ตามมาตรฐานการป้องกันเครื่องจักรของ OSHA การป้องกันที่ไม่เพียงพอเป็นสาเหตุของการเสียชีวิตในสถานที่ทำงานประมาณ 800 ราย และการตัดแขนขา 18,000 รายทุกปีในสหรัฐอเมริกาเพียงแห่งเดียว - และเหตุการณ์ส่วนใหญ่ที่เกิดขึ้นเหล่านี้สืบย้อนไปถึงการออกแบบที่ไม่เหมาะสมหรือวงจรความปลอดภัยที่ขาดหายไป กการประยุกต์ใช้รีเลย์ความปลอดภัยในการป้องกันเครื่องจักรทำหน้าที่เป็นตัวเชื่อมที่สำคัญระหว่างอุปกรณ์ป้องกัน (เช่น ตัวหยุด E- ม่านแสง หรือประตูป้องกันที่เชื่อมต่อกัน) และการเคลื่อนไหวที่เป็นอันตรายของเครื่อง: จะตรวจสอบอินพุตด้านความปลอดภัย ตรวจสอบการสัมผัสภายในของตัวเองผ่านระบบสำรอง และบังคับเครื่องให้อยู่ในสถานะปลอดภัยภายในมิลลิวินาทีเมื่อตรวจพบความผิดปกติหรือการแทรกแซงของมนุษย์ คู่มือนี้จะแจกแจงรายละเอียดอย่างชัดเจนถึงวิธีการทำงานของรีเลย์ความปลอดภัย ตำแหน่งที่อยู่ในวงจรป้องกัน วิธีวางสายไฟและเลือกอย่างถูกต้องตามระดับประสิทธิภาพ (PLr) และระดับความสมบูรณ์ด้านความปลอดภัย (SIL) และข้อผิดพลาดระดับโลกที่แท้จริง-ที่นำไปสู่การตรวจสอบที่ล้มเหลว และ - แย่กว่านั้นมาก - การบาดเจ็บที่ป้องกันได้
รีเลย์นิรภัยคืออะไร และแตกต่างจากรีเลย์มาตรฐานอย่างไร
รีเลย์นิรภัยเป็นอุปกรณ์สวิตชิ่งที่สร้างขึ้นตามจุดประสงค์-ซึ่งออกแบบมาเพื่อตรวจสอบอุปกรณ์อินพุตเพื่อความปลอดภัย - การหยุดฉุกเฉิน อินเตอร์ล็อคประตูยาม ม่านแสง - และตัดกระแสไฟจากการเคลื่อนที่ของเครื่องจักรที่เป็นอันตรายได้อย่างน่าเชื่อถือเมื่อมีการกระตุ้นสภาวะการป้องกัน แตกต่างจากรีเลย์ควบคุมวัตถุประสงค์ทั่วไป-ที่เปิดหรือปิดวงจรเพียงอย่างเดียว รีเลย์นิรภัยจะรวมอยู่ด้วยสถาปัตยกรรมการติดต่อซ้ำซ้อน, บังคับ-ผู้ติดต่อที่ได้รับคำแนะนำ (ขับเคลื่อนเชิงบวก), และตรรกะการตรวจสอบตนเองภายใน-ที่ตรวจจับข้อผิดพลาดก่อนที่จะเกิดอันตราย การใช้งานรีเลย์ความปลอดภัยทุกครั้งในการปกป้องเครื่องจักรจะขึ้นอยู่กับคุณสมบัติทั้งสามนี้ที่ทำงานร่วมกัน
ทำไมคุณไม่สามารถใช้รีเลย์มาตรฐานได้? เนื่องจากรีเลย์มาตรฐานล้มเหลวอย่างไม่อาจคาดเดาได้ หน้าสัมผัสสามารถเชื่อมปิดภายใต้โหลดได้ และรีเลย์ไม่มีวิธีตรวจจับหรือรายงานความล้มเหลวนั้น หน้าสัมผัสแบบบังคับ-ตามที่กำหนดใน IEC 61810-3 เชื่อมโยงทางกลไกตามปกติ-หน้าสัมผัสแบบเปิดและแบบปิดตามปกติ- ดังนั้นจึงไม่สามารถปิดทั้งสองแบบพร้อมกันได้ แม้ว่าจะมีการเชื่อมหน้าสัมผัสเพียงอันเดียวก็ตาม วงจรตรวจสอบจะอ่านหน้าสัมผัสป้อนกลับ NC; หน้าสัมผัส NO แบบเชื่อมติดอยู่ในรอบถัดไป และรีเลย์จะล็อค
เคล็ดลับการปฏิบัติ: ต่อสายลูปป้อนกลับ (โดยทั่วไปคือขั้วต่อ Y1–Y2) กลับเข้าไปในวงจรรีเซ็ตของรีเลย์ความปลอดภัยเสมอ การข้ามขั้นตอนนี้จะทำให้ฟังก์ชันการตรวจสอบตนเอง-พ่ายแพ้ไปโดยสิ้นเชิง - ความผิดพลาดที่ผู้ตรวจสอบติดธงว่าประมาณ 1 ใน 5 ของการติดตั้งครั้งแรก- โดยอิงตามรายงานภาคสนามจากผู้รวมระบบรายใหญ่
การรับรองเป็นอีกแนวทางหนึ่งที่แยกยาก รีเลย์นิรภัยต้องเป็นไปตามมาตรฐานความปลอดภัยในการใช้งาน เช่นไออีซี 61508(เรตติ้ง SIL) และISO13849(ระดับประสิทธิภาพสูงถึง PL e) มาตรฐานเหล่านี้ต้องการความคุ้มครองการวินิจฉัยที่จัดทำเป็นเอกสาร การคำนวณเวลาเฉลี่ยถึงความล้มเหลวที่เป็นอันตราย (MTTFd) และ-การตรวจสอบความถูกต้องโดยบุคคลที่สาม - โดยทั่วไปโดยหน่วยงานต่างๆ เช่น TÜV หรือ BG รีเลย์ควบคุมมาตรฐานไม่มีใบรับรองเหล่านี้ และไม่สามารถใช้อ้างฟังก์ชันด้านความปลอดภัยในการประเมินความเสี่ยงได้
