Zrozumieć kategorie wg ISO 13849-1

Kategoria 221 min read

Kategoria 2

Kategoria 2 została po raz pierwszy zdefiniowana w wycofanej już normie EN 954-1. Odkąd kategoria ta została uzupełniona o wskaźniki probabilistyczne w normie ISO 13849-1, kategoria 2 zaczęła sprawiać najwięcej problemów. Dzieje się tak dlatego, że w definicji kategorii 2 zostało poukrywanych kilka trudnych w implementacji wymagań, przez co jest to chyba najrzadziej spotykana kategoria w części sterowania odpowiedzialnej za bezpieczeństwo.

Jest to również kategoria, której definicja przysparza sporo problemów, przez co w wielu przypadkach trudno jest stwierdzić, czy jednokanałowy system bezpieczeństwa jest wykonany zgodnie z założeniami kategorii 2, czy też nie.

Kategoria 2 w normie EN 954-1 była bardziej zrozumiała, gdyż pewnych wymagań wprowadzonych w normie ISO 13849-1 w niej nie było. Te różnice sprawiają, że kategoria 2 wg EN 954-1 nie jest już kategorią 2 wg ISO 13849-1, ale po kolei. Zacznijmy od definicji kategorii 2 wg PN-EN 954-1.

Kategoria 2 wg PN-EN 954-1

Definicja kategorii 2 wg PN-EN 954-1 brzmi następująco:

Powinny być spełnione wymagania kategorii B, stosowane sprawdzone zasady bezpieczeństwa i wymagania zawarte w niniejszym podrozdziale.

Elementy systemów sterowania związane z bezpieczeństwem kategorii 2 powinny być tak zaprojektowane, aby ich funkcja(-e) bezpieczeństwa była(-y) sprawdzana w odpowiednich odstępach czasu przez system sterowania maszyny. Sprawdzenie to powinno następować:

  • podczas uruchamiania maszyny i przed wystąpieniem każdej sytuacji zagrożenia, oraz
  • okresowo podczas pracy, gdy wyniki oceny ryzyka i rodzaj pracy wskazują, że jest to konieczne.

Sprawdzenie powinno być inicjowane automatycznie lub ręcznie. Wynikiem każdego sprawdzenia funkcji bezpieczeństwa powinno być:

  • albo zezwolenie na pracę, jeśli nie zostały wykryte żadne defekty, lub
  • generowanie sygnałów wyjściowych inicjujących odpowiednie działanie systemu sterowania, jeżeli wykryto defekt. Zawsze, jeśli jest to możliwe, sygnały te powinny spowodować wprowadzenie stanu bezpiecznego. Jeśli nie jest możliwe wprowadzenie stanu bezpiecznego (np. w przypadku zespolenia styczników w wyłączniku krańcowym), wtedy sygnały wyjściowe powinny powodować ostrzeganie o wystąpieniu zagrożenia.

Samo sprawdzenie nie powinno powodować sytuacji zagrożenia. Urządzenie sprawdzające może być częścią elementu(-ów) związanego z bezpieczeństwem realizującego funkcję bezpieczeństwa lub może być urządzeniem oddzielnym.

Po rozpoznaniu defektu stan bezpieczny powinien być zachowany aż do usunięcia defektu.

UWAGA 1: W niektórych przypadkach nie jest możliwe stosowanie kategorii 2, ponieważ sprawdzanie funkcji bezpieczeństwa nie może dotyczyć wszystkich części składowych, np. przełączników ciśnieniowych lub czujników temperatury.

UWAGA 2: Zwykle kategoria 2 może być realizowana w technice elektronicznej, np. w urządzeniach ochronnych i określonych systemach sterowania.

UWAGA 3: Zachowanie się systemu kategorii 2 umożliwia, że:

  • wystąpienie defektu może spowodować utratę funkcji bezpieczeństwa między sprawdzeniami,
  • utratę funkcji bezpieczeństwa rozpoznaje się w wyniku sprawdzenia.

Kategoria 2 wg PN-EN ISO 13849-1

Teraz spójrzmy do definicji kategorii 2, zaczerpniętej z ISO 13849-1. Pamiętaj, że w przytoczonej definicji SRP/CS oznacza element systemu sterowania związany z bezpieczeństwem.

