ocena ryzyka

Reset. Nic o relacjach USA-Rosja.

Stanisław Hodur

:

Na początek dobra informacja dla przywiązanych do poprawności języka: „reset” pojawił się już w Słowniku Języka Polskiego PWN.1 Są nawet pochodne — resetować, resetowanie. Na poziomie językowym wszystko jest więc jasne. Gorzej z zastosowaniem funkcji reset w systemach bezpieczeństwa maszyn.

Wymagania dla „ręcznego resetu” określa ISO 13849-1:2

Po zainicjowaniu przez techniczny środek ochronny sygnału zatrzymywania, warunki zatrzymywania powinny być utrzymane aż do wystąpienia bezpiecznych warunków do ponownego uruchomienia.

Ponowne zaktywizowanie funkcji bezpieczeństwa w wyniku zresetowania urządzenia ochronnego powoduje
kasowanie sygnału zatrzymywania. Jeśli wskazują na to wyniki oceny ryzyka, skasowanie sygnału zatrzymywania powinno być potwierdzane oddzielnym ręcznym i zamierzonym działaniem (ręczne resetowanie).

ISO 13849-1/5.2.2, podkreślenia S.H.

Interpretacja

Po pierwsze, resetowi mają podlegać tylko urządzenia ochronne, a nie techniczne środki ochronne w ogóle, tzn. wyłączono z resetowania osłony (zgodnie z definicjami zawartymi w ISO 12100, techniczny środek ochronny to „urządzenie ochronne lub osłona”, a urządzenie ochronne to „techniczny środek ochronny inny niż osłona”3) Być może autorzy normy uznali, że samo zamknięcie osłony jest już odpowiednikiem resetu urządzeń ochronnych, ale byłoby to słabe założenie. Osłona może zamykać się samoczynnie (sprężyną lub grawitacją), może też dojść do przypadkowego jej zamknięcia, choćby w wyniku przeciągu. Bez ręcznego resetu nie da się więc — w ogólności — zapewnić „utrzymywania warunków zatrzymania” przez osłonę.

Po drugie, zapis w normie zdaje się sugerować, że reset dotyczy poszczególnych urządzeń ochronnych. To byłoby trochę zaskakujące — jakby norma była przeznaczona tylko dla małych, nieskomplikowanych maszyn. A jeżeli zamiast jednego środka ochronnego zastosowano ich kombinację? Odrębne resetowanie każdego ze środków ochronnych wchodzących w skład takiego zestawu jest irracjonalne.

Przykład 1. Aby oddzielić od siebie dwie strefy, przez które przechodzi łańcuchowy przenośnik zaczepowy, zastosowano barierę optyczną oraz osłony blokujące. Sama bariera nie wystarczy, ponieważ tor przenośnika jest wysoki i najniższa wiązka bariery nie może być niżej np. 50cm. Jeżeli reset ma dotyczyć środka ochronnego, to czy pani, która przeszła odsuwając osłonę i przecinając barierę, będzie musiała resetować osobno barierę, osobno osłonę?

Kombinacja technicznych środków ochronnych. Dla jasności usunięto jedną ścianę. (SketchUp)

Przykład 2 — dla osób, które uważają, że przecież norma mówi tylko o resetowaniu urządzeń, a nie osłon. Strefa przejścia przez tor jest nadzorowana przez cztery bariery świetlne i znajdujący się pomiędzy nimi skaner. Przejście w poprzek toru (bariera, skaner, bariera) powoduje automatyczne przywrócenie działania, ale przejście w bok (przez bariery nad żółto-czarnymi pasami) skutkuje zatrzymaniem procesu. Jaki sens (w aspekcie bezpieczeństwa) miałoby odrębne resetowanie skanera i każdej z trzech (dwóch, czterech) naruszonych barier?

Kombinacja urządzeń ochronnych. (SketchUp)

Po trzecie jednak, resetowanie powinno odbywać się z miejsca zapewniającego pełną widoczność strefy.

Element sterowniczy resetowania powinien być umieszczony poza strefą zagrożenia, w miejscu zapewniającym bezpieczeństwo, z którego jest dobra widoczność, umożliwiająca sprawdzenie, że nikt nie znajduje się w strefie zagrożenia.

W przypadku gdy strefa zagrożenia nie jest całkowicie widoczna, wymagana jest specjalna procedura resetowania.

UWAGA Jednym z rozwiązań jest zastosowanie drugiego elementu sterowniczego resetowania. Funkcja resetowania inicjowana jest wewnątrz strefy zagrożenia przez pierwszy element sterowniczy w połączeniu z drugim elementem sterowniczym resetu, umieszczonym poza strefą zagrożenia (w pobliżu technicznego środka ochronnego). Ta procedura resetowania powinna być realizowana w ograniczonym czasie, zanim system sterowania zaakceptuje odrębny sygnał uruchomienia.

ISO 13849-1/5.2.2

Poza najprostszymi konfiguracjami, stoi to w praktycznej sprzeczności z odrębnym resetowaniem poszczególnych urządzeń ochronnych.

Przykład 3. Maszyna otoczona jest ogrodzeniem (litym) i kurtynami optycznymi. Żeby uniknąć podwójnego resetu, fragment ogrodzenia (na pierwszym planie) wykonano z poliwęglanu, co pozwala objąć wzrokiem całą strefę. Resetowanie odbywa się więc z miejsca jednakowo odległego od obu kurtyn. Instalowanie tam dwóch odrębnych przycisków, po jednym dla każdej kurtyny, byłoby irracjonalne.

