VZOROVÉ PŘÍKLADY SRP/CS OBVODŮ

VZOROVÉ PŘÍKLADY SRP/CS OBVODŮ Následující stránky jsou překladem dokumentu BGIA Report 2/2008e vydaným Institutem bezpečnosti práce Německého zákonného pojištění pracovních úrazů (IFA Institut für Arbeitschutz der Deutschen Gesetzlichen Unfallversicherung) Překlad obsahuje pouze kapitolu 8. Plný text v anglickém jazyce je dostupný na webových stránkách IFA, a to na adrese: http://www.dguv.de/ifa/publikationen/reports-download/bgia-reports-2007-bis- 2008/BGIA-Report-2-2008/index-2.jsp V plném textu rovněž najdete odkazy, na které je odkazováno v přeložené kapitole. Prosíme čtenáře, aby tolerovali případné netechnické formulace použité překladateli. 1

Obsah 8 Příklady obvodů pro SRP/CS (Safety Related Part of a Control System)... 4 8.1Všeobecné poznámky vztahující se k technologii na příkladu ovádacích systémů... 6 8.1.1 Elektromechanické ovládače... 6 8.1.2 Fluidní silové ovládače... 7 8.1.3 Elektronické a programovatelné elektronické ovládací systémy... 9 8.2.1 Monitorování polohy pohyblivých krytů pomocí bedotykového koncového spínače Kategorie B PL b (Příklad 1)... 13 8.2.2 Pneumatický ventil (subsystém) Kategorie 1 PL c ( pro PL b bezpečnostní funkce) (Příklad 2)... 16 8.2.3 Hydraulický ventil (subsystém) Kategorie 1 PL c ( pro PL b bezpečnostní funkce) (Příklad 3)... 19 8.2.4 Zastavení dřevozpracujících strojů Kategorie 1 PL c (Příklad 4)... 22 8.2.5 Monitorování polohy pohyblivých krytů Kategorie 1 PL c (Příklad 5)... 25 8.2.6 Vybavení pro start/stop se zařízením pro nouzové zastavení Kategorie 1 PL c (Příklad 6)... 28 8.2.8 Zastavení dřevozpracujících strojů Kategorie 1 PL c (Příklad 8)... 32 8.2.9 Zkoušení světelných bariér Kategorie 2 PL c se směrem Kategorie 1 spínací zařízení výstupního signálu (Příklad 9)... 35 8.2.10 Bezpečné zastavení PLC řízeného pohonu pomocí nouzového zastavení Kategorie 3 PL c (Příklad 10)... 40 8.2.11 Zkoušený pneumatický ventil (subsystém) Kategorie 2 PL d (pro PL c bezpečnostní funkce) (Příklad 11)... 44 8.2.12 Zkoušený hydraulický ventil (subsystém) Kategorie 2 PL d (pro PL c bezpečnostní funkce) (Příklad 12)... 48 8.2.13 Snímací systém bez zatížení pro zvedací zařízení Kategorie 2 PL d (Příklad 13)... 52 8.2.14 Řízení pneumatického ventilu (subsystém) Kategorie 3 PL d (Příklad 14)... 56 8.2.15 Ochranná zařízení a hydraulika řízená PLC Kategorie 3 PL d (Příklad 15)... 60 8.2.16 Ovládací systém zemních strojů se sběrnicovým systémem - Kategorie 3 PL d (Příklad 16)... 64 8.2.17 Kaskádování ochranných zařízení pomocí bezpečnostních modulů - Kategorie 3 PL d (Příklad 17)... 68 8.2.18 Monitorování polohy pohyblivého krytu - Kategorie 3 PL d (Příklad 18)... 72 8.2.19 Kryt s blokováním se zamykáním krytu - Kategorie 3 PL d (Příklad 19)... 76 8.2.20 Bezpečné zastavení pohonu PLC - Kategorie 3 PL d (Příklad 20)... 82 8.2.21 Bezpečné omezení rychlosti pro pomalé posouvání- Kategorie 3 PL d (Příklad 21)... 86 8.2.22 Potlačení ochranného zařízení Kategorie 3 PL d (Příklad 22)... 90 8.2.23 Ovládání otáčecích dveří Kategorie 3 PL d (Příklad 23)... 96 2

8.2.24 Režim pomalého posouvání bezpečně omezenou rychlostí na tiskařském stroji Kategorie 3 PL d (Příklad 24)... 102 8.2.25 Ovládání pneumatického ventilu (subsystém) Kategorie 3 PL e (Pro bezpečnou funkčnost PL d) (Příklad 25)... 107 8.2.27 Ovládání hydraulického ventilu (subsystém) Kategorie 3 PL e (pro bezpečnostní funkci PL d )(Příklad 27)... 113 8.2.28 Monitorování polohy pohyblivých krytů Kategorie 4 PL e (Příklad 28)... 116 8.2.29Stupňovité zapojení zařízení pro nouzové zastavení pomocí bezpečnostního modulu Kategorie 3 PL e (Příklad 29)... 119 8.2.30 Monitorovací modul stykače Kategorie 3 PL e (Příklad 30)... 122 8.2.31 Ovládání pneumatického ventilu (Subsystém) Kategorie 4 PL e (Příklad 31)... 125 8.2.32 Ovládání hydraulického ventilu (Subsystém) Kategorie 4 PL e (Příklad 32)... 128 8.2.33 Elektrohydraulické řízení tlaku Kategorie 4 PL e (Příklad 33)... 131 8.2.34 Monitorování polohy pohyblivých krytů Kategorie 4 PL e (Příklad 34)... 135 8.2.35 Dvouruční ovládání Kategorie 4 PL e (Příklad 35)... 138 8.2.36 Zpracování signálu ze světelné clony Kategorie 4 PL e (Příklad 36)... 141 8.2.37 Padací řezačka papíru s programovatelným elektronickým logickým ovládáním Kategorie 4 PL e (Příklad 37)... 145 3

8 Příklady obvodů pro SRP/CS (Safety Related Part of a Control System) Tato zpráva začala popisem konstrukce bezpečnostních ovládačů všeobecně. Sekce 5.7, 6.5 a 7.6 pak zobrazovala, s odkazem na příklad řezačky papíru s padajícím nožem, jak mohou být implementovány metody pro návrh bezpečných ovládacích systémů. Metody pro určení PL (Performance Level) jsou popsány krok za krokem zde a v EN ISO 13849-1; některé z těchto kroků ovšem, jako odvozování blokových diagramů vztahujících se k bezpečnosti z obvodových diagramů vyžadují určitou zkušenost. Dále vlivem různosti možných bezpečnostních funkcí a jejich implementace, neumožní jejich obecně použitelný popis. Z tohoto důvodu, tato kapitola teď uvádí vyhodnocení počtu příkladů obvodů, které implementují bezpečnostní funkce do různých kategorií úrovně vlastností (PL) a pomocí různých technologií v příkladech obvodů, termín ovládací systém všeobecně pokrývá pouze části ovládacích systémů vztahující se k bezpečnosti. Příklady jsou omezeny na základní aspekty, a proto slouží pouze jako doporučení pro implementaci. Důležitost byla položena na jejich výběr k širokému spektru technologií a možných aplikací. Čtenáři zprávy z roku 1997 [40] o kategoriích ovládacích systémů; vztahujících se k bezpečnosti k EN 954-1 naleznou některé z těchto příkladů, ke kterým byly přidány příklady výpočtu poruchy. Příklady jsou interpretací Kategorií, a byly zkompilovány autory na základě mnoha let zkušeností s ovládacími systémy stroje vztahujících se k bezpečnosti a účasti v národních a Evropských normalizačních výborech, tak, aby poskytly konstruktérům účinné vodítko pro jejich vlastní vývoj. Ačkoliv tyto příklady byly vytvořeny různými autory, některé rozdíly nevyhnutelně existují, například v jejich presentaci detailů, nebo ve zdůvodňování za určitými numerickými daty. Všechny výpočty pro příklady obvodů byly provedeny s pomocí Verze 1.0 softwaru SISTEMA (Příloha H), verze dostupná v době sestavování této zprávy. Popis v příkladech je strukturovaný následovně: Bezpečnostní funkce Funkční popis Vlastnosti návrhu Poznámky Výpočet pravděpodobnosti závady Detailnější odkazy Pod Bezpečnostní funkcí je uvedeno jméno bezpečnostní funkce spolu s událostí, která jí spouští a vyžaduje bezpečnostní reakci. Funkční popis popisuje základní funkce vztahující se k bezpečnosti, na základě koncepčního schematického diagramu. Chování v případě poruchy je vysvětleno, a jsou uvedena opatření pro detekci závady. Vlastnosti konstrukce uvádí zvláštní charakteristiky příkladu konstrukce v otázce, jako aplikace dobře vyzkoušených bezpečnostních principů a použití osvědčených komponentů. 4

