Název: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Hynek Havliš 05.01.2015, 13:25 Setkal jsem se s následujícím řešením (viz Obr. 1.) - napájecí napětí je jištěno pojistkou -F4 a odpínáno kontaktem bezpečnostního relé -BM1 (což jsou v popisovaném případě fyzicky 2 kontakty v sérii). Relé -BM1 je vypínáno tlačítkem nouzového zastavení v sérii s bezpečnostními spínači krytů stroje.
Z výstupní strany relé -BM1 (svorka 14) jsou řízeny nebezpečné pohyby (ovládání pneuventilů). Kromě toho je výstup -BM1 (svorka 14) spojen se vstupní kartou PLC z důvodu informace o vypnutí bezpečnostního relé pro řídicí systém (odkaz 15.6/-BM1). Vstupní karta PLC je ale "obyčejná", ne-bezpečnostní. Karta má na vstupu optočleny, detailní schéma má jen výrobce. Lze zaručit, že se karta např. díky přepětí neprorazí tak nešťastně, že by poškozený vstup napájel odjinud (např. z napájení elektroniky karty) obvod tak, že by i po vybavení bezpečnostního relé nedošlo k vypnutí? Prakticky stejně by mohlo dojít uvnitř power modulu -A12 k proražení napětí pro elektroniku (ve schematu nezakresleno) na jeho svorku 2. Jaké normě/článku toto řešení odporuje? Je jediné správné řešení pro zpětnou vazbu do ŘS použití jiného (nezávislého) kontaktu bezpečnostního relé? Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Jiří Schwarz 05.01.2015, 20:02 Kdybyste na to měl čas, bylo by pro vás zajímavou inspirací nastudovat si něco o zabezpečovacím zařízení na železnice, především pravidla pro ty části, které musí splňovat požadavky na 1. bezpečnostní třídu.
Popis té problematiky je už dost mimo zaměření tohoto portálu. Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Roman Sebera 05.01.2015, 20:51 Mohl by jste prosím poskytnout nějaké vodítko, kde hledat materiály k této problematice?
Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Martin Kurka 05.01.2015, 21:26 Na otázku nelze jednoduše odpovědět, je zde málo informací.
Vzhledem k tomu, že pro vypnutí 24V DC je použitý jediný kontakt a nikoliv dva kontakty v sérii nebudou patrně pneumaticky ovládané pohyby nic moc rizikové. Tohle zapojení samo o sobě sotva splní bezpečnostní kategorii 1. Ale je to spekulace, může být ještě jinde druhý kanál, kterým se pneumatika vypne - například pneumatický odvzdušňovací rychloventil na přívodu stlačeného vzduchu. Také může být jištění napájecích obvodů 24V pro vstupy tak slabé, že neutáhne pneumatické rozvaděče s nebezpečnými funkcemi a jištění vstupní karty při průrazu vypadne. Také může být v programu PLC algoritmus hlídající průběžně toto napětí a soulad s předpokládanou polohou relé BM1. Tím je splněna podmínka hlídání závady alespoň jednou při zapnutí stroje. Navíc u bezpečnostních obvodů se sleduje vliv libovolné jediné závady, která nesmí ovlivnit bezpečnost stroje. Kombinace dvou a více závad vede k takovým kombinacím a variacím možností, že je zaručení bezpečnosti neřešitelné. Například stejné nebo i vyšší riziko jako prohoření karty je prodření izolace tohoto obvodu, na ostrý +24V (například u pohyblivých a konektorovanýc h přívodů apod.) U konstrukce bezpečného zařízení se potýkáte s nebezpečím, že se příliš hnidopišsky věnujete nějaké možnosti s velmi malou pravděpodobnos tí vzniku a na druhé straně vám uteče opravdu velmi nebezpečná a pravděpodobná situace s daleko vážnějšími následky. Osobně jsem se nikdy nesetkal ani s prohořením vstupní karty slušného PLC ani se zavlečním napětí do vstupu, ve velké většině mají na vstupu standardně používaný obvod s optronem, a to by musela PLC kartu zaplavit voda aby prohořela skrznaskrz. Ale to už by se děly i jiné věci v silových obvodech... Ovšem u PLC které nemá standardní zapojení vstupu a nemá galvanické oddělení je to jinak i když na vstupním rezistoru vstupu by vznikl tak velký úbytek napětí, že by proud pneuventily byl na přídrž malý. Takže je třeba také uvažovat a v souvislostech reálného života, v souvislostech zhodnocení rychlostí nebezpečného pohybu a v souvislostech statistických. Při konstrukci stroje lze vycházet i z tabulek četností úrazů z obdobných rizik, ale tato metoda se u nás pro nedostupnost statistických dat použít nedá. Používá se ale skrytě a intuitivně. Například truhlářů s uříznutými prsty cirkulárkou je mnohem více, než zedníků umlácených lopatou nechanou v míchačce. Přitom prvotní příčina úrazu může být stejná - nečekané obnovení napájecího napětí stroje. Jenže zedník