przyciski awaryjne E-STOP w robotyce
Bezpieczeństwo

Przyciski awaryjne E-STOP w robotyce: normy, montaż i dobór

13 minut czytania

Przyciski awaryjne E-STOP to jeden z tych elementów stanowiska zrobotyzowanego, który musi zadziałać bezbłędnie za każdym razem – nawet jeśli nigdy wcześniej nie był potrzebny. Czerwony grzybek na żółtym tle jest czymś więcej niż tylko sygnalizatorem: to fizyczny element obwodu bezpieczeństwa, którego architektura, rozmieszczenie i integracja z układem sterowania wynikają z konkretnych wymagań normatywnych. Ten artykuł jest przeznaczony dla inżynierów automatyki, integratorów systemów robotycznych i specjalistów ds. bezpieczeństwa maszyn, którzy projektują stanowiska z robotami lub weryfikują zgodność istniejących instalacji. Znajdziesz tu wszystko, co potrzebne do zrozumienia, jak poprawnie zaprojektować, dobrać i zwalidować funkcję E-STOP w komórce z robotem przemysłowym lub współpracującym.

Najważniejsze informacje z tego artykułu:

  • E-STOP to funkcja zatrzymania awaryjnego realizowana w kategorii 0 lub 1 wg IEC 60204-1, a jej wymagania definiuje norma ISO 13850 – kategoria 2 jest dla E-STOP wykluczona.
  • Minimalne wymagane Performance Level dla E-STOP to PLr c, jednak dla robotów z wysoką energią ruchu stosuje się PLr d lub e w architekturze Cat. 3 lub Cat. 4.
  • E-STOP musi być niezależny od logiki standardowego PLC – fizyczne odcięcie energii napędów (STO, styczniki bezpieczeństwa) jest wymogiem normatywnym, a nie opcją.
  • Przyciski awaryjne należy rozmieszczać przy każdym wejściu do strefy robota i przy stanowiskach ręcznej interwencji, tak żeby czas reakcji operatora wynosił poniżej 1 sekundy.
  • Po zadziałaniu E-STOP wymagany jest ręczny reset wykonany przez operatora ze stanowiska z widokiem na strefę pracy – automatyczny restart jest normatywnie niedopuszczalny.
W artykule: Pokaż

Czym są przyciski awaryjne E-STOP w robotyce i jak działają?

E-STOP, czyli Emergency Stop, to funkcja zatrzymania awaryjnego o bezwzględnym priorytecie nad wszystkimi innymi funkcjami sterowania robotem. Nie jest to zwykła pauza programu ani zatrzymanie technologiczne – to fizyczna ingerencja w obwód zasilania napędów, której celem jest możliwie szybkie doprowadzenie robota do stanu bezpiecznego po wystąpieniu zagrożenia. Norma ISO 13850 definiuje E-STOP jako funkcję bezpieczeństwa inicjowaną ręcznie, jednym działaniem, nadrzędną wobec wszystkich trybów pracy maszyny.

Sama zasada działania opiera się na dwukanałowym obwodzie bezpieczeństwa. Naciśnięcie przycisku przerywa oba kanały jednocześnie, co sygnalizuje modułowi bezpieczeństwa (przekaźnikowi lub sterownikowi safety PLC) konieczność natychmiastowego wysterowania odcięcia energii w napędach robota. Ten sygnał trafia do wejść STO (Safe Torque Off) serwonapędów lub do cewek bezpieczeństwa, które otwierają tory mocy. Od tego momentu robot nie może wznowić ruchu bez świadomego działania operatora.

Warto już na wstępie rozróżnić trzy funkcje, które w praktyce bywają mylone:

  • E-STOP – zatrzymanie awaryjne z odcięciem energii napędów, wymagające ręcznego resetu; regulowane przez ISO 13850.
  • Protective Stop – zatrzymanie ochronne inicjowane automatycznie przez urządzenia ochronne, np. kurtyny świetlne lub skanery bezpieczeństwa; może nie odcinać energii.
  • Emergency Off – awaryjne odłączenie zasilania elektrycznego jako ochrona przed porażeniem i łukiem elektrycznym; regulowane przez IEC 60364-5-53, niezwiązane z ISO 13850 i bez wymogu określonego PL.

Mylenie E-STOP z Emergency Off to błąd projektowy, który może kosztować certyfikację maszyny. Emergency Off chroni przed skutkami elektrycznymi, E-STOP chroni przed ruchem mechanicznym – to dwie odrębne funkcje bezpieczeństwa, wynikające z różnych zagrożeń i regulowane przez inne normy.

