Normy bezpieczeństwa maszyn: co musi spełnić integrator automatyki

Przez
FoundryForce
-
0
35
Rate this post

Spis Treści:

Rola integratora automatyki w kontekście norm bezpieczeństwa maszyn

Integrator automatyki nie jest tylko dostawcą sterownika, robota czy szafy sterowniczej. Z perspektywy norm bezpieczeństwa maszyn staje się faktycznym współtwórcą maszyny lub zespołu maszyn, a często wręcz jej producentem w rozumieniu przepisów. Oznacza to bardzo konkretne obowiązki: od analizy ryzyka, przez dobór komponentów bezpieczeństwa, aż po sporządzenie dokumentacji technicznej i deklaracji zgodności.

W realnych projektach automatyzacji integrator rzadko startuje od „czystej kartki”. Zwykle łączy istniejące maszyny, dodaje roboty, przenośniki, systemy wizyjne, nowe funkcje, tryby pracy i połączenia komunikacyjne. Z punktu widzenia norm bezpieczeństwa maszyn każda taka ingerencja może zmienić poziom ryzyka i spowodować, że powstaje nowa maszyna lub istotnie zmodyfikowana maszyna, za którą ktoś (często integrator) musi wziąć odpowiedzialność.

Kto tego nie rozumie, łatwo wpada w pułapkę: instalacja działa, produkcja rusza, ale dokumentacja bezpieczeństwa praktycznie nie istnieje. W przypadku wypadku lub kontroli UDT/PIP konsekwencje mogą być dużo poważniejsze niż koszt poprawnego zaprojektowania bezpieczeństwa na początku projektu.

Integrator jako „producent” w świetle prawa

Zgodnie z rozporządzeniem maszynowym UE (w Polsce implementowanym do prawa krajowego) za producenta uznaje się nie tylko firmę, która fizycznie wytwarza maszynę, ale także podmiot, który:

  • projektuje i buduje zespół maszyn z gotowych elementów,
  • istotnie modyfikuje istniejącą maszynę, wpływając na jej funkcje bezpieczeństwa lub przeznaczenie,
  • wprowadza maszynę do obrotu pod własnym logo/nazwą, nawet jeśli używa gotowych podzespołów innych firm.

Integrator automatyki bardzo często spełnia co najmniej jeden z tych warunków. W praktyce oznacza to, że musi spełnić te same wymagania, które stawiane są klasycznemu producentowi maszyny: od zapewnienia zgodności z zasadniczymi wymaganiami bezpieczeństwa, przez badania, po deklarację zgodności i oznakowanie CE.

Dlaczego normy bezpieczeństwa maszyn są kluczowe dla integratora

Normy bezpieczeństwa maszyn nie są „opcjonalnymi wytycznymi”, tylko narzędziem do wykazania zgodności z wymaganiami zasadniczymi. Jeśli integrator potrafi pokazać, że projektował i wdrażał system zgodnie z normami zharmonizowanymi, ma znacznie silniejszą pozycję w razie:

  • audytu klienta lub jednostki notyfikowanej,
  • kontroli organów nadzoru rynku (UDT, PIP),
  • analizy wypadku przy pracy i dochodzenia odpowiedzialności.

Co najważniejsze – stosowanie norm ułatwia projektowanie. Dają one gotowe metody oceny ryzyka, kalkulacji poziomu zapewnienia bezpieczeństwa (PL/SIL), przykłady architektur układów bezpieczeństwa i minimalne wymagania dla osłon, kurtyn świetlnych, zatrzymań awaryjnych i innych środków ochronnych.

Podstawy prawne i normatywne, które musi znać integrator automatyki

Bez znajomości kluczowych aktów prawnych i norm integrator działa po omacku, opierając się na „dobrych praktykach” zamiast na twardych wymaganiach. Poniżej zestaw najważniejszych dokumentów, które powinien znać każdy integrator systemów automatyki przemysłowej, projektujący lub przerabiający maszyny.

Rozporządzenie maszynowe i dyrektywy powiązane

Podstawowym punktem odniesienia w Unii Europejskiej jest obecnie dyrektywa maszynowa 2006/42/WE (do czasu pełnego wejścia w życie Rozporządzenia (UE) 2023/1230), implementowana do prawa krajowego. Określa ona zasadnicze wymagania w zakresie zdrowia i bezpieczeństwa, które musi spełnić każda maszyna wprowadzana do obrotu lub oddawana do użytku po raz pierwszy na obszarze UE.

Integrator, który tworzy zespół maszyn lub istotnie modernizuje istniejące urządzenie, musi odnieść się nie tylko do dyrektywy maszynowej, ale również do innych dyrektyw horyzontalnych, takich jak m.in.:

  • dyrektywa niskonapięciowa (LVD) – w zakresie bezpieczeństwa elektrycznego,
  • dyrektywa kompatybilności elektromagnetycznej (EMC),
  • dyrektywa ATEX – jeśli urządzenie pracuje w strefach zagrożonych wybuchem,
  • dyrektywy dotyczące hałasu i emisji, gdy mają zastosowanie.

Każdy z tych aktów wymaga spełnienia określonych warunków i odpowiedniego oznakowania (np. CE, Ex). Integrator, który nie sprawdzi, czy dodany przez niego moduł nie zmienia klasyfikacji środowiska pracy (np. wprowadza elementy w strefie EX), podejmuje ogromne ryzyko.

Normy zharmonizowane i ich rola

Normy zharmonizowane to normy EN opublikowane w Dzienniku Urzędowym UE jako dające domniemanie zgodności z odpowiednimi wymaganiami dyrektywy. Dla integratora oznacza to, że stosując takie normy, może w uproszczony sposób wykazać, że spełnił wymagania dyrektywy maszynowej.

Najważniejsze grupy norm dotyczących bezpieczeństwa maszyn:

  • Normy typu A – ogólne koncepcje i zasady projektowania (np. PN-EN ISO 12100),
  • Normy typu B – dotyczące określonych aspektów bezpieczeństwa lub środków ochronnych (np. PN-EN ISO 13849-1, PN-EN 62061, PN-EN ISO 14119, PN-EN ISO 13850),
  • Normy typu C – specyficzne dla konkretnych rodzajów maszyn (np. dla pras, wtryskarek, centrów obróbczych).