W przypadku kategorii 2 powinny być spełnione wymagania dotyczące kategorii B podane w 6.2.3. Zastosować także należy „wypróbowane zasady bezpieczeństwa”, zgodnie z 6.2.4. Dodatkowo stosuje się poniższe wymagania.

SRP/CS kategorii 2, powinny być zaprojektowane tak, aby ich funkcja(-e) bezpieczeństwa była(-y) sprawdzana(-e) w odpowiednich odstępach czasu przez system sterowania maszyny. Sprawdzenie powinno następować:

  • podczas uruchamiania maszyny i
  • przed wystąpieniem każdej sytuacji zagrożenia, np. rozpoczęcie nowego cyklu, rozpoczęcie innych ruchów, bezpośrednio przed przywołaniem funkcji bezpieczeństwa i/lub okresowo podczas pracy, jeśli wyniki oceny ryzyka i rodzaj pracy wskazują, że jest to konieczne.

Sprawdzanie może być inicjowane automatycznie. Wynikiem każdego sprawdzenia funkcji bezpieczeństwa powinno być:

  • albo zezwolenie na pracę, jeśli nie zostały wykryte żadne defekty, albo
  • generowanie sygnałów wyjściowych (OTE) inicjujących odpowiednie działanie sterujące, jeżeli wykryto defekt.

W przypadku PLr = d sygnały wyjściowe (OTE) powinny inicjować stan zapewniający bezpieczeństwo, który powinien być utrzymywany, dopóki defekt nie zostanie usunięty.

W przypadku PLr do poziomu c włącznie, sygnały wyjściowe (OTE) powinny inicjować stan zapewniający bezpieczeństwo, który powinien być utrzymywany, dopóki defekt nie zostanie usunięty. Jeśli nie jest to możliwe (np. w przypadku zgrzania styków w końcowym urządzeniu przełączającym), może być wystarczające, że ostrzeżenia spowodują sygnały wyjściowe (OTE).

W przypadku architektury dedykowanej do kategorii 2, jak pokazano na Rysunku 10, przy obliczaniu MTTFD i DCavg zaleca się uwzględnienie tylko bloków kanału funkcjonalnego (tzn. I, L oraz O na Rysunku 10), z pomi­nięciem bloków kanału testującego (tzn. TE oraz OTE na Rysunku 10).

Pokrycie diagnostyczne (DCavg) kanału funkcjonalnego powinno być co najmniej niskie. MTTFD każdego kanału powinien być od niskiego do wysokiego, zależnie od wymaganego poziomu zapewnienia bezpieczeństwa (PLr). Należy zastosować środki zapobiegania CCF (patrz Załącznik F).

Samo sprawdzanie nie powinno powodować sytuacji zagrożenia (np. z powodu wydłużenia czasu zadziałania). Urządzenie testujące może być częścią elementu(-ów) związanego(-ych) z bezpieczeństwem realizującego(-ych) funkcję bezpieczeństwa lub urządzeniem oddzielnym.

Maksymalny osiągalny PL dla kategorii 2 wynosi PL = d.

UWAGA 1 W niektórych przypadkach nie jest możliwe stosowanie kategorii 2, ponieważ nie jest możliwe sprawdzanie funkcji bezpieczeństwa we wszystkich częściach składowych.

UWAGA 2 Zachowanie się systemu kategorii 2 charakteryzuje się tym, że:

  • wystąpienie defektu może spowodować utratę funkcji bezpieczeństwa między sprawdzeniami;
  • utrata funkcji bezpieczeństwa jest wykrywana podczas sprawdzania.

UWAGA 3 Zasadność przyjęcia funkcji kategorii 2 wynika również stąd, że przyjęte środki techniczne oraz, na przykład, wybór częstości sprawdzania mogą zmniejszyć prawdopodobieństwo wystąpienia sytuacji zagrożenia.

UWAGA 4 Zastosowanie metody uproszczonej, bazującej na architekturze dedykowanej, odnosi się do założeń podanych w 4.5.4.

