Zrozumieć kategorie wg ISO 13849-1

Kategoria B15 min read

Kategoria B

Kategoria B, wraz z innymi kategoriami pojawiła się wraz z pojawieniem się normy EN 954-1 w 1996 r. Od tamtej pory pojęcie “kategorii” pozostało już po wycofaniu tej normy i zastąpieniu jej normą PN-EN ISO 13849-1. Podział części systemu sterowania na kategorie wyznaczał odporność tej części na defekty oraz zachowanie się w przypadku defektu.

Kiedyś do części sterowania odpowiedzialnej za bezpieczeństwo wykorzystywano prostą architekturę z pojedynczym stycznikiem (czasami dwoma), oraz jednokanałową architekturą w celu utrzymania obwodu cewki stycznika po naciśnięciu przycisku START. Zasilanie elementów wykonawczych maszyny było dostarczane przez styki takiego stycznika (do dziś można się spotkać z angielską nazwą takiego stycznika MCR – Master Control Relay). Obwód zatrzymania awaryjnego realizował przycisk wyposażony w styk NC (S2 na rys) Urządzenia te były zwykle sprężynowe, więc aby przywrócić zasilanie, wystarczyło ponownie nacisnąć przycisk S1.

Kategoria B

Producenci urządzeń sterujących mieli w swej ofercie ponadwymiarowe wersje, takie jak stycznik Allen-Bradley Bulletin 700-PK, który miał obciążalność do 35 A, dużo większą w porównaniu ze zwykłymi stycznikami Bulletin 70.

MCR

Kiedy zaczęły pojawiać się osłony sprzężone z układem sterowania, były one integrowane z oryginalnym obwodem MCR przez dodanie przekaźnika sterującego (-K2 na rys. 2), którego cewka była sterowana za pomocą blokady –B1 i którego styki były połączone szeregowo z obwodem cewki stycznika MCR. Otwarcie blokady ochronnej powodowało otwarcie obwodu cewki MCR i wyłączenie mocy elementów ruchomych maszyny.

MCR Kategoria B

Blokada –B1 była dowolnym rodzajem przełącznika. Często wybieranym rodzajem blokady był wyłącznik krańcowy z mikroprzełącznikiem. Urządzenia tego typu były bardzo awaryjne i śmiesznie łatwe do obejścia. Wszystko, czego było potrzebne do manipulacji, to kawałek taśmy lub elastycznej opaski zaciskowej, aby wykluczyć blokadę ze sterowania.

Krańcówka

Problem z tego typu obwodami polegał na tym, że mogły one zawieść na wiele sposobów, w wyniku czego blokada nie będzie działać zgodnie z oczekiwaniami lub zatrzymanie awaryjne zawiedzie, gdy będzie najbardziej potrzebne.

Opisane wyżej przykłady są podstawą tego, co stało się znane jako „Kategoria B” („B” zaczerpnięte zostało z pierwszej litery słowa „Basic”).

Kategoria B wg PN-EN 954-1

Oto definicja kategorii B wg standardu PN-EN 954-1:

6.2.1 Kategoria B

Elementy systemów sterowania związane z bezpieczeństwem powinny być zaprojektowane, zbudowane, dobrane, zmontowane i zestawione w kombinacje, co najmniej z uwzględnieniem postanowień zawartych w stosownych normach i z zastosowaniem podstawowych zasad bezpieczeństwa, w odniesieniu do konkretnych zastosowań, tak aby mogły wytrzymać:

  • spodziewane narażenia pracy, np. niezawodność jest zależna od ilości i częstości operacji,
  • wpływ użytych materiałów, np. detergentów w pralce,
  • wpływ innych istotnych czynników zewnętrznych, np. drgań mechanicznych, pól zewnętrznych, przerw lub zakłóceń w dostawie energii.

UWAGA 1: W przypadku elementów zgodnych z kategorią B nie stosuje się żadnych specjalnych środków.

UWAGA 2: Wystąpienie defektu może powodować utratę funkcji bezpieczeństwa. Do spełnienia wymagań zawartych w EN 292-2:1991/A1:1995 załącznik A, mogą być niezbędne dodatkowe środki, nie zapewniane przez elementy systemu sterowania związane z bezpieczeństwem.

