Określenie Performance Level wg ISO 13849-1
Zadaniem normy PN-EN ISO 13849-1 jest określenie Performance Level wg ISO 13849-1, na podstawie którego należy zaprojektować część obwodu sterowania odpowiedzialną za bezpieczeństwo.
Podejście do projektowania części obwodu sterowania realizującej działanie funkcji bezpieczeństwa zmieniało się na przestrzeni lat i wciąż się zmienia. Od momentu pierwszej publikacji normy ISO 13849-1 w 1999 roku i od momentu obowiązywania jej od 2009 roku do dnia dzisiejszego norma wciąż ewoluuje, precyzując podejście w określaniu Performance Level wg ISO 13849-1, ale po kolei.
We wstępie mogliśmy się dowiedzieć, że wcześniejsza norma dotycząca projektowania części sterowania odpowiedzialnej za bezpieczeństwo PN-EN 954-1 opisywała metodę doboru kategorii w zależności od szacowanego ryzyka. Projektowanie elementów systemu bezpieczeństwa związanych z bezpieczeństwem uwzględniające dobór kategorii, było wykonane na podstawie oceny ryzyka (norma ta odnosiła się wówczas do nieobowiązującej już normy PN-EN 1050 “Zasady oceny ryzyka”) i grafu z załącznika B.
Wynikiem oceny wg PN-EN 954-1 była kategoria, czyli architektura części sterowania odpowiedzialnej za bezpieczeństwo. Graf oceny ryzyka pozwalał wybrać odpowiednią kategorię, na podstawie której należało zaprojektować elementy systemów sterowania związane z bezpieczeństwem. Zaprojektowanie części sterowania odpowiedzialnej za bezpieczeństwo wg wyników uzyskanych z grafu oceny ryzyka to w zasadzie wszystko, czego norma PN-EN 954-1 wymagała.
Podejście takie stało się niewystarczające. Norma niewiele mówiła o niezawodności użytych elementów w funkcji czasu, dlatego opublikowano normę PN-EN ISO 13849-1, która zmieniła podejście do określania cech charakteryzujących funkcję bezpieczeństwa. Graf oceny ryzyka został zmieniony i od momentu wprowadzenia normy PN-EN ISO 13849-1 wynikiem uzyskanym z grafu oceny ryzyka nie jest już kategoria, a Performance Level, czyli poziom zapewnienia bezpieczeństwa, określany za pomocą takich cech, jak:
- architektury części sterowania odpowiedzialnej za bezpieczeństwo, czyli kategorii znanych z normy PN-EN 954-1,
- spodziewanego średniego czasu do uszkodzenia niebezpiecznego MTTFD,
- współczynnika pokrycia diagnostycznego DC, oraz
- współczynnika CCF, określajacego udział usterek o tzw. wspólnych przyczynach.
Norma PN-EN ISO 13849-1 w załączniku A przedstawia metodę określenia poziomu zapewnienia bezpieczeństwa PLr. Metoda ta jest przewidziana jako wytyczne dla projektanta przy określaniu PLr dla każdej niezbędnej funkcji bezpieczeństwa, którą ma realizować część obwodu sterowania związana z bezpieczeństwem. Metoda ta nie jest obowiązkowa i możliwe jest zintegrowanie ogólnej metody oceny ryzyka i procesu redukcji ryzyka (wg PN-EN ISO 12100 i ISO/TR 14121-2) wraz z określeniem wymaganego poziomu zapewnienia bezpieczeństwa PLr. Miejsce normy PN-EN ISO 13849-1 w procesie redukcji ryzyka wg PN-EN ISO 12100 pokazuje poniższy graf. Kolorem żółtym zaznaczono proces zmniejszania ryzyka za pomocą technicznych środków ochronnych. Właśnie w tym miejscu należy określić poziom zapewnienia bezpieczeństwa (PLr) w przypadku, gdy technicznym środkiem bezpieczeństwa ma być urządzenie ochronne (blokada bezpieczeństwa sprzężona z osłoną ruchomą, kurtyna świetlna bezpieczeństwa, skaner bezpieczeństwa itp.).
