Funkcja zatrzymania ochronnego robota
Zgodnie z dyrektywą maszynową 2006/42/WE, maszyna musi być wyposażona w co najmniej jedno urządzenie do zatrzymywania awaryjnego, umożliwiające zapobieżenie istniejącemu lub zagrażającemu niebezpieczeństwu[1]. Wyjątkiem są maszyny przenośne trzymane w ręku lub prowadzone ręcznie, albo maszyny, w których urządzenie do zatrzymywania awaryjnego nie obniżyłoby ryzyka. Roboty przemysłowe do tego wyjątku nie należą. Norma ISO 10218-1 wymaga nawet więcej – oprócz funkcji zatrzymania awaryjnego wymaga, aby dla każdego robota przemysłowego była zapewniona funkcja zatrzymania ochronnego.
Wg ISO 10218-1 każdy robot przemysłowy powinien mieć funkcję zatrzymania ochronnego i niezależną funkcję zatrzymania awaryjnego. Funkcje te powinny mieć możliwość podłączenia zewnętrznych urządzeń ochronnych. Opcjonalnie może być dostarczony sygnał wyjściowy zatrzymania awaryjnego. Funkcja zatrzymania awaryjnego i funkcja zatrzymania ochronnego to dwie różne funkcje, chociaż cel ich jest taki sam – redukcja ryzyka urazu człowieka podczas kontaktu z poruszającym się robotem.
O ile funkcja zatrzymania awaryjnego jest (a przynajmniej powinna być) dobrze rozumiana i poznana, to funkcja zatrzymania ochronnego może sprawiać niemało kłopotu. Po co się ją stosuje i do czego może być przydatna?
Aby odpowiedzieć na to pytanie, warto wpierw spojrzeć do definicji 3.17 opisanej w normie ISO 10218-2:
3.17 Zatrzymanie ochronne
rodzaj przerwy w działaniu, która umożliwia wstrzymanie ruchu w celu zapewnienia ochrony i która zachowuje logikę programu w celu ułatwienia ponownego uruchomienia.
Tabela 1 przedstawiona w normie ISO 10218-1 porównuje funkcję zatrzymania awaryjnego i zatrzymania ochronnego.
Parametr | Zatrzymanie awaryjne | Zatrzymanie ochronne |
Lokalizacja środków inicjacji | Niezwłoczny dostęp dla operatora, bez przeszkód | W przypadku urządzeń ochronnych lokalizacja jest określana przez formuły minimalnej (bezpiecznej) odległości, opisanej w normie ISO 13855 |
Inicjacja | Ręczna | Ręczna, automatyczna lub może być uruchamiana automatycznie przez funkcję związaną z bezpieczeństwem |
Działanie systemu sterowania związanego z bezpieczeństwem | Spełnia wymagania dotyczące niezawodności opisane w 5.4 | Spełnia wymagania dotyczące niezawodności opisane w 5.4 |
Reset | Tylko ręczny | Ręczny lub automatyczny |
Częstotliwość użycia | Nieczęsta | Zmienna; od każdej operacji do nieczęstej |
Cel | Użycie w sytuacji awaryjnej | Zabezpieczenie lub zmniejszenie ryzyka |
Efekt | Odcięcie źródeł energii dla wszystkich zagrożeń | Bezpieczna kontrola chronionego zagrożenia |
Zwróć uwagę w powyższej tabeli na punkt dotyczący niezawodności. Rozdział 5.4 w normie ISO 10218-1 z 2011 roku stawia następujące wymaganie:
Części systemów sterowania związane z bezpieczeństwem powinny być zaprojektowane tak, aby były zgodne z PL=d z kategorią bezpieczeństwa 3, jak opisano w ISO 13849-1: 2006, lub tak, aby były zgodne z SIL 2 z tolerancją błędów sprzętowych 1, z potwierdzeniem okresu między testami nie krótszymi niż 20 lat, jak opisano w normie IEC 62061: 2005.
Abstrahując od funkcji zatrzymania ochronnego, dla funkcji zatrzymania awaryjnego wymaganie te jest wyjątkiem, bowiem od funkcji tej norma typu B ISO 13850 wymaga, aby minimalny poziom zapewnienia bezpieczeństwa wg ISO 13849-1 wynosił PLc, a minimalny poziom nienaruszalności wynosił SIL 1 wg IEC 62061. Dla większości maszyn nie ma powodu, aby wymagać od funkcji zatrzymania awaryjnego większego poziomu niezawodności. Wymagania norm typu C mają jednak pierwszeństwo nad normami typu B, a ISO 10218-1 jest normą typu C. Oznacza to, że od funkcji zatrzymania awaryjnego dla robotów przemysłowych wymaga się przywołanego w p. 5.4 poziomu niezawodności i póki co, część sterowania odpowiedzialna za funkcję zatrzymania awaryjnego robota nie może być wykonana wg minimalnego poziomu, na jaki pozwala ISO 13850. Wkrótce jednak norma ISO 10218-1 zostanie znowelizowana i możemy spodziewać się pewnych zmian w tym zakresie.