Jeśli istnieje norma typu C dla danej maszyny, jej wymagania mają pierwszeństwo przed wymaganiami norm typu A i B, o ile odnoszą się do tych samych zagadnień. Integrator, który łączy różne maszyny w linię, musi więc sprawdzić, czy nie stosuje kilku różnych norm typów C równocześnie, oraz jak ich wymagania przenoszą się na cały zespół maszyn.

Kluczowe normy bezpieczeństwa maszyn dla integratora

W praktyce integratora automatyki szczególne znaczenie mają następujące normy:

  • PN-EN ISO 12100 – Bezpieczeństwo maszyn – Ogólne zasady projektowania – Ocena ryzyka i zmniejszanie ryzyka.
  • PN-EN ISO 13849-1/2 – Bezpieczeństwo maszyn – Elementy systemów sterowania związane z bezpieczeństwem – Część 1: Ogólne zasady projektowania; Część 2: Walidacja.
  • PN-EN 62061 (EN IEC 62061) – Bezpieczeństwo maszyn – Funkcjonalne bezpieczeństwo elektrycznych, elektronicznych i programowalnych elektronicznych systemów sterowania związanych z bezpieczeństwem.
  • PN-EN ISO 13850 – Zatrzymanie awaryjne – Zasady projektowania.
  • PN-EN ISO 13855 – Umiejscowienie środków ochronnych uwzględniające prędkości podejścia części ciała ludzkiego.
  • PN-EN ISO 14119 – Blokady związane z osłonami – Zasady projektowania i doboru.
  • PN-EN ISO 14120 – Ogólne wymagania dotyczące osłon.

Znajomość tych dokumentów to absolutne minimum na poziomie koncepcyjnym. W zespole integratora co najmniej jedna osoba powinna znać je w sposób praktyczny, z umiejętnością przełożenia zapisów norm na konkretne rozwiązania mechaniczne, elektryczne i programistyczne.

Analiza ryzyka – fundament bezpieczeństwa projektowanego przez integratora

Analiza ryzyka to punkt wyjścia. Jeśli jest powierzchowna lub „dla papieru”, cały system bezpieczeństwa będzie przypadkową zbitką elementów, a nie spójną koncepcją chroniącą operatora. Normy bezpieczeństwa maszyn jasno wskazują, że zmniejszanie ryzyka odbywa się w sposób iteracyjny: od eliminacji zagrożeń u źródła, przez środki techniczne, po środki organizacyjne i szkoleniowe.

Warte uwagi:  Automatyzacja procesów chłodzenia i odlewania metali

Normatywna metoda oceny ryzyka według PN-EN ISO 12100

PN-EN ISO 12100 definiuje uporządkowaną procedurę:

  1. Określenie granic maszyny (przeznaczenie, tryby pracy, środowisko, operatorzy, cykl życia).
  2. Identyfikacja zagrożeń (mechaniczne, elektryczne, termiczne, hałas, drgania, promieniowanie, ergonomia itd.).
  3. Osza­co­wa­nie ryzyka dla każdego zagrożenia (ciężkość możliwego urazu, ekspozycja, możliwość uniknięcia).
  4. Redukcja ryzyka, jeśli jest zbyt wysokie, poprzez:
  • projektowanie bezpieczne samą konstrukcją,
  • środki techniczne ochronne,
  • informacje dla użytkownika, instrukcje, szkolenia.

Integrator, który „dokleja” system bezpieczeństwa na końcu projektu, odwraca tę logikę. Później okazuje się, że trzeba przerobić mechanikę, dołożyć osłony, zmienić layout linii, bo kurtyny świetlne nie spełniają wymaganych odległości lub nie da się osiągnąć wymaganego PL/SIL.

Praktyczne wykonanie analizy ryzyka przez integratora

W praktyce dobrym podejściem jest warsztat z udziałem kilku stron:

  • integrator (projektant mechaniczny, elektryczny, programista, osoba ds. bezpieczeństwa),
  • przedstawiciel klienta (utrzymanie ruchu, BHP, czasem przyszły operator),
  • w razie potrzeby – zewnętrzny specjalista ds. bezpieczeństwa maszyn.

Underczas warsztatu przechodzi się po wszystkich etapach cyklu życia maszyny: montaż, rozruch, normalna eksploatacja, czyszczenie, konserwacja, awarie, demontaż. Dla każdego etapu identyfikuje się możliwe zagrożenia, ocenia ich ryzyko i planuje sposoby redukcji.

Użyteczne jest także sporządzenie mapy stref niebezpiecznych (rysunki, layouty z oznaczeniem stref: obszary ruchu ramion robota, strefy zgniotu, obszary pracy manipulatorów, miejsca możliwego wyrzutu elementów). To ułatwia później logiczne rozmieszczenie osłon, kurtyn, skanerów i bramek bezpieczeństwa.

Częste błędy w analizie ryzyka popełniane przez integratorów

W projektach automatyzacji i robotyzacji pojawiają się powtarzalne błędy:

  • Pomijanie trybów serwisowych i ręcznego nastawu – analizuje się wyłącznie tryb automatyczny.
  • Niedoszacowanie ekspozycji pracownika – np. bardzo częste przezbrajanie, które wymusza częste wejście do strefy niebezpiecznej.
  • Brak analizy sytuacji awaryjnych – zakłada się „normalną” pracę maszyny, a nie np. zakleszczenie detalu, przerwę w zasilaniu czy błędy czujników.
  • Skupienie tylko na zagrożeniach mechanicznych – pominięcie zagrożeń elektrycznych, hałasu, ergonomii, przeciążeń statycznych.

Konsekwencją jest zaprojektowanie zbyt słabych środków ochronnych lub ich niewłaściwe umiejscowienie. W razie inspekcji czy wypadku trudno wówczas obronić się dokumentacją analizy ryzyka, która jest ewidentnie niekompletna lub zbyt ogólna.