Nie można zatem przejść do następnego kroku zmniejszania ryzyka za pomocą technicznych środków bezpieczeństwa, jeśli nie zostaną rozpatrzone wszelkie możliwe sposoby redukcji ryzyka za pomocą rozwiązań konstrukcyjnych. Pominięcie kroku pierwszego spowodowałoby, że rozwiązania techniczne mogłyby nie spełniać swojej roli nawet dla najwyższego poziomu Performance Level.
Przykład poniższy pokazuje, że blokada bezpieczeństwa z funkcją ryglowania (u dołu osłony ruchomej, niewidoczna na zdjęciu) nie spełnia swojej roli. Nie zapewniono dostatecznej sztywności osłony, przez co możliwe jest sięgnięcie do strefy niebezpiecznej, z łatwością odginając osłonę ruchomą. Nie można oczekiwać, że operator nie skorzysta z tej możliwości, zatem blokada bezpieczeństwa umieszczona u dołu osłony ruchomej nie zapewni ochrony nawet przy największym poziomie PLr. Konieczna stała się modyfikacja – umiejscowienie blokady bezpieczeństwa na środku osłony ruchomej, co skutecznie wyeliminowało możliwość dostania się do strefy niebezpiecznej, jak to pokazano na poniższym zdjęciu.
Dlatego podczas projektowania funkcji bezpieczeństwa należy pamiętać o tym, że nawet najwyższy poziom Performance Level nie będzie skutecznie chronił przed zagrożeniem, jeśli maszyna nie będzie pozbawiona podobnego typu słabości konstrukcyjnych, powodujących łatwe ominięcie układu bezpieczeństwa.
Jak zmieniało się podejście do wyznaczenia Performance Level wg ISO 13849-1?
Wyznaczenie Performance Level wg ISO 13849-1 determinuje sposób projektowania części sterowania odpowiedzialnej za bezpieczeństwo. Podobieństwo grafu znanego z normy PN-EN 954-1 do grafu opisanego w normie PN-EN ISO 13849-1 jest złudne. Nastręczało to wiele problemów – projektanci znający normę PN-EN 954-1 nawet przez wiele lat funkcjonowania nowej normy PN-EN ISO 13849-1 wciąż uważali, że wybór kategorii jest najważniejszym wyborem podczas projektowania funkcji bezpieczeństwa. Norma PN-EN ISO 13849-1 przez wiele lat nie była przez projektantów dobrze rozumiana i problem ten w wielu przypadkach istnieje do dziś.
Graf ryzyka wg PN-EN 954-1
Na początek wyjaśnię, jak określało się ciężkość urazów (oznaczone jako S), częstość i/lub czas trwania narażenia (oznaczone jako F) i możliwość przeciwdziałania zagrożeniom (oznaczona jako P) wg nieobowiązującej już normy PN-EN 954-1. Istotne jest zacząć właśnie od tej normy, gdyż pierwotne podejście do wyznaczania ścieżki w grafie z załącznika B ma odwzorowanie w normie PN-EN ISO 13849-1. Graf z załącznika B, pokazany na rysunku poniżej wymaga oszacowania tych wielkości, a wynik determinuje podejście w realizacji funkcji bezpieczeństwa.
Ważne jest to, aby wielkości te były dobrze zdefiniowane, bowiem zrozumienie ich przekłada się bezpośrednio na projekt i związane z realizacją projektu koszty. Wielkości te były charakteryzowane następująco:
Ciężkość urazów (oznaczona jako S) stanowi podział na obrażenia odwracalne (np. skaleczenia, stłuczenia) i nieodwracalne (np. amputacja, wypadek śmiertelny). Podczas szacowania ryzyka wynikającego z defektu w elementach systemu sterowania związanych z bezpieczeństwem uwzględniało się tylko urazy lekkie (odwracalne) i urazy ciężkie (nieodwracalne, łącznie ze śmiertelnym). Przy podejmowaniu decyzji o ustalaniu S1 lub S2 Norma PN-EN 954-1 zalecała uwzględniać najczęściej spotykane następstwa wypadków i procesy leczenia, np. stłuczenia, rany cięte bez dalszych komplikacji mogą być zakwalifikowane jako S1, podczas gdy amputacja lub śmierć kwalifikuje się jako S2.
