Kategoria 3

Kategoria 3 to chyba najczęściej spotykana architektura części sterowania odpowiedzialnej za bezpieczeństwo. Popularność tej kategorii wynika z faktu, że zapewnia ona wysoki poziom niezawodności, nie jest tak skomplikowana jak kategoria 2 i jest bardziej ekonomiczna od kategorii 4.

Istnieje wiele technik projektowania, które można wykorzystać do zwiększenia odporności systemu sterowania na błędy. Starsze podejścia opierają się przede wszystkim na strukturze lub architekturze obwodu i charakterystyce wybranych do użycia komponentów. ISO 13849-1 wykorzystuje te same podstawowe architektury zdefiniowane w normie EN 954-1 i rozszerza je o wprowadzenie pokrycia diagnostycznego, odporności na błędy o wspólnej przyczynie i zrozumienie mechanizmów uszkodzeń komponentów w celu określenia stopnia tolerancji i niezawodności funkcji bezpieczeństwa.

Wspomniałem we wstępie, że kategoria 3 jest bardziej ekonomiczna od kategorii 4. Pewnie wyjaśni się wszystko jeśli zapoznasz się z architekturą kategorii 4, ale już teraz podpowiem, że ekonomiczność ta wynika z możliwości łączenia szeregowego elekromechanicznych elementów wejściowych bezpieczeństwa (np. przycisków zatrzymania awaryjnego czy blokad bezpieczeństwa sprzężonych z osłonami ruchomymi) z jednym urządzeniem logicznym. Kategoria 3 jest zatem najczęściej spotykaną architekturą funkcji bezpieczeństwa, gdyż zapewnia wysoką niezawodność i jest stosunkowo prosta.

Kategoria 3 wg PN-EN 954-1

Zacznijmy od przyjrzenia się definicji kategorii 3, zaczerpniętej z PN-EN 954-1:

Powinny być spełnione wymagania dotyczące kategorii B, zastosowane sprawdzone zasady bezpieczeństwa i wymagania zawarte w niniejszym podrozdziale.

Elementy systemów sterowania związane z bezpieczeństwem kategorii 3 powinny być tak zaprojektowane, aby pojedynczy defekt w którymkolwiek z tych elementów nie powodował utraty funkcji bezpieczeństwa. Należy uwzględnić defekty o wspólnej przyczynie, jeśli prawdopodobieństwo ich wystąpienia jest znaczące. Jeśli jest to uzasadnione praktycznie, pojedynczy defekt powinien być wykryty natychmiast lub przed następnym przywołaniem funkcji bezpieczeństwa.

UWAGA 1: Spełnienie wymagania dotyczącego wykrycia pojedynczego defektu nie oznacza, że wszystkie defekty będą wykryte. Nagromadzenie niewykrytych defektów może prowadzić do niezamierzonego sygnału wyjściowego i stworzenia przez maszynę sytuacji zagrożenia. Typowymi przykładami praktycznych działań zmierzających do wykrycia defektów są połączone mechanicznie styki przekaźników lub nadzorowanie redundantnych wyjść elektrycznych.

UWAGA 2: Zaleca się, aby twórca norm typu C podał, jeśli to konieczne ze względów technicznych lub wynika z zastosowania, dalsze szczegóły dotyczące wykrywania defektów.

UWAGA 3: Zachowanie się systemu kategorii 3 umożliwia, że:

• w przypadku wystąpienia pojedynczego defektu funkcja bezpieczeństwa jest utrzymana;
• niektóre defekty pozostaną niewykryte,
• w wyniku nagromadzenia niewykrytych defektów może wystąpić utrata funkcji bezpieczeństwa.

UWAGA 4: Sformułowanie „Jeśli to uzasadnione praktycznie” oznacza, że działania zmierzające do wykrycia defektów i zakres, w jakim będą one stosowane, zależne są głównie od następstw uszkodzenia i od prawdopodobieństwa wystąpienia tego uszkodzenia w przypadku określonego zastosowania. Stosowana technika ma wpływ na możliwość wykrywania defektów.

