Что на самом деле требует ISO 13849 для функций запуска, остановки и сброса

Большинство команд не понимают ISO 13849 еще до того, как будет посажен первый провод.

Вот в чем ловушка.

Они рассматривают “запуск”, “остановку” и “сброс” как три обычных глагола на панели управления, в то время как ISO 13849-1:2023 на самом деле задает более холодный вопрос: какие из этих действий являются частью функции безопасности, какой требуемый уровень эффективности - PLr - был назначен оценкой риска, и могут ли связанные с безопасностью части системы управления, SRP/CS, доказать это поведение в условиях сбоя?

Это все меняет, не так ли?

Собственная страница ISO для ISO 13849-1:2023 В стандарте говорится, что он охватывает проектирование и интеграцию связанных с безопасностью частей систем управления, выполняющих функции безопасности, включая программное обеспечение, в электрических, гидравлических, пневматических и механических технологиях. В нем также говорится о том, что покупатели обычно игнорируют: ISO 13849-1 не не определить необходимые функции безопасности или PLr для конкретной машины. Они определяются на основе оценки риска, стандартов типа С, конструкции машины и фактической опасности.

Поэтому, когда кто-то спрашивает: “Нужна ли в ISO 13849 кнопка сброса?”, я обычно отвечаю: это неправильный вопрос.

Лучше спросить вот о чем: после защитного останова, срабатывания блокировки, прерывания световой завесы, аварийного останова, потери питания или неисправности может ли машина перезапуститься таким образом, чтобы подвергнуть человека опасному движению?

Если да, то сброс - это не вежливая маленькая кнопка. Она является частью аргумента безопасности.

Стандарт не благословляет ваши кнопки

У меня есть свое мнение: слишком много панелей управления построены так, будто дизайнер скопировал старую схему, а затем наклеил на нее ярлыки безопасности. Зеленый старт. Красный стоп. Синий сброс. Может быть, селектор с ключом, если бюджет позволяет.

Изящный театр.

Но требования ISO 13849 не касаются цвета, этикеток или того, выглядит ли колпачок кнопки достаточно “промышленно”. Стандарту важна функция безопасности: входной сигнал датчика, логическая обработка, переключение выхода, обнаружение неисправностей, диагностический охват, устойчивость к отказам по общим причинам, время отклика и подтверждение достоверности.

Это означает, что кнопка запуска обычно не функция безопасности сама по себе. Функция останова может быть такой. Функция сброса часто становится связанной с безопасностью, когда она восстанавливает разрешение на работу после требования безопасности.

В резюме четвертого издания EN ISO 13849-1, подготовленном DGUV, отмечается, что спецификация требований безопасности должна включать такие пункты, как безопасное состояние, PLr, допустимое время отклика, активные режимы работы, интерфейсы управления машиной, поведение после потери энергии и условия, разрешающие повторный запуск после запроса функции безопасности. В нем также говорится, что для ручного сброса теперь требуется контролируемое изменение сигнала - практически, нарастающий или спадающий фронт - для уменьшения предсказуемого неправильного использования в Резюме четвертого издания DGUV.

Последнее предложение имеет значение.

Приваренный контакт сброса, постоянно находящийся под высоким напряжением, не должен беззвучно разрешать повторный запуск. Застрявший вход сброса не должен становиться волшебным мостиком вокруг опасности. А станция сброса внутри опасной зоны? Меня не волнует, насколько аккуратно выглядит электрическая схема; вот так плохие машины защищаются красивыми рисунками.

Старт, стоп и сброс: Таблица, которую никто не хочет видеть в обзоре дизайна

Прежде чем спорить о категории 3 против категории 4, или PL d против PL e, заставьте команду определить, что на самом деле делает каждая функция. Я бы использовал эту таблицу при первом, а не последнем пересмотре проекта.

