Maskinsäkerhet

Maskinsäkerhet

Värför är iso 13849 så viktigt och hur uppfyller jag det?

Phoenix Contact har utvecklat säkerhetslösningar under många år. Den långa erfarenheten visar att många upplever detta som ett ”besvärligt” ämne. Säkerheten är ett måste i maskiner inom EU. Därför har vi valt att försöka förklara de vanligaste begreppen på ett så enkelt sätt som möjligt i denna artikelserie.

Skillnad mellan direktiv och standard

EUs flagga

Alla som tillverkar och/eller säljer maskiner inom EU måste följa ett regelverk som gemensamt tagits fram för den europeiska marknaden. Detta regelverk heter Maskindirektivet. Maskindirektivet är en lag (ett direktiv) som gäller inom EU, med innebörden att alla tillverkare av maskiner måste följa detta direktiv. För att enklare följa detta har en internationell standard (ISO-standard) tagits fram som heter ISO 13849, det finns även fler alternativ, men ISO 13849 har slagit igenom och blivit vedertagen på maskinbyggarmarknaden.

Tillbaka till ovan

ISO 13849 är ett hjälpmedel för att man skall få en vägledning att uppfylla maskindirektivet. M.a.o det finns inget som säger att man måste använda ISO13849 (det är ingen lag) men det är en hjälp till att uppfylla maskindirektivet (som är en lag som måste uppfyllas). Maskindirektivet är gällande för maskiner.

Maskindirektivet kan kostnadsfritt laddas ner på arbetsmiljöverkets hemsida (https://www.av.se). Den som sätter sig och laddar ner detta dokument kommer snart att komma fram till att det inte är solklart hur man skall tolka texten. Det är av den anledningen ISO 13849 standarden har tagits fram. Du måste inte följa ISO13849 standarden när du gör din maskin men gör du det blir processen mycket enklare, och följer du den, följer du även automatiskt lagkraven som finns i maskindirektivet.

Skillnaden är m.a.o stor mellan ett direktiv (som är en lag) och en standard (som är ett förslag/hjälpmedel för att följa direktivet)

Vad är en maskin?

En maskin är definierat enligt EU:
En maskin är en sammansatt enhet som har minst en rörlig del och som drivs av en eller flera energikällor.

En maskin kan:

  • ha en motor med egen energikälla till exempel energi från ett batteri
  • vara ansluten till en eller flera yttre energikällor som el eller tryckluft
  • använda mekanisk energi som kommer från annan utrustning
  • också drivas av naturliga energikällor som vind- eller vattenkraft.

Källa. Arbetsmiljöverket

Tillbaka till ovan

ISO 13849

ISO 13849 tar till skillnad från föregångaren EN 954-1 inte bara hänsyn till arkitekturen (1-2 kanaligt etc.) utan här tar man även hänsyn till kvaliteten på produkten i förhållande till hur ofta man använder den (kallar på funktionen) i beräkningen. Denna indelning sker i något som kallas Preformance Level (PL). Dessa sträcker sig i området från det enklaste ”PLa” till det tuffaste kraven ”PLe”.

Vilken PLnivå man behöver är beroende på vad man kommer fram till att risken är när man gör riskanalysen för maskinen (vilket skall göras). En maskin kan ha olika funktioner med olika PLnivåer, men mer om detta senare.

ISO är även en Internationell standard till skillnad mot en EN-norm som bara gäller i Europa

Tillbaka till ovan

Säkerhetsreläer

Ett säkerhetsrelä har uppgiften att koppla en last, oftast två seriekopplade kontaktorer men kan även vara en frekvensomformare etc. Säkerhetsreläet har även som uppgift att övervaka givaren som skall kopplas in (nödstopp, switch för övervakning av dörrar, varvtalsvakt, stilleståndsvakt etc.) samt även övervaka den enhet som säkerhetsreläet kopplar (oftast en resp. två seriekopplade kontaktorer). Denna övervakning kallas enligt ISO 13849 för DC-värden vilket är en förkortning av Diagnostic Coverage.

För att sköta frånkopplingen internt i ett säkerhetsrelä används inte ”vanliga” Interface reläer, utan här använder man en speciell typ av reläer som har s.k tvångsstyrda kontakter.

Tillbaka till ovan

Tvångsstyrda kontakter.

Mini relä

Med tvångsstyrda kontakter menas att man över spolen styr flera stycken individuella kontaktpar. Dessa kontaktpar är föreglade mekaniskt med en arm (kontakterna sitter mekanisk ihop), så man alltid vet att samtliga kontakter har samma läge. Skulle t.ex. en slutande kontakt klibba/svetsa så blir även den ”brytande” kontakten berörd. På detta sätt kan man övervaka att reläet verkligen fungerar som det skall. De tvångstyrda reläerna är hjärtat i ett säkerhetsrelä och den mest kritiska komponenten.

