Diskuse Elektrika.cz

Setkal jsem se s následujícím řešením (viz Obr. 1.) - napájecí napětí je jištěno pojistkou -F4 a odpínáno kontaktem bezpečnostního relé -BM1 (což jsou v popisovaném případě fyzicky 2 kontakty v sérii). Relé -BM1 je vypínáno tlačítkem nouzového zastavení v sérii s bezpečnostními spínači krytů stroje.
Z výstupní strany relé -BM1 (svorka 14) jsou řízeny nebezpečné pohyby (ovládání pneuventilů).
Kromě toho je výstup -BM1 (svorka 14) spojen se vstupní kartou PLC z důvodu informace o vypnutí bezpečnostního relé pro řídicí systém (odkaz 15.6/-BM1). Vstupní karta PLC je ale "obyčejná",  ne-bezpečnostní. Karta má na vstupu optočleny, detailní schéma má jen výrobce. Lze zaručit, že se karta např. díky přepětí neprorazí tak nešťastně, že by poškozený vstup napájel odjinud (např. z napájení elektroniky karty) obvod tak, že by i po vybavení bezpečnostního relé nedošlo k vypnutí? Prakticky stejně by mohlo dojít uvnitř power modulu -A12 k proražení napětí pro elektroniku (ve schematu nezakresleno) na jeho svorku 2.

Jaké normě/článku toto řešení odporuje? Je jediné správné řešení pro zpětnou vazbu do ŘS použití jiného (nezávislého) kontaktu bezpečnostního relé?

Kdybyste na to měl čas, bylo by pro vás zajímavou inspirací nastudovat si něco o zabezpečovacím zařízení na železnice, především pravidla pro ty části, které musí splňovat požadavky na 1. bezpečnostní třídu.
Popis té problematiky je už dost mimo zaměření tohoto portálu.

Mohl by jste prosím poskytnout nějaké vodítko, kde hledat materiály k této problematice?

Na otázku nelze jednoduše odpovědět, je zde málo informací.

Vzhledem k tomu, že pro vypnutí 24V DC je použitý jediný kontakt a nikoliv dva kontakty v sérii nebudou patrně pneumaticky ovládané pohyby nic moc rizikové. Tohle zapojení samo o sobě sotva splní bezpečnostní kategorii 1.
Ale je to spekulace, může být ještě jinde druhý kanál, kterým se pneumatika vypne - například pneumatický odvzdušňovací rychloventil na přívodu stlačeného vzduchu.
Také může být jištění napájecích obvodů 24V pro vstupy tak slabé, že neutáhne pneumatické rozvaděče s nebezpečnými funkcemi a jištění vstupní karty při průrazu vypadne.
Také může být v programu PLC algoritmus hlídající průběžně toto napětí a soulad s předpokládanou polohou relé BM1. Tím je splněna podmínka hlídání závady alespoň jednou při zapnutí stroje.

Navíc u bezpečnostních obvodů se sleduje vliv libovolné jediné závady, která nesmí ovlivnit bezpečnost stroje. Kombinace dvou a více závad vede k takovým kombinacím a variacím možností, že je zaručení bezpečnosti neřešitelné.
Například stejné nebo i vyšší riziko jako prohoření karty je prodření izolace tohoto obvodu, na ostrý +24V (například u pohyblivých a konektorovanýc h přívodů apod.)

U konstrukce bezpečného zařízení se potýkáte s nebezpečím, že se příliš hnidopišsky věnujete nějaké možnosti s velmi malou pravděpodobnos tí vzniku a na druhé straně vám uteče opravdu velmi nebezpečná a pravděpodobná situace s daleko vážnějšími následky.

Osobně jsem se nikdy nesetkal ani s prohořením vstupní karty slušného PLC ani se  zavlečním napětí do vstupu, ve velké většině mají na vstupu standardně používaný obvod s optronem, a to by musela PLC kartu zaplavit voda aby prohořela skrznaskrz. Ale to už by se děly i jiné věci v silových obvodech...
Ovšem u PLC které nemá standardní zapojení vstupu a nemá galvanické oddělení je to jinak i když na vstupním rezistoru vstupu by vznikl tak velký úbytek napětí, že by proud pneuventily byl na přídrž malý.

