可変速ドライブの機械安全機能
電子機器の安全機能の一般原則
このブログでは、機械の安全機能における可変速ドライブの使用について紹介しています。これは、ACインバータードライブに精通しているが、安全関連の制御システムにはあまり精通していない人を支援することを目的としています。読者が原則を理解し、安全関連システムについて入手できる大量の詳細な資料にアクセスするのに役立つはずです。
「機能安全」という用語は、電気、電子、またはプログラム可能な機器を使用して、人間の安全に影響を与える機能を実行する場合に適用されます。これは、鉄道信号や、事故の際に多くの人が危険にさらされる可能性のある大規模なプロセスプラントの監視と制御など、さまざまなアプリケーションを含む大きなトピックです。ただし、ドライブアプリケーションで最も一般的には、ある種の機械を指します。この場合、制御システムを使用して、人が機械の操作によって怪我をする危険性がある状況を防ぐことができます。簡単な例は、機械の一部にアクセスするために頻繁に開く必要がある安全バリアですが、開いているときは機械が動作できないようにする必要があります。センサーとアクチュエーターのシステムは、バリアの状態を検出して機械を制御するように設計できます。
PLCやデジタルVSDなどのインテリジェントなプログラマブル機器が利用できるため、安全システムはこの例よりも柔軟でインテリジェントになり、安全性を維持しながら柔軟な操作が可能になります。たとえば、バリアが開いているとき、おそらく資格のある人が特別な安全キーを操作しているとき、またはその人の顔が認識されているとき、またはその他の予防措置を条件として、低速での操作を継続できる可能性があります。
障害モード
安全機能の重要な要素は、機能の信頼性が、単純な電気、電子、またはプログラム可能な機器によって達成できるよりもかなり優れている必要があるということです。従来の電気回路または電子回路の品質がどれほど優れていても、一部のコンポーネントの障害が発生して、必要な安全機能を実行できなくなる可能性がありますが、障害は明らかになりません。したがって、安全機能用のハードウェアは、セルフテストまたは「フェイルセーフ」機能が組み込まれた設計にする必要があります。製品開発中に、ハードウェア障害の影響を障害モードおよび影響分析(FMEA)および潜在的に危険な障害モードで分析する必要があります。設計上、非常に低いレベルに減らす必要があります。 PFH Dの典型的なターゲット (危険な方向での障害の確率)整合性レベルSIL3の場合、10 -8 1時間あたり、つまり10、000年に1回未満の故障率。このような低い故障率は、常に電子制御システムに特別な構造を必要とします。ここでは、平均余命ではなく、機器の意図された動作寿命中に発生するランダムな障害を指していることに注意してください。システムの意図された寿命内に既知の摩耗メカニズムを備えた部品は、計画されたメンテナンスによって管理できます。
制御構造
ドライブを含むほとんどのアプリケーションでは、固定機械の安全性に取り組んでおり、最も一般的なオプションは、安全機能に2つの独立したチャネルを使用し、不一致が発生した場合にドライブが停止するようにクロスチェックを配置することです。駆動トルクが停止します。ほとんどのマシンでは、これにより安全な状態になります。ドライブなしで重力下で動くことができるホイストのような機械の場合、ドライブトルクがなくなったときに危険を引き起こさないように対策を講じる必要があります。
図1は、「2分の1」または1oo2システムとも呼ばれる基本的な2チャネル安全システムを示しています。つまり、2つのチャネルの1つが停止を要求すると、マシンが停止します。これは、機械の安全制御システムの最も一般的な配置です。センサーまたは信号調整プロセッサーのいずれかに障害が発生しても、安全機能が失われることはありません。図1は機能図のみであり、出力の「ANDゲート」は単純な論理チップではないことに注意してください。これは、論理チップに障害が発生した場合に単一点障害メカニズムが導入されるためです。ドライブの2チャネルSTO入力、または単一デバイスの一般的な原因障害が排除されるその他の方法である可能性があります。
灰色で示されている診断機能は、安全を継続するために通常必要です。これがないと、1つのチャネルに障害が発生しても安全機能が失敗することはありませんが、安全でない1つのチャネルでマシンが無期限に動作し続ける可能性があるためです。州。 2回目の障害は、危険な状態につながります。
図1:2つの制御構造のうちの1つ
ソフトウェア/ファームウェア