Kategoria B wg PN-EN ISO 13849-1

W kategorii B wg PN-EN ISO 13849-1 dochodzą wymagania jakościowe:

6.2.3 Kategoria B

SRP/CS powinny być zaprojektowane, zbudowane, dobrane, zmontowane i zestawione w kombinacje, co naj­mniej zgodnie z wymaganiami stosownych norm i z zastosowaniem podstawowych zasad bezpieczeństwa, w odniesieniu do konkretnych zastosowań, tak aby mogły wytrzymać:

  • spodziewane narażenia podczas pracy, np. niezawodność z uwzględnieniem zdolności do przełączeń i ich częstości,
  • wpływ przetwarzanych materiałów, np. detergentów w pralce, i
  • wpływ innych istotnych czynników zewnętrznych, np. drgań mechanicznych, oddziaływań elektromagne­tycznych, przerw lub zakłóceń w dostawie energii.

W układach kategorii B nie ma pokrycia diagnostycznego (DCavg = bez diagnostyki), a MTTFD każdego kanału może być niski do średniego. Takich struktur (zwykle systemy jednokanałowe) nie dotyczy rozważanie CCF.

Maksymalny PL osiągalny w kategorii B wynosi PL = b

Wymagania dotyczące kompatybilności elektromagnetycznej można znaleźć we właściwych normach wyrobu, np. IEC 61800-3 dla układów napędowych. Dla bezpieczeństwa funkcjonalnego SRP/CS istotne są przede wszystkim wymagania odporności. W przypadku gdy nie istnieje norma wyrobu, należy spełnić co najmniej wymagania odporności wg IEC 61000-6-2.

W normie PN-EN ISO 13849-1 można znaleźć obrazek opisujący architekturę jednokanałową kategorii B:

Kategoria B, Kategoria 1

Jeśli spojrzysz na ten schemat blokowy i obwód Start/Stop z podtrzymaniem jak powyżej, łatwo zorientujesz się, że ten prosty obwód przekłada się na architekturę jednokanałową, ponieważ począwszy od wejść sterujących do sterowania obciążeniem można zidentyfikować pojedynczy kanał. Awaria dowolnego komponentu w kanale może spowodować utratę kontroli nad elementem ruchomym.

W definicji kategorii B ukrytych jest kilka słów kluczowych. Przyjrzyjmy się każdej części tej definicji bardziej szczegółowo, ponieważ każda z kolejnych kategorii opiera się na tych podstawowych wymaganiach. Do analizy weźmy definicję zawartą w normie PN-EN ISO 13849-1, jako że jest ona obowiązująca.

Związane z bezpieczeństwem części systemów sterowania powinny być zaprojektowane, zbudowane, dobrane, zmontowane i zestawione w kombinacje, co naj­mniej zgodnie z wymaganiami stosownych norm i z zastosowaniem podstawowych zasad bezpieczeństwa…

Podstawowe zasady bezpieczeństwa

Podstawowe zasady bezpieczeństwa zostały szczegółowo opisane w tablicy A.1 (mechanika), B.1 (pneumatyka), C.1 (hydraulika), D.1 (elektryka) normy PN-EN ISO 13849-2. Jeśli się przyjrzysz tym wymaganiom, sam dojdziesz do wniosku, że aby część sterowania odpowiedzialna za bezpieczeństwo mogła spełniać założenia tak prostej i podstawowej kategorii jak kategoria B, musi być spełnionych mnóstwo podstawowych zasad, opisanych w tych tabelach. Zasady te wymagają wiedzy na temat projektowania, doboru i integrowania układów sterowania, w szczególności tych odpowiedzialnych za bezpieczeństwo.

Dla przykładu, poniżej przedstawiam tylko podstawowe zasady bezpieczeństwa dotyczące części elektrycznej (tabela D.1 wg PN-EN ISO 13849-2). Pamiętać jednak należy o tym, że oprócz tych niżej wymienionych, są również podstawowe zasady bezpieczeństwa dotyczące mechaniki, pneumatyki i hydrauliki. Odsyłam do normy PN-EN ISO 13849-2 po więcej informacji.

