VZOROVÉ PŘÍKLADY SRP/CS OBVODŮ

Transkript

VZOROVÉ PŘÍKLADY SRP/CS OBVODŮ
Následující stránky jsou překladem dokumentu BGIA Report 2/2008e vydaným
Institutem bezpečnosti práce Německého zákonného pojištění pracovních úrazů (IFA
– Institut für Arbeitschutz der Deutschen Gesetzlichen Unfallversicherung)
Překlad obsahuje pouze kapitolu 8. Plný text v anglickém jazyce je dostupný na
webových stránkách IFA, a to na adrese:
http://www.dguv.de/ifa/Publikationen/Reports-Download/BGIA-Reports-2007-bis2008/BGIA-Report-2-2008/index-2.jsp
V plném textu rovněž najdete odkazy, na které je odkazováno v přeložené kapitole.
Prosíme čtenáře, aby tolerovali případné netechnické formulace použité překladateli.
1
Obsah
8 Příklady obvodů pro SRP/CS (Safety Related Part of a Control System) .............................................. 4
8.1Všeobecné poznámky vztahující se k technologii na příkladu ovádacích systémů ........................ 6
8.1.1 Elektromechanické ovládače .................................................................................................. 6
8.1.2 Fluidní silové ovládače............................................................................................................ 7
8.1.3 Elektronické a programovatelné elektronické ovládací systémy ........................................... 9
8.2.1 Monitorování polohy pohyblivých krytů pomocí bedotykového koncového spínače –
Kategorie B – PL b (Příklad 1) ............................................................................................. 13
8.2.2 Pneumatický ventil (subsystém) – Kategorie 1 – PL c ( pro PL b bezpečnostní funkce)
(Příklad 2) ............................................................................................................................ 16
8.2.3 Hydraulický ventil (subsystém) – Kategorie 1 – PL c ( pro PL b bezpečnostní funkce)
(Příklad 3) ............................................................................................................................ 19
8.2.4 Zastavení dřevozpracujících strojů – Kategorie 1 – PL c (Příklad 4) ..................................... 22
8.2.5 Monitorování polohy pohyblivých krytů – Kategorie 1 – PL c (Příklad 5) ............................ 25
8.2.6 Vybavení pro start/stop se zařízením pro nouzové zastavení – Kategorie 1 – PL c
(Příklad 6) ............................................................................................................................ 28
8.2.8 Zastavení dřevozpracujících strojů – Kategorie 1 – PL c (Příklad 8) ..................................... 32
8.2.9 Zkoušení světelných bariér – Kategorie 2 – PL c se směrem Kategorie 1 spínací zařízení
výstupního signálu (Příklad 9) ............................................................................................. 35
8.2.10 Bezpečné zastavení PLC řízeného pohonu pomocí nouzového zastavení –
Kategorie 3 – PL c (Příklad 10) ............................................................................................ 40
8.2.11 Zkoušený pneumatický ventil (subsystém) – Kategorie 2 – PL d
(pro PL c bezpečnostní funkce) (Příklad 11) ....................................................................... 44
8.2.12 Zkoušený hydraulický ventil (subsystém) – Kategorie 2 – PL d
(pro PL c bezpečnostní funkce) (Příklad 12) ....................................................................... 48
8.2.13 Snímací systém bez zatížení pro zvedací zařízení – Kategorie 2 – PL d (Příklad 13).......... 52
8.2.14 Řízení pneumatického ventilu (subsystém) – Kategorie 3 – PL d (Příklad 14)................... 56
8.2.15 Ochranná zařízení a hydraulika řízená PLC – Kategorie 3 – PL d (Příklad 15).................... 60
8.2.16 Ovládací systém zemních strojů se sběrnicovým systémem - Kategorie 3 – PL d
(Příklad 16) .......................................................................................................................... 64
8.2.17 Kaskádování ochranných zařízení pomocí bezpečnostních modulů - Kategorie 3 – PL d
(Příklad 17) .......................................................................................................................... 68
8.2.18 Monitorování polohy pohyblivého krytu - Kategorie 3 – PL d (Příklad 18) ....................... 72
8.2.19 Kryt s blokováním se zamykáním krytu - Kategorie 3 – PL d (Příklad 19).......................... 76
8.2.20 Bezpečné zastavení pohonu PLC - Kategorie 3 – PL d (Příklad 20) .................................... 82
8.2.21 Bezpečné omezení rychlosti pro pomalé posouvání- Kategorie 3 – PL d (Příklad 21) ..... 86
8.2.22 Potlačení ochranného zařízení – Kategorie 3 – PL d (Příklad 22) ...................................... 90
8.2.23 Ovládání otáčecích dveří – Kategorie 3 – PL d (Příklad 23) ............................................... 96
2
8.2.24 Režim pomalého posouvání bezpečně omezenou rychlostí na tiskařském stroji –
Kategorie 3 – PL d (Příklad 24) .......................................................................................... 102
8.2.25 Ovládání pneumatického ventilu (subsystém) – Kategorie 3 – PL e (Pro bezpečnou
funkčnost PL d) (Příklad 25)............................................................................................... 107
8.2.27 Ovládání hydraulického ventilu (subsystém) – Kategorie 3 – PL e
(pro bezpečnostní funkci PL d )(Příklad 27) ....................................................................... 113
8.2.28 Monitorování polohy pohyblivých krytů – Kategorie 4 – PL e (Příklad 28) .................... 116
8.2.29Stupňovité zapojení zařízení pro nouzové zastavení pomocí bezpečnostního modulu –
Kategorie 3 – PL e (Příklad 29) ......................................................................................... 119
8.2.30 Monitorovací modul stykače – Kategorie 3 – PL e (Příklad 30) ....................................... 122
8.2.31 Ovládání pneumatického ventilu (Subsystém) – Kategorie 4 – PL e (Příklad 31) ............ 125
8.2.32 Ovládání hydraulického ventilu (Subsystém) – Kategorie 4 – PL e (Příklad 32) .............. 128
8.2.33 Elektrohydraulické řízení tlaku – Kategorie 4 – PL e (Příklad 33) .................................... 131
8.2.34 Monitorování polohy pohyblivých krytů – Kategorie 4 – PL e (Příklad 34) ..................... 135
8.2.35 Dvouruční ovládání – Kategorie 4 – PL e (Příklad 35) ...................................................... 138
8.2.36 Zpracování signálu ze světelné clony – Kategorie 4 – PL e (Příklad 36) .......................... 141
8.2.37 Padací řezačka papíru s programovatelným elektronickým logickým ovládáním –
Kategorie 4 – PL e (Příklad 37).......................................................................................... 145
3
8
8
Příklady obvodů pro SRP/CS
Příklady obvodů pro SRP/CS (Safety Related Part of a Control System)
Tato zpráva začala popisem konstrukce bezpečnostních ovládačů všeobecně. Sekce 5.7, 6.5 a 7.6
pak zobrazovala, s odkazem na příklad řezačky papíru s padajícím nožem, jak mohou být
implementovány metody pro návrh bezpečných ovládacích systémů. Metody pro určení PL
(Performance Level) jsou popsány krok za krokem zde a v EN ISO 13849-1; některé z těchto kroků
ovšem, jako odvozování blokových diagramů vztahujících se k bezpečnosti z obvodových diagramů
vyžadují určitou zkušenost. Dále vlivem různosti možných bezpečnostních funkcí a jejich
implementace, neumožní jejich obecně použitelný popis. Z tohoto důvodu, tato kapitola teď uvádí
vyhodnocení počtu příkladů obvodů, které implementují bezpečnostní funkce do různých kategorií
úrovně vlastností (PL) a pomocí různých technologií v příkladech obvodů, termín ovládací systém
všeobecně pokrývá pouze části ovládacích systémů vztahující se k bezpečnosti. Příklady jsou
omezeny na základní aspekty, a proto slouží pouze jako doporučení pro implementaci. Důležitost byla
položena na jejich výběr k širokému spektru technologií a možných aplikací. Čtenáři zprávy z roku
1997 [40] o kategoriích ovládacích systémů; vztahujících se k bezpečnosti k EN 954-1 naleznou
některé z těchto příkladů, ke kterým byly přidány příklady výpočtu poruchy. Příklady jsou interpretací
Kategorií, a byly zkompilovány autory na základě mnoha let zkušeností s ovládacími systémy stroje
vztahujících se k bezpečnosti a účasti v národních a Evropských normalizačních výborech, tak, aby
poskytly konstruktérům účinné vodítko pro jejich vlastní vývoj. Ačkoliv tyto příklady byly vytvořeny
různými autory, některé rozdíly nevyhnutelně existují, například v jejich presentaci detailů, nebo ve
zdůvodňování za určitými numerickými daty. Všechny výpočty pro příklady obvodů byly provedeny
s pomocí Verze 1.0 softwaru SISTEMA (Příloha H), verze dostupná v době sestavování této zprávy.
Popis v příkladech je strukturovaný následovně:






Bezpečnostní funkce
Funkční popis
Vlastnosti návrhu
Poznámky
Výpočet pravděpodobnosti závady
Detailnější odkazy
Pod „Bezpečnostní funkcí“ je uvedeno jméno bezpečnostní funkce spolu s událostí, která jí spouští a
vyžaduje bezpečnostní reakci.
„Funkční popis“ popisuje základní funkce vztahující se k bezpečnosti, na základě koncepčního
schematického diagramu. Chování v případě poruchy je vysvětleno, a jsou uvedena opatření pro
detekci závady.
„Vlastnosti konstrukce“ uvádí zvláštní charakteristiky příkladu konstrukce v otázce, jako aplikace dobře
vyzkoušených bezpečnostních principů a použití osvědčených komponentů.
4
8
Diagramy obvodů jsou pojmové schematické diagramy, které jsou omezeny výhradně na prezentaci
bezpečnostní funkce s relevantními komponenty vyžadovanými pro daný účel. V zájmu
srozumitelnosti, určité další obvody které by normálně byly vyžadovány byly vynechány, například
pro zajištění ochrany proti elektrickým šokům, pro ovládání přepětí/podpětí a nadměrný nebo nízký
tlak, pro detekci závad isolace, zkratů a závad uzemnění například na vnějších linkách, nebo pro
zajištění vyžadované odolnosti proti elektromagnetickému rušení. Detaily obvodů, které nejsou
zásadní pro definování blokových diagramů vztahujících se k bezpečnosti , byly tedy záměrně
vynechány. Takové detaily zahrnují ochranné obvody v elektrickém systému, jako pojistky a diody,
například ve formě nezávislých diod. Tyto diagramy také vynechávají rozpojené diody v obvodech, ve
kterých signáky snímače jsou čteny například nadbytečně v násobných logických součástech. Toto
uspořádání je je zamýšleno pro zamezení vstupu, který se stává výstupem redundantního systému
v případě závady, a tím ovlivňující druhý kanál. Tyto součásti jsou všechny záklek, aby ovládací
systém byl implementován v souladu s Kategorií a Úrovní Vlastností (PL). Další příklady jsou uvedny
v seznamu závad v EN ISO 13849-2, tak jako vliv vodiče zkratů musí být ovšem také zváženy
v souvislosti s dotčenými bezpečnostními funkcemi a podmínkami použití. Všechny použité součásti
musí být proto zvoleny s ohledem na jejich vhodnost podle jejich specifikace. Jejich předimenzování je
jedním z dobře vyzkoušených bezpečnostních principů.
Jsou uvažovány pouze takové vlastnosti konstrukce, které jsou důležité pro popsanou bezpečnostní
funkci. Ve většině případů je „funkce zastavení vztahující se k bezpečnosti iniciovaná ochranným
krytem“. Ostatní bezpečnostní funkce jako „prevence neočekávaného spuštění“ nebo „Ruční
resetovací funkce“ právě tak jako „Funkce Start/restart“ nejsou pokryty ve všech příkladech obvodů.
Jestliže ručně ovládaná zařízení (např. tlačítka) jsou použita pro realizaci posledně zmíněných
bezpečnostních funkcí, pak musí být věnována speciální pozornost následujícícmu: tyto bezpečnostní
funkce – speciálně když jsou použity s elektronickými obvody – musí být realizovány odpojením
aktivátoru od jeho energeticky aktivní posice.
Tam, kde je to relevantní k dotčenému příkladu, odkaz je proveden jako „Poznámky“ ke konkrétnímu
aspektu týkajícímu se možné aplikace.
Pod „Výpočet pravděpodobnosti poruchy“ se nachází popis výpočtu PL z parametrů Kategorie,
MTTFd, DCavg a CCF, na základě blokového diagramu vztahujícímu se k bezpečnosti odvozeného
z pojmového schematického diagramu. Kategorie je určena z funkčního popisu a vlastností
konstrukce.
Hodnoty MTTFd uvedené ve výpočtu jsou označeny jako hodnoty výrobce („[M]“ pro Výrobce), typické
hodnoty z databází („[D]“) jako databáze), nebo hodnoty z EN ISO 13849-1 („[S]” jako Standard. Podle
normy, měla by být dána přednost datům výrobce. Pro některé komponenty, jako rotační signal kodérů
nebo měničů frekvence, žádná spolehlivá data výrobců ani hodnoty databází nebyla dostupná v době
vypracování zprávy. Výrobci byli kontaktováni přímo v tomto případě, nebo bylo pro výpočetní metodu
použito typických odhadovaných hodnot podle příkladů (označených “ [E]” jako Odhadovaných).
Hodnoty MTTFd v této kapitole by proto měly být považovány spíše jako odhadnuté.
5
8
Presentace předpokládaných opatření pro diagnostiku (DC) a proti poruše se společnou příčinou
(CCF) je omezena na všeobecnou informaci. Specifické hodnoty pro tyto dvě kriteria jsou závislé na
iomplementaci, aplikaci a na výrobci.Je proto možné, že různé hodnoty DC jsou předpokládány pro
podobné komponenty v různých případech. Zde také, všechny předpoklady týkající se DC a CCF
musí být revidovány, kde jsou v praxi skutečně implementovány, předpokládané hodnoty nejsou
zavazující a jsou zamýšlena pouze pro ilustraci.
Zaměření v popisu je více na Kategorie ve formě „odolnosti proti poruchám“ a na „matematické
metody“ pro určení PL. Naopak, některé dílčí kroky, jako vyloučení poruchy, základní a dobře
vyzkoušené bezpečnostní principy nebo opatření proti systematickým vadám (včetně softwaru)jsou
zmíněny pouze stručně. Během implementace musí být věnována odpovídající pozornost tomuto
aspektu, jelikož chybné posouzení nebo nesprávná implementace těchto opatření může vést ke
zhoršení tolerance závady nebo pravděpodobnosti závady. Jako pomůcka pro porozumění příkladů
obvodůa pro jejich praktickou implementaci, pozornost čtenáře je proto obrácena ke kapitole 7 a
Příloze C, ve které, například základní a dobře vyzkoušené bezpečnostní principy jsou detailně
popsány.
Nakonec, odkaz je proveden v „Detailnější reference“, tam ,kde je to uvedeno.
Pro každou formu technologie, určitý komentář všeobecné povahy je proveden v následující
technologicky specifické sekcitak, aby poskytl lepší porozumnění příkladům a pro implementaci
Kategorií. Některé z příkladů obvodů representují „ovládací systémy zahrnující více technologií“. Tyto
„smíšené“ příklady obvodů jsou založeny na konceptu, uchované v normě, že bezpečnostní funkce je
vždy implementována „přijetím“, „zpracováním“ a „sepnutím“, bez ohledu na použitou technologii.
8.1
8.1.1
Všeobecné poznámky vztahující se k technologii na příkladu ovádacích systémů
Elektromechanické ovládače
Elektromechanické ovládače primárně používají elektromechanické součástky ve formě spínačů
ovládacích zařízení (např. posičních spínačů, volicích spínačů, tlačítek) a spínacích zařízeních
(kontaktních relé, relé, stykačů). Tato zařízení mají definovanou spínací polohu. Nemění všeobecně
svůj spínací stav pokud není zvnějšku nebo elektricky aktivován. Když jsou navoleny správně a
použity podle určení, jsou široce imunní k rušení jak k elektrickému, tak elektromagnetickému.
V tomoto ohlede se liší, v některých případech závažně od elektronického zařízení. Jejich trvanlivost a
poruchovost může být ovlivněna vhodným výběrem, dimenzováním a uspořádáním. To samé platí pro
použité vodiče, pokud jsou vhodně vedeny a vně elektrických skříní.
Z důvodů uvedených shora, elektromechanické komponenty všeobecně vyhovují „základním
bezpečnostním principům“, a v mnohy případech mohou být považovány jako „dobře vyzkoušené
komponenty“ v kontextu bezpečnosti. Toto je ovšem pravda, pokud jsou dodrženy požadavky EN
60204-1 [20] pro elektrické zařízení stroje/instalace. V některých případech, vyloučení závady je
možné, například na ovládacím stykači s ohledem na rozběh při absenci ovládacího napětí, nebo
neotevření zlomeného kontaktu s přímou otevírací akcí na spínači podle IEC 60947-5-1 [38], Příloha
K.
6
8
8.1.2
Fluidní silové ovládače
U fluidních silových systémů, zvláště oblast ventilů by měla být považována jako „k bezpečnosti se
vztahující část ovládacího systému“ a zvláště ventily, které ovládají nebezpečné pohyby nebo stavy.
Uvedené fluidní obvody tvoří pouze příklady uspořádání. Požadované bezpečnostní funkce mohou být
také dosaženy alternativní ovládací logikou používající příslušné typy ventilů, nebo pro tuto záležitost
v některých případech přídavným mechanickým řešením jako přidržovací zařízení nebo brzdy.
Na hydraulických systémech (viz Obrázek 8.1), opatření pro omezení tlaku v systému (1V2) a pro
filtraci hydraulické kapaliny (1Z2) musí být také v tomto kontextu uvažovány.
Obrázek 8.1
Rozsah EN ISO 13849 pro hydraulické systémy
Komponenty 1Z1, 1S1 a 1S2 zobrazené v Obrázku 8.1 jsou obsaženy ve většině hydraulických
systémů a mají velkou důležitost, zvláště pro podmínky hydraulické kapaliny a následně pro funkci
ventilů. Filtr zásobníku- odvzdušňovače 1Z1 umístěný na zásobníku kapaliny zabraňuje vstupu
vnějších nečistot. Indikátor hladiny kapaliny 1S2 zajišťuje, aby hladina kapaliny zůstávala v určených
mezích. Indikátor teploty 1S1 iniciuje vhodná opatření pro omezení rozsahu provozní teploty a tím
rozsah provozní viskozity hydraulické kapaliny. Pokud je to nezbytné, zařízení pro ohřev a/nebo
chlazení musí být přítomna spolus uzavřenou smyčkou regulace teploty (viz také Přílohu C v této
souvislosti).
7
8
Prvky pohonu a prvky pro přeměnu energie a převod v kapalinovém silovém systému leží všeobecně
mimo rozsah normy.
U pneumatických systémů (Obrázek 8.2) součásti pro prevenci nebezpečí spojená s přeměnou
energie a jednotkou údržby pro úpravu stačeného vzduchu musí být uvažovány z pohledu
bezpečnosti spolu s oblastí ventilů.
Obrázek 8.2:
Rozsah EN ISO 13849 pro pneumatické systémy
.
8
8
Tak, aby možná přeměna energie byla ovládána s uvážením bezpečnostních aspektů, je často
používán odpouštěcí ventil spolu s tlakovým spínačem. V příkladech obvodů v této kapitole, tyto
komponenty jsou značeny DV1 (odpouštěcí ventil) a 0S1 (tlakový spínač). Jednotka údržby 0Z (viz
Obrázek 8.2) obecně sestává z ručního uzavíracího ventilu 0V10, a filtru s odlučovačem vody 0Z10,
který je použit pro monitorování stupně znečištění, a tlakového řídícího ventilu 0V11 (s přiměřeně
dimenzovaným druhotným výstupem). Indikátor tlaku 0Z11 plní požadavek na monitorování parametrů
systému.
Vedle ovládací části, vztahující se k bezpečnosti, kapalinové tlakové ovládací obvody presentované
jako příklady v této kapitole obsahují pouze přídavné komponenty vyžadované pro porozumění
kapalinového ovládacího systému, nebo které se přímo vztahují k technologii ovládání. Požadavky,
které musí být splněny kapalinovými ovládacími systémy jsou souhrnně popsány v [41;42], [43 až 47]
jsou dalšími relevantními normami.
Většina příkladů ovládacích systémů jsou elektrohydraulické nebo elektropneumatické ovládače.
Rozsah bezpečnostních požadavků jsou na těchto ovládacích systémech pomocí elektrických
ovládacích částí, například požadavek na změnu energie u elektrohydraulického systému, který má
být ovládán.
Na zde popsaných příkladech ovádání, požadovaná bezpečnostní funkce je zastavení nebezpečného
pohybu nebo obrácení směru pohybu. Zamezení neočekávaného spuštění je implicitně zahrnuta.
Požadovanou bezpečnostní funkcí může být také definovaná úroveň tlaku nebo odpuštění tlaku.
Struktura většiny fluidních ovládacích systémů je provedena v Kategoriích 1, 3 nebo 4. Jelikož
Kategorie B již vyžaduje zachování relevantních norem a základních bezpečnostních principů,
Katgorie B a 1 fluidních ovládacích systémů se v základu neliší jejich strukturou ovládání, ale pouze
ve vyšší spolehlivosti vztahující se k bezpečnosti relevantních ventilů. Z tohoto důvodu, tato zpráva
nepresentuje žádnou Kategorii B fluidních ovládacích systémů.
8.1.3
Elektronické a programovatelné elektronické ovládací systémy
Elektronické komponenty jsou obecně více citlivé ke vnějším environmentálním vlivům než
elektromechanické komponenty. Jestlže nejsou přijata žádná zvláštní opatření, použití elektronických
komponentů při teplotách < 0 °C je subjektem významně větších omezení než u elektromechanických
komponentů. Dále existují vlivy prostředí, které jsou virtuálně nedůležité vzhledem
k elektromechanickým obvodům, ale které prezentují kritické problémy pro elektronické systémy,
jmenovitě jakákoliv elektromagnetická ručení, které jsou propojeny do elektronických systémů ve
formě vedeného rušení nebo elektromagnetických polí, V některých případech, větší úsilí je
vyžadováno proto, aby přiměřená odolnost proti rušení byla pro průmyslové použití dosažena.
Vyloučení závady je vitruálně nemožné u elektronických komponentů dosáhnout. Následně
bezpečnost nemůže být v principu garantovaná konstrukcí konkrétního komponentu, ale pouze
určitým uspořádáním obvodu a aplikací příslušných opatření pro řízení závady.
Podle seznamu závad pro elektrické/elektronické komponenty v EN ISO 13849-2, závady jako zkrat,
otevřený obvod, změna parametru nebo hodnoty, a skryté závady jsou v podstatě předpokládány.
Tyto jsou bez vyjímky závady, u kterých je předpoklad, že jsou trvalé. Přechodové (sporadicky se
vyskytující závady jako „měkké chyby“ způsobené obráceným nábojem kondenzátoru v čipu majícím
vysoce-enrgetické částice jako alfa částice mohou být obecně detekoványpouze obtížně a řízeny pro
většinu částí strukturálními opatřeními.
Poruchový režim elektronických komponentů je často obtížné vyhodnotit: všeobecně, nemohou být
definovány žádné převládající typy poruch. Toto může být ilustrováno na příkladu. Jestliže stykač
není aktivován elektricky, tj. proud nejde přes cívku, není důvod pro uzavření kontaktů stykače. Jinými
9
8
slovy, odpojené relé nebo stykač nesepne obvod jako reakci na vnitřní chybu. Situace je různá pro
většinu elektronických komponentů, jako transistorů. I když transistor je blokován, tj. absencí
dostatečně vysokého základního proudu, možnost nemůže být nicméně vyjmuta z jeho náhle se
vyskytující vodivosti bez vnějších vlivů jako výsledku vnitřních poruch; za určitých okolností to může
vést k nebezpečným pohybům. Tento nedostatek elektronických komponentů z pohledu bezpečnosti
musí být také řízen vhodným uspořádáním obvodu. Zvláště tam, kde jsou použity vysoce integrované
moduly, nemusí být vždy možné demonstrovat, že zařízení nebo přístroj je kompletně bezporuchový
od počátku jeho životnosti, tj. uvedení do provozu. Ať již na úrovni komponentu, výrobci nejsou
schopni demonstrovat bezporuchovost se 100% pokratím zkoušek pro komplexně integrované
obvody. Podobná situace existuje pro software programovatelné elektroniky.
V kontrastu k elektromechanickým obvodům, čistě elektronické obvody mají často výhodu, že změna
stavu může být může být dynamicky vynucena. To dovoluje dožaení požadovaného DC v příslušně
krátkém intervalu a bez změna stavu vnějších signálů (vynucená dynamika).
Opatření oddělování jsou vyžadována mezi různými kanály tak, aby bylo zamezeno společným
příčinám poruch, Tato opatření všeobecně sestávají z galvanicky isolovaných kontaktů, odporů nebo
diodových sítí, filtrovaných obvodů, optických členů a transformátorů.
Systematické poruchy mohou vést k současným poruchám redundantně pracujících kanálů, pokud
tomu není zamezeno vhodným opatřením, zvláště během konstrukční a integračníé fáze. Použitím
principů jako proudivý uzavřený obvod, diverzitou nebo předimenzováním, elektronické obvody mohou
být také navrženy s dostatečnou robustností vzhledem k systematickým poruchám a tak jim bylo
zamezeno s dostatečnou spolehlivostí. Opatření, která učiní zpracující kanály necitlivé k fyzikálním
vlivům způsobené vyskytujícím se například v průmyslovém prostředí by neměly být zanedbány.
Takové vlivy zahrnují teplotu, vlhkost, prach, vibrace, nárazy, korosivní atmosféry, elektromagnetické
vlivy, výpadky napětí, přepětí a podpětí.
Kategorie 1 SRP/CS musí být navržena a vyrobena s použitím dobře vyzkoušených součástí a dobře
vyzkoušených bezpečnostních principů. Jelikož komplexní elektronické komponenty jako PLCs,
mikroprocesory nebo ASICs nejsou považovány jako dobře vyzkoušené v souvislosti s normou, tato
zpráva obsahuje neodpovídající příklady elektroniky Kategorie 1.
Příklady obvodů obsahují prohlášení účinnosti, tj. odpovídající´PL – úrovně vlastností, požadovaných
opatření pro zamezení poruch /řízení poruch pro programovatelnou elektroniku. Viz Sekci 6.3 pro
další detaily. Pokud by pro vývoj byly použity obvody ASIC (Uživatelsky specifické integrované logické obvody
MOS) jsou vyžadována opatření pro zamezení poruch v procesu vývoje. Taková opatření mohou být
nalezena například v návrhu normy IEC 61508-2:2008 (CDV) [39], která specifikuje V-model pro vývoj
ASIC, založený na V-modelu známého z návrhu a vývoje software.
Následující body stojí za zmínku, pokud takové případy se vyskatnou v praxi:

Všeobecně, dva kanály SRP/CS nesmí být směrovány skrz stejný integrovaný obvod. Pro optické
členy, například tento požadavek znamená, že tyto musí být umístěny v oddělených uzavřených
částech, které jsou použity pro zpracování signálů z různých kanálů.