W normie PN-EN ISO 13849-1 można znaleźć obrazek opisujący architekturę jednokanałową kategorii 2:

Kategoria 2

Zacznijmy od rozłożenia definicji na części i sprawdzenia, co oznaczają poszczególne części. Przeanalizujemy również proste schematy, które z założenia miałyby spełnić wymagania kategorii 2.

W przypadku kategorii 2 powinny być spełnione wymagania dotyczące kategorii B podane w 6.2.3. Zastosować także należy „wypróbowane zasady bezpieczeństwa”, zgodnie z 6.2.4. Dodatkowo stosuje się poniższe wymagania.

Część obwodu sterowania związana z bezpieczeństwem spełniająca wymagania kategorii 2 musi być wykonana wg wszystkich wymagań, jakie dotyczą kategorii B, jeśli chodzi o podstawowe zasady bezpieczeństwa. Musisz zapamiętać, że kategoria B jest fundamentem dla wszystkich kolejnych kategorii, więc wymagania kategorii B są w przypadku kategorii 2 również istotne. Jeśli potrzebujesz dowiedzieć się nieco więcej na temat kategorii B, odsyłam do artykułu “Kategoria B” z niniejszego cyklu.

Wymaganie dotyczące samotestowania

Począwszy od kategorii 2 wprowadzono koncepcję diagnostyki. Jeśli wybrano komponenty zgodne z wymaganiami kategorii B i zastosowano je zgodnie z „wypróbowanymi zasadami bezpieczeństwa”, wyposażenie funkcji bezpieczeństwa w funkcjonalność diagnostyczną powinno umożliwić systemowi wykrycie niektórych błędów, a tym samym osiągnięcie pewnego stopnia tolerancji błędu lub zdolności do poprawnego działania, nawet jeśli jakiś element systemu zawiedzie.

Spójrzmy na ten tekst:

SRP/CS kategorii 2, powinny być zaprojektowane tak, aby ich funkcja(-e) bezpieczeństwa była(-y) sprawdzana(-e) w odpowiednich odstępach czasu przez system sterowania maszyny. Sprawdzenie powinno następować:

  • podczas uruchamiania maszyny i
  • przed wystąpieniem każdej sytuacji zagrożenia, np. rozpoczęcie nowego cyklu, rozpoczęcie innych ruchów, bezpośrednio przed przywołaniem funkcji bezpieczeństwa i/lub okresowo podczas pracy, jeśli wyniki oceny ryzyka i rodzaj pracy wskazują, że jest to konieczne.

Sprawdzanie może być inicjowane automatycznie. Wynikiem każdego sprawdzenia funkcji bezpieczeństwa powinno być:

  • albo zezwolenie na pracę, jeśli nie zostały wykryte żadne defekty, albo
  • generowanie sygnałów wyjściowych (OTE) inicjujących odpowiednie działanie sterujące, jeżeli wykryto defekt.

W przypadku PLr do poziomu c włącznie, sygnały wyjściowe (OTE) powinny inicjować stan zapewniający bezpieczeństwo, który powinien być utrzymywany, dopóki defekt nie zostanie usunięty. Jeśli nie jest to moż­liwe (np. w przypadku zgrzania styków w końcowym urządzeniu przełączającym), może być wystarczające, że ostrzeżenia spowodują sygnały wyjściowe (OTE).

W kategorii 2 wymagane jest okresowe sprawdzanie funkcji bezpieczeństwa. Sprawdzanie musi się odbywać co najmniej za każdym razem, gdy pojawia się zapotrzebowanie na stan bezpieczeństwa, np. gdy drzwi ochronne są otwierane i zamykane lub przycisk zatrzymania awaryjnego jest naciśnięty i zresetowany. Ponadto integralność części sterowania odpowiedzialnej za bezpieczeństwo musi zostać przetestowane na początku cyklu lub gdy inicjowanie jest przejście do stanu bezpiecznego przez funkcję bezpieczeństwa, a nawet okresowo podczas pracy, jeżeli ocena ryzyka wskazuje, że jest to konieczne. Częstotliwość testowania musi wynosić co najmniej 100 x współczynnik zapotrzebowania. Wynika to z wymagania opisanego w p. 4.5.4 PN-EN ISO 13849-1.

