Erros de programação de PLC que cometemos – Parte 2 Contatos físicos NA e NC

Já foi discutido em outro post sobre algumas confusões que contatos virtuais normal aberto (NA) e normal fechado (NF) causam em determinadas lógicas de PLC quando relacionamos estes contatos virtuais com contatos físicos em campo. Neste post iremos olhar o lado do campo e entender como a escolha de contatos físicos normais aberto e fechados influenciam na segurança de uma aplicação. Vamos ver também que em determinadas situações, utilizar um contato normal fechado para proteção pode trazer risco (indo na contramão do que sempre é dito).

Por que utilizamos contatos normais fechados como entradas de um PLC?

Você já deve ter reparado em projetos de interligação de campo das entradas de um PLC que para botões de emergência, botões de desligar equipamentos e certas proteções são utilizados contatos normais fechados em vez de contatos normais abertos. Esta prática não é à toa e agora vamos entender o porquê.

Vamos considerar um exemplo de lógica para partida direta de um motor e com selo (retenção), considerando inicialmente que o botão desliga em campo seja um contato normal aberto. As interligações no PLC, juntamente com a lógica seria a seguinte:

Interligação e lógica de partida direta com botão desliga de campo (BDES) configurado como normal aberto (NA)

Interligação e lógica de partida direta com botão desliga de campo (BDES) configurado como normal aberto (NA)

O funcionamento desta lógica é simples e já foi explicado em um post anterior. Para quem tem familiaridade com comandos elétricos, a lógica interna do PLC da imagem fica equivalente a um circuito elétrico de comando para a mesma aplicação, que é a partida direta de um motor com selo.

A utilização de um contato normal aberto em campo é algo normal, e na maioria dos casos o programador adequa a lógica com a representação de contatos virtuais normal aberto ou fechados, dependendo da situação. No exemplo da imagem anterior, um programador que não observar a condição insegura que iremos expor, irá perceber que o contato físico do botão desliga em campo é do tipo normal aberto e irá adequar a lógica representando este botão desliga com um contato virtual normal fechado e a lógica irá funcionar perfeitamente. Mas há um problema escondido neste exemplo que só aparece quando deixamos de olhar apenas para a lógica. Temos que ter uma visão mais crítica e ampla, considerando a dinâmica das condições que ocorrem no processo, fora da lógica do PLC. Isto porque o contato normal aberto em campo do botão desliga irá trazer uma situação de risco em determinadas circunstâncias. Vamos analisar o porquê.

O contato normal aberto e uma situação de risco em uma aplicação de PLC

Em condição de repouso, onde o botão desliga não está pressionado, não chega tensão na entrada I1 do PLC. Se o usuário precisar desligar o motor, ele irá pressionar o botão desliga de campo e a entrada I1 será alimentada. Pela configuração da lógica e dos contatos das botoeiras em campo, o PLC entende que para desligar o motor, é necessário que a entrada I1 seja alimentada. Esta necessidade de a entrada estar alimentada para o PLC entender que foi dado um comando de desligar é onde mora o perigo. E como já foi dito, não é algo que está “escrito na lógica”. Para enxergar este perigo vamos ao campo e imaginar que no campo falhas podem ocorrer. E uma delas é rompimento de cabos.

Imagine uma situação em que o motor foi ligado e está mantido ligado via selo da lógica do PLC. Imagine também que o cabo que interliga o botão desliga ao PLC seja rompido. E não ache que seja um exagero pensar nesta hipótese. Em campo é muito comum disto acontecer, seja por choques mecânicos de algum objeto com o caminho por onde passam os cabos, partes móveis, animais roedores, corrosão de contatos, desaperto de parafusos de conexões etc.

Comportamento do sistema com cabo de interligação de botoeira ao PLC interrompido - contato NA de campo

Comportamento do sistema com cabo de interligação de botoeira ao PLC interrompido – contato NA de campo

Neste cenário, para desligar o motor, o usuário irá pressionar o botão desliga em campo. O sinal que esta botoeira enviaria para o PLC jamais chegará à entrada I1, pois o cabo que interliga o sinal da botoeira e o PLC está aberto devido ao rompimento. Como consequência disto, fica impossível de desligar o motor via botão desliga. Seria necessário recorrer a outros meios de intervenção, como desligamento de disjuntores, edição de lógica ou até mesmo interromper o ciclo de operação do PLC. Agora imagine em uma emergência, onde ocorra alguma situação indesejável e o funcionamento do equipamento está colocando em risco a segurança de pessoas? Até executar alguma destas ações citadas para desligar o motor, pode ser tarde demais e um acidente irá se suceder.

