SIMATIC S7-1500T - Technologia Motion Control od strony praktycznej. Część 13

ZINTEGROWANE FUNKCJE BEZPIECZEŃSTWA

Rys. 1.

Nowoczesne trendy rozwoju technik napędowych oraz systemów bezpieczeństwa prowadzą do popularyzacji zintegrowanych funkcji bezpieczeństwa. Oznacza to, że przekaźnik bezpieczeństwa zostaje włączony konstrukcyjnie w budowę przekształtnika częstotliwości.

Rozwiązanie takie niesie za sobą sporo zalet oraz udogodnień, m.in.:

• redukcja kosztów - ograniczamy wydatki na sprzęt (przekaźniki bezpieczeństwa, styczniki) oraz okablowanie niezbędne do połączenia elementów elektrycznych,
• oszczędność miejsca - mniejsza liczba urządzeń w projekcie prowadzi do uszczuplenia gabarytów maszyny,
• szybki montaż - brak dodatkowych komponentów sprzętowych oznacza również brak konieczności ich łączenia w kompletny układ elektryczny,
• czas reakcji układu - zintegrowane funkcje bezpieczeństwa napędu, dzięki zastosowaniu szybkich układów elektronicznych, mają znacznie krótsze czasy reakcji na sygnał aktywujący niż zastosowane konwencjonalne komponenty elektromechaniczne,
• przejrzystość projektu - wykluczenie zbędnych elementów sprzętowych, prowadzi do łatwiejszego, ustandaryzowanego i szybszego uruchomienia oraz minimalizuje możliwość popełnienia błędu montażowego; zaoszczędzimy również czas podczas napraw, konserwacji lub rozbudowy systemu,
• ograniczenie ryzyka - warto mieć również na uwadze, że im mniejsza liczba elementów w strukturze projektu, tym mniejszy stopień skomplikowania, a co za tym idzie niższe prawdopodobieństwo wystąpienia awarii.

PRZYKŁADY

Poza wyszczególnionymi powyżej udogodnieniami zintegrowanych funkcji bezpieczeństwa, ich zastosowanie jest analogiczne do przykładów omówionych w poprzedniej sekcji dla przekaźników bezpieczeństwa. Wykorzystując wejścia bezpieczne napędu, uzyskamy również takie same poziomy bezpieczeństwa.

Podłączając zatem aktywator (np. przycisk bezpieczeństwa) dwutorowo bezpośrednio do wejścia bezpiecznego napędu (rys. 1A), uzyskamy maksymalnie poziom nienaruszalności SIL 2 lub Pld. Jeśli struktura układu bezpieczeństwa zostanie wzbogacona o zewnętrzny przekaźnik bezpieczeństwa oraz nadmiarowy element wykonawczy (np. stycznik) - możemy osiągnąć najwyższy poziom bezpieczeństwa - SIL3/PLe. Struktura taka została zobrazowana na rysunku 1B.

Pozostaje nam rozważyć kwestię - jaka funkcja bezpieczeństwa w danej aplikacji powinna zostać aktywowana. Zróżnicowanie funkcji bezpieczeństwa wynika z wieloznaczności pojęcia "stanu bezpiecznego" - w każdej aplikacji sformułowanie to może oznaczać inną charakterystykę zatrzymania lub jedynie spowolnienia pracy napędu.

Szczegółowy opis najczęściej stosowanych funkcji zintegrowanych zostanie przedstawiony w kolejnym rozdziale.

STEROWNIK FAIL-SAFE (F-CPU)

Rys. 2.

Znamy już szereg urządzeń oceny bezpieczeństwa - od podstawowych komponentów bez certyfikacji, przez przekaźniki bezpieczeństwa, kończąc na funkcjach zintegrowanych napędów.

