Fungsi Keamanan Alat Berat Dalam Penggerak Kecepatan Variabel

Prinsip umum  fungsi keselamatan dalam peralatan elektronik

Blog ini memberikan pengenalan tentang penggunaan penggerak kecepatan variabel dalam fungsi keselamatan mesin. Hal ini dimaksudkan untuk membantu mereka yang akrab dengan drive inverter a.c tetapi kurang akrab dengan sistem kontrol yang berhubungan dengan keselamatan. Ini akan membantu pembaca untuk memahami prinsip-prinsip dan terus mengakses sejumlah besar materi terperinci yang tersedia tentang sistem yang berhubungan dengan keselamatan.

Istilah "Keselamatan Fungsional" digunakan jika peralatan listrik, elektronik atau yang dapat diprogram digunakan untuk menjalankan fungsi yang mempengaruhi keselamatan manusia. Ini adalah topik besar, yang mencakup beragam aplikasi seperti sinyal kereta api dan pemantauan dan kontrol pabrik proses besar di mana banyak orang dapat berisiko jika terjadi kecelakaan. Namun yang paling umum dalam aplikasi penggerak itu akan merujuk pada beberapa jenis mesin, di mana sistem kontrol dapat digunakan untuk mencegah situasi di mana seseorang akan berisiko cedera akibat pengoperasian mesin. Contoh sederhana adalah penghalang pengaman, yang perlu sering dibuka untuk mendapatkan akses ke bagian dari mesin, tetapi ketika dibuka, mesin tidak boleh beroperasi. Sistem sensor dan aktuator dapat dirancang untuk mendeteksi status penghalang dan mengontrol mesin.

Dengan ketersediaan peralatan cerdas yang dapat diprogram seperti PLC dan VSD digital, sistem keselamatan dapat lebih fleksibel dan cerdas daripada contoh ini, memungkinkan pengoperasian yang fleksibel sambil tetap menjaga keselamatan. Misalnya, dimungkinkan untuk mengizinkan operasi lanjutan pada kecepatan yang dikurangi saat penghalang terbuka, mungkin tergantung pada kunci keselamatan khusus yang dioperasikan oleh orang yang berkualifikasi, atau mungkin saat wajah orang itu dikenali, atau tindakan pencegahan lainnya.

Mode kegagalan

Faktor penting dengan fungsi keselamatan adalah bahwa keandalan fungsi harus jauh lebih baik daripada yang dapat dicapai dengan peralatan listrik, elektronik, atau yang dapat diprogram secara langsung. Betapapun bagusnya kualitas sirkuit listrik atau elektronik konvensional, beberapa kesalahan komponen dapat terjadi yang mengakibatkan kegagalan untuk menjalankan fungsi keselamatan yang disyaratkan, tetapi tanpa kesalahan menjadi jelas. Oleh karena itu, perangkat keras untuk fungsi keselamatan harus dirancang dengan fitur pengujian mandiri atau "fail-safe" bawaan. Selama pengembangan produk, efek kegagalan perangkat keras harus dianalisis dalam Mode Kegagalan dan Analisis Efek (FMEA) dan mode kegagalan yang berpotensi berbahaya harus dikurangi dengan desain ke tingkat yang sangat rendah. Target khas untuk PFH_D (probabilitas kegagalan dalam arah yang berbahaya) untuk tingkat integritas SIL3 akan menjadi 10 ^-8 per jam, yaitu tingkat kegagalan kurang dari satu per 10.000 tahun. Tingkat kegagalan yang rendah seperti itu selalu membutuhkan struktur khusus dalam sistem kontrol elektronik. Perhatikan di sini bahwa kami mengacu pada kegagalan acak yang terjadi selama masa pakai peralatan yang dimaksudkan, dan bukan pada harapan masa pakai. Suku cadang dengan mekanisme keausan yang diketahui dalam masa pakai sistem yang diinginkan dapat dikelola dengan pemeliharaan terencana.

Struktur kontrol

Dalam sebagian besar aplikasi yang melibatkan penggerak, keselamatan mesin tetap ditangani, dan opsi yang paling umum adalah menggunakan dua saluran independen untuk fungsi keselamatan, dengan pemeriksaan silang diatur sedemikian rupa sehingga jika terjadi perbedaan, penggerak berhenti, mis. torsi penggerak berhenti. Di sebagian besar mesin, ini menghasilkan keadaan aman. Untuk mesin seperti kerekan yang dapat bergerak di bawah gravitasi tanpa penggerak, langkah-langkah harus diambil untuk memastikannya tidak menimbulkan bahaya saat torsi penggerak hilang.

