Wat maakt een veiligheidsPLC veilig?

Wat maakt het dat een veiligheids-PLC veilig is?
Als je het verkeerd programmeert, kunnen er dan geen gevaarlijke situaties ontstaan?
En wat is er speciaal aan de elektronica in dit type PLC dat hem veilig maakt?

Ohm sweet Ohm | www.picbasic.nl
Sine

Moderator

Als je dingen verkeerd ontwerpt gaat ook een fail-safe plc je niet magisch redden natuurlijk.

En dat is ook wat deze dingen zijn, "fail safe". Het tegenovergestelde van "fail dangerous" ;)
Als er iets sneuvelt is het ontworpen om te falen in een veilige toestand.

Het hoe en waarom precies kun je een boek over volschrijven.

De meeste veiligheids PLC's hebben speciale i/o blokken welke je gebruikt als een traditioneel noodstop relais. In de PLC zijn verplichte bouwstenen nodig waar je ook niet omheen wil en kan gaan.

Ik zie meestal het nut van een veiligheids plc niet in en heb liever een gewoon noodstop relais met noodstoppen. Ik zie op veel plaatsen noodstoppen toegepast waar dat helemaal niet nodig is en soms ook wel eens waar iets ontbreekt.

Een noodstop is vaak een mosterd na de maaltijd knop, als jij al bekneld zit en je moet drukken is er iets anders mis.

GJ_

Moderator

Vaak ook speciale ingangen, dubbel uitgevoerd met de eigen (gepulste) voeding er ook bij. Speciale OSSD uitgangen of relaisuitgangen met gedwongen contacten en een controle.
Er is aangegeven volgens welke normen er welke veiligheid te behalen is, meestal dus Pl (maximum PLe) en SIL (maximum SIL3).
En zoals Peter112 al zei: functieblokken die je dwingen e.e.a. veilig te programmeren.
De hardware maakt het je vaak ook moeilijk om de veiligheid te overbruggen, dus connectoren en geheugenkaarten op onbereikbare plekken als het gemonteerd zit.
Normaal zitten er ook alle mogelijke libraries bij voor o.a. Sistema om de bereikte veiligheid eenvoudig te berekenen en te documenteren.

En ten slotte: alle veiligheidscomponenten, inclusief de PLC's hebben een keuring ondergaan door een NB. Het CE traject is hier dus wat minder "losjes" dan voor gewone spullen.

Op 29 mei 2022 12:43:29 schreef Peter112:
Een noodstop is vaak een mosterd na de maaltijd knop, als jij al bekneld zit en je moet drukken is er iets anders mis.

Het zijn ook geen noodstoprelais maar veiligheidsrelais ;-)
Hekwerken, doorloopbeveigingen, aanrijbeveiligingen enz zijn geen mosterd na de maaltijd. Noodstoppen zijn in veel machines niet eens verplicht, al bouwen we ze er wel altijd op.

Sine

Moderator

Op 29 mei 2022 12:43:29 schreef Peter112:

Ik zie meestal het nut van een veiligheids plc niet in en heb liever een gewoon noodstop relais met noodstoppen.

Dat is echt niet de enige toepassing. Je kunt zelfs failsafe calculaties uitvoeren. Als een bepaalde verhouding buiten de norm komt (brandstof / lucht bijvoorbeeld) kan daar een trip actie van een installatie door volgen.

Maar ook ander analoog spul zoals niveau, temperatuur en druk bewakingen. Het gaat allemaal veel verder dan enkel een noodstopje.

GJ_

Moderator

In een beetje machine is een veiligheidsPLC gewoon veiliger en goedkoper. Alleen bij kleine installaties kom je nog weg met een gewoon noodstoprelais.

mel

Golden Member

Sommige veiligheidsplc,s kan je ook gebruiken op een programma in te zetten, en dan tevens het veiligheidsgedeelte.Een veiligheidsplc is eigenlijk 2 plc s ineen, die elkaar controleren. dus je krijgt redundantie.