E qual seria a melhor prática para que este tipo de situação não ocorra?

A resposta é utilizando botões de contato normal fechado em campo para enviar estes sinais ao PLC.

Funções de proteção por desligamento, seja para proteção de pessoas, equipamentos ou meio ambiente geralmente utilizam contatos normais fechado em campo. Observe a mesma aplicação de partida direta de um motor com selo, mas agora com o botão desliga em campo (BDES) sendo como tipo normal fechado:

Interligação e lógica de PLC de partida direta com botão desliga de campo (BDES) configurado como normal fechado (NF)

Interligação e lógica de partida direta com botão desliga de campo (BDES) configurado como normal fechado (NF)

Nesta configuração, quando o botão desliga em campo estiver em repouso, é enviado um sinal de tensão para a entrada I1. Na lógica então é utilizado um contato virtual normal aberto, para permitir a continuidade da linha, bastando para ligar o motor apertar o botão liga de campo (BLIG). Neste caso, o PLC irá entender que para desligar o motor, é necessário a ausência de tensão na entrada I1 (nível lógico zero). Esta ausência de tensão se dá ao pressionar o botão desliga.

Até aí tudo bem. Do ponto de vista funcional, a lógica se comporta de forma exatamente igual à primeira, a diferença é que o contato do botão desliga é normal fechado. Mas como agora sabemos que as condições de campo afetam diretamente no aspecto de segurança de uma lógica, vamos analisar como esta nova lógica irá se comportar no pior dos casos, onde há falhas no campo e o sinal não chega no PLC:

Cabo de interligação de botoeira ao PLC interrompido com botoeira de contato NF de campo. O sistema irá entender como se a botoeira desliga (BDES) foi atuada e desligará o contator K1

Cabo de interligação de botoeira ao PLC interrompido com botoeira de contato NF de campo. O sistema irá entender como se a botoeira desliga (BDES) foi atuada e desligará o contator K1

Nesta configuração, caso o cabo que interliga a botoeira ao PLC seja interrompido, o circuito irá se comportar da mesma forma quando o botão desliga é pressionado (ou seja, circuito aberto) e o selo da lógica será desfeito. Nesta configuração, portanto, não ocorrerá a condição insegura em que o motor fique “disparado” devido a rompimento de cabo.

No caso da ocorrência de uma falha em campo, na maioria dos casos é bem melhor considerar parar o processo do que deixá-lo rodando com uma condição insegura. Eu disse na maioria dos casos e não em todos os casos porque há determinados processos em que é necessário tomar ações complexas para desligar um determinado equipamento ou colocar um processo em um estado seguro na ocorrência de falhas ao invés de apenas “quebrando os selos”.

Alguns tipos de sinais/proteções em que contatos normais fechados são utilizados em campo:

  • Botões de desligar equipamentos
  • Chaves de emergência
  • Sensores de proteções de equipamentos, como desalinhamento, esticamento, rasgo de correias,
  • Sensores de proteções de pessoas como sensores de cortina, indicação de porta fechada de locais inseguros
  • Chaves de indicações de nível alto de materiais

Para sinais de proteção devemos sempre utilizar contatos normais fechados em campo?

Embora seja quase automático as pessoas afirmarem que quando o assunto é proteção devemos sempre considerar contatos normais fechados em campo, nem sempre é regra. Há situações em que utilizar um contato normal fechado em campo possa vir a comprometer uma proteção no caso de uma falha de rompimento de cabo. Diferenciar quando utilizar contato NA ou um contato NF às vezes pode gerar muita confusão. Para dar um exemplo prático, vamos ver em um exemplo de uma unidade de lubrificação, onde é necessário especificar qual tipo de contato físico em campo deve ser utilizado para a proteção por nível alto do reservatório de graxa (e evitar transbordamento de graxa) e qual tipo de contato físico deve ser utilizado para proteção por nível baixo de graxa no reservatório (e evitar danos ao equipamento por falta de lubrificação):

Unidade de lubrificação com proteção por nível alto e baixo de graxa

Unidade de lubrificação com proteção por nível alto e baixo de graxa

Caso 1: Proteção por detecção de nível alto do reservatório

Vamos analisar primeiro o caso da proteção por nível alto. Da mesma forma que na lógica de partida direta do motor, o contato correto a se utilizar no reservatório para a proteção por nível alto de graxa é do tipo normal fechado. Isto porque em condições normais, como o sensor é do tipo NF, se o nível de graxa ainda não se elevou a ponto de atuá-lo, ele ficará com seu contato fechado e chegará ao PLC o nível lógico na entrada digital I1. Este nível lógico em 1 servirá para indicar que não há problemas de nível alto no reservatório.

