STO, SS1 eller SS2 – sådan standser du maskinen sikkert

Sikker standsning af en maskine er et af de vigtigste elementer i funktionssikkerhed i industrien. Automationsingeniøren står ofte med spørgsmålet: er det nok blot at afbryde forsyningen, er det bedre at bruge kontrolleret opbremsning, eller skal drevet måske holdes spændingssatt? I praksis handler svaret om at vælge den rigtige stopfunktion: Safe Torque Off (STO), Safe Stop 1 (SS1) eller Safe Stop 2 (SS2). I denne artikel gennemgår vi trin for trin, hvordan disse funktioner virker, hvornår du bør vælge hvilken, og hvad du skal være opmærksom på ved design af maskinens sikkerhedssystem. Alt sammen baseret på standarder og god praksis – men præsenteret på en praktisk, ingeniørmæssig måde, så det ikke bliver lige så tørt som en brugervejledning.

Sikker standsning af maskinen trin for trin

Før vi dykker ned i detaljerne om STO, SS1 og SS2, er det værd at forstå de kategorier for sikker standsning, som er defineret i standarderne. Standarden DS/EN 60204-1 skelner mellem tre stopscenarier (kategorier), som svarer til vores sikkerhedsfunktioner:

1. Kategori 0 (STO) – nødstop ved øjeblikkelig afbrydelse af drevets forsyning, uden kontrolleret opbremsning. Det er den hurtigste måde at standse en maskine på og svarer til det klassiske tryk på nødstopsvampen. Ulempen er, at stoppet er ukontrolleret – det beskytter ikke mekanismerne mod konsekvenserne af en brat standsning. Derfor kan det være for hårdhændet for følsomme maskiner og kan også give lange tider, før udstyret kan startes op igen.
2. Kategori 1 (SS1) – kontrolleret standsning, hvor systemet først aktivt bremser maskinen, og først når bevægelsen er ophørt, afbryder forsyningen (ved at gå over i STO). Med andre ord reducerer motoren hastigheden under drevets kontrol, hvorefter der sker en sikker frakobling af momentet. Denne tilgang minimerer ryk og gør det muligt at standse bevægelsen på en mere civiliseret måde. Den kræver ganske vist lidt tid til opbremsning, men til gengæld reducerer den risikoen for mekaniske skader. Typiske anvendelser er situationer, hvor sikkerheden kræver, at bevægelsen bremses ned i stedet for at blive afbrudt øjeblikkeligt – fx produktionslinjer med sarte emner, hvor et pludseligt stop kunne beskadige produktet.
3. Kategori 2 (SS2) – kontrolleret standsning med moment fastholdt efter stop. I dette tilfælde bliver forsyningen ikke afbrudt efter opbremsning; i stedet går drevet over i en tilstand, der fastholder et sikkert stop (SOS-funktionen – Safe Operating Stop). Motoren forbliver spændingssatt og fastholder aktivt positionen, så enhver bevægelse forhindres. Denne løsning er nødvendig, hvor der efter stop kræves positionsstabilisering – fx i industrielle elevatorer eller maskiner med ophængte elementer (så lasten ikke begynder at synke). En fordel ved kategori 2 er også, at arbejdet hurtigt kan genoptages, fordi drevsystemet forbliver klar.

Opdelingen ovenfor gør det muligt at vælge stopmetode ud fra maskinens karakter og de relevante farer. Man standser en lille transportør på én måde og en stor traverskran med høj inertimasse på en anden. Det er vigtigt, at risikovurderingen i designfasen viser, hvilket stopscenarie der sikrer mennesker og udstyr. Husk også, at nødstop (E-STOP) på en maskine i henhold til reglerne skal udføres i kategori 0 eller 1 – altså som STO eller SS1. Kategori 2 (SS2), hvor forsyningen forbliver spændingssatt, er ikke tiltænkt den typiske nødstopsvamp, fordi vi i en livredningssituation vil reducere alle energikilder mest muligt. SS2 vil dog blive brugt i andre stoptilstande, som vi vender tilbage til om lidt.