Diagramy obvodů jsou pojmové schematické diagramy, které jsou omezeny výhradně na prezentaci bezpečnostní funkce s relevantními komponenty vyžadovanými pro daný účel. V zájmu srozumitelnosti, určité další obvody které by normálně byly vyžadovány byly vynechány, například pro zajištění ochrany proti elektrickým šokům, pro ovládání přepětí/podpětí a nadměrný nebo nízký tlak, pro detekci závad isolace, zkratů a závad uzemnění například na vnějších linkách, nebo pro zajištění vyžadované odolnosti proti elektromagnetickému rušení. Detaily obvodů, které nejsou zásadní pro definování blokových diagramů vztahujících se k bezpečnosti, byly tedy záměrně vynechány. Takové detaily zahrnují ochranné obvody v elektrickém systému, jako pojistky a diody, například ve formě nezávislých diod. Tyto diagramy také vynechávají rozpojené diody v obvodech, ve kterých signáky snímače jsou čteny například nadbytečně v násobných logických součástech. Toto uspořádání je je zamýšleno pro zamezení vstupu, který se stává výstupem redundantního systému v případě závady, a tím ovlivňující druhý kanál. Tyto součásti jsou všechny záklek, aby ovládací systém byl implementován v souladu s Kategorií a Úrovní Vlastností (PL). Další příklady jsou uvedny v seznamu závad v EN ISO 13849-2, tak jako vliv vodiče zkratů musí být ovšem také zváženy v souvislosti s dotčenými bezpečnostními funkcemi a podmínkami použití. Všechny použité součásti musí být proto zvoleny s ohledem na jejich vhodnost podle jejich specifikace. Jejich předimenzování je jedním z dobře vyzkoušených bezpečnostních principů. Jsou uvažovány pouze takové vlastnosti konstrukce, které jsou důležité pro popsanou bezpečnostní funkci. Ve většině případů je funkce zastavení vztahující se k bezpečnosti iniciovaná ochranným krytem. Ostatní bezpečnostní funkce jako prevence neočekávaného spuštění nebo Ruční resetovací funkce právě tak jako Funkce Start/restart nejsou pokryty ve všech příkladech obvodů. Jestliže ručně ovládaná zařízení (např. tlačítka) jsou použita pro realizaci posledně zmíněných bezpečnostních funkcí, pak musí být věnována speciální pozornost následujícícmu: tyto bezpečnostní funkce speciálně když jsou použity s elektronickými obvody musí být realizovány odpojením aktivátoru od jeho energeticky aktivní posice. Tam, kde je to relevantní k dotčenému příkladu, odkaz je proveden jako Poznámky ke konkrétnímu aspektu týkajícímu se možné aplikace. Pod Výpočet pravděpodobnosti poruchy se nachází popis výpočtu PL z parametrů Kategorie, MTTF d, DC avg a CCF, na základě blokového diagramu vztahujícímu se k bezpečnosti odvozeného z pojmového schematického diagramu. Kategorie je určena z funkčního popisu a vlastností konstrukce. Hodnoty MTTF d uvedené ve výpočtu jsou označeny jako hodnoty výrobce ( [M] pro Výrobce), typické hodnoty z databází ( [D] ) jako databáze), nebo hodnoty z EN ISO 13849-1 ( [S] jako Standard. Podle normy, měla by být dána přednost datům výrobce. Pro některé komponenty, jako rotační signal kodérů nebo měničů frekvence, žádná spolehlivá data výrobců ani hodnoty databází nebyla dostupná v době vypracování zprávy. Výrobci byli kontaktováni přímo v tomto případě, nebo bylo pro výpočetní metodu použito typických odhadovaných hodnot podle příkladů (označených [E] jako Odhadovaných). Hodnoty MTTF d v této kapitole by proto měly být považovány spíše jako odhadnuté. 5

Presentace předpokládaných opatření pro diagnostiku (DC) a proti poruše se společnou příčinou (CCF) je omezena na všeobecnou informaci. Specifické hodnoty pro tyto dvě kriteria jsou závislé na iomplementaci, aplikaci a na výrobci.je proto možné, že různé hodnoty DC jsou předpokládány pro podobné komponenty v různých případech. Zde také, všechny předpoklady týkající se DC a CCF musí být revidovány, kde jsou v praxi skutečně implementovány, předpokládané hodnoty nejsou zavazující a jsou zamýšlena pouze pro ilustraci. Zaměření v popisu je více na Kategorie ve formě odolnosti proti poruchám a na matematické metody pro určení PL. Naopak, některé dílčí kroky, jako vyloučení poruchy, základní a dobře vyzkoušené bezpečnostní principy nebo opatření proti systematickým vadám (včetně softwaru)jsou zmíněny pouze stručně. Během implementace musí být věnována odpovídající pozornost tomuto aspektu, jelikož chybné posouzení nebo nesprávná implementace těchto opatření může vést ke zhoršení tolerance závady nebo pravděpodobnosti závady. Jako pomůcka pro porozumění příkladů obvodůa pro jejich praktickou implementaci, pozornost čtenáře je proto obrácena ke kapitole 7 a Příloze C, ve které, například základní a dobře vyzkoušené bezpečnostní principy jsou detailně popsány. Nakonec, odkaz je proveden v Detailnější reference, tam,kde je to uvedeno. Pro každou formu technologie, určitý komentář všeobecné povahy je proveden v následující technologicky specifické sekcitak, aby poskytl lepší porozumnění příkladům a pro implementaci Kategorií. Některé z příkladů obvodů representují ovládací systémy zahrnující více technologií. Tyto smíšené příklady obvodů jsou založeny na konceptu, uchované v normě, že bezpečnostní funkce je vždy implementována přijetím, zpracováním a sepnutím, bez ohledu na použitou technologii. 8.1 Všeobecné poznámky vztahující se k technologii na příkladu ovádacích systémů 8.1.1 Elektromechanické ovládače Elektromechanické ovládače primárně používají elektromechanické součástky ve formě spínačů ovládacích zařízení (např. posičních spínačů, volicích spínačů, tlačítek) a spínacích zařízeních (kontaktních relé, relé, stykačů). Tato zařízení mají definovanou spínací polohu. Nemění všeobecně svůj spínací stav pokud není zvnějšku nebo elektricky aktivován. Když jsou navoleny správně a použity podle určení, jsou široce imunní k rušení jak k elektrickému, tak elektromagnetickému. V tomoto ohlede se liší, v některých případech závažně od elektronického zařízení. Jejich trvanlivost a poruchovost může být ovlivněna vhodným výběrem, dimenzováním a uspořádáním. To samé platí pro použité vodiče, pokud jsou vhodně vedeny a vně elektrických skříní. Z důvodů uvedených shora, elektromechanické komponenty všeobecně vyhovují základním bezpečnostním principům, a v mnohy případech mohou být považovány jako dobře vyzkoušené komponenty v kontextu bezpečnosti. Toto je ovšem pravda, pokud jsou dodrženy požadavky EN 60204-1 [20] pro elektrické zařízení stroje/instalace. V některých případech, vyloučení závady je možné, například na ovládacím stykači s ohledem na rozběh při absenci ovládacího napětí, nebo neotevření zlomeného kontaktu s přímou otevírací akcí na spínači podle IEC 60947-5-1 [38], Příloha K. 6

