Search

Considerações sobre a estrutura dos sistemas de controle relacionadas à segurança

Categorias de controle de sistema

As “Categorias” de sistemas de controle originadas no EN 954‐1:1996 (ISO13849‐1: 1999) em desuso. No entanto, eles ainda são muitas vezes usados para descreversistemas de controlo de segurança e eles continuam a ser parte integrante da EN ISO13849‐1 como discutido na Introdução à segurança funcional dos sistemas decontrole seção “Introdução à segurança funcional de sistemas de controle”.

Existem cinco categorias que descrevem o desempenho de reação a falhas de um sistema de controle relacionados à segurança. Consulte a tabela 19 para um resumodessas categorias. As observações a seguir se aplicam a tabela.

Observação 1: A categoria B em si não tem medidas especiais para segurança, mas que constitui a base para as outras categorias.

Observação 2: Várias falhas causadas por uma causa comum ou como conseqüência inevitável da primeira falha deve ser contado como uma única falha.

Observação 3: A revisão de falhas pode ser limitada a duas falhas em combinação se esta pode ser justificada, mas circuitos complexos (por exemplo, circuitos demicroprocessador) podem exigir mais falhas em combinação a ser considerada.

A categoria 1 é destinada à prevenção de falhas. Ela é alcançada através da utilização de princípios de design adequado, componentes e materiais. Simplicidade deprincípio e de concepção, juntamente com as características do material estável e previsível são as chaves para essa categoria.

As categorias 2, 3 e 4 exigem que, se as falhas não podem ser evitadas, devem ser detectadas e tomadas as medidas adequadas.

Redundância, diversidade e acompanhamento são as chaves para essas categorias. Redundância é a repetição da mesma técnica. A diversidade é utilizando duastécnicas diferentes. Monitoração é a verificação do estado dos dispositivo e etnao tomar ações apropriadas baseado no resultado do estado. O de sempre, mas não só,o método de monitoramento é duplicar as funções críticas de segurança e operação de comparação.

Resumo das especificações Comportamento do sistema

Categoria B (consulte observação 1)Peças relacionadas com a segurança dos sistemas de controle da máquina e/ou o seu equipamento de proteção, bemcomo seus componentes, devem ser projetados, construídos, selecionados, montados e combinados de acordo com asnormas pertinentes, para que possam suportar a influência que é esperada.Princípios básicos de segurança devem ser aplicados.

Quando ocorre uma falha, pode levar à perda da função de segurança.

CATEGORIA 1As exigências da categoria B aplicado em conjunto com a utilização de componentes de segurança, bemexperimentadas e princípios de segurança.

Como descrito para a categoria B, mas com maior confiabilidaderelacionadas com a segurança da função de segurança relacionados. (Amaior confiabilidade, menor a probabilidade de uma falha).

CATEGORIA 2As exigências da categoria B e o uso de princípios de segurança foram bastante aplicados.A função de segurança (s) devem ser verificadas na partida da máquina, periodicamente, pelo sistema de controle damáquina. Se uma falha é detectada, uma situação de segurança deve ser iniciada, ou se isso não for possível, umaadvertência deve ser dada. A EN ISO 13849‐1 assume que a taxa de ensaio é, pelo menos, 100 vezes mais frequente que a taxa de demanda. A EN ISO 13849‐1 assume que o MTTFd do equipamento de teste externo é maior do que a metade do MTTFd dosequipamentos funcionais que estão sendo testado.

A perda da função de segurança é detectada pela seleção. A ocorrênciade uma falha pode levar à perda da função de segurança entre osintervalos de controle.

CATEGORIA 3 (consulte observações 2&3)As exigências da categoria B e o uso de princípios de segurança bem tentou aplicar.O sistema deve ser projetado de modo que uma única falha em qualquer de suas peças não levam à perda da função desegurança.Sempre que possível, uma única falha é detectada.

Quando a única falha ocorre, a função de segurança é sempre executada.Alguns, mas não todas as falhas, serão detectadas.Um acúmulo de falhas não detectadas podem levar à perda da função desegurança.

CATEGORIA 4 (consulte observações 2&3)As exigências da categoria B e o uso de princípios de segurança bem testados se aplicam.O sistema deve ser projetado de modo que uma única falha em qualquer de suas peças não leve à perda da função desegurança.Sempre que possível, uma única falha é detectada. Se esta detecção não é possível, então um acúmulo de falhas nãodevem conduzir a uma perda da função de segurança.

