walidacja funkcji bezpieczeństwa robota
Bezpieczeństwo

Walidacja funkcji bezpieczeństwa robota przemysłowego – normy i proces

12 minut czytania

Walidacja funkcji bezpieczeństwa robota to jeden z etapów wdrożenia stanowiska zrobotyzowanego, który formalnie oddziela projekt od gotowego, dopuszczonego do produkcji systemu. Bez niej certyfikacja na papierze pozostaje tylko kalkulacją – dopóki wyniki nie zostaną potwierdzone fizycznymi testami na realnej celi, nie można mówić o spełnieniu wymagań norm. Artykuł jest adresowany do inżynierów wdrożeń, integratorów systemów robotycznych i specjalistów ds. bezpieczeństwa maszyn, którzy odpowiadają za uruchomienie i odbiór stanowisk. Znajdziesz tu konkretne informacje o tym, co i jak testować, jakie normy stosować oraz gdzie najczęściej pojawiają się luki w procesie walidacji.

Najważniejsze informacje z tego artykułu:

  • Walidacja funkcji bezpieczeństwa robota to potwierdzenie przez fizyczne testy na gotowym stanowisku, że system działa zgodnie z wymaganiami norm ISO 10218-2, ISO 13849-2 i IEC 62061.
  • Weryfikacja obliczeniowa (np. w narzędziu SISTEMA) to osobny etap od walidacji – projekt może osiągać PL d na papierze, ale bez testów fizycznych nie spełnia wymagań walidacyjnych.
  • Każda ścieżka zatrzymania – E-stop, protective stop, monitored standstill – wymaga zmierzenia rzeczywistego czasu i drogi hamowania przy maksymalnej prędkości robota.
  • Walidacja aplikacji kolaboracyjnych obejmuje pomiary siły i ciśnienia kontaktu porównywane z limitami biomechanicznymi dla 29 punktów ciała wg ISO/TS 15066.
  • Każda zmiana narzędzia, masy detalu, oprogramowania lub położenia czujnika wymaga ponownej oceny wpływu na poziom bezpieczeństwa i – w zależności od zakresu zmian – powtórzenia testów.
W artykule: Pokaż

Na czym polega walidacja funkcji bezpieczeństwa robota?

Walidacja funkcji bezpieczeństwa robota to proces potwierdzania – przez analizę i fizyczne testy na gotowym, działającym stanowisku – że każda zaimplementowana funkcja bezpieczeństwa spełnia swoje wymagania funkcjonalne i osiąga wymagany poziom niezawodności. Nie chodzi wyłącznie o to, żeby robot zatrzymał się po wciśnięciu przycisku awaryjnego. Chodzi o udowodnienie, że zatrzymuje się w odpowiedni sposób, w odpowiednim czasie, z odpowiednim poziomem pewności działania – i że jest to potwierdzone pomiarem, nie tylko obliczeniem.

Norma ISO 10218-2:2025 wprost wymaga, aby przed dopuszczeniem celi do produkcji przeprowadzić funkcjonalne testy wszystkich funkcji bezpieczeństwa wbudowanych zarówno w sterownik robota, jak i w zewnętrzne elementy ochronne – skanery, kurtyny świetlne, maty naciskowe, sterowniki bezpieczeństwa. Wyniki tych testów muszą być udokumentowane i archiwizowane. To nie jest zalecenie – to obligatoryjny element procesu dopuszczenia stanowiska do pracy.

Walidacja różni się fundamentalnie od weryfikacji. Weryfikacja to etap inżynierski, w którym sprawdzasz projekt: obliczasz MTTFd elementów, wyznaczasz DCavg, określasz kategorię architektury, weryfikujesz, czy PLa osiągnięty obliczeniowo (np. w narzędziu SISTEMA) jest równy lub wyższy od PLr wymaganego przez analizę ryzyka. Walidacja natomiast zaczyna się dopiero po zbudowaniu celi – i polega na eksperymentalnym potwierdzeniu, że to, co wynikało z obliczeń, rzeczywiście zachodzi w działającym systemie.

