpen om te voldoen aan functionele veiligheidsnormen

Veiligheid is een topprioriteit in industriële toepassingen om werknemers en apparatuur te beschermen tegen letsel en schade. Las-, snij- en perswerkzaamheden, alsmede werkzaamheden met hoge snelheid en werkzaamheden met gevaarlijke werkstukken of stoffen vormen de grootste bedreiging. In de VS moeten exploitanten van fabrieken voldoen aan de voorschriften van de Occupational Safety and Health Administration (OSHA) met veilige apparatuur, operationele procedures en opleidingsprotocollen. Deze systemen moeten worden aangevuld met bedrijfsspecifieke analyses om pragmatische manieren te vinden om het welzijn van de werknemers en de levensduur van de apparatuur te verbeteren. Bovendien moeten geautomatiseerde machines voldoen aan functionele veiligheidseisen via automatische machineacties of correcties op potentieel of zeker onveilige omstandigheden of storingen.

Afbeelding 1: Lichtmasten gebruiken tegenwoordig LED's voor efficiëntie en zichtbaarheid. Sommige verhogen de veiligheid met ingebouwde zoemers die een sirene tot 100 dB laten horen bij veiligheidsovertredingen. (Bron afbeelding: Menics)

Functionele veiligheidssystemen omvatten elektronica in de vorm van sensoren, I/O, bedieningselementen, schakelaars, elektromechanische componenten, componenten voor de aandrijving van vloeistof en software die gevaarlijke omstandigheden detecteren en de toestand van de machine wijzigen om gevaarlijke situaties te voorkomen. Het ontwerp en de voorschriften inzake functionele veiligheid ontstonden aanvankelijk in de Europese Unie, maar gelden nu voor leveranciers, machinebouwers en eindgebruikers overal ter wereld. De geharmoniseerde Europese norm (EN) en de norm EN/IEC 62061 van de Internationale Elektrotechnische Commissie (IEC) - opgenomen in de EU-machinerichtlijn 2006/42/EG - en de norm EN/ISO 13849-1 van de Internationale Organisatie voor Normalisatie (ISO) worden het meest toegepast.

ISO 13849-1 en IEC 62061 kunnen met elkaar worden vergeleken, en het staat OEM's en eindgebruikers vrij een van beide te gebruiken. Het enige voorbehoud is dat functionele veiligheid betrekking heeft op machines en bedieningsorganen en niet op apparaten of componenten ... hoewel deze laatste functionaliteiten kunnen bieden om aan een bepaalde veiligheidsclassificatie te voldoen.

EN/IEC 62061 bevat eisen en aanbevelingen voor veiligheidsintegriteitsniveaus voor het ontwerp, de integratie en de validering van permanent geïnstalleerde (niet-draagbare) SRECS voor machines of installaties - bestaande uit safety-related electrical, electronic, and programmable controls. EN/IEC 62061 veiligheidsintegriteitsniveaus (SIL's) rangschikken de functionele veiligheid van een systeem van 1 (meest rudimentair) tot 4 (meest geïntegreerd en geavanceerd), waarbij SIL3 het hoogst mogelijke is voor machines. Risico's die het vereiste SIL bepalen zijn onder meer de regelmaat van de blootstelling aan het risico, de ernst van het mogelijke letsel, de waarschijnlijkheid van het optreden en de waarschijnlijkheid dat de ontwijkende manoeuvres van een machinebestuurder schade kunnen helpen voorkomen.

Tabel 1: De vereiste SIL-niveaus zijn afhankelijk van de ernst van de verwondingen bij een bepaalde onveilige situatie en de waarschijnlijkheid dat die situatie zich voordoet. (Bron tabel: IEC)

In EN/ISO 13849-1:2005 worden daarentegen eisen en aanbevelingen uitgewerkt op basis van SRP/CS — safety-related parts of control systems. Met de SRP/CS-prestatieniveaus kunnen de veiligheidscapaciteiten van de machine worden gekwantificeerd, ongeacht de subcomponenten. De norm maakt gebruik van bekende classificaties van het prestatieniveau (PL) van functionele veiligheid, gaande van "a" (meest rudimentair) tot "e" (meest geïntegreerd en geavanceerd). De risico's die de vereiste PL dicteren omvatten die welke van toepassing zijn op de SIL's, alsmede de frequenties en de duur van herhaalde blootstelling aan het machinegevaar. Bovendien omvat een volledige PL-beoordeling een categorienummer (om de algemene systeemarchitectuur aan te geven) en de gemiddelde tijd tot gevaarlijk falen of MTTFd.