Podstawowe zasady bezpieczeństwa Komentarze
Stosowanie odpowiednich materiałów i metod wytwarzania Dobór materiałów, metod wytwarzania i obróbki ze względu na np. naprężenia, trwałość, sprężystość, tarcie, zużycie, korozję, temperaturę, przewodność właściwą, sztywność dielektryczną.
Prawidłowe zwymiarowanie i ukształtowanie Uwzględnić np. naprężenie, odkształcenie, zmęczenie, chropowatość powierzchni, tolerancje, wytwarzanie.
Właściwy dobór, łączenie, usytuowanie, montaż i instalowanie elementów/układu Przestrzegać wskazań producenta dotyczących stosowania, np. karty katalogowe, instrukcje dotyczące instalowania, specyfikacje, oraz stosować dobrą praktykę inżynierską.
Właściwe połączenie ochronne Jedna strona obwodu sterowniczego, jeden zacisk cewki roboczej każdego urządzenia działającego z wykorzystaniem elektromagnesu lub jeden zacisk innego urządzenia elektrycznego są przyłączone do układu połączenia ochronnego (patrz IEC 60204-1:2005, 9.4.3.1).
Monitorowanie izolacji Stosować takie urządzenie monitorujące izolację, które albo wskazuje zwarcie doziemne, albo automatycznie przerywa obwód po zwarciu doziemnym (patrz IEC 60204-1:2005, 6.3.3).
Stosowanie zasady odłączania napięcia

Stan zapewniający bezpieczeństwo osiąga się poprzez odłączenie napięcia od wszystkich właściwych urządzeń, np. poprzez zastosowanie zestyków normalnie zamkniętych (NZ) na wejściu (przyciski, łączniki drogowe) i zestyków normalnie otwartych (NO) dla przekaźników (patrz także ISO 12100:2010, 6.2.11.3).

Istnieją pewne wyjątki od niniejszej zasady, np. gdy utrata zasilania elektrycznego powoduje dodatkowe zagrożenie. Funkcje opóźnienia czasowego mogą okazać się niezbędne do uzyskania stanu układu zapewniającego bezpieczeństwo (patrz IEC 60204-1:2005, 9.2.2).

Gaszenie przepięć

Stosować urządzenie gaszące (RC, dioda, warystor) równolegle z obciążeniem, ale nie równolegle z zestykami.

UWAGA Dioda wydłuża czas wyłączania.

Skrócenie czasu odpowiedzi Minimalizować opóźnienie w odłączaniu napięcia od elementów przełączających.
Kompatybilność Stosować elementy kompatybilne ze stosowanymi napięciami i prądami.
Odporność na warunki środowiskowe Sprzęt tak zaprojektować, aby mógł pracować we wszystkich oczekiwanych środowiskach i możliwych do przewidzenia warunkach niekorzystnych, np. temperatura, wilgotność, drgania, zaburzenia elektromagnetyczne (EMI) (patrz Rozdział 10).
Bezpieczne umocowanie urządzeń wejściowych

Tak zabezpieczyć urządzenia wejściowe, np. łączniki blokujące, łączniki drogowe, przełączniki krańcowe, łączniki zbliżeniowe, aby położenie, wzajemne ustawienie i tolerancja przełączania były utrzymywane we wszystkich oczekiwanych warunkach, np. drgania, normalne zużycie, wnikanie ciał obcych, temperatura.

Patrz ISO 14119:1998, Rozdział 5.

Zabezpieczenie przed niespodziewanym uruchomieniem Zapobiec niespodziewanemu uruchomieniu, np. po przywróceniu zasilania (patrz ISO 12100:2010, 6.2.11.4, ISO 14118, IEC 60204-1).
Zabezpieczenie obwodu sterowania Zaleca się zabezpieczenie obwodu sterowania zgodnie z IEC 60204-1:2005, 7.2 i 9.1.1.
Sekwencyjne przełączanie w obwodzie zawierającym zestyki szeregowe sygnałów redundantnych W celu uniknięcia uszkodzenia wspólnego rodzaju w postaci zespawania się obu zestyków, włączanie i wyłączanie nie zachodzą równocześnie, tak aby jeden zestyk zawsze przełączał bez prądu.

