Produkty Komponenty bezpieczeństwa Ogólne zasady bezpieczeństwa Nowe normy EN ISO 13849-1 i EN 62061 WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 1 / 11
Informacje Zarówno norma EN ISO 13849-1 (określa PL), jak i norma EN 62061 (określająca SIL) spełniają wymagania Dyrektywy Maszynowej. EN ISO 13849-1: Bezpieczeństwo maszyn Elementy systemów sterowania związane z bezpieczeństwem EN62061: Bezpieczeństwo maszyn - Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem. Popularna norma EN 954-1, która została opublikowana w grudniu 1996 roku, nie odnosi się do stosowania układów elektronicznych w funkcjach związanych z bezpieczeństwem. Z tego powodu w niedostatecznym stopniu odzwierciedla aktualny stan techniki i dlatego została zastąpiona w listopadzie 2006 roku normą EN ISO 13849-1. Główną zmianą było to, że programowalne elektroniczne systemy sterowania mogły być teraz rozpatrywane. EN954-1 miała przestać obowiązywać z końcem października 2009. Do tego czasu zarówno EN954-1 jak i EN-ISO 13849-1 mogły być używane. Ze względu na problemy w zrozumieniu i zastosowaniu normy EN ISO 13849-1 postanowiono przedłużyć ważność normy EN954-1 do 31.12.2011. Od 01.01.2012 obowiązuje tylko EN ISO 13849-1. Różnice między EN ISO 13849-1 i EN 62061 Norma EN ISO 13849-1 ma szerokie zastosowanie i uwzględnia wszystkie technologie, w tym elektryczne, hydrauliczne, pneumatyczne i mechaniczne. Stara norma EN 954-1 była zbyt ograniczona i straciła rację bytu w bardziej złożonych systemach sterowania maszynami. EN ISO 13849-1 dostarcza rozwiązania do złożonych systemów sterowania i obejmuje bardziej skomplikowane maszyny. Zawiera także dodatkowe ilościowe metody określania odpowiednich kategorii odporności na uszkodzenia. W normie EN ISO 13849-1 poziomy działania są oznaczone PL (P erformance L evel) od a do e, gdzie e jest najwyższy. EN 62061 nie jest normą projektową i w przeciwieństwie do EN ISO 13849-1 zapewnia metodologię, dzięki której producent może sprawdzić, czy wybrane struktury systemów sterowania spełniają ustalone wymogi bezpieczeństwa. W EN 62061 poziomy nienaruszalności bezpieczeństwa są oznaczone jako SIL (S afety I ntegrity L evel) 1 3, gdzie 3 jest najwyższym poziomem. Zastosowanie SIL oznacza, że przeprowadzany jest systematyczny audyt, w którym brane są pod uwagę takie elementy jak: procedury postępowania, schematy połączeń, a do oceny ryzyka dane o awaryjności oparte na przeglądach. Ocena ryzyka oparta o SIL jest oceną jakościową. Można użyć EN ISO 13849-1 lub EN 62061 obie normy prowadzą do tych samych wyników, ale przy użyciu różnych metod. Norma EN 62061 jest korzystniejsza do stosowania w sytuacji wykorzystania oprogramowania i złożonych układów sterowania, natomiast norma EN ISO 13849-1 jest wygodniejsza w odniesieniu do komponentów elektryczno-elektronicznych o niskim stopniu złożoności. OEM Automatic poleca swoim Klientom używanie normy EN ISO 13849-1 ponieważ można ją stosować do wszystkich technologii. Powiązania pomiędzy różnymi normami EN 61508 EN 62061 EN ISO 134849-1 Segment przemysłu Ogólny Automatyka przemysłowa Automatyka przemysłowa Funkcja bezpieczeństwa Funkcja bezpieczeństwa Funkcja sterowania związana z Funkcja bezpieczeństwa Platforma bezpieczeństwa Systemy związane z bezpieczeństwem bezpieczeństwem (SRCF) Elektryczny System Sterowania Związany z Bezpieczeństwem (SRECS) Elementy Systemu Sterowania Związane z Bezpieczeństwem (SRP/CS) Typ produktu Komponenty Systemy Komponenty/Systemy Poziom redukcji ryzyka SIL 1 4 SIL 1 3 PL a e Wymaga obliczenia prawdopodobieństwa