Kategoria 3 wg PN-EN ISO 13849-1

Teraz spójrzmy do definicji kategorii 3, zaczerpniętej z ISO 13849-1. Pamiętaj, że w przytoczonej definicji SRP/CS oznacza element systemu sterowania związany z bezpieczeństwem.

W przypadku kategorii 3 powinny być spełnione wymagania dotyczące kategorii B. Zastosować także należy „wypróbowane zasady bezpieczeństwa”.

SRP/CS kategorii 3, powinny być zaprojektowane tak, aby pojedynczy defekt w którymkolwiek z tych elemen­tów nie spowodował utraty funkcji bezpieczeństwa. Jeśli jest to uzasadnione praktycznie, pojedynczy defekt powinien być wykryty natychmiast lub przed następnym przywołaniem funkcji bezpieczeństwa.

Pokrycie diagnostyczne (DC_avg) całego SRP/CS powinno być co najmniej niskie. MTTF_D każdego z redundant­nych kanałów powinny być niskie do wysokich, zależnie od PL_r. Należy zastosować środki zapobiegania CCF (patrz Załącznik F).

UWAGA 1: Spełnienie wymagania dotyczącego wykrycia pojedynczego defektu nie oznacza, że wszystkie defekty będą wykryte. W efekcie nagromadzenie niewykrytych defektów może doprowadzić do niezamierzonego sygnału wyjściowego i stworzenia przez maszynę sytuacji zagrożenia. Typowymi przykładami praktycznych działań zmierzających do wykrycia defektów jest wykorzystanie zwrotnej informacji z połączonych mechanicznie styków przekaźnika lub monitorowanie re­dundancyjnych wyjść elektrycznych.

UWAGA 2: Jeśli jest to konieczne ze względów technicznych lub wynika z zastosowania, twórcy norm typu C powinni podać dalsze szczegóły dotyczące wykrywania defektów.

UWAGA 3: Zachowanie się systemu kategorii 3 charakteryzuje się tym, że:

• w przypadku wystąpienia pojedynczego defektu funkcja bezpieczeństwa jest nadal realizowana;
• niektóre, ale nie wszystkie, defekty zostaną wykryte,
• w wyniku nagromadzenia niewykrytych defektów może wystąpić utrata funkcji bezpieczeństwa.

UWAGA 4 Stosowana technika będzie wpływać na możliwości implementacji wykrywania defektów.

W normie PN-EN ISO 13849-1 można znaleźć obrazek opisujący architekturę kategorii 3:

Patrząc na powyższy diagram można wyraźnie zidentyfikować dwa niezależne kanały i połączenie monitorowania krzyżowego między kanałami. Urządzenia wejściowe nie są monitorowane, ale urządzenia wyjściowe już tak. Fakt, że urządzenia wejściowe nie są monitorowane powoduje, że potrzebujemy dwóch fizycznie oddzielonych urządzeń wejściowych do wykrywania defektów. Jedynym sposobem na wykrycie awarii w urządzeniach wejściowych w takiej konfiguracji jest sytuacja, w której następuje zmiana w jednym kanale, a w drugim nie.

Teraz przyjrzyjmy się definicji, rozbierając ją na części:

W przypadku kategorii 3 powinny być spełnione wymagania dotyczące kategorii B. Zastosować także należy „wypróbowane zasady bezpieczeństwa”.

Kategoria B jest fundamentem dla wszystkich kategorii, więc kategoria 3 musi spełniać wymagania kategorii B. Części obwodu sterowania realizujące funkcję bezpieczeństwa muszą być dobrane odpowiednio do zastosowania, tj. prawidłowo określone dla występujących napięć, prądów, warunków środowiskowych itp. W projekcie należy stosować ponadto „wypróbowane zasady bezpieczeństwa”. Ważne jest, aby zauważyć tutaj, że definicja mówi o „wypróbowanych zasadach bezpieczeństwa”, a NIE o „wypróbowanych częściach składowych”. Wymóg stosowania komponentów zaprojektowanych z myślą o zastosowaniach związanych z bezpieczeństwem pochodzi z innych norm, takich jak PN-EN ISO 14119 i PN-EN ISO 13850. Wymagania tych norm, dotyczące stosowania styków „z wymuszonym prowadzeniem” zwiększają odporność komponentu na błędy. Rozwiązania te zwykle wpływają na współczynniki B_10D lub MTTF_D komponentu.

