safe stop w robotach przemysłowych
Bezpieczeństwo

Safe Stop w robotach przemysłowych – zasady działania i wdrożenie

9 minut czytania

Safe stop w robotach przemysłowych to jeden z tych tematów, które brzmią jak formalność techniczna, a w rzeczywistości decydują o tym, czy człowiek na hali produkcyjnej wraca do domu bez uszczerbku na zdrowiu. Bezpieczne zatrzymanie robota nie jest jedną funkcją – to cała rodzina mechanizmów o różnych właściwościach, każdy zaprojektowany do innego scenariusza zagrożenia. Ten artykuł jest przeznaczony dla osób wdrażających stanowiska zrobotyzowane, inżynierów bezpieczeństwa i integratorów, którzy chcą rozumieć temat głębiej niż na poziomie instrukcji obsługi. Wyjaśnię, czym różnią się STO, SS1 i SS2, kiedy każda z tych funkcji ma sens, co mówią normy i jak to wszystko przełożyć na konkretną aplikację.

Najważniejsze informacje z tego artykułu:

  • Safe stop to nie jedna funkcja, lecz rodzina mechanizmów zatrzymania robota – STO, SS1 i SS2 – różniących się sposobem hamowania i stanem końcowym napędu.
  • STO odcina moment natychmiastowo bez kontroli drogi hamowania, SS1 hamuje kontrolowanie i dopiero potem odcina zasilanie, a SS2 utrzymuje napęd pod napięciem i precyzyjnie trzyma pozycję.
  • Normy IEC/EN 60204-1 i IEC/EN 61800-5-2 definiują kategorie zatrzymania oraz funkcje bezpieczeństwa napędów, a ocena ryzyka wg ISO 13849-1 lub IEC 61508 wyznacza wymagany poziom PL lub SIL.
  • W robotach o wysokiej inercji zbyt częste korzystanie z STO przyspiesza zużycie hamulców mechanicznych i przekładni, dlatego producenci zalecają preferowanie SS1.
  • Tryby współpracy człowiek–robot i tryb uczący (teach) opierają się przede wszystkim na SS2 i SOS, które pozwalają na szybkie wznowienie pracy bez utraty precyzji pozycjonowania.
W artykule: Pokaż

Czym jest safe stop w robotach przemysłowych?

Bezpieczne zatrzymanie robota to funkcja bezpieczeństwa, która – gdy zostanie wyzwolona – doprowadza do zatrzymania ruchu manipulatora w sposób zdefiniowany, nadzorowany i potwierdzony przez logikę bezpieczeństwa. Różni się od zwykłego wyłączenia napędu tym, że sam proces hamowania podlega monitorowaniu, a jego wynik musi być weryfikowalny i powtarzalny.

Termin safe stop obejmuje kilka odrębnych funkcji, zdefiniowanych w normie IEC/EN 61800-5-2, która dotyczy bezpieczeństwa elektrycznych układów napędowych. Każda z tych funkcji odpowiada jednej z trzech kategorii zatrzymania awaryjnego maszyn wg IEC/EN 60204-1. Ramy te wyglądają następująco:

  • Kategoria 0 – natychmiastowe odcięcie energii od napędu, robot wybiega swobodnie (coasting).
  • Kategoria 1 – kontrolowane hamowanie z utrzymanym zasilaniem, odcięcie energii następuje po osiągnięciu postoju.
  • Kategoria 2 – kontrolowane hamowanie, ale energia pozostaje aktywna nawet po zatrzymaniu – napęd utrzymuje pozycję.

Te trzy kategorie przekładają się bezpośrednio na funkcje: STO (Safe Torque Off), SS1 (Safe Stop 1) i SS2 (Safe Stop 2). Każda z nich działa inaczej, ma inne konsekwencje mechaniczne i inne zastosowania. Warto zrozumieć te różnice, zanim przejdzie się do konfiguracji konkretnego stanowiska.

Badania dotyczące bezpieczeństwa stanowisk zrobotyzowanych (m.in. P. Górny, M. Siedlecki, Biblioteka Nauki) wskazują, że prawidłowo zaprojektowane i zwalidowane systemy bezpieczeństwa – w tym właśnie funkcje zatrzymania awaryjnego – wyraźnie zmniejszają ryzyko ciężkich urazów. Przy tym około 50% wypadków przy pracy wynika z czynników ludzkich, a poprawnie działająca funkcja safe stop działa jako zabezpieczenie właśnie na styku człowieka z maszyną.