Najwyżej w hierarchii urządzeń oceny bezpieczeństwa możemy umieścić swobodnie programowalny sterownik PLC z funkcjonalnością bezpieczeństwa. W takim przypadku komplet funkcji przekaźnika bezpieczeństwa zawieramy w nadrzędnym systemie sterowania. Czujniki oraz aktywatory bezpieczeństwa będą w tym przypadku bezpośrednio podłączone pod wejścia bezpieczne sterownika (F-DI), a obsługę sterowania elementami wykonawczymi realizować będą wyjścia bezpieczne (F-DO).

Struktura taka pozwala jeszcze bardziej odchudzić system pod kątem liczby komponentów sprzętowych, a także ustandaryzować projekt w jego centralnym punkcie. Zyskujemy także otwartość w zakresie programistycznej - logika programu bezpieczeństwa może być swobodnie zdefiniowana jako część programu sterownika.

PRZYKŁADY

Ponownie przeanalizujmy wcześniej zaproponowane układy bezpieczeństwa - tym wypadku jednak uwzględnijmy możliwość przesłania informacji z czujników oraz do aktuatorów przez sieć przemysłową za pośrednictwem sterownika PLC w wydaniu fail-safe.

Komunikacja PROFIsafe

Dzięki komunikacji PROFIsafe możemy aktywować oraz realizować funkcje bezpieczeństwa przez urządzenia połączone fizycznie przez sieć przemysłową PROFINET. Standard bezpiecznej komunikacji PROFIsafe wspierany jest zarówno przez urządzenia aktywujące - np. panele operatorskie SIMATIC HMI (zintegrowany przycisk bezpieczeństwa) bądź przyciski z rodziny SIRIUS ACT z komunikacją PROFINET, jak i przez elementy wykonawcze - np. napędy SINAMICS (realizacja zintegrowanych funkcji bezpieczeństwa) lub rozproszone systemy wejść/wyjść ET200.

Komponenty obsługujące komunikację bezpieczną pozwalają na realizację układu bezpieczeństwa bez konieczności okablowania elektrycznego (hard-wired) - możemy swobodnie skorzystać z obsługi protokołu PROFIsafe w sieci przemysłowej PROFINET.

Szczegółowy opis standardu PROFIsafe odszukać można na stronach organizacji PNO Polska (www.profibus.org.pl). Szerszy opis komponentów z rodziny SIRIUS ACT dostępny jest pod następującym adresem sieciowym: www.siemens.pl/sirius-act.

Posługując się więc analogią do poprzedniej sekcji, rozważmy najpierw przypadek, gdzie aktywujemy zintegrowaną funkcję bezpieczeństwa napędu przez stop awaryjny. W strukturze ze sterownikiem fail-safe nie musimy stosować zewnętrznych przekaźników bezpieczeństwa. Przycisk stopu awaryjnego możemy podłączyć elektrycznie pod wejścia bezpieczne F-DI, natomiast funkcja zatrzymania napędu aktywowana może zostać przez sieć PROFIsafe. Taka struktura pozwoli na osiągnięcie poziomu bezpieczeństwa SIL2/PLd. Przykładowa konfiguracja została przedstawiona na rysunku 2A.

W celu osiągnięcia wyższego poziomu bezpieczeństwa (SIL3/PLe) w strukturze scentralizowanej konieczne będzie zastosowanie dodatkowego stycznika oraz jego wysterowanie przez wyjścia bezpieczne F-DO (rys. 2B).

Idąc krok dalej - w nowoczesnych układach całość łańcucha bezpieczeństwa jesteśmy w stanie zrealizować przez komunikacje w sieci PROFINET, przy założeniu, że zastosowane w projekcie elementy wspierają obsługę wymiany danych w standardzie PROFIsafe. W przykładowym układzie (rys. 2C) będziemy mogli uzyskać maksymalnie poziom bezpieczeństwa SIL2/PLd.

Struktura jest możliwe prosta, przejrzysta oraz łatwa w implementacji. Podwyższenie poziomu bezpieczeństwa wymagać będzie jednak zastosowania dodatkowego stycznika (np. przed napędem), gdyż przekształtniki częstotliwości SINAMICS mogą maksymalnie zapewnić SIL2/PLd w zakresie funkcji zintegrowanych.