[Bericht gewijzigd door mel op zondag 29 mei 2022 18:12:25 (30%)

u=ir betekent niet :U bent ingenieur..
GJ_

Moderator

Er zijn er zelfs met twee verschillende merken en types processor om CCF's te voorkomen.

De vraag is te algemeen, en het onderwerp te uitgebreid om in een simpel forumtopic even snel te beantwoorden.

Sine

Moderator

Beschikbaarheid (redundantie) is wat anders dan veiligheid. Ofwel twee van *iets* hebben maakt het niet automatisch veiliger.

Je hebt inderdaad constructies waarbij in dezelfde plc de logica 2x afloopt, in de regel op twee verschillende manieren. De uitkomst moet hetzelfde zijn zo niet gaat het ding in storing. Dat kun je doortrekken tot op IO niveau.
Die hele constructie kun je ook nog eens met een redundante CPU opbouwen, maar dat is puur voor beschikbaarheid, niet voor extra veiligheid.

Ook kun je voor het schakelen van een uitgang redundante uitgangen hebben EN dubbele uitgangen om de sil klasse een trapje hoger te brengen.

Bij SIL-veel kan het dan zo zijn dat je vier IO kaarten nodig hebt. 1 setje schakelt dan parallel (beschikbaarheid) een relais in de plus van bijvoorbeeld een magneetventiel.
Een tweede paralelle set uitgangen (veiligheid) schakelt met een relais (van een ander merk) de min van dat zelfde ventiel.

Die uitgangen zitten uiteraard verdeeld over vier IO modules.

GJ_

Moderator

Op 29 mei 2022 18:51:12 schreef Sine: Ofwel twee van *iets* hebben maakt het niet automatisch veiliger.

Psies. De veelgemaakte fout: dubbele contacten op een noodstop met het idee dat dat veiliger is. Als de rest van je veiligheidscircuit niet ook minimaal CAT 3 of 4 is maken die dubbele contacten geen drol uit. Dan is een enkele net zo veilig.

mel

Golden Member

Ik zette vroeger altijd 2 magneetschakelaars met de kontakten in serie in de hoofdstroomm als noodstop.Met het idee, als er een blijft plakken, werkt de tweede nog.

u=ir betekent niet :U bent ingenieur..
GJ_

Moderator

Tja, en dat is dus nutteloos. Met één magneetschakelaar bereik je precies dezelfde veiligheid.

High met Henk

Special Member

Ooit met Siemens sirius contactor en gewerkt?
Al 2x gehad dat de hele juk bleef hangen. Dus als je 2 verschillende merken contactor en neemt zou het wel kunnen werken.

Verder was vroeger bij noodstop verplicht om machine elektrisch dood te maken. Echter stopt dan ook de intelligentie en dus een logging en de inputs. Een diagnose van de fout zonder herstart is onmogelijk.

Ook kan het lastig zijn om in geval van persoonlijk letsel
door beknelling, iemand nog te ontzetten..
Veiligheid kan zo een heel lastig ding worden.

E = MC^2, dus de magnetische compatibiliteit doet kwadratisch mee???
GJ_

Moderator

Op 30 mei 2022 07:23:49 schreef High met Henk: Dus als je 2 verschillende merken contactor en neemt zou het wel kunnen werken.

Net zo min. Ze zullen voor je weer kunt inschakelen gecontroleerd moeten worden of ze wel echt afgevallen zijn anders is een dubbele contactor volslagen nutteloos.

Verder was vroeger bij noodstop verplicht om machine elektrisch dood te maken. Echter stopt dan ook de intelligentie en dus een logging en de inputs. Een diagnose van de fout zonder herstart is onmogelijk.

