Funkcja zatrzymania awaryjnego
Bezpieczna maszyna - zasady projektowaniaTechniczne środki bezpieczeństwa

Funkcja zatrzymania awaryjnego – czy zawsze jest potrzebna?

Bezpieczeństwo w systemach sterowania
Postaw kawę dla BewSys na buycoffee.to

Artykuł „Projektowanie funkcji zatrzymania awaryjnego – nowelizacja normy” jest jednym z bardziej poczytnych artykułów na tym blogu, dlatego zdecydowałem się na kontynuację. Warto odświeżyć temat, zwłaszcza, że funkcja zatrzymania awaryjnego, mimo swej prostoty nie jest jednak przez wszystkich dobrze zrozumiała.

Powiązany artykuł: Projektowanie funkcji zatrzymania awaryjnego – nowelizacja normy

Czym charakteryzuje się funkcja zatrzymania awaryjnego?

Identycznie brzmiące definicje funkcji zatrzymania awaryjnego można znaleźć w normie PN-EN ISO 12100 i PN-EN ISO 13850:

Funkcja zatrzymania awaryjnego - definicja

Zacznijmy od tego, jakie wymagania stawia dyrektywa maszynowa 2006/42/WE:

1.2.4.3 Zatrzymanie awaryjne

Maszyna musi być wyposażona w co najmniej jedno urządzenie do zatrzymywania awaryjnego, umożliwiające zapobieżenie istniejącemu lub zagrażającemu niebezpieczeństwu.
Stosuje się następujące wyjątki:

  • maszyny, w których urządzenie do zatrzymywania awaryjnego nie obniżyłoby ryzyka, ponieważ albo nie skróciłoby czasu zatrzymania albo nie umożliwiłoby podjęcia szczególnych środków, niezbędnych doprzeciwdziałania ryzyku,
  • maszyny przenośne trzymane w ręku lub prowadzone ręcznie.

W dyrektywie maszynowej znajdziemy ogólną zasadę: maszyna powinna być wyposażona w co najmniej jedno urządzenie do zatrzymywania awaryjnego. Ale ta sama dyrektywa od razu wskazuje wyjątki. I właśnie te wyjątki są najważniejsze, bo pokazują, że funkcja zatrzymania awaryjnego nie jest wymagana zawsze i bezwarunkowo.

Dyrektywa 2006/42/WE wskazuje, że urządzenie do zatrzymywania awaryjnego nie jest wymagane m.in. wtedy, gdy nie obniżyłoby ryzyka, ponieważ nie skróciłoby czasu zatrzymania albo nie umożliwiłoby podjęcia dodatkowych środków potrzebnych do przeciwdziałania ryzyku. Drugim wyjątkiem są maszyny przenośne trzymane w ręku lub prowadzone ręcznie.

To oznacza, że pytanie nie powinno brzmieć:

Czy każda maszyna musi mieć grzybek bezpieczeństwa?

Lepiej zapytać:

Czy funkcja zatrzymania awaryjnego rzeczywiście zmniejsza ryzyko w analizowanym przypadku?

Jeżeli odpowiedź brzmi „nie”, to samo zainstalowanie czerwonego przycisku na żółtym tle nie poprawi bezpieczeństwa. Może jedynie stworzyć złudzenie, że ryzyko zostało zmniejszone.

Zatrzymanie awaryjne nie może zastępować innych środków ochronnych

Bardzo częstym błędem jest traktowanie zatrzymania awaryjnego jako środka, który „załatwia” temat bezpieczeństwa. Maszyna ma ruchome elementy? Dajemy E-STOP. Operator ma dostęp do strefy niebezpiecznej? Dajemy E-STOP. Nie mamy pomysłu na osłony? Dajemy E-STOP. Takie podejście jest błędne!

Urządzenia do zatrzymywania awaryjnego mają wspomagać pozostałe środki zabezpieczające, a nie je zastępować. Dyrektywa wyraźnie wskazuje również, że zatrzymanie awaryjne powinno być dostępne i gotowe do użycia przez cały czas, niezależnie od trybu pracy maszyny.