Phoenix Contact har under flera år utvecklat förmodligen de minsta tvångstyrda säkerhetsreläerna som finns att få tag i på marknaden med en byggbredd på endast 6,8 mm.

Tillbaka till ovan

Hur övervakar ett säkerhetsrelä givaren?

Första gången man ser ett säkerhetsrelä ramlar man baklänges när man ser alla dessa anslutningar, tyvärr heter anslutningarna även olika beroende på leverantör av säkerhetsreläet, men vem har sagt att livet skall vara enkelt.

Men alla dessa anslutningar är, när man tittar närmare på funktionen hos ett säkerhetsrelä, helt logiska. Hur skall man kunna kontrollera t.ex. att nödstoppet sitter anslutet till säkerhetsreläet? Tänker man efter är lösningen ganska enkel. Vi skickar ut en liten ström från en anslutning S11 enligt nedan (i Fig1). Ansluter denna punkt till ena mekaniska kontakten i ett nödstopp, på den andra sidan av kontakten ansluter vi en kabel tillbaka till en anslutning märkt S12 på säkerhetsreläet. Skulle denna strömloop brytas detekterar säkerhetsreläet detta genom att det inte kommer tillbaka någon ström till anslutning S12.

Säkertsreläer

Exempel. Obs dessa skiljer sig åt från säkerhetsrelä till säkerhetsrelä.
Figur 1 visar en 2-kanalig inkoppling med kortslutningsövervakning.
Figur 2 visar 2-kanaligt utan kortslutningsövervakning.
Figur 3 visar en 1-kanalig inkoppling.

För att nå högsta möjliga säkerhet (PLe) använder man 2-kanaler för att inte riskera att en farlig situation uppkommer om en av kontakterna, kablarna går sönder.

Tillbaka till ovan

Hur övervakar ett säkerhetsrelä lasten/kontaktorn

Säkerhetsreläer har ofta en s.k reset/start ingång som kräver en flank för att reläkontakterna skall dra (även för att starta själva maskinen). I vissa fall vill man ha denna start av maskinen automatisk, tex. när man öppnar en lucka skall motorn automatiskt stanna och när man stänger den skall motorn automatiskt starta, utan att man behöver påverka en knapp. Däremot om man har ett nödstopp innanför ett farligt område som är inhägnat, vill man ofta tvinga ut personen ur det farliga området innan man kan starta maskinen. Då använder man en reset/start som är manuell och övervakad. Med övervakad menar man att reläet ska få en flank på startsignalen (detta för att undvika om startknappen ”klibbat” i kortslutet läge skall den inte kunna starta maskinen oavsiktligt).  

Dessa start/reset övervakningar utnyttjas även optimalt genom att man kan sy in de externa kontaktorernas svarskontakter i serie med startknappen, för att man då kan detektera om någon av de externa kontaktorernas kontakter har ”klibbat” ihop (fastnat i ett läge, kallas ibland även svetsat). Principen för detta är exakt samma som för givarövervakningen. Anslutningen S11 genererar en ström som måste komma tillbaka till anslutning S34 resp. S35.

Skillnaden mellan S34 och S35 är att S34 vill ha en flank (som genereras genom att man trycker in en återfjädrande knapp) och S35 är nöjd bara det kommer in en ström (ingen flank behövs för att starta).

säkerhetsreläer
Tillbaka till ovan

Kopplingsbild 1 visar automatisk start (maskinen startar så fort som nödstoppet återställs) (oövervakad)
Kopplingsbild 2 visar automatisk start med övervakning av två externa kontaktorers svarskontakter (oövervakad).
Kopplingsbild 3 visar manuell övervakad start med övervakning av av två externa kontaktorer
Kopplingsbild 4 visar manuell start med övervakning.

Switchar och övervakning av dörrar/luckor

Här har det de sista åren skett en förändring av kraven, tidigare var det tillåtet att helt enkelt sy ihop ett antal switchar i serie på en ingång till ett säkerhetsrelä. Det kan forfarande göras, men man kan inte på detta sätt uppnå den högsta säkeretsnivån (PLe).

Anledningen till detta är s.k ”fault masking” (se standarden EN ISO 141199). Om en av de seriekopplade switcharna med potentailfri kontakt skulle klibba i ”slutet” läge, är det inte säkert att säkerhetsreläet som övervakar switcharna detekterar detta.

Reläer

Ett säkerhetsrelä med tre seriekopplade switchar med mekaniska kontakter: Allt är ok, reläet detekterar att dörr 2 är öppen och stänger av motorn. Precis som den skall. Stängs dörr 2 blir säkerhetsslingan sluten på båda kanaler och startar upp motorn automatiskt.

