Co nowego w normie PN-EN ISO 13849-1?
Marek Trajdos print
Trudno obecnie wyobrazić sobie maszynę pozbawioną systemu sterowania. Sterowanie ma oczywiście znaczący wpływ na bezpieczeństwo maszyny, a ściślej na spełnienie przez urządzenie warunków definicji maszyny zawartej w dyrektywie 2006/42/WE. Obszar systemu sterowania związany z bezpieczeństwem opisany został m.in. w normie PN-EN ISO 13849-1:2016-02, w której w 2016 r. wprowadzono kilka kluczowych zmian.
Analizując system sterowania, możemy mówić o samej maszynie, zespole maszyn lub maszynie nieukończonej. Kwestie związane z bezpieczeństwem systemu sterowania zostały uwzględnione przez twórców norm międzynarodowych, zharmonizowanych z Dyrektywą Maszynową w dwóch niezależnie powstałych normach.
Normy bezpieczeństwa systemu sterowania
Pierwszą z nich jest norma PN-EN ISO 13849-1:2016-02 „Bezpieczeństwo maszyn – Elementy systemów sterowania związane z bezpieczeństwem – Część 1: Ogólne zasady projektowania.”
Norma ta opisuje właściwości określające Poziom Zapewnienia Bezpieczeństwa (PL) wymagany dla realizacji funkcji bezpieczeństwa maszyn. Ma zastosowanie do części systemu sterowania związanego z bezpieczeństwem pracujących w tzw. rodzajach pracy na częste lub ciągłe przywołanie, bez względu na użyty rodzaj techniki i energii (elektrycznej, hydraulicznej, pneumatycznej, mechanicznej itd.), dla wszystkich rodzajów maszyn. Niniejsza norma nie określa funkcji bezpieczeństwa lub Poziomów Zapewnienia Bezpieczeństwa, które mają być zastosowane w konkretnym przypadku, czyli dla danego rodzaju maszyny lub grupy maszyn. W tej części normy omawiane są szczególne wymagania dotyczące systemu sterowania bezpieczeństwem wykorzystujących programowalne systemy elektroniczne. Norma nie podaje szczególnych wymagań do projektowania wyrobów, które są częściami samego systemu bezpieczeństwa (elementy i podsystemy bezpieczeństwa). Jednakże opisane w niej zasady mogą być stosowane do projektowania takich elementów składowych systemów bezpieczeństwa.
Wymagania podane w tej części normy, dotyczące programowalnych systemów elektronicznych, są zgodne z metodyką projektowania i rozwoju związanych z bezpieczeństwem elektrycznych, elektronicznych, programowalnych elektronicznych systemów sterowania maszyn podaną w normie PN-EN 62061, a obie normy są ze sobą kompatybilne i mogą służyć do projektowania współpracujących ze sobą systemów bezpieczeństwa maszyny, z dość dużą wymiennością.
Drugą jest norma PN-EN 62061:2008 „Bezpieczeństwo maszyn – Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem”.
W normie sformułowano zalecenia dotyczące projektowania, kompletowania i walidacji związanych z bezpieczeństwem elektrycznych, elektronicznych i programowalnych elektronicznych systemów sterowania maszynami. Norma ta ma zastosowanie do systemów sterowania, zarówno pojedynczych, jak i ich kombinacji, a więc całych obszarów sterowania, użytych do wykonywania związanych z bezpieczeństwem funkcji sterujących maszynami, włączając w to zespoły maszyn pracujące wspólnie w sposób skoordynowany (czyli powiązanych poprzez zagadnienie bezpieczeństwa), które nie są trzymane w ręku podczas pracy.