Konsekwencja tego rozróżnienia jest prosta: projekt formalnie spełniający PL d zgodnie z ISO 13849-1 nadal może nie przejść walidacji, jeśli rzeczywisty czas zatrzymania okaże się dłuższy niż przyjęty do wymiarowania stref ochronnych, jeśli czujniki nie pokrywają całej strefy zagrożenia albo jeśli logika bezpieczeństwa reaguje inaczej w trybie teach niż w trybie automatic.

Wskazówka: Zanim zaczniesz testy fizyczne, sprawdź, czy dla każdej funkcji bezpieczeństwa masz jednoznacznie określony PLr lub SILr wynikający z analizy ryzyka. Walidacja bez znajomości wymaganego poziomu niezawodności nie pozwala ocenić, czy wynik testu jest wystarczający. Jeśli analiza ryzyka nie jest gotowa, walidacja nie ma punktu odniesienia.

Z perspektywy cyklu wdrożenia walidacja funkcji bezpieczeństwa robota jest jednym z ostatnich etapów przed odbiorem stanowiska. Poprzedza ją analiza ryzyka robota przemysłowego, na podstawie której określa się wymagane funkcje bezpieczeństwa i ich poziomy PLr/SILr. Dopiero mając te dane, można merytorycznie planować zakres testów walidacyjnych.

Jakie normy regulują walidację funkcji bezpieczeństwa robotów?

Walidacja funkcji bezpieczeństwa robota opiera się na kilku normach, które wzajemnie się uzupełniają. Żadna z nich nie działa w izolacji – razem tworzą spójny system wymagań obejmujący projekt, weryfikację i fizyczną walidację.

Podstawowe normy wraz z ich zakresem zastosowania w walidacji:

NormaZakres w kontekście walidacji
ISO 10218-1:2025Wymagania dla producenta robota; certyfikacja funkcji bezpieczeństwa wbudowanych w sterownik (STO, SS1, SLS, soft limits).
ISO 10218-2:2025Wymagania dla integratora; obowiązek funkcjonalnych testów wszystkich funkcji bezpieczeństwa celi przed uruchomieniem produkcji, z dokumentacją wyników.
ISO 13849-1Metodologia obliczeniowa dla SRP/CS (safety-related parts of control systems): kategorie architektur, MTTFd, DCavg, CCF.
ISO 13849-2Procedury i warunki walidacji przez analizę i testy fizyczne; potwierdzenie PLa i spełnienia wymagań dla danej kategorii.
IEC 62061:2021Alternatywna lub uzupełniająca ścieżka oparta na SIL i PFHd; lepiej pokrywa złożone architektury z bezpiecznymi sieciami polowymi i rozproszonym I/O.
ISO/TS 15066:2016 (dziś w ISO 10218-2:2025)Wymagania dla trybów kolaboracyjnych (SSM, PFL, SRMS, hand guiding) oraz biomechaniczne limity siły i nacisku dla kontaktu człowiek–robot.
IEC 60204-1Definicje kategorii zatrzymania 0, 1, 2; podstawa klasyfikacji zachowania napędów przy różnych typach stopów.
ISO 13855Wyznaczanie minimalnych bezpiecznych odległości w oparciu o czasy reakcji systemu; stosowane przy SSM i projektowaniu stref ochronnych.

ISO 10218-2:2025 jest normą, która bezpośrednio nakłada na integratora obowiązek przeprowadzenia i udokumentowania walidacji. Załącznik informacyjny tej normy zawiera zestawienie funkcji bezpieczeństwa typowych dla aplikacji robotycznych wraz z przypisanymi wymaganymi poziomami PL – co w praktyce stanowi punkt wyjścia do określenia zakresu testów walidacyjnych.

Może Cię zainteresować:  Jakie są najczęstsze wypadki z udziałem robotów?

ISO 13849-2 doprecyzowuje, że walidacja musi obejmować nie tylko test funkcjonalny (czy funkcja działa), ale też potwierdzenie, że w realnej celi są spełnione założenia architektoniczne i diagnostyczne przyjęte w obliczeniach. Więcej o samych poziomach PL i SIL oraz o tym, jak wpływają na projektowanie systemu sterowania, opisałem w osobnym materiale o PL i SIL w robotyce.

Ocena poprawności funkcji bezpieczeństwa robota

Co sprawdza się podczas walidacji funkcji bezpieczeństwa robota?