Tillbaka till ovan
reläer

Kortslutning Switch 2 på kanal 2 detekteras och motorn stängs av när dörr 2 öppnas, men om det även skulle bli en kortslutning på Switch 2 på kanal 1, och någon öppnar t.ex dörr 3 (bryter upp givare 3 på kanal 1 och 2) så kommer inte säkerhetsreläet detektera felen i dörr 2 (där båda kanalerna nu är kortslutna, vilket reläet tolkar som om allt är ok= Fault masking) och en farlig situation kan uppkomma på grund av att vi inte får någon ”Diagnostic Coverage” på varje givare.

mini reläer

Denna problematik gör att man inte längre kan seriekoppla flera säkerhetsbrytare med potentialfria kontakter som man gjorde för några år sedan och uppnå PLe. En lösning är att använda separata ingångar för varje brytare, vilket fungerar men är inte så effektivt.

Eller att använda en annan lösning med t.ex PSR-Switch från Phorenix Contact där man kan seriekoppla flera switchar <31 st då dessa har en separat diagnostik kanal.

 Dessa PSR-Switchar kan kopplas in på ett säkerhetsrelä med OSSD ingång (för t.ex ljusridåer), men används optimalt i kombination med Phoenix Contact´s nya säkerhetsrelä med IO-link kommunikation, då man över IO-Link datan kan få reda på vilken switch som är öppen samt om avstånd etc. mellan actuator delen och givar delen på switchen börjar bli för stor på grund av mekaniska glapp som uppkommer efter frekvent användning.

OSSD = Aktiva givare

Ett nödstopp är faktiskt inget mer än 1 eller 2 st mekaniska kontakter (helt passiva, precis som en strömbrytare). Vilket innebär att säkerhetsreläet skall generera strömmen som står för övervakningen. Men en säkerhetsgivare som t.ex. en ljusridå den behöver matning för att den skall fungera då detta är en ”aktiv” givare. På dessa typer av enheter som ljusridåer etc. använder man ofta ”aktiva” utgångar från givaren till skillnad från ett mekaniskt nödstopp. Dessa aktiva givare brukar normalt vara ”aktiva” m.a.o ligga höga när allt är ok. Men vi behöver speciella ingångar i våra säkerhetsreläer för att kunna hantera detta, då resultatet om vi skulle koppla in en aktiv utgång till en aktiv ingång är att strömmarna skulle ta ut varandra eller bli väldigt konstiga. Därför har man standardiserat en speciell ingångskrets för denna typ av givare som t.ex. fotoceller, vissa switchar etc. som heter OSSD.
Output Signal Switching Device= OSSD.

Tillbaka till ovan

Kombinera flera säkerhetsfunktioner i en gemensam enhet

En maskin har normalt ett antal olika säkerhetsfunktioner. Det är inte tillåtet att blanda olika säkerhetsfunktioner på samma ingång som brytare, nödstopp etc. (dessa måste sitta på separata ingångar/kretsar på säkerhetsreläet). Med anledning av detta har konfigurerbara säkerhetsreläer blivit populära. T.ex. PSR Modular där man i grundenheten har 8 st säkra ingångar och 4 st säkra utgångar. Där kan man t.ex. på ingång 1 och 2 koppla in ett nödstopp, på ingång 3 och 4 en brytare som övervakar en lucka och ingång 5 och 6 till en fotocell o.s.v. Med dessa konfigurerbara enheter kan en och samma enhet lösa säkerhetssystemet på hela maskinen. Vilket reducerar kostnaden och minskar behovet av olika artiklar. Ett antal olika gateways finns även tillgängliga om man önskar lyfta över statusen till någon form av fältbuss t.ex. Profinet, EtherCat, Modbus etc. Observera att man lyfter bara över information, säkerhetslogiken ligger fortfarande kvar i PSR-Modular enheten.

Tillbaka till ovan

Konfigurering av PSR-Modular

PSR-modular

Konfigureringen av PSR-Modular sker med den kostnadsfria mjukvaran PSR-Modular och sker genom ett intuitivt gränsnitt där man helt enkelt drar ut funktionerna man vill ha in i programmeringsfältet.

Mjukvaran kan kostnadsfritt laddas ner från Phoenix Contacts hemsida

Tillbaka till ovan
PSR-modular applikation

Komponering av flera säkerhetsfunktioner i en gemensam enhet med PSR-Modular.

Säkerhet på fältbuss.

Vid större installationer vill man av praktiska skäl integrera säkerheten för maskinen i styrsystemet. Olika fabrikat av PLC-tillverkare kan ha olika säkerhetslösningar och olika koncept. Phoenix Contact har valt att fokusera på Profisafe som säkerhetslösning för distribuerade I/O´s. Kravet för detta är att styrsystemet måste ha en Profisafe master. Den stora fördelen är att all logik ligger samlad i ett och samma program. Phoenix Contact erbjuder såväl dedikerade Profisafe mastrar samt expansioner i den ultra moderna PLCnext miljön.

