Zrozumieć kategorie wg ISO 13849-1

Kategoria 419 min read

Kategoria 4 wg ISO 13849-1

Kategoria 4 jest najbardziej niezawodna spośród pięciu architektur zdefiniowanych w normie PN-EN ISO 13849-1. Kategoria 4 wykorzystuje techniki tolerancji na występowanie kumulacji błędów aby zapewnić, że defekty komponentów nie powodują niedopuszczalnego wzrostu ryzyka.

Zacznijmy od przyjrzenia się definicji kategorii 4, zaczerpniętej z p. 6.2.5 normy PN-EN 954-1:

Powinny być spełnione wymagania dotyczące kategorii B, zastosowane sprawdzone zasady bezpieczeństwa i wymagania zawarte w niniejszym podrozdziale.

Elementy systemów sterowania związane z bezpieczeństwem kategorii 4 powinny być tak zaprojektowane, aby:

  • pojedynczy defekt w którymkolwiek z elementów związanych z bezpieczeństwem nie spowodował utraty funkcji bezpieczeństwa, oraz
  • pojedynczy defekt był wykryty natychmiast lub przed następnym przywołaniem funkcji bezpieczeństwa, np. bezpośrednio po włączeniu albo na zakończenie cyklu pracy maszyny. Jeśli wykrycie nie jest możliwe, to nagromadzenie defektów nie powinno spowodować utraty funkcji bezpieczeństwa.

Jeśli ze względu na technikę lub technikę przełączania, wykrycie określonych defektów nie jest możliwe natychmiast lub przed następnym sprawdzeniem, to należy uwzględnić występowanie kolejnych defektów. W tym przypadku nagromadzenie defektów nie powinno powodować utraty funkcji bezpieczeństwa. Analiza defektów może być zakończona, gdy prawdopodobieństwo wystąpienia dalszych defektów jest uznawane za wystarczająco małe. W tym przypadku liczba defektów występujących w kombinacji defektów, które uwzględnia się, zależy od techniki, struktury i zastosowania, ale powinna być każdorazowo wystarczająca do spełnienia kryteriów wykrywania.

UWAGA 1: W praktyce liczba defektów, które uwzględnia się, jest różna, np. w przypadku złożonych obwodów mikroprocesorowych możliwa jest duża liczba różnych defektów, ale w układach elektrohydraulicznych mogą to być tylko trzy (lub nawet dwa) defekty.

Analiza defektów może być ograniczona do kombinacji dwóch defektów, jeśli:

  • intensywność uszkodzeń elementów składowych jest niewielka lub
  • defekty występujące w kombinacji są przeważnie niezależne od siebie albo
  • utrata funkcji bezpieczeństwa może wystąpić jedynie wówczas, gdy defekty pojawiają się w określonej kolejności.

Jeśli na skutek pierwszego pojedynczego defektu następują kolejne defekty, to ten pierwszy defekt i wszystkie kolejne należy traktować jako defekt pojedynczy.

Defekty o wspólnej przyczynie powinny być uwzględnione, np. w wyniku zastosowania różnych rozwiązań lub specjalnych procedur w celu ich identyfikacji.

UWAGA 2: W przypadku rozpatrywania struktur obwodów złożonych, np. mikroprocesorów, czy pełnej redundancji, analizę defektów prowadzi się przede wszystkim na poziomie struktury, tzn. bazując na podzespołach montażowych.

UWAGA 3: Zachowanie się systemu kategorii 4 umożliwia, że

  • w przypadku występowania defektów funkcja bezpieczeństwa pozostaje zawsze spełniona;
  • defekty są rozpoznawalne w czasie wystarczającym do uniknięcia utraty funkcji bezpieczeństwa.

Teraz spójrzmy do definicji kategorii 4, zaczerpniętej z ISO 13849-1. Pamiętaj, że w przytoczonej definicji SRP/CS oznacza element systemu sterowania związany z bezpieczeństwem.

W przypadku kategorii 4 powinny być spełnione wymagania dotyczące kategorii B. Zastosować także należy „wypróbowane zasady bezpieczeństwa”. Dodatkowo stosuje się poniższe wymagania.