SRP/CS kategorii 3, powinny być zaprojektowane tak, aby pojedynczy defekt w którymkolwiek z tych elemen­tów nie spowodował utraty funkcji bezpieczeństwa.

To zdanie oznacza, że architektura kategorii 3 cechuje się tolerancją na wystąpienie pojedynczego błędu. Oznacza to, że awaria dowolnego pojedynczego komponentu w kanale funkcjonalnym nie może spowodować utraty funkcji bezpieczeństwa. Aby spełnić ten wymóg, potrzebna jest redundancja. W przypadku systemów redundantnych jeden kompletny kanał może zawieść. Możliwa jest utrata funkcjonalności podczas awarii pojedynczego kanału, ale tak długo, jak część systemu sterowania odpowiedzialna za bezpieczeństwo nadal zapewnia działanie funkcji bezpieczeństwa za pomocą drugiego kanału, może to być dopuszczalne.

Redundancja to wg Wikipedii nadmiarowość w stosunku do tego, co konieczne lub zwykłe. W inżynierii oznacza zdublowanie krytycznych elementów systemu w celu zmniejszenia prawdopodobieństwa załamania pracy systemu.

Aby spełnić wymóg wykrycia każdej awarii pojedynczego komponentu, projekt będzie wymagał na przykład dwóch oddzielnych czujników do wykrywania pozycji osłony ruchomej. Pozwala to systemowi wykryć awarię w którymkolwiek z czujników, w tym awarie mechaniczne, takie jak złamanie blokad lub próby ominięcia systemu bezpieczeństwa.

Redundancja w kategoriach wg PN-EN ISO 13849-1 to cecha architektur kategorii 3 i 4. Kategoria 3 i kategoria 4 wykonane są w architekturze z redundancją. Redundancja w tych architekturach oznacza, ze funkcja bezpieczeństwa jest zbudowana za pomocą dwóch kanałów funkcjonalnych.

Jeśli jest to uzasadnione praktycznie, pojedynczy defekt powinien być wykryty natychmiast lub przed następnym przywołaniem funkcji bezpieczeństwa.

To zdanie może być nie do końca zrozumiałe. Wyrażenie „Jeśli jest to uzasadnione” oznacza, że twój projekt musi być w stanie wykryć pojedyncze błędy, chyba że byłoby to „nieuzasadnione”. Kiedy zatem jest to nieuzasadnione? To od projektanta zależy ta decyzja. Jeśli do zapewnienia dowolnej funkcji bezpieczeństwa istnieje jakiś dedykowany komponent, a projektant nie zdecydował się go użyć, będzie miał trudności z osądzeniem, czy zastosował wszelkie rozsądne sposoby wykrywania defektów.

Kategoria 3 wymaga, aby pojedynczy defekt został wykryty w momencie przywołania (zazwyczaj jest to wykonywane, ponieważ jest to zazwyczaj najprostszy sposób) lub przed przywołaniem funkcji bezpieczeństwa, co można zapewnić stosując środki do wykrywania zmiany niektórych krytycznych cech monitorowanego komponentu. Przywołanie to nic innego jak otwarcie osłony ruchomej i tym samym zadziałanie blokady osłony ruchomej.

Pokrycie diagnostyczne DC

Pokrycie diagnostyczne (DC_avg) całego SRP/CS powinno być co najmniej niskie.

To zdanie podpowiada, że projekt musi spełniać wymagania co najmniej niskiego pokrycia diagnostycznego, czyli zgodnie z tablicą 6 osiągać wartość większą lub równą 60%. Aby to ocenić, musimy przejść do załącznika E i spojrzeć na tabelę E1. Wykorzystując czynniki z tabeli E1, należy ocenić projekt. Jeśli znajdziesz się w pożądanym zakresie między 60% a 90% pokrycia diagnostycznego, możesz przejść dalej. Jeśli nie, projekt będzie wymagał modyfikacji w celu dostosowania go do tego zakresu.