Jak działa STO, SS1 i SS2 – czym różnią się te typy bezpiecznego zatrzymania?

To pytanie, przy którym warto się zatrzymać dłużej, bo mylenie tych trzech funkcji w projekcie ma realne konsekwencje – zarówno dla bezpieczeństwa, jak i dla trwałości mechanicznej robota.

STO – Safe Torque Off

STO to najprostsza z funkcji. Po jej wyzwoleniu logika bezpieczeństwa blokuje impulsy PWM sterujące silnikiem lub rozłącza tor mocy, przez co napęd natychmiast przestaje generować moment obrotowy. Robot nie hamuje aktywnie – „wypada” z ruchu i wybiega pod wpływem inercji. To odpowiednik kategorii 0 wg IEC/EN 60204-1.

Podstawowym ograniczeniem STO jest brak kontroli nad drogą dobiegową. Przy dużych ramionach, znacznych ładunkach lub wysokiej prędkości kątowej robot może przejechać kilkanaście lub kilkadziesiąt centymetrów zanim się zatrzyma – i tej drogi nie da się z góry precyzyjnie zaplanować. Dlatego STO jako samodzielna funkcja zatrzymania w trakcie ruchu ma sens tylko wtedy, gdy odległości bezpieczeństwa są dostatecznie duże albo gdy ryzyko zapalenia lub innego zdarzenia energetycznego wymaga natychmiastowego odcięcia energii bez względu na drogę hamowania.

Może Cię zainteresować:  Jakie są zagrożenia w robotyce przemysłowej?

W typowym robocie przemysłowym STO jest raczej stanem końcowym – punktem docelowym, do którego prowadzi SS1 po kontrolowanym wyhamowaniu. Częste wyzwalanie STO bezpośrednio podczas ruchu angażuje hamulce mechaniczne osi do dynamicznego zatrzymywania ruchu, do czego nie są projektowane. Ich zadaniem jest utrzymanie pozycji przy braku momentu, a nie wielokrotne dynamiczne hamowanie.

Wskazówka: Jeśli projekt zakłada częste zatrzymania awaryjne – np. przy wejściach do strefy ochronnej – dobierz SS1 zamiast STO jako główną funkcję zatrzymania. Ograniczysz w ten sposób zużycie hamulców i reduktorów, które w naprawach serwisowych generują poważne koszty.

SS1 – Safe Stop 1

SS1 realizuje kontrolowane hamowanie zgodnie z zadaną rampą opóźnienia, a dopiero po osiągnięciu stanu postoju przechodzi w STO. Przez cały czas fazy hamowania napęd pozostaje pod zasilaniem i aktywnie spowalnia ruch – to fundamentalna różnica w stosunku do STO. Odpowiada to kategorii 1 wg IEC/EN 60204-1.

Norma IEC/EN 61800-5-2 wyróżnia dwa warianty SS1:

  • SS1-t (time-controlled) – po wyzwoleniu funkcji uruchamiane jest hamowanie, a przejście do STO następuje po upływie z góry zadanego czasu; zakłada się, że robot zatrzymał się w tym oknie.
  • SS1-r (ramp-monitored) – napęd na bieżąco monitoruje rzeczywistą decelerację (musi być ≥ a_SS1) oraz prędkość; przejście do STO następuje dopiero, gdy prędkość spadnie poniżej progu n_Zero_SS1 przez czas t_L_SS1; to realna, a nie tylko zakładana weryfikacja zatrzymania.

SS1-r jest znacznie pewniejszy diagnostycznie – jeśli robot z jakiegoś powodu nie hamuje zgodnie z profilem (np. utrata momentu, ślizganie), układ bezpieczeństwa wykrywa odchyłkę i generuje alarm. W środowiskach o wysokich wymaganiach PL/SIL to wariant, który należy rozważyć w pierwszej kolejności.