Wymienione wcześniej normy mają różną genealogię, ponieważ pierwsza z nich opracowana została przez Międzynarodową Organizację Normalizacyjną (ISO), a druga przez Międzynarodową Komisję Elektrotechniczną (IEC). Z powodu swego „pochodzenia” mają one nieco inny zakres stosowalności (opisany również krótko wcześniej), co wraz z ich dwoistością (obie są zharmonizowane z dyrektywą) może stwarzać pewne trudności co do wyboru optymalnej z nich do konkretnego zastosowania. Od pewnego czasu mówi się o potrzebie i pracach podjętych w celu połączenia obu norm w jeden spójny dokument. Jednak, zamiast oczekiwanego połączenia, po blisko 10 latach norma PN-EN ISO 13849-1 została „znowelizowana”; po części miało to na celu zbliżenie norm, a także było podyktowane rozwojem wiedzy na temat niezawodności układów sterowania bezpieczeństwem maszyn oraz rozwojem nowoczesnych, programowalnych układów sterowania, dla których określono parametry niezawodności, pokrycia diagnostycznego oraz odporności na zakłócenia.
Główne elementy normy PN-EN ISO 13849-1
Norma PN-EN ISO 13849-1 wspiera projektowanie poszczególnych funkcji sterowania w systemie bezpieczeństwa maszyny. Przedstawia też samą definicję funkcji bezpieczeństwa, jako funkcji sterowania maszyny, po uszkodzeniu której poziom bezpieczeństwa natychmiast spada. Nie jest to może definicja najbardziej bogata w treść, ale ma ona sens praktyczny w sytuacji, gdy zdamy sobie sprawę z poziomu jej ogólności, na tle niezliczonej ilości możliwych do skonstruowania funkcji w rozmaitych maszynach. Poza samą definicją norma wymienia 18 klas funkcji bezpieczeństwa, takich jak np. bezpieczne zatrzymania maszyny czy zatrzymania maszyny spowodowane otwarciem osłony.
Norma wprowadza również fundamentalne pojęcie poziomu zapewnienia bezpieczeństwa, jako dyskretnego poziomu używanego do określenia zdolności części układu sterowania związanej z bezpieczeństwem do wypełniania funkcji bezpieczeństwa w określonych warunkach. Chodzi o to, aby można było projektować układy sterowania realizujące funkcje bezpieczeństwa działające z pewnością adekwatną do potrzeb ochrony osób przed ryzykiem wynikającym z pracującej maszyny.
Poziom zapewnienia bezpieczeństwa (znany jako Performance Level – PL) jest wyznaczalny dla pojedynczej funkcji bezpieczeństwa. A zatem nie można go określić dla maszyny jako całości, chyba że byłaby ona na tyle prosta, że do rozwiązania problemu bezpieczeństwa w ramach środków technicznych wystarczyłaby tylko jedna taka funkcja. Maszyny takie oczywiście istnieją i najczęściej stosowaną funkcją jest zatrzymanie awaryjne. Jeżeli jednak realizujemy ją na wyższych poziomach PL, to towarzyszy jej najczęściej (sprzężona z nią) druga funkcja resetu ręcznego. Reset ma zwykle wymagany niższy poziom PL, a zatem widzimy, że mamy w niniejszym przykładzie dwie funkcje, o różnych poziomach zapewnienia bezpieczeństwa.
Kolejną bardzo ważną kwestią jest fakt „zasięgu” układu sterowania funkcją bezpieczeństwa. Układ (ani obliczenie jego parametrów) nie obejmuje elementów wykonawczych i zasilania – tylko ściśle obwody sterowania. To nie znaczy, że elementy wykonawcze, układy zasilania w energię czy elementy przeniesienia napędu mogą być zaprojektowane byle jak (w sposób, który nie gwarantuje bezpieczeństwa), lecz wchodzi to po prostu w zakres innych norm oraz pojęć.
Kluczowe do zrozumienia zasady poziomu zapewnienia bezpieczeństwa jest zrozumienie jego wymaganej wartości (tak zwanego PLr). Wartość tę określamy na podstawie (tak zaleca norma) odpowiedzi na trzy relatywnie proste pytania. Dla lepszego zrozumienia zagadnienia zilustrujmy je na schemacie zamieszczonym w normie (rys. 1).