Trochę inaczej należy traktować funkcję zatrzymania ochronnego. Wg p. 5.3.3 ISO 10218-1 funkcja ta powoduje zatrzymanie wszelkich ruchów robota, odłączenie lub sterowanie zasilaniem napędów robota oraz umożliwia kontrolę wszelkich innych zagrożeń generowanych przez robota. To zatrzymanie może zostać zainicjowane ręcznie lub za pomocą logiki sterującej. Jest to funkcja, która powinna spowodować zatrzymanie całego ruchu systemu robota i zaprzestanie wykonywania wszelkich innych niebezpiecznych funkcji kontrolowanych przez system sterowania i może być związana z zapewnieniem ochrony podczas dostępu człowieka do strefy pracy robota. Funkcja ta nie przerywa pracy robota, lecz zatrzymuje ruch i sprawdza, czy osie robota są nieruchome. Jeśli podczas zatrzymania ochronnego osie poruszą się, układ sterowania wyłącza napędy i zasilanie elektryczne hamulców, a więc realizuje się zatrzymanie w kat. 0 wg EN 60204-1. Dla przypomnienia, fizyczna realizacja tych kategorii zatrzymania w dużym uproszczeniu pokazana jest w tabeli poniżej.
Kategoria zatrzymania 0 | Kategoria zatrzymania 1 | Kategoria zatrzymania 2 |
zatrzymanie przez bezzwłoczne odłączenie zasilania od napędów maszyny (zatrzymanie niekontrolowane); | zatrzymanie kontrolowane przy zasilaniu napędów maszyny, a następnie odłączenie zasilania, po zatrzymaniu; | Zatrzymanie kontrolowane przy pozostawieniu zasilania napędów maszyny; |
Nadaje się do stosowania jako funkcja zatrzymania awaryjnego; | Nadaje się do stosowania jako funkcja zatrzymania awaryjnego; | Nie nadaje się do stosowania jako funkcja zatrzymania awaryjnego; |
Zatrzymanie, które jest wyzwalane i przeprowadzane przez układ sterowania i polega na natychmiastowym wyłączeniu napędów i zasilania elektrycznego hamulców robota. | Proces hamowania jest wykonywany i monitorowany przez część układu sterowania związaną z bezpieczeństwem. Po unieruchomieniu układ sterowania wyłącza napędy i zasilanie elektryczne hamulców. | Proces hamowania jest wykonywany i monitorowany przez część układu sterowania związaną z bezpieczeństwem. Napędy pozostają włączone, a hamulce otwarte. |
Zgodnie z wcześniejszym opisem działania, co najmniej jedna funkcja zatrzymania ochronnego powinna należeć do kategorii zatrzymania 0 lub 1, zgodnie z opisem w normie EN 60204-1. Robot może mieć dodatkową funkcję zatrzymania ochronnego wykorzystującą kategorię zatrzymania 2 (zgodnie z EN 60204-1), która nie powoduje odłączenia zasilania, ale wymaga monitorowania stanu spoczynku po zatrzymaniu robota. Każdy niezamierzony ruch robota podczas monitorowania stanu spoczynku lub wykrytej awarii funkcji zatrzymania ochronnego powinno spowodować zatrzymanie kategorii 0 zgodnie z normą EN 60204-1. Funkcję tę można również zainicjować z urządzeń zewnętrznych (wejściowy sygnał stopu z urządzeń ochronnych).
Zatrzymanie ochronne może być wykonywane we wszystkich trzech kategoriach wg EN 60204-1, ale zatrzymanie awaryjne może być wykonane tylko w kategorii 0 lub 1. Funkcja zatrzymania awaryjnego może być uruchomiona tylko ręcznie i wymaga również ręcznego zresetowania, podczas gdy funkcja zatrzymania ochronnego może być wyzwalana automatycznie i również automatycznie zresetowana (a decyzja o sposobie wyzwolenia i resetowania powinna być poprzedzona oceną ryzyka). Mimo tego, że wyzwolenie obydwu funkcji może skutkować podobnym rezultatem, funkcji tych nie należy mylić, zwłaszcza że niektóre obwody zatrzymania ochronnego mogą być automatycznie omijane w trybie ręcznym. Obwody takie nie mogą być użyte do podłączania urządzeń zatrzymania awaryjnego.