Robotyczny pies nadzoruje zautomatyzowaną linię montażu samochodów
Źródło: Pexels | Autor: Hyundai Motor Group

Projektowanie funkcji bezpieczeństwa w systemach sterowania

Samo zainstalowanie przycisku E-STOP lub kurtyny bezpieczeństwa nie oznacza jeszcze, że osiągnięty został wymagany poziom bezpieczeństwa. Każdy układ sterowania związany z bezpieczeństwem musi spełniać określone wymagania dotyczące niezawodności, struktury, diagnostyki i odporności na uszkodzenia. Normy PN-EN ISO 13849-1 oraz PN-EN 62061 opisują, jak to zrobić i jak to udokumentować.

PL a SIL – który standard wybrać

Integratorzy często pytają, czy stosować PN-EN ISO 13849-1 (PL) czy PN-EN 62061 (SIL). Obie normy są równoważnymi narzędziami do oceny i projektowania systemów sterowania związanych z bezpieczeństwem, ale różnią się filozofią i zakresem:

CechaPN-EN ISO 13849-1 (PL)PN-EN 62061 (SIL)
ZakresSystemy sterowania związane z bezpieczeństwem, różne technologie (mechanika, pneumatyką, elektronika)Głównie systemy elektryczne/elektroniczne/PLC bezpieczeństwa
Poziom bezpieczeństwaPL a, b, c, d, eSIL 1, 2, 3 (dla maszyn zwykle do SIL 3)
Typ projektowanych funkcjiTypowo funkcje maszynowe (E-STOP, osłony, kurtyny itp.)Często systemy złożone, z rozbudowaną architekturą i analizą PFH
Popularność w automatyceBardzo szeroko stosowana w klasycznej automatyce maszynowejCzęsta przy zaawansowanych systemach, procesach ciągłych, integracji z proces safety

Wyznaczanie wymaganego PL/SIL dla funkcji bezpieczeństwa

Zanim integrator zacznie dobierać komponenty i projektować architekturę, musi określić wymagany poziom bezpieczeństwa dla każdej funkcji bezpieczeństwa. Robi się to na podstawie analizy ryzyka i konsekwencji niewłaściwego zadziałania funkcji.

W podejściu zgodnym z PN-EN ISO 13849-1 często stosuje się metodę opartą na trzech parametrach:

  • S – ciężkość urazu (S1 – lekki, S2 – ciężki/śmiertelny),
  • F – częstotliwość i czas narażenia (F1 – rzadko/krótko, F2 – często/długo),
  • P – możliwość uniknięcia zagrożenia (P1 – możliwe w większości przypadków, P2 – trudne lub niemożliwe).

Dla kombinacji S/F/P tabela w normie podpowiada wymagany PLr (required Performance Level). Analogicznie, PN-EN 62061 prowadzi do określenia wymaganego SILr z użyciem parametrów takich jak ciężkość szkody, częstość ekspozycji, prawdopodobieństwo wystąpienia niebezpiecznego zdarzenia i możliwość uniknięcia.

Istotne jest, by każdą funkcję bezpieczeństwa opisać osobno. Przykładowo:

  • zatrzymanie awaryjne całej linii,
  • otwarcie osłony serwisowej w strefie robota,
  • kontrola prędkości bezpiecznej podczas nastaw (SSM/SLS),
  • wejście do strefy skanera laserowego podczas pracy automatycznej.

Dla każdej funkcji powinna powstać tabela lub karta z opisem zagrożenia, warunków ekspozycji, wymaganym PLr/SILr i sposobem jego osiągnięcia.

Dobór architektury i kategorii wg PN-EN ISO 13849-1

Po określeniu PLr integrator projektuje strukturę systemu sterowania związanego z bezpieczeństwem. PN-EN ISO 13849-1 definiuje kategorie B, 1, 2, 3, 4, które opisują odporność układu na pojedyncze i wielokrotne uszkodzenia oraz poziom diagnostyki.

W uproszczeniu:

  • Kat. B/1 – proste układy, bez redundancji, ryzyko utraty funkcji przy jednym uszkodzeniu,
  • Kat. 2 – układ z okresowym testowaniem, ale wciąż bez pełnej redundancji,
  • Kat. 3 – układ redundantny, pojedyncze uszkodzenie nie prowadzi do utraty funkcji, częściowa diagnostyka,
  • Kat. 4 – pełna redundancja i diagnostyka, wykrywanie pojedynczych uszkodzeń, wysoka odporność na kombinacje błędów.

Integrator nie powinien wybierać kategorii „nawykowo”, np. zawsze kat. 4. Zbyt wysoka kategoria to niepotrzebne koszty i komplikacje; zbyt niska – realne ryzyko oraz problemy przy ocenie zgodności. Logiczna kolejność to:

  1. zdefiniować PLr,
  2. wybrać kategorię i strukturyzację układu (np. podwójne styki przekaźnika bezpieczeństwa, dwa zawory odcinające, dwukanałowe wejścia PLC),
  3. sprawdzić, czy przy założonych MTTFd, DC i CCF osiągany PL jest nie niższy niż PLr.

W praktyce dużym ułatwieniem są narzędzia dostawców (np. oprogramowanie do obliczeń PL), ale ostateczną odpowiedzialność za poprawność założeń i danych (MTTFd komponentów, częstotliwość cykli) ponosi integrator.

Struktura funkcji bezpieczeństwa wg PN-EN 62061

W podejściu SIL integrator buduje funkcję bezpieczeństwa jako łańcuch podsystemów: wejście (czujnik), logika (sterownik bezpieczeństwa/PLC), wyjście (element wykonawczy). Każdy podsystem ma własne parametry niezawodności i architektury.

Dla każdej funkcji określa się:

  • PFHD – prawdopodobieństwo niebezpiecznego uszkodzenia na godzinę,
  • HFT – poziom tolerancji na uszkodzenia (ile niezależnych uszkodzeń podsystem toleruje),
  • DC – pokrycie diagnostyczne,
  • SILclaim osiągany dla całej funkcji.

Norma narzuca wymagania co do minimalnej struktury (np. konfiguracje 1oo1, 1oo2, 2oo2) oraz parametrów PFHD dla poszczególnych poziomów SIL. Integrator musi udokumentować źródła danych (karty katalogowe producenta, dane eksploatacyjne) oraz sposób ich agregowania dla całej funkcji.