Hvordan fungerer funktionen Safe Torque Off (STO)

Safe Torque Off (STO) er den enkleste og mest grundlæggende funktion til sikker standsning. Den virker ved øjeblikkeligt at afbryde energien til motoren – enten ved at afbryde frekvensomformerens udgangsspænding eller ved at koble kontaktorer fra i forsyningskredsløbet. Resultatet er, at motoren ikke længere kan generere drejningsmoment (eller kraft, i tilfælde af lineære aktuatorer). Med andre ord kan drevet ikke længere drive maskinens bevægelige dele. STO svarer dermed til et ukontrolleret stop i kategori 0, i tråd med beskrivelsen ovenfor.

Det er vigtigt at understrege: STO bremser ikke aktivt motoren – den løber blot frit ud, indtil friktion og bevægelsesmodstand får den til at standse. Derfor afhænger stoptiden ved STO af systemets inerti. I maskiner med lav inerti og stor modstand (fx en lille motor med snekkegear) ophører bevægelsen næsten med det samme. Men har vi en hurtigt roterende spindel eller en tung rotor med stor masse, kan den efter afbrydelse af forsyningen fortsætte med at rotere et stykke tid. STO egner sig derfor bedst dér, hvor øjeblikkeligt stop af hele drevet ikke er påkrævet – de naturlige modstandskræfter er nok til at bremse maskinen inden for en acceptabel tid.

Fordelen ved STO er enkelheden og høj driftssikkerhed. Det er en funktion, der i dag er indbygget i praktisk talt enhver moderne frekvensomformer eller servoforstærker. Den opfylder strenge normkrav (ofte SIL 2 eller SIL 3, PL d/e) og kan derfor erstatte klassiske kontaktorer, der afbryder forsyningen. Med STO kan vi forhindre uventede motorstarter – funktionen er en grundlæggende beskyttelse mod ukontrolleret bevægelse efter, at maskinen er slukket. Nødstopknappen aktiverer typisk netop STO ved at afbryde energien og bringe drevet til standsning på den enklest mulige måde.

Begrænsninger? Da STO ikke styrer opbremsningen, beskytter den ikke mod inertieffekter. Hvis vi fx stopper et transportbånd fyldt med varer ved kun at afbryde forsyningen, kan varerne fortsætte og glide af på grund af deres bevægelsesenergi. For lodrette akser (fx kran, elevator) kan STO alene ligefrem være farligt – afbrydelse af momentet kan medføre, at en ophængt last synker under påvirkning af tyngdekraften. Derfor skal STO i visse anvendelser suppleres med yderligere foranstaltninger, fx mekaniske bremser, der stopper bevægelsen. Her anvendes funktionen SBC (Safe Brake Control), som sammen med STO sikkert aktiverer den mekaniske bremse på motoren eller aksen. En sådan løsning er standard fx i de nævnte kraner og elevatorer – straks efter at momentet er afbrudt med STO, holder bremsen lasten på plads.

Opsummeret: STO afbryder momentet øjeblikkeligt og forhindrer, at motoren genererer kraft. Det er et hurtigt nødstop i kategori 0, ideelt når hvert sekund tæller i forhold til at afbryde energien. Man skal dog sikre sig, at maskinens frie udløb ikke skaber en fare – og hvis det gør, skal STO suppleres med bremser eller man skal vælge SS1.

Safe Stop 1 (SS1) – kontrolleret opbremsning til stop

Når der er behov for et kontrolleret stop af maskinen, er Safe Stop 1 (SS1) løsningen. SS1 udfører et tofaset stop. I første fase bremser drevet motoren aktivt – det reducerer hastigheden efter en defineret bremserampe eller overvåger bremsetiden. Når hastigheden er faldet næsten til nul, starter anden fase: automatisk skift til STO (sikker frakobling af moment) og eventuelt aktivering af den mekaniske bremse (SBC) for at fastholde aksen helt. Med andre ord: SS1 fjerner først bevægelsesenergien på en kontrolleret måde og afbryder derefter forsyningen på samme måde som STO.

Denne driftsmåde svarer til stopkategori 1 i normen – altså kontrolleret opbremsning + afbrydelse af forsyningen. SS1 anbefales, når der kræves et så hurtigt som muligt, men samtidig kontrolleret stop af maskinen. En typisk situation er, at udstyret kører med høj hastighed eller har betydelig inerti. En brat afbrydelse af forsyningen (STO) vil give lang udløbstid eller et kraftigt mekanisk ryk ved et pludseligt stop. I stedet bremser SS1 dynamisk med motoren – hvilket ofte giver et hurtigere stop end friktion alene – og gør det samtidig overvåget, så det er skånsomt og sikkert for mekanikken.