Takže je třeba také uvažovat a v souvislostech reálného života, v souvislostech zhodnocení rychlostí nebezpečného pohybu a v souvislostech statistických.
Při konstrukci stroje lze vycházet i z tabulek četností úrazů z obdobných rizik, ale tato metoda se u nás pro nedostupnost statistických dat použít nedá. Používá se ale skrytě a intuitivně.
Například truhlářů s uříznutými prsty cirkulárkou je mnohem více, než zedníků  umlácených lopatou nechanou v míchačce. Přitom prvotní příčina úrazu může být stejná - nečekané obnovení napájecího napětí stroje. Jenže zedník má šanci se uhnout, truhlář ani prvních pár vteřin ještě neví že pojede do Vysokého s prsty naloženými do ledu, nebo naloženými do čerstvé krabice UHT mléka.
Takže obvodově budu při konstrukci cirkulárky mnohem pečlivější a budu uvažovat i možné typické dvojchyby a trojchyby zařízení, ač bych podle normy nemusel.

A mimochodem dvě diody 1N4007 v sérii (2 kvůli spohlehlivosti - redundance) do vstupu PLC možnost prohoření DC napětí potlačí a máte-li na pneumatice diodové odrušováky potlačí i prohoření AC napětí.
Takže za dobu povídání zde by byl možný problém vyřešen velmi lacino

Možná to bude znít hloupě, ale existují ušebnice pro střední školy dopravního zaměření, pro obor zabezpačovací technika.

Takže můžeme začít Zákonem o drahách, kde jsou definovány některé základní požadavky, pak můžeme přejít na normy (např. 34 2600 v aktuální edici),  kde je to rozpracováno do větších podrobností, a nakonec ty učebnice, kde jsou popsána některá konkrétní řešení, funkce,...

je zde opravdu málo informací, ale za předpokladu, že se neřeší bezpečnost elektro-pneu ventilů, a řeší se jen odezva na bezpečnostní tlačítko tak nevím, proč do toho zatahujete kartu PLC, ta je úplně mimo, a po vybavení tlačítka je "jen informována"..... (zpětné napájení z karty není možné ani při poruše)
Za jistých okolností by to mohlo splnit nižší třídu bezpečnosti.
Ale poznámka: pokud do bezpečnosti zatáhneme PLC, tak nejen vstupní karta, ale i PLC, ale hlavně i software MUSÍ být s bezpečnostním certifikátem! Obvykle jsou k bezpečnostnímP LC poskytovány přímo programy již certifikované, anebo na zakázku, ale z vlastní zkušenosti vím, že firmy to dělají velmi neradi, a pokud ano, tak za velmi tučných podmínek.(i samotné bezpečnostní PLC je úplně jiná cenová kategorie)

To právě u bezpečnostních obvodů nejde, zde souvisí vše se vším a je důležitý výsledek. Cest je mnoho, výsledek jen jeden. Bezpečné / nebezpečné. Přesněji řečeno Hodně bezpečné /  nebezpečné. Technicky - pravděpodobnos t selhání vypnutí stroje je číslo xx.

Například zde uvedený zlomek schematu nic moc neřekne. Jsou to jen indicie a dotaz na možnou eliminaci možné poruchy vstupní karty.

A to právě možné je, ale podle mých zkušeností, s malou pravděpodobnos tí.
Správná je otázka pana Havliše. Ani Vy to zaručit nemůžete (ač to píšete jako jistotu),  to může zaručit jedině výrobce karty.
Já na otázku pana Havliše odpověděl jako Radio Jerevan  - lze i nelze zaručit. A také, že dle mých zkušeností záleží na výrobci a že výrobci běžných karet používajících ustálené zapojení vstupů s optrony na vstupu mají pravděpodobnos t průrazu jejich karet tak malou, že jiné možné poruchy jsou podle mne nebezpečnější.



P.S.
Ještě jsem se díval, co je to dole za modul A12. Jde o speciální modul od Siemense pro ET200, který má za úkol sledovat jedinou věc - stav napětí. A je vhodný i pro napojení na bezpečnostní moduly ;).
Takže sice trochu nechápu, proč tam je ještě jeden vodič do jiného vstupu PLC, ale klidně celek řízení tohoto stroje může být i v kategorii bezpečnosti 4 a tohle je jen "přesychrování". A/nebo to má jako celek kategorii 1 nebo možná ani nemá nic. Takže napojení na jiný vstup PLC může i nemusí celkovou bezpečnost snížit.
V tom je konstrukce bezpečnostních obvodů záludná, nemůžete bezhlavě oprásknout izolované části konstrukce někoho jiného, musíte fakt přemýšlet a s více hlavami dohromady. I s tím vědomím, že nějaký zásah do hotového nebo ustáleného zapojení může způsobit bezpečnostní selhání.

