Funções de segurança da máquina em inversores de velocidade variável

Princípios gerais de funções de segurança em equipamentos eletrônicos

Este blog apresenta uma introdução ao uso de variadores de velocidade em funções de segurança de máquinas. Destina-se a ajudar aqueles que estão familiarizados com inversores a.c, mas menos com sistemas de controle relacionados à segurança. Deve ajudar o leitor a compreender os princípios e acessar a grande quantidade de material detalhado disponível sobre sistemas relacionados à segurança.

O termo “Segurança Funcional” é aplicado quando equipamentos elétricos, eletrônicos ou programáveis ​​são usados ​​para realizar funções que afetam a segurança humana. Este é um grande tema, que inclui diversas aplicações, como sinalização ferroviária e monitoramento e controle de grandes plantas de processo, onde muitas pessoas podem estar em risco em caso de acidente. No entanto, mais comumente em aplicações de acionamento, refere-se a algum tipo de maquinário, onde o sistema de controle pode ser usado para evitar uma situação em que uma pessoa esteja em risco de lesão devido à operação do maquinário. Um exemplo simples é uma barreira de segurança, que precisa ser aberta com frequência para se ter acesso a parte da máquina, mas quando aberta a máquina não deve poder operar. Um sistema de sensores e atuadores pode ser projetado para detectar o estado da barreira e controlar a máquina.

Com a disponibilidade de equipamentos programáveis ​​inteligentes, como PLCs e VSDs digitais, os sistemas de segurança podem ser mais flexíveis e inteligentes do que este exemplo, permitindo uma operação flexível e mantendo a segurança. Por exemplo, pode ser possível permitir a operação contínua em velocidade reduzida quando uma barreira está aberta, possivelmente condicionada à operação de uma chave de segurança especial por uma pessoa qualificada, ou talvez quando o rosto dessa pessoa for reconhecido, ou alguma outra precaução.

Modos de falha

O fator crucial com funções de segurança é que a confiabilidade da função deve ser consideravelmente melhor do que pode ser alcançada por equipamentos elétricos, eletrônicos ou programáveis ​​simples. Por melhor que seja a qualidade de um circuito elétrico ou eletrônico convencional, podem ocorrer algumas falhas de componentes que fazem com que ele não execute a função de segurança necessária, mas sem que a falha se torne aparente. O hardware para funções de segurança deve, portanto, ser projetado com recursos de autoteste ou "à prova de falhas" integrados. Durante o desenvolvimento do produto, os efeitos das falhas de hardware devem ser analisados ​​em uma Análise de Modos e Efeitos de Falha (FMEA) e modos de falha potencialmente perigosos deve ser reduzido pelo projeto a um nível muito baixo. Um alvo típico para o PFH_D (probabilidade de falha em uma direção perigosa) para o nível de integridade SIL3 seria 10 ^-8 por hora, ou seja, uma taxa de falha de menos de um por 10.000 anos. Essas baixas taxas de falhas sempre exigem estruturas especiais em sistemas de controle eletrônico. Observe aqui que estamos nos referindo a falhas aleatórias que ocorrem durante a vida útil pretendida do equipamento, e não à expectativa de vida. Peças com mecanismos de desgaste conhecidos dentro da vida útil pretendida do sistema podem ser gerenciadas por manutenção planejada.

Estruturas de controle

Na maioria das aplicações que envolvem acionamentos, a segurança de uma máquina fixa está sendo abordada, e a opção mais comum é usar dois canais independentes para a função de segurança, com verificação cruzada disposta de modo que, em caso de discrepância, o acionamento pare, ou seja, o paradas de torque de acionamento. Na maioria das máquinas, isso resulta em um estado seguro. Para uma máquina como uma talha que pode se mover sob gravidade sem acionamento, devem ser tomadas medidas para garantir que não possa causar perigo quando o torque de acionamento desaparecer.

A Figura 1 ilustra um sistema básico de segurança de dois canais que também é chamado de sistema “um em cada dois” ou 1oo2, o que significa que se um dos dois canais solicitar uma parada, a máquina parará. Este é o arranjo mais comum para um sistema de controle de segurança de máquinas. Uma falha no sensor ou no processador de condicionamento de sinal não leva à perda da função de segurança. Observe que a Figura 1 é apenas um diagrama funcional, a “porta AND” na saída não é um chip lógico simples, porque isso introduziria um mecanismo de falha de ponto único, se o chip lógico falhasse. Pode ser uma entrada STO de dois canais no inversor ou algum outro método em que a falha de causa comum de um único dispositivo seja eliminada.

A função de diagnóstico mostrada em cinza geralmente é necessária para garantir a segurança contínua, pois sem ela, embora uma falha em um canal não cause a falha da função de segurança, seria possível que a máquina continuasse operando indefinidamente com um canal no inseguro Estado. Uma segunda falha levaria então a uma condição perigosa.