Z tego powodu funkcja zatrzymania awaryjnego nie powinna być traktowana jako podstawowy środek redukcji ryzyka przy normalnej obsłudze maszyny. Jeżeli dostęp do strefy niebezpiecznej jest częścią cyklu pracy, to należy rozważyć osłony, urządzenia blokujące, bariery świetlne, sterowanie oburęczne, urządzenia zezwalające albo inne techniczne środki ochronne. Zatrzymanie awaryjne jest środkiem uzupełniającym. Ma pomóc wtedy, gdy pojawi się istniejące lub zagrażające niebezpieczeństwo. Nie służy do tego, żeby operator codziennie zatrzymywał maszynę w normalnym cyklu produkcyjnym.

Pierwszy przypadek: zatrzymanie awaryjne nie skraca czasu zatrzymania

Wyobraźmy sobie element maszyny, który po zaniku zasilania i tak zatrzymuje się dopiero po długim czasie, bo ma dużą bezwładność. Naciśnięcie przycisku zatrzymania awaryjnego odłącza zasilanie, ale nie powoduje szybszego zatrzymania ruchu niebezpiecznego. Jeżeli operator może znaleźć się w strefie zagrożenia szybciej, niż maszyna się zatrzyma, to funkcja zatrzymania awaryjnego nie rozwiązuje problemu.

W takiej sytuacji właściwym środkiem może być na przykład:

  • osłona uniemożliwiająca dostęp do strefy niebezpiecznej,
  • osłona blokująca z ryglowaniem do czasu zatrzymania ruchu,
  • hamowanie kontrolowane,
  • bezpieczne monitorowanie prędkości,
  • zwiększenie odległości bezpieczeństwa,
  • zmiana konstrukcji mechanicznej.

Samo zatrzymanie awaryjne nie wystarczy, jeżeli nie zapewnia osiągnięcia stanu bezpiecznego w wymaganym czasie.

Norma PN-EN ISO 13849-1 wskazuje, że funkcja zatrzymywania związana z bezpieczeństwem powinna po aktywacji doprowadzić maszynę do stanu zapewniającego bezpieczeństwo tak szybko, jak jest to konieczne, a jej dobór powinien wynikać z oceny ryzyka. Wniosek jest prosty: jeżeli funkcja zatrzymania awaryjnego nie powoduje wystarczająco szybkiego osiągnięcia stanu bezpiecznego, to nie można jej traktować jako skutecznego środka redukcji ryzyka.

Drugi przypadek: zatrzymanie awaryjne nie umożliwia podjęcia szczególnych środków

Drugi wyjątek z dyrektywy jest nieco trudniejszy. Chodzi o sytuacje, w których naciśnięcie zatrzymania awaryjnego nie uruchamia żadnego dodatkowego działania, które byłoby potrzebne do przeciwdziałania ryzyku.

Przykład: maszyna powoduje zagrożenie nie przez sam ruch napędu, ale przez energię zgromadzoną w układzie, ciężar zawieszonego ładunku, ciśnienie, temperaturę albo proces technologiczny. Samo odłączenie zasilania może nie tylko nie pomóc, ale czasem pogorszyć sytuację.

W takich przypadkach funkcja zatrzymania awaryjnego może być niewystarczająca albo źle zdefiniowana. Potrzebna może być inna funkcja bezpieczeństwa, np.:

  • kontrolowane zatrzymanie,
  • bezpieczne odpowietrzenie układu pneumatycznego,
  • utrzymanie pozycji osi,
  • zablokowanie opadania elementu,
  • kontrolowane odprowadzenie energii,
  • zatrzymanie tylko części maszyny,
  • inicjowanie ruchu zabezpieczającego.

W dyrektywie wskazano, że urządzenie zatrzymywania awaryjnego powinno zatrzymywać niebezpieczny proces możliwie szybko, bez powodowania dodatkowego ryzyka, a gdy jest to konieczne — inicjować lub umożliwiać zainicjowanie określonych ruchów zabezpieczających. Jeżeli więc dana maszyna wymaga specjalnej sekwencji zatrzymania, a zwykłe odcięcie energii jej nie zapewnia, to należy opisać właściwą funkcję bezpieczeństwa. Może się wtedy okazać, że nie chodzi o klasyczną funkcję E-STOP, ale o inną, precyzyjnie zdefiniowaną funkcję zatrzymania.