Strefa nadzorowana w kształcie litery L. Dla czytelności pominięto elementy niebezpieczne, znajdujące się wewnątrz strefy. (SketchUp Make)

Przykład 4. Jeżeli w powyższym przykładzie usuniemy przezroczysty fragment osłony, konieczne będzie zastosowanie wspomnianego „podwójnego resetu” — jeden dodatkowy przycisk (CR0) znajduje się wewnątrz strefy niebezpiecznej. Resetowanie wymaga naciśnięcia kolejno CR0 i CR1 lub CR0 i CR2. Zastąpienie przycisku CR0 dwoma odrębnymi (po jednym dla każdej z kurtyn L1 i L2) powodowałoby tylko zamieszanie.4

Strefa nadzorowana w kształcie litery L i podwójny reset (zdjęcie: Odan Jaeger/FreeImages)

Wnioski

Oczywiście, normy zharmonizowane trzeba stosować.5 Nie można powiedzieć: „ta norma jest GUPIA, więc nie obowiązuje” — nawet jeśli faktycznie jest, jak to ujął poeta, „taka… tego… nic takiego nadzwyczajnego”.6 Spróbujmy więc poszukać czegoś, co nie jest sprzeczne ani z rozumem, ani z ISO 13849-1.

  1. Norma wskazując potrzebę stosowania resetu dla urządzeń ochronnych, odnosi się do oceny ryzyka. Jeżeli z oceny tej wynika potrzeba stosowania resetu również w przypadku osłon, norma w żadnym razie tego nie zabrania.
  2. Norma nigdzie nie wymaga indywidualnych przycisków reset dla poszczególnych urządzeń ochronnych. Jeden wspólny przycisk doskonale spełnia wymóg „potwierdzania oddzielnym ręcznym i zamierzonym działaniem”, niezależnie od ilości urządzeń ochronnych.
  3. Reset jest ściśle związany ze strefą nadzorowaną przez techniczne środki ochronne (jeden lub kilka). Naciśnięcie przycisku reset jest informacją dla systemu bezpieczeństwa, że w strefie nadzorowanej nie ma osób potencjalnie zagrożonych. (To, że nikogo nie ma np. w strefie wykrywania kurtyny, system wie bez pomocy operatora.) To dlatego lokalizacja przycisku (przycisków) reset jest związana z widocznością strefy (czego norma wymaga), a nie z umiejscowieniem urządzeń ochronnych (o czym w ogóle nie wspomina).
  4. Stosowanie ręcznego resetu wiąże się z nieuniknionym ryzykiem resztkowym — można (da się) zresetować obszar, gdy znajdują się tam osoby zagrożone.7 Operatorzy zawsze powinni mieć świadomość (tzn. powinni być o tym skutecznie poinformowani), że naciskając reset biorą na siebie odpowiedzialność za zdrowie i życie osób mogących znajdować się w resetowanym obszarze.
  5. Zdarzają się sytuacje, gdy ani nie da się nadzorować całego obszaru, ani nie ma praktycznej możliwości potwierdzenia, że w obszarze tym nie ma nikogo. Ten przypadek jest poza zakresem ISO 13849-1, ale przepisy (dyrektywa maszynowa/I.1.2.2, dyrektywa narzędziowa/I.2.1) wymagają wówczas sygnału ostrzegawczego, poprzedzającego uruchomienie maszyny.

Warto przeczytać

  1. Już był w ogródku, już witał się z gąską — czyli o urządzeniach ochronnych
  2. O przepisach i normach: Na prawo patrz!
  3. Wykaz norm zharmonizowanych
  4. Grajmy w kolory — interfejs maszyna-operator wg EN 60204-1
  5. Znaj proporcjum, mocium panie – czyli jak projektować funkcję resetu.

 
﹏﹏﹏

  1. słownikowy reset dotyczy wprawdzie tylko komputera, ale jeśli wyraz raz się zadomowił, to pewnie już u nas zostanie i sprowadzi rodzinę zza granicy  []
  2. PN-EN ISO 13849-1:2016 Bezpieczeństwo maszyn. Elementy systemów sterowania związane z bezpieczeństwem. Część 1: Ogólne zasady projektowania  []
  3. tak, jest to błąd logiczny, znany od starożytności jako ignotum per ignotum — i co im zrobimy?  []
  4. Oczywiście, operator by sobie poradził, jak to zwykle bywa — prawdopodobnie naciskałby zawsze oba przyciski, na wszelki wypadek. Każdy, kto widział kiedykolwiek operatora próbującego uruchomić maszynę, gdy nie udało się za pierwszym razem, zna tę uniwersalną procedurę: naciśnij po kilka razy wszystkie resety i restarty, może pomoże.  []
  5. nie licząc przypadków, kiedy nie trzeba, rzecz jasna  []
  6. Julian Tuwim, O Grzesiu kłamczuchu i jego cioci  []
  7. gdyby nie było to możliwe, bo np. cała strefa jest nadzorowana przez skaner, stosowanie ręcznego resetu nie jest potrzebne — tak wynika z oceny ryzyka (normy typu C mogą twierdzić co innego)   []
#

Komentarze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

zagadka — captcha *Time limit exceeded. Please complete the captcha once again.