awarii sprzętu Tak Tak Tak Prawdopodobieństwo awarii sprzętu oznaczenie Norma opisuje cykl życia bezpieczeństwa maszyny Grupy ryzyka rozpatrywane przez normę Rodzaje ryzyka, którymi zajmuje się norma Harmonizacja na mocy Dyrektywy UE PFD/PFH PFH MTFF d Tak Tak Tak Bezpieczeństwo osób, środowisko, ergonomia Bezpieczeństwo osób Bezpieczeństwo osób Ogólne Ryzyka związane bezpośrednio Ryzyka związane bezpośrednio z urządzeniem lub grupą maszyn z urządzeniem lub grupą maszyn Nie Tak, Dyrektywa Maszynowa Tak, Dyrektywa Maszynowa WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 2 / 11
Różnice pomiędzy EN ISO 13849-1 i EN 62061 Techniki realizacji funkcji bezpieczeństwa EN ISO 13849-1 EN 62061 ANieelektryczna (np. hydraulika) Tak Nie BElektromechaniczna lub mało złożona elektronika Tak (do PL e ograniczenia architektury) Tak (do SIL 3) CZłożona elektronika (np. programowalna) Tak (do PL d ograniczenia architektury) Tak (do SIL 3) DA połączone z B Tak (do PL e ograniczenia architektury) Tak (do SIL 3, A jako podsystem) EC połączone z B Tak (do PL d ograniczenia architektury) Tak (do SIL 3) FC połączone z A lub C połączone z A i B Tak (do PL d dla podsystemu C) Tak (do SIL 3, A jako podsystem) WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 3 / 11
Norma EN ISO 13849-1 EN ISO 13849-1 określa szereg wymagań dotyczących minimalizacji prawdopodobieństwa wystąpienia poważnych awarii funkcji bezpieczeństwa. SRP/CS (S afety R elated P arts of C ontrols ystem) - elementy systemu sterowania związane z bezpieczeństwem.. MTTF d (M ean T ime T o dangerous F ailure) - średni czas do niebezpiecznego uszkodzenia. DC (D iagnostic C overage) - pokrycie diagnostyczne. Zdolność systemu do wykrywania defektów niebezpiecznych (kategoria bezpieczeństwa 2, 3 i 4), używany również do monitorowania, mający zastosowanie tylko do systemu bezpieczeństwa. W przypadku EN 954-1 można powiedzieć, że DC jest związane z pojęciem kontroli, ale jest teraz wyrażona bardziej szczegółowo na trzech poziomach. CCF (C ommon C ause F ailure) - defekty wywołane wspólną przyczyną. Ważne tylko dla systemów bezpieczeństwa (kategoria 2, 3 i 4). Odnosząc się do normy EN 954-1, można powiedzieć, że CCF są zawarte w pojęciu niezależnych kanałów / redundancji, ale teraz zawiera więcej szczegółów. CCF jest szacowane przez ocenę różnych środków przeciwdziałania uszkodzeniom wywołanym wspólną przyczyną, zgodnie z tabelami w normie. W EN ISO 13849-1 można ocenić, jaki poziom ochrony jest wymagany. Sposób stosowania EN ISO 13849-1 Poszczególne etapy procesu projektowania: zaczyna się od określenia niezbędnych funkcji ochronnych (np. start, stop i funkcja resetu), a następnie przechodzi do określania właściwości (np. kryteria startu, czas reakcji, czas cyklu i alarmów), których dana aplikacja wymaga. Określanie PL, projektowanie SF i identyfikacja SRP/CS Kolejnym etapem w procesie jest określenie niezbędnego poziomu działania dla każdej z wybranych (konieczne) funkcji bezpieczeństwa, który jest wprowadzany przez SRP/CS. Określenie PL jest związane z wynikiem oceny ryzyka i odnosi się do poziomu środków redukcji ryzyka (dodatek A w EN ISO 13849-1). Punkt początkowy do oszacowania minimalizacji ryzyka S= Stopień obrażeń S1= Lekki (zwykle odwracalny) S2= Ciężki (zwykle nieodwracalny lub śmierć) F= Częstotliwość lub czas trwania narażenia F1= Rzadko często i/lub krótkotrwałe narażenie na zagrożenie F2= Częste ciągłe i/lub długotrwałe narażenie na zagrożenie P= Prawdopodobieństwo uniknięcia P1= Możliwe pod pewnymi warunkami P2= Prawie niemożliwe WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 4 / 11
