Elementy bezpieczeństwa

Jak poprawnie zrealizować w PL d funkcję zatrzymania przez osłonę? Czy wystarczy jeden czujnik z mechanicznym kluczem, którego producent deklaruje spełnienie wymagań nawet dla PL e, czy jednak wymagany jest drugi czujnik, magnetyczny? Czy konieczne jest podłączenie dwukanałowe?

Poziom niezawodności[1]Polskie Normy stosują kreatywne tłumaczenie „poziom zapewnienia bezpieczeństwa” „d” oznacza, zgodnie z ISO 13849-1[2]PN-EN ISO 13849-1:2016 Bezpieczeństwo maszyn. Elementy systemów sterowania związane z bezpieczeństwem. Część 1: Ogólne zasady projektowania, że niebezpieczne uszkodzenie może się przydarzyć nie częściej niż (statystycznie) co 1.000.000 godzin (raz na 100 lat z okładem).[3]ISO 13849-1/tablica 2 Aby to osiągnąć, należy obwód bezpieczeństwa wykonać w kategorii 2 lub 3.[4]ISO 13849-1/rysunek 5

Kategoria 2[5]ISO 13849-1/6.2.5 zawiera m. in. wymóg automatycznego sprawdzania funkcji bezpieczeństwa, dlatego znajomi automatycy uważają, że jest to kategoria kłopotliwa w realizacji. Można sobie wyobrazić monitorowanie bariery optycznej (wyłączamy nadajnik na milisekundę i badamy, czy odbiornik to zauważył), ale jak sprawdzić mechaniczny czujnik położenia drzwi?[6]Zamontować siłownik, który drzwi na moment uchyli? No, nie bardzo… Dla osłon blokujących pozostaje więc kategoria 3,[7]ISO 13849-1/6.2.6 a ta wymaga redundancji:

SRP/CS kategorii 3, powinny być zaprojektowane tak, aby pojedynczy defekt w którymkolwiek z tych elementów nie spowodował utraty funkcji bezpieczeństwa.

ISO 13849-1/6.2.6:2

Których elementów? „SRP/CS”[8]PKN kocha angielskie skrótowce oznacza „safety–related part of a control system”, tzn. „element systemu sterowania związany z bezpieczeństwem”.[9]ISO 13849-1/3.1.1 Chodzi więc o defekt systemu sterowania.

element systemu sterowania związany z bezpieczeństwem
SRP/CS
element systemu sterowania, który w odpowiedzi na związane z bezpieczeństwem sygnały wejściowe generuje sygnały wyjściowe związane z bezpieczeństwem

ISO 13849-1/3.1.1

Czy jednak sam element wejściowy (czujnik położenia) jest częścią systemu sterowania wg powyższej definicji? Właściwie nie powinien, bo nie generuje sygnałów wyjściowych, lecz właśnie wejściowe, które dopiero przez SRP/CS mają być przetwarzane… Co miał na myśli autor wynika dopiero z uwag do obu cytowanych akapitów. System sterowania obejmuje („zaczyna się tam”) elementy wejściowe, a cała funkcja bezpieczeństwa ma być odporna na pojedynczy defekt — wszystko jedno czego.

Uwaga 1 do hasła: Połączone ze sobą elementy systemu sterowania związane z bezpieczeństwem tworzą zespół, który zaczyna się w tych miejscach, gdzie są inicjowane sygnały związane z bezpieczeństwem (wliczając w to np. pobudzającą krzywkę i rolkę łącznika drogowego) i kończy się na wyjściach elementów sterowania mocą (wliczając w to np. główne styki stycznika).

ISO 13849-1/3.1.1

UWAGA 3 Zachowanie się systemu kategorii 3 charakteryzuje się tym, że:
– w przypadku wystąpienia pojedynczego defektu funkcja bezpieczeństwa jest nadal realizowana;
– niektóre, ale nie wszystkie, defekty zostaną wykryte,
– w wyniku nagromadzenia niewykrytych defektów może wystąpić utrata funkcji bezpieczeństwa.

ISO 13849-1/6.2.6:2

Co z tego wynika dla naszych rozważań? Urządzenie blokujące z kluczem mechanicznym może mieć bardzo niezawodne, zdublowane czujniki obecności klucza, cóż z tego, skoro sam klucz jest jeden? Złamanie klucza (pojedynczy defekt) spowoduje, że będzie on mógł pozostać w zamku pomimo otwarcia osłony. Jeśli cała funkcja bezpieczeństwa ma zapewnić PL d, należy zdublować również elementy wejściowe. Najczęściej stosuje się w tym celu czujniki magnetyczne.[10]najlepiej typu 4 wg ISO 14119/4.1, tzn. kodowane — nie dają się łatwo obejść

Ale, ale! — powie ktoś — przecież norma dopuszcza wykluczanie defektu.[11]ISO 13849-1/7.3 Dlaczego nie mielibyśmy wykluczyć uszkodzenia klucza?