Z perspektywy statystyk wypadkowych ten element systemu bezpieczeństwa ma wymierny wpływ na skutki zdarzeń niebezpiecznych. Analizy przeprowadzone przez OSHA i NIOSH wskazują, że ponad 60–70% wypadków śmiertelnych z udziałem robotów przemysłowych zdarza się podczas prac serwisowych, programowania lub usuwania zakleszczeń – a więc właśnie w tych chwilach, gdy operator jest blisko robota i gdy dostępność E-STOP ma bezpośrednie znaczenie dla bezpieczeństwa jego życia.

Wskazówka: Nie projektuj obwodu E-STOP jako rozszerzenia logiki standardowego PLC. Nawet jeśli sterownik procesowy ma odpowiednie wyjścia, fizyczna ścieżka zatrzymania awaryjnego musi przebiegać przez dedykowany tor bezpieczeństwa – przekaźnik bezpieczeństwa lub certyfikowany sterownik safety PLC.

Czym różni się E-STOP od zwykłego zatrzymania robota?

To jedno z częściej zadawanych pytań na etapie projektu komórki i odpowiedź ma bezpośrednie konsekwencje dla architektury układu sterowania. Zwykłe zatrzymanie robota – pauza programu, stop technologiczny po zakończeniu cyklu czy zatrzymanie z rampą prędkości – to funkcje sterowania procesem. Działają w warstwie oprogramowania, mogą być inicjowane automatycznie, nie wymagają ręcznego resetu i nie wiążą się z odcięciem zasilania napędów.

E-STOP działa w zupełnie innej warstwie. Jego działanie jest niezależne od stanu logiki programu – nawet jeśli sterownik główny przestanie odpowiadać, fizyczny obwód bezpieczeństwa musi zachować zdolność do zatrzymania ruchu robota. Dlatego właśnie ISO 13850 i IEC 60204-1 zabraniają realizowania funkcji awaryjnej wyłącznie przez komendę softwareową wysłaną do kontrolera robota.

Różnice zestawione tabelarycznie:

CechaZwykłe zatrzymanie (operacyjne)E-STOP
InicjowanieAutomatyczne lub ręczneWyłącznie ręczne
Kategoria wg IEC 60204-10, 1 lub 20 lub 1 (kat. 2 wykluczona)
Odcięcie energii napędówNie jest wymaganeWymagane (STO lub styczniki)
ResetAutomatyczny lub ręcznyWyłącznie ręczny
Wymagany PLZależy od oceny ryzykaMin. PLr c, dla robotów zwykle PLr d/e
PriorytetPodrzędny wobec innych funkcjiNadrzędny wobec wszystkich funkcji

E-STOP nie może też zastępować zwykłego stopu w codziennej obsłudze maszyny. ISO 13850 explicite zabrania używania funkcji awaryjnej jako środka kontroli operacyjnej – np. do zatrzymywania robota między cyklami. Każde takie użycie skraca trwałość przycisku i może prowadzić do błędów wykrycia stanu przez moduł bezpieczeństwa, co w konsekwencji wpłynie na osiągany poziom PL.

awaryjne wyłączniki robotyka

Jakie kategorie zatrzymania stosuje się w E-STOP dla robotów przemysłowych?

IEC 60204-1 definiuje trzy kategorie zatrzymania maszyn, a wybór właściwej dla obwodu E-STOP ma bezpośrednie konsekwencje mechaniczne i elektryczne dla układu napędowego robota.

Kategoria 0 oznacza natychmiastowe odcięcie zasilania napędów. W robotyce realizuje się ją przez aktywację funkcji STO (Safe Torque Off) bezpośrednio na serwonapędach lub przez otwarcie torów mocy za pomocą styczników bezpieczeństwa. Robot traci moment obrotowy natychmiast – co przy dużej prędkości czy osi pionowej może oznaczać niekontrolowane wybiegi lub opadanie ramienia, jeśli nie ma sprawnych hamulców mechanicznych. Dlatego kategorię 0 stosuje się tam, gdzie bezwładność układu jest mała albo gdzie niezależne hamulce gwarantują zatrzymanie po odcięciu napędu.