ファームウェアとソフトウェアを実行する組み込みプロセッサを使用すると、機能安全に新しい次元がもたらされます。ソフトウェアにランダムな障害はありませんが、その複雑さは、すべての条件と一連のイベントで意図したとおりに動作することを保証することが難しいことを意味します。これは、システム全体を「ブラックボックス」としてテストすることでは証明できません。ソフトウェアは、コーディングエラーを回避するための対策を講じて、明確に定義された言語で記述し、モジュールで慎重に構造化して、毎回指定およびテストできるようにする必要があります。ステップ。また、モジュールがプロセッサシステム内の他のアクティビティによって悪影響を受けないことも証明する必要があります。これは、他の非安全コードが同じプロセッサで実行されている場合は困難です。
テスト計画を使用して明確で明確な仕様を作成し、プロセスを完全に文書化するために必要な規律は、コードの記述と完全なシステムの設計の両方に適用されます。
ソフトウェア品質に対する重要な制御の1つは、「限定可変言語」(LVL)と「完全可変言語」(FVL)を区別することです。 LVLは、制限された方法で明確に定義された機能を備えた事前承認済みモジュールの構成に制限されているため、結果は単純な順次テストプログラムでテストできます。 LVLは、完全に厳密な設計プロセスを経たC ++などのFVLを使用して作成され、LVLプログラマーによるアクセスを超えてロックされていました。
ソフトウェアを簡単に変更できるということは、不正な変更の防止を含め、バージョン管理の安全なシステムを導入する必要があることも意味します。
ドライブアプリケーション
単純なシーケンスと出力を制御するための入力の組み合わせで構成される多くの安全機能は、ハードウェア障害やソフトウェアエラーによる危険を防ぐための特別な機能を備えたPLC、つまり「安全PLC」に実装できます。ただし、このような機能をコスト効率よく実装するためにドライブが特に適切に配置されているアプリケーションがあります。
- 駆動の防止–インバーター駆動には、安全チェーンの最終リンクに適合する独自の機能があります。これは、必要なときにモーターにトルクが発生するのを防ぎ、非常に高い整合性を備えています。これはセーフトルクオフ(STO)として定義されています。
- 絶対値または位置の増分などの相対値のいずれかで、トルク、加速度、速度、方向、または位置を含むモーションの範囲を制限します。ドライブはこれらの変数を制御し、多くの場合、それらの正確で応答の速い測定値を持っています。シャフトまたは位置エンコーダを介して、またはおそらくモーターの電圧と電流の動作を観察することによって。これらのドライブ関連機能を、ゲートスイッチやキースイッチなどの機械センサーからの入力用の単純な組み合わせロジックおよびシーケンシャルロジックと組み合わせると、大規模なクラスの安全アプリケーションを実装できます。
機械制御システムの安全関連部品の基準
安全システム設計の厳密な管理と実装の必要性は、関連する国際規格が複雑で密集していることを意味します。このノートでは、機械の安全性に最も関連する規格のいくつかの重要な機能について説明します。
国際規格の前にはISOまたはIECが付いています。欧州のCENELEC規格には、接頭辞ENが付いています。ここではENバージョンを見ていきます。国際フォームでは、同じ番号に異なるプレフィックスが使用されています。 ENバージョンには、EC機械指令の統一規格のステータスがあります。
EN ISO 12100 機械のリスク評価をどのように実行し、必要に応じて安全機能を制御システムに割り当てるかについて説明します。これは、安全関連の制御を正しく設計するための重要な前兆であり、機械設計者の責任です。
EN 61800-5-2 パワードライブシステムの機能安全の基準です。これは、Safe Torque Off(STO)、Safely-limited speed(SLS)など、「指定された安全サブ機能」と呼ばれる、ドライブに特に適した多くの機能[1]を定義します。完全な安全機能はSILによって測定され、1(最低)から3の値を取ることができます。ドライブは完全な安全関連制御システムのサブシステムであるため、これは「SIL機能」と呼ばれます。
EN 62061 は、機械の電気/電子/プログラム可能な制御システムの標準であり、EN61800-5-2と同じSILメトリックを使用します
EN ISO 13849-1 非電気システムを含む機械の制御システムの標準です。パフォーマンスレベル(PL)とカテゴリ(Bから4)という異なるメトリックを使用します。補足規格ENISO 13849-2 「検証」について説明します。これには、どの障害を考慮する必要があり、どの障害を割り引くことができるかに関するガイダンスが含まれます(「障害の除外」)。
安全関連の電気/電子/プログラム可能システムの多くの標準化の基盤は、 EN 61508-です。 #シリーズ、パート1〜7。これらは、機械の制御システムだけでなく、すべてのシステムを対象としているため、それ自体が統一された標準ではありません。
安全性の完全性レベル