Typowe błędy w projektowaniu funkcji bezpieczeństwa

Podczas przeglądów systemów bezpieczeństwa zespołów maszyn często powtarzają się te same problemy:

  • Łączenie niekompatybilnych komponentów – np. kurtyna bezpieczeństwa o poziomie PL e połączona z pojedynczym stycznikiem ogólnego przeznaczenia bez sprzężenia zwrotnego i diagnostyki.
  • Brak jednoznacznego przypisania funkcji – ten sam element (np. skaner) pełni jednocześnie rolę detekcji obecności palety i elementu bezpieczeństwa, ale logika nie rozróżnia trybów.
  • Nieprzemyślana kaskada E-STOP – wszystkie przyciski awaryjne w linii podpięte w jeden obwód, bez podziału na strefy i bez możliwości bezpiecznego resetu częściowego.
  • Brak uwzględnienia zachowania przy przywróceniu zasilania – maszyna po zaniku zasilania „startuje” w niekontrolowany sposób lub pamięta stan, który jest niebezpieczny dla obecnego położenia ludzi i detali.

W wielu przypadkach rozwiązaniem nie jest dokładanie kolejnych komponentów, lecz przemyślenie architektury: stref bezpieczeństwa, blokad, sekwencji resetu i trybów pracy.

Integracja wielu maszyn w jedną linię – specyfika wymagań bezpieczeństwa

Łączenie kilku gotowych maszyn w zautomatyzowaną linię powoduje, że integrator przejmuje odpowiedzialność za bezpieczeństwo całości. Nawet jeśli pojedyncze maszyny mają własne oznakowanie CE i dokumentację, ich funkcjonowanie jako zespół tworzy nowe zagrożenia.

Granice zespołu maszyn i odpowiedzialność integratora

Punktem wyjścia jest zdefiniowanie, co jest „zespołem maszyn” w rozumieniu dyrektywy. Zazwyczaj obejmuje on wszystkie urządzenia trwale połączone mechanicznie i/lub sterowniczo, które działają jako całość procesowa, np. linia montażowa, gniazdo robotyczne z podajnikiem i stacją kontroli, zespół paletyzacji.

Integrator odpowiada wówczas m.in. za:

  • nową, łączną analizę ryzyka dla całego zespołu,
  • zapewnienie spójnej koncepcji stref bezpieczeństwa i ich nadzorowania,
  • projekt wspólnego systemu zatrzymania awaryjnego (lub systemu współpracujących E-STOPów),
  • zdefiniowanie interfejsów bezpieczeństwa pomiędzy maszynami (sygnały bezpieczeństwa, blokady logiczne),
  • nową dokumentację techniczną dla zespołu maszyn oraz – co do zasady – deklarację zgodności UE dla zespołu.
Warte uwagi:  Jak zrobotyzować produkcję kabli i przewodów?

Strefy bezpieczeństwa i segmentacja linii

Przy bardziej złożonych liniach kluczowe jest sensowne podzielenie instalacji na strefy bezpieczeństwa. Każda strefa powinna mieć własne środki ochronne, możliwość bezpiecznego zatrzymania i odrębny reset. Dzięki temu:

  • serwis jednej strefy nie wyłącza całej linii,
  • awaria w jednym segmencie nie paraliżuje pozostałych,
  • łatwiej zarządzać dostępami (np. różne uprawnienia dla utrzymania ruchu i operatorów).

Przykład: linia składa się z trzech segmentów – podawanie, obróbka, pakowanie. Można wydzielić co najmniej trzy strefy, z osobnymi drzwiami serwisowymi i skanerami, ale z jedną nadrzędną funkcją zatrzymania awaryjnego, która w razie konieczności zatrzyma wszystko.

Interfejsy bezpieczeństwa między maszynami

Gotowe maszyny dostarczane przez różnych producentów mają własne systemy bezpieczeństwa. Integrator musi z nimi współpracować, często bez możliwości ingerencji wewnątrz ich sterownika bezpieczeństwa. Wówczas kluczową rolę odgrywają interfejsy bezpieczeństwa:

  • sygnały blokady pracy (np. „zezwolenie na start linii”),
  • sygnały zatrzymania bezpiecznego (STO, SOS, SS1 itp.),
  • sygnały potwierdzenia gotowości (np. „maszyna w stanie bezpiecznym”).

Integrując te sygnały, trzeba zachować wymagany poziom PL/SIL całej funkcji. Jeśli jedna z maszyn ma wewnętrznie PL e, ale komunikacja z nadrzędnym kontrolerem bezpieczeństwa odbywa się przez pojedynczy styk lub niecertyfikowane wyjście PLC standardowego, poziom bezpieczeństwa funkcji zespołu może spaść poniżej wymaganego.

Współpraca systemu E-STOP w zespole maszyn

Zatrzymanie awaryjne w zintegrowanej linii musi być jednoznaczne i przewidywalne. Kluczowe decyzje integratora dotyczą:

  • czy naciśnięcie dowolnego E-STOP zatrzymuje całą linię, czy tylko strefę,
  • jak szybko i w jaki sposób zatrzymywane są poszczególne napędy (STO, SS1, hamulce mechaniczne),
  • jak przebiega reset po zadziałaniu E-STOP (lokalny czy centralny, jedno- czy dwuetapowy).

PN-EN ISO 13850 wskazuje, że zatrzymanie awaryjne ma mieć priorytet nad innymi funkcjami i nie może być używane jako zwykłe zatrzymanie operacyjne. Integrator musi przełożyć te wymagania na konkretne schematy elektryczne i logikę PLC. W praktyce oznacza to m.in.:

  • oddzielne wejścia bezpieczeństwa dla E-STOP i dla osłon/interlocków,
  • osobne sekwencje resetu (np. po otwarciu bramki nie resetuje się automatycznie zatrzymanie awaryjne),
  • czytelne wizualizacje na HMI – który E-STOP zadziałał, która strefa jest zablokowana.

Dobór i rozmieszczenie środków ochronnych w zintegrowanym systemie

Same normy nie wskażą modelu kurtyny czy rodzaju skanera, ale określają wymagania, które dany środek ochronny musi spełnić. Integrator przekłada je na praktyczny dobór sprzętu i jego lokalizację.