Trzeci przypadek: maszyna przenośna trzymana w ręku lub prowadzona ręcznie

Dyrektywa maszynowa wymienia również maszyny przenośne trzymane w ręku lub prowadzone ręcznie jako wyjątek od obowiązku stosowania urządzenia zatrzymywania awaryjnego. Nie oznacza to oczywiście, że takie maszyny nie muszą być bezpieczne. Oznacza jedynie, że klasyczne urządzenie zatrzymania awaryjnego może nie mieć sensu z punktu widzenia konstrukcji i sposobu użytkowania.

W wielu takich maszynach operator cały czas trzyma element sterowniczy. Zwolnienie tego elementu powoduje zatrzymanie albo wyłączenie napędu. W takiej sytuacji osobny grzybek zatrzymania awaryjnego może nie poprawić bezpieczeństwa, ponieważ operator szybciej zwolni trzymany przycisk, niż odszuka i naciśnie dodatkowe urządzenie awaryjne.

Ale uwaga: to również należy uzasadnić. Nie wystarczy napisać: „maszyna ręczna, więc E-STOP nie jest wymagany”. Trzeba wykazać, że przyjęta koncepcja sterowania rzeczywiście zmniejsza ryzyko i że dodatkowa funkcja zatrzymania nie poprawiłaby sytuacji.

Jak uzasadnić brak zatrzymania awaryjnego?

Najgorsze uzasadnienie brzmi:

Nie zastosowano zatrzymania awaryjnego, ponieważ nie było miejsca na pulpicie.

albo:

Nie zastosowano zatrzymania awaryjnego, ponieważ klient go nie wymagał.

Takie argumenty nie mają żadnej wartości z punktu widzenia oceny zgodności. Brak zatrzymania awaryjnego trzeba uzasadnić wynikiem oceny ryzyka. W dokumentacji powinny pojawić się co najmniej następujące elementy:

1. Identyfikacja zagrożeń

Najpierw trzeba wskazać zagrożenia, dla których potencjalnie rozważano zatrzymanie awaryjne. Czy chodzi o zgniecenie? Pochwycenie? Przecięcie? Oparzenie? Upadek ładunku? Wyrzut części? Bez tego nie wiadomo, jakie ryzyko miałaby ograniczać funkcja zatrzymania awaryjnego.

2. Opis sytuacji niebezpiecznych

Następnie trzeba wskazać, kiedy człowiek może być narażony na zagrożenie. Podczas normalnej pracy? Regulacji? Czyszczenia? Usuwania zacięcia? Konserwacji? Przezbrajania? Dyrektywa wymaga, aby projektowanie maszyny uwzględniało nie tylko użytkowanie zgodne z przeznaczeniem, ale również możliwe do przewidzenia niewłaściwe użycie.

3. Ocena, czy zatrzymanie awaryjne zmniejsza ryzyko

Dla każdej istotnej sytuacji trzeba odpowiedzieć na pytanie:

Czy naciśnięcie zatrzymania awaryjnego zmniejszy ciężkość szkody albo prawdopodobieństwo jej wystąpienia?

Jeżeli nie, trzeba oszacować dlaczego. Na przykład:

  • czas zatrzymania nie ulega skróceniu,
  • osoba nie ma realnej możliwości użycia urządzenia przed wystąpieniem szkody,
  • zagrożenie wynika z energii zgromadzonej, której samo odłączenie zasilania nie eliminuje,
  • zagrożenie zostało już wyeliminowane konstrukcyjnie,
  • dostęp do strefy niebezpiecznej został uniemożliwiony przez osłony,
  • funkcję redukcji ryzyka realizuje inna funkcja bezpieczeństwa.

4. Wskazanie zastosowanych alternatywnych środków ochronnych

Brak zatrzymania awaryjnego nie może oznaczać braku bezpieczeństwa. Trzeba udowodnić, czym ryzyko zostało zmniejszone.

Może to być na przykład projekt zapewniający bezpieczeństwo samo w sobie, osłona stała, osłona blokująca, ograniczenie siły, ograniczenie prędkości, bezpieczne zatrzymanie po otwarciu osłony, sterowanie wymagające podtrzymania albo procedura bezpiecznej konserwacji.

Dyrektywa wskazuje hierarchię działań: najpierw eliminowanie lub minimalizowanie ryzyka przez projektowanie bezpieczne samo w sobie, następnie środki ochronne dla ryzyka, którego nie można wyeliminować, a na końcu informowanie użytkownika o ryzyku resztkowym.