Doosan zaleca wprost stosowanie SS1 zamiast STO wszędzie tam, gdzie jest to technicznie możliwe, właśnie ze względu na ochronę przekładni harmonicznych i hamulców. To samo zalecenie pojawia się u innych producentów cobotów. Bezpieczne monitorowanie prędkości robota w trakcie fazy SS1 jest możliwe dzięki ciągłemu sprzężeniu zwrotnemu z enkodera, co czyni ten wariant zdecydowanie bardziej przewidywalnym niż swobodny wybieg po STO.

SS2 i SOS – Safe Stop 2 i Safe Operating Stop

SS2 hamuje robot tak samo jak SS1, ale po osiągnięciu postoju zamiast przechodzić w STO, aktywuje stan SOS – Safe Operating Stop. Napęd pozostaje w zamkniętej pętli sterowania i aktywnie utrzymuje pozycję. To kategoria 2 wg IEC/EN 60204-1.

SOS to nie bierny postój. Logika bezpieczeństwa ciągle monitoruje, czy prędkość jest poniżej progu n_Zero_SOS i czy pozycja nie odchyla się od punktu odniesienia o więcej niż s_Zero_SOS. Jeśli którykolwiek z tych warunków zostanie naruszony – np. ktoś popchnął ramię robota – układ automatycznie wyzwala SS1 lub STO.

SS2 i SOS mają jedno bardzo praktyczne zastosowanie – tryb teach i aplikacje cobotowe, gdzie operator pracuje ramię w ramię z robotem. Robot zatrzymuje się precyzyjnie, trzyma pozycję z dokładnością potrzebną do programowania, a po zakończeniu interakcji wznawia ruch bez żadnego procesu referencjonowania. W procesach obróbczych (np. frezowanie, spawanie), gdzie powrót do punktu bazowego jest kosztowny czasowo, to przewaga nie do przecenienia.

Jednocześnie SS2 i SOS nie mogą pełnić roli funkcji zatrzymania awaryjnego wg IEC/EN 60204-1. Do E-Stop dopuszczalne są wyłącznie kategorie 0 lub 1, czyli STO lub SS1. SS2 jest funkcją bezpiecznego zatrzymania operacyjnego, przeznaczoną do kontrolowanej obecności człowieka w strefie robota, a nie do reagowania na sytuacje kryzysowe.

bezpieczne zatrzymanie przemysłowych robotów

Jakie normy bezpieczeństwa regulują safe stop robota przemysłowego?

Bezpieczne zatrzymanie robota nie wynika z jednej normy – to efekt nałożenia na siebie kilku grup przepisów, które razem tworzą kompletny obraz wymagań. Poniżej zestawienie najważniejszych z nich:

NormaZakresPowiązanie z safe stop
IEC/EN 60204-1Bezpieczeństwo maszyn – wyposażenie elektryczneDefiniuje kategorie zatrzymania 0, 1 i 2 jako podstawę dla E-Stop i safe stop
IEC/EN 61800-5-2Napędy elektryczne – funkcje bezpieczeństwaPrecyzuje funkcje STO, SS1, SS2, SOS i ich parametry diagnostyczne
EN/ISO 13849-1Bezpieczeństwo układów sterowania – Performance LevelWyznacza wymagany poziom PL dla całego łańcucha bezpieczeństwa, w tym dla safe stop
IEC 61508 / EN 62061Funkcjonalne bezpieczeństwo systemów elektrycznych – SILAlternatywna ścieżka oceny poziomu nienaruszalności bezpieczeństwa (SIL)
PN-EN ISO 10218-1/2Roboty przemysłowe – wymagania bezpieczeństwaSpecyficzne wymagania dla robotów, integracji stanowisk i trybów współpracy
ISO/TS 15066Roboty współpracująceLimity sił i nacisków kontaktu człowiek–robot, kryteria dla trybów bezpiecznego zatrzymania
Może Cię zainteresować:  Jak przeprowadzić ocenę ryzyka dla robota – krok po kroku

Ocena ryzyka wg PN-EN ISO 12100 jest punktem wyjścia dla doboru odpowiedniej kategorii zatrzymania. Wyniki analizy ryzyka pokazują, że zastosowanie funkcji bezpiecznego zatrzymania pozwala obniżyć poziom ryzyka z kategorii wysokiej do akceptowalnej – w analizowanych scenariuszach odpowiada to redukcji prawdopodobieństwa poważnego wypadku o co najmniej jeden rząd wielkości (z poziomu 10⁻³ do 10⁻⁴ na rok na stanowisko). To nie jest teoria – to mierzalny efekt dobrze zaprojektowanego systemu.