ความซ้ำซ้อน:การตรวจสอบอินพุตช่องสัญญาณคู่-ทำให้มั่นใจได้ว่าไม่มีข้อผิดพลาดแม้แต่จุดเดียวที่ทำให้ฟังก์ชันด้านความปลอดภัยสูญหาย
ผู้ติดต่อที่ถูกบังคับ-:ชุดหน้าสัมผัสที่เชื่อมโยงด้วยกลไกเผยให้เห็นหน้าสัมผัสแบบเชื่อมทันที
ตรรกะการตรวจสอบตนเอง-:การตรวจจับข้อผิดพลาดข้าม-และลูปป้อนกลับจะล็อครีเลย์เมื่อเกิดความล้มเหลวภายใน
ข้อมูลความล้มเหลวที่ผ่านการรับรอง:ค่า B10d ที่เผยแพร่ (เช่น การดำเนินการ 2,000,000 รายการสำหรับโมดูล Pilz หรือ SICK จำนวนมาก) ช่วยให้สามารถคำนวณ PL/SIL เชิงปริมาณได้
การทำความเข้าใจความแตกต่างเหล่านี้เป็นรากฐานสำหรับการใช้งานรีเลย์ความปลอดภัยทุกรูปแบบในการป้องกันเครื่องจักร - หากไม่มีสิ่งเหล่านั้น การออกแบบวงจรที่เหลือก็ไม่มีความหมาย
วิธีการทำงานของรีเลย์นิรภัย - ลอจิกภายในและหลักการทำงาน
ถอดตัวเรือนของโมดูลรีเลย์ความปลอดภัยทั่วไป - เช่น Pilz PNOZ s4 หรือ Allen-Bradley 440R - ออก แล้วคุณจะพบว่ามีความซ้ำซ้อนที่อบอวลอยู่ในทุกชั้น สถาปัตยกรรมหลักต้องอาศัยการตรวจสอบอินพุตช่องสัญญาณคู่-หมายถึงเส้นทางอินพุตอิสระสองเส้นทาง (ช่อง 1 และช่อง 2) จะต้องยืนยันสถานะที่ปลอดภัยก่อนที่รีเลย์จะรวมพลังงานหน้าสัมผัสเอาต์พุต หากช่องใดช่องหนึ่งไม่เห็นด้วย รีเลย์จะบังคับให้ปิดระบบอย่างปลอดภัยภายในเวลาต่ำกว่า 20 มิลลิวินาทีบนโมดูลส่วนใหญ่ที่ได้รับการจัดอันดับเป็น SIL 3 / PLe
การไหลของสัญญาณ: จากอินพุตไปจนถึงการลดพลังงาน-อย่างปลอดภัย
ต่อไปนี้เป็นลำดับแบบง่ายของรีเลย์นิรภัยทุกตัวดังต่อไปนี้:
การได้มาซึ่งอินพุต- ทั้งสองช่องรับสัญญาณจากอุปกรณ์ความปลอดภัย (-หยุด สวิตช์ป้องกัน ม่านแสง) ตรรกะภายในของรีเลย์จะเปรียบเทียบสัญญาณเหล่านี้ภายในหน้าต่างการซิงโครไนซ์ที่กำหนดไว้ โดยทั่วไปจะใช้เวลา 0.5–4 วินาที ขึ้นอยู่กับประเภทอุปกรณ์
การตรวจจับข้อผิดพลาดข้าม-- โมดูลจะตรวจสอบว่าทั้งสองช่องมีความเป็นอิสระทางไฟฟ้าหรือไม่ ตรวจพบการลัดวงจรระหว่างช่อง 1 และช่อง 2 ("ข้อผิดพลาดข้าม") เนื่องจากรีเลย์ส่งสัญญาณทดสอบพัลส์ในแต่ละช่องในช่วงเวลาที่เซ แรงดันไฟฟ้าที่ทับซ้อนกันโดยไม่คาดคิดจะกระตุ้นให้เกิดการล็อก
การประมวลผลลูปคำติชม- หน้าสัมผัสเสริมของคอนแทคเตอร์ภายนอกจะป้อนกลับเข้าไปในช่องป้อนกลับของรีเลย์ (FBK) ถ้าเป็นรีเลย์
สั่งให้เอาท์พุตปิด แต่ฟีดแบ็กยังคงอ่านว่าปิด โดยตรวจพบคอนแทคเตอร์แบบเชื่อม และปฏิเสธที่จะ-เปิดใช้งาน - รายละเอียดที่สำคัญซึ่งมักถูกมองข้ามระหว่างการทดสอบการทำงาน
การสลับเอาต์พุต- หลังจากผ่านการตรวจสอบทั้งหมดแล้วเท่านั้น หน้าสัมผัสรีเลย์แบบมีแรง-นำ (เชื่อมโยง) จะปิด เพื่อจ่ายไฟให้กับวงจรควบคุมของเครื่อง การบังคับ-หน้าสัมผัสแบบมีคำแนะนำตามมาตรฐาน EN 50205 รับประกันได้ว่าหน้าสัมผัสแบบปกติ-แบบเปิดและแบบปิดแบบปกติ-ไม่สามารถอยู่ในสถานะเดียวกันได้พร้อมกัน
การตรวจสอบแบบหลายชั้นนี้เป็นสิ่งที่ทำให้การใช้งานรีเลย์ความปลอดภัยในการป้องกันเครื่องจักรโดยพื้นฐานแตกต่างจากรีเลย์ควบคุมมาตรฐานที่ต่อสายผ่านคอนแทคเตอร์ รีเลย์ไม่เพียงแค่เปลี่ยนกำลัง - แต่ยังตรวจสอบวงจรความปลอดภัยทั้งหมดอย่างต่อเนื่องทั้งก่อน ระหว่าง และหลังทุกรอบ
เคล็ดลับสำหรับมือโปร: โยงวงจรป้อนกลับเสมอ การข้ามไปไม่ทำให้เกิดข้อผิดพลาดในทันที แต่จะกำจัด-การตรวจจับหน้าสัมผัสแบบเชื่อม - โหมดความล้มเหลวเดียวที่พบบ่อยที่สุดในวงจรความปลอดภัยที่ใช้คอนแทคเตอร์-
