Kombinacja SRP/CS w celu uzyskania całkowitego PLr
W praktyce rzadko się trafia na „książkowo” zaprojektowane funkcje bezpieczeństwa. W celu realizacji funkcji bezpieczeństwa często łączy się ze sobą części systemu sterowania odpowiedzialne za bezpieczeństwo o różnych poziomach PLr. Taka kombinacja SRP/CS (części sterowania realizującej funkcję bezpieczeństwa) rozpoczyna się w punktach, w których inicjowane są sygnały związane z bezpieczeństwem i kończy na elementach sterowania mocą.
Norma PN-EN ISO 13849-1 opisuje 5 architektur części sterowania odpowiedzialnych za bezpieczeństwo. Zdefiniowanie architektur miało na celu sklasyfikowanie tej części na poziomy odporności na defekty. Podział na tzw. kategorie i zdefiniowanie zasad projektowania pozwolił dobrze zrozumieć mechanizmy przewidywalności powstawania defektów i wprowadzania dla każdej kategorii środków minimalizujących występowanie defektów. Poziom niezawodności części sterowania odpowiedzialnej za bezpieczeństwo wraz z wprowadzeniem dodatkowych środków probabilistycznych, zależnych od jakości samych elementów, z których zbudowana jest funkcja bezpieczeństwa pozwala na powiązanie pewnego stopnia tolerancji na wystąpienie defektów z ocenionym ryzykiem.
Taka klasyfikacja pozwoliła dobrze zrozumieć mechanizmy odporności na defekty części sterowania odpowiedzialnej za bezpieczeństwo. Nic zatem nie stoi na przeszkodzie, aby w celu realizacji funkcji bezpieczeństwa stosować kombinację kategorii, łączyć je w szereg lub logiczną zależność. Znasz już każdą z architektur, wobec czego wiesz jakiego poziomu odporności możesz oczekiwać. Jeśli w celu realizacji skomplikowanej funkcji bezpieczeństwa widzisz konieczność łączenia różnych kategorii ze sobą, to musisz tylko pamiętać, aby wynikający z takiego łączenia wynikowy PLr nie był mniejszy niż taki, jaki jest wymagany podczas oceny ryzyka.
Kombinacja SRP/CS – przykład
Jako przykład weźmy schemat jednokanałowej funkcji zatrzymania awaryjnego, w której styk NC przycisku zatrzymania awaryjnego został podłączony do przekaźnika bezpieczeństwa PNOZ S2 firmy PILZ. Wg producenta przekaźnika bezpieczeństwa, zapewnia on realizację funkcji bezpieczeństwa w kategorii 4 PLr=e. Jak to możliwe, skoro z wykorzystaniem tego przekaźnika bezpieczeństwa nie można zrealizować dwukanałowej architektury?
Otóż producent wykonał przekaźnik bezpieczeństwa w taki sposób, że jego struktura wewnętrzna jest rzeczywiście wykonana wg założeń architektury kategorii 4 i zapewnia niezawodność na poziomie PLr=e. Należy to rozumieć w taki sposób, że sam przekaźnik bezpieczeństwa nie obniży poziomu niezawodności funkcji bezpieczeństwa, zestawiając go z innymi elementami systemu. Kombinacja SRP/CS takiego przekaźnika bezpieczeństwa z innymi elementami wchodzącymi w skład funkcji bezpieczeństwa na pewno zmieni całkowity PL funkcji bezpieczeństwa.
Kombinacja SRP/CS takiej funkcji bezpieczeństwa przedstawionej na powyższym schemacie może być logicznie przedstawiona w sposób następujący:
Zmodyfikujmy teraz powyższy schemat, dokładając do przekaźnika –K1 redundantny przekaźnik –K2. Kombinacja SRP/CS będzie wyglądała w sposób następujący:
Czy coś nam się zmienia? Tylko tyle, że układ wyjściowy funkcji bezpieczeństwa osiąga założenia architektury kategorii 4. Kombinacja SRP/CS takiej funkcji bezpieczeństwa może być logicznie przedstawiona w sposób następujący:
Przycisk zatrzymania awaryjnego w obydwu przypadkach jest wyposażony w tylko jeden elektromechaniczny styk NC. Jednokanałowy układ wejściowy funkcji bezpieczeństwa może osiągnąć maksymalnie założenia architektury kategorii 1. W artykule na temat pokrycia diagnostycznego DC wyjaśnione zostało dokładnie, dlaczego dla takiego połączenia nie osiągamy kategorii 2.
Kombinacja SRP/CS zaprojektowana w celu realizacji funkcji bezpieczeństwa może być jednak bardziej skomplikowana od przykładów pokazanych powyżej. W całej ścieżce od elementu wejściowego do elementu sterowania mocą może się znaleźć kilka oddzielnych części obwodu sterowania, dla których trudno jednoznacznie określić I/O/L. Dla takich układów często wyjście jednej części stanowi układ wejściowy dla innej części układu sterowania.
Rozdział 6.3 normy PN-EN ISO 13849-1 dokładnie opisuje kombinację SRP/CS w celu uzyskania całkowitego PLr i podaje wskazówki, w jaki sposób oceniać złożone obwody bezpieczeństwa.
