PN-EN IEC 61508 – uniwersalny fundament bezpieczeństwa funkcjonalnego

PN-EN IEC 61508 (ang. IEC 61508) to norma, którą często traktuje się jako „bazę” dla innych dokumentów branżowych zajmujących się bezpieczeństwem funkcjonalnym. Określa zasady minimalizowania ryzyka w systemach sterowania opartych na technice elektrycznej, elektronicznej lub programowalnej (E/E/PE). Jej postanowienia bazują na czterech filarach:

1. Cykl życia bezpieczeństwa (Safety Lifecycle)
   – od wstępnej koncepcji i analizy zagrożeń, aż po wycofanie systemu z eksploatacji.
2. Poziomy Nienaruszalności Bezpieczeństwa (SIL)
   – przypisywane funkcjom bezpieczeństwa w celu określenia wymagań niezawodności.
3. Zarządzanie bezpieczeństwem funkcjonalnym
   – jasno zdefiniowane role, odpowiedzialności, procedury weryfikacyjne i przeglądy kompetencji.
4. Dokumentacja
   – tworzenie, przechowywanie i aktualizacja wszelkich istotnych danych oraz raportów na potrzeby eksploatacji i ewentualnych kontroli.

Wspomniane założenia sprawiają, że 61508 nie dotyczy wyłącznie jednego sektora. Wręcz przeciwnie – norma została zaprojektowana tak, by mogła być dostosowana do specyfiki różnych branż: od maszynowej, przez kolejową i lotniczą, po energetykę (także jądrową) i automatyzację procesów.

Zastosowanie w różnych branżach

Maszyny i linie produkcyjne: PN-EN 62061 oraz PN-EN ISO 13849

Jeśli chodzi o projektowanie maszyn oraz linii produkcyjnych często odwołujemy się do:

• PN-EN 62061 – „Bezpieczeństwo maszyn – Funkcjonalne bezpieczeństwo elektrycznych, elektronicznych i programowalnych elektronicznych układów sterowania maszyn”,
• PN-EN ISO 13849-1 – opisującej „Performence level” (PL).

Obie te normy w dużej mierze opierają się na koncepcjach z 61508, szczególnie gdy w grę wchodzi ocena ryzyka, ustalanie nienaruszalności bezpieczeństwa oraz zasady redundancji.

Przykłady praktyczne:

• Automatyczna linia pakująca: stosujemy kurtyny świetlne i wyłączniki awaryjne, projektujemy system sterowania tak, by w razie przerwania wiązki nastąpiło błyskawiczne zatrzymanie maszyn w sposób bezpieczny.
• Roboty współpracujące (coboty): dodatkowe wymagania co do reakcji na kontakt z człowiekiem, często z uwzględnieniem SIL 2 lub SIL 3.

Dzięki 61508 określamy ogólną metodologię, a 62061/13849-1 doprecyzowują, jak krok po kroku przeprowadzić analizę ryzyka i implementację poszczególnych funkcji bezpieczeństwa w maszynie.

Kolejnictwo: seria EN 5012x

W branży kolejowej standardem są normy:

• EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
• EN 50128 (oprogramowanie kolejowe),
• EN 50129 (systemy elektroniczne w sygnalizacji kolejowej).

Każda z nich, w kontekście wymogów bezpieczeństwa, nawiązuje do fundamentalnych reguł podobnych do 61508. Mamy tu również poziomy SIL (z reguły 0–4) i rygorystyczne wymogi w zakresie niezależności układów (redundancja kanałów) oraz odporności na zakłócenia (wspólne przyczyny awarii).

Przykład:

• Sterowanie ruchem pociągów: w razie zagrożenia kolizją, automatycznie uruchamiane są hamulce. Jeśli system taki jest oznaczony jako SIL 4, musi spełniać ekstremalnie wyśrubowane normy niezawodności i procedury testowe, zgodnie z EN 50128/50129.

Przemysł procesowy: PN-EN 61511

Gdy w grę wchodzą instalacje chemiczne, petrochemia, rafinerie czy zakłady przetwórstwa gazu, sięgamy po normę PN-EN 61511 – która pochodzi bezpośrednio od 61508, ale skupiona stricte na tzw. SIS (Safety Instrumented Systems).

• Projektujemy pętle bezpieczeństwa (SIF – Safety Instrumented Function), określamy SIL dla każdej z nich.
• Stosujemy często metodę HAZOP w analizie zagrożeń procesowych.
• Zapewniamy, że czujniki i elementy wykonawcze mają odpowiednią niezawodność i są testowane w regularnych odstępach.

Energetyka jądrowa: IEC 61513

Kiedy ryzyko awarii oznacza zagrożenie dla dużych obszarów (elektrownie jądrowe), normy bezpieczeństwa funkcjonalnego są jeszcze ściślejsze.

• IEC 61513 (w Polsce czasem przywoływana jako PN-IEC 61513) opisuje wymagania w zakresie systemów ochronnych i sterowania bloków jądrowych.
• Wymagana jest wielokanałowa redundancja (np. 2oo3, 2oo4 – „two out of three” itd.) oraz bardzo surowa kontrola projektowania oprogramowania.

Lotnictwo: DO-178C / DO-254

Choć w lotnictwie nie używamy wprost 61508, to idea jest zbieżna. Dokument DO-178C (dla oprogramowania pokładowego) i DO-254 (dla sprzętu) wprowadzają poziomy krytyczności A–E, bazujące na konsekwencjach błędu (od drobnych niedogodności po katastrofę samolotu). Metodyka analizy, redundancji, testowania i zarządzania konfiguracją jest w istocie bardzo podobna do 61508 – z naciskiem na szczegółowe reguły certyfikacji avioniki.