Częstość i/lub czas trwania narażenia (oznaczona jako F) była dużo trudniejsza do ustalenia, gdyż nie wyznaczono ogólnych zasad przyjmowania czasu, dla którego wybiera się parametr F1 lub F2. Norma PN-EN 954-1 zalecała wybierać F2 wtedy, gdy człowiek często albo stale jest narażony. Tu norma podawała dwa słowa kluczowe: „rzadko” oraz „często”, przy czym nie wyjaśniała jednoznacznie, co należy przez to rozumieć, ani jakie zasady kierują wybieraniem czasu narażenia. Podawała natomiast sposób interpretacji czasu narażenia. Norma określała, aby czas trwania narażenia był ustalany na poziomie średnim w stosunku do całego czasu, w którym maszyna jest stosowana. Gdy np. konieczne było regularne sięganie pomiędzy narzędziami w trakcie cyklu pracy maszyny w celu podawania czy odbierania materiału, zalecało się wybrać F2. Jeśli odstęp był wymagany “od czasu do czasu”, można było wybrać F1. Norma PN-EN 954-1 nie wyjaśniała, co oznacza sformułowanie „od czasu do czasu”. Często w opracowaniach na temat bezpieczeństwa sformułowanie to interpretowane było następująco: jeśli dostęp do strefy niebezpiecznej wymagany był przynajmniej raz na zmianę (dzienny czas pracy człowieka), to był to częsty czas narażenia.
Możliwość przeciwdziałania zagrożenia (oznaczona jako P) była szacowana z uwzględnieniem wiedzy, czy zagrożenie jest znane i czy można mu przeciwdziałać. Ważne było, czy zagrożenie może być dokładnie zidentyfikowane na podstawie jego cech fizycznych, czy też może być rozpoznane tylko za pomocą np. wskaźników. Do czynników wpływających na wybór parametru P zaliczało się m. in. przeszkolenie i doświadczenie personelu obsługującego maszynę, szybkość powstawania zagrożenia, możliwość przeciwdziałania zagrożeniu (np. w wyniku ucieczki lub interwencji osób trzecich) i doświadczenie w zakresie bezpieczeństwa związanego z przebiegiem procesu. W przypadku wystąpienia sytuacji zagrożenia norma PN-EN 954-1 zalecała wybrać P1 wtedy, gdy istnieje realna możliwość uniknięcia wypadku lub znaczącego ograniczenia jego skutków. P2 zalecała wybrać wtedy, gdy uniknięcie zagrożenia jest prawie niemożliwe.
Graf ryzyka wg PN-EN ISO 13849-1
Graf ryzyka z załącznika A wg PN-EN ISO 13849-1 jest bardzo podobny do grafu z załącznika B wg PN-EN 954-1. Podobieństwo dotyczy wyżej opisanych wielkości, dzięki których osiągany jest wynik szacowania. Mamy tu te same wielkości, znane z normy PN-EN 954-1, a więc ciężar obrażeń (oznaczone jako S) , czas i/lub częstotliwość narażenia na niebezpieczeństwo (oznaczone jako F) i możliwość zapobiegania zagrożeniom lub ograniczenie szkód (oznaczona jako P).
Poniższy graf z załącznika A przedstawia sposób określania wymaganego poziomu zapewnienia bezpieczeństwa PLr.
