Sterownik PLC w realizacji funkcji bezpieczeństwa
W artykule spróbuję odpowiedzieć, czy zwykły sterownik PLC może być użyty do ich realizacji funkcji bezpieczeństwa? Okazuje się, że tak, chociaż z pewnymi ograniczeniami.
Artykuł ten będzie omawiał wykorzystanie klasycznego sterownika PLC do realizacji funkcji bezpieczeństwa. Jeśli kogoś interesuje temat związany z wykorzystaniem sterownika PLC bezpieczeństwa, zapraszam do artykułu “Sterownik bezpieczeństwa – czym różni się od zwykłego sterownika PLC?”
Powiązany temat: Sterownik bezpieczeństwa – czym różni się od zwykłego sterownika PLC?
Jak to było kiedyś z wykorzystaniem sterownika PLC w realizacji funkcji bezpieczeństwa?
W edycji normy PN-EN 60204-1 z roku 2001 w p. 11.3.4 wyraźnie było napisane, że:
Programowalne wyposażenie elektroniczne nie powinno być zastosowane do realizacji funkcji zatrzymania awaryjnego w kategorii 0.
Norma ta w tym zdaniu wyraźnie wykluczała zastosowanie zwykłego sterownika PLC do realizacji funkcji zatrzymania awaryjnego. Nie wykluczała zastosowania sterownika PLC do realizacji innych funkcji bezpieczeństwa, co wskazywałoby na to, że inne funkcje bezpieczeństwa mogą być z powodzeniem realizowane. W dalszej części wspomnianej edycji normy możemy przeczytać:
Do realizacji wszystkich innych funkcji zatrzymania wiążących się z bezpieczeństwem, zalecane jest zastosowanie oprzewodowanych na stałe elektromechanicznych części składowych (tzn. zaleca się, aby funkcja nie zależała od działania elektronicznego wyposażenia programowalnego). Jeśli do takich funkcji zastosowano programowalne wyposażenie elektroniczne, to należy wprowadzić właściwe środki zgodne z 9.4.
W tym wymaganiu wspomniana edycja normy PN-EN 60204-1 zalecała, aby jednak funkcja bezpieczeństwa (jakakolwiek) nie zależała od działania sterownika PLC. Zalecenie nie jest wykluczeniem, wobec czego nadal możliwe było użycie standardowego wyposażenia programowalnego do realizacji funkcji bezpieczeństwa (innej niż zatrzymanie awaryjne).
Środki opisane w p. 9.4 dotyczyły funkcji sterowniczych w przypadku uszkodzenia. Rozdział był obszerny i opisywał różne możliwe środki minimalizujące ryzyko w przypadku uszkodzenia, takie jak zastosowanie sprawdzonych części składowych i technik wykonania obwodów, redundancji, odpowiedniej reakcji na zwarcia doziemne czy przerwy w zasilaniu itp. Są to środki konieczne, jeśli projektant z jakichś powodów zastosował sterownik PLC do realizacji funkcji bezpieczeństwa.
W dalszej części tego samego podrozdziału normy PN-EN 60204-1 napisano:
Wymagania te nie powinny wykluczać użycia programowalnego wyposażenia elektronicznego do monitorowania, testowania lub rezerwowego realizowania takich funkcji, jednak to wyposażenie nie powinno uniemożliwiać prawidłowego działania tamtych funkcji.
Oznacza to, że sterownik PLC mógł być użyty do realizacji funkcji bezpieczeństwa np. w architekturze dwukanałowej, gdzie w jednym kanale zastosowano oprzewodowane na stałe elektromechaniczne części składowe, a w drugim kanale sterownik PLC. Sterownik PLC mógł być także użyty do testowania części sterowania odpowiedzialnej za bezpieczeństwo, np. do monitorowania działania aktuatorów (styczników, przekaźników, zaworów, napędów) realizujących przejście maszyny do stanu bezpiecznego.
Wymaganie, że wyposażenie programowalne (a więc nasz sterownik PLC) nie powinno uniemożliwiać prawidłowego działania funkcji bezpieczeństwa wprowadza pewną dezorientację, bo nie wyjaśniono, jakie środki mogą uniemożliwiać działanie funkcji bezpieczeństwa.
Na końcu rozdziału 11.3.4 ówczesnej edycji normy PN-EN 60204-1 była wpisana następująca uwaga:
W sytuacjach, gdy może wystąpić znaczne zagrożenie na skutek błędnego działania układu sterowania, trudno jest stwierdzić, z jakimkolwiek stopniem pewności, że można mieć zaufanie do prawidłowego działania pojedynczego kanału programowalnego wyposażenia elektronicznego. Dopóki ta sytuacja nie będzie rozwiązana, nie jest wskazane poleganie wyłącznie na prawidłowej pracy takiego jednokanałowego urządzenia.
Podobny zapis można było znaleźć w normie PN-EN 954-1 w p. 4.3 (Uwaga 1).
