В этом блоге дается введение в использование приводов с регулируемой скоростью в функциях безопасности машин. Он предназначен для помощи тем, кто знаком с инверторными приводами переменного тока, но в меньшей степени с системами управления, связанными с безопасностью. Это должно помочь читателю понять принципы и перейти к доступу к большому количеству подробных материалов, которые доступны о системах, связанных с безопасностью.

Термин “Функциональная безопасность” применяется в тех случаях, когда электрическое, электронное или программируемое оборудование используется для выполнения функций, влияющих на безопасность человека. Это обширная тема, которая включает в себя различные приложения, такие как железнодорожная сигнализация и мониторинг и управление крупными технологическими установками, где многие люди могут подвергнуться риску в случае аварии. Однако чаще всего в приводных приложениях это относится к какому-либо виду оборудования, где система управления может использоваться для предотвращения ситуации, когда человек может получить травму в результате эксплуатации оборудования. Простым примером является защитный барьер, который необходимо часто открывать, чтобы получить доступ к части оборудования, но когда он открыт, оборудование не должно работать. Система датчиков и исполнительных механизмов может быть сконструирована для определения состояния барьера и управления машиной.

Благодаря наличию интеллектуального программируемого оборудования, такого как ПЛК и цифровые VSD, системы безопасности могут быть более гибкими и интеллектуальными, чем в этом примере, обеспечивая гибкую работу при сохранении безопасности. Например, может быть возможно разрешить продолжение работы на пониженной скорости при открытом шлагбауме, возможно, при условии, что квалифицированный специалист использует специальный ключ безопасности, или, возможно, когда лицо этого человека распознано, или при некоторых других мерах предосторожности.

Решающим фактором при использовании функций безопасности является то, что надежность функции должна быть значительно выше, чем может быть достигнута с помощью простого электрического, электронного или программируемого оборудования. Каким бы хорошим ни было качество обычной электрической или электронной схемы, могут возникать неисправности некоторых компонентов, которые приводят к тому, что она не выполняет требуемую функцию безопасности, но при этом неисправность не становится очевидной. Поэтому аппаратное обеспечение для функций безопасности должно быть разработано со встроенными функциями самотестирования или “отказоустойчивости”. Во время разработки продукта последствия аппаратных сбоев должны быть проанализированы в режиме анализа отказов и эффектов (FMEA), а потенциально опасные режимы отказа должны быть сведены проектом к очень низкому уровню. Типичный целевой показатель для PFHD (вероятность отказа в опасном направлении) для уровня целостности SIL3 составляет 10-8 в час, т.е. частота отказов составляет менее одного на 10 000 лет. Такая низкая частота отказов всегда требует специальных структур в электронных системах управления. Обратите здесь внимание, что мы имеем в виду случайные отказы, которые происходят в течение предполагаемого срока службы оборудования, а не ожидаемый срок службы. Деталями с известными механизмами износа в течение предполагаемого срока службы системы можно управлять с помощью планового технического обслуживания.

В большинстве применений, связанных с приводами, решается проблема безопасности стационарной машины, и наиболее распространенным вариантом является использование двух независимых каналов для функции безопасности с перекрестной проверкой, организованной таким образом, что в случае несоответствия привод останавливается, т.е. приводной момент прекращается. В большинстве машин это приводит к безопасному состоянию. Для такой машины, как подъемник, которая может двигаться под действием силы тяжести без привода, необходимо принять меры для обеспечения того, чтобы она не создавала опасности при исчезновении крутящего момента привода.

Рисунок 1 иллюстрирует базовую двухканальную систему безопасности, которая также упоминается как “один из двух” или система 1oo2, что означает, что если один из двух каналов запрашивает остановку, то машина останавливается. Это наиболее распространенное устройство для системы контроля безопасности оборудования. Неисправность либо в датчике, либо в процессоре формирования сигнала не приводит к потере функции безопасности. Обратите внимание, что рисунок 1 представляет собой только функциональную схему, элемент “И” на выходе не является простой логической микросхемой, поскольку это привело бы к одноточечному отказу механизма, если логическая микросхема вышла из строя. Это может быть двухканальный вход STO на приводе или какой-либо другой метод, при котором устраняется общая причина отказа одного устройства.

Функция диагностики, показанная серым цветом, обычно необходима для обеспечения постоянной безопасности, поскольку без нее, хотя неисправность в одном канале не приводит к сбою функции безопасности, машина могла бы продолжать работать неопределенно долго с одним каналом в небезопасном состоянии. Вторая неудача тогда привела бы к опасному состоянию.

