PN-EN ISO 13849-1 – najważniejsze zasady

PN-EN ISO 13849-1

Norma PN-EN ISO 13849-1:2023 określa zasady projektowania elementów systemów sterowania odpowiedzialnych za funkcje bezpieczeństwa (SRP/CS – ang. Safety-Related Parts of Control Systems). W praktyce oznacza to, że każdy układ sterowania mający za zadanie zapobieganie wypadkom musi spełniać określone wymagania co do niezawodności i struktury. Poniżej przedstawiamy dziesięć najważniejszych porad dla inżynierów i techników, które pomogą w projektowaniu bezpiecznych systemów zgodnych z PN-EN ISO 13849-1. Porady te omawiają m.in. kategorie bezpieczeństwa, poziomy PL (Performance Level), wskaźniki takie jak MTTFd, DC, CCF czy SFF, a także zawierają przykłady i ciekawostki z praktyki międzynarodowej.

1. Przeprowadź analizę ryzyka i określ wymagany poziom PLr

Pierwszym krokiem w projektowaniu układu bezpieczeństwa jest analiza ryzyka. Zidentyfikuj wszystkie potencjalne zagrożenia związane z maszyną zgodnie z normą ogólną PN-EN ISO 12100. Na podstawie oceny ryzyka określ już zgodnie z normą PN-EN ISO 13849-1 tzw. wymagany Poziom Zapewnienia Bezpieczeństwa (PLr) dla każdej funkcji bezpieczeństwa. PLr to wymagana zdolność układu bezpieczeństwa do redukcji ryzyka – innymi słowy, poziom Performance Level, który musimy osiągnąć, aby ryzyko zostało zredukowane do akceptowalnego poziomu.

Aby ustalić PLr, oceniamy trzy czynniki: Severity (dotkliwość potencjalnej urazu), Frequency/Exposure (częstość i czas narażenia na zagrożenie) oraz Possibility of Avoidance (możliwość uniknięcia zagrożenia). Każdemu z nich przypisujemy wartości (np. S1 lub S2, F1 lub F2, P1 lub P2), co pozwala skorzystać z grafu ryzyka lub tabeli w normie, wyznaczającej wymagany poziom (od PL a przy najniższym ryzyku do PL e przy najwyższym). Przykładowo, dla zagrożenia mogącego powodować poważny uraz (S2), występującego rzadko (F1) i możliwego do uniknięcia przez operatora (P1), wymagany poziom może wynosić PL c. Prawidłowe ustalenie PLr jest najważniejsze – projektant musi zapewnić, że rzeczywisty układ bezpieczeństwa osiągnie co najmniej ten poziom (PL ≥ PLr).

2. Wybierz odpowiednią kategorię bezpieczeństwa (B, 1, 2, 3 lub 4)

Norma PN-EN ISO 13849-1 definiuje kategorie architektury układów bezpieczeństwa, odziedziczone z wcześniejszej normy EN 954-1. Kategoria określa strukturalne środki zapobiegania awariom i odporność układu na uszkodzenia. Wybór właściwej kategorii jest fundamentalny dla osiągnięcia wymaganego poziomu PL. Oto krótkie omówienie kategorii:

