Zrozumieć kategorie wg ISO 13849-1

Kombinacja SRP/CS w celu uzyskania całkowitego PLr

W praktyce rzadko się trafia na „książkowo” zaprojektowane funkcje bezpieczeństwa. W celu realizacji funkcji bezpieczeństwa często łączy się ze sobą części systemu sterowania odpowiedzialne za bezpieczeństwo o różnych poziomach PLr. Taka kombinacja SRP/CS (części sterowania realizującej funkcję bezpieczeństwa) rozpoczyna się w punktach, w których inicjowane są sygnały związane z bezpieczeństwem i kończy na elementach sterowania mocą.

Norma PN-EN ISO 13849-1 opisuje 5 architektur części sterowania odpowiedzialnych za bezpieczeństwo. Zdefiniowanie architektur miało na celu sklasyfikowanie tej części na poziomy odporności na defekty. Podział na tzw. kategorie i zdefiniowanie zasad projektowania pozwolił dobrze zrozumieć mechanizmy przewidywalności powstawania defektów i wprowadzania dla każdej kategorii środków minimalizujących występowanie defektów. Poziom niezawodności części sterowania odpowiedzialnej za bezpieczeństwo wraz z wprowadzeniem dodatkowych środków probabilistycznych, zależnych od jakości samych elementów, z których zbudowana jest funkcja bezpieczeństwa pozwala na powiązanie pewnego stopnia tolerancji na wystąpienie defektów z ocenionym ryzykiem.

Taka klasyfikacja pozwoliła dobrze zrozumieć mechanizmy odporności na defekty części sterowania odpowiedzialnej za bezpieczeństwo. Nic zatem nie stoi na przeszkodzie, aby w celu realizacji funkcji bezpieczeństwa stosować kombinację kategorii, łączyć je w szereg lub logiczną zależność. Znasz już każdą z architektur, wobec czego wiesz jakiego poziomu odporności możesz oczekiwać. Jeśli w celu realizacji skomplikowanej funkcji bezpieczeństwa widzisz konieczność łączenia różnych kategorii ze sobą, to musisz tylko pamiętać, aby wynikający z takiego łączenia wynikowy PLr nie był mniejszy niż taki, jaki jest wymagany podczas oceny ryzyka.

Kombinacja SRP/CS – przykład

Jako przykład weźmy schemat jednokanałowej funkcji zatrzymania awaryjnego, w której styk NC przycisku zatrzymania awaryjnego został podłączony do przekaźnika bezpieczeństwa PNOZ S2 firmy PILZ. Wg producenta przekaźnika bezpieczeństwa, zapewnia on realizację funkcji bezpieczeństwa w kategorii 4 PLr=e. Jak to możliwe, skoro z wykorzystaniem tego przekaźnika bezpieczeństwa nie można zrealizować dwukanałowej architektury?

Otóż producent wykonał przekaźnik bezpieczeństwa w taki sposób, że jego struktura wewnętrzna jest rzeczywiście wykonana wg założeń architektury kategorii 4 i zapewnia niezawodność na poziomie PLr=e. Należy to rozumieć w taki sposób, że sam przekaźnik bezpieczeństwa nie obniży poziomu niezawodności funkcji bezpieczeństwa, zestawiając go z innymi elementami systemu. Kombinacja SRP/CS takiego przekaźnika bezpieczeństwa z innymi elementami wchodzącymi w skład funkcji bezpieczeństwa na pewno zmieni całkowity PL funkcji bezpieczeństwa.

Kombinacja SRP/CS takiej funkcji bezpieczeństwa przedstawionej na powyższym schemacie może być logicznie przedstawiona w sposób następujący:

Kombinacja SRPCS przykład 1 - diagram

Zmodyfikujmy teraz powyższy schemat, dokładając do przekaźnika –K1 redundantny przekaźnik –K2. Kombinacja SRP/CS będzie wyglądała w sposób następujący:

Kombinacja SRPCS przykład 2

 

Czy coś nam się zmienia? Tylko tyle, że układ wyjściowy funkcji bezpieczeństwa osiąga założenia architektury kategorii 4. Kombinacja SRP/CS takiej funkcji bezpieczeństwa może być logicznie przedstawiona w sposób następujący:

Kombinacja SRPCS przykład 2 - diagram

Przycisk zatrzymania awaryjnego w obydwu przypadkach jest wyposażony w tylko jeden elektromechaniczny styk NC. Jednokanałowy układ wejściowy funkcji bezpieczeństwa może osiągnąć maksymalnie założenia architektury kategorii 1. W artykule na temat pokrycia diagnostycznego DC wyjaśnione zostało dokładnie, dlaczego dla takiego połączenia nie osiągamy kategorii 2.

Kombinacja SRP/CS zaprojektowana w celu realizacji funkcji bezpieczeństwa może być jednak bardziej skomplikowana od przykładów pokazanych powyżej. W całej ścieżce od elementu wejściowego do elementu sterowania mocą może się znaleźć kilka oddzielnych części obwodu sterowania, dla których trudno jednoznacznie określić I/O/L. Dla takich układów często wyjście jednej części stanowi układ wejściowy dla innej części układu sterowania.

Rozdział 6.3 normy PN-EN ISO 13849-1 dokładnie opisuje kombinację SRP/CS w celu uzyskania całkowitego PLr i podaje wskazówki, w jaki sposób oceniać złożone obwody bezpieczeństwa.

