Blog

Dec 13, 2023

Schütze und Sicherheit

Das Konzept des intelligenten Lastmanagements im Haushalt wird zum Standard werden. Warum

Das Konzept des intelligenten Lastmanagements im Haushalt wird zum Standard werden. Warum ? – einfach, weil wir nicht über die Speicherkapazität/Flexibilität verfügen, um den Spitzenbedarf im nationalen Stromnetz zu bewältigen, wie wir es derzeit bei gas- und ölbasierten Brennstoffen aus dem Stromnetz haben, selbst unter Berücksichtigung lokaler Erzeugung, Prosumer usw. Dies impliziert a Kostenmodell, das widerspiegelt, wann Sie Ihren Strom verbrauchen/entnehmen, was ein höheres Maß an Management und Kontrolle über den bestehenden Strombedarf für jeden Verbraucher erfordert.

Das Konzept der dezentralen Steuerung durch smarte Geräte mit übergeordneter Steuerung ist bei Neubauten einfach umsetzbar. Bestehende Installationen und Geräte könnten ein zentrales Bedienfeld zur Auswahl der Stromkreise nutzen, basierend auf der Verfügbarkeit/Kosten der Versorgung zum Zeitpunkt der Nutzung.

Das Endergebnis ist ein verstärkter Einsatz von Schützen (Leistungsrelais), um diskrete Schaltfunktionen für bestimmte Geräte und/oder Schaltkreise bereitzustellen. Dies ähnelt beispielsweise dem heutigen dynamischen Lastmanagement in Ladegeräten für Elektrofahrzeuge, die für die Grundfunktionalität auf einem Schütz basieren.

Best-Practice-Schaltungsentwürfe, bei denen Schütze zur Bereitstellung von Sicherheitsfunktionen eingesetzt werden, berücksichtigen die erkannten Fehlermodi eines Schützes und des zugehörigen Steuerkreises. Bestehende Standards decken dies ab – Beispiele finden Sie unten:

BSEN 61508-Standard (Funktionale Sicherheit) für Anwendungsnormen wie BSEN 62061-1 (Funktionale Sicherheit von Maschinen) und BSEN IEC 61851-1 (Ladesysteme für Elektrofahrzeuge), bei denen bestimmte Elemente des elektrischen Steuerungssystems eine Sicherheitsfunktion bereitstellen. Überprüfen Sie beispielsweise bei einem Ladegerät für Elektrofahrzeuge das Vorhandensein des Schutzleiters, bevor Sie den Ladezyklus starten. Die Design-Risikobewertung bestimmt das Leistungsdesign des Steuerungssystems und der Produkte, die zum Stoppen oder Beseitigen der Gefahr verwendet werden.

Not-Halt: Beseitigen oder Stoppen einer nichtelektrischen Gefahr, die speziell auf bewegliche Teile einer Maschine zurückzuführen ist; Quetschen, Scheren, Verwickeln, Einklemmen usw. Die Stromversorgung darf nicht entfernt werden, wenn dadurch zusätzliche Gefahren entstehen, z. B. das Entfernen der elektrischen Bremse bei Lasten mit hoher Trägheit.

In Abb. 1: Ein einzelner Gerätefehler könnte zum Verlust der Sicherheitsfunktion führen, z. B. die Kontakte des Schützes bleiben geschlossen, wenn Sie den Not-Aus-Schalter betätigen, d. h. die Hardware-Fehlertoleranz (HFT) = 0. Dieses Leistungsniveau ist möglicherweise ausreichend für leichte reversible Verletzungen wie Blutergüsse, jedoch nicht für irreversible Verletzungen.

Um die Sicherheitsziele der relevanten Richtlinien/Verordnungen zu erreichen, müsste der Entwickler zusätzliche Maßnahmen in Betracht ziehen, z. B. Fehlerüberwachung, Fehlerreaktion, Hardware-Redundanz basierend auf dem Risiko/der Gefahr.