Przyjrzyjmy się takiemu prostemu układowi sterowania, jak na rysunku poniżej. Jest to klasyczny układ załączenia z podtrzymaniem:

Podstawowe zasady bezpieczeństwa - Kategoria B

Właściwe połączenie ochronne [1] – jedna strona obwodu sterowniczego, jeden zacisk cewki roboczej każdego urządzenia działającego z wykorzystaniem elektromagnesu lub jeden zacisk innego urządzenia elektrycznego są przyłączone do układu połączenia ochronnego. Układ sterowania powinien być tak zaprojektowany, aby zwarcie doziemne w jakiejkolwiek części układu sterowania zostało wykryte i mogła powstać odpowiednia reakcja, np. zadziałanie elementu przeciążeniowego. Nie może być sytuacji, w której zwarcie doziemne części obwodu sterowania wyeliminuje z działania np. tą część, za którą wystąpiło zwarcie, a układ sterowania tego nie wykryje. Niestety często zdarza się, że w przypadku zastosowania zasilacza zapewniającego zasilanie układu sterowania napięciem np. 24V DC, projektanci z braku wiedzy nie stosują tego wymagania.

Poniższy przykład pokazuje brak zastosowania uziemienia zacisków potencjału ujemnego zasilaczy. W rzeczywistym obwodzie sterowania również ich nie było.

Stosowanie zasady odłączania napięcia [2] – stan zapewniający bezpieczeństwo osiąga się poprzez odłączenie napięcia od wszystkich właściwych urządzeń, np. poprzez zastosowanie zestyków normalnie zamkniętych (NZ) na wejściu (przyciski, łączniki drogowe) i zestyków normalnie otwartych (NO) dla przekaźników. Chyba nie trzeba tego tłumaczyć. Wiadomo, ze odłączenie zapewniane jest poprzez rozwarcie z zastosowaniem rozłączenia styków normalnie zamkniętych.

Gaszenie przepięć [3] – stosować urządzenie gaszące (RC, dioda, warystor) równolegle z obciążeniem, ale nie równolegle z zestykami. Zasada często pomijana, a bardzo ważna. Więcej na ten temat można przeczytać w artykule „Zabezpieczenie przed przepięciami wynikającymi z czynności łączeniowych”.

Niestety sprawa często pomijana, co pokazuje poniższe zdjęcie styczników i przekaźników, wykorzystanych do realizacji funkcji bezpieczeństwa w autentycznej maszynie.

Zabezpieczenie obwodu sterowania [4] – zabezpieczenie nadprądowe należy przewidzieć tam, gdzie prąd w obwodzie może przekraczać albo wartość znamionową dowolnej części składowej, albo dopuszczalne obciążenie prądowe przewodów, zależnie od tego, która wartość jest mniejsza. Projektanci czasami zapominają o tym, że w przypadku zastosowania zasilacza zapewniającego zasilanie układu sterowania napięciem np. 24V DC, obwód wtórny należy zabezpieczyć. Oczywiście zabezpieczenie to będzie odpowiednio skuteczne, jeśli dodatkowo zostanie zastosowana zasada [1].

Oprócz wyżej wymienionych zasad, układ zapewnia zabezpieczenie przed niespodziewanym uruchomieniem. Zanik napięcia spowoduje odłączenie zasilania cewki przekaźnika K1. Skrócenie czasu odpowiedzi zapewniane jest np. poprzez odpowiedni dobór urządzenia gaszącego [3]. W jaki sposób urządzenia do gaszenia przepięć pogarszają czas odpowiedzi można przeczytać w artykule „Zabezpieczenie przed przepięciami wynikającymi z czynności łączeniowych”.