Vliv operačních systémů atd. musí být také zvážen tam, kde je použita programovatelná
elektronika. Standardní PC a typický komerční operační systém není vhodný pro použití v řídícím
systému, vztahujícímu se k bezpečnosti. Požadovaná absence závad (nebo realisticky, nízký
výskyt závad) nemůže být obecně demonstrován s rozumným úsilím, nebo nebude dosažitelný
s operačnm systémem, který nebyl navržen pro aplikace vztahující se k bezpečnosti.
8.2
Příklady obvodů
10
8
Tabulka 8.1 dává přehled příkladů obvodů 1 až 37. Tabulka 8.2 obsahuje abecední seznam hlavních
zkratek použitých v příkladech obvodů.
Tabulka 8.1
Přehled příkladů obvodů
Dosažená PL
Technologie/příklad No.
Implementovaná
kategorie
Pneumatika
Hydraulika
Elektrika
b
B
1
c
1
c
2
9
c
3
10,24
d
2
11
12
13
d
3
14
15,16
15,16,17,18,19
20,21,22,23,24
e
3
25,26
27
29,30
e
4
31
32,33
28,33,34,35,
36,37
2
3
4,5,6,7,8
Tabulka 8.2
Přehled zkratek použitých v příkladech obvodů
Zkratka
Plná forma
[D]
[E]
B10d nebo MTTFd hodnoty z databází
(viz například Přílohu D, Sekce D2.6)
Odhad hodnot B10d nebo MTTFd
[M]
Hodnoty B10d nebo MTTFd podle informací výrobce
[S]
Hodnoty B10d nebo MTTFd podle dat uvedených v EN ISO 13849-1(viz například
Tabulku D.2 této zprávy)
Mikro ovládací /řídící spínač
μC
B10
Nominální životnost: průměrné číslo spínacích operací/spínacích cyklů dosažených
před 10% uvažovaných poruch jednotek
B10d
Nominální životnost (nebezpečná): průměrné číslo spínacích operací/spínacích cyklů
dosažených před 10% uvažovaných poruch jednotek nebezpečně
CBC
Kombinace spojka/brzda
CCF
Společná příčina poruchy
CPU
Mikroprocesor (CPU – central processing unit)
DC
Diagnostické pokrytí
11
8
DCavg
Průměrné diagnostické pokrytí
ESPE
Elektro-citlivé ochranné zařízení
Zkratka
Plná forma
FI
Převodník frekvence
FIT
Počet poruch v 10 hodinách součásti (poruchy v čase)
FMEA
Režim poruchy a analýzy efektu
M
Motor
MPC
Víceúčelové řízení
MTTFd
Střední doba do nebezpečné poruchy
nop
Střední roční počet operací
PFH
Střední pravděpodobnost nebezpečné poruchy za hodinu
PL
Úroveň vlastností
PLr
Požadovaná úroveň vlastností
PLC
Programovatelný logický ovládač
RAM
Paměť typu RAM
ROM
Paměť typu ROM
SLS
Bezpečně omezená rychlost (viz Tabulka 5.2)
SRASW
Aplikační software vztahující se k bezpečnosti
SRESW
Vložený software vztahující se k bezpečnosti
SRP/CS
Část řídícího systému vztahujícící se k bezpečnosti
SS1
Bezpečné zastavení 1 (viz Tabulka 5.2)
SS2
Bezpečné zastavení 2 (viz Tabulka 5.2)
STO
Bezpečné zrušení kroutícího momentu (viz Tabulka 5.2)
T10d
Střední doba dosažená před 10% očekávané nebezpečné poruchy
THC
Dvouruční ovládání
9
12
8
8.2.1
Monitorování polohy pohyblivých krytů pomocí bedotykového koncového spínače –
Kategorie B – PL b (Příklad 1)
Obrázek 8.3:
Monitorování polohy pohyblivého krytu
pomocí bezdotykového koncového spínače
 Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: aktivace bezdotykového
koncového spínače, když pohyblivý kryt (bezpečnostní kryt) je otevřen aktivuje bezpečnostní
funkci STO (bezpečné vypnutí kroutícího momentu).
Funkční popis
 Otevření pohyblivého krytu (tj. bezpečnostního krytu) je detekováno bezdotykovým
koncovým spínačem B1, který způsobí uvolnění podpětí motor-starteru Q1. Pokles Q1
přeruší nebo zamezí nebezpečným pohybům nebo stavům.
 Odstranění ochranného zařízení je detekováno.
 B1 neobsahuje vnitřní monitorovací opatření. Nejsoui implementována žádná další opatření
pro detekci závady.
Vlastnosti konstrukce
 Základní bezpečnostní principy jsou zachovány a požadavky Kategorie B jsou splněny.
Ochranné obvody (např. ochrana kontaktů), jak jsou popsány v úvodních paragrafech
Kapitoly 8 jsou implementovány. Běžný princip uzavřených obvodů – způsobení podpětí je
použit jako základní bezpečnostní princip.
13
8
 Stabilní uspořádání ochranného zařízení (bezpečnostního krytu) poskytuje zajištěnou aktivaci
bezdotykového koncového spínače.
 V závislosti na konstrukci bezdotykového koncového spínače, bezpečný provoz může být
obejit rozumně předvídatelným způsobem. Obejití může být učiněno obtížnějším, například
zvláštními podmínkami pro instalaci, jako namontováním do skryté posice (viz také EN
1088/A1, příloha J).
 Napájení energiií celého stroje je vypnuto (zastavení kategorie 0 podle EN 60204-1).
Výpočet pravděpodobnosti poruchy
 MTTFd : B1 je běžný bezdotykový koncový spínač na bezpečnostním krytu s MTTFd 40 let
[M]. Pro podpěťové vypínání motor starteru Q1, hodnota B10 se přibližuje na elektrickou
životnost 10 000 spínacích operací [M]. Jestliže 50% poruch je považováno za nebezpečné,
hodnota B10d je produkována zdvojením hodnoty B10. Při denní aktivaci bezdotykového
koncového spínače, nop 365 cyklů za rok pro Q1 znamená MTTFg hodnotu 548 let. Pro
kombinaci B1 a Q1, MTTFg na jeden kanál je 37 let. Tato hodnota je pokrytá k aritmetické
maximální hodnotě pro Ketgorii B, tj. 27 let („střední“).
 DCavg a opatření proti obecné příčině poruchy není relevantní v Kategorii B.
 Elektromechanický ovládací systém odpovídá Kategorii B se střední MTTFg (27 let). Tento
-6
výsledek je průměrem pravděpodobnosti nebezpečné poruchy hodnotou 4,23 x 10 hodin. To
odpovídá PL b.
 EN 1088/A1: Bezpečnost strojních zařízení – Zařízení s blokováním spojená s kryty –
Principy pro konstrukci a výběr (04.07)
 EN 60204-1: Bezpečnost strojních zařízení – Elektrická zařízení strojů. Část 1: Všwobecné
požadavky (06.08).
14
8
Obrázek 8.4:
Určení PL pomocí SISTEMA
15
8
8.2.2
Pneumatický ventil (subsystém) – Kategorie 1 – PL c ( pro PL b bezpečnostní funkce)
(Příklad 2)
Obrázek 8.5:
Pneumatický ventil pro řízení nebezpečných pohybů
16
8
 Bezpečnostní funkce zastavení nebezpečných pohybů a prevence neočekávaného spuštění
z klidové posice
 Je zde znázorněna pouze pneumatická část řízení, ve formě subsystému. Musí být přidány
další bezpečnostní řídící komponenty (např. ochranná zařízení a elektrické logické elementy)
ve formě subsystémů pro kompletní bezpečnostní funkci.
Funkční popis
 Nebezpečné pohyby jsou řízeny směrovým řídícím ventilem 1V1 s dobře vyzkoušenou
bezpečnostní funkcí.
 Porucha směrového řídícího ventilu může vyústit ve ztrátu bezpečnostní funkce. Porucha je
závislá na spolehlivosti směrového řídícího ventilu.
 Nejsou implementována žádná opatření pro detekci poruchy.
 Pokud by odloučený stlačený vzduch představoval další nebezpečí, jsou vyžadována
dodatečná opatření.
 Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny
požadavky Kategorie B.
 1V1 je směrový řídící ventil s uzavřenou střední polohou, dostatečným překrytím,
centrováním pružinou a únavě odolnými pružinami.
 Bezpečnostní spínací poloha je dosažena odstraněním řídícího signálu.
 Tam, kde je to nezbytné, výrobce/uživatel musí potvrdit, že směrový řídící ventil je
komponentou s dobře vyzkoušenou bezpečnostní funkčností (s dostatečně vysokou
spolehlivostí).
 Bezpečnostní funkce může být také dosažena logickým uspořádáním vhodných ventilů.
 Je předpokládána hodnota MTTFd a B10 ve výši 40 000 000 spínacích operací [E] pro
směrový řídící ventil 1V1. Při 240 pracovních dnech, 16 pracovních hodinách za den a době
cyklu 5 sekund, nop je 2 764 800 cyklů za rok a MTTFd je 145 let. To je také hodnotou MTTFd
na kanál, která je završena ke 100 letům („vysoká“).
 DCavg a opatření proti běžným příčinám poruch není v Kategorii 1 relevantní,
17
8
 Pneumatické řízení odpovídá Kategorii 1 s vysokým MTTFd (100 let). To dává průměrnou
-5
pravděpodobnost nebezpečné poruchy 1,14 x 10 za hodinu. To odpovídá PL c. Přidání
dalších bezpečnostních řídících částí jako subsystémů pro kompletaci bezpečnostní funkce
obecně vyústí v nižší PL.

Při uvažování o odhadu chyb na straně bezpečnosti tak, jak je popsaná shora, hodnota T 10d
ve velikosti 14 let provozní doby je dosažena pro specifikovanou výměnu opotřebení
směrového řídícího ventilu 1V1.
Obrázek 8.6:
18
8
8.2.3
Hydraulický ventil (subsystém) – Kategorie 1 – PL c ( pro PL b bezpečnostní funkce)
(Příklad 3)
Obrázek 8.7:
Hydraulický ventil pro řízení nebezpečných pohybů
 Bezpečnostní funkce zastavení: zastavení nebezpečných pohybů a prevence
neočekávaného spuštění z klidové polohy
19
8
 Je zde znázorněna pouze hydraulická část řízení ve formě subsystému. Další bezpečnostní
řídící komponenty (např. ochranná zařízení a elektrické logické součásti) musí být přidány ve
formě subsystémů pro kompletaci bezpečnostní funkce.
Funkční popis
 Nebezpečné pohyby jsou řízeny směrovým ovládacím ventilem 1V3 s dobře vyzkoušenou
bezpečnostní funkčností.
 Porucha směrového řídícího ventilu může vyústit ve ztrátu bezpečnostní funkce porucha je
závislá na spolehlivosti směrového řídícího ventilu.
 Nejsou implementována žádná opatření pro detekci poruchy.
 Základní a dobře vyzkoušené bezpečnostní principy jsou dodržovány a požadavky Kategorie B
jsou splněny.
 1V3 je směrový řídící ventil s uzavřenou střední polohou, dostatečným překrytím, centrováním
pružinou a únavě odolnými pružinami.
 Bezpečná spínací posice je dosažena odejmutím řídícího signálu.
 Tam, kde je to nezbytné, výrobce/uživatel musí potvrdit, že směrový řídící ventil je součástí
s dobře vyzkoušenou bezpečnostní funkčností.
 Jsou implementována následující specifická opatření pro zvýšení spolehlivosti směrového
řídícího ventilu: tlakový foltr 1Z3 před směrový řídící ventil a vhdná opatření na válci pro
zamezení vniknutí nečistot k pístnici (např. účinná stírací ucpávka na pístnici, viz * v obrázku
8.7).

MTTFd: Je předpokládána hodnota MTTFd ve výši 150 let pro směrový řídící ventil 1V3 [S] .To
je také hodnotou MTTFd na kanál, která je završena ke 100 letům („vysoká“).
 DCavg a opatření proti běžným příčinám poruch není v Kategorii 1 relevantní
 Hydraulické řízení odpovídá Kategorii 1 s vysokým MTTFd (100 let). To dává průměrnou
-5
pravděpodobnost nebezpečné poruchy 1,14 x 10 za hodinu. To odpovídá PL c. Přidání dalších
bezpečnostních řídících částí jako subsystémů pro kompletaci bezpečnostní funkce obecně
vyústí v nižší PL.
20
8
Obrázek 8.8:
21
8
8.2.4
Zastavení dřevozpracujících strojů – Kategorie 1 – PL c (Příklad 4)
Obrázek 8.9:
Kombinace elektromechanického řídícího zařízení a jednoduchého elektronického brzdicího zařízení
pro zastavení dřevozpracujícícho stroje.
 Aktivace tlačítka Off vede k SS1 (bezpečné zastavení 1). řízené zastavení motoru v průběhiu
maximálního povoleného času.
Funkční popis
 Zastavení motoru je iniciováno aktivací Off tlačítka S1. Stykač motoru Q1 vypadne a funkce
brzdění je iniciována. Motor je brzděn stejnosměrným proudem generovaným v brzdicí
jednotce K1 tyristorem používajícím řízení fázového úhlu a generujícím brzdící kroutící
moment ve vinutí motoru.
 Čas doběhu nesmí překročit maximální hodnotu (např. 10 sekund). Úroveň brzdícího proudu
požadovaná pro tento účel může být nastavena pomocí potenciometru na brzdicí jednotce.
22
8
 Po vypršení maximálního brzdícího času, řídící signál k tyristoru ustane a proudová cesta pro
brzdicí proud je přerušena. Proces zastavení odpovídá zastavení Kategorie 1 v souladu s EN
60204-1.
 Bezpečnostní funkce nemůže být udržována se všemi poruchami komponentů a závisí na
spolehlivosti komponentů.
 Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny požadavky
Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů) jak jsou popsány
v úvodním odstavci Kapitoly 8. Je použit princip odpojení proudu (proud uzavřeného obvodu)
jako základní bezpečnostní princip. Pro ochranu proti neočekávanému spuštění po následujícím
obnovení dodávky energie, řídící systém provede aretaci na Q1.
 S1 je tlačítko s positivním režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací
akce). S1 je proto považován jako dobře vyzkoušená komponenta.
 Stykač Q1 je dobře vyzkoušená komponenta pokud jsou dodrženy přídavné podmínky v souladu
s Tabulkou D.4 v EN ISO 13849-2.
 Brzdicí jednotka K1 je navržena výlučně z jednoduchých elektronických součástek jako
transistory, kondenzátory, diody, odpory a tyristory, které jsou považovány jako dobře
vyzkoušené komponenty. Bezporuchový provoz bezpečné brzdicí funkce je charakterizován
výběrem součástí. Vnitřní opatření pro detekci závad nejsou implementována. Žádné komplexní
elektronické komponenty (např. mikroprocesory) nejsou použity takže nejsou považovány aby
byly v souladu s EN ISO 13849-1, Sekce 6.2.4 jako ekvivalentní k dobře vyzkoušeným
součástem.
Aplikace
 Na dřevozpracujících strojích nebo podobných strojích na kterých nebrzděné zastavení by
vyústilo v nepřípustně dlouhý doběh nebezpečného pohybu nástroje. Řídídcí systém musí být
navržen tak, že je dosažena PL b (GS-HO-01 zkušebních principů pro dřevoobráběcí stroje).
Výpočet pravděpodobnosti závady
 S1 je tlačítko s positivním režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací
akce). Jestliže tlačítko tohoto typu je použito jako řídící zařízení, vyloučení závady je možné pro
závadu otevření elektrických kontaktů, včetně mechanických součástí uvnitř tlačítka.
 Je předpokládána hodnota MTTFd a B10 ve výši 2 000 000 spínacích operací [S] u jmenovitého
zatížení pro stykač Q1. Pro 300 pracovních dnů, 8 pracovních hodin a době cyklu 2 minuty, nop je
72 000 cyklů za rok a MTTFd je 277 let.. MTTFd pro brzdící jednotku K1 byl určen pomocí metody
výpočtu dílů. Informace o částech ze seznamu dílů a hodnoty z databáze SN 29500[36] dává
MTTFd 518 let [D]. Kombinace Q1 a K1 yyústí v MTTFd 180 let na kanál, která je završena ke 100
letům („vysoká“).
23
8
 DCavg a opatření proti závadám se společnou příčinou nejsou pro Kategorii 1 relevantní.
 Elektromechanický řídící systém odpovídá Kategorii 1 s vysokým MTTFd (100 let). Toto znamená
-6
průměrnou pravděpodobnost nebezpečné poruchy ve výši 1.14 x 10 za hodinu. To odpovídá
PL c. PLr b je proto překonáno.
 Grundsätze für dir Prüfung und Zertifizierung von Holzbearbeitungsmaschinen GS-HO-01
(12/2007).
www.dguv.de, Webcode d14898
Obrázek 8.10
24
8
8.2.5
Monitorování polohy pohyblivých krytů – Kategorie 1 – PL c (Příklad 5)
Obrázek 8.11:
Monitorování polohy pohyblivých
krytů pro prevenci nebezpečných
pohybů
(STO – bezpečné odstavení)
 Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: otevření pohyblivého krytu
inicijuje bezpečnostní funkci STO – bezpečné odstavení kroutícího momentu.
Funkční popis
 Otevření pohyblivého krytu (např. bezpečnostního krytu) je detekováno polohovým spínačem B1
s přímou otevírací akcí, která aktivuje stykač Q1. Vypadnutí Q1 přesruší nebo zamezí
nebezpečným pohybům nebo stavům.
 Bezpečnostní funkce nemůže být udržována při všech závadách komponentů a je závislá na
jejich spolehlivosti.
 Nejsou implementována žádná opatření pro detekování poruch.
 Odstranění ochranných zařízení není detekováno.
Vlastnosti konstrukce.
 Jsou dodržovány základní a dobře vyzkoušené bezpečnost principy a požadavky Kategorie B
jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů), tak jak je
popisují úvodní paragrafy Kapitoly 8. Běžné používané uzavřené obvody jsou použity jako
základní bezpečnostní principy. Uzemnění řídícího obvodu je považováno jako dobře
vyzkoušený bezpečnostní princip.
25
8
 Spínač B1 je spínač polohy s přímou otevírací akcí v souladu s IEC 60947-5-1, Příloha K a je
proto považován za dobře vyzkoušený komponent. Vypínací kontakt přeruší obvod přímo
mechanicky když ochranné zařízení není v bezpečné poloze.
 Použitý stykač Q1 je dobře vyzkoušená součást zajišťující, že přídavné podmínky v souladu
s Tabulkou D.4 EN ISO 13849-2 jsou dodržena.
 Polohový spínač je použit pro monitorování polohy. Je zajištěno.stabilní uspořádání ochranného
zařízení pro iniciování polohového spínače. Aktivační součásti polohového spínače jsou
chráněny proti vytlačení. Pouze tuhé mechanické části (žádné pružinové součásti mezi
aktivátorem a kontaktem nejsou použity.
 Aktivační zdvih pro polohový spínač splňuje specifikaci výrobce.
 MTTFd: vyloučení závady pro přímé otevření elektrických kontaktů je možné pro B1. Hodnota
B10d ve výši 1 000 000 cyklů (M) je stanovena pro mechanickou část B1. Pro 365 pracovních dní,
16 pracovních hodin denně a době cyklu 10 minut, nop je 35 045 cyklů za rok a MTTFd:je 285 let
pro tyto komponenty. Pro stykač Q1, hodnota B10 odpovídá pod induktivním zatížení (AC 3)
elektrické životnosti 1 300 000 spínacích cyklů [M]. Jestliže 50% závad je považováno jako
nebezpečné, hodnota B10d je dosažena zdvojením hodnoty B10. Ze shora předpokládané hodnoty
pro nop vyplývá MTTFd 742 let pro Q1. Kombinace B1 a Q1 vyplývá MTTFd 206 let pro kanál. Tato
hodnota je završena na 100 let („vysoká“).
 DCavg a opatření proti poruchám se společnou příčinou není relevantní pro Kategorii 1.
 Elektromechanický ovládací systém odpovídá Kategorii 1 s vysokou MTTFd (100 let). To vychází
-6
v průměrnou pravděpodobnost nebezpečné poruchy hodnoty 1.14 x 10 za hodinu. To odpovídá
PL c. PLr b je úproto překonáno.
 IEC 60947-5-1: Spínací a řídicí přístroje nízkého napětí - Část 5-1: Přístroje a spínací ústrojí
řídicích obvodů - Elektromechanické přístroje řídicích obvodů (11.03)
26
8
Obrázek 8.12
27
8
8.2.6
Vybavení pro start/stop se zařízením pro nouzové zastavení – Kategorie 1 – PL c
(Příklad 6)
Obrázek 8.13:
Kombinované vybavení pro
start/stop se zařízením pro nouzové
zastavení
 Funkce nouzového zastavení, STO – bezpečné odpojení kroutícího momentu aktivací zařízení
pro nouzové zastavení
Funkční popis
 Nebezpečné pohyby nebo stavy jsou odpojeny od napájení přerušením ovládacího napětí od
stykače Q1 když je aktivováno zařízení nouzového zastavení S1.
 Jsou splněny základní a dobře vyzkoušené bezpečnost principy a požadavky Kategorie B. Jsou
implementovány ochranné obvody (např. ochrana kontaktů) tak, jak je popsáno v úvodním
paragrafu Kapitoly 8. Běžné používané uzavřené obvody jsou použity jako základní
bezpečnostní principy. Uzemnění řídícího obvodu je považováno jako dobře vyzkoušený
bezpečnostní princip.
28
8
 Zařízení pro nouzové zastavení S1 je spínač s přímou otevírací akcí v souladu s IEC 60947-5-1,
Příloha K a je proto považován za dobře vyzkoušený komponent v souladu s tabulkou D.4 EN
ISO 13849-2.
 Signál je zpracován stykačem (kategorie zastavení 0 podle EN 60204-1).
 Stykač Q1 je dobře vyzkoušená součást při čemž přídavné podmínky v souladu s Tabulkou D.4
podle EN ISO 13849-2 jsou dodržovány.
Poznámka
 Funkce pro zastavení v nouzi je ochranné opatření, které doplňuje bezpečnostní funkce pro
ochranu nebezpečných zón.
 MTTFd: S1 je standardní zařízení pro nouzové zastavení podle EN ISO 13850. Vyloučení závady
použité pro přímý otevírací kontakt a mechanické součásti, poskytující počet operací indikovaný
v Tabulce D.2 této zprávy není překročeno. Pro stykač Q1, hodnota B 10 odpovídá pod
induktivním zatížení (AC 3) elektrické životnosti 1 300 000 spínacích operací [M]. Jestliže je
předpokládáno 50% závad jako nebezpečných, hodnota B10d je vytvořena zdvojením hodnoty
B10. Jestliže pro zařízení pro start/stop je uvažována aktivace dvakrát denně při 365 pracovních
dnech a zařízení pro nouzové zastavení bude aktivováno třikrát ročně, pak nop bude 733 cyklů za
rok. Q1 má MTTFd 35 470 let. Toto je také MTTFd pro kanál, které je uzavřeno na 100 let
(„vysoká“).
-6
PL c.
 EN ISO 13850: Bezpečnost strojních zařízení – Nouzové zastavení – Principy pro konstrukci
(11.06)
 EN 60204-1: Bezpečnost strojních zařízení – Elektrická zařízení stropů. Část 1: Všeobecné
požadavky (06.06)
29
8
8.2.7
Vypínání podpětím pomocí zařízení nouzového zastavení – Kategorie 1 – PL c
(Příklad 7)
Obrázek 8.14:
Zařízení pro nouzové zastavení
působící při podpětí uvolnění
odpojovacího zařízení napájení
(motor starter)
 Funkce nouzového zastavení, STO –(bezpečné odpojení kroutícího momentu) aktivací zařízení
pro nouzové zastavení působí při podpětí vypnutí motor starteru pomocí příslušného
odpojovacího zařízení.
Funkční popis
 Nebezpečné pohyby nebo stavy jsou přerušeny aktivací zařízení nouzového zastavení S1
vypnutím pomocí podpětí uvolněním motor starteru, pomocí příslušného odpojovacího zařízení,
v tomoto případě ve formě motor starteru Q1.
 Jsou splněny základní a dobře vyzkoušené bezpečnost principy a požadavky Kategorie B. Jsou
implementovány ochranné obvody (např. ochrana kontaktů) tak, jak je popsáno v úvodním
paragrafu Kapitoly 8. Je použit princip uzavřeného proudového obvodu uvolnění podpětím jako
základní bezpečnostní princip.
 ¨Zařízení pro nouzové zastavení S1 je spínač s přímým režimem aktivace podle IEC 60947-5-1,
Příloha K a je proto dobře vazkoušeným komponentem v souladu s Tabulkou D.4 v EN ISO
13849-2.
30
8
 Motor starter Q1 bude považován jako ekvivalentní k jističi v souladu s Tabulkou D.4 EN ISO
13849-2. Q1 může být proto považován jako dobře vyzkoušená součást.
 Napájení energií k celému stroji je vypnuto (kategorie zastavení 0 podle EN 60204-1).
Poznámka
 Funkce pro zastavení v nouzi je ochranné opatření, které doplňuje bezpečnostní funkce pro
ochranu nebezpečných zón.
 MTTFd: S1 je standardní zařízení pro nouzové zastavení podle EN ISO 13850. Vyloučení závady
použité pro přímý otevírací kontakt a mechanické součásti, poskytující počet operací indikovaný
v Tabulce D.2 této zprávy není překročeno. Pro vypnutí podpětím motor starteru Q1, hodnota B 10
dává přibližně elektrickou životnost 10 000 spínacích operací [M]. Jestliže 50% závad jako
nebezpečných, hodnota B10d je vytvořena zdvojením hodnoty B10. Při aktivaci zařízení pro
nouzové zastavení třikrát do roka a nop 3 cykla za rok, Q1 má MTTFd 66 666 let. Toto je také
MTTFd pro kanál, které je uzavřeno na 100 let („vysoká“).
-6
PL c.
 EN ISO 13850: Bezpečnost strojních zařízení – Nouzové zastavení – Principy pro konstrukci
(11.06)
 EN 60204-1: Bezpečnost strojních zařízení – Elektrická zařízení stropů. Část 1: Všeobecné
požadavky (06.06)
31
8
8.2.8
Zastavení dřevozpracujících strojů – Kategorie 1 – PL c (Příklad 8)
Obrázek 8.15:
Kombinace elektromechanického ovládacího zařízení a programovatelného elektronického brzdícího
zařízení pro zastavení dřevozpracujícího stroje
 Aktivace tlačítka Off vede k SS1 (bezpečné zastavení 1), řízené zastavení motoru v maximálním
povoleném čase.
Funkční popis
 Zastavení motoru je iniciováno aktivací Off tlačítka S1. Stykač motoru vypadne je je iniciována
brzdící funkce. Motor je zabrzděn stejnosměrným proudem generovaným v brzdící jednotce K1
tyristory používajícími řízení fázového úhlu, a který je připojen k vinutí motoru vnitřním relé.
 Čas doběhu nesmí překročit maximální hodnotu (např. 10 sekund). Požadovaný čas doběhu a
ostatní požadované parametry (např. brzdící proud, práh pro detekci nulové rychlosti) může být
nastaven ne brzdícím zařízení.
32
8
 Jakmile motor je v klidovém stavu, nebo po uplynutí maximálního brzdícího času, brzdící zařízení
vypne brzdící proud a odpojí motor znovu od napájení. Proces zastavení odpovídá zastavení
Kategorie 1 v souladu s EN 60204-1.
 Bezpečnostní funkce nemůže být udržována se závadami všech komponentů, a je závislá na
 Bezporuchové vlastnosti brzdící funkce je pravidelně monitorována brzdícím zařízením K1.
Pokud by byla detekována závada, např. překročením maximálního dovoleného brzdícího času,
odpojovací kontakt v zařízení zabrání restartování motoru. Opatření pro detekcu závady nejsou
implementována v S1 nebo Q1.
 Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny požadavky
Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů) , jak je popsáno
v úvodním paragrafu Kapitoly 8. Princip odpojení proudu (uzavřený proudový obvod) je použit
jako základní bezpečnostní princip. Pro ochranu proti neočekávanému spuštění po následném
obnovení dodávky proudu, řídící systém provede přidržení na Q1.
 S1 je tlačítko s přímým režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací akce).
S1 proto považován jako dobře vyzkoušený komponent.
 Stykač Q1 je dobře vyzkoušený komponent poskytující dodržování přídavných podmínek
v souladu s Tabulkou D.4 EN ISO 13849-2.
 Brzdící zařízení K1, které je ovládáno mikrořídícím spínačem, splňuje všechny požadavky
Kategorie 2 a PL c. S bezpečností související funkce jsou v pravidelných intervalech zkoušeny.
Časování programových kroků mikro-řídícího ovládače je monitorováno zvláštní časovací
jednotkou.
Aplikace
 Na dřevozpracujících nebo podobných strojích na kterých nebrzděné zastavení by způsobilo
nepřípustně dlouhý doběh pohybu nebezpečného nástroje. Řídící systém musí být navržen tak,
aby byla dodržena Úroveň vlastností nejméně kategorie b (GS-HO-01 „Zkušební principy pro
dřevozpracující stroje).
 Jelikož je použit standardní modul pro elektronické brzdicí zařízení K1, jeho pravděpodobnost
-7
poruchy (5.28 x 10 za hodinu [M]) je přidána k následujícímu výpočtu programem SISTEMA.
Pro zbývající část řídícího systému, pravděpodobnost poruchy je vypočtena dále.
 S1 je tlačítko s přímým režimem aktivace podle IEC 60947-5-1, Příloha K (přímá otevírací akce).
Jestliže tlačítko tohoto typu je použito jako ovládací zařízení, vyloučení chyby je možné pro
závadu otevření elektrických kontaktů, včetně také pro mechanické součásti uvnitř tlačítka.
33
8
 MTTFd:. hodnota B10d je 2 000 000 spínacích operací [S] při nominálním zatížení je předpoklad
pro stykač Q1. Při 300 pracovních dnech, 8 pracovních hodinách a trvání cyklu 2 minuty, nop je
72 000 cyklů za rok a MTTFd je 277 let. To je také MTTFd na kanál, což je uzavřeno na 100 let
(„vysoká hodnota“).
 DCavg a opatření proti společným příčinám poruch není relevantní pro Kategorii 1.
 Elektromechanický řídící systém, sestávající z S1 a Q1, odpovídá Kategorii 1 s vysokým MTTFd
-6
(100 let). To znamená průměrnou pravděpodobnost nebezpečné poruchy 1,14 x 10 za hodinu.
Následující přidání subsystému K1, s prům+ěrnou pravděpodobností nebezpečné poruchy je
-6
1,67 x 10 za hodinu. To odpovídá PL c. PLr je proto překonáno.
 Grundsätze für dir Prüfung und Zertifizierung von Holzbearbeitungsmaschinen GS-HO-01
(12/2007). www.dguv.de, Webcode d14898
Obrázek 8.16:
34
8
8.2.9
Zkoušení světelných bariér – Kategorie 2 – PL c se směrem Kategorie 1 spínací zařízení
výstupního signálu (Příklad 9)
Obrázek 8.17
Zkoušení světelných bariér se standardním PLC
 Funkce bezpečného zastavení, iniciovaná ochranným zařízením: jestliže světelný paprsek je
přerušen, nebezpečný pohyb je zastaven (STO – bezpečné zrušení kroutícího momentu).
Funkční popis
 Přerušení světelného paprsku n kaskádových světelných bariée F1 až Fn vyvolá odpojovací
příkaz jak relé, odpojením stykče- relé K2, a přes PLC výstup (O1.1) zkušebního kanálu.
Nebezpečný pohyb je pak zastaven pomocí stykače Q1.
 Světelné bariéry jsou testovány před každým startem nebezpečného pohybu po stlačení
startovacího tlačítka S2. Pro tento účel, PLC výstup O1.2 odpojí ysílačsvětelné bariéry jako
reakci na příkaz softwaru. Reakce přijímače (K2 znovu vypadne) je monitorován na PLC
35 K2 zabrání úniku přes O1.2, a nebezpečný
vstupech I1.1 a I1.2. Pokud chování je bez závad,
pohyb může být iniciován rozpojením S2. K1 je odpojena přes O1.0, a hlavní stykač Q1
aktivován přes O1.1.
8
 Pokud by došlo k poruše u světelné bariéry, nebo byla během zkoušky porucha detekována u
K2, výstupy O1.1 a O1.2 jsou deaktivovány a aktivační signál se nedostane k hlavnímu jističi Q1.
 V případě globální poruchy PLC (výstup O1.0 s nízkým potenciálem, výstupy O1.1 a O1.2 s
vysokým potenciálem), přerušení světelného paprsku vyústí v odpojené K2, nezávisle na
PLC.Tak, aby se zajistila tato nezávislost, výstupy světelné bariéry jsou odpojeny od PLC
odpojovací diodou R2. Při nepříznivých okolnostech, světelné bariéry mohou být re-aktivovány
přes K2 aktivací startovacího tlačítka a hlavní stykač Q1 byl tak aktivován. V tomto případě
pouze zkušební zařízení by mělo závadu.. Porucha zkušebního zařízení je detekována za těchto
okolností možností pravděpodobnosti funkčně defektního procesu.
 Během zkoušky, aktivace Q1 pomocí K1a O1.1 je blokována.
 Základní a dobře vyzkoušené bezpečnostní principy jsoui dodržovány a požadavky Kategorie B
jsou splněny. Ochranné obvody (např. ochrana kontaktů) je implementována tak, jak je popsáno
v úvodním paragrafu Kapitoly 8,
 Jsou použity speciální světelné bariéry s přiměřenou optickou charakteristikou (úhel otvoru,
venkovní světelná imunita, atd.) podle IEC 61496-2.
 Několik světelných bariér může být uspořádáno kaskádovitě a monitorováno pouze dvěma PLC
vstupy a relém, nebo stykačem.
 Stykače K1 a K2 mají mechanicky svázané kontaktní prvky v souladu s IEC 60947-5-1, Příloha
L. Stykač Q1 má zrcadlový kontakt podle IEC 60947-4-1, Příloha F.
 Standardní komponenty F1 až Fn a K3 jsou použity v souladu s instrukcemi v Sekci 6.3.10.
 Software (SRASW) je programován v souladu s požadavky pro PL b (snížená kvůli rozmanitosti)
a podle instrukcí v Sekci 6.3.
 Startovací tlačítko S2 musí být umístěno vně nebezpečné oblasti a v bodě ze kterého
nebezpečná oblast/ nebezpečný bod je viditelný.
 Číslo, uspořádání a výška světelného paprsku musí vyhovovat EN 999 a IEC 62046.
36
8
 Pokud by uspořádání pro ochranu nebezpečné oblasti dovolovalo vstup za citlivé pole, jsou
vyžadována další opatření, jako blokovaný restart. Pro tento účel může být použito startovací
tlačítko S2. K tomuto konci, PLC K3 srovnává dobu trvání po kterém je tlačítko stlačeno
s maximální a minimální hodnotou. Pouze tehdy, jsou-li splněny podmínky, startovací příkaz je
předpokládán jako platný.
Poznámky
 Příklad je zamýšlen pro použití v aplikacích s méně častým požadavkem na bezpečnostní funkci.
To umožňuje, aby byl splněn požadavek navržené architektury pro Kategorii 2, tj. „zkoušení
mnohem častější, než požadavek na bezpečnostní funkci“ (viz Přílohu G).
 Po vydání příkazu k zastavení, světelné bariéry zůstanou deaktivovány do příštího spuštění. To
umožní například vstup do nebezpečné zóny, aniž by toto bylo obvodem zaznamenáno. Toto
chování může být upraveno odpovídající úpravou obvodu.
 Pro účely tohoto příkladu , tři světelné bariéra F1 až F3 jsou uvažovány pro výpočet
pravděpodobnosti poruchy. Bezpečnostní ochrana druhé nebezpečné zóny vytváří další
bezpečnostní funkci pro kterou výpočet je proveden nezávisle.
 Pro výpočet pravděpodobnosti poruchy, celkový systém je rozdělen do dvou subsystémů,
„světelných bariér“ a „hlavního stykače“ (Q1).
Pro subsystém „světelných bariér“:
 F1, F2, F3 a K2 tvoří funkční cestu obvodové struktury Kategorie 2; PLC K3 (včetně odpojovací
diody R2) tvoří zkušební zařízení. S2 a K1 mají funkce aktivace zkoušení světelné bariéry a
nejsou zahrnuty do výpočtu pravděpodobnosti poruchy.
 MTTFd: MTTFd ve výši 100 let [E] je předpokládána pro každý F1 až F3.Hodnota B10d pro K2 je
20 000 000 cyklů [S]. Pro 240 pracovních dnů, 16 pracovních hodin a dobu cyklu 1801 sekund,
nop je 76 800 cyklů za rok. Zkoušení jek popsáno shora zdvojnásobuje tuto hodnotu, na nop se
rovná 153 600 cyklů za rok s hodnotou 1 302 let pro K2. Tyto hodnoty dávají MTTFd 32 let
(„vysokou“) pro funkční kanál. MTTFd ve výši 50 let [E] je p5edpokl8d8na pro K3. Pro srovnání,
hodnota MTTFd 228 311 let [S] pro odpojovací diodu R2 není relevantní.
37
8
 DCavg: 60% DC pro F1 až F3 je přisouditelné k funkční zkoušce tak, jak je popsáno. DC 99%
ppro K2 je odvozeno z přímého monitorování v K3 s pomocí mechanicky propojených
kontaktních prvků. Průměrná formule pro DCavg dácá výsledek 61% („nízký“).
 Přiměřená opatření proti obecným příčinám poruch (85 bodů): oddělení (15), různost (20),
ochrana proti přepětí (15) podmínky prostředí (25 + 10)
 Kombinace řídících prvků v subsystému „světelné bariéry“ odpovídá Kategorii 2 s vysokým
MTTFd na kanál (32,5 roku) a nízkým DCavg (61 %). To vyústí v průměrnou pravděpodobnost
-6
nebezpečné poruchy v hodnotě 1.85 x 10 za hodinu.
Jsou použity následující předpoklady pro subsystém „hlavního stykače“:
 B10d = 2 000 000 cyklů [S] s nop = 76 800 cyklů za rok. To vede k MTTFd ve výši 260,4 roků, což
je v souladu se standardem uzavřeným na 100 let. Struktura odpovídá Kategorii 1; DCavg a
obecné příčiny poruch nejsou proto relevantní. Výsledná průměrná pravděpodobnost
-6
nebezpečné poruchyje 1,14 x 10 za hodinu.
 Přidání průměrné pravděpodobnosti nebezpečné poruchy dvou subsystémů vychází na hodnotu
-6
3,0 x 10 za hodinu. To odpovídá PL c.
 Jestliže se předpokládá, že požadavek bude dán na bezpečnostní funkci častěji, než je
předpokládáno pro navrženou architekturu Kategorie 2 (poměr je nižší než 100 : 1, tj. častěji než
jednou za každých 5 hodin), toto může být považováno v souladu s Přílohou G až k poměru
25 : 1 s 10 % navýšením. Ve zde uvažovaném případě se třemi světelnými bariérami,
-6
subsystém „světených bariér“ stále dosahuje pravděpodobnosti poruchy 2,04 x 10 za hodinu.
-6
Celková průměrná pravděpodobnost nebezpečné poruchy je 3,18 x 10 za hodinu dosahuje
ovšem pouze PL b. Pro dosažení PL c počet světelných bariér by například musel být
redukován, nebo použity komponenty s vyšším MTTFd.
 Grigulewitsch, W.; Reinert, D.: Lichtschranken mit Testung. In: BGIA-Handbuch Sicherheit und
th
Gesundheitschutz am Arbeitsplatz. Kennzahl 22 suppl. V/94. Ed.: BGIA – Institut für
Arbeitschutz der Deutschen Gesetzlichen Unfallversicherung, Sankt Augustin. Erich Schmitd,
Berlin, 1985 – loose-leaf ed. www.bgia-handbuchdigital.de/330228
 EN 61496-1: Bezpečnost strojních zařízení - Elektrická snímací ochranná zařízení - Část 1:
Všeobecné požadavky a zkoušky (05.04)
38
8
 IEC 61496-2: Bezpečnost strojních zařízení - Elektrická snímací ochranná zařízení - Část 2:
Zvláštní požadavky na aktivní optoelektronická ochranná zařízení (AOPD) (04.06)
 IEC 62046: Bezpečnost strojních zařízení - Použití ochranného zařízení pro snímání přítomnosti
osob (návrh normy IEC 44/501/CD:2005)
 EN 999: Bezpečnost strojních zařízení - Umístění ochranných zařízení s ohledem na rychlosti
přiblížení částí lidského těla (10.98)
Obrázek 8.18
39
8
8.2.10 Bezpečné zastavení PLC řízeného pohonu pomocí nouzového zastavení – Kategorie 3 –
PL c (Příklad 10)
Obrázek 8.19:
Zastavení PLC řízeného pohonu s frekvenčním převodníkem následujícím po zastavení nebo příkazu
k nouzovému zastavení
 Bezpečnostní funkce zastavení / funkce nouzového zastavení: po příkazu kzastavení nebo po
příkazu nouzového zastavení, pohon je zastaven (SS1 – bezpečné zastavení 1).
Funkční popis
 Nebezpečný pohyb je redundantně přerušen jestliže buď stop tlačítko S1 nebo jedno ze zařízení
nouzového zastavení S3 nebo S4 je aktivováno. Pohon je zastaven v nouzi po aktivaci S3/S4, a
vyústí v deaktivaci bezpečnostního ovládacího zařízení nouzového zastavení K4 a odpojení
stykače K1 a K2. Otevření kontaktu K1 na vstupu I4PLC K5 způsobí zrušení spouštěcího signálu
na frekvenčním převodníku (FI) T1 přes PLC výstup O2. Redundantně k řetězci K1-K5-T1
otevření spínacího kontaktu K2 proti stykači K3 (se zpožděním výpadku) iniciuje brzdící časovač.
Po časovém limitu brzdicího časovače aktivační signál pro hlavní stykač Q1 je přerušen.
Nastavení časovače je navoleno tak, že při nepříznivých provozních podmínkách, pohyb stroje je
zastaven před vypadnutím hlavního stykače Q1.
40
8
 Funkční zastavení pohonu po příkazu k zastavení: po příkazu k zastavení je způsobeno
otevřením vypínacích kontaktů stop tlačítka S1. Jako se zastavením v nouzi, stav je prvně
ověřován PLC K5, v tomto případě přes vstup I0, a FI je vypnut resetováním PLC výstupu O2.
Redundantně k tomuto procesu, spínací relé K3 je odpojeno – vypínacím relé vybaveným
kondenzátorem C1 – a následujícím vypadnutím nastaveného brzdicího času, aktivační signál
k hlavnímu stykači Q1 je přerušen.
 V případě poruchy PLC K5, frekvenční měnič T1, síťový stykač Q1, spínací relé K1/K2 nebo
stykače se vypadnutím zpožděním K3, zastavení pohonu je zajištěno, pokud dvě vzájemně
nezávislé odpojovací cesty jsou vždy přítomny. Závada stykače K1 a výpadek K2 je detekován,
nakonec následující resetování aktivovaného nouzového zařízení pro zastavení. Toto je
dosaženo monitorováním mechanicky spojených rozpínacích kontaktů uvnitř bezpečnostního
ovládacího zařízení nouzového zastavení K4. Závada pomocného stykače K3 vypadnutím je
nakonec detekována před obnovením spuštění pohybu stroje skrze zpětnou vazbu mechanicky
spojeného odpojovacího kontaktu PLC vstupu I3. Závada síťového stykače Q1 vypadnutím je
detekována údajem zrcadlového kontaktu na PLC vstup I3.

