Bezpečnostní logické obvody (BLO) strojů a strojních zařízení

Bezpečnostní logické obvody (BLO) strojů a strojních zařízení

Určeno pro studenty bakalářských studijních programů na FBI

Obsah: Úvod do legislativy bezpečnosti strojů a strojního zařízení 1. Obecně 2. Přístroje pro bezpečnostní logické obvody elektrických řídicích systémů 3. Vliv délky propojovacího vedení na funkci bezpečnostních kombinací 4. Určení požadované úrovně vlastností PLr 5. Kategorie bezpečnostních částí ovládacího systému 6. Příklady vybraných aplikací bezpečnostních logických obvodů 7. Závěr Literatura

Listopad 2006;

doc.Ing.Václav Vrána,CSc.

1

Úvod do legislativy bezpečnosti strojů a strojního zařízení Montážní celek sestavený z částí nebo součástí strojů. z nichž je alespoň jedna pohyblivá, s příslušnými pohonnými zařízeními, řídicími a silovými obvody, vzájemně spojenými za účelem stanoveného použití, zejména pro zpracování, úpravu, dopravu nebo balení materiálu se nazývá stroj popř. strojní zařízení Termíny „strojní zařízení“ a „stroj“ zahrnují také sestavu strojů, které jsou za účelem dosažení stejného cíle uspořádány a ovládány tak, aby fungovaly jako integrální celek. Strojní zařízení představují rozsáhlý soubor zdrojů nebezpečí, která mohou být příčinou škody na majetku nebo zranění či poškození zdraví jak u obsluhy, tak i u nezúčastněné osoby. Jedná se tedy o potenciální zdroj fyzického zranění nebo poškození zdraví. Elektrický řídicí systém stroje zahrnuje všechny elektrické, elektronické a programovatelné elektronické části řídicího systému stroje použité např. pro zajištění : - funkčního řízení, monitorování, blokování, komunikaci, - ochranných a řídicích funkcí souvisejících s bezpečností POZNÁMKA Řídicí funkce související s bezpečnosti mohou být zajištěny pomocí elektrického řídicího systému, který je buďto nedílnou částí nebo nezávislou částí řídicího systému stroje, který vykonává funkce nesouvisející s bezpečností

Elektrický řídicí systém související s bezpečností představuje tu část řídicího systému (stroje), jejíž porucha může vést k okamžitému nárůstu rizika (rizik), popř. ke snížení nebo ke ztrátě funkční bezpečnosti. Funkční bezpečností se rozumí část celkové bezpečnosti stroje a jeho řídicího systému závislá na: - správném fungování řídícího bezpečnostního systému, - systémech souvisejících s bezpečností založených na jiných technických principech - vnějších prostředcích pro snížení rizika POZNÁMKA Pokyny ISO/IEC 51 definují bezpečnost jako osvobození od neakceptovatelného rizika.

Na základě posouzení rizik je možno navrhnout bezpečnostní části ovládacích - řídících systémů. Bezpečnostní požadavky a pokyny pro zásady jejich konstrukce a integrace včetně specifikace úrovně jejich vlastností požadované k vykonávání bezpečnostních funkcí (funkce stroje, jejíž porucha může vést k okamžitému zvýšení rizika) jsou uvedeny v normách a to jak pro funkční bezpečnost (soubor ČSN EN 62061 pro bezpečnost strojů a zařízení (ČSN EN ISO 13849,1,2).

Posuzování bezpečností strojů je rozděleno do dvou skupin 1. Nové výrobky - splnění bezpečnostních požadavků nových výrobků – produktů - zákon č.22/1997 Sb., a odpovídající NV dle následující tabulky.

1

Požadavek na výrobek

Evropská směrnice

Zařízení nízkého napětí (nn)

2006/95/ES

před vstupem do EU

po vstupu do EU

NV č.168/1997 Sb.

NV č.17/2003 Sb.

NV č.169/1997 Sb.

NV č.616/2006 Sb.

73/23/EEC

2 Elektromagnetická kompatibilita (EMC)

2004/108/ES

3

2006/42/ES

Strojní zařízení

Nařízení vlády

89/336/EEC

NV č.18/2003 Sb.

NV č.170/1997 Sb.

NV č.24/2003 Sb.

98/37/EU

(novelizace

89/392/EEC)

do 29.6.2008)

. Provádějící instituce: (MPO – ÚNMZ - ČOI)

2

2. Provozované výrobky - Bezpečnost strojů, technických zařízení, přístrojů a nářadí – minimální požadavky na bezpečný provoz a používání v závislosti na příslušném riziku vytvářeném daným zařízením, (zákony č. 251/2005 Sb, 262/2006 Sb. a 309/2006 Sb., zákoník práce a odpovídající nařízení vlády NV č. 378/2001 Sb. s platností od 1.1.2003 , Provádějící instituce: (MPSV – SÚIP (ČÚBP) – OIP (IBP).