SRP/CS kategorii 4 powinny być zaprojektowane tak, aby:

  • pojedynczy defekt w którymkolwiek z elementów związanych z bezpieczeństwem nie spowodował utraty funkcji bezpieczeństwa, oraz
  • pojedynczy defekt był wykryty natychmiast lub przed następnym przywołaniem funkcji bezpieczeństwa, np. bezpośrednio po włączeniu albo na zakończenie cyklu pracy maszyny,

ale jeśli wykrycie nie jest możliwe, to nagromadzenie defektów nie powinno spowodować utraty funkcji bezpieczeństwa.

Pokrycie diagnostyczne (DCavg) całego SRP/CS powinno być wysokie, łącznie z nagromadzeniem defektów. MTTFD każdego z redundantnych kanałów powinien być wysoki. Należy zastosować środki zapobiegania CCF (patrz Załącznik F).

UWAGA 1 Zachowanie się systemu kategorii 4 charakteryzuje się tym, że:

  • w przypadku wystąpienia pojedynczego defektu funkcja bezpieczeństwa jest zawsze realizowana,
  • defekty są wykrywane w czasie wystarczającym do uniknięcia utraty funkcji bezpieczeństwa,
  • nagromadzenie niewykrytych defektów jest brane pod uwagę.

UWAGA 2 Różnica pomiędzy kategoriami 3 i 4 sprowadza się do tego, że w kategorii 4 jest wyższe DCavg, a MTTFD każdego kanału jest tylko „wysoki”.

W praktyce może wystarczyć rozpatrzenie kombinacji dwóch defektów.

Teraz przyjrzyjmy się definicji, rozbierając ją na części:

W przypadku kategorii 4 powinny być spełnione wymagania dotyczące kategorii B. Zastosować także należy „wypróbowane zasady bezpieczeństwa”.

Wszystkie kategorie muszą spełniać wymagania kategorii B. Jeśli nie jesteś pewien, co oznaczają „wypróbowane zasady bezpieczeństwa”, wyjaśnienie znajdziesz w artykule na temat kategorii 1, gdzie jest to omawiane. Ważne jest, abyś zauważył tutaj, że definicja mówi o „wypróbowanych zasadach bezpieczeństwa”, a NIE o „wypróbowanych częściach składowych”. W kategorii 4 nie ma wymogu stosowania sprawdzonych części składowych, chociaż można ich użyć w celu uzyskania dodatkowej niezawodności, jeśli wymagają tego założenia projektowe.

SRP/CS kategorii 4 powinny być zaprojektowane tak, aby:

  • pojedynczy defekt w którymkolwiek z elementów związanych z bezpieczeństwem nie spowodował utraty funkcji bezpieczeństwa, oraz
  • pojedynczy defekt był wykryty natychmiast lub przed następnym przywołaniem funkcji bezpieczeństwa, np. bezpośrednio po włączeniu albo na zakończenie cyklu pracy maszyny,

ale jeśli wykrycie nie jest możliwe, to nagromadzenie defektów nie powinno spowodować utraty funkcji bezpieczeństwa.

Ten akapit oraz dwa pozostałe podpunkty określają podstawowe wymagania dotyczące wydajności dla tej kategorii. Żadna pojedyncza usterka nie może prowadzić do utraty funkcji bezpieczeństwa w kategorii 4 i wymagane są testy, które mogą wykryć awarie, a nagromadzenie niewykrytych defektów nie może ostatecznie doprowadzić do utraty funkcji bezpieczeństwa. Wymóg dotyczący niewykrytych błędów prowadzących do utraty funkcji bezpieczeństwa oznacza, że usterki, które wchodzą w zakres definicji λdu wg IEC 61508 (intensywność niewykrywalnych niebezpiecznych uszkodzeń), muszą zostać wyeliminowane projektowo, jeśli nie mogą być wykryte przez diagnostykę, lub diagnostyka musi zostać ulepszona, aby wszystkie niebezpieczne niewykrywalne defekty stały się niebezpiecznymi wykrywalnymi błędami λdd. Wymaganie dotyczące zwiększonych możliwości diagnostycznych stanowi podstawową różnicę między kategorią 3 a kategorią 4. Należy zauważyć, że następny akapit dokładnie to precyzuje.

Pokrycie diagnostyczne DC

Pokrycie diagnostyczne (DCavg) całego SRP/CS powinno być wysokie, łącznie z nagromadzeniem defektów.