Quando os erros ocorrem, a função de segurança é sempre executada. Asfalhas serão detectadas a tempo de evitar a perda de funções desegurança.

Tabela 19: Categorias de performance de segurança

Categoria B

Categoria B fornece os requerimentos básicos de qualquer sistema de controle; seja um sistema de controle relacionado à segurança ou não. Um sistema de controledeve funcionar em seu ambiente esperado. O conceito de confiabilidade fornece uma base para sistemas de controle, como a confiabilidade é definida como aprobabilidade de que um dispositivo irá executar a função pretendida para um intervalo especificado nas condições esperadas.

Categoria B requer a aplicação de princípios básicos de segurança. ISO 13849‐2 diz‐nos os princípios básicos de segurança para sistemas elétricos, pneumáticos,hidráulicos e mecânicos. Os princípios elétricos são resumidas como segue:

Seleção, combinação, arranjos, montagem e instalação (isto é, por instruções do fabricante) adequadasCompatibilidade dos componentes com tensões e correntesSuporta condições ambientaisUso do princípio desenergizaçãoSupressão transienteRedução do tempo de respostaProteção contra um arranque inesperadoA fixação segura dos dispositivos de entrada (por exemplo, a montagem de bloqueios)Proteção do circuito de controle (por NFPA79 & IEC60204‐1)

Ligação correta de proteção

O projetista deve selecionar, instalar e montar de acordo com as instruções do fabricante. Estes dispositivos devem funcionar dentro do esperado e a tensão decorrente. As condições ambientais esperados, como a compatibilidade eletromagnética, vibração, choque, a contaminação, lavagem, também deve ser considerado. Oprincípio de energização é usada. Proteção transitória é instalado em toda a bobinas de contatores. O motor é protegido contra sobrecargas. A fiação de aterramento esatisfaça os padrões apropriados elétricos.

Categoria 1

Categoria 1 requer o sistema para atender os termos de categoria B e, além disso, a utilização de componentes comprovados. A EN ISO 13849‐2 dá informações sobreos componentes, bastante utilizados para sistemas mecânicos, hidráulicos, pneumáticos e elétricos. O anexo D endereça componentes elétricos.

Os componentes são considerados bastante utilizados se eles têm sido utilizados com sucesso em muitas aplicações similares. Componentes de segurançarecentemente criadas são consideradas bastante utilizados se eles são projetados e verificados em conformidade com as normas adequadas. A tabela 20 lista algunscomponentes elétricos e seus respectivos padrões.

Componentes amplamente utilizados Padrão

Chaves com atuação positiva (ação direta de abertura) IEC 60947-5-1

Dispositivo de parada de emergência ISO 13850, IEC60947-5-5

Fusível IEC 60269-1

Disjuntor IEC 60947-2

Contatores IIEC 60947-4-1, IEC 60947-5-1

Contatos mecanicamente conectados IEC 60947-5-1

Contatos auxiliares (por exemplo, contatores, relés de controle, relés guiados positivamente) EN 50205IEC 60204–1, IEC 60947–5–1

Transformador IEC 60742

Cabo IEC 60204-1

Intetravamentos ISO 14119

Seletor de temperatura IEC 60947-5-1

Seletor de pressão IEC 60947‐5‐1 + especificações pneumáticas e hidraulicas

Dispositivos ou equipamentos de chaveamento de controle ou proteção (CPS) IEC 60947-6-2

Controladores de logica programavel IEC 61508

Tabela 20: Padrões para componentes amplamente utilizados

Aplicando componentes amplamente utilizados de nosso sistema de categoria B, o a chave de fim de curso seria substituída por um método chave operada por lingüetasde acao de abertura direta e o contator seria sobre‐dimensionado para maior proteção contra os contatos soldados. A

figure 140 mostra as mudanças para um sistema categoria B simples para alcançar a categoria 1. O bloqueio e o contator desempenham papéis‐chave na remoção deenergia do atuador, quando o acesso ao perigo é necessário. O intetravamento operado por linguenta satisfaz os requisitos da norma IEC 60947‐5‐1 para os contatos deabertura de ação direta, que é representada pelo símbolo da seta dentro do círculo. Com os componentes comprovados, a probabilidade de energia ser removida émaior para a categoria 1 do que para a categoria B. O uso de componentes amplamente utilizados se destina a impedir a perda da função de segurança. Mesmo comessas melhorias, uma única falha ainda pode levar à perda da função de segurança

Figura 140: Sistema de segurança Simples de categoria 1

Categorias B e 1 são baseadas na prevenção. O projeto é pretendido para prevenir a situação de perigo. Quando a prevenção, por si só, não fornece o suficienteredução do risco, detecção de falhas devem ser utilizados. As categorias 2, 3 e 4 são a detecção de falhas baseada, com exigências cada vez mais rigorosas paraalcançar maiores níveis de redução de risco.