Może Cię zainteresować:  Bezpieczeństwo cobotów: normy, ryzyko i wdrożenie BHP

Kategoria 1 pozwala na kontrolowane wyhamowanie – sterownik bezpieczeństwa najpierw nakazuje napędom bezpieczne zatrzymanie zgodnie z profilem hamowania (funkcja SS1 – Safe Stop 1 wg IEC 61800-5-2), a dopiero po zatrzymaniu aktywuje STO i odcina zasilanie. To rozwiązanie preferowane dla robotów o dużej bezwładności, z osiami pionowymi lub z narzędziami, których nagłe zatrzymanie mogłoby spowodować dalsze zagrożenie. ISO 13850 dopuszcza kategorię 1 jako E-STOP pod warunkiem, że z oceny ryzyka wynika, iż kontrolowane hamowanie jest bezpieczniejsze niż natychmiastowe odcięcie energii.

Kategoria 2 – napędy pozostają pod zasilaniem, ruch jest monitorowany i zabroniony (np. funkcja SOS – Safe Operating Stop). ISO 13850 explicite wyklucza kategorię 2 z realizacji funkcji E-STOP. Może ona natomiast funkcjonować jako Safety-Rated Monitored Stop (SRMS) w cobotach, np. gdy czujniki bezpieczeństwa wykryją obecność człowieka w strefie współpracy i robot zatrzymuje się bez odcinania zasilania, by po chwili móc wznowić pracę. To ważne rozróżnienie: SRMS to nie E-STOP i nie może go zastępować.

Wskazówka: Jeśli robot pracuje z osiami pionowymi lub z chwytakami utrzymującymi ciężkie detale, przeprowadź analizę FMEA dla scenariusza awarii napędu podczas hamowania w kategorii 1 – sprawdź, czy w razie błędu oprogramowania bezpieczeństwa lub uszkodzenia napędu robot nie utraci kontroli nad pozycją w sposób powodujący dodatkowe zagrożenie.

Jakie normy określają wymagania dla E-STOP w stanowiskach zrobotyzowanych?

Projektując obwód zatrzymania awaryjnego w komórce z robotem, masz do czynienia z kilkoma poziomami wymagań normatywnych, które nakładają się na siebie.

Podstawowy zestaw norm wygląda następująco:

  • ISO 13850 – definiuje funkcję E-STOP: ręczne uruchomienie jednym działaniem, nadrzędność nad wszystkimi funkcjami sterowania, brak automatycznego restartu, kategoria zatrzymania 0 lub 1, minimalny wymagany PLr c.
  • IEC 60204-1 – określa wymagania elektryczne dla wyposażenia maszyn, w tym zasady odłączania zasilania, kategorie zatrzymania i architekturę obwodów.
  • ISO 13849-1 – definiuje Performance Level (PL) i kategorie architektury (Cat. 1–4) dla elementów systemów sterowania związanych z bezpieczeństwem; stanowi podstawę do obliczania PL dla obwodu E-STOP.
  • IEC 62061 – alternatywne podejście do oceny funkcji bezpieczeństwa przez pryzmat SIL (Safety Integrity Level); stosowane zamiennie lub równolegle z ISO 13849-1.
  • ISO 10218-1 – norma dedykowana robotom przemysłowym, nakazująca wyposażenie kontrolera w wejścia E-STOP i Protective Stop oraz definiująca ich wymagane właściwości.
  • IEC 61800-5-2 – definiuje zintegrowane funkcje bezpieczeństwa napędów (STO, SS1, SOS, SLS i inne), na których opiera się realizacja kategorii zatrzymania.

Minimalny wymagany poziom PLr dla E-STOP to c (SIL 1), jednak dla robotów przemysłowych o wysokiej energii ruchu standardem branżowym jest PLr d lub e, realizowany w architekturze kategorii 3 lub 4 wg ISO 13849-1. Wynika to wprost z oceny ryzyka – im wyższe zagrożenie (duża masa ramienia, duże prędkości, bliskość operatora), tym wyższy wymagany poziom nienaruszalności funkcji bezpieczeństwa.

Kategoria architektury 3 zakłada redundancję – dwa niezależne kanały, które w przypadku pojedynczej usterki nadal zapewniają działanie funkcji bezpieczeństwa, a sama usterka musi być wykryta przy następnym żądaniu. Kategoria 4 idzie dalej: usterka musi być wykryta natychmiast (lub przed kolejnym żądaniem funkcji), a system musi zachować działanie przy pojedynczej usterce i jej kumulacji. W praktyce obwody E-STOP dla typowych robotów przemysłowych projektuje się właśnie w Cat. 3 lub Cat. 4, z dwukanałowymi wejściami do modułu bezpieczeństwa i monitorowaniem obu kanałów.

awaryjne wyłączenie robotów

Jak zaprojektować obwód E-STOP w komórce z robotem?