W normie PN-EN ISO 13849-1 można znaleźć obrazek opisujący architekturę kategorii 4:

Kategoria 4

Zauważ, że linia monitorowania m na powyższym diagramie została narysowana linią ciągłą, gdzie w przypadku kategorii 3 w tym samym miejscu była linia przerywana. Linia ciągła oznacza, że kategoria 4 charakteryzuje się wyższym pokryciem diagnostycznym DC, niż kategoria 3. Pod diagramem w normie PN-EN ISO 13849-1 jest to wyraźnie napisane. Ta linia ciągła to jedyna różnica pomiędzy kategorią 3 i kategorią 4. Nie ma innych różnic między diagramem kategorii 3 i 4. Biorąc pod uwagę to, że podstawowe różnice dotyczą niezawodności wybranych komponentów i sposobu przeprowadzania testów, nie jest to zbyt zaskakujące. Podstawowa konstrukcja fizyczna obu kategorii może być praktycznie identyczna.

W kategorii 3 pokrycie diagnostyczne DC musi być co najmniej niskie, co oznacza wartości z przedziału 60–90%. Wysokie pokrycie diagnostyczne DC oznacza, że musi być równe 99% i nie może być niższe.

Średni czas do niebezpiecznego uszkodzenia MTTFD

MTTFD każdego z redundantnych kanałów powinien być wysoki.

Zdolność do automatycznego diagnozowania awarii jest kluczowym elementem dla kategorii 4, podobnie jak wykorzystanie niezawodnych komponentów, co prowadzi wysokiego poziomu niezawodności. Kategoria 4 wymaga, aby MTTFD każdego kanału był wysoki, co oznacza konieczność doboru najbardziej niezawodnych komponentów. Jeśli nie jest możliwe uzyskanie wysokiego MTTFD, to architektura funkcji bezpieczeństwa spada do poziomu kategorii 3.

Uszkodzenia o wspólnej przyczynie CCF

Należy zastosować środki zapobiegania CCF (patrz Załącznik F).

Potrzebny jest również najsilniejszy współczynnik CCF w projekcie (określający szacowanie skutków uszkodzeń o wspólnej przyczynie), chociaż „wynik pozytywny” wynoszący minimum 65 pozostaje niezmieniony w stosunku do kategorii 3.

UWAGA 1 Zachowanie się systemu kategorii 4 charakteryzuje się tym, że:

  • w przypadku wystąpienia pojedynczego defektu funkcja bezpieczeństwa jest zawsze realizowana,
  • defekty są wykrywane w czasie wystarczającym do uniknięcia utraty funkcji bezpieczeństwa,
  • nagromadzenie niewykrytych defektów jest brane pod uwagę.

Uwaga 1 rozszerza pierwszy akapit definicji, dokładniej wyjaśniając wymagania dotyczące wydajności kategorii 4. Zauważ, że nigdzie nie ma wymogu, aby pojedyncze błędy lub akumulacja pojedynczych usterek były unikane, a wykrywane tylko przez system diagnostyczny. Zapobieganie pojedynczym usterkom jest prawie niemożliwe, ponieważ komponenty zawodzą. Ważne jest, aby najpierw zrozumieć, które komponenty są krytyczne dla funkcji bezpieczeństwa, a po drugie, jakimi rodzajami defektów każdy komponent może się charakteryzować, aby określić podstawy do zaprojektowania systemu diagnostycznego, który może wykryć usterki.

Kategoria 4, tak jak kategoria 3 opiera się na redundancji, aby zapewnić, że całkowita utrata funkcjonalności jednego kanału nie spowoduje utraty niezawodności funkcji bezpieczeństwa. Redundancja jest użyteczna tylko wówczas, gdy możliwość pojawienia się usterek o wspólnej przyczynie zostanie prawidłowo wyeliminowana. W przeciwnym wypadku pojedyncze zdarzenie mogłoby zniszczyć oba kanały jednocześnie, powodując utratę funkcji bezpieczeństwa i prawdopodobnie spowodować obrażenia lub śmierć.

UWAGA 2 Różnica pomiędzy kategoriami 3 i 4 sprowadza się do tego, że w kategorii 4 jest wyższe DCavg, a MTTFD każdego kanału jest tylko „wysoki”.