Dla każdej funkcji safe stop wymagane jest wyznaczenie osiąganego PL lub SIL. Producenci napędów deklarują te wartości w dokumentacji (np. STO do SIL3/PLe), a projektant systemu buduje na tym cały łańcuch bezpieczeństwa – od czujnika, przez sterownik bezpieczeństwa robota, aż do napędu.

Jak safe stop współpracuje z innymi elementami układu bezpieczeństwa?

Safe stop rzadko działa w izolacji. W typowej aplikacji przemysłowej funkcja bezpiecznego zatrzymania jest ostatnim ogniwem w łańcuchu detekcji i reakcji, który obejmuje czujniki, logikę bezpieczeństwa i elementy wykonawcze.

Schemat działania dla cobota lub stanowiska z trybem współpracy wygląda następująco:

  1. Robot pracuje z pełną prędkością – strefa ochronna wolna.
  2. Człowiek zbliża się do strefy – skaner bezpieczeństwa lub kurtyna świetlna wykrywają obecność.
  3. Aktywowana jest funkcja SLS (Safe Limited Speed) – robot spowalnia do bezpiecznej prędkości roboczej.
  4. Człowiek wchodzi do strefy krytycznej – wyzwalany jest SS1 lub SS2/SOS (zależnie od architektury i wymagań procesu).
  5. Robot zatrzymuje się i pozostaje w stanie monitorowanego postoju do momentu opuszczenia strefy.

SLS (Safe Limited Speed) to funkcja bezpieczeństwa zdefiniowana w IEC/EN 61800-5-2, która nadzoruje, czy prędkość robota nie przekracza zadanego progu. Monitorowanie bezpiecznej prędkości i bezpieczne zatrzymanie tworzą razem kompletny system reagowania na obecność człowieka w strefie pracy. Przekroczenie progu SLS automatycznie wyzwala SS1 lub SS2.

Na poziomie detekcji strefy ochronnej stosuje się różne urządzenia w zależności od geometrii stanowiska i wymagań procesowych. Maty bezpieczeństwa reagują na wejście człowieka przez nacisk, czujniki bezpieczeństwa monitorują obecność bezdotykowo, a przyciski awaryjne E-Stop pozwalają operatorowi na ręczne wyzwolenie zatrzymania. Każde z tych urządzeń generuje sygnał, który trafia do logiki bezpieczeństwa i uruchamia odpowiednią funkcję safe stop.

Wskazówka: Przy doborze urządzeń detekcji strefy ochronnej upewnij się, że czas reakcji całego łańcucha – od detektora przez sterownik do napędu – jest uwzględniony w obliczeniach odległości bezpieczeństwa wg ISO 13855. Zbyt krótka odległość przy długim czasie reakcji sprawia, że robot nie zdąży się zatrzymać przed kontaktem z człowiekiem.

Przekaźnik bezpieczeństwa lub dedykowany sterownik bezpieczeństwa przetwarza sygnały z urządzeń detekcji i wydaje polecenie wykonania odpowiedniej funkcji zatrzymania. W architekturach tradycyjnych, opartych na zewnętrznych stycznikach, wymagane jest zastosowanie EDM (External Device Monitoring) – monitorowania styków, które wykrywa ich niespójny stan (np. spawanie styku). W nowoczesnych napędach zintegrowanych diagnostyka jest wbudowana bezpośrednio w serwonapęd i oceniana wg IEC/EN 61800-5-2.

bezpieczne zatrzymanie robota przemysłowego

Jak parametryzować safe stop w aplikacji robotycznej?

Parametryzacja to etap, na którym teoria przekłada się na konkretne liczby wpisane do konfiguracji napędu lub sterownika bezpieczeństwa. Błędy na tym etapie mogą sprawić, że funkcja safe stop istnieje formalnie, ale działa nieprawidłowo – zbyt wolno, zbyt agresywnie albo generuje fałszywe wyzwolenia.