Jeśli znane są wartości PFHD wszystkich SRP/CSi, wówczas PFHD kombinacji SRP/CS jest równe sumie wartości PFHD wszystkich N poszczególnych SRP/CSi. PL kombinacji SRP/CS jest ograniczony przez:

  • najniższy PL dowolnego z poszczególnych SRP/CSi uczestniczących w realizacji funkcji bezpieczeństwa (ponieważ PL jest określany także przez aspekty nieilościowe) i
  • odpowiadający PFHD kombinacji SRP/CS zgodnie z Tablicą 2.

Jeśli wartości PFHD poszczególnych SRP/CSi nie są znane, wówczas alternatywnie do powyższej metody, stosuje się zasadę najgorszego przypadku, przy czym PL całej kombinacji SRP/CS realizującej funkcję bezpieczeństwa można określić z użyciem Tablicy 11 następująco:

  • zidentyfikować najniższy PLi: jest to PLlow,
  • zidentyfikować liczbę Nlow ≤ N z SRP/CSi, dla których PLi = PLlow,
  • znaleźć PLr w Tablicy 11.
PLlow Nlow PL
a >3 Brak, niedozwolony
≤3 a
b >2 a
≤2 b
c >2 b
≤2 c
d >3 c
≤3 d
e >3 d
≤3 e
UWAGA Wartości podane w powyższej tablicy poglądowej obliczono na podstawie wartości niezawodności w punktach środkowych dla każdego PL.

Nietrudno się domyślić, że uproszczona metoda może dać zaniżony wynik dla całej funkcji bezpieczeństwa, więc jeśli projektujesz część obwodu realizującą funkcję bezpieczeństwa, warto korzystać z pierwszej metody, dla której znane są wartości PFHD. O PFHD możesz więcej dowiedzieć się z artykułu „Czym jest Performance Level wg ISO 13849-1”.

Kombinacja SRP/CS – metoda najgorszego przypadku

W normie PN-EN ISO 13849-1 można znaleźć przykład kombinacji kilku elementów systemu sterowania związanych z bezpieczeństwem w załączniku H. Poniższy schemat przedstawia połączenia elementów sterowania o znanym poziomie PL. Podana kombinacja SRP/CS realizuje funkcję bezpieczeństwa z kombinacją różnych kategorii i technik wg następujących założeń:

  • Kategoria 2, PLr=c dla elektroczułych urządzenia ochronnego SRP/CSa (kurtyna świetlna). W celu obniżenia prawdopodobieństwa wystąpienia defektów w urządzeniu stosuje się wypróbowane zasady bezpieczeństwa;
  • Kategoria 3, PLr=d dla elektronicznego sterownika logicznego SRP/CSb. W celu podniesienia parametrów bezpieczeństwa w tym elektronicznym sterowniku logicznym, struktura danego SRP/CS jest redundantna, z zastosowaniem kilku środków wykrywania defektów, tak, że możliwe jest wykrycie większości pojedynczych defektów;
  • Kategoria 1, PLr=c dla zaworu SRP/CSc. Status „wypróbowany” jest zwykle specyficzny dla danego zastosowania. W podanym przykładzie uważa się, że zawór jest wypróbowany. Aby obniżyć prawdopodobieństwo wystąpienia defektów, urządzenie składa się z elementów wypróbowanych użytych z zastosowaniem wypróbowanych zasad bezpieczeństwa i rozpatrywane są wszystkie warunki stosowania.

Kombinacja SRP/CS - przykłąd z zał. H ISO 13849-1

Wg metody najgorszego przypadku należy:

  • zidentyfikować najniższy PLi: jest to PLr=c;
  • zidentyfikować liczbę NLOWN z SRP/CSi, dla których PLi = PLlow. PLr=c występuje w tej kombinacji 2 razy.
  • Z tablicy 11 odczytujemy PLr. Jest to PLr=c.
PLlow Nlow PL
a >3 Brak, niedozwolony
≤3 a
b >2 a
≤2 b
c >2 b
≤2 c
d >3 c
≤3 d
e >3 d
≤3 e
UWAGA Wartości podane w powyższej tablicy poglądowej obliczono na podstawie wartości niezawodności w punktach środkowych dla każdego PL.

Kombinacja SRP/CS – podsumowanie

Chyba nie da się wyczerpać tematu dotyczącego stosowania podsystemów o rożnych kategoriach w celu osiągnięcia wymaganego poziomu PLr. Podsumowaniem może być jednak uczulenie na fakt, że funkcja bezpieczeństwa zawsze rozpoczyna się w punktach, w których inicjowane są sygnały związane z bezpieczeństwem i kończy na elementach sterowania mocą. Pamiętaj, że część sterowania odpowiedzialna za bezpieczeństwo, nawet wykonana w kategoria 4 PLr=e jeśli nie kończy się na elemencie sterowania mocą – nie jest kompletną funkcją bezpieczeństwa. W takim wypadku najprawdopodobniej ta część jest funkcjonalnie połączona z inną częścią. Wyobraź sobie, że tą inną częścią jest pojedynczy elektrozawór odcinający energię pneumatyczną. Cała funkcja bezpieczeństwa kończy się zatem na tym zaworze, który obniża nam PLr całej funkcji.

error: Treść jest chroniona !!
Enable Notifications OK No thanks