8.1.2 Fluidní silové ovládače U fluidních silových systémů, zvláště oblast ventilů by měla být považována jako k bezpečnosti se vztahující část ovládacího systému a zvláště ventily, které ovládají nebezpečné pohyby nebo stavy. Uvedené fluidní obvody tvoří pouze příklady uspořádání. Požadované bezpečnostní funkce mohou být také dosaženy alternativní ovládací logikou používající příslušné typy ventilů, nebo pro tuto záležitost v některých případech přídavným mechanickým řešením jako přidržovací zařízení nebo brzdy. Na hydraulických systémech (viz Obrázek 8.1), opatření pro omezení tlaku v systému (1V2) a pro filtraci hydraulické kapaliny (1Z2) musí být také v tomto kontextu uvažovány. Obrázek 8.1 Rozsah EN ISO 13849 pro hydraulické systémy Komponenty 1Z1, 1S1 a 1S2 zobrazené v Obrázku 8.1 jsou obsaženy ve většině hydraulických systémů a mají velkou důležitost, zvláště pro podmínky hydraulické kapaliny a následně pro funkci ventilů. Filtr zásobníku- odvzdušňovače 1Z1 umístěný na zásobníku kapaliny zabraňuje vstupu vnějších nečistot. Indikátor hladiny kapaliny 1S2 zajišťuje, aby hladina kapaliny zůstávala v určených mezích. Indikátor teploty 1S1 iniciuje vhodná opatření pro omezení rozsahu provozní teploty a tím rozsah provozní viskozity hydraulické kapaliny. Pokud je to nezbytné, zařízení pro ohřev a/nebo chlazení musí být přítomna spolus uzavřenou smyčkou regulace teploty (viz také Přílohu C v této souvislosti). 7

Prvky pohonu a prvky pro přeměnu energie a převod v kapalinovém silovém systému leží všeobecně mimo rozsah normy. U pneumatických systémů (Obrázek 8.2) součásti pro prevenci nebezpečí spojená s přeměnou energie a jednotkou údržby pro úpravu stačeného vzduchu musí být uvažovány z pohledu bezpečnosti spolu s oblastí ventilů. Obrázek 8.2: Rozsah EN ISO 13849 pro pneumatické systémy. 8

Tak, aby možná přeměna energie byla ovládána s uvážením bezpečnostních aspektů, je často používán odpouštěcí ventil spolu s tlakovým spínačem. V příkladech obvodů v této kapitole, tyto komponenty jsou značeny DV1 (odpouštěcí ventil) a 0S1 (tlakový spínač). Jednotka údržby 0Z (viz Obrázek 8.2) obecně sestává z ručního uzavíracího ventilu 0V10, a filtru s odlučovačem vody 0Z10, který je použit pro monitorování stupně znečištění, a tlakového řídícího ventilu 0V11 (s přiměřeně dimenzovaným druhotným výstupem). Indikátor tlaku 0Z11 plní požadavek na monitorování parametrů systému. Vedle ovládací části, vztahující se k bezpečnosti, kapalinové tlakové ovládací obvody presentované jako příklady v této kapitole obsahují pouze přídavné komponenty vyžadované pro porozumění kapalinového ovládacího systému, nebo které se přímo vztahují k technologii ovládání. Požadavky, které musí být splněny kapalinovými ovládacími systémy jsou souhrnně popsány v [41;42], [43 až 47] jsou dalšími relevantními normami. Většina příkladů ovládacích systémů jsou elektrohydraulické nebo elektropneumatické ovládače. Rozsah bezpečnostních požadavků jsou na těchto ovládacích systémech pomocí elektrických ovládacích částí, například požadavek na změnu energie u elektrohydraulického systému, který má být ovládán. Na zde popsaných příkladech ovádání, požadovaná bezpečnostní funkce je zastavení nebezpečného pohybu nebo obrácení směru pohybu. Zamezení neočekávaného spuštění je implicitně zahrnuta. Požadovanou bezpečnostní funkcí může být také definovaná úroveň tlaku nebo odpuštění tlaku. Struktura většiny fluidních ovládacích systémů je provedena v Kategoriích 1, 3 nebo 4. Jelikož Kategorie B již vyžaduje zachování relevantních norem a základních bezpečnostních principů, Katgorie B a 1 fluidních ovládacích systémů se v základu neliší jejich strukturou ovládání, ale pouze ve vyšší spolehlivosti vztahující se k bezpečnosti relevantních ventilů. Z tohoto důvodu, tato zpráva nepresentuje žádnou Kategorii B fluidních ovládacích systémů. 8.1.3 Elektronické a programovatelné elektronické ovládací systémy Elektronické komponenty jsou obecně více citlivé ke vnějším environmentálním vlivům než elektromechanické komponenty. Jestlže nejsou přijata žádná zvláštní opatření, použití elektronických komponentů při teplotách < 0 C je subjektem významně větších omezení než u elektromechanických komponentů. Dále existují vlivy prostředí, které jsou virtuálně nedůležité vzhledem k elektromechanickým obvodům, ale které prezentují kritické problémy pro elektronické systémy, jmenovitě jakákoliv elektromagnetická ručení, které jsou propojeny do elektronických systémů ve formě vedeného rušení nebo elektromagnetických polí, V některých případech, větší úsilí je vyžadováno proto, aby přiměřená odolnost proti rušení byla pro průmyslové použití dosažena. Vyloučení závady je vitruálně nemožné u elektronických komponentů dosáhnout. Následně bezpečnost nemůže být v principu garantovaná konstrukcí konkrétního komponentu, ale pouze určitým uspořádáním obvodu a aplikací příslušných opatření pro řízení závady. Podle seznamu závad pro elektrické/elektronické komponenty v EN ISO 13849-2, závady jako zkrat, otevřený obvod, změna parametru nebo hodnoty, a skryté závady jsou v podstatě předpokládány. Tyto jsou bez vyjímky závady, u kterých je předpoklad, že jsou trvalé. Přechodové (sporadicky se vyskytující závady jako měkké chyby způsobené obráceným nábojem kondenzátoru v čipu majícím vysoce-enrgetické částice jako alfa částice mohou být obecně detekoványpouze obtížně a řízeny pro většinu částí strukturálními opatřeními. Poruchový režim elektronických komponentů je často obtížné vyhodnotit: všeobecně, nemohou být definovány žádné převládající typy poruch. Toto může být ilustrováno na příkladu. Jestliže stykač není aktivován elektricky, tj. proud nejde přes cívku, není důvod pro uzavření kontaktů stykače. Jinými 9