特定の安全機能に必要なSILまたはPLは、その機能が軽減しなければならないリスクの程度、つまり、起こりうる怪我の可能性と重大度に関連しています。これを決定するプロセスは、 EN ISO 12100で説明されているマシンのリスク評価から始まります。 。必要なSILまたはPLを導出するためのルールは、 EN 62061に記載されています。 およびENISO 13849-1 。
インバータードライブ(STO)の安全トルクオフ
ドライブが提供できる最も基本的な安全機能はSTOです。誘導モーターを制御するインバータードライブは、モーターにトルクを生成するために、ほとんどのパワー半導体の複雑で適切に制御されたPWMスイッチングパターンでインバーターパワーステージを継続的にアクティブにする必要があるため、この機能に特に適しています。図2に、インバータの基本的な電源構造を示します。
図2:DCリンクインバーターの基本的な電源構造
モーターはトルクを生成するために回転磁界を必要とします。トルクは、出力端子に設定された三相電圧を生成する複雑で明確なスイッチングパターンに従って6つのパワートランジスタによってのみ生成できます。この制御パターンがない場合、インバータへの電源はDCであるため、インバータの電源回路にトルクが発生しやすい故障はありません。最悪の場合の障害は、図2の赤い矢印で示されているように、2つのインバーター脚の反対の極にある2つのトランジスタが意図せずに導通する場合です。または、インバータが破壊された(入力ヒューズまたはブレーカーがクリアされた)。これらはいずれも回転磁界を発生させないため、トルクは発生しません。
永久磁石またはリラクタンスモーターの場合、この最悪の場合の障害により、保護装置が作動するまで一時的な調整トルクが発生します。限界では、モーターはPMモーターの場合は1極ピッチ、リラクタンスモーターの場合は半極ピッチで回転する可能性があります。
インバーター電力段とドライブSTO制御入力の間のインターフェースは、危険な故障の可能性を非常に低く維持するように設計する必要があります。これは、複雑なPWM制御パターンが誤ってインバータートランジスターに渡されたことを意味します。通常、この配置では、ある種の「フェイルセーフ」技術が使用されます。これにより、インバータ自体と同様に、あらゆる種類のコンポーネントに障害が発生すると、「有効」コマンドが失われます。 STO機能を2チャンネルの安全コントローラに簡単に接続できるように、2つの独立したチャンネルが存在する場合があります。
より高度なドライブ安全機能
他のドライブ指定の安全機能のほとんどは、モーター電流や速度などのデータの分析を必要とします。これは通常、マイクロコントローラーに実装され、2番目のコントローラーが入力データと出力データおよびプロセッサーの動作を継続的にクロスチェックします。図3に示されています。常に不一致が検出された結果、STO機能によってドライブが無効になります。
クロスチェックを備えた2つのチャネルを使用することにより、危険な方向でのハードウェア障害の可能性が許容レベルまで低下します。スイッチなどの入力デバイスは、単純な「スタックアット」エラーの検出を可能にするために複製され、チャネル間のより微妙なスニーク障害を検出できるように、多様な電気パルスが供給される場合があります。基本的なインクリメンタルシャフトエンコーダには、2つのパルストラックに90°の位相シフトがあるため、ほとんどの障害を検出できる便利な固有の機能があります。これは、ほとんどのエラーが検出できないパルスシーケンスをもたらすことを意味します。デジタル出力は、ハイ(真)ロジック状態に意図的に保持された出力がまだローになることができるかどうかをテストする通常のテストパルスによってチェックされます。これは、OSSD出力と呼ばれることもあります。
安全機能の正確な要件を定義し、その実装、テスト、および文書化を追跡する最も厳密なプロセスによって、体系的な障害、つまり設計に固有の障害の可能性が許容レベルまで低下します。
完全な機械と安全コンポーネント
安全機能を指定および追跡する厳密なプロセスは、個々のアプリケーションごとに従わなければならず、機械設計者が最終的にこれに責任を負います。機能安全機能を備えたドライブが設計の一部として使用されている場合、それは安全コンポーネントになり、独自の安全要件の仕様と認証は完全なシステムドキュメントの一部になります。
欧州連合内では、この要件は、機械指令2006/42 / ECの形式で法律に組み込まれています。これには、安全コンポーネントが個別に市場に出される場合の定義と要件が含まれています。実際には、これは通常、安全機能を備えたドライブに、機械の安全関連制御システムで使用できるように、独立した政府承認の通知機関によって発行されたECタイプの検査証明書が付属していることを意味します。 STO機能が標準で組み込まれている場合、安全コンポーネントとして使用される場合と使用されない場合があるため、ドライブには、機械指令と低電圧指令に従って、2つの別個のECメーカーの宣言が必要です。
産業技術