Zakres walidacji obejmuje wszystkie funkcje bezpieczeństwa zidentyfikowane w analizie ryzyka jako wymagane dla danego stanowiska. Poniżej opisuję każdą klasę funkcji, to, co konkretnie się testuje, i dlaczego.

Funkcje zatrzymania – E-stop, protective stop, monitored standstill

To podstawowy obszar każdej walidacji. IEC 60204-1 definiuje trzy kategorie zatrzymania: kategorię 0 (natychmiastowe odcięcie energii napędów), kategorię 1 (kontrolowany stop z późniejszym odcięciem energii) i kategorię 2 (stop z utrzymaniem zasilania i monitorowaniem postoju). Normy ISO 10218 ograniczają zatrzymanie awaryjne (E-stop) do kategorii 0 lub 1. Kategoria 2 jest dopuszczalna jako protective stop lub monitored standstill, ale nie jako E-stop.

Nowoczesne napędy implementują odpowiedniki tych kategorii jako funkcje wg IEC 61800-5-2:

  • STO (Safe Torque Off) – odpowiednik kategorii 0; bezpieczne odcięcie momentu bez odcinania zasilania napędu.
  • SS1 (Safe Stop 1) – kontrolowany stop z przejściem w STO; odpowiednik kategorii 1.
  • SS2/SOS – bezpieczny stop pod zasilaniem z monitorowaniem braku ruchu; odpowiednik kategorii 2.

Walidacja każdej ścieżki zatrzymania wymaga fizycznego pomiaru czasu i drogi hamowania przy maksymalnej prędkości robota, przy pełnym obciążeniu nominalnym i – tam, gdzie to możliwe – przy różnych kierunkach ruchu. Wyniki porównuje się z wartościami przyjętymi do wymiarowania stref ochronnych lub bezpiecznych odległości. Jeśli rzeczywisty czas hamowania jest dłuższy niż zakładany, odległości ochronne są nieprawidłowe i projekt wymaga korekty.

ISO 10218-2 wymaga też potwierdzenia, że wszystkie wejścia wywołujące stop – E-stop, blokady osłon, skanery, maty naciskowe – skutkują właściwym typem stopu w każdym trybie pracy: automatic, manual, teach i maintenance. To oznacza, że testy nie kończą się na jednym trybie pracy.

Wskazówka: Przy pomiarach czasu zatrzymania używaj sprzętu pomiarowego podłączonego bezpośrednio do sygnałów sterownika, a nie tylko zewnętrznego stopera. Różnica między czasem reakcji logiki bezpieczeństwa a czasem rzeczywistego zatrzymania ruchu TCP może być większa niż zakładasz – szczególnie przy dużych inercjach kinetycznych ramienia z narzędziem.

Monitorowanie prędkości i ograniczanie przestrzeni – SLS i soft limits

Funkcja SLS (Safety-rated Limited Speed) nadzoruje, czy prędkość TCP nie przekracza zadanego limitu. W trybach manualnych i teach prędkość TCP nie może przekraczać 250 mm/s – to wartość wynikająca wprost z ISO 10218-1. Natomiast w aplikacjach kolaboracyjnych limit może być niższy, zależnie od wyników analizy ryzyka i scenariusza SSM.

Walidacja SLS obejmuje:

  • Zmierzenie rzeczywistej prędkości TCP przy zadanym limicie bezpieczeństwa (np. 250 mm/s lub wartości wynikającej z analizy ryzyka).
  • Test zachowania przy celowym wymuszeniu przekroczenia limitu – potwierdzenie, że system przechodzi do protective stop w czasie zgodnym z obliczeniami.
  • Weryfikację, że safety-rated soft axis/space limiting zatrzymuje ruch przed osiągnięciem fizycznych granic celi lub elementów wyposażenia.

Ten ostatni punkt jest często pomijany. Konfiguracja stref kartezjańskich i limitów osi w sterowniku bezpieczeństwa musi odpowiadać rzeczywistej geometrii celi – z uwzględnieniem tolerancji mechanicznych montażu i błędów kalibracji narzędzia. Błędna kalibracja TCP może sprawić, że strefa bezpieczeństwa jest przesunięta względem rzeczywistego zasięgu robota.

