Jiří Hlinovský, Product Manager, SICK, spol. s r. o. Zabezpečení strojů a strojních zařízení proti následkům poruchy jejich vlastního elektrického řídicího systému (dokončení série článků z předchozích čísel) Závěrečná část článku z dubnového a květ- nového čísla přináší příklad zapojení elektrických řídicích obvodů, které jsou určeny pro zajištění bezpečnostní funkce nouzového zastavení kategorie 0 podle ČSN EN 418, s jednoduchým bezpečnostním modulem, obsahujícím jen dvě relé s nuceným vedením kontaktů. Zvláštní oddíl příspěvku je věnován problematice navázání řídicích obvodů s bezpečnostními moduly na elektronické programovatelné zařízení. Pro úplnost informací je uveden i příklad zapojení bezpečnostních obvodů pro nouzové zastavení kategorie 1 podle ČSN EN 418. Příklady jsou opět doplněny výkladem funkce a rozborem odolnosti obvodů proti závadám. 12. Bezpečnostní modul se dvěma relé V současné době nabízí mnoho firem jednoduché a také poměrně levné bezpečnostní moduly pro nouzové zastavení kategorie 0 podle ČSN EN 418, které obsahují jen dvě relé s nuceným vedením kontaktů, přičemž funkce obou relé musí být podporována speciálním elektronickým časovačem (časovacím modulem). Vnitřní zapojení těchto modulů (viz obr. 10) není ničím novým pod sluncem, neboť vlastně jde o „oprášené“ a konstrukčně zdokonalené zapojení bezpečnostního modulu, který byl předchůdcem modulu se třemi relé a až do roku 1995 byl považován za standard v bezpečnostní technice. V původním zapojení ovšem relé s nuceným vedením kontaktů nebyla a pro zajištění funkce musely spínací kontakty obou relé spínat s předstihem a rozpínací kontakty naopak musely rozepínat se zpožděním. Při svaření kontaktů některého relé nebyla závada řídicím systémem detekována (chybělo nucené vedení kontaktů), a proto původní zapojení přestalo být považováno za bezpečné a bylo nahrazeno zapojením se třemi relé s nuceným vedením kontaktů. Schéma zapojení bezpečnostního obvodu pro nouzové zastavení, nakreslené na obr. 10, plně odpovídá všem doporučením výrobců a dodavatelů bezpečnostních modulů. Podle informací v některých návodech k použití, které jsou doloženy certifikáty renomovaných institucí, splňuje takto zapojený bezpečnostní obvod požadavky kategorie 3 podle ČSN EN 954-1. Skutečné vlastnosti obvodu ovšem požadavkům kategorie 3 ČSN EN 954-1 nevyhovují, zejména z hlediska schopnosti detekovat vzniklé závady, což lze dokázat rozborem odolnosti zapojení vůči závadám. Popis funkce zapojení na obr. 10 vychází z předpokladu, že žádný z přístrojů v bezpečnostním obvodu nemá závadu, jistič F1 je vypnut, na svorkách A1, A2 není napájecí napětí, relé K1, K2 jsou odpadlá, na svorce 14 není napětí, a nelze tedy zapnout stykače KM1, KM2, přičemž řídicí přístroj SA1 není aktivován. Po zapnutí jističe F1 je napájecí napětí přivedeno přes sepnuté kontakty SA1 na svorky A1, A2 a na svorce X1 je k dispozici napětí pro zapnutí bezpečnostního modulu. Stisknutím zapínacího tlačítka SB1 je toto napětí přivedeno na svorku X2 a přes klidové kontakty K1, K2 je připojen vstup elektronického časovače T, který je vlastně jen střádačem energie. Napětím na výstupu časovače jsou sepnuta relé