A termelőlétesítmények általában olyan üzemek, amelyek több, különálló gépmodulokkal megvalósított technológiai fázisból állnak. Ezeknek az egységeknek a helyi biztonsági funkcióit rendszerint az egyes modulokon belül oldják meg. Ezenfelül az egész üzemben meg kell valósítani a biztonsági információk gépsorok közötti cseréjét, ami például az átfogó vészleállító funkciókhoz szükséges, mivel egy adott modul leállása esetén az előtte és utána lévő sorokat is értesíteni kell a leállásról. A Beckhoff TwinSafe termékcsaládja a Safety-over-EtherCAT protokollon alapuló intelligens biztonsági megoldásokat kínál mind az egyes modulokon belül, mind az egész üzemi hálózat számára.

Korszerű architektúra: biztonsági hálózatok

Számos berendezés kialakításánál még ma is digitális be- és kimeneteken keresztül valósítják meg a készülékek biztonsági összekapcsolását: a biztonsági érzékelők – mint a fényfüggönyök, védőajtó-figyelők vagy kétkezes működtetőeszközök – állapotát nagyszámú értékelőeszköz figyeli, amelyek egy viszonylag rugalmatlan relés logikán keresztül működtetik a biztonsági kimeneteket.

Napjainkban felismerhető egy világos trend, amely szerint a biztonsági szempontból fontos jelek kommunikációs rendszerek használatával kerülnek továbbítására. Az intelligens biztonsági érzékelők, mint a lézerszkennerek vagy a kamerás figyelőrendszerek, valamint a beépített figyelő- és vészleállító funkciókkal rendelkező hajtások biztonsági buszon keresztül csatlakoztathatók a biztonsági vezérlőkhöz. A biztonsági buszrendszer használatával kialakítható architektúrák rendelkezek azokkal az előnyökkel, amelyek már ismerősek lehetnek a szabványos terepibusz-rendszerek bevezetése óta:

• rövid válaszidők és ezen keresztül nagyobb gépbiztonság

• kedvező (csatornaspecifikus) diagnosztikai opciók

• rugalmas bővítési opciók

• világos gépi architektúra.

Ha az átviteli hibák észlelésére szolgáló összes funkciót egy „biztonsági dobozba” zárjuk, az alkalmazott kommunikációs rendszertől függetlenül használhatunk egy biztonsági protokollt. A biztonsági adatátvitelnél nem vesszük figyelembe a kommunikációs rétegnél használt adatbiztonsági intézkedéseket: ezt nevezzük a fekete csatorna elvének. Előnye, hogy a biztonsági szempontból fontos és a normál technológiai adatok ugyanazon a kommunikációs rendszeren keresztül továbbíthatók. Az IEC 61784-3 meghatározza a fekete csatorna elvén alapuló biztonsági kommunikációval szemben támasztott követelményeket és leírja a különböző biztonsági protokollokat.

További előnyök a felhasználóknak

A Safety-over-EtherCAT az IEC 61784-3 által szabványosított egyik ilyen biztonsági protokoll. A Beckhoff TwinSafe termékcsaládja ezt a protokollt használja a biztonsági adatátvitelre. A felhasználó számára ez a megoldás további előnyöket jelent:

• azonos kommunikációs rendszer a normál és a biztonsági szempontból fontos adatoknál

• a biztonsági protokoll vezetése szabványos csatolókon (gateway), rendszerbuszokon és más terepibusz-rendszereken keresztül vagy akár vezeték nélkül is

• decentralizált biztonsági vezérlő használata és a hagyományos PLC megtartása gépvezérlésre * a biztonsági adatok felhasználhatók a normál vezérlőben is

• nagyobb készülékválaszték egy széles körben elterjedt és szabványosított protokoll használatának köszönhetően.

Az EtherCAT I/O rendszerben rendelkezésre álló TwinSafe terminálok maximálisan kihasználják az EtherCAT nagy teljesítményét: ennek eredményeként akár 128 biztonságtechnikai buszkészülék is összekapcsolható az EL6900 biztonsági PLC-vel az EN IEC 61508 szabvány szerinti SIL 3-as, valamint a DIN EN ISO 13849-1 szerinti PLe szintig. Az EL6900 biztonsági PLC egy csupán 12 mm széles, kisméretű házban található.

A biztonsági PLC 256 integrált funkcióblokkal rendelkezik, amelyek az alkalmazástól függően konfigurálhatók vagy programozhatók. 24 VDC digitális bemeneti modulok (EL1904) és 24 VDC digitális kimeneti modulok (EL2902 – 2,3 A és EL2904 – 0,5 A) is rendelkezésre állnak a biztonságtechnikai érzékelők, illetve működtetőszervek bekötéséhez. Az EL6900 biztonsági PLC ezenkívül biztonsági vezérlőként használható a Beckhoff AX5000 szervohajtásokhoz. Ehhez szükséges kiegészítő az AX58xx hajtásbiztonsági kártya, amely a hajtás EtherCAT csatlakozásán keresztül kommunikál a biztonsági vezérlővel.