slovy, odpojené relé nebo stykač nesepne obvod jako reakci na vnitřní chybu. Situace je různá pro většinu elektronických komponentů, jako transistorů. I když transistor je blokován, tj. absencí dostatečně vysokého základního proudu, možnost nemůže být nicméně vyjmuta z jeho náhle se vyskytující vodivosti bez vnějších vlivů jako výsledku vnitřních poruch; za určitých okolností to může vést k nebezpečným pohybům. Tento nedostatek elektronických komponentů z pohledu bezpečnosti musí být také řízen vhodným uspořádáním obvodu. Zvláště tam, kde jsou použity vysoce integrované moduly, nemusí být vždy možné demonstrovat, že zařízení nebo přístroj je kompletně bezporuchový od počátku jeho životnosti, tj. uvedení do provozu. Ať již na úrovni komponentu, výrobci nejsou schopni demonstrovat bezporuchovost se 100% pokratím zkoušek pro komplexně integrované obvody. Podobná situace existuje pro software programovatelné elektroniky. V kontrastu k elektromechanickým obvodům, čistě elektronické obvody mají často výhodu, že změna stavu může být může být dynamicky vynucena. To dovoluje dožaení požadovaného DC v příslušně krátkém intervalu a bez změna stavu vnějších signálů (vynucená dynamika). Opatření oddělování jsou vyžadována mezi různými kanály tak, aby bylo zamezeno společným příčinám poruch, Tato opatření všeobecně sestávají z galvanicky isolovaných kontaktů, odporů nebo diodových sítí, filtrovaných obvodů, optických členů a transformátorů. Systematické poruchy mohou vést k současným poruchám redundantně pracujících kanálů, pokud tomu není zamezeno vhodným opatřením, zvláště během konstrukční a integračníé fáze. Použitím principů jako proudivý uzavřený obvod, diverzitou nebo předimenzováním, elektronické obvody mohou být také navrženy s dostatečnou robustností vzhledem k systematickým poruchám a tak jim bylo zamezeno s dostatečnou spolehlivostí. Opatření, která učiní zpracující kanály necitlivé k fyzikálním vlivům způsobené vyskytujícím se například v průmyslovém prostředí by neměly být zanedbány. Takové vlivy zahrnují teplotu, vlhkost, prach, vibrace, nárazy, korosivní atmosféry, elektromagnetické vlivy, výpadky napětí, přepětí a podpětí. Kategorie 1 SRP/CS musí být navržena a vyrobena s použitím dobře vyzkoušených součástí a dobře vyzkoušených bezpečnostních principů. Jelikož komplexní elektronické komponenty jako PLCs, mikroprocesory nebo ASICs nejsou považovány jako dobře vyzkoušené v souvislosti s normou, tato zpráva obsahuje neodpovídající příklady elektroniky Kategorie 1. Příklady obvodů obsahují prohlášení účinnosti, tj. odpovídající PL úrovně vlastností, požadovaných opatření pro zamezení poruch /řízení poruch pro programovatelnou elektroniku. Viz Sekci 6.3 pro další detaily. Pokud by pro vývoj byly použity obvody ASIC (Uživatelsky specifické integrované logické obvody MOS) jsou vyžadována opatření pro zamezení poruch v procesu vývoje. Taková opatření mohou být nalezena například v návrhu normy IEC 61508-2:2008 (CDV) [39], která specifikuje V-model pro vývoj ASIC, založený na V-modelu známého z návrhu a vývoje software. Následující body stojí za zmínku, pokud takové případy se vyskatnou v praxi: Všeobecně, dva kanály SRP/CS nesmí být směrovány skrz stejný integrovaný obvod. Pro optické členy, například tento požadavek znamená, že tyto musí být umístěny v oddělených uzavřených částech, které jsou použity pro zpracování signálů z různých kanálů. Vliv operačních systémů atd. musí být také zvážen tam, kde je použita programovatelná elektronika. Standardní PC a typický komerční operační systém není vhodný pro použití v řídícím systému, vztahujícímu se k bezpečnosti. Požadovaná absence závad (nebo realisticky, nízký výskyt závad) nemůže být obecně demonstrován s rozumným úsilím, nebo nebude dosažitelný s operačnm systémem, který nebyl navržen pro aplikace vztahující se k bezpečnosti. 8.2 Příklady obvodů 10

Tabulka 8.1 dává přehled příkladů obvodů 1 až 37. Tabulka 8.2 obsahuje abecední seznam hlavních zkratek použitých v příkladech obvodů. Tabulka 8.1 Přehled příkladů obvodů Dosažená PL Implementovaná kategorie Technologie/příklad No. Pneumatika Hydraulika Elektrika b B 1 c 1 2 3 4,5,6,7,8 c 2 9 c 3 10,24 d 2 11 12 13 d 3 14 15,16 15,16,17,18,19 20,21,22,23,24 e 3 25,26 27 29,30 e 4 31 32,33 28,33,34,35, 36,37 Tabulka 8.2 Přehled zkratek použitých v příkladech obvodů Zkratka [D] [E] [M] [S] μc B 10 B 10d CBC CCF CPU DC Plná forma B 10d nebo MTTF d hodnoty z databází (viz například Přílohu D, Sekce D2.6) Odhad hodnot B 10d nebo MTTF d Hodnoty B 10d nebo MTTF d podle informací výrobce Hodnoty B 10d nebo MTTF d podle dat uvedených v EN ISO 13849-1(viz například Tabulku D.2 této zprávy) Mikro ovládací /řídící spínač Nominální životnost: průměrné číslo spínacích operací/spínacích cyklů dosažených před 10% uvažovaných poruch jednotek Nominální životnost (nebezpečná): průměrné číslo spínacích operací/spínacích cyklů dosažených před 10% uvažovaných poruch jednotek nebezpečně Kombinace spojka/brzda Společná příčina poruchy Mikroprocesor (CPU central processing unit) Diagnostické pokrytí 11

DC avg ESPE Průměrné diagnostické pokrytí Elektro-citlivé ochranné zařízení Zkratka FI FIT FMEA M MPC MTTF d n op PFH PL PL r PLC RAM ROM Plná forma Převodník frekvence Počet poruch v 10 9 hodinách součásti (poruchy v čase) Režim poruchy a analýzy efektu Motor Víceúčelové řízení Střední doba do nebezpečné poruchy Střední roční počet operací Střední pravděpodobnost nebezpečné poruchy za hodinu Úroveň vlastností Požadovaná úroveň vlastností Programovatelný logický ovládač Paměť typu RAM Paměť typu ROM SLS Bezpečně omezená rychlost (viz Tabulka 5.2) SRASW SRESW SRP/CS Aplikační software vztahující se k bezpečnosti Vložený software vztahující se k bezpečnosti Část řídícího systému vztahujícící se k bezpečnosti SS1 Bezpečné zastavení 1 (viz Tabulka 5.2) SS2 Bezpečné zastavení 2 (viz Tabulka 5.2) STO Bezpečné zrušení kroutícího momentu (viz Tabulka 5.2) T 10d THC Střední doba dosažená před 10% očekávané nebezpečné poruchy Dvouruční ovládání 12