Функция	Что, по мнению людей, оно означает	Что заставляет вас спросить ISO 13849	Типичный проектный риск	Доказательства, которых я ожидаю
Запуск / перезапуск	“Запустить машину”	Может ли команда запуска создать опасное движение после запроса функции безопасности?	Команда "Пуск" дублирует разрешение на непреднамеренный перезапуск	Оценка рисков, логика режимов работы, конструкция блокировки повторного запуска, проверочный тест
Функция безопасной остановки	“Остановитесь, если небезопасно”.”	Какое безопасное состояние должно быть достигнуто, за какое время отклика, при каком PLr?	Путь остановки зависит от одного неконтролируемого контактора или клапана	Расчет PL, испытание временем остановки, DCavg, MTTFD, оценка CCF, исключение неисправностей
Функция ручного сброса	“Снять тревогу”	Восстанавливает ли сброс работоспособность функции безопасности без запуска опасного движения?	Сброс становится командой косвенного запуска	Контролируемый сброс по краям, внешнее расположение сброса, видимость опасной зоны
Аварийная остановка	“Большая красная кнопка”	Отменяет ли он запуск и удерживает остановку до преднамеренного сброса/перезапуска?	Сброс E-stop перезапускает машину или маскирует неисправность	IEC 60204-1 логический обзор, запись валидации, процедура периодических испытаний
Прерывание световой завесы	“Балка сломана, машина останавливается”.”	Достигает ли путь OSSD требуемого PLr и предотвращает ли автоматический перезапуск?	Защитное поле исчезает и машина перезапускается, а человек все еще подвергается воздействию	Безопасное расстояние, время срабатывания, подключение OSSD, блокировка повторного запуска

Короткая версия? Нет.

Команда запуска не может стать лазейкой для обхода требований безопасности, а сброс не может действовать как “запуск с лучшими манерами”, особенно на машинах, где человек все еще может находиться в защищенной зоне, расчищать затор, протискиваться через ворота или стоять за многосторонней точкой доступа.

Вот где настоящая выбор светового занавеса безопасности машины обсуждение становится гораздо большим, чем выбор шага луча и высоты защиты. Если устройство только прерывает движение, но логика перезапуска небрежна, то в отказе системы управления обвиняют оптическое оборудование.

Суровая правда о функциях остановки, связанных с безопасностью

Функция останова, связанная с безопасностью, - это не то же самое, что нажатие кнопки "Стоп" на программируемом терминале.

Она должна приводить машину в определенное безопасное состояние, когда требуется функция безопасности, и должна соответствовать назначенному PLr для данного риска. Это может означать резервные каналы, контролируемые контакторы, логику ПЛК безопасности, безопасное отключение крутящего момента, гидравлические клапаны сброса, пневматический выхлоп, механические тормоза или их комбинацию.

OSHA руководство по охране оборудования в более простом нормативном документе говорится о том, что меры безопасности защищают работников в опасных зонах машин, а блокировка/тагауты должны дополнять меры безопасности при обслуживании и ремонте. Это не терминология ISO, но практическое дублирование очевидно. Функция останова, которая работает во время производства, может не защитить человека во время устранения заклинивания, регулировки, очистки или технического обслуживания.

Я видел одну и ту же ошибку, повторяющуюся в материалах о происшествиях: люди разрабатывают проект для нормального цикла, а затем удивляются, когда травма случается во время ненормальной работы.

Конечно, это так.

Машины травмируют людей во время очистки, восстановления, переналадки, обхода, перезапуска и “одной быстрой настройки”. Именно поэтому требования ISO 13849 к сбросу пуска-остановки должны быть привязаны к режимам работы, прогнозируемому неправильному использованию и поведению при обслуживании, а не только к автоматическому циклу.

Если открывается защитное ограждение, срабатывает световая завеса или защитный коврик обнаруживает присутствие, машина должна не просто остановиться. Она должна остановиться через связанный с безопасностью путь управления, который продолжает действовать при вероятных неисправностях.

Это граница между функцией промышленного управления и функцией безопасности.

Перезагрузка - место, где прячутся плохие дизайны

Перезагрузка выглядит безобидно. Но это не так.

Функция безопасности с ручным сбросом в соответствии с ISO 13849 должна восстанавливать функцию безопасности после устранения причины остановки; она не должна сама инициировать опасное движение. Я повторю это еще раз, потому что эту фразу я бы повесил на стену в каждом магазине щитов: сброс готовится; команды запуска.