Powiązania pomiędzy kategoriami i PL Graficzna metoda określania PL na podstawie MTTF d, DC i architektury (kategorii) Kategorie bezpieczeństwa B, 1, 2, 3 i 4 pozostają, ale lepiej określić właściwości poprzez MTFF d, DC and CCF. Kategoria Podsumowanie wymagań Działanie systemu MTFF d DCavg CCF B Elementy związane z bezpieczeństwem są zrobione ze standardowych komponentów, prawidłowo zaprojektowanych. Wystąpienie defektu może prowadzić do utraty funkcji bezpieczeństwa. do średniego Brak Nie dotyczy 1 Należy stosować wypróbowane elementy i zasady bezpieczeństwa. 2 Należy stosować wypróbowane elementy i zasady bezpieczeństwa. Funkcje bezpieczeństwa powinny być sprawdzane przez system sterowania maszyny przy uruchomianiu maszyny oraz w określonych odstępach czasu. 3 Należy stosować wypróbowane elementy i zasady bezpieczeństwa. System powinien być zaprojektowany tak, aby pojedyńczy defekt jego dowolnej części nie prowadził do utraty funkcji bezpieczeństwa. 4 Należy stosować wypróbowane elementy i zasady bezpieczeństwa. System powinien być zaprojektowany tak, aby pojedyńczy defekt jego dowolnej części nie prowadził do utraty funkcji bezpieczeństwa. Pojedynczy defekt powinien być wykryty przed lub w momencie kolejnego przywołania funkcji bezpieczeństwa. Jeśli wykrycie nie jest możliwe, kumulacja defektów nie powinna prowadzić do utraty funkcji bezpieczeństwa. Wystąpienie defektu może prowadzić do utraty funkcji bezpieczeństwa, ale prawdopodobieństwo jest mniejsze niż w kategorii B. Wystąpienie defektu może prowadzić do utraty funkcji bezpieczeńtwa między sprawdzeniami. Po wystąpieniu pojedynczego defektu, funkcja bezpieczeństwa jest zawsze utrzymana. Wykrywane są tylko niektóre defekty. Kumulacja niewykrytych defektów może prowadzić do utraty funkcji bezpieczeństwa. Kiedy wystapi defekt, funkcja bezpieczeństwa jest zawsze wykonywana. Defekty są wykrywane na czas, by nie dopuścić do utraty funkcji bezpieczeństwa. Wysoki Brak Nie dotyczy do wysokiego do wysokiego do średniego do średniego Załącznik F Załącznik F Wysoki Wysoki Załącznik F Obliczanie MTTF d dla komponentów opartych na B10d B 10d = średnia liczba cykli roboczych, osiągniętych zanim 10% urządzeń testowych ulegnie defektowi prowadzącemu do uszkodzenia niebezpiecznego. Konwersja z B 10d(cykle) na MTTF d(lata). MTTF d= B 10d/0.1 x nop Wyliczenie ilości cykli wykonanych/rok n op= dop x hop x3600/t cycle WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 5 / 11
n op= ilość cykli wykonanych na rok d op= średnia ilość dni wykonywania cykli przez rok h op= średnia ilość godzin wykonywania cykli na dobę t cycle = średni czas pomiędzy początkami cykli (w sekundach) Stosowany głównie do pneumatycznych i elektromechanicznych komponentów. Metody szacowania MTTF d dla każdego kanału Ogólny wzór: MTTF d pojedyńczego kanału MTTF dii MTTF djodpowiednio, dla każdego składnika, który przyczynia się do funkcji bezpieczeństwa Pierwsza suma jest dla każdego elementu, druga jest równoważną, uproszczoną formą, w której każdy element z takim samym MTTF djjest zgrupowany Jeśli kanały systemu/podsystemu są inne, norma proponuje wzór, który uwzględnia te różnice: Użyj najniższej wartości z formuły poniżej: Średni czas do niebezpiecznego uszkodzenia - MTTF d Oznaczenie Okres 3 lata MTTF d<10 lat Średni 10 lat MTTF d<30 lat Wysoki 30 lat MTTF d<100 lat Pokrycie diagnostyczne (DC) stosuje się tylko do systemu bezpieczeństwa kategorii 2, 3 i 4. DC dzieli się na następujące zakresy: Oznaczenie Zakres Brak DC avg< 60% 60% DC avg< 90% Średni 90% DC avg < 99% Wysoki 99% DCavg Przykłady wartości DC Podwójne nadzorowane styczniki zapewniają DC =99% Przekaźnik bezpieczeństwa zapewnia DC =99% WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 6 / 11