Uwaga 2 wyraźnie pokazuje, gdzie leży granica pomiędzy kategorią 4 i 3. Mimo tego, że funkcja bezpieczeństwa wykorzystuje architekturę kategorii 4, może się okazać, że brak możliwości uzyskania pokrycia diagnostycznego DC na poziomie 99% i wysokiego MTTFD każdego kanału spowoduje automatyczny spadek do kategorii 3.

Kategoria 4 – przykład 1

Przykład kategorii 4 dla elementów elektromechanicznych wg PN-EN ISO 13848-1 pokazano na schemacie poniżej. W artykule opisującym kategorię 3 były pokazane przypadki maskowania defektów elektromechanicznych blokad bezpieczeństwa. W artykule na temat kategorii 3 wyjaśniłem, że jeśli istniało prawdopodobieństwo, że co najmniej jedna blokada nie zostanie nigdy indywidualnie przetestowana wskutek prawdopodobieństwa otwierania dwóch osłon ruchomych jednocześnie, uzasadniona była argumentacja, że pokrycie diagnostyczne DC powinno wynosić zero.

Schemat poniżej wyraźnie pokazuje, że jedna blokada podłączona do jednego przekaźnika bezpieczeństwa zapewnia, że blokada ta zostanie indywidualnie przetestowana. Jeśli jej defekt zostanie wykryty, a funkcja bezpieczeństwa nie uzbroi się dopóki defekt nie zostanie usunięty.

Kategoria 4 wg PN-EN ISO 13849-1

Wymaganie kategorii 4 dotyczące zapewnienia wysokiego poziomu MTTFD i DC powoduje, że w stosunku do kategorii 3, kategoria 4 jest mniej ekonomiczna. Konieczność łączenia każdej elektromechanicznej blokady bezpieczeństwa z dedykowanym dla niej przekaźnikiem bezpieczeństwa zwiększa koszt instalacji. Jeśli już jednak kategoria 4 jest wymagana, to za bardzo nie mamy wyjścia jeśli chcemy budować funkcje bezpieczeństwa wykorzystując tradycyjne przekaźniki bezpieczeństwa.
Uwaga! Pokrycie diagnostyczne nie spada dla blokad bezpieczeństwa typu 4 wg PN-EN ISO 14119 (ze zintegrowaną diagnostyką) w przypadku ich szeregowego łączenia, wobec czego architektura kategorii 4 może być dla tego typu szeregowego łączenia zapewniona. Samo użycie tego typu blokad bezpieczeństwa nie powoduje jednak braku możliwości wystąpienia innych defektów (patrz – analiza defektów poniżej). Odsyłam do artykułu na temat kategorii 3 po więcej informacji na temat maskowania defektów.

Kategoria 4 – przykład 2

Jednym z rozwiązań jest zastosowanie programowalnych systemów bezpieczeństwa, np. programowalnego sterownika bezpieczeństwa z wieloma wejściami, co umożliwi Ci zbudowanie funkcji bezpieczeństwa wg założeń kategorii 4. Innym rozwiązaniem jest wykorzystanie sterownika PLC z wbudowanymi funkcjami bezpieczeństwa i połączenie blokad do aktywnego modułu I/O dedykowanego do realizacji funkcji bezpieczeństwa. W przypadku bardzo rozbudowanych funkcji bezpieczeństwa wybór programowalnego systemu bezpieczeństwa jest bardziej ekonomiczny niż stosowanie tradycyjnych przekaźników bezpieczeństwa.

Kategoria 4 – przykład 3

Kolejny przykład przedstawia szeregowe łączenie funkcji zatrzymania awaryjnego. Jaką kategorię osiąga poniższy schemat?