Eksempler? Rundsavklinger, slibemaskiner, centrifuger, mekaniske presser – generelt bør maskiner med stor roterende energi stoppes med SS1. Forestil dig en stor båndsav: Et tryk på STOP får frekvensomformeren til at lægge en bremserampe ind og hurtigt reducere savens omdrejninger. Når saven er standset, afbrydes momentet (STO), og maskinen forbliver sikkert immobiliseret. Dermed er stoppet langt hurtigere end at vente på, at saven selv går i stå, og samtidig er der ingen risiko for at beskadige drevet eller materialet med et pludseligt ryk – opbremsningen er fuldt kontrolleret af systemet.

Det er værd at vide, at normen DS/EN 61800-5-2 tillader forskellige måder at implementere SS1 på. Drevproducenter tilbyder fx varianten SS1-r (ramp monitoring), hvor systemet overvåger bremserampen og aktiverer STO, når hastigheden falder under en fastsat grænse, eller SS1-t (time controlled), hvor STO aktiveres efter en fastsat tid uanset hastigheden. Uanset implementering er målet det samme: at stoppe bevægelsen så hurtigt, som det er sikkert muligt, og til sidst afbryde energien. SS1 kræver typisk mere avanceret styring (fx et sikkerhedsmodul i frekvensomformeren eller en safety PLC), men de fleste moderne drev har allerede disse funktioner som standard eller som tilvalg.

I øvrigt er SS1 et hyppigt valg til at realisere et nødstop i kategori 1 – dvs. f.eks. et tryk på svampeknappen, hvor maskinen skal bremse kontrolleret ned i stedet for, at forsyningen afbrydes med det samme. Et sådant nødstop med kontrolleret opbremsning kræves, når en øjeblikkelig afbrydelse af forsyningen kan øge risikoen (f.eks. hvis materiale kan slynges ud af en hurtigt roterende tromle). I praksis implementeres det sådan, at sikkerhedscontrolleren ved aktivering af E-STOP sender en bremsekommando til frekvensomformeren (SS1-rampe), og hvis hastigheden ikke falder til nul inden for en fastsat tid, så afbrydes forsyningen alligevel for en sikkerheds skyld. Det hænger sammen med, at nødstop altid skal virke, også hvis opbremsningen svigter. Sikkerhedssystemets designer bør forudse et sådant scenarie.

Safe Stop 2 (SS2) – stop med fastholdelse af position

Så mangler vi den tredje funktion – Safe Stop 2 (SS2). SS2 er i nogen grad en udvidelse af SS1. Den gennemfører også et stop i to faser (opbremsning + sikkert stilstand), men forskellen er, at vi ikke afbryder forsyningen efter, at motoren er standset. I stedet for at gå over i STO fastholder drevet aktivt momentet på motoren ved nul hastighed ved hjælp af funktionen SOS (Safe Operating Stop). Med andre ord bliver motoren sikkert standset i en bestemt position, og denne position overvåges og fastholdes løbende af styresystemet. En sådan sikker stilstand under spænding svarer til et kontrolleret stop i kategori 2, som blev nævnt tidligere.

Hvad får vi ud af det? Først og fremmest – hurtig genstart af maskinen. Fordi motoren hele tiden er forsynet (om end ved nul hastighed), kan bevægelsen genoptages med det samme uden ekstra procedurer. Til sammenligning går systemet efter SS1 (kategori 1) over i STO, så for at starte igen skal man først give tilladelse til at forsyne drevet på ny, hvilket kan være tidskrævende (kræver reset af sikkerhedssystemet osv.). SS2 fjerner denne forsinkelse – bevægelsen kan frigives praktisk talt med det samme, når sikkerhedsbetingelserne tillader det.