สถานการณ์การป้องกันเครื่องจักรทั่วไปที่ต้องใช้รีเลย์นิรภัย
ไม่ใช่ทุกสถานการณ์ในการป้องกันจะต้องใช้สถาปัตยกรรมแบบเดียวกัน แต่มี 6 สถานการณ์ที่เป็นสาเหตุส่วนใหญ่การใช้งานรีเลย์ความปลอดภัยในการป้องกันเครื่องจักรตลอดทั้งการผลิตแบบแยกส่วน แต่ละคนจัดการกับโปรไฟล์ความเสี่ยงที่แตกต่างกัน - และการเลือกรีเลย์ผิดในสิ่งใดสิ่งหนึ่งสามารถทำให้เกิดช่องว่างที่ผู้ตรวจสอบ (และการบาดเจ็บ) จะพบ
ประตูยามที่เชื่อมต่อกัน- สถานการณ์ที่พบบ่อยที่สุด สวิตช์อินเตอร์ล็อกแบบแม่เหล็กหรือลิ้น-จะจ่ายรีเลย์นิรภัย ซึ่งจะตัดไฟฟ้าเมื่อมีการเคลื่อนไหวที่เป็นอันตรายเมื่อประตูเปิด รายละเอียดที่สำคัญ: หากเครื่องจักรมีเวลาหยุดทำงาน-นาน คุณต้องมีอินเตอร์ล็อกล็อค-ป้องกัน (เช่น สลักเกลียวโซลินอยด์) ที่ยึดประตูปิดไว้จนกว่ารีเลย์จะยืนยันความเร็วเป็นศูนย์
วงจรหยุดฉุกเฉิน- มาตรฐานการป้องกันเครื่องจักรของ OSHA ต้องการ-ความสามารถในการหยุดบนอุปกรณ์อุตสาหกรรมส่วนใหญ่ รีเลย์นิรภัยจะตรวจสอบปุ่ม E-หยุดรูปเห็ด- และบังคับใช้การหยุดหมวด 0 หรือหมวด 1 ตาม ISO 13850
ม่านแสง (AOPD)- ม่านแสงประเภท 4 ที่ป้องกันกดเบรกหรือเซลล์หุ่นยนต์เชื่อมต่อผ่านเอาต์พุต OSSD เข้ากับรีเลย์นิรภัยโดยตรง งบประมาณเวลาตอบสนองที่นี่มีจำกัด - ม่านความละเอียด 14 มม. โดยทั่วไปที่จับคู่กับรีเลย์จะต้องได้รับการตอบสนองของระบบทั้งหมดต่ำกว่า 30 มิลลิวินาที เพื่อให้การคำนวณระยะทางที่ปลอดภัยใช้ได้
เสื่อนิรภัย- แผ่นไวต่อแรงกด-รอบๆ เครื่องจัดเรียงพาเลทหรือเครื่องพันจะส่งสัญญาณรีเลย์เมื่อผู้ปฏิบัติงานก้าวเข้าสู่โซนอันตราย การเดินสายแบบช่องสัญญาณคู่-เป็นสิ่งจำเป็นในการตรวจจับความผิดปกติของแผ่นรอง
สถานีควบคุมด้วยมือสอง-- ใช้กับเครื่องอัดแบบกลไกและเครื่องปั๊ม โดยต้องกดทั้งสองปุ่มโดยห่างจากกันไม่เกิน 0.5 วินาที รีเลย์นิรภัยบังคับใช้การสั่งงานแบบซิงโครนัสและป้องกัน-การบายพาสด้วยมือเดียว
การเปิดใช้งานสวิตช์- สาม-อุปกรณ์วางตำแหน่งที่ผู้ปฏิบัติงานถือไว้ระหว่างโหมดสอนบนหุ่นยนต์ การคลายหรือตื่นตระหนก-การกดสวิตช์จะทำให้รีเลย์ตัดกระแสไฟ
จากการวิเคราะห์ในปี 2022 โดยสำนักงานสถิติแรงงานแห่งสหรัฐอเมริกา การสัมผัสกับเครื่องจักรคิดเป็นประมาณ 13% ของการเสียชีวิตในสถานที่ทำงานทั้งหมดในการผลิต - ซึ่งตอกย้ำว่าเหตุใดการใช้งานรีเลย์ความปลอดภัยแต่ละรายการในสถานการณ์การป้องกันเครื่องจักรจึงต้องการการออกแบบที่เข้มงวดมากกว่าที่จะปฏิบัติตามที่คิดไว้ในภายหลัง
การเดินสายไฟรีเลย์เพื่อความปลอดภัยสำหรับ-ตัวหยุด ม่านแสง และประตูนิรภัย
ทั้งหมดการประยุกต์ใช้รีเลย์ความปลอดภัยในการป้องกันเครื่องจักรใช้โครงกระดูกร่วมกัน - อินพุตช่องสัญญาณคู่- ลูปป้อนกลับ และวงจรรีเซ็ต - แต่โทโพโลยีการเดินสายจะเปลี่ยนไป ขึ้นอยู่กับว่าคุณกำลังเชื่อมต่อจุดหยุด E- ม่านแสง หรือประตูนิรภัยที่เชื่อมต่อกัน การกำหนดเทอร์มินัลผิดพลาดเป็นวิธีที่เร็วที่สุดในการเอาชนะฟังก์ชันความปลอดภัยที่ดีอย่างสมบูรณ์แบบ
การเดินสายอินพุตช่องคู่-
ปุ่มหยุด -ใช้หน้าสัมผัสแบบปิดปกติ (NC) ที่ต่อสายเข้ากับช่อง S11/S12 และ S21/S22 บนโมดูลรีเลย์ส่วนใหญ่ (Allen-Bradley 440R, Pilz PNOZ หรือ Sick UE10) ทั้งสองช่องจะต้องเปิดพร้อมกัน เวลาความคลาดเคลื่อนที่เกินประมาณ 500 ms จะทำให้เกิดการล็อคข้อผิดพลาด ม่านแสงมีความแตกต่างกัน: เอาต์พุต OSSD (อุปกรณ์เปลี่ยนสัญญาณเอาต์พุต) มีสถานะทึบ- โดยส่งสัญญาณทดสอบแบบพัลส์ 24 V DC สาย OSSD1 → S11 และ OSSD2 → S21 ทำให้สายเคเบิลยาวไม่เกิน 30 ม. เพื่อหลีกเลี่ยงการลดทอนสัญญาณ สวิตช์ประตูนิรภัย - แม่เหล็กหรือลิ้น-ประเภท - สะท้อนถึงโทโพโลยีหยุด E- แต่เพิ่มเอาต์พุตล็อคโซลินอยด์ที่รีเลย์จะจ่ายพลังงานหลังจากการเคลื่อนไหวที่เป็นอันตรายหยุดแล้วเท่านั้น
