Limites de Conformidade para Reinicialização Ethernet e Monitorização do Estado PLC de Dispositivos de Segurança

A verdade desagradável sobre a monitorização do estado do PLC

A monitorização do estado do PLC não é o mesmo que controlo de segurança. É visibilidade. É diagnóstico. É uma forma de saber se uma cortina de luz de segurança está limpa, bloqueada, avariada, silenciada, pronta a ser reiniciada ou a pedir manutenção antes de o supervisor da linha começar a culpar “problemas de sensor”.”

Isso é perigoso.

Torna-se perigoso quando uma fábrica trata tranquilamente uma entrada normal de um PLC, um botão de reset de uma HMI ou uma etiqueta de diagnóstico EtherNet/IP padrão como se tivesse o mesmo peso legal que um circuito de paragem de segurança, um bloco de funções de segurança validado de um PLC ou um interbloqueio de reinício corretamente aplicado. Porque é que tantas fábricas continuam a cometer esse erro?

Porque o tempo de atividade seduz as pessoas.

Tenho uma opinião difícil: muitas instalações de “segurança inteligente” são, na realidade, apenas circuitos de segurança antigos com ecrãs mais bonitos. A HMI parece moderna. O painel de controlo tem ícones verdes. A equipa de manutenção pode ver o estado do dispositivo a partir da sala de controlo. Mas se o caminho de reinicialização, a resposta a falhas e a lógica de reinício não estiverem integrados numa arquitetura de segurança, o sistema não é mais inteligente. É apenas mais fácil de entender mal.

A própria OSHA orientação do dispositivo sensor de presença diz que as cortinas de luz devem parar a máquina quando o campo de deteção é interrompido, devem impedir o curso seguinte após determinadas falhas e não devem deixar pontos de entrada desprotegidos à volta do perigo. Essa é a verdadeira questão de conformidade, e não se o PLC pode exibir “LC_CLEAR = 1”.”

Se estiver a escolher hardware agora, comece pelo dispositivo de proteção real e não pelo painel de controlo. A gama de produtos de cortinas de luz de segurança dá-lhe a camada de proteção física; a monitorização do estado do PLC apenas informa sobre o que essa camada está a fazer.

A reinicialização da Ethernet parece eficiente. Também pode parecer terrível depois de uma lesão

O reset Ethernet é uma daquelas funcionalidades que parecem inofensivas numa reunião. “Podemos repor o dispositivo de segurança a partir da HMI?” “A manutenção pode eliminar a falha da cortina de luz através do EtherNet/IP?” “O supervisor pode repor o lidar de segurança a partir do painel central?”

Tecnicamente, talvez.

Legal e praticamente, abrandar.

A linha que eu traçaria é simples: A Ethernet pode ser aceitável para diagnósticos, pedidos de reinicialização supervisionados, registo de eventos e configuração de dispositivos em condições controladas, mas não deve tornar-se um caminho de reinício remoto casual para movimentos perigosos. Reposição não é arranque. Reinicialização não é permissão para movimento. A reinicialização não é uma borracha mágica para uma proteção bloqueada, um interbloqueio derrotado ou uma pessoa ainda de pé dentro de uma zona protegida.

A ODVA descreve o CIP Safety como um sistema que proporciona uma comunicação à prova de falhas entre blocos de E/S de segurança, cortinas de luz de segurança, interruptores de interbloqueio de segurança e controladores de segurança, com suporte até SIL 3 ao abrigo da norma IEC 61508. Também explica que o CIP Safety utiliza carimbos de data/hora de segurança, identificadores, métodos CRC/checksum, redundância e protecções de identidade de segurança ao nível do dispositivo, em vez de confiar cegamente no tráfego de rede normal. Essa distinção é importante. As mensagens Ethernet padrão e a comunicação de rede com classificação de segurança não são o mesmo animal.

Assim, esta é a regra interna que utilizo: se o sinal Ethernet apenas indica o estado, deve ser incluído na monitorização. Se o sinal Ethernet puder eliminar uma paragem de segurança, ativar o movimento ou alterar o comportamento de reinício, o seu lugar é num ficheiro de validação de segurança documentado.