Średni czas do niebezpiecznego uszkodzenia MTTF_D

MTTF_D każdego z redundant­nych kanałów powinny być niskie do wysokich, zależnie od PL_r.

To zdanie przypomina o tym, że wybór elementów ma ogromne znaczenie. W zależności od PL_r, który próbujesz osiągnąć, musisz wybrać komponenty z odpowiednimi wskaźnikami MTTF_D. Pamiętaj, że tylko z tego powodu, że używasz architektury kategorii 3, nie osiągasz automatycznie najwyższego poziomu niezawodności. Jeśli spojrzysz do rysunku 5 w standardzie, możesz zobaczyć, że architektura kategorii 3 może spełnić szereg poziomów zapewnienia bezpieczeństwa PL, od PL_r=a do PL_r=e. Kategoria 3 tak naprawdę różni się od kategorii 4 tylko pokryciem diagnostycznym, ale wrócimy do tego w przypadku omawiania kategorii 4.

Jeśli chcesz lub potrzebujesz poznać granice liczbowe każdego z pasm na powyższym rysunku, spójrz na załącznik K w normie PN-EN ISO 13849-1. W załączniku tym znajduje się pełna reprezentacja liczbowa rysunku 5 wg PN-EN ISO 13849-1.

Wcześniej wspomniałem, że ekonomiczność kategorii 3 wynika z możliwości łączenia szeregowego elekromechanicznych elementów wejściowych bezpieczeństwa (np. przycisków zatrzymania awaryjnego czy blokad bezpieczeństwa sprzężonych z osłonami ruchomymi). Podkreślam – elekromechanicznych. Elementy bezpieczeństwa, takie jak blokady z wewnętrzną diagnostyką i z aktywatorem o wysokim stopniu kodowania, dla których producent określa PL_r=e można łączyć ze sobą w szeregu w kategorii 4. Więcej na ten temat przeczytasz poniżej.

Zauważ, że kategoria 3 od kategorii 4 różni się tym, że jeśli użyjesz elementów bezpieczeństwa, dla których MTTF_D każdego kanału będzie wysoki, to jedyne co Cię ogranicza to pokrycie diagnostyczne DC.

Uszkodzenia o wspólnej przyczynie CCF

Należy zastosować środki zapobiegania CCF (patrz Załącznik F).

Aby część obwodu sterowania odpowiedzialna za bezpieczeństwo spełniała architekturę kategorii 3, wymagane jest wprowadzenie środków zapobiegania powstawaniu uszkodzeń o wspólnej przyczynie CCF. CCF został omówiony w innej części bloga, ale jako przypomnienie, posłużę się znanym powszechnie przykładem:

Powszechna awaria to taka, w której pojedyncze zdarzenie, takie jak uderzenie pioruna w linię energetyczną lub przecięcie kabla, powoduje awarię systemu. Nie jest to ta sama awaria, co awaria spowodowana wspólną przyczyną, gdzie podobne lub różne komponenty zawodzą w ten sam sposób. Na przykład, jeżeli oba styczniki wyjściowe uszkodzą się z powodu sklejenia styków, ponieważ nie zostały odpowiednio przewymiarowane w stosunku do obciążenia, można to uznać za uszkodzenie o wspólnej przyczynie.

Załącznik F zawiera listę kontrolną, która służy do oceny CCF funkcji bezpieczeństwa. Projekt musi spełniać co najmniej 65 punktów, aby można było uznać, że spełnia minimalny poziom zapobiegania powstawaniu błędów o wspólnej przyczynie, ale oczywiście im więcej tym lepiej.

UWAGA 1 Spełnienie wymagania dotyczącego wykrycia pojedynczego defektu nie oznacza, że wszystkie defekty będą wykryte. W efekcie nagromadzenie niewykrytych defektów może doprowadzić do niezamierzonego sygnału wyjściowego i stworzenia przez maszynę sytuacji zagrożenia. Typowymi przykładami praktycznych działań zmierzających do wykrycia defektów jest wykorzystanie zwrotnej informacji z połączonych mechanicznie styków przekaźnika lub monitorowanie re­dundancyjnych wyjść elektrycznych.

