Konstrukce součástí splňujících normy funkční bezpečnosti

Bezpečnost je nejvyšší prioritou v průmyslových aplikacích pro ochranu zaměstnanců a zařízení před zraněním a poškozením. Největší hrozbu představují svařování, řezání a lisování, stejně jako vysokorychlostní osy a operace manipulující s nebezpečnými obrobky nebo látkami. V USA musí provozovatelé zařízení splňovat předpisy Úřadu pro bezpečnost a ochranu zdraví při práci (OSHA) používáním bezpečného vybavení, provozních postupů a školicích protokolů. Tyto systémy by měly doplňovat analýzy specifické pro závod, aby se identifikovaly pragmatické způsoby zlepšení pohody pracovníků a životnosti zařízení. Automatizované stroje musí dále splňovat požadavky funkční bezpečnosti prostřednictvím automatických akcí nebo korekcí stroje na potenciálně nebo zcela nebezpečné podmínky či poruchy.

Obrázek 1: Světelné věže dnes používají LED diody pro účinnost a viditelnost. Některé zvyšují bezpečnost pomocí vestavěných bzučáků, které během narušení bezpečnosti vydávají zvuk sirény o síle 100 dB. (Zdroj obrázku: Menics)

Funkční bezpečnostní systémy zahrnují elektroniku ve formě senzorů, vstupů/výstupů, ovládacích prvků, spínačů, elektromechanických součástí, komponentů kapalinového pohonu a softwaru, který detekuje nebezpečné stavy a mění stav stroje, aby zabránil vzniku nebezpečných situací. Konstrukce a předpisy pro funkční bezpečnost, které původně pocházejí z Evropské unie, se dnes vztahují na dodavatele, výrobce strojů a koncové uživatele po celém světě. K nejvíce aplikovaným patří harmonizovaná evropská norma (EN), norma Mezinárodní elektrotechnické komise (IEC) EN/IEC 62061 - uvedená ve směrnici EU o strojních zařízeních 2006/42/ES - a norma Mezinárodní organizace pro normalizaci (ISO) EN/ISO 13849-1.

Na normy ISO 13849-1 a IEC 62061 lze odkazovat, přičemž výrobci originálních zařízení (OEM) a koncoví uživatelé je mohou volně používat. Jedinou výhradou proti těmto normám je skutečnost, že funkční bezpečnost se vztahuje na stroje a ovládací prvky, nikoli na zařízení a součástí… ačkoli ty mohou nabízet funkce podporující splnění dané bezpečnostní klasifikace.

Norma EN/IEC 62061 podrobně popisuje požadavky a doporučení jako úrovně integrity bezpečnosti pro konstrukci, integraci a ověřování trvale instalovaných (nepřenosných) ovládacích prvků strojů a provozu (SRECS) souvisejících s bezpečností - složených z bezpečnostních elektrických, elektronických a programovatelných ovládacích prvků (SREC - safety-related electrical, electronic, and programmable controls). Úrovně integrity bezpečnosti (SIL) normy EN/IEC 62061 klasifikují funkční bezpečnost systému od 1 (nejzákladnější) do 4 (nejintegrovanější a nejsofistikovanější), přičemž pro stroje je nejvyšší možná úroveň SIL3. Rizika určující požadovanou úroveň integrity bezpečnosti (SIL) zahrnují pravidelnost vystavení riziku, závažnost potenciálního zranění, pravděpodobnost výskytu a pravděpodobnost, že úhybné manévry operátora stroje mohou pomoci vyhnout se zranění.

Tabulka 1: Požadované úrovně integrity bezpečnosti (SIL) závisejí na závažnosti poranění v případě vzniku daného nebezpečného stavu, jakož i na pravděpodobnosti jeho výskytu. (Zdroj tabulky: IEC)

Naproti tomu norma EN/ISO 13849-1:2005 podrobně popisuje požadavky a doporučení na základě součástí řídících systémů souvisejících s bezpečností (SRP/CS - safety-related parts of control systems). Úrovně výkonnosti součástí SRP/CS umožňují kvantifikaci bezpečnostních schopností stroje bez ohledu na dílčí komponenty. Norma využívá zavedená hodnocení výkonnosti funkční bezpečnosti (PL) - od „a“ (nejzákladnější) po „e“ (nejintegrovanější a nejsofistikovanější). K rizikům určujícím požadovanou výkonnost PL patří rizika platná pro úrovně integrity bezpečnosti, jakož i frekvence a trvání opakovaného vystavení nebezpečí stroje. Úplné hodnocení výkonnosti PL dále zahrnuje číslo kategorie (pro označení celkové architektury systému) a střední dobu do nebezpečného selhání, tedy MTTFd.