Wg PN-EN ISO 13849-1 p. 4.5.4:

W kategorii 2, częstość przywołań ≤ 1/100 częstości testów (patrz także Uwaga w Załączniku K); lub testowanie następuje natychmiast po przywołaniu funkcji bezpieczeństwa a całkowity czas do wykrycia defektu i doprowadzenia maszyny do stanu braku zagrożeń (zazwyczaj zatrzymanie maszyny) jest krótszy niż czas potrzebny do sięgnięcia do strefy zagrożenia (patrz także ISO 13855);

Oznacza to, że np. kurtyna świetlna bezpieczeństwa na stanowisku załadunku, która jest przerywana co 30 s podczas normalnej pracy, wymaga minimalnej częstotliwości testowania raz na 0,3 s, (lub 200x na minutę) lub częściej. Tego wymagania nie było w normie PN-EN 954-1.

Załącznik K w uwadze 1 dopuszcza również częstość przywołań funkcji bezpieczeństwa równą 1/25 częstości testów. Dla takich funkcji bezpieczeństwa wartość PFHD podaną w tablicy K.1 powinna być pomnożona przez współczynnik 1,1.

Testowanie nie musi być automatyczne, chociaż w praktyce zazwyczaj tak jest. Dopóki integralność funkcji bezpieczeństwa wykonanej wg kategorii 2 jest zgodna z tymi założeniami, układ wyjściowy może pozostać włączony, a maszyna lub proces mogą działać.

Przyjrzyjmy się teraz następującemu akapitowi:

W przypadku PLr do poziomu c włącznie, sygnały wyjściowe (OTE) powinny inicjować stan zapewniający bezpieczeństwo, który powinien być utrzymywany, dopóki defekt nie zostanie usunięty. Jeśli nie jest to możliwe (np. w przypadku zgrzania styków w końcowym urządzeniu przełączającym), może być wystarczające, że ostrzeżenia spowodują sygnały wyjściowe (OTE).

Zwróć uwagę na to, że słowa „…jeśli nie jest to możliwe” są używane w ostatnim akapicie tej części definicji, gdzie standard mówi o przejściu do stanu zapewniającego bezpieczeństwo. To sformułowanie nawiązuje do faktu, że systemy te są nadal podatne na błędy, które mogą prowadzić do utraty funkcji bezpieczeństwa, a zatem nie można ich nazwać prawdziwie „odpornymi na błędy”. Utrata funkcji bezpieczeństwa musi zatem zostać wykryta przez system testowania, po którym powinien zostać zainicjowany stan zapewniający bezpieczeństwo. Wymaga to starannego przemyślenia, ponieważ część sterowania odpowiedzialna za bezpieczeństwo może wymagać interakcji z pozostałą częścią układu sterowania w celu zainicjowania i utrzymania bezpiecznego stanu w przypadku awarii części odpowiedzialnej za bezpieczeństwo. Należy również zauważyć, że nie jest możliwe użycie wykluczeń błędów w architekturze kategorii 2, ponieważ system nie jest odporny na błędy.

Prowadzi to do interesującego pytania: jeśli wszystkie komponenty używane w kanale spełniają wymagania kategorii B, to czy komponent diagnostyczny może być zapewniony przez monitorowanie za pomocą standardowego sterownika PLC? Odpowiedź na to brzmi TAK. Sprzęt testowy (zwany TE na rys. 1) jest specjalnie wykluczony, a kategoria 2 NIE wymaga stosowania sprawdzonych części składowych, tylko wypróbowanych zasad bezpieczeństwa.

W przypadku błędów, które mogą być wykryte przez system monitorowania, wykrycie błędu musi zainicjować stan bezpieczny. Oznacza to, że przy następnym przywołaniu funkcji bezpieczeństwa, tj. przy następnym otwarciu osłony lub naciśnięciu przycisku zatrzymania awaryjnego, maszyna musi przejść w do stanu zapewniającego bezpieczeństwo. Zasadniczo wykrycie usterki powinno zapobiec późniejszemu zresetowaniu systemu, dopóki usterka nie zostanie usunięta lub naprawiona.