Speed and Separation Monitoring (SSM) – monitorowanie odległości w czasie rzeczywistym

SSM to tryb współpracy, w którym robot zmienia prędkość lub zatrzymuje się w zależności od odległości od operatora, mierzonej w czasie rzeczywistym przez czujniki – skanery laserowe lub kamery ToF/RGB-D. Minimalna odległość ochronna jest wyznaczana analogicznie do normy ISO 13855, z uwzględnieniem prędkości robota, prędkości operatora, czasu reakcji czujnika i całego łańcucha logiki bezpieczeństwa oraz niepewności pomiaru.

Walidacja SSM musi obejmować metodyczną kampanię testową. Nie wystarczy sprawdzić jednego scenariusza wejścia do strefy.

Zakres testów SSM:

  • Pomiar czasu reakcji pełnego łańcucha sygnałowego: czujnik → logika bezpieczeństwa → sterownik robota → napędy → zatrzymanie.
  • Eksperymentalne potwierdzenie odległości zatrzymania przy maksymalnej dopuszczalnej prędkości robota i modelowanej prędkości operatora.
  • Scenariusze wejścia operatora w różnych kierunkach, z różną postawą ciała (pochylenie, skręt) – weryfikacja, że czujniki wykrywają operatora niezależnie od orientacji.
  • Przypadki częściowego zasłonięcia pola widzenia czujnika przez elementy celi (regały, stanowiska, sam robot).
  • Testy odporności na fałszywe negatywy – czarna odzież robocza, odbicia od metalicznych powierzchni, obecność oparów lub pyłu w dopuszczalnych warunkach użytkowania.

Błędne założenia dotyczące zakresu widzenia czujników lub ich czasu reakcji to jeden z najczęstszych powodów rozbieżności między obliczonym a rzeczywistym poziomem bezpieczeństwa systemu SSM. Dobór środków redukcji ryzyka w robotyce musi uwzględniać te ograniczenia już na etapie projektowania, bo ich wpływ ujawnia się dopiero podczas walidacji.

Power and Force Limiting (PFL) – walidacja biomechaniczna

PFL to tryb współpracy oparty na ograniczeniu siły i momentu robota tak, aby nawet przy bezpośrednim kontakcie z operatorem nie doszło do urazu. Walidacja tego trybu jest najbardziej wymagająca spośród wszystkich – wymaga fizycznych pomiarów siły i ciśnienia nacisku na ciele człowieka, które następnie porównuje się z limitami z tabel ISO/TS 15066 (wchłoniętej do ISO 10218-2:2025).

ISO/TS 15066 definiuje limity dla 29 punktów ciała. Wartości różnią się dla kontaktu przejściowego (transient, krótkotrwałe uderzenie) i kontaktu quasi-statycznego (clamping, zakleszczenie). Limity quasi-statyczne są o 40–65% niższe niż limity dla kontaktu przejściowego – co oznacza, że scenariusz zakleszczenia operatora między robotem a stałym elementem celi jest znacznie bardziej restrykcyjny niż samo uderzenie.

Procedura walidacji PFL obejmuje:

  • Pomiary siły i ciśnienia przy reprezentatywnych scenariuszach kontaktu – różne punkty ciała, różne orientacje narzędzia, obecność lub brak podparcia ciała (np. uderzenie w ramię uniesione w powietrzu vs zakleszczenie dłoni przy blacie stołu).
  • Porównanie wyników ze stosownymi limitami z tabel ISO/TS 15066 dla każdego testowanego segmentu ciała.
  • Odrębne testy dla scenariuszy quasi-statycznych – z niższymi progami dopuszczalnymi.
  • Jeśli stosuje się modele symulacyjne do ograniczenia liczby testów fizycznych – kalibrację modeli na podstawie pomiarów rzeczywistych.
Może Cię zainteresować:  Walidacja bezpieczeństwa maszyn i robotów: normy i proces

Dokumentacja PFL musi wykazać ścisły związek między parametrami sterownika (limity momentów, przyspieszeń, funkcje wykrywania kolizji), parametrami mechanicznymi efektora (masa, kształt, materiały amortyzujące) a wynikami pomiarów biomechanicznych. Żadna przewidywalna sytuacja kontaktu – w tym kontakt z narzędziem lub trzymanym detalem – nie może przekraczać odpowiednich limitów dla danej części ciała.