E sim, é bom que esse ficheiro sobreviva a uma revisão hostil.

O limite da conformidade: o que a monitorização PLC pode e não pode fazer

A monitorização do estado do PLC funciona melhor quando é tratada como uma testemunha e não como um juiz.

Um PLC standard pode recolher sinais úteis de dispositivos de segurança: saídas auxiliares, feedback do estado do OSSD, estado do EDM, indicadores de muting, condições de bypass, feedback do relé de segurança, estado do pedido de reset, códigos de falha e estado da comunicação. Estes dados são preciosos para a redução do tempo de inatividade. Ajudam a manutenção a encontrar lentes sujas, falhas nos cabos, desvios de alinhamento, reflectores instáveis, temporização de muting incorrecta e disparos incómodos.

Mas tem limites.

Função	Normalmente aceitável através da monitorização padrão do PLC	Requer conceção/validação com classificação de segurança	Porque é que é importante
Indicação do estado da cortina de luz bloqueada/limpa	Sim	Não, se for só de leitura	Útil para diagnóstico e orientação do operador
Registar as falhas dos dispositivos de segurança com registo de data e hora	Sim	Não, se for só de leitura	Ajuda a comprovar o historial de manutenção
Mostrar a condição de pronto para reinicialização na HMI	Sim	Depende da arquitetura	O ecrã não é a função de reposição
Enviar comando remoto de reinicialização da Ethernet	Arriscado	Frequentemente sim	A reposição pode afetar o comportamento de reinício perigoso
Parar movimento perigoso	Não	Sim	A proteção do pessoal deve utilizar controlos de segurança
Monitorizar o feedback do dispositivo externo / EDM	Talvez	Sim, quando faz parte da função de segurança	Os contactores podem soldar; o feedback deve ser tratado corretamente
Modificar zonas de segurança ou lógica de silenciamento através da rede	Arriscado	Sim	As alterações de configuração afectam a função de proteção
Reiniciar a máquina depois de o dispositivo de segurança ter sido desativado	Não	Sim	O reinício automático após o acesso pode ser mortal

A melhor solução de engenharia consiste em separar o sistema em duas camadas. A camada de segurança pára os perigos. O nível de monitorização explica o que aconteceu. Quando as duas camadas se confundem, as investigações tornam-se muito más.

É por isso que os modelos com caraterísticas verdadeiramente orientadas para a segurança são importantes. Por exemplo, um cortina de luz de segurança de alta precisão com suporte EDM é um ponto de partida mais sério do que um sensor fotoelétrico genérico ligado a um cartão de entrada normal. O mesmo se aplica quando um projeto necessita de dimensões especiais, de um comportamento de saída dupla ou de um estado virado para o PLC; um Cortina de luz não normalizada preparada para PLC faz mais sentido do que forçar um sensor padrão numa estrutura de máquina estranha.

Os ficheiros de acidentes não se preocupam com o seu painel de instrumentos

É aqui que a conversa se torna menos confortável.

No ano fiscal de 2024, a OSHA incluiu a proteção de máquinas ao abrigo da norma 29 CFR 1910.212 entre as suas 10 normas mais citadas. A OSHA também comunicou 34 696 inspecções federais no ano fiscal de 2024 e referiu que a agência e os parceiros estatais abrangem cerca de 130 milhões de trabalhadores em mais de 8 milhões de locais de trabalho. Por outras palavras, a aplicação da lei é escassa, mas quando algo corre mal, o rasto documental é muito ruidoso.

O Gabinete de Estatísticas do Trabalho dos EUA registou 5.070 acidentes de trabalho fatais em 2024, contra 5.283 em 2023, com um trabalhador a morrer a cada 104 minutos devido a um acidente de trabalho. Esta não é uma estatística exclusiva de proteção de máquinas, mas é o pano de fundo que todos os gestores de fábricas devem ter em mente antes de aprovarem atalhos em torno da lógica de reposição de segurança.

