Bezpieczeństwo podczas użytkowania maszyn staje się coraz ważniejszym aspektem dla producentów oraz samych użytkowników. Oprócz podnoszenia wydajności i obniżania kosztów produkcji producenci zwiększają atrakcyjność swoich maszyn poprzez podwyższanie poziomu bezpieczeństwa ich użytkowania. Tak więc bezpieczeństwo staje się nie tylko wymogiem prawnym, ale także kartą przetargową na coraz większym i bardziej konkurencyjnym rynku maszyn.
Wielu użytkowników i producentów uważa, że podnoszenie poziomu bezpieczeństwa dokonuje się tylko przez stosowanie osłon i technicznych środków bezpieczeństwa. Zapominamy, że jedną z fundamentalnych cech jest prawidłowo wykonany układ sterowania. Zapobieganie niespodziewanemu uruchomieniu maszyny również należy do elementów bezpieczeństwa układu sterowania.
W załączniku pierwszym dyrektywy maszynowej 2006/42/WE jeden rozdział poświęcono wymogom stawianym układowi sterowania maszyny, tak aby spełniał wymagania zasadnicze w zakresie bezpieczeństwa. Podstawowym celem jest zaprojektowanie układu sterowania w taki sposób, aby zapobiegał powstaniu sytuacji zagrożenia. Cel ten możemy osiągnąć poprzez dobranie komponentów odpowiedzialnych za sterowanie maszyny – mogących wytrzymać przewidywane obciążenia pracy, projektowanie układów logicznych – aby ich defekt nie prowadził do sytuacji zagrożenia oraz odpowiednie rozstawienie elementów sterowniczych – zmniejszając tym samym prawdopodobieństwo błędnego sterowania maszyną. Ze względu na charakter dyrektywy, obejmującej bardzo dużą grupę wyrobów, przedstawione wymogi są zbyt ogólnikowe i nie dają projektantowi pełnych informacji na temat tego, jak zapobiegać niespodziewanemu uruchomieniu maszyny. W celu uzyskania odpowiedzi projektant musi sięgnąć do norm zharmonizowanych, dających wskazówki odnośnie prawidłowego wykonania układu sterowania. Najistotniejszymi normami zajmującymi się tą tematyką są normy: PN-EN 60204-1, PN-EN 1037 i PN-EN 954-11). Normy PN-EN 60204-1 o tytule „Wyposażenie elektryczne maszyn” oraz PN-EN 954-1 zatytułowana „Elementy systemów sterowania związanych z bezpieczeństwem”, odnoszą się do wielu właściwości układów sterowania i zawierają kilka istotnych wskazówek odnośnie prawidłowego uruchomienia maszyny.
Prawidłowe uruchomienie maszyny następuje w momencie gdy wszystkie funkcje bezpieczeństwa i urządzenia ochronne są na swoim miejscu i funkcjonują. Oznacza to, że projektant powinien tak zintegrować elementy bezpieczeństwa z układem sterowania, aby ich brak lub uszkodzenie uniemożliwiły uruchomienie maszyny do czasu wymiany lub naprawy. Odstępstwem od tej reguły mogą być prace serwisowe lub ustawcze, którym towarzyszy chwilowe zawieszanie funkcji bezpieczeństwa. Podczas zablokowania podstawowych technicznych środków bezpieczeństwa, projektant powinien wprowadzić dodatkowe zabezpieczenia, które pozwalają na redukcję ryzyka do możliwie tolerowanego przy tego rodzaju obsłudze maszyny. Oprócz zablokowania wszystkich innych rodzajów pracy warto wprowadzić urządzenie sterujące podtrzymaniem ruchu lub/i sterownik przenośny z urządzeniem zatrzymania awaryjnego. Gdy wskazuje na to ocena ryzyka, warto wprowadzić dodatkowo urządzenie zezwalające (na rys. 1 został przedstawiony przenośny sterownik z urządzeniem sterowniczym trójpozycyjnym). Jest to bardzo ekonomiczne rozwiązanie, które pozwala znacznie zmniejszyć ryzyko wypadkowości wśród służb utrzymania ruchu i operatorów zajmujących się konserwacją maszyn.
