Praktyczny wybór kategorii bezpieczeństwa
Wybór kategorii bezpieczeństwa (architektury) powinien być uzależniony od określenia wymaganego poziomu zapewnienia bezpieczeństwa PLr wg załącznika A normy PN-EN ISO 13849-1. Metoda opisana w tym załączniku umożliwia oszacowanie wymaganego zmniejszenia ryzyka i przewidziana jest jako wytyczna dla projektanta PLr dla każdej niezbędnej funkcji bezpieczeństwa, którą ma realizować część sterowania związana z bezpieczeństwem.
Kiedyś, gdy funkcjonowała norma PN-EN 954-1, sam wybór kategorii bezpieczeństwa był wystarczającą metodą redukcji ryzyka za pomocą części sterowania odpowiedzialnej za bezpieczeństwo. Od 2009 roku, kiedy zaczęto normę PN-EN 954-1 wycofywać, sam wybór kategorii stał się niewystarczający. Wciąż jednak panują przyzwyczajenia wśród projektantów i niedostateczne zrozumienie nowej normy PN-EN ISO 13849-1.
O samych przekaźnikach bezpieczeństwa pisałem w artykule “Przekaźniki bezpieczeństwa“, gdzie opisałem zasadę działania oraz zachowanie się przekaźników bezpieczeństwa w przypadku wystąpienia defektów.
Powiązany temat: Przekaźniki bezpieczeństwa
W momencie, gdy rozpoczynałem pracę jeszcze przed wejściem Polski do UE, wiedza na temat kategorii bezpieczeństwa zawarta była w normie PN-EN 954-1. Mało kto jednak w Polsce miał wiedzę zawartą w tej normie opanowaną. Oczywistym było to, chociaż może nie dla wszystkich, że przycisk zatrzymania awaryjnego był podłączony do przekaźnika bezpieczeństwa, chociaż nie wszyscy rozumieli dlaczego. Projektowanie szaf elektrycznych najczęściej odbywało się w taki sposób, że podłączało się 2 styki NC przycisku zatrzymania awaryjnego do obydwu kanałów przekaźnika bezpieczeństwa, bo wydawało się, że tak trzeba. Kopiowało się te rozwiązania z nowych maszyn przywożonych z zachodu. Czy ktoś kiedykolwiek robił analizę, ewaluację i zastanawiał się nad tym, czy może być inny sposób, albo czy nie popełnia błędu? Mogło się pewnie wiele razy zdarzyć, że jako elementy wykonawcze projektant zastosował przekaźniki (lub styczniki) niedomiarowane lub nie stosował ich w ogóle. Sam widziałem schematy elektryczne, w których przekaźnik bezpieczeństwa nie robił nic poza wystawieniem stanu wysokiego na wejście sterownika PLC, a sygnał ten był jednocześnie sygnałem startu.
Norma PN-EN 954-1 jest już nieaktualna, ale jest nadal ważną normą. Norma ta wyznaczyła fundamenty dla nowelizacji, która w postaci normy PN-EN ISO 13849-1 została wydana po niemal 17 latach funkcjonowania normy PN-EN 954-1. Nowelizacja okazała się trudną normą, wymagała bowiem od producentów komponentów bezpieczeństwa wykonania dodatkowych badań, a od projektantów funkcji bezpieczeństwa wymagała analizy funkcjonalności zaprojektowanej części sterowania odpowiedzialnej za bezpieczeństwo. Dlatego wprowadzono 3-letni okres przejściowy, w którym można było równolegle korzystać z obydwu norm. Okres ten miał za zadanie doprowadzić do usystematyzowania nowego podejścia w zapewnieniu bezpieczeństwa zarówno przez producentów (dostawców) elementów bezpieczeństwa, jak i projektantów (integratorów) systemów sterowania.
Kategorie, znane z normy PN-EN 954-1 w uzupełnionej nieco formie znalazły się w normie PN-EN ISO 13849-1. Podstawową różnicą pomiędzy obydwoma normami jest to, że:
- celem normy PN-EN 954-1 było przede wszystkim zdefiniowanie kategorii bezpieczeństwa, na podstawie której należało wykonać część sterowania odpowiedzialną za bezpieczeństwo; kategorie te wyznaczały odporność na defekty oraz zachowanie się w przypadku defektu.
- celem normy PN-EN ISO 13849-1 jest wyznaczenie poziomu zapewnienia bezpieczeństwa; za poziom ten odpowiada nie tylko wybór kategorii, lecz także uwzględnienie wskaźników ilościowych, opisujących niezawodność użytych elementów w funkcji czasu.