Základní a dobře vyzkoušené bezpečnostní principy jsou dodržovány požadavky Kategorie B
jsou splněny. Ochranné obvody (např. ochrana kontaktů) tak, jak jsou popsány v úvodním
paragrafu Kapitoly 8 jsou implementovány.
 Stykače K1, K2 a K3 mají mechanicky spojené kontaktní elementy v souladu s IEC 60947-5-1,
Příloha L.
 Kontakty tlačítek S1, S3 a S4 jsou mechanicky spojeny v souladu s IEC 60947-5-1, Příloha K.
 Stykač Q1 má zrcadlový kontakt podle IEC 60947-4-1, Příloha F.
 Standardní komponenty K5 a T1 jsou použity v souladu s instrukcemi v Sekci 6.3.10.
 Software (SRASW) je programován v souladu s požadavky na PL b (snížen vlivem různosti) a
instrukcí v Sekci 6.3.
 Zpožděná iniciace zastavení druhou odpojovací cestou samotnou v případě závady nesmí
obsahovat nepřípustně vysoké zbytkové riziko.
 Bezpečnostní řídící část ovládacího zařízení bezpečnostního nouzového zastavení K4 uspokojí
všechny požadavky Kategorie 3 a PL d.
41
8
Je vypočtena pouze pravděpodobnost poruchy funkce nouzového zastavení. Pro analýzu
bezpečnostní funkce zastavení, S3/S4a K4 musí být nahrazeny S1, a K1 a K2 vynechány.
 Vyloučení závady je předpokládáno pro zařízení nouzového zastavení S3/S4, jelikož maximální
počet 6 050 spínacích cyklů během doby nasazení spínacího zařízení tak, jak je uvedeno
v Tabulce D.2 není překročeno. Bezpečnostní ovládací zařízení K4 je zkoušená bezpečnostní
-7
komponenta. Jeho pravděpodobnost poruchy je 3,0 x 10 za hodinu [M], a je přidána na konci
výpočtu. Hodnota použitá pro maximální počet 6 050 spínacích cyklů je během doby nasazení
spínacího zařízení.
Dále je použito pro pravděpodobnost poruchy dvoukanálové struktury následující:
 MTTFd: jsou uvažovány následující hodnoty MTTFd : 25 let pro K5 a 50 let pro T1[E].
Kondenzátor C1 je zahrnut v kalkulaci s MTTFd 45 662 let [D]. Pro hodnotu B10d 400 000 cyklů
[S] a spínací frekvenci denního spínání 240 pracovních dnů, výsledkem je MTTFd 16 667 let pro
K1 a K2. Pro hodnotu B10d 400 000 cyklů [S] a při 240 pracovních dnech, 16 pracovních
hodinách a době cyklu 3 minuty, výsledek pro nop je 76 800 cyklů za rok a pro MTTFd 52 let
v každém případě pro K3 a Q1. Tyto hodnoty produkují symetrizovanou MTTFd kanálu v hodnotě
21 let („ střední“).
 DCavg: detekce poruchy procesem v případě aktivace decelerační rampy vede k DC 30% pro K5.
Pro T1, DC je 60%, stejně jako výsledek detekce poruchy procesem. K1 a K2 poskytuje DC 99%
mající integrální detekci poruch v K4, a K3 DC 99% detekcí poruch K5. Pro C1, DC je 60% má
zkoušení časovacího elementu s FI odpojeným. Pro Q1,DC je tak 99% díky přímému
monitorování v K5. Průměrovací vzorec pro DCavg dává výsledek 63% (nízký).
 Přiměřené opatření proti společné obecné poruše (75 bodů(: separace (15), různost (20), FMEA
(5) a podmínky prostředí (25+10)
 Dvoukanálová kombinace ovládacích prvků vyhovuje Kategorii 3 se střední MTTFd na kanál (21
let) a nízkým DCavg (63%). To vyústí v průměrnou pravděpodobnost nebezpečné poruchy 1,04 x
-6
10 za hodinu. To odpovídá PL c. Celková pravděpodobnost poruchy je určena přidáním
-6
pravděpodobnosti nebezpečné poruchy K4 a je rovná 1,34 x 10 za hodinu. To pak rovněž
odpovídá PL c.
42
8
 Opotřebené elementy K3 a Q1 by měly být vyměněny v intervalu přibližně pěti let (T10d).
 Aplfeld, R.; Zilligen, H.: Sichere Antriebssteuerungen mit Frequenzumrichtern. BIA-Report
5/2003. Ed.: Hauptverband der gewerblichen Berufsgenossenschaften (HVGB), Sankt Augustin
2003.
www.dguv.de/bgia, Webcode d6428
 IEC 61800-5-2: Systémy elektrických výkonových pohonů s nastavitelnou rychlostí - Část 5-2:
Bezpečnostní požadavky – Funkční (07.07)
Obrázek 8.20
43
8
8.2.11 Zkoušený pneumatický ventil (subsystém) – Kategorie 2 – PL d (pro PL c bezpečnostní
funkce) (Příklad 11)
Obrázek 8.21:
Pneumatický ventil s elektronickým testováním pro řízení nebezpečných pohybů
44
8
 Bezpečnostní funkce zastavení : zastavení nebezpečného pohybu a prevence neočekávaného
spuštění z klidové polohy
 Je zde ukázána pouze pneumatická část řídícího systému, ve formě subsystému. Další
komponenty řízení vztahující se k bezpečnosti (např. ochranná zařízení a elektrické logické
prvky) musí být přidány ve formě subsystémů pro kompletaci bezpečnostní funkce.
Funkční popis
 Nebezpečný pohyb je řízen směrovým řídícím ventilem 1V1.
 Porucha směrového řídícího ventilu 1V1 mezi funkčními zkouškami může vyústit ve ztrátu
bezpečnostní funkce. Závada je závislá na spolehlivosti směrového řídícího ventilu.
 Zkoušení bezpečnostní funkce je implementováno přes PLC K1 pomocí systému sensoru
přemístění 1S1. Testování se provádí ve vhodných intervalech a jako odezva na požadavek
bezpečnostní funkce. Detekce poruchy 1V1 vede k vypnutí odpouštěcího ventilu 0V1.
 Přerušení nebezpečného pohybu odpouštěcím ventilem 0V1 všeobecně vyústí v dlouhý přeběh.
Vzdálenost od nebezpečné oblasti musí být navolena při zvážení dlouhého přeběhu.
 Testovací funkce nesmí být narušena poruchou směrovacího řídícího ventilu. Porucha testovací
funkce nesmí vést k závadě směrového řídícího ventilu.
 Pokud zachycený stlašený vzduch představuje další nebezpečí, jsou vyžadována přídavná
opatření.
 Jsou zachovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny požadavky
Kategorie B.
 1V1 je směrový řídící ventil s uzavřenou střední polohou, dostatečným překrytím a centrováním
pružinou.
 Bezpečnostní spínací funkce je dosažena odejmutím řídícího signálu.
 Zkoušení může mít například formu kontroly charakteristiky času/vzdálenosti (snímací systém
přesazení 1S1) nebezpečného pohybu ve spojení se spínací posicí směrového řídícího ventilu,
s vyhodnocením v PLC (K1).
45
8
 Tak, aby bylo zamezeno systematické závadě, odpojovací funkce s vysokou úrovní (působící
v tomto případě na odpouštěcí ventil 0V1) je kontrolován ve vhodných intervalech, např. denně.
 Je implementováno pro použití v aplikacích s občasným zásahem operátora v nebezpečných
oblastech. To umožňuje uspokojit požadavek navržené architektury pro Kategorii 2, tj. „testování
mnohem častější než požadavek na bezpečnostní funkci“ (viz Přílohu G).
 Standardní komponenta K1 je použita v souladu s instrukcemi v Sekci 6.3.10.
 Software (SRASW) je programován v souladu s požadavky na PL b (snížená kvůli různosti) a
instrukcemi v Sekci 6.3.
 MTTFd funkčního kanálu: hodnota B10d 20 000 000 spínacích operací [S] je předpokládána pro
směrový řídící ventil 1V1. Pro 240 pracovních dní, 16 pracovních hodin denně a době cyklu 5
sekund, nop je 2 764 800 spínacích operaci ročně a MTTFd je 72,3 let. Toto je také hodnotou
MTTFd pro funkční kanál.