Для правильной функции сброса ISO 13849 обычно требуется четыре вещи:

1. Опасное состояние устранено.
2. Устройство сброса находится вне опасной зоны.
3. Оператор может убедиться, что опасная зона свободна.
4. Вход сброса контролируется как преднамеренное изменение сигнала, а не как постоянно удерживаемый разрешающий сигнал.

Вот почему станция сброса имеет значение для многозаходных машин. Если человек может стоять за шторкой, вокруг светильника или внутри ячейки, в то время как другой человек выполняет сброс вслепую, у вас нет проблемы сброса. У вас проблема с телом в зоне.

Для машин с несколькими точками доступа Многосторонняя световая завеса для защиты доступа может уменьшить слепые пути подхода, но все равно не может исправить плохую логику перезапуска. Аппаратура видит. Логика решает.

Логика - вот где компаниям приходится несладко.

Досье: Промышленность продолжает заново учить один и тот же урок

Давайте перестанем притворяться, что это теория.

26 августа 2022 года, согласно Материалы OSHA о несчастном случае на лесопильном станке Sharp Chain Model 3916-001, 44-летний рабочий вошел в машину, чтобы прочистить засор в датчике фотоглаза/профилирующей головке. Когда засор был устранен, машина активировалась. Его зажало и раздавило между профилировщиком и рамой, и он скончался от рваных ран лезвием и травмы тупым предметом.

Это логика запуска/перезапуска, написанная кровью.

9 мая 2021 года OSHA зарегистрировала еще один случай автоматического перезапуска, когда работник пытался перезапустить автоматизированную механическую швейную машину после перекоса изделий. Световая завеса была отключена, машина снова включилась, и левая рука работника попала на режущий нож, что привело к ампутации указательного пальца, говорится в сообщении. Детализация несчастных случаев OSHA для автоматизированного механического швеи.

Другая машина. Тот же рисунок.

А еще есть компания United Hospital Supply. OSHA заявило, что руководители и сотрудники компании намеренно обошли световую завесу тормозного пресса, после чего работник первого дня получил ампутацию трех пальцев. Компания получила $498 464 штрафа и была включена в программу по борьбе с серьезными нарушениями, говорится в сообщении OSHA. 17 мая 2023 г. Выпуск United Hospital Supply.

Это должно заставить умолкнуть все разговоры о “временном обходе”.

В 2023 году BLS зарегистрировала 226 смертельных травм, связанных с ударом, захватом или сжатием работающего оборудования; 48 из них связаны с обслуживанием, очисткой или тестированием, а 53 - с захватом или запутыванием работающего оборудования. Таблица A-9 BLS CFOI на 2023 год. Это не редкие случаи. Это промышленный образец, к которому прилагаются счета, обвинения, ампутации, похороны и адвокаты.

Требования ISO 13849: Что на самом деле должно быть написано в SRS

Спецификация требований безопасности - SRS - это то место, где команды либо становятся честными, либо начинают строить небылицы.

Функции запуска, остановки и сброса я ожидаю от SRS:

• Опасности, связанные с машинами: раздавливание, срезание, запутывание, разрезание, втягивание, удар, попадание в ловушку.
• Событие срабатывания: защита открыта, OSSD выключен, E-стоп нажат, потеря давления, неисправность сервопривода, неисправность блокировки, изменение режима, восстановление питания.
• Безопасное состояние: STO активен, гидравлическое давление снято, пневматическая энергия исчерпана, тормоз включен, движение остановлено, инструмент удерживается, опасная скорость снижена.
• ПЛр: PL c, PL d или PL e, в зависимости от оценки риска.
• Архитектура: Категория B, 1, 2, 3 или 4.
• Диагностическое покрытие: Значение DCavg и метод контроля.
• Предположения MTTFD: контактор B10d, данные клапана, данные реле, данные датчиков, рабочие циклы.
• Оценка CCF: разделение, разнообразие, защита от загрязнения, ЭМС, перенапряжения, обучение, анализ конструкции.
• Время срабатывания: срабатывание датчика + логика безопасности + выходное устройство + время остановки машины.
• Поведение при сбросе: срабатывание по фронту импульса, преднамеренное, видимое из безопасного положения, отсутствие опасного движения при одном только сбросе.
• Условия перезапуска: отдельная команда запуска, сброс зоны, восстановление всех функций безопасности, устранение неисправностей.