Categoria 2

Além de atender as exigências da categoria B e usando os princípios de segurança bem utilizados, o sistema de segurança deve ser submetida a testes para atenderCategoria 2. Os testes devem ser concebidos para detectar falhas nas partes relacionadas com a segurança do sistema de controle. Se as falhas não são detectadas, amáquina tem permissão para executar. Se as falhas são detectadas, o ensaio deve dar um comando para trazer a máquina para um estado seguro. A

figura 141 mostra um diagrama de blocos de um sistema categoria 2 O equipamento a realização do teste pode ser uma parte integrante do sistema de segurança ouum pedaço de equipamento.

Figura 141: Diagrama de bloco da categoria 2

O teste deve ser realizado:

Quando a maquina é alimentada inicialmente,Antes da inicialização de um perigo, ePeriodicamente, se considerado necessário, a avaliação do risco.

Observação: EN ISO 138491‐1 assume um teste de função de segurança demanda razão de 100:1. O exemplo dado aqui não cumprem essa exigência.

As palavras “sempre que possível”e “razoavelmente viável”, indicam que nem todas as falhas são detectáveis. Como se trata de um sistema de canal único (ou seja,um fio conecta a entrada lógica para a saída), um único erro pode levar à perda da função de segurança. Em alguns casos, da categoria 2 não pode ser plenamenteaplicado a um sistema de segurança, porque nem todos os componentes podem ser verificados.

A figure 140 mostra um sistema simples da categoria 1 aprimorado para atingir a categoria 2. Um relé de monitoramento de segurança (MSR) realiza o teste. Ao ligar,o MSR verifica seus componentes internos. Se nenhuma falha for detectada, o MSR verifica a chave operada por lingüeta através do monitoramento da ciclagem deseus contatos. Se falhas não são detectadas e os protetores estejam fechados, o MSR, em seguida, verifica o dispositivo de saída: os contactos ligados mecanicamentedo contator. Se não forem detectadas falhas e o contator é desligado, o MSR vai energizar a sua produção interna e se conectar a bobina de K1 para o botão de parada.Neste ponto, a segurança não avaliado partes do sistema de controle da máquina o circuito de partida/parada/bloqueio pode ligar e desligar a máquina.

Figura 142: Sistema de segurança categoria 2

Abrir a proteção desliga as saídas do MSR. Quando a proteção é re‐fechada, o MSR repete a verificação do sistema e verifica a segurança. Se falhas não sãodescobertas, a liga MSR é a saída interna. O MSR permite que este circuito atenda a Categoria 2, realizando testes no dispositivo de entrada, o dispositivo de lógica(em si) e o dispositivo de saída. O teste é realizado na primeira ligação e antes do início do risco.

Com as suas capacidades lógica inerente, um CLP de segurança (CLP de segurança avaliado de acordo com IEC 61508) sistema de segurança baseado pode serprojetado para atender de categoria 2.

Figura 143: Sistema de segurança complexo categoria 2

A figura 143 mostra um exemplo de um sistema complexo usando CLP com classificação de segurança. A classificação de CLP de segurança satisfaz as exigências dobastante utilizado, pois foi projetado para um padrão adequado. Os contactos ligados mecanicamente dos contatores são alimentados na entrada do CLP para fins deteste. Esses contatos podem ser conectados em série a um terminal de entrada ou de terminais de entrada individual, dependendo da lógica do programa.

Embora os componentes de segurança comprovados sejam utilizados, uma única falha que ocorre entre as checagens podem levar à perda da função de segurança.Portanto, sistemas de categoria 2 são utilizados em aplicações de menor risco. Quando os níveis mais elevados de tolerância a falhas são necessários, o sistema desegurança deve atender categorias 3 ou 4.

Categoria 3

Além de atender as exigências da categoria B e princípios de segurança comprovados, a categoria 3 requer bom desempenho da função de segurança na presença deuma única falha. A falha deve ser detectada antes ou durante a demanda vem em função de segurança, sempre que possível.

