Jedną w najważniejszych kwestii działania maszyny jest zapewnienie bezpieczeństwa ludziom, którzy ją obsługują lub znajdują się w jej pobliżu. W celu zminimalizowania potencjalnego ryzyka stosuje się szereg specjalistycznych urządzeń wykonanych według ściśle określonych norm. W układach automatyki głównym elementem realizującym algorytm monitorowania bezpieczeństwa jest sterownik bezpieczeństwa. Dokładne działanie i konstrukcja takiego sterownika została wyjaśniona w tym artykule. Natomiast w ja chciałbym omówić kwestię podstaw konfiguracji sterownika bezpieczeństwa Siemens w programie TIA PORTAL V15. Postaram się w prosty sposób wyjaśnić krok po kroku jak od podstaw wykonać algorytm czuwający nad bezpieczeństwem.
STEROWNIK
Konfiguracja hardware w przypadku sterownika bezpieczeństwa przebiega bardzo podobnie jak w zwykłym sterowniku PLC. Z listy urządzeń należy wybrać dany sterownik bezpieczeństwa (można je odróżnić od zwykłych poprzez żółte oznaczenie) – w tym przypadku wybór padł na sterownik S7-1500. 
Z uwagi na to, że artykuł dotyczy podstaw, nie będę zagłębiał się w zaawansowane ustawienia konfiguracji sterownika, jednak warto wiedzieć, że ustawienia sterownika dotyczące parametrów bezpieczeństwa są oznaczone żółtą flagą, tak jak przedstawiono na poniższym rysunku. Reasumując, domyślne wartości w ustawieniach sterownika są już bezpieczne i nie należy ich zmieniać gdy nie mamy wystarczającej wiedzy. Jedyną kwestią ustawień wartą uwagi jest zabezpieczenie sterownika hasłem, które zabezpieczy go przed nieautoryzowanymi zmianami w projekcie. Można to zrealizować w zakładce Protection&security poprzez zaznaczenie opcji Full acces include fail safe.
Każdorazowa zmiana konfiguracji powoduje ustalenie unikalnych numerów konfiguracji hardware i software oraz ustalenie nowej daty ostatniej modyfikacji. Numery te można podejrzeć w zakładce Safety administrator.
Wejścia
Analogicznie wygląda sposób dodania modułów bezpiecznych wejść i bezpiecznych wyjść. W tym przypadku do dyspozycji mamy tylko jeden moduł bezpiecznych wejść oraz jeden moduł bezpiecznych wyjść. Pomimo iż w oznaczeniu modułu wejść możemy ujrzeć informacje, że posiada on 16 kanałów, to należy je traktować jako 8. Wynika to z redundancji stosowanej w układach bezpieczeństwa, która polega na „podwójnym” podłączeniu danego przycisku lub czujnika. Przyciski i czujniki bezpieczeństwa powinny posiadać 2 styki w celu zapewnienia jak najwyższego poziomu niezawodności. Sygnał pierwszego kanału danego czujnika podpina się do wejścia znajdującego się po lewej stronie karty zaś sygnał drugiego kanału tego czujnika do jego „sąsiedniego” wejścia po prawej stronie. Przykładowo kanały %I0.0 oraz %I1.0 są traktowane jako jeden sygnał, do kanału %I0.0 podłącza się pierwszy styk zaś do %I1.0 drugi styk. W momencie wciśnięcia przycisku lub zadziałania czujnika powinny zadziałać oba z nich. Sytuacja, w której zadziała tylko jeden z nich lub któryś z nich zadziała z opóźnieniem, jest traktowana jako błąd. Zapobiega to niebezpiecznym sytuacjom wynikającym z uszkodzenia sprzętu lub przewodu. Linkowanie sygnałów odbywa się w taki sam sposób jak w zwykłym projekcie PLC.
W ustawieniach modułu bezpiecznych wejść możemy ustawić między innymi:
- sensor evaluation – parametr dotyczący stanów dostarczanych sygnałów (przykładowo oba kanały danego czujnika mogą wysyłać ten sam stan lub jeden z nich negację drugiego),
- discrepancy time – czas przerwy pomiędzy zadziałaniem jednego a drugiego kanału,
- discrepancy behavior – reakcja na przekroczenie ustalonego czasu pomiędzy zadziałaniem jednego a drugiego kanału,
- reintegration after discrepancy error – sposób resetowania po wykryciu błędu.