Trudno na schemacie przedstawić dodatkowe, bardzo istotne wymagania dotyczące podstawowych zasad bezpieczeństwa, takich jak:

  • stosowanie odpowiednich materiałów i metod wytwarzania,
  • prawidłowe zwymiarowanie i ukształtowanie,
  • odporność na warunki środowiskowe,
  • właściwy dobór, łączenie, usytuowanie, montaż i instalowanie elementów/układu,
  • bezpieczne umocowanie urządzeń wejściowych,

więc je po prostu pominiemy, gdyż zasady te powinny być dla nas jasne i nie wymagają komentarza.

Same podstawowe zasady bezpieczeństwa, które dotyczą wszystkich kategorii bez wyjątku są dosyć restrykcyjne i niestety często pomijane. Dlatego najwięcej błędów pojawia się podczas prac instalacyjnych. Nieodpowiednie przygotowanie, brak wiedzy na temat podstawowych zasad bezpieczeństwa lub brak nadzoru nad poprawnością instalacji powoduje, że funkcja bezpieczeństwa nie zostanie wykonana z zapewnieniem fundamentalnych zasad bezpieczeństwa. Może to być podstawą do zakwestionowania części sterowania odpowiedzialnej za bezpieczeństwo do pełnienia funkcji, do jakiej została zaprojektowana.

Jak widać, podstawowe zasady bezpieczeństwa są zrozumiałe, intuicyjne i tak podstawowe, że aż oczywiste. Zdarza się niestety, że brak odpowiedniego przygotowania projektanta lub bagatelizowanie tych zasad przez integratora powoduje, że nie zawsze te podstawowe warunki są spełnione. Należy pamiętać, że podstawowe zasady bezpieczeństwa dotyczą wszystkich kolejnych kategorii bezpieczeństwa i brak zastosowania podstawowych zasad bezpieczeństwa jest podstawą do zakwestionowania każdej kategorii.

Wracamy do definicji kategorii B. Spójrz na część zdania z wyżej przytoczonego fragmentu definicji:

…spodziewane narażenia podczas pracy, np. niezawodność z uwzględnieniem zdolności do przełączeń i ich częstości,

Wymaganie dotyczy konieczności poprawnego określenia komponentów w odniesieniu do napięcia, prądu, zdolności wyłączania, temperatury, wilgotności, zapylenia itp.

…wpływ innych istotnych czynników zewnętrznych, np. drgań mechanicznych, oddziaływań elektromagne­tycznych, przerw lub zakłóceń w dostawie energii.

(…)

Wymagania dotyczące kompatybilności elektromagnetycznej można znaleźć we właściwych normach wyrobu, np. IEC 61800-3 dla układów napędowych. Dla bezpieczeństwa funkcjonalnego SRP/CS istotne są przede wszystkim wymagania odporności. W przypadku gdy nie istnieje norma wyrobu, należy spełnić co najmniej wymagania odporności wg IEC 61000-6-2…

Prawdopodobnie najważniejszym pojęciem w tej części wymagania kategorii B są „zakłócenia elektromagnetyczne”. Jeśli twój produkt jest przeznaczony dla Unii Europejskiej (UE), prawie na pewno będziesz przeprowadzał testy EMC, chyba że twój produkt jest „instalacją stacjonarną”. W przypadku jednostkowych maszyn, nie jest ani możliwe, ani ekonomiczne sprawdzenie produktu w specjalistycznym laboratorium. Pozostają dobre praktyki inżynierskie. Więcej możesz przeczytać w części poświęconej kompatybilności elektromagnetycznej na tym Blogu.

Pokrycie diagnostyczne DC

…W układach kategorii B nie ma pokrycia diagnostycznego (DCavg = bez diagnostyki)…

Systemy sterowania związane z bezpieczeństwem kategorii B są zasadniczo jednokanałowe. Pojedyncza usterka w systemie spowoduje utratę funkcji bezpieczeństwa. Zdanie to odnosi się do koncepcji „pokrycia diagnostycznego”, która została wprowadzona w ISO 13849-1: 2007, ale w praktyce oznacza to, że kategoria B nie zapewnia monitorowania ani informacji zwrotnych od jakichkolwiek elementów krytycznych.

