Bezpečnostní modul – o co jde a proč je dobré to používat?

Na strojích a všelijakých zařízeních není paradoxně nejdůležitější jejich funkce, ale bezpečnost. Aby stroje vykonávaly svoji práci bezpečně, je nutné vždy dodržovat nějaká pravidla pro jejich konstrukci i provoz. Nejzákladnější pravidla jako správné krytí, jištění, používání proudových chráničů apod. brání před úrazem elektrickým proudem. Pohyblivé části je nutné ideálně zakrýt a zabezpečit tak, aby nemohlo dojít k jejich dotyku – častokrát je to kompromis mezi funkčností a bezpečností.

Bezpečností strojů se mimo jiné zabývají normy ČSN EN 60204, ČSN EN 62061, ČSN EN ISO 13849-1, ČSN EN ISO 13850. Nebudu zde samozřejmě rozebírat přesné znění norem, detaily zabezpečení a podobně. Na to by měl vždy myslet konstruktér před návrhem stroje a vycházet z nějaké analýzy rizik, prostředí, kde stroj pracuje a podobně. Normy se navíc mění a vyvíjí. V tomto článku bych chtěl dodržet správnou terminologii, ale nechci zacházet do úplných podrobností, ale spíše pouze osvětlit obecné principy – že vůbec něco takového existuje. Samotná problematika je velice rozsáhlá. Doporučuji k prostudování např. dokument Bezpečnostní aplikace Preventa. V tomto článku jsou použity obrázky mimo jiné i z tohoto dokumentu.

Pro zvýšení bezpečnosti a jakéhosi zobecnění vyrábějí různí výrobci tzv. bezpečnostní moduly. Pomocí nich lze zjednodušit a standardizovat návrh obvodů, které u stroje sledují nejrůznější vnější vlivy, ty vyhodnocují a např. spínají své kontakty. Tyto moduly jsou konstruovány tak, aby byla jejich chybovost co nejmenší a v případě poruchy (nejen samotného modulu, ale i vnějšího obvodu) došlo k vyhodnocení chyby a nesepnutí nebezpečného obvodu.
Jako bezpečnostní moduly se dnes dají koupit programovatelné bezpečnostní moduly, kde jejich funkce není předem definovaná z výroby, ale lze je uživatelsky konfigurovat např. jako modul Logo!. Další pomyslný level jsou failsafe PLC. Z vnějšku se jedná o běžná PLC, která jsou ale vybavena hardwarem a softwarem, který zajišťuje velkou provozní spolehlivost. Lze je programovat jako běžná PLC, ale existují i bezpečnostní bloky (software) a bezpečnostní vstupy/výstupy (hardware) které umožňují PLC použít jako bezpečnostní modul.

Nejsnáze si bezpečnostní funkci lze představit na tlačítkách dvouručního spouštění, které najdeme třeba u lisů, nebo podobných zařízení, kam obsluha nesmí strkat prsty. Na stroji se vyskytují dvě tlačítka (je definovaná jejich vzájemná vzdálenost, vzdálenost od stroje apod. – obsluha nedosáhne zároveň do stroje a na tlačítka), která je nutná stisknout zároveň, nebo s nějakým minimálním časovým rozestupem. Pokud obsluha stiskne obě tlačítka zároveň, je sepnut ovládaný obvod. Pokud je třeba jedno tlačítko zablokované, nebo nefunkční, je řízený obvod blokován. To vše a ještě více musí bezpečnostní modul kontrolovat a správně vyhodnotit. Konstrukci podobného obvodu jsem zmiňoval v článku Reléové obvody. Zde je obvod složen z relé, kontaktů a kondenzátoru. Rozhodně nedoporučuji jeho stavbu – slouží spíše jako zajímavost.

Obecné zásady

Nejen při řešení bezpečnostních obvodů je nutné dodržet některé obecné zásady. Vždy je lepší úrazu, nebo možnosti úrazu předejít – nevytvářet vůbec možnost že by k němu mohlo dojít.