Wykluczanie defektów powinno bazować na:
technicznym braku prawdopodobieństwa wystąpienia pewnych defektów;
– ogólnie akceptowanym doświadczeniu technicznym, wykorzystywanym niezależnie od rozpatrywanego przypadku zastosowania;
– wymaganiach technicznych, które zależą od rozpatrywanego zastosowania i określonego zagrożenia.
Jeśli defekty zostały wykluczone, to w dokumentacji technicznej powinno się znaleźć szczegółowe uzasadnienie.

ISO 13849-1/7.3

Ma to sens np. przy jakimś elemencie konstrukcyjnym (zakładamy, że drzwi nie zostaną wyrwane z zawiasów), albo którego uszkodzenie uniemożliwia działanie maszyny (wykluczamy urwanie wału napędowego, na którym zamontowane są czujniki obrotu). Natomiast misternie ukształtowany kawałek stali, mocowany do korpusu dwoma śrubkami, narażony stale na drgania? Jak zwykle w sytuacjach związanych z oceną ryzyka — jest dobrze, póki nic się nie zdarzy.

Dobra wiadomość na koniec. Jeżeli stosujemy dwa odrębne czujniki, każdy z nich może być traktowany jako odrębny kanał. Uszkodzenie jednego nie powoduje utraty funkcji bezpieczeństwa. Każdy z nich może więc być podłączony pojedynczym przewodem — nie ma potrzeby kablowania dwukanałowego.

Birds Meeting free photo by kovik

Możemy wysyłać powiadomienia o nowych publikacjach na podany adres email.

Bez obaw! Nikomu nie udostępnimy podanego adresu. Dodatkowe informacje na stronie ocena-ryzyka.pl/dyskrecja/

7 komentarzy

  1. Z mojego doświadczenia w pracy w zawodzie (jest to mój osobisty punkt widzenia na podstawie mojej najlepszej wiedzy technicznej i praktyki) o wiele bardziej zwracał bym uwagę nie na dublowanie urządzenia wejściowego w przytoczonej postaci krańcówki mechanicznej a na to aby zapewnić odporność tego urządzenia na obejście. Jest mi niezmiernie ciężko odszukać w pamięci przypadek że tenże klucz złamał się u Użytkownika (nawet Pana Pudziana nie posądzał bym o to by był w stanie taki klucz wyrwać) i to w taki sposób że pozostał by w zamku nie naruszając przy tym funkcji bezpieczeństwa nawet na sekunde.
    O wiele czyście jednak widziałem taki klucz wykręcony z drzwi przez obsługę i dlatego stosowanie np. śrub „nieodkręcalnych” lub z bardzo nietypową główką (śruba ampulowa to nie jest to rozwiązanie) w ilości min.. 1 sztuka na klucz to doskonały „zniechęcacz” do podjęcia próby odkręcenia klucza. Takie też rozwiązanie techniczne staram się popularyzować w swoich dokumentach.

    Marcin Sosna
    Odpowiedz

    1. Czujnik położenia nie generuje sygnałów wyjściowych? A właśnie generuje, a sygnały te są przetwarzane przez kolejny podsystem funkcji bezpieczeństwa. Czujnik w całej funkcji jest podsystemem (SRP/CS), z których zbudowana jest cała funkcja bezpieczeństwa. Norma jest poprawnie napisana i da się zrozumieć to, czego autor nie rozumie, lecz trzeba wpierw wyjść z nawyków nabytych w czasach, gdy królowała EN 954-1.

      Darek
      Odpowiedz

      1. Czujnik jest układem wejściowym, bo dostarcza sygnał wejściowy, czyli taki, który WCHODZI do układu logicznego. Tak jak mikrofon podłącza się do wejścia wzmacniacza. Czy słuszne byłoby nazwanie „wyjściowym” sygnału wychodzącego z mikrofonu?

        NB. To, czy norma da się zrozumieć i czy jest napisana poprawnie, to dwa odrębne zagadnienia. 😉

        Stanisław Hodur

  3. Tak Panie autorze, słusznym. Otóż podsystemem może być czujnik (e-stop, blokada osłony itd.), którego niebezpieczne uszkodzenie może doprowadzić do utraty funkcji bezpieczeństwa. To, w jaki sposób zachowa się „czujnik” jest rozpoznawane przez kolejny podsystem, np. logiczny, więc podsystem logiczny oczekuje na swoim „wejściu” od czujnika sygnału wyjściowego od tego czujnika. Nawet Sistema to Panu pokaże.

    Darek
    Odpowiedz

    1. Pewnie, można i tak. Sygnał jest „wyjściowy”, bo wychodzi z czujnika. W tej konwencji nazewniczej wszystkie sygnały są sygnałami „wyjściowymi”, gdy z czegoś wychodzą, a chwilę później stają się sygnałami wejściowymi — wchodząc do kolejnych układów. Tyle tylko, że sformułowanie „generowanie sygnałów wyjściowych” jest wówczas pleonazmem. Może autorzy normy lubią redundancję również w warstwie językowej? 😉

      Stanisław Hodur
      Odpowiedz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

50  −  40  =