MTTFd zkušebního kanálu: hodnota MTTFd 150 let [E] je předpokládána snímací systém
přemístění 1S1. Hodnota MTTFd 50 let [E] je předpokládána pro PLC K1. Hodnota B10d
20 000 000 cyklů [S]je použita pro odpouštěcí ventil 0V1. Při aktivaci jednou denně a 240
pracovních dnech, hodnota MTTFd pro 0V1 je 833 333 let. MTTFd zkušebního kanálu ja tak 37,5
roku.
 DCavg : DC 60% pro 1V1 je na základě porovnání charakteristiky vzdálenosti/času nebezpečného
pohybu spolu se spínacím statusem směrového ovládacího ventilu. Toto je také DCavg („nízké“).
 Přiměřená opatření proti společné příčině poruchy (85 bodů): separace (15), různost (20),
ochrana proti přepětí atd. (15) a podmínky prostředí (25+10)
 Kombinace pneumatických řídících ovládacích prvků odpovídá Kategorii 2 s vysokým MTTFd
(72,3 let) a nízkým DCavg (60 %). To vyústí v průměrnou pravděpodobnost nebezpečné poruchy
-7
7,62 x 10 za hodinu. To odpovídá PL d. Po přidání dalších bezpečnostních ovládacích částí
(subsystémů) pro kompletaci bezpečnostní funkce, PL c je všeobecně dosažena pro kompletní
bezpečnostní funkci.
 Opotřebený prvek 1V1 by měl být vyměněn přibližně každých sedm let (T10d).
46
8
Obrázek 8.22
47
8
8.2.12 Zkoušený hydraulický ventil (subsystém) – Kategorie 2 – PL d (pro PL c bezpečnostní
funkce) (Příklad 12)
Obrázek 8.23:
Hydraulický s elektronickým testováním pro řízení nebezpečných pohybů
 Bezpečnostní funkce zastavení : zastavení nebezpečného pohybu a prevence neočekávaného
 Je zde ukázána pouze hydraulická část řídícího systému, ve formě subsystému. Další
komponenty řízení vztahující se k bezpečnosti (např. ochranná zařízení a elektrické logické
prvky) musí být přidány ve formě subsystémů pro kompletaci bezpečnostní funkce.
48
8
Funkční popis
 Nebezpečný pohyb je řízen směrovým řídícím ventilem 1V3.
 Porucha směrového řídícího ventilu 1V3 mezi funkčními zkouškami může vyústit ve ztrátu
bezpečnostní funkce. Závada je závislá na spolehlivosti směrového řídícího ventilu.
 Zkoušení bezpečnostní funkce je implementováno přes PLC K1 pomocí systému sensoru
přemístění 1S3. Testování se provádí ve vhodných intervalech a jako odezva na požadavek
bezpečnostní funkce. Detekce poruchy 1V3 vede k vypnutí hydraulického čerpadla 1M/1P
stykačem Q1.
 Přerušení nebezpečného pohybu hydraulickým čerpadlem všeobecně vyústí v dlouhý přeběh.
Vzdálenost od nebezpečné oblasti musí být navolena při zvážení dlouhého přeběhu.
 Testovací funkce nesmí být narušena poruchou směrovacího řídícího ventilu. Porucha testovací
funkce nesmí vést k závadě směrového řídícího ventilu.
Kategorie B.
 1V3 je směrový řídící ventil s uzavřenou střední polohou, dostatečným překrytím a centrováním
pružinou.
 Bezpečnostní spínací funkce je dosažena odejmutím řídícího signálu.
 Zkoušení může mít například formu kontroly charakteristiky času/vzdálenosti (snímací systém
přesazení 1S3) nebezpečného pohybu ve spojení se spínací posicí směrového řídícího ventilu,
s vyhodnocením v PLC (K1).
 Tak, aby bylo zamezeno systematické závadě, odpojovací funkce s vysokou úrovní (působící
v tomto případě na hydraulické čerpadlo ) je kontrolován ve vhodných intervalech, např. denně.
 Pro použití v aplikacích s občasným zásahem operátora je implementováno v nebezpečných
oblastech. To umožňuje uspokojit požadavek navržené architektury pro Kategorii 2, tj. „testování
mnohem častější než požadavek na bezpečnostní funkci“ (viz Přílohu G).
 Standardní komponenta K1 je použita v souladu s instrukcemi v Sekci 6.3.10.
49
8
 Software (SRASW) je programován v souladu s požadavky na PL b (snížená kvůli různosti) a
instrukcemi v Sekci 6.3.
 MTTFd funkčního kanálu: hodnota MTTFd 150 let [E] je předpokládána pro směrový řídící ventil
1V3 [S]. To je také hodnota MTTFd pro funkční kanál, která jer uzavřena na 100 let.
 MTTFd zkušebního kanálu: hodnota MTTFd 150 let [E] je předpokládána snímací systém
přemístění 1S3. Hodnota MTTFd 50 let [E] je předpokládána pro PLC K1. Hodnota B10d
2 000 000 cyklů [S] je použita pro stykač Q1. Při aktivaci jednou denně a 240 pracovních dnech,
hodnota MTTFd pro Q1je 83 333 let. MTTFd funkčního kanálu musí být proto redukována na 75,0
let v souladu se základním modelem analýzy.
 DCavg : DC 60% pro 1V3 je na základě porovnání charakteristiky vzdálenosti/času nebezpečného
pohybu spolu se spínacím statusem směrového ovládacího ventilu. Toto je také DCavg („nízké“).
 Kombinace řídících ovládacích prvků odpovídá Kategorii 2 s vysokým MTTFd (75,0 let) a nízkým
-7
DCavg (60 %). To vyústí v průměrnou pravděpodobnost nebezpečné poruchy 7,31 x 10 za
hodinu. To odpovídá PL d. Po přidání dalších bezpečnostních ovládacích částí (subsystémů) pro
kompletaci bezpečnostní funkce, PL c je všeobecně dosažena pro kompletní bezpečnostní
funkci.
50
8
Obrázek 8.24
51
8
8.2.13 Snímací systém bez zatížení pro zvedací zařízení – Kategorie 2 – PL d (Příklad 13)
Obrázek 8.25
Kombinovaný elektromechanický a programovatelný elektronický řídící systém pro prevenci stavu
chodu naprázdno pro zvedací zařízení
 Detekce stavu bez zatížení/volného lana: pokud je detekováno volné lano nebo závěs na
zvedacím zařízení, pohyb směrem dolů je zastaven (STO – bezpečné vypnutí kroutícího
momentu).
Funkční popis
 Zvedací zařízení poháněné elektromotory jsou široce používány ve studiových a jevištních
aplikacích. Během pohybu dolů, lano se uvolní vlivem překážek v pohybu nákladu. V takových
případech, existuje riziko například v náhlem uvolněném pohybu, sklouznutí nákladu a následně
vzniku nebezpečí pro osoby v nebezpečném prostoru.
 Pohyby vzhůru a dolů zvedacího zařízení mohou být například řízeny pomocí infračerveného
dálkového ovládání. Tato funkce zde není hodnocena; musí ale být vždy implementována se
zvážením bezpečnosti.
52
8
 Tak, aby břemeno na zvedacím zařízení bylo zajištěno proti pádu v případě zlomení jednoho
podpíracího prvku, je náklad nesen dvěma podpíracími prvky. Spínač B1/B2 kontaktním prvkem
rozepnutím/sepnutím je přiřazen ke každém podpěrnému prvku.
 Mikroregulátor K1 vyhodnotí stav sepnutí spínačů volného lana B1 a B2. Přes logické brány
K2/K3 a optospínací transistorové zesilovače K16/K17, K1 také řídí spínací relé K19 a K20 pro
pohyb zvedacího zařízení nahoru a dolů.
 Spínací stav kontaktů spínačů volného lana B1 a B2 jsou vyhodnoceny mikroregulátorem K1 a
testovány na věrohodnost. Pro testování vstupů použitých na mikroregulátoru, je použita
zesílená dynamika na signálu ze spínače volného kabelu B1. To zahrnuje mikroregulátorem
zesílení a dočasnou změnu signálu přes logické brány K5 a K6, tak, aby bylo zjištěno, zda
vstupy jsou stále schopné převést změnu signálu. Zesílená dynamika signálů jednoho spínače
volného lana je dostatečná.
 Samotestovací procesy integrovaných jednotek jako ALU, RAM a ROM jsou provedeny
v mikroregulátoru K1. Monitor napětí K7 detekije závady v napájecím napětí. Závady
v mikroregulátoru jsou detekovány časovým monitoringem programových kroků v časovém
spínači K8. KOmponenety K19 až K21 pro řízení pohybu nahoru a dolů jsou monitorovány
pomocí opakovačů – odpojených optospínači K13 až K15 – v mikroregulátoru. Pokud by byla
detekovány porucha, zvedací zařízení je vypnuto na vysoké úrovni komponentem detekujícícm
závadu přes stykačové relé K21, aktivované logickou bránou K4 a odpojenou optospínačem
K18. Jestliže časový spínač K8 není znovu spuštěn včas mikroregulátorem K1, pohyb zvedacího
zařízení je zastaven od K8 přes všechny logické brány K2 až K4.
Kategorie B. Ochranné obvody tak, jak jsou popsané v úvodních odstavcích Kapitoly 8 jsou
implementovány.
 Volné lano je detekováno redundantně pro oba podpírací prvky přes dva spínače volného lana
B1 a B2. Tyto spínače obsahují posiční spínače s přímou otevírací akcí v souladu s IEC 609475-1, Příloha K.
 Stabilní uspořádání je zajištěno pro činný mechanismus spínačů volného kabelu.
 K19 až K21 mají mechanicky spojené kontaktní prvky k IEC 60947-5-1, Příloha L.
 Software (SRASW) je programován v souladu s požadavky na PL d a instrukcemi v Sekci 6.3.
53
8
Poznámky
 Navrhovaná verze DIN 15560-46, Sekce 5.1.2 vyžaduje nejméně dva podpěrné prvky tak, aby
zabránily pádu břemena a zvedacího zařízení.
 Visuální kontrola a údržba podpěrných prvků musí být provedena ve vhodných intervalech.
 Části struktury obvodu, tak jak jsou uvedeny nejsou explicitně navrženy pro zamezení možných
nebezpečí vyplývajících z nezamýšlených pohybů zvedacího zařízení (neočekávané spuštění).
 Použitá struktura obvodu dosahuje PL d pro bezpečnostní funkce zde uvažované, jak je
demonstrováno výpočtem pravděpodobnosti poruchy. Použití grafu rizik pro určení
požadovaných Úrovní vlastností PL, s parametry S2, F1 a P1 vyústí v PLr c v souladu s DIN
15560-46, Sekce B.1.1.3.3, za předpokladu, že zvedací zařízení je provozováno pod dozorem a
pouze zaškoleným personálem. Pokud by toto nebyl tento případ, PLr d je vyžadováno.
 Komponenty jsou sumarizovány v blocích v Obrázku 8.25 v zájmu srozumitelnosti. K9 až k15
každý obsahuje jeden optron a dva odpory. K16 až K18 dále každý obsahuje tranzistor pro
řízení toku stykačů.
 Pro aplikaci zjednodušeného postupu pro odhad dosaženého PL, komponenty v obvodu jsou
přiřazeny k blokům navržené architektury pro Kategorii 2 následovně:
I:
B1
L:
K10, K6, K1, K2, K16, K3, K17, K7
O:
K19, K20
TE:
B2, K11, K12, K, K5, K8, K13, K14, K15
OTE: K21
 MTTFd: Hodnota MTTFd vyžadované pro výpočet jsou převzaty z EN ISO 13849-1 [S], a z SN
29500-2 a SN 29500-14 [D]. Následující hodnoty jsou dosazeny za B1 a B2: B10d = 100 000
cyklů [E], nop = 10 cyklů za rok. Pro spínací relé K19 až K21: B10d = 400 000 cyklů [S] nop = 10
cyklů za den při 365 pracovních dnech, MTTFd v hodnotě 1 141 let [D] je dosazeno pro
mikroregulátor K1. Následující hodnoty MTTFd jsou dosazeny pro elektronické komponenty [D]:
4 566 let pro časový spínač K8, 5 707 let pro optrony K9 až K18, 22 831 let pro logické brány K2
až K6, 38 051 let pro monitor napětí K7, 45 662 let pro transistory a 228 310 lat pro odpory.
Součtem hodnot poruch pro všechny komponenty funkčního kanálu (bloky I,L a O) dávají
hodnotu MTTFd 288 let. Tato hodnota je uzavřena na 100 let („Vysoká“) v souladu
s požadavkem normy.
54
8
 MTTFd: zkušebního kanálu je dána součtem poruchovosti všech komponentů bloků TE a OTE.
To se rovná 383 let a je tak větší než nebo rovná polovině MTTFd funkčního kanálu.
 DCavg: DC je 60 % pro B1. K10 a K6 mající křížovou kontrolu B1 a B2 v K1 s nízkým
požadavkem na bezpečnostní funkci. DC je 60% pro K1 mající dočasné monitorování
programových kroků a samokontroly jednoduché účinnosti. DC je 99% pro K2, K3, K16, K17,
K19 a K20 mající přímé monitorování pomocí mechanicky spřažených kontaktních elementů. Pro
K7, DC je 0%. Průměrovací vzorec dává výsledek 85% („nízký“) pro DCavg.
 Přiměřené opatření proti obecné příčině poruchy (65 bodů): oddělení (15), ochrana proti přepětí
(15) a podmínek prostředí (25 + 10)
 Kombinace ovládacích prvků odpovídá Kategorii 2 s vysokým MTTFd na kanál (100 let) a nízké
-7
DCavg (85%). To dává průměrnou pravděpodobnost nebezpečné poruchy 2,72 x 10 za hodinu.
To odpovídá PL d.
 DIN 15560-46: Scheinwerfer für Film, Bühne und Photografie – Teil 46: Bewegliche
Leuchtenhänger; Sicherheistechnische Anforderungen und Prüfung (Normentwurf) (06.07).
Beuth, Berlin 2007
 Sicherheit bei Produktionen und Veranstaltungen – Leitfaden BGI 810.
Ed.: Verwaltungs-Berufsgenossenschaft, Hamburg 2006
www.vbg.de/imperia/md/content/produkte/broschuren/bgi_810.pdf
55
8
8.2.14 Řízení pneumatického ventilu (subsystém) – Kategorie 3 – PL d (Příklad 14)
Obrázek 8.26:
Zkoušené pneumatické ventily pro redundantní řízení nebezpečných pohybů
 Funkce zastavení vztahující se k bezpečnosti: zastavení nebezpečných pohybů a prevence
neočekávaného spuštění z klidové polohy
 Je zde znázorněna pouze pneumatická část ovládádní, ve formě subsystému. Další ovládací
komponenty vztahující se bezpečnosti (např. ochranná zařízení a elektrické logické prvky)
musí být přidány ve formě subsystému pro kompletaci bezpečnostní funkce.
56
8
Funkční popis
 Nebezpečné pohyby jsou řízeny/zastaveny redundantně směrovými řídícími ventily 1V1 a
brzdou 2Z1 na pístnici. Brzda 2Z1 je aktivována řídícím ventilem 2V1.
 Porucha jednoho z těchto ventlů nebo brzdy samotné nezpůsobí ztrátu bezpečnostní funkce.
 Směrový řídící ventil a brzda jsou aktivovány cyklicky v procesu.
 Funkce ovládacího ventilu 2V1 je monitorována pomocí tlakovým spínačem 2S1. Skutečné
závady na nemonitorovaném ventilu 1V1 a na nemonitorované brzdě 2Z1 jsou detekovány
v pracovním procesu. Dále přeběh (vzdálenost/časová charakteristika) během brzdícího
procesu (dynamická) a/nebo spuštění stroje (statické) je monitorováno s pomocí snímače
posunutí 1S1 na pístnici. Nashromáždění nedetekovaných závad může vést ke ztrátě
bezpečnostní funkce.
 Testování bezpečnostní funkce je implementováno ve vhodných intervalech, například
nejméně každých osm pracovních hodin.
 Testovací funkce nesmí být narušena poruchou brzdy. Porucha testovací funkce nesmí vést
k poruše brzdy.
 Pokud by zachycený stlačený vzduch představoval další nebezpečí, jsou vyžadována
přídavná opatření.
 Jsou zachovány základní a dobře vyzkoušené bezpečnostní principy a jsou splněny
požadavky Kategorie B.
 Směrový řídící ventil 1V1 s uzavřenou střední polohou, dostatečným překrytím a centrováním
pružinou.
 Bezpečnostní spínací funkce je dosažena z jakékoliv posice odejmutím řídícího signálu.
 Elektrická logika je například použita pro zpracování signálu pro monitor tlaku 2S1 a systém
snímače posunutí 1S1.
57
8
 MTTFd : Hodnota B10d je 40 000 000 cyklů [E] je předpokládána pro směrové řídící ventily 1V1 a
2V1. Při 240 pracovních dnech, 16 pracovních hodinách a době cyklu 10 sekund, nop je
1 382 400 cyklů za rok. MTTFd pro 1V1 a 2V1 je tak 289 let. Hodnota B10d je 5 000 000 spínacích
operací [M] je dosazena pro mechanickou brzdu na pístnici 2Z1. To dává výsledek MTTFd 36 let
pro mechanickou brzdu. Celkově, výsledná symetrizovaná hodnota MTTFd na kanál je 71 let
(„vysoká“).
 DCavg : monitorování tlaku řídícího signálu pro brzdu vyústí v DC 99% pro ventil 2V1. DC pro
ventil 1V1 je 60% díky detekci závady během procesu. DC 75% pro 2Z1 je dáno testováním
mechanické brzdy při stratu. Průměrem je teda DCavg 75% („nízká“).
 Kombinace pneumatických řídících prvků odpovídá Kategorii 3 s vysokým MTTFd na kanál (71
let) a nízkým DCavg (75 %). To vyústí v průměrnou pravděpodobnost nebezpečné poruchy 1,21 x
-7
10 za hodinu. To odpovídá PL d. Po přidání dalších bezpečnostních ovládacích částí
(subsystémů) pro kompletaci bezpečnostní funkce, PL může za určitých okolností být nižší.
 Opotřebená brzda 2Z1 by měla být vyměněna v intervalech přibližně tři roky (T10d).
58
8
Obrázek 8.27:
59
8
8.2.15 Ochranná zařízení a hydraulika řízená PLC – Kategorie 3 – PL d (Příklad 15)
Obrázek 8.28
Monitorování detekční zóny laserovým skenerem s elektro-hydraulickou deaktivací nebezpečného
pohybu.
 Funkce zastavení vztahující se k bezpečnosti, iniciovaná ochranným zařízením: proniknutí do
laserem scanované detekční zóny vyústí v zastavení nebezpečného pohybu.
Popis funkce
 Laserový scanner F1 monitoruje, uvnitř své detekční zóny, oblast, ve které pohyb válce 1A
může představovat nebezpečí pro operátora. Výstupní signál laserového scanneru je přečten
ve dvou kanálech bezpečnostním PLC K1. Po jakémkoliv narušení detekční zóny, další
pohyb musí být umožněn aktivací startovacího tlačítka vyhodnoceného v K1 (zámek restartu).
S pomocí hydraulické ovládací části, K1 ovládá pohyb 1A.
60
8
 Hydraulická ovládací část sestává z dvou-kanálového uspořádání. První kanál obsahuje
směrový ovládací ventil 1V3, který působí na pilotně ovládaný pzpětný ventil 1V4. V uzavřené
posici, 1V4 blokuje pohyby 1A. Druhý kanál sestává ze směrového ovládacího ventilu 1V5.
Který ve své uzavřené střední posici také zamezuje pohybu 1A.
 1V5 je aktivován cyklicky; 1V3 a 1V4 uzavírá pouze, když detekční zóna je porušena.
 Přímé posiční monitorování 1S3 je implementováno na 1V4 a vyhodnoceno v K1 jako
opatření pro detekci závady. Závady v 1V5 mohou být detekovány přes proces příslušející ke
své funkci. Nahromadění nedetekovaných závad v hydraulické ovládací části může vést ke
ztrátě bezpečnostní funkce.
požadavky Kategorie B. Jsou implementovány ochranné obvody (např. ochrana kontaktů),
tak, jak je popsáno v úvodních paragrafech Kapitoly 8.
 Závady ve vodičích k F1 a K1 nesmí mít nebezpečné efekty. Pro tento účel, závady jsou
detekovány při jejich vzniku a bezpečný stav je iniciován. Alternativně, vyloučení poruchy
podle EN ISO 13849,Tabulka D.4 musí být možná pro zkraty vodičů.
 Laserový scanner F1 a bezpečnostní PLC K1 jsou vyzkoušené bezpečnostní komponenty pro
použití v PL d, které splňují Kategorii 3 a příslušné výrobkové normy.
 Směrový řídící ventil 1V5 s uzavřenou střední polohou, dostatečným překrytím a centrováním
pružinou. 1V4 je vybaven elektrickým monitorováním posice, jelikož 1V4 není cyklicky spínán.
 Software (SRASW) je programován v souladu s požadavky pro PL d a instrukcemi v Sekci
6.3.
 Předpokládá se, že každý výstup bezpečnostního PLC je řízen oběma zpracovacími kanály
PLC. Pokud by to tak nebylo, výstupy,které řídí 1V3 a 1V4 jsou řízeny jedním kanálem PLC, a
výstup řídící 1V5 druhým.
 Jelikož laserový scanner F1 a bezpečnostní PLC K1 jsou dostupné pro nákup jako
bezpečnostní komponenty, jejich pravděpodobnosti poruchy jsou přidány na konec výpočtu
-7
(F1:3,0 x 10 za hodinu [E]. Pro hydraulickou část ovládacího systému, pravděpodobnost
závady je vypočtena dále.
61
8
 MTTFd : Hodnoty 150 let [S] jsou předpokládány pro ventily 1V3 a 1V5. Celkově to vychází
v symetrizované MTTFd hodnotě na kanál 88 let („vysoká“).
 DCavg : DC v hodnotě 99% pro 1V4 je docílena přímým monitorováním v K1 s pomocí monitoru
polohy 1S3. Díky blízkému propojení 1V3 a 1V4, to vychází pro 1V3 se současným nepřímým
monitorováním s DC 99%. DC 60% pro 1V5 je založen na detekci poruchy v procesu s cyklickou
aktivací. Průměrování tak vychází na DCavg 86% („nízká“).
 Přiměřená opatření proti společné příčině poruchy (90 bodů): separace (15), různost (20), FMEA
(5), ochrana proti přepětí atd. (15) a podmínky prostředí (25+10)
 Kombinace pneumatických ovládacích prvků v hydraulické části odpovídá Kategorii 3 s vysokým