Układy łagodnego rozruchu ET200SP

Warto nadmienić w tym miejscu, że w grupie komponentów rozruchowych z rodziny SIMATIC ET200SP (układy napędowe bez regulacji częstotliwości) istnieje możliwość uzyskania poziomu bezpieczeństwa SIL3/PLe bez konieczności zastosowania zewnętrznego obwodu stycznikowego odcinającego zasilanie. Wynika to z faktu, że możemy skonfigurować systemowy zasilacz fail-safe (F-PM) w celu odcięcia zasilania grupy starterów fail-safe. Sterowanie odcięciem zasilania może zostać wykonane przez wejścia cyfrowe modułu F-PM (np. przycisk awaryjny) lub przez magistralę komunikacyjną PROFINET z obsługą ramek PROFIsafe.

FUNKCJE BEZPIECZEŃSTWA MOTION CONTROL

Wymagania norm bezpieczeństwa określają kilka kategorii bezpiecznego zatrzymania układu napędowego. Kategoria 0 definiuje procedurę natychmiastowego odłączenia zasilania od napędu maszyny (zatrzymanie niekontrolowane). Kategoria 1 mówi o odłączeniu zasilania dopiero po kontrolowanym doprowadzenia układu napędowego do stanu spoczynku. Z kolei kategoria 2 określa zatrzymanie w sposób kontrolowany, gdzie zasilanie po unieruchomieniu maszyny nie zostaje w ogóle odcięte.

Potraktujmy te wytyczne jako początek naszych rozważań w zakresie funkcji bezpieczeństwa, jakie mogą zostać zaaplikowane w naszym projekcie.

ZATRZYMANIE BEZPIECZNE

W związku z powyższym wstępem - określając funkcje bezpieczeństwa oraz metodę ich realizacji, należy się również zastanowić, co oznacza doprowadzenie osi napędowej naszego układu do stanu bezpiecznego.

Być może w większości przypadków będzie to zatrzymanie napędu. W wielu aplikacjach konieczne jednak okaże się zatrzymanie z odpowiednią dynamiką - nie zawsze więc odcięcie źródła zasilania będzie dobrym rozwiązaniem. Zarówno nagłe, jak i zbyt powolne zatrzymanie elementu ruchomego może spowodować zagrożenie dla ludzi, uszkodzenie urządzeń lub wygenerowanie innych poważnych strat.

Wiele układów nie będzie mogło być zatrzymanych w ogóle, a jedynie powinna zostać ograniczona prędkość pracy.

Jeszcze inną sytuacją może być system, gdzie siła zewnętrzna (np. grawitacyjna) będzie powodować przyspieszenie pracy napędu po odcięciu jego zasilania - w takim wypadku może okazać się konieczne zastosowanie silnika z hamulcem.

W zakresie bezpieczeństwa układów napędowych zdefiniowana została grupa funkcji, których realizacja powinna wprowadzić system w określony stan bezpieczny. W dalszej części rozważymy kilka typowych funkcji bezpieczeństwa stosowanych w celu zabezpieczenia układów napędowych.

I. STO - Safe Torque Off

Rys. 3.

Podstawową oraz najprostszą funkcją bezpieczeństwa jest odcięcie zasilania układu napędowego. Wynikiem aktywacji funkcji STO jest bezpieczne odcięcie przepływu energii do silnika, za czym idzie wstrzymanie generowania momentu obrotowego. Silnik przechodzi w stan wybiegu, czyli wyhamowuje zgodnie z tarciem oraz bezwładnością układu mechanicznego. W związku z powyższym funkcja może zostać zastosowana jedynie w aplikacjach, gdzie dynamika zatrzymania nie wpływa na bezpieczeństwo, np. przy przenośnikach taśmowych.