Bezpečnosti strojního zařízení se týká celá řada směrnic a nařízení, nejvýznamnější je Směrnice evropského parlamentu a rady 2006/42/ES ze dne 17. května 2006 o strojních zařízeních a o změně dříve vydaných směrnic. Členské státy musí do 29. června 2008 přijmout a zveřejnit předpisy nezbytné pro dosažení souladu s touto směrnicí s účinností od 29. prosince 2009. 1. Obecně Termínem „bezpečností logické obvody“ (BLO) jsou označovány elektrické obvody řídicího systému, určené k zajišťování bezpečnostních funkcí. Hlavním smyslem jejich použití v řídicím systému stroje je dosažení vyšší (zvýšené) úrovně ochrany proti možnému ohrožení osob, zařízení, nebo výrobního procesu. Mezi bezpečnostní funkce strojů patří např.tyto funkce: • nouzové vypnutí (NV), • nouzové zastavení (NZ) (kategorie 0, 1) • blokování pohonů nebezpečných pohybů v závislosti na: - poloze ochranných krytů (s jištěním nebo bez jištění), - signálech od optoelektronických bezpečnostních ochranných zařízení, • kontrola dvouručního ovládacího zařízení, • kontrolu ventilů a doběhu u hydraulických a mechanických lisů apod. Funkce zastavení (STOP) jsou u strojů rozděleny do tří kategorií (ČSN EN 60204-1 ed.2): Kategorie 0 - neřízené zastavení bezpečnostním vypnutím, tj. zastavení pohybu stroje vypnutím přívodu energie do pohonů stroje, přičemž jsou v činnosti brzdy a mechanické přístroje určené k zastavení. Kategorie 1 - řízené zastavení bezpečnostním vypnutím, tj. zastavení pohybu stroje jakmile řídící systém přijme povel k zastavení, přičemž výkonové části stroje zůstanou během procesu zastavování pod napětím. Kategorie 2 - řízené zastavení, při kterém akční členy řídícího systému zůstávají pod napětím. Nouzové vypnutí (NV) Nouzové vypnutí má být zajištěno tam, kde: - ochrany před nebezpečným dotykem živých částí se dosahuje pouze umístěním mimo dosah nebo zábranami (např. s vodiči, přípojnicemi apod.), nebo - existuje možnost jiných nebezpečí nebo poškození způsobených elektřinou. Nouzové zastavení (NZ) Nouzové zastavení musí fungovat buď jako zastavení kategorie 0 nebo jako zastavení kategorie 1. Výběr kategorie nouzového zastavení závisí na výsledcích hodnocení rizika stroje. Kromě požadavků na zastavení, jsou na funkci nouzového zastavení kladeny následující požadavky: -musí být nadřazena všem ostatním funkcím a činnostem ve všech režimech; - napájení ovládacích částí stroje, které mohou způsobit nebezpečný stav (nebezpečné stavy), musí být buď okamžitě přerušeno (zastavení kategorie 0), nebo musí být řízeno tak, aby byl 3

nebezpečný pohyb zastaven co nejrychleji (zastavení kategorie 1), aniž by vznikla jiná nebezpečí; - reset (návrat do výchozího stavu), nesmí vyvolat opětné spuštění. Jakmile se ovládací prvek funkce NZ nebo NV přestane ovládat, musí být působení tohoto povelu zachováno (aretace), dokud nedojde k ručnímu resetování (výchozí stav). Obnovení povelu nesmí znovu spustit strojní zařízení, ale pouze umožnit nové spuštění. Nesmí být možné znovu připojit, popž. spustit strojní zařízení, dokud nejsou znovu nastaveny všechny povely k NV, popř. k NZ POZNÁMKA: NZ a NV jsou u stroje doplňující ochranná opatření, která nejsou primárními prostředky omezení rizika proti nebezpečím (např. zachycení, zapletení se, úraz elektrickým proudem nebo popálení). Každý stroj musí být vybaven řídící funkcí STOP kategorie 0, a vyžadují-li to bezpečnost a funkční potřeby stroje (jsou-li např. použity pohony s řízenými akčními členy - měniči), musí být stroj vybaven i funkcí STOP kategorie 1 nebo kategorie 2. Při návrhu BLO elektrického ovládacího systému stroje nebo strojního zařízení musí konstruktér, kromě dodržování obecně platných zásad pro navrhování obvodů, vždy vycházet ze stanovené nebo alespoň odhadnuté rizikovosti zařízení a z požadavků na úroveň vlastností a jí odpovídající kategorii dle normy. Základní struktůra BLO je zjednodušeně znázorněna na obr. 1, včetně příkladu zapojení. Řídicí přístroj (např. tlačítko, lankový spínač, mechanický polohový vypínač, optoelektronické bezpečnostní ochranné zařízení apod.) snímá požadavek na bezpečnostní funkci a při jeho vzniku, vyvolá přestavení kontaktů přístroje - vstupní signál pro vykonání bezpečnostní funkce. Snímání požadavku na bezpečnostní funkci Řídící přístroj Signál od snímače

Bezpečnostní zařízení (řídící přístroj)

F

Propojovací vedení (přenos signálů)

Signál pro akční člen

FA Stop SB1

KM

Start SB2

tzv. uvolňovací obvody

KM

Provádění zásahů k dosažení bezpečného stavu

KM Pohon, vypínaný bezpečnostním obvodem

obr. 1 Struktura jednoduchého BLO a příklad jeho elektrického zapojení; kategorie B, (1) Signál od řídícího přístroje je přes propojovací vedení přenesen na akční člen (např. relé, stykač, elektromagneticky ovládaný ventil apod.), který provádí zásah, vedoucí k dosažení bezpečného stavu zařízení. Z obr. 1 je zřejmé, že v bezpečnostní technice obvykle uvažované závady, např. přemostění kontaktu řídicího přístroje (zkratem v propojovacím vedení), svaření kontaktů nebo mechanické selhání akčního členu, mají za následek ztrátu bezpečnostní funkce obvodu, to znamená, že při požadavku na bezpečnostní funkci nemůže být zařízení v důsledku závady uvedeno do bezpečného stavu. 4