MTTFd na kanál (88 let) a nízkým DCavg (86 %). To vyústí v průměrnou pravděpodobnost
-8
nebezpečné poruchy 6,2 x 10 za hodinu pro hydraulický systém.
 Dohromady, průměrná pravděpodobnost nebezpečné poruchy je (3,0 + 1,5 + 0,62) x 10 = 5,12
-7
x 10 za hodinu. To odpovídá PL d.
-7
 Bőmer, T.: Hinweise zum praktischen Einsatz von Laserscannern. In: BGIA-Handbuch Sicherheit
th
und Gesundheitsschutz am Arbeitsplatz. Kennzahl 310 243 . 36 suppl. XII/99. Ed.: BGIA –
Institut für Arbeitschutz der Deutschen Gesetzlichen Unfallversicherung, Sankt Augustin. Erich
Sch,idt, Berli 1985 – loose- Leaf ed.
www.bgia-handbuchdigital.de/310243
62
8
Obrázek 8.29:
63
8
8.2.16 Ovládací systém zemních strojů se sběrnicovým systémem - Kategorie 3 – PL d
(Příklad 16)
Obrázek 8.30:
Ovládání nebezpečných pohybů zemního stroje
64
8
 Prevence neočekávaného spuštění: zamezení neočekávaných pohybů nástrojů na zemních
strojích
Popis funkce
 Víceúčelový ovládač (MPC) S1 převádí operátorův ruční pohyb do elektronických pokynů.
Posílá tyto pokyny cyklicky přes linku seriového přenosu dat (sběrnicový systém) k logickému
ovládání, které generuje ovládací signál pro hydrauliku, která pak provede pracovní pohyby
zemního stroje podle pokynů uživatele.
 Pokyn 1 zaslaný MPC S1 dosáhne mikroregulátor K3 přes vysílač sběrnice K1. Z pokynu 1 a
v souladu s algoritmem uloženým v software, K3 generuje analogový signál požadovaný pro
aktivaci proporcionálního ventilu 1V4. Odpory R1/R2 a měřicí zesilovače K6/K8 mají funkci
ovládání výstupních proudů pro proporcionální ventil. Mikroregulátor K4 obdrží redundantní
pokyn 2 z S1 přes vysílač sběrnice K2. K4 kontroluje správné přemístění proporcionálního
ventilu 1V4, jak je signalizován měřicím systémem polohy 1S4 integrovaným do 1V4, pro
pravděpodobnost proti požadované poloze určené z pokynu 2. Pokud by byl detekována
závada, K4 vypne hydraulický tlak na vašší úrovni pomocí směrového ventilu 1V3 a zavede
systém do bezpečného stavu.
 MPC je bezpečnostní komponent vhodný pro použití v PL d a splňuje požadavky Kategorie 3.
 Proporcionální ventil 1V4 a směrový ovládací ventil 1V3 má uzavřenou střední polohu,
vracení/centrování pružinou a dostatečné překrytí..
 Software (SRASW) je programován v souladu s požadavky pro PL d a instrukcemi v Sekci
6.3.
65
8
 Přenos dat z MPC k logickému ovládání je bezpečný v souladu s GS-ET 26 a IEC 61784-3.
Použitý datový komunikační protokol obsahuje redundantní pokyny a opatření pro detekci
následujících přenosových chyb: opakování, ztráta, vložení, nesprávné pořadí, porušení a
-8
zpoždění (viz také Sekci 6.2.17). Zbytková chybovost Λ je menší než 1 x 10 za hodinu a tak
přispívá, jak je specifikováno v principech pro posouzení, méně naž 1% směrem k maximální
povolené pravděpodobnosti poruchy bezpečnostní funkce. Toto nízké procento může být
zanedbáno ve výpočtu celkové pravděpodobnosti poruchy.
Poznámky
 Funkce nouzového pohybu zemního stroje, která zde není ukázána, může být vyžadována;
pokud tomu tak je, musí být implementována na vyšší úrovni.
 Víceúčelový ovládač S1 je standardní bezpečnostní komponent. Spojená pravděpodobnost
-7
poruchy je je přidána na konci výpočtu (PFHMPC = 3,0 x 10 za hodinu [E]. Pro zbývající část
ovládacího systému, pravděpodobnost poruchy je vypočtena dále.
 MTTFd logického ovládání: MTTFd je 11 415 let [D] je předpokládáno pro vysílače sběrnice K1
a K2. V souladu s SN 29500-2, MTTFd ve výši 878 let [D] je uvažováno pro mikroregulátory
K3 a K4, včetně periferií. Následující hodnoty jsou dosazeno pro zbývající komponenty [D]:
45 662 let pro spínací transistory K5 a K7, 228 310 let pro odpory R1 a R2, a 1 141 let pro
měřicí zesilovače K6 a K8. Hodnoty MTTFd kanálů jsou tak 329 let a 815 let. Následujíc
uzavírá na 100 let, výsledná symetrizovaná hodnota MTTFd je 100 let.
 DCavg logického ovládání: DC je 99% pro K1 a K2 díky křížové kontrole pokynů
v mikroregulátorech K3 a K4; DC je 60% pro K3 a K4 mající křížovou kontrolu a samo
kontrolu jednoduché efektivnosti dosaženou softwarem; a DC je 90% pro zbývající
komponenty mající detekci chyb v K4 pomocí posičního měřicího systému 1S4. Průměrovací
formule pro DCavg dává výsledek 74% („nízký“).
 Přiměřená opatření proti společné příčině poruchy (65 bodů): separace (15), ochrana proti
přepětí atd. (15) a podmínky prostředí (25+10)
66
8
 Logické řízení odpovídá Kategorii 3 s vysokým MTTFd na kanál (100 let) a nízkým DCavg
-8
(74%). To dává průměrnou pravděpodobnost nebezpečné poruchy 7,36 x 10 za hodinu.
 MTTFd hydraulické části ovládacího systému: MTTFd 150 let [S] je dosazeno pro
proporcionální ventil 1V4 a směrový ovládací ventil 1V3. Po uzavření, to vychází pro
symetrizovanou MTTFd hodnotu 100 let.
 DCavg hydraulické části ovládacího systému: DC pro 1V4 a 1V3 je 99% mající přímé
monitorování posice K4 přes 1S4/1S3. Průměrovací vzorec pro DCavg dává výsledek 99%
(„vysoký“).
 Přiměřená opatření proti společné příčině poruchy (70 bodů): separace (15), použití dobře
vyzkoušených komponent (5), ochrana proti překročení tlaku (15) a podmínky prostředí
(25+10)
 Hydraulická část ovládacího systému odpovídá Kategorii 4 s vysokou MTTFd na kanál (100
let) a vysokou DCavg (99%). O vychází na průměrnou pravděpodobnost nebezpečné poruchyx
-8
2,47 x 10 za hodinu.
 Průměrná pravděpodobnost nebezpečné poruchy bezpečnostní funkce je dána přidáním
-7
podílem pro MPC, logického řízení a hydraulické části. Celková je 3,98 x 10 za hodinu. To
odpovídá PL d.
 ISO 15998: Earth-moving machinery – Machine control systems (MCS) using elektronic
components – Performance criteria and tests for functional safety (04.08)
 IEC 61784-3: Průmyslové komunikační sítě - Profily - Část 3: Funkční bezpečnost sběrnic
pole - Všeobecná pravidla a definice profilů
 Prüfgrundsätze Bussysteme für die Űbertragung sicherheitsrelevanter Nachrichten GS-ET26. Ed.: Fachhausschuss Elektrotechnik, Cologne 2002. www.dguv.de, Webcode d14884.
67
8
8.2.17 Kaskádování ochranných zařízení pomocí bezpečnostních modulů - Kategorie 3 – PL d
(Příklad 17)
Obrázek 8.31:
Kaskádování ochranných zařízení pomocí bezpečnostních modulů
(funkce nouzového zastavení , STO)
68
8
 Funkce nouzového zastavení, STO – bezpečné odstavení kroutícícho momentu aktivací
zařízení pro nouzové zastavení
 K bezpečnosti se vztahující funkce zastavení, iniciovaná ochranným zařízením: otevření
pohyblivého krytu iniciuje bezpečnostní funkci STO – bezpečné odstavení kroutícího
momentu.
Popis funkce
 Aktivace zařízení pro nouzové zastavení S1 způsobí odpojení nebezpečných pohybů nebo
stavů redundantně přes bezpečnostní modul K1, přerušením ovládacího napětí stykače Q1 a
volbou regulátoru potlačení frekvenčního měniče T1. Nebezpečná zóna je také zabezpečena
dvěma pohyblivými kryty (např. každý pro zakládání a vykládání). Otevírání bezpečnostního
krytu je detekováno dvoupolohovým spínačem B1/B2 kombinací přerušením
kontaktu/sepnutím kontaktu, a vyhodnocením centrálním bezpečnostním modulem K2. Druhý
může přerušit nebo zamezit nebezpečným pohybům nebo stavům stejným způsobem jako
K1. Druhý bezpečnostní kryt je monitorován stejným způsobem dvoupolohovým spínačem
B3/B4 a bezpečnostním modulem K3, také působícím na Q1 a T1.
 Bezpečnostní funkce je dodržena v případě poruchy komponentu.
 Většina poruch komponentů je detekována a vede k provozní zábraně. Dvoupolohové
spínače na bezpečnostním krytu jsou monitorovány na pravděpodobnost v připojeném
bezpečnostním modulu. Bezpečnostní modul také používá opatření pro vnitřní diagnostiku.
Závady ve stykači Q1 jsou detekovány pomocí mechanicky spřažených kontaktů a jejich
opakování v K2 a K3. Přídavné opakování v K1 není nezbytné, jelikož požadavek nafunkci
nouzového zastavení je mnohem méně častější. Část poruch v T1 je detekována procesem.
Malé množství poruch není regulátorem detekováno.
 Stabilní uspořádání ochranných zařízení je zajištěno pro aktivaci ochranných spínačů.
 Zařízení nouzového zastavení S1 odpovídá ISOc EN 13850; B2 a B4 jsou polohové spínače
s přímým otevíracím kontaktem podle IEC 60947-5-1, Příloha K.
 Napájecí vodiče k polohovým spínačům B1 a B4 jsou položena odděleně nebo s ochranou.
69
8
 Stykač Q1 má mechanicky spojené kontaktní elementy v souladu s IEC 60947-5-1, Příloha L.
 Bezpečnostní moduly K1, K2 a K3 splňují všechny požadavky pro Kategorii 4 a PL d.
 Měnič frekvence T1 nemá žádnou integrální bezpečnostní funkci.
Poznámka
 Funkce nouzového zastavení je komplementárně ochranné opatření podle EN ISO 121002:2004.
 Uspořádání obvodu může být rozděleno do tří bezpečnostních funkcí, každá z nich je
přiřazena ke třem subsystémům. Blokový diagram vztahující se k bezpečnosti ukazuje
bezpečnostní funkci zastavení s odkazem na příklad pro jedno ochranné opatření, poud
pouze jedno ochranné opatření je otevřeno kdykoliv. Stejná bezpečnostní funkce a identický
výpočet pravděpodobnosti poruchy je aplikován na druhé ochranné zařízení. Pro funkci
nouzového zastavení, zařízení nouzového zastavení S1 a bezpečnostní modul K1 se uplatní
v prvních dvou subsystémech. Pravděpodobnost poruchy standardních bezpečnostních
-9
modulů K1, K2 a k3 je přidaná na konci výpočtu (2,31 x 10 za hodinu [M], vhodná pro PL e.
Pro zbývající subsystémy, pravděpodobnost porucha je vypočtena následovně.
 S1 je standardní zařízení pro nouzové zastavení podle EN ISO 13850. Vyloučení poruchy je
použité pro přímý otevírací kontakt a mechanické elementy, pokud počet operací
indikovaných v Tabulce D.2 této zprávy není překročen. Tři aktivace za rok jsou
předpokládány pro nop. Tato hodnota je ignorována pro účel dalšího výpočtu pro obě
bezpečnostní funkce s ohledem na celé obvody Q1 a frekvenční měnič.
 MTTFd: Vyloučení poruchy je možné pro elektrický kontakt posičního spínače B2 s přímou
otevírací akcí. Pro elektrický kontakt posičního spínače B1, hodnota B10d je 1 000 000
spínacích operací [M]. Hodnota B10d 1 000 000 cyklů [M] je stanovena pro mechanické části
B2 a B1. Při 365 pracovních dnech, 16 pracovních hodinách a doběcyklu 10 minut, nop je
35 040 cyklů za rok pro tyto komponenty, a MTTFd je 285 let pro B2 a 142 let pro B1. Pro
stykač Q1, hodnota B10 odpovídá pod induktivním zatížení (AC 3) elektrické životnosti
1 000 000 spínacích oprací [M]. Jestliže 50 % poruch je považováno za nebezpečné, hodnota
B10d je dána zdvojnásobením hodnoty B10. Jelikož Q1 je zapojena v obou bezpečnostních
funkcích zastavení, zdvojení hodnoty předpokládané shora pro nop dává MTTFd 285 let.
MTTFd pro frekvenční měnič T1 je 20 let [M]. Dohromady, symetrizovaná hodnota MTTFd na
kanál v subsystému Q1/T1 je 68 let („vysoká“).
70
8
 DCavg: DC 99% pro B1 a B2 je na základě pravděpodobnosti monitorování
rozepnutého/sepnutého kontaktu kombinace v K2. To odpovídá DCavg pro subsystém. DC
99% pro stykač Q1 je odvozen od opakování kontaktní posice v bezpečnostních modulech.
Detekce poruchy procesem dává DC 60% pro frekvenční měnič T1. Průměrování tak dává
DCavg 62% („nízkou“) pro subsystém Q1/T1.
 Přiměřená opatření proti společné příčině poruchy v subsystémech B1/B2 a Q1/T2 (70 a 85
bodů): separace (15), ochrana proti přepětí atd. (15) a podmínky prostředí (25+10), použití
dobře vyzkoušených komponent (5), různost v Q1/T1 (20).
 Subsystém B1/B2 odpovídá Kategorii 3 s MTTFd (100 let) a vysoké DCavg (99%). To vychází
-8
v průměrnou pravděpodobnost nebezpečné poruchy 2,47 x 10 za hodinu. Subsystém Q1/T1
odpovídá Kategorii 3 s vysokým MTTFd (68 let) a nízkým DCavg (62 %). To dává průměrnou
-7
pravděpodobnost nebezpečné poruchy 1,73 x 10 za hodinu.
 Pro bezpečnostní funkci zastavení, vycházející průměrná pravděpodobnost nebezpečné
-7
poruchy je 2,00 x 10 za hodinu. To odpovídá PL d.
 Vycházející průměrná pravděpodobnost nebezpečné poruchy pro funkci nouzového
-7
zastavení je 1,75 x 10 za hodinu. To odpovídá PL d.
71
8
8.2.18 Monitorování polohy pohyblivého krytu - Kategorie 3 – PL d (Příklad 18)
Obrázek 8.32:
Monitorování redundantní polohy pohyblivého krytu používající diversitu ve své technické
implementaci (elektromechanické a programovatelné elektroniky)
 Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: otevírání pohyblivého krytu
(ochranné mříže) iniciovaná bezpečnostní funkcí STO (bezpečné odstavení kroutícího
momentu).
72
8
Popis funkce
 Otevírání pohyblivého krytu (např. bezpečnostního krytu) je detekováno dvěma polohovými
spínači B1 a B2 v kombinaci rozepnutý/sepnutý kontakt. Polohový spínač B1 s přímým
otevíracím kontaktem aktivuje stykač Q2, který přeruší/zamezí nebezpečným pohybům nebo
stavům, když vypadne. Polohový spínač B2, který sepne kontakt, je přečten standardním PLC
K1, který může zajisit stejnou akci odpojení aktivací druhého stykače Q1.
 Bezpečnostní funkce je zajištěna v případě poruchy komponentu.
 Spínací posice B1 je také zaznamenána v PLC K1 sepnutím kontaktu, a je porovnána na
pravděpodobnost se spínací posicí B2. Spínací posice stykačů Q1 a Q2 je podobně
monitorována v K1 mechanicky spojenými opakovanými kontakty. Závady komponentů B1,
B2, Q1 a Q2 jsou detekovány K1 a vedeny k provozní zábraně vypadnutím Q1 a Q2. Závady
v PLC K1 jsou detekovány pouze funkcí (porucha detekovaná procesem).
 B1 je polohový spínač s přímým otevíracím kontaktem v souladu s IEC 60947-5-1, Příloha K.
 Napájecí vodiče k polohovým spínačům jsou položena odděleně nebo s ochranou.
 Poruchy v mechanismu spuštění a aktivace jsou detekovány použitím dvou posičních spínačů
lišících se v principu jejich aktivace (rozepnutí a sepnutí kontaktů).
 Q1 a Q2 mají mechanicky spojené kontaktní prvky podle IEC 60947-5-1, Příloha L.
 PLC K1 plní normativní požadavky popsané v Sekci 6.3.
73
8
 MTTFd: Vyloučení poruchy je možné pro elektrický kontakt posičního spínače B1 s přímým
otevíracím kontaktem. Pro elektrický spínací kontakt posičního spínače B2, hodnota B10d je
1 000 000 spínacích operací [M]. Hodnota B10d 1 000 000 cyklů [M] je stanovena pro
mechanické části B1 a B2. Při 365 pracovních dnech, 16 pracovních hodinách a době cyklu 1
hodina, nop je 5 840 cyklů za rok pro tyto komponenty, a MTTFd je 1 712 let pro B1 a 856 let
pro B2. Pro stykač Q1 a Q2, hodnota B10 odpovídá pod induktivním zatížení (AC 3) elektrické
životnosti 1 300 000 spínacích oprací [M]. Jestliže 50 % poruch je považováno za
nebezpečné, hodnota B10d je dána zdvojnásobením hodnoty B10. Shora předpokládaná
hodnota pro nop vyplývá MTTFd 4 452 cyklů pro Q1 a Q2. Hodnota MTTF 15 let [M] je
dosazena pro PLC, zdvojnásobená na hodnotu MTTFd 30 let. Kombinace B1 a Q2 vychází
MTTFd na 1 236 let na první kanál; B2, K1 a Q2 přispívá k MTTFd na 28 let ve druhém
Kanálu. Dohromady, symetrizovaná hodnota pro oba kanály je 70 let na kanál („vysoká“).
 DCavg: DC 99% pro B1 a B2 je na základě pravděpodobnosti monitorování dvou spínacích
stavů v PLC K1. DC v hodnotě 99% pro starče Q1 a Q2 je odvozena od opakování přes
mechanicky spojené kontaktní prvky, také v K1. Díky možnosti detekce závady procesem, DC
60% nepředpokládáno pro K1. Průměrování tak dává výsledky pro DCavg 62% („nízká“).
 Kombinace ovládacích prvků odpovídá Kategorii 3 s vysokým MTTFd (70 let) a nízkým DCavg
-7
(62%). To vychází v průměrnou pravděpodobnost nebezpečné poruchy na 1,66 x 10 za
hodinu. To odpovídá PL d.
74
8
Obrázek 8.33
75
8
8.2.19 Kryt s blokováním se zamykáním krytu - Kategorie 3 – PL d (Příklad 19)
Obrázek 8.34:
Uzamykání krytu na bezpečnostním krytu používajícím reléovou technologii –Kategorie 3
 Deaktivace uzamčení krytu není možná při rychlostech vyšších než nula
 Prevence neočekávaného spuštění při otevřeném bezpečnostním krytu
76
8
Popis funkce
 Přístup k nebezpečným pohybům je blokován bezpečnostním krytem uzamčeným, dokud se
pohybující část nedostane do klidu. Kryt je uzavřen positivním uzamykáním, s bezpečnostním
čepem aktivovaným pružinou, který je elektromagneticky vytahován pro otevření krytu.
Poloha uzamykacího čepu je monitorována integrálním polohovým spínačem B1; poloha
bezpečnostního krytu je monitorována dále polohovým spínačem B2, tak, byla zvýšena
imunita proti obejití. Kryt s blokováním s integrální pružinou-aktivovaným uzamykacím krytem
je také vybaven bezporuchovým uzamykacím mechanismem.
 Nebezpečný pohyb může být iniciován ze startovního tlačítka S3, pouze s bezpečnostním
krytem uzavřeným a s uzamykacím čepem zatlačeným pomocí síly pružiny. V této poloze,
polohový spínač B1 je uvolněn, polohový spínač B 2 je aktivovaný. Za těchto podmínek,
vypínací kontakty B1 jsou uzavřeny, stejně jako spínací kontakty B2. Spojení těchto kontaktů
vserii umožní aktivaci motorových stykačů Q1 a Q2. Blokový diagram vztahující se
k bezpečnosti pro bezpečnostní funkci „prevence neočekávaného spuštění z klidu když
bezpečnostní kryt je otevřený“ (není zde znázorněn) proto obsahuje dva redundantní kanály,
B1-Q1a B2-Q2, kde je použito zjednodušení na bezpečné straně. Alternativně může být
navoleno B1-Q2 a B2-Q1. Pokud by tyto dva modely dávaly různé hodnoty pro MTTFd na
kanál, může být použito vyšší MTTFd pro výpočet pravděpodobnosti poruchy.
 Otevření bezpečnostního krytu během nebezpečného pohybu je zamezeno jednoduchou
tolerancí vůči chybám. To je dosaženo zahrnutím následujícího do aktivačního obvodu pro
solenoid F1: jeden rozpínací kontakt (zrcadlový kontakt) každého ze stakačů Q1 a Q2 a relé
nulové rychlosti K1, které působí podle informace o rychlosti z tachometru G1 a sepne
kontakt stykače K2 se spínacím zpoždění.
 Otevření bezpečnostního krytu během dobíhání motoru po aktivaci stop tlačítka S2 a
odemykacího tlačítka S1 je zamezeno s jednoduchou tolerancí vůči chybám. To je dosaženo
rozpínacím kontaktem relé nulové rychlosti K1 (na základě informace z G1) a spínací kontakt
stykače G1 se zpožděním sepnutí je zařazen v aktivačním obvodu solenoidu F1 (viz
bezpečnostní blokové schema).
 Jakmile motor se zastaví (Q1, Q2 a K1 vypadnou), aktivace odvykacího tlačítka S1 způsobí
aktivaci stykače K2 se sepnutím zpoždění, solenoid F1 bude aktivován, a tím bezpečnostní
čep bude vytažen z z bezpečnostního krytu. Zatímco bezpečnostní kryt je otevřen, polohový
spínače B1 zůstává positivně aktivován a odolný proti obejití. Neočekávané spuštění z klidu
je také zamezeno polohovým spínačem B2 (není aktivován).
77
8
 Elektrické vodiče jsou položeny v zvlášť nebo mají formu oddělených kabelů s více jádry.