Charakterystyczną cechą tej procedury jest fakt, że po jej aktywacji napęd nie może wytworzyć momentu obrotowego oraz ruchu stwarzającego zagrożenie - wymagane jest zdjęcie sygnału aktywującego STO oraz potwierdzenie (ponowne załączenie zasilania). Poniższy wykres zależności prędkości napędu w czasie przedstawia reakcję układu na wywołanie funkcji STO.

Zgodnie z opisem z poprzedniego rozdziału - implementacja procedury STO (określonej przez normę bezpieczeństwa) może zostać zrealizowana w sposób dowolny. Zasadniczą kwestią jest więc określenie oczekiwanego poziomu SIL/PL oraz dobór odpowiednich komponentów sprzętowych.

Najniższy poziom bezpieczeństwa uzyskamy przez elektryczne odcięcie układu od źródła zasilania. Stosując urządzenie certyfikowane (przekaźnik bezpieczeństwa, napęd z funkcjami zintegrowanymi lub sterownik F-PLC), ewentualnie włączając w obwód nadmiarowy stycznik odcinający źródło zasilania - otrzymamy wyższym poziom bezpieczeństwa realizacji funkcji STO.

STO jest funkcją elementarną i najczęściej wbudowywaną w przemienniki częstotliwości. W zakresie rodziny SINAMICS większość urządzeń ma tę funkcję w standardowej konfiguracji.

II. SS1 - Safe Stop 1

Rys. 4.

W przeciwieństwie do funkcji STO, gdzie zatrzymanie napędu odbywa się wybiegiem (w sposób niekontrolowany) - przy zatrzymaniu kontrolowanym SS1 następuje zmniejszenie prędkości aż do całkowitego zatrzymania (lub do osiągnięcia zdefiniowanej prędkości granicznej), a dopiero potem napęd zostaje odizolowany od źródła zasilania (STO). Jeśli silnik wyposażony jest w hamulec - zostanie on również bezpiecznie uruchomiony (SBC - Safe Break Control) równocześnie z funkcją odcięcia momentu. Procedura SS1 jest więc dwuetapowa, co zostało zaprezentowane na poniższym przebiegu.

Funkcja SS1 stosowana jest, gdy zdarzenie niebezpieczne wymaga możliwie szybkiego zatrzymania urządzenia - instalacje, gdzie wybieg napędu stanowi zagrożenie. Są to zazwyczaj układy o dużej bezwładności lub pracujące z wysokimi prędkościami, np. piły, wrzeciona, wirówki, nawijarki lub prasy. W aplikach, gdzie działają zewnętrzne siły (np. grawitacyjna), niezbędne będzie zastosowanie zewnętrznego hamulca w celu bezpiecznego unieruchomienia napędu po odłączeniu siły generującej moment obrotowy.

Podobnie jak w przypadku poprzednim realizacja funkcji SS1 może odbywać się przez klasyczny układ elektryczny z przekaźnikiem bezpieczeństwa lub przez nadrzędny sterownik fail-safe. Funkcja zintegrowana w napędzie znacznie ułatwia konfigurację oraz redukuje koniczność okablowania obwodów elektrycznych.

III. SS2 - Safe Stop 2

Rys. 5.

Funkcja bezpiecznego stopu 2 działa podobnie jak SS1 - jej przebieg możemy również podzielić na dwa etapy. W pierwszym następuje możliwie szybkie zatrzymanie napędu. W drugim zaś aktywowana zostaje funkcja SOS (Safe Operating Stop), która w przeciwieństwie do STO nie odcina siły generującej moment obrotowy. W drugiej fazie silnik zostaje więc unieruchomiony w określonej pozycji, której wartość jest monitorowana i utrzymywana przez pełny moment obrotowy silnika.

Stała kontrola pozycji bezpiecznej realizowana jest przez sterownik napędu. Dzięki temu, że zasilanie nie jest odłączane, restart silnika jest szybszy. W związku z powyższym funkcja SS2 stosowana jest zazwyczaj w urządzeniach, gdzie zatrzymanie powinno zostać wykonane na krótki okres bez wyłączania zasilania. Tryb taki może być determinowany przez specyfikę procesu produkcyjnego bądź konieczność wykonywania częstych okresowych zadań konserwacyjnych, np. usuwanie zabrudzeń, nadmiaru materiału czy smarowanie komponentów mechanicznych.