Zvýšení odolnosti BLO vůči závadám je možné použitím speciální vyhodnocovací jednotky, tzv. bezpečnostního modulu, který je zapojen mezi řídicí přístroj a akční člen. Bezpečnostní modul reaguje na vstupní signál od řídicího přístroje, vyvolává výstupní signál pro akční člen, detekuje a vyhodnocuje závady v BLO a kontroluje sám sebe, buď spojitě (průběžně) nebo nespojitě (při periodicky prováděném testu). Ke splnění méně náročných požadavků postačuje BLO s jedním kanálem (jeden řídicí přístroj, jeden vstupní signál, jeden bezpečnostní modul, jeden akční člen). Splnění více náročných požadavků vyžaduje použití principů redundance a různosti. Termín „redundance“, v doslovném překladu „nadbytečnost“, je nutné chápat, jako použití více než jednoho prvku (obvykle dvou) pro zajištění jedné funkce a jedná se vlastně o stoprocentní zálohování. Při návrhu BLO je nutno velmi dobře uvážit, zda je nezbytně nutná úplná redundance (zdvojení) všech částí obvodu, neboť by to vedlo k neúměrnému zvýšení nákladů na realizaci zařízení, což určitě není smyslem příslušných bezpečnostních předpisů a norem. Za bezpečnostní část řídicího systému lze považovat jak kterýkoliv přístroj, zapojený v BLO, tak BLO jako celek. Výsledná bezpečnostní úroveň celého obvodu je dána vlastnostmi části, která je nejméně odolná proti závadám. Jsou-li tedy v BLO zapojeny dvě bezpečnostní části, přičemž jedna z nich splňuje vyšší požadavky druhá jen požadavky nižší, vyhoví takový obvod jako celek pouze nižším požadavkům. 2. Přístroje pro BLO U mechanicky ovládaných řídicích přístrojů s kontaktním výstupem pro BLO je požadována pozitivní vypínací funkce kontaktů, jinak také označovaná jako nucené rozpínání.. Při nuceném rozpínání dochází k oddělení kontaktů v přímém důsledku stanoveného pohybu ovládače, který je na kontakty přenášen pevnými součástmi a nesmí záviset na pružinách. Přístroje s nuceným rozpínáním kontaktů označují značkou: Termín nucené rozpínání kontaktů“ nesmí být zaměňován s termínem „nucené vedení kontaktů“,. U spínacích přístrojů s nuceným vedením kontaktů (mechanickým spojením kontaktů) je speciální mechanickou konstrukcí zaručeno, že po celou dobu životnosti přístroje a za žádných okolností (tedy ani při závadě přístroje) nedojde k současnému spojení pracovních a klidových kontaktů Bezpečnostní moduly jsou logické jednotky určené pro použití v BLO a slouží k zajišťování konkrétních bezpečnostních funkcí. Podle provedení mohou být v provedení: - elektromechanickém (kontaktní -reléové, stykačové); - elektronickém (obsahují procesorové systémy a bezkontaktní výstupy); - sdruženém (obsahují bezkontaktní řídící system a kontaktní výstupy) - integrovaném v programovatelných řídících systémech (PLC). Jakákoliv závada uvnitř samotného bezpečnostního modulu musí být detekována automatickou kontrolou a zásadně nesmí být příčinou ztráty bezpečnostní funkce obvodu. To znamená, že např. v případě bezpečnostního modulu, který je určen pro zajišťování bezpečnostní funkce nouzového zastavení, musí tedy závada uvnitř modulu buď vyvolat funkci nouzového zastavení, popřípadě, pokud vzniklá závada nebrání aktivaci bezpečnostní funkce řídicím přístrojem, musí být detekována při periodickém testu funkce bezpečnostního obvodu, přičemž až do doby odstranění závady musí být znemožněno nové uvedení strojního zařízení do provozu. Elektromechanické provedení bezpečnostního modulu obsahuje několik speciálních relé s tzv. nuceným vedením kontaktů, vzájemně propojených osvědčeným způsobem, který využívá principů redundance a různosti.. Bezpečnostní relé, popř. stykače - spínače s nuceným vedením kontaktů, nemají přepínací kontakty a zásadně se u nich používají samostatné kontaktní páry pro pracovní i klidové kontakty, přičemž jednotlivé kontaktní páry jsou umístěny v oddělených komorách relé. Tím je dosaženo 5