SS2 bruges dér, hvor maskinen eller en del af den kun skal stå stille i kort tid, og vi ønsker at kunne genoptage hurtigt, eller hvor der kræves stilstand i beredskab til videre drift. Det skyldes ofte procesforhold eller behovet for regelmæssige, korte operatørindgreb. Et eksempel kan være en produktionslinje, hvor operatøren med jævne mellemrum skal hen og rense noget, justere en sensor eller fjerne et defekt produkt. I stedet for at slukke hele maskinen (og derefter møjsommeligt starte den op igen) kan man bruge SS2: linjen stopper kontrolleret og forbliver i sikker stilstand, operatøren udfører sin opgave i et minut, og derefter fortsætter maskinen uden fuld genstart. Et andet eksempel er kalibrering af et visionsystem på en maskine – vi stopper transportbåndet på et præcist fastlagt sted, mens kameraet forbliver tændt og klar til videre drift efter justeringen.

I applikationer som robotteknik eller montage bruges SS2 ofte til et såkaldt stop i beredskabstilstand – robotten stopper i en bestemt position og holder den (f.eks. med værktøjet over emnet) under en kort pause og fortsætter derefter uden behov for ny kalibrering. Det er dog vigtigt at huske, at systemet forbliver spændingssat – derfor anvendes SS2 ikke til nødstop, men til kontrollerede stop ved planlagte pauser eller servicetilstande. Standarder kræver tydeligt, at forsyningen i en nødsituation skal afbrydes (STO eller SS1).

Teknisk set kræver implementering af SS2, at drevet har funktion til overvågning af hastighed og position (SOS) og er certificeret til at holde moment i stilstand. Mange moderne drev har denne mulighed – f.eks. kan servodrev med sikkerhedsmoduler selv registrere, om motoren står stille, og fastholde den sikkert i den ønskede position. Hvis der er risiko for, at lasten alligevel begynder at bevæge sig (f.eks. på grund af tyngdekraften på en lodret akse), anvendes der typisk også en mekanisk bremse for fuld sikkerhed. SS2 fritager os ikke fra at tænke på fysikken – at der løber strøm i motoren for at holde positionen, er ikke altid tilstrækkeligt ved f.eks. en alvorlig fejl. Normalt sker der dog ikke noget under korte stop, og vi vinder på driftens kontinuitet.

Er SS1 tilstrækkelig i applikationer med stor inerti?

Det er tid til at besvare det spørgsmål, mange konstruktører stiller sig selv: er det i systemer med stor inerti nok at bruge SS1, eller kræver det noget mere? Stor inerti (træghed) betyder, at maskinen lagrer en del kinetisk energi – og derfor er den sværere at standse hurtigt. Intuitionen siger, at STO alene ikke ville være tilstrækkeligt, fordi tunge dele ville løbe videre i lang tid. SS1 fremstår derfor som minimum for aktivt at bremse drevet ned. Og i de fleste tilfælde er SS1 den gyldne standard for maskiner med stor træghed – den giver det hurtigste stop, fordi drevet arbejder som en bremse. De tidligere nævnte eksempler (save, centrifuger, presser) er netop maskiner med betydelig roterende masse, hvor SS1 ligefrem er en nødvendighed.

Men er SS1 altid tilstrækkeligt? Det afhænger af omstændighederne. SS1 sikrer, at bevægelsen standser, men når opbremsningen er afsluttet, afbrydes forsyningen (STO). Hvis applikationen blot skal stoppe en tung mekanisme og vente, til operatøren fjerner emnet eller fylder råmateriale på, vil SS1 sandsynligvis løse opgaven fuldt ud – maskinen stopper sikkert, og frakobling af effekt forhindrer ubehagelige overraskelser. Vi skal blot sikre, at drevet og dets komponenter er dimensioneret til at optage bremseenergien (fx passende bremsemodstande i frekvensomformeren, så den ikke tager skade ved bortledning af store energimængder). Designeren af industriel automation bør verificere, om frekvensomformer/servodrev har tilstrækkelig bremsekapacitet til den pågældende inertimasse – en typisk fejl er, at sikkerhedsfunktionen godt nok virker, men at drevet melder overbelastningsfejl, når det forsøger at bremse et tungt svinghjul.

