Функции безопасности машин в приводах с регулируемой скоростью

Общие принципы функций безопасности в электронном оборудовании

В этом блоге представлено введение в использование приводов с регулируемой скоростью в функциях безопасности машин. Он предназначен для помощи тем, кто знаком с инверторными приводами переменного тока, но не знаком с системами управления, связанными с безопасностью. Это должно помочь читателю понять принципы и получить доступ к большому количеству подробных материалов, доступных о системах, связанных с безопасностью.

Термин «функциональная безопасность» применяется, когда электрическое, электронное или программируемое оборудование используется для выполнения функций, влияющих на безопасность человека. Это огромная тема, которая включает в себя различные приложения, такие как железнодорожная сигнализация и мониторинг и управление крупными технологическими установками, где в случае аварии может подвергаться риску множество людей. Однако чаще всего в приводных приложениях это относится к какому-то механизму, в котором система управления может использоваться для предотвращения ситуации, когда человек подвергается риску получения травмы в результате работы механизма. Простым примером является защитный барьер, который необходимо часто открывать, чтобы получить доступ к части оборудования, но когда он открыт, оборудование не может работать. Система датчиков и приводов может быть разработана для определения состояния шлагбаума и управления машиной.

При наличии интеллектуального программируемого оборудования, такого как ПЛК и цифровые преобразователи частоты, системы безопасности могут быть более гибкими и интеллектуальными, чем в этом примере, обеспечивая гибкую работу при сохранении безопасности. Например, может быть возможно разрешить продолжение работы на пониженной скорости, когда шлагбаум открыт, возможно, при условии, что специальный ключ безопасности используется квалифицированным лицом, или, возможно, когда лицо этого человека распознано, или при некоторых других мерах предосторожности.

Режимы отказа

Решающим фактором для функций безопасности является то, что надежность функции должна быть значительно выше, чем может быть достигнута с помощью простого электрического, электронного или программируемого оборудования. Каким бы хорошим ни было качество обычной электрической или электронной схемы, могут возникать неисправности некоторых компонентов, которые приводят к тому, что они не выполняют требуемую функцию безопасности, но неисправность не становится очевидной. Поэтому аппаратное обеспечение для функций безопасности должно быть спроектировано со встроенными функциями самотестирования или «отказоустойчивости». должны быть снижены по проекту до очень низкого уровня. Типичная цель для PFH_D (вероятность отказа в опасном направлении) для уровня целостности SIL3 будет 10 ^-8 в час, то есть частота отказов менее одного на 10 000 лет. Такой низкий уровень отказов всегда требует специальных структур в электронных системах управления. Обратите внимание, что мы имеем в виду случайные отказы, которые происходят в течение предполагаемого срока службы оборудования, а не ожидаемый срок службы. Детали с известными механизмами износа в течение предполагаемого срока службы системы можно устранить с помощью планового технического обслуживания.

Структуры управления

В большинстве приложений, связанных с приводами, рассматривается безопасность неподвижной машины, и наиболее распространенным вариантом является использование двух независимых каналов для функции безопасности с перекрестной проверкой, организованной таким образом, чтобы в случае несоответствия привод останавливался, т.е. крутящий момент прекращается. В большинстве машин это приводит к безопасному состоянию. Для такой машины, как подъемник, который может двигаться под действием силы тяжести без привода, необходимо принять меры, чтобы гарантировать, что он не создаст опасности при исчезновении крутящего момента привода.

На рис. 1 показана базовая двухканальная система безопасности, которую также называют системой «один из двух» или системой 1oo2. Это означает, что если один из двух каналов запрашивает остановку, машина останавливается. Это наиболее распространенная схема системы управления безопасностью машин. Неисправность датчика или процессора формирования сигнала не приводит к потере функции безопасности. Обратите внимание, что рис. 1 представляет собой только функциональную схему, «логический элемент И» на выходе не является простой логической микросхемой, потому что в этом случае в случае отказа логической микросхемы будет введен механизм отказа в одной точке. Это может быть двухканальный STO-вход на приводе или какой-либо другой метод, исключающий отказ одного устройства по общей причине.

Диагностическая функция, показанная серым цветом, обычно необходима для обеспечения постоянной безопасности, потому что без нее, хотя отказ в одном канале не приводит к отказу функции безопасности, машина могла бы продолжать работать неопределенно долго с одним каналом в небезопасном состоянии. штат. Второй сбой может привести к опасному состоянию.

Рис. 1. Структура управления "один из двух"

Программное обеспечение/прошивка

Использование встроенных процессоров с прошивкой и программным обеспечением выводит функциональную безопасность на новый уровень. Программное обеспечение не имеет случайных сбоев, но его сложность означает, что трудно гарантировать, что оно работает должным образом при любых условиях и последовательности событий. Это не может быть подтверждено тестированием всей системы как «черного ящика» — программное обеспечение должно быть написано на четко определенном языке с учетом мер по предотвращению ошибок кодирования и тщательно структурировано в виде модулей, которые можно специфицировать и тестировать в любой момент времени. шаг. Также должно быть доказано, что на модули не могут отрицательно повлиять другие действия в процессорной системе, а это сложно, если другой код, не связанный с безопасностью, выполняется на том же процессоре.