Использование встроенных процессоров, работающих под управлением встроенного ПО и программного обеспечения, привносит новое измерение в функциональную безопасность. Программное обеспечение не имеет случайных сбоев, но его сложность означает, что трудно гарантировать, что оно работает должным образом при любых условиях и последовательности событий. Это не может быть доказано тестированием всей системы как “черного ящика” – программное обеспечение должно быть написано на четко определенном языке с мерами, принятыми во избежание ошибок кодирования, и тщательно структурировано в модулях, которые могут быть определены и протестированы на каждом этапе. Также должно быть доказано, что другие действия в процессорной системе не могут отрицательно повлиять на модули, а это сложно, если на том же процессоре выполняется другой небезопасный код.

Необходимая дисциплина создания четкой недвусмысленной спецификации с планом тестирования и тщательным документированием процесса применима как к написанию кода, так и к проектированию всей системы.

Одним из важных средств контроля качества программного обеспечения является различие между “языком ограниченной вариативности” (LVL) и “языком полной вариативности” (FVL). LVL ограничивается настройкой предварительно утвержденных модулей с четко определенными функциями ограниченным образом, чтобы результат можно было протестировать с помощью простой программы последовательного тестирования. LVL был бы создан с использованием FVL, такого как C ++ и т.д., Который прошел полный строгий процесс проектирования, а затем был заблокирован для доступа программиста LVL.

Простота, с которой программное обеспечение может быть изменено, также означает, что должна быть создана безопасная система контроля версий, включая предотвращение несанкционированных изменений.

Многие функции безопасности, которые включают простые последовательности и комбинации входов для управления выходами, могут быть реализованы в ПЛК со специальными функциями для предотвращения опасностей, связанных с аппаратными сбоями и ошибками программного обеспечения, т.е. в “ПЛК безопасности”. Однако существуют приложения, в которых привод особенно хорошо подходит для реализации таких функций с минимальными затратами:

Необходимость строгого управления и внедрения проектирования систем безопасности означает, что соответствующие международные стандарты являются сложными и плотными. В этой заметке мы просто рассмотрим несколько ключевых особенностей стандартов, наиболее важных для безопасности машин.

Международные стандарты имеют префикс ISO или IEC. Европейские стандарты CENELEC имеют префикс EN. Мы рассмотрим здесь версии EN, в международных формах используются одни и те же номера с разными префиксами. Версии EN имеют статус гармонизированных стандартов для Директивы ЕС по оборудованию.

EN ISO 12100 описывает, как следует проводить оценку риска для оборудования, что приводит к распределению функций безопасности на систему управления, если это необходимо. Это является важным предварительным условием для правильного проектирования системы управления, связанной с безопасностью, и является обязанностью проектировщика машины.

Эн 61800-5-2 является стандартом функциональной безопасности систем силового привода. Он определяет ряд функций [1], которые особенно подходят для приводов, называемых “назначенными подфункциями безопасности”, такими как безопасное отключение крутящего момента (STO), безопасное ограничение скорости (SLS) и т.д. Надежность полной функции безопасности измеряется с помощью SIL, который может принимать значения от 1 (наименьшее значение) до 3. Поскольку привод является подсистемой полной системы управления, связанной с безопасностью, это называется его “способностью SIL”.

В 62061 г. это стандарт для электрических / электронных / программируемых систем управления машинами, в котором используется та же метрика SIL, что и в EN 61800-5-2

EN ISO 13849-1 является стандартом для систем управления машинами, включая неэлектрические системы. Он использует другую метрику, уровень производительности (PL) и категорию (от B до 4). Дополнительный стандарт EN ISO 13849-2 охватывает “Валидацию”, которая включает указания о том, какие неисправности необходимо учитывать, а какие можно не учитывать (“исключения неисправностей”).

Основой значительной стандартизации электрических /электронных /программируемых систем, связанных с безопасностью, является В 61508 г.— серия #, части с 1 по 7. Сами по себе они не являются гармонизированными стандартами, поскольку они охватывают все системы, а не только системы управления машинами.

Требуемый SIL или PL для данной функции безопасности связан со степенью риска, который функция должна снизить, т.е. с вероятностью и серьезностью возможной травмы. Процесс принятия решения об этом начинается с оценки риска машины, которая описана в EN ISO 12100. Правила получения требуемого SIL или PL приведены в В 62061 г. и EN ISO 13849-1.