Üzemi struktúrák

Egy bútorgyártó üzem jó példa egy tipikus moduláris struktúrára: az egyik gépsor új bútorlapokat juttat az üzembe, ahol egy daraboló és egy repülőfűrész vágja méretre a lapokat, majd különböző fúró- és marógépek, valamint élmegmunkáló berendezés dolgozik a lapokon. Ezek a modulok mechanikus kapcsolatban vannak egymással, például görgős futószalagokon keresztül, amelyek a lapokat a palettázó- vagy csomagolóegységekhez továbbítják.

A gépsorok közötti együttműködés – amit egy központi vezérlő irányít, megadva, hogy a szekrény mely elemét kell legyártani – egy egész üzemre kiterjedő hálózaton keresztül valósul meg. Ha a gépsorok ugyanazt a kommunikációs rendszert használják, akkor homogén kommunikációs struktúráról beszélünk. Ha azonban az üzem gépi berendezéseit más és más gyártó szállította, akkor bizonyos körülmények között előfordulhat, hogy gépsoron belül eltérő kommunikációs rendszereket használnak. Ilyenkor heterogén üzemi struktúráról beszélünk.

Biztonsági funkciók a gépmodulokon belül

A gépsorok biztonsági funkcióit általában a modulon belül oldják meg. Ha például egy védőburkolat eltávolításakor le kell állítani a berendezést, a leállítási folyamat során a gépen belül a veszélyes mozgások biztonságosan állnak le (például megáll a fűrészlap). Az érzékelőktől kapott információk feldolgozásával a biztonsági vezérlő meghatározza a biztonsági reakciókat a kimeneteknél vagy a működtetőszerveknél.

Ehhez a gépen belül szükség van az érintett részegységek állapotára és funkcionális képességeire vonatkozó részletes információkra. A bemeneti jelektől függően a működtetőszerveknél különböző reakcióknak kell elindulniuk. Ezenkívül a felhasználó számára fontos a csatornaspecifikus diagnosztikai információ is azért, hogy a lehető leggyorsabban tudjon reagálni az észlelt hibára. Ha valamelyik érzékelő meghibásodik, és ez például zárlatérzékelés útján kiderül, akkor az adott érzékelő biztonsági funkciója működésbe lép, és a felhasználó figyelmét ráirányítja a hibás elemre.

Üzemre kiterjedő biztonsági architektúra

A gépmodulok között is szükség van a biztonsági információk cseréjére, hogy vészhelyzetben az üzemszintű leállítófunkciók működni tudjanak, és a technológiai folyamatban az adott modul előtt és után álló modulok is értesüljenek arról, hogy a leállási funkciók működésbe léptek. Ideális esetben a vészleállító gombok benyomásakor az adott gombtól látható valamennyi terület leáll. Vészhelyzetben lényegtelen, hogy a vészleállító gomb azon a gépmodulon van-e, amelyben a vészhelyzet előállt, a lényeg a gyors reakció.

Az alapanyag betöltéséhez, illetve a megmunkált darabok kivételéhez szükség van a megelőző és a következő modul biztonsági információira is. Például előfordulhat, hogy az anyagmozgatás csak akkor engedélyezett, ha senki nem tartózkodik a közös veszélyzónában.

A gépek üzemi kommunikációs szintjén ezért nem az egyes érzékelők és működtetőszervek csatornaspecifikus információinak cseréje a fontos, hanem sokkal inkább az adott gépmodul általános biztonsági állapotára és a biztonsági funkciók központi indítására van szükség. Ezért az egyes gépmodulok kapcsolódási felületére előre feldolgozott és szűrt információ kerül, ami azt jelenti, hogy kis mennyiségű és egy nyitott interfészprofilon keresztül szabványosítható adatot kell kezelni.

Heterogén kommunikációs struktúra

A terepszintű kommunikáció egyre inkább az Ethernet-alapú, valós idejű kommunikációs rendszereken keresztül cseréli a be- és kimeneti adatokat az érzékelőkkel és a működtetőszervekkel. Ennek megvalósítására különböző megoldások jelentek meg a piacon: EtherCAT, Profinet, Ethernet/IP és mások. A központi számítógépnél vagy az egyes gépek alkotta hálózat szintjén az egyes gépmodulok kombinálásával épül fel az üzemi struktúra. A gépek rendszerint magasabb szintű mester-mester kommunikációval kapcsolódnak össze. A gép vezérlője átjáróként működik a belső kommunikációs rendszer és a magasabb szintű irányítórendszer között.