Stykačové relé K1 a K2 mají mechanicky spojené kontaktní prvky v souladu s IEC 60947-51, Příloha L.
 Stykače Q1 a Q2 mají zrcadlové kontakty v souladu s IEC 60947-4-1, Příloha F.
 Polohový spínač B1 disponuje přímou otevírací akcí v souladu s IEC 60947-5-1, Příloha K.
 Kryt s blokováním implementovaný v obvodu (čárkovaná čára v Obrázku 8.34)zahrnuje jak
uzamykací zařízení krytu s uvolňovacím solenoidem s vratnou pružinou, a polohový spínač
B1 vyžadovaný pro monitorování polohy bezpečnostního čepu a bezpečnostního krytu. Tyto
jsou umístěny pod uzavřením a proto nejsou přístupné zvenku.
 Pružina uzamykacího zařízení krytu je dobře vyzkoušená pružina podle EN ISO 13849-2,
Příloha A.3. Současně pružina je trvale odolná proti poruše podle EN 13906-1. Kriteria
nastavená v GS-ET-19, Sekce 5.5.1 jsou dodržena. Solenoid F1 se nezvedne bez napětí: se
současným vyloučením závady pro předpoklad poruchy „zlomení blokovacího zařízení“ toto
proto vychází ve vyloučení nebezpečné poruchy dohromady pro tyto prvky.
 Uspořádání konstrukce bezporuchového uzamykacího mechanismu pro uzamykání krytu
zajistí, že bezpečnostní čep nemůže být v blokované poloze (uzamčená poloha kratu),
zatímco bezpečnostní kryt je otevřen.
 Přídavné integrované funkce v upořádání uzamykání nejsou znázorněny v Obrázku 8.34 jako
„nouzové odemknutí“ a „únik“ pro záměrné ruční otevření ochranného zařízení v případě
nebezpečí: tyto funkce působí positivně na blokovací zařízení bez nástrojů a bez ohledu na
provozní stav; viz v této souvislosti na principy zkoušek GS-ET-19.
 Standardní komponent G1 je použit v souladu s instrukcemi v Sekci 6.3.10.
78
8
Prvně je vypočtena pravděpodobnost nechtěné deaktivace uzamykacího zařízení krytu
/bezpečnostní funkce „žádná deaktivace uzamykání krytu při rychlostech větší než nula“ (viz také
bezpečnostní blokový diagram).
 MTTFd: pro K1 a K2, hodota B10d je 400 000 cyklů [S]. Při 240 pracovních dnech a době
cyklu 10 minut, nop je 11 520 syklů za rok a MTTFd pro tyto komponenty je 347 let. Pro
elektronickou část zpožďovacího spínače K2, je předpokládáno MTTFd 1 000 let [E]. K2 tak
má celkovou MTTFd 257 let. Pro G1 není k dispozici žádný údaj výrobce; předpokládáno je
MTTFd 30 let [E]. Tyto hodnoty dávají symetrizovaný MTTFd na kanál 70 let.
 DCavg: díky mechanickému spojení kontaktů, stavy poruch K1 a K2 vedou k následné poruše
odemčení uzamykacího zařízení krytu nebo napájení motoru. Jako výsledek, detekce závady
je zajištěna procesem a DC 99% je předpokládáno. Drift v prahu spínání G1 může být
detekován procesem. DC v hodnotě 60% je proto předpokládáno. Žádná detekce závady
není poskytnuta pro závadu zpoždění sepnutí K2. To dává výsledek DCavg 64%.
přepětí atd. (15), použití dobře vyzkoušených komponentů (5) a podmínky prostředí (25 + 10)
 Spolu s vyloučením závady pro další prvky zařízení pro uzamykání krytu (viz shora),
kombinace ovládacích prvků odpovídá Kategorii 3 s vysokým MTTFd na kanál (70 let) a
-7
nízkým DCavg (64%). To dává v průměru pravděpodobnost nebezpečné poruchy 1,62 x 10
za hodinu. To odpovídá PL d.
Výpočet pravděpodobnosti bezpečnostní funkce „prevence neočekávaného spuštění z klidu
zatímco bezpečnostní kryt je otevřen“ dává následující výsledek.
 MTTFd pro polohový spínač B1, hodnota B10d je 20 000 000 cyklů [S] je předpokládána díky
jeho přímé otevírací akci. U předpokládané nop hodnoty 11 520 cyklů za rok indikované shora,
související hodnota MTTFd je 17 361 let. Hodnota B10d 100 000 cyklů [E] je předpokládána pro
polhový spínač B2 (viz také Tabulku D.2); související hodnota MTTFd je 86 let. Pro Q1 a Q2,
hodnota B10d je 400 000 cyklů [S]. stejná nop dává MTTFd 347 let pro každou komponentu.
Tyto hodnoty dávají symetrizovanou MTTFd na kanál 85 let.
79
8
 DCavg: u předpokládané vysoké spínací frekvence, stavy poruchy na všech elementech jsou
detekovány s DC v každém případě na 99%, např. detekováním poruchy při procesu. To
vede k DCavg také 99%.

Přiměřená opatření proti společné příčině poruchy (70 bodů): viz shora
 Kombinace ovládacích prvků odpovídá Kategorii 4 s vysokým MTTFd na kanál (85 let) a
vysokým DCavg (99%). To dává průměrnou pravděpodobnost nebezpečné poruchy 2,93 x
-8
10 za hodinu. To odpovídá PL e . PLr d je tak překonáno, což s požadovanou dvoukanálovou konstrukcí hardwaru s málo komponenty, použití hodnot B10d v souladu s normou,
DC „vysoké“ a „mírné“ spínací frekvenci bude virtuálně vždy tento případ.
 Opotřebený element B2 by měl být vyměněn přibližně každých osm let (T10d).
 Reudenbach, R.: Maßnahmen gegen das Umgehen von Verriegelungseinrichtungen an
Schutztüren. Die BG (2003) No.7, pp. 275 – 281.
www. diebg.info/download/reudenbach.pdf
 Apfel, R; Huelke, M.; Lüken,K.; Schaefer, M, et al.: Manipulation von Schutzeinrichtungen an
Maschinen, HVBG-Report. Ed.: Hauptverband der gewerblichen Berufsgenossenschaften,
Sankt Augustin 2006.
www.dguv.de/bgia, webcode d6303
 Grundsätze für die Prüfung uf Zertifizierung von Verriegelungseinrichtungen mit
Elektromagnetischen Zuhlatungen GS-ET-19. Ed.: Fachausschuss Elektrotechnik, Cologne
2004.
www.dguv.de, Webcode d14884
 Berufsgenossensschaftliche Information BGI 575: Merkblatt für die Auswahl und Anbringung
elektromechanischer Verriegelungeinrichtungen für Sicherheitsfunktionen. Carl Heymanns,
Colonge 2003
 EN 1088: Bezpečnost strojních zařízení - Blokovací zařízení spojená s ochrannými kryty Zásady pro konstrukci a volbu (12.95)
 EN 1088/A1: Bezpečnost strojních zařízení - Blokovací zařízení spojená s ochrannými kryty Zásady pro konstrukci a volbu (04.07)
 EN 13906-1: Šroubové válcové pružiny vyráběné z drátů a tyčí kruhového průřezu - Výpočet
a konstrukce - Část 1: Tlačné pružiny (04.02)
80
8
Obrázek 8.35:
81
8
8.2.20 Bezpečné zastavení pohonu PLC - Kategorie 3 – PL d (Příklad 20)
Obrázek 8.35:
Bezpečné zastavení PLC řízeného frekvenčního převodníku následující po příkazu stop nebo
nouzového zastavení nebo následující aktivaci ochranného zařízení (v tomto případě ESPE)
 Funkce vztahující se k bezpečnosti, iniciovaná ochranným zařízením: následující stop nebo
příkaz nouzového zastavení nebo sepnutí ochranného zařízení, pohon je zastaven (SS1 –
bezpečné zastavení 1).
Funkční popis
 Nebezpečný pohyb je redundantně přerušen jestliže buďto stop tlačítko S1 nebo ochranné
zařízení K3 (znázorněné v obvodovém diagramu jako elektro-citlivé ochranné zařízení
(ESPE)) je aktivováno. Pohon je nouzově zastaven po aktivaci zařízení pro nouzové
zastavené S4. Ve všech třech případech, první nastavení brzdicího času je implemntováno
přes výstup O3 PLC K4 deaktivací vstupu „Start/Stop“ (T1a) na frekvenčním převodníku (FI)
T1. Redundantně k tomuto uspořádání, druhé nastavení brzdicího času je ve formě
deaktivace vstupu „pulsního blokování“ (T1b), který je dosažen odpojením spínacího relé K1
82
8
(s použitím kondenzátoru C1 pro zpoždění odpojení), a aplikace brzdy Q2. První odpojovací
cesta je tak implementována přímo PLC K4; naopak druhá odpojovací cesta používá reléovou
technologii a opožděné vypnutí. Nastavení časovače pro O2 v PLC programu a pro K1 jsou
vybrána tak, že pohyb stroje vždy při nepříznivých provozních podmínkách.
 Pokud by vstup „rychlého zastavení“ se zvláště rychlou omezením rychlosti byl dostupný na
FI, zařízení pro nouzové zastavení a ESPE může být k tomu připojeno, jak je znázorněno na
obvodovém diagramu. Tato možnost není uvažována dále.
 V případě poruchy PLC K4, vstupy frekvenčního převodníku T1a/T1b, kontaktní relé K1 se
zpožděním odpojení relé K2, zastavení pohonu je zajištěno, jelikož dvě vzájemně nezávislé
odpojovací cesty jsou vždy přítomny. Porucha pomocných relé K1 nebo K2 pro výpadek je
detekována, při posledním obnovením spuštění pohybu stroje, zpětnou vazbou mechanicky
spojených odpojovacích kontaktů k PLC vstupům I3 a I4.
 Základní a dobře vyzkoušené bezpečnostní principy jsou zachovány a požadavky Kategorie
B jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů), tak, jak je
popsáno v úvodním paragrafu Kapitoly 8.
 Při nepoužití frekvenčního převodníku s bezpečným pulsním blokováním, stykač Q1 není
absolutně nezbytný pro odpojení napájecího napětí. Frekvenční převodník musí být vhodný
pro omezení a brždění.
 Stykačová relé K1 a K2 mají mechanicky spojené kontaktní prvky v souladu s IEC 60947-5-1,
Příloha L.
 Kontakty a tlačítka S1 a S4 jsou mechanicky spojená v souladu s IEC 60947-5-1, Příloha K.
 Standardní součásti K4 a T1 jsou použity v souladu s instrukcemi v Sekci 6.3.10.
 Software (SRASW) je naprogramován v souladu s s požadavky pro PL c (snížené vlivem
různosti) a instrukcemi v Sekci 6.3.
 Jestliže brzda Q2 je přítomna pouze z funkčních důvodů, tj. není zapojena pro provádění
bezpečnostních funkcí, není na ní brán zřetel při výpočtu poruchy, jako v tomto případě.
Tento postup vyžaduje aby doběh pohonu v případě poruchy T1a (viz dále) v tomto případě
83
8
odpojení je dosaženo prostřednictvím samotného pulsního blokování, není spojeno
s nepřijatelně vysokým zbytkovým rizikem. Zařazení brzdy pro provedení bezpečnostní
funkce ve spojení s použitím FI je popsáno v příkladu ovládání otočných dveří (Příklad 23).
 ESPE K3, například ve formě světelné clony, splňuje požadavky pro Typ 4 v EN 61496-1 a
IEC 61496-2, a pro PL e.
 Je vypočtena pravděpodobnost poruchy bezpečného zastavení spuštěného zařízením pro
nouzové zastavení S4 nebo prostřednictvím ESPE, které je také znázorněno
v bezpečnostním blokovém diagramu. Funkce „rychlého zastavení“ FI a zařízení pro odpojení
napájení k FI přes Q1 není uvažováno ve výpočtu pravděpodobnosti poruchy bezpečnostní
funkce.
 Frekvenční převodník T1 je rozdělen do bloků T1a a T1b. Blok T1a obsahuje funkce Start a
Stop a jejich implementaci do řídícího systému. Blok T1b obsahuje pulsní blokování, které je
dosaženo malým počtem součástí.
Bezpečné zastavení spuštěné zařízením nouzového zastavení S4:
 Vyloučení závady je předpokládáno pro zařízení nouzového zastavení, zatímco počet aktivací
uvedený v Tabulce D.2 není překročen.
 MTTFd: jsou odhadovány následující hodnoty MTTFd: 50 let pro K4, 100 let pro T1a a 1 000
let pro T1b [E]. Při hodnotě B10d 400 000 cyklů [S] a 240 pracovních dnech, 8 pracovních
hodinách a době cyklu 6 minut, pak nop je 19 200 cyklů za rok a MTTFd 208 let pro K1. Při
hodnotě B10d 400 000 cyklů [S] a denní činnosti po dobu 240 pracovních dní, MTTFd pro K2 je
16 677 let. Kondenzátor C1 je zahrnut do výpočtu s hodnotou MTTFd 45 662 let [D]. Tyto
hodnoty dávají symetrizované MTTFd pro každý kanál 72 let (“vysoké).
 DCavg: detekce závady daná výsledky procesu v DC 30% pro K4, DC 90% pro T1a a DC 60%
pro T1b. DC 99% pro K1 a DC 60% pro C1 jsou odvozeny ze zkoušení časovacího prvku s
odpojeným FI. DC pro K2 je 99% mající věrohodnost v K4 se spínacím statusem S4. Formule
zprůměrování pro DCavg dává 56,9% (uvnitř tolerance pro “nízké”).
 Přiměřené opatření proti společnému způsobení závady (85 bodů): oddělení (15), různost
(20), ochrana přepětí atd. (15) a podmínky prostředí (25 + 10)
84
8
nízkým DCavg (56,9%). To dává průměrnou pravděpodobnost nebezpečné poruchy 1,76 x
-7
x10 za hodinu. To odpovídá PL d.
Bezpečné zastavení spuštěné ESPE K3:
 ESPE K3 je standardní bezpečnostní součást. Jeho pravděpodobnost poruchy je 3,0 x 10 za
hodinu [M], a je přidána na konci výpočtu.
-8
 Pravděpodobnost poruchy „PLC/elektromechanické“ dvou-kanálové struktury je vypočtena
použitím stejné MTTFd a hodnot DC tak, jak jsou popsané shora. Součást K2 není ovšem
zahrnuta pro provedení této bezpečnostní funkce. Výsledky jsou následující: MTTFd pro jeden
kanál 72 let („vysoká“) a DCavg 56,8% (uvnitř tolerance pro „nízké“). Pro Kategorii 3, to dává
-7
průměrnou pravděpodobnost nebezpečné poruchy 1,77 x 10 za hodinu. Celková
-7
pravděpodobnost poruchy je určena je určena dále, dává výsledek 2,07 x 10 za hodinu. To
také odpovídá PL d.
 Apfeld, R.; Zilligen, H.: Sichere Antriebssteuerungen mit Frequenzumrichtern. BIA-Report
5/2003. Ed.: Hauptverband der gewerblichen Berufsgenossenschaften (HVBG), Sankt
Augustin 2003.
85
8
8.2.21 Bezpečné omezení rychlosti pro pomalé posouvání- Kategorie 3 – PL d (Příklad 21)
Obrázek 8.37:
Režim pomalého posouvání s bezpečně omezenou rychlostí při otevřeném bezpečnostním krytu,
s porovnáním požadované/skutečné hodnoty a definované mezní hodnotě rychlosti uvnitř bezpečného
PLC
 Bezpečně omezená rychlost (SLS): jestliže ochranný kryt je otevřen, je zamezeno překročení
povolené rychlosti v režimu pomalého posouvání.
Funkční popis
 Nebezpečný pohyb je bezpečně zamezen nebo přerušen jestliže bezpečnostní kryt je
otevřen. Otevření bezpečnostního krytu je detekováno dvěma posičními spínači B1 a B2
v kombinaci přerušení kontaktu/sepnutí kontaktu. Jestliže tlačítko S1 je aktivováno a
bezpečná omezená rychlost je nastavena na frekvenčním převodníku T1 pomocí
bezpečnostního PLC K1. Dva procesní kanály v PLC každý přijímá limitní nastavení hodnot
nezávisle na sobě ze svých aplikačních softwarů.
86
8
Skutečná hodnota rychlosti otáčení pomalého posouvání na vstupech I3.0 a I3.1 K1 je
monitorována dvěma nezávislými tachogenerátory G1 a G2. Každý kanál PLC provádí porování
požadované/skutečné rychlosti nezávisle. Pokud by rychlost nebyla úspěšně omezena na
omezenou hodnotu pomocí T1, K1 může iniciovat zastavení zablokováním signálu start/stop a
zablokováním pulsu na převodníku. Napájení na T1 muže být také přerušeno hlavním stykačem
Q1.
 Bezpečnostní data jsou měněna přes interní rozhraní v bezpečnostním PLC K1. Taková data
jsou používána například pro detekci závad porovnáním stavu mezi dvěma zpracujícími
kanály. Pokud by jeden kanál vypadl, zbývající pracující procesní kanál by omezil rychlost
převodníku T1 a odpojil hlavní stykač Q1. Závada převodníku, který by mohl vést
k neočekávanému spuštění, pokračující běh nebo zvýšení rychlosti je detekováno nezávislým
monitorováním rychlosti tachogenerátory G1 a G2 ve obou procesních kanálech. Poruchy
hlavního stykače Q1 vypadnutím je detekovány rozpojením kontaktů přítomných v obou
procesních kanálech (vstupy I2.0 a I2.1 K1) a vede jak k blokování signálu start/stop a
blokování pulsu na převodníku oběma procesními kanály.
 Základní dobře vyzkoušené bezpečnostní principy jsou dodržovány a požadavky Kategorie B
jsou splněny. Jsou použity ochranné obvody (např. ochrana kontaktů) tak, jak je popsáno
v úvodním paragrafech Kapitoly 8.
 Stabilní uspořádání ochranných zařízení je zajištěno pro aktivaci polohového spínače.
 Polohový spínač B1 zajišťuje přímou otevírací akci v souladu s IEC 60947-5-1,Příloha K.
Polohový spínač B2 také splňuje IEC 60947-5-1.
 Stykač Q1 je vybaven zrcadlovým ontaktem podle IEC 60947-4-1, Příloha F.
 Napájecí vodiče k polohovým spínačům jsou položeny buďto nezávisle nebo s ochranou proti
mechanickému poškození.
 Pro bezpečnostní funkci „bezpečně omezená rychlost“ zamezení poruchy je předpokládáno
při podmínce poruchy zlomení hřídele dekodéru (G1/G2). Detaily možnosti vyloučení poruchy
mohou být nalezeny například v IEC 61800-5-2, Tabulka D.16.
 Standardní součásti G1 a G2 (tam, kde jsou relevantní pro dekodéry rotačního signálu) a T1
jsou použity v souladu s pokyny v Sekci 6.3.10.
87
8
 Bezpečnostní součást K1 splňuje všechny požadavky na Kategorii 3 a PL d. Software
(SRASW) je naprogramován v souladu s s požadavky na PL d a pokyny v Sekci 6.3.
 Předpokládá se, že každý výstup bezpečnostního PLC je aktivován oběma procesními kanály
PLC (vyjímka: O3).
Poznámky
 Podle EN 1010-1, použití jednopolohového spínače s přímou otevírací akcí podle IEC 609475-1, Příloha K pro každý blokovaný kryt je dostatečné na stroji bez běžného zásahu operátora
v nebezpečném bodě. Vyloučení poruchy v této souvislosti je podmíněno tím, aby spínač byl
instalován v souladu s EN 60204-1.
 Pro plnou implementaci režimu pomalého posouvání, bezpečnostní funkce „žádné
neočekávané spuštění v režimu pomalého posouvání“ musí být také uvažována.
 SRP/CS je rozdělena do dvou subsystémů snímač/spouštěč a PLC. Pro subsystém PLC, je
použita zkoušená bezpečná PLC vhodná pro PL d. Pravděpodobnost poruchy tohoto PLC je
-7
1,5 x 10 za hodinu [E] je přidána na konec výpočtu pro subsystém snímač/spouštěč. Pro
zpracování blokového diagramu, viz také Obrázek 6.14 a odpovídající poznámky
v připojeném textu. Pravděpodobnost poruchy pro subsystém snímač/spouštěč je vypočtena
dále.
 MTTFd: při 240 pracovních dnech, 8 pracovních hodinách a času cyklu jedna hodina, nop je
1 920 cyklů za rok. Hodnota B10d 20 000 000 cyklů [S] je předpokládána pro polohu spínače
B1 příslušejícího k jeho přímé otevírací akci; příslušná hodnota MTTFd je 104 116 let.
Vzhledem definovanému řídícímu proudu (nízké zatížení; mechanická životnost kontaktů je
určující faktor), pro polohový spínač B a B10d je předpokládána hodnota 1 000 000 cyklů [E]
(viz také Tabulku D.2), a proto MTTFd vychází 5 208 let. Stykač Q1 s hodnotou B10d 400 000
cyklů spíná normálně jednou denně, odpovídá to nop 240cyklů za rok a MTTFd 16 667 let.
Následující hodnoty jsou odhadnuty: MTTFd pro T1 a MTTFd 50 let pro G1/G2[E]. Tzto
hodnoty dávají symetrizované MTTFd pro každý kanál 41 let („vysoký“).
 DCavg: por každou použitou součást, je předpokládáno DC 99%. Pro polohové spínače a
tachogenerátory, tato hodnota je je nazákladě křížové kontroly vstupního signal v K1. Pro
převodník T1, detekce poruchy je zajištěna procesem; hlavní stykač Q1 je monitorován přímo
PLC. Tyto hodnoty dávají DCavg 99% (“vysokou”).
88
8
 Dostatečná opatření proti společné příčině poruchy (70 bodů): separace (15), FMEA (5),
 Subsystém snímač/spouštěč odpovídá Kategorii 3 s vysokým MTTFd na kanál (41 let) a
-8
vysokým DCavg (99%). To dává průměrnou pravděpodobnost nebezpečné poruchy 6,56 x 10
za hodinu. To odpovídá PL e. PLr je tím překonáno, což s požadovanou dvou-kanálovou
konstrukcí hardwaru s málo součástmi, použití hodnot B10d v souladu se standardem, DC
„vysoké“ a „průměrné“ spínací frekvence bude virtuálně vždy takový případ.
 Celková pravděpodobnost poruchy je určena přidáním pravděpodobnosti nebezpečné
-7
-7
poruchy K1 (1,5 x 10 za hodinu) a je 2,16 x 10 za hodinu. To odpovídá PL d.
 Grigulewitsch, W; Reinert, D.:Schaltung beispiele mit programmierbaren Steuerungen zur
Umsetzung der Steuerungkategorie 3. In? BGIA-Handbuch Sicherheit and
Gesundheitsschuth amArbeitsplatz. Kennzahl 330 227.
th
27 suppl. I/95. Ed.: BGIA – Istitut für Arbeitschutz der Deutschen Gesetzlichen
Unfallversicherung, Sankt Augustin. Erich Schmidt, Berlin 1985 – looseleaf ed.
 EN 1010-1: Bezpečnost strojních zařízení - Bezpečnostní požadavky na konstrukci a výrobu
tiskových strojů a strojů na zpracování papíru - Část 1: Společné požadavky (12.04)
89
8
8.2.22 Potlačení ochranného zařízení – Kategorie 3 – PL d (Příklad 22)
Obrázek 8.38:
Potlačení ochranného zařízení v bodě vyložení z paletizačního zařízení řízeného PLC
90
8
 Funkce potlačení: dočasné potlačení ochranného zařízení jako funkce procesu. Další
bezpečnostní funkce, jako je ochrana přístupu k paletizační instalaci nebo blokování
stratu/restartu, nejsou dále detailně pojednány.
 Funkční popis
 Přístup k bodu vyložení z paletizační instalace je chráněn třípaprskovou světelnou bariérou
(ESPE) F5 Typu 4 z EN 61496. Světelná bariéra zahrnuje dodatečné funkce blokování
spuštění a blokování restartu, které jsou implementovány pomocí dvou antivalentních vstupů.
Deaktivace blokování spuštění světelné bariéry je spojeno se spouštěcím příkazem pro
řemenový náhon, tj. zapojení paletizační stanice a je iniciována zdvižením a následným
vypadnutím stykačového relé K1 jako reakci na aktivaci a uvolnění startovacího tlačítka S1.
Podmínka pro platný příkaz ke strartu je, že stykačové relé K2 a K3 mají výpadek (přes vstup
I1.1) a že blokování spuštěná bylo zrušeno ( přes vstup I1.0). Výstup O1.1 je nastaven jako
výsledný.
 Čtyři infračervené světelné snímače F1 až F4 (uspořádání viz také obrázek 8.38) jsou
zahrnuty pro řízení procesu potlačení. Na vstupech I1.2 až I1.5, PLC monitoruje průběh
aktivace čtyř infračervených světelných snímačů přes kontakty snímačů F1.1 až F4.1, při
zvážení dvou programovaných časových nastavení. Funkce potlačení je implementována
pouze v obvodu výstupu PLC (výstup O1.2) nezávisle na výstupním obvodu světelné bariéry
F5, Kontakty potlačení F1.2 a F2.2/F3.2 a F4.2, zapojené do serie, jsou spojeny přes diody
R2 a R3, logikou OR s „umožňovací“ funkcí implementovanou stykačovým relé K2 a K3.
 R2 a R3 způsobí správné zobrazení funkce potlačení, a isolují aktivovaný výstup ze
potlačovacích zobrazovačů P1/P2 tak, aby potlačovací funkce nebyla aktivní. Poruchy na R2
nebo R3 nemohou vést k nežádoucímu potlačení (tj. nebezpečné poruše potlačovací funkce).
 V případě přerušení a následného obnovení napětí, nebo s přerušenou světelnou bariérou F5
a neaktivní potlačovací funkcí, stykačové relé K2 a K3 jsou odpojena. Za těchto okolností
nepřítomnost zamčení je ochrání před znovu aktivací tak, aby potlačovací obvody byly znovu
uzavřeny. Instalace může být restartována pouze deaktivací blokování restrtu, tj. záměrnou
aktivací a uvolněním startovacího tlačítka S1.
91
8
Obrázek 8.39:
Paletizační stanice s automatickým řízením – princip ochrany paletizačního vykládacího bodu pomocí
světelné bariéry a uspořádání potlačovacích snímačů F1 až F4.
 Pro plánované spuštění/opětovné spuštění, například po závadě instalace, uzamykatelný
spínač S3 musí být aktivován. V případě poruchového stavu, operátor může vysunout paletu
z detekční zóny světelné bariéry a potlčovacích spínačů pomocí tlačítka „mrtvého muže“ S4.
Pro hladký postup palet skrz vykládací otvor, dvě časové nastavení v PLC programu musí
souhlasit s rychlostí přepravního pohybu:
92
8
– Nastavení času T1 určuje maximální dobu, ve které – po aktivaci snímače F1 – snímač F2
musí být aktivován a funkce potlačení tak iniciována dopravovaným produktem.
– Nastavení času T2 začíná s obnoveným stavem snímače F2. T2 musí být zvoleno tak, že
když detekční zóna světelných bariér se stane znovu prázdnou, K1 je aktivován a deaktivován znovu před deaktivací snímače F3 dopravovaným produktem a potlačovací
funkce je tímto ukončená.
 Porucha stykačů K2 a K3 jejich odpadnutím je detekována nejpozději před opětovným
spuštěním řemenového pohonu/paletizační instalace, mající zpětnou vazbu k mechanicky
spojeným rozpojovacím kontaktům ke vstupu I1.1 k PLC. Porucha K1 je detekována při
příštím vyložením palety.
 Nechtěné spuštění řemenového pohonu/paletizační instalace v případě ztráty a následné
obnovení dodávky energie nebo poruchy standardu PLC je zamezeno funkcí blokování
spuštění a restartu. PLC může znemožnit blokování restrtu pouze okamžitě poté, co paleta
prošla světelnou bariérou, tj. zatímco snímače F3 a F4 jsou ještě aktivovány.
 Porucha jednotlivých potlačovacích snímačů je buďto detekována přímo PLC programem
(vlivem monitorování správné úplnosti aktivace a deaktivace), nebo se stane evidentní
provozní zábranou během dopravy palety.
 Porucha tlačítka mrtvého muže S4, které je použito pouze pro vyrušení závad (manuální
potlačení), je detekováno přímo uživatelem.
 Základní dobře vyzkoušené bezpečnostní principy jsou dodržovány a požadavky Kategorie B
jsou splněny. Jsou použity ochranné obvody (např. ochrana kontaktů) tak, jak je popsáno
v úvodních paragrafech Kapitoly 8.
 Stykačové relé K1 až K3 mají mechanicky spojené kontaktní prvky v souladu s IEC 60947-51, Příloha L.
 Napájecí vodiče ke světelné bariéře F5 a k tlačítku mrtvého muže S4 usou položeny tak, aby
byl vyloučen zkrat mezi individuálními vodiči (včetně napájecího napětí).
 Ovládací prvky S1 až S4 jsou umístěny v bodě vně nebezpečné oblasti a s pohledem na ní.
93
8
 Stav potlačení je zobrazován dvěma světly jasně pozorovatelnými pro operátora u
přístupového bodu k nebezpečné oblasti.
 Jsou použity standardní součásti F1 až F4, tam, kde je to použitelné, v souladu s pokyny
s Sekci 6.3.10.
Poznámky
 Příklad implementace automatizovaného vykládání materiálu s ochranou bodu přístupu
k paletizačnímu a depaletizačnímu procesu, transferových stanic, páskovacích nebo balicích
strojů. Stejný princip může být použit pro přístupové body pro přísuv materiálu.
 V souladu s EN 415-4, může se předpokládat, že nedetekovaný přístup osob skrz přísuvné
nebo vykládací otvory je dostatečně spolehlivě zamezen, když požadavky včetně
následujících jsou splněny:
– použití dvou nebo třípaprskových světelných bariér při zvážení nezbytné průchozé výšky (
s otevřeným přístupovým bodem nebo v něm umístěnou prázdnou paletou), nebo
– s ochranou funkcí světelné bariéry potlačenou zakládanou paletou s postranní vůlí méně
než 0,2 m a s potlačením aktivovaným zatížením palety pouze okamžitě před přerušením
světelných paprsků (bez větších časovacích intervalů a geometrických spár)
Ve výpočtu níže, DC 0% je předpokládáno pro výstupní relé potlačovacích snímačů F1 až F4,
pokud kontakty použité pro potlačení nejsou subjektem automatické detekce poruchy. Z tohoto
důvodu. Je specifikována periodická ruční kontrola, která může být dosažena jednoduchými
prostředky.
 MTTFd : MTTFd je předpokládáno 100let pro snímkovou část každého z potlačovacích
snímačů F1 až F4. Hodnota B10d ve výši 2 000 000 cyklů [S] je použita pro výstupní relé F1 až
F4. Při 300 pracovních dnech, 16 pracovních hodinách a době cyklu 200 sekund, nop je
86 400 cyklů za rok a MTTFd je 231 let pro tyto prvky. MTTFd kanálu je 35 let (“vysoká”).
 DCavg… DC 90% pro snímkovou část potlačovacích snímačů F1 až F4 je dosažena PLC
monitorováním. DC provvýstupní relé je odhadována chybovost na straně bezpečnosti na
0%. Výsledná hodnota DCavg je 63% („nízká“).
 Příslušná opatření proti společné příčině poruchy (65 bodů): separace (15), ochrana proti
přepětí atd. (15) a podmínkám prostředí (25 + 10)
94
8
nízkým DCavg (63%). Z toho vyplývá průměrná pravděpodobnost nebezpečné poruchy 5,16 x
-7
10 za hodinu. To odpovídá PL d.
 Grigulewitsch, W: Speicherprogrammierbare Steuerung (SPS) zum zeitlich begrenzten,
processabhängigen Aufheben einer Sicherheitsfuntion – Schaltungs-beispiel. In: BGIAHandbuch Sicherheit and Gesundheitsschutz am Arbeitsplatz. Kennzahl 330 231. .
th
36 suppl. XII/99. Ed.: BGIA – Institut für Arbeitschutz der Deutschen Gesetzlichen
Unfallversicherung, Sankt Augustin. Erich Schmidt, Berlin 1985 – loose-leaf ed.
 Kreutzkampf, F.; Hertel, W.: Zeitbegrenztes Aufheben von Sicherheitsfunktionen. In: BGIAHandbuch Sicherheit and Gesundheitsschutz am Arbeitsplatz. Kennzahl 330 214. .
th
19 suppl. X/92. Ed.: BGIA – Institut für Arbeitschutz der Deutschen Gesetzlichen
Unfallversicherung, Sankt Augustin. Erich Schmidt, Berlin 1985 – loose-leaf ed.
 EN 415-4: Bezpečnost balicích strojů - Část 4: Paletizátory a depaletizátory (03.97) a dodatek
AC (12.02)
 IEC 61496-2 : Bezpečnost strojních zařízení - Elektrická snímací ochranná zařízení - Část 2:
 IEC 62046: Bezpečnost strojních zařízení - Použití ochranného zařízení pro snímání
přítomnosti osob
 EN 999: Bezpečnost strojních zařízení - Umístění ochranných zařízení s ohledem na rychlosti
přiblížení částí lidského těla (10.98)
95
8
8.2.23 Ovládání otáčecích dveří – Kategorie 3 – PL d (Příklad 23)
Obrázek 8.40:
Ovládání otočných dveří používajíc mikroregulátory
96
8
 Bezpečnostní funkce zastavení: když je aktivována na tlak citlivá hrana, otáčivý pohyb dveří
je zastaven (SS1 – bezpečné zastavení 1).
 Bezpečně omezená rychlost (SLS): jestliže je detekována osoba nebo objekt světelnou
bariérou, rychlost otáčení dveří je redukována a bezpečně omezena.
Funkční popis
 Otáčivý pohyb dveří je iniciován pouze když ovládací systém byl sepnut talčítkem S1.
V normálním provozu, příkaz pro otáčivý pohyb je vydán detektorem pohybu B3 umístěném
na dveřích. Frekvenční převodník T1 je aktivován společně dvěma mikroregulátory K1 a K2.
Každý mikroregulátor (μC) obsahuje procesor (CPU) ve formě mikroprocesoru, a pracovní
paměti (RAM) a paměti ROM. K1 ovládá funkce přiřazení nastavovacího bodu, aktivaci
regulátoru a rychlého zastavení. K2 aktivuje pulsní blokování a zadržovací brzda Q1 může
být uvolněna prostřednictvím stykačového relé K3. Dekodéry rotačního signálu G1 a G2
převádějí otáčky motoru ke K1 nebo K2.
 Poruchy v na tlak citlivé hraně nebo světelné bariéře jsou detekovány v připojených
ovládacích jednotkách B1 a B2. Stejně to platí na poruchy v samotných B1 a B2, které jsou
detekovány vnitřním monitoringem. Poruchy v součástech mikroregulátorů jsou detekovány
prováděním self-testů a porovnáním dat. Správný provoz převodníků frekvence T1 je
monitorován pomocí dekodérů rotačního signálu G1 a G2 v K1 nebo K2. Pokud jsou poruchy
detekovány, jsou řízeny přes K1 a/nebo K2, vedoucí k zastavení pohybu dveří
prostřednictvím T1 a/nebo Q1. Křídla dveří mohou být otevřena ručně tak, aby zachycené
osoby byly uvolněny.
 Vlivem redundantních zpracovacích kanálů, jednotlivá závada nevyústí ve ztrátu
 Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a požadavky Kategorie
B jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů) tak, jak je
popsáno v úvodních paragrafech Kapitoly 8.
 Na tlak citlivé hrany chrání proti rozdrcení, střižení a bodů zachycení. To je spojeno
s ovládacím systémem přes B1. Subsystém, sestávajíc ze snímače a ovládací jednotky,
splňuje požadavky EN 1760-2 v Kategorii 3 a EN ISO 13849-1 pro PL d. Poruchy ve snímači
na tlak citlivé hraně nebo v napájecích vodičích musí být vyloučeny, nebo detekovány přes
řídící jednotku (na tlak citlivé hrany jsou provozovány buďto s použitím principu sepnutých
nebo rozpojených kontaktů).
97
8
Jestliže na tlak citlivá hrana je resetována po následné aktivaci, rotační pohyb začne znovu
s časovým zpožděním. Na tlak citlivá hrana poskytuje přiměřenou deformační cestu a
přiměřený rozsah akce.
 Světelná bariéra má funkci vodicí, bezkontaktní ochrany nebezpečných zón. Spolu s B2,
splňuje při nejmenším požadavky pro Typ 2 podle EN 61496-1 a IEC 61496-2 a EN ISO
13849-1 pro PL d. Rychlost otáčení, která je bezpečně omezena po detekci osob nebo na
objekt světelnou bariérou, je zvýšena znovu na normální rychlost po dočasném odpojení.
Napájecí vodiče k převodníku a přijímači jsou položeny odděleně nebo s ochranou.
 Při prvním spuštěním otáčivého pohybu dveří jsou provedeny zkoušky spuštění. Zkoušky
obsahují, například zkoušky bloků mikroregulátoru (mikroprocesoru, paměti RAM a ROM),
zkoušky vstupů a výstupů, kontrolu pohonu motoru frekvenčním převodníkem (včetně
zkoušení aktivace regulátoru, funkčnost rychlého zastavení a blokování pulsů). Zkouška brzd
je také provedena, při které frekvenční převodník musí působit proti působící zadržovací
brzdě.
 Během porovnání dat mezi dvěma regulátory, požadované hodnoty a získané výsledky jsou
vyměněny, se zahrnutím cyklických self-testů.
 Pokud frekvenční převodník používá blokování bezpečných pulsů, není dále od stykače
požadováno odpojení napájecího napětí. Frekvenční převodník je vhodný pro pohon a
brždění.
 K3 má mechanicky spojené kontaktní prvky podle IEC 60947-5-1, Příloha L. Spínací poloha
vypínacího kontaktu je monitorována mikroregulátorem K2 za účelem detekce poruch.
 Předpokládá se, v případě že řízení uzavřenou smyčkou zajištěnou frekvenčním převodníkem
T1 je dostatečné pro brždění otáčejících se dveří. Jakmile se pohon zastaví, pulsní blokování
se aktivuje a aktivace regulátoru zrušena pro prevenci neočekávaného spuštění. Brzdicí čas
a brzdicí vzdálenost jsou monitorovány regulátorem. Brzda Q1 je požadována v případě
závady, kdyby T1 například už nebyl dále schopen provádět určené funkce, nemůže
vzniknout žádné nebezpečí vlivem nechtěného pohynu. Q1 pracuje na principu uzavřeného
proudového obvodu.
 Software (SRESW) v K1 a K2 je programován v souladu s požadavky na PL d podle Sekce
6.3.
98
8
 Standardní součásti G1 a G2 (tam, kde jsou relevantní pro dekodéry rotačního signálu) a T1
jsou použity v souladu s instrukcemi v Sekci 6.3.10.
 Pro bezpečnostní funkci „bezpečně omezená rychlost“, vyloučení poruchy je předpokládáno
pro poruchovou podmínku zlomení hřídele dekodéru (G1/G2). Pro detaily možnosti vyloučení
poruchy, viz příklad IEC 61800-5-2, Tabulka D.16.
Poznámky
 Příklad obvodu může být použit pro implementaci bezpečnostních funkcí „funkce bezpečného
zastavení“ a „bezpečně omezená rychlost“ v řídícím systému pro tří-křídlé a čtyř-křídlé
otáčivé dveře s funkcí „rozpojení“ (křídla mohou v nebezpečých podmínkách být složena
ručně ) pro použití ve veřejných a obchodních budovách.
 Je vyžadována pravidelná ruční kontrola na tlak citlivé hrany. Prvně, funkčnost musí být
kontrolována; za druhé na tlak citlivá hrana musí být visuálně kontrolována tak, aby případné
poškození bylo včas detekováno.
 Pro výpočet pravděpodobnosti poruchy, frekvenční převodník T1 je rozdělen do bloků T1a a
T1b. Blok T1a obsahuje funkce přiřazení žádaných hodnot, aktivaci regulátoru a rychlé
zastavení, a jejich implementaci v řídícím systému. Blok T1b obsahuje blokovací funkci
bezpečných pulsů, která je dosažena malým počtem součástí.
Detailní výpočet pravděpodobnosti poruchy je proveden pro „funkci bezpečného zastavení
(SS1)“, která je také znázorněna v blokovém diagramu:
 Jelikož na tlak citlivá hrana se související řídící jednotkou B1 je komerčně dostupná jako
-7
bezpečnostní součást, její pravděpodobnost poruchy je přidána na konec výpočtu (3,00 x 10
za hodinu [E]).
 MTTFd: jou uvažovány bezpečnostní součásti K1 a K2 a jejich periferie, podle aplikace
metody výpočtu dílů, dává hodnotu 878 let [E]. Hodnota 75 let [E] je dosazena do vzorce pro
G2. Hodnoty 100 let [E] pro T1a a 1 000 let [E] pro T1b jsou dosazeny do vzorce. Hodnota
B10d 400 000 cyklů [S] je dosazena pro K3. Při jedné operaci denně, nop je 365 cyklů za rok, a
MTTFd je 10 959 let. Q1 je uvažováno s MTTFd 50 let [E]. Zadržovací brzda Q1 je
vyžadována pouze v případě závady, a není subjektem provozního opotřebení. Nade vše,
symetrizovaná hodnota MTTFd na kanál je 64,3 let („vysoká“).
99
8
 DCavg: vzhledem k výběru vhodných zkušebních opatření, hdnota DC pro K1 a K2 je 60%.
Vnitřní self-testy jsou provedeny na součástech mikroregulátoru. DC 90% je dosazeno pro
blok T1a, přičemž detekce poruchy se objeví při procesu. G2 je ohodnoceno s DC 90%; také
zde detekce poruchy je zprostředkována procesem a porovnáním s G1 přes K1 a K2. K3 je
ohodnoceno s DC 99% díky přímému monitorování zpětné informace mechanicky spojenému
kontaktu. Díky provedení statického startovacího testu, DC 60% je dosazeno za T1b a DC
30% za Q1. Průměrování tak dá DCavg („nízké“).
 Dostatečné opatření proti společné příčině poruchy (70 bodů): separace (15), FMEA (5),
ochrana proti přepětí atd. (15) a podmínkám prostředí (25 + 10)
 Kombinace ovládacích prvků odpovídá Kategorii 3 s vysokým MTTFd (64,3 let) a nízkým
DCavg (62%). Pro kombinaci komponentů K1 a T1a v prvním kanále a G2, K2, T1b, K3 a
-7
Q1ve druhém kanále, průměrná pravděpodobnost nebezpečné poruchy je 1,94 x 10 za
hodinu. Spolu se snímací jednotkou sestávajíc z na tlak citlivé hrany a řídící jednotky B1,
celková průměrná pravděpodobnost nebezpečné poruchy řízení pro bezpečnostní funkci je
-7
4,94 x 10 za hodinu. To odpovídá PL d.
Výpočet pravděpodobnosti poruchy pro bezpečnostní funkci „bezpečně omezená rychlost
(SLS)“:
 G1 musí být také uvažován v prvním kanále pro tento výpočet. MTTFd v hodnotě 75 let [E] je
uvažováno pro tento účel. DC 99% je odvozeno z detekce závady přes proces a porovnáním
s G2 přes K2 a K1. Dostatečná opatření proti společné příčině poruchy byla zvolena stejně
jako v analýze prvního případu. S MTTFd 34,9 let a DCavg 70%, průměrná pravděpodobnost
-7
nebezpečné poruchy je 4,46 x 10 za hodinu. Následné přidání snímačové jednotky, v tomto
-7
případě sestávající ze světelné bariéry a řídící jednotky B2 s hodnotou 2.00 x 10 za hodinu
[E], celková průměrná pravděpodobnost nebezpečné poruchy řídícího systému pro tuto
-7
bezpečnostní funkci je 6,46 x 10 za hodinu. To také odpovídá PL d.
 EN 1760-2: Bezpečnost strojních zařízení - Ochranná zařízení citlivá na tlak - Část 2:
Všeobecné zásady pro konstrukci a zkoušení lišt citlivých na tlak a tyčí citlivých na tlak
(03.01)
 DIN 18650-1: Schlösser und Baubeschläge – Automatische Türsystem (12.05). Beuth, Berlin
2005.
100
8