kvalitního izolačního oddělení jednotlivých párů kontaktů, na které je pak možné připojovat různá napětí. BLO, určené ke splnění požadavků vyšších kategorií dle normy, vyžadují zpětnou vazbu mezi akčním členem BLO a bezpečnostním modulem. V případě, že je akčním členem stykač, musí mít i tento přístroj nucené vedení kontaktů a do zpětnovazebního obvodu se zapojuje jeho klidový kontakt. Pokud by byl použit „obyčejný“ stykač, bez nuceného vedení kontaktů, ztrácí použití bezpečnostního modulu smysl. Dále existuje velmi rozsáhlý sortiment přístrojů pro aplikace v BLO řídicích systémů. Od řídicích přístrojů, tj. ručně ovládaných tlačítkových, popřípadě lankových spínačů pro nouzové vypnutí (zastavení), polohových spínačů pro kontrolu mezních poloh nebo polohy ochranných krytů (s jištěním a bez jištění) a aktivních optoelektronických bezpečnostních ochranných zařízení pro ochranu prstů nebo rukou obsluhy, popřípadě pro ochranu přístupu do nebezpečných prostorů, přes akční členy, tj. zejména stykače s nuceným vedením kontaktů, až po vyhodnocovací jednotky (bezpečnostní moduly nebo také bezpečnostní kombinace) pro nejrůznější bezpečnostní funkce. Bezpečnostní moduly lze použít také v kombinaci s programovatelnými automaty (PLC), konstruovanými, ověřenými a certifikovanými pro použití v BLO. PLC těchto typů mohou zajišťovat všechny funkce stroje, včetně bezpečnostních. Při posuzování shody, před uvedením stroje nebo strojního zařízení do provozu, musí být použity postupy, vyžadující povinnou účast autorizované osoby. Standardní PLC nejsou z hlediska bezpečnostní techniky, považovány za vyhovující a vhodné pro použití v bezpečnostních úlohách. 3. Vliv délky propojovacích vedení na funkci bezpečnostních kombinací Na jednom stroji nebo strojním zařízení je zpravidla použito několik řídicích přístrojů pro aktivaci bezpečnostních funkcí, např. ovládacích tlačítek pro NV (NZ) nebo mechanických spínačů pro kontrolu polohy bezpečnostních ochranných zařízení. Délky připojovacích vedení k těmto přístrojům mohou dosahovat kritických hodnot, s ohledem na zaručenou spínací a rozpínací funkci vyhodnocovacích jednotek (bezpečnostních modulů). Pro zajištění požadovaných vypínacích časů předřazených jisticích prvků (při zkratech) a bezpečného a spolehlivého spínání spínacích přístrojů, musí proto být u dlouhých vedení kontrolován jejich odpor, daný materiálem, průřezem a délkou příslušných vodičů. V řídicích obvodech s napájením AC musí být kontrolována také kapacita vedení, která může negativním způsobem ovlivňovat rozpínací časy elektromagnetických spínačů. Při stanovení maximální přípustné délky vedení musí být zohledněny tři základní faktory: • zaručené odpojení ve stanoveném čase předřazeným jisticím prvkem při vzniku zkratu nebo příčného zkratu (předřazený jisticí prvek (pojistka, jistič) odpojit příslušné vedení v čase do 5 sec.) • zaručené sepnutí spínacích prvků uvnitř vyhodnocovací jednotky • zaručené rozepnutí spínacích prvků uvnitř vyhodnocovací jednotky V důsledku příliš velkého ohmického odporu dlouhého propojovacího vedení může být úbytek napění na vedení tak velký, že konečné napětí na svorkách vyhodnocovací jednotky nestačí pro sepnutí (přitažení) spínačů uvnitř bezpečnostního modulu. Z hlediska bezpečnosti není sice tato závada relevantní, znemožňuje však funkci bezpečnostního modulu. Musí být zaručeno, že bezpečnostní kombinace spolehlivě rozepne uvolňovací výstupní obvody pokud je aktivován některý z řídicích přístrojů pro snímání požadavku na bezpečnostní funkci. Délka propojovacích vodičů proto musí být omezena tak, aby kapacita vedení nebránila odpadnutí elektromagnetických spínacích prvků uvnitř bezpečnostní kombinace. Z bezpečnostního hlediska je tento faktor zvlášť významný a je nutné věnovat mu odpovídající pozornost, zejména u obvodů, napájených vyššími AC napětími. Také paralelně zapojené vodiče mohou, na základě zvýšené kapacity vedení, významně omezovat maximální přípustnou délku propojovacího vedení.

6

4. Určení požadované úrovně vlastností PLr Úroveň vlastností PL představuje diskrétní úroveň k určení schopností bezpečnostních částí ovládacích systémů k vykonávání bezpečnostní funkce. Tyto úrovně jsou v normě (ČSN EN ISO

13849-1) definovány ve formě pravděpodobnosti nebezpečné poruchy za hodinu.

PL

Požadované úrovně vlastností PLr představuje

Průměrná pravděpodobnost nebezpečné poruchy za hodinu [1/h] ≥

a b c d e

10

< 10

-5

≥

3 x 10

≥

10

-6

-4

< 10

-5

< 3 x 10

-6

úroveň, při které bylo dosaženo pro každou bezpečnostní funkci požadovaného snížení rizika

≥

10

-7

< 10

-6

≥

10

-8

< 10

-7

Pro každou zvolenou bezpečnostní funkci, která je vykonávána bezpečnostními částmi ovládacího řídícího systému musí být tedy určena a zadokumentována PLr .

-6

Určení PLr je výsledkem posouzení rizika a týká se rozsahu snížení rizika, které má být dosaženo bezpečnostními částmi řídícího systému. Odhad rizikovosti strojních zařízení lze provádět např. dle ČSN EN 1050 i pomocí grafické tabulky s následným bodovým ohodnocením (0 až 10 bodů) úrovně rizikovosti dle 4 kvalitativních parametrů (závažnost poranění S, doba pobytu F, možnost vyvarování a pravděpodobnost výskytu P). Převod rizika do požadované úrovně vlastností PLr (a,b,c,d,e) S – závažnost možného zranění S1 – lehká zranění s přechodnými následky (odřeniny, pohmožděniny, řezné rány bez komplikac); S2 – těžké úrazy a zranění s trvalými následky (komplikace, amputace, smrt);

F – četnost a/nebo doba vystavení nebezpečí F1 - vystavení čas od času F2 - často nebo nepřetržitě (pravidelné činnosti) P – možnost vyloučení nebezpečí P1 – existuje reálná možnost vyloučení úrazu nebo snížení jeho účinků (identifikace a následná signalizace rizika) P2 - neexistuje žádná možnost vyloučení nebezpečí Návod na určení požadované úrovně vlastností PLr v závislosti na posouzení rizika je na násl. obrázku PLr F1