PN-EN IEC 61508: Założenia i ich praktyczne znaczenie

1. Cykl życia bezpieczeństwa
   • Obejmuje fazy: od zdefiniowania konceptu, przez szczegółowy projekt (sprzęt, oprogramowanie), aż po instalację, odbiory, eksploatację i modyfikacje.
   • Dzięki temu nie ograniczamy się do pojedynczego audytu na koniec projektu; bezpieczeństwo musi być analizowane i potwierdzane przez cały okres użytkowania.
2. Poziomy Nienaruszalności Bezpieczeństwa (SIL)
   • Mamy cztery poziomy: SIL 1 – najmniej rygorystyczny; SIL 4 – najbardziej.
   • Każdy definiuje dopuszczalne granice prawdopodobieństwa uszkodzenia niebezpiecznego (np. PFD dla trybu na rzadkie przywołanie).
3. Ocena i dokumentacja ryzyka
   • Zanim zaczniesz projektować, musisz wiedzieć, jakie zagrożenia i w jakiej skali istnieją.
   • Dokumentacja (analizy np. HAZOP, FMEA, drzewo błędów) stanowi trzon systemu – w razie kontroli lub audytu możesz wykazać racjonalność swoich decyzji projektowych.
4. Niezależność i redundancja
   • Redundancja jest skuteczna tylko, jeśli dwa (lub więcej) kanały nie padają naraz z tego samego powodu (błędy wspólnej przyczyny).
   • Wysoki SIL wymaga najczęściej różnych technologii, różnych dostaw zasilania itd.
5. Zarządzanie kompetencjami
   • Ludzie odpowiedzialni za projektowanie i utrzymanie systemów bezpieczeństwa muszą mieć do tego kwalifikacje i doświadczenie (norma wyraźnie to podkreśla).

Co nam daje korzystanie z PN-EN 61508

1. Mniejsza liczba awarii i przestojów – przez lepszą kontrolę ryzyka i wcześniejsze wykrywanie wad.
2. Zgodność z przepisami – klienci, inspektorzy i ubezpieczyciele często wymagają certyfikacji według takich norm.
3. Wzrost zaufania – systemy zaprojektowane zgodnie z 61508 / 61511 / 62061 / EN 5012x są postrzegane jako bardziej wiarygodne.
4. Efektywność długofalowa – choć wdrożenie bywa kosztowne, pozwala zmniejszyć potencjalne straty wynikające z wypadków czy problemów prawnych.

PN-EN IEC 61508: Najczęstsze błędy i pułapki

1. Brak odpowiedniej analizy błędów wspólnej przyczyny: system redundantny może zawieść, jeśli kanały mają jednak wspólne źródło zasilania czy wspólną magistralę danych.
2. Ograniczenie się do jednego elementu z certyfikatem SIL: fakt, że czujnik albo sterownik posiada certyfikat SIL 2/3, nie oznacza automatycznie, że cały system ma taki poziom – liczy się kompleksowa architektura (czujniki, okablowanie, oprogramowanie, elementy wykonawcze).
3. Brak testów okresowych: w przypadku systemów działających rzadko testowanie w rzeczywistych warunkach to obowiązek. Bez tego nie mamy pewności, czy funkcja bezpieczeństwa w krytycznym momencie zadziała.
4. Pomijanie fazy modyfikacji: jeśli zmienisz choćby fragment oprogramowania lub wymienisz zawór, musisz powtórzyć niektóre kroki cyklu życia bezpieczeństwa – zwłaszcza analizę wpływu zmiany.
5. Zaniedbanie kompetencji: od projektanta po pracowników utrzymania ruchu – każdy potrzebuje odpowiedniego przeszkolenia, by wiedzieć, jak przestrzegać założeń bezpieczeństwa funkcjonalnego.

PN-EN 61508 to punkt wyjścia, a normy sektorowe (PN-EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 itd.) adaptują jej zasady do specyfiki poszczególnych gałęzi przemysłu. Dla Ciebie, jako projektanta czy użytkownika systemów bezpieczeństwa, oznacza to:

• Jasne i spójne wytyczne, jak podejść do analizy ryzyka, określania SIL czy testowania układów.
• Konieczność tworzenia szczegółowej dokumentacji – od protokołów testowych po zapisy o kompetencjach personelu.
• Większą pewność, że wdrożone rozwiązania spełniają międzynarodowe standardy i będą akceptowalne przez klientów oraz organy nadzoru.

Ostatecznie, choć może to być proces kosztowny i czasochłonny, poprawne wprowadzenie PN-EN 61508 (lub jej „pochodnych”) przekłada się na mniejsze ryzyko wypadków, stabilniejszą pracę zakładu, a także lepszą reputację w branży. Normy te nie są więc „zbędnym papierem”, ale skutecznym narzędziem pozwalającym chronić życie, zdrowie i mienie.

FAQ: PN-EN IEC 61508

analiza ryzyka automatyka przemysłowa automatyzacja procesów produkcyjnych automatyzacja produkcji bezpieczeństwo maszyn dokumentacja techniczna dyrektywa ATEX dyrektywa EMC dyrektywa maszynowa 2006/42/WE Instrukcja obsługi integrator automatyki przemysłowej KPI maszyna nieukończona normy zharmonizowane OEE oznakowanie CE Performence level projektowanie maszyn rozporządzenie w sprawie maszyn 2023/1230 Znak CE