A géprészek biztonsági összekapcsolását hasonló határfeltételek irányítják. Figyelembe véve a gépmodulokon belüli buszrendszerek eltérő biztonsági protokolljait, szükség van egy biztonsági átjáró funkcióra, amely üzemszinten hálózatba kapcsolja a modulokat.

Ilyen esetekben gyakran felmerülő kérdés, hogy milyen módszerrel lehetséges az egész üzemre kiterjedő biztonsági funkciókat egy generikus, buszfüggetlen biztonsági protokollal megvalósítani. A buszfüggetlen biztonsági protokoll megvalósítása ugyanakkor műszakilag nehéz feladat, és jelentős korlátozásokkal jár:

• Egy biztonsági kommunikációs interfésszel rendelkező készülék tanúsítása bonyolult, mivel a készülékgyártóknak minden egyes kommunikációs rendszerhez külön szükségük van megfelelőségi tanúsítványokra és megfelelő fejlesztőeszközökre a biztonsági protokoll megvalósításához. Ezeket az adott terepi buszt gondozó szervezetek biztosítják a natív biztonsági protokollokhoz. A generikus protokolloknál viszont több olyan szervezettől kellene beszerezni a megfelelőségi tanúsítványokat, amelyek nem mindig készek az együttműködésre.

• A készülékgyártók inkább az adott buszinterfész natív biztonsági protokollját implementálják, hogy a készülék sikerrel forgalmazható legyen a piacon az adott kommunikációs interfészhez.

• A biztonsági készülékek drágábbak lesznek, ha egy második biztonsági protokollt is támogatni kell a natív biztonsági protokoll mellett.

• Mivel nem minden készülékgyártó lenne hajlandó több biztonsági protokoll támogatására, ezért a felhasználó számára szűkülne a készülékválaszték és romlanának a költségviszonyok.

A Beckhoff TwinSafe rendszer ezért egy olyan megoldást kínál, amelynél több biztonsági protokoll használható egyetlen helyen a gépmodulon belül: a biztonsági vezérlőben, amely egyébként minden gépmodulban megtalálható.

A biztonsági vezérlő számos kapcsolatot felügyel a biztonsági kommunikációs partnerekkel a gépmodulon belül. Ha egy vagy több ilyen kapcsolatnál a vezérlő egy további biztonsági protokollt is támogat, akkor biztonsági átjáróként működhet. Ebből a célból az EL69xx Safety PLC képes kapcsolatot kialakítani egy másik készülékkel nemcsak a Safety-over-EtherCAT használatával, de egy másik biztonsági protokollal is, mint például a Profisafe (EL6930).

Szabványosított interfészprofil

Az EtherCAT Technology Group (ETG) – mint az EtherCAT terepi buszszabványt gondozó szervezet – jelenleg is dolgozik egy profilspecifikáción, amely meghatározza a biztonsági protokoll feletti adatcserét a modulok és a parancsszint között. Itt a tömörített és előre feldolgozott biztonsági adatok cseréjéről van szó, amelyeket egy gépmodul továbbít a külvilág felé, illetve kap onnan.

Amikor két gép „beszélget” egymással, a szomszéd számára nem fontos, hogy ez vagy az a hajtás biztonságos állapotban van-e, vagy hogy megnyomták-e valamelyik vészleállító gombot. Egyszerűen fogalmazva az az információ fontos, hogy a szomszédos üzemrésznek van-e biztonsági problémája, és ha igen, akkor az üzemi berendezések folytathatják-e az alkatrészek gyártását. Ez azt jelenti, hogy a valóban lényeges biztonsági információk – amelyeket egy üzemi modul a „külvilággal” cserél – viszonylag könnyen kezelhetők.

Az interfészprofil tartalma például egy gépmodul általános biztonsági állapota, az információ arról, hogy sikerült-e biztonságosan leállítani a modult vagy esetleg egy magasabb szintű vészleállítás-kérés. Ha ez az információ az interfész egy meghatározott helyén található vezérlő- vagy állapotszóban tükröződik, akkor előre elkészíthető funkcióblokkokon és újrahasznosítható diagnosztikai opciókon keresztül jelentős előnyök jelentkeznek.

Egy generikus biztonsági protokollal szemben, amelyet külön integrálni kellene az összes készülékbe, az átjárófunkciót egy gépmodulban csak egyszer kell létrehozni, és az EL69xx használata esetén a biztonsági átjárónak nem kell különálló készüléknek lennie, mivel a biztonsági vezérlő alfunkciójaként megvalósítható.