Kategoria 4

Przykład ten został wyjaśniony w artykule opisującym architekturę kategorii 3. To, czy mamy tu do czynienia z architekturą kategorii 3 czy kategorii 4 jest zależne od pokrycia diagnostycznego DC. Funkcja zatrzymania awaryjnego to funkcja, która jest aktywowana w przypadku sytuacji awaryjnej i działanie jej polega na inicjowaniu jednego elementu w celu zatrzymania niebezpiecznego ruchu. Tu akcja jest ściśle związana z reakcją – logicznie ujmując, funkcja bezpieczeństwa ma zadziałać w przypadku aktywowania jakiegokolwiek przycisku zatrzymania awaryjnego i szeregowe łączenie przycisków nie ma dla tej funkcji znaczenia. Dlatego zalecanym sposobem podczas przeprowadzania obliczeń PLr za pomocą takiego oprogramowania jak SISTEMA jest uwzględnienie tylko jednego przycisku zatrzymania awaryjnego. Maskowanie błędów powinno być uważane za nieistotne, więc DC wynosi 99% dla systemów dwukanałowych. W konsekwencji połączenie szeregowe dwukanałowych przycisków zatrzymania awaryjnego może osiągać PLr=e, niezależnie od liczby przycisków połączonych szeregowo. Powszechnie przyjmuje się, że tylko jeden przycisk zatrzymania awaryjnego jest aktywowany w danym momencie, więc nie należy oczekiwać maskowania błędów.

Dla powyższego przykładu kategoria 4 jest możliwa do osiągnięcia.

Kategoria 4 wg założeń zostaje osiągnięta. Co dalej?

Jeśli już wybrałeś komponenty bezpieczeństwa i z obliczeń wynika, że w ich połączeniu w celu realizacji funkcji bezpieczeństwa osiągają one wysoki MTTFD, a pokrycie diagnostyczne DC jest na poziomie 99%, to gratulacje – Twoja funkcja bezpieczeństwa osiągnęła poziom PLr=e w kategorii 4. Czy to już jednak wszystko?

Otóż nie…

Pamiętaj, że dokonujesz obliczeń na podstawie projektu. Praktyka może zweryfikować, czy Twój projekt rzeczywiście zapewnia niezawodność wg założeń kategorii 4. Analizę przeprowadziliśmy dla kilku wyidealizowanych schematów, wytłumaczyliśmy sobie, że musimy osiągnąć wysoki MTTFD i DC i mamy to. Twój projekt jest realizowany w rzeczywistym układzie sterowania. Uruchamiasz, testujesz i oddajesz do eksploatacji. Po jakimś czasie okazuje się, że operator – aby ułatwić sobie życie – na fizycznej maszynie po zaimplementowaniu funkcji bezpieczeństwa odkręca aktywator blokady bezpieczeństwa, po czym dochodzi do nieszczęśliwego wypadku. Cała funkcja bezpieczeństwa w tym momencie zawodzi. Co zostało zrobione źle? Coś zostało pominięte. Właśnie do tego przydatna staje się analiza defektów.

W jaki sposób przeprowadzać analizę defektów?

Defekt może pojawić się nie tylko w przypadku utraty niezawodności komponentów w funkcji bezpieczeństwa, ale np. w wyniku celowego działania. W definicji kategorii 4 wg PN-EN 954-1 był zawarty następujący akapit, który już nie pojawił się w definicji kategorii 4 wg PN-EN ISO 13849-1:

Jeśli ze względu na technikę lub technikę przełączania, wykrycie określonych defektów nie jest możliwe natychmiast lub przed następnym sprawdzeniem, to należy uwzględnić występowanie kolejnych defektów. W tym przypadku nagromadzenie defektów nie powinno powodować utraty funkcji bezpieczeństwa. Analiza defektów może być zakończona, gdy prawdopodobieństwo wystąpienia dalszych defektów jest uznawane za wystarczająco małe. W tym przypadku liczba defektów występujących w kombinacji defektów, które uwzględnia się, zależy od techniki, struktury i zastosowania, ale powinna być każdorazowo wystarczająca do spełnienia kryteriów wykrywania.

Za to w definicji kategorii 4 wg PN-EN ISO 13849-1 można było przeczytać, że:

W praktyce może wystarczyć rozpatrzenie kombinacji dwóch defektów.

Zdanie to jednak wyraźnie pokazuje, że rozpatrzenie dwóch defektów może być wystarczające, co jednak nie jest zapewnieniem, że będzie.