Mais uma vez temos a frase “sempre que possível.” Este abrange as falhas que podem não ser detectados. Enquanto a falha não detectável não levar à perda da funçãode segurança, a função de segurança pode atender a categoria 3. Consequentemente, o acúmulo de falhas não detectadas podem levar à perda da função de segurança.

Figura 144: Diagrama de blocos da categoria 3

A figura 144 mostra um diagrama de bloco para explicar os princípios da categoria 3 do sistema. Redundância combinado com razoavelmente possível monitoramentotranversal e monitoração de saída são usados para garantir o desempenho da função de segurança

Figura 145 mostra um exemplo de categoria 3 do sistema. Um conjunto redundante de contatos são adicionados a chave de intertravamento operada com lingüeta.Internamente, o relé de monitoramento de segurança (MSR) contém circuitos redundantes que monitoram uns aos outros. Um conjunto redundante de contatoresremove a força do motor. Os contatores são monitorados pela MSR, através dos contatos ligados mecanicamente “razoavelmente possível”.

A detecção de falhas devem ser considerada para cada parte do sistema de segurança, bem como as conexões (ou seja, o sistema). Quais são os modos de falha deuma chave de canal duplo operado por lingüetas? Quais são os modos de falha do MSR? Quais são os modos de falha dos contatores K1 e K2? Quais são os modos defalha da fiação?

A chave de intertravamento operado com lingüetas é projetado com abertura de contactos direitos. Portanto, sabemos que a abertura do proteção destina‐se a abrirum contato soldados. Isso resolve um modo de falha. Não existem outros modos de falha?

Figura 145: Sistema de categoria 3

O interruptor de ação direta de abertura geralmente é projetado com uma mola de retorno operar. Se o cabeçote for removido ou quebrado, a segurança rearma devolta ao estado fechado (seguro). Muitos intertravamento são projetados com um cabeçote removível para acomodar os requisitos de instalação de várias aplicações. Acabeçote pode ser removido e girado entre dois a quatro posições.

Uma falha pode ocorrer quando a cabeça do parafusos de fixação não estão apertadas corretamente. Com essa condição, a vibração esperada da máquina pode causaros cabeçotes dos parafusos de fixação sarem. A cabeça de operação, sob pressão de mola, retira a pressão dos contatos de segurança, e os contatos de segurançaperto. Em seguida, abrindo a guarda não abre os contatos de segurança, e um fracasso para o perigo ocorre.

Da mesma forma, o mecanismo de funcionamento dentro da chave deve ser revisto. Qual é a probabilidade de que uma falha de um único componente leve à perda dafunção de segurança? Uma prática comum é a utilização de intertravamento operado por lingüeta com contatos dupla na categoria 3 circuitos. Esse uso deve serbaseada em excluir a única falha do interruptor para abrir os contatos de segurança. Esta é considerada a “exclusão da falha” e será discutido posteriormente nestecapítulo.

Um relé de monitoramento de segurança (MSR) é geralmente avaliada por um terceiro e atribuído um nível de categoria (e/ou um NP e SIL CL). O MSR muitas vezesinclui a capacidade de duplo canal, vários canais de monitoramento, monitoramento de dispositivo externo e curto‐circuito. Padrões específicos não são escritos parafornecer orientações sobre o projeto ou o uso de relés de monitoração de segurança. MSRs são avaliados pela sua capacidade para desempenhar a função de segurançasegundo a norma EN ISO 13849‐1 ou a EN 954‐1 em desuso. A classificação do MSR deve ser a mesma ou maior do que a avaliação necessária do sistema em que ela éusada.

Dois contatores ajudar a garantir que a função de segurança seja cumprida pelos dispositivos de saída. Com proteção contra sobrecargas e curto‐circuito, aprobabilidade de o contator falhar com os contatos com solda é pequena, mas não impossível. Um contator pode falhar devido ao seu interruptores de contatospermanecendo fechado devido a uma armadura presa. Se um contator falha para estado perigoso, o segundo contator remover a energia do perigo. O MSR irá detectaro contator com falha no ciclo de máquina seguinte. Quando o portão está fechado e o botão de partida é pressionado, os contatos ligados mecanicamente do contatorcom falha permanecerá aberta e o MSR não será capaz de fechar os contactos da sua segurança, assim, revelar a falha.

Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.