Ten sam graf w najnowszej edycji normy PN-EN ISO 13849-1 z roku 2015 nie zmienił się, ale pojawił się dodatkowy parametr określający prawdopodobieństwo występowania niebezpiecznego zdarzenia. W innych metodach ryzyka określany literą “O”, w normie PN-EN ISO 13849-1 nie został w ten sposób nazwany, ale będziemy się nim posługiwać. W punkcie A.2.3 nowszej edycji normy pojawił się taki oto cytat:
Jeżeli można uzasadnić, że prawdopodobieństwo występowania niebezpiecznego jest małe, wówczas PLr może być zmniejszony o jeden poziom.
Występowanie parametru O można przedstawić następująco:
Widać zatem wyraźnie, że jest możliwe obniżenie całościowego PLr o jeden poziom w dół, jeśli znajdujemy uzasadnienie, że pojawienie się niebezpiecznego zdarzenia jest mało prawdopodobne (uwaga – funkcja zatrzymania awaryjnego zgodnie z normą PN-EN ISO 13850 nie może mieć PLr niższy niż PLr=c, porównaj z artykułem umieszczonym tutaj).
Zmieniło się również podejście w wyznaczaniu wielkości szacujących wymagany poziom Performance Level wg ISO 13849-1. Różnice przedstawia poniższa tabela:
PN-EN ISO 13849-1:2008 | PN-EN ISO 13849-1:2016-02 | |
S |
Podczas szacowania ryzyka wynikającego z wadliwej realizacji funkcji bezpieczeństwa uwzględnia się tylko urazy lekkie (zwykle odwracalne), urazy ciężkie (zwykle nieodwracalne) oraz śmierć. Przy podejmowaniu decyzji o przyjęciu S1 lub S2 zaleca się uwzględniać najczęściej spotykane skutki wypadków i typowe procesy leczenia. Na przykład stłuczenia i/lub rany cięte bez dalszych komplikacji mogą być zakwalifikowane jako S1, podczas gdy amputacje lub śmierć kwalifikuje się jako S2. |
Podobny zapis |
F |
Nie można ustalić ogólnych zasad przyjmowania okresu, dla którego wybiera się parametr F1 lub parametr F2. Poniższe wyjaśnienie może jednak ułatwić podjęcie właściwej decyzji w wątpliwych przypadkach. Zaleca się, aby F2 wybierać wtedy, gdy osoba jest często albo stale eksponowana na zagrożenie. Nie jest przy tym istotne, czy ta sama osoba lub różne osoby są eksponowane na kolejne zagrożenia, np. w przypadku korzystania z dźwigów. Zaleca się, aby parametr częstości był wybierany zgodnie z częstością i czasem trwania dostępu do strefy zagrożenia. Jeśli częstość przywołania funkcji bezpieczeństwa jest znana projektantowi, to może on wybrać częstość i czas trwania tego przywołania zamiast częstości i czasu trwania dostępu do strefy zagrożenia. W niniejszej części ISO 13849 zakłada się, że częstość przywołań funkcji bezpieczeństwa jest większa niż jeden raz na rok. Zaleca się, aby czas trwania narażenia był oceniany na podstawie średniej wartości w stosunku do całkowitego czasu, w którym wyposażenie jest używane. Przykładowo, gdy konieczne jest regularne sięganie pomiędzy narzędzia maszyny w trakcie cyklu pracy, w celu podawania i odbierania detalu, zaleca się wybrać F2. |
Podobny zapis |
Jeśli odstęp wymagany jest od czasu do czasu, wtedy zaleca się wybrać F1. w przypadku braku innego uzasadnienia należy wybrać F2, jeśli częstotliwość jest wyższa niż raz na godzinę. |
W przypadku braku innego uzasadnienia zaleca się wybranie F2 w przypadku częstości większej niż jeden raz na 15 min. F1 może być wybrane, jeśli łączny czas ekspozycji nie przekracza 1/20 całkowitego czasu operacji, a częstość nie jest większa niż jeden raz na 15 min. |