Ważne są również uwagi 1, 2, 3 i 4. Uwaga 1 przypomina projektantowi, że w architekturze kategorii 3 nie wszystkie błędy zostaną wykryte, a nagromadzenie niewykrytych błędów może doprowadzić do utraty funkcji bezpieczeństwa. Bądź świadomy, że to Ty jako projektant musisz zidentyfikować rodzaj oraz prawdopodobieństwo powstawania błędów, które mogą gromadzić się w sposób niezauważony.

UWAGA 2 Jeśli jest to konieczne ze względów technicznych lub wynika z zastosowania, twórcy norm typu C powinni podać dalsze szczegóły dotyczące wykrywania defektów.

Uwaga 2 zwraca uwagę na pierwszeństwo norm typu C w stosunku do norm typu B, a normą typu B jest omawiana tu norma PN-EN ISO 13849-1. Na przykład norma PN-EN 201 dla wtryskarek narzuca minimalny poziom PL_r na funkcję bezpieczeństwa. Pamiętaj o tym, jeśli Twój produkt podlega pod normę typu C.

UWAGA 3 Zachowanie się systemu kategorii 3 charakteryzuje się tym, że:

• w przypadku wystąpienia pojedynczego defektu funkcja bezpieczeństwa jest nadal realizowana;
• niektóre, ale nie wszystkie, defekty zostaną wykryte,
• w wyniku nagromadzenia niewykrytych defektów może wystąpić utrata funkcji bezpieczeństwa

Uwaga 3 podsumowuje cechy architektury kategorii 3. Nie wymaga to chyba dalszego komentarza.

UWAGA 4 Stosowana technika będzie wpływać na możliwości implementacji wykrywania defektów.

Wreszcie uwaga 4 przypomina, że różne rodzaje użytej technologii mają większą lub mniejszą zdolność do wykrywania awarii. Aby osiągnąć wymagany poziom PL_r, może być wymagana bardziej zaawansowana technologia. Przykładem mogą być różnego rodzaju urządzenia blokujące sprzężone z osłonami wg PN-EN ISO 14119.

Kategoria 3 – przykład

Poniżej przykład funkcji bezpieczeństwa wykonanej z użyciem architektury kategorii 3. B1, B2 i B3 to blokady bezpieczeństwa osłon ruchomych. Każda z tych blokad ma dwa zestyki normalnie zamknięte. Na tym schemacie celowo jeden element zaznaczyłem kolorem żółtym. W przypadku architektury kategorii 3 mogą występować pewne defekty, których nie można wykryć i w konsekwencji mogą prowadzić do utraty funkcji bezpieczeństwa. W takim przypadku musimy wiedzieć, czy w pewnych okolicznościach nie mogą one zostać zamaskowane działaniem innych urządzeń w całej funkcji bezpieczeństwa.

Załóżmy, że wystąpi defekt jednego urządzenia tylko w jednym kanale, w powyższym przypadku w kanale 2 blokady B2, zaznaczony kolorem żółtym. Niech to będzie zwarcie zestyku. Czy defekt można wykryć?

Jeśli blokada B2 zostanie otwarta, jeden z zestyków (w kanale 1) się rozewrze, a więc wciąż działa pierwszy kanał. Przekaźnik bezpieczeństwa jest w stanie to wykryć i wyłączy styczniki K2 i K3. Układ jednak nie uzbroi się po zamknięciu osłony, z którą sprzężona jest blokada B2 i wciśnięciu przycisku reset S10, gdyż przekaźnik rozpoznał defekt i „czeka” na odwrócenie defektu – czyli rozwarciu obydwu kanałów.

Co zrobi operator? Jeśli otworzy osłonę, z którą sprzężona jest blokada B1 lub B3, obydwa kanały zostaną rozwarte, co spowoduje zamaskowanie błędu blokady B2. Jest to sytuacja, w której awaria blokady B2 nie zostanie naprawiona aż do pojawienia się podobnego defektu zestyku w drugim kanale. Wówczas może wystąpić drugi defekt, który powoduje utratę funkcji bezpieczeństwa.