Analiza defektów obejmuje ocenę typów defektów, które mogą wystąpić w każdym komponencie w krytycznej ścieżce systemu. Decyzja o wykluczeniu pewnych rodzajów defektów jest zawsze kompromisem technicznym między teoretycznym prawdopodobieństwem wystąpienia błędu, wiedzą specjalistyczną projektantów i inżynierów zaangażowanych w projekt oraz specyficznymi wymaganiami technicznymi aplikacji. Ilekroć podejmowana jest decyzja o wykluczeniu wystąpienia określonego rodzaju defektu, decyzja i sposób wykluczenia muszą być udokumentowane. Sekcja 7.3 normy ISO 13849 – 1 zawiera wytyczne dotyczące wykluczania defektów.

W sekcji omawiającej kategorię 1, norma PN-EN ISO 13849-1 wypowiada się na temat wykluczania błędów i przedstawia różnicę między „dobrze wypróbowanymi komponentami” a „wykluczeniem defektu”:

Bardzo istotne jest dokonanie rozróżnienia między „elementem wypróbowanym” a „wykluczaniem defektu” (patrz Rozdział 7). Uznanie elementu za wypróbowany zależy od jego zastosowania, np. łącznik drogowy o stykach ze skutecznym otwieraniem można traktować jako wypróbowany w przypadku obrabiarek, natomiast nie jest on właściwy w zastosowaniach dla przemysłu spożywczego – np. w przemyśle mleczarskim przełącznik ten zostałby zniszczony kwasem mlekowym po kilku miesiącach. Wykluczanie defektu może prowadzić do bardzo wysokiego PL, ale zaleca się stosowanie odpowiednich środków pozwalających na wykluczanie defektów w ciągu całego cyklu życia urządzenia. Aby to zapewnić, może okazać się konieczne zastosowanie dodatkowych środków, poza systemem sterowania. W przypadku łączników drogowych przykładami tego typu środków są:

  • środki zabezpieczające przymocowanie czujnika po jego nastawieniu,
  • środki zabezpieczające mocowanie krzywki,
  • środki zabezpieczające stabilność poprzeczną krzywki,
  • środki zabezpieczające łącznik drogowy przed jego nadmiernym przesunięciem, np. odpowiednia wytrzymałość zamontowania amortyzatora i urządzeń ustawiających oraz
  • środki ochrony przed zniszczeniem w wyniku działania z zewnątrz.

Aby pomóc projektantowi w dokonaniu analizy defektów, norma PN-EN ISO 13849-2 zawiera wykaz typowych defektów i dopuszczalnych wykluczeń w załączniku D.5. Jako przykład rozważmy typową sytuację, w której wybrano solidne urządzenie blokujące. Podjęto decyzję o zastosowaniu nadmiarowych obwodów elektrycznych do elementów przełączających blokady, aby można było wykryć usterki elektryczne. Ale co z awariami mechanicznymi? Potrzebna jest lista defektów.

l.p. Opis Wynik Prawdopodobieństwo
1 Złamanie, uszkodzenie aktywatora blokady System sterowania nie może określić pozycji ochronnej. Kompletna awaria systemu przez pojedynczą usterkę. Mało prawdopodobne
2 Zerwanie śrub łączących aktywator blokady z osłoną System sterowania nie może określić pozycji ochronnej. Kompletna awaria systemu przez pojedynczą usterkę. Mało prawdopodobne
3 Zerwanie śrub mocujących blokadę z osłoną System sterowania nie może określić pozycji ochronnej. Kompletna awaria systemu przez pojedynczą usterkę. Mało prawdopodobne
4 Niewłaściwe ustawienie aktywatora i blokady Osłona nie może się zamknąć, uniemożliwiając pracę maszyny. Bardzo możliwe
5 Niewłaściwe ustawienie aktywatora i blokady. Uszkodzony klucz i/lub urządzenie blokujące. Osłona może się nie zamknąć lub klucz może się zaciąć w zamkniętym urządzeniu blokującym. Maszyna nie działa, jeśli aktywator nie łączy się z blokadą lub osłona nie może zostać otwarta, jeśli klucz zablokuje się w urządzeniu. Prawdopodobne
6 Śruby mocujące aktywator odkręcone przez użytkownika Blokadę można ominąć, mocując aktywator do urządzenia blokującego. System sterowania nie może już wykryć pozycji osłony. Prawdopodobne
7 Śruby mocujące blokadę odkręcone przez użytkownika Prawdopodobnie połączone z poprzednim typem defektu. System sterowania nie może już wykryć pozycji osłony. Mało prawdopodobne, ale może się zdarzyć.