Architektura obwodu zaczyna się od wyboru elementu wykonawczego po stronie mocy i logicznego centrum bezpieczeństwa. Wszystkie przyciski E-STOP w komórce łączy się szeregowo w dwukanałowym łańcuchu styków normalnie zamkniętych (NC), który zasila wejścia przekaźnika bezpieczeństwa lub certyfikowanego sterownika safety PLC. Ten z kolei wysterowuje dwukanałowo cewki styczników bezpieczeństwa lub bezpośrednio wejścia STO serwonapędów robota.

Schemat przepływu sygnału wygląda następująco:

  1. Przyciski E-STOP (PB1–PBn) połączone szeregowo w dwóch niezależnych kanałach.
  2. Sygnały wchodzą na wejścia S11–S12 i S21–S22 modułu bezpieczeństwa.
  3. Moduł analizuje stan obu kanałów, detektuje zwarcia międzykanałowe i asymetrię czasową.
  4. Po wykryciu zadziałania E-STOP moduł otwiera wyjścia 13–14 i 23–24, co odcina zasilanie cewek styczników bezpieczeństwa i/lub wejść STO napędów.
  5. Robot traci możliwość ruchu; sygnał o stanie bezpieczeństwa jest przekazywany do kontrolera robota i do logiki linii.

Stosowane elementy wymagają spełnienia określonych właściwości. Styczniki bezpieczeństwa muszą mieć wymuszoną prowadnicę styków (forced-guided contacts) wg EN/IEC 60947-4-1, co oznacza mechaniczne powiązanie styków głównych i pomocniczych – jeśli styk główny nie otworzy się z powodu zespawania, styk pomocniczy nie zamknie się, a moduł bezpieczeństwa wykryje usterkę. Przekaźnik bezpieczeństwa lub sterownik bezpieczeństwa musi być certyfikowany do osiąganego poziomu PL.

Kilka zasad, których nie wolno pominąć przy projektowaniu:

  • Tor E-STOP musi być fizycznie niezależny od logiki standardowego PLC – nawet awaria sterownika procesowego nie może uniemożliwić zadziałania funkcji awaryjnej.
  • Detekcja zwarcia międzykanałowego jest obowiązkowa przy Cat. 3 i Cat. 4 – moduł bezpieczeństwa musi wykryć stan, w którym oba kanały są zwarte razem.
  • Czas rozbieżności między kanałami (asymetria przy zwalnianiu przycisku) musi mieścić się w parametrach modułu bezpieczeństwa – zwykle kilkadziesiąt milisekund.
  • Zasilanie pomocnicze osi dodatkowych (przenośniki, chwytaki elektryczne, stacje obrotowe) powinno być objęte tym samym obwodem E-STOP co napędy robota – żeby zapobiec ruchowi innych elementów po zatrzymaniu ramienia.
  • Dla złożonych systemów z wieloma robotami: określ na etapie projektu, czy E-STOP ma charakter globalny (zatrzymuje całą komórkę) czy strefowy – i jeśli strefowy, upewnij się, że rozmieszczenie i oznakowanie przycisków jednoznacznie wskazuje zakres działania każdego z nich.

Gdzie rozmieszczać przyciski awaryjne przy stanowiskach z robotami?

Rozmieszczenie to jeden z obszarów, w którym audyty bezpieczeństwa najczęściej wykazują niezgodności – raporty integratorów wskazują, że na 20–30% stanowisk przyciski E-STOP są zasłonięte, zbyt oddalone od strefy pracy lub brakuje im jednoznacznego oznakowania. Tymczasem czas reakcji operatora ma tu bezpośrednie znaczenie: przycisk dostępny w zasięgu ręki pozwala zareagować poniżej 1 sekundy, podczas gdy konieczność dojścia do szafy sterowniczej wydłuża ten czas do kilku sekund – a to wystarczy, żeby doszło do zderzenia.

Może Cię zainteresować:  Sterownik bezpieczeństwa do robota — jaki wybrać? Modele, ceny i kompatybilność

ISO 13850 i IEC 60204-1 wymagają, by E-STOP był łatwo rozpoznawalny i dostępny w każdym miejscu, z którego operator może zostać narażony na zagrożenie. W komórkach zrobotyzowanych oznacza to zazwyczaj:

  • Przycisk na podstawie lub szafie sterowniczej robota – obowiązkowo.
  • Przycisk przy każdym wejściu do wygrodzenia bezpieczeństwa strefy roboczej.
  • Przycisk na teach pendancie – wymagany przez ISO 10218-1, musi być włączony w ten sam obwód bezpieczeństwa co pozostałe przyciski.
  • Przycisk przy każdym stanowisku załadunku/rozładunku, jeśli operator regularnie wchodzi w pobliże strefy ruchu robota.
  • Przycisk na panelu operatorskim HMI, jeśli operator obsługuje maszynę z tego miejsca.