Osłony stałe i ruchome oraz ich blokady

PN-EN ISO 14120 oraz PN-EN ISO 14119 opisują wymagania dla osłon i urządzeń blokujących. W praktyce przy złożonych liniach najczęściej stosuje się kombinację:

  • osłon stałych – tam, gdzie dostęp do strefy nie jest potrzebny w normalnej pracy,
  • osłon ruchomych z blokadami – w punktach regularnego dostępu serwisowego, przezbrajania lub czyszczenia.

Dobór blokady (prosta krańcówka bezpieczeństwa, ryglowana blokada elektromechaniczna, blokada z kodowaniem RFID) powinien wynikać z poziomu ryzyka i możliwości obchodzenia zabezpieczeń. Im większa pokusa „oszukania” blokady (np. częste przestoje, długi czas dojścia), tym bardziej zaawansowane i trudne do manipulacji urządzenie należy zastosować.

Kurtyny, skanery i odległości bezpieczeństwa

PN-EN ISO 13855 pomaga określić odległość bezpieczeństwa między strefą detekcji a strefą zagrożenia. Wzór uwzględnia m.in. prędkość podejścia człowieka i czas reakcji całego systemu (czujnik + sterownik + elementy wykonawcze). Integrator musi zebrać dane dotyczące:

  • czasu odpowiedzi kurtyny/skanera,
  • czasu przetwarzania w sterowniku bezpieczeństwa,
  • czasu wyłączenia napędów (silniki, zawory, hamulce).

Na tej podstawie wyznacza się minimalną odległość montażu kurtyny czy skanera. Jeśli w praktyce nie można jej zachować (np. brak miejsca), trzeba zmienić koncepcję zabezpieczenia: osłony mechaniczne, zmiana prędkości, dodatkowe blokady.

Tryby pracy i funkcje bezpieczeństwa zależne od trybu

Nowoczesne linie często wymagają kilku trybów pracy: automatyczny, manualny, serwisowy, nauczania robota. Każdy z nich może wymagać innego zestawu aktywnych funkcji bezpieczeństwa. Przykład:

  • w trybie automatycznym wejście do strefy powoduje natychmiastowe zatrzymanie robota,
  • w trybie ręcznym robot może pracować z ograniczoną prędkością i siłą, przy ciągłym naciskaniu przycisku zezwolenia (trójpołożeniowy „deadman”).

Zmiana trybu powinna:

Bezpieczna zmiana trybów – wymagania praktyczne

Zmiana trybu pracy to częste źródło błędów integracyjnych. Zgodnie z PN-EN ISO 11161 i PN-EN ISO 13849 logika trybów musi być jednoznaczna i odporna na pomyłki operatora. W praktyce oznacza to kilka zasad:

  • selekcja trybu przy użyciu klucza lub innego środka utrudniającego nieuprawnioną zmianę,
  • zmiana trybu tylko przy spełnionych warunkach bezpieczeństwa (np. brak osób w strefie, wszystkie osłony zamknięte),
  • wymuszone, czytelne potwierdzenie przełączenia trybu na HMI lub lokalnym panelu,
  • odrębne funkcje bezpieczeństwa dla każdego trybu (np. inne limity prędkości, zasięgu, siły).

Jeśli robot ma tryb „teach”, integrator powinien zapewnić m.in. ograniczoną prędkość (SLS), ograniczony obszar (SAS) oraz wymóg użycia przycisku zezwolenia. Wszystkie te funkcje muszą być zrealizowane jako funkcje bezpieczeństwa (np. wg PN-EN 61800-5-2 lub PN-EN ISO 10218), a nie zwykła logika PLC.

Pracownik budowlany w kasku kontroluje kratkę wentylacyjną w hali
Źródło: Pexels | Autor: RDNE Stock project

Walidacja i testy funkcji bezpieczeństwa

Po zaprojektowaniu i zbudowaniu systemu pozostaje kluczowy etap – weryfikacja i walidacja. PN-EN ISO 13849-2 opisuje wymagania dotyczące potwierdzenia poprawności funkcji bezpieczeństwa. Integrator nie może poprzestać na samym projekcie – musi udowodnić, że system działa zgodnie z założeniami.

Plan walidacji i matryca testów

Dobrym podejściem jest przygotowanie planu walidacji jeszcze na etapie projektu. Zawiera on:

  • listę wszystkich zdefiniowanych funkcji bezpieczeństwa (SFR – Safety Related Functions),
  • wymagany poziom PL/SIL każdej funkcji,
  • opis warunków testu (stan maszyny, konfiguracja trybu),
  • oczekiwany rezultat (czas zatrzymania, stan wyjść bezpieczeństwa, komunikaty HMI).

Na tej podstawie tworzy się matrycę testów, którą zespół uruchomieniowy może konsekwentnie realizować podczas FAT/SAT. Pozwala to wykryć niespójności między dokumentacją a rzeczywistą logiką sterownika bezpieczeństwa.

Pomiary czasów zatrzymania

Do obliczeń odległości bezpieczeństwa potrzebne są rzeczywiste czasy reakcji. Integrator powinien przeprowadzić pomiary czasów zatrzymania dla typowych scenariuszy:

  • zadziałanie E-STOP w różnych punktach linii,
  • naruszenie kurtyny lub skanera,
  • otwarcie osłony z blokadą.

Pomiar wykonuje się zwykle za pomocą dedykowanych przyrządów (mierniki czasu zatrzymania) lub – w uzasadnionych przypadkach – przy użyciu szybkiego rejestratora sygnałów. Wyniki należy udokumentować i zestawić z założeniami z analizy ryzyka. Jeżeli czas zatrzymania okaże się dłuższy niż przyjęty, trzeba skorygować konstrukcję: zmienić odległości, sposób hamowania napędów lub poziom ochrony.

Testy degradacji i błędów pojedynczych

Systemy spełniające PL d lub PL e muszą być odporne na pojedyncze uszkodzenia. Samo zastosowanie przekaźnika bezpieczeństwa czy PLC safety nie gwarantuje spełnienia tego wymagania. Podczas walidacji warto przeprowadzić testy degradacyjne:

  • symulacja przerwy w obwodzie czujnika,
  • symulacja zwarcia styków,
  • odłączenie jednego z redundantnych kanałów.