|
O | Brak |
Prawdopodobieństwo uniknięcia zagrożenia oraz prawdopodobieństwo wystąpienia zdarzenia niebezpiecznego łączą się w parametrze P. W przypadku wystąpienia niebezpiecznej sytuacji P1 zaleca się wybranie tylko wtedy, gdy istnieje rzeczywista szansa uniknięcia zagrożenia lub znacznego zmniejszenia jego skutku; w przeciwnym przypadku zaleca się wybranie P2. Jeżeli można uzasadnić, że prawdopodobieństwo występowania niebezpiecznego zdarzenia jest małe, wówczas PLr może być zmniejszony o jeden poziom, patrz A.2.3.2. |
P |
Istotne znaczenie ma wiedza, czy sytuacja zagrożenia może być rozpoznana, zanim doprowadzi do powstania szkody i czy można jej uniknąć. Na przykład ważne jest, czy zagrożenie może być bezpośrednio zidentyfikowane na podstawie jego cech fizycznych czy też tylko za pomocą środków technicznych, np. wskaźników. Do innych ważnych czynników wpływających na wybór parametru P zalicza się np.:
Gdy wystąpi sytuacja niebezpieczna, P1 należy wybrać tylko wtedy, gdy istnieje realna szansa na uniknięcie wypadku lub znaczne zmniejszenie jego skutków; P2 należy wybrać, jeśli prawie nie ma szans na uniknięcie zagrożenia. |
Istotne znaczenie ma wiedza, czy sytuacja zagrożenia może być rozpoznana, zanim doprowadzi do powstania szkody i czy można jej uniknąć. Na przykład ważne jest, czy zagrożenie może być bezpośrednio zidentyfikowane na podstawie jego cech fizycznych czy też tylko za pomocą środków technicznych, np. wskaźników. Do innych ważnych czynników wpływających na wybór parametru P zalicza się np.:
|
Zestawiając w/w różnice widać np., w jaki sposób zmieniło się podejście do określania czasu i/lub częstotliwość narażenia na niebezpieczeństwo F. Wg nowszej edycji normy, możliwe jest dla takiego samego ryzyka zmniejszenie Performance Level o jeden poziom w dół.
Jeśli dodatkowo wykorzystamy parametr O, nasza ścieżka oszacowania wymaganego poziomu Performance Level wg ISO 13849-1 będzie wyglądała następująco:
Z Performance Level PLr=d wg ISO 13849-1 z edycji normy z 2008 roku zeszliśmy do PLr=b. Co to oznacza?
Oznacza to tyle, że możliwe jest zaprojektowanie funkcji bezpieczeństwa w kategorii B, a nie w kategorii co najmniej 2, wymaganej dla PLr=d, jak to widać na poniższym wykresie. Czy to dobrze czy źle? Nie oznacza to przecież, że świadomość ludzi na temat zagrożeń jest na wyższym poziomie, niż kilka lat temu i dlatego możemy zmniejszyć niezawodność komponentów bezpieczeństwa. Zmiana w podejściu szacowania wymaganego PLr wynika raczej z obserwacji rynku – część sterowania odpowiedzialna za bezpieczeństwo jest dobrze zdefiniowana w normach PN-EN ISO 13849-1 i PN-EN ISO 13849-2, co pozwala wysunąć stwierdzenie, że odpowiedni projekt wraz z implementacją wymaganych zasad bezpieczeństwa (opisanych w PN-EN ISO 13849-2) zapewnia wysoką niezawodność nawet dla architektury jednokanałowej. Część sterowania odpowiedzialna za bezpieczeństwo będzie nieskuteczna, jeśli będzie podatna na manipulacje i z tego powodu, że często tak jest, dochodzi do wypadków. Na tym powinni się skupić projektanci maszyn.
Jeśli kogoś interesuje temat przeciwdziałania ominięciom urządzeń bezpieczeństwa, zapraszam do cyklu artykułów “Manipulacje przy urządzeniach ochronnych“.
Niniejszy cykl artykułów przybliży ten temat. Zapraszam do kolejnej części.