K1, K2, která si svými pracovními kontakty zajistí samopřídrž a zároveň sepnou výstupní obvody bezpečnostního modulu, takže na svorce 14 je k dispozici napětí pro zapnutí stykačů KM1, KM2. Vzhledem k tomu, že nemůže nastat současné sepnutí pracovních a klidových kontaktů relé s nuceným vedením kontaktů, musí být během procesu přepínání K1, K2 využita energie nahromaděná při zapínání modulu ve střádači T. Vznikne-li porucha v elektronické části modulu, může být pouze znemožněno zapnutí přístroje, v žádném případě však porucha nemůže vést ke ztrátě bezpečnostní funkce obvodu, neboť po zapnutí je vstup časovače odpojen od napětí klidovými kontakty K1, K2. Při požadavku na funkci, tj. stisknutí řídicího přístroje obvodu, přeruší kontakty SA1 přívod napájecího napětí na svorky A1, A2 a relé K1, K2 odpadnou. Tím jejich pracovní kontakty dvojnásobně přeruší výstupní obvody bezpečnostního modulu a stykače KM1, KM2 odpadnou v důsledku ztráty napětí. Při svaření některého z kontaktů relé K1, K2, popř. stykačů KM1, KM2, je spolehlivé vypnutí obvodů zajištěno redundantním přístrojem, závada je řídicím systémem detekována a novému spuštění zařízení je zabráněno až do doby odstranění závady. Až potud je vše v pořádku a bezpečnostní obvod funguje podle očekávání. Ve vstupních obvodech zapojení z obr. 6 (viz ELEKTRO 5/2000 str. 4) je sice zajištěno detekování příčného zkratu mezi kanály, zásadně negativní vliv na funkčnost obvodu však má jiná, obvykle uvažovaná závada, tj. přemostění jednoho kontaktu řídicího přístroje SA1. V případě prvního přemostění ke ztrátě bezpečnostní funkce obvodu ještě nedojde, neboť vypnutí je zajištěno druhým vstupním kanálem, závada však není řídicím systémem detekována a není zabráněno novému zapnutí zařízení. Po novém zapnutí vstupní obvody už nejsou redundantní, zapojení má vlivem nedetekované závady jen jeden vstupní kanál a výskyt jednotlivé závady, tj. přemostění kontaktu řídicího přístroje SA1 ve zbylém vstupním kanálu, ke ztrátě bezpečnostní funkce obvodu již zcela určitě vede. Tato skutečnost je ovšem v zásadním rozporu s požadavky ČSN EN 954-1 na bezpečnostní části řídicích obvodů pro kategorii 3, kde výskyt jednotlivé závady nesmí vést ke ztrátě bezpečnostní funkce. Zapojení z obr. 10 je v některých odborných publikacích označováno jako „falešný dvoukanál“ a z předchozího odstavce je zřejmé, že svými vlastnostmi vyhovuje pouze požadavkům kategorie 2 podle ČSN EN 954-1, a je tedy nutné uskutečňovat pravidelnou kontrolu funkční schopnosti obvodu. Tuto skutečnost nejlépe dokládá následující rozbor odolnosti obvodu (obr. 10) vůči závadám a schopnosti vzniklé závady detekovat: - zemní spojení je detekováno,
- přerušení vodičů v obvodu je detekováno,
- přemostění kontaktu řídicího přístroje není detekováno (první přemostění nevede ke ztrátě bezpečnostní funkce obvodu, při druhém přemostění je obvod nefunkční),
- svaření kontaktů nebo mechanické selhání akčního členu je detekováno (při použití dvou redundantních stykačů zůstává obvod funkční),
- závady uvnitř bezpečnostního modulu jsou detekovány (obvod zůstává funkční),
- příčný zkrat ve vstupních kanálech je detekován (obvod zůstává funkční).