Afbeelding 2: Het juiste functionele veiligheidsniveau voor een bepaalde installatie hangt af van kwalitatieve variabelen, kwantitatieve waarden en de resultaten van op software gebaseerde analyse. (Bron afbeelding: Design World))

De tevredenheid van IEC 61508 en IEC 62061 omvat het testen van veiligheidscontroles (en het valideren van machinemodi, statuscriteria en correcties) om de functionele veiligheidsclassificatie van de machine te bevestigen. EN ISO 13849-1 en 2 vereisen ook gedocumenteerde tests (statisch en dynamisch) ter bevestiging van een naadloze integratie van de veiligheidscontrole.

Veiligheidscomponenten die door de operator worden geactiveerd

Veel veiligheidsgerelateerde componenten zijn ontworpen om input van fabriekspersoneel te accepteren, en niet via een tussenliggende sectie of as van een machine of afscherming. Daartoe behoren tactiele veiligheidsmatten, lichtschermen, consoles en mens-machine-interfaces (HMI's), aanraakbare machinesloten en (alleen voor noodgevallen) felrode stopknoppen met paddenstoelenkop. Veiligheidscomponenten voor het personeel omvatten ook behuizingen (ter bescherming van behuizende componenten volgens NEMA-classificaties) en machineafschermingen en draadgoten - eenvoudige maar betrouwbare machineveiligheidselementen ter bescherming van personeel dat moet werken in de buurt van (en soms in) machines en hun stroom- en bedieningspanelen.

Met kabel-trekschakelaars rond gevaarlijke machineonderdelen kan de machinist met een snelle ruk een noodstop (e-stop) activeren. Deze veiligheidselementen, die vooral voorkomen rond open machines (onmogelijk te beveiligen) en onbewaakte transportbanden, verschillen van uitschakelaars die circuits spanningsloos maken en gevaarlijke werkcellen beveiligen om personeel buiten te houden. Ander aanbod omvat veiligheidsranden (strips) die rond openingen van werktuigmachines worden aangebracht (vooral die welke snij- of perstaken uitvoeren) en veiligheidsmatten voor vloeren die (via gespecialiseerde veiligheidsrelais) veiligheidsreacties teweegbrengen wanneer een operator op hun oppervlak stapt of staat.

Iets geavanceerder zijn de eerder genoemde lichtgordijnen. Deze omvatten een zender van foto-elektrische stralen die, als ze in het detectievlak worden onderbroken op weg naar een ontvanger, gevaarlijke processen snel een halt toeroepen. Ze zijn duurder dan andere opties, maar gerechtvaardigd wanneer machinebedieners vaak interactie hebben met een machinedeel. Een ander geavanceerd veiligheidscomponent is de tweehandige veiligheidsconsole. Deze vereisen doorgaans gelijktijdige activering van afzonderlijke schakelaars om de machine te starten of in bedrijf te houden.

Voordat men erop kan vertrouwen dat zij personeel en apparatuur in de fabriek beschermen, moeten alle door de operator geactiveerde veiligheidscomponenten (en de veiligheidslogica of -regelingen waarin zij zijn geïntegreerd) worden gecontroleerd. De testnormen IEC 61508 en IEC 62061 schrijven bijvoorbeeld voor dat een noodstop met redundante relais moet werken als een operator het eerste kanaal tussen de logica en de veldapparatuur activeert ... en ook moet werken op het tweede kanaal ertussen. Dergelijke redundante e-stopfuncties worden afzonderlijk gevalideerd tijdens de inbedrijfstelling van de machine.

Automatische veiligheidsschakelaars, sensoren en beveiligingen

Afbeelding 3: Laserscanners zijn een soort contactloze veiligheidsfeedbackcomponenten die het meest bekend zijn omdat ze AGV's helpen bij het navigeren door faciliteiten. Er zijn echter toepassingen in overvloed - en soms bieden ze een alternatief voor lichtschermen. (Bron afbeelding: IDEC)

Los van de veiligheidscomponenten die door het personeel worden geactiveerd, zijn er de componenten voor automatische machinefuncties.