Dat is echt nooit verplicht geweest. Het gebeurde wel veel en dat was inderdaad erg onhandig. Net als kasten die pas open kunnen als de hoofdschakelaar is afgeschakeld :-(

mel

Golden Member

Daarom hield ik nooit van hoofdschakelaars op de deur...En zeker niet die stang waar je zo een oog mee uitsteekt...
Schakelaars gewoon op de zijkant. niks aan de hand.
En die noodstoprelais werden geschakeld door een veiligheidsgeval. Dus ze moesten eerst afvallen eer je ze kan inschakelen.

[Bericht gewijzigd door mel op maandag 30 mei 2022 09:45:29 (27%)

u=ir betekent niet :U bent ingenieur..

Dank voor de vele antwoorden.
Ik weet dat de vraag te algemeen is, maar ik vraag dit vanwege het volgende:

Wij maken al tientallen jaren machines met een wals (1,5mtr breed) om materialen te lamineren (snelheid maximaal zo'n 5mtr/min, dus niet zo snel).
Vier noodstopknoppen (op elke hoek van de machine één).
Dit zijn machines die (net als onze concurrenten over de wereld) worden bestuurd door PCB besturing, het zijn dan ook machines die in veelvoud (series) worden gemaakt.
Hier zit ook een veiligheids-PCB in (met o.a. veiligheidsrelais, fotocel besturing met checksignalen e.d., alles uitgevoerd met de 74HCxx serie.)
Het is in de jaren een paar maal officieel gekeurd en steeds in orde bevonden.

Deze huidige PCB besturing loopt echter op zijn eind en er moet wat nieuws komen.
Als wij er een officiële besturing (PLC met veiligheidsspul) in doen, dan kunnen we het prijstechnisch wel vergeten.
De prijsconcurrentie is enorm.

Even een goedkope PLC nemen is te snel gedacht.
Een PCB heeft namelijk o.a. de volgende voordelen:

- Snel aan te sluiten, sensoren worden rechtstreeks op de PCB in connectoren geklikt.
Bij een PLC moet steeds opnieuw de boel bedraad worden.

- Aansturing heating van de walsen met triacs.
Bij een PLC kom je al snel aan losse SSR's van tientallen Euro's.

- Contactloze temperatuursensoren van zo'n 10 Euro (boven- en onderwals) waaraan we een kabel met aangegoten connector solderen.
Bij een PLC wordt het al snel een contactloze temperatuursensor waarbij soms ook nog een kastje tussen sensor en PLC zit dat vele malen duurder is, afgezien van het vooraf instellen van deze sensoren.

- Loadcellen (voor aparte drukmeting links- en rechts) met de HX711 op de print (1 Euro) zijn rechtstreeks op de PCB aan te sluiten.
Bij PLC -opnieuw- een systeem dat vele malen duurder is, afgezien van het (door de vele mogelijkheden) uitgebreide menu instellen telkens weer.

- Simpele FET snelheidsregeling van de krachtige gelijksspanningsmotor (180V/240W)
Bij een PLC vaak een frequentieregelaar die bij klanten de aardlek er uit laat slaan (afgezien van de ellendige piep en duurdere motoren)

- 7" of 10" HMI van rond de 100 Euro.
PLC HMI's zijn doorgaans vele malen duurder of minimalistisch klein.

- Twee encoders inlezen, Bluetooth, meerdere analoge in- en uitgangen, en zo vergeet ik nog wel een paar dingen.

Dit dus, is de reden dat er weer wordt gekeken naar een PCB besturing.
Nu is dit natuurlijk geen grote, uitgebreide machinelijn, dus aan een veiligheidsPLC zaten we ook niet aan te denken.
Maar het huidige safetyboard, zit zo vol met de 74HCxx serie, dat we denken, kan dat niet met een dubbel uitgevoerde microcontroller met wat aanvullende 74HCxx?
De microcontrollers voeren beide hetzelfde programma uit, en brengen tevens toggle signalen ter controle naar buiten.
Als een toggle signaal wegvalt, (bijvoorbeeld controller loopt vast), dan grijpt onmiddellijk de hardwarematige failsafe circuit in (74HCxx circuit) die de noodstop aanstuurt.