Safety-rated monitored stop (SRMS) i hand guiding

SRMS to monitorowany postój robota – robot pozostaje pod zasilaniem, ale jest w bezpiecznym zatrzymaniu pod nadzorem, gdy operator przebywa w przestrzeni kolaboracyjnej. Każdy wykryty ruch robota podczas postoju musi skutkować natychmiastowym protective stop. ISO 10218-1/2 przypisuje tej funkcji wymagany poziom PL d lub wyższy.

Hand guiding – prowadzenie ręczne – wymaga trójpozycyjnego urządzenia zezwalającego (deadman), przy czym ruch robota jest możliwy wyłącznie w pozycji środkowej urządzenia. Zwolnienie lub ściśnięcie powoduje natychmiastowy stop. Prędkość TCP musi być bezpiecznie nadzorowana i ograniczona do wartości wynikającej z analizy ryzyka (typowo 250 mm/s lub mniej).

Walidacja SRMS i hand guiding obejmuje empiryczne sprawdzenie, że ruch robota jest niemożliwy, gdy:

  • Urządzenie prowadzenia nie jest w pozycji środkowej.
  • Czujniki wskazują obecność operatora w strefie wymagającej postoju.
  • System zgłasza błąd diagnostyczny – uszkodzenie enkodera, utrata czujnika, problem z zasilaniem.

Testy powinny obejmować też próby obejścia redundantnej architektury – symulację sklejenia styków lub zwarcia kanałów w zakresie dopuszczalnym przez producenta i procedury testowe, aby potwierdzić, że diagnostyka działa skutecznie.

Jak wygląda proces walidacji – od analizy ryzyka do dokumentacji?

Walidacja nie jest izolowanym etapem, który można przeprowadzić w dowolnym momencie. Ma precyzyjnie określone miejsce w sekwencji działań prowadzących do uruchomienia stanowiska. Etapy prowadzące do walidacji wyglądają następująco:

  1. Przeprowadzenie oceny ryzyka dla robota zgodnie z ISO 12100 – identyfikacja zagrożeń, ocena ryzyka, dobór funkcji bezpieczeństwa.
  2. Przypisanie wymaganego PLr lub SILr każdej funkcji bezpieczeństwa na podstawie wyników oceny ryzyka.
  3. Projekt systemu sterowania bezpieczeństwem (SRP/CS) z doborem architektury (kategoria B, 1, 2, 3, 4) i elementów spełniających wymagania MTTFd, DCavg i CCF.
  4. Weryfikacja obliczeniowa – ISO 13849-1 lub IEC 62061 – potwierdzenie, że PLa ≥ PLr lub PFHd ≤ wymagany PFHd dla SILr.
  5. Budowa celi i integracja wszystkich elementów SRP/CS z certyfikowanymi funkcjami bezpieczeństwa sterownika robota.
  6. Walidacja funkcjonalna – testy fizyczne na działającej celi zgodnie z ISO 13849-2 i ISO 10218-2.
  7. Dokumentacja i archiwizacja wyników – warunek konieczny do odbioru stanowiska.

ISO 10218-2 wymaga, żeby wyniki testów były udokumentowane i przechowywane przez cały czas eksploatacji stanowiska. Dokumentacja powinna zawierać wyniki pomiarów czasów i dróg hamowania, potwierdzenie pokrycia stref przez czujniki, wyniki testów logiki bezpieczeństwa we wszystkich trybach pracy oraz – dla aplikacji PFL – wyniki pomiarów biomechanicznych.

Dla złożonych celi z wieloma robotami, bezpiecznymi sieciami polowymi lub rozproszonym I/O bezpieczeństwa warto rozważyć ścieżkę IEC 62061 zamiast ISO 13849, ponieważ lepiej pokrywa złożone architektury elektroelektroniczne i programowalne. W takich projektach bezpieczeństwo funkcjonalne w robotyce wymaga uwzględnienia nie tylko sprzętowych kanałów bezpieczeństwa, ale też oprogramowania bezpieczeństwa i jego testowania.

testowanie procedur awaryjnych robota

Kto może przeprowadzić walidację funkcji bezpieczeństwa?

