V2018-oppg-4

Oppgave 4

Det blir en diskusjon i prosjektgruppa knyttet til nødvendig sikkerhetsnivå for hele anlegget. Det vurderes om øverste nivå PLe (4)/SIL 3, er nødvendig og hvilke konsekvenser dette vil få for installasjonen. I denne forbindelsen får du følgende oppdrag:

  • Tegn skisse av en løsning knyttet til nødstopp av transportbånd via sikkerhets PLS og lag forslag til PLS program for sikkerhetsnivå PLe(4)/SIL3.

Kommentar

Her har vi en video som forklarer litt av den generelle teorien rundt «ESD-Emergency Shutdown Systems» og SIL nivåer:

For å få litt oversikt over hvordan en Omron G9SP sikkerhets PLS fungerer, så kan vi kanskje se litt på videoen nedenfor:

Her har vi en video som beskriver det som ser ut til å være en tilsvarende sikkerhets-PLS som vi har kjørende på automasjonslaben. (Dette er jo en litt annen sikkerhets PLS enn det som er beskrvet i eksamensoppgaven.)

Her har vi også en vide som foklarer spesielt om hvordan vi bruker denne sikkerhets-PLS’en i «standallone mode»:

Når det gjelder detaljene rundt den praktiske oppkoblingen så kan vi kikke litt på den dokumentasjonen som inngår i vedlegget til eksamensoppgaven.

Prinsipper rundt risikovurdering.

Dette dreier seg formelt sett om en «styring av en maskin» dvs en «enhet» med bevegelige deler. Det dreier seg også om en ganske farlig maskin med potensiale til å gjøre skade ved at den løfter og flytter på kumlokk i stål, som sannsynligvis veier rundt 50 Kg.

Når man planlegger og bygger en maskin så vil det være deler av regelverket som er viktigere enn andre deler av regelverket. På høyeste nivå så finner man de kravene som er gitt ut i fra lov. Disse kravene til sikkerhet gitt ut i fra lov kan man ikke avvike fra.

For å oppfylle de lovgitte kravene så benytter man «normer» eller «standarder» som for de aller fleste praktiske formål er det samme. Lover og forskrifter er i like stor grad rettslig bindene. Normene og standardene er formelt sett «en anbefaling» som ikke i samme grad er rettslig bindene.

For denne maskinen, som for de fleste andre maskiner, så er det først og fremst Maskinforskiften og Forskrift om elektrisk utstyr som gjelder. Som «hovednorm» for sikkerhet for elektriske installasjoner på maskiner bruker man vel vanligvis NEK EN 60204-1.

Det kan vel også tenkes at Forskrift om utførelse av arbeid kommer til anvendelse for risikovurdering av maskinen.

For en generell oversikt over det regelverket som gjelder for «elektriske installasjoner på maskiner», se denne presenasjonen og denne presentasjonen (fra DSB.)

Det forhold at det står beskrevet noen normer som gjelder spesielt for sikkerhets-PLS’er betyr ikke at noe av det generelle regelverket som alltid gjelder blir satt til side, det betyr bare at det generelle regelverket gjelder som før, og så kommer de spesielle normene som gjelder for sikkerhets PLS’er og systemer for nødavstenging i tillegg.

Det finnes med andre ord flere faktorer som må vurderes:

  • Sikkerhet for mekaniske systemer. (Feilfunksjon)
  • Sikkerhet i forhold til elenergisystemer. (Elektrisk sjokk, brann.)
  • Sikkerhet i forhold til styringssystemer. (Feilfunksjon.)
  • Sikkerhet i forhold til nedstengingssystemer. (uønsket hendelse)
  • Sikkerhet ved bortfall av den elektriske spenningen. (Uønsket hendelse.)

Ut i fra en slik samlet risikovurdering så ser vi jo det at det er det som går på sikkerhet i forhold til mekaniske systemer som blir det viktigste å ta tak i. Det hjelper jo veldig lite at systemet for nedstenging og sikkerhets-PLS sørger for at maskinen helt sikker blir strømløs, hvis dette helt sikkert medfører at roboten slipper et kumlokk på 50 Kg i bakken. Riktig kabling av sikkerhets-PLS hjelper kanskje lite, hvis drivspenningen blir borte.

Det vi skal risikovurdere det er ikke «sikkerheten til sikkerhetssystemet» men «sikkerheten til hele maskinen».

Den første store risiko som vi oppdager når vi risikovurderer, det er jo muligheten for at roboten mister kumlokket på 50 Kg, enten som følge av bortfall i spenning, feil i styre system, eller mekaniske feil. Riktig utforming av mekanisk «lås» og pneumatisk låsesystem vil derfor være av stor betydning for den totale sikkerheten for maskinen.

Vi kan kanskje oppsummere de viktigste risikofaktorene slik:

  • Risiko for skade på personell og utstyr ved at et kumlokk på ca 50 Kg mistes og går i bakken.
  • Risiko for klemskader ved at personell kommer nær robot i bevegelse.
  • Risiko for skade på personell i forbindelse med bruk av transportbånd.
  • Risiko for elektrisk sjokk ved elektrisk overslag til jord.

Det to neste spørsmålene blir jo så:

  • Hva slags strategi har vi for å bygge «en sikker maskin» der alle se samlede krav til sikkerhet er ivaretatt?
  • Når det oppstår et bortfall av spenning eller en teknisk feil, eller personell opptrer på en uønsket eller farlig måte hvordan ønsker vi da at denne maskinen skal «oppføre seg»?

Vi kan kan ikke vite på forhånd hvilken feil som vil oppstå, slik at dette med «å kjøre til sikker posisjon» blir lite relevant. Ved for eksempel en klemskade så kan jo skaden bli større hvis roboten er programmert til å kjøre til «sikker posisjon».

Sikker løsning for maskinen.

Den sikreste løsning vil sannsynligvis være at roboten «fryser» i posisjon og at transportbåndene stanser samtidig som et kumlokk som eventuelt løftes av roboten blir låst fast i posisjon, slik at det ikke faller med.

De neste spørsmålet blir så:

  • Hvordan planlegger vi, designer og bygger vi maskinen vår slik at vi oppnår akkurat dette?
  • Hva er et optimalt design for en sikker løsning?

Vi forstår det at noe av det viktigste i det som går på «en samlet sikkerhet i forhold til kravene i maskinforskriften» går på det med mekanisk utførelse og design av trykkluftsystem for låsing av kumlokk til robotarmen. Dette skal vi se på i en annen oppgave som handler spesielt om dette.

I denne oppgaven så ser vi spesielt på den delen av den totale sikkerheten i anlegget som har å gjøre med bruk av lysgardin og nødstopp. (Og feedback fra transportbånd at de har startet? – Foreløpig uklart om dette også inngår i oppgaven.)

Hva er egentlig en «sikkerhets PLS»?

En «Sikkerhets-PLS» er vel egentlig ikke noe stort annet enn en vanlig forholdvis enkel PLS med ekstra løsninger for sikker oppkopling. Programmeringen er ofte forholdvis enkel, og enklere enn ordinære PLS’er og skjer ofte ved hjelp av programmering i «funksjonsblokk».

Det som kanskje er den største forskjellen i forhold til en «vanlig PLS» det er at det finnes spesielle sikkerhetsløsninger rundt selve oppkoblingen av PLS’en. Det er også gjennomført «tiltak» for økt sikkerhet inne i hardwaren også.

Sikkerhetsløsning for nødstopp og sikkerhets-PLS (Som del av en helhetlig sikkerhetsløsning.)

Når det gjelder selve oppkoblingen og «å tegne skisse for en løsning» så dreier det seg langt på vei om å finne fram til «riktig sted» i vedlegget til eksamensoppgaven og så gjenbruke en av figurene der, på side 74:

I vårt aktuelle tilfelle, så har vi vel noen flere innganger, 3 stk nødstopp, slik at tegningen må utvides ut i fra dette. Vi har også 3 stk tilbakemeldinger fra motorer om hvorvidt de har startet. Hva med lysgardin, skal ikke det brukes?

En annen problemstilling: Har virkelig G9SP så mange fysiske innganger for nødstopp at vi kan koble opp 3 stk nødtopp, eller bør vi istedet koble de 3 nødstoppene elektrisk i serie?

Når det går på det som har å gjøre med å utarbeide program (for nedstenging) så har vi vel dette langt på vei i dokumentasjonen på side 79:

Programmet over, fra dokumentasjonen kan forklares slik:

  • De to nederste «inngangene» er «et dobbelt input» fra en nødstopp (Den har «dobbelt kabling», det vil si to sett med ledere.) (Eller løser vi dette ved å koble 3 nødstopper fysisk i serie, slik at vi fortsatt bare har en nødstopp i programmet?)
  • Oppe til venstre en input fra en «resett knapp». Denne er konfigurert slik at man må holde knappen inne et stykke tid for at resett skal kunne skje. (For å unngå at en tilfeldig berøring eller «signalstøy» gir resett.
  • Den øverste inngangen ser ut til å representere en feedback fra frekvensomformeren som bekrefter at en motor har startet.

Nytt program:

I forhold til vår «case» så må jo dette «grunnoppsettet» utvides noe:

  • Vi har ikke 1 men 3 stk nødstopp. Disse må/kan kombineres via en eller funksjon før funksjonsblokka for resett.
  • Hvis det brukes lysgardin, så kan vel dette enten kombineres likt med en nødstopp (eller-funksjon), eller man kan legge inn en egen funksjonsblokk for lysgarding. (Hvis det finnes.)
  • Vi har også 3 stk tilbakemeldinger fra frekvensomformer om motoren har startet. Også disse 3 «signalene» kombineres ved hjelp av en eller-funksjon før den siste funksjonsblokka, som har å gjøre med å overvåke oppstart av motorene. (Når en motor ikke starter etter at frekvensomformeren har fått «kjøresignal» så stenges anlegget automatisk ned.)

Den aller enkleste løsningen:

Oppgaveteksten spør egentlig ikke om noe mer enn oppkobling og bruk av nødstopp. Lysgardin eller feedback fra motorer, at de starter opp, står egentlig ikke nevnt, selv om det er en del av den helhetlige problemstillingen. NX sikkerhets-PLS og Sysmac er ikke nevnt i oppgaveteksten eller i vedlegget.  G9SP med tilhørende program er beskrevet i vedlegget til eksamensoppgaven.

Den aller enkleste løsningen vil være å bruke koblingsskemaet rett over uendret, bortsett fra at vi kobler 3 eller 4 nødsopp i serie i nødstoppkretsen. Programmet blir da i utgangspunktet uendret og ganske likt det programmet som er rett over.

En helhetlig risikovurdering:

Når vi vurderer et design av resten av anlegget (maskinen) så må vi ta hensyn til at sikkehets-PLS’en ikke kan noe annet enn å ta spenningen av hele, eller deler anlegget. Resten av anlegget/maskinen må da risikovurderes og designes slik at det oppstår en «sikker situasjon» når spenningen tas av anlegget.

Hvis det da oppstår en farlig situasjon, for eksempel ved at kumlokket går i bakken, så er bruken av sikkerhets-PLS uten mål og mening. Derfor så må i dette tilfellet resten av maskinen designes slik at den er i samsvar med sikkerhets-PLS’ens funksjon. (I et virkelig tilfellet så ville det kanskje vært motsatt.)

Ut i fra en helhetlig sikkerhetsvurdering fro maskinen, så er det ikke sikkert at bruken av en egen sikkerhets-PLS egentlig har noen større hensikt, eller at det medfører en særlig høyere grad av sikkerhet, enn det man kunne fått til uten å bruke en egen sikkerhets-PLS.

Når oppgaveteksten og vedlegget beskriver en sikkerhets-PLS som er G9SP, så bør vi vel utarbeide en sikkerhetsløsning som er i samsvar med oppgaveteksten.

Hva er det egentlig denne eksamensoppgaven prøves oss i?

  • Å kunne se dette med risiko og risikovurdering i et helhetlig perspektiv.
  • Å kunne finne fram i og å bruke dokumentasjon på riktig måte.
  • Mange skoler har ikke Omron PLS av den type som er beskrevet. Detaljer i forbindelse med utarbeidelse av utarbeidelse av program er etter mitt syn ikke spesielt viktig.
  • Dette er ikke en prøve på «programmering av PLS» men heller en prøve på forståelse av maskinsikkerhet, praktisk anvendelse av maskinforskriften, og det å kunne finne fram i og å bruke dokumentasjonen til utstyret på en riktig måte.