I tu dopiero pojawiała się jakaś konkluzja, że jednak nie powinno się mieć zaufania do standardowego sterownika PLC, który w swej naturze jest urządzeniem o architekturze jednokanałowej. Normy jednak pozostawiały tą kwestię nierozstrzygniętą dając do zrozumienia, że pewne prace nad rozwiązaniem trwają. Co w tym czasie się zmieniło?
Jak to jest teraz z wykorzystaniem sterownika PLC w realizacji funkcji bezpieczeństwa?
Norma PN-EN 60204-1 została zaktualizowana i w edycji normy z roku 2006 podrozdział 11.3.4 został usunięty. Pojawiła się norma PN-EN 62061, która dotyczyła bezpieczeństwa funkcjonalnego m.in. programowalnych systemów sterowania związanych z bezpieczeństwem, a która nie przyjęła się zbytnio. Norma PN-EN 954-1 została zastąpiona normą PN-EN ISO 13849-1, w której opisano warunki zastosowania układów programowalnych, więc zmieniło się bardzo dużo.
Norma PN-EN ISO 13849-1 wprost odniosła się do stosowania sterowników PLC w realizacji funkcji bezpieczeństwa i stawia następujące warunki:
- Część sterowania odpowiedzialna za bezpieczeństwo jest ograniczona do PLa lub PLb i stosuje kategorię B, 2 lub 3;
- Część sterowania odpowiedzialna za bezpieczeństwo jest ograniczona do PLc lub PLd i może zawierać zwielokrotnione elementy dla dwóch kanałów w kategorii 2 lub 3. Zastosowane w tych dwóch kanałach elementy oparte są na zróżnicowanych technikach.
A więc z tego wynikałoby, że dla maszyn, których obsługa nie jest szczególnie niebezpieczna, część sterowania związana z bezpieczeństwem może być wykonana jednokanałowo z użyciem logiki programu PLC? Jakie to mogą być maszyny?
Mogą to być maszyny, dla których dalsza redukcja ryzyka za pomocą technicznych środków bezpieczeństwa wymagałaby użycia środków z poziomem zapewnienia bezpieczeństwa PLr=a, lub PLr=b. Tzn. z grafu ryzyka wg PN-EN ISO 13849-1 wynikałoby, że ciężkość szkód oraz możliwość uniknięcia ryzyka pozwalają na zastosowanie takich podsystemów, które osiągają tak niski współczynnik PLr.
Jest jednak pewne ograniczenie!
Ograniczenie dotyczy jedynie funkcji zatrzymania awaryjnego. W nowelizacji normy PN-EN ISO 13850 dotyczącej projektowania funkcji zatrzymania awaryjnego można znaleźć wymaganie, aby minimalny poziom zapewnienia bezpieczeństwa dla funkcji zatrzymania awaryjnego nie był mniejszy niż PLr=c. Wobec czego układ taki, jak na rysunku poniżej nie może być stosowany. Od razu przekreślam go, aby się nikomu nie utrwalił!
Jeśli zaś chodzi o inne funkcje bezpieczeństwa, to jeśli z oceny ryzyka wynika, że wymagany poziom zapewnienia bezpieczeństwa nie musi być większy niż PLr=b, to sterownik PLC może być użyty do realizacji funkcji bezpieczeństwa. Wobec czego funkcja monitorowania osłony blokującej mogłaby zostać zrealizowana w następujący sposób:
W jaki sposób ocenia się niezawodność działania sterownika PLC?
Norma PN-EN ISO 13849-1 wyraźnie mówi o tym, że w przypadku wykorzystania sterownika PLC w architekturze jednokanałowej, część sterowania odpowiedzialna za bezpieczeństwo jest ograniczona do PLr=a lub PLr=b. Jednak tego, jaki PLr uzyskują konkretne sterowniki PLC niezaprojektowane do realizacji części sterowania związanej z bezpieczeństwem producenci sterowników PLC nie podają.
Ogólnie rzec z biorąc, sterownik PLC w stosunku do całej reszty komponentów, z których zbudowana jest część sterowania maszyny jest bardzo niezawodnym sprzętem. Na ile tą niezawodność możemy oszacować i w jaki sposób wykorzystać tą niezawodność?
Poszukując informacji na temat tego, czy sterownik PLC jest bardziej niezawodny niż inne komponenty sterowania, można znaleźć informację w postaci liczbowej współczynnika MTBF, przyporządkowanego do konkretnego sterownika przez jego producenta. MTBF to wyrażony w godzinach średni czas, w którym urządzenie może działać bezawaryjnie.
Dla produktów współczynnik MTBF oparty jest na badaniach lub przewidywaniach. Dla wielu klientów jest dowodem wysokiej jakości produktu, nie jest jednak związany z gwarancją ani rękojmią. To, że urządzenie ma działać X lat, nie oznacza, że tyle trwa gwarancja lub, że produkt nie ulegnie uszkodzeniu przez taki czas. Wszystko zależy od intensywności użytkowania i warunków, w jakich urządzenie jest używane. MTBF ma ustaloną wartość liczbową tylko przy stałej intensywności uszkodzeń.[1]
MTBF dla sterownika PLC jest kombinacją wszystkich modułów i wszystkich komponentów, z których zbudowany jest hardware PLC. Tak więc całościowy współczynnik MTBF dla sterownika PLC jako całości będzie się różnić o w przypadku możliwych kombinacjach modułów i, co ważniejsze, biorąc pod uwagę wszystkie zmienne wprowadzone przez czynniki awarii wyjaśnione poniżej. W oszacowaniu całościowego współczynnika MTBF należy rozważyć każdy typ modułu niezależnie:
- moduł CPU,
- zasilacz,
- moduł komunikacyjny,
- moduł wejściowy,
- moduł wyjściowy.