Walidację może przeprowadzić integrator systemu, producent stanowiska lub wyspecjalizowany inżynier bezpieczeństwa maszyn – pod warunkiem posiadania odpowiedniej wiedzy z zakresu stosowanych norm i umiejętności obsługi sprzętu pomiarowego. ISO 10218-2 nie narzuca obowiązkowej akredytacji zewnętrznej jednostki do przeprowadzenia testów walidacyjnych, ale IEC 62061 wymaga niezależności ról: osoba przeprowadzająca walidację powinna być odrębna od osoby projektującej system.

W praktyce oznacza to, że inżynier, który zaprojektował logikę bezpieczeństwa, nie powinien być jednocześnie jedyną osobą potwierdzającą jej poprawność podczas walidacji. Niezależność nie musi oznaczać zewnętrznej firmy – może być to inna osoba w tym samym zespole, o ile ma wystarczającą wiedzę i kompetencje, by samodzielnie ocenić wyniki testów.

W przypadku stanowisk wprowadzanych na rynek UE walidacja jest częścią procesu oceny zgodności maszyny z dyrektywą maszynową (2006/42/WE, docelowo rozporządzeniem maszynowym 2023/1230). Wyniki walidacji wchodzą do dokumentacji technicznej maszyny i są podstawą do wystawienia deklaracji zgodności WE. To oznacza, że nierzetelna lub niekompletna walidacja funkcji bezpieczeństwa robota niesie ze sobą odpowiedzialność prawną producenta lub integratora.

Jakie narzędzia są potrzebne do walidacji?

Walidacja wymaga zarówno narzędzi analitycznych (używanych na etapie weryfikacji), jak i sprzętu pomiarowego do testów fizycznych.

Narzędzia analityczne stosowane przy weryfikacji przed walidacją fizyczną:

  • SISTEMA – oprogramowanie TÜV Rheinland do obliczeń PLa zgodnie z ISO 13849-1; weryfikuje kategorie, MTTFd, DCavg i CCF.
  • Tabele i biblioteki producentów (np. Omron, IDEC, Pilz, Sick) – dane B10d i MTTFd dla konkretnych elementów SRP/CS.
  • Kalkulatory PFHd dla ścieżki IEC 62061 – wyznaczenie prawdopodobieństwa niebezpiecznego uszkodzenia na godzinę dla całego systemu.

Sprzęt pomiarowy stosowany podczas testów fizycznych:

  • Analizator czasów zatrzymania – mierzy czas od sygnału wyzwolenia stopu do pełnego zatrzymania ruchu; podłączany do sygnałów sterownika i enkoderów.
  • Siłomierz kolaboracyjny / dynamometr z czujnikiem nacisku (np. typ ISO/TS 15066-kompatybilny) – do pomiarów siły i ciśnienia przy walidacji PFL.
  • Dalmierz laserowy lub systemy śledzenia pozycji – weryfikacja rzeczywistej geometrii stref bezpiecznych i pozycji czujników SSM.
  • Oscyloskop lub rejestrator danych – rejestracja przebiegów sygnałów bezpieczeństwa w czasie, przydatna przy analizie czasów reakcji łańcucha SSM.
  • Narzędzia diagnostyczne sterownika bezpieczeństwa – potwierdzenie stanów logicznych funkcji bezpieczeństwa w poszczególnych trybach pracy.

Wskazówka: Do pomiarów PFL używaj siłomierza, który rejestruje osobno siłę uderzenia (peak force) i wartość ciśnienia nacisku (pressure), a nie tylko jedną z nich. ISO/TS 15066 definiuje limity dla obu wielkości niezależnie, a dla wielu segmentów ciała to właśnie nacisk, a nie siła bezwzględna, decyduje o przekroczeniu progu dopuszczalnego.

Jakie błędy najczęściej wykrywa się podczas walidacji?

Walidacja w wielu projektach ujawnia rozbieżności, których nie widać na etapie projektowania. Z mojego doświadczenia wynika, że te same typy problemów pojawiają się regularnie.