L

P1

Legenda:

a

1

P2

S1 F2

P1

b

L malé přispění ke snížení rizika

P2

1

P1

H velké přispění ke snížení rizika PLr požadovaná úroveň vlastností

c

F1 P2 S2 P1 F2

počáteční bod pro hodnocení přispění bezpečnostní funkce (í) k omezení rizika

d

P2

e

H

7

Je zřejmé, že čím větší je požadovaný rozsah snížení rizika bezpečnostními částmi ovládacího systému , tím vyšší musí být PLr Zjednodušeným postupem lze např. provést odhad PL založený na: - stanovených kategoriích (B,1,2,3,4), - střední době do nebezpečné poruchy MTTFd, (očekávaná střední doba do nebezpečné poruchy – krátká, střední, dlouhá – viz. náhled. tabulku)

- průměrném diagnostickém pokrytí v každém kanálu DCavg (- míra účinnosti diagnostiky, která může být určena jako podíl intenzity detekovaných nebezpečných poruch a intenzity poruch všech nebezpečných poruch – žádné, nízké, střední a vysoké- viz. násl. tabulku.)

- a předpokladech daných normou. Legenda PL úroveň vlastností 1 MTTFd každého kanálu = krátká 2 MTTFd každého kanálu = střední 3 MTTFd každého kanálu = dlouhá

Vztah mezi kategoriemi, DCavg, MTTFd, každého kanálu a PL

Tabulky úrovní MTTFd a DC (dle normy) DC

MTTFd Označení doby

Rozsah doby

Krátká Střední Dlouhá

3 roky ≤ MTTFd < 10 roků 10 roků ≤ MTTF d < 30 roků 30 roků ≤ MTTF d < 100 roků

Označení Žádné Nízké Střední Vysoké

Rozsah DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC

Určení hodnot MTTFd jednotlivých součástí (pokud nejsou udány výrobcem) a odhad DC jednotlivých funkcí a modulů je možno provést odhadem nebo výpočtem podle metod a postupů uvedených v ČSN EN ISO 13849-1. Schopnost bezpečnostních částí vykonávat bezpečnostní funkci lze u strojů ohodnotit pomocí 3 úrovní integrity bezpečnosti (SIL1,2,3), kterou lze v případě nepřetržitého provozu vyjádřit četností nebo intenzitou nebezpečných poruch za hodinu. Určení úrovně integrity bezpečnosti (SIL), se provádí opět na základě odhadu rizika a je popsáno v normách pro funkční bezpečnost (CSN EN EN62061 ČSN EN 61508) včetně doporučení pro použití obou způsobů ohodnocení schopností bezpečnostních části ovládacího systému vykonávat bezpečnostní funkce. 5. Kategorie bezpečnostních částí ovládacího systému (ČSN EN ISO 13849-1) Kategorie bezpečnostních částí ovládacího systému stanovují jejich požadované chování vzhledem k odolnosti proti závadám a jejich následnému chování v podmínce závady, kterého je dosaženo konstrukčním uspořádáním částí, detekcí závady a/nebo jejich spolehlivostí 8

Kategorie jsou základními parametry používanými k dosažení specifické úrovně vlastností (PL). Bezpečnostní části ovládacího systému musí být provedena podle jedné nebo více z pěti kategorií. Volba kategorie pro speciální bezpečnostní části ovládacího systému závisí hlavně na: – snížení rizika, které má být dosaženo bezpečnostní funkcí, ke kterému část přispívá; – požadované úrovni vlastností (PLr); – použité technologii; – riziku, které vzniká v případě závady (závad) v této části; – možnosti vyloučení závady (závad) v této části (systematické závady); – pravděpodobnosti výskytu závady (závad) v této části a relevantní parametry; – střední době do nebezpečné poruchy (MTTFd); – diagnostickém pokrytí (DC) a – poruše se společnou příčinou (CCF) v případě kategorií 2, 3 a 4. - základní kategorie je určena jen pro bezpečnostních částí ovládacího systému relativně bezpečných strojů. Výskyt závady zde může vést ke ztrátě bezpečnostní funkce. Ke splnění požadavků stačí dodržovat základní vstup výstup BLO bezpečnostní pravidla pro navrhování řídicích např.stykač např.čidlo, obvodů a používat vhodné přístroje vyhovující ovládač svým provedením daným vnějším vlivům. Maximální dosažitelná úroveň vlastností PL = b Obr.2 Stanovená architektura pro kategorii Střední doba do nebezpečné poruchy MTTFd může B být krátká až střední . Příklad jednoduchého ovládacího systému stroje kategorie B je uveden i na obrázku 1. Kategorie 1 musí splňovat stejné požadavky jako pro kategorii B s tím, že pravděpodobnost výskytu závady je menší. Tato kategorie se má přednostně používat i u relativně málo nebezpečných strojů.Vyšší odolnosti proti závadám ve srovnání s kategorií B lze dosáhnout použitím osvědčených součástí a bezpečnostních zásad (např. uložením propojovacího vedení do ochranné konstrukce (snížení pravděpodobnosti mechanického poškození vedení a následného přemostění rozpínacího kontaktu řídicího přístroje) nebo předimenzováním stykače, který plní funkci akčního členu - snížení pravděpodobnosti svaření silových kontaktů). Závada může vést ke ztrátě bezpečnostní funkce obvodu, přičemž střední doba do nebezpečné poruchy MTTFd je zde dlouhá (delší než u kategorie B), v důsledku toho je ztráta BF méně pravděpodobná. Stanovená architektura je shodná s kategorií B. Kategorie 2 musí splňovat stejné požadavky jako pro kategorii B a musí být dodrženy osvědčené bezpečnostní zásady kat.1. Dále se vyžaduje, aby bezpečnostní funkce byla ovládacím systémem stroje pravidelně kontrolována ve vhodných intervalech, přičemž délka intervalu závisí na druhu a použití stroje. Při výskytu jednotlivé závady sice může dojít ke ztrátě bezpečnostní funkce obvodu mezi kontrolami, ale při pravidelné kontrole musí být závada detekována. Pravidelnou kontrolou je periodický test funkčnosti ovládacího systému stroje prováděný obvykle vypnutím a opětným zapnutím napájecího napětí. Minimální interval pro kontrolu musí být uveden v technické dokumentaci stroje, pokyny pro provádění testu musí být součástí návodu na používání, a obsluha musí být prokazatelně poučena o tom, jak je požadováno postupovat. Pokud ovládací systém stroje detekuje při testu závadu některé části ovládacího systému stroje, např. svaření silových kontaktů stykače - akčního členu, musí být zabráněno opětnému spuštění stroje a iniciována výstraha. Je zřejmé, že tento požadavek je možné zajistit jedině použitím speciální vyhodnocovací jednotky (obvodu), která je zařazena mezi řídicí přístroj pro snímání požadavku na bezpečnostní funkci a akční člen, který bezpečnostní funkci provádí. Velmi důležitý je obvod zpětné vazby, umožňující kontrolu akčního členu (stykač musí mít nucené vedení kontaktů) prostřednictvím tlačítka ZAP/RESET a vnitřní logiky vyhodnocovací jednotky