Notabschaltung:* Beseitigung einer elektrischen Gefahr im Zusammenhang mit der Versorgungsspannung

BS EN 60204-1 (Sicherheit von Maschinen): Spezifiziert die Verwendung geeigneter Geräte, die sich bei Betätigung ausschalten, einschließlich einer autorisierten Aktion nach Überprüfungen, bevor die Stromversorgung wieder angeschlossen wird.

* Electricity at Work Regs 1989 Guidance Note (2) 35: 230 V Wechselstrom wird als „tödlich gefährlich“ eingestuft.

BS7671 537.3.3 (Unterbrechen der Versorgung einer gesamten Anlage oder eines Teils davon): Vorrichtungen zur Notabschaltung müssen an einem Ort in der Nähe der Gefahr leicht zugänglich sein – siehe 537.3.3.6 und in der Lage sein, in der Aus-Position einzurasten, sofern dies möglich ist Das Aus- und Wiedereinschalten liegt nicht in der Kontrolle derselben Person – siehe 537.3.3.7

Beispiel. Die Bedienelemente dieser Haushaltswärmepumpe befinden sich innerhalb des Grundstücks und nicht in der Reichweite von Personen, die draußen an den Geräten arbeiten. Zur sicheren Trennung muss sich in der Nähe des Geräts ein Lastschalter befinden, der den blockierten Motorstrom unterbrechen kann.

Die Electrical Equipment (Safety) Regulations 2016 legen konkrete Sicherheitsziele fest. Um diese Ziele zu erreichen, entwerfen Hersteller Geräte normalerweise auf der Grundlage festgelegter Standards oder verwenden bestehende Referenzstandards (Best Practice) für nicht standardisierte Geräte. Bestehende Standards und bewährte Verfahren können angewendet werden, um den grundlegenden Sicherheitsnachweis des Konstrukteurs für die Produktrisikobewertung und den Geräteentwurf zu unterstützen – siehe Anhang 2 (2. d).

Elektrische Geräte, die nicht unter eine bestimmte Konstruktionsnorm fallen, müssen dennoch den Sicherheitsvorschriften für elektrische Geräte entsprechen: Anwendungsbeispiel Einphasige PME-Versorgung zum Laden von Elektrofahrzeugen (BS 7671 722.411.4.1) – dh elektrische Trennung im Falle eines Leerlauffehlers im offenen Stromkreis. Siehe Anmerkung 5 der obigen Klausel, in der es weiter heißt:

„...es liegt in der Verantwortung des Elektroinstallationsplaners oder einer anderen Person, die für die Spezifikation der Installation verantwortlich ist, sicherzustellen, dass der Hersteller des Geräts sichergestellt hat, dass das Gerät die Sicherheitsziele der relevanten Richtlinie(n) erfüllt.“

Für die in 722.411.4.1 (iii), (iv), (v) beschriebene Ausrüstung gibt es keinen spezifischen Produktdesignstandard. Bestehende Sicherheitsstandards decken jedoch Entwurfsprinzipien für sicherheitsrelevante Funktionen unter Verwendung von Schützen ab.

BSEN 60947-4 (Elektromechanische Schütze) Anhang K; Bietet Informationen zu häufigen Fehlerarten und Fehlerraten zur Verwendung bei der Konstruktion von Geräten, die Schütze in funktionalen Sicherheitsanwendungen verwenden, z. B. das Schalten des stromführenden Neutralleiters und des Erdleiters, um eine elektrische Gefahr im Falle eines Neutralleiterfehlers mit offenem Stromkreis zu beseitigen. Bei Konstruktionen, die sich ausschließlich darauf verlassen, dass der Anker eines Schützes nach dem Einschalten über Wochen, Monate oder sogar Jahre einen Stromkreis öffnet und trennt, besteht eine hohe Wahrscheinlichkeit, dass das Öffnen fehlschlägt – Einzelheiten siehe unten.

Beim Entwurf sicherer Geräte für Haushaltsanwendungen wird berücksichtigt, dass die Person, die für den täglichen sicheren Betrieb des Geräts verantwortlich ist, eine „normale Person“ ist.