8.2.1 Monitorování polohy pohyblivých krytů pomocí bedotykového koncového spínače Kategorie B PL b (Příklad 1) Obrázek 8.3: Monitorování polohy pohyblivého krytu pomocí bezdotykového koncového spínače Bezpečnostní funkce Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: aktivace bezdotykového koncového spínače, když pohyblivý kryt (bezpečnostní kryt) je otevřen aktivuje bezpečnostní funkci STO (bezpečné vypnutí kroutícího momentu). Funkční popis Otevření pohyblivého krytu (tj. bezpečnostního krytu) je detekováno bezdotykovým koncovým spínačem B1, který způsobí uvolnění podpětí motor-starteru Q1. Pokles Q1 přeruší nebo zamezí nebezpečným pohybům nebo stavům. Odstranění ochranného zařízení je detekováno. B1 neobsahuje vnitřní monitorovací opatření. Nejsoui implementována žádná další opatření pro detekci závady. Vlastnosti konstrukce Základní bezpečnostní principy jsou zachovány a požadavky Kategorie B jsou splněny. Ochranné obvody (např. ochrana kontaktů), jak jsou popsány v úvodních paragrafech Kapitoly 8 jsou implementovány. Běžný princip uzavřených obvodů způsobení podpětí je použit jako základní bezpečnostní princip. 13

Stabilní uspořádání ochranného zařízení (bezpečnostního krytu) poskytuje zajištěnou aktivaci bezdotykového koncového spínače. V závislosti na konstrukci bezdotykového koncového spínače, bezpečný provoz může být obejit rozumně předvídatelným způsobem. Obejití může být učiněno obtížnějším, například zvláštními podmínkami pro instalaci, jako namontováním do skryté posice (viz také EN 1088/A1, příloha J). Napájení energiií celého stroje je vypnuto (zastavení kategorie 0 podle EN 60204-1). Výpočet pravděpodobnosti poruchy MTTF d : B1 je běžný bezdotykový koncový spínač na bezpečnostním krytu s MTTF d 40 let [M]. Pro podpěťové vypínání motor starteru Q1, hodnota B 10 se přibližuje na elektrickou životnost 10 000 spínacích operací [M]. Jestliže 50% poruch je považováno za nebezpečné, hodnota B 10d je produkována zdvojením hodnoty B 10. Při denní aktivaci bezdotykového koncového spínače, n op 365 cyklů za rok pro Q1 znamená MTTF g hodnotu 548 let. Pro kombinaci B1 a Q1, MTTF g na jeden kanál je 37 let. Tato hodnota je pokrytá k aritmetické maximální hodnotě pro Ketgorii B, tj. 27 let ( střední ). DC avg a opatření proti obecné příčině poruchy není relevantní v Kategorii B. Elektromechanický ovládací systém odpovídá Kategorii B se střední MTTF g (27 let). Tento výsledek je průměrem pravděpodobnosti nebezpečné poruchy hodnotou 4,23 x 10-6 hodin. To odpovídá PL b. Detailnější odkazy EN 1088/A1: Bezpečnost strojních zařízení Zařízení s blokováním spojená s kryty Principy pro konstrukci a výběr (04.07) EN 60204-1: Bezpečnost strojních zařízení Elektrická zařízení strojů. Část 1: Všwobecné požadavky (06.08). 14

Obrázek 8.4: Určení PL pomocí SISTEMA 15

8.2.2 Pneumatický ventil (subsystém) Kategorie 1 PL c ( pro PL b bezpečnostní funkce) (Příklad 2) Obrázek 8.5: Pneumatický ventil pro řízení nebezpečných pohybů 16

Bezpečnostní funkce Bezpečnostní funkce zastavení nebezpečných pohybů a prevence neočekávaného spuštění z klidové posice Je zde znázorněna pouze pneumatická část řízení, ve formě subsystému. Musí být přidány další bezpečnostní řídící komponenty (např. ochranná zařízení a elektrické logické elementy) ve formě subsystémů pro kompletní bezpečnostní funkci. Funkční popis Nebezpečné pohyby jsou řízeny směrovým řídícím ventilem 1V1 s dobře vyzkoušenou bezpečnostní funkcí. Porucha směrového řídícího ventilu může vyústit ve ztrátu bezpečnostní funkce. Porucha je závislá na spolehlivosti směrového řídícího ventilu. Nejsou implementována žádná opatření pro detekci poruchy. Pokud by odloučený stlačený vzduch představoval další nebezpečí, jsou vyžadována dodatečná opatření. Vlastnosti konstrukce Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny požadavky Kategorie B. 1V1 je směrový řídící ventil s uzavřenou střední polohou, dostatečným překrytím, centrováním pružinou a únavě odolnými pružinami. Bezpečnostní spínací poloha je dosažena odstraněním řídícího signálu. Tam, kde je to nezbytné, výrobce/uživatel musí potvrdit, že směrový řídící ventil je komponentou s dobře vyzkoušenou bezpečnostní funkčností (s dostatečně vysokou spolehlivostí). Bezpečnostní funkce může být také dosažena logickým uspořádáním vhodných ventilů. Výpočet pravděpodobnosti poruchy Je předpokládána hodnota MTTF d a B 10 ve výši 40 000 000 spínacích operací [E] pro směrový řídící ventil 1V1. Při 240 pracovních dnech, 16 pracovních hodinách za den a době cyklu 5 sekund, n op je 2 764 800 cyklů za rok a MTTF d je 145 let. To je také hodnotou MTTF d na kanál, která je završena ke 100 letům ( vysoká ). DC avg a opatření proti běžným příčinám poruch není v Kategorii 1 relevantní, 17

Pneumatické řízení odpovídá Kategorii 1 s vysokým MTTF d (100 let). To dává průměrnou pravděpodobnost nebezpečné poruchy 1,14 x 10-5 za hodinu. To odpovídá PL c. Přidání dalších bezpečnostních řídících částí jako subsystémů pro kompletaci bezpečnostní funkce obecně vyústí v nižší PL. Při uvažování o odhadu chyb na straně bezpečnosti tak, jak je popsaná shora, hodnota T 10d ve velikosti 14 let provozní doby je dosažena pro specifikovanou výměnu opotřebení směrového řídícího ventilu 1V1. Obrázek 8.6: Určení PL pomocí SISTEMA 18

8.2.3 Hydraulický ventil (subsystém) Kategorie 1 PL c ( pro PL b bezpečnostní funkce) (Příklad 3) Obrázek 8.7: Hydraulický ventil pro řízení nebezpečných pohybů Bezpečnostní funkce Bezpečnostní funkce zastavení: zastavení nebezpečných pohybů a prevence neočekávaného spuštění z klidové polohy 19