Tillbaka till ovan

Leverantörsoberoende säkerhet med SafetyBridge.

Många maskinleverantörer måste erbjuda olika styrsystem för olika marknader. T.ex. i nordamerika är det ofta ett önskemål att använda Ethernet IP som fältbuss, medan i Europa är önskemålet ofta Profinet, eller vid enklare installationer ModBus TCP/UDP. För att lösa denna uppgift har Phoenix Contact utvecklat en systemneutral säkerhetsplattform som vi valt att kalla ”SafetyBridge” (SBT). Detta är förenklat en PSR-Modular (en logikenhet) som använder det medium som erbjuds (EIP, Profinet, Modbus, EtherCat, Sercos etc) som ”bakplan” för att kommunicera med de distribuerade säkra noderna (In eller utgångar). Varje Logikenhet kan kommunicera med upptill 15st valfria säkerhets noder. Noderna kan även bestå av ”vanliga” in- och utgångar såväl som ”säkra” in- och utgångar. Detta gör lösningen enkel och universell oberoende av vilken fältbuss man väljer. Behovet av en kraftig säkerhets PLC försvinner också då säkerhetslogiken ligger i den ”smarta” SBT-enheten som även hanterar kommunikationen till de distribuerade in- och utgångarna på nätet.

Tillbaka till ovan

En maskin kan ha olika risker beroende på processen.

En ofta förekommande missuppfattning är att en maskin klassas som t.ex PLe. Detta är inte sant, då maskiner ofta har olika ”moder” och olika delar. Vissa delar är kanske farligare än andra. T.ex. en pappersmaskin kanske i normala fall endast har en transportör som är åtkomlig vid normal användning, men då man fyller på papper behöver man öppna en lucka och exponeras då för risken att dras in i maskinen, som kan åstadkomma skador. Därför delar man in riskerna i olika subfunktioner (SF). En maskin kan m.a.o ha olika Performance Levels på olika delar av maskinen och vid olika funktioner (Subfunktion SF).

Olika level
Tillbaka till ovan

Vilken PL nivå är uppnådd i subfunktionen?

Subfunktionerna ovan i sin tur är indelade i subsystem som normalt består av tre olika delar, ibland fler men typiskt just tre funktioner

  1. Givare (t.ex nödstopp, fotocell etc)
  2. Logik (säkerhetsrelä, säkerhetsPLC etc)
  3. Ställdon  (kontaktor, frekvensomformare etc)
Olika sub levels

Den enhet som kontaktorn styr (i ovanstående fall en robot) är inte inkluderad i säkerhetslösningen.

Tillbaka till ovan

Man kan räkna ihop uppnådd Preformance level manuellt eller med t.ex gratismjukvaran SISTEMA. I SISTEMA kan man sedan och ladda ner färdiga ”värdesbibliotek” från leverantörena på produkterna man använder. Men det finns även ett förenklat sätt att komma fram till vilken säkerhetsnivå som kretsen uppnår genom att använda nedan tabell om du använder produkter med kända dokumenterade PLnivåer (som t.ex Phoenix Contacts säkerhetsreläer och kontaktorlösningar)

PLe nivåer

Exempel på förenklad beräkning av uppnåd Preformance Level.

I ovanstående fall används en ljusridå som uppnår Preformance Level e (PLe). Denna ljusridå kopplas in och övervakas av Phoenix Contacts modulära och konfigurerbara säkerhetsrelä PRS-Modular som är konfigurerad för PLe. Utgången från PSR-Modular kopplas in i en traditionell kontaktor som uppnår PLb.

Detta innebär: 2 st PLe och den lägsta PLnivå (PLlow) är 1 st PLb
Med denna fakta kan nedanstående tabell användas för att utläsa uppnådd PLnivå.

Tbell för uträkning av PL nivå.

Den lägsta nivån i vår krets är PLb och vi har mindre än 2 st (vi har ju en kontaktor). Altså når vår krets Preformance Level b.

Som även kan utläsas kan denna metod bara användas för maximalt tre enheter i kretsen om behovet är att uppnå Preformance Level e (PLe).

Tillbaka till ovan

Vad händer inom säkerhetsområdet.

Säkerhetskoncept förändras hela tiden, en tydlig trend är dock att konfigurerbara och distribuerade säkerhetskoncept blir allt mer vanligt. Säkerheten skall gärna integreras i resten av automationen oberoende om det är direkt på fältbussen (som t.ex Profisafe) eller via en gateway eller om det är över systemneutrala gränsnitt som t.ex IO-Link. Detta för att på ett enkelt sätt kunna implementera även säkerheten i sin IIoT/Industri 4.0 lösning.

Tillbaka till ovan

PHOENIX CONTACT AB

Linvägen 2
S-14144 Huddinge
+46 (0)8 - 608 64 00