Obrázek 2: Vhodná úroveň funkční bezpečnosti pro danou instalaci závisí na kvalitativních proměnných, kvantitativních hodnotách a výsledcích softwarové analýzy. (Zdroj obrázku: Design World)

Splnění norem IEC 61508 a IEC 62061 zahrnuje potvrzení klasifikace funkční bezpečnosti stroje testováním bezpečnostních ovládacích prvků (a ověřováním režimů stroje, stavových kritérií a oprav). Normy EN ISO 13849-1 a 2 také požadují zdokumentované testování (statické a dynamické) pro potvrzení bezproblémové integrace řízení bezpečnosti.

Bezpečnostní součásti spouštěné operátorem

Mnoho součástí souvisejících s bezpečností je navrženo tak, aby přijímaly vstupy od pracovníků závodu, nikoli přes nějakou střední část stroje, jeho osu nebo ochranný kryt. Patří mezi ně hmatové bezpečnostní rohože, světelné závory, konzoly, jakož i rozhraní člověk-stroj (HMI), dotykové zámky strojů a (pouze pro případ nouze) jasně červená tlačítka nouzového zastavení. Bezpečnostní součásti zaměřené na pracovníky zahrnují také kryty (chrání kryté součásti podle hodnocení NEMA), jakož i štíty strojů a kabelové kanály - jednoduché, ale spolehlivé bezpečnostní prvky stroje na ochranu personálu, který musí pracovat v blízkosti (a někdy i uvnitř) strojů a jejich napájecích a ovládacích panelů.

Kabelové spínače obklopující nebezpečné části stroje umožňují operátorům spouštět nouzové zastavení (e-stop) rychlým tahem. Tyto bezpečnostní prvky jsou běžné zejména u strojů s otevřeným čelem (nelze je hlídat) a také u nehlídaných dopravníků. Tyto bezpečnostní prvky se liší od odpojovačů, které odpojují obvody od přívodu energie a zajišťují nebezpečné pracovní buňky, aby zabránily vniknutí personálu. Mezi další nabídky patří bezpečnostní hrany (pásy), které se instalují kolem nástrojových otvorů strojů (zejména těch, které provádějí řezání nebo lisování) a podlahové bezpečnostní rohože, které při detekci vstupu nebo stání obsluhy na svém povrchu spouštějí (prostřednictvím specializovaných bezpečnostních relé) bezpečnostní reakce.

O něco sofistikovanější jsou již zmíněné světelné závěsy. Patří mezi ně emitor fotoelektrických paprsků, které, pokud se zlomí v rovině detekce na cestě k přijímači, rychle zastaví nebezpečné procesy. Jsou dražší než jiné možnosti, ale opodstatněné tam, kde operátoři stroje mají častou interakci s jeho částmi. Dalším sofistikovaným bezpečnostním prvkem je dvouruční bezpečnostní konzola. Tyto prvky obvykle vyžadují současnou aktivaci samostatných spínačů pro spuštění nebo udržení provozu stroje.

Než bude těmto prvkům udělena důvěra ohledně ochrany personálu a zařízení závodu, musí být ověřeny všechny bezpečnostní komponenty spouštěné operátorem (a bezpečnostní logika nebo ovládací prvky, do kterých jsou integrovány). Například zkušební normy IEC 61508 a IEC 62061 vyžadují, aby nouzové zastavení pomocí redundantních relé zapůsobilo, pokud operátor vypne první kanál mezi logickými a provozními zařízeními… a mělo by také působit na druhém kanálu mezi nimi. Tyto redundantní funkce nouzového zastavení jsou samostatně ověřovány během uvádění stroje do provozu.

Automatické bezpečnostní spínače, senzory a ochranné kryty

Obrázek 3: laserové skenery jsou typem bezkontaktních součástí s bezpečnostní zpětnou vazbou, které jsou nejlépe známé díky jejich schopnosti pomáhat automaticky řízeným vozidlům (AGV) při navigaci v budovách. Jejich využití je však velmi široké a někdy mohou nabídnout alternativu k světelným závěsům. (Zdroj obrázku: IDEC)

Komponenty pro automatické funkce stroje představují samostatnou kapitolu odlišnou od personálem spouštěných komponent souvisejících s bezpečností.