Veja os casos.

Em setembro de 2024, a OSHA afirmou A Hailiang Copper Texas enfrentou $253K em sanções propostas depois de um trabalhador ter sofrido uma amputação parcial do braço quando tentava limpar detritos perto de equipamento de bobinas de cobre. Segundo a OSHA, a fábrica não instalou as protecções ou dispositivos de bloqueio necessários e expôs os trabalhadores a um contacto perigoso com peças de máquinas em movimento.

Em dezembro de 2024, o Ministério do Trabalho declarou A G&S Metal Products enfrentou $182K em multas depois de dois trabalhadores terem sofrido amputações em incidentes distintos com prensas eléctricas. Uma prensa teve um ciclo inesperado durante a manutenção; outra fechou-se sem aviso enquanto a sucata estava a ser removida. A OSHA referiu-se a protecções inadequadas, falhas de bloqueio/etiquetagem e fraca formação em segurança de máquinas.

Em abril de 2024, o Ministério do Trabalho declarou A Faurecia Emissions Control Systems enfrentou mais de $300K em sanções propostas depois de um trabalhador de 26 anos ter sido esmagado mortalmente perto de um equipamento que dobrava tubos de escape de veículos. A OSHA afirmou que a proteção adequada das máquinas e os procedimentos de bloqueio/etiquetagem poderiam ter evitado a tragédia.

Nenhum inspetor ficará impressionado com um ecrã HMI brilhante se o movimento perigoso puder ser reiniciado a partir do local errado, no momento errado, sem uma visão clara verificada da área protegida.

Onde o monitoramento de dispositivos de segurança Ethernet/IP realmente ajuda

Não sou anti-rede. Sou anti-fantasia.

A monitorização de dispositivos de segurança EtherNet/IP pode ser excelente quando utilizada para as tarefas certas: diagnósticos de segurança da máquina, estado do dispositivo, estado da zona, localização de falhas, provas de manutenção, apresentação da prontidão para reiniciar e prova de que uma exigência de segurança ocorreu às 14:03:22 em vez de “algures antes do almoço”.”

É aqui que a monitorização do estado do PLC ganha o seu sustento.

Uma boa arquitetura de monitorização deve mostrar:

• Nome do dispositivo de segurança, localização e zona da máquina
• Estado OSSD ou estado de saída seguro
• Repor o estado do pedido
• Reiniciar o estado de interbloqueio
• Estado de feedback EDM
• Muting ativo, falha de muting ou bypass ativo
• Código de avaria e registo de data e hora
• Modo de controlo de segurança
• Última exigência de segurança
• Saúde da rede, se for utilizada uma comunicação com classificação de segurança
• Histórico de anulações de manutenção, se é que existe alguma anulação

No entanto, a conceção deve ser muito clara: o autómato de controlo não pode reduzir silenciosamente a função de segurança.

Se ainda estiver a selecionar o tipo de dispositivo de proteção, leia as guias de seleção de dispositivos de segurança antes de efetuar qualquer ligação. Para células maiores, transportadores e áreas de automação móveis, lidars de segurança pode ser mais adequado do que uma cortina de luz fixa. Para a retroação da posição do alvo metálico, um sensor de proximidade pode suportar diagnósticos, mas não deve ser confundido com um dispositivo de proteção pessoal, a menos que a função de segurança total seja concebida para esse fim.

O problema da reposição que ninguém quer assumir

A conceção de reinicialização expõe rapidamente os pontos fracos da engenharia.

Se um trabalhador abrir uma proteção, quebrar uma cortina de luz, pisar uma célula robotizada ou entrar numa área de prensagem, a máquina não deve reiniciar-se apenas porque o sinal se torna novamente claro. Isto parece óbvio. No entanto, as fábricas continuam a criar sistemas em que limpar o feixe, clicar numa confirmação da HMI ou ativar um bit de rede cria uma cadeia de reinício que ninguém testou completamente.

Mas aqui está a questão mais difícil: redefinir a localização.