BS7671 Tabelle 537.4 verweist auf BSEN 60947-4; Schütze, die für den Einbau in ein vollständig geschlossenes Gerät oder Gehäuse geeignet sind und BSEN 61095; Schütze beschränkt auf < 63 A und Iq* < 6 kA, geeignet für die Montage in einem modularen Gehäuse. Ein Schütz kann auf die Einhaltung beider Normen geprüft werden – siehe technische Daten des Herstellers.

*Iq = bedingter Nennkurzschlussstrom des Schützes + SCPD

BSEN 60947-4 Anhang K: Schütze für den Einsatz in sicherheitsbezogenen Anwendungen (BSEN 61095 ist nicht anwendbar). Beispielsweise erfordert BSEN IEC 61851-1, dass Schütze 60947-4 erfüllen.

Anhang K Abschnitt K.3 behandelt die Charakterisierung eines Fehlermodus und Tabelle K.1 gibt die typischen Fehlermodi von normalerweise offenen Schützen an. Abschnitt K.4 behandelt die typischen Ausfallraten (Tabelle K.2) und besagt: „Die Hardware-Fehlertoleranz (HFT) für ein Schütz beträgt im Allgemeinen Null.“ Zu Entwurfszwecken sind HFT-Werte in BSEN 61508 definiert, z. B. Geräte mit einem HFT = 0 können keinen einzigen gefährlichen Fehler tolerieren – siehe erste Beispieltabelle K.1 unten

Die in Tabelle K.2 angegebenen typischen Ausfallquoten (F) beziehen sich auf eine bestimmte Nutzungskategorie. Es ist jedoch wichtig zu beachten, dass die „Failure-to-Open“-Quote bei Betrieb unter Last 73 %* und bei mechanischem Betrieb (aus) 50 %* beträgt Belastung.)

* Typische Werte basierend auf einer Reihe elektromechanischer Schütze

Wenn der Fehlermodus des Schützes zu einer gefährlichen Situation führen könnte und die Ausfallquote > 40 % beträgt, wie im oben genannten Fall, verweist 60947-4 auf die Verwendung einer Diagnosefunktion mit einer geeigneten Fehlerreaktionsfunktion – Beispiel: BSEN IEC 61851-1 ( EV-Versorgungsausrüstung) 6.3.1.1 erfordert obligatorische Steuerpilotfunktionen, einschließlich Ein- und Ausschalten der Stromversorgung des Elektrofahrzeugs, d. h. Überwachung des Öffnens und Schließens des Schützes für jeden Ladezyklus. Dies erhöht die Wahrscheinlichkeit, einen Fehler zu erkennen, bevor das Gerät eine zusätzliche Sicherheitsfunktion übernehmen muss, beispielsweise wenn das Gerät über eine Fehlerüberwachung bei offenem Neutralleiter verfügt.

Die Verwendung von Spiegelhilfskontakten zur Bereitstellung von Diagnoserückmeldungen über das elektrische Steuersystem bietet eine anerkannte (standardisierte) Methode zur Erkennung, dass ein Schütz am Ende des abgeschlossenen Zyklus nicht geöffnet hat.

* Spiegelkontakt: Hilfskontakt, der mechanisch mit einem Leistungskontakt verbunden ist, um den Status der Leistungskontakte zuverlässig nachzubilden – 60947-4 Anhang F

In der Praxis gibt es eine Reihe von Gründen, warum ein Schütz nicht öffnet. Zwei Beispiele finden Sie unten:

61095 legt fest, dass im Fehlerfall durch die Koordination mit der Schutzeinrichtung keine gefährlichen Auswirkungen bei der Fehlerbeseitigung entstehen dürfen. Das Risiko von verschweißten Kontakten wird in Kauf genommen und das Schütz ist möglicherweise nicht mehr für die weitere Verwendung geeignet, d. h. das Schütz muss ausgetauscht werden, bevor das Gerät wieder in Betrieb genommen wird.

