Enkodery z certyfikatem bezpieczeństwa oraz enkodery redundantne w systemach sterowania ruchem

W systemach sterowania ruchem kluczem do poprawy bezpieczeństwa operacyjnego jest zapewnienie, że czujniki wykorzystywane przez te systemy do utrzymania kontroli nad ruchem są wiarygodne.

Bezpieczeństwo powinno być zawsze ważnym celem projektowym. Jest to szczególnie ważne w przypadku takich maszyn, jak windy, dźwigi, roboty przemysłowe lub maszyny budowlane, gdzie awaria sprzętu lub utrata kontroli nad nim może spowodować poważne obrażenia u ludzi lub szkody materialne. W niektórych krajach formalne analizy bezpieczeństwa, mające na celu zmniejszenie ryzyka poważnych wypadków, są wymagane przez prawo.

W przypadku systemów sterowania ruchem kluczem do poprawy bezpieczeństwa operacyjnego jest zapewnienie, że czujniki wykorzystywane przez te systemy do utrzymania kontroli nad ruchem są godne zaufania. Czujniki takie jak enkodery, inklinometry oraz inne muszą zapewniać niezawodne dostarczanie informacji zwrotnych o ruchu/położeniu sterowanych elementów mechanicznych. W przypadku awarii czujnika urządzenia te muszą przesłać do systemu sterowania wyraźny komunikat, że pętla sprzężenia zwrotnego została uszkodzona i należy podjąć działania w celu ograniczenia lub wstrzymania pracy sterowanego urządzenia.

Powszechnie stosowaną metodą zapewnienia niezawodności i bezpieczeństwa systemów sterowania ruchem jest włączenie pewnego stopnia redundancji do pętli sprzężenia zwrotnego. Jeżeli system sterowania otrzymuje podobne sygnały z dwóch różnych czujników zainstalowanych do pomiaru tej samej wielkości mechanicznej, to można przyjąć, że obydwa działają prawidłowo. Natomiast rozbieżności pomiędzy sygnałami z obu tych czujników będą wskazywały na błąd.

Rys. 1. Elementy enkodera absolutnego: czujnik optyczny i czujnik magnetyczny. Mierzą one wartość położenia w trybie jedno- i wieloobrotowym, nie wymagają ani zasilania bateryjnego, ani konserwacji. | Źródło: Posital Fraba

Enkodery z certyfikatem bezpieczeństwa

Na rynku dostępne są enkodery pochodzące od kilku producentów czujników. Enkodery te mają wbudowaną redundancję w formie dwóch oddzielnych modułów pomiaru obrotów, zainstalowanych w jednej obudowie i współdzielących jeden wał. Specjalny układ weryfikujący monitoruje sygnały wyjściowe z tych dwóch modułów w celu sprawdzenia zgodności wyników pomiarów. W przypadku wykrycia rozbieżności układ ten zablokuje przesyłanie zakwestionowanych danych do sterownika, wskazując na błąd. Dzięki tej funkcjonalności, określanej mianem fail-safe (uszkodzenie w kierunku bezpiecznym), enkodery te mogą uzyskać certyfikat na poziom bezpieczeństwa PL d, Kat. 3 (zgodnie z normą bezpieczeństwa ISO 13849) lub SIL 3 (zgodnie z IEC 61508). Certyfikacja jest wykonywana przez specjalne licencjonowane agencje.

Enkodery z certyfikatem bezpieczeństwa mogą być stosowane do usprawnienia opracowywania systemów o kluczowym znaczeniu dla bezpieczeństwa, ponieważ jest zagwarantowane, że będą one dostarczać do układu sterowania albo zweryfikowane dane o położeniu, albo wyraźne wskazanie, że wystąpił błąd. Mają jednak pewną wadę. Podejście to może być nieelastyczne przy obsłudze sytuacji awaryjnych, ponieważ czujniki te po prostu się wyłączają i nie dostarczają wskazówek, jak sprowadzić maszynę do stanu bezpiecznego.

Certyfikowane urządzenia mogą być również droższe od zwykłych enkoderów ze względu na koszt uzyskania certyfikatu bezpieczeństwa od niezależnego laboratorium badawczego. Ponadto są one dostępne tylko w ograniczonej liczbie konfiguracji mechanicznych, więc konstruktor maszyny może być zmuszony do zastosowania adapterów, aby dopasować je do projektu.