má šanci se uhnout, truhlář ani prvních pár vteřin ještě neví že pojede do Vysokého s prsty naloženými do ledu, nebo naloženými do čerstvé krabice UHT mléka. Takže obvodově budu při konstrukci cirkulárky mnohem pečlivější a budu uvažovat i možné typické dvojchyby a trojchyby zařízení, ač bych podle normy nemusel. A mimochodem dvě diody 1N4007 v sérii (2 kvůli spohlehlivosti - redundance) do vstupu PLC možnost prohoření DC napětí potlačí a máte-li na pneumatice diodové odrušováky potlačí i prohoření AC napětí. Takže za dobu povídání zde by byl možný problém vyřešen velmi lacino Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Jiří Schwarz 05.01.2015, 22:27 ... kde hledat materiály k této problematice? Možná to bude znít hloupě, ale existují ušebnice pro střední školy dopravního zaměření, pro obor zabezpačovací technika.Takže můžeme začít Zákonem o drahách, kde jsou definovány některé základní požadavky, pak můžeme přejít na normy (např. 34 2600 v aktuální edici), kde je to rozpracováno do větších podrobností, a nakonec ty učebnice, kde jsou popsána některá konkrétní řešení, funkce,... Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Jiří Janíček 06.01.2015, 00:06 je zde opravdu málo informací, ale za předpokladu, že se neřeší bezpečnost elektro-pneu ventilů, a řeší se jen odezva na bezpečnostní tlačítko tak nevím, proč do toho zatahujete kartu PLC, ta je úplně mimo, a po vybavení tlačítka je "jen informována"..... (zpětné napájení z karty není možné ani při poruše)
Za jistých okolností by to mohlo splnit nižší třídu bezpečnosti. Ale poznámka: pokud do bezpečnosti zatáhneme PLC, tak nejen vstupní karta, ale i PLC, ale hlavně i software MUSÍ být s bezpečnostním certifikátem! Obvykle jsou k bezpečnostnímP LC poskytovány přímo programy již certifikované, anebo na zakázku, ale z vlastní zkušenosti vím, že firmy to dělají velmi neradi, a pokud ano, tak za velmi tučných podmínek.(i samotné bezpečnostní PLC je úplně jiná cenová kategorie) Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Martin Kurka 06.01.2015, 07:33 ... ale za předpokladu, že se neřeší bezpečnost elektro-pneu ventilů, a řeší se jen odezva na bezpečnostní tlačítko ... To právě u bezpečnostních obvodů nejde, zde souvisí vše se vším a je důležitý výsledek. Cest je mnoho, výsledek jen jeden. Bezpečné / nebezpečné. Přesněji řečeno Hodně bezpečné / nebezpečné. Technicky - pravděpodobnos t selhání vypnutí stroje je číslo xx.Například zde uvedený zlomek schematu nic moc neřekne. Jsou to jen indicie a dotaz na možnou eliminaci možné poruchy vstupní karty. ...(zpětné napájení z karty není možné ani při poruše)... A to právě možné je, ale podle mých zkušeností, s malou pravděpodobnos tí.... Lze zaručit, že se karta např. díky přepětí neprorazí tak nešťastně, že by poškozený vstup napájel odjinud (např. z napájení elektroniky karty) obvod tak, že by i po vybavení bezpečnostního relé nedošlo k vypnutí?... Správná je otázka pana Havliše. Ani Vy to zaručit nemůžete (ač to píšete jako jistotu), to může zaručit jedině výrobce karty. Já na otázku pana Havliše odpověděl jako Radio Jerevan - lze i nelze zaručit. A také, že dle mých zkušeností záleží na výrobci a že výrobci běžných karet používajících ustálené zapojení vstupů s optrony na vstupu mají pravděpodobnos t průrazu jejich karet tak malou, že jiné možné poruchy jsou podle mne nebezpečnější. P.S. Ještě jsem se díval, co je to dole za modul A12. Jde o speciální modul od Siemense pro ET200, který má za úkol sledovat jedinou věc - stav napětí. A je vhodný i pro napojení na bezpečnostní moduly ;). Takže sice trochu nechápu, proč tam je ještě jeden vodič do jiného vstupu PLC, ale klidně celek řízení tohoto stroje může být i v kategorii bezpečnosti 4 a tohle je jen "přesychrování". A/nebo to má jako celek kategorii 1 nebo možná ani nemá nic. Takže napojení na jiný vstup PLC může i nemusí celkovou bezpečnost snížit. V tom je konstrukce bezpečnostních obvodů záludná, nemůžete bezhlavě oprásknout izolované části konstrukce někoho jiného, musíte fakt přemýšlet a s více hlavami dohromady. I s tím vědomím, že nějaký zásah do hotového nebo ustáleného zapojení může způsobit bezpečnostní selhání. Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Hynek Havliš 06.01.2015, 08:09 Dobré ráno pánové,
