Toiminnallisen turvallisuuden vaatimukset täyttävät komponenttiratkaisut

Turvallisuus on teollisuussovelluksissa ykkösprioriteetti työntekijöiden ja laitteiden suojaamiseksi loukkaantumisilta ja vahingoilta. Suurimman uhan aiheuttavat hitsaus-, leikkaus- ja puristustyöt sekä nopeasti pyörivät akselit ja vaarallisten työkappaleiden tai aineiden käsittely. Yhdysvalloissa laitosoperaattorien on täytettävä laiteturvallisuutta, toimintamenetelmiä ja koulutusprotokollia koskevat OSHA:n (Occupational Safety and Health Administration) määräykset. Näitä järjestelmiä tulee täydentää tehdaskohtaisilla analyyseillä, jotta voidaan löytää käytännönläheisiä tapoja parantaa työntekijöiden hyvinvointia ja lisätä laitteiden pitkäikäisyyttä. Lisäksi automaattisten koneiden pitää täyttää toiminnallisen turvallisuuden vaatimukset potentiaalisesti tai varmasti vaarallisissa olosuhteissa ja vikatilanteissa aktivoituvilla automaattisilla konetoiminnoilla tai korjauksilla.

Kuva 1: Valotorneissa käytetään nykyään ledivaloja tehokkuuden ja näkyvyyden parantamiseksi. Joissakin niistä turvallisuutta parannetaan käyttäen sisäänrakennettuja summereita, jotka antavat voimakkuudeltaan jopa 100 dB:n hälytysäänen vaaratilanteen aikana. (Kuvan lähde: Menics)

Toiminnallisen turvallisuuden järjestelmät sisältävät sellaisia elektroniikkalaitteita kuten antureita, tuloja/lähtöjä, säätimiä, kytkimiä, sähkömekaanisia komponentteja, nestekäyttöisiä komponentteja ja ohjelmistoja, jotka estävät vaaratilanteiden syntymisen tunnistamalla vaarallisen tilanteen tai koneen tilassa tapahtuneen muutoksen. Toiminnallisen turvallisuuden huomioiminen suunnittelussa ja sitä koskevat määräykset otettiin aluksi käyttöön Euroopan unionissa, mutta ne koskevat nykyään tavarantoimittajia, koneenrakentajia ja loppukäyttäjiä kaikkialla maailmassa. Eniten sovelletaan yhdenmukaistettua eurooppalaista standardia (EN) ja kansainvälisen sähköteknisen komission (IEC) standardia EN/IEC 62061 – jotka on lueteltu EU:n konedirektiivissä 2006/42/EY – sekä kansainvälisen standardisointijärjestön (ISO) standardia EN/ISO 13849-1.

Standardeihin ISO 13849-1 ja IEC 62061 voidaan tehdä ristiviittauksia, ja OEM-valmistajat ja loppukäyttäjät voivat käyttää vapaasti kumpaakin. Ainoa huono puoli on se, että toiminnallinen turvallisuus koskee koneita ja ohjaimia eikä laitteita ja komponentteja – vaikka jälkimmäiset voivat mahdollistaa halutun turvallisuusluokituksen saavuttamisen.

Standardi EN/IEC 62061 sisältää yksityiskohtaiset vaatimukset ja suositukset pysyvästi asennettujen (ei siirrettävien) koneiden tai laitteistojen SRECS (safety-related electrical, electronic, and programmable controls = turvallisuuteen liittyvät sähköiset, elektroniset ja ohjelmoitavat ohjaimet) -toimintojen turvallisuustasojen suunnittelua, integrointia ja validointia varten. Standardin EN/IEC 62061 mukaiset SIL (Safety Integrity Level) -tasot luokittelevat järjestelmän toiminnallisen turvallisuuden asteikolla 1 (alkeellisin) – 4 (integroiduin ja kehittynein), jossa SIL3 on korkein mahdollinen taso koneille. Vaadittava SIL-arvo määräytyy mm. seuraavien riskien perusteella: riskialtistumisen säännöllisyys, mahdollisen vamman vakavuus, vaaratilanteen todennäköisyys sekä todennäköisyys, että koneenhoitaja voi välttää vahingon väistöliikkeillä.