ตัวเลือกการวนซ้ำข้อเสนอแนะและรีเซ็ต
ต่อสายหน้าสัมผัส NC เสริมจากคอนแทคเตอร์ภายนอกแต่ละตัว (K1, K2) กลับเข้าไปในขั้วต่อป้อนกลับของรีเลย์ (Y1–Y2) เสมอ นี้อีดีเอ็ม(การตรวจสอบอุปกรณ์ภายนอก) ลูปจับปลายคอนแทคเตอร์แบบเชื่อม - โหมดความล้มเหลวที่รับผิดชอบในการประมาณการ23% ของความผิดพลาดด้านความปลอดภัย-ของวงจรตามข้อมูลวิศวกรรมความปลอดภัย SICK
สำหรับป้าย E- และประตูนิรภัย ให้ใช้ตรวจสอบการรีเซ็ตด้วยตนเอง- ปุ่มกดชั่วขณะระหว่างเทอร์มินัล S33 และ S34 - ทำให้เครื่องไม่สามารถรีสตาร์ทโดยไม่มีใครดูแลได้ ในทางตรงกันข้าม วงจรม่านแสงมักจะอนุญาตให้รีสตาร์ทอัตโนมัติ (จัมเปอร์ S33–S34) เมื่อผู้ปฏิบัติงานวนเข้าและออกจากโซนการตรวจจับอย่างรวดเร็ว ข้ามการรีสตาร์ทอัตโนมัติบนประตู ISO 14119 ไม่สนับสนุนอย่างชัดเจนสำหรับยามที่เชื่อมต่อกัน
เคล็ดลับสำหรับมืออาชีพ: ติดป้ายกำกับคู่สาย-ช่องคู่ทุกคู่ด้วยสีปลอกโลหะที่ตรงกัน ในระหว่างการทดสอบความถูกต้อง คุณจะต้องแยกแต่ละช่องสัญญาณโดยแยกจากกัน - รหัสสีช่วยลดเวลาในการแก้ไขปัญหาลงครึ่งหนึ่ง
ทีละขั้นตอน-ตัวอย่าง{1}}ของวงจรรีเลย์นิรภัยสำหรับประตูป้องกันที่เชื่อมต่อกัน
นี่คือการออกแบบอ้างอิงที่เป็นรูปธรรมและทำซ้ำได้สำหรับการประยุกต์ใช้รีเลย์ความปลอดภัยในการป้องกันเครื่องจักร- ประตูป้องกันแบบบานพับโดยเฉพาะบนเซลล์กัด CNC ที่ได้รับการจัดอันดับเป็น PLd / หมวดหมู่ 3 ตาม ISO 13849-1
การเลือกส่วนประกอบ
สวิตช์ล็อค:อินเตอร์ล็อคแบบลิ้น Schmersal AZM 161- (หน้าสัมผัสนิรภัย NC 2 อัน + 1 ไม่มีอุปกรณ์เสริม) ใช้งานได้ 2 ล้านครั้ง
โมดูลรีเลย์ความปลอดภัย:Pilz PNOZ s5 - อินพุตช่อง- คู่, เอาต์พุต NO เพื่อความปลอดภัย 2 ช่อง, อุปกรณ์เสริม NC หนึ่งช่องสำหรับการวินิจฉัย
คู่คอนแทค:คอนแทคเตอร์ Siemens 3RT2 สองตัวที่มีหน้าสัมผัสกระจกถูกป้อนกลับเข้าไปในลูปป้อนกลับของรีเลย์ความปลอดภัย (เทอร์มินัล Y1–Y2)
ลำดับการเดินสายไฟ
ต่อสายหน้าสัมผัส NC1 ของลูกโซ่เข้ากับช่องสัญญาณ 1 ของรีเลย์ (S11–S12) และ NC2 ไปยังช่อง 2 (S21–S22)อย่าเชื่อมโยงทั้งสองช่องทางจากผู้ติดต่อรายเดียว- การทำเช่นนี้จะเอาชนะความซ้ำซ้อนและละเมิดสถาปัตยกรรมหมวดหมู่ 3
เชื่อมต่อเอาต์พุตด้านความปลอดภัย PNOZ s5 (13–14, 23–24) เข้ากับคอยล์ของคอนแทคเตอร์แต่ละตัวตามลำดับ
กำหนดเส้นทางหน้าสัมผัสกระจกจากคอนแทคเตอร์ทั้งสองกลับไปยังอินพุตป้อนกลับของรีเลย์ (Y1–Y2) นี่เป็นการบังคับให้รีเลย์ตรวจสอบคอนแทคเตอร์ทั้งสองหลุดออกจริง ๆ ก่อนที่จะอนุญาตการรีเซ็ต
ต่อปุ่มรีเซ็ตด้วยตนเองเข้ากับ S33–S34 เลือกตรวจสอบการรีเซ็ตด้วยตนเอง- ผู้ปฏิบัติงานจะต้องปล่อยและกดปุ่ม เพื่อป้องกันไม่ให้ปุ่มบายพาสติด-
การตรวจสอบการว่าจ้าง
เปิดประตูป้องกันและยืนยันว่าคอนแทคเตอร์ทั้งคู่เลิก-จ่ายไฟภายใน 20 ms จากนั้นตรวจสอบว่ารีเลย์ปฏิเสธที่จะรีเซ็ตหากคุณยกเลิกการเชื่อมต่อหนึ่งช่องสัญญาณ - ซึ่งพิสูจน์ว่าการตรวจจับข้อผิดพลาดข้าม-ทำงานได้ ตามหลักเกณฑ์ด้านความปลอดภัยของเครื่องจักรของ Pilz โดยประมาณ37% ของยาม-ขัดข้องด้านความปลอดภัยที่ประตูติดตามกลับไปยังการเดินสายป้อนกลับที่ไม่ถูกต้อง ดังนั้นให้ทดสอบลูปนี้สองครั้ง