Gambar 1 mengilustrasikan sistem keamanan dua saluran dasar yang juga disebut sebagai sistem “satu dari dua” atau 1oo2, artinya jika salah satu dari dua saluran meminta penghentian maka mesin akan berhenti. Ini adalah pengaturan yang paling umum untuk sistem kontrol keamanan mesin. Kesalahan pada sensor atau prosesor pengkondisi sinyal tidak menyebabkan hilangnya fungsi keselamatan. Perhatikan bahwa Gambar 1 adalah diagram fungsional saja, "Gerbang AND" pada output bukan chip logika sederhana, karena itu akan memperkenalkan mekanisme kegagalan titik tunggal, jika chip logika gagal. Ini bisa berupa input STO dua saluran pada drive, atau metode lain yang menghilangkan penyebab umum kegagalan satu perangkat.

Fungsi diagnostik yang ditampilkan dalam warna abu-abu biasanya diperlukan untuk memastikan keselamatan yang berkelanjutan, karena tanpanya, meskipun kesalahan pada satu saluran tidak menyebabkan fungsi keselamatan gagal, akan mungkin bagi mesin untuk terus beroperasi tanpa batas dengan satu saluran dalam keadaan tidak aman. negara. Kegagalan kedua akan menyebabkan kondisi berbahaya.

Gambar 1:Struktur kontrol satu-dari-dua

Perangkat lunak/firmware

Penggunaan prosesor tertanam yang menjalankan firmware dan perangkat lunak memperkenalkan dimensi baru pada keamanan fungsional. Perangkat lunak ini tidak mengalami kegagalan acak, tetapi kerumitannya berarti sulit untuk memastikan bahwa perangkat tersebut beroperasi sebagaimana dimaksud dalam semua kondisi dan urutan kejadian. Ini tidak dapat dibuktikan dengan pengujian sistem yang lengkap sebagai “kotak hitam” – perangkat lunak harus ditulis dalam bahasa yang terdefinisi dengan baik dengan langkah-langkah yang diambil untuk menghindari kesalahan pengkodean, dan terstruktur dengan hati-hati dalam modul yang dapat ditentukan dan diuji di setiap melangkah. Juga harus dibuktikan bahwa modul tidak dapat terpengaruh secara negatif oleh aktivitas lain dalam sistem prosesor, dan ini sulit jika kode non-keselamatan lain berjalan pada prosesor yang sama.

Disiplin yang diperlukan untuk membuat spesifikasi yang jelas dan tidak ambigu, dengan rencana pengujian, dan mendokumentasikan proses secara menyeluruh, berlaku baik untuk penulisan kode maupun untuk merancang sistem yang lengkap.

Salah satu kontrol penting atas kualitas perangkat lunak adalah untuk membedakan "bahasa variabilitas terbatas" (LVL) dari "bahasa variabilitas penuh" (FVL). LVL dibatasi untuk mengonfigurasi modul yang telah disetujui sebelumnya dengan fungsi yang terdefinisi dengan baik secara terbatas sehingga hasilnya dapat diuji dengan program pengujian sekuensial sederhana. LVL akan dibuat menggunakan FVL seperti C++ dll., yang telah menjalani proses desain yang sangat ketat, dan kemudian dikunci di luar akses oleh programmer LVL.

Kemudahan dalam mengubah perangkat lunak juga berarti bahwa sistem kontrol versi yang aman harus ada, termasuk pencegahan perubahan yang tidak sah.

Menggerakkan aplikasi

Banyak fungsi keselamatan yang terdiri dari urutan sederhana dan kombinasi input untuk mengontrol output dapat diimplementasikan dalam PLC dengan fitur khusus untuk mencegah bahaya dari kesalahan perangkat keras dan kesalahan perangkat lunak, yaitu "PLC pengaman". Namun ada aplikasi di mana drive ditempatkan dengan sangat baik untuk mengimplementasikan fungsi-fungsi tersebut dengan biaya yang efektif:

• Pencegahan penggerak – penggerak inverter memiliki fitur unik yang sesuai dengan tautan terakhir dalam rantai pengaman, yaitu untuk mencegah torsi dikembangkan di motor saat dibutuhkan, dengan integritas yang sangat tinggi. Ini didefinisikan sebagai Torsi Aman Mati (STO).
• Membatasi ruang lingkup gerak, termasuk torsi, akselerasi, kecepatan, arah atau posisi, baik dalam nilai absolut atau nilai relatif seperti kenaikan posisi. Drive mengontrol variabel-variabel ini dan sering kali memiliki pengukuran yang akurat dan cepat, mis. melalui poros atau encoder posisi, atau mungkin dengan mengamati perilaku tegangan dan arus motor. Jika fungsi terkait drive ini digabungkan dengan beberapa logika kombinasional dan sekuensial sederhana untuk input dari sensor mesin seperti sakelar gerbang dan sakelar kunci, maka aplikasi keselamatan kelas besar dapat diimplementasikan.