Kategorie B

9

(obvodu), neboť po připojení napájecího napětí lze vyhodnocovací jednotku uvést do aktivního stavu pouze uzavřením obvodu zpětné vazby stisknutím tlačítka ZAP/RESET (RESET po odstranění poruchy). Pokud je detekována závada akčního členu (stykače), např. svaření silových kontaktů, nelze vyhodnocovací jednotku „nastartovat“. Výpočet střední doby do nebezpečné poruchy (MTTFd) a průměrného diagnostického pokrytí (DCavg) by měl uvažovat pouze bloky funkčního kanálu (tj. vstupy , výstupy a logiku) a nikoliv bloky zkušebního zařízení. Průměrné diagnostické pokrytí (DCavg) všech bezpečnostních částí ovládacího systému včetně detekce závady, musí být nízké. Maximální dosažitelná úroveň vlastností PL = d Střední doba do nebezpečné poruchy MTTFd musí být v závislosti na požadované úrovni vlastností PLr krátká až střední .

Logika ovl. systému (zpracování signálů)

Řídící spínač

ZDROJ

Vstup – např. řídící spínač snímač

ZAP/ RESET

Jistič

monitorování

Zkušební zařízení

Vstupy

Nadproud ochrana 3

(periodické -cyklické) testování)

ZV

Vyhodnocovací jednotka (obvod)

STYKAČ Výstupy Výstup - akční člen (cívka stykače)

Výstup

M

testování

POHON

Cívka stykače

ZV ….ZPĚTNÁ VAZBA

Obr. 3 Struktura ovl. systému pro splnění požadavků kategorie 2 a příklad jeho zapojení do obvodu pohonu Vyhodnocovací jednotka je při testu schopná kontrolovat jen ty části ovládacího systému , které během testování mění stav, tj. svoje vnitřní obvody a připojený akční člen. Pokud dojde k přemostění kontaktu řídicího spínače (např. zkratem na svorkách, nebo na přívodním vedení), není řídicí systém schopen závadu detekovat ani v případě, že je funkce systému kontrolována aktivací řídicího spínače (např. stisknutím ručně ovládaného tlačítka, přestavením bezpečnostního ochranného zařízení apod.), neboť pro detekování závady ve vstupním obvodu nemá vyhodnocovací jednotka dostatek informací. Jen obsluha stroje je při pravidelné kontrole bezpečnostní funkce schopná zjistit závadu řídicího spínače, (zařízení nereaguje na vstupní signál) a záleží jen na uvážení obsluhy, jaký další postup zvolí. V ideálním případě obsluha uvede stroj do bezpečného stavu vypnutím hlavního vypínače. Pravděpodobnost vzniku závady ve vstupním obvodu lze snížit uložením propojovacího vedení mezi vyhodnocovací jednotkou a řídicím spínačem tak, aby nemohlo dojít k jeho mechanickému poškození a umístěním řídicího spínače tak, aby nemohl být jednoduchým způsobem vyřazen z činnosti (např. přemostěním kontaktu). Kategorie 3 - musí splňovat stejné požadavky jako pro kategorii B a musí být dodrženy osvědčené bezpečnostní zásady kat. 1. Chování systému dovoluje, aby: - při výskytu jednotlivé závady v jakékoliv bezpečnostní části ovládacího systému byla vždy zajištěna bezpečnostní funkce, 10

- některé, ale ne všechny, závady byly detekovány - nahromadění nedetekovaných závad může vedlo ke ztrátě bezpečnostní funkce. Předpokladem pro splnění požadavků kategorie 3 je opět použití speciální vyhodnocovací jednotky a využití principů redundance a různosti při návrhu bezpečnostního ovládacího systému jako celku. Průměrné diagnostické pokrytí (DCavg) všech bezpečnostních částí ovládacího systému včetně detekce závady, musí být nízké. Střední doba do nebezpečné poruchy MTTFd všech kanálů musí být v závislosti na požadované úrovni vlastností PLr krátká až dlouhá . vstupní signály stejné polarity