60947-4 spezifiziert zwei Ebenen (Typen) der Koordination. Im Fehlerfall nehmen beide Koordinationsarten das Risiko einer Verschweißung der Hauptkontakte in Kauf: Koordination Typ 1; ähnlich wie 61095, ersetzen Sie das Schütz, bevor Sie das Gerät wieder in Betrieb nehmen. Typ-2-Koordination; Das Schütz muss für eine weitere Verwendung geeignet sein. Lesen Sie vor der Wiederinbetriebnahme die Anweisungen des Herstellers, um zu erfahren, wie Sie dies überprüfen können.

Das Zurücksetzen eines MCB oder das Ersetzen einer Sicherung vor der Überprüfung des Schützes auf verschweißte Kontakte kann dazu führen, dass hinter dem Schütz ein Stromkreis unter Spannung steht und die Spulenversorgung unterbrochen ist.

Beide Normen beziehen sich auf Dauerbetrieb (Schütz unter Spannung) als die Zeit, die benötigt wird, während ein gleichmäßiger Strom fließt, der lang genug ist, damit die Kontakte des Schützes und der Magnetkreis, wenn er mit seiner Nennsteuerversorgungsspannung (100 %) erregt wird, ein thermisches Gleichgewicht erreichen. jedoch nicht länger als 8 Stunden ohne Abschalten des Schützes. Magnetkreise von Schützen, die über einen längeren Zeitraum unter Spannung stehen, können anhaltend niedrigen Überspannungen ausgesetzt sein. Eine Überhitzung des Magnetsystems kann dazu führen, dass der Anker beim Entfernen der Spulenversorgung geschlossen bleibt.

Siehe BS 7671 Tabelle 537.4: Zur Isolierung geeignete Hauptkontakte – siehe 537.2.4, 537.3.3.6 und 537.3.7:

Der Wortlaut der Verordnungen umfasst innovative Technologien und die Wahrung sicherer Designstandards. In Situationen, in denen keine Gerätenorm vorhanden ist, geben allgemeine Sicherheitsnormen Hinweise zur Entwicklung und Konstruktion sicherer Geräte bei der Anwendung bestehender Produkte.

Für eine technische Entscheidung über ein Produkt ist ein Verständnis der mit der jeweiligen Lösung verbundenen Risiken erforderlich. Wir sollten uns über die Begründung dieser Lösung im Klaren sein. Bestehende Sicherheitsstandards geben Empfehlungen zum Einsatz von Schützen in funktionalen Sicherheitsanwendungen. Der regelmäßige Betrieb des Geräts (Öffnen und Schließen des Schützes) in Kombination mit einem Diagnosekontrollsystem (unter Verwendung der Spiegelkontakte des Schützes) und einer Fehlerreaktionsfunktion (Systemsperre, Alarm, Wartung usw.) ermöglichen die frühzeitige Erkennung gefährlicher Fehler und erhöhen die Effizienz die Sicherheitszuverlässigkeit der Ausrüstung. Die Konstruktionsstandards für Elektrofahrzeug-Ladegeräte berücksichtigen bereits in der Grundkonstruktion Anforderungen an die funktionale Sicherheit, und daher kann das Konstruktionsmerkmal – die elektrische Trennung im Falle eines in die Elektrofahrzeug-Ladestation eingebauten Leerlauf-Neutralleiterfehlers – unter Bezugnahme auf die bestehende Norm 61851-1 überprüft werden.

Schütze sind für den regelmäßigen Betrieb (Öffnen und Schließen) ausgelegt und bieten eine einfache und zuverlässige Methode zum regelmäßigen Fernschalten elektrischer Lasten. Beim Einsatz in sicherheitsrelevanten Anwendungen sollten wir die Hinweise der Schützproduktnorm 60947-4 und der bestehenden Sicherheitsstandards beachten.

Chaz Andrews – Technischer Leiter, Doepke UK Ltd

[email protected] oder www.doepke.co.uk