Może Cię zainteresować:  Analiza ryzyka robota przemysłowego: zagrożenia, normy i kroki

Błędy wykrywane podczas walidacji funkcji bezpieczeństwa robota:

  • Zawyżone czasy hamowania w obliczeniach projektowych – rzeczywisty czas zatrzymania przy pełnym obciążeniu nominalnym i maksymalnej prędkości jest dłuższy niż wartość przyjęta do wymiarowania bezpiecznych odległości, co sprawia, że strefa ochronna jest zbyt mała.
  • Niekompletne pokrycie stref przez czujniki SSM – pola martwe wynikające z geometrii celi (kolumny, stanowiska, elementy wyposażenia) tworzą obszary, których skaner laserowy nie widzi; operator może wejść do strefy zagrożenia bez wywołania stopu.
  • Błędna konfiguracja stref kartezjańskich – strefa bezpieczna w sterowniku jest przesunięta względem rzeczywistej geometrii celi z powodu błędu kalibracji narzędzia lub nieprecyzyjnego montażu robota.
  • Brak testów we wszystkich trybach pracy – funkcja działa poprawnie w trybie automatic, ale w trybie teach lub maintenance jej zachowanie jest inne niż wymagane normą.
  • Pominięcie scenariuszy quasi-statycznych przy PFL – testy uwzględniają tylko kontakt przejściowy, tymczasem w aplikacji istnieje możliwość zakleszczenia operatora, co wymaga spełnienia niższych limitów biomechanicznych.
  • Mostkowanie obwodów diagnostycznych – podczas uruchomienia lub serwisu ktoś zablokował sygnał diagnostyczny tymczasowym zworem, który pozostał w celi produkcyjnej i nie został usunięty przed walidacją.
  • Niespójność architektury z obliczeniami – w projekcie SISTEMA założono kategorię 3 (redundancja z monitorowaniem krzyżowym), ale w rzeczywistej celi nie jest realizowane monitorowanie krzyżowe kanałów, co obniża faktyczny PLa.

Bezpieczne projektowanie celi zrobotyzowanej powinno minimalizować ryzyko wystąpienia tych błędów już na etapie projektu, ale walidacja jest momentem, w którym każdy z nich powinien zostać wykryty i usunięty – przed dopuszczeniem stanowiska do pracy.

Kiedy powtórzyć walidację – wymagania cyklu życia

Walidacja nie jest jednorazowym zdarzeniem. ISO 10218-2 i IEC 62061 wymagają zarówno okresowych testów funkcji bezpieczeństwa w trakcie eksploatacji, jak i ponownej oceny po każdej modyfikacji stanowiska.

Zdarzenia wymagające ponownej oceny wpływu na bezpieczeństwo i ewentualnego powtórzenia testów:

  • Zmiana narzędzia lub chwytaka – inna masa efektora zmienia energię kinetyczną i czasy hamowania; inne wymiary geometryczne zmieniają zasięg robota i możliwe scenariusze kontaktu.
  • Zmiana masy detalu – przy PFL ma bezpośredni wpływ na siłę kontaktu; przy SSM zmienia inercję i czas hamowania.
  • Modyfikacja programu robota – nowe ścieżki ruchu mogą zbliżać TCP do stref, które wcześniej nie były zagrożone; inne prędkości zmienią rzeczywiste czasy hamowania.
  • Zmiana konfiguracji logiki bezpieczeństwa – modyfikacja parametrów SLS, stref kartezjańskich lub progów SSM wymaga potwierdzenia, że nowe wartości są poprawne.
  • Zmiana położenia lub konfiguracji czujników – przesuniecie skanera laserowego lub kamery SSM może zmienić pokrycie stref i czasy reakcji łańcucha.
  • Wymiana elementu SRP/CS – montaż innego modelu czujnika, przekaźnika bezpieczeństwa lub modułu I/O wymaga sprawdzenia, czy parametry nowego elementu nie zmieniają PLa/SILa całego łańcucha.

Dla testów okresowych przyjmuje się co najmniej coroczne potwierdzenie działania E-stopów, blokad, skanerów i monitorów prędkości, choć właściwa częstotliwość powinna wynikać z analizy ryzyka konkretnego stanowiska. Wyniki każdego testu należy dokumentować – tworzą one historię funkcjonowania systemu bezpieczeństwa, która jest niezbędna zarówno przy audytach, jak i przy analizie ewentualnych zdarzeń wypadkowych.