Wybór enkoderów redundantnych

Enkodery redundantne (ang. diverse-redundant, dosł. „ze zróżnicowaną redundancją”) stanowią tańszą i bardziej elastyczną alternatywę dla enkoderów certyfikowanych w systemach sterowania ruchem związanych z bezpieczeństwem. Podobnie jak ich certyfikowane odpowiedniki, urządzenia te mają dwa moduły pomiarowe we wspólnej obudowie (redundancja). Jednak w tym przypadku sygnały z obu systemów pomiarowych są przesyłane do sterownika (takiego jak sterownik programowalny lub komputer przemysłowy) za pośrednictwem sieci CANopen. Kontroler nadzorujący jest odpowiedzialny za porównanie danych wyjściowych z dwóch częściowo niezależnych systemów pomiarowych w celu weryfikowania, czy oba działają prawidłowo.

Aby zredukować niebezpieczeństwo wystąpienia usterek spowodowanych wspólną przyczyną, urządzenia te wykorzystują dwie różne technologie pomiarowe – magnetyczną i optyczną. Oba systemy pomiarowe są zamontowane na wspólnym wale i zainstalowane we wspólnej obudowie. Rozdzielczość takiego enkodera wynosi 16 bitów na obrót.

Lista dostępnych opcji wykonania takich enkoderów obejmuje: wytrzymałe mechanicznie obudowy o stopniu ochrony aż do IP67, różne typy złączy oraz wiele wariantów kołnierzy i wałów (z wałem drążonym lub pełnym). Taki szeroki zakres wyboru umożliwia projektantowi dobranie konfiguracji, która może być zintegrowana z nowymi lub istniejącymi maszynami. Komunikacja jest realizowana za pośrednictwem interfejsu CANopen.

Enkodery typu safety-ready (gotowe do zastosowania w systemach związanych z bezpieczeństwem) są przystosowane do pracy w trudnych środowiskach oraz w szerokim zakresie temperatur roboczych. Część magnetyczna enkodera jest wytrzymała mechanicznie, natomiast elementy optyczne zostały specjalnie zabezpieczone przed kondensacją pary wodnej poprzez dodanie dodatkowej membrany. Czujniki z elementami optycznymi i magnetycznymi to enkodery absolutne, które mierzą wartość położenia kątowego w trybie jedno- i wieloobrotowym. Nie wymagają ani baterii zasilającej, ani konserwacji.

Urządzenia te mogą być przystępniejsze cenowo i bardziej uniwersalne niż specjalistyczne enkodery z certyfikatem bezpieczeństwa, a jednocześnie często są skuteczne w zakresie poprawy bezpieczeństwa funkcjonalnego. Aby pomóc klientowi w uzyskaniu certyfikatu bezpieczeństwa dla systemu sterowania ruchem, producent czujnika dostarcza dane dotyczące średniego czasu do niebezpiecznej awarii/uszkodzenia (ang. mean time to dangerous failure – MTTFd).

Szeroki zakres zastosowań enkoderów bezpieczeństwa rozciąga się od ciężkiego sprzętu budowlanego i maszyn mobilnych, poprzez technikę dźwigową i windową, aż po skomplikowaną technikę sceniczną dla złożonych produkcji.

Fot. 2. Enkodery bezpieczeństwa mogą być wykorzystywane w takich zastosowaniach, jak ciężki sprzęt budowlany i maszyny samojezdne, technika dźwigowa i windowa, aż po skomplikowaną technikę sceniczną dla złożonych produkcji. | Źródło: Posital Fraba

Wybór typu enkoderów bezpieczeństwa

W przypadku produktów jednorazowych lub niskonakładowych, opracowywanych w ograniczonym czasie, wygoda pracy z enkoderami z certyfikatem SIL lub PL (krótszy czas opracowywania, mniejsza wymagana wiedza z zakresu bezpieczeństwa) może przeważyć nad wyższą ceną i ograniczoną dostępnością tych urządzeń na rynku.

Natomiast w przypadku wielu projektów efektywnym i ekonomicznym rozwiązaniem mogą być enkodery redundantne. Dwa niezależne kanały pomiarowe stanowią solidną podstawę do budowy maszyn, które mogą uzyskać certyfikat na poziom bezpieczeństwa PL d, Kat. 3, zgodnie z normą ISO 13849. Ponadto enkodery redundantne zapewniają również elastyczność w przypadku nieprawidłowego funkcjonowania. W niektórych przypadkach, system sterowania może być w stanie wykorzystać informacje z innego systemu, aby dokonać uzasadnionej oceny, który z redundantnych modułów pomiarowych działa nieprawidłowo i czy moduł, który nadal działa poprawnie, może dostarczyć użytecznych danych o położeniu.

W takim przypadku projektant może wdrożyć ograniczony tryb pracy, aby przedłużyć dyspozycyjność maszyny do czasu, gdy będzie można wymienić uszkodzony element na nowy.


Klaus Matzker, menedżer produktu w firmie Posital Fraba. Redakcja: Chris Vavra, zastępca redaktora naczelnego, Control Engineering, CFE Media and Technology, cvavra@cfemedia.com.