Ingebouwde vergrendelingen met vergrendelingen en schakelaars

Schakelaars en vergrendelingen zijn essentiële elementen aan de buitenranden van werkcellen van machines. Veiligheidseindschakelaars hebben contacten die dienen om automatisch posities of bewegingen van machineonderdelen te controleren. Veiligheidsschakelaars met hogere functies - de zogenaamde interlockveiligheidsschakelaars - maken daarentegen gebruik van tong- of scharniervergrendelingsmechanismen als manipulatiebestendige machinebeveiliging met positief aangedreven (dubbel verifiërende NO- en NC-) schakelcontacten. Vergrendelingsschakelaars met mechanische sleutels en sloten houden deuren naar werkruimten van machines gesloten totdat de toegang veilig is. Steeds vaker worden echter contactloze RFID- en magnetische veiligheidsschakelaars gebruikt die de positie (open of gesloten) van deuren in werkzones bewaken en de toegang van operators tijdens gevaarlijke processen blokkeren.

Ingebouwde veiligheid met stroomonderbrekers en isolators

Tot de veiligheidscomponenten die door de machinestatus worden geactiveerd, behoren ook de componenten die de elektrische veiligheid waarborgen. Stroomonderbrekers beschermen (net als zekeringen) tegen de schadelijke en gevaarlijke effecten van overbelastingsstromen op het elektriciteitsnet, de aftakkingen en de signaalcircuits. Sommige installaties omvatten isolatoren voor de galvanische scheiding tussen veldapparatuur en bedieningsorganen om een intrinsiek veilige werking te waarborgen. Alle ontwerpen voor elektrische veiligheid worden aangevuld met overspanningsbeveiligingscomponenten om te voorkomen dat spanningspieken schade toebrengen aan elektrische en elektronische automatiseringscomponenten die betrokken zijn bij het elektriciteitsnet en de aandrijving en/of de distributie van feedback- en besturingssignalen.

Ingebouwde mechanische veiligheid met remmen

Remmen die als veiligheidsremmen worden beschouwd, worden ook "failsafe"-remmen genoemd. Deze gaan standaard naar een stopstand (meestal om een bewegingsas te vergrendelen of vast te houden), zelfs als de elektrische of vloeibare stroom uitvalt of wordt verwijderd. Ze vertrouwen allemaal op een veerbelaste of andere mechanische actie voor deze veilige werking.

Een goed voorbeeld: Veerbekrachtigde frictieremmen die pneumatisch worden gelost, dienen vaak als noodrem in servomotorgestuurde automatiseringstoepassingen. Ze moeten allemaal een beoordeling hebben die bevestigt dat ze voldoen aan ISO 13849-1 - meestal van de internationale organisatie voor producttests Intertek Group. Dankzij hun mechanische vergrendeling verbruiken ze geen elektrische energie tijdens het vasthouden ... wat maximale betrouwbaarheid biedt voor veiligheidsprestaties en oververhitting voorkomt, zoals bij andere elektrische stopmethoden. De levensduur wordt uitgedrukt in miljoenen cycli voordat een aantal procenten van alle onderdelen in de serie een (voorspelbaar) defect vertonen. Waar IIoT-functionaliteit nuttig is, kunnen failsafe remmen ook diagnostiek aan boord en sensorfeedback omvatten om de operationele status te volgen.

De remmen met de hoogste functionele veiligheidsklasse hebben meerdere veren die de machine-assen mechanisch vergrendelen via wrijvingsvlakken die in wisselwerking staan met stationaire elementen in de rembehuizing. Veiligheidsnormen vereisen ook dat er sensoren worden ingebouwd om de remstatus te bevestigen.

Veiligheidsrelais en andere veiligheidscontroles

Afbeelding 4: Eenvoudige apparatuur die slechts een handvol veiligheids-I/O's nodig heeft, kan op economische wijze gebruikmaken van elektromechanische veiligheidsrelais zoals deze. (Bron afbeelding: Omron Automation and Safety))

De functies van veiligheidsschakelaars, sensoren en afschermingen worden ondersteund door veiligheidsrelais en andere bedieningsorganen. Zij hebben alle een gemeenschappelijk vermogen om (indien nodig) de machine in een veilige toestand te brengen door de elektrische of vloeistofkracht weg te nemen - of een nog steeds aangedreven machine af te remmen of in een veilige toestand te vergrendelen.