Самая базовая функция безопасности, которую может предложить привод, — это STO. Инверторный привод, управляющий асинхронным двигателем, особенно подходит для этой функции, поскольку силовой каскад инвертора должен быть постоянно активным со сложной и хорошо контролируемой схемой переключения ШИМ для большинства силовых полупроводниковых приборов, чтобы создавать любой крутящий момент в двигателе. На рисунке 2 показана базовая структура питания инвертора.

Двигателю необходимо вращающееся магнитное поле для создания крутящего момента, который может генерироваться только шестью силовыми транзисторами в соответствии со сложной и четко определенной схемой переключения, которая генерирует трехфазное напряжение, установленное на выходных клеммах. При отсутствии этой схемы управления, поскольку питание инвертора осуществляется постоянным током, в цепи питания инвертора отсутствуют неисправности, которые могут привести к возникновению крутящего момента. В наихудшем случае неисправность возникает при непреднамеренном срабатывании двух транзисторов на противоположных полюсах двух ветвей инвертора, как показано красными стрелками на рисунке 2. В этом случае высокий неконтролируемый ток будет протекать в одной фазе двигателя до тех пор, пока либо не сработает схема защиты от перегрузки по току, либо инвертор не будет выведен из строя (входной предохранитель или прерыватель отключится). Ничто из этого не создает вращающегося магнитного поля, поэтому крутящий момент не генерируется.

В случае двигателя с постоянным магнитом или индуктивностью эта неисправность в наихудшем случае приведет к временному снижению момента выравнивания до тех пор, пока не сработает защитное устройство. В пределе двигатель мог вращаться с шагом в один полюс для двигателя PM или с шагом в половину полюса для реактивного двигателя.

Интерфейс между силовым каскадом инвертора и входом управления STO привода должен быть спроектирован таким образом, чтобы поддерживать очень низкую вероятность небезопасного сбоя, который означал бы, что сложная схема управления PWM была непреднамеренно передана на транзисторы инвертора. Обычно в устройстве используется своего рода “отказоустойчивый” метод, при котором, как и в самом инверторе, всевозможные сбои компонентов приводят к потере команды “Включить”. Может быть два независимых канала, так что функция STO может быть легко подключена к двухканальному контроллеру безопасности.

Большинство других функций безопасности, предназначенных для привода, требуют некоторого анализа данных, таких как ток двигателя и / или скорость и т.д. Обычно это реализуется в микроконтроллере, при этом второй контроллер постоянно проверяет входные и выходные данные, а также действия процессора, как показано на рисунке 3. Неизменно результатом обнаружения несоответствия является то, что привод отключается с помощью функции STO.

Вероятность аппаратного сбоя в опасном направлении снижается до допустимого уровня благодаря наличию двух каналов с перекрестной проверкой. Устройства ввода, такие как переключатели, дублируются, чтобы позволить обнаруживать простые ошибки “зависания”, и на них могут подаваться разнообразные электрические импульсы, чтобы можно было обнаруживать более тонкие перебои между каналами. Базовые инкрементные датчики вала обладают полезной встроенной функцией, которая позволяет обнаруживать большинство неисправностей, поскольку две дорожки импульсов имеют сдвиг по фазе на 90 °, что означает, что большинство ошибок приводят к невозможной последовательности импульсов, которую можно обнаружить. Цифровые выходы проверяются регулярными тестовыми импульсами, которые проверяют, способен ли выход, намеренно удерживаемый в высоком (истинном) логическом состоянии, по–прежнему работать на низком уровне — иногда его называют выходами OSSD.

Вероятность систематической неисправности, т.е. ошибки, присущей конструкции, снижается до допустимого уровня благодаря самому тщательному процессу определения точных требований к функциям безопасности и отслеживания их реализации, тестирования и документации.

Строгий процесс определения и отслеживания функций безопасности должен соблюдаться для каждого отдельного применения, и в конечном счете ответственность за это несет разработчик оборудования. Если привод с функциональными функциями безопасности используется как часть конструкции, то он становится компонентом безопасности, а его собственная спецификация требований безопасности и сертификация становятся частью полной документации системы.

В рамках Европейского союза это требование закреплено в законодательстве в форме Директивы 2006/42/EC по оборудованию, которая включает определение и требования к компонентам безопасности, когда они поставляются на рынок отдельно. На практике это обычно означает, что привод с функциями безопасности поставляется с сертификатом проверки типа ЕС, выданным независимым уполномоченным государственным органом, позволяющим использовать его в системе управления машиной, связанной с безопасностью. Если в стандартную комплектацию встроена функция STO, так что она может использоваться в качестве компонента безопасности, а может и не использоваться, привод должен иметь две отдельные декларации производителя ЕС в соответствии с Директивой по оборудованию и Директивой по низкому напряжению.