Řídící přístroj 2. kanálu

Řídící přístroj 1. kanálu

ZDROJ 3

Logika pro zpracování signálů 1. kanálu

křížové monitorování

Vstupy

Nadproud. ochrana

Logika pro zpracování signálů 2. kanálu

Vyhodnocovací STYKAČ 1.kanál

jednotka

2.kanál

monitorování

Akční člen 1. kanálu

ZAP / RESET

JISTIČ

Vyhodnocovací jednotka

Výstupy POHON

Akční člen 2. kanálu

1. kanál 2 kanál Cívky stykačů

Obr. 4 Struktura ovl.systému pro splnění požadavků kategorie 3 a příklad jeho zapojení do obvodu pohonu Kompletní zdvojení řídicích spínačů, včetně jejich ovládačů je vhodné (dokonce žádoucí) u bezpečnostních spínačů pro kontrolu polohy bezpečnostních ochranných zařízení (ochranných krytů, dveří apod.). Je však nesmyslné zdvojení ovládačů u ručně ovládaných tlačítek, např. pro nouzové vypnutí nebo zastavení, které by k větší bezpečnosti obsluhy jistě nepřispělo, spíše naopak. V tomto případě stačí opatřit jeden řídicí spínač (tlačítko pro NZ) dvěma rozpínacími kontakty (musí být použity dvě oddělené rozpínací jednotky), které jsou s vyhodnocovací jednotkou systému spojeny dvěma samostatnými kanály (teoreticky by vedení obou kanálů měla být uložena odděleně). Při obdobné úvaze o akčním členu (ovládací cívce stykače) je zřejmé, že redundance je nutná hlavně u kontaktové části stykače, neboť jakákoliv závada na vedení k cívce (zkrat mezi vodiči, přerušení vedení) má za následek vypnutí akčního členu, tedy uvedení zařízení do bezpečného stavu. Jako redundantní akční člen je tedy možné použít např. dva stykače, jejichž silové kontakty jsou zapojeny v sérii a cívky paralelně. Princip různosti vyžaduje, aby stykače byly např. od dvou různých výrobců nebo alespoň různě dimenzované. Řídicí systém stroje musí být schopen detekovat jak závadu na kterémkoliv akčním členu (stykače musí mít nucené vedení kontaktů), tak závadu na kterémkoliv řídicím spínači (v kterémkoliv vstupním kanálu), neboť vyhodnocovací jednotka dostává redundantní informace o stavu kontaktu řídicího spínače. Samozřejmým předpokladem pro splnění požadavků je samočinná vzájemná kontrola logiky pro zpracování signálů kanálu jedna a logiky pro zpracování signálů kanálu dva uvnitř vyhodnocovací jednotky. Samočinná kontrola celého BLO proběhne vždy při aktivování řídicího přístroje tlačítkem ZAP/RESET.. 11

Vzhledem k tomu, že vstupní signály mají stejnou polaritu, řídicí systém není schopen detekovat příčný zkrat mezi oběma vstupními kanály. Pokud tedy dojde k přemostění řídicího přístroje v kanálu jedna a navíc vznikne příčný zkrat mezi oběma kanály, je závada kanálu jedna přenesena do kanálu dva a dojde ke ztrátě bezpečnostní funkce obvodu vlivem nahromadění nedetekovaných závad (obvod není schopen plnit bezpečnostní funkci). BLO kategorie 3 nevyžadují kontrolu příčného zkratu v obvodu startovacího tlačítka ZAP/RESET. Kategorie 4 - velmi tvrdé požadavky mohou splnit jen takové bezpečnostní části ovládacího systému, ve kterých jsou všechny závady detekovány dostatečně včas, aby bylo zabráněno ztrátě bezpečnostní funkce, přičemž při výskytu jakýchkoliv závad musí být bezpečnostní funkce obvodu vždy zachována. Nahromadění nedetekovaných závad nesmí vést ke ztrátě bezpečnostní funkce. Průměrné diagnostické pokrytí (DCavg) všech bezpečnostních částí ovládacího systému včetně detekce závady, musí být vysoké. Střední doba do nebezpečné poruchy MTTFd všech kanálů musí být v závislosti na požadované úrovni vlastností PLr dlouhá Základní zapojení bezpečnostního obvodu pro kategorii 4 vychází ze zapojení pro kategorii 3 (obr. 4), obsahuje však některá „vylepšení“, odstraňující nedostatky kategorie 3. Vstupní signály různé polarity

ZDROJ

Řídící přístroj 2. kanálu

Řídící přístroj 1. kanálu

ZAP / RESET

Vyhodnocovací jednotka

Logika pro zpracování signálů 1. kanálu

křížové monitorování

Logika pro zpracování signálů 2. kanálu

Vstupy

Vyhodnocovací STYKAČ 1.kanál

jednotka

2.kanál

monitorování

Výstupy Akční člen 1. kanálu

POHON

Akční člen 2. kanálu

1.kanál 2.kanál

Cívky stykačů

Obr. 5 Typická struktura systému pro splnění požadavků kategorie 4 a, příklad jeho zapojení do obvodu pohonu Vstupní mají signály různou polaritu, takže řídicí systém je schopen detekovat příčný zkrat mezi oběma kanály (např. při použití různých napěťových potenciálů pro napájení vstupních obvodů dojde při vzniku příčného zkratu k přetavení přeřazené pojistky, což bezpečnostní obvod vyhodnotí jako požadavek na bezpečnostní funkci a uvede zařízení do bezpečného stavu). Kategorie 4 rovněž požaduje, aby byl detekován také příčný zkrat v obvodu tlačítka ZAP/RESET, tj. přemostění tlačítka. Splnění tohoto požadavku je možné za předpokladu, že vstupní obvod vyhodnocovací jednotky, na který je připojeno tlačítko ZAP/RESET, reaguje až na sestupnou hranu vstupního signálu. V případě, že jsou na místě vyhodnocovací jednotky použity bezpečnostní moduly, musí být v provedení kontrolovaný start.