Jakie pokrycie diagnostyczne może być zapewnione przez poszczególne blokady połączone szeregowo? Do czasu publikacji raportu ISO/TR 24119 nie istniały jednoznaczne szczegółowe wytyczne. Jeśli istniało prawdopodobieństwo, że co najmniej jedna blokada nie zostanie nigdy indywidualnie przetestowana, uzasadniona była argumentacja, że pokrycie diagnostyczne DC powinno wynosić zero.

Poniższa kombinacja przypadków przybliży problem maskowania błędów w połączeniu szeregowym elementów bezpieczeństwa.

Tak długo, jak tylko jedna osłona może być otwarta przez cały czas, wykrycie wszystkich usterek można uznać za normalne działanie. W takim przypadku wykrycie błędu (DC = 99%) byłoby możliwe, a klasyfikacja zgodnie z PL_r=e byłaby osiągalna. Wymóg, aby tylko jedna osłona mogła być otwierana jednocześnie, musi być zapewniony przez odpowiednie środki techniczne, takie jak mechaniczne blokady. Zgodnie z normą PN-EN ISO 12100 środki administracyjne nie są dozwolone, ponieważ istnieją środki techniczne, które są skuteczniejsze.

Dodatkowo, biorąc pod uwagę wymagania normy PN- EN ISO 14119, nawet przy zastosowaniu samych środków technicznych, gdy urządzenia blokujące są logicznie połączone w szereg, to wykrycie pojedynczego defektu przez system sterowania związany z bezpieczeństwem może być maskowane przez aktywowanie dowolnego urządzenia blokującego logicznie połączonego w szereg z uszkodzonym urządzeniem blokującym. Można przewidzieć, że podczas poszukiwania defektu przez operatora jedna z osłon, której urządzenia blokujące są logicznie połączone szeregowo z urządzeniem blokującym w stanie defektu, zostanie aktywowana. W tym przypadku defekt zostanie zamaskowany i wtedy należy rozważyć wpływ tej sytuacji na wartość pokrycia diagnostycznego. Ewentualne zamaskowanie defektu podczas otwierania innej osłony spowoduje, że defekt ten nie będzie już brany pod uwagę i DC w tym przypadku osiąga poziom DC=0%. W takim wypadku można uzyskać klasyfikację maksymalnego PL_r=c.

Jeśli przewiduje się, że więcej niż jedna osłona może być otwierana w tym samym czasie, wykrywanie wszystkich usterek nie może być dłużej brane pod uwagę. W takim przypadku pokrycie diagnostyczne osiąga poziom DC = 0%. Maksymalny poziom Performance Level w takim przypadku osiąga PL_r=c.

W przypadku stosowania blokad ze zintegrowaną diagnostyką można dla ich szeregowego połączenia uzyskać do PL_r=e. Dzieje się tak dlatego, że urządzenia takie mają już wbudowaną diagnostykę i nie dochodzi w takim przypadku do maskowania błędów. Tak więc, dzięki tym komponentom, kilka osłon może być kontrolowanych przez jeden przekaźnik bezpieczeństwa osiągając PL_r=e, nawet jeśli zakłada się, że kilka osłon będzie otwieranych w tym samym czasie.

W przypadku szeregowych połączeń przycisków zatrzymania awaryjnego wygląda to trochę inaczej.

Zalecanym sposobem jest uwzględnienie tylko jednego przycisku zatrzymania awaryjnego do obliczenia PL_r. Maskowanie błędów powinno być uważane za nieistotne, więc DC wynosi 99% dla systemów dwukanałowych. W konsekwencji połączenie szeregowe dwukanałowych przycisków zatrzymania awaryjnego może osiągać PL_r=e, niezależnie od liczby przycisków połączonych szeregowo. Powszechnie przyjmuje się, że tylko jeden przycisk zatrzymania awaryjnego jest aktywowany w danym momencie, więc nie należy oczekiwać maskowania błędów.

Jeszcze inaczej jest w przypadku łączenia szeregowego E-stopów i blokad bezpieczeństwa.