Wygląd przycisku jest normowany. Czerwony grzybek na żółtym tle, symbol IEC 60417-5638 – to standard wynikający z ISO 13850 i IEC 60204-1. Niedopuszczalne jest stosowanie takiego samego wyglądu dla przycisków o innej funkcji, bo może to prowadzić do pomyłki operatora w sytuacji stresu. Przycisk musi działać przez zatrzaśnięcie (samoblokowanie) i musi wymagać świadomego odblokowania – obrotu lub wyciągnięcia – zanim możliwe będzie zresetowanie obwodu.

Jeśli rozważasz osłony mechaniczne wokół przycisków chroniące przed przypadkowym naciśnięciem, sprawdź, czy dana kombinacja przycisku i osłony posiada ocenę zgodności z ISO 13850 – np. certyfikat TÜV. Osłona nie może ograniczać dostępności przycisku w sytuacji awaryjnej.

Jak E-STOP integruje się z układem sterowania i teach pendantem?

Nowoczesny robot przemysłowy ma zazwyczaj trzy źródła sygnału E-STOP, które muszą być połączone w jedną, spójną funkcję bezpieczeństwa:

  • Lokalny przycisk E-STOP – na podstawie robota lub szafie sterowniczej kontrolera.
  • E-STOP na teach pendancie – ręcznym panelu programowania, używanym podczas uczenia i serwisu.
  • Zewnętrzne wejście E-STOP – sygnał z systemu nadrzędnego linii lub komórki, doprowadzony do dedykowanych zacisków bezpieczeństwa kontrolera robota.

Zadziałanie któregokolwiek z tych przycisków musi wywoływać identyczny efekt – niezależnie od źródła sygnału robot musi zatrzymać się tak samo, z tym samym priorytetem i tą samą kategorią zatrzymania.

Integracja z teach pendantem wymaga szczególnej uwagi. Panel teach pendant ma wbudowany przycisk E-STOP i trójpozycyjny przycisk zezwolenia (enabling device). E-STOP na pendancie musi być podłączony do tego samego dwukanałowego łańcucha bezpieczeństwa co pozostałe przyciski – nie może być zrealizowany jako osobny sygnał softwareowy. W trybie uczenia robot działa przy otwartych osłonach, a operator jest blisko ramienia, więc funkcja awaryjna na pendancie jest w tym trybie szczególnie obciążona.

Na poziomie napędów E-STOP jest typowo zmapowany na jedną z dwóch funkcji bezpieczeństwa wg IEC 61800-5-2:

  • SS1 → STO – dla E-STOP kategorii 1: napędy wyhamowują zgodnie z profilem bezpieczeństwa, a po wykryciu braku ruchu aktywuje się STO i odcina zasilanie.
  • STO bezpośrednio – dla E-STOP kategorii 0: natychmiastowe odcięcie momentu obrotowego bez kontrolowanego hamowania.

Jeśli komórka zawiera wiele robotów pracujących jednocześnie, integracja E-STOP z systemem linii musi uwzględniać analizę wspólnych przyczyn awarii (CCF – Common Cause Failure). Awaria jednego toru bezpieczeństwa nie może uniemożliwić zadziałania drugiego toru ani E-STOP innej komórki. Dlatego lokalne obwody bezpieczeństwa poszczególnych komórek i nadrzędny E-STOP linii powinny mieć niezależne zasilanie i odrębną topologię przewodów.

Jakie typy przycisków awaryjnych stosuje się w robotyce i jak dobrać właściwy?

Sam przycisk E-STOP to tylko jeden element obwodu, ale jego dobór musi wynikać z wymagań dla całej funkcji bezpieczeństwa. Parametry techniczne przycisku wpływają bezpośrednio na osiągany MTTFd (Mean Time to dangerous Failure) i na możliwość udokumentowania wymaganego PL.