13. Vazba bezpečnostních obvodů na programovatelný automat Obvody elektrického řídicího systému stroje nebo strojního zařízení jsou obvykle rozděleny na řídicí obvody, které nesouvisejí s bezpečností zařízení, a na řídicí obvody, které s bezpečností stroje souvisejí a jsou určeny k zajištění bezpečnostních funkcí. Je-li „srdcem“ řídicího systému elektronické programovatelné zařízení (programovatelný automat), musí být zajištěna vzájemná vazba mezi bezpečnostními řídicími obvody a ostatními řídicími obvody, jak v oblasti hardwaru tak v oblasti softwaru. Zároveň musí být vyloučeno negativní ovlivňování bezpečnostních a ostatních řídicích obvodů navzájem. Pro bezpečnostní obvody určené k zajištění funkce nouzového zastavení kategorie 0 podle ČSN EN 418 je požadováno použití výhradně pevně propojených elektromechanických přístrojů a funkce těchto obvodů nesmí záviset ani na hardwaru, ani na softwaru programovatelného automatu. Vzhledem k tomu, že na vstup programovatelného automatu je nutné přivést informaci o stavu bezpečnostního obvodu pro nouzové zastavení (aby automat „věděl, co se děje“), je tento signál obvykle používán k programové podpoře bezpečnostní funkce nouzového zastavení, což žádný technický předpis nezakazuje. Stejně tak je možné, ovšem jen za určitých podmínek, vypínat při nouzovém zastavení celé skupiny stykačů přerušením napájecího napětí pro výstupní obvody automatu. Vhodný způsob vzájemného propojení programovatelného automatu a bezpečnostního obvodu pro zajištění funkce nouzového zastavení kategorie 0 podle ČSN EN 418, ve kterém je použit bezpečnostní modul, je nakreslen na obr. 11. Předpokladem pro využití uvedeného příkladu v praxi je použití programovatelného automatu, jehož vstupy i výstupy jsou galvanicky odděleny od vnitřní sběrnice přístroje (jak to požaduje ČSN EN 60204-1). Akčními členy obvodů pro nouzové zastavení jsou stykače jednotlivých pohonů, připojené přímo na výstupy programovatelného automatu. Stykače musí mít nucené vedení kontaktů, neboť jejich klidové kontakty zajišťují zpětnou vazbu na bezpečnostní modul a umožňují řídicímu systému detekovat případné poruchy. Popis funkce zapojení z obr. 11 je velmi jednoduchý. Napájecí napětí pro výstupní obvody programovatelného automatu je na svorku L+ přivedeno přes uvolňovací linii 13-14 bezpečnostního modulu. Proto při nouzovém zastavení stykače KM1, KM2 v důsledku ztráty napájecího napětí zaručeně odpadnou, a to i v případě, že nebudou vypnuty softwarem automatu. Softwarové vypnutí příslušných výstupů automatu musí zajistit programátor na základě informace ze vstupu, který je připojen na svorku 24 bezpečnostního modulu. Přitom je nutné počítat s tím, že programové vypnutí bude vždy zpožděno za vypnutím uvolňovacích linií v bezpečnostním modulu nejméně o dobu trvání jedné programové smyčky automatu (obvykle jednotky až desítky milisekund). 14. Bezpečnostní modul pro nouzové zastavení kategorie 1 Nouzové zastavení kategorie 1 podle ČSN EN 418 je definováno jako řízené nouzové zastavení, při kterém zůstává přívod energie připojen na příslušný pohon po celou dobu zastavování a teprve po zastavení pohonu je odpojen. V praxi je řízené nouzové zastavení používáno hlavně u elektrických pohonů, které jsou řízeny a brzděny měniči frekvence. Vnitřní schéma typického bezpečnostního modulu pro nouzové zastavení kategorie 1 je nakresleno na obr. 12. Kromě standardně zapojené části pro nouzové zastavení kategorie 0 (relé K1, K2, K3) obsahuje modul navíc dva redundantní časovače (časovací moduly), na jejichž výstupech jsou připojena relé K4, K5 s nuceným vedením kontaktů. Pracovní kontakty relé K4, K5 rozepínají se zpožděním výstupní obvody části pro řízené nouzové zastavení, klidové kontakty jsou zařazeny v zapínacím obvodu bezpečnostního modulu. Vstupní signály pro časovače jsou odebírány z cívek vypínacích relé příslušných kanálů v základní části modulu. Zpoždění obou časovačů je možné plynule měnit otočným ovládačem v rozsahu 0 až 30 s, pevnými propojkami na svorkách Y1-Z1 (Y2-Z2) lze nastavit rozsah zpoždění desetkrát větší, tj. 30 až 300 s. Schéma na obr. 12 je příkladem zapojení řídicích