 

Dobré ráno pánové,
děkuji_ za postřehy zejména p. Kurkovi. S takovouto poruchou PLC karty jsem se doposud taky nesetkal a vím, že není pravděpodobná, já jsem se ale osobně nesetkal (vzhledem k tomu, co dělám) ani se svařenými kontakty stykače - což je závada, která se běžně uvažuje. Takže mě zajímalo, jestli k tomu bude řečeno něco zajímavého. Což bylo.

Další postřehy (co se týče požadované SIL kateorie) nejsou předmětem tohoto vlákna, jen velmi stručně doplním - ke stroji byla provedena identifikace nebezpečí a nebezpečných situací podle ČSN EN ISO 12100 a odhad a snížení rizika podle ČSN EN ISO 12100, ČSN EN 13849-1. Simulací v programu Sistema byl obvod ověřen (jen bez této "Odbočky do PLC").
Druhý kanál (který na schématu není) je realizován bezpečnostním odvzdušňoavcím ventilem na vstupu stroje, stroj je prakticky celý zakrytovaný a jeho pohyby jsou "málo nebezpečné",  jak jste správně odhadli. 
Proč se do bezpečnostního obvodu zatahuje karta PLC? Částečně ze zvyku (jen pro informaci) a tato informace je předávána do nadřízeného ŘS. Tvrdé vypnutí celého PLC odpojením zdroje nesvědčí komunikaci, což mám mnohokrát vyzkoušeno. Také proto, že je ve stroji použit i další bezpečnostní modul, který je často odpojován (při zakládání výrobku).

...Takže sice trochu nechápu, proč tam je ještě jeden vodič do jiného vstupu PLC.... - vycházím ze originální (ne mojí) koncepce. Tuhle možnost, která mě nenapadla (že stav PM lze číst do řídicího systému přímo),  proberu s kolegy.

Tedy na závěr díky_ za dost zajímavých myšlenek. Chápu, že debata nad takovýmto kouskem dokumentace je složitá, ale víc bych poskytovat neměl.

Mne zase zkušenosti naučily, že jsem v problematice bezpečnosti strojů poměrně na informace otevřený.
První důvod je, že konkurenčnímu boji totiž otevřenost v této problematice přispívá více, než informační embargo.
Klidně ať si konkurenti mé zkušenosti a názory přečtou, ti co jsou mými čestnými konkurenty to ani číst nepotřebují, protože umí, používají a jsou díky tomu plus-mínus stejně drazí. A pokud jim to pomůže, mně zase pomohou jejich zkušenosti. A naše uveřejněné poznatky z praxe pomohou výrobcům bezpečnostních prvků a díky tomu se jenak zlepší bezpečnost a hlavně stále klesá cena prvků, protože klesá míra rizika, které každý výrobce nese a kalkuluje si do výrobků.
A nekalí konkurenti, patlalové a břídilové ať stojí klidně s otevřenou hubou, co že to musí být u toho stroje udělané a kdo má ty papíry furt vymýšlet a díky těmto informacím se z nekalé konkurence stanou konkurencí opravdovou.
Nakonec i Číňani už teď dělají stroje, které vyhovují, protože jim je nikdo od Aše až po SanFrancisko jinak nekoupí.
Druhý důvod je jak jse uvedl že v této problematice nikdo není vševědoucí a poslední slovo má reálný provoz s reálnými lidmi. Myslet si a předpokládat znamená často houby vědět a narazit...

Takže výměna informací v této specializaci je poměrně otevřená a vstřícná, hlavně u výrobců bezpečnostních prvků.,  kteří k této třídě výrobků dávají opravdu hodně přidané hodnoty jak v katalozích, tak v příručkách a software pro ověření bezpečnosti.
A když jsem naposledy programoval speciální bezpečnostní řídící systém Flexi Sick (specializovaný řídící bezpečnostní systém nahrazující bezpečnostní relé) tak jsem si říkal, jaký neuvěřitelný skok se v této oblasti udělal jen za posledních 10 let, kdy toto "bezpečnostní relé" přijde na 12 tisíc a mám tam nejen všechny bezpečnostní funkce, ale i složité vazby mezi nimi, a na výstupu report, popisy, časy, ověření...
To bych z klasiky za tyhle prachy neudělal, o času a pracnosti konstrukce nemluvě.

Pan kolega Havliš vám tímto poslal odpověď:
Dále se zaregistrujte u Moellera, Scneideru, Siemense, Sicku, Rockwella, Doldu, Pilze apod. a dostanete velmi kvalitní materiály, příručky (i v češině) o bezpečnosti strojů. Také je zajímavá poradna ve fóru Preventy na stránkách Schneider-electric, kde odpovídá na velký odborník v této problematice  Ing. František Valenta.