Taulukko 1: Vaadittava SIL-taso riippuu siitä, miten vakavan loukkaantumisen vaaratilanne aiheuttaa, sekä kyseisen tilanteen todennäköisyydestä. (Taulukon lähde: IEC)

Standardi EN/ISO 13849-1:2005 sisältää sitä vastoin yksityiskohtaiset vaatimukset ja suositukset SRP/CS-toiminnoille (safety-related parts of control systems, ohjausjärjestelmien turvallisuuteen liittyvät osat). SRP/CS-tasot mahdollistavat koneen turvallisuusominaisuuksien arvioimisen osakomponenteista riippumatta. Standardissa käytetään tunnettuja toiminnallisen turvallisuuden PL (Performance Level) -luokituksia , jotka sijoittuvat välille tasosta ”a” (kaikkein alkeellisin) tasoon ”e” (kaikkein integroiduin ja kehittynein). Vaadittava PL-taso määräytyy riskien mukaan, joihin kuuluvat SIL-tasoihin sovellettavat riskit sekä toistuvan konevaaralle altistumisen esiintymistiheys ja kestoaika. Täydellinen PL-luokitus sisältää lisäksi luokkanumeron (joka ilmoittaa järjestelmän kokonaisarkkitehtuurin) ja keskimääräisen ajan vaaralliseen vikaantumiseen eli MTTFd-arvon.

Kuva 2: Tietylle laitteistolle sopiva toiminnallisen turvallisuuden taso riippuu kvalitatiivisista muuttujista, kvantitatiivisista arvoista ja ohjelmistopohjaisen analyysin tuloksista. (Kuvan lähde: Design World)

Standardien IEC 61508 ja IEC 62061 noudattaminen vaatii turvatoimintojen testausta (ja koneen toimintatilojen, tilakriteerien ja korjausten validointia), jolla vahvistetaan koneen toiminnallisen turvallisuuden luokitus. EN ISO 13849-1 ja 2 edellyttävät myös testauksen dokumentointia (staattista ja dynaamista) turvatoiminnallisuuden saumattoman integroinnin varmistamiseksi.

Käyttäjän aktivoimat turvakomponentit

Monet turvallisuuteen liittyvät komponentit on suunniteltu saamaan syötettä laitoksen henkilökunnalta sen sijaan, että kaikki syötteet tulisivat ainoastaan jonkin koneen tai suojuksen osan tai akselin kautta. Tähän sisältyvät esimerkiksi taktiiliset turvamatot, valoverhot, konsolit sekä ihmisen ja koneen väliset käyttöliittymät (HMI), koneiston kosketuslukot ja (vain hätätapauksissa) kirkkaanpunaiset kupupäiset pysäytyspainikkeet. Henkilökuntaan liittyviin turvakomponentteihin kuuluvat myös kotelot (jotka suojaavat kotelossa sijaitsevia komponentteja NEMA-luokitusten mukaisesti) sekä konesuojukset ja kaapelikanavat. Ne ovat yksinkertaisia, mutta luotettavia koneturvallisuuselementtejä, jotka suojaavat henkilökuntaa, joka joutuu työskentelemään koneiden ja niiden virta- ja ohjauspaneelien lähellä (ja joskus jopa niiden sisällä).

Koneen vaarallisten osien ympärille sijoitettujen köysihätäpysäyttimen avulla käyttäjät voivat aktivoida hätäpysäytyskytkimen nopealla vetäisyllä. Nämä turvaelementit ovat yleisiä erityisesti avoimien koneiden (joita on mahdotonta suojata) ja suojuksettomien kuljettimien ympärillä. Ne eroavat katkaisukytkimistä, jotka katkaisevat virtapiirit ja estävät henkilökunnan pääsyn vaarallisiin työpisteisiin. Muita tuotteita ovat turvareunat (listat), jotka asennetaan työstökoneissa olevien aukkojen ympärille (erityisesti leikkuu- tai puristustehtävissä käytettävät työstökoneet), sekä lattian turvamatot. Jälkimmäiset käynnistävät (erikoistuneiden turvareleiden avulla) turvareaktion, kun käyttäjän havaitaan astuvan niiden pinnalle tai seisovan niiden päällä.