Jeśli przyciski zatrzymania awaryjnego i inne funkcje są mieszane w jednym połączeniu szeregowym, może wystąpić maskowanie błędów i DC zostanie zredukowane. W związku z tym zaleca się, aby funkcja zatrzymania awaryjnego była niezależna od innych funkcji bezpieczeństwa.

Przy szeregowym połączeniu blokad bezpieczeństwa i przycisków zatrzymania awaryjnego nie można zakładać, że nie są one aktywowane jednocześnie. W związku z tym należałoby wziąć pod uwagę, że kombinacja przycisków zatrzymania awaryjnego z blokadami bezpieczeństwa powoduje, że pokrycie diagnostyczne dla takiego połączenia osiąga poziom DC=0%. Dlatego wyższy poziom wydajności, jak PL_r=c, nie może być osiągnięty w takich przypadkach.

Innym przypadkiem jest szeregowe połączenie blokad bezpieczeństwa z wewnętrzną diagnostyką i bez diagnostyki.

Istnieje możliwość użycia na początku układu wejściowego funkcji bezpieczeństwa blokady bez własnej diagnostyki lub szeregu powiązanych ze sobą przycisków zatrzymania awaryjnego. W obu przypadkach blokady bezpieczeństwa z diagnostyką zapewniają wykrywanie defektów elementów wejściowych bezpieczeństwa znajdujących się „powyżej”. Jeśli blokady z diagnostyką są wyposażone w wyjścia półprzewodnikowe, możliwy do osiągnięcia poziom Performance Level może zmniejszony do PL_r=d z powodu niedającego się określić monitorowania krzyżowego.

Zasadniczo możliwe jest zintegrowanie pasywnych blokad bezpieczeństwa lub przycisków zatrzymania awaryjnego między dwoma blokadami ze zintegrowaną diagnostyką. W tym przypadku poziom diagnostyczny elementów przed pasywną blokadą i dla samej blokady pasywnej spada do DC=0%. Dlatego obwód można również ocenić tylko jako PL_r=c.

Skąd ta tajemna wiedza się wzięła?

W 2015 roku pojawił się raport techniczny ISO/TR 24119, w którym zawarto wytyczne oceny szeregowego połączenia maskowania błędów urządzeń blokujących ze stykami bezpotencjałowymi związanych z osłonami.

Raport techniczny ISO/TR 24119 ilustruje i wyjaśnia zasady maskowania błędów w zastosowaniach, w których wiele urządzeń blokujących ze stykami bezpotencjałowych jest połączonych szeregowo z jedną jednostką logiczną, która wykonuje diagnostykę. Zapewnia ponadto wskazówki, jak oszacować prawdopodobieństwo maskowania błędów i maksymalne pokrycie diagnostyczne DC dla połączonych urządzeń blokujących. Raport techniczny ISO/TR 24119 obejmuje tylko urządzenia blokujące, w których oba kanały są fizycznymi połączeniami szeregowymi. Urządzenia blokujące ze zintegrowaną diagnostyką nie są objęte zakresem tego dokumentu technicznego.

Powszechnym podejściem przy projektowaniu obwodów związanych z bezpieczeństwem jest szeregowe łączenie urządzeń z potencjalnymi wolnymi stykami, np. wiele urządzeń blokujących podłączonych do pojedynczego sterownika logicznego bezpieczeństwa, który wykonuje diagnostykę dla ogólnej funkcji bezpieczeństwa. Chociaż w takich zastosowaniach pojedyncza usterka w większości przypadków nie prowadzi do utraty funkcji bezpieczeństwa i zostanie wykryta, w praktyce czasami szeregowe łączenie staje się źródłem problemów.

Można przewidzieć, że więcej niż jedna ruchoma osłona będzie otwarta w tym samym czasie lub w sekwencji, np. z powodu późniejszej procedury wykrywania usterek lub w ramach regularnej pracy z maszyną. Ze względu na szeregowe połączenie styków, błędy w okablowaniu lub stykach wykryte przez jednostkę logiczną mogą być maskowane przez działanie jednego z innych (nie wadliwych) urządzeń połączonych szeregowo. W rezultacie możliwa jest praca maszyny, gdy w części sterowania związanej z bezpieczeństwem występuje pojedynczy błąd. W konsekwencji może to spowodować nagromadzenie błędów prowadzących do sytuacji niebezpiecznej.