Необходимая дисциплина – создание четкой и однозначной спецификации с планом тестирования и тщательное документирование процесса – относится как к написанию кода, так и к проектированию всей системы.

Одним из важных способов контроля качества программного обеспечения является различение «языка ограниченной вариативности» (LVL) от «языка полной вариативности» (FVL). LVL ограничен настройкой предварительно одобренных модулей с четко определенными функциями ограниченным образом, чтобы результат можно было проверить с помощью простой программы последовательного тестирования. LVL должен был быть создан с использованием FVL, такого как C++ и т. д., который прошел полный и тщательный процесс проектирования, а затем был заблокирован для доступа программистом LVL.

Легкость изменения программного обеспечения также означает необходимость наличия надежной системы контроля версий, включая предотвращение несанкционированных изменений.

Приложения для Диска

Многие функции безопасности, которые включают простые последовательности и комбинации входов для управления выходами, могут быть реализованы в ПЛК со специальными функциями для предотвращения опасностей, связанных с аппаратными сбоями и программными ошибками, то есть в «ПЛК безопасности». Однако есть приложения, в которых привод особенно хорошо подходит для экономичной реализации таких функций:

• Предотвращение привода — инверторный привод обладает уникальными характеристиками, которые делают его последним звеном в цепи безопасности, то есть предотвращает развитие крутящего момента в двигателе, когда это необходимо, с очень высокой целостностью. Это определяется как безопасное отключение крутящего момента (STO).
• Ограничение объема движения, включая крутящий момент, ускорение, скорость, направление или положение, либо в абсолютных значениях, либо в относительных значениях, таких как приращения положения. Привод контролирует эти переменные и часто имеет точные и быстро реагирующие на них измерения, т.е. через вал или датчик положения или, возможно, наблюдая за поведением напряжения и тока двигателя. Если эти связанные с приводом функции объединить с некоторой простой комбинационной и последовательной логикой для входных сигналов от датчиков машины, таких как переключатели ворот и переключатели с ключом, то можно реализовать широкий класс приложений безопасности.

Стандарты для связанных с безопасностью частей систем управления машинами

Необходимость строгого управления и реализации проекта системы безопасности означает, что соответствующие международные стандарты сложны и насыщенны. В этой заметке мы рассмотрим лишь несколько ключевых особенностей стандартов, наиболее важных для безопасности машинного оборудования.

Международные стандарты имеют префикс ISO или IEC. Европейские стандарты CENELEC имеют префикс EN. Здесь мы рассмотрим версии на английском языке, в международных формах используются одни и те же числа с разными префиксами. Версии EN имеют статус гармонизированных стандартов для Директивы ЕС по машинному оборудованию.

EN ISO 12100 описывает, как следует проводить оценку рисков машинного оборудования, что приводит к назначению функций безопасности системе управления, если это необходимо. Это необходимая предпосылка для правильной разработки системы управления, связанной с безопасностью, и за нее отвечает разработчик машины.

EN 61800-5-2 является стандартом функциональной безопасности систем силового привода. Он определяет ряд функций[1], которые особенно подходят для приводов и называются «назначенными подфункциями безопасности», такими как безопасное отключение крутящего момента (STO), безопасное ограничение скорости (SLS) и т. д. Полнота безопасности Полная функция безопасности измеряется SIL, который может принимать значения от 1 (самый низкий) до 3. Поскольку привод является подсистемой полной системы управления, связанной с безопасностью, это называется его «возможностью SIL».

EN 62061 является стандартом для электрических/электронных/программируемых систем управления машинами, в котором используется та же метрика SIL, что и в EN 61800-5-2

EN ISO 13849-1 является стандартом для систем управления машинами, включая неэлектрические системы. Он использует другую метрику, уровень производительности (PL) и категорию (от B до 4). Дополнительный стандарт EN ISO 13849-2 охватывает «Проверку», которая включает в себя указания о том, какие ошибки необходимо учитывать, а какие можно не принимать во внимание («исключения ошибок»).

Основой большей части стандартизации связанных с безопасностью электрических/электронных/программируемых систем является EN 61508- # серия, части с 1 по 7. Сами по себе они не являются согласованными стандартами, поскольку охватывают все системы, а не только системы управления машинами.

Уровни полноты безопасности

Требуемый SIL или PL для данной функции безопасности связан со степенью риска, который функция должна снизить, т. е. с вероятностью и серьезностью возможной травмы. Процесс принятия такого решения начинается с оценки рисков машины, которая описана в EN ISO 12100. . Правила определения требуемого SIL или PL приведены в EN 62061. и EN ISO 13849-1 .