De noodstopknoppen blijven hardwarematig zoals het was met een noodstoprelaiscircuit op de PCB.
We hebben gewoon een noodstoprelais opengemaakt en dat circuit op de PCB precies nageaapt.
Zo hebben we dat ook gedaan bij de oude besturing, zelfde type veiligheidsrelais gebruikt, enz.
Nooit geen gezeik mee gehad (de machines worden over de hele wereld verkocht) afgezien van ingebrande contacten van de veiligheidsrelais.
Dit willen we nu ook oplossen door op de nuldoorgang te schakelen.
Een test die ik heb gedaan laat zien dat dit wel degelijk kan met behulp van een microcontroller, de dikke vonken die er af en toe waren bij inschakelen zijn gereduceerd tot af en toe een klein vonkje.

Oja, nog iets.
We hebben hier in Europa ook Chinese concurrenten.
Maar als je dan ziet hoe hun het spul in elkaar knutselen.
En die verkopen hier óók hun machines, gewoon mét CE keur...
Dan kun je al gauw denken, tja, waarom heiliger zijn dan de paus? (Of geen machines meer verkopen vanwege... te duur)

Een besturing met PCB kan inclusief 7 Inch HMI zo rond de 300...400 Euro uitkomen.

Benieuwd naar jullie reacties.
(Nu zal ik wel een bak stront over me heen krijgen) :'(

Ohm sweet Ohm | www.picbasic.nl
mel

Golden Member

Een besturing is natuurlijk geen beveiliging. Een besturing kan in storing vallen, zodat er helemaal niks gestuurd word en alle relais enzo blijven dan gewoon staan.Dan is het zaak om de machine ter aller tijden te kunnen laten stoppen, dit kan dan alleen maar door in de hardware in te grijpen, Het hangt van de veiligheidsklasse af , hoe je dat doet.
En zelf een noodstoprelais namaken heb ik mn bedenkingen over.Stel er ZAL maar iets gebeuren, dan komt de arbeidsinspectie er snel achter dat er een veiligheidskomponent is zelfgemaakt...Ik zou er geen risico mee lopen.En een 74 zoveel is natuurlijk GEEN failsafe onderdeel..

u=ir betekent niet :U bent ingenieur..
High met Henk

Special Member

Koyo KLik?

Basis is niet duur, maar weet niet wat I/O is.
voordeel van dat spul is modulair, snel te wisselen en uit te breiden.

E = MC^2, dus de magnetische compatibiliteit doet kwadratisch mee???
GJ_

Moderator

Op 31 mei 2022 10:33:42 schreef Frits Kieftenbelt:
We hebben gewoon een noodstoprelais opengemaakt en dat circuit op de PCB precies nageaapt.
Zo hebben we dat ook gedaan bij de oude besturing, zelfde type veiligheidsrelais gebruikt, enz.

Dat is een officieel delict. Een veiligheidstoepassing moet vanaf CAT1 verplicht een keuring ondergaan bij een NB. Met dus een officiele typegoedkeuring.

Oh ja: een frequentie geregelde motor hoeft niet te piepen. Maar dat is bij jullie niet van toepassing als je toch al voor DC motoren hebt gekozen.

En een "CE keur" is geen CE keur maar een CE markering ;-)

Je zou eerst een RI&E moeten doen om te kijken hoe groot de risico's nou helemaal zijn. En misschien kom je weg met een CAT B architectuur en dan hoeft er ook geen typegoedkeuring plaats te vinden. En met CAT B kun je gemakkelijk Pla en Plb bereiken.

Vergeet ook de gewone stopknop niet: die is wettelijk verplicht op iedere bedienpost. Een machine stoppen met de noodstop is verboden: die mag alleen bij een noodsituatie gebruikt worden.