Barevné značení vodičů:

• Obvody pod napětím i při vypnutím hlavním vypínači: oranžová
• Silové obvody: černá, hnědá, šedá
• Střední nulový vodič (nulák): světle modrá
• Ochranné vodiče, uzemnění: zelená, žluto-zelená
• Stejnosměrné řídící obvody: tmavě modrá
• Střídavé řídící obvody: červená
• Používají se i jiné barvy jako fialová, bílá apod. Záleží na typu rozvaděče. Význam jednotlivých barev by měl být vždy uveden v dokumentaci stroje!
• Používat správné jištění a proudové chrániče.

Logické umístění a označení (nejen) bezpečnostních prvků stroje:

• Umístění bezpečnostních prvků všude tam, kde může být jejich použitý vyžadováno.
• Bezpečnostní prvky označeny červeně se žlutým podkladem.
• Označení hl. vypínače červeno-žlutě (viz výše), pokud slouží zároveň jako nouzové vypnutí* (jinak černě, nebo šedě).
• Používání hřibových tlačítek s aretací a s funkcí proti přelstění. Tlačítka musí splňovat požadavky na nucené rozpínaní kontaktů.
• Správné umístění tlačítek douručního spouštění.

*Pozor, neplést termíny „Total stop„, „Central stop„, „Nouzové vypnutí“ a „Nouzové zastavení„. Každý název znamená něco jiného a např. na strojích se Total a Central stop na rozdíl od Nouzového zastavení nevyskytuje – jeho funkce je přesně definovaná v normě ČSN EN ISO 13850. Stejně tak je chybné např. označení všech „vypínačů“ červenou a žlutou barvou. Obsluha stroje potom může být zmatena a snažit se stroj vypnout hlavním vypínačem, jehož reakce může být pomalejší, než vyvolání zastavení stroje pomocí tlačítka nouzového zastavení.

Používání ověřených obvodů:

• Příkaz k zastavení stroje musí fungovat ve všech režimech a mít vždy přednost před ostatními funkcemi.
• Opětovným uvolněním tlačítka nouzového zastavení nesmí samovolně dojít k rozběhnutí stroje – je potřeba nějaký potvrzovací impulz (stisk tlačítka Start/Reset).
• Používat ověřené bezpečnostní prvky (moduly, tlačítka, koncové spínače, zámky …).
• Vypínací obvody provádět pomocí rozpínacích kontaktů (n.c.).
• Vypínací obvody vytvářet zdvojené.
• Používat zpětnou vazbu, která stále, nebo cyklicky kontroluje správné sepnutí/rozepnutí obvodu.
• Odpojení přívodů energie pouze elektromechanickými součástmi (mechanické stykače) s vhodnými parametry.

Ne vždy je nejbezpečnější způsob zastavení stroje „jednoduše“ jej odpojit od napájení. Stroj může mít pohony s velkou setrvačností, které potřebují nějaký čas k zastavení. Zastavení je provedeno buď přirozeně, nebo nuceně. Příkaz STOP se dělí na tři kategorie:

• Stop kategorie 0: Zastavení odpojením přívodů energie k pohonům stroje, tzv. neřízené zastavení.
• Stop kategorie 1: Řízené zastavení, při němž zůstávají přívody energie připojeny k pohonům za účelem zastavení a jsou odpojeny, teprve když je zastavení dosaženo.
• Stop kategorie 2: Řízené zastavení, při němž přívod energie k pohonům stroje zůstává zachován.

Bezpečnostní moduly

Zde představím několik typů bezpečnostních modulů. Výčet samozřejmě nebude kompletní už jen z toho důvodu, že stále vznikají nové a existují jejich různé modifikace. Navíc spousta modulů je konfigurovatelných, nebo se dají vytvořit v některých PLC.