Wykonanie układu sterowania odpowiedzialnego za bezpieczeństwo wg wyznaczonej z analizy ryzyka kategorii było podstawowym założeniem normy PN-EN 954-1. Graf oceny ryzyka opisany w tej normie pozwalał wybrać odpowiednią kategorię bezpieczeństwa (B, 1, 2, 3, 4), na podstawie której należało zaprojektować elementy systemów sterowania związane z bezpieczeństwem.
Na przestrzeni lat funkcjonowania normy PN-EN 954-1 poznawano zachowanie się systemów sterowania odpowiedzialnych za bezpieczeństwo, zaprojektowanych wg tej normy i zaczęto dochodzić do pewnych wniosków. Powstały pytania:
- czy rzeczywiście architektura połączeń, redundancja i testowanie elementów wykonawczych to jedyna droga do uzyskania niezawodności części odpowiedzialnej za bezpieczeństwo?
- czy dwukanałowy system bezpieczeństwa wykonany z elementów, których rzeczywista niezawodność nie została przez nikogo obliczona jest lepszy od jednokanałowego systemu, który został wykonany z przewymiarowanych elementów dobrze sprawdzonych funkcjonalnie w różnych warunkach pracy?
Między innymi takie pytania skłoniły komitety techniczne do opracowania lepszego podejścia w zapewnieniu bezpieczeństwa.
Normie PN-EN 954-1 zarzucano to, że zbyt ogólnie podchodzi ona do problematyki zapewnienia bezpieczeństwa, opisując jedynie sposób wyboru kategorii bezpieczeństwa, jako jedyną drogę do uzyskania wyniku, podczas gdy okazać się może, że niekoniecznie najbardziej rygorystyczne rozwiązanie jest rozwiązaniem najlepszym. Norma skupia się na jakościowym podejściu, przytaczając kategorie bezpieczeństwa i opisując zachowanie się elementów sterowania związanych z bezpieczeństwem dla każdej z kategorii, lecz niewiele mówi o wskaźniku ilościowym, opisującym niezawodność użytych elementów w funkcji czasu, gdyż – jak się okazało – niekoniecznie zastosowanie kategorii 3 lub 4 musi być lepsze od kategorii 2 lub 1. Innymi słowy – nie zawsze związek wysokości ryzyka z wybraną kategorią był przekonujący, co doprowadziło do przekonania, że w kształtowaniu niezawodności systemu bezpieczeństwa ważne są również zagadnienia probabilistyczne. Poza tym normie PN-EN 954-1 zarzucano niehierarchiczność zastosowanych kategorii, gdyż jeśli ocena ryzyka wskazywała możliwość użycia kategorii 1 lub 2 albo 2 lub 3, to siłą rzeczy wybierano gorszy przypadek, co doprowadzało do zwiększenia kosztów projektowanego systemu bezpieczeństwa (problem ten pokazany jest na rysunku poniżej).
Im bardziej rozwijana była technologia problematyki bezpieczeństwa na przestrzeni kilkunastu lat obowiązywania normy PN-EN 954-1, tym bardziej poznawano przewidywalność zachowania się prostych systemów bezpieczeństwa, lecz z powodu rosnącego zaangażowania elementów elektronicznych i programowalnych w układach sterowania maszyn, proste systemy bezpieczeństwa przestały spełniać swoją rolę. Siłą rzeczy zintegrowanie bezpieczeństwa w bardziej złożonych układach elektronicznych zapewniało większą niezawodność, niż stosowanie elektromechanicznych przekaźników bezpieczeństwa w połączeniu z tymi układami. Zastosowanie bardziej złożonych elementów elektronicznych, które ze względu na elastyczność i możliwość programowania zmniejszały koszt uruchomienia i utrzymania, musiało skutkować wdrożeniem nowych zasad, które umożliwiłoby w znany już sposób zintegrować nowe możliwości w kształtowaniu systemów sterowania związanych z bezpieczeństwem. Poza tym, aby określić, czy dany system bezpieczeństwa jest odpowiednio przewidywalny, należałoby zdefiniować nowe wskaźniki, które pozwoliłyby usystematyzować czynniki niezawodności elementów sterowania związanych z bezpieczeństwem, wykrywania defektów oraz nienaruszalności strukturalnej i systematycznej. Rolą takiego usystematyzowania było wprowadzenie nowej normy PN-EN ISO 13849-1.