Jeśli znane są wartości PFHD wszystkich SRP/CSi, wówczas PFHD kombinacji SRP/CS jest równe sumie wartości PFHD wszystkich N poszczególnych SRP/CSi. PL kombinacji SRP/CS jest ograniczony przez:
- najniższy PL dowolnego z poszczególnych SRP/CSi uczestniczących w realizacji funkcji bezpieczeństwa (ponieważ PL jest określany także przez aspekty nieilościowe) i
- odpowiadający PFHD kombinacji SRP/CS zgodnie z Tablicą 2.
Jeśli wartości PFHD poszczególnych SRP/CSi nie są znane, wówczas alternatywnie do powyższej metody, stosuje się zasadę najgorszego przypadku, przy czym PL całej kombinacji SRP/CS realizującej funkcję bezpieczeństwa można określić z użyciem Tablicy 11 następująco:
- zidentyfikować najniższy PLi: jest to PLlow,
- zidentyfikować liczbę Nlow ≤ N z SRP/CSi, dla których PLi = PLlow,
- znaleźć PLr w Tablicy 11.
PLlow | Nlow | ⇒ | PL |
a | >3 | ⇒ | Brak, niedozwolony |
≤3 | ⇒ | a | |
b | >2 | ⇒ | a |
≤2 | ⇒ | b | |
c | >2 | ⇒ | b |
≤2 | ⇒ | c | |
d | >3 | ⇒ | c |
≤3 | ⇒ | d | |
e | >3 | ⇒ | d |
≤3 | ⇒ | e | |
UWAGA Wartości podane w powyższej tablicy poglądowej obliczono na podstawie wartości niezawodności w punktach środkowych dla każdego PL. |
Nietrudno się domyślić, że uproszczona metoda może dać zaniżony wynik dla całej funkcji bezpieczeństwa, więc jeśli projektujesz część obwodu realizującą funkcję bezpieczeństwa, warto korzystać z pierwszej metody, dla której znane są wartości PFHD. O PFHD możesz więcej dowiedzieć się z artykułu „Czym jest Performance Level wg ISO 13849-1”.
Kombinacja SRP/CS – metoda najgorszego przypadku
W normie PN-EN ISO 13849-1 można znaleźć przykład kombinacji kilku elementów systemu sterowania związanych z bezpieczeństwem w załączniku H. Poniższy schemat przedstawia połączenia elementów sterowania o znanym poziomie PL. Podana kombinacja SRP/CS realizuje funkcję bezpieczeństwa z kombinacją różnych kategorii i technik wg następujących założeń:
- Kategoria 2, PLr=c dla elektroczułych urządzenia ochronnego SRP/CSa (kurtyna świetlna). W celu obniżenia prawdopodobieństwa wystąpienia defektów w urządzeniu stosuje się wypróbowane zasady bezpieczeństwa;
- Kategoria 3, PLr=d dla elektronicznego sterownika logicznego SRP/CSb. W celu podniesienia parametrów bezpieczeństwa w tym elektronicznym sterowniku logicznym, struktura danego SRP/CS jest redundantna, z zastosowaniem kilku środków wykrywania defektów, tak, że możliwe jest wykrycie większości pojedynczych defektów;
- Kategoria 1, PLr=c dla zaworu SRP/CSc. Status „wypróbowany” jest zwykle specyficzny dla danego zastosowania. W podanym przykładzie uważa się, że zawór jest wypróbowany. Aby obniżyć prawdopodobieństwo wystąpienia defektów, urządzenie składa się z elementów wypróbowanych użytych z zastosowaniem wypróbowanych zasad bezpieczeństwa i rozpatrywane są wszystkie warunki stosowania.
Wg metody najgorszego przypadku należy:
- zidentyfikować najniższy PLi: jest to PLr=c;
- zidentyfikować liczbę NLOW ≤ N z SRP/CSi, dla których PLi = PLlow. PLr=c występuje w tej kombinacji 2 razy.
- Z tablicy 11 odczytujemy PLr. Jest to PLr=c.
PLlow | Nlow | ⇒ | PL |
a | >3 | ⇒ | Brak, niedozwolony |
≤3 | ⇒ | a | |
b | >2 | ⇒ | a |
≤2 | ⇒ | b | |
c | >2 | ⇒ | b |
≤2 | ⇒ | c | |
d | >3 | ⇒ | c |
≤3 | ⇒ | d | |
e | >3 | ⇒ | d |
≤3 | ⇒ | e | |
UWAGA Wartości podane w powyższej tablicy poglądowej obliczono na podstawie wartości niezawodności w punktach środkowych dla każdego PL. |
Kombinacja SRP/CS – podsumowanie
Chyba nie da się wyczerpać tematu dotyczącego stosowania podsystemów o rożnych kategoriach w celu osiągnięcia wymaganego poziomu PLr. Podsumowaniem może być jednak uczulenie na fakt, że funkcja bezpieczeństwa zawsze rozpoczyna się w punktach, w których inicjowane są sygnały związane z bezpieczeństwem i kończy na elementach sterowania mocą. Pamiętaj, że część sterowania odpowiedzialna za bezpieczeństwo, nawet wykonana w kategoria 4 PLr=e jeśli nie kończy się na elemencie sterowania mocą – nie jest kompletną funkcją bezpieczeństwa. W takim wypadku najprawdopodobniej ta część jest funkcjonalnie połączona z inną częścią. Wyobraź sobie, że tą inną częścią jest pojedynczy elektrozawór odcinający energię pneumatyczną. Cała funkcja bezpieczeństwa kończy się zatem na tym zaworze, który obniża nam PLr całej funkcji.