Testy nie mogą wprowadzać żadnych nowych zagrożeń ani spowalniać działania funkcji bezpieczeństwa. Testy muszą się odbywać „w locie” i bez wprowadzania jakichkolwiek opóźnień w systemie w porównaniu do sposobu, w jaki działałby bez włączonego testu. Sprzęt testowy może być zintegrowany z systemem bezpieczeństwa lub być wykonany z użyciem elementu zewnętrznego.

UWAGA 1 W niektórych przypadkach nie jest możliwe stosowanie kategorii 2, ponieważ nie jest możliwe sprawdzanie funkcji bezpieczeństwa we wszystkich częściach składowych.

Uwaga 1 w definicji podkreśla znaczącą pułapkę dla wielu projektantów: jeśli nie można sprawdzić wszystkich komponentów w kanale funkcjonalnym systemu, nie można twierdzić, że jest zgodny z kategorią 2. Jeśli spojrzysz na rysunek powyżej, zobaczysz, że przerywane linie „m” łączą wszystkie trzy bloki funkcjonalne z TE, wskazując, że wszystkie trzy muszą być włączone do kanału testowania.

Średni czas do niebezpiecznego uszkodzenia MTTFD

Następny akapit dotyczy obliczania współczynników niezawodnościowych funkcji bezpieczeństwa:

W przypadku architektury dedykowanej do kategorii 2, jak pokazano na Rysunku 10, przy obliczaniu MTTFD i DCavg zaleca się uwzględnienie tylko bloków kanału funkcjonalnego (tzn. I, L oraz O na Rysunku 10), z pomi­nięciem bloków kanału testującego (tzn. TE oraz OTE na Rysunku 10).

Obliczenie w/w współczynników koncentruje się na kanale funkcjonalnym, a nie na kanale testującym, co oznacza, że wskaźniki awaryjności systemu monitorowania są ignorowane podczas analizy systemów wykorzystujących tę architekturę. Obliczany jest MTTFD każdego komponentu w kanale funkcjonalnym, a następnie obliczany jest MTTFD kanału całkowitego.

Pokrycie diagnostyczne DC

Pokrycie diagnostyczne (DCavg) jest również obliczane wyłącznie na podstawie komponentów w kanale funkcjonalnym, więc przy określaniu, jaki procent usterek może zostać wykryty przez sprzęt monitorujący, uwzględniane są tylko błędy w kanale funkcjonalnym.

Wobec powyższych faktów, awaria kanału testującego nie może zostać wykryta, więc pojedyncza awaria w kanale testującym, która powoduje że system nie wykryje kolejnego normalnie wykrywalnego uszkodzenia w kanale funkcjonalnym, spowoduje utratę funkcji bezpieczeństwa.

Następny akapit podsumowuje ograniczenia architektury kategorii 2:

Pokrycie diagnostyczne (DCavg) kanału funkcjonalnego powinno być co najmniej niskie. MTTFD każdego kanału powinien być od niskiego do wysokiego, zależnie od wymaganego poziomu zapewnienia bezpieczeństwa (PLr). Należy zastosować środki zapobiegania CCF (patrz Załącznik F).

W pierwszym zdaniu w poprzednich edycjach normy PN-EN ISO 13849-1 brakowało słów „co najmniej”, co oznaczało wówczas, że jako projektant nie możesz wymagać niczego więcej niż NISKIEGO pokrycia diagnostycznego DC przy użyciu tej architektury. Rysunek 5 w normie PN-EN ISO 13849-1 pokazuje kolumny zarówno dla DCavg niskiego i średniego. Konflikt ten w obecnym wydaniu normy został rozwiązany.

Kategoria 2 - pokrycie diagnostyczne DC

MTTFD w kanale funkcjonalnym może mieścić się w zakresie od niskiego do wysokiego, w zależności od wybranych komponentów i sposobu ich zastosowania w projekcie. Poziom ten będzie determinowany przez pożądany PLr funkcji bezpieczeństwa. Dlatego część układu sterowania związana z bezpieczeństwem z PLr=d będzie wymagała komponentów z wysokim MTTFD w kanale funkcjonalnym, podczas gdy ta sama architektura wykonana z PLr=b wymagałaby tylko komponentów z niskim MTTFD.