W wyniku przyjęcia na drodze przewidywania lub doświadczenia albo wiedzy pozyskanej od użytkownika:
- przewidywanego stopnia uszkodzenia ciała (S) – w zależności od skutków przyjmujemy ciężkie lub lekkie uszkodzenie,
- ekspozycji na dane zagrożenie (F),
- przez ekspozycję rozumie się częstość lub czas narażenia,
- możliwości uniknięcia szkody (P),
- przyjmujemy „możliwe” albo „niemożliwe” lub „możliwe z trudnością.
Norma, niestety, nie podawała wykładni, co należy rozumieć dokładnie pod tymi pojęciami, więc zwykle za częste uważano zdarzenie o częstości większej niż raz na 8 godzin (typową zmianę roboczą) itd. W nowej normie problem ten został doprecyzowany, co zostanie wspomniane w dalszej części pracy.
Na podstawie schematu z rysunku 1 ustala się jeden z pięciu możliwych poziomów PL (od a dla małego ryzyka, do e dla dużego ryzyka). Układ sterowania, który ma spełniać powyższe wymaganie musi być zrealizowany w sposób zapewniający osiągnięcie PL nie niższego niż PLr.
Poziom PL projektowanego układu realizującego funkcję bezpieczeństwa opiera się na pięciu elementach (rys. 2) opisanych poniżej.
1. Kategoria bezpieczeństwa (struktura układu)
Norma PN-EN ISO 13849-1, podobnie jak zastąpiona przez nią PN-EN 954-1, definiuje pięć kategorii bezpieczeństwa (B, 1, 2, 3 i 4), które stanowią ogólną wykładnię podstawowych właściwości układu realizującego funkcję bezpieczeństwa. Generalnie kategoria związana jest z architekturą systemu i wnosi takie pojęcia jak: element inicjujący, układ logiczny, element wykonawczy, redundancja i monitorowanie.
2. Spodziewany średni czas do awarii niebezpiecznej (MTTFd)
Parametr ten jest wyrażony w latach, a znamionuje niezawodność użytych komponentów i jego wartość może być podana przez producenta komponentu, obliczona przez projektanta lub pobrana z tabeli zawartej w normie PN-EN ISO 13849-1 (według ogólnie przyjętych standardów dla wybranych rodzajów komponentów). Niezawodność elementów stykowych, takich jak styczniki, przekaźniki czy wyłączniki krańcowe określa się za pomocą pośredniego parametru zwanego B10d, mówiącego o przewidywanej liczbie cykli pracy do momentu, gdy uszkodzeniu ulegnie 10% wszystkich elementów. W takim przypadku należy, w oparciu o dane użytkownika lub przewidywany sposób użycia, ustalić liczbę cykli pracy danego elementu w ciągu roku. Zależność między MTTFd a B10d określa formuła:
MTTFd = B10d /0,1 nop,
gdzie: nop to założona liczba cykli na rok, a indeks „d” oznacza, że chodzi o odsetek awarii niebezpiecznych, czyli rzutujących na działanie funkcji bezpieczeństwa.
Na rysunku 3 przedstawiono w sposób ogólny architekturę układu dwukanałowego realizującego funkcję bezpieczeństwa (SRP/CS), składającą się z: elementów (EL), bloków (BL) i kanałów (CH).
Ostatnie z pokazanych równań nosi nazwę symetryzacyjnego i służy do obliczania wypadkowego MTTFd dla struktury równoległej.
Po wykonaniu obliczeń szczegółowych kwalifikuje się końcową wartość MTTFd do jednego z przedziałów (krótkiego: od 3 do 10 lat; średniego: od 10 do 30 lat lub długiego: od 30 do 100 lat).
Jak widać, powyżej przedziały wartości MTTFd są ograniczone z jednej strony do 3 lat, a z drugiej do 100 lat. Wynika to z faktu, że nie zaleca się wykorzystywania układów o niższej niezawodności niż 3 lata (w ciągu pierwszego roku eksploatacji można by się spodziewać uszkodzenia około 30% układów) oraz zakłada się, że wynikowy czas do awarii nie będzie dłuższy niż 100 lat. Na uwagę zasługuje fakt, że choć współczynnik ten jest wyrażony w latach, to jest jedynie pewnym parametrem statystycznym i nie należy go interpretować jako przewidywanego czasu eksploatacji elementów!