Funkcja zatrzymania ochronnego ma zapewnić ochronę przed dostępem człowieka do strefy pracy robota i powinna zapewnić zatrzymanie wszystkich urządzeń, które mogą stanowić zagrożenie lub sytuację niebezpieczną. Przełączenie z trybu automatycznego lub utrata komunikacji powinno również skutkować zatrzymaniem ochronnym lub zatrzymaniem awaryjnym.
O ile funkcja zatrzymania awaryjnego jest zawsze uzupełniającym środkiem ochronnym i dla większości maszyn nie wymaga się od niej wysokiego poziomu niezawodności, o tyle funkcja zatrzymania ochronnego może być traktowana jako podstawowy środek ochronny, który w powiązaniu z urządzeniami typu kurtyna świetlna bezpieczeństwa, blokada osłony ruchomej lub poprzez wybór trybu pracy powinna charakteryzować się wysokim poziomem niezawodności. Edycja normy ISO 10218-1 z roku 2011 nie podaje jednak szczegółów dotyczących możliwych do zastosowania funkcji bezpieczeństwa dla robotów przemysłowych i upraszcza wymaganie do PLd/SIL2 dla wszelkich możliwych funkcji.
Funkcja zatrzymania ochronnego czuwa nad innymi funkcjami, które są uruchamiane przez część systemu sterowania odpowiedzialną za bezpieczeństwo i uruchamia się automatycznie, jeśli zostanie wykryte naruszenie wartości granicznych tych funkcji doprowadzające do wzrostu ryzyka. Spójrzmy do definicji bezpiecznej monitorowanej prędkości wg ISO 10218-1:
3.19.1 bezpieczna monitorowana prędkość
funkcja bezpieczeństwa, która powoduje zatrzymanie ochronne, gdy prędkość kartezjańska punktu względem kołnierza robota (np. punktu środkowego narzędzia) lub prędkość jednej lub więcej osi przekracza określoną wartość graniczną.
Oprócz w/w funkcji istnieje również funkcja bezpiecznej prędkości zredukowanej:
3.19.2 bezpieczna prędkość zredukowana
bezpieczna funkcja monitorowanej prędkości, która ogranicza prędkość robota do 250 mm/s lub mniej.
Dla bezpiecznej prędkości zredukowanej funkcja zatrzymania ochronnego również musi być zapewniona i funkcja ta inicjuje się w przypadku, gdy prędkość bezpieczna zostanie przekroczona. Różnica między bezpieczną prędkością monitorowaną a bezpieczną prędkością zredukowaną polega na tym, że bezpieczną monitorowaną prędkość można ustawić na prędkości większe niż 250 mm/s (dla robotów prędkość nie przekraczająca 250mm/s uznawana jest za prędkość umożliwiającą unikniecie zagrożenia). Identycznie jest w przypadku bezpiecznej monitorowanej prędkości, która może być używana w przypadku konieczności zapewnienia dostępu operatora do strefy pracy robota. Podczas wykrycia obecności operatora za pomocą np. optoelektronicznych urządzeń ochronnych w odpowiednio zaprogramowanych strefach następuje redukcja prędkości, a im bliżej człowiek zbliża się do robota, tym bardziej robot zwalnia swoje ruchy, aby zatrzymać się w momencie, gdy możliwy jest bezpośredni kontakt. Możliwe jest wówczas automatyczne wznowienie ruchu, jeśli człowiek się wycofa. Jednak gdy człowiek zbyt szybko zacznie zbliżać się do robota, a prędkość robota w danej strefie wykrywania przekracza dopuszczalną granicę, powinna uruchomić się funkcja zatrzymania ochronnego i robot powinien przerwać swoją pracę.
Wg ISO 10218-2 robot może być wyposażony w 4 rodzaje współpracy z człowiekiem. W przypadku wykrycia jakiegokolwiek przekroczenia ustalonych granic dla każdego z zaimplementowanych rodzajów współpracy funkcja zatrzymania ochronnego musi zainicjować zatrzymanie robota.