Normalmente, um botão de reposição deve ser posicionado de modo a que o operador possa verificar se a zona de perigo está livre antes de repor a função de segurança. Um reset remoto via Ethernet a partir de uma sala de controlo pode ser conveniente, mas será que essa pessoa consegue ver por trás da prensa? Consegue ver o interior da célula vedada? Consegue ver o ponto cego de alimentação da paletizadora? Consegue ver o técnico de manutenção agachado ao lado de um encravamento?

Se não, porque é que lhes é permitido reiniciá-lo?

Para o planeamento da conformidade, utilizar o secção de normas de segurança das máquinas como ponto de partida e, em seguida, documentar a avaliação real dos riscos da máquina, o tempo de paragem, a distância de segurança, o local de reposição, o objetivo do nível de desempenho, o método de validação e a conceção da cablagem. Não deixe que a equipa de compras reduza o projeto a “precisamos de Ethernet e estado do PLC”.”

Esta frase é demasiado pequena para o risco.

Uma arquitetura prática que eu defenderia de facto

Eis a arquitetura mais limpa que eu defenderia perante um gestor de segurança, um cliente OEM ou um investigador.

Camada de segurança

Utilize dispositivos e lógica com classificação de segurança para proteção do pessoal. Isto pode incluir cortinas de luz de segurança Tipo 4, relés de segurança, PLCs de segurança, entradas de canal duplo, EDM, binário seguro, protecções com encravamento, tapetes de segurança, lidars de segurança e blocos de funções de segurança validados.

Camada de monitorização

Utilizar a camada padrão PLC, HMI, SCADA ou MES para visibilidade só de leitura. Mostrar o estado. Armazenar eventos. Avisar a manutenção. Tendência de disparos incómodos. Monitorizar a frequência de reposição. Identificar zonas com acesso repetido. Mas não deixe que esta camada se torne a autoridade para uma paragem ou reinício seguros.

Redefinir camada

Utilize um método de reposição que corresponda à avaliação de riscos. A reposição local com fios é frequentemente mais limpa. A reinicialização do PLC de segurança pode ser aceitável quando validada. A reinicialização por Ethernet deve ser tratada como uma exceção e não como uma predefinição, especialmente quando a visibilidade da zona de perigo é incompleta.

Camada de documentação

Guardar as provas. Desenhos de cablagem. Descrições das funções de segurança. Medições do tempo de paragem. Cálculos da distância de segurança. Avaliação SISTEMA ou equivalente, quando aplicável. Registos de testes de validação. Registos de alterações. Regras de permissão da HMI. Política de palavras-passe. Registos de autorização de bypass.

A fábrica que documenta bem este facto parece profissional. A fábrica que não consegue explicar quem pode repor o quê, de onde e em que condições, parece imprudente.

FAQs

O que é a monitorização do estado do PLC para dispositivos de segurança?

A monitorização do estado do PLC é a utilização de entradas do controlador, etiquetas de segurança, bits de diagnóstico e estados da HMI para observar se os dispositivos de segurança, tais como cortinas de luz, encravamentos, tapetes de segurança e scanners lidar, estão saudáveis, bloqueados, prontos para reiniciar, com falhas, silenciados, contornados ou a exigir ativamente uma paragem. Deve melhorar o diagnóstico e não substituir o sistema de controlo de segurança.

Em termos práticos, a monitorização do estado do PLC ajuda a manutenção e as operações a perceberem porque é que uma máquina parou. Pode reduzir o tempo de paragem, expor repetidas viagens incómodas e apoiar uma melhor resolução de problemas. Mas a função de paragem em si deve ser tratada por hardware com classificação de segurança, lógica validada e comportamento de reposição documentado.

O reset Ethernet pode ser compatível com dispositivos de segurança?

O reset Ethernet é um comando de reset baseado na rede enviado através de uma HMI, PLC, controlador de segurança ou protocolo industrial, e só pode ser considerado conforme quando a avaliação de risco, a arquitetura com classificação de segurança, a localização do reset, a prevenção de reinício, o registo de validação e as normas aplicáveis à máquina suportam esse método. Não é automaticamente seguro pelo facto de ser digital.