3. Średnie pokrycie diagnostyczne (DCavg)
Niniejszy parametr określa iloraz liczby wykrytych awarii niebezpiecznych do ogólnej liczby awarii niebezpiecznych w układzie. Jest on wyrażony w procentach i również podzielony na przedziały (brak pokrycia diagnostycznego DC < 60%; niskie 60% ≤ DC < 90%; średnie 90% ≤ DC < 99% i wysokie 99% ≤ DC). Na rysunku 6 zestawiono wzory obliczeniowe dla ogólnego schematu struktury dwukanałowej (oznaczenia jak na rys. 4).
4. Współczynnik awarii spowodowanych wspólną przyczyną (CCF)
Parametr ten jest bezwymiarowy. Pewne działania, takie jak np. zachowanie zasad kompatybilności elektromagnetycznej podane w tabeli są premiowane określoną liczbą punktów (np. EMC odpowiada 25 punktom). Projektant systemu powinien osiągnąć liczbę co najmniej 65 punktów na możliwe 100. Wówczas uznaje się, że ten warunek jest spełniony. W niskich kategoriach bezpieczeństwa (B i 1) nie zawierających redundancji parametr ten nie ma zastosowania, ponieważ brak zwielokrotnienia elementów uniemożliwia wystąpienie awarii spowodowanych wspólną przyczyną (rys. 5). Zasadą jest, iż dla danego zagadnienia przyjmujemy pełną przypisaną mu wartość punktową lub zero.
5. Weryfikacja
Istnienie tego elementu jest naturalne, ponieważ trudno sobie wyobrazić realizację prawidłowego projektu bez końcowej weryfikacji. Znaczącym faktem w tym obszarze jest ustalenie długości łańcucha elementów/podsystemów w projektowanym układzie. W przypadku, gdy liczba kolejnych elementów w łańcuchu przekracza 2 lub 3 (w zależności od wartości PL) należy zredukować PL o jedną pozycję – czyli na przykład z „e” do „d”. Zasada tej czynności jest podana w tabeli zamieszczonej w normie PN-EN ISO 13849-1.
Ponieważ norma powyższa jest zalecana do stosowania dla układów o niskim stopniu złożoności, na strukturę układu sterowania nałożono jedynie warunek długości łańcucha i to o niewielkiej wartości.
Na rysunku 5 pokazano zasadę określania wartości PL dla obliczonych i stabelaryzowanych parametrów. Uzyskana drogą projektowania wartość PL musi być nie mniejsza niż wymagana PLr.
Co nowego?
W 2016 r. wprowadzono kilka zmian do normy PN-EN ISO 13849-1 (normę europejską ustanowiono w 2015 r.).
Indeks akronimu słowa niebezpieczny (ang. dangerous) oznaczany małą literą zmieniono na duży.
Doprecyzowano również pojęcia ciężkości szkody, możliwości uniknięcia szkody, a przede wszystkim częstości lub czasu ekspozycji. I tak np. drogę F2 (schemat na rys. 1) zaleca się wybrać, gdy narażenie występuje częściej niż co 15 minut, lub ekspozycja wynosi więcej niż 5% czasu pracy operatora.
Udoskonalono opis kategorii bezpieczeństwa.
W opisie 2 kategorii bezpieczeństwa „sztywny”, a zatem niejednokrotnie trudny do spełnienia warunek co najmniej 100 testów na jeden cykl pracy układu bezpieczeństwa, przyjęto częstość adekwatną do potrzeb, lecz uwzględniającą wnioski z twierdzenia o próbkowaniu (Shannona). Na tego rodzaju elastyczność można było sobie poniekąd pozwolić, ze względu na ekspansję programowalnych układów bezpieczeństwa (gdzie ten parametr jest zwykle dostępny dla projektanta). Stanowi to niewątpliwie krok w kierunku ujednolicenia z normą PN-EN 62061.