Это не бумажная работа ради бумажной работы. Это способ не допустить превращения экспертизы проекта в борьбу мнений.

Если вы выбираете оптическую защиту, начните с риска. Защита пальцев может подтолкнуть вас к разрешению 10 мм или 14 мм. Защита рук может позволить более широкое разрешение, в зависимости от расстояния и опасности. Для небольших точек доступа или точного оборудования можно использовать высокоточная световая завеса обсуждение может быть оправданным. Для прессов, гидравлических машин и широких мест доступа световая завеса для тяжелых машин может лучше соответствовать механической реальности.

Но не путайте выбор продукта с проектированием функциональной безопасности.

Световая завеса типа 4, подключенная к плохо продуманной цепи сброса/перезапуска, похожа на шлем с отрезанным подбородочным ремешком. Он выглядит ответственным до момента удара.

Команды по закупкам деталей OSSD продолжают пропадать

Выходы OSSD не декорируются.

Двойная световая завеса безопасности OSSD может подавать на реле безопасности или ПЛК дублирующие контролируемые сигналы. Это важно, когда цель функции безопасности достаточно высока и требует обнаружения неисправностей и отказоустойчивости. Это одна из причин, по которой Световая завеса безопасности с двумя выходами и резервированием OSSD следует обсуждать, когда машинный риск указывает на более высокий PLr.

Но вот дурная привычка отрасли: закупки требуют OSSD, а затем игнорируют остальную часть SRP/CS.

Только OSSD не дает вам PL e. Только ПЛК безопасности не дает вам PL e. Реле с желтым корпусом не дает вам PL e. Вся цепочка имеет значение: вход, логика, выход, проводка, диагностика, предположения об окружающей среде, валидация и дисциплина обслуживания.

Именно поэтому на сайте приводится сравнение безопасные световые завесы в сравнении с небезопасными световыми завесами является полезной внутренней ссылкой. Различие не косметическое. Одна категория устройств предназначена для обнаружения предметов. Другая, при правильной интеграции, помогает оградить людей от опасного движения.

Тип 2, Тип 4, PLr и ложь о снижении стоимости

Вот мое спорное мнение: многие споры типа 2 против типа 4 - это не технические споры. Это давление на стоимость, облаченное в костюм инженера.

Если вероятная травма незначительна, воздействие контролируется, а оценка риска подтверждает это, то функции безопасности с меньшей производительностью могут быть оправданы. Но если вероятная травма - это ампутация, раздавливание или смерть, я хочу увидеть очень серьезные письменные аргументы, прежде чем кто-то уступит.

Внутреннее руководство по Световые завесы безопасности типа 2 и 4 ИСО 13849 не задается вопросом “Какое устройство дешевле?”. Он спрашивает, обеспечивает ли функция безопасности достижение PLr.

И PLr - это не вибрация.

Он определяется тяжестью травмы, частотой или продолжительностью воздействия, а также возможностью избежать опасности. Как только PLr установлен, проект SRP/CS должен достичь его с помощью архитектуры, MTTFD, DCavg и CCF.

Это означает, что логику запуска, остановки и сброса нельзя оценивать изолированно. Они должны оцениваться как поведение внутри функции безопасности.

Что означает “действительно требуется” на языке цехов

Так что же на самом деле требует ISO 13849 для функций запуска, остановки и сброса?

Для этого нужны доказательства, а не надежда.

Для функции останова, связанной с безопасностью, необходимо определенное безопасное состояние и архитектура управления, обеспечивающая достижение требуемого PLr. Для функции ручного сброса необходимо преднамеренное действие, восстанавливающее готовность без инициирования опасного движения. Для функции запуска/перезапуска необходимо предотвратить неожиданный или автоматический перезапуск после требования безопасности, если только условия сброса и запуска не выполнены намеренно.

Это урезанная версия.

Более глубокая версия уродлива: вам нужно разработать проект против оператора, который разгребает затор в 2 часа ночи, супервайзера, который хочет восстановить линию, техника, который заклеивает датчик “просто для проверки”, интегратора, который считает, что программа ПЛК - это чужая проблема, и покупателя, который думает, что предложение по световым занавесам - это план безопасности.

Это не так.