Op 31 mei 2022 10:51:59 schreef mel:..dat er een veiligheidskomponent is zelfgemaakt

Een zelfgemaakt veiligheidscomponent is geen veiliheidscomponent tot het een typegoedkeuring heeft.

mel

Golden Member

Waarom denk je dat die beveiligingskomponenten gekeurd dienen te zijn?
Thuis kan je het wel doen, iets zelf maken, maar als het in een bedrijf is waar mensen werken, is dat natuurlijk wel even anders..

u=ir betekent niet :U bent ingenieur..
Sine

Moderator

Afhankelijk wat de acties van die veiligheidsfuncties zijn kun je het natuurlijk ook prima scheiden.

Je doet de hele besturing rond een eigen ontwerp, en je neemt een veiligheids- *iets* voor je beveiliging.

Zelf iets gaan klussen met controllers die elkaar monitoren klinkt als een gruwelijk slecht plan.

Op 31 mei 2022 13:30:03 schreef High met Henk:
Koyo KLik?

Basis is niet duur, maar weet niet wat I/O is.
voordeel van dat spul is modulair, snel te wisselen en uit te breiden.

Ik heb er even naar gekeken maar dan kom ik toch niet rond met verscheidene van mijn eerder in dit topic genoemde punten.

- Snel aan te sluiten, sensoren worden rechtstreeks op de PCB in connectoren geklikt.
Bij een PLC moet steeds opnieuw de boel bedraad worden.

- Aansturing heating van de walsen met triacs.
Bij een PLC kom je al snel aan losse SSR's van tientallen Euro's.

- Contactloze temperatuursensoren van zo'n 10 Euro (boven- en onderwals) waaraan we een kabel met aangegoten connector solderen.
Bij een PLC wordt het al snel een contactloze temperatuursensor waarbij soms ook nog een kastje tussen sensor en PLC zit dat vele malen duurder is, afgezien van het vooraf instellen van deze sensoren.

- Loadcellen (voor aparte drukmeting links- en rechts) met de HX711 op de print (1 Euro) zijn rechtstreeks op de PCB aan te sluiten.
Bij PLC -opnieuw- een systeem dat vele malen duurder is, afgezien van het (door de vele mogelijkheden) uitgebreide menu instellen telkens weer.

- Simpele FET snelheidsregeling van de krachtige gelijksspanningsmotor (180V/240W)
Bij een PLC vaak een frequentieregelaar die bij klanten de aardlek er uit laat slaan (afgezien van de ellendige piep en duurdere motoren)

- 7" of 10" HMI van rond de 100 Euro.
PLC HMI's zijn doorgaans vele malen duurder of minimalistisch klein.

- Twee encoders inlezen, Bluetooth, meerdere analoge in- en uitgangen, en zo vergeet ik nog wel een paar dingen.

Komt nog bij dat PLC types nogal eens onverwacht door fabrikanten uit de markt worden genomen door een opvolger.
Dat willen we niet met een machine die we in series bouwen.
Schema´s moeten dan weer opnieuw getekend worden, handleidingen, software, noem maar op.
Bij PCB´s heb je het meer zelf in de hand.

.

Op 31 mei 2022 19:01:13 schreef Sine:
Afhankelijk wat de acties van die veiligheidsfuncties zijn kun je het natuurlijk ook prima scheiden.

Je doet de hele besturing rond een eigen ontwerp, en je neemt een veiligheids- *iets* voor je beveiliging.

Daaraan heb ik ook al zitten denken.
Zit ik nog met het volgende:

Er zitten een paar sets fotocellen voor de wals als vingerbescherming.
Hoe kan ik deze integreren?
Is daar ook een veiligheids- *iets* voor?

Vooral ook om het volgende:
Er zit een jog functie (= zeer langzaam draaien) op de machine die met een druk op de knop wordt ingeschakeld.
Dan worden de fotocellen uitgeschakeld en kan de machine met behulp van een voetpedaal met deze vaste -langzame- snelheid draaien.
Voetpedaal los = machine stop

Dit is om materiaal in te spannen en het ondoenlijk is (blijkt uit 40 jaar ervaring met deze machines) om de fotocellen ingeschakeld te laten.
Bij de oude besturing heeft de TÜV ook dit goedgekeurd.
Hoe gaat een veiligheids- *iets* daarmee om?