12

6. Příklady vybraných aplikací BLO • Nouzové zastavení s použitím přístrojů pro provozní spínání Kategorie 1

Popis funkce:

• Stisknutím tlačítka S1 pro NZ je přerušen přívod napět: a) na cívku stykače K1M, b) na podpěťovou spoušť (cívku) motorového spouštěče QF1. který silovými kontakty odpojí přívod energie k pohonu

• Nouzové zastavení s pomocnými relé, kategorie 2

Popis funkce: Po stisknutí tlačítka S2 pro funkci ZAP je přes rozpínací kontakty 21-22 pomocných spínačů (relé) K2 a K3 zkontrolováno, zda jsou tyto spínače odpadlé. Spínač K1 přitáhne a spínacími kontakty 23-24 a 33-34 sepne spínače K2 a K3, které si svými spínacími (pracovními) kontakty 13-14 vytvoří tzv. samodrž (přemostí obvod zapínacího tlačítka). Zároveň se spínač K1 přidržuje spínacím kontaktem 13-14 tak dlouho, dokud spínače K2 a K3 nepřitáhnou a svými klidovými kontakty 31-32 nepřeruší přívod napětí na jeho ovládací cívku. Po odpadnutí spínače K1 jsou propojeny uvolňovací obvody, tvořené klidovými kontakty K1 a pracovními kontakty K2 a K3, přes které je připojena cívka silového stykače K1M.. Ke ztrátě bezpečnostní funkce dojde při přemostění v obvodu tlačítka S1 pro nouzové zastavení

13

NZ s bezpečnostním modulem – kategorie 2

Popis funkce: Po přivedení napájecího napětí na bezpečnostní modul a po stisknutí tlačítka S3 (ZAP) je prostřednictvím klidových kontaktů vnitřních relé bezpečnostního modulu a klidových kontaktů 21-22 externích stykačů K1M, K2M, K3M zkontrolováno, zda jsou tato vnitřní uvolňovací relé odpadlá a zda se externí stykače nacházejí v klidovém stavu. Pokud vnitřní relé přitáhnou je tento stav na modulu signalizován a kontakty vnitřních relé tvořící uvolňovací obvody, vyvedené na svorky 13-14, 23-24, 33-34 sepnou. Signalizační obvod, vyvedený na svorky 41-42 je rozpojený. Výkonové stykače jednotlivých pohonů K1M, K2M a K3M mohou být : zapnuty teprve po samostatném impulsním startovacím povelu příslušným tlačítkem (S4, S6 a S8). vypnuty teprve po samostatném impulsním vypínacím povelu příslušným tlačítkem (S5, S7 a S9)

• NZ s bezpečnostním modulem – kategorie 3

Popis funkce: Po přivedení napájecího napětí na bezpečnostní modul (připojovací svorky A1-A2) a po stisknutí tlačítka S2 (ZAP) je prostřednictvím klidových kontaktů výkonových stykačů K1M, K2M, které jsou zapojeny v obvodu zpětné vazby, zkontrolováno, zda jsou tyto stykače odpadlé. Řídicí logika kontroluje jak tlačítko ZAP, tak klidový stav vnitřních uvolňovacích relé bezpečnostního modulu. Uvolňovací relé přitáhnou a příslušnými pracovními kontakty si vytvoří samodrž. Kontakty vnitřních relé tvořící uvolňovací obvody, vyvedené na svorky 13-14, 23-24sepnou. Signalizační obvod, vyvedený na svorky 31-32 je rozpojený. Výkonové stykače K1M / K2M mohou být zapnuty startovacím povelem z tlačítka S6 a vypnuty tlačítkem S7. Zdvojené kontakty tlačítek S3, S4, S5 pro NZ jsou k modulu přivedeny a vyhodnocovány dvoukanálově.

14

6. Závěr Součástí návrhu každého BLO musí být rozbor odolnosti obvodu proti závadám, tzv. analýza závad, umožňující souhrnným a přehledným způsobem posouzení vlastností obvodu a jejich porovnání s požadavky norem a předpisů. Literatura:


ČSN EN 60204-1:ed.2 (33 2200) Bezpečnost strojních zařízení - Elektrická zařízení strojů - Část 1: Všeobecné požadavky)


ČSN EN ISO 13849-1

(83 3205) Bezpečnost strojních zařízení - Bezpečnostní části ovládacích systémů - Část 1: Všeobecné zásady pro konstrukci


ČSN EN 62061 (33 2208), Bezpečnost strojních zařízení - Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností


Firemni dokumentace (manuály, příručky, presentace) výrobců a dodavatelů komponentů bezpečnostní techniky (Siemens, Moeller, Schneider electric atd.)


Presentace a odborné články zaměřené k problematice bezpečnostních požadavků na stroje a zařízení (TÜV NORD Czech, s.r.o.)

15