Sprawdza się wtedy, czy system przechodzi w stan bezpieczny, a uszkodzenie jest wykrywane i sygnalizowane. Jeśli błędy pozostają niewidoczne, osiągnięcie wymaganego PL jest wątpliwe – co trzeba odzwierciedlić w dokumentacji i ewentualnie poprawić projekt.

Dokumentacja techniczna i ocena zgodności zespołu maszyn

Integrator, który tworzy zespół maszyn, staje się w świetle przepisów producentem tego zespołu. Ciągnie to za sobą obowiązek przygotowania kompletnej dokumentacji technicznej oraz przeprowadzenia oceny zgodności.

Zakres dokumentacji technicznej integratora

Dokumentacja nie ogranicza się do schematów elektrycznych. Typowy zestaw obejmuje:

  • opis ogólny zespołu maszyn (funkcje, konfiguracje, granice zastosowania),
  • zbiorczą analizę ryzyka dla zespołu, z odniesieniem do przyjętych norm zharmonizowanych,
  • schematy elektryczne i pneumatyczne, w szczególności obwody bezpieczeństwa,
  • opis funkcji bezpieczeństwa wraz z osiągniętym PL/SIL,
  • wyniki obliczeń (np. z SISTEMA) i założenia wejściowe (MTTFd, DC, struktura kategorii),
  • instrukcję obsługi i konserwacji dla zespołu maszyn,
  • raport z walidacji, wyniki testów FAT/SAT, pomiary czasów zatrzymania,
  • wykaz zastosowanych środków ochronnych (kurtyny, skanery, blokady) z danymi katalogowymi.

Dokumentacja powinna pokazywać logikę podejmowanych decyzji, a nie tylko efekt w postaci schematu. Jeśli audytor lub organ nadzoru zapyta „dlaczego ten skaner stoi akurat tutaj?”, dobrze jest mieć w dokumentach ślad: obliczoną odległość, analizę ryzyka, uzgodnienia z użytkownikiem.

Deklaracja zgodności UE dla zespołu

Zespół maszyn jako całość wymaga własnej deklaracji zgodności UE (zgodnie z odpowiednią dyrektywą maszynową / rozporządzeniem). Na jej podstawie nanosi się oznakowanie CE dla zespołu. W deklaracji trzeba wskazać m.in.:

  • przepisy i normy zastosowane do oceny zgodności,
  • opis zespołu (nazwa, typ, rok budowy),
  • dane integratora jako producenta zespołu,
  • osobę upoważnioną do przygotowania dokumentacji technicznej.

Pojedyncze maszyny wchodzące w skład linii mogą zachować swoje tabliczki CE, jednak za nowo powstałe ryzyka związane z integracją odpowiada już integrator. Dlatego w instrukcji zespołu należy jasno wskazać, w jakiej konfiguracji maszyn i interfejsów bezpieczeństwa zapewniono zgodność.

Warte uwagi:  Jak automatyzacja wspiera dekarbonizację przemysłu ciężkiego?

Współpraca z producentem maszyny i użytkownikiem końcowym

Bezpieczeństwo zespołu maszyn jest efektem współpracy kilku stron. Integrator znajduje się pomiędzy producentami maszyn a użytkownikiem, który eksploatuje linię na co dzień.

Informacje, których integrator potrzebuje od producentów

Aby zbudować spójny system bezpieczeństwa, integrator musi znać dokładnie możliwości i ograniczenia każdej maszyny. Kluczowe informacje to:

  • opis istniejących funkcji bezpieczeństwa i ich poziomu (PL/SIL),
  • dostępne interfejsy bezpieczeństwa (wejścia STO, SS1, gotowość do pracy, zezwolenie),
  • czasy zatrzymania napędów przy różnych metodach wyłączenia,
  • warunki pracy blokad i osłon (np. minimalny czas ryglowania, sposób resetu),
  • ograniczenia dotyczące modyfikacji układu bezpieczeństwa wewnątrz maszyny.

Często dopiero szczegółowa lektura instrukcji producenta ujawnia, że np. wyjście „Safety Ready” nie ma charakteru funkcji bezpieczeństwa, a jest tylko sygnałem informacyjnym. Jeśli integrator oprze na nim działanie nadrzędnej funkcji, deklarowany poziom PL może być nieosiągalny.

Uzgodnienia z użytkownikiem – tryby pracy, procedury, uprawnienia

Użytkownik końcowy odpowiada za sposób eksploatacji linii. Integrator powinien z nim uzgodnić:

  • podział stref bezpieczeństwa i dostępów serwisowych,
  • listę trybów pracy oraz wymagane uprawnienia do ich wyboru,
  • procedury lockout/tagout (LOTO) dla prac serwisowych,
  • wymagane komunikaty HMI, dzienniki zdarzeń bezpieczeństwa, raporty,
  • zakres szkoleń operatorów i utrzymania ruchu.

Jeśli zespół maszyn ma być w przyszłości rozbudowywany, dobrze jest uwzględnić w projekcie rezerwę funkcjonalną: wolne wejścia/wyjścia bezpieczeństwa, miejsca na kolejne moduły, przewidziane punkty włączenia nowych stref. Późniejsza dobudowa „na siłę” często skutkuje obniżeniem poziomu bezpieczeństwa lub koniecznością kosztownych przeróbek logiki.

Dwóch pracowników w kaskach kontroluje bezpieczeństwo na budowie mostu
Źródło: Pexels | Autor: Mikael Blomkvist

Typowe błędy integratorów i jak ich unikać

W praktyce projektowej powtarza się kilka charakterystycznych potknięć. Świadomość ich istnienia pozwala im zapobiegać już na etapie koncepcji.

Nadmierne zaufanie do komponentów „safety”

Zastosowanie kurtyn, przekaźników bezpieczeństwa czy skanerów nie jest równoznaczne ze spełnieniem norm. Błędem jest traktowanie oznaczenia „Safety” jak magicznego gwaranta. Najczęstsze problemy to:

  • nieprawidłowe kategorie strukturalne (np. wszystkie urządzenia bezpieczeństwa wpięte szeregowo w jeden kanał),
  • brak diagnostyki uszkodzeń (niski DC),
  • niewłaściwe obliczenie PL (błędne parametry MTTFd, ignorowanie wspólnej przyczyny uszkodzeń – CCF).