Istnieje również opcja wyłączania redundantnego połączenia danego czujnika, można tego dokonać poprzez odznaczenia opcji Chanel activated. W tej zakładce możemy również ustawić czas opóźnienia zadziałania danego czujnika (jeśli mamy bardzo szybkie czujniki możemy go obniżyć). Oprócz powyższych opcji możemy również włączyć opcję Chatter monitoring – polega ona na wykryciu uszkodzonego czujnika/przycisku, który podaje pulsujące sygnały. Opcja ta pozwala na ustalenie dozwolonych zmian stanu danego sygnału w określonym czasie.
Wyjścia
Konfiguracja modułu wyjść wygląda podobnie do konfiguracji wejść. Również tutaj oznaczenie wskazujące na 8 cyfrowych wyjść oznacza, że możemy podłączyć 4 odbiorniki. W tym wypadku wynika to z konieczności podłączenia zarówno wejścia, jak i wyjścia odbiornika. Jest to konieczne ze względu sprawdzania przez sterownik czy z danym odbiornikiem jest wszystko w porządku. Testowanie odbiornika odbywa się co pewien czas, ustalony w ustawieniach i polega na bardzo szybkim wyłączeniu i załączeniu odbiornika (wszystko dzieje się tak szybko, że człowiek nie jest w stanie tego zauważyć). Taka operacja umożliwia porównanie sygnału wysyłanego na wejście odbiornika i sygnału otrzymanego z jego wyjścia, co pozwala to na sprawdzenie, czy odbiornik lub przewód do niego wiodący, nie został uszkodzony lub czy nie nastąpiło zwarcie. W przypadku wykrycia małego uchybu działania czas następnego cyklu zostanie skrócony do 60 s niezależnie od ustawień, zaś w przypadku dużego uchybu sterownik przejdzie w stan błędu oraz odłączy dane wyjście. W ustawieniach istnieje możliwość wyłączenia sprawdzania, czy przewód został przecięty. Oprócz powyższych ustawień możemy dezaktywować dane wyjście oraz zmienić czasy sprawdzania odbiornika.
Software
Po zakończeniu konfiguracji hardware możemy przystąpić do tworzenia algorytmu bezpieczeństwa. Do tworzenia programów safety używa się gotowych bloków funkcyjnych, najważniejsze z nich to:
- ESTOP,
- SFDOOR.
Powyższe bloki wraz z wieloma innymi znajdują się w zakładce safety functions, wszystkie z nich są oznaczone na żółto. W programach bezpieczeństwa podstawowe operacje mają swoje „bezpieczne” odpowiedniki (np. bezpieczny AND, bezpieczny SR).
Programy safety powinny być napisane w prosty oraz przejrzysty sposób, w celu uniknięcia niebezpiecznych w tym przypadku hazardów. Sygnały bezpieczne powinny bezwzględnie odnosić się do kart bezpieczeństwa omówionych w poprzednim artykule. Tylko takie połączenie spełnia wymogi stawiane systemom bezpieczeństwa oraz gwarantuje praktycznie pewne, oraz natychmiastowe działanie.
Oprócz sygnałów bezpieczeństwa możemy wykorzystać również sygnały zwykłych modułów lub sygnały zwykłego projektu PLC, w tym wypadku mogą one pełnić rolę wszelkich potwierdzeń, żądań (otwarcia, zamknięcia) itp.
Dosyć ważnym oraz często wykorzystywanym sygnałem w algorytmach bezpieczeństwa jest sygnał EDM (external device monitoring). Jego funkcjonalność polega na dodaniu zewnętrznego sprzężenia zwrotnego stycznika odnoszącego się do stanu początkowego modułu bezpieczeństwa. Stycznik zewnętrzny musi zapewniać sprzężenie zwrotne poprzez normalnie zamknięty styk pomocniczy bezpieczeństwa.
Warunek uruchomienia obowiązuje tylko wtedy, gdy zewnętrzne sprzężenie zwrotne jest zamknięte. Funkcja monitorowania urządzeń zewnętrznych zapewnia, że styczniki sterowane przez wyjścia modułu bezpieczeństwa są w stanie przerwać obwód bezpieczeństwa za pomocą sygnału EDM. Możemy więc wykluczyć uszkodzenie stycznika/przekaźnika (np. zapieczenie styków).