เคล็ดลับสำหรับมือโปร: ติดป้ายกำกับสายไฟทุกเส้นด้วยชื่อขั้วต่อก่อนกำลังเปิดเครื่อง สายตอบรับที่ติดป้ายกำกับผิดจะไม่สะดุดระหว่างการทำงานปกติ - แต่จะล้มเหลวเมื่อคุณต้องการมันจริงๆ เท่านั้น
การเลือกรีเลย์นิรภัยที่เหมาะสมตามข้อกำหนด PLr และ SIL
ผลลัพธ์การประเมินความเสี่ยงของคุณ - ระดับประสิทธิภาพที่ต้องการ (PLr) ต่อ ISO 13849-1 หรือระดับความสมบูรณ์ด้านความปลอดภัย (SIL) ต่อ IEC 62061 - เป็นอินพุตเดียวที่สำคัญที่สุดในการเลือกรีเลย์ความปลอดภัย เมื่อทำสิ่งนี้ผิดพลาด และการใช้งานรีเลย์ความปลอดภัยทั้งหมดในการป้องกันเครื่องจักรจะล้มเหลวบนกระดาษก่อนที่จะเกิดข้อผิดพลาดในภาคสนาม
การแมปสถาปัตยกรรมหมวดหมู่กับระดับประสิทธิภาพ
ISO 13849-1 กำหนดสถาปัตยกรรมหมวดหมู่ห้าประเภท (B, 1, 2, 3, 4) แต่ละประเภทกำหนดข้อกำหนดด้านความซ้ำซ้อนและการวินิจฉัย ความเข้าใจผิดที่พบบ่อย: หมวดหมู่เพียงอย่างเดียวไม่ได้กำหนด PL คุณยังต้องการเวลาเฉลี่ยสู่ความล้มเหลวที่เป็นอันตราย (MTTFd)และความคุ้มครองการวินิจฉัย (DC). ตัวอย่างเช่น รีเลย์ประเภท 3 ที่มี MTTFd "สูง" (30–100 ปีต่อช่องสัญญาณ) และ DC มากกว่าหรือเท่ากับ 90% สามารถเข้าถึง PL d - แต่ลด DC ต่ำกว่า 60% และคุณติดอยู่ที่ PL c
เคล็ดลับที่ใช้งานได้จริง: รีเลย์ความปลอดภัย-ช่องสัญญาณคู่ส่วนใหญ่จาก Pilz, SICK หรือ Allen-Bradley ได้เผยแพร่ PL และ SIL ที่สามารถทำได้ในเอกสารข้อมูลโดยตรงแล้ว ข้าม-ตรวจสอบค่าที่ระบุของรีเลย์กับ PLr ของคุณก่อนที่จะประเมินสิ่งอื่นใด - ซึ่งจะช่วยประหยัดเวลาในการคำนวณ SISTEMA
ความเท่าเทียมกันของ SIL และ PL
| ซิล (IEC 62061) | PL โดยประมาณ (ISO 13849-1) | หมวดหมู่ทั่วไป |
|---|---|---|
| ซิล 1 | พีแอล ซี | แมว. 2 หรือแมว. 3 |
| ซิล 2 | พีแอล ดี | แมว. 3 |
| ซิล 3 | พีแอล อี | แมว. 4 |
ประมาณ 78% ของแอปพลิเคชันการปกป้องเครื่องจักรอุตสาหกรรมลงจอดที่ PLr d / SIL 2 ตามข้อมูลที่รวบรวมโดยไลบรารีอ้างอิงมาตรฐานของ Pilz นั่นหมายถึงรีเลย์ประเภท 3 ที่มีหน้าสัมผัสบังคับ- และความครอบคลุมในการวินิจฉัยมากกว่าหรือเท่ากับ 90% จะจัดการกับการใช้งานรีเลย์ความปลอดภัยส่วนใหญ่ในการป้องกันเครื่องจักร - โดยไม่ต้องเสียค่าใช้จ่ายระดับพรีเมียมของฮาร์ดแวร์ Cat. 4
สิ่งที่ต้องตรวจสอบในเอกสารข้อมูล
การเรียกร้อง PL / SIL ที่ระบุ- ต้องมีการอ้างอิงใบรับรอง (เช่น หมายเลขรายงาน TÜV)
ค่า B10dสำหรับหน้าสัมผัสระบบเครื่องกลไฟฟ้า - กำหนดวิธีที่ MTTFd ปรับขนาดด้วยความถี่การสลับ
เวลาตอบสนอง- วิกฤตสำหรับการใช้ม่านแสง-ซึ่งระยะการหยุดขึ้นอยู่กับความล่าช้าของรีเลย์ (มักจะ 15–25 ms)
จำนวนเอาต์พุตด้านความปลอดภัย- Cat. 3/4 ต้องการเส้นทางการปิดระบบอิสระอย่างน้อยสองเส้นทาง
ข้ามรีเลย์ที่แสดงเฉพาะหมายเลขหมวดหมู่โดยไม่มีระดับ PL หรือ SIL ที่ได้รับการรับรอง หมวดหมู่เป็นคำอธิบายทางสถาปัตยกรรม ไม่ใช่คำกล่าวอ้างด้านความปลอดภัย - ซึ่งผู้ตรวจสอบความแตกต่างจับได้ทันที
รีเลย์นิรภัยและตัวควบคุมความปลอดภัย - เมื่อใดจึงควรใช้อย่างละอย่าง
รีเลย์นิรภัยแบบสแตนด์อโลนจัดการฟังก์ชันความปลอดภัยหนึ่งหรือสองฟังก์ชันได้อย่างยอดเยี่ยม - วงจรหยุด E- ที่นี่ และตัวป้องกัน-ล็อคประตูอยู่ที่นั่น แต่เมื่อเครื่องของคุณต้องการฟังก์ชันความปลอดภัยแบบแยกส่วน 6, 8 หรือ 12 ฟังก์ชัน การเดินสายไฟโมดูลรีเลย์แต่ละตัวจะกลายเป็นการเชื่อมต่อแบบกากบาทของหนู- และการแก้ปัญหาจะกลายเป็นการคาดเดา นั่นคือจุดครอสโอเวอร์ที่ตัวควบคุมความปลอดภัยแบบตั้งโปรแกรมได้จะมีต้นทุนระดับพรีเมียม