Circuito de sinalização de nível alto de reservatório com sensor de contato tipo NF

Circuito de sinalização de nível alto de reservatório com sensor de contato tipo NF

Quando o nível da graxa subir e atuar o sensor, ele se abrirá e haverá falta de tensão na entrada do sensor I1 (nível lógico Zero). A perda do sinal de tensão na entrada I1 servirá para indicar que houve atuação da proteção de nível alto e esta falta de tensão na entrada I1 servirá para disparar uma lógica de proteção e desligar o mecanismo de alimentação automática do reservatório ou emitir um aviso visual/sonoro à pessoa que está o alimentando manualmente. O outro motivo de utilizar um contato NF para proteção por nível alto é pensando no caso de uma falha em campo. Caso haja o rompimento do cabo que leva o sinal de sensor de nível alto até o PLC, o sistema irá se comportar como se houvesse uma atuação do nível alto da graxa (circuito aberto).

Se o sensor de nível alto for normal aberto e tivermos um sistema de abastecimento automático de óleo para o reservatório e o cabo estiver danificado, provavelmente a graxa transbordará e ninguém será notificado ou nenhum sistema de proteção atuará.

E para proteção por nível baixo? Qual tipo de contato deve ser utilizado? Do tipo NA ou NF? É aí que muita gente faz confusão. Vamos ver então…

Caso 2: Proteção por detecção de nível baixo do reservatório

A proteção por nível baixo no reservatório se faz necessário porque se o nível de graxa atingir valores baixos, o equipamento que está sendo lubrificado por este sistema pode ser comprometido devido à falta de lubrificação ou uma lubrificação deficiente. É comum as pessoas pensarem na máxima: “Para proteção, sempre se utiliza contatos normais fechados”.

Mas neste caso, utilizar um contato normal fechado irá comprometer a proteção do equipamento. Confuso, né?

Se instalarmos um sensor do tipo normal fechado para detecção de nível baixo de graxa (entrada digital I2), em condição normal de operação, isto é, com o reservatório com nível de graxa acima do nível baixo, este nível de graxa irá entrar em contato com o sensor, atuando-o. Como ele é do tipo normal fechado, irá se abrir ao ser atuado, interrompendo o circuito que alimenta a entrada I2. Isto obriga o programador de PLC a considerar que nível zero na entrada I2 é uma condição normal de operação do sistema. Quando o nível da graxa cair a um nível abaixo do nível baixo, o sensor irá voltar à sua posição de repouso, que é normal fechado e alimentará a entrada I2. O nível lógico 1 na entrada I2 deverá ser interpretado pela lógica do PLC como falha por nível baixo de graxa.

Até aí tudo bem. Mas novamente, vamos pensar da seguinte forma: O que acontecerá com o sistema na pior das hipóteses, quando um cabo é rompido?

Detecção de nível baixo por um PLC em um reservatório de graxa com sensor tipo normal fechado (erroneamente especificado)

Detecção de nível baixo por um PLC em um reservatório de graxa com sensor tipo normal fechado (erroneamente especificado)

A lógica de raciocínio é a mesma do botão desliga para a partida direta. O que mudou foi o tipo de contato. Na verdade, o contato normal fechado está causando uma situação de risco, pois irá sinalizar falha por nível baixo energizando a entrada I2. Se o cabo deste sensor estivesse interrompido, quando a graxa deixasse de atuá-lo (nível baixo), mesmo o sensor fechando seus contatos, não haveria alimentação da entrada I2 e consequentemente o sistema iria operar sem a notificação de falha por nível baixo.