Dwa kluczowe wyłączniki połączone szeregowo zapewniają DC =60% Wyłącznik SensaGuard zapewnia DC 99% Estymowana wartość uszkodzeń wywołanych wspólną przyczyną (CCF) dotyczy jedynie systemów bezpieczeństwa kategorii 2, 3 i 4. Wspólna przyczyna defektów CCF załącznik F normy. Uszkodzenia poszczególnych elementów wynikające z jednego zdarzenia, ale nieopierające się na wzajemnej przyczynie. CCF musi wynosić co najmniej 65 punktów. Punkty są liczone poprzez podjęcie odpowiednich kroków jak przedstawia tabela poniżej. Punktowanie środków przeciw wspólnej przyczynie L.p.Wymaganie Opis Punkty 1 Separacja / Odseparowanie obwodów sygnałowych, oddzielne poprowadzenie, izolacja, odstępy powietrzne itp. 15 oddzielenie 2 Zróżnicowanie Różne technologie, elementy składowe, sposoby działania, projekty 20 3 Projekt / Ochrona przed przeciążeniem, przepięciem, zwiększonym ciśnieniem itp. (w zależności od technologii) 15 aplikacja / Zastosowanie wypróbowanych elementów 5 doświadczenie 4 Szacownanie / Zastosowanie analizy uszkodzeń w celu uniknięcia uszkodzeń spowodowanych wspólną przyczyną 5 analiza 5 Umiejętności / Szkolenie projektantów w kierunku pojmowania oraz unikania przyczyn i skutków uszkodzeń 5 szkolenie spowodowanych wspólną przyczyną 6 Środowisko Test systemu pod kątem wpływów na skutek EMC 25 Test systemu pod kątem takich wpływów jak: temperatura, wstrząsy, wibracje, wilgotność itp. 10 Suma100 Sprawdzenie, czy uzyskany PL jest zgodny z wymaganym PLr Sprawdzenie, czy dla każdego kanału / funkcji ochrony zachodzi zależność PL PL ri czy określone wymogi są spełnione. Jeśli to nie działa, powrót do skonstruowania SF i identyfikacji SRP/CS. Walidacja Walidacja oznacza, że system spełnia wymagania funkcjonalne i bezpieczeństwa aplikacji. Porównanie PL i SIL Poziom działania PL Prawdopodobieństwo uszkodzenia niebezpiecznego na godzinę PFH d a 10-5do <10-4 Brak b 3x10-6do <10-5 1 c 10-6do <3x10-6 1 d 10-7do <10-6 2 e 10-8do <10-7 3 Poziom nienaruszalności bezpieczeństwa SIL Uwaga! Oprócz prawdopodobieństwa defektu niebezpiecznego na godzinę należy wziąć pod uwagę pozostałe czynniki, aby uzyskać zgodność z wymaganym PL r. Architektura dla różnych kategorii WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 7 / 11
Wskazana architektura kategorii B Uwaga! Błąd wejścia lub wyjścia i logiki nie jest wykrywany. MTTFd jest niski do średniego. DC i CCF nie są istotne. Wskazana architektura kategorii 1 Uwaga! Błąd wejścia lub wyjścia i logiki nie jest wykrywany. MTTFd jest wysoki. DC i CCF nie są istotne. Wskazana architektura kategorii 2 Uwaga! Monitorowanie diagnostyczne za pomocą testu funkcjonalnego systemu lub podsystemu. MTTF djest niski do wysokiego. DC jest niski do średniego. Środki przeciw CCF zostały uwzględnione. Wskazana architektura kategorii 3 Uwaga! Pojedynczy defekt nie jest wykrywany. MTTF djest niski do wysokiego. DC jest niski do średniego. Środki przeciw CCF zostały uwzględnione. Wskazana architektura kategorii 4 WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 8 / 11
Uwaga! Pojedynczy defekt zostanie wykryty przed następnym cyklem. MTTF i DC są wysokie. Środki przeciw CCF zostały uwzględnione. d WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 9 / 11