Nowelizacja normy PN-EN 954-1 miała na celu wyposażenie jej w narzędzia probabilistyczne, nieodzowne w przypadku oceny nowoczesnych systemów sterowania związanych z bezpieczeństwem. Nie wyklucza się wiedzy, ani założeń normy PN-EN 954-1, gdyż uznano, ze pierwotne jej postanowienia są właściwe, aczkolwiek niewystarczające. W dalszym ciągu jest zatem możliwość używania sprawdzonych już ogólnie kategorii, ale z dodatkową oceną ilościową właściwości dotyczących bezpieczeństwa. Stąd obok kategorii, w normie PN-EN ISO 13849-1 pojawiają się takie pojęcia, jak:
- spodziewany średni czas do uszkodzenia niebezpiecznego MTTFd,
- współczynnik pokrycia diagnostycznego DC, oraz
- usterki o wspólnych przyczynach CCF.
Metoda określenia wymaganego poziomu zapewnienia bezpieczeństwa PLr wg załącznika A normy PN-EN ISO 13849-1 jest częścią całościowej oceny ryzyka wykonanej wg normy PN-EN ISO 12100.
Metodę należy użyć po zastosowaniu środków redukcji ryzyka środkami technicznymi niezależnie od systemu sterowania (np. poprzez zastosowanie osłon mechanicznych). Dlatego punkt początkowy (graf poniżej) jest wybierany po zastosowaniu tych środków.
Osiągnięcie wymaganego poziomu zapewnienia bezpieczeństwa PLr zależne jest od:
- spodziewanego średniego czasu do uszkodzenia niebezpiecznego MTTFD,
- pokrycia diagnostycznego DC,
- użytej kategorii.
Teraz chcę pokazać, jak na podstawie tych wszystkich informacji wygląda praktyczny wybór kategorii bezpieczeństwa tak, aby zapewnić osiągnięcie wymaganego poziomu zapewnienia bezpieczeństwa PLr.
Wykonałem już dziesiątki projektów układu sterowania wraz z częścią sterowania odpowiedzialną za bezpieczeństwo i w większości przypadków okazywało się, że część odpowiedzialna za bezpieczeństwo musiała być wykonana w Pl-c:
Analizując powyższy graf widać dokładnie, że punkt startu był zapoczątkowany dla największych zagrożeń, łącznie ze śmiercią. Jeśli funkcja bezpieczeństwa (nieważne w tej analizie jaka) jest projektowana dla zautomatyzowanej maszyny, przy której operator nie jest w ciągłym narażeniu na niebezpieczeństwo i ma jednocześnie możliwość obserwowania całej strefy zagrożenia, która zapewnia mu warunek uniknięcia szkód, wyznaczonym PL jest PL-c.
Dla takiego poziomu zapewnienia bezpieczeństwa, projektant może wybrać 3 kategorie (1, 2 lub 3), zgodnie z wykresem poniżej:
Umiejętne posługiwanie się trzema parametrami definiującymi poziom zapewnienia bezpieczeństwa PLr, a więc:
- spodziewanym średnim czasem do uszkodzenia niebezpiecznego MTTFd,
- pokryciem diagnostycznym DC,
- użytej kategorii,
pozwala na wykonanie części sterowania odpowiedzialnej za bezpieczeństwo zgodnie z założeniami dla wymaganego PLr. A więc zapewnienie wymaganego poziomu bezpieczeństwa to nie tylko wybór kategorii bezpieczeństwa.
Proszę zauważyć, że poziom zapewnienia bezpieczeństwa Pl-c można zapewnić stosując jednokanałową architekturę części sterowania odpowiedzialnej za bezpieczeństwo, bez użycia jakiegokolwiek przekaźnika bezpieczeństwa. Warunkiem koniecznym jednak jest to, aby elementy, z których zaprojektowana i zbudowana jest funkcja bezpieczeństwa, były wypróbowanymi częściami składowymi i z wykorzystaniem wypróbowanych zasad bezpieczeństwa.
Bardzo często, przed zaprojektowaniem maszyny dla klienta słyszałem od klienta coś takiego: “u nas bezpieczeństwo musi być wykonane z kategorią 4”, albo “będzie was sprawdzała firma X i jeśli nie będzie tu kategorii 4, to nie będziecie mieć odebranej maszyny”. To projektant ma wiedzę na temat zagrożeń dotyczących maszyny przez siebie projektowanej i narzucanie projektantowi nadmiarowych rozwiązań nie wiąże się z zapewnieniem, że maszyna będzie jeszcze bardziej bezpieczna. A zwłaszcza dlatego, że sama kategoria nie jest zapewnieniem większego poziomu bezpieczeństwa. Jeśli producent wykonał analizę ryzyka wg PN-EN ISO 12100, zestawił wynik z oceny ryzyka na kroku 2 triady bezpieczeństwa do etapu zmniejszenia ryzyka częścią układu sterowania związaną z bezpieczeństwem i dokonał ewaluacji wraz z raportem np. w programie Sistema, to oznacza to, że wykonał obowiązek oceny i redukcji ryzyka w sposób całkowicie wystarczający.