Dla układów realizowanych w kategorii 4 limit zwiększono do 2500 lat! Dzięki temu można łączyć większą liczbę podsystemów bez utraty kategorii. Jest pewien problem praktyczny, gdyż wraz z rosnącą złożonością maszyn wynikającą z postępu technicznego narasta tendencja do przedłużania łańcuchów blokowych reprezentujących układy realizujące funkcje bezpieczeństwa. Powodowało to w tradycyjnym, „stuletnim” podejściu problemy z projektowaniem systemów sterowania bezpieczeństwem zgodnie z wymaganiami najwyższego poziomu PL, a ponieważ producenci aparatury bezpieczeństwa prześcigają się w budowie układów coraz bardziej niezawodnych, warto było dostosować system do rzeczywistości.
Poprawiono i rozbudowano część opisującą przykłady układów realizujących funkcje bezpieczeństwa, a w szczególności opisaną wcześniej interpretację zasięgu układu sterowania bezpieczeństwem.
W ślad za tym rozszerzeniem dostosowano zakres tablicy K.1., która jest cyfrową reprezentacją rysunku 5. Dzięki tej tablicy można dokładnie ustalić zależność pomiędzy parametrami będącymi filarami poziomu zapewnienia bezpieczeństwa (PL), a główną wielkością opisującą pewność działania układu bezpieczeństwa, czyli prawdopodobieństwem niebezpiecznego uszkodzenia na godzinę (PFHD).
Parametr ten jest również elementem wiążącym poziomy PL, występujące w normie PN-EN 13849-1, z poziomami nienaruszalności bezpieczeństwa SIL, którymi posługują się normy PN-EN 60508 i PN-EN 62061 (będąca swoistym „wyciągiem” z pierwszej z norm, która została zharmonizowana z Dyrektywą Maszynową).
Tablica K.1. zawiera wartości PFHD aż do 9,06 · 10–10, co dla kategorii 4 odpowiada właśnie wartości MTTFD = 2500 lat.
Dokładniej określono odsetek uszkodzeń niebezpiecznych dla jednego z najbardziej popularnych aparatów, jakim jest stycznik (na 74 lat).
W tabeli C.1. opisującej proponowane wartości w odniesieniu do tzw. „dobrej praktyki inżynierskiej” zmodyfikowano następujące parametry:
- elementy hydrauliczne – zaleca się przyjmować MTTFD = 300 lat, jeżeli szacowana liczba cykli na rok wynosi mniej niż 1 000 000, przy czym jeżeli szacowana liczba jest mniejsza, można proporcjonalnie wydłużać ten czas,
- typowy parametr b10d dla stycznika został zredukowany do wartości 1 300 000 cykli/rok (z 2 000 000),
- sterownicze przyciski bezpieczeństwa mogą być traktowane jako podsystemy kategorii 1 lub 3/4, w zależności od liczby styków czynnych. Dla styków tych przyjmujemy b10d = 100 000.
Rozbudowano również część odnoszącą się do poziomu zapewnienia bezpieczeństwa oprogramowania, co także stanowi o „zbliżeniu się” norm.
W tablicy przedstawionej na rysunku 6 norma wskazuje zależność pomiędzy poziomem PL i kategoriami bezpieczeństwa, a wartością PFHD metodą najgorszego przypadku.
Podsumowanie
Na koniec można na pewno wyrazić żal, iż normy dotyczące sterowania bezpiecznej maszyny nadal nie zostały połączone w jedną, spójną całość. Omówione zmiany stanowią jednak na pewno krok we właściwym kierunku, świadczący o coraz lepszym rozumieniu praw rządzących systemami sterowania bezpieczeństwem. Warto też zwrócić uwagę na fakt, że w posiadanej przez nas normie opisującej szczegółowo dany rodzaj maszyny, są z całą pewnością zawarte wskazania prawidłowego przyjęcia wymaganego poziomu zapewnienia bezpieczeństwa (PLr).
CERT PARTNER Sp. z o.o. Sp.k.
DAMET Sp.J. Dańko, Jaksina
„Klub Paragraf 34” SBT
source: Automatyka 6/2016