Rozpatrując defekt 1, bardzo wiele przyczyn może spowodować uszkodzenie aktywatora. Może to być niewspółosiowość blokady i urządzenia blokującego, brak konserwacji osłony i sprzętu blokującego lub celowe uszkodzenie przez użytkownika. Jeśli sprzęt nie jest wyjątkowo solidny, w tym konstrukcja osłony, opracowanie rozsądnego uzasadnienia wykluczenia tego błędu będzie bardzo trudne.

Defekt 2 uwzględnia mechaniczne uszkodzenie śrub montażowych aktywatora blokady. Śruby są uważane za sprawdzone elementy (patrz aneks A.5 PN-EN ISO 13849-1), więc można je rozważyć w celu wykluczenia błędów. Możesz zwiększyć ich niezawodność, stosując kleje do blokowania gwintów podczas instalowania wkrętów, aby zapobiec ich wibracjom i zastosować „odporne na manipulacje” łby wkrętów zapobiegające nieuprawnionemu wykręceniu. Włączenie tych metod pomoże w podjęciu decyzji o wykluczeniu tych błędów. Dotyczy to również defektów 3, 6 i 7.

Defekty 4 i 5 występują często i są powodowane niewłaściwym doborem urządzenia lub słabą konstrukcją osłony (kiedy osłona nie jest odpowiednio sztywna i może być zamykana w stanie niewyrównanym). Uzasadnienie zapobiegania tym błędom będzie musiało obejmować omówienie cech konstrukcyjnych, które zapobiegną ich powstawaniu.

Wyłączenie jakiegokolwiek innego rodzaju defektu może zależeć od projektu. Opracuj listę możliwych defektów, oceń każdy defekt w odniesieniu do odpowiedniego załącznika z normy ISO 13849-2, ustal, czy istnieją środki zapobiegawcze, które można wdrożyć i czy zapewniają one wystarczający poziom zmniejszenia ryzyka.

Kategoria 4 – podsumowanie

W przeszłości wielu producentów decydowało się zastosować architekturę kategorii 4, nie rozumiejąc implikacji projektowych, ponieważ uważali, że kategoria 4 jest po prostu „najlepsza”. Wraz ze zmianą harmonizacji norm EN 954-1 i ISO 13849-1 w ramach unijnej dyrektywy maszynowej i biorąc pod uwagę duże trudności, jakie wielu producentów miało we właściwym zrozumieniu normy PN-EN ISO 13849-1 można sobie łatwo wyobrazić producentów, którzy przyjęli podejście, że jeśli mają już kategorię 4 w swoich systemach sterowania to stwierdzają, że mają teraz wydajność na poziomie PLr=e. Było to złe podejście z wielu powodów.

Część obwodu sterowania odpowiedzialna za bezpieczeństwo wykonana w kategorii 4 powinna być zarezerwowana dla bardzo niebezpiecznych maszyn, w przypadku których wysiłek techniczny i związane z tym koszty są uzasadnione oceną ryzyka. Próba zastosowania takiego poziomu w maszynach, w których poziom zapewnienia bezpieczeństwa PLr=b jest jak najbardziej odpowiedni na podstawie oceny ryzyka, jest stratą czasu i wysiłku projektowego oraz niepotrzebnym wydatkiem.

Producenci często uważali, że kategoria 4 wg PN-EN 954-1 jest osiągana już w oparciu o dobór samego przekaźnika bezpieczeństwa, nie rozumiejąc, że należy wziąć pod uwagę resztę elementów wchodzących w skład funkcji bezpieczeństwa, a SRP/CS ocenić jako kompletny, fizyczny system. Ten brak zrozumienia zagraża użytkownikom, personelowi obsługi technicznej, właścicielom i producentom.

Zawsze przeprowadzaj ocenę ryzyka i korzystaj z wyników tej oceny, aby kierować swoim wyborem środków ochronnych i projektować funkcje bezpieczeństwa mając na uwadze, że dobrane elementy mają wpływ na działanie funkcji bezpieczeństwa w połączeniu ich w całość. Wybierz poziomy zapewnienia bezpieczeństwa PLr, które mają sens w oparciu o wymaganą redukcję ryzyka i upewnij się, że kryteria projektowe są spełnione.