5. Udokumentowanie decyzji

Jeżeli projektant uznał, że funkcja zatrzymania awaryjnego nie jest potrzebna, to ta decyzja powinna być widoczna w dokumentacji technicznej, jako wynik oceny ryzyka.

Norma PN-EN ISO 13849-1 wskazuje, że opis funkcji bezpieczeństwa powinien być powiązany z zagrożeniami zidentyfikowanymi w ocenie ryzyka i określać sposób działania funkcji w celu osiągnięcia wymaganego bezpieczeństwa. SRS, czyli specyfikacja wymagań bezpieczeństwa, stanowi podstawę działań projektowych dla części systemu sterowania związanych z bezpieczeństwem.

Jeżeli funkcja nie jest wymagana, również warto to opisać: jakie zagrożenie analizowano, dlaczego zatrzymanie awaryjne nie zmniejsza ryzyka i jaki środek zastosowano zamiast niego.

Przykładowy zapis w ocenie ryzyka

Poniżej przykładowy zapis, który można wykorzystać jako wzór myślenia, a nie gotową formułkę do kopiowania:

Dla zagrożenia zgnieceniem w strefie ruchu siłownika rozważono zastosowanie urządzenia zatrzymania awaryjnego. Analiza wykazała, że użycie zatrzymania awaryjnego nie skróci czasu zatrzymania elementu niebezpiecznego do wartości umożliwiającej uniknięcie szkody. Operator nie ma również możliwości skutecznego użycia urządzenia po rozpoczęciu sytuacji niebezpiecznej. Ryzyko zostało zmniejszone przez zastosowanie osłony blokującej z ryglowaniem do czasu zatrzymania ruchu. Z tego powodu funkcja zatrzymania awaryjnego nie została przyjęta jako środek redukcji ryzyka dla tego zagrożenia.

Czy można mimo wszystko zastosować zatrzymanie awaryjne?

Tak. Czasem projektant decyduje się zastosować zatrzymanie awaryjne, mimo że analiza konkretnego zagrożenia nie wykazała jednoznacznej konieczności. Może to wynikać z przyjętego standardu zakładowego, spójności obsługi linii, oczekiwań użytkownika albo potrzeby zatrzymania kilku współpracujących maszyn.

Trzeba jednak uważać, żeby taka decyzja nie wprowadzała dodatkowego ryzyka.

W przypadku zespołu maszyn dyrektywa wymaga, aby elementy sterownicze zatrzymujące, w tym urządzenia do zatrzymywania awaryjnego, mogły zatrzymać nie tylko samą maszynę, ale także powiązane urządzenia, jeżeli ich dalsza praca może być niebezpieczna.

Dlatego przy liniach i zespołach maszyn pytanie brzmi nie tylko:

Czy zastosować zatrzymanie awaryjne?

ale również:

Co dokładnie ma zostać zatrzymane po jego użyciu?

Źle określona funkcja zatrzymania może zatrzymać za mało, za dużo albo w niewłaściwej kolejności. A wtedy sama obecność urządzenia awaryjnego nie wystarcza do uznania rozwiązania za bezpieczne.

Podsumowanie

Funkcja zatrzymania awaryjnego nie jest obowiązkowa w każdej maszynie. Jest wymagana wtedy, gdy może rzeczywiście pomóc w zapobieganiu istniejącemu lub zagrażającemu niebezpieczeństwu.

Nie jest natomiast wymagana, gdy:

  • nie skróci czasu zatrzymania,
  • nie umożliwi podjęcia dodatkowych środków ograniczających ryzyko,
  • jej zastosowanie nie obniży ryzyka,
  • mamy do czynienia z maszyną przenośną trzymaną w ręku lub prowadzoną ręcznie,
  • ryzyko zostało skutecznie zmniejszone innymi środkami.

Najważniejsze jest jednak uzasadnienie. Brak zatrzymania awaryjnego musi wynikać z oceny ryzyka, a nie z przyzwyczajenia, oszczędności albo braku miejsca w projekcie elektrycznym.

Dobrze wykonana ocena ryzyka powinna pokazać, czy funkcja zatrzymania ma realny udział w zmniejszeniu ryzyka. Jeżeli nie ma, to jej brak można uzasadnić. Jeżeli ma, to trzeba ją zaprojektować, zweryfikować i udokumentować jak każdą inną funkcję bezpieczeństwa.

error: Treść jest chroniona !!
Enable Notifications OK No thanks