W zaawansowanych aplikacjach, szczególnie przy SSM z kamerami RGB-D i adaptacyjnym sterowaniem robota, walidacja ma charakter iteracyjny: model zachowania → testy fizyczne z operatorami → korekta parametrów stref i progów stopu → ponowne testy. Każda iteracja musi być udokumentowana tak samo rygorystycznie jak walidacja pierwotna.

Podsumowanie

Walidacja funkcji bezpieczeństwa robota to proces wymagający połączenia wiedzy obliczeniowej z rzetelnym podejściem do testów fizycznych na działającym stanowisku. Samo spełnienie wymagań na papierze – poprawne obliczenia PL lub SIL – nie zastępuje eksperymentalnego potwierdzenia rzeczywistych czasów hamowania, pokrycia stref przez czujniki i poprawności logiki bezpieczeństwa we wszystkich trybach pracy. Walidacja obejmuje funkcje zatrzymania, monitorowanie prędkości i przestrzeni, SSM oraz biomechaniczne pomiary dla PFL. Wyniki muszą być udokumentowane, archiwizowane i aktualizowane po każdej modyfikacji stanowiska. To właśnie ta dokumentacja jest podstawą do odbioru celi i wystawienia deklaracji zgodności.

FAQ

Q: Czy walidacja funkcji bezpieczeństwa jest obowiązkowa przed pierwszym uruchomieniem stanowiska z robotem?

A: Tak. ISO 10218-2 wprost nakłada obowiązek przeprowadzenia i udokumentowania testów wszystkich funkcji bezpieczeństwa przed dopuszczeniem celi do produkcji. Bez walidacji stanowisko nie spełnia wymagań normy.

Q: Czy certyfikat robota od producenta (np. PL d wg ISO 10218-1) zwalnia integratora z walidacji?

A: Certyfikat producenta obejmuje funkcje bezpieczeństwa wbudowane w sterownik robota. Integrator musi osobno zwalidować cały łańcuch bezpieczeństwa celi, łącznie z zewnętrznymi SRP/CS i ich integracją z funkcjami robota.

Q: Jak często należy przeprowadzać okresowe testy funkcji bezpieczeństwa w eksploatacji?

A: Częstotliwość powinna wynikać z analizy ryzyka. Przyjmuje się co najmniej coroczne testowanie E-stopów, blokad i skanerów, ale dla stanowisk wysokiego ryzyka lub przy intensywnej eksploatacji może być wymagana wyższa częstotliwość.

Q: Czy do walidacji PFL trzeba angażować rzeczywistych operatorów jako uczestników testów?

A: Testy siły i nacisku przeprowadza się z użyciem siłomierza i czujnika nacisku – nie wymaga to bezpośredniego kontaktu z ciałem człowieka. Scenariusze kontaktu modeluje się geometrycznie, a wyniki porównuje z limitami ISO/TS 15066.

Q: Co się dzieje, jeśli podczas walidacji wynik testu nie spełnia wymaganego PLr?

A: Stanowisko nie może zostać dopuszczone do produkcji. Wymagana jest korekta projektu – zmiana architektury, parametrów napędów, stref ochronnych lub elementów SRP/CS – a następnie powtórzenie zarówno weryfikacji obliczeniowej, jak i testów fizycznych.

Weryfikacja i redakcja

Za redakcję i weryfikację artykułu odpowiadają:

Joanna Lewandowska

Joanna Lewandowska. Specjalistka ds. automatyki i integracji. Absolwentka kierunku Automatyka i Robotyka na Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie.

Piotr Woźniak

Piotr Woźniak. Doświadczony redaktor technologiczny. Absolwent kierunku Dziennikarstwo i Komunikacja Społeczna na Uniwersytecie Warszawskim.

Marek Zieliński
Marek Zieliński

Od początku kariery zajmuje się uruchamianiem i usprawnianiem stanowisk zautomatyzowanych w środowisku produkcyjnym. Pracował przy wdrożeniach obejmujących integrację robotów, konfigurację logiki pracy oraz optymalizację przepływu procesu po uruchomieniu stanowiska. Najlepiej odnajduje się tam, gdzie potrzebne jest połączenie wiedzy technicznej z praktycznym zrozumieniem realiów hali produkcyjnej.

zobacz wszystkie wpisy

Więcej ciekawych wpisów

Opublikuj komentarz