O maior risco é a reposição remota sem visibilidade. Se a pessoa que reinicia o sistema não puder confirmar que ninguém permanece na zona de perigo, a conceção é fraca. Um reset deve restaurar a prontidão; não deve criar movimentos inesperados ou esconder uma condição insegura atrás de um ícone verde da HMI.

Porque é que a monitorização padrão do estado do PLC não é suficiente para a conformidade da segurança das máquinas?

A monitorização padrão do estado do PLC não é uma função de segurança porque as entradas normais, as mensagens Ethernet, os bits HMI e as etiquetas ladder não são normalmente concebidas, certificadas ou validadas para proporcionar a tolerância a falhas, a cobertura de diagnóstico, a reação determinística e o comportamento de reinício necessários para a proteção do pessoal. A monitorização pode informar as pessoas, mas não se pode assumir que as protege.

Isso não torna o PLC inútil. Significa que o PLC deve desempenhar o papel correto. Deixe-o recolher eventos, apresentar o estado do dispositivo e alertar a manutenção. Deixe que o relé de segurança, o PLC de segurança, o controlador de segurança ou a rede de segurança validada desempenhem a função de proteção.

Como é que os engenheiros devem monitorizar os dispositivos de segurança com PLC sem criar riscos de conformidade?

A monitorização segura do PLC significa separar a lógica de paragem com classificação de segurança dos diagnósticos sem segurança e, em seguida, utilizar saídas auxiliares aprovadas, bits de estado do controlador de segurança, registos de eventos e indicadores HMI só de leitura para comunicar o estado do dispositivo sem permitir que os comandos Ethernet normais anulem, reiniciem ou reiniciem as funções de proteção. O limite deve ser intencional, documentado e testado.

Uma boa regra é simples: ler o estado livremente, escrever comandos cuidadosamente. Qualquer comando que altere o estado de reset, o estado de muting, o estado de bypass, a configuração da zona ou a permissão de reinicialização merece uma revisão de segurança. Se a função afetar a possibilidade de ocorrência de movimentos perigosos, deve ser considerada como parte do sistema de segurança.

O que deve ser verificado antes de adicionar a lógica de conformidade do circuito de segurança de reinicialização do PLC?

A conformidade do circuito de segurança de reinicialização do PLC significa que a conceção da reinicialização deve ser revista em relação à avaliação de risco da máquina, localização da reinicialização, visibilidade da zona de perigo, requisitos de reinicialização manual, prevenção de reinicialização, estrutura de entrada com classificação de segurança, feedback EDM, tratamento de falhas, controlo de acesso e registos de validação. Um circuito de reinicialização não é apenas um botão; é um comportamento de segurança controlado.

Antes de o aprovar, testar modos de falha reais. Suspender o reset. Partir a cortina de luz. Simular um contactor soldado. Diminuir a comunicação em rede. Fazer um ciclo de energia do controlador de segurança. Tentar reiniciar a partir do ecrã errado. Se a máquina continuar a comportar-se de forma previsível e segura, está mais próximo de uma conceção defensável.

Os seus próximos passos

Não compre a “reinicialização da Ethernet” como uma funcionalidade até saber exatamente o que é que ela reinicializa, quem a pode acionar, onde se encontram, o que podem ver e se a função de segurança permanece válida após o comando.

Para uma nova máquina ou para uma adaptação, comece por definir o risco, a distância de segurança, o tipo de dispositivo de proteção, a estrutura de saída, o método de reposição e as necessidades de monitorização. De seguida, faça corresponder o produto ao risco. Se a aplicação envolver dimensões personalizadas, diagnósticos orientados para o PLC, EDM, saídas duplas, ambientes agressivos ou acesso a vários lados, envie a disposição da máquina, a altura de proteção necessária, a resolução, a gama de deteção, o tipo de saída, a tensão, os requisitos de cabos, o mercado-alvo e as expectativas de reposição através do Página de pedido de orçamento de cortinas de segurança.