Uszkodzenia o wspólnej przyczynie CCF

Na koniec należy zastosować odpowiednie środki przeciwko uszkodzeniom powodowanym przez wspólne przyczyny (CCF). Niektórych środków podanych w tabeli F.1 w załączniku F normy nie można zastosować, takich jak separacja kanałów, ponieważ nie można oddzielić pojedynczego kanału. Inne środki CCF mogą i muszą być stosowane, a zatem musisz zdobyć co najmniej 65 punktów w tabeli CCF w załączniku F, aby ubiegać się o zgodność z wymogami kategorii 2.

Poniższe przykłady mają na celu wyjaśnić różnicę w pojmowaniu kategorii 2 wg PN-EN 954-1 a wg PN-EN ISO 13849-1. Na sieci wciąż można odnaleźć przykłady projektowania funkcji bezpieczeństwa wykonanej wg kategorii 2, ale jeszcze z użyciem nieaktualnej normy PN-EN 954-1. Poniższe przykłady odpowiadają definicji kategorii 2 wg PN-EN 954-1 i absolutnie nie należy wzorować się na nich w przypadku projektowania nowych funkcji bezpieczeństwa!

Kategoria 2 wg EN 954-1 – przykład 1

Poniżej książkowy przykład obwodu wykonanego zgodnie z kategorią 2 wg starej normy PN-EN 954-1. Przykład doskonale pokazuje różnice w definicji kategorii 2 wg normy PN-EN 954-1 i normy PN-EN ISO 13849-1. Przykład można znaleźć w internecie i do dziś funkcjonuje jako zgodność z kategorią 2. Musisz sobie uświadomić, że funkcja bezpieczeństwa wykonana wg kategorii 2 zgodnie z definicją opisaną w normie PN-EN 954-1 to nie to samo, co kategoria 2 wg PN-EN ISO 13849-1.

Dla uproszczenia nie zilustrowałem wszystkich podstawowych zasad bezpieczeństwa wymaganych przez kategorię B (która jest fundamentem dla wszystkich kategorii, również kategorii 2), w szczególności tłumienia przepięć na przekaźnikach, ale należy uwzględnić te elementy we wszystkich cewkach przekaźnika. Załóżmy, że wszystkie przekaźniki spełniają zasadę wymuszonego prowadzenia styków i spełniają wymagania sprawdzonych komponentów.

Kategoria 2

Przy uruchomieniu przycisku ZAŁ – S3 poprzez zestyki rozwierne styczników pomocniczych K2 i K3/21-22 następuje kontrola ich położenia spoczynkowego. K1 zostaje zasilony i poprzez swoje zestyki zwierne 23-24 i 33-34 podaje napięcie na styczniki pomocnicze K2 i K3, które podtrzymują się poprzez zestyki 13-14. Dodatkowo K1, poprzez swój zestyk zwierny, podtrzymuje się do momentu zadziałania K2 i K3 i poprzez ich zestyki rozwierne następuje odcięcie napięcia zasilającego stycznik pomocniczy K1. Tym samym obwody zezwolenia zostają zamknięte.

W tym obwodzie funkcję monitorowania zapewnia –K1. Jeśli którykolwiek z przekaźników -K2 lub -K3 miałby pozostać zamknięty mimo braku zasilania na cewce, -K1 nie mógłby się włączyć, a więc zostałby wykryty pojedynczy błąd. Maszyna nie mogłaby się ponownie uruchomić. Jeśli maszyna zostanie zatrzymana w tym stanie przez naciśnięcie –S1 lub –S2, maszyna zatrzyma się, ponieważ –K2 i –K2 są połączone w sposób redundantny. Jeśli –K1 zostanie uszkodzony np. w wyniku sklejenia styków, wówczas funkcja resetowania nie będzie działać.

Ten obwód nie może wykryć awarii w –S1 i w –S2. Testowanie jest przeprowadzane za każdym razem, gdy obwód jest resetowany. Ten obwód nie spełnia wymogu testu 100-krotnego, dlatego nie można powiedzieć, że spełnia wymagania kategorii 2 wg PN-EN ISO 13849-1. Obwód ten spełniał założenia kategorii 2 wg PN-EN 954-1. W przypadku PN-EN ISO 13849-1 kategoria 2 obarczona jest bardziej restrykcyjnymi wymaganiami i nie jest to już takie oczywiste.