Modul nouzového zastavení (stop kategorie 0)

Jedná se o asi nejzákladnější modul. V nejjednodušší verzi by se mohlo jednat o obyčejný stykačový „samodrž“. Stisknutím jednoho tlačítka (start – spínací kontakt – S2) dojde k sepnutí obvodu. Stisknutím druhého tlačítka (stop/nouzové zastavení – rozpínací kontakty – S1) dojde k odpojení řízeného obvodu od napájení (KM1 a KM2)
Bezpečnostní modul (zde Schneider Preventa XPS AF) vyžaduje dvouokruhové hlídání stisknutí tlačítka nouzového zastavení (S1). Detekuje chybné rozpojení (pouze jednoho okruhu), chybné spojení (zkrat mezi okruhy – označeno červeně), opětovné spojení tlačítka start a hlídá si zpětnou vazbu z ovládaného obvodu (ESB a rozpínací kontakty KM1 a KM2). Kontakty relé uvnitř modulu jsou provedeny způsobem takovým, aby byl jejich provoz spolehlivý – místo pružiny je použit magnet, kontakty jsou zdvojené, často pájené olovnatým cínem apod.

V případě, že by bylo „chybně stisknuto“ tlačítko S1 (rozpojení jenom jednoho okruhu, zkrat, …) dojde k vypnutí výstupů. V případě zaseknutí, nebo svaření stykače KM1, nebo KM2 nedojde k sepnutí rozpínacích kontaktů a není tak možné obvod znovu sepnout. Do okruhu hlídání je možné zahrnout více podmínek pro start (obvod ESB). Kontakty v něm musí mít předem definovaný stav, aby bylo možné modul nastartovat.

Modul nouzového zastavení (stop kategorie 1)

Princip tohoto modulu je podobný jako v předchozím případě. Rozdíl je v tom, že je nejprve rozpojen obvod zastavení a teprve po nějakém zpoždění je obvod odpojen od napájení. Časové zpoždění je většinou možné nastavit od 0 do několika desítek, nebo stovek sekund.
Reálné využití je např. s frekvenčním měničem, který má nastaveny brzdné rampy, případně je přímo vybaven vstupem pro rychlé zastavení. Nejprve je tedy přiveden příkaz k zastavení a teprve po ukončení pohybu (časovém zpoždění) je pohon odpojen od napájení. Některé měniče jako třeba Schneider Altivar 320 mají vstup pro vypnutí výkonového stupně (Safe Torque Off – STO), takže nemůže dojít k jeho náhodnému rozběhu – funkce supluje externí stykače KM1 a KM2.

Na obrázku níže je modře zakreslen obvod, který vypne bez zpoždění – dojde k příkazu nuceného zastavení motoru. Teprve po nějakém nastaveném zpoždění (po zastavení motoru) dojde k vypnutí kontaktů stykačů KM1 a KM2 (oranžově). Správné vypnutí akčních členů je hlídáno ve zpětné vazbě (žlutě).

 

Modul dvouručního spouštění

Jak již bylo zmíněno, modul dvouručního spouštění umožňuje bezpečné spuštění nebezpečného pohybu stroje. Obsluha je při tom nucena držet ruce mimo nebezpečný prostor. Je zde mimo jiné nutné dodržet podmínky správného umístění tlačítek jako je vzdálenost tlačítek od sebe, vzdálenost od nebezpečné části stroje, vzdálenost od podlahy, případné umístění přepážek okolo tlačítek a podobně.
Modul hlídá zda-li jsou obě tlačítka stisknuta zároveň, respektive v nějakém krátkém (< 0,5 s) časovém horizontu. Tlačítka jsou provedena dvouokruhově – mají spínací a rozpínací kontakt. Podobně jako u nouzového zastavení detekuje chybné rozpojení (pouze jednoho okruhu), chybné spojení (zkrat mezi okruhy), trvalé držení jednoho tlačítka a hlídá si zpětnou vazbu z ovládaného obvodu (např. stykače – svorky Y1 a Y2). Kontakty relé uvnitř modulu jsou provedeny způsobem takovým, aby byl jejich provoz spolehlivý – místo pružiny je použit magnet, kontakty jsou zdvojené, často pájené olovnatým cínem apod.