Edellä mainitut valoverhot ovat hieman kehittyneempiä. Valoverhot sisältävät valosähköisten säteiden lähettimen. Jos säteet katkeavat havaintotasolla ollessaan matkalla vastaanottimeen, vaaralliset prosessit pysäytetään nopeasti. Ne ovat kalliimpia kuin muut vaihtoehdot, mutta perusteltuja silloin, kun koneen käyttäjät ovat usein vuorovaikutuksessa koneen osan kanssa. Toinen kehittynyt turvallisuuskomponentti on kahden käden turvakonsoli. Ne vaativat yleensä erillisten kytkimien samanaikaisen aktivoinnin koneen toiminnan käynnistämiseksi tai ylläpitämiseksi.

Ennen kuin voidaan luottaa siihen, että ne suojaavat laitoksen henkilökuntaa ja laitteita, on tarkistettava kaikki käyttäjäaktivoitavat turvakomponentit (sekä turvalogiikka tai ohjaimet, joihin ne on integroitu). Testausstandardit IEC 61508 ja IEC 62061 esimerkiksi edellyttävät, että redundantteja releitä käyttävän hätäpysäytyksen täytyy toimia, jos käyttäjä laukaisee logiikan ja kenttälaitteiden välisen ensimmäisen kanavan – ja sen tulee toimia myös niiden välisellä toisella kanavalla. Tällaiset redundantit hätäpysäytystoiminnot validoidaan erikseen koneen käyttöönoton yhteydessä.

Automaattiset turvakytkimet, anturit ja suojukset

Kuva 3: Laserskannerit ovat eräänlaisia kosketuksettomia turvallisuuspalautekomponentteja, joka tunnetaan parhaiten siitä, että ne auttavat automaattitrukkeja navigoimaan tiloissa. Niille on kuitenkin paljon käyttökohteita – ja joskus ne voivat tarjota vaihtoehdon valoverhoille. (Kuvan lähde: IDEC)

Automaattisten konetoimintojen komponentit eroavat henkilökunnan aktivoimista turvallisuuteen liittyvistä komponenteista.

Sisäänrakennetut lukot salvoilla ja kytkimillä

Kytkimet ja lukot ovat tärkeitä elementtejä koneiden työsolujen ulkokehillä. Turvarajakytkimissä on koskettimet, joiden avulla kone-elementtien asennot tai liikkeet varmennetaan automaattisesti. Sitä vastoin ylemmän tason turvakytkimissä – joita kutsutaan lukittaviksi turvakytkimiksi – käytetään kieli- tai saranalukitusmekanismeja peukaloinnin estävinä konesuojina, ja ne ovat pakko-ohjattuja (kaksoistarkistavat NO- ja NC-kytkentäkoskettimet). Mekaanisilla avaimilla ja lukoilla varustetut lukituskytkimet pitävät koneiden työtilojen ovet suljettuina, kunnes pääsy on turvallista. Kosketuksettomat RFID- ja magneettiset turvakytkimet, jotka valvovat työalueen ovien asentoa (auki tai kiinni) ja estävät käyttäjän pääsyn vaarallisten prosessien aikana, ovat kuitenkin yhä yleisempiä.

Sisäänrakennettu turvallisuus sähköisillä johdonsuojakatkaisimilla ja erotuskytkimillä

Koneen tilan perusteella aktivoitaviin turvakomponentteihin kuuluvat myös sähköturvallisuuden varmistavat komponentit. Johdonsuojakatkaisijat suojaavat (sulakkeiden tapaan) verkko-, haaroitus- ja signaalipiirejä ylikuormitusvirtojen haitallisilta ja vaarallisilta vaikutuksilta. Joissakin asennuskohteissa käytetään erotuskytkimiä kenttälaitteiden ja ohjauslaitteiden galvaanista erottamista varten luonnostaan turvallisen toiminnan varmistamiseksi. Kaikkia sähköturvallisuuteen liittyviä ratkaisuja täydennetään ylijännitesuojakomponenteilla, jotka estävät jännitepiikkejä vahingoittamasta verkkovirtaan ja käyttötehoon ja/tai takaisinkytkentään ja ohjaussignaalien jakeluun osallistuvia sähköisiä ja elektronisia automaatiokomponentteja.