Je zde znázorněna pouze hydraulická část řízení ve formě subsystému. Další bezpečnostní řídící komponenty (např. ochranná zařízení a elektrické logické součásti) musí být přidány ve formě subsystémů pro kompletaci bezpečnostní funkce. Funkční popis Nebezpečné pohyby jsou řízeny směrovým ovládacím ventilem 1V3 s dobře vyzkoušenou bezpečnostní funkčností. Porucha směrového řídícího ventilu může vyústit ve ztrátu bezpečnostní funkce porucha je závislá na spolehlivosti směrového řídícího ventilu. Nejsou implementována žádná opatření pro detekci poruchy. Vlastnosti konstrukce Základní a dobře vyzkoušené bezpečnostní principy jsou dodržovány a požadavky Kategorie B jsou splněny. 1V3 je směrový řídící ventil s uzavřenou střední polohou, dostatečným překrytím, centrováním pružinou a únavě odolnými pružinami. Bezpečná spínací posice je dosažena odejmutím řídícího signálu. Tam, kde je to nezbytné, výrobce/uživatel musí potvrdit, že směrový řídící ventil je součástí s dobře vyzkoušenou bezpečnostní funkčností. Jsou implementována následující specifická opatření pro zvýšení spolehlivosti směrového řídícího ventilu: tlakový foltr 1Z3 před směrový řídící ventil a vhdná opatření na válci pro zamezení vniknutí nečistot k pístnici (např. účinná stírací ucpávka na pístnici, viz * v obrázku 8.7). Výpočet pravděpodobnosti poruchy MTTF d : Je předpokládána hodnota MTTF d ve výši 150 let pro směrový řídící ventil 1V3 [S].To je také hodnotou MTTF d na kanál, která je završena ke 100 letům ( vysoká ). DC avg a opatření proti běžným příčinám poruch není v Kategorii 1 relevantní Hydraulické řízení odpovídá Kategorii 1 s vysokým MTTF d (100 let). To dává průměrnou pravděpodobnost nebezpečné poruchy 1,14 x 10-5 za hodinu. To odpovídá PL c. Přidání dalších bezpečnostních řídících částí jako subsystémů pro kompletaci bezpečnostní funkce obecně vyústí v nižší PL. 20

Obrázek 8.8: Určení PL pomocí SISTEMA 21

8.2.4 Zastavení dřevozpracujících strojů Kategorie 1 PL c (Příklad 4) Obrázek 8.9: Kombinace elektromechanického řídícího zařízení a jednoduchého elektronického brzdicího zařízení pro zastavení dřevozpracujícícho stroje. Bezpečnostní funkce Aktivace tlačítka Off vede k SS1 (bezpečné zastavení 1). řízené zastavení motoru v průběhiu maximálního povoleného času. Funkční popis Zastavení motoru je iniciováno aktivací Off tlačítka S1. Stykač motoru Q1 vypadne a funkce brzdění je iniciována. Motor je brzděn stejnosměrným proudem generovaným v brzdicí jednotce K1 tyristorem používajícím řízení fázového úhlu a generujícím brzdící kroutící moment ve vinutí motoru. Čas doběhu nesmí překročit maximální hodnotu (např. 10 sekund). Úroveň brzdícího proudu požadovaná pro tento účel může být nastavena pomocí potenciometru na brzdicí jednotce. 22

Po vypršení maximálního brzdícího času, řídící signál k tyristoru ustane a proudová cesta pro brzdicí proud je přerušena. Proces zastavení odpovídá zastavení Kategorie 1 v souladu s EN 60204-1. Bezpečnostní funkce nemůže být udržována se všemi poruchami komponentů a závisí na spolehlivosti komponentů. Vlastnosti konstrukce Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny požadavky Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů) jak jsou popsány v úvodním odstavci Kapitoly 8. Je použit princip odpojení proudu (proud uzavřeného obvodu) jako základní bezpečnostní princip. Pro ochranu proti neočekávanému spuštění po následujícím obnovení dodávky energie, řídící systém provede aretaci na Q1. S1 je tlačítko s positivním režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací akce). S1 je proto považován jako dobře vyzkoušená komponenta. Stykač Q1 je dobře vyzkoušená komponenta pokud jsou dodrženy přídavné podmínky v souladu s Tabulkou D.4 v EN ISO 13849-2. Brzdicí jednotka K1 je navržena výlučně z jednoduchých elektronických součástek jako transistory, kondenzátory, diody, odpory a tyristory, které jsou považovány jako dobře vyzkoušené komponenty. Bezporuchový provoz bezpečné brzdicí funkce je charakterizován výběrem součástí. Vnitřní opatření pro detekci závad nejsou implementována. Žádné komplexní elektronické komponenty (např. mikroprocesory) nejsou použity takže nejsou považovány aby byly v souladu s EN ISO 13849-1, Sekce 6.2.4 jako ekvivalentní k dobře vyzkoušeným součástem. Aplikace Na dřevozpracujících strojích nebo podobných strojích na kterých nebrzděné zastavení by vyústilo v nepřípustně dlouhý doběh nebezpečného pohybu nástroje. Řídídcí systém musí být navržen tak, že je dosažena PL b (GS-HO-01 zkušebních principů pro dřevoobráběcí stroje). Výpočet pravděpodobnosti závady S1 je tlačítko s positivním režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací akce). Jestliže tlačítko tohoto typu je použito jako řídící zařízení, vyloučení závady je možné pro závadu otevření elektrických kontaktů, včetně mechanických součástí uvnitř tlačítka. Je předpokládána hodnota MTTF d a B 10 ve výši 2 000 000 spínacích operací [S] u jmenovitého zatížení pro stykač Q1. Pro 300 pracovních dnů, 8 pracovních hodin a době cyklu 2 minuty, n op je 72 000 cyklů za rok a MTTF d je 277 let.. MTTF d pro brzdící jednotku K1 byl určen pomocí metody výpočtu dílů. Informace o částech ze seznamu dílů a hodnoty z databáze SN 29500[36] dává MTTF d 518 let [D]. Kombinace Q1 a K1 yyústí v MTTF d 180 let na kanál, která je završena ke 100 letům ( vysoká ). 23

DC avg a opatření proti závadám se společnou příčinou nejsou pro Kategorii 1 relevantní. Elektromechanický řídící systém odpovídá Kategorii 1 s vysokým MTTF d (100 let). Toto znamená průměrnou pravděpodobnost nebezpečné poruchy ve výši 1.14 x 10-6 za hodinu. To odpovídá PL c. PL r b je proto překonáno. Detailnější odkazy Grundsätze für dir Prüfung und Zertifizierung von Holzbearbeitungsmaschinen GS-HO-01 (12/2007). www.dguv.de, Webcode d14898 Obrázek 8.10 Určení PL pomocí SISTEMA 24

8.2.5 Monitorování polohy pohyblivých krytů Kategorie 1 PL c (Příklad 5) Obrázek 8.11: Monitorování polohy pohyblivých krytů pro prevenci nebezpečných pohybů (STO bezpečné odstavení) Bezpečnostní funkce Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: otevření pohyblivého krytu inicijuje bezpečnostní funkci STO bezpečné odstavení kroutícího momentu. Funkční popis Otevření pohyblivého krytu (např. bezpečnostního krytu) je detekováno polohovým spínačem B1 s přímou otevírací akcí, která aktivuje stykač Q1. Vypadnutí Q1 přesruší nebo zamezí nebezpečným pohybům nebo stavům. Bezpečnostní funkce nemůže být udržována při všech závadách komponentů a je závislá na jejich spolehlivosti. Nejsou implementována žádná opatření pro detekování poruch. Odstranění ochranných zařízení není detekováno. Vlastnosti konstrukce. Jsou dodržovány základní a dobře vyzkoušené bezpečnost principy a požadavky Kategorie B jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů), tak jak je popisují úvodní paragrafy Kapitoly 8. Běžné používané uzavřené obvody jsou použity jako základní bezpečnostní principy. Uzemnění řídícího obvodu je považováno jako dobře vyzkoušený bezpečnostní princip. 25