Bezpečnostní moduly závor, zábran a podobně

Tento typ modulů je podobný nouzovému zastavení, nebo dvouručním spouštění. Největší rozdíl je použitých snímačích – místo tlačítek jsou použity bezpečnostní koncové spínače, optické zábrany a mříže a podobně. Stejně jako u ostatních bezpečnostních modulů lze použít zpětnou vazbu. Často jsou nastaveny tak, že není nutné provést manuální restart, ale po korektním obnovení signálů ze snímačů se automaticky sepnou výstupy. Navíc je možné použít vstupy pro simulaci, vyřazení atd. – kvůli servisním zásahům a podobně.

Jako koncové snímače dveří, nebo mříží je možné použít mechanické koncové spínače (mají konstrukci která zajišťuje velkou spolehlivost). Dnes je běžné používat snímače, které používají mechanicky kódovaný, magneticky kódovaný, nebo RFID kontakt. Některé takové snímače jsou potom nakódované spolu jako pár (při výměně je nutné provést teach-in proces a snímače spárovat).

Jako optické zábrany se používají speciální optické mříže, které tvoří v páru vysílač a přijímač. Mříže jsou namířeny proti sobě a připojeny k bezpečnostnímu modulu. V případě přerušení paprsku dojde k rozpojení bezpečnostního obvodu. Některé optické mříže mají bezpečnostní modul vestavěn v sobě – nepotřebují již další dodatečný hardware.

Monitorování nulových otáček

Přímo k motorům je možné připojit relé hlídání nulových otáček. Dnes je to adekvátní náhrada např. otáčkového relé Alnico. Bezpečnostní relé hlídá pomocí jednoho, nebo více indukčních snímačů otáčení motoru. Některé moduly umožňují připojení místo snímače přímo napájecí svorky motoru – detekují indukované napětí vlivem zpětného magnetizmu. Po dotočení motoru dají podmět např. k odjištění ochranného krytu.
Konstrukce je tvořena podobně jako u jiných bezpečnostních modulů – zdvojené kontakty speciálních relé, bezpečná konstrukce, otestovaný design.

Další bezpečnostní moduly a PLC

V dnešní době není vždy potřeba kupovat specializované bezpečnostní moduly, ale existují buď bezpečnostní moduly konfigurovatelné, nebo bezpečnostní (failsafe, safety) PLC. Konfigurovatelné bezpečnostní moduly mají podobně jako PLC vstupy a výstupy – skutečnou funkci lze vytvořit softwarově pomocí programovatelného nástroje. Konfigurace se podobá programování např. programovatelného relé Siemens Logo!. Další možností jsou safety PLC, která fungují jako běžná PLC ale po připojení vhodných bezpečnostních vstupů/výstupů je možné do nich naprogramovat i bezpečnostní moduly.

Závěr

Bezpečnostní obvod stroje je spolehlivý tak, jako jeho nejméně spolehlivý článek. Je zbytečné utrácet peníze za kvalitní bezpečnostní modul, když ke spínání motoru bude použit třeba stykač, který nebude splňovat příslušné pravidla – jako třeba nucené vedení kontaktů, nebude použita zpětná vazba, nebudou použity vhodné kontakty tlačítek. Stejně tak pneumatické, nebo hydraulické ventily lisů musí být zdvojené a použity speciální, které zajišťují bezpeční chod. Při zaseknutí jedné části ventilu nemůže dojít k pohybu stroje. Navíc zaseknutí musí být hlášeno nadřazenému bezpečnostnímu modulu, takže ve výsledku ani nedojde k inicializaci ventilu.

Článek měl sloužit jako takový přehled bezpečnosti strojů – co je třeba a co je možné řešit. Ne vždy je moudré spínat nebezpečný pohyb třeba Arduinem s prvním relátkem, které se vám dostane do ruky. Pokud nabourá stroj a dojde k jeho poškození je to smůla. Ale pokud dojde ke zranění osob, následky jsou daleko horší.

Bezpečnost na prvním místě! Safety first!