Parametry, które wymagają świadomego ustawienia:

  • n_Zero_SS1 / n_Zero_SOS – próg prędkości uznawany za postój; zbyt wysoka wartość wydłuża drogę dobiegową, zbyt niska prowadzi do fałszywych wyzwoleń przy bardzo wolnych ruchach uczących.
  • a_SS1 – minimalne wymagane opóźnienie monitorowane w SS1-r; jeśli rzeczywista deceleracja jest niższa niż zakładana (np. utrata momentu, ślizganie), napęd generuje alarm bezpieczeństwa.
  • s_Zero_SOS – tolerancja odchyłki pozycji w stanie SOS; małe okno daje lepszą precyzję, ale zwiększa ryzyko wyzwolenia SOS przez mikroruchy wywołane drganiami lub elastycznością mechanizmu.
  • Czas t_L_SS1 – czas potwierdzenia postoju w SS1-r; musi być dobrany tak, aby robot rzeczywiście zatrzymał się przed wygaśnięciem licznika.
  • Kategoria E-Stop – wybór między Cat.0 (STO) a Cat.1 (SS1); przy wysokiej inercji i małej przestrzeni bezpieczeństwa preferowana jest Cat.1, przy ryzyku zapłonu lub dużych odległościach – Cat.0.

Każdy z tych parametrów musi być dobrany na podstawie konkretnych danych – masy ładunku, prędkości roboczej, geometrii stanowiska i wymaganego PL/SIL. Wygrodzenia bezpieczeństwa dla robotów i zamki bezpieczeństwa do osłon maszyn wpływają na dostępne odległości i czas dostępu człowieka do strefy, co bezpośrednio kształtuje wymagania dla rampy hamowania.

Może Cię zainteresować:  Zamki bezpieczeństwa do osłon maszyn – dobór, normy i cena

Zastosowanie funkcji bezpiecznego zatrzymania wraz z nadzorowaną prędkością i ograniczeniem mocy pozwala obniżyć energię potencjalnej kolizji do poziomów, które wg ISO/TS 15066 nie powodują obrażeń ciała. To podejście umożliwiło w wielu analizowanych instalacjach rezygnację z tradycyjnych wygrodzeń przy jednoczesnym utrzymaniu lub poprawie wskaźników bezpieczeństwa.

Wskazówka: Po każdej zmianie parametrów rampy hamowania przeprowadź walidację empiryczną – zmierz rzeczywistą drogę dobiegową przy maksymalnym ładunku i prędkości roboczej. Wartości obliczone i rzeczywiste mogą się różnić przez luzy kinematyczne, elastyczność przekładni i zmienność obciążenia.

Kiedy stosować STO, SS1 i SS2 – jak wybrać odpowiednią funkcję?

Wybór funkcji bezpiecznego zatrzymania wynika z analizy ryzyka, charakterystyki mechanicznej robota i wymagań procesu. Poniżej zestawienie, które porządkuje te decyzje:

KryteriumSTOSS1SS2 + SOS
Kontrola drogi hamowaniaBrakTakTak
Stan napędu po zatrzymaniuBez momentuBez momentuAktywny, z momentem
Utrzymanie precyzji pozycjiNieNieTak
Użycie jako E-Stop (awaryjny)Tak (Cat.0)Tak (Cat.1)Nie
Tryb teach / współpracyNieMarginalnieTak
Wpływ na hamulceDuże zużycie przy częstym stosowaniuUmiarkowaneMinimalne
Typowy kontekstBlokada restartu, końcowy etap po SS1E-Stop przy wysokiej inercji, wejście do strefyPraca z operatorem, teach, procesy wymagające precyzji po zatrzymaniu

Brak poprawnie działającej funkcji zatrzymania awaryjnego lub jej obejście to jedna z najczęściej identyfikowanych przyczyn ciężkich zdarzeń na stanowiskach zrobotyzowanych. Regularnie testowane i walidowane funkcje safe stop zmniejszają zarówno liczbę, jak i ciężkość urazów – to wniosek potwierdzony analizami przypadków opisanymi m.in. w publikacjach bazujących na PN-EN ISO 13850 i PN-EN ISO 10218.

Wdrożenia systemów z funkcjami bezpiecznego zatrzymania i monitorowania stref, opisane m.in. w białej księdze SICK dotyczącej bezpieczeństwa w robotyce, pokazują, że w kilkuletnich okresach eksploatacji analizowanych linii nie odnotowano wypadków skutkujących trwałymi obrażeniami po stronie pracowników. To argument za inwestycją w prawidłową architekturę bezpieczeństwa – nie tylko ze względów prawnych, lecz przede wszystkim dlatego, że ona po prostu działa.