Standar untuk bagian sistem kontrol mesin yang terkait dengan keselamatan

Kebutuhan akan manajemen yang ketat dan penerapan desain sistem keselamatan berarti bahwa standar internasional yang relevan bersifat kompleks dan padat. Dalam catatan ini, kita hanya akan melihat beberapa fitur utama dari standar yang paling relevan dengan keselamatan mesin.

Standar internasional diawali dengan ISO atau IEC. Standar CENELEC Eropa diawali dengan EN. Kami akan melihat versi EN di sini, formulir internasional menggunakan nomor yang sama dengan awalan yang berbeda. Versi EN memiliki status standar harmonisasi untuk EC Machinery Directive.

EN ISO 12100 menjelaskan bagaimana penilaian risiko permesinan harus dilakukan, yang menghasilkan alokasi fungsi keselamatan ke sistem kontrol jika perlu. Ini merupakan pendahulu penting untuk desain yang benar dari kontrol terkait keselamatan, dan merupakan tanggung jawab perancang alat berat.

ID 61800-5-2 adalah standar untuk keamanan fungsional sistem penggerak daya. Ini mendefinisikan sejumlah fungsi[1] yang secara khusus cocok untuk drive, yang disebut sebagai "sub-fungsi keselamatan yang ditentukan", seperti Torsi Aman Tidak Aktif (STO), Kecepatan terbatas aman (SLS), dll. Integritas keselamatan sebuah fungsi keselamatan lengkap diukur oleh SIL, yang dapat mengambil nilai 1 (terendah) hingga 3. Karena drive adalah sub-sistem dari sistem kontrol lengkap yang terkait dengan keselamatan, ini disebut sebagai "kemampuan SIL".

EN 62061 adalah standar untuk sistem kontrol mesin listrik/elektronik/dapat diprogram, yang menggunakan metrik SIL yang sama dengan EN 61800-5-2

EN ISO 13849-1 adalah standar untuk sistem kontrol mesin, termasuk sistem non-listrik. Ini menggunakan metrik yang berbeda, Tingkat Kinerja (PL) dan Kategori (dari B hingga 4). Standar tambahan EN ISO 13849-2 mencakup “Validasi”, yang mencakup panduan tentang kesalahan mana yang perlu dipertimbangkan dan mana yang dapat diabaikan (“pengecualian kesalahan”).

Landasan dari banyak standarisasi sistem kelistrikan/elektronik/dapat diprogram yang terkait dengan keselamatan adalah EN 61508- # seri, bagian 1 hingga 7. Ini bukanlah standar yang diselaraskan dengan sendirinya karena mencakup semua sistem dan bukan hanya sistem kontrol untuk mesin.

Tingkat integritas keamanan

SIL atau PL yang diperlukan untuk fungsi keselamatan tertentu terkait dengan tingkat risiko yang harus dikurangi oleh fungsi tersebut – yaitu kemungkinan dan tingkat keparahan cedera yang mungkin terjadi. Proses memutuskan ini dimulai dengan penilaian risiko mesin, yang dijelaskan dalam EN ISO 12100 . Aturan untuk menurunkan SIL atau PL yang diperlukan diberikan dalam EN 62061 dan EN ISO 13849-1 .

Torsi Mati Aman di drive inverter (STO)

Fungsi keselamatan paling dasar yang dapat ditawarkan oleh drive adalah STO. Penggerak inverter yang mengendalikan motor induksi sangat cocok untuk fungsi ini, karena tahap daya inverter harus terus aktif dengan pola switching PWM yang kompleks dan terkontrol dengan baik untuk sebagian besar semikonduktor daya untuk menghasilkan torsi apa pun di motor. Gambar 2 mengilustrasikan struktur daya dasar inverter.

Gambar 2:Struktur daya dasar inverter tautan DC

Motor membutuhkan medan magnet yang berputar untuk menghasilkan torsi, yang hanya dapat dihasilkan oleh enam transistor daya mengikuti pola switching yang kompleks dan terdefinisi dengan baik yang menghasilkan tegangan tiga fase yang disetel pada terminal keluaran. Dengan tidak adanya pola kontrol ini, karena catu daya ke inverter adalah DC, tidak ada gangguan pada rangkaian daya inverter yang cenderung menyebabkan torsi. Kasus kesalahan terburuk adalah di mana dua transistor di kutub berlawanan dari dua kaki inverter melakukan secara tidak sengaja, seperti yang ditunjukkan oleh panah merah pada Gambar 2. Dalam kasus itu, arus tidak terkontrol yang tinggi akan mengalir dalam satu fase motor sampai skema perlindungan arus lebih dioperasikan. atau inverter rusak (sekring input atau pemutus putus). Semua ini tidak menghasilkan medan magnet yang berputar, jadi tidak ada torsi yang dihasilkan.