Przy obliczaniu MTTFD należy uwzględnić -S1, -S2, -K1, -K2 i -K3. -K1 musi być również uwzględniony, ponieważ ma kontakt funkcjonalny w obwodach zezwolenia i dlatego jest częścią kanału funkcjonalnego obwodu, jak również jest częścią kanałów OT i OTE.

Kategoria 2 wg PN-EN 954-1 – przykład 2

Drugim książkowym przykładem, jaki do dziś spotkasz w starych publikacjach jest taka funkcja zatrzymania awaryjnego, jak na rysunku poniżej. Wróćmy do fragmentu definicji kategorii 2 wg PN-EN 954-1:

Elementy systemów sterowania związane z bezpieczeństwem kategorii 2 powinny być tak zaprojektowane, aby ich funkcja(-e) bezpieczeństwa była(-y) sprawdzana w odpowiednich odstępach czasu przez system sterowania maszyny. Sprawdzenie to powinno następować:

  • podczas uruchamiania maszyny i przed wystąpieniem każdej sytuacji zagrożenia, oraz
  • okresowo podczas pracy, gdy wyniki oceny ryzyka i rodzaj pracy wskazują, że jest to konieczne.

Architektura taka była zgodna z kategorią 2 wg PN-EN 954-1, ponieważ:

  • podczas gdy przycisk zatrzymania awaryjnego zostanie odblokowany, przekaźnik zostanie zasilony energią elektryczną i następuje samotestowanie się przekaźnika bezpieczeństwa -K1. W dalszej kolejności wymagane jest naciśnięcie przycisku resetu -S2 i jeśli obwód feedback stycznika -K2 jest w pozycji spoczynkowej (zamknięty styk NC), to w tym przypadku następuje testowanie stanu stycznika. Obydwie czynności można uznać za sprawdzenie podczas uruchamiania;
  • odłączenie zasilania przekaźnika bezpieczeństwa aktywując przycisk zatrzymania awaryjnego w pewnych sytuacjach można uznać za sprawdzenie przed wystąpieniem każdej sytuacji zagrożenia. Brzmi to trochę jak naciąganie rzeczywistości do zgodności z definicją. Trudno przewidzieć wystąpienie sytuacji awaryjnej. Jeśli sytuacja awaryjna pojawia się nagle po kilku latach a w międzyczasie styk NC przycisku zatrzymania awaryjnego został mechaniczny rozłączony od przycisku zatrzymania awaryjnego, to funkcja nie zadziała i warunek nie zostanie spełniony. Doprowadziło to do przekonania, że niezawodność funkcji bezpieczeństwa będzie zależała nie tylko od architektury, ale od prawdopodobieństwa, że funkcja nie zawiedzie.
  • jeśli ocena ryzyka nie wykaże, że konieczne jest sprawdzanie okresowe funkcji bezpieczeństwa, to warunek ten wg kategorii 2 wg PN-EN 954-1 zgodnie z logiką nie musi być spełniony.

Właśnie przez te wykluczenie konieczności sprawdzania okresowego funkcji bezpieczeństwa wszystkich elementów w kanale funkcjonalnym wg kategorii 2 zgodnej z PN-EN 954-1, kategoria ta nie jest już zgodna z kategorią 2 wg PN-EN ISO 13849-1, gdzie testowanie jest wymagane zgodnie z p. 4.5.4 PN-EN ISO 13849-1.

Drugim wykluczeniem tego obwodu ze zgodności z architekturą kategorii 2 to wymaganie pokrycia diagnostycznego DC na poziomie min. 60%, co dla elementów elektromechanicznych jest niemal niemożliwe. Jeśli jesteś zainteresowany dlaczego, odsyłam do artykułu “Pokrycie diagnostyczne DC wg ISO 13849-1“, gdzie znajdziesz przykład obliczenia pokrycia diagnostycznego DC dla jednokanałowej funkcji zatrzymania awaryjnego zbudowanej z wykorzystaniem elektromechanicznego styku NC.