Sisäänrakennettu mekaaninen suojaus jarruilla

Turvajarruiksi luokiteltavia jarruja kutsutaan myös vikaturvallisiksi jarruiksi. Ne siirtyvät oletusarvoisesti pysähdystilaan (tyypillisesti lukitsemalla liikeakselin tai pitämällä sitä paikoillaan) silloinkin, jos sähkön tai nesteen syöttö vikaantuu tai katkeaa. Näissä kaikissa vikaturvallinen toiminta perustuu jousikuormitettuun tai muuhun mekaaniseen toimintoon.

Esimerkkitapaus: Pneumaattisesti vapautettavia jousikuormitettuja kitkajarruja käytetään usein vikaturvallisena jarruna servomoottorikäyttöisissä automaatiosovelluksissa. Kaikki vaativat standardin ISO 13849-1 mukaisen luokituksen, joka on yleensä kansainvälisen tuotetestausorganisaation Intertek Groupin myöntämä. Mekaanisen lukituksen ansiosta nämä jarrut eivät kuluta sähkövirtaa jarrutustilassa – tämä takaa maksimaalisen luotettavuuden turvallista suorituskykyä ajatellen ja estää muihin sähköpohjaisiin pitotapoihin liittyvän ylikuumenemisen. Elinikä on luokiteltu miljooniksi sykleiksi ennen kuin muutamaan prosenttiin kaikista komponenteista tulee yleinen (ennakoitavissa oleva) vika. Sovelluksissa, joissa IIoT-toiminnallisuus on hyödyllistä, vikaturvallisiin jarruihin voidaa lisätä myös integroitua diagnostiikkaa ja anturipalaute niiden toimintatilan seuraamiseksi.

Jarrut, joilla on korkein toiminnallisen turvallisuuden luokitus, sisältävät useita jousia, jotka lukitsevat koneen akselit mekaanisesti käytäen kitkapintoja ja jarrukotelon sisällä olevia kiinteitä elementtejä. Turvallisuusstandardit edellyttävät myös antureita, jotka vahvistavat jarrun tilan.

Turvareleet ja muut turvatoiminnot

Kuva 4: Yksinkertaisissa laitteissa, joissa tarvitaan vain muutamia I/O-turvalinjoja, voidaan käyttää edullisesti tämän kaltaisia sähkömekaanisia turvareleitä. (Kuvan lähde: Omron Automation and Safety)

Turvakytkimien, antureiden ja suojien toimintoja tuetaan turvareleillä ja muilla ohjaimilla. Kaikilla on yhteinen kyky (tarvittaessa) saattaa kone turvalliseen tilaan katkaisemalla sähkö- tai neste-energia – tai hidastaa tai lukita kone turvalliseen tilaan sähkö- tai neste-energiaa katkaisematta.

Kiinteästi johdotetut turvareleet

Turvarelemoduulit ovat yksi vaihtoehto saavuttaa vikaturvallinen toiminnallisuus. Niissä käytetään elektroniikkaa, johon kuuluu oikosulku- ja ylijännitesuojaus sekä täydentävät releet. Kiinteästi johdotettuja sähkömekaanisia releitä on käytetty vuosikymmeniä. Ne yksinkertaisesti johdotetaan automaattisiin ohjaimiin, ja ne katkaisevat sähkön (yhdessä hätäpysäytystoiminnon tai valoverhojen kanssa) koneen osakokoonpanoista tarpeen mukaan. Haittapuoliin kuuluvat lisääntyneen johdotuksiin tarve paikan päällä ja uudelleenkonfiguroitavuuden puute. Kehittyneemmillä turvareleillä on I/O- ja moduulirakenne, mikä helpottaa joustavaa integrointia anturien, koneohjaimien ja automaatioverkkojen kanssa.