Typowe wykonania stosowane w komórkach zrobotyzowanych:

  • Przycisk panelowy z grzybkowym stykiem NC – standard dla szaf sterowniczych i paneli operatorskich; dostępny w średnicach 40 mm i 60 mm, z zatrzaskiem obrotowym lub pociąganym.
  • Przycisk z osłoną kołnierzową – zabezpieczenie przed przypadkowym naciśnięciem; stosowany przy stanowiskach z ryzykiem przypadkowego kontaktu z przyciskiem.
  • Przycisk linkowy (rope pull switch) – stosowany przy długich sekcjach przenośników lub dużych komórkach, gdzie operator musi mieć możliwość zatrzymania maszyny z dowolnego miejsca wzdłuż linii produkcyjnej.
  • Bezprzewodowy przycisk E-STOP – rozwiązanie stosowane przy mobilnych platformach lub przy stanowiskach, gdzie kabel utrudniałby pracę; musi spełniać wymagania ISO 13850 z uwzględnieniem wymaganego PL dla komunikacji bezprzewodowej.

Przy doborze przycisku sprawdź następujące parametry:

  • Dane bezpieczeństwa od producenta – MTTFd (wyrażony w latach lub cyklach), B10d (liczba cykli do niebezpiecznej usterki dla elementów mechanicznych); bez tych danych nie obliczysz PL dla obwodu.
  • Liczba styków NC i ich układ – do dwukanałowych obwodów wymagane są dwa niezależne styki NC; upewnij się, że blok styków zapewnia mechaniczne rozdzielenie obu kanałów.
  • Stopień ochrony IP – dla środowisk produkcyjnych zwykle minimum IP65, przy ekspozycji na ciecze chłodnicze lub agresywne substancje rozważ IP67 lub IP69K.
  • Certyfikacja i biblioteka SISTEMA – wielu producentów (np. Pilz, Schmersal, Euchner) dostarcza gotowe bloki do oprogramowania SISTEMA z wypełnionymi danymi bezpieczeństwa, co upraszcza walidację PL dla całego obwodu.

Dobierając przycisk, pamiętaj, że urządzenie samo w sobie nie decyduje o osiąganym PL – dopiero kompletna analiza obwodu, w tym architektura modułu bezpieczeństwa, okablowanie, DCavg i MTTFd wszystkich elementów w kanale, określa realnie osiągany poziom zapewnienia bezpieczeństwa. Narzędziem do tej analizy jest oprogramowanie SISTEMA, rekomendowane w ISO 13849-1 jako metoda obliczeniowa dla obwodów E-STOP.

Jak E-STOP współpracuje z innymi elementami systemu bezpieczeństwa komórki?

E-STOP zajmuje ostatnie miejsce w hierarchii środków ochronnych – to nie oznacza, że jest mniej ważny, ale że dobrze zaprojektowana komórka nie powinna wymagać jego użycia w typowej eksploatacji. Hierarchia wygląda następująco:

  1. Środki konstrukcyjne eliminujące zagrożenie u źródła.
  2. Stałe osłony i bariery fizyczne.
  3. Ruchome osłony blokujące z ryglowaniem wg ISO 14119 → wyzwalają Protective Stop.
  4. Urządzenia optoelektroniczne (kurtyny świetlne, skanery) → wyzwalają SRMS lub Protective Stop.
  5. Maty bezpieczeństwa → wyzwalają Protective Stop.
  6. Monitorowanie bezpiecznej prędkości robota (SSM).
  7. E-STOP – ręczna interwencja operatora w sytuacji zagrożenia.

Ważne: zadziałanie Protective Stop przez kurtynę lub skaner nie może wyłączyć możliwości użycia E-STOP. Logika bezpieczeństwa musi przewidywać, że E-STOP przebi każdy inny stan maszyny – nawet jeśli robot jest już zatrzymany przez inną funkcję ochronną, naciśnięcie E-STOP musi aktywować odcięcie energii i zablokować restart. Dlatego E-STOP jest zwykle zrealizowany w osobnym kanale bezpieczeństwa, który niezależnie od stanu logiki procesowej wysterowuje STO i otwiera tory mocy.

Może Cię zainteresować:  Skanery bezpieczeństwa do robotów: modele, dobór i ceny

W cobotach różnica między warstwami bezpieczeństwa ma dodatkowe znaczenie operacyjne. Gdy czujnik obecności człowieka wykryje wejście do strefy współpracy, cobot może aktywować SRMS (kategoria 2) – zatrzymuje ruch, ale zachowuje zasilanie napędów, co pozwala na szybkie wznowienie po wycofaniu się operatora. E-STOP natomiast wywoła pełne odcięcie energii i zablokuje automatyczny restart. Rozróżnienie tych dwóch poziomów reakcji jest obowiązkowe zarówno w logice bezpieczeństwa, jak i w dokumentacji oceny ryzyka dla robota współpracującego.