W przypadku zastosowania sterownika przenośnego należy pamiętać, że uruchomienie może być inicjowane jedynie z tego sterownika. Należy także mieć na uwadze, że jedynym środkiem ochronnym, który nie może zostać zablokowany w każdym trybie pracy, jest urządzenie zatrzymania awaryjnego.
Częstym błędem podczas wprowadzania trybu serwisowego przez proste „zmostkowanie” obwodu urządzeń ochronnych (np. czujników nadzorujących otwarcie osłon blokujących) za pomocą przełącznika kluczykowego, jest obniżenie kategorii wg PN-EN 954-1 podsystemu wejściowego i w konsekwencji całego obwodu bezpieczeństwa. Na rys. 2 przedstawiono nieprawidłowe wykonanie blokowania czujników osłon przez pojedynczy stycznik uruchamiany przełącznikiem kluczykowym. Zastosowanie pojedynczych zestyków w obwodzie czujników powoduje, że pojawienie się pojedynczego defektu (np. sklejenie się styków stycznika K1) prowadzi do utraty funkcji bezpieczeństwa, co degraduje podsystem wejściowy z kategorii 3 do kategorii 1 wg PN-EN 954-1. Na schemacie obok zostało przedstawione prawidłowe blokowanie obwodu wejściowego z udziałem przekaźnika bezpieczeństwa.
Przy zwiększającym się nieustannie stopniu automatyzacji produkcji zwiększa się również ryzyko wystąpienia samorozruchu, dlatego stosowanie technik zapobiegawczych staje się coraz bardziej istotne. Norma PN-EN 1037 jest poświęcona w całości zagadnieniu zapobiegania niespodziewanemu uruchomieniu maszyny. Przedstawia cztery rodzaje środków zapobiegających: przez zastosowanie odpowiednich urządzeń odłączających, urządzeń do rozpraszania energii, urządzeń monitorujących stan odłączenia oraz inne środki niż odłączanie i rozpraszanie energii.
Odpowiednie urządzenie rozłączające powinno zapewnić niezawodne odłączenie (odizolowanie, oddzielenie). W praktyce oznacza to, że powinniśmy stosować sprawdzone elementy, takie jak łączniki główne lub wyłączniki samoczynne dobrane zgodnie z IEC 60947-2. Odłączanie urządzeniem, które nie spełnia funkcji izolowania (np. stycznik kontrolowany układem sterowania), jest dopuszczalne tylko wtedy, gdy jest ono przewidziane do stosowania w sytuacjach: kontroli, regulacji i prac na wyposażeniu elektrycznym, kiedy nie ma zagrożeń porażenia i pożaru, a środki wyłączania pozostają czynne podczas wykonywania pracy. Dodatkową cechą urządzeń rozłączających jest niezawodny mechanizm łączący element sterowniczy i element wykonawczy (np. przez umieszczenie uchwytu i styków na jednym trzpieniu obrotowym) oraz wyraźna identyfikacja stanu, w jakim znajduje się urządzenie. Identyfikację stanu urządzenia określa norma PN-EN 60204-1. Urządzenie powinno mieć tylko jedno położenie otwarcia oznakowane symbolem „O” i jedno zamknięcie oznakowane „I”. W przypadku zastosowania przycisków warto przewidzieć dodatkowe elementy sygnalizujące jego położenie (np. dodatkowej lampki sygnalizującej stan). Urządzenia odłączające powinny znajdować się przy każdym zewnętrznym źródle zasilania maszyny i przy każdym źródle zasilania umieszczonym na maszynie. Dodatkowa liczba i rozmieszczenie aparatów odłączających powinna być przewidziana na podstawie oceny ryzyka określonej zgodnie z PN-EN ISO 14121.
Warto usystematyzować wymagania zamknięcia na klucz urządzeń odłączających (procedury „Lock out”). Zgodnie z PN-EN 1037 urządzenia odłączające powinny mieć możliwość zamykania na klucz, na przykład za pomocą kłódek. Zamknięcie powinno być możliwe w położeniu otwartym OFF i jest wymagane tylko wtedy, kiedy ponowne włączenie urządzenia stwarza zagrożenie dla ludzi.