děkuji_ za postřehy zejména p. Kurkovi. S takovouto poruchou PLC karty jsem se doposud taky nesetkal a vím, že není pravděpodobná, já jsem se ale osobně nesetkal (vzhledem k tomu, co dělám) ani se svařenými kontakty stykače - což je závada, která se běžně uvažuje. Takže mě zajímalo, jestli k tomu bude řečeno něco zajímavého. Což bylo. Další postřehy (co se týče požadované SIL kateorie) nejsou předmětem tohoto vlákna, jen velmi stručně doplním - ke stroji byla provedena identifikace nebezpečí a nebezpečných situací podle ČSN EN ISO 12100 a odhad a snížení rizika podle ČSN EN ISO 12100, ČSN EN 13849-1. Simulací v programu Sistema byl obvod ověřen (jen bez této "Odbočky do PLC"). Druhý kanál (který na schématu není) je realizován bezpečnostním odvzdušňoavcím ventilem na vstupu stroje, stroj je prakticky celý zakrytovaný a jeho pohyby jsou "málo nebezpečné", jak jste správně odhadli. Proč se do bezpečnostního obvodu zatahuje karta PLC? Částečně ze zvyku (jen pro informaci) a tato informace je předávána do nadřízeného ŘS. Tvrdé vypnutí celého PLC odpojením zdroje nesvědčí komunikaci, což mám mnohokrát vyzkoušeno. Také proto, že je ve stroji použit i další bezpečnostní modul, který je často odpojován (při zakládání výrobku). ...Takže sice trochu nechápu, proč tam je ještě jeden vodič do jiného vstupu PLC.... - vycházím ze originální (ne mojí) koncepce. Tuhle možnost, která mě nenapadla (že stav PM lze číst do řídicího systému přímo), proberu s kolegy. Tedy na závěr díky_ za dost zajímavých myšlenek. Chápu, že debata nad takovýmto kouskem dokumentace je složitá, ale víc bych poskytovat neměl. Název: Re: Jak správně monitorovat stav jednoduchého bezpečnostního obvodu? Přispěvatel: Martin Kurka 06.01.2015, 09:14 Chápu, že debata nad takovýmto kouskem dokumentace je složitá, ale víc bych poskytovat neměl. Mne zase zkušenosti naučily, že jsem v problematice bezpečnosti strojů poměrně na informace otevřený. První důvod je, že konkurenčnímu boji totiž otevřenost v této problematice přispívá více, než informační embargo. Klidně ať si konkurenti mé zkušenosti a názory přečtou, ti co jsou mými čestnými konkurenty to ani číst nepotřebují, protože umí, používají a jsou díky tomu plus-mínus stejně drazí. A pokud jim to pomůže, mně zase pomohou jejich zkušenosti. A naše uveřejněné poznatky z praxe pomohou výrobcům bezpečnostních prvků a díky tomu se jenak zlepší bezpečnost a hlavně stále klesá cena prvků, protože klesá míra rizika, které každý výrobce nese a kalkuluje si do výrobků. A nekalí konkurenti, patlalové a břídilové ať stojí klidně s otevřenou hubou, co že to musí být u toho stroje udělané a kdo má ty papíry furt vymýšlet a díky těmto informacím se z nekalé konkurence stanou konkurencí opravdovou. Nakonec i Číňani už teď dělají stroje, které vyhovují, protože jim je nikdo od Aše až po SanFrancisko jinak nekoupí. Druhý důvod je jak jse uvedl že v této problematice nikdo není vševědoucí a poslední slovo má reálný provoz s reálnými lidmi. Myslet si a předpokládat znamená často houby vědět a narazit... Takže výměna informací v této specializaci je poměrně otevřená a vstřícná, hlavně u výrobců bezpečnostních prvků., kteří k této třídě výrobků dávají opravdu hodně přidané hodnoty jak v katalozích, tak v příručkách a software pro ověření bezpečnosti. A když jsem naposledy programoval speciální bezpečnostní řídící systém Flexi Sick (specializovaný řídící bezpečnostní systém nahrazující bezpečnostní relé) tak jsem si říkal, jaký neuvěřitelný skok se v této oblasti udělal jen za posledních 10 let, kdy toto "bezpečnostní relé" přijde na 12 tisíc a mám tam nejen všechny bezpečnostní funkce, ale i složité vazby mezi nimi, a na výstupu report, popisy, časy, ověření... To bych z klasiky za tyhle prachy neudělal, o času a pracnosti konstrukce nemluvě. Mohl by jste prosím poskytnout nějaké vodítko, kde hledat materiály k této problematice? Pan kolega Havliš vám tímto poslal odpověď:... (co se týče požadované SIL kateorie) nejsou předmětem tohoto vlákna, jen velmi stručně doplním - ke stroji byla provedena identifikace nebezpečí a nebezpečných situací podle ČSN EN ISO 12100 a odhad a snížení rizika podle ČSN EN ISO 12100, ČSN EN Dále se zaregistrujte u Moellera, Scneideru, Siemense, Sicku, Rockwella, Doldu, Pilze apod. a dostanete velmi kvalitní materiály, příručky (i v češině) o bezpečnosti strojů. Také je zajímavá poradna ve fóru Preventy na stránkách Schneider-electric, kde odpovídá na velký odborník v této problematice Ing. František Valenta. |