Średni czas do niebezpiecznego uszkodzenia MTTFD

MTTFD każdego kanału może być niski do średniego…

Ta część wymagania odnosi się do innej nowej koncepcji z ISO 13849-1, „MTTFD”. Będąc na poziomie „średnim” MTTFD, koncepcja ta uwzględnia oczekiwany współczynnik awaryjności elementu w godzinach. Obliczanie MTTFD jest istotną częścią wdrażania nowego standardu. Oznacza to, że z punktu widzenia rozumienia kategorii B nie trzeba używać komponentów o wysokiej niezawodności w części obwodów sterowania odpowiedzialnej za bezpieczeństwo.

Uszkodzenia o wspólnej przyczynie CCF

…Takich struktur (zwykle systemy jednokanałowe) nie dotyczy rozważanie CCF.

CCF to kolejna nowa koncepcja ISO 13849-1. Nie będę tutaj omawiać tego szczegółowo, ale wystarczy powiedzieć, że techniki projektowania, a także separacja kanałów (niemożliwe w architekturze jednokanałowej) i inne techniki są wykorzystywane do zmniejszenia prawdopodobieństwa powstawania tzw. defektów o wspólnej przyczynie w systemach o wyższej niezawodności.

Poziom zapewnienia bezpieczeństwa PLr

Maksymalny PL osiągalny w kategorii B wynosi PL = b

PLr, tzw. „Performance Level”, podzielony na pięć stopni od „a” do „e”. PLr=a jest równe średniemu prawdopodobieństwu niebezpiecznej awarii na godzinę (≥ 10-5 do <10-4) awarii na godzinę. PLr=b wynosi ≥ 3×10-6 do <10-5 awarii na godzinę lub raz na 10 000 do 100 000 godzin, do jednego w ciągu 3 000 000 godzin pracy. Brzmi to tak, jakby to było bardzo dużo, ale gdy mamy do czynienia z prawdopodobieństwem, liczby te są w rzeczywistości dość niskie.

Kategoria B


Rozważmy pracę części obwodu związanego z bezpieczeństwem dla jednej zmiany, gdzie:

  • normalny rok pracy wynosi 50 tygodni,
  • normalny dzień pracy wynosi 8 godzin.
  • Ilość godzin pracy wynosi 8h x 5d x 50 t = 2000 godzin/rok

Dzieląc wskaźnik awaryjności przez ilość godzin/rok dla PLr=a, wychodzi nam od jednej awarii na 5 lat pracy do jednej awarii na 50 lat.

Dla PLr=b, wychodzi nam od jednej awarii na 50 lat do jednej awarii na 1500 lat.


Rozważmy pracę części obwodu związanego z bezpieczeństwem dla jednej zmiany, gdzie:

  • normalny rok pracy wynosi 50 tygodni,
  • normalny dzień pracy wynosi 8 godzin.
  • Ilość godzin pracy wynosi 3 x 8h x 5d x 50 t = 6000 godzin/rok

Dzieląc wskaźnik awaryjności przez ilość godzin/rok dla PLr=a, wychodzi nam od jednej awarii na 1,6 lat pracy do jednej awarii na 16,7 lat.

Dla PLr=b, wychodzi nam od jednej awarii na 16,7 lat do jednej awarii na 500 lat.


Ważne jest, aby pamiętać, że z obliczonego prawdopodobieństwa można wyciągnąć wniosek taki, że awaria może nastąpić w pierwszej godzinie działania, w dowolnym momencie po tym, lub nigdy. Liczby te dają pewien sposób oceny względnej niezawodności części sterowania odpowiedzialnej za bezpieczeństwo i nie są żadnym rodzajem gwarancji.

Kategoria B – podsumowanie

Kategoria B, mimo swej prostoty nie jest taka prosta, jakby się wydawało. Konieczność stosowania podstawowych zasad bezpieczeństwa oraz projektowania z wymaganiami norm jest zapewnieniem, że funkcja bezpieczeństwa wykonana w kategorii B w wielu przypadkach jest zupełnie wystarczająca. Kategoria B jest poza tym bardzo ważną kategorią, bowiem jej zasady są wspólne dla wszystkich kolejnych kategorii.