Vestavěné zámky se západkami a spínači

Spínače a blokovací zařízení jsou nezbytnými prvky na vnějších obvodech pracovních buněk stroje. Bezpečnostní koncové spínače mají kontakty, které slouží k automatickému ověřování poloh nebo pohybů prvků stroje. Naproti tomu bezpečnostní spínače s vyššími funkcemi - tzv. blokovací bezpečnostní spínače - používají jazýčkové nebo pantové blokovací mechanismy jako ochranné kryty stroje odolné proti manipulaci s pozitivně poháněnými spínací kontakty (spínací a rozpínací kontakty s dvojitým ověřováním). Blokovací spínače s mechanickými klíči a zámky udržují dveře do pracovních prostorů stroje zavřené, dokud není přístup bezpečný. Stále častější jsou však bezkontaktní RFID a magnetické bezpečnostní spínače, které monitorují polohu (otevřeno nebo zavřeno) dveří pracovního prostoru a znemožňují přístup operátora, pokud probíhají nebezpečné procesy.

Vestavěná bezpečnost s elektrickými jističi a izolátory

Mezi bezpečnostní komponenty spouštěné stavem stroje patří také součásti zajišťující elektrickou bezpečnost. Jističe (podobně jako pojistky) chrání před škodlivými a nebezpečnými účinky nadproudů v síti, silové větvi a signálových obvodech. Některé instalace zahrnují izolátory pro galvanické oddělení provozních zařízení od ovládacích prvků, aby byl zajištěn jiskrově bezpečný provoz. Veškeré systémy elektrické bezpečnosti doplňují komponenty s ochranou proti přepětí, které chrání elektrické součásti a prvky elektronické automatizace zapojené do síťového napájení, napájení pohonů a/nebo distribuce zpětnovazebních a řídicích signálů proti poškození přepěťovými špičkami.

Vestavěná mechanická pojistka s brzdami

Brzdy, které se kvalifikují jako bezpečnostní brzdy, se také nazývají brzdy odolné proti selhání. Tyto prvky přejdou do výchozího stavu zastavení (typicky zablokováním nebo přidržením osy pohybu) i v případě výpadku nebo odpojení elektrického nebo kapalinového napájení. U všech z nich je tento bezpečný provoz zajištěn prostřednictvím pružinového nebo jiného mechanického působení.

Příklad: Třecí brzdy s pružinou, které jsou pneumaticky uvolňovány, často slouží jako bezpečnostní brzdy v automatizačních aplikacích se servopohonem. Všechny musí mít klasifikaci dokládající shodu s normou ISO 13849-1 - obvykle od mezinárodní organizace pro testování produktů Intertek Group. Díky svému mechanickému zamykání nespotřebovávají hěhem držení žádnou elektrickou energii… což poskytuje maximální spolehlivost z hlediska bezpečností výkonnosti a zabraňuje přehřátí spojenému s jinými metodami zastavení na elektrickém principu. Životnost je hodnocena v milionech cyklů před běžnou (předvídatelnou) poruchou určitého procenta všech součástí v sérii. Tam, kde je užitečná funkce IIoT, mohou bezpečné brzdy zahrnovat také vestavěnou diagnostiku a zpětnou vazbu ze senzorů pro sledování provozního stavu.

Brzdy s nejvyšším stupněm funkční bezpečnosti obsahují několik pružin mechanicky blokujících osy stroje prostřednictvím třecích ploch, které spolupracují se stacionárními prvky uvnitř brzdové skříně. Bezpečnostní normy také vyžadují zahrnutí senzorů potvrzujících stav brzd.

Bezpečnostní relé a další bezpečnostní ovládací prvky

Obrázek 4: jednoduché zařízení vyžadující jen několik bezpečnostních I/O může hospodárně využívat elektromechanická bezpečnostní relé, jakým je například toto. (Zdroj obrázku: Omron Automation and Safety)

Bezpečnostní relé a další ovládací prvky podporují funkce bezpečnostních spínačů, senzorů a krytů. Všechny sdílejí společnou schopnost (v případě potřeby) uvedení stroje do bezpečného stavu prostřednictvím odpojení elektrického nebo kapalinového napájení - nebo zpomalení či uzamčení trvale napájeného stroje do bezpečného stavu.