Rompimento de cabo de sensor de detecção de nível baixo em um reservatório de graxa com sensor tipo normal fechado

Rompimento de cabo de sensor de detecção de nível baixo em um reservatório de graxa com sensor tipo normal fechado

O correto neste caso é utilizar um sensor com contato normal aberto, pois quando o nível da graxa tiver maior que o nível baixo, irá atuar o sensor e ele irá fechar o circuito e alimentar I2. Desta forma o sistema iria interpretar que nível lógico 1 em I2 é uma condição normal. Quando o nível cair a níveis menores que o nível baixo, o sensor retornará a sua posição de repouso, que é aberto e interromperia o sinal de tensão de chegar à entrada I2. Desta forma o sistema interpretaria nível lógico zero em I2 como uma situação anormal e iria gerar algum alarme e/ou disparar lógicas de proteção. E mesmo se o cabo do sensor de nível baixo interromper, o circuito iria abrir e gerar no sistema a mesma condição de quando a graxa caiu a níveis menores que o nível baixo, que é de circuito aberto pelos contatos do sensor de nível baixo.

E existe uma regra geral para adoção de contatos NA ou NF para proteções?

Talvez você tenha percebido um padrão nos exemplos citados da partida direta, proteção por nível alto e nível baixo do reservatório de graxa: Sensores que monitoram proteções, devem enviar sinal elétrico às suas entradas no PLC quando o sistema está operando normalmente e deverá interromper o envio de sinal elétrico ao PLC em uma situação de falha (e falha inclui rompimento de cabo). A escolha do tipo de contato do sensor de campo tem mais a ver com essa análise do que com a simplificação que muitos fazem (e fazem erroneamente) de pensar que se quando se trata de proteção, tem de ser utilizado sempre contato NF.

Outra forma de mentalizar seria pensar: Se por algum motivo as proteções se desconectarem do PLC, seja por cabo rompido, desconexões ou queima de fusível em campo, não chegará tensão às entradas do PLC. Logo, nível zero nas entradas é a condição de falha. Para uma proteção estar OK, a entrada tem de estar “viva”.

O tipo de contato para proteções tem de ser especificado geralmente pensando em duas coisas:

  • Qual a condição que o sensor fica durante operação normal do sistema? atuado ou não? No exemplo da botoeira, o sensor não fica atuado em operação normal. Já no caso do nível baixo, em operação normal ele ficará atuado.
  • E a partir da resposta do item anterior, garantir que em operação normal ele permita a passagem de energia para a entrada do PLC durante a operação normal, escolhendo o tipo de contato NA ou NF.

Desta forma você garante que em operação normal a entrada esteja alimentada. E se houver alguma falha que impeça a alimentação da entrada (seja pela proteção atuada ou por rompimento de cabo) o sistema detectará falha.

Conclusão

Desenvolver uma boa aplicação de PLC exige não somente bom conhecimento em lógica de programação, mas ter um conhecimento da dinâmica no processo. Principalmente quando ocorre alguma falha. Há várias formas de um sistema falhar, e uma das mais comuns é com o rompimento de cabo. Cabos e conexões são os pontos dos mais vulneráveis à falha de um sistema. Conforme dito, os cabos podem romper por diferentes formas e conexões são desfeitas por causa de vibrações, tração nos cabos, entre outras causas.

Conhecendo dos efeitos que uma falha de conexão possa causar no sistema e na lógica do PLC, você terá sucesso na fase de especificação de sensores e desenvolvimento de uma lógica. E irá oferecer um sistema seguro ao usuário, que está projetado para proteger pessoas, equipamentos e meio ambiente mesmo em situações de falhas externas.

A ideia de análise exposta neste post não serve apenas para partida direta de motores e proteção por nível de reservatório. Ela pode ser aplicada na maioria dos casos em que se deseja monitorar uma proteção de um sistema. Se você conseguiu entender os conceitos aqui, facilmente irá aplicá-los a outras situações. De agora em diante, saberá analisar quando utilizar um determinado tipo de sensor, ao invés de simplesmente decorar ou até mesmo deixar ser pego por algum mal entendimento. Principalmente pelo mal-entendido de que muitos falam que proteções são monitoradas sempre com sensores do tipo normal fechado.

Como sempre, espero muito que estes minutos de leitura tenha agregado algum conhecimento e valor para você. Se por algum motivo algo que passei não ficou muito claro, sinta-se à vontade em deixar seu comentário. Sinta-se à vontade também em deixar seu comentário para expor alguma situação que já passou ou que teve problemas com tipos de contatos de campo. Ficaríamos muito gratos também se considerasse e compartilhasse este conteúdo, para que seja útil a mais pessoas. Muito obrigado pela leitura, um grande abraço e até o próximo post!

Related Articles

Responses