Spínač B1 je spínač polohy s přímou otevírací akcí v souladu s IEC 60947-5-1, Příloha K a je proto považován za dobře vyzkoušený komponent. Vypínací kontakt přeruší obvod přímo mechanicky když ochranné zařízení není v bezpečné poloze. Použitý stykač Q1 je dobře vyzkoušená součást zajišťující, že přídavné podmínky v souladu s Tabulkou D.4 EN ISO 13849-2 jsou dodržena. Polohový spínač je použit pro monitorování polohy. Je zajištěno.stabilní uspořádání ochranného zařízení pro iniciování polohového spínače. Aktivační součásti polohového spínače jsou chráněny proti vytlačení. Pouze tuhé mechanické části (žádné pružinové součásti mezi aktivátorem a kontaktem nejsou použity. Aktivační zdvih pro polohový spínač splňuje specifikaci výrobce. Výpočet pravděpodobnosti poruchy MTTF d : vyloučení závady pro přímé otevření elektrických kontaktů je možné pro B1. Hodnota B 10d ve výši 1 000 000 cyklů (M) je stanovena pro mechanickou část B1. Pro 365 pracovních dní, 16 pracovních hodin denně a době cyklu 10 minut, n op je 35 045 cyklů za rok a MTTF d :je 285 let pro tyto komponenty. Pro stykač Q1, hodnota B 10 odpovídá pod induktivním zatížení (AC 3) elektrické životnosti 1 300 000 spínacích cyklů [M]. Jestliže 50% závad je považováno jako nebezpečné, hodnota B 10d je dosažena zdvojením hodnoty B 10. Ze shora předpokládané hodnoty pro n op vyplývá MTTF d 742 let pro Q1. Kombinace B1 a Q1 vyplývá MTTF d 206 let pro kanál. Tato hodnota je završena na 100 let ( vysoká ). DC avg a opatření proti poruchám se společnou příčinou není relevantní pro Kategorii 1. Elektromechanický ovládací systém odpovídá Kategorii 1 s vysokou MTTF d (100 let). To vychází v průměrnou pravděpodobnost nebezpečné poruchy hodnoty 1.14 x 10-6 za hodinu. To odpovídá PL c. PL r b je úproto překonáno. Detailnější odkazy IEC 60947-5-1: Spínací a řídicí přístroje nízkého napětí - Část 5-1: Přístroje a spínací ústrojí řídicích obvodů - Elektromechanické přístroje řídicích obvodů (11.03) 26

Obrázek 8.12 Určení PL pomocí SISTEMA 27

8.2.6 Vybavení pro start/stop se zařízením pro nouzové zastavení Kategorie 1 PL c (Příklad 6) Obrázek 8.13: Kombinované vybavení pro start/stop se zařízením pro nouzové zastavení Bezpečnostní funkce Funkce nouzového zastavení, STO bezpečné odpojení kroutícího momentu aktivací zařízení pro nouzové zastavení Funkční popis Nebezpečné pohyby nebo stavy jsou odpojeny od napájení přerušením ovládacího napětí od stykače Q1 když je aktivováno zařízení nouzového zastavení S1. Bezpečnostní funkce nemůže být udržována při všech závadách komponentů a je závislá na jejich spolehlivosti. Nejsou implementována žádná opatření pro detekování poruch. Vlastnosti konstrukce. Jsou splněny základní a dobře vyzkoušené bezpečnost principy a požadavky Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů) tak, jak je popsáno v úvodním paragrafu Kapitoly 8. Běžné používané uzavřené obvody jsou použity jako základní bezpečnostní principy. Uzemnění řídícího obvodu je považováno jako dobře vyzkoušený bezpečnostní princip. 28

Zařízení pro nouzové zastavení S1 je spínač s přímou otevírací akcí v souladu s IEC 60947-5-1, Příloha K a je proto považován za dobře vyzkoušený komponent v souladu s tabulkou D.4 EN ISO 13849-2. Signál je zpracován stykačem (kategorie zastavení 0 podle EN 60204-1). Stykač Q1 je dobře vyzkoušená součást při čemž přídavné podmínky v souladu s Tabulkou D.4 podle EN ISO 13849-2 jsou dodržovány. Poznámka Funkce pro zastavení v nouzi je ochranné opatření, které doplňuje bezpečnostní funkce pro ochranu nebezpečných zón. Výpočet pravděpodobnosti poruchy MTTF d : S1 je standardní zařízení pro nouzové zastavení podle EN ISO 13850. Vyloučení závady použité pro přímý otevírací kontakt a mechanické součásti, poskytující počet operací indikovaný v Tabulce D.2 této zprávy není překročeno. Pro stykač Q1, hodnota B 10 odpovídá pod induktivním zatížení (AC 3) elektrické životnosti 1 300 000 spínacích operací [M]. Jestliže je předpokládáno 50% závad jako nebezpečných, hodnota B 10d je vytvořena zdvojením hodnoty B 10. Jestliže pro zařízení pro start/stop je uvažována aktivace dvakrát denně při 365 pracovních dnech a zařízení pro nouzové zastavení bude aktivováno třikrát ročně, pak n op bude 733 cyklů za rok. Q1 má MTTF d 35 470 let. Toto je také MTTF d pro kanál, které je uzavřeno na 100 let ( vysoká ). DC avg a opatření proti poruchám se společnou příčinou není relevantní pro Kategorii 1. Elektromechanický ovládací systém odpovídá Kategorii 1 s vysokou MTTF d (100 let). To vychází v průměrnou pravděpodobnost nebezpečné poruchy hodnoty 1.14 x 10-6 za hodinu. To odpovídá PL c. Detailnější odkazy EN ISO 13850: Bezpečnost strojních zařízení Nouzové zastavení Principy pro konstrukci (11.06) EN 60204-1: Bezpečnost strojních zařízení Elektrická zařízení stropů. Část 1: Všeobecné požadavky (06.06) 29

8.2.7 Vypínání podpětím pomocí zařízení nouzového zastavení Kategorie 1 PL c (Příklad 7) Obrázek 8.14: Zařízení pro nouzové zastavení působící při podpětí uvolnění odpojovacího zařízení napájení (motor starter) Bezpečnostní funkce Funkce nouzového zastavení, STO (bezpečné odpojení kroutícího momentu) aktivací zařízení pro nouzové zastavení působí při podpětí vypnutí motor starteru pomocí příslušného odpojovacího zařízení. Funkční popis Nebezpečné pohyby nebo stavy jsou přerušeny aktivací zařízení nouzového zastavení S1 vypnutím pomocí podpětí uvolněním motor starteru, pomocí příslušného odpojovacího zařízení, v tomoto případě ve formě motor starteru Q1. Bezpečnostní funkce nemůže být udržována při všech závadách komponentů a je závislá na jejich spolehlivosti. Nejsou implementována žádná opatření pro detekování poruch. Vlastnosti konstrukce. Jsou splněny základní a dobře vyzkoušené bezpečnost principy a požadavky Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů) tak, jak je popsáno v úvodním paragrafu Kapitoly 8. Je použit princip uzavřeného proudového obvodu uvolnění podpětím jako základní bezpečnostní princip. Zařízení pro nouzové zastavení S1 je spínač s přímým režimem aktivace podle IEC 60947-5-1, Příloha K a je proto dobře vazkoušeným komponentem v souladu s Tabulkou D.4 v EN ISO 13849-2. 30