ปัจจัยการตัดสินใจโดยสรุป
| เกณฑ์ | รีเลย์ความปลอดภัยแบบสแตนด์อโลน | เจ้าหน้าที่ควบคุมความปลอดภัย / บมจ.รักษาความปลอดภัย |
|---|---|---|
| ฟังก์ชั่นความปลอดภัยทั่วไป | 1–3 ต่อโมดูล | 12–128+ ต่อหน่วย |
| ต้นทุนต่อหน่วย (โดยประมาณ) | $80–$350 ต่ออัน | $1,500–$6,000+ หน่วยฐาน |
| วิธีการกำหนดค่า | สวิตช์ DIP / เดินสาย | ซอฟต์แวร์ (เช่น Siemens TIA Portal Safety, Rockwell Studio 5000 Safety) |
| การวินิจฉัย | สถานะ LED เท่านั้น | บันทึกข้อผิดพลาดโดยละเอียด เครือข่าย-สามารถเข้าถึงได้ |
| ความสามารถในการขยายขนาด | เพิ่มอีกโมดูลต่อฟังก์ชัน | เพิ่มการ์ดเอ็กซ์แพนชัน I/O |
| พอดีที่สุด | เครื่องสถานีเดี่ยว- การปรับปรุงเพิ่มเติม | เซลล์หลาย-โซน เซลล์ทำงานแบบหุ่นยนต์ สายการผลิต |
จุดครอสโอเวอร์ที่ใช้งานได้จริง
หลักปฏิบัติต่อไปนี้ใช้ได้กับโปรเจ็กต์จริง: เมื่อเครื่องจักรหรือเซลล์หนึ่งมีฟังก์ชันความปลอดภัยอิสระเกินสี่ถึงห้าฟังก์ชัน ค่าใช้จ่ายรวมของโมดูลรีเลย์ความปลอดภัยแต่ละตัว - รวมถึงค่าเดินสายไฟ พื้นที่แผง และข้อจำกัดในการวินิจฉัย - โดยทั่วไปแล้วจะเกินกว่าการลงทุนในตัวควบคุมความปลอดภัยขนาดกะทัดรัด เช่น Pilz PNOZmulti 2 หรือ Allen-Bradley GuardLogix ตามหลักเกณฑ์ทางวิศวกรรมของ Pilz การรวมรีเลย์แบบสแตนด์อโลนแปดตัวเข้ากับคอนโทรลเลอร์ที่กำหนดค่าได้ตัวเดียวสามารถลดความพยายามในการเดินสายไฟได้สูงสุดถึง 40%
อย่าใช้วิธีแก้ปัญหาที่ใหญ่กว่าจนเป็นนิสัย สำหรับการประยุกต์ใช้รีเลย์ความปลอดภัยที่ตรงไปตรงมาในการป้องกันเครื่องจักร - เช่น E-stop หนึ่งตัวบวกหนึ่งตัวป้องกันที่เชื่อมต่อกัน - โมดูลรีเลย์เฉพาะมีราคาถูกกว่า เริ่มดำเนินการได้เร็วกว่า และง่ายกว่าสำหรับช่างเทคนิคการบำรุงรักษาที่จะเข้าใจโดยไม่ต้องใช้ซอฟต์แวร์พิเศษ ความซับซ้อนควรปรับให้เหมาะสมกับเครื่องมือ ไม่ใช่อย่างอื่น
เคล็ดลับสำหรับมือโปร: หากการประเมินความเสี่ยงของคุณระบุการทำงานในระดับประสิทธิภาพที่แตกต่างกัน (เช่น PLd สำหรับประตูยาม PLe สำหรับม่านแสง) ตัวควบคุมความปลอดภัยจะช่วยให้คุณสามารถกำหนดความสมบูรณ์ด้านความปลอดภัยที่แตกต่างกันให้กับแต่ละช่องสัญญาณในซอฟต์แวร์ - บางอย่างที่ต้องใช้โมดูลรีเลย์แยกกันและการแยกวงจรอย่างระมัดระวังในลักษณะเดินสาย
ข้อผิดพลาดทั่วไปเมื่อรวมรีเลย์ความปลอดภัยเข้ากับวงจรป้องกัน
แม้แต่วิศวกรควบคุมที่มีประสบการณ์ก็ยังทำข้อผิดพลาดซึ่งทำให้ระบบรีเลย์ความปลอดภัยในการป้องกันเครื่องจักรเสื่อมประสิทธิภาพลงอย่างเงียบๆ การวิเคราะห์ OSHA ของการอ้างอิงการป้องกันเครื่องจักรจะจัดอันดับการรวมการป้องกันที่ไม่เหมาะสมท่ามกลางการละเมิดอันดับต้น ๆ - อย่างสม่ำเสมอ และข้อผิดพลาดในการเดินสายไฟภายในวงจรความปลอดภัยเป็นสาเหตุที่แท้จริงที่เกิดขึ้นซ้ำ ๆ
ข้าม Feedback Loop (EDM)
การกระโดดอินพุตการตรวจสอบอุปกรณ์ภายนอก (EDM) ไปยังสัญญาณสูงถาวรเป็นทางลัดที่อันตรายที่สุดเพียงวิธีเดียว หากไม่มี EDM คอนแทคเตอร์เอาต์พุตแบบเชื่อมจะไม่ถูกตรวจพบ และรีเลย์จะ-จ่ายพลังงานให้กับเครื่องจักรที่ไม่สามารถหยุดได้อีกต่อไปอย่างมีความสุข ต่อสายหน้าสัมผัส NC เสริมของคอนแทคเตอร์เอาท์พุตทุกตัวกลับเข้าไปในเทอร์มินัล EDM เสมอ