IEC 60947-5-1: Spínací a řídicí přístroje nízkého napětí - Část 5-1: Přístroje a spínací ústrojí
Obrázek 8.41:
101
8
8.2.24 Režim pomalého posouvání bezpečně omezenou rychlostí na tiskařském stroji –
Kategorie 3 – PL d (Příklad 24)
Obrázek 8.42:
Režim pomalého posouvání bezpečně omezenou rychlostí na tiskařském stroji s dvou-kanálovým
mikroprocesorovým ovládáním
 Bezpečnostní funkce zastavení, aktivovaná ochranným zařízením: pohon je zastaven, když
ochranný kryt je otevřen (SS1 – bezpečné zastavení 1).
 Bezpečně omezená rychlost (SLS): když ochranný kryt je otevřen, stroj se může pohybovat
pouze omezenou rychlostí.
 Režim pomalého posouvání: když ochranný kryt je otevřen, pohyby jsou možné pouze tehdy,
když tlačítko pomalého posouvání je stlačeno.
Funkční popis
 Modul dálkového ovládání I/O K1 registruje stavy spínače poloh s osobní funkcí bezpečnosti
B1 a tlačítka pomalého posouvání S1, a zpřístupní tuto informaci funkční sběrnici. Tato
informace je vyhodnocena funkční PLC K3 a způsobí aktivaci frekvenčního převodníku T1
(funkční aktivace T1a) přes funkční sběrnici. I/O module K2 a monitorovací PLC K4, který
komunikuje přes určenou monitorovací sběrnici, je redundantně funkční ke K1 a K3.
102
8
K4 může způsobit neřízené zastavení (zpomalení) adresováním blokování bezpečných pulsů
T1 (bezpečné vypnutí T1b).
 S otevřeným B1, je povolen pouze režim pomalého posouvání používající S1 s bezpečně
omezenou rychlostí.
 V souladu s EN 1010-1, je dostatečná jediná poloha spínače B1. Většina poruch v S1 je
deteována a řízena akustickým varováním při spouštění zahrnující P1 a zesílenou dynamiku:
když S1 je stlačeno poprvé, výstupem je akustické varování (P1); když je S1 uvolněno a
stlačeno znovu, pohon se spustí znovu se zpožděním.
 Poruchy K1 a K2 jsou detekovány porovnáním stavu v K4. K4 také monitoruje K3
monitorováním vstupních a výstupních informací. Dále, poruchy v K3 jsou částečně odhaleny
poruchami v procesu. Self-testy (například monitorování sekvence programu interní dohlížecí
jednotkou) jsou provedeny v K4; dále, K3 používá K4 pro pravidelné adresování blokování
pulsů a monitorování zpětné vazby z posledně zmíněného přes mechanicky spojený
rozpojovací kontakt relé blokování pulsů T1.
 Spolu se sin/cos dekodérem G1, frekvenční převodník T1 vytváří uzavřenou smyčku řídícího
systému ve které poruchy (chyby tisku, trhání papíru) jsou detekovány výrobním procesem,
který je vysoce synchronní. Pro monitorování nebo bezpečně omezenou rychlost, G1 je také
2
2
zpětně přečteno v K4 a monitorováno pro věrohodnost sin/cos informace (sin + cos = 1) a
pro shodu s nastavením pro T1.
B jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů) tak, jak je
 Rozpojovací kontakt B1 splňuje IEC 60947-5-1, Přílohu K. Jsou implementována opatření pro
zamezení posunutí a rozumně předvídatelné chybné použití (viz EN 1088 s Přílohou A1).
Stabilní uspořádání ochranných zařízení je zajištěno pro aktivaci polohového spínače.
 Navzdory varování při spuštění a zesílené dynamice, S1 viset při provozu pomalého
posouvání. Dodatečný požadavek je proto instalace zařízení pro nouzové zastavení v dosahu
operátora.
103
8
 Podmínky pro vyloučení poruchy z důvodu zkratu vodičů podle EN ISO 13849-2, Tabulka D.4
musí být dodrženy pro připojovací vodiče k S1. Poruchy v připojovacích vodičích k B1 jsou
detekovány ne-ekvivalentním monitorováním rozpojení a propojení K1a K2.
 Programovatelné komponenty K1 až K4 splňují normativní požadavky v souladu se Sekcí 6.3.
 G1 dodává redundantní posiční informace (např. sin/cos dekodér) a je integrován do řídícího
obvodu s uzavřenou smyčkou (získávání změny).
 T1 má blokování bezpečných pulsů (T1b), úspěšně adresující který je přečetn mechanicky
spojeným rozpínacím kontaktem.
 Standardní komponenty G1 a T1 jsou použity v souladu s pokyny v Sekci 6.3.10.
 Systémy sběrnic (funkční sběrnice, monitorovací sběrnice) jsou použity v souladu
s instrukcemi v Sekci 6.2.17.
Poznámky
 Použití například pro ochranu zachycovacích bodů na rotačních tiskařských strojích. Pro necyklické zásahy operátora do nebezpečné oblasti, tj. méně často než jeden zásah za hodinu,
EN 1010-1 vyžaduje pouze jednu polohu spínače pro monitorování polohy ochranného kratu.
Kriteria pro toleranci poruchy pro Kategorii 3 všeobecně vyžadují použití dvou polohových
spínačů (např. jeden rozpojovací kontakt, jeden spínací kontakt) pro podobné systémy řízení
stroje.
 Pro subjekt režimu pomalého posouvání k podmínce, že bezpečně omezená rychlost je již
zaručena, možnost vyhnutí se nebezpečí může být za určitých podmínek předpokládáno.
 Snímací úrovně B1, S1 a G1 leží vně redundantní logické a spouštěcí úrovně a jsou proto
zvažovány odděleně.
 Vyloučení chyby pro elektrický kontakt přímého otevření je možný pro B1. Hodnota B10d ve
výši 20 000 000 cyklů [S] je předpokládána pro mechanickou část B1. Při 10 operacích za
týden, nop je 520 cyklů za rok a MTTFd je 384 615 let. To matematicky odpovídá průměrné
-10
pravděpodobnosti nebezpečné poruchy 2,97 x 10
za hodinu. Tak aby byly dány v úvahu
-7
zvláštní aspekty EN 1010-1, tato hodnota je snížena na horní značenou hodnotu 1,00 x 10
za hodinu pro PL d, místo MTTFd pro jeden kanál završené na 100 let jako obvykle.
104
8
 S1 má hodnotu B10d 100 000 cyklů [M].Při 10 operacích za týden, nop je 520 cyklů za rok a
MTTFd je 1 923 let. Díky zesílené dynamice a zahřívání při spuštění, DC je předpokládáno
nejméně 60% (závisející zda následující opakované pomalé posouvání není detekováno).
Zahrnutím do struktury Kategorie 2, S1 tak dosahuje průměrnou pravděpodobnost
-7
nebezpečné poruchy 5,28 x 10 za hodinu.
 Díky vyhodnocení signálů sin/cos a jejich použití v ovládacím obvodu uzavřené smyčky (pro
výměnu), G1 je integrováno v souladu s Kategorií 3. Při MTTFd na kanál 30 let [E]a DC 90%
díky věrohodnosti zkoušení a detekci poruch v procesu, průměrná pravděpodobnost
-7
nebezpečné poruchy je 2,65 x 10 za hodinu.
 MTTFd : 100 let [E] je povoleno pro K1 a K2, 50 let [E] pro K4, a 30 let [E] je dosazeno pro
T1a a 1 000 let [E]pro T1b. Celkově, to dává symetrizovanou hodnotu MTTFd na kanál 24 let
(“střední”).
 DCavg: DC ve výši 99 % pro K1 a K2 je dáno přímým porovnáním dodávané stavové
informace v K4. DC 99% pro K3 je na základě paralelního zpracování všech bezpečnostních
informací v K4 a na přímém porovnání v K4 se středními výsledky a výstupními signály
vytvářenými K3. Self-testy implementované v K4 spolu s částečným monitorováním
odečítaných blokování pulsů K3 dává DC 60% pro K4. DC 99% pro T1a je na základě
porovnání v K4 mezi nastaveným bodem a skutečnou hodnotou polohy hřídele. Pro T1b,
předpoklad vyloučení poruchy pro vnitřní optický člen, který má zpětný odečet adresování
výsledků blokování pulsů v DC 60%. Průměrování pak dává DCavg 91% („střední“).
 Dostatečná opatření proti společné příčině poruchy (70 bodů) :separace (15), FMEA (5),
ochrana proti přepětí atd. (15) a podmínkám prostředí (25+10)
 Kombinace K1 ke K4 a T1 odpovídá Kategorii 3 se středním MTTFd na kanál (24 let) a střední
-7
DCavg (91%). To dává průměrnou pravděpodobnost nebezpečné poruchy 3,33 x 10 za
hodinu. Hodnoty pro B1 a G1 musí být přidány k této hodnotě pro funkci bezpečného
-7
-7
zastavení a bezpečně omezenou rychlost . (1,00 + 2,65 +3,33) x 10 za hodinu = 6,98 x 10
za hodinu , čímž dává PL d. Hodnoty pro S1 a G1 musí být přidány pro režim pomalého
-7
-8
posouvání: je tak daná hodnota (5,28 + 2,65 + 3,33) x 10 za hodinu = 1,13 x 10 za hodinu.
To odpovídá PL c.
105
8
tiskových strojů a strojů na zpracování papíru - Část 1: Společné požadavky (12.04)
 Safety in Construction and Design of Printing and Paper Converting Machines. Electrical
Equipment and Control systems. Ed.: Berufsgenossenschaft Druck und Papierverarbeitubg,
Wiesbaden, 2004.
www.bgdp.de/pages/service/download/medien/220-2e.pdf
 Apfeld,R.; Ziligen,H.: Sichare Antriebssteuerungen mit Frequenzzumrichtern. BIA Report
5/2003. Ed.: Hauptverband der gewerblichen Berufsgenossenschaften (HVBG), Sankt
Augustin, 2003.
www.dguv.de/bgia, Webcode d6428.
Obrázek 8.43
106
8
8.2.25 Ovládání pneumatického ventilu (subsystém) – Kategorie 3 – PL e (Pro
bezpečnou funkčnost PL d) (Příklad 25)
Obrázek 8.44:
Zkoušené pneumatické ventily pro redundantní řízení nebezpečných pohybů
107
8
 Bezpečnostní funkce zastavení: zastavení nebezpečných pohybů a prevence neočekávaného
 Zde je znázorněna pouze pneumatická část ovládání, ve formě subsystému. Další ovládací
součásti vztahující se k bezpečnosti (např. Ochranná zařízení a elektrické logické součásti)
musí být přidány ve formě subsystémů pro kompletování bezpečnostní funkce.
Funkční popis
 Nebezpečné pohyby jsou řízeny redundantně směrovými ovládacími ventily. Pohyby mohou
být zastavenybuďto směrovým ovládádacím ventilem 1V1, nebo směrovými ovládacími
ventily 2V2 a 2V3. Tyto jsou řízeny řídícím ventilem 2V1.
 Sama porucha těchto ventilů nevyústí ve ztrátu bezpečnostní funkce.
 Všechny směrové řídící ventily jsou aktivovány v procesu cyklicky.
 Funkčnost ovládacího ventilu 2V1 je monitorována tlakovým spínačem 2S1. Určité poruchy
na nemonitorovaných ventilech jsou identifikovány v pracovním procesu. Ventily 2V2 a 2V3
by měly být vybaveny polohovými monitory, nebo pokud tomu tak ještě není – jejich provoz by
měl být kontrolován pravidelně. Akumulování nedetekovaných poruch může vést ke ztrátě
 Pokud by zachycený stlačený vzduch představoval další nebezpečí, jsou požadována
B jsou splněny.
 Směrový ovládací ventil 1V1má uzavřenou střední polohu s dostatečným překrytím a
středěním prožinou.
 Stop ventily 2V2 a 2v3 jsou ideálně zašroubovány do válce a ovládány ventilem 2V1, který
slouži jako pilotní ventil.
108
8
 Bezpečnostní spínací posice je zaujímána z jakékoliv posice odejmutím řídícího signálu.
 Jedno-kanálové PLC například je použito pro zpracování signálů od monitoru tlaku 2S1
 MTTFd : Hodnoty B10d 40 000 000 cyklů [E] jsou předpokládány pro ventily 1V1 a 2V1.
Hodnoty B10d 60 000 000 cyklů [E] jsou předpokládány pro ventily2V2 a 2V3. Při 240
pracovních dnech, 16 pracovních hodinách a době cyklu 10 sekund, nopje 1 382 400 cyklů za
rok. MTTFd pro 1V1 a 2V1 je tak 289 let, a pro 2V2 a 2V3 434 let. Uzavřením dvou kanálů na
100 let vyústí v symetrizovanou hodnotu MTTFd na kanál v hodnotě 100 let („vysokou“).
 DCavg: monitorování tlaku řídícího signálu pro stop ventily dává 99% pro 2V1. Detekce
poruchy přes proces dává DC 60% pro 1V1, a pravidelné kontrolování provozu v DC 60% pro
2V2/2V3. Průměrování tak dává 71% („nízké“).
 Dostatečná opatření proti společné příčině poruchy (85 bodů): oddělení (15), rozmanitost
(20), ochrana proti přepětí atd. (15) a podmínky prostředí (25+10)
 Kombinace pneumatických ovládacích prvků odpovídá Kategorii 3 s vysokým MTTFd (100 let)
-8
a nízkým DCavg (71%), To dává průměrnou pravděpodobnost nebezpečné poruchy 7,86 x 10
za hodinu. To odpovídá PL e. Přidání dalšíbezpečnoch ovládacích částí jako subsystémů pro
kompletaci bezpečnostní funkce obecně vyústí v nižší PL.
109
8
8.2.26 Ovládání pneumatického ventilu – Kategorie 3 – PL e
(Příklad 26)
Obrázek 8.45:
Redundantní pneumatický ovládací systém pro blokování pohyblivých krytů
 Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: když pohyblivý kryt je
otevřen, napájení je odpojeno a pneumatický řídící systém je odtlakován.
Funkční popis
 Pohyblivý kryt je blokován dvěma „pneumatickými polohovými spínači“ (1V1 a 2V1). 1V1 a
2V1 vydávají řídící příkazy ke směrovým řídícím ventilů 1V2 a 2V2.
 Pneumatická energie je dodávána pouze když ochranné zařízení je uzavřeno
 Porucha „pneumatického polohového spínače“ nebo směrového řídícího ventilu nevyústí ve
ztrátu bezpečnostní funkce.
110
8
 Poruchy na ventilech 2V1 a 1V2 jsou detekovány tlakovými spínači 1S1 a 2S1 a 1S2.
Relevantní signály mohou být zpracovány v PLC. Pokud by byla detekována porucha,
napájení energií může být odpojeno. Žádná detekce poruchy není zajištěna pro ventil 2V2.
Tento ventil by měl být pravidelně kontrolován na správnou funkci. Nashromáždění
nedetekovaných závad může vést ke ztrátě bezpečnostní funkce.
 Pokud by zachycený stlačený vzduch představoval další nebezpečí, jsou požadována
B jsou splněny.
 1V1 je pneumatický polohový spínač s positivní aktivací pohyblivým krytem v souladu s EN
1088.
 Stabilní uspořádání ochranných prostředků je zajištěno pro aktivaci polohového spínače.
 Bezpečnostní poloha spínače směrových řídících ventilů 1V2 a 2V2 je dosažena odejmutím
řídících signálů.
 MTTFd: vyloučení poruchy je předpokládáno pro ventil 1V1, jelikož positivní operace je
zajištěna pohyblivým krytem a ventil přebírá formu polohového spínače s osobní
bezpečnostní funkcí (na základě IEC 60947-5-1). Hodnoty B10d ve výši 20 000 000 cyklů [S]
jsou předpokládány pro ventily 2V1, 1V2 a 2V2. Při 240 pracovních dnech, 16 pracovních
hodinách a době cyklu 30 sekund, nop je 460 800 cyklů za rok a MTTFd je 434 let. Završení
dvou kanálů na 100 let vyústí v symetrizovanou hodnotu MTTFd na kanál na hodnotu 100 let
(„vysokou“).
 DCavg: DC 99% je produkováno pro směrové řídící ventily 2V1a 1V2 mající detekci poruch
prostřednictvím tlakových spínačů. DC 0% je předpokládáno pro směrový řídící ventil 2V2
(chybující odhad na bezpečné straně). Průměrování tak vyústí v DCavg 66% („nízké“).
 Přiměřená opatření proti společné příčině poruchy (65 bodů): oddělení (15), ochrana proti
 Kombinace pneumatických řídících prvků odpovídá Kategorii 3 s vysokým MTTFd (100 let) a
nízkým DCavg (66%). To vyústí v průměrnou pravděpodobnost nebezpečné poruchy 8,95 x
-8
10 za hodinu. To odpovídá PL e.
 IEC 60947-5-1: Spínací a řídicí přístroje nízkého napětí - Část 5-1: Přístroje a spínací ústrojí
111
8
Obrázek 8.46:
112
8
8.2.27 Ovládání hydraulického ventilu (subsystém) – Kategorie 3 – PL e (pro bezpečnostní
funkci PL d )(Příklad 27)
Obrázek 8.47:
Zkoušené hydraulické ventily pro redundantní ovládání nebezpečných pohybů
 Bezpečnostní funkce zastavení: zastavení nebezpečného pohybu a prevence
neočekávaného spuštění z klidové posice
 Zde je znázorněna pouze hydraulická část ovládání, ve formě subsystému. Další
bezpečnostní řídící komponenty (např ochranná zařízení a elektrické logické součásti) musí
být dodány ve foemě subsystémů pro kompletaci bezpečnostní funkce.
113
8
Popis funkce
 Nebezpečné pohyby jsou prováděny ve stejné nebezpečné oblasti dvěma akčními členy, 1A
a 2A. Dva pohyby mohou být zastaveny buďto dvěma směrovými ovládacími ventily 1V5 a
2V1, nebo na vyšší úrovni směrovým ovládacím ventilem 1V3.
 Porucha jednoho z těchto ventilů sama nevyústí ve ztrátě bezpečnostní funkce.
 1V5 a 2V1 jsoi aktivovány cyklicky v procesu. 1V3 uzavírá pouze jako reakci na bezpečnostní
funkci, ale nejméně jednou za směnu.
 Technické opatření na detekci poruchy je implementováno pouze na 1V3 (poloha
monitorovaná 1S3). Určité poruchy na nemonitorovaných ventilech jsou zjišťovány
v pracovním procesu. Akumulování nedetekovaných závad může vést ke ztrátě bezpečnostní
funkce.
B jsou splněny.
 Směrové ovládací ventily 1V5 a 2V1 mají uzavřenou střední polohu s dostatečným překrytím
a středěním pružinou. 1V3 má monitorování elektrické posice, zatímco 1V3 není cyklicky
spínán.
 Bezpečnostní spínací poloha je dosahována v každém případě odejmutím řídícího signálu
(elektrického nebo hydraulického).
 Jedno-kanálové PLC může být použito pro zpracování signálu monitorování elektrické posice.
 MTTFd: MTTFd 150 let [S] je předpokládáno pro směrové řídící ventily 1V3, 1V5 a 2V1. Druhý
kanál (1V3) uzavírá na 100 letech dává symetrizovanou hodnotu MTTF d ve výši 88 let
(„vysokou“).
 DCavg : DC 99% pro 1v3 je založeno na přímém monitorování spínacího stavu členem 1S3.
DC 60% pro směrové řídící ventily 1V5 a 2V1 je na základě nepřímého monitorování
procesem. Průměrování tak dává DCavg 73% („nízké“).
114
8
přepětí atd. (15) a podmínky prostředí (25 + 10)
 Kombinace hydraulických ovládacích prvků odpovídá Kategorii 3 s vysokým MTTFd (88 let) a
nízkým DCavg (73%). Top vyústí v průměrnou pravděpodobnost nebezpečné poruchy 9.35 x
-8
10 za hodinu. To odpovídá PL e. Přidání další bezpečnostních ovládacích částí ve formě
subsystémů pro kompletaci bezpečnostní funkce všeobecně dává nižší PL.
Obrázek 8.48:
115
8
8.2.28 Monitorování polohy pohyblivých krytů – Kategorie 4 – PL e (Příklad 28)
Obrázek 8.49:
Monitorování polohy pohyblivých krytů pro prevenci nebezpečných pohybů
 Bezpečnostní funkce zastavení: iniciovaná ochranným zařízením: otevření pohyblivého krytu
(bezpečnostního krytu) iniciuje bezpečnostní funkci STO (bezpečné přerušení krouticího
momentu).
116
8
Popis funkce
 Nebezpečná zóna je chráněna dvěma pohyblivými kryty (bezpečnostními kryty). Otevření
dvou bezpečnostních krytů je detekováno dvěma polohovými spínači B1/B2a B3/B4
obsahujícími kombinaci rozpoj kontakt/spoj kontakt a vyhodnocovaná cetrálním
bezpečnostním modulem K1. K1 aktivuje dva stykače, Q1 a Q2, přičemž jejich odpadnutí
přeruší nebo zamezí nebezpečné pohyby nebo stavy.
 Pro účely detekci poruch, všechny stavy posičních spínačů jsou odečítány druhým kontaktem
standardním PLC K3, jeho ž hlavním účelem je funkční řízení. V případě poruchy, K3 může
odpojit starče Q1 a Q2 nezávisle na K1 pomocí stykačového relé K2. Poruchy v K2, Q1 a Q2
jsou detekovány bezpečnostním modulem K1. Malý počet závad není detekován (např.
porucha přerušení kontaktů v B2 a B4).
 Bezpečnostní funkce je ponechána v případě poruchy komponentu. Většina poruch
komponent je detekována a vede k zábraně operací. Nashromáždění nedetekovaných závad
nevede ke ztrátě bezpečnostní funkce.
B jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů) tak, jak jsou
popsány v úvodních paragrafech Kapitoly 8.
 Je zajištěno stabilní uspořádání ochranných zařízení pro aktivaci posičních spínačů.
 B1 a B3 jsou polohové spínače s přímými otevíracími kontakty podle IEC 60947-5-1, Příloha
K.
 Napájecí vodiče k polohovým spínačům jsou položeny odděleně nebo s ochranou.
 Poruchy ve spouštěcím a aktivačním mechanismu jsou detekovány použitím dvou
polohových spínačů, které se liší podle způsobu jejich aktivace (kombinace rozpojení a
spojení).
 Několik ochranných zařízení může být zapojeno stupňovitě.
 Bezpečnostní modul K1 splňuje všechny požadavky pro Kategorii 4 a PL e.
 Stykače K2, Q1 a Q2 mají mechanicky spojené kontaktní prvky podle IEC 60947-5-1, Příloha
L.
 PLC K1 splňuje normativní požadavky popsané v Sekci 6.3.
117
8
 Uspořádání obvodu může být rozděleno do tří subsystémů tak, jak je znázorněno
v bezpečnostním blokovém schématu. Pravděpodobnost poruchy bezpečnostního modulu K1
-9
je přidána na konec výpočtu (2,31 x 10 za hodinu [M], vhodná pro PL e). Pro zbývající
subsystem, pravděpodobnost poruchy je vypočtena následovně. Jelikož každý bezpečnostní
kryt tvoří část určené bezpečnostní funkce, výpočet je zde ukázán dosazením pro ochranné
zařízení 1.
 MTTFd: vyloučení poruchy je možné pro elektrický kontakt posičního spínače B1 s přímým
otevíracím kontaktem. Pro elektrický zapínací kontakt posičního spínače B2, hodnota B10d je
1 000 000 spínacích operací [M]. Hodnota B10d je ve výši 1 000 000 cyklů [M] je určena pro
mechanické části B1 a B2. Při 365 pracovních dnech, 16 pracovních hodinách za den a době
cyklu 1 hodina, nop je 5 840 cyklů za rok pro tyto komponenety, a MTTFd je 1 712 let pro B1 a
856 let pro B2. Pro stakyče Q1 a Q2, hodnota B10 odpovídá pod induktivním zatížením (AC 3)
elektrické životnosti 1 000 000 spínacích operací [M]. Jestliže 50% poruch je předpokládáno
jako nebezpečných, hodnota B10d je pak dána zdvojnásobením hodoty B10. Hodota
předpokládaná shora pro nop vyústí v MTTFd ve výši 3 424 rok na kanál pro Q1 a Q2.
Dohromady symetrizovaná hodnota MTTFd na kanál ve dvou subsystémech je 100 let
(“vysoká”).
 DCavg: DC 99% pro B1 a B2 je na základě věrohodnosti monitorování rozpojovací/spojovací
kombinace kontaktu v PLC K3. DC 99% pro stykače Q1 a Q2 je odvozena od monitorování
každého sepnutí K1. Uváděné hodnoty DC odpovídají DCavg příslušného subsystému.
 Přiměřená opatření proti společné příčině poruchy v subsystémech B1/B2a Q1/Q2 (70bodů):
separace (15), dobře vyzkoušené komponenty (5), ochrana proti přepětí atd. (15) a podmínky
prostředí (25+10)
 Subsystémy B1/B2 a Q1/Q2 oboje odpovídají Kategorii 4 s vysokým MTTFd (100 let) a
vysokým DCavg (99%). To dává průměrnou pravděpodobnost nebezpečné poruchy v každém
-8
případě 2,47 x 10 za hodinu. Po následujícím přidání subsystému K1, průměrná
-8
pravděpodobnost nebezpečné poruchy je 5,16 x 10 za hodinu. To odpovídá PL e.
118
8
8.2.29
Stupňovité zapojení zařízení pro nouzové zastavení pomocí bezpečnostního modulu –
Kategorie 3 – PL e (Příklad 29)
Obrázek 8.50:
Stupňovité zapojení zařízení pro nouzové zastavení pomocí bezpečnostního modulu
(funkce nouzového zastavení, STO)
 Funkce nouzového zastavení, STO je aktivováno zařízením nouzového zastavení
Popis funkce
 Nebezpečné pohyby nebo stavy jsou přerušeny nebo zamezeny aktivací zařízení nouzového
zastavení. Jak je ukázáno v Příkladu 3 v Sekci 5.3.2, každé zařízení nouzového zastavení
spouští svou vlastní bezpečnostní funkci. S1je vyhodnoceno v bezpečnostním modulu K1,
který aktivuje dvě redundantní stykačové relé K2 a K3.
 Signály ze zařízení nouzového zastavení jsou odečteny redundantně do bezpečnostního
modulu K1 pro detekci poruchy. K1 má také vnitřní zkušební opatření. Stykačové relé K2 a
K3 jsou také monitorovány v K1, pomocí mechanicky spojených zpětných kontaktů. K2 a K3
jsou ovládány spínačem S4 při každém příkazu ke spuštění, přibližně dvakrát měsíčně.
Akumulace více než dvou závad v době mezi dvěma po sobě jdoucími aktivacemi může vést
ke ztrátě bezpečnostní funkce.
 Nepředpokládá se, že by více než jedno zařízení pro nouzové zastavení bylo stlačeno
současně.
119
8
 Zařízení nouzového zastavení S1, S2 a S3 jsou spínací zařízení s přímými otevíracími
kontakty podle IEC 60947-5-1, Příloha K.
 Bezpečnostní modul K1 splňuje všechny požadavky pro Kategorii 4 a PL e.
 Stykače K2, a K3 mají mechanicky spojené kontaktní prvky podle IEC 60947-5-1, Příloha L.
Poznámka
 Funkce nouzového zastavení je komplementárním ochranným opatřením k EN ISO 121002:2004.
 S1, S2 a S3 jsou standardní zařízení nouzového zastavení podle EN ISO 13850. Vyloučení
závad je použito pro přímé otevírací kontakty a pro mechanické prvky, počet operací daný
Tabulkou D.2 této zprávy není překročen.
 Pravděpodobnost poruchy finálního bezpečnostního modulu K1 je přidána na konec výpočtu
-9
(2,31 x 10 za hodinu [M], vhodné pro PL e). Pro subsystém K2/K3 pravděpodbnost poruchy
je vypočtena dále.
 MTTFd : pro stykačové relé K2 a K3, hodnota B10 odpovídá pod induktivním zatížení (AC 3)
elektrické životnosti 1 000 000 spínacích operací [M]. Jestliže 50% závad je považováno jako
nebezpečné, hodnota B10d je daná zdvojnásobením hodnoty B10. Se třemi požadavky na
funkci nouzového zastavení a 24 příkazům ke spuštění za rok, nop je 27 cyklů za rok a MTTFd
je 740 740 let. To je také symetrické MTTFd na kanál, které je završeno na 100 let („vysoké“).
 DCavg: DC 90 % pro K2 a K3 je na základě zkoušení bezpečnostního modulu K1. To je také
DCavg („střední“).
 Přiměřená opatření proti společné příčině poruchy (70bodů): separace (15), dobře
vyzkoušené komponenty (5), ochrana proti přepětí atd. (15) a podmínky prostředí (25+10)
 Subsystém K2/K3 odpovídá Kategorii 3 s vysokým MTTFd (100 let) a střední DCavg (90 %). O
-8
dává průměrnou pravděpodobnost nebezpečné poruchy 4,29 x 10 za hodinu. Po následném
-8
přidání subsystému K1, průměrná pravděpodobnost nebezpečné poruchy je 4,52 x 10 za
hodinu. To odpovídá PL e. PLr je tak překročena.
120
8
Obrázek 8.51:
121
8
8.2.30 Monitorovací modul stykače – Kategorie 3 – PL e (Příklad 30)
Obrázek 8.52:
Iniciování STO (bezpečné vypnutí krouticího momentu) pomocí bezpečnostního modulu a
monitorovacího modulu stykače
 Funkce nouzového zastavení, STO je aktivováno zařízením nouzového zastavení
Popis funkce
 Nebezpečná zóna je chráněna pomocí ochranného zařízení, jehož otevření je detekováno
bezpečnostním modulem K1. Tento aktivuje stykač Q2 a kombinaci monitorovacího modulu
stykače F1 a uvolnění podpětí Q1.Vypadnutí Q2 přeruší nebezpečné pohyby a zamezí
nebezpečným stavům. Monitorovací modul stykače F1 má funkci monitorování hlavních
kontaktů stykače Q2 na svaření kontaktů. Pokud by Q2 nevypadl, F1 rozpojí odpojovač
obvodu nebo motor-starter Q1 přes uvolnění podpětí. Odpojovač obvodu motor starteru pak
odpojí motor.
122
8
 Bezpečnostní funkce je zachována v případě poruchy komponentu
 Nashromáždění závad mezi dvěma po sobě jdoucími aktivacemi může vést ke ztrátě
 Pojistka Q1 je pravidelně kontrolována pomocí zkušební funkce, která musí být
implementována ručně. Interval mezi zkouškami by neměl překročit jednu setinu MTTFd Q1:
Zkouška by měla být provedena například během údržby stroje. Stykač Q2 je zkoušen
kontinuálně modulem monitorování stykače. Ztráta bezpečnostní funkce mezi zkouškami, tak,
jak je možné s Kategorií 2 se nemůže objevit. Tolerance jednotlivé závady je tak zajištěna a
požadavky Kategorie 3 jsou splněny.
 Z důvodů zjednodušení, detaily ochranných zařízení byly z prezentace vynechány.
 Ochranné zařízení používá bezpečnostní module K1. Který zabezpečí všechny požadavky
pro kategorii 3 nebo 4 a PL e.
 Stykač Q2 je vybaven zrcadlovými kontakty podle IEC 60947-4-1, Příloha F, a je integrován
do zpětné vazby bezpečnostního modulu K1 pro detekci poruchy stykače.
 Posuzování poruchy pro Q2 (se zrcadlovými kontakty) a pro interní relé monitorovacího
modulu stykače F1 je jako pro mechanicky spojené kontakty.
Poznámka
 Musí být uvážen čas reakce způsobený monitorovacím modulem modulem stykače F1
s ohledem na odpadnutí Q1.
 Bezpečnostní funkce dovoluje rozdělení do dvou subsystémů. Subsystém sestávajíc
z ochranného zařízení a bezpečnostního modulu K1 není v tomto případě uvažován.
 MTTFd : pro monitorovací modul stykače F1, MTTFd je 125 let při maximu nop 350 400 cyklů
za rok [M]. Při induktivním zatížení (AC 3), hodnota B10 pro Q1 je 10 000 spínacích cyklů, a
hodnota B10d pro Q2 je 1 300 000 spínacích cyklů.
123
8
Při předpokládané aktivaci jednou denně při 365 pracovních dnech, nop je 365 cyklů za rok
pro Q1, a MTTFd je 274 let. Při 365 pracovních dnech, 16 pracovních hodinách za den a době
cyklu 1 minuta, nop je 350 400 cyklů za rok pro Q2, a MTTFd je 37 let. Pro kanál sestávajíc
z F1 a Q1, to dává MTTFd 85 let. Celkově, výsledná symetrizovaná hodnota na kanál je 64 let
(„vysoká“).
 DCavg: DC 99% pro Q2 je založena na zkoušení pomocí monitorovacího modulu stykače F1.
DC 99% pro F1 je dosažena opatřením pro detekci poruch uvnitř monitorovacího modulu
stykače. Jistič je zkoušen pomocí ruční testovací funkce, která musí být implementována; to
dává DC 90%. DC 99% je dosazeno pro F1. Průměrováním tak vytváří DCavg 98% („střední“).
 Subsystém sestávající z Q1, Q2 a F1 odpovídá Kategorii 3 s vysokým MTTFd (64 let) a
-8
středním DCavg (98%). To vyústí v pravděpodobnost nebezpečné poruchy 4,45 x 10 za
hodinu. To odpovídá PL e. Následující přidání subsystému obsahujícímu ochranné opatření a
bezpečnostní module K1, pak PL může za určitých okolností být nižší.
 Při zvážení odhadu výskytu chyb na straně bezpečnosti tak, jak je popsaná shora, hodnota
T10d 3,7 let je dosažena při specifikované výměně prvku Q2.
124
8
8.2.31 Ovládání pneumatického ventilu (Subsystém) – Kategorie 4 – PL e (Příklad 31)
Obrázek 8.53:
Zkoušené pneumatické ventily pro redundantní ovládání nebezpečných pohybů
125
8
 Bezpečnostní funkce: obrácení nebezpečného pohybu a prevence neočekávaného spuštění
z klidové posice
 Je zde ukázána pouze pneumatická část ovládání, ve formě subsystému. Další bezpečnostní
ovládací komponenty (např. ochranná zařízení a elektrické logické prvky) musí být přidány ve
 Popis funkce
 Nebezpečné pohyby jsou řízeny kombinací ventilu 1V1 s vlastním monitorováním, v součinnosti
s pilotně ovládaným zpětným ventilem 1V2 (důležitým v případě poruchy pneumatiky a při
působení vnějších sil).
 Porucha komponentu v rámci kombinace ventilu nevyústí ve ztrátu bezpečnostní funkce.
 Dva pilotní ventily obsažené ve ventilové kombinaci 1V1 jsou aktivovány nezávisle. Pokud by
byl odejmut nejméně jeden ovládací signál, pohyb je reverzován.
 Jednotlivá závada v rámci kombinace ventilů vyústí v nezpůsobilost v bezpečnostním stavu a je
proto detekována v pracovním procesu; iniciování dalšího nebezpečného pohybu je zamezeno.
 Ventilová kombinace 1V1 také může být tvořena několika ventily vhodně spojenými a
s vhodným ověřováním spínací polohy.
 Pokud by akumulovaný stlačený vzduch představoval další nebezpečí, jsou vyžadována další
opatření.
 Jsou dodržovány základní a dobře vyzkoušené bezpečnostní principy a požadavky Kategorie B
jsou splněny.
 1V1 je samo-monitorovací ventilová kombinace s mechanicky oddělenými pilotními ventily a
pneumaticko/mechanickou detekcí poruchy s integrovaným zpětným ventilem ve větvi P
 Bezpečnostní posice spínače je dosažena odnětím ovládacích signálů.
 Pilotně-ovládaný zpětný ventil 1V2 by měl být v ideálním případě zašroubován do válce.
 Detekce poruchy uvnitř kombinace ventilu splňuje odpovídající požadavky pro případ závady.
126
8
Ventilová kombinace 1V1 se skládá ze dvou ventilových kanálů každý se třemi propojenými
ventily. Ventily jsou označeny v blokovém diagramu jako 2V1, 2V2 a 2V3 a 3V1, 3V2 a 3V3.
 MTTFd : hodnota B10 20 000 000 cyklů [S] je předpokládána pro každý ventil ve ventilové
kombinaci 1V1. Při 240 pracovních dnech, 16 pracovních hodinách a době cyklu 10 sekund,
nop je 1 382 400 cyklů za rok a MTTFd je 144 let. Výsledkem je hodnota MTTFd na kanál 48
let („vysoká“).
 DCavg: DC 99% pro 1V1 je dána mechanickým spojením dvou ventilových kanálů se
současnou vnitřní křížovou kontrolou řídícího tlaku. DCavg je tak také 99% („vysoká“).
 Kombinace pneumatických ovládacích prvků odpovídá Kategorii 4s vysokým MTTFd (48 let) a
vysokým DCavg (99 %). To dává průměrnou pravděpodobnost nebezpečné poruchy