Dalam kasus magnet permanen atau motor reluktansi, kesalahan terburuk ini akan menyebabkan torsi penyelarasan sementara sampai perangkat proteksi dioperasikan. Dalam batasnya, motor dapat berputar satu kutub pitch untuk motor PM atau setengah kutub untuk motor reluktansi.

Antarmuka antara tahap daya inverter dan input kontrol STO drive harus dirancang untuk mempertahankan kemungkinan kegagalan yang tidak aman yang sangat rendah, yang berarti bahwa pola kontrol PWM yang kompleks secara tidak sengaja dilewatkan ke transistor inverter. Biasanya pengaturan menggunakan semacam teknik "fail safe", di mana seperti halnya pada inverter itu sendiri, semua jenis kegagalan komponen mengakibatkan hilangnya perintah "Enable". Mungkin ada dua saluran independen sehingga fungsi STO dapat dengan mudah dihubungkan ke pengontrol keamanan dua saluran.

Fungsi keselamatan berkendara yang lebih canggih

Sebagian besar fungsi keselamatan yang ditunjuk drive lainnya memerlukan beberapa analisis data seperti arus dan/atau kecepatan motor, dll. Ini biasanya diimplementasikan dalam mikrokontroler, dengan pengontrol kedua secara terus menerus memeriksa silang data input dan output dan tindakan prosesor, seperti diilustrasikan pada Gambar 3. Selalu hasil dari perbedaan yang terdeteksi adalah bahwa drive dinonaktifkan melalui fungsi STO.

Probabilitas kesalahan perangkat keras ke arah yang berbahaya dikurangi ke tingkat yang dapat ditoleransi dengan memiliki dua saluran dengan pemeriksaan silang. Perangkat input seperti sakelar diduplikasi untuk memungkinkan pendeteksian kesalahan "terjebak" sederhana, dan perangkat tersebut dapat disuplai dengan pulsa listrik yang beragam sehingga kesalahan menyelinap yang lebih halus antar saluran dapat dideteksi. Encoder poros inkremental dasar memiliki fitur inheren yang berguna yang memungkinkan sebagian besar kesalahan dideteksi, karena dua jalur pulsa memiliki pergeseran fase 90° yang berarti bahwa sebagian besar kesalahan menghasilkan urutan pulsa yang tidak mungkin, yang dapat dideteksi. Keluaran digital diperiksa oleh pulsa uji reguler yang menguji apakah keluaran yang sengaja ditahan dalam keadaan logika tinggi (benar) masih mampu menjadi rendah – terkadang disebut sebagai keluaran OSSD.

Probabilitas kesalahan sistematis, yaitu kesalahan yang melekat pada desain, dikurangi ke tingkat yang dapat ditoleransi dengan proses yang paling ketat untuk menentukan persyaratan yang tepat untuk fungsi keselamatan dan melacak implementasi, pengujian, dan dokumentasinya.

Mesin lengkap dan komponen keselamatan

Proses yang ketat untuk menentukan dan melacak fungsi keselamatan harus diikuti untuk setiap aplikasi individu, dan perancang mesin pada akhirnya bertanggung jawab untuk ini. Jika drive dengan fitur keselamatan fungsional digunakan sebagai bagian dari desain, maka drive tersebut menjadi komponen keselamatan, dan spesifikasi serta sertifikasi persyaratan keselamatannya sendiri menjadi bagian dari dokumentasi sistem yang lengkap.

Di Uni Eropa, persyaratan ini tertanam dalam undang-undang dalam bentuk Machinery Directive 2006/42/EC, yang mencakup definisi dan persyaratan untuk komponen keselamatan di mana mereka ditempatkan di pasar secara terpisah. Dalam praktiknya, ini biasanya berarti bahwa drive dengan fungsi keselamatan dilengkapi dengan sertifikat pemeriksaan tipe EC yang dikeluarkan oleh Badan Berberitahu independen yang disetujui pemerintah, untuk memungkinkannya digunakan dalam sistem kontrol terkait keselamatan mesin. Jika memiliki fungsi STO bawaan sebagai standar, sehingga mungkin atau mungkin tidak digunakan sebagai komponen keselamatan, maka drive harus memiliki dua deklarasi pabrikan EC yang terpisah, sesuai dengan Petunjuk Mesin dan Petunjuk Tegangan Rendah.