Relais voor bedrade veiligheid

Een optie voor failsafe controle zijn veiligheidsrelaismodules. Deze maken gebruik van elektronica met kortsluit- en overspanningsbeveiliging en aanvullende relais. Elektromechanische relais met vaste bedrading worden al tientallen jaren gebruikt; zij worden gewoon aangesloten op geautomatiseerde besturingen en schakelen (in combinatie met noodstop- of lichtschermen) zo nodig machineonderdelen elektrisch uit. Nadelen zijn de noodzaak van uitgebreide bedrading ter plaatse en een gebrek aan herconfigureerbaarheid. Meer geavanceerde veiligheidsrelais hebben I/O en een modulair ontwerp voor een flexibele integratie met sensoren, machinebesturingen en automatiseringsnetwerken.

Veiligheidscontrollers voor programmeerbare veiligheid

Een andere optie voor veiligheid die als failsafe kan worden aangemerkt, is de integratie van speciale veiligheidscontrollers. Dergelijke controllers zijn geschikter dan relais voor complexe automatiseringssystemen, omdat zij zowel grotere I/O-arrays als PLC-functies kunnen bedienen. Het enige voorbehoud is dat deze autonome veiligheidscontrollers extra programmering en opleiding van het personeel vereisen. Hun digitale elektronica maakt echter automatiseringsfuncties mogelijk die via software volledig configureerbaar zijn.

Afbeelding 5: Veiligheidscontrollers kunnen meerdere veiligheidsfuncties verenigen voor flexibele en herconfigureerbare veiligheidsinstallaties. In de hier geïllustreerde werkcel omvat het eerste veiligheidscircuit een lichtscherm dat (bij melding van een onderbroken toestand) een circuitschakelaar opent om de draaitafel te stoppen. Het tweede veiligheidscircuit integreert muting controls die de robot normaal laten werken als een werkstuk de werkcel binnenkomt terwijl de draaitafel is gestopt. Anders opent dit circuit een schakelaar om de robot uit te schakelen. Het derde veiligheidscircuit omvat een noodstop die alle schakelaars opent en zowel de draaitafel als de robot stopt. (Bron afbeelding: Panasonic Industrial Automation Sales)

Ingenieurs kunnen zones met veiligheidsdekking definiëren en de instellingen ervan wijzigen zonder de hele werkcel opnieuw te hoeven bedraden. (Dat scheelt weer in de kosten voor bedrading en arbeid). Meestal ondersteunen op veiligheidscontrollers gebaseerde installaties ook netwerkuitbreiding en IIoT-connectiviteit naarmate de activiteiten zich ontwikkelen.

Geïntegreerde veiligheid op industriële veiligheidsbesturingen

Een derde optie voor faalveilige veiligheidsbesturing die steeds vaker voorkomt in geavanceerde machines zijn geïntegreerde veiligheids-PLC's, programmeerbare automatiseringscontrollers (PAC's) en andere PC-gebaseerde besturingen. Sommige van die elektronica kan naast de dagelijkse machinefuncties ook veiligheidsfuncties vervullen. Het resultaat is een programmeerbare en dus flexibele besturing van zowel geautomatiseerde machineapparatuur als de veiligheidsfuncties die de werking ervan vereisen.

Conclusie

Voldoende machineveiligheid berust op feedback en besturingscomponenten die een bescherming bieden die is afgestemd op de gevaren van een bepaalde toepassing. Machineveiligheid vereist ook een goede integratie van componenten, documentatie en validatie. Deze zorgt ervoor dat de veiligheidscircuits in alle bedrijfsmodi van de machine correct werken, zelfs bij storingen.

De IEC 61508 en 62061 veiligheidslevenscyclusnormen bepalen hoe veiligheidsintegratie correct wordt uitgevoerd - van de eerste risicobeoordeling en het ontwerp tot de verificatie in de praktijk van de prestaties van een geïnstalleerd systeem door de OEM en opnieuw door of voor de eindgebruiker zodra de machine is geïnstalleerd. Bij deze laatste worden machines "op de proef gesteld" met tests van normale werkingssequenties, vertragingen, stops en reset-routines.