IV. SOS - Safe Operating Stop

Rys. 6.

Stosowana w przypadku bezpiecznego stopu 2 funkcja SOS odpowiada za bezpieczne monitorowanie stanu bezruchu napędu. Sterowanie zostaje nieprzerwanie aktywne - utrzymanie pozycji oraz doprowadzenie do zatrzymania układu realizowane jest przez system nadrzędny.

Po dezaktywacji funkcji SOS nie jest konieczna kalibracja maszyny lub bazowanie układu - praca osi może być natychmiast wznowiona bez zbędnego przestoju.

Funkcja znajduje zastosowanie np. w obrabiarkach, nawijarkach, prasach, windach czy urządzeniach pakujących.

V. SLS - Safely-Limited Speed

Rys. 7.

W wielu aplikacjach stan bezpieczny nie będzie wiązał się z całkowitym zatrzymaniem maszyny. Co więcej - może się zdarzyć, że ze względu na specyfikę produkcji lub jej efektywność - proces nie będzie mógł być zatrzymany. W takich przypadkach możemy określić warunki stanu bezpiecznego, który będzie sprowadzał się do ograniczenia prędkości pracy napędu oraz jej bezpiecznego monitorowania.

W razie przekroczenia zdefiniowanych warunków granicznych napęd powinien przejść w stan określony na etapie konfiguracji. Może być to bezpieczne wyłączenie momentu lub zatrzymanie - zgodnie z opisem z poprzednich sekcji.

Funkcja stosowana jest w obszarach, gdzie zagrożenie dla osób oraz mienia może zostać wyeliminowane przez ograniczenie prędkości pracy maszyny. Może wiązać się to z koniecznością wykonania konfiguracji urządzenia bądź czynności konserwacyjnych. Przykładem mogą być maszyny, gdzie wymagana jest operacja ręczna, np. uzupełnienie materiału, zmiana narzędzia bądź podsunięcie detalu.

VI. SSM - Safe Speed Monitor

Rys. 8.

Funkcją pokrewną, niejako rozszerzającą SLS - jest funkcja monitorowania prędkości bezpiecznej (SSM). W przypadku gdy prędkość spadnie poniżej określonej wartości - system wygeneruje sygnał bezpieczeństwa. Przebieg prędkości oraz sygnału fail-safe zaprezentowany został na poniższym wykresie.

Wyjściowy sygnał bezpieczny (gwarantujący bezpieczną prędkość) może zostać wykorzystany w sterowniku programowalnym w celu wykonania odpowiedniej funkcji - np. zwolnienia blokady drzwi obszaru zamkniętego lub otwarciu pokrywy wirówki w celu napełnienia jej materiałem.

VII. SDI - Safe Direction

Rys. 9.

Od momentu aktywacji - funkcja bezpiecznego kierunku (SDI) gwarantuje, że oś napędowa będzie poruszać się tylko w jednym kierunku - zdefiniowanym jako niestanowiący zagrożenia. Kierunek pracy napędu monitorowany jest w sposób bezpieczny. W razie wykrycia zmiany kierunku - aktywowana zostaje zaprogramowana reakcja układu.

Przykładem mogą być maszyny, w których odpowiedni kierunek osi będzie gwarantował bezpieczeństwo operatorowi, np. w sytuacji, gdy konieczne będzie usunięcie brudu lub resztek materiału, a wsteczna praca maszyny nie pozwoli na wciągnięcie lub zgniecenie kończyny.

VIII. SBT - Safe Brake Test

Rys. 10.

Wśród funkcji bezpieczeństwa znajduje się również mechanizm cyklicznego testowania hamulca silnika lub hamulca zewnętrznego. W celu sprawdzenia sprawności hamowania zwiększony zostaje moment obrotowy generowany przez napęd, podczas gdy hamulec jest załączony.