Figura 1:Estrutura de controle de um em cada dois

Software/firmware

O uso de processadores integrados que executam firmware e software introduz uma nova dimensão à segurança funcional. O software não apresenta falhas aleatórias, mas sua complexidade significa que é difícil garantir que ele funcione conforme o esperado em todas as condições e sequências de eventos. Isso não pode ser comprovado por um teste do sistema completo como uma “caixa preta” – o software deve ser escrito em uma linguagem bem definida com medidas tomadas para evitar erros de codificação e cuidadosamente estruturado em módulos que podem ser especificados e testados a cada Passo. Também deve ser provado que os módulos não podem ser afetados negativamente por outras atividades no sistema do processador, e isso é difícil se outro código não seguro for executado no mesmo processador.

A disciplina necessária de criar uma especificação clara e inequívoca, com um plano de teste e documentar completamente o processo, aplica-se tanto para escrever o código quanto para projetar o sistema completo.

Um controle importante sobre a qualidade do software é distinguir uma “linguagem de variabilidade limitada” (LVL) de uma “linguagem de variabilidade total” (FVL). O LVL se restringe a configurar módulos pré-aprovados  com funções bem definidas de forma restrita para que o resultado possa ser testado por um programa de teste sequencial simples. O LVL teria sido criado usando um FVL como C++ etc., que passou por um processo de design rigoroso completo e foi bloqueado para acesso pelo programador do LVL.

A facilidade com que o software pode ser alterado também significa que um sistema seguro de controle de versão deve ser implementado, incluindo a prevenção de alterações não autorizadas.

Aplicativos do Drive

Muitas funções de segurança que compreendem sequências simples e combinações de entradas para controlar saídas podem ser implementadas em um PLC com recursos especiais para evitar riscos de falhas de hardware e erros de software, ou seja, um “PLC de segurança”. No entanto, existem aplicações em que o drive está especialmente bem posicionado para implementar essas funções de forma econômica:

• Prevenção do acionamento – o acionamento do inversor possui características únicas que o adequam ao elo final da cadeia de segurança, que é evitar o desenvolvimento de torque no motor quando necessário, com uma integridade muito alta. Isso é definido como Safe Torque Off (STO).
• Restringir o escopo do movimento, incluindo torque, aceleração, velocidade, direção ou posição, em valores absolutos ou valores relativos, como incrementos de posição. O inversor controla essas variáveis ​​e geralmente tem medições precisas e de resposta rápida delas, por exemplo, através de um eixo ou encoder de posição, ou possivelmente observando o comportamento da tensão e corrente do motor. Se essas funções relacionadas ao inversor forem combinadas com alguma lógica combinacional e sequencial simples para entradas de sensores da máquina, como chaves de portão e chaves, uma grande classe de aplicações de segurança pode ser implementada.

Padrões para peças relacionadas à segurança de sistemas de controle de máquinas

A necessidade de gerenciamento e implementação rigorosos do projeto do sistema de segurança significa que os padrões internacionais relevantes são complexos e densos. Nesta nota, veremos apenas algumas características-chave das normas mais relevantes para a segurança de máquinas.

As normas internacionais são prefixadas por ISO ou IEC. As normas europeias CENELEC são prefixadas por EN. Veremos aqui as versões EN, os formulários internacionais usam os mesmos números com prefixos diferentes. As versões EN têm o status de normas harmonizadas para a Diretiva de Máquinas EC.

EN ISO 12100 descreve como a avaliação de risco do maquinário deve ser realizada, resultando na alocação de funções de segurança ao sistema de controle, se necessário. Este é um precursor essencial para o projeto correto do controle relacionado à segurança e é responsabilidade do projetista da máquina.

EN 61800-5-2 é um padrão para segurança funcional de sistemas de acionamento de energia. Ele define uma série de funções[1] que são particularmente adequadas para acionamentos, referidas como “subfunções de segurança designadas”, como Safe Torque Off (STO), Safely-limited speed (SLS) etc. A integridade de segurança de um a função de segurança completa é medida pelo SIL, que pode assumir valores de 1 (mais baixo) a 3. Como o inversor é um subsistema de um sistema de controle completo relacionado à segurança, isso é chamado de “capacidade SIL”.

EN 62061 é um padrão para sistemas de controle elétrico/eletrônico/programável de máquinas, que usa a mesma métrica SIL da EN 61800-5-2

EN ISO 13849-1 é um padrão para sistemas de controle de máquinas, incluindo sistemas não elétricos. Ele usa uma métrica diferente, o Nível de Desempenho (PL) e a Categoria (de B a 4). Uma norma suplementar EN ISO 13849-2 abrange “Validação”, que inclui orientação sobre quais falhas precisam ser consideradas e quais podem ser descontadas (“exclusões de falhas”).

A base de muita padronização de sistemas elétricos/eletrônicos/programáveis ​​relacionados à segurança é a EN 61508- Série #, partes 1 a 7. Estas não são normas harmonizadas em si, uma vez que abrangem todos os sistemas e não apenas os sistemas de controle para máquinas.