Motor starter Q1 bude považován jako ekvivalentní k jističi v souladu s Tabulkou D.4 EN ISO 13849-2. Q1 může být proto považován jako dobře vyzkoušená součást. Napájení energií k celému stroji je vypnuto (kategorie zastavení 0 podle EN 60204-1). Poznámka Funkce pro zastavení v nouzi je ochranné opatření, které doplňuje bezpečnostní funkce pro ochranu nebezpečných zón. Výpočet pravděpodobnosti poruchy MTTF d : S1 je standardní zařízení pro nouzové zastavení podle EN ISO 13850. Vyloučení závady použité pro přímý otevírací kontakt a mechanické součásti, poskytující počet operací indikovaný v Tabulce D.2 této zprávy není překročeno. Pro vypnutí podpětím motor starteru Q1, hodnota B 10 dává přibližně elektrickou životnost 10 000 spínacích operací [M]. Jestliže 50% závad jako nebezpečných, hodnota B 10d je vytvořena zdvojením hodnoty B 10. Při aktivaci zařízení pro nouzové zastavení třikrát do roka a n op 3 cykla za rok, Q1 má MTTF d 66 666 let. Toto je také MTTF d pro kanál, které je uzavřeno na 100 let ( vysoká ). DC avg a opatření proti poruchám se společnou příčinou není relevantní pro Kategorii 1. Elektromechanický ovládací systém odpovídá Kategorii 1 s vysokou MTTF d (100 let). To vychází v průměrnou pravděpodobnost nebezpečné poruchy hodnoty 1.14 x 10-6 za hodinu. To odpovídá PL c. Detailnější odkazy EN ISO 13850: Bezpečnost strojních zařízení Nouzové zastavení Principy pro konstrukci (11.06) EN 60204-1: Bezpečnost strojních zařízení Elektrická zařízení stropů. Část 1: Všeobecné požadavky (06.06) 31

8.2.8 Zastavení dřevozpracujících strojů Kategorie 1 PL c (Příklad 8) Obrázek 8.15: Kombinace elektromechanického ovládacího zařízení a programovatelného elektronického brzdícího zařízení pro zastavení dřevozpracujícího stroje Bezpečnostní funkce Aktivace tlačítka Off vede k SS1 (bezpečné zastavení 1), řízené zastavení motoru v maximálním povoleném čase. Funkční popis Zastavení motoru je iniciováno aktivací Off tlačítka S1. Stykač motoru vypadne je je iniciována brzdící funkce. Motor je zabrzděn stejnosměrným proudem generovaným v brzdící jednotce K1 tyristory používajícími řízení fázového úhlu, a který je připojen k vinutí motoru vnitřním relé. Čas doběhu nesmí překročit maximální hodnotu (např. 10 sekund). Požadovaný čas doběhu a ostatní požadované parametry (např. brzdící proud, práh pro detekci nulové rychlosti) může být nastaven ne brzdícím zařízení. 32

Jakmile motor je v klidovém stavu, nebo po uplynutí maximálního brzdícího času, brzdící zařízení vypne brzdící proud a odpojí motor znovu od napájení. Proces zastavení odpovídá zastavení Kategorie 1 v souladu s EN 60204-1. Bezpečnostní funkce nemůže být udržována se závadami všech komponentů, a je závislá na jejich spolehlivosti. Bezporuchové vlastnosti brzdící funkce je pravidelně monitorována brzdícím zařízením K1. Pokud by byla detekována závada, např. překročením maximálního dovoleného brzdícího času, odpojovací kontakt v zařízení zabrání restartování motoru. Opatření pro detekcu závady nejsou implementována v S1 nebo Q1. Vlastnosti konstrukce Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny požadavky Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů), jak je popsáno v úvodním paragrafu Kapitoly 8. Princip odpojení proudu (uzavřený proudový obvod) je použit jako základní bezpečnostní princip. Pro ochranu proti neočekávanému spuštění po následném obnovení dodávky proudu, řídící systém provede přidržení na Q1. S1 je tlačítko s přímým režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací akce). S1 proto považován jako dobře vyzkoušený komponent. Stykač Q1 je dobře vyzkoušený komponent poskytující dodržování přídavných podmínek v souladu s Tabulkou D.4 EN ISO 13849-2. Brzdící zařízení K1, které je ovládáno mikrořídícím spínačem, splňuje všechny požadavky Kategorie 2 a PL c. S bezpečností související funkce jsou v pravidelných intervalech zkoušeny. Časování programových kroků mikro-řídícího ovládače je monitorováno zvláštní časovací jednotkou. Aplikace Na dřevozpracujících nebo podobných strojích na kterých nebrzděné zastavení by způsobilo nepřípustně dlouhý doběh pohybu nebezpečného nástroje. Řídící systém musí být navržen tak, aby byla dodržena Úroveň vlastností nejméně kategorie b (GS-HO-01 Zkušební principy pro dřevozpracující stroje). Výpočet pravděpodobnosti poruchy Jelikož je použit standardní modul pro elektronické brzdicí zařízení K1, jeho pravděpodobnost poruchy (5.28 x 10-7 za hodinu [M]) je přidána k následujícímu výpočtu programem SISTEMA. Pro zbývající část řídícího systému, pravděpodobnost poruchy je vypočtena dále. S1 je tlačítko s přímým režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací akce). Jestliže tlačítko tohoto typu je použito jako ovládací zařízení, vyloučení chyby je možné pro závadu otevření elektrických kontaktů, včetně také pro mechanické součásti uvnitř tlačítka. 33

MTTF d :. hodnota B 10d je 2 000 000 spínacích operací [S] při nominálním zatížení je předpoklad pro stykač Q1. Při 300 pracovních dnech, 8 pracovních hodinách a trvání cyklu 2 minuty, n op je 72 000 cyklů za rok a MTTF d je 277 let. To je také MTTF d na kanál, což je uzavřeno na 100 let ( vysoká hodnota ). DC avg a opatření proti společným příčinám poruch není relevantní pro Kategorii 1. Elektromechanický řídící systém, sestávající z S1 a Q1, odpovídá Kategorii 1 s vysokým MTTF d (100 let). To znamená průměrnou pravděpodobnost nebezpečné poruchy 1,14 x 10-6 za hodinu. Následující přidání subsystému K1, s prům+ěrnou pravděpodobností nebezpečné poruchy je 1,67 x 10-6 za hodinu. To odpovídá PL c. PL r je proto překonáno. Detailnější odkazy Grundsätze für dir Prüfung und Zertifizierung von Holzbearbeitungsmaschinen GS-HO-01 (12/2007). www.dguv.de, Webcode d14898 Obrázek 8.16: Určení PL pomocí SISTEMA 34

8.2.9 Zkoušení světelných bariér Kategorie 2 PL c se směrem Kategorie 1 spínací zařízení výstupního signálu (Příklad 9) Obrázek 8.17 Zkoušení světelných bariér se standardním PLC Bezpečnostní funkce Funkce bezpečného zastavení, iniciovaná ochranným zařízením: jestliže světelný paprsek je přerušen, nebezpečný pohyb je zastaven (STO bezpečné zrušení kroutícího momentu). Funkční popis Přerušení světelného paprsku n kaskádových světelných bariée F1 až Fn vyvolá odpojovací příkaz jak relé, odpojením stykče- relé K2, a přes PLC výstup (O1.1) zkušebního kanálu. Nebezpečný pohyb je pak zastaven pomocí stykače Q1. Světelné bariéry jsou testovány před každým startem nebezpečného pohybu po stlačení startovacího tlačítka S2. Pro tento účel, PLC výstup O1.2 odpojí ysílačsvětelné bariéry jako reakci na příkaz softwaru. Reakce přijímače (K2 znovu vypadne) je monitorován na PLC vstupech I1.1 a I1.2. Pokud chování je bez závad, 35 K2 zabrání úniku přes O1.2, a nebezpečný pohyb může být iniciován rozpojením S2. K1 je odpojena přes O1.0, a hlavní stykač Q1 aktivován přes O1.1.