Podsumowanie

Safe stop w robotach przemysłowych to nie jeden przycisk ani jedna funkcja, lecz złożony system, w którym STO, SS1 i SS2 pełnią odrębne role. STO jest szybki, ale niekontrolowany – ma sens jako stan końcowy lub przy dużych odległościach bezpieczeństwa. SS1 to kontrolowane hamowanie z odcięciem momentu po postoju, odpowiednie dla E-Stop przy wysokiej inercji. SS2 z SOS utrzymuje napęd aktywny i precyzyjnie trzyma pozycję, co czyni go niezastąpionym w trybach współpracy i uczenia. Dobór właściwej funkcji wynika z analizy ryzyka, a jej parametryzacja – z konkretnych danych mechanicznych i geometrii stanowiska. Jeśli projektujesz stanowisko zrobotyzowane, zacznij od oceny ryzyka i dobierz funkcję safe stop świadomie, a nie przez przyzwyczajenie.

FAQ

Q: Czy safe stop musi być zaimplementowany w każdym robocie przemysłowym?

A: Tak. PN-EN ISO 10218-1 wymaga, aby każdy robot przemysłowy posiadał co najmniej funkcję zatrzymania awaryjnego (E-Stop) w kategorii 0 lub 1, czyli STO lub SS1. Dodatkowe funkcje safe stop zależą od analizy ryzyka.

Q: Czy funkcja safe stop wymaga certyfikacji przez jednostkę notyfikowaną?

A: Producent napędu deklaruje osiągany SIL/PL dla wbudowanych funkcji bezpieczeństwa. Integrator systemu odpowiada za ocenę zgodności całego stanowiska, jednak certyfikacja przez jednostkę notyfikowaną nie jest zawsze obligatoryjna – zależy od kategorii maszyny i dyrektywy.

Q: Jak często należy testować funkcję safe stop na stanowisku produkcyjnym?

A: Normy nie narzucają sztywnej częstotliwości, ale wymagają udokumentowanego harmonogramu testów. Zaleca się testowanie przy każdym uruchomieniu po dłuższym postoju oraz po każdej zmianie parametrów lub konfiguracji sprzętowej.

Q: Czy safe stop można zrealizować wyłącznie programowo, bez dedykowanego sprzętu bezpieczeństwa?

A: Nie. Funkcje bezpieczeństwa muszą być realizowane przez komponenty certyfikowane do odpowiedniego SIL lub PL – standardowe sterowniki PLC i oprogramowanie niecertyfikowane nie spełniają tych wymagań. Wymagany jest sprzętowy tor bezpieczeństwa.

Q: Co się dzieje z robotem po wyzwoleniu safe stop – czy musi być ręcznie zresetowany?

A: Zazwyczaj tak. Wznowienie pracy po zatrzymaniu bezpieczeństwa wymaga ręcznego potwierdzenia przez operatora (resetu). Automatyczny restart po safe stop jest dopuszczalny tylko w wyjątkowych przypadkach, po wykazaniu w analizie ryzyka, że nie stwarza dodatkowego zagrożenia.

Weryfikacja i redakcja

Za redakcję i weryfikację artykułu odpowiadają:

Joanna Lewandowska

Joanna Lewandowska. Specjalistka ds. automatyki i integracji. Absolwentka kierunku Automatyka i Robotyka na Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie.

Piotr Woźniak

Piotr Woźniak. Doświadczony redaktor technologiczny. Absolwent kierunku Dziennikarstwo i Komunikacja Społeczna na Uniwersytecie Warszawskim.

Marek Zieliński
Marek Zieliński

Od początku kariery zajmuje się uruchamianiem i usprawnianiem stanowisk zautomatyzowanych w środowisku produkcyjnym. Pracował przy wdrożeniach obejmujących integrację robotów, konfigurację logiki pracy oraz optymalizację przepływu procesu po uruchomieniu stanowiska. Najlepiej odnajduje się tam, gdzie potrzebne jest połączenie wiedzy technicznej z praktycznym zrozumieniem realiów hali produkcyjnej.

zobacz wszystkie wpisy

Więcej ciekawych wpisów

Opublikuj komentarz