Przy projektowaniu obwodu pamiętaj też o zamkach bezpieczeństwa do osłon – ich sygnały powinny trafiać do oddzielnych wejść modułu bezpieczeństwa jako Protective Stop, a nie być łączone z obwodem E-STOP. Mieszanie tych sygnałów komplikuje analizę PL i może powodować problemy z resetem po otwarciu osłony.

Jak walidować i testować funkcję E-STOP w stanowisku zrobotyzowanym?

Walidacja to nie tylko testy funkcjonalne – to udokumentowany proces potwierdzający, że zaprojektowany obwód osiąga wymagany PLr dla wszystkich scenariuszy zagrożeń. ISO 13849-1 i ISO 13849-2 definiują metodykę tej walidacji.

Obliczenia PL dla obwodu E-STOP obejmują:

  • MTTFd każdego elementu w kanale – przycisku, przewodów (pomijane), modułu bezpieczeństwa, stycznika.
  • DCavg – średni poziom pokrycia diagnostycznego; wynika z metod detekcji usterek (monitoring styków pomocniczych, detekcja zwarcia międzykanałowego).
  • Kategorię architektury – Cat. 3 lub Cat. 4 dla typowych robotów przemysłowych.
  • CCF – analiza wspólnych przyczyn awarii; wymagana przy redundantnych kanałach.

Oprogramowanie SISTEMA (dostępne bezpłatnie od BG ETEM/IFA) pozwala wprowadzić dane z kart katalogowych producentów i wyliczyć osiągany PL dla kompletnego obwodu. Wielu producentów komponentów bezpieczeństwa dostarcza gotowe bloki SISTEMA ze swoich produktów, co skraca czas obliczeń.

Testy funkcjonalne, które należy przeprowadzić i udokumentować przed oddaniem stanowiska do eksploatacji:

  • Test każdego przycisku E-STOP – lokalnego, na pendancie, zewnętrznego – przy robocie w ruchu przy maksymalnej prędkości programowej.
  • Weryfikacja czasu zatrzymania – zmierzony czas od naciśnięcia E-STOP do pełnego zatrzymania ramienia robota musi być zgodny z założeniami z oceny ryzyka.
  • Test przejścia SS1 → STO dla E-STOP kategorii 1 – potwierdzenie, że po zakończeniu hamowania napędy rzeczywiście przechodzą w stan STO.
  • Test detekcji zwarcia międzykanałowego – celowe zwarcie obu kanałów; moduł bezpieczeństwa musi wykryć usterkę i uniemożliwić reset.
  • Test braku automatycznego restartu – po odwolaniu E-STOP i wykonaniu resetu elektrycznego sprawdź, czy robot nie wznawia ruchu bez komendy startu z panelu operatorskiego.
  • Test monitoringu styków głównych zewnętrznych – symulacja nieotworzenia się styku (zwykle przez wyłączenie sprzężenia zwrotnego ze styku pomocniczego) i weryfikacja reakcji modułu bezpieczeństwa.

Wskazówka: Testy E-STOP powtarzaj po każdej modyfikacji obwodu bezpieczeństwa, wymianie przycisku lub modułu bezpieczeństwa, a także cyklicznie w ramach planu utrzymania ruchu – dokumentuj wyniki testów z datą i podpisem osoby wykonującej, bo tego wymaga ocena zgodności maszyny.

Oprócz walidacji przy uruchomieniu warto ustalić harmonogram przeglądów cyklicznych. Przyciski E-STOP są elementami mechanicznymi o skończonej trwałości wyrażonej parametrem B10d. Jeśli do obliczeń PL przyjęto określoną liczbę cykli rocznie i odpowiadający jej MTTFd, rzeczywista eksploatacja musi mieścić się w tych założeniach – intensywniejsze użycie przycisku (np. regularne wywoływanie E-STOP zamiast normalnego stopu) przyspiesza zużycie i może obniżyć realnie osiągany PL poniżej wymaganego poziomu.

W kontekście utrzymania sprawności warto też przypomnieć, że szkolenia operatorów mają wymierny wpływ na liczbę incydentów. Raporty branżowe wskazują, że programy szkoleniowe kładące nacisk na prawidłowe użycie E-STOP i procedury lockout/tagout korelują ze spadkiem liczby zdarzeń wymagających interwencji medycznej o kilkanaście do kilkudziesięciu procent w ciągu pierwszych 12 miesięcy od wdrożenia szkoleń. To dane, które warto przytoczyć na etapie uzasadniania budżetu na szkolenia.