Turvaohjaimet ohjelmoitavaa turvallisuutta varten

Dedikoidut turvaohjaimet ovat toinen vaihtoehto haluttaessa vikasietoiseksi luokiteltavat turvallisuustoiminnot. Tällaiset ohjaimet soveltuvat kompleksisiin automaatiojärjestelmiin releitä paremmin, koska ne voivat palvella laajempia I/O-ryhmiä sekä PLC-toimintoja. Näissä itsenäisissä turvaohjaimissa on se huono puoli, että ne edellyttävät ylimääräistä ohjelmointia ja henkilökunnan koulutusta. Niiden digitaalielektroniikka mahdollistaa kuitenkin automaatiotoiminnot, jotka voidaan täysin konfiguroida ohjelmistollisesti.

Kuva 5: Turvaohjaimilla voidaan toteuttaa useita turvatoimintoja ja luoda joustavia ja uudelleenkonfiguroitavia turvallisuusjärjestelmiä. Kuvassa esitetyssä työsolussa ensimmäinen turvapiiri sisältää valoverhon, joka (saadessaan tiedon valosäteen katkeamisesta) pysäyttää kääntöpöydän avaamalla piirikytkimen. Toiseen turvapiiriin on integroitu mykistysohjaimet, jotka sallivat robotin toimia normaalisti, jos työsoluun tulee työkappale kääntöpöydän ollessa pysäytettynä. Muussa tapauksessa tämä piiri avaa kytkimen robotin kytkemiseksi pois päältä. Kolmas turvapiiri sisältää hätäpysäytyksen, joka avaa kaikki kytkimet ja pysäyttää sekä kääntöpöydän että robotin. (Kuvan lähde: Panasonic Industrial Automation Sales)

Insinöörit voivat määritellä turvatoimintoja tarvitsevat vyöhykkeet ja muuttaa niiden asetuksia ilman, että koko työsolua tarvitsee johdottaa uudelleen. (Tämä puolestaan vähentää johdotus- ja työvoimakustannuksia.) Yleensä turvaohjaimiin perustuvat ratkaisut tukevat myös verkkotoiminnallisuuden lisäämistä ja IIoT-yhteyttä toiminnan laajentuessa.

Integroitu turvallisuus turvallisuusluokitelluissa teollisuusohjaimissa

Kolmas vaihtoehto vikasietoisille turvaohjauksille, joita käytetään yhä enemmän kehittyneissä koneissa, ovat integroidut turvallisuus-PLC:t, ohjelmoitavat automaatio-ohjaimet (PAC) ja muut PC-pohjaiset ohjaimet. Jotkin tällaiset elektroniikkakomponentit voivat hoitaa turvallisuustoimintoja normaalien konetoimintojen lisäksi. Tuloksena on ohjelmoitavissa oleva ja siten joustava ohjaus sekä automatisoituja koneita että niiden toiminnan edellyttämiä turvatoimintoja varten.

Yhteenveto

Riittävä koneturvallisuus perustuu takaisinkytkentä- ja ohjauskomponentteihin, jotka on mitoitettu tarjoamaan suoja sovelluskohtaisia vaaroja vastaan. Koneturvallisuus edellyttää myös komponenttien asianmukaista integrointia, dokumentointia ja validointia. Jälkimmäisellä varmistetaan, että turvapiirit toimivat oikein kaikissa koneen toimintatiloissa, myös vikojen aikana.

Turvallisuutta laitteen eri vaiheiden aikana koskevat standardit IEC 61508 ja 62061 määrittelevät, miten turvallisuus integroidaan oikein – alkuperäisestä riskinarvioinnista ja suunnittelusta siihen, että alkuperäinen laitevalmistaja ja sen jälkeen loppukäyttäjä (tai joku hänen puolestaan) verifioivat asennetun järjestelmän suorituskyvyn reaalimaailmassa, kun kone on asennettu. Jälkimmäisessä koneet testataan perusteellisesti normaalien toimintajaksojen, hidastusten, pysäytysten ja nollausrutiinien testeillä.