Rozwiązaniem jest świadome projektowanie architektury i rzetelne obliczenia, a nie poleganie wyłącznie na materiałach marketingowych producentów komponentów.

Ignorowanie sytuacji nietypowych i trybów serwisowych

W analizie ryzyka najłatwiej opisać tryb automatyczny. Problemy pojawiają się przy:

  • ręcznym przepychaniu detali,
  • czyszczeniu w ruchu,
  • ustawianiu krańcówek, kalibracji czujników, „nauczaniu” robotów.

To właśnie w takich sytuacjach dochodzi do najpoważniejszych wypadków. Integrator powinien świadomie zaprojektować bezpieczne tryby serwisowe: ograniczone prędkości, przyciski zezwolenia, dodatkowe osłony, precyzyjne procedury i komunikaty na HMI. Sam zakaz w instrukcji bez wsparcia technicznego rzadko jest skuteczny.

Brak spójności między analizą ryzyka a rzeczywistym wykonaniem

Niekiedy analiza ryzyka powstaje „na końcu” jako formalność, przez co opisuje linię idealną, a nie tę faktycznie zbudowaną. Objawia się to m.in.:

  • inną liczbą drzwi i osłon niż w projekcie,
  • brakiem odwzorowania trybów pracy i resetów,
  • brakiem aktualizacji po zmianach wprowadzonych w trakcie uruchomienia.

Lepszym podejściem jest traktowanie analizy ryzyka jako dokumentu żywego, aktualizowanego wraz z rozwojem projektu. Zmiana koncepcji blokady czy strefy powinna automatycznie skutkować korektą analizy i dokumentacji funkcji bezpieczeństwa.

Projektowanie HMI i diagnostyki pod kątem bezpieczeństwa

Warstwa wizualizacji ma duży wpływ na to, jak system bezpieczeństwa będzie używany na co dzień. Dobre HMI potrafi znacząco zmniejszyć ryzyko obejścia zabezpieczeń przez sfrustrowanych operatorów.

Czytelne komunikaty i lokalizacja przyczyn zatrzymania

Operator musi szybko zrozumieć, dlaczego linia stoi i co musi zrobić, by ją bezpiecznie uruchomić. Dlatego na wizualizacji warto zapewnić:

  • wyraźne rozróżnienie: zatrzymanie awaryjne, zadziałanie osłony, błąd procesu,
  • informację, który konkretnie element bezpieczeństwa zadziałał (nr E-STOP, nr drzwi, strefa skanera),
  • czytelny opis kolejnych kroków resetu – najlepiej z podziałem na role (operator/serwis).

Praktyczny przykład: zamiast ogólnego alarmu „Zadziałał E-STOP”, lepiej wyświetlić „Zadziałał E-STOP S03 – strefa pakowania, panel zachodni” wraz z podświetleniem tej strefy na schemacie linii.

Rejestracja zdarzeń bezpieczeństwa

Prosty rejestr zdarzeń (kto, kiedy, jaki tryb wybrał, który E-STOP zadziałał) ułatwia później analizę przyczyn przestojów i incydentów. Może też ujawnić niepokojące wzorce, np. częste używanie E-STOP jako przycisku „Stop produktu”, co sugeruje błędy w logice sterowania lub ergonomii stanowisk.

Dane te są również pomocne przy cyklicznych przeglądach bezpieczeństwa – pozwalają ocenić, czy założony sposób użytkowania pokrywa się z rzeczywistością, czy też konieczne są modyfikacje techniczne lub dodatkowe szkolenia.

Utrzymanie i modyfikacje zintegrowanego systemu bezpieczeństwa

Odpowiedzialność integratora nie kończy się w momencie przekazania linii. Nawet najlepszy projekt straci swoje właściwości, jeśli system będzie nieprawidłowo konserwowany lub modyfikowany „na skróty”.

Okresowe przeglądy i testy funkcji bezpieczeństwa

Instrukcja obsługi zespołu maszyn powinna zawierać plan okresowych testów funkcji bezpieczeństwa. Typowy zakres to:

  • sprawdzenie działania wszystkich E-STOP i osłon z blokadą,
  • weryfikacja poprawności sekwencji resetu i sygnalizacji HMI,

    • Najczęściej zadawane pytania (FAQ)

    Kim jest integrator automatyki w rozumieniu przepisów o bezpieczeństwie maszyn?

    Integrator automatyki to nie tylko firma instalująca sterownik, robota czy szafę sterowniczą. Z punktu widzenia dyrektywy maszynowej i przepisów krajowych bardzo często jest on traktowany jako faktyczny producent maszyny lub zespołu maszyn.

    Dzieje się tak zwłaszcza wtedy, gdy integrator projektuje i buduje linię z gotowych maszyn, istotnie modyfikuje istniejące urządzenia (zmieniając ich funkcje bezpieczeństwa lub przeznaczenie) albo wprowadza je do obrotu pod własnym logo. W takich sytuacjach przejmuje wszystkie obowiązki producenta, w tym odpowiedzialność za bezpieczeństwo.

    Jakie obowiązki ma integrator automatyki w zakresie norm bezpieczeństwa maszyn?

    Integrator, który staje się producentem w świetle prawa, musi zapewnić zgodność tworzonych lub modernizowanych maszyn z zasadniczymi wymaganiami bezpieczeństwa. Obejmuje to m.in. przeprowadzenie analizy ryzyka, dobór i projekt układów bezpieczeństwa, wykonanie niezbędnych badań oraz przygotowanie pełnej dokumentacji technicznej.

    Do jego zadań należy również sporządzenie deklaracji zgodności, nadanie oznakowania CE (oraz innych, jeśli są wymagane, np. Ex) i przekazanie użytkownikowi instrukcji oraz dokumentacji potwierdzającej spełnienie odpowiednich dyrektyw i norm.

    Jakie akty prawne i dyrektywy musi znać integrator automatyki?

    Podstawą jest dyrektywa maszynowa 2006/42/WE (do czasu pełnego wejścia w życie Rozporządzenia (UE) 2023/1230), implementowana do prawa krajowego. Określa ona zasadnicze wymagania bezpieczeństwa dla wszystkich maszyn wprowadzanych do obrotu lub oddawanych do użytku w UE.