Raport techniczny ISO/TR 24119 skondensował powyższą interpretację m.in. do postaci np. takiej prostej tabeli 1, która pokazuje metodę uproszczoną szacowania maksymalnego poziomu pokrycia diagnostycznego DC:

liczba często używanych ruchomych osłon [a, b]	Liczba dodatkowych osłon [c]	Maksymalnie osiągalne DC [d]
0	2 do 4	Średnie
	5 do 30	Niskie
	>30	Brak
1	1	Średnie
	2 do 4	Niskie
	≥5	Brak
>1	≥0	Brak
jeśli częstotliwość jest większa niż raz na godzinę jeżeli liczba operatorów zdolnych do otwarcia oddzielnych osłon przekroczy jeden, wówczas liczba często używanych ruchomych osłon zostanie zwiększona o jeden. liczbę dodatkowych ruchomych osłon można zmniejszyć o jeden, jeżeli spełniony zostanie jeden z poniższych warunków gdy minimalna odległość między osłonami jest większa niż 5 m, gdy żadna z dodatkowych ruchomych osłon nie jest osiągalna bezpośrednio. w każdym przypadku, jeżeli można przewidzieć, że wystąpi maskowanie błędów (np. wiele ruchomych osłon będzie otwartych w tym samym czasie w ramach normalnej pracy lub serwisowania), wówczas brak jest pokrycia diagnostycznego DC.

Zalecam zapoznać się ISO/TR 24119, gdzie omawiane przykłady szacowania pokrycia diagnostycznego dla różnego rodzaju połączeń szeregowych (gwiazda, gałąź, pętla).

Musisz pamiętać, że kategoria 3 cechuje się szeroką rozbieżnością poziomów zapewnienia bezpieczeństwa PL_r, od PL_r=a do PL_r=e. Jeśli zatem Twój projekt wymaga z góry określonego poziomu PL_r, to w/w przypadki mogą spowodować, że mimo tego, że kategoria 3 została przez Ciebie wybrana jako projekt funkcji bezpieczeństwa, pokrycie diagnostyczne szeregowego połączenia komponentów spowoduje spadek poziomu PL_r. Ta “ekonomiczność”, o której wspomniałem we wstępie może być w niektórych przypadkach zgubna.

Wspomniałem też, że kategoria 3 jest najczęściej spotykaną kategorią. Jest ona najczęściej implementowana w niewielkich maszynach, gdzie kilka urządzeń bezpieczeństwa jest połączonych w szeregu z jednym przekaźnikiem bezpieczeństwa. Jeden przekaźnik bezpieczeństwa zajmuje mniej miejsca w szafie elektrycznej i jeśli otwarcie osłony ruchomej lub wciśnięcie przycisku zatrzymania awaryjnego ma skutkować takim samym zachowaniem się maszyny, to wydaje się, że szeregowe łączenie tych elementów do jednego przekaźnika bezpieczeństwa jest naturalnym rozwiązaniem. Należy jednak w przypadku łączenia szeregowego mieć świadomość tego, w jaki sposób to robić.

Pamiętaj o tym, że oprogramowanie SISTEMA da Ci wynik zależny od Twoich założeń. Pokrycie diagnostyczne DC, jako najsłabiej wytłumaczony parametr w normie PN-EN ISO 13849-1 często wymaga w takim oprogramowaniu “wpisania go z palca”. SISTEMA w tym niewiele pomaga. Jeśli użyjesz połączenia szeregowego kilku osłon ruchomych i pokrycie diagnostyczne wpiszesz na poziomie 99%, możesz uzyskać wynik taki jak dla kategorii 4 i PL_r=e, co może być uznane za błąd. Już w przypadku 2 osłon, z których można przewidzieć, że są one otwierane jednocześnie, zgodnie z tabelą 1 wg ISO/TR 24119 pokrycie diagnostyczne jest na poziomie 0%. W takim wypadku można uzyskać klasyfikację maksymalnego PL_r=c, co może nie być zgodne z Twoimi założeniami projektowymi.