-8
5,30 x 10 za hodinu. To odpovídá PL e. Po přidání dalších bezpečnostních ovládacích prvků
ve formě subsystémů pro kompletaci bezpečnostní funkce, PL m§ůže být za určitých
okolností nižší.
 Odhad chybovosti na bezpečnostní straně tak, jak je popsaná shora, dává hodnotu T 10d 14 let
pro specifikovanou výměnu ventilové kombinace 1V1, která je subjektem opotřebení.
127
8
8.2.32 Ovládání hydraulického ventilu (Subsystém) – Kategorie 4 – PL e (Příklad 32)
Obrázek 8.54:
Zkoušené pneumatické ventily pro redundantní ovládání nebezpečných pohybů
 Bezpečnostní funkce: zastavení nebezpečného pohybu a prevence neočekávaného spuštění
z klidové posice
 Je zde ukázána pouze hydraulická část ovládání, ve formě subsystému. Další bezpečnostní
ovládací komponenty (např. ochranná zařízení a elektrické logické prvky) musí být přidány ve
128
8
 Popis funkce
 Nebezpečné pohyby jsou řízeny dvěma směrovými ovládacími ventily (1V3 a 1V4).
 Porucha jednoho ze dvou ventilů samotných nevyústí ve ztrátu bezpečnostní funkce.
 Dva směrové ovládací ventily jsou aktivovány cyklicky.
 Oba směrové ovládací ventily jsou vybaveny přímými monitory polohy (1S3 a 1S4). Porucha
jednoho ze dvou směrových ovládacích ventilů je detekována; po závadě, iniciování dalšího
nebezpečného pohybu je zamezeno.
jsou splněny.
 Směrové ovládací ventily 1V3 a 1V4 jsou vybaveny uzavřenou střední polohou s dostatečným
překrytím, vracení pružinou do střední polohy a monitorováním elektrické polohy.
 Bezpečnostní spínací poloha je dosažena z jakékoliv posice odejmutím ovládacího signálu.
 Zpracování signálu monitorem elektrické posice splňuje základní požadavky pro řízení závady.
 MTTFd : MTTFd v hodnotě 150 let je předpokládána pro směrové ovládací ventily 1V3 a 1V4 [S].
To je tak0 hodnota MTTFd na kanál, která je završena na 100 let (“vysoká”).
 DCavg: DC 99% pro směrové ovládací ventily 1V3 a 1V4 je na základě přímého monitorování
spínacího stavu. Průměrováním je také docílen DCavg 99% („vysoký“).
 Kombinace hydraulických ovládacích prvků odpovídá Kategorii 4s vysokým MTTFd (100 let) a
vysokým DCavg (99 %). To dává průměrnou pravděpodobnost nebezpečné poruchy
-8
2,47 x 10 za hodinu. To odpovídá PL e. Po přidání dalších bezpečnostních ovládacích prvků
ve formě subsystémů pro kompletaci bezpečnostní funkce, PL může být za určitých okolností
nižší.
129
8
Obrázek 8.55:
130
8
8.2.33
Elektrohydraulické řízení tlaku – Kategorie 4 – PL e (Příklad 33)
Obrázek 8.56:
Řízení tlaku, elektrické monitorování pohyblivého krytu s hydraulickým zastavením nebezpečného
pohybu
 Bezpečnostní funkce zastavení, iniciovaná ochranným zařízením: zastavení nebezpečného
pohybu
131
8
Popis funkce
 Nebezpečná oblast je chráněna pomocí pohyblivého krytu, jehož poloha je detekována dvěma
polohovými spínači B1 a B2 ve formě kombinace rozpoj/spoj kontakt. Signály jsou vyhodnoceny
ve standardním bezpečnostním modulu K2, který je v obvodu aktivace cesty pro elektrický
pilotní ovládač K1 (konvenční PLC) pro hydraulický aktivátor. Nebezpečné pohyby nebo styv
jsou ovládány třemi směrovými ovládacími ventily (1V3, 1V4 a 1V5) na straně aktivátoru.
 Jako odezva na požadavek na bezpečnostní funkci, všechny ventily jsou odpojovány pomocí
K2, a jsou polohovány svými vratnými pružinami do uzavřené střední posice (1V4) nebo
uzavřené posice (1V3 a 1V5). Návrat oleje ze spodní strany pístu válce do nádrže je přerušen
ventily 1V4 a 1V5 současně. 1V5 je talířový ventil, který je uspořádán pro přerušení objemového
toku bez prolínání oleje. Ventil 1V4, který také ovládá směr pohybu válce, je směrový ovládací
ventil pístového typu, který také vykazuje určitý stupeň prolínání v uzavřené střední posici,
Ačkoliv 1V3 je pouze nepřímo do funkce zastavení, může nebezpečně ovlivnit bezpečnostní
funkci. Pokud by 1V3 a 1V4 se současně zasekly, pak by byl tlak na horní straně válce, zatímco
spodní strana je uzavřena ventilem 1V5. Vlivem přesunu tlaku ve válci odpouštěcí ventil 1V6 by
s otevřel a horní část formy by klesla.
 Porucha jednoho ze dvou ventilů samotných nevyústí ve ztrátu bezpečnostní funkce. Všechny
ventily jsou aktivovány cyklicky.
 Každý ventil je vybaven monitorováním polohy, 1S3, 1S4 a 1S5, pro účely detekce poruchy.
Závada každého z ventilů je detekována v konvenčním PLC K1, který zamezí iniciování dalšího
nebezpečného pohybu po závadě.
 Jednotlivá závad v jednom bezpečnostním komponentu nevyústí ve ztrátu bezpečnostní funkce.
Dále, jednotlivé závady jsou detekovány při nebo před dalším příkazem. Akumulování
nedetekovaných závad nevyústí ve ztrátu bezpečnostní funkce.
jsou splněny. Jsou implementovány ochranné obvody (např. ochrana kontaktů), tak, jak je
132
8
 Stabilní uspořádání ochranného zařízení je zajištěno pro aktivaci polohového spínače.
 Spínač B1 je polohový spínač s přímým otevíracím kontaktem v souladu s IEC 60947-5-1,
Příloha K.
 Bezpečnostní modul K2 splňuje všechny požadavky Kategorie 4 a PL e.
 Pro K1 je použit standardní PLC bez bezpečnostní funkce.
 Ventily 1V3, 1V4 a 1V5 mají uzavřenou střední polohu a uzavřenou polohu s dostatečným
překrytím, pružinou středěnou vratnou polohu a monitorování polohy.
 Bezpečnostní spínací posice je předpokládána z jakékoliv posice odejmutím ovládacího signálu.
 Odpouštěcí ventil 1V6 pro ochranu válce 1A a komponenty proti „efektu zesilujícícho tlaku“
splňují požadavky EN 693:2001, článek 5.2.4.4.
 K2 je uvažován jako subsystém s pravděpodobností poruchy 2,31 x 10 za hodinu [M]. Zbytek
ovládacího systému je seskupen zvlášť elektromechanickými hydraulickými komponenty tak, že
tvoří subsystémy Kategorie 4, jejichž pravděpodobnost poruchy je vypočtena dále.
-8
 MTTFd: vyloučení poruchy je možné pro elektrický kontakt pologového spínače B1 s přímou
otevírací akcí. Pro elektrický spínací kontakt polohového spínače B2, B10d je 1 000 000
spínacích operací [M]. Hodnota B10d ve výši 1 000 000 cyklů [M] je stanovena pro mechanické
části B1 a B2. Při 365 pracovních dnech, 16 pracovních hodinách denně a době cyklu 10 minut,
nop je 35 040 cyklů za rk pro tyto komponenty, a MTTFd je 285 let pro B1 a 142 let pro B2.
MTTFd 150 let [S] je předpokládáno pro každý z ventilů 1V3, 1V4 a 1V5. To dává výsledek
MTTFd na kanál 100 nebo 88 let („vysokou“) pro dva subsystémy.
 DCavg: DC 99% pro B1 a B2 je na základě věrohodnosti monitorování dvou spínacích styvů
v K2. DC 99% pro ventily je na základě přímého monitorování spínacích stabvů prostřednistcím
PLC K1. To dává DCavg 99% („vysokou“) pro dva subsystémy.
133
8
 Opatření proti společné příčině poruchy (75 bodů) pro dva subsystémy: separace (15), dobře
vyzkoušené komponenty (5), FMEA (5), ochrana proti přepětí atd. (15) a podmínky prostředí
(25+10)
 Elektromechanické a hydraulické části ovládacího systému odpovídají Kategorii 4 s vysokým
MTTFd na kanál (100 nebo 88 let) a vysokým DCavg (99%). To vychází v průměrnopu
-8
-8
pravděpodobnosti nebezpečné poruchy 2,47 x 10 za hodinu a 2,84 x 10 za hodinu pro každý
subsystém. Přidání včetně K2 dává průměrnou pravděpodobnost nebezpečné poruchy pro
-8
kompletní bezpečnostní funkci 5,54 x 10 za hodinu. To odpovídá PL e.
Obrázek 8.57:
134
8
8.2.34 Monitorování polohy pohyblivých krytů – Kategorie 4 – PL e (Příklad 34)
Obrázek 8.58:
Monitorování polohy pohyblivých krytů pomocí bezpečnostního modulu
 Funkce bezpečného zastavení, iniciovaná ochranným zařízením: otevření pohyblivého krytu
(bezpečnostního krytu) iniciuje bezpečnostní funkci STO (bezpečné odstavení krouticího
momentu).
135
8
Popis funkce
 Nebezpečná oblast je chráněna pohyblivým krytem (bezpečnostním krytem). Otevření
bezpečnostního krytu je detekováno dvěma polohovými spínači B1/B2, používajícími kombinaci
kontaktu rozpoj/spoj, a vyhodnocením centrálním modulem K1. K1 aktivuje dva stykače, Q1 a
Q2, jejichž spadnutí přeruší nebo zamezí nebezpečným pohybům nebo stavům.
 Polohové spínače jsou monitorovány na věrohodnost v K1 za účelem detekce poruch, Poruchy
v Q1 a Q2 jsou detekovány spouštěcím testem v K1. Příkaz ke spuštění je úspěšný pouze když
Q1 a Q2 jsou předem odpadlé. Spouštěcí testování otevíráním a zavíráním ochranného
zařízení není požadováno.
 Bezpečnostní funkce zůstává nedotčená v případě závady komponentu. Poruchy jsou
detkovány během provozu nebo při aktivaci (otvírání a zavírání) ochranného zařízení padáním
Q1 a Q2 a znemožněním oparce.
 Nashromáždění více než dvou závad v době mezi dvěma následnými aktivacemi může vést ke
ztrátě bezpečnostní funkce.
 Je zajištěno stabilní uspořádání ochranného zařízení pro aktivaci polohového spínače.
 Spínač B1 je polohový spínač s přímým otevíracím kontaktem v souladu s IEC 60947-5-1,
Příloha K.
 Napájecí vodiče k polohovým spínačům B1 a B2 jsou položeny odděleně nebo s ochranou.
 Bezpečnostní modul K1 splňuje všechny požadavky Kategorie 4 a PL e.
 Stykače Q1 a Q2 mají mechanicky spojené kontaktní prvky podle IEC 60947-5-1, Příloha L.
Poznámka
 Kategorie 4 je dodržena pouze když vícenásobné polohové spínače pro různá ochranná
zařízení nejsou spojena v seriovém uspořádání (tj. ne kaskádovitě), jelikož by závady ve
spínačích nemohly být detekovány.
136
8
 Uspořádání obvodu může být rozděleno do tří subsystémů podle bezpečnostního blokového
diagramu. Pravděpodobnost poruchy standardního bezpečnostního modulu je přidáno na konec
-9
výpočtu (2,31 x 10 za hodinu [M], vhodné pro PL e). Pro zbývající subsystémy,
pravděpodobnost poruchy je vypočtena následovně.
 MTTFd: vyloučení poruchy je možné pro elektrický kontakt polohového spínače B1 s přímou
otevírací akcí. Pro elektrický spínací kontakt polohového spínače B2, B10d je 1 000 000
spínacích operací [M]. Hodnota B10d ve výši 1 000 000 cyklů [M] je stanovena pro mechanické
části B1 a B2. Při 365 pracovních dnech, 16 pracovních hodinách denně a době cyklu 1 hodina,
nop je 5 840 cyklů za rok pro tyto komponenty, a MTTFd je 1 712 let pro B1 a 856 let pro B2. Pro
stykače Q1 a Q2, hodnota B10 odpovídá pod induktivním zatížení (AC 3) elektrické životnosti
1 000 000 spínacích operací [M]. Jestliže 50% závad uvažujeme jako nebezpečné, hodnota B10d
je daná zdvojnásobením hodnoty B10. Hodnota předpokládaná shora pro nop vyplývá v MTTFd
3 424 let na kanál pro Q1 a Q2. Dohromady, symetrizovaná hodnota MTTF d na kanál ve dvou
subsystémech je 100 let („vysoká“).
 DCavg: DC 99% pro B1 a B2 je na základě věrohodnosti monitorování kombinace kontaktu
rozpoj/spoj v K1. DC 99% pro stykače Q1 a Q2 je odvozena z pravidelného monitorování K1
během spuštění. Uváděné hodnoty DC odpovídají DCavg pro každý subsystém.
 Opatření proti společné příčině poruchy (75 bodů) v subsystémech B1/B2 a Q1/Q2 (70 bodů):
separace (15), dobře vyzkoušené komponenty (5), FMEA (5), ochrana proti přepětí atd. (15) a
podmínky prostředí (25+10)
 Subsystémy B1/B2 a Q1/Q2 každý odpovídá Kategorii 4 s vysokým MTTFd (100 let) a vysokým
-8
DCavg (99 %). To dává průměrnou pravděpodobnost nebezpečné poruchy 2,47 x 10 za hodinu.
Po následném přidání subsystému K1 průměrná pravděpodobnost nebezpečné poruchy je 5,16
-8
x 10 za hodinu. To odpovídá PL e.
137
8
8.2.35 Dvouruční ovládání – Kategorie 4 – PL e (Příklad 35)
Obrázek 8.59:
Dvouruční ovládání, zpracování signálu logickým zařízením s proudovým stykačovým relé
 Řízené umístění rukou operátora vně nebezpečné oblasti během nebezpečného pohybu: když
nejméně jedno ze dvou tlačítek S1/S2 je uvolněno, aktivace je zrušena a zůstává blokována,
dokud obě tlačítka nejsou uvolněna a znovu synchronně stlačena.
Popis funkce
 Logické zařízení K1 monitoruje stav aktivátorů (tlačítek) S1 a S2. Pouze když obě tlačítka jsou
ovládána synchronně (tj. během určeného času) z uvolněného stavu stykačová relé K2 a K3
naskočí a způsobí aktivaci. Když nejméně jedno z tlačítek S1/S2 je uvolněno, K2/K3 zruší
aktivaci.
 K2 a K3 mají funkci přizpůsobení vícenásobného/zátěžového kontaktu. Skutečná prevence
nebezpečného pohybu, například oddělením elektrické nebo hydraulické energie, je závislá na
aplikaci a není zde znázorněna.
138
8
 Závady v aktivačním mechanismu jsou detekovány v S1/S2 v největším možném rozsahu
použitím dvou kontaktů používajících různé principy (kombinace rozpojení a spojení kontaktu).
S ohledem na mechanické závady na tuto aplikaci, vyloučení závady je možné pro závadu
otevření rozpojovacího kontaktu, splňující IEC 60947-5-1 pro tlačítka.
 Závady v S1/S2 a v K2/K3 ( se rozpojovacími kontakty ve zpětnovazebním obvodu) jsou
detekovány v K1 a vedou ke trvalému odpojení přes K2 a K3. Všechny individuální závady jsou
detekovány v nebo před dalším požadavkem na bezpečnostní funkci.
 Častá aktivace elektromechanických prvků vyústí v dostatečně vysokou frekvenci zkoušek
(zesílená dynamika).
popsáno v Kapitole 8.1
 Aktivátory S1 a S2 dvouručního ovládání splňují IEC 60947-5-1.
 Závady ve vodičích k S1 a S2 jsou detekovány v logickém zaříení. Pokud ba toto nebylo možné,
podmínky podle EN ISO 13849-2, Tabulka D.4 pro vyloučení závady zkratu vodičů musí být
zachovány. Vzhledem k nízkým proudům, jsou doporučena tlačítka s pozlacenými kontakty.
 Viz EN 574 Sekce 8 s ohledem na uspořádání tlačítek a opatření pro zamezení náhodné
aktivace a manipulace. .Vzdálenost od nebezpečné oblasti musí být dostatečně velká.
 Logické zařízení K1 odpovídá Typu III C v souladu s EN 574, se samomonitorováním a detekcí
vnitřních závad. K1 je vyzkoušený bezpečnostní komponent pro použití v Kategorii 4 a PL e.
 K2 a K3 mají mechanicky spojené odpojovací kontakty pro zpětné ohlášení.
Poznámka
 Aplikace například na mechanických lisech (EN 692)
 K1 je pojednán jako subsystém s pravděpodobností poruchy 2,47 x 10 za hodinu [E]. Zbývající
část ovládacího sytému je seskupen tak, aby tvořil subsystém Kategorie 4 s pravděpodobností
poruchy, která je vypočtena dále.
-8
 Jelikož S1 a S2 musí spustit odpojení nezávisle na sobě, jsou-li uvolněny, jsou logicky spojeny
v serii. Pro tento účel, jeden zprostředkovává kontakt 13-14 a jeden rozpojuje kontakt 21-22 pro
každé tlačítko, které bylo přiřazeno ovládacímu kanálu. Bezpečnostní blokový diagram se
v tomto ohledu podstatně liší od funkčního obvodového diagramu. Jestliže data spolehlivosti
jsou dostupná pouze pro tlačítka jako celek (aktivační mechanismus a rozpojovací a spojovací
kontakty), hodnoty poruch pro tlačítka mohou být použita jako hodnoty poruch pro kontakty (plus
provozní mechanismus), zakládající odhad chybovosti na straně bezpečnosti.
139
8
 MTTFd: vzhledem k definovanému ovládacímu proudu generovanému K1 (malé zatížení,
mechanická životnost kontaktů je určující faktor), hodnoty B10d 20 000 000 spínacích operací [M]
jsou předpokládány v každém případě pro S1 a S2 . Jelikož K2 a K3 také spínají ovládací
proudy, hodnoty B10d ve výši 20 000 000 cyklů [S] se použijí pro každý z nich. Při 240
pracovních dnech, 8 pracovních hodinách a době cyklu 20 sekund, nop je 345 600 cyklů za rok
pro tato komponenty a MTTFd je 579 let. Pokud by požadavky byly vyšší (delší pracovní hodiny
nebo kratší doba cyklu), vyšší hodnoty B10d ověřené výrobcem mohou být vyžadovány pro
K2/K3. Celkově, výsledná hodnota MTTFd na kanál je 193 let, uzavřená na 100 let („vysoká“).
 DCavg: DC 99% pro S1 a S2 je produkována podle přímého monitorování s pomocí rozpojovací
a spojovací kombinace kontaktů v K1. DC 99% pro K2 a K3 je na základě zpětné informace
mechanicky spojených rozpojovacích kontaktů v obvodu zpětné vazby K1. Vysoká frekvence
aktivace v aplikaci zakládá účinné testování. Průměrování dává DCavg 99% („vysoké“).
 Opatření proti společné příčině poruchy (70 bodů): separace (15), FMEA (15), ochrana proti
vysokým DCavg (99%). Pro kombinaci S1, S2, K2 a K3 průměrná pravděpodobnost nebezpečné
-8
-8
poruchy je vypočtena na 2,47 x 10 za hodinu, jestliže je přidána hodnota 2,47 x 10 za hodinu
-8
[E]pro K1, výsledkem je průměrná pravděpodobnost nebezpečné poruchy 4,94 x 10 za hodinu.
To odpovídá PL e. Pravděpodobnost poruchy proudových silových komponentů může být
přidána pro doplnění bezpečnostní funkce.
 EN 574: Bezpečnost strojních zařízení - Dvouruční ovládací zařízení - Funkční hlediska Zásady pro konstrukci (11.96)
 Recommendation for Use. Ed.: Vertical Group 11 (VG 11) in the Co-ordination of Notified
Bodies. CNB/M/11.033/R/E rev. 05, p.252, April 2006
http://europa.eu/comm/enterprise/mechan_equipment/machinery/vertical_rfu.pdf
140
8
8.2.36 Zpracování signálu ze světelné clony – Kategorie 4 – PL e (Příklad 36)
Obrázek 8.60:
Elektromechanický vstup bezpečnostních signálů do řídícího systému stroje s odkazem na příklad
světelné bariéry nebo světelné clony
 Bezpečnostní funkce zastavení iniciovaná ochranným zařízením: trvalé zastavení
nebezpečného pohybu jako reakci na vstup do nebezpečného prostoru nebo zásah operátora
v nebezpečné zóně, a start a restart blokování
Popis funkce
 Vstup do nebezpečné oblasti nebo zásah operátora v nebezpečné zoně je detekován světelnou
bariérou F2. Bezpečnostní výstupní signály ze světelné bariéry ((spojení kontaktů F2.1 a F2.2)
odpojí stykačové relé K3 a K4, jejichž cívky jsou připojeny k napájení v ofsetovém uspořádání.
K3 a k4 pak blokují aktivační signály x a y.
 Pro aktivaci vysílače světelné bariéry, aktivace spouštěcího tlačítka S1 prvně způsobí připojení
testovacích vstupů T1 a T2 spolu s se zvednutím stykačových relé K1 a K2. K2 může zvednout
apouze když stykačová relé K3/K4 odpadly. S kompletní světelnou cestou, K3 a K4 se pak
mohou zvednout. K4 se zvedne a zapadne pouze pomocí spínacího kontaktu K2. Se zvednutým
K3 a K4 a stále stlačeným startovacím tlačítkem, vysílač světelné bariéry je aktivován a
zapadnut; startovací tlačítko může proto být uvolněno, a jakmile K1 a K2 odpadnou, aktivační
cesty x a y jsou také uzavřeny. Následující přerušení světelného paprsku nebo v případě
přerušení a následném obnovení dodávky napětí, funkce blokování startu/restartování zamezí
141
platnému aktivačnímu signálu dokud K3 a K4 nejsou znovu zdviženy po následném opětovném
stlačení startovacího tlačítka.
8
Následující přerušení světelného paprsku nebo v případě přerušení a následném obnovení
dodávky napětí, funkce blokování startu/restartování zamezí platnému aktivačnímu signálu
dokud K3 a K4 nejsou znovu zdviženy po následném opětovném stlačení startovacího tlačítka.
 Jeden spínací kontakt jak na K3 a K4 je integrován do dvou aktivačních cest a do vstupního
obvodu pro aktivaci vysílače světelné bariéry (zkušební vstupy T1/T2). Spojení zkušebních
vstupů generuje vnitřní spouštěcí test uvnitř zařízení, například zrušením světelného paprsku na
krátký časový úsek. Na straně přijímače, tato zkouška je logicky vyhodnocena jako platná pouze
uvnitř úzkého časového okna. Pokud startovací test prošel, výstupy světelné bariéry jsou
aktivní. Naopak, v případě výpadku nebo závady, nebo přerušení světelného paprsku, jsou tyto
blokovány.
 Závady v dalších součástech v obvodu (stykačové relé, výstupní kontakty světelné bariéry,
startovací tlačítko) které v kombinaci by mohly vyústit ve ztrátu bezpečnostní funkce jsou
detekovány během startovního/restartovního testu po přerušení světelného paprsku, zamezí
obnovené aktivaci.
popsáno v Kapitole 8.
 Stykačová relé K1 až K4 mají mechanicky spojené kontaktní prky v souladu s IEC 60947-51,Příloha L. Provozní napětí stykačových relé K3 a K4 musí být větší než polovina hodnoty
silového napájení, takže současné nahození K3 a K4 v případě zkratu v kabelu (zapojení do
serie vyústí v rozdělení napětí mezi cívky stykače) nepředstavuje nebezpečí, ani v kombinaci
s dalšími závadami.
 Výstupní signály ze světelné bariéry F2 jsou vedeny v kabelu, spolu s vodiči napájení,
z elektrického bloku přijímače k elektrickému bloku ovládacího systému stroje. Vzhledem
k aplikaci proudového principu uzavřeného obvodu a principu ofsetových cívek (K3, K4)
v uzemněném ovládacím obvodu, všechny otevřené obvody, závady uzemnění a zkraty mezi
obvody jsou detekovány okamžitě, když světelná bariéra je v aktivovaném stavu (mimo jiné
vypnutím pojistky F1). Zkrat, který způsobí přemostění jednotlivého výstupu je detekován při
posledním a příštím přerušení světelné bariéry, když startovací tlačítko je následně aktivováno.
Společné směrování výstupních signálů jedním kabelem je proto povolené.
 Světelná bariéra splňuje požadavky pro Typ 4 v souladu s EN 61496-1 a IEC 61496-2 a PL e.
142
8
Poznámky
 Jestliže obvod je použit v aplikaci, ve které světelná bariéra spíná velmi zřídka, možnost musí
být ztráty bezpečnostní funkce musí být zvažována jako výsledek nashromáždění závad (dvě
diskrétní nedetekované závady). Taková ztráta by měla být vyvážena periodickým testováním.
 Informace výrobce týkající se maximální spínací frekvence světelné bariéry musí být
zachována.
Je vypočtena pravděpodobnost poruchy funkce bezpečnostního zastavení , která je také
znázorněna na bezpečnostním blokovém diagramu. Jestliže kontakty aktivačních cest x a y jsou
dále zpracovávány řídícím systémem, další zúčastněné ovládací komponenty, např. stykače, musí
být zvažovány ve výpočtu pravděpodobnosti poruchy.
 Světelná bariéra F2 je standardní bezpečnostní komponenta. Pravděpodobnost poruchy
-8
poruchy je 3,0 x 10 za hodinu [E] je přidána na konec výpočtu.
 MTTFd : díky neznámému zatížení, hodnota B10d pro K3 a K4 je 400 000 cyklů [S]. Při 220
pracovních dnech, 8 pracovních hodinách denně a době cyklu 120 sekund, nop je 52 800
spínacích operací za rok, a MTTFd je tak 75 let. To je také hodnota MTTFd každého kanálu
(„vysoká“).
 DCavg: DC 99% pro K3 až K4 je odvozeno ze zahrnutí mechanicky spojených rozpojovacích
kontaktů do aktivačního obvodu K2. To také odpovídá DCavg („vysoké“).
 Přiměřená opatření proti společné příčině poruchy (75 bodů): separace (15), dobře vyzkoušené
komponenty (5), FMEA (5), ochrana proti přepětí atd. (15) a podmínky prostředí (25+10)
 Subsystém K3/K4 odpovídá Kategorii 4 s vysokým MTTFd na kanál (75 let) a vysokým DCavg
-8
(99%). To dává průměrnou pravděpodobnost nebezpečné poruchy 3,37 x 10 za hodinu.
Celková pravděpodobnost poruchy je určena přidáním pravděpodobnosti nebezpečné poruchy
-8
-8
F2 (3.0 x 10 za hodinu) a je rovna 6,37 x 10 za hodinu. To odpovídá PL e. Pravděpodobnost
poruchy proudových silových komponentů může být přidána pro kompletaci bezpečnostní
funkce.
 Opotřebené prvky K3 a K4 by měly být vyměněny v intervalech přibližně sedm let (T10d).
143
8
 EN 60204-1: Bezpečnost strojních zařízení - Elektrická zařízení strojů - Část 1: Všeobecné
požadavky (IEC 60204-1: 2005, modifikováno) (06.06). Sekce 9.4.3: „Ochrana proti vzniku
chybné funkce v důsledku zemních spojení, přerušení napětí a nebo ztráty spojitosti
ochranného obvodu“.
Obrázek 8.61:
144
8
8.2.37
Padací řezačka papíru s programovatelným elektronickým logickým ovládáním –
Kategorie 4 – PL e (Příklad 37)
Obrázek 8.62:
Aktivace pohonu elektrického nože a hydraulická upínací tyč
145
8
 Řízené umístění rukou jednotlivých operátorů vně nebezpečné oblasti během lisování a pohybu
při řezání: když nejméně jedno ze dvou tlačítek S1/S2 je uvolněno, aktivace je zrušena a zůstává
blokována, dokud obě tlačítka nejsou uvolněna a znovu synchronně stlačena.
Popis funkce
 Aktivace dvouručního ovládání (THC) S1 a S2 iniciuje nebezpečné pohyby (zpracovací cyklus)
upínací tyče (hydraulické) 1A a nože (elektromechanické) . Jestliže, během tohoto cyklu, jedno ze
tlačítek S1 nebo S2 je uvolněno, nebo se objeví změna signálu v periferním systému stroje (
např. světelná opona, není obsažena v obvodovém doagramu), která není zaznamenána
v ovládacím systému, cyklus je zastaven a stroj zůstává v tomto bezpečném stavu. Díky jejich
okamžité vzájemné fyzické blízkosti, nůž a upínací tyč tvoří společnou nebezpečnou zónu.
Nebezpečí se objevuje cyklicky. Nůž je poháněn excentrickým pohonem, který získává svou
energii ze setrvačníku, který je ve stálém pohybu. Pohon zde není explicitně ukázán. Upínací tyč
je poháněna lineárně hydraulickým uspořádáním s čerpadlem připojeným k pohonu hmotového
setrvačníku.
 Když tlačítka S1/S2 (THC) jsou stlačena, změna signálu je vedena do dvou mikroregulátorů K1 a
K2. Poskytování těchto signálů uspokojí požadavky na souběžnost v souladu s normou (EN 574,
Typ III C) a všechny periferní signály uspokojí podmínky pro start, K1 a K2 nastaví výstupy pro
platný požadavek řezu. Každý mikroregulátor monitoruje oba nebezpečné pohyby prostřednictvím
stykačového relé K3 až K6. Uzavírací pohyb upínací tyče 1A může být zamezen dvěma
hydraulickými ventily 2V1 a 2V2. Aktivace kombinace brzdy/spojky (BCC)Q1 může být zamezena
přes K3 a K5. Vhodně dimenzované mechanické uzamykací zařízení nože Q2 musí být také
aktivováno cyklicky prostřednictvím K2. Pokud by byly detekovány závady v Q1, cyklus nože
může proto být zamezen nejpozději v následujícím cyklu.
 Závady ve spínačích S1/S2 nebo ve stykačových relé s mechanicky spojených positivně
operujících zpětných kontaktech K3 až K6 jsou detekovány křížově v mikroregulátorech. Funkce
2V1/2V2 je monitorována pomocí tlakového spínače 2S1. Pokud mikroregulátor provádí selftest
na pozadí během operace, vnitřní závady a závady v periferiích mohou zde být včas detekovány.
146
8
 Všechny stavy stroje jsou monitorovány a řízeny oběma mikroregulátory . Cyklická povaha řezací
operace způsobí že všechny stavy systému jsou plně cyklovány a porovnány navzájem. Závady a
odchylky z definovaných mezistavů způsobí zastavení stroje nejpozději při dokončení cyklu. Tato
metoda je zahrnuta v diagramu položkami „feedback signal knife“ B1 a „position monitoring“
B2/B3 „knife loping device“ Q2.
 Opotřebení brzda je monitorováno pomocí polohového spínače B1. B1 je aktivován a další řez
zamezen ovládacím systémem jako reakce nna nejmenší zvýšení přeběhu.
 Aktivátory S1 a S2 dvouručního ovládání splňují IEC 60947-5-1.
 B1 a B2 jsou polohové spínače s přímou otevírací akcí podle IEC 60947-5-1, Příloha K.
 K3 až K6 mají mechanicky spojené kontaktní prvky podle IEC 60947-5-1, Příloha L.
 Napájecí vodiče k polohovým spínačům jsou položeny buďto nezávisle, nebo s ochranou proti
mechanickému poškození.
 Software homogenně redundantní struktury mikroprocesoru splňuje požadavky IEC 61508-3,
Sekce 7 pro SIL 3.
 Vyjmutí závady aplikované pro poruchu „kompletní porucha kombinace brzda/spojka“, tj. porucha
rozpojení když aktivace řezu je zrušena po iniciaci řezu. Důvodem pro toto vyjmutí poruchy je
založeno na mnoha letech zkušeností a vlastnostech konstrukce kombinace brzda/spojka
s možností včasné detekce opotřebení brzdy.
 Komponenety B1 a B2/B3 jsou vyžadovány pro implementaci opatření vyžadovaných v EN 10103 pro zastavení a přeběh nože.
 Navržená architektura pro Kategorii 4 pro aktivaci pohonu nože a upínací tyče je implementováno
dvěma nezávislými kanály tak, jak je popsáno.
147
8
Jelikož kanály jsou virtuálně identické jejich uspořádáním a jsou vypočteny s použitím
identických numerických dat, symetrizace není vyžadována. Kvůli zjednodušení, je
předpokládána pouze jednokanálová aktivace Q1. Pravděpodobnost poruchy je proto poněkud
menší než je vypočteno.
 Jelikož S1 a S2 musí spustit vypnutí nezávisle na sobě, jsou-li uvolněny, jsou logicky zapojeny
v serii. Z těchto důvodů, jeden spínací kontakt 13-14 a jeden rozpojovací kontakt 21-22 pro každé
tlačítko bylo přiřazeno ovládacímu kanálu. Bezpečnostní blokový diagram se liší podstatně
v tomto ohledu od funkčního obvodového diagramu. Je použita hodnota B 10d pro každý
individuální kontakt, zakládající odhad chyby ne bezpečnostní straně.
 MTTFd : při 240 pracovních dnech, 8 pracovních hodinách a době cyklu 60 sekund, nop je
115 200 spínacích operací za rok. Díky definovanému ovládacímu proudu (nízké zatížení;
mechanická životnost kontaktů je určující faktor), hodnoty B10d 2 000 000 spínacích operací [M] je
předpokládáno pro S1 a pro S2, a proto MTTFd je 173 let. MTTFd 878 let [D] je je uvedeno pro
mikroregulátor včetně periferií, v souladu s SN 29500-2. Při nízkém zatížení, B10d 20 000 000
spínacích operací, a tím MTTFd ve výši 1 736 let je použito pro stykačové relé K3 až K6. Hodnota
MTTFd 607 let pro kombinaci brzda/spojka Q1 je vypočtena z hodnoty B10d 7 000 000 cyklů [E].
Stejná hodnota je předpokládána pro blokovací zařízení nože Q2 ve druhém kanálu. Hodnoty pro
dva směrové ovládací ventily 2V1 a 2V2 jsou 150 let [S]. Tyto hodnoty vyústí v MTTFd pro jeden
kanál na hodnotu 45,2 let („vysoká“).
 DCavg:: DC 99% pro S1/S2 je založeno nekřížové kontrole vstupních signálů bz dynamického
testu, se změnami častých signálů. DC 90% pro K1/K2 je odvozeno ze self-testu provedeného
softwarem a dynamickou křížovou kontrolou dat s očekáváními týkajícícmi se načasování. DC
99% pro K3 až K6 je odvozeno od věrohodnosti testování pomocí mechanicky spojených
kontaktů. Pro 2V1/2V2, DC je 99% díky nepřímému a přímému elektrickému monitorování tlaku
s častými změnami signálu. Opotřebení spojky vede ke změnám v chování při řezu. DC 99% je
proto předpokládáno pro Q1. Porucha Q2 je detekována okamžitě díky cyklické aktivaci a
monitorování prvků B1 a B3. To je důvodem pro DC 99%. Tyto hodnoty vyústí v DCavg 98,5%
(uvnitř tolerance „vysoké“).
148
8
 Pro kategorii 4, průměrná pravděpodobnost nebezpečné poruchy je 6,47 x 10 za hodinu. To
odpovídá PL e.
-8
 Pro uvažování odhadu chybovosti na bezpečnostní straně popsané shora, hodnota přes 17 let
(T10d) je produkována pro navržené nahrazení opotřebených prvků S1 a S2.
tiskových strojů a strojů na zpracování papíru - Část 3: Řezačky (07.02)
 EN 574: Bezpečnost strojních zařízení - Dvouruční ovládací zařízení - Funkční hlediska - Zásady
pro konstrukci (11.96)
 IEC 60947-5-1: Spínací a řídicí přístroje nn - Část 5: Přístroje a spínací prvky řídicích obvodů Oddíl 1- Elektromechanické přístroje řídicích obvodů (11.03)
Obrázek 8.63
Určení PL pomocí
SISTEMA
149
8
Zdroj:
Functional safety of machine controls (BGIA Report 2/2008e) dostupný on-line z:
http://www.dguv.de/ifa/Publikationen/Reports-Download/BGIA-Reports-2007-bis-2008/BGIAReport-2-2008/index-2.jsp
150

VZOROVÉ PŘÍKLADY SRP/CS OBVODŮ

Transkript

Podobné dokumenty