Det andet spørgsmål er, hvad der sker efter stop. Hvis systemet har stor inerti, men standser i en stabil position (fx en vandret liggende rulle, der blot holder op med at rotere), er det fint. Men i maskiner, hvor en stor masse kan flytte sig under påvirkning af ydre kræfter (fx tyngdekraft), er SS1 alene måske ikke nok – for når der skiftes til STO, kan lasten begynde at bevæge sig. Eksempel: en stor transportør, der er hældende – med stor masse i både bånd og gods. Vi bremser den med motoren (SS1), men når effekten afbrydes, er der risiko for, at tyngdekraften sætter båndet i bevægelse nedad. I sådanne situationer er det nødvendigt at tilføje en mekanisk bevægelseslås. Det kan være den tidligere nævnte SBC-bremse, som ved afbrydelse af forsyningen klemmer til og fastholder positionen. Uden den går det ikke – en ren elektrisk funktion kan ikke overvinde fysikkens love. Med andre ord: SS1 skal suppleres med mekaniske foranstaltninger, når applikationen kræver det.

Kunne SS2 være bedre ved stor inerti? SS2 holder jo momentet, så der er ingen risiko for, at lasten “slipper”. Det er korrekt, at SS2 giver aktiv fastholdelse af positionen efter stop, hvilket er en fordel fx for lodrette akser med belastning. I de fleste tilfælde anvender man dog alligevel en mekanisk bremse som ekstra sikring. SS2 er derimod nyttig, når man ønsker hurtig genstart – dvs. hvis det tunge system ofte skal starte fra stilstand, og man ikke vil nulstille drevet hver gang. Stor inerti i sig selv kræver ikke SS2; det, den kræver, er kontrolleret opbremsning – og det leverer SS1. Samlet set: I maskiner med stor inerti er SS1 med et velkonstrueret bremsesystem som regel helt tilstrækkeligt, forudsat at vi medtænker ekstra bremser på akser, der ellers kunne bevæge sig af sig selv. SS2 kan tilføjes, hvis gevinsten ved hurtigere genstart er vigtig, eller hvis der kræves et stop i beredskab (men det er et spørgsmål om proces og teknologi – ikke om inerti alene).

STO, SS1 og SS2 er tre forskellige svar på spørgsmålet om, hvordan man stopper en maskine sikkert. Hver af disse funktioner har sin plads i automationsingeniørens værktøjskasse. STO afbryder energien øjeblikkeligt – enkelt og pålideligt, men lader maskinen løbe ud på grund af sin bevægelsesenergi. SS1 tilføjer kontrolleret opbremsning, så stoppet bliver hurtigere og mere skånsomt for mekanikken, og efter stop er maskinen spændingsløs. SS2 stopper tilsvarende hurtigt som SS1, men holder derimod maskinen under spænding og under kontrol, klar til at starte igen på et øjeblik.

Ved design af sikre styresystemer bør man både læne sig op ad standarder (DS/EN 61800-5-2 beskriver disse funktioner i detaljer) samt sund fornuft og risikovurdering. Dokumenterne fortæller os, hvad der kræves juridisk, men det er os – som integratorer af industriel automation – der skal tilpasse løsningen til den konkrete maskine. Nogle gange er det enkleste STO det bedste (færre ting, der kan gå i stykker!), og andre gange kommer man ikke uden om SS1, fordi udstyret ellers kunne blive ødelagt ved et nødstop. I andre situationer vil vi sætte pris på SS2, som kan reducere stilstand og gøre det muligt hurtigt at genoptage arbejdscyklussen.

Til sidst: Ingen af disse funktioner gør mirakler, hvis den er dårligt designet eller bruges uden for sit formål. Man skal sikre de rette komponenter (frekvensomformere med STO/SS1/SS2-certificering, sensorer, sikkerhedscontrollere), korrekt konfiguration og regelmæssige tests. Det er også værd at overveje uddannelse i normer og standarder (fx Maskindirektivet 2006/42/EC, DS/EN ISO 13849-1, DS/EN 62061), fordi kendskab til regler går hånd i hånd med ingeniørpraksis. Vi håber, at denne artikel har kastet lidt lys over dilemmaet STO vs SS1 vs SS2. Næste gang du skal designe et sikkert stop for en maskine, kan du træffe et bevidst valg af den bedste løsning – og frem for alt sikre maksimal sikkerhed uden kompromiser for processen. Held og lykke med projekterne og altid sikkert arbejde!