Wybierając elementy obwodu i planując walidację, pamiętaj też o funkcji Safe Stop w robotach przemysłowych – jej prawidłowa konfiguracja w napędach jest warunkiem koniecznym do osiągnięcia wymaganego PL dla E-STOP kategorii 1.

Podsumowanie

Przyciski awaryjne E-STOP w robotyce to nie tylko fizyczny element na szafie sterowniczej – to kompletna funkcja bezpieczeństwa, której projekt wymaga znajomości norm ISO 13850, IEC 60204-1 i ISO 13849-1 oraz zrozumienia mechanizmów działania napędów i logiki bezpieczeństwa. Wybór kategorii zatrzymania (0 lub 1), architektury obwodu (Cat. 3 lub Cat. 4), rozmieszczenie przycisków przy każdym punkcie dostępu do strefy robota i prawidłowa integracja z układem sterowania to elementy, które razem decydują o tym, czy funkcja awaryjna zadziała niezawodnie wtedy, gdy jest naprawdę potrzebna. Walidacja z użyciem SISTEMA i udokumentowane testy funkcjonalne zamykają ten proces – bez nich stanowisko nie powinno trafić do eksploatacji.

FAQ

Q: Czy jeden przycisk E-STOP wystarczy dla małej komórki z jednym robotem?

A: Jeden przycisk rzadko spełnia wymagania. ISO 13850 wymaga dostępności E-STOP ze wszystkich miejsc, w których operator może być narażony na zagrożenie – przy wejściu do strefy, przy stanowisku załadunku i na teach pendancie to osobne lokalizacje.

Q: Jak długo można eksploatować przycisk E-STOP zanim wymaga wymiany?

A: Trwałość wyraża parametr B10d – liczba cykli do usterki niebezpiecznej. Podziel B10d przez roczną liczbę cykli, żeby uzyskać szacowany czas eksploatacji zgodny z założeniami z obliczeń PL. Typowo wynosi to kilka do kilkunastu lat.

Q: Czy bezprzewodowy przycisk E-STOP może spełniać wymagania ISO 13850?

A: Tak, ale wymaga to dodatkowej analizy niezawodności kanału komunikacji bezprzewodowej i uwzględnienia jej w obliczeniach PL. Rozwiązania certyfikowane do PLd przez znanych producentów istnieją i są stosowane przy mobilnych platformach robotycznych.

Q: Co się stanie, jeśli podczas E-STOP kat. 1 zawiedzie napęd i robot nie zahamuje?

A: Moduł bezpieczeństwa powinien monitorować czas hamowania i po jego przekroczeniu aktywować STO lub odciąć zasilanie główne. Dlatego przy kategorii 1 wymagana jest analiza FMEA obejmująca scenariusz awarii napędu podczas hamowania – i dobór odpowiednich środków zaradczych.

Q: Czy E-STOP musi być podłączony do UPS lub zasilania awaryjnego?

A: Obwód E-STOP (styki NC w łańcuchu) działa bez zasilania – jego otwarcie jest stanem bezpiecznym. Natomiast moduł bezpieczeństwa i logika resetowania wymagają zasilania; przy zaniku zasilania zakład musi wdrożyć procedury zapewniające bezpieczny stan komórki przed powrotem zasilania i restartem.

Weryfikacja i redakcja

Za redakcję i weryfikację artykułu odpowiadają:

Joanna Lewandowska

Joanna Lewandowska. Specjalistka ds. automatyki i integracji. Absolwentka kierunku Automatyka i Robotyka na Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie.

Piotr Woźniak

Piotr Woźniak. Doświadczony redaktor technologiczny. Absolwent kierunku Dziennikarstwo i Komunikacja Społeczna na Uniwersytecie Warszawskim.

Marek Zieliński
Marek Zieliński

Od początku kariery zajmuje się uruchamianiem i usprawnianiem stanowisk zautomatyzowanych w środowisku produkcyjnym. Pracował przy wdrożeniach obejmujących integrację robotów, konfigurację logiki pracy oraz optymalizację przepływu procesu po uruchomieniu stanowiska. Najlepiej odnajduje się tam, gdzie potrzebne jest połączenie wiedzy technicznej z praktycznym zrozumieniem realiów hali produkcyjnej.

zobacz wszystkie wpisy

Więcej ciekawych wpisów

Opublikuj komentarz