obvodů s bezpečnostním modulem, které jsou určeny k zajištění nouzového zastavení kategorie 0 i řízeného nouzového zastavení kategorie 1, přičemž je předpokládáno použití programovatelného automatu jako jádra řídicího systému. Stykače pohonů, které jsou vypínány okamžitě při nouzovém zastavení kategorie 0, mohou být připojeny na výstupy automatu, např. podle obr. 11. Popis funkce zapojení vychází z předpokladu, že jistič F1 je vypnut, bezpečnostní modul je bez napájecího napětí, relé K1 až K5 jsou odpadlá, žádný z přístrojů na schématu nemá závadu a řídicí přístroj SA1 není aktivován. Po zapnutí jističe F1 a stisknutí zapínacího tlačítka SB1, přiskočí relé K1, jehož pracovní kontakty zapnou relé K2, K3, která svými klidovými kontakty vypnou K1, čímž je ve výstupní části pro nouzové zastavení kategorie 0 zajištěno propojení svorek 13-14 (23-24, 33-34). Zároveň se zapnutím K2, K3 je přivedeno napětí na vstupy příslušných časovačů a pracovní kontakty K4, K5 ve výstupní části pro nouzové zastavení kategorie 1 propojí svorky 77-78 (87-88, 97-98). Po vyhodnocení signálů ze svorek 24 a 88 zajistí software programovatelného automatu zapnutí příslušných stykačů, přičemž stykač KM1 je zapínán přes uvolňovací linii 77-78 bezpečnostního modulu. Na vstupu měniče frekvence se objeví signál ze svorky 34 (není požadováno rychlé zastavení). Při požadavku na funkci, tj. stisknutí ovládače řídicího přístroje SA1, přeruší kontakty SA1 přívod napětí na cívky relé K2, K3, jejichž pracovní kontakty následně rozpojí výstupní svorky 13-14 (23-24, 33-34) a všechny stykače vypínané při nouzovém zastavení kategorie 0 odpadnou v důsledku ztráty napětí. Na základě signálu ze svorky 24 musí být vykonáno i programové vypnutí příslušných stykačů, přičemž stykač KM1 musí zůstat zapnutý. Měnič frekvence vyhodnotí změnu úrovně signálu ze svorky 34 jako požadavek na rychlé zastavení a začne motor brzdit podle naprogramované sestupné rampy. Po rozpojení kontaktů řídicího přístroje SA1 začnou oba časovače odměřovat nastavený čas a po jeho uplynutí rozpojí kontakty K4, K5 výstupní svorky 77-78 (87-88, 97-98), takže stykač KM1 odpadne v důsledku ztráty napětí. Po zpracování signálu ze svorky 88 musí být stykač KM1 softwarově vypnut programovatelným automatem. Zapojení z obr. 12 umožňuje splnit požadavky kategorie 2 nebo kategorie 3 podle ČSN EN 954-1. Pro kategorii 3 smí být na časovačích nastaveno zpoždění max. 30 s, pro kategorii 2 může být nastaveno zpoždění až 300 s. Rozbor odolnosti obvodů vůči závadám není uveden, jelikož schéma není úplné, a není tedy možné komplexně posoudit vlastnosti zapojení. 15. Závěr Sortiment bezpečnostních modulů pro nouzové zastavení i sortiment stykačů s nuceným vedením kontaktů nabízený v současné době na trhu v ČR jsou ekvivalentní sortimentu, který je nabízen v zemích EU. Záleží tedy hlavně na projektantech elektrických řídicích systémů strojů a strojních zařízení (ale nejen na nich), zda budou i nadále používat zastaralé a nevyhovující způsoby konstrukčního řešení obvodů pro nouzové zastavení nebo zda celkově zvýší odbornou úroveň své práce a přejdou na moderní přístrojovou techniku a budou navrhovat skutečně bezpečné řídicí obvody, jež odpovídají náročným požadavkům nových předpisů. Příklady zapojení elektrických obvodů pro nouzové zastavení publikované v tomto článku ukazují pouze některé z možných způsobů konstrukčního řešení bezpečnostních obvodů, jimiž lze dosáhnout splnění požadavků příslušných kategorií ČSN EN 954-1. Uvedená zapojení berou ohled na požadavky bezpečnostních norem a doporučení výrobců bezpečnostních modulů. Jsou používána mnohými projektanty a mnohými odborníky jsou považována za vyhovující pro daný účel použití. Žádnou technickou normou ani žádným technickým předpisem ovšem používání těchto zapojení není vysloveně požadováno, stejně jako není požadováno použití bezpečnostních modulů. Literatura: [1] ČSN EN 60204-1 Bezpečnost strojních zařízení – Elektrická zařízení pracovních strojů – Část 1: Všeobecné požadavky. [2] ČSN EN 954-1 Bezpečnost strojních zařízení – Bezpečnostní části řídicích systémů – Část 1: Všeobecné zásady pro konstrukci. |