Если ваша машина может перезапускаться после устранения блокировки, после возвращения питания, после закрытия ограждения или после восстановления поля световой завесы без преднамеренной безопасной последовательности, то ISO 13849 не является вашей главной проблемой. Это физика.

Вопросы и ответы

Каковы требования ISO 13849 к функциям запуска, остановки и сброса?

Требования ISO 13849 к функциям запуска, останова и сброса представляют собой обязанности по проектированию и проверке поведения системы управления, связанного с безопасностью, и требуют от разработчика оборудования определить каждую функцию безопасности, назначить PLr, разработать SRP/CS, проверить реакцию на неисправность и предотвратить создание опасных движений логикой сброса или перезапуска.
С практической точки зрения, кнопка пуска не должна отменять требования безопасности, функция останова должна достигать определенного безопасного состояния, а сброс должен восстанавливать разрешение только после устранения опасного состояния.

Всегда ли функция сброса связана с безопасностью согласно ISO 13849?

Функция сброса связана с безопасностью, если она восстанавливает или включает функцию безопасности после защитного останова, неисправности, срабатывания блокировки, прерывания световой завесы или аварийного останова, особенно в тех случаях, когда неправильный сброс может привести к опасному движению или подвергнуть опасности человека, находящегося в опасной зоне.
Если сброс только очищает диагностическое сообщение, не связанное с безопасностью, он может не быть частью SRP/CS. Но если сброс влияет на разрешение перезапуска, отнеситесь к нему с подозрением и задокументируйте логику.

Может ли машина автоматически перезапускаться после устранения световой завесы?

Машина не должна автоматически перезапускаться после исчезновения световой завесы, если человек все еще может подвергнуться опасному движению, поскольку для перезапуска обычно требуется подтверждение безопасной зоны, восстановление функции безопасности и отдельное преднамеренное действие по запуску после любого требуемого ручного сброса.
Это разница между “луч чист” и “машина безопасна для работы”. Это не одно и то же предложение.

В чем разница между остановкой и аварийной остановкой в проекте ISO 13849?

Остановка, связанная с безопасностью, - это определенная функция безопасности, которая переводит машину в безопасное состояние при заданных условиях и PLr, в то время как аварийная остановка - это дополнительная защитная функция, предназначенная для срочного вмешательства человека и не должна заменять собой надлежащее ограждение или обычное снижение риска.
В хорошей конструкции функции останова перекрывают соответствующие функции запуска, но аварийный останов не должен использоваться в качестве основного производственного останова или как компенсация за плохую защиту.

Какие документы подтверждают соответствие ISO 13849 для логики сброса и перезапуска?

Соответствие ISO 13849 для логики сброса и перезапуска обычно поддерживается оценкой рисков, спецификацией требований безопасности, определением PLr, архитектурой SRP/CS, данными о надежности компонентов, предположениями о диагностическом покрытии, оценкой CCF, принципиальными схемами, обзором программного обеспечения, валидационными тестами и записанными проверками поведения при перезапуске.
Если в файле не показано, как ведет себя сброс после сбоев, потери питания, открытия защиты, прерывания OSSD и изменения режима, он не завершен. Он просто собран.

Ваш следующий шаг до того, как машина получит право голоса

Не начинайте с того, что попросите купить вам более дешевый световой занавес.

Начните с написания функции безопасности.

Определите опасность, безопасное состояние, PLr, время останова, последовательность сброса, условия повторного запуска, режимы работы, точки доступа и пробные испытания. Затем выберите оборудование, которое может поддерживать эту конструкцию: реле безопасности, ПЛК безопасности, контакторы, клапаны, приводы STO, световые завесы OSSD, блокировки или многостороннее ограждение.

Если ваша команда уже просматривает машину с непонятным поведением при запуске/перезапуске, воспользуйтесь внутренним ресурсы для выбора устройств безопасности а затем запросить инженерную экспертизу через Контактная страница Safety Curtain. Приведите схему машины, данные о времени остановки, требуемую высоту защиты, разрешение, диапазон измерения, тип выхода, напряжение, требования к кабелю и целевой рынок.

Потому что истина проста: ISO 13849 не волнует, что машина “обычно работает”. Его волнует, что произойдет, если в неподходящую секунду случится что-то не то.