ESTOP
Przycisk bezpieczeństwa zwany też eStop jest podstawowym elementem każdego systemu bezpieczeństwa. Jest on zbudowany z dużego bistabilnego przycisku zawierającego 2 styki normalnie zamknięte (2 styki wynikają z omawianej wcześniej redundancji). Połączenie NC powoduje, że w przypadku przecięcia przewodu wykluczamy możliwość niezadziałania tak ważnego elementu. W TIA PORTAL grzyb bezpieczeństwa powinien zostać obsłużony poprzez blok ESTOP. Podstawowym wejściem tego sygnału jest wejście E_STOP, które powinno zostać podlinkowane bezpośrednio do kanału, do którego jest podłączony przycisk bezpieczeństwa.
W normalnym stanie na wyjściu Q bloczka jest wystawiany stan wysoki. W przypadku wciśnięcia przycisku bezpieczeństwa sygnał na wyjściu Q zmienia swój stan na niski. Kolejnym ważnym elementem bloku ESTOP jest konieczność potwierdzenia błędu po wciśnięciu przycisku. O konieczności zatwierdzenia decyduje wejście ACK_NEC (acknowledge necessary). Ustawienie go na TRUE powoduje konieczność zatwierdzenia każdorazowego wciśnięcia ESTOP-a poprzez podanie stanu wysokiego na wejście ACK.
Żądanie zatwierdzenia jest sygnalizowane poprzez wyjście ACK_REQ (acknowledge request). Dopiero w momencie odciśnięcia przycisku bezpieczeństwa i zatwierdzenia go zostanie ponownie wystawiony sygnał wysoki na wyjście Q. Bloczek ESTOP posiada również możliwość opóźnionego działania, które może okazać się przydatne w niektórych przypadkach (np. gdy maszyna zatrzymana natychmiastowo może wyrządzić większą krzywdę).
Czas opóźnienia jest ustalany na wejściu TIME_DEL a sygnał opoźniony jest wystawiany na wyjściu Q_DELAY. Na wyjściu zarówno tego jak i każdego innego bloku znajduje się także wyjście DIAG służące do diagnostyki danego stanu.
SFDOOR
Do obsłużenia rygla bramy bezpieczeństwa służy blok SF_DOOR. Na jego wejścia IN1 i IN2 należy podłączyć sygnały informujące o aktualnym stanie bramy (zamknięta/otwarta) pochodzące z zamka bezpieczeństwa.
Również w tym przypadku należy korzystać ze styków normalnie zamkniętych, które pozwolą na zapobieganie niebezpiecznym sytuacjom wynikającym z uszkodzenia sprzętu. Na wyjściu bloku znajdują się takie same wyjścia jak w przypadku eStop, równie w tym wypadku możemy skorzystać z sygnału odpowiadającego za żądanie potwierdzenia (jeśli jest aktywowane na wejściu ACK_NEC) oraz z opóźnionego wyjścia.
Należy wziąć pod uwagę fakt, iż na wejściach odpowiadających za potwierdzenie nie ma konieczności korzystania z bezpiecznego sygnału (pochodzącego z bezpiecznych kart).
PODSUMOWANIE
Oprócz wspomnianych przykładów TIA zawiera również wiele innych bezpiecznych funkcji, jednak omówione funkcje w zupełności wystarczą do stworzenia podstawowych algorytmów odpowiadających za bezpieczeństwo.
Przy tworzeniu systemu odpowiedzialnego za bezpieczeństwo należy zachować szczególną dokładność oraz skrupulatność, ponieważ od naszych decyzji może zależeć ludzkie życie. Pomimo iż ten artykuł nie zastąpi profesjonalnego szkolenia, to mam nadzieję, że chociaż po części pomogłem we wprowadzeniu was do obszernego tematu safety.
Ocena artykułu zgłoszonego do Konkursu iAutomatyka 4.0 pisz artykuły, zdobywaj punkty, wymieniaj je na nagrody.
Kryterium 1 2 3 4 5 6 7 8 9 10 Punkty (0-2) 2 2 1 2 2 0 2 0 1 1 Suma zdobytych punktów: 13