Metody współpracy człowieka z robotem są opisane szerzej w artykule Ocena ryzyka robota współpracującego z człowiekiem
Funkcja zatrzymania ochronnego w trybie bezpiecznego monitorowania zatrzymania
W tym trybie robot zatrzymuje się, gdy człowiek wchodzi do przestrzeni współpracy. Robot jest monitorowany np. przez skaner laserowy, blokady bezpieczeństwa osłon ruchomych lub system wizyjny bezpieczeństwa, które wykrywają obecność człowieka. Po wykryciu interakcji system robota realizuje zatrzymanie ochronne – zatrzymuje wszystkie swoje ruchy, aby zapewnić bezpieczeństwo dla człowieka. Robot w tym trybie może nie być całkowicie wyłączony. W rzeczywistości po prostu zatrzymuje wszystkie swoje napędy, chociaż nadal monitoruje ich pozycje. Pozostaje w trybie zatrzymania 2 wg EN 60204-1. Aby zapobiec przed niebezpiecznych ruchem, procesor analizuje, czy robot przestrzennie znajduje się tam, gdzie powinien. W przypadku wykrycia ruchu uruchamiane jest automatycznie zatrzymanie w kategorii 0 wg EN 60204-1. Ten rodzaj współpracy może być stosowany, gdy robot musi znajdować się blisko człowieka, na przykład gdy robot przekazuje jakąś część produkcyjną człowiekowi, lub na odwrót. Robot jest zwykle zatrzymywany, zanim operator wejdzie do obszaru roboczego współpracy.
Działanie funkcji zatrzymania ochronnego w trybie prowadzenia ręcznego
Przed wejściem do strefy pracy robota w celu prowadzenia ręcznego musi wpierw nastąpić zatrzymanie ochronne. Następnie po każdym zwolnieniu lub zaciśnięciu trójpozycyjnego urządzenia zezwalającego również musi nastąpić zatrzymanie ochronne. Podczas ręcznego prowadzenia robota uruchamiana jest funkcja bezpiecznej zredukowanej prędkości, a przekroczenie tej prędkości powoduje uruchomienie funkcji zatrzymania ochronnego.
Działanie funkcji zatrzymania ochronnego w trybie monitorowania prędkości i separacji
Dla trybu monitorowania prędkości i separacji używana jest bezpieczna monitorowana prędkość, a więc prędkość, która może wynosić więcej niż 250 mm/s. Ten rodzaj współpracy uzyskuje się, gdy w przestrzeni roboczej robota wyznaczone są różne strefy bezpieczeństwa. Niektóre strefy pozwolą na maksymalną prędkość robota, inne zaś – te bliższe robota – będą wymagały niższych prędkości ze względu na potencjalną bliskość człowieka. Strefy najbliższe robota służą do całkowitego zatrzymają robota, jeśli w tych strefach zostanie wykryta obecność człowieka. Monitorowanie strefy bezpieczeństwa odbywa się za pomocą różnych systemów monitorowania, głównie z wykorzystaniem optoelektronicznych urządzeń bezpieczeństwa lub systemów wizyjnych bezpieczeństwa.
Strefa bezpieczeństwa może mieć dowolny rozmiar i geometrię, integrator może ustawić różne strefy i skojarzyć różne ustawienia przyspieszenia i prędkości robota w tych strefach, aby upewnić się, że człowiek nie zostanie skrzywdzony przez robota w żadnych warunkach. Ta metoda jest przydatna w sytuacji, gdy współpraca między człowiekiem a robotem nie jest stała i robot będzie pracował przez większość czasu z pełną prędkością bez udziału człowieka. Zastosowanie tego trybu pracy może przyspieszyć proces i nadal umożliwić przebywanie człowieka w bliskiej odległości, ale tryb ten wymaga monitorowania i w przypadku, gdy człowiek zbliży się znacznie szybciej do danej strefy, system sterowania musi odpowiednio zareagować i uruchomić funkcję zatrzymania ochronnego.
Działanie funkcji zatrzymania ochronnego w trybie ograniczenia mocy i siły
Dzięki konstrukcji ramienia robota bezpiecznej z założenia i odpowiednio zaprojektowanemu systemowi sterowania, robot jest w stanie wyczuć nienormalną siłę wywieraną na jego konstrukcję. W przypadku kontaktu robot wywiera ograniczone siły statyczne i dynamiczne na człowieka. Innymi słowy, po uderzeniu silniki i hamulce działają tak, aby przekazać mniej energii (bezwładności) w kierunku uderzenia. Niektóre roboty po prostu się zatrzymają, a inne zareagują ograniczonym ruchem w kierunku przeciwnym do uderzenia.
Roboty przemysłowe z racji wykorzystania ich do wykonywania bardzo precyzyjnych zadań wymagają dostępu podczas testowania ich pracy, a użytkowanie robotów w systemach kolaborujących staje się coraz bardziej powszechne. Wobec konieczności zapewnienia dostępu do robotów podczas wykonywania przez nich ruchów, funkcja zatrzymania ochronnego obok innych funkcji, takich jak zastosowanie bezpieczniej lub ograniczonej prędkości jest wręcz niezbędna i chroni przed niezamierzonym kontaktem z ruchomym robotem.
[1] P. 1.2.4.3 2006/42/WE