    W zależności od projektu integrator musi brać pod uwagę również inne dyrektywy, takie jak:

    • dyrektywa niskonapięciowa (LVD) – bezpieczeństwo elektryczne,
    • dyrektywa EMC – kompatybilność elektromagnetyczna,
    • dyrektywa ATEX – praca w strefach zagrożonych wybuchem,
    • dyrektywy dotyczące hałasu i emisji – gdy mają zastosowanie.

    Każda z nich niesie konkretne wymagania oraz obowiązek odpowiedniego oznakowania urządzeń.

    Jakie normy bezpieczeństwa maszyn są najważniejsze dla integratora automatyki?

    W praktyce integratora kluczowe znaczenie mają przede wszystkim normy zharmonizowane z dyrektywą maszynową, ponieważ dają one domniemanie zgodności z jej wymaganiami. Do najważniejszych należą m.in.:

    • PN-EN ISO 12100 – ogólne zasady projektowania, ocena i redukcja ryzyka,
    • PN-EN ISO 13849-1/2 – projektowanie i walidacja systemów sterowania związanych z bezpieczeństwem (PL),
    • PN-EN 62061 (EN IEC 62061) – funkcjonalne bezpieczeństwo systemów sterowania (SIL),
    • PN-EN ISO 13850 – zasady projektowania zatrzymania awaryjnego,
    • PN-EN ISO 13855 – lokalizacja środków ochronnych względem prędkości podejścia człowieka,
    • PN-EN ISO 14119 oraz PN-EN ISO 14120 – wymagania dla blokad i osłon.

    Jeśli istnieje norma typu C dla danej maszyny, jej wymagania mają pierwszeństwo przed normami ogólnymi typów A i B w zakresie objętych nimi zagadnień.

    Czym różnią się normy typu A, B i C w bezpieczeństwie maszyn?

    Normy typu A określają ogólne pojęcia i zasady projektowania bezpieczeństwa maszyn (np. PN-EN ISO 12100). Stanowią punkt wyjścia do oceny ryzyka i ogólnej koncepcji bezpieczeństwa.

    Normy typu B dotyczą konkretnych aspektów bezpieczeństwa lub środków ochronnych – np. systemów sterowania związanych z bezpieczeństwem, kurtyn świetlnych, osłon, elementów sterowniczych. Normy typu C są najbardziej szczegółowe i opisują wymagania bezpieczeństwa dla konkretnych rodzajów maszyn (np. pras, wtryskarek). W razie kolizji wymagań to właśnie normy typu C są nadrzędne dla danej maszyny.

    Na czym polega analiza ryzyka maszyn wykonywana przez integratora?

    Analiza ryzyka to usystematyzowany proces opisany m.in. w normie PN-EN ISO 12100. Obejmuje ona określenie granic maszyny (przeznaczenie, tryby pracy, środowisko, cały cykl życia), identyfikację wszystkich możliwych zagrożeń oraz oszacowanie ryzyka związanego z każdym z nich.

    Jeśli poziom ryzyka jest zbyt wysoki, integrator musi zaprojektować środki redukcji ryzyka – począwszy od zmian konstrukcyjnych eliminujących zagrożenia u źródła, przez techniczne środki ochronne (np. osłony, blokady, układy bezpieczeństwa), aż po środki organizacyjne i szkolenia. Proces ten jest iteracyjny i powinien być udokumentowany.

    Dlaczego stosowanie norm zharmonizowanych jest tak ważne dla integratora automatyki?

    Stosowanie norm zharmonizowanych upraszcza wykazanie zgodności maszyny z dyrektywą maszynową i innymi dyrektywami. Daje integratorowi tzw. domniemanie zgodności – jeśli udokumentuje, że projekt i wykonanie maszyny są zgodne z odpowiednimi normami, organy nadzoru oraz audytorzy z reguły przyjmują, że spełniono zasadnicze wymagania bezpieczeństwa.

    Dodatkowo normy dostarczają gotowych metod oceny ryzyka, przykładów architektur układów bezpieczeństwa oraz minimalnych wymagań dla środków ochronnych. Dzięki temu integrator projektuje szybciej, bardziej przewidywalnie i ogranicza ryzyko kosztownych poprawek po audycie lub wypadku.

    Co warto zapamiętać

    • Integrator automatyki w świetle przepisów często staje się producentem maszyny lub zespołu maszyn, co oznacza pełną odpowiedzialność za spełnienie wymagań bezpieczeństwa, dokumentację techniczną i deklarację zgodności.
    • Każda istotna modyfikacja istniejącej maszyny (np. dodanie robota, przenośnika, nowych trybów pracy) może tworzyć „nową” maszynę z nowym profilem ryzyka, za którą integrator ponosi odpowiedzialność prawną.
    • Brak kompletnej dokumentacji bezpieczeństwa (analiza ryzyka, dobór środków ochronnych, testy, instrukcje) może mieć dużo poważniejsze konsekwencje prawne i finansowe niż właściwe zaprojektowanie bezpieczeństwa na etapie projektu.
    • Integrator musi znać i stosować nie tylko dyrektywę/rozporządzenie maszynowe, ale także powiązane dyrektywy (LVD, EMC, ATEX, hałas/emisje) oraz zadbać o odpowiednie oznakowanie (m.in. CE, Ex).
    • Stosowanie norm zharmonizowanych (typów A, B i C) jest podstawowym narzędziem do wykazania zgodności z wymaganiami zasadniczymi oraz uproszczenia projektowania układów bezpieczeństwa.
    • Normy typu C dla konkretnych maszyn mają pierwszeństwo przed normami typu A i B; integrator łączący różne maszyny w linię musi uwzględnić jednocześnie wymagania kilku norm typu C na poziomie całego zespołu.
    • Znajomość kluczowych norm, takich jak PN-EN ISO 12100 czy PN-EN ISO 13849-1 i PN-EN 62061, jest niezbędna, aby właściwie przeprowadzić ocenę ryzyka, dobrać poziom bezpieczeństwa (PL/SIL) i zaprojektować skuteczne środki ochronne.

    Te artykuły mogą Cię zainteresować: