SIL van frequentieregelaar

Ik weet dat dit soort vragen vaak als een knuppel in het hoenderhok werkt, maar ik ga het er toch op wagen :)

We hebben een chemische installatie waarin een aantal centrifugaalpompen zitten. Die pompen worden vandaag “direct online” bedreven, gewoon aan of uit met een contactor dus.
De installatie wordt bestuurd door een PLC, geen veiligheids-PLC. Er staan een aantal noodstoppen in de installatie; als er één ingedrukt wordt schakelt de PLC alle uitgangen uit en daarnaast wordt er een veiligheidsrelais uitgeschakeld waardoor de contactoren geen voedingsspanning meer krijgen. Zelfs als de PLC zou blijven hangen, worden de motoren dus alsnog gestopt. De contactoren zijn enkelvoudig uitgevoerd; er zit wel een feedback-contact op elke contactor maar als er toch één zou blijven kleven kunnen we daar eigenlijk niets aan doen behalve de hele vermogenkast uitschakelen.
De installatie heeft in de huidige vorm een CE-certificaat gekregen.

Eén van de pompen is eigenlijk een beetje overgedimensioneerd en geeft meer druk dan gewenst. We zouden het loopwiel kunnen vervangen door een kleiner exemplaar, maar we hebben ervoor gekozen om de pompcurve via een frequentieregelaar (drive) instelbaar te maken.
De drive en PLC communiceren met elkaar via Profinet. Dat werkt allemaal. De vraag gaat nu over veiligheid. De drive in kwestie is geschikt voor gebruik in een SIL2 installatie voor wat betreft safe torque off. Bij het wegvallen van een digitaal ingangssignaal (dat we via het veiligheidsrelais kunnen laten lopen) schakelt die de motor uit. So far so good, dat lijkt me niet onveiliger dan de direct online motoren met een enkelvoudige contactor.

Meer specifiek gaat mijn vraag over het beperken van het motortoerental. De hoofdreden waarom we de drive hebben geïnstalleerd is om de druk aan de perskant van de pomp een beetje te verlagen. Achter de pomp zit nl. een apparaat dat owv het gebruikte materiaal (en ook wel een beetje de constructie) erg moeilijk volledig lekvrij te krijgen is. Hoe lager de druk, hoe minder kans op lekken en procesmatig hebben we de hoge druk die de pomp levert niet nodig. Als de pomp op vol vermogen draait, wordt de kans op lekken (en heel misschien zelfs een inwendige beschadiging van het apparaat) wat groter en dat kan wel wat geld kosten, maar er is geen gevaar voor menselijk letsel. Ik kan een maximaal gewenst toerental configureren in de drive, en ik kan de PLC zodanig programmeren dat ook die niet toelaat een hoger dan gewenst toerental in te geven. Maar in beide gevallen is het wel de drive die moet zorgen dat de motor effectief niet sneller dan dat gewenste toerental kan draaien. De drive ondersteunt GEEN safely limited speed.
Maar is dat erg? Als er geen enkel risico op letsel is, moeten we dan uberhaupt aan een SIL categorie voldoen voor wat betreft de beperking van het maximale toerental? Merk op dat we tot voor kort het toerental helemaal niet konden beperken.

Als jij in de drive parameters zet wat de maximaal toegestane frequentie dan je met een PLC met profinet van alles en nog wat sturen maar harder gaat deze niet. Als het een Danfoss is ,zet dan in ieder geval de parameter bij profinet communicatie verlies dat de drive stopt.

Safe-Torqoff wordt hier ook gebruikt, echter is geen werkschakelaar functie.

Voor de meeste machines met pompen is dit vaak voldoende als noodstop aangezien je je handen niet in een pomp kunt steken tijdens normaal bedrijf.

mel

Golden Member

Als je in een goedgekeurde installatie iets toevoegt wat dezelfde klasse heeft als wat er al in zit, is dat alleen maar goed.
En CE-certificering bestaat niet..

u=ir betekent niet :U bent ingenieur..
GJ_

Moderator

Dat toerental lijkt me hier geen veiligheidskwestie als ik je verhaal goed begrijp.

Overigens is veiligheid niet iets dat je er even bij kunt doen, ik hoop dus dat er ook nog een deskundige mee kijkt en dat de vragen uit interesse zijn.

-Een CE certificaat bestaat niet, en iets dergelijks krijg je ook niet. Dat bepaalt de maker van de installatie (zoals mel ook al zei).
-Bij machines gebruiken we meestal de Pl en niet SIL. Als je dan toch over SIL wil communiceren is het absoluut noodzakelijk hier wel de gebruikte norm bij te vermelden. De ene SIL is de andere SIL niet zogezegd. De ene gaat tot SIL3, de andere tot SIL4. Beide "sillen" hebben helemaal niks gemeenschappelijk.
-Een enkelvoudige contactor heeft in principe niet alles te maken met het bereikte veiligheidsniveau. Je het het dan over de architectuur van de installatie (CAT) en dat is wat anders. Heel vroeger niet, toen was dit wel het veiligheidsniveau, dus CAT b..4.
-Als je zelf de installatie niet gebouwd hebt is het eigenlijk niet goed mogelijk om de veiligheid aan te passen. Daarvoor moet het TD worden aangepast en dat heb je meestal niet. De maker mak het wel weggeven, maar het is niet iets waar je recht op hebt. Niemand mag de maker ooit vragen om het hele TD.

CE markering dan, of hoe je het ook wil noemen :) Het betref "pressurized equipment" en we hebben een certificaat CE-PED-G-2020-200210-004. Om dit certificaat te krijgen is er ook naar de elektrische installatie gekeken.

We hebben de installatie zelf gebouwd, dus we hebben alle documentatie die nodig is om wijzigingen aan te brengen.

Het toerental is inderdaad geen veiligheidskwestie; het niet respecteren ervan kan misschien materiaal beschadigen, maar geen personen. Eén van de vragen waarmee ik echter blijf zitten is hoe hard je mag vertrouwen op de maximale frequentie die je in de drive configureert. Aangezien de drive geen safely limited speed ondersteunt maar je wel een maximale snelheid kan configureren, veronderstel ik dat de fabrikant in dit geval niet met de hand op het hart durft beloven dat de drive NOOIT een hogere frequentie zal uitsturen. Anders zou die safely limited speed functie weinig zin hebben.

Maar de SLS is een veiligheidsfunctie, het maximale toerental wat jij nodig hebt is geen veiligheidsfunctie.
Je kunt gewoon een maximale frequentie in de drive instellen, of zorgen dat de PLC geen hoger snelheidssetpoint uitstuurt.
De drive gaat echt niet als je deze op 1300rpm maximaal ingesteld hebt de motor 1500rpm aansturen, hooguit een paar rpm onnauwkeurig maar ik neem aan dat het niet op een paar rpm komt.

GJ_

Moderator

Op 6 juli 2022 09:43:43 schreef KellyDK:
Eén van de vragen waarmee ik echter blijf zitten is hoe hard je mag vertrouwen op de maximale frequentie die je in de drive configureert.

Daar mag je best op vertrouwen van mij. En met een pomp kun je best bv 80Hz instellen, maar dan valt ie uit omdat de spanning te laag is en het gevraagde vermogen te veel.

Maar ik heb in de afgelopen 35 jaar nooit meegemaakt dat een frequentieregelaar op hol ging.
Om met een FO op hol te gaan moet de software volledig van slag zijn, en dan waarschijnlijk de drive eerder crashen.
Met DC motoren is dat een heel ander verhaal, zeker met oude drives.

Op hol, nou nee meestal eindigt het met een rookwolkje uit de FO of een boem.

Ik vroeg me vooral af hoe SLS/safely limited speed dan "anders" is dan het beperken van de maximale frequentie in de configuratie van de drive. Alsof de fabrikant zegt: als de drive SLS ondersteunt, dan ben je écht zeker :)

GJ_

Moderator

Op 6 juli 2022 18:01:08 schreef KellyDK:...Alsof de fabrikant zegt: als de drive SLS ondersteunt, dan ben je écht zeker :)

Een fabrikant zegt nooit dat je echt zeker bent, zeker niet met veiligheidstoepassingen. Echt zeker bestaat ook niet.
Bij veiligheidstoepassingen is het juist van belang dat je kunt uitrekenen hoe veilig het is en dit kunt documenteren. Bovendien is zo'n veiligheidsfuntie altijd gekeurd door een notified body.

Voor een pomp, waar veiligheid geen ding is is het onzin. Sterker nog, het maakt de veiligheid die je wel noodzakelijk hebt alleen onoverzichtelijker. Gewoon niet doen dus.

Dit is eenvoudig, je geeft aan dat het samenstel is beoordeeld conform PED module G. Dit wordt normaliter gedaan op z.g.n. categorie IV druk apparatuur welke keuringsplichtig zijn conform WBDA.

Indien het conform een SIL classificatie is uitgevoerd wekt de indruk dat dit onderdeel is van het beveiligingssysteem.

Indien het keuringsplichtig (aangewezen). Dan dient dient een wijziging etc. van de drukapparatuur en beveiliging beoordeeld te worden door een NL-CBI.

Indien niet zeker gewoon voorleggen bij een NL-CBI. Die dit zo beantwoorden, hiervoor kan je t beste bijv. het module G certificaat, P&ID en verklaring van ingebruikneming meesturen.

Indien deze aangeeft dat dit onder jullie eigen beoordeling gedaan kan worden dan moet je in basis zorgen voor een minimaal gelijk veiligheidsniveau.

Mocht je hier verder vragen over hebben kan je mij een bericht sturen. FYI: ik werk bij een CBI, dit is dus dagelijkse kost.

Mocht je hier verder vragen over hebben kan je contact opnemen.

GJ_

Moderator

Het is niet de bedoeling dat je het forum misbruikt om werk binnen te harken met vage verhalen. Het verhaal raakt kant nog wal, je maakt het enkel ingewikkelder dan nodig.

Als je het verhaal van TS goed gelezen had is de PED hoogstwaarschijnlijk niet van toepassing, en toch hang je daar een heel verhaal aan op. Zelfs als zou het onder de PED vallen, dan nog is de kans groot dat een gang naar een NB niet nodig is. Als je had gelezen.

@KellyDK, Je moet je realiseren dat als je een DC motor hebt en de "sturing" valt weg, dan ZOU ie direct op de voeding aangesloten harder kunnen gaan draaien dan bedoeld/ingesteld.

Maar een AC motor heeft dat niet. Die draait meestal iets van 90% van 3000 RPM of een deeltal daarvan (dus /2 of /3 (ongebruikelijk, maar kan wel) of /4). Als de sturing wegvalt is het erg onwaarschijnlijk dat de FO ineens een ongecontroleerde 50Hz of zelfs 60Hz zou gaan produceren.

Zie het als: De besturing moet intern "knoppen" 1-6 op volgorde activeren. Jullie hebben nu ingesteld dat ie dat max 40x per seconde dat 1-6 lijstje mag afwerken. Als de besturing kapot gaat is het onwaarschijnlijk dat er perongeluk steeds in de juiste volgorde en wel 50 of 60x per seconde dat hele lijstje wordt afgewerkt. Nee: Als er iets kapot gaat dan blijft "knop 1" ingedrukt. Of een andere. Mogelijk gaan dan de motor of de FO nog verder kapot, maar harder draaien is er niet bij. Of er wordt geen enkele knop indrukt, dus dan gaat de FO niet verder kapot en de motor ook niet. Klaar.

four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/

Wij bewaken dan het toerental van de gehele aandrijving met een safety encoder en safety plc. Deze vergelijkt dan het werkelijke toerental en draairichting met gevraagde waarde. Dit bij hijswerktuigen.

GJ_

Moderator

Op 9 juli 2022 23:07:32 schreef rew:
@KellyDK, Je moet je realiseren dat als je een DC motor hebt en de "sturing" valt weg, dan ZOU ie direct op de voeding aangesloten harder kunnen gaan draaien dan bedoeld/ingesteld.

Ja, of als het veld wegvalt.
In beide gevallen is de pompkarakteristiek voldoende om een werkelijk op hol slaan tegen te gaan. Gewoon niet mogelijk.
Bovendien kakt bij een DC motor het koppel in als ie in de veldverzwakking gaat en voor een AC motor geldt het zelfde omdat de spanning niet evenredig stijgt.
Dus een erg veel hoger toerental is gewoon onmogelijk, ook al zou je het willen.