  • Kategoria B (podstawowa): Wymagania bezpieczeństwa podstawowego. Układ może być jednokanałowy (brak redundancji), a niezawodność zależy głównie od tzw. dobrych praktyk inżynierskich i jakości komponentów. Kategoria B sama w sobie zazwyczaj odpowiada najniższym poziomom zapewnienia bezpieczeństwa (PL a).
  • Kategoria 1: Również układ jednokanałowy, bez specjalnych mechanizmów diagnostycznych, ale z wypróbowanymi zasadami bezpieczeństwa i sprawdzonymi komponentami. Dzięki wykorzystaniu elementów o wysokiej niezawodności, osiąga się poprawę w stosunku do kategorii B. Pojedyncza awaria może jednak pozbawić układ funkcji bezpieczeństwa (brak redundancji). Typowo kategoria 1 może zapewnić PL a lub b, o ile komponenty mają wystarczającą niezawodność.
  • Kategoria 2: Układ jednokanałowy z nadzorowaniem. Oznacza to, że system posiada okresową diagnostykę – np. testy kontrolne wykonywane automatycznie lub przez operatora w regularnych odstępach czasu. Pojedyncza awaria może utracić funkcję bezpieczeństwa w momencie wystąpienia, ale jest wykrywana przy następnym teście, co pozwala podjąć działania (np. zatrzymać maszynę). Przykładem jest obwód zatrzymania awaryjnego, który testuje się przy każdym uruchomieniu maszyny. Kategoria 2 może osiągać PL b lub nawet PL c, jeśli diagnostyka jest skuteczna i komponenty są niezawodne.
  • Kategoria 3: Redundantny układ wielokanałowy. Architektura takiego układu zapewnia, że pojedyncza awaria nie powoduje utraty funkcji bezpieczeństwa (dzięki redundancji – zwykle dwa kanały równoległe). Nie wszystkie awarie są jednak wykrywane od razu. Układ dalej działa bez zauważenia niektórych pojedynczych uszkodzeń, ale drugi kanał nadal chroni przed wypadkiem. Aby spełnić wymagania kategorii 3, należy także uwzględnić odporność na błędy wspólnej przyczyny (CCF) – np. dwa kanały nie mogą łatwo zepsuć się z tego samego powodu. Kategoria 3 jest bardzo popularna w praktyce, ponieważ oferuje wysoki poziom bezpieczeństwa przy relatywnie mniejszej złożoności niż kategoria 4. Zwykle odpowiada poziomowi PL d (czasem PL c w zależności od użytych komponentów i diagnostyki).
  • Kategoria 4: Najwyższa architektura bezpieczeństwa. Układ jest redundantny z ciągłą diagnostyką tak zorganizowaną, że pojedyncza awaria nie powoduje utraty funkcji bezpieczeństwa, a każda pojedyncza awaria jest wykrywana w czasie rzeczywistym lub na tyle szybko, by zapobiec niebezpieczeństwu. Dzięki temu nawet nałożenie się dwóch uszkodzeń jest skrajnie mało prawdopodobne, bo pierwsza awaria zostanie wykryta i maszyna zostanie zatrzymana, zanim wystąpi kolejna. Kategoria 4 wymaga spełnienia rygorystycznych wymagań, w tym bardzo wysokiej odporności na CCF, wysokiego pokrycia diagnostycznego i komponentów o najwyższej niezawodności. Dobrze zaprojektowany układ kat. 4 może osiągnąć PL e (najwyższy).

W praktyce wybór kategorii zależy od wymaganego PLr oraz od tego, jakich komponentów i technologii używamy. Dla niższych PLr często wystarczy kat. 1 lub 2, podczas gdy PL d zazwyczaj wymaga kat. 3, a PL e – kat. 4. Pamiętaj, że kategorie 2, 3 i 4 nakładają dodatkowe wymagania (diagnostyka, redundancja, ocena CCF), co wpływa na koszt i złożoność systemu.

3. Dobierz komponenty o wysokiej niezawodności (MTTFd)

MTTFd (Mean Time To Dangerous Failure – średni czas do wystąpienia uszkodzenia niebezpiecznego) to kluczowy parametr ilościowy w normie ISO 13849-1. Wyrażany jest w latach i określa, jak długo przeciętnie komponent może pracować do momentu potencjalnej awarii zagrażającej bezpieczeństwu. Przy projektowaniu układów bezpieczeństwa dążymy do tego, by MTTFd wszystkich istotnych elementów był jak najwyższy.

W normie wyróżniono trzy przedziały MTTFd dla pojedynczego kanału układu: niski, średni i wysoki. Wartości graniczne to zwykle: niski – od 3 do <10 lat, średni – od 10 do <30 lat, wysoki – od 30 do 100 lat. (MTTFd poniżej 3 lat jest uważany za niedopuszczalnie niski w kontekście bezpieczeństwa maszyn). Należy zauważyć, że norma ogranicza maksymalną wartość MTTFd do 100 lat dla jednego kanału – nawet jeśli producent podaje wyższą wartość, w obliczeniach przyjmuje się 100 jako górny limit. Ma to zapobiec przecenianiu niezawodności i nadmiernemu optymizmowi przy bardzo rzadkich awariach.

Praktyczna porada: Wybieraj komponenty (czujniki, sterowniki, zawory, przekaźniki bezpieczeństwa itp.) od renomowanych dostawców, którzy udostępniają dane dotyczące MTTFd lub pokrewne wskaźniki (np. B10d – liczba cykli do 10% uszkodzeń niebezpiecznych, z której można wyliczyć MTTFd). Dla wysokich wymagań PL staraj się, aby każdy kanał miał MTTFd w kategorii „wysoki” (powyżej 30 lat). Jeśli używasz elementów mechanicznych, pneumatycznych czy hydraulicznych, zdobądź od producenta informacje o ich niezawodności lub skorzystaj z ustandaryzowanych danych (np. ogólne dane dla zaworów, siłowników). Pamiętaj też, że na MTTFd wpływa środowisko pracy – elementy eksploatowane w trudnych warunkach (kurz, wysokie temperatury, intensywny cykl pracy) mogą mieć realnie niższą niezawodność niż w idealnych warunkach.