Níveis de integridade de segurança

O SIL ou PL necessário para uma determinada função de segurança está ligado ao grau de risco que a função deve mitigar – ou seja, a probabilidade e gravidade de uma possível lesão. O processo de decisão começa com a avaliação de risco da máquina, que é descrita em EN ISO 12100 . As regras para derivar o SIL ou PL necessário são fornecidas em EN 62061 e EN ISO 13849-1 .

Safe Torque Off em inversores (STO)

A função de segurança mais básica que um inversor pode oferecer é STO. Um inversor que controla um motor de indução é particularmente adequado para esta função, porque o estágio de potência do inversor deve estar continuamente ativo com um padrão de comutação PWM complexo e bem controlado para a maioria dos semicondutores de potência para produzir qualquer torque no motor. A Figura 2 ilustra a estrutura básica de potência do inversor.

Figura 2:Estrutura básica de energia do inversor de link CC

O motor necessita de um campo magnético rotativo para produzir torque, que só pode ser gerado pelos seis transistores de potência seguindo um padrão de comutação complexo e bem definido que gera uma tensão trifásica ajustada nos terminais de saída. Na ausência deste padrão de controle, como a alimentação do inversor é CC, não há falhas no circuito de potência do inversor que possam causar torque. O pior caso de falha seria onde dois transistores nos pólos opostos de duas pernas do inversor conduzem involuntariamente, conforme mostrado pelas setas vermelhas na Figura 2. Nesse caso, uma alta corrente descontrolada fluiria em uma fase do motor até que o esquema de proteção de sobrecorrente operasse ou o inversor foi destruído (o fusível ou disjuntor de entrada se apaga). Nada disso fornece um campo magnético rotativo, portanto, não há torque gerado.

No caso de um ímã permanente ou motor de relutância, esta falha de pior caso causaria um torque de alinhamento temporário até que o dispositivo de proteção operasse. No limite, o motor pode girar um passo de pólo para um motor PM ou meio passo de pólo para um motor de relutância.

A interface entre o estágio de potência do inversor e a entrada de controle STO do inversor deve ser projetada para manter a probabilidade muito baixa de uma falha insegura, o que significaria que o padrão de controle PWM complexo foi inadvertidamente passado para os transistores do inversor. Normalmente, o arranjo usa algum tipo de técnica “à prova de falhas”, pela qual, assim como no próprio inversor, falhas de componentes de todos os tipos resultam na perda do comando “Ativar”. Pode haver dois canais independentes para que a função STO possa ser facilmente conectada a um controlador de segurança de dois canais.

Funções de segurança de acionamento mais avançadas

A maioria das outras funções de segurança designadas do inversor requer alguma análise de dados, como corrente e/ou velocidade do motor, etc. Isso normalmente é implementado em um microcontrolador, com um segundo controlador verificando continuamente os dados de entrada e saída e as ações do processador, como ilustrado na Figura 3. Invariavelmente, o resultado da detecção de uma discrepância é que o inversor é desabilitado por meio da função STO.



A probabilidade de uma falha de hardware na direção perigosa é reduzida a um nível tolerável por ter dois canais com verificação cruzada. Dispositivos de entrada, como interruptores, são duplicados para permitir a detecção de erros simples “travados em” e podem ser fornecidos com pulsos elétricos diversificados para que falhas mais sutis entre os canais possam ser detectadas. Os encoders de eixo incremental básicos têm um recurso inerente útil que permite a detecção da maioria das falhas, uma vez que as duas trilhas de pulso têm um deslocamento de fase de 90°, o que significa que a maioria dos erros resulta em uma sequência de pulso impossível, que pode ser detectada. As saídas digitais são verificadas por pulsos de teste regulares que testam se uma saída mantida intencionalmente no estado lógico alto (verdadeiro) ainda é capaz de diminuir – às vezes chamadas de saídas OSSD.

A probabilidade de uma falha sistemática, ou seja, uma falha inerente ao projeto, é reduzida a um nível tolerável por um processo mais rigoroso de definição dos requisitos precisos para as funções de segurança e rastreamento de sua implementação, teste e documentação.

Máquinas completas e componentes de segurança

O processo rigoroso de especificação e rastreamento de funções de segurança deve ser seguido para cada aplicação individual, e o projetista de máquinas é o responsável final por isso. Se um inversor com recursos de segurança funcional estiver sendo usado como parte do projeto, ele se tornará um componente de segurança, e sua própria especificação e certificação de requisitos de segurança se tornarão parte da documentação completa do sistema.

Dentro da União Européia, este requisito está embutido na lei na forma da Diretiva de Máquinas 2006/42/EC, que inclui uma definição e requisitos para componentes de segurança onde eles são colocados no mercado separadamente. Na prática, isso geralmente significa que o inversor com funções de segurança vem com um certificado de exame de tipo CE emitido por um organismo notificado aprovado pelo governo independente, para permitir que ele seja usado no sistema de controle relacionado à segurança de uma máquina. Se tiver a função STO incorporada como padrão, para que possa ou não ser usado como componente de segurança, o inversor deve ter duas declarações do fabricante EC separadas, de acordo com a Diretiva de Máquinas e a Diretiva de Baixa Tensão.