W niektórych normach poświęconych konkretnej grupie maszyn (normy typu „C”) mamy określoną minimalną kategorię wg PN-EN 954-1 obwodu bezpieczeństwa. Zastosowanie zamykania na klucz urządzeń odłączających pozwala na zachowanie mniejszych kategorii niezawodności. Argumentowane jest to brakiem konieczności polegania na środkach bezpieczeństwa podczas wykonywania prac serwisowych. Wyłączenie maszyny i zamknięcie wyłącznika powoduje nie tylko wyłączenie obwodu bezpieczeństwa, ale przede wszystkim wyłączenie wszystkich niebezpiecznych ruchów maszyny.
Kolejnym środkiem zapobiegającym samorozruchowi są urządzenia rozpraszające energię. Takie urządzenia powinny być stosowane zawsze wtedy, gdy skumulowana energia może powodować wzrost zagrożeń. Typowym przykładem tego typu urządzeń są hamulce absorbujące energię kinetyczną części ruchomych, rezystory do rozładowania obwodów elektrycznych czy zawory do rozładowania ciśnienia w przewodach i akumulatorach. Elementy rozpraszające lub pochłaniające energię muszą być tak dobrane, aby proces ich działania nie powodował sytuacji zagrożenia, a samo rozproszenie energii było skutkiem odłączenia maszyny od zasilania. Projektant powinien opisać niezbędne procedury rozpraszania energii i zgodnie z triadą bezpieczeństwa (norma PN-EN 12100), umieścić odpowiednie ostrzeżenia na maszynie. W przypadku elementów mechanicznych, mogących stwarzać zagrożenie przez swój ciężar lub usytuowanie, producent powinien zapewnić możliwość sprowadzenia ich do najniższego stanu energetycznego. Jeżeli ze względów technologicznych sprowadzenie do takiego stanu jest niemożliwe, to powinny zostać zastosowane mechaniczne blokady lub hamulce. Dobrym przykładem tego typu zagrożeń są prasy. Suwak w prasie podczas prac konserwacyjnych powinien zostać zabezpieczony podporą przed samoistnym grawitacyjnym opadaniem.
Jeżeli istnieje ryzyko, że zastosowana podpora może nie przenieść całej siły nacisku, to suwak powinien zostać zablokowany w górnym zwrotnym położeniu. Dodatkowo urządzenie powinno być tak zblokowane z układem sterowania, aby podczas użytkowania nie było możliwe wykonanie skoku suwaka.
Trzecim typem urządzeń, zapobiegającym niespodziewanemu rozruchowi, są elementy pozwalające na sprawdzenie skuteczności odłączenia i rozproszenia energii. Tego typu urządzenia stosujemy, jeżeli przeprowadzona ocena ryzyka wskazuje na potrzebę ich zastosowania. W przypadku rozpraszania energii powinny zostać zastosowane urządzenia pomiarowe do sprawdzenia pełnego rozładowania energii. Mogą to być ciśnieniomierze pokazujące stan ciśnienia w instalacji. Dla urządzeń odłączających sprawdzenie ich stanu może zostać wykonane przez widoczne przerwanie obwodów zasilania lub jednoznaczne wskazanie ustawienia elementu sterowniczego.
Jeżeli odłączenie i rozproszenie energii nie jest stosowne dla wszystkich operacji, to projektant, zgodnie z wynikami oceny ryzyka, powinien przewidzieć dodatkowe środki. W normie PN-EN 1037 możemy znaleźć wskazówki, jak wprowadzić zabezpieczenie, na różnych poziomach działania maszyny, przed przypadkowym sygnałem prowadzącym do nieoczekiwanego uruchomienia. Sygnał trwałego zatrzymania wprowadzony na danym poziomie zapobiega przypadkowemu sygnałowi start zainicjowanemu tylko nad tym poziomem. Producent powinien wprowadzić sygnał trwałego zatrzymania osobno lub łącznie, na różnych poziomach, w zależności od oceny ryzyka. Na rys. 3 zostały przedstawione kolejne poziomy zapobiegania wywołaniu przypadkowych sygnałów start prowadzących do niespodziewanego uruchomienia.
Na poziomach A, B lub C sygnał trwałego zatrzymania może zostać wprowadzony przez urządzenia sterujące lub urządzenia ochronne.