การใช้คอนแทคเตอร์มาตรฐานกับเอาต์พุตด้านความปลอดภัย
คอนแทคเตอร์แบบไม่-บังคับ-สามารถเชื่อมทั้งหน้าสัมผัส NO และ NC ได้พร้อมกัน เอาชนะตรรกะป้อนกลับโดยสิ้นเชิง คอนแทคเตอร์แบบบังคับ- (หรือที่เรียกว่า "หน้าสัมผัสแบบมิเรอร์") ตาม IEC 61810-3 รับประกันการเชื่อมโยงทางกล - ถ้าหน้าสัมผัส NO มีการเชื่อม หน้าสัมผัส NC จะไม่สามารถปิดทางกายภาพได้ ข้ามการประหยัดต้นทุน ใช้คอนแทคเตอร์ที่ได้รับการจัดอันดับ
การเดินสายช่องสัญญาณคู่-ไม่ถูกต้อง
การกำหนดเส้นทางทั้งสองช่องผ่านถาดสายเคเบิลหรือท่อร้อยสายเดียวกันทำให้เกิด-เส้นทางที่ทำให้เกิดความล้มเหลวร่วมกัน การลัดวงจรระหว่างตัวนำเพียงครั้งเดียวสามารถเชื่อมช่องสัญญาณ 1 กับช่อง 2 ได้ หลอกให้รีเลย์เห็นอินพุตที่ดีต่อสุขภาพสองตัว การแยกเส้นทาง - หรือตัวนำหุ้มฉนวนขั้นต่ำพร้อมฟิวส์อิสระ - ช่วยลดความเสี่ยงนี้
ละเลยการทดสอบการพิสูจน์เป็นระยะ
การคำนวณ ISO 13849-1 จะใช้ช่วงการทดสอบการพิสูจน์ที่กำหนดไว้ โดยปกติทุกๆ 12 เดือนสำหรับแอปพลิเคชัน PLe การพลาดช่วงเวลาดังกล่าวจะทำให้ PFH ที่แท้จริงของคุณเสื่อมลงdเกินกว่าค่าที่ได้รับการรับรอง ทำให้การอ้างสิทธิ์ระดับประสิทธิภาพบนกระดาษและในทางปฏิบัติถือเป็นโมฆะ
โหมดรีเซ็ตความเข้าใจผิด
การกำหนดค่าการรีเซ็ตด้วยตนเองที่ได้รับการตรวจสอบเป็นการรีสตาร์ทอัตโนมัติจะทำให้เครื่องจักรเคลื่อนไหวโดยไม่คาดคิดหลังจากการปิดประตูป้องกัน โหมดรีเซ็ตจะต้องตรงกับการประเมินความเสี่ยง - การรีสตาร์ทอัตโนมัตินั้นยอมรับได้ก็ต่อเมื่อ- การกลับเข้าไปใหม่นั้นเป็นไปไม่ได้ทางกายภาพก่อนที่โซนอันตรายจะเคลียร์
คำถามที่พบบ่อยเกี่ยวกับการใช้งานรีเลย์เพื่อความปลอดภัยในการป้องกันเครื่องจักร
รีเลย์ความปลอดภัยสามารถทำงานโดยไม่มี PLC ได้หรือไม่?
อย่างแน่นอน. รีเลย์นิรภัยแบบเดินสายทำงานโดยเป็นอิสระจากตัวควบคุมแบบตั้งโปรแกรมได้ ตรรกะภายในของรีเลย์ - บังคับ-หน้าสัมผัสแบบบังคับ การตรวจจับข้อผิดพลาดแบบข้าม- รีเซ็ตการตรวจสอบ - ทำหน้าที่เป็นลูปความปลอดภัยในตัวเอง- เครื่องจักรขนาดเล็กจำนวนมากทำงานบนรีเลย์ความปลอดภัยโดยเฉพาะโดยไม่เกี่ยวข้องกับ PLC เลย ซึ่งทำให้การตรวจสอบความถูกต้องง่ายขึ้นเนื่องจากไม่มีซอฟต์แวร์ให้ตรวจสอบ
รีเลย์ความปลอดภัยควรผ่านการทดสอบการพิสูจน์บ่อยแค่ไหน?
ISO 13849-1 ถือว่าช่วงการทดสอบการพิสูจน์ที่ส่งผลโดยตรงต่อระดับประสิทธิภาพที่คุณได้รับ สำหรับการใช้งาน PLd และ PLe ส่วนใหญ่ ผู้ผลิตเช่น Pilz และ Schmersal แนะนำให้ทำการทดสอบการพิสูจน์การทำงานเป็นอย่างน้อยปีละครั้ง. สภาพแวดล้อมที่มีความต้องการสูงบางแห่ง - เครื่องปั๊ม เซลล์หุ่นยนต์ - ทดสอบทุกไตรมาส การข้ามการทดสอบพิสูจน์อาจทำให้ความครอบคลุมในการวินิจฉัย (DC) ของคุณลดลงต่ำกว่าค่าที่สมมติในการคำนวณ ISO 13849-1 ของคุณ ส่งผลให้ความสมบูรณ์ด้านความปลอดภัยที่แท้จริงของคุณลดลง
รีเลย์นิรภัยตัวเดียวสามารถตรวจสอบประตูยามหลายบานได้หรือไม่
ในทางเทคนิคแล้ว ใช่ - คุณสามารถต่อสวิตช์อินเทอร์ล็อกสองตัวต่ออนุกรมกันเป็นรีเลย์ช่องคู่- ตัวเดียวได้ แต่การทำเช่นนั้นหมายถึงการเปิดทั้งdoor de-รวมพลังเอาต์พุตเดียวกัน และคุณจะสูญเสีย-การวินิจฉัยข้อผิดพลาดของประตูแต่ละบาน สำหรับ PLr d หรือสูงกว่า ให้ใช้รีเลย์หนึ่งตัวต่อประตูป้องกัน ค่าใช้จ่ายที่แตกต่างกันเล็กน้อยเมื่อเทียบกับความชัดเจนในการวินิจฉัยที่คุณได้รับ
จะเกิดอะไรขึ้นเมื่อรีเลย์ความปลอดภัยตรวจพบข้อผิดพลาด?