Lista wymienionych powyżej typów modułów PLC jest uporządkowana według najbardziej niezawodnych, przy czym moduły wyjściowe są najbardziej narażone na awarie.
Sposób wykorzystania współczynnika MTBF został pokazany w 5 części kursu SISTEMA “Architektura dwukanałowa funkcji bezpieczeństwa“.
Powiązany temat: Architektura dwukanałowa funkcji bezpieczeństwa
Weźmy na przykład wykorzystanie modułu DO z wyjściami przekaźnikowymi. Możliwość wystąpienia awarii wyjścia przekaźnikowego należy oszacować na podstawie aktywacji, a nie czasu. Jedna maszyna może aktywować przekaźnik na karcie jednorazowo raz na godzinę, a maszyna działa tylko 8 godzin dziennie, 5 dni w tygodniu. Inna maszyna w tym samym obiekcie, z wykorzystaniem takiego samego modułu DO może aktywować przekaźnik 120 razy na godzinę, a maszyna działa 24 godziny 7 dni w tygodniu. Jednak obie karty wyjściowe miałyby taki sam współczynnik MTBF dostarczony przez dostawcę.
Ze względu na brak rejestrowania wskaźników awaryjności sterowników PLC u użytkowników końcowych, niemożliwe jest uzyskanie rzeczywistych danych historycznych. Mimo tego, prawdopodobieństwo wystąpienia awarii sterownika PLC jest relatywnie niskie w porównaniu z jakimkolwiek innym sprzętem w układzie sterowania. Wskaźniki niezawodności sterownika PLC mogą być zwiększone o następujące czynniki (w celu uzyskania najbardziej negatywnego wpływu na wskaźnik awarii).
Środowisko pracy (ograniczenia środowiskowe warunkujące poprawną pracę sterownika, zdefiniowane przez producenta sterownika PLC). Jeśli układ sterowania ze sterownikiem PLC jest narażony na ekstremalne ciepło lub zimno, ciecze, wibracje, kurz itp., prawdopodobieństwo awarii sterownika PLC wzrasta.
Model (marka). Podczas gdy sterownik PLC cechuje się najniższą awaryjnością spośród wszystkich innych komponentów działających w jednym systemie sterowania, jedna marka może być bardziej niezawodna niż inna. Różne modele sterowników PLC w obrębie jednego dostawcy mają znacznie większe rozróżnienie niezawodności (awarii). Na przykład, sterownik programowalny, zainstalowany na standardowym komputerze osobistym, który nie poradzi sobie z trudnym środowiskiem przemysłowym, prawie na pewno zawiedzie.
Odpowiedni projekt elektryczny (z uwzględnieniem zalecanych połączeń, zabezpieczeń, ograniczeń zdefiniowanych przez producenta w instrukcji instalacji sterownika PLC). Odpowiedni projekt i wykonanie decydują o poprawnych warunkach pracy sterownika PLC. Nieodpowiedni dobór komponentów podłączonych do wyjść sterownika PLC może przyczynić się do jego awaryjności. Np. podłączenie cewki zaworu o prądzie znamionowym 1,25A do wyjścia tranzystorowego o obciążalności 0,5A to błąd projektowy, który na pewno spowoduje awarię sterownika.
Fizyczne wykonanie układu sterowania (z uwzględnieniem zapotrzebowania sterownika PLC na jego chłodzenie, rozmieszczenie komponentów pod względem kompatybilności elektromagnetycznej). Na niezawodność pracy będzie miało również wpływ odpowiednie rozmieszczenie komponentów w szafie elektrycznej, stosowanie filtrów, ekranów przed zakłóceniami elektromagnetycznymi.
Diagnostyka (wykorzystanie możliwości PLC do samodiagnozowania). Sterowniki PLC mają możliwość zastosowania zaawansowanej diagnostyki. Od programisty PLC zależy, czy wykorzysta tą funkcjonalność, bowiem odpowiednio napisany program PLC jest w stanie diagnozować część sterowania. Na podstawie spodziewanych zdarzeń program sterowania może spowodować odpowiednią reakcję.
Wszystkie w/w czynniki należy wziąć pod uwagę podczas wykorzystania sterownika PLC nie tylko w obwodach sterowania związanych z bezpieczeństwem. Współczynnik MTBF odnosi się tylko do konkretnego sprzętu dla przewidywalnych warunków zastosowania. Jeśli warunki te zostaną zapewnione, sterownik PLC może zapewnić długotrwałą i bezawaryjną pracę.
[1] Źródło – Wikipedia