Ochronę na poziomie A możemy uzyskać przez odpowiednią konstrukcję, usytuowanie, zabezpieczenie i oznakowanie elementów sterowniczych. Ryglowanie lub przełączanie kluczem urządzenia sterującego zatrzymaniem, które utrzymuje sygnał zatrzymania aż do chwili ręcznego przesterowania tego urządzenia, wprowadza jeden ze sposobów trwałego zatrzymania. Zabezpieczenie na tym poziomie zapobiega niespodziewanemu uruchomieniu maszyny przez przypadkowy sygnał start wprowadzony przed wejściem układu logicznego maszyny.
Ochronę na poziomie B możemy uzyskać przez odpowiedni dobór i umiejscowienie elementów sterowania napędem. Takie elementy, jak styczniki czy zawory powinny być dobrane i stosowane tak, aby nie mogły zmienić swojego stanu pod wpływem zakłóceń w zasilaniu (wahanie napięć lub ciśnienia w określonych tolerancjach) albo zakłóceń zewnętrznych (drganie lub emisje elektromagnetyczne). Wszystkie elementy wykonawcze powinny być tak zblokowane przez urządzenia sterujące lub ochronne, aby błędy układów logicznych gromadzących i przetwarzających dane nie wprowadziły nieoczekiwanego uruchomienia.
Wprowadzenie trwałego sygnału zatrzymania na poziomie C polega na bezpośrednim blokowaniu napędu maszyny. Odpowiednie urządzenia odłączające powinny rozłączać bezpośrednie zasilanie silnika lub falownika.
Urządzenia rozłączania mechanicznego, takie jak sprzęgła czy hamulce, zapewniają zabezpieczenie przed niespodziewanym sygnałem uruchomienia wprowadzonym nad poziomem D. Przez wprowadzenie trwałego rozłączenia między częścią wykonawczą a napędem maszyny, wszystkie błędy powstałe w systemie sterowania maszyny nie prowadzą do sytuacji zagrożenia.
Zabezpieczenie na poziomie E stanowi ostatni poziom zabezpieczenia wprowadzany na maszynie. Realizacje trwałego zatrzymania na tym poziomie wykonuje się przez zastosowanie klinów, rozpórek, podpór, podstawek itd., które dzięki własnej wytrzymałości zapobiegają każdemu ruchowi stwarzającemu zagrożenie. Wszystkie niespodziewane sygnały uruchomienia maszyny są blokowane przez zabezpieczenia wprowadzone na poziomie E. Ze względów technologicznych i ergonomicznych tego rodzaju zabezpieczenia niestety nie zawsze mogą być stosowane.
Dla łatwiejszego zrozumienia wprowadzenia zabezpieczeń na poszczególnych poziomach na rys. 4 przedstawiono schematycznie maszynę (wg PN-EN 12100) wraz z naniesionymi poziomami zabezpieczeń.
Projektant maszyny powinien mieć na uwadze, że odłączenie i rozproszenie energii stanowi podstawowe środki zapobiegania niespodziewanemu uruchomieniu, a pozostałe środki powinny być wprowadzone jako uzupełniające.
Mgr inż. Paweł Olęcki jest specjalistą ds. inżynierii bezpieczeństwa maszyn i procesów w firmie ELOKON Polska
Materiały źródłowe:
PN-EN 60204-1:2010 „Bezpieczeństwo maszyn. Wyposażenie elektryczne maszyn. Część 1: Wymagania ogólne”
PN-EN 954-1:2001 „Maszyny. Bezpieczeństwo. Elementy systemów sterowania związane z bezpieczeństwem. Część 1: Ogólne zasady projektowania”
PN-EN 1037:2001 „Maszyny. Bezpieczeństwo. Zapobieganie niespodziewanemu uruchomieniu”
PN-EN ISO 12100-1: 2005 „Bezpieczeństwo maszyn. Ogólne zasady projektowania. Część 1: Podstawowa terminologia, metodyka”
1)Norma PN-EN-954-1 będzie zastąpiona przez normę
PN-EN ISO 13849-1 w roku 2012. Jednak w tematyce zapobiegania nieoczekiwanemu uruchomieniu nowa norma nie wnosi żadnych istotnych zmian.
Autor: Paweł Olęcki