Ohm sweet Ohm | www.picbasic.nl
Sine

Moderator

Daar ben ik überfragt, ik ben geen machinebouwer en heb bovendien de luxe dat anderen bedenken hoe en aan wat voor een regels iets moet voldoen.

GJ heeft daar veel meer ervaring mee, en zoals hij ook al aangeeft zou ik eens beginnen bij het begin.
Wat heb je nou eigenlijk nodig, en hoe wordt dat geclassificeerd.

Je zou eerst een RI&E moeten doen om te kijken hoe groot de risico's nou helemaal zijn. En misschien kom je weg met een CAT B architectuur en dan hoeft er ook geen typegoedkeuring plaats te vinden. En met CAT B kun je gemakkelijk Pla en Plb bereiken.

Overigens maakt GJ ook nog een goed punt over de failsafe ketting. Alles wat ingrijpt op dat circuit moet aan de gestelde eisen voldoen. Dus ook je fotocel bijvoorbeeld.

Lambiek

Special Member

Op 31 mei 2022 10:33:42 schreef Frits Kieftenbelt:
Wij maken al tientallen jaren machines met een wals (1,5mtr breed) om materialen te lamineren (snelheid maximaal zo'n 5mtr/min, dus niet zo snel)......

Deze huidige PCB besturing loopt echter op zijn eind en er moet wat nieuws komen.....

Dat klinkt toch als een redelijk gevaarlijke machine. Maar ik snap wat je bedoelt met het opnieuw ontwikkelen van een besturing, je komt dan ook nog best veel printplaat besturingen tegen. Het voordeel is dat je het naar eigen inzicht kunt maken en als je alles kunt stekkeren kan dat veel werk schelen.

Maar vergis je niet in het keuringsaspect van zoiets, verdiep je daar goed in. Hier heb je nog wat info over de risico's en veiligheid.

https://nl.wikipedia.org/wiki/Risico-inventarisatie_en_-evaluatie

https://www.pilz.com/mam/pilz/content/uploads/pos_functional_safety_10…

https://www.dguv.de/ifa/praxishilfen/practical-solutions-machine-safet…

Wat de beveiliging voor de wals betreft, daar wil je niet tussen komen. Heel vaak zit er op zulke machines tweehandsbediening, ik hoef niet uit te leggen wat dat is denk. Ook zit er vaak een lichtgordijn of een optische sensor. Dus het moet moeilijk worden om er tussen te komen. Vaak kun je mechanisch ook veel bereiken qua beveiliging, denk aan bijvoorbeeld een hekwerk, enz.

Ingeval van een noodstop bij een wals heb ik wel eens gezien dat de wals even de andere kant op draait bij een noodstop, voor het geval er iets van een kledingstuk tussen zit of erger.

Als je printen gaat ontwikkelen zou ik alleen de besturing doen, de beveiliging zou ik met een noodstoprelais doen. Dat spul is goedgekeurd, daar zou ik zelf niet iets voor maken. De kleine machines die ik tegen kom gebruiken allemaal zoiets, dat zijn veel machines met een zelfgemaakte besturing.

Wij hebben ook machines gebouwd met eigen besturingen, dat was een lantaarnpaalsnijmachine en een machine om mangaten te snijden voor in de ketelbouw. Maar het noodstopcircuit deden we ook met de noodstoprelais.

De keuring van de machines deden we hier.

https://www.dare.nl/emc

Als je haar maar goed zit, GROETEN LAMBIEK.
mel

Golden Member

Een lantaarnpaalsnijmachine?Daar heb ik een pijpensnijder(een grote) voor :9

u=ir betekent niet :U bent ingenieur..