Relé pro pevně zapojenou bezpečnost

Jednou z možností bezpečného řízení jsou moduly bezpečnostních relé. Ty využívají elektroniku s ochranou proti zkratu a přepětí a také doplňková relé. Pevně zapojená elektromechanická relé se používají po desetiletí; jednoduše se zapojí do automatizovaných ovládacích prvků a (ve spojení s nouzovým zastavením nebo světelnými závěsy) podle potřeby elektricky odpojí podsekce stroje. Mezi nevýhody patří potřeba rozsáhlé kabeláže na místě a nedostatek rekonfigurovatelnosti. Pokročilejší bezpečnostní relé mají vstupy/výstupy a modulární konstrukci usnadňující flexibilní integraci se senzory, ovládacími prvky strojů a automatizačními sítěmi.

Bezpečnostní ovladače pro programovatelnou bezpečnost

Další možností bezpečnosti, která se kvalifikuje jako zabezpečená proti selhání, je integrace vyhrazených bezpečnostních ovladačů. Takové regulátory jsou vhodnější než relé pro složité automatizační systémy, protože mohou obsluhovat větší pole vstupů/výstupů i funkce jednotky PLC. Jediným omezením je skutečnost, že tyto samostatné bezpečnostní řídicí jednotky vyžadují dodatečné programování a školení personálu. Jejich digitální elektronika však podporuje automatizační funkce, které jsou plně softwarově konfigurovatelné.

Obrázek 5: bezpečnostní řídicí jednotky mohou sjednotit více bezpečnostních funkcí pro flexibilní a rekonfigurovatelné bezpečnostní instalace. Ve zde znázorněné pracovní buňce obsahuje první bezpečnostní obvod světelnou závoru, která (po nahlášení přerušeného stavu) zastaví karusel rozepnutím spínače obvodu. Druhý bezpečnostní obvod integruje ovládací prvky „mute“, které umožňují normální činnost robota při vstupu obrobku do pracovní buňky v zastaveném stavu karuselu. V opačném případě tento obvod deaktivuje robota rozpojením spínače. Třetí bezpečnostní okruh obsahuje nouzové zastavení, které rozpojí všechny spínače a zastaví karusel i robota. (Zdroj obrázku: Panasonic Industrial Automation Sales)

Technici mohou definovat zóny vyžadující bezpečnostní pokrytí a upravit jejich nastavení, aniž by bylo nutné přepojovat celou pracovní buňku. (Tím se následně snižují náklady na kabeláž a práci.) Instalace založené na bezpečnostních řídicích jednotkách obvykle také s vývojem operací podporují rozšiřování sítě a konektivitu IIoT.

Integrovaná bezpečnost na průmyslových ovládacích prvcích s hodnocením bezpečnosti

Třetí možností spolehlivého zajištění bezpečnosti, které je stále běžnější u sofistikovaných strojů, jsou integrované bezpečnostní jednotky PLC, programovatelné automatizační řadiče (PAC) a další řídicí prvky založené na počítačích. Některý takový elektronický hardware může kromě běžných funkcí stroje převzít i bezpečnostní funkce. Výsledkem je programovatelná a tedy flexibilní kontrola jak automatizovaného strojního vybavení, tak nad bezpečnostních funkcí, které jeho provoz vyžaduje.

Závěr

Dostatečná bezpečnost stroje závisí na zpětnovazebních a řídicích součástech, které jsou dimenzovány tak, aby poskytovaly ochranu úměrnou rizikům dané aplikace. Bezpečnost stroje také vyžaduje správnou integraci součástí, dokumentaci a ověřování. Poslední jmenovaný požadavek zajišťuje správnou funkci bezpečnostních obvodů pro všechny provozní režimy stroje, a to i při poruchách.

Normy IEC 61508 a 62061 o bezpečném životním cyklu definují správný způsob integrace bezpečnosti - od počátečního posouzení rizik a návrhu až po skutečné ověření výkonu instalovaného systému výrobcem originálního zařízení (OEM) a znovu koncovým uživatelem nebo pro koncového uživatele po instalaci stroje. Ten podrobuje stroje „zkouškám“ testů normálních provozních sekvencí, zpomalení, zastavení a resetovacích rutin.