Okresowe testowanie układu hamującego daje pewność, że w razie potrzeby system zostanie sprawnie wyhamowany (funkcja SBC). Pozwala również na wykrycie zmian eksploatacyjnych, wymagających wykonania odpowiednich prac konserwacyjnych.

IX. SLP - Safely-Limited Position

Rys. 11.

Bezpieczne monitorowanie pozycji (SLP) zapewnia, że oś porusza się jedynie w dopuszczalnym zakresie ruchu. Ograniczenie programowe pozycji zapewnia, że w razie przekroczenia zdefiniowanej granicy - system zainicjuje odpowiednią procedurę wprowadzającą układ w stan bezpieczny. SLP umożliwia zazwyczaj przełączanie pomiędzy dwoma zdefiniowanymi zakresami - również podczas pracy systemu.

Funkcja może zostać zaaplikowana w obszarach zagrożenia dla personelu, gdzie ograniczenie pozycji ruchu osi zagwarantuje bezpieczeństwo podczas prac serwisowych bądź podczas uzupełniania lub usuwania materiału. Ograniczenie ruchu osi może dotyczyć przykładowo robotów, dźwigów lub suwnic.

X. SP - Safe Position

Rys. 12.

Funkcja SP służy do wyznaczenia pozycji, która zostanie zakwalifikowana jako bezpieczna. Wartość aktualna pozycji bezpiecznej zostaje przesłana do nadrzędnego sterownika F-PLC przez protokół PROFIsafe. W przeciwieństwie do SLP, funkcja ta służy do wyznaczenia bezpiecznego zakresu pracy układu, a nie do monitorowania pozycji aktualnej względem zdefiniowanych barier.

Dzięki funkcji SP jesteśmy w stanie, w bardzo elastyczny sposób, wyznaczyć bezpieczny zakres pracy skomplikowanych układów wieloosiowych bądź trajektorii krzywkowych. Możemy również wykonać implementację koncepcji wielowymiarowych stref bezpieczeństwa - bez konieczności stosowania dodatkowych czujników bądź enkoderów bezpiecznych.

FUNKCJE ZINTEGROWANE NAPĘDÓW SINAMICS

Funkcji bezpieczeństwa do układów Motion Control jest więcej, aczkolwiek ich użyteczność ma stosunkowo wąskie pasmo zastosowań. Monitorowanie bezpiecznego ruchu osi może polegać również na analizie przyspieszenia, momentu obrotowego, przyrostu pozycji czy temperatury silnika.

W zależności od wymogów konkretnej aplikacji - poziomu bezpieczeństwa, dostępnych parametrów czy skomplikowania układu - zastosujemy odpowiednie funkcje gwarantujące bezpieczeństwo. W tabeli zaprezentowano zintegrowane funkcje bezpieczeństwa dostępne w układach napędowych przykładowych klas produktowych z rodziny SINAMICS.

PODSUMOWANIE

Tematyka Safety zamyka cykl publikacji poświęconych układom Motion Control. W nieodległej przyszłości zajmiemy się nowościami, które pojawiły się w środowisku TIA Portal w wersji V15 w zakresie techniki napędowej. Firmware v2.5 jednostek z rodziny S7-1500T pozwala na realizację zaawansowanych funkcji wielowymiarowych układów kinematycznych.

Funkcje interpolacji ścieżki, transpozycji układu współrzędnych (np. kartezjańskiego 3D) możliwa jest przez proste funkcje interfejsu użytkownika w standardzie PLCOpen. Zapraszamy do śledzenia pojawiających się materiałów Siemensa w tym zakresie.

Kompletne kompendium informacji na temat systemów bezpieczeństwa SIMATIC, obowiązujących norm oraz koncepcji, charakterystyki elementów aktywujących/wykonawczych, komunikacji bezpiecznej oraz wielu innych zagadnień można znaleźć na stronie internetowej: www.siemens.pl/safety.

Siemens
www.automatyka.siemens.pl