Testowanie elementów elektromechanicznych

Wymaganie, aby test był wykonywany 100 razy częściej niż przywołanie funkcji bezpieczeństwa, stanowi silne ograniczenie stosowania kategorii 2 dla zwykłych elementów mechanicznych. Dla tych komponentów częstość ich 100-krotnego użycia z potrzeby ich przetestowania pomiędzy faktyczną potrzebą ich użycia byłaby konsekwencją szybszego zużycia tych komponentów. Zatem można założyć, że awaria elementu spowodowana częstotliwością testową będzie bardziej prawdopodobna niż niepowodzenie w momencie przywołania funkcji bezpieczeństwa. O tym wyraźnie mówi UWAGA 3 definicji kategorii 2 wg PN-EN ISO 13849-1.

UWAGA 3 Zasadność przyjęcia funkcji kategorii 2 wynika również stąd, że przyjęte środki techniczne oraz, na przykład, wybór częstości sprawdzania mogą zmniejszyć prawdopodobieństwo wystąpienia sytuacji zagrożenia.

Należy pamiętać, że podczas projektowania funkcji wg kategorii 2 należy zachować ostrożność w odniesieniu do częstości testu. Norma wymaga 100-krotnie większej częstości testowania niż przywołania funkcji bezpieczeństwa. W przypadku stosowania komponentów z częściami mechanicznymi, części te są zwykle wybierane zgodnie z ich nominalną częstością użytkowania. W tym przypadku wysoka częstotliwość testowa najprawdopodobniej zniszczyłaby komponenty elektromechaniczne, a ponadto w większości przypadków byłoby niemożliwe wdrożenie wymaganej częstotliwości testowej (wyobraź sobie, że drzwi ochronne miałyby być otwierane 100 razy pomiędzy jednym a drugim cyklem produkcyjnym). Dlatego kategoria 2 najprawdopodobniej nie zostanie zrealizowana zgodnie z normą PN-EN ISO 13849-1 dla tych funkcji bezpieczeństwa, w której zastosowane mechaniczne elementy składowe (styczniki, zawory, przekaźniki, przełączniki).

Dla udowodnienia tej tezy odsyłam do artykułu o pokryciu diagnostycznym DC, gdzie przedstawiłem próbę oszacowania pokrycia diagnostycznego DC dla jednokanałowego styku NC sprzężonego z przyciskiem zatrzymania awaryjnego. Kategoria 2 wymaga, aby DC było na poziomie minimum 60%, co jest niezwykle trudne lub wręcz niemożliwe dla elementów elektromechanicznych.


Kategoria 2 wg PN-EN ISO 13849-1

Kategorię 2 można wykonać stosując elektroniczne systemy bezpieczeństwa. Doskonałym przykładem jest kurtyna bezpieczeństwa typu 2 wg PN-EN 61496 (o typach kurtyn i różnicach pomiędzy nimi możesz przeczytać w artykule “Kurtyny świetlne bezpieczeństwa – przegląd funkcjonalności“). Producenci tych kurtyn często deklarują, że wykonane są wg architektury kategorii 2.

Kategoria 2

I tu uwaga. Często można spotkać się z przypadkiem, że do wejścia przekaźnika bezpieczeństwa można podłączyć tylko jednokanałowy element wejściowy, a producent deklaruje, że przekaźnik bezpieczeństwa wykonany w kategorii 4 PLr=e. Dlaczego? Dlatego, że wewnętrzna struktura przekaźnika bezpieczeństwa może rzeczywiście odpowiadać tak wysokiemu poziomowi niezawodności, co oznacza głównie to, że sam przekaźnik nie obniży poziomu PLr całościowej funkcji bezpieczeństwa. Zestawienie takiego przekaźnika z innym elementem może już obniżyć PLr. Jest to jednak wątek na osobny temat i będzie o nim mowa w artykule dotyczącym łączenia SRP/CS kilku różnych kategorii w celu osiągnięcia całkowitego PLr.

Zapraszam do artykułu “Kombinacja SRP/CS w celu uzyskania całkowitego PLr“.

O strukturze wewnętrznej przekaźników bezpieczeństwa można przeczytać w artykule “Przekaźniki bezpieczeństwa“.