Безопасное отключение крутящего момента в инверторных приводах (STO)

Самой основной функцией безопасности, которую может предложить привод, является STO. Инверторный привод, управляющий асинхронным двигателем, особенно подходит для этой функции, потому что силовой каскад инвертора должен быть постоянно активным со сложной и хорошо контролируемой коммутационной схемой ШИМ для большинства силовых полупроводников, чтобы создать любой крутящий момент в двигателе. На рис. 2 показана базовая силовая структура инвертора.

Рисунок 2:Базовая силовая структура инвертора звена постоянного тока

Для создания крутящего момента двигателю требуется вращающееся магнитное поле, которое может быть создано только шестью мощными транзисторами, работающими по сложной и четко определенной схеме переключения, которая генерирует трехфазное напряжение, установленное на выходных клеммах. В отсутствие этой схемы управления, поскольку питание инвертора подается постоянным током, в силовой цепи инвертора отсутствуют неисправности, которые могут привести к возникновению крутящего момента. В худшем случае неисправность возникает, когда два транзистора на противоположных полюсах двух ветвей инвертора непреднамеренно проводят ток, как показано красными стрелками на рисунке 2. В этом случае в одной фазе двигателя будет протекать большой неконтролируемый ток, пока не сработает схема защиты от перегрузки или инвертор вышел из строя (перегорел входной предохранитель или прерыватель). Ничто из этого не создает вращающегося магнитного поля, поэтому крутящий момент не создается.

В случае двигателя с постоянными магнитами или реактивного двигателя эта наихудшая неисправность вызовет временный выравнивающий момент, пока не сработает защитное устройство. В пределе двигатель может вращаться на один шаг полюсов для двигателя с постоянными магнитами или на половину шага полюсов для реактивного двигателя.

Интерфейс между силовым каскадом инвертора и управляющим входом STO привода должен быть спроектирован таким образом, чтобы поддерживать очень низкую вероятность небезопасного отказа, который может означать, что сложная схема управления ШИМ непреднамеренно передается на транзисторы инвертора. Как правило, в схеме используется своего рода «отказоустойчивый» метод, при котором, как и в самом инверторе, сбои компонентов любого рода приводят к потере команды «Включить». Может быть два независимых канала, так что функция STO может быть легко подключена к двухканальному контроллеру безопасности.

Дополнительные функции безопасности привода

Большинство других назначенных функций безопасности привода требуют некоторого анализа данных, таких как ток и/или скорость двигателя и т. д. Это обычно реализуется в микроконтроллере, при этом второй контроллер постоянно перепроверяет входные и выходные данные и действия процессора, как показано на рис. 3. Результатом обнаружения несоответствия всегда является отключение привода с помощью функции STO.

Вероятность аппаратной неисправности в опасном направлении снижается до допустимого уровня за счет наличия двух каналов с перекрестной проверкой. Устройства ввода, такие как переключатели, дублируются, чтобы позволить обнаруживать простые ошибки «залипания на», и они могут питаться разнообразными электрическими импульсами, чтобы можно было обнаруживать более тонкие скрытые неисправности между каналами. Базовые инкрементальные энкодеры имеют полезную встроенную функцию, которая позволяет обнаруживать большинство ошибок, поскольку две дорожки импульсов имеют фазовый сдвиг на 90°, что означает, что большинство ошибок приводят к невозможной последовательности импульсов, которую можно обнаружить. Цифровые выходы проверяются с помощью регулярных тестовых импульсов, которые проверяют, способен ли выход, намеренно удерживаемый в высоком (истинном) логическом состоянии, по-прежнему переходить в низкий уровень, что иногда называют выходами OSSD.

Вероятность систематической ошибки, т. е. ошибки, присущей проекту, снижается до допустимого уровня за счет самого строгого процесса определения точных требований к функциям безопасности и отслеживания их реализации, тестирования и документирования.

Комплектные машины и компоненты безопасности

Для каждого отдельного применения необходимо соблюдать строгий процесс определения и отслеживания функций безопасности, и в конечном счете ответственность за это несет разработчик оборудования. Если в проекте используется привод с функциями функциональной безопасности, то он становится компонентом безопасности, а его собственная спецификация требований безопасности и сертификация становятся частью полной системной документации.

В Европейском союзе это требование закреплено в виде Директивы по машинному оборудованию 2006/42/EC, которая включает определение и требования к компонентам безопасности, если они размещаются на рынке отдельно. На практике это обычно означает, что привод с функциями безопасности поставляется с сертификатом проверки типа ЕС, выданным независимым уполномоченным органом, утвержденным правительством, что позволяет использовать его в системе управления машиной, связанной с безопасностью. Если он имеет стандартную встроенную функцию STO, поэтому он может использоваться или не использоваться в качестве компонента безопасности, привод должен иметь две отдельные декларации производителя ЕС в соответствии с Директивой по машинному оборудованию и Директивой по низковольтному оборудованию.