Norma EN 62061 Aspekty, które należy wziąć pod uwagę, kiedy stosujemy się do wymogów normy EN 62061. SRECS (S afety R elated E lectrical C ontrol S ystem) elektryczny system sterowania związany z bezpieczeństwem, błędy mogą doprowadzić do niebezpiecznych sytuacji. SRCF (S afety R elated C ontrol F unction) funkcja sterowania związana z bezpieczeństwem. Funkcja bezpieczeństwa SIL o określonym poziomie utrzymuje bezpieczny stan lub zapobiega wypadkom. SFF (S afe F ailure F raction) udział uszkodzeń bezpiecznych. Podane przez producenta. DC (D iagnostic C overage) pokrycie diagnostyczne. Zdolność detekcji awarii systemu. PFH D(P robability of dangerous F ailure per H our) prawdopodobieństwo defektu niebezpiecznego na godzinę. Producent deklaruje SIL, PFH D i SFF. Procedura EN 62061 Ocena ryzyka i zmniejszanie ryzyka, PN-EN ISO 12100:2012 Metodologia normy EN 62061 ma 4 różne parametry, które muszą być wzięte pod uwagę: Ciężkość (S). Częstotliwość lub czas przebywania (Fr). Prawdopodobieństwo wystąpienia sytuacji zagrożenia (Pr). Możliwość uniknięcia (Av). Potencjał skali urazu Skutek Ciężkość (S) Nieodwracalne: śmierć, utrata oka lub ręki 4 Nieodwracalne: kalectwo, utrata palców 3 Odwracalny: leczenie 2 Odwracalny: pierwsza pomoc 1 Częstotliwość lub czas przebywania (Fr) Częstotliwość lub czas przebywania 10 min <10 min 1 h 5 5 > 1 h do 1 dzień 5 4 > 2 dni do 1 tydzień 4 3 > 2 tygodni do 1 rok 3 2 > 1 rok 2 1 Poniższe aspekty są brane pod uwagę, kiedy wyznaczamy Fr: Jak często trzeba być w strefie zagrożenia w różnych trybach pracy (praca normalna, czyszczenie, konserwacja, rozwiązywanie problemów). Jakiego typu zadania są podejmowane, np. ręczny posuw materiału, parametryzacja itd. Prawdopodobieństwo wystąpienia sytuacji zagrożenia Prawdopodobieństwo wystąpienia Pr sytuacji zagrożenia Częste 5 Prawdopodobne 4 Możliwe 3 Rzadkie 2 Nieistotne 1 Następujące aspekty powinny być brane pod uwagę przy szacowaniu prawdopodobieństwa niebezpiecznego zdarzenia: Przy szacowaniu częstotliwości nie są brane pod uwagę funkcje bezpieczeństwa (SRECS), ale tylko inna technologia oraz zewnętrzne zmniejszenie ryzyka. WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 10 / 11
Ludzkie zachowanie, kiedy wysokie ryzyko może wystąpić, np. stres ze względu na ograniczenia czasowe, niewystarczająca informacja i wiedza o tym, jak poradzić sobie z sytuacją. Możliwość uniknięcia Możliwość uniknięcia Av Niemożliwe 5 Możliwe 3 Prawdopodobne 1 Przy szacowaniu prawdopodobieństwa możliwości uniknięcia lub ograniczenia obrażeń, należy wziąć pod uwagę strukturę maszyny i jej przeznaczenie, gdzie poniższe aspekty są ważne: Nagła, szybka lub wolna prędkość, gdy ryzyko występuje. Szanse, aby wydostać się z zagrożonej strefy, np. drogi ewakuacyjne. Klasa CI Wpisz wyniki analizy do każdej kolumny Fr, Pr, Av. Suma tych wartości daje klasę CI. L.P Ryzyko S Fr Pr Av CI 1. Kruszenie między maszyną i robotem 4 3 5 5 13 2. itd. Wymagany poziom nienaruszalności bezpieczeństwa Wymagany SIL jest punktem przecięcia wiersza S i kolumny CI. Prawdopodobieństwo defektu niebezpiecznego na godzinę (PFH d) dla poziomów SIL. Poziom nienaruszalności Prawdopodobieństwo defektu bezpieczeństwa (SIL) niebezpiecznego na godzinę (PFH d) 3 10-8to <10-7 2 10-7to <10-6 1 10-6to <10-5 Maksymalny SIL zależy od architektury (SFF) Udział uszkodzeń Tolerancja defektów sprzętu bezpiecznych SFF 0 1 2 <60 % Niedozwolony, oprócz określonych SIL 1 SIL 2 wyjątkowych przypadków od 60 % do <90 % SIL 1 SIL 2 SIL 3 od 90 % do <99 % SIL 2 SIL 3 SIL 3 99 % SIL 3 SIL 3 SIL 3 WWW.OEMAUTOMATIC.PL, INFO@PL.OEM.SE, TEL: +48 22 863 27 22, FAX: +48 22 863 27 24 11 / 11