รีเลย์จะล็อกเอาท์พุตด้านความปลอดภัยไว้ในสถานะเปิด (เลิก-จ่ายไฟ) และปฏิเสธที่จะรีเซ็ตจนกว่าข้อผิดพลาดจะหมดไป การเชื่อมขวาง-บนช่องหน้าสัมผัสช่องเดียว ความผิดปกติของกราวด์ หรือความคลาดเคลื่อนของเวลาระหว่างช่องสัญญาณคู่ ล้วนกระตุ้นให้เกิดการล็อกนี้ หน้าสัมผัสตรวจสอบเสริม (โดยทั่วไปจะมีป้ายกำกับ 13-14) จะสลับเพื่อส่งสัญญาณความผิดปกติไปยัง PLC หรือ HMI ของคุณเพื่อการวินิจฉัย
คุณจะตรวจสอบได้อย่างไรว่ารีเลย์นิรภัยทำงานอย่างถูกต้อง?
ทริกเกอร์อุปกรณ์อินพุตแต่ละตัว - เปิดการ์ด กด -หยุด - และยืนยันว่าเครื่องหยุดจริงภายในเวลาตอบสนองที่ต้องการ จากนั้นตรวจสอบสถานะหน้าสัมผัสเสริมด้วยมัลติมิเตอร์ อย่าเพิ่งเชื่อถือไฟ LED แสดงสถานะ; วัดสถานะการติดต่อจริง บันทึกการทดสอบทุกครั้งด้วยวันที่ ชื่อผู้ทดสอบ และเวลาตอบสนองที่วัดได้
รวบรวมทั้งหมดไว้ด้วยกัน - สิ่งที่นำไปใช้ได้จริงสำหรับโครงการปกป้องเครื่องจักรของคุณ
การใช้งานรีเลย์ความปลอดภัยที่ประสบความสำเร็จทุกครั้งในการปกป้องเครื่องจักรแบ่งออกเป็นสามขั้นตอน: ระบุอย่างถูกต้อง ป้องกันสายไฟ และตรวจสอบอย่างละเอียด ข้ามข้อใดข้อหนึ่งและคุณเสี่ยงที่จะเข้าร่วมโดยประมาณ18% ของการบาดเจ็บที่เกี่ยวข้องกับเครื่องจักร-OSHA ถือว่ามีการป้องกันที่ไม่เพียงพอหรือเลี่ยงผ่าน
รายการตรวจสอบเบื้องต้น-การว่าจ้างของคุณ
ทำการประเมินความเสี่ยงให้เสร็จสิ้นก่อนใช้ ISO 12100 เพื่อระบุอันตราย จากนั้นรับระดับประสิทธิภาพ (PLr) ที่คุณต้องการตาม ISO 13849-1 หรือ SIL ตาม IEC 62061
จับคู่รีเลย์กับ PLr/SILอย่าถือว่ารีเลย์ "ครอบคลุมทุกอย่าง" - ตรวจสอบค่า B10d และความครอบคลุมในการวินิจฉัยกับการคำนวณ SISTEMA หรือ PAScal ของคุณ
ใช้การเดินสาย-ช่องสัญญาณคู่พร้อมการตรวจสอบข้อผิดพลาดข้าม-เดินสายช่อง A และช่อง B ในถาดเคเบิลหรือท่อร้อยสายแยกกัน เพื่อป้องกัน-สาเหตุทั่วไปของการลัดวงจร
ต่อสายลูปป้อนกลับ (EDM) กลับผ่านหน้าสัมผัสเสริมบนคอนแทคเตอร์ทุกตัวไดรฟ์เอาท์พุตด้านความปลอดภัย การไม่มี EDM หมายความว่าไม่มีคอนแทคเตอร์-การตรวจจับการเชื่อม
ติดป้ายกำกับทุกเทอร์มินัล บันทึกทุกการเชื่อมต่อแผนภาพการเดินสายไฟที่ถูกล็อคไว้ในตู้นั้นไร้ประโยชน์ - เก็บสำเนาดิจิทัลที่เชื่อมโยงกับ CMMS ของคุณ
ทำการทดสอบการทำงานภายใต้ภาระงานก่อนดำเนินการผลิตครั้งแรก: ตัดการทำงานของอุปกรณ์อินพุตแต่ละตัว ยืนยันว่าเครื่องจักรหยุดจริงภายในเวลาหยุดที่คำนวณไว้
กำหนดเวลาการทดสอบการพิสูจน์เป็นระยะสถาปัตยกรรมประเภท 4 / PL e ยังคงต้องมีช่วงเวลาการตรวจสอบ - โดยทั่วไปทุกๆ 12 เดือนหรือตามคำแนะนำของผู้ผลิต
แนะนำขั้นตอนถัดไป
หากคุณระบุรีเลย์นิรภัยเป็นครั้งแรก ให้เริ่มต้นด้วยวงจรหยุด E- วงจรเดียว ตรวจสอบความถูกต้องตั้งแต่ต้นทาง-ถึง- จากนั้นจึงขยายเป็นประตูป้องกันและม่านแสง ศึกษาหมายเหตุการใช้งานของผู้ผลิตรีเลย์ของคุณ - Pilz, SICK และ Allen-Bradley ล้วนเผยแพร่ตัวอย่างการเดินสายไฟฟรีสำหรับสถานการณ์การป้องกันแต่ละแบบโดยเฉพาะ การลงมือปฏิบัติจริง-นั้นสร้างความมั่นใจที่ไม่มีเอกสารข้อมูลเพียงอย่างเดียวสามารถให้ได้