4. Zadbaj o skuteczne pokrycie diagnostyczne (DC)

Pokrycie diagnostyczne (DC, Diagnostic Coverage) to miara, jaki odsetek potencjalnych awarii niebezpiecznych jest wykrywany przez wbudowane mechanizmy diagnostyczne układu. Intuicyjnie – im więcej usterek jesteśmy w stanie automatycznie wykryć, tym lepiej, bo układ może zareagować (np. zatrzymać maszynę) zanim niezauważona awaria doprowadzi do wypadku. DC wyrażane jest w procentach; 0% oznacza brak wykrywania uszkodzeń, 100% oznacza wykrycie wszystkich możliwych awarii niebezpiecznych.

Norma PN-EN ISO 13849-1 posługuje się czterema zakresami DC (średniego, tzw. DC_avg dla całej funkcji bezpieczeństwa): brak/niski, średni, wysoki, bardzo wysoki. Przykładowo, DC < 60% może być traktowane jako brak lub znikome pokrycie diagnostyczne, DC ≥60% to poziom niski (część uszkodzeń wykrywana), DC ≥90% uznawane jest za wysokie, a DC ≥99% za bardzo wysokie. Aby osiągnąć wysokie poziomy PL (d lub e), z reguły potrzeba co najmniej wysokiego pokrycia diagnostycznego, szczególnie w architekturach kategorii 3 i 4.

Przykłady zastosowań diagnostyki:

  • Stosuj czujniki dublujące sygnał lub samonadzorujące się – np. enkoder z funkcją samosprawdzania, styki pomocnicze monitorujące położenie styczników, itp.
  • Wykorzystuj sterowniki bezpieczeństwa lub moduły z funkcją testu impulsowego – wysyłają one sygnały testowe sprawdzające, czy np. wejścia bezpieczeństwa nie uległy zacięciu (sprawdzenie krótkich zwarć, uszkodzonych obwodów).
  • W przypadku kategorii 2, zaplanuj regularne testy – np. raz na zmianę operator musi sprawdzić działanie czujników bezpieczeństwa (to też forma diagnostyki, choć realizowana manualnie).

Wysokie pokrycie diagnostyczne redukuje prawdopodobieństwo niezauważonej awarii, co bezpośrednio przekłada się na niższe PFH_d (prawdopodobieństwo niebezpiecznej awarii na godzinę) dla całej funkcji bezpieczeństwa i tym samym na wyższy osiągany PL. Podsumowując: zawsze, gdy to możliwe, projektuj układ tak, by sam wykrywał swoje uszkodzenia – to podstawa kategorii 2, 3 i 4 oraz skutecznego bezpieczeństwa funkcjonalnego.

5. Uwzględnij odporność na błędy wspólnej przyczyny (CCF)

Nawet najlepiej zaprojektowany układ redundantny może stracić funkcję bezpieczeństwa, jeśli oba jego kanały zawiodą z tego samego powodu. Taki scenariusz nazywamy awarią o wspólnej przyczynie (Common Cause Failure). Przykłady to zalanie szafy sterowniczej, które unieruchomi jednocześnie dwa niezależne kontrolery, czy wibracje powodujące poluzowanie dwóch takich samych złączy. W kategoriach 2, 3 i 4 konieczne jest podjęcie środków przeciwko CCF – inaczej nasza redundancja może okazać się pozorna.

Norma PN-EN ISO 13849-1 zawiera listę kontrolną CCF, gdzie różne działania prewencyjne są punktowane. Działania te obejmują m.in.: fizyczne oddzielenie kanałów (np. różne trasy kablowe, odseparowane moduły), różnorodność komponentów (np. użycie komponentów od różnych producentów lub o odmiennych zasadach działania, by ta sama usterka nie dotknęła wszystkich jednakowo), zabezpieczenie przed czynnikami środowiskowymi (pył, wilgoć, temperatura), właściwe uziemienie i ekranowanie instalacji elektrycznej, unikanie identycznych błędów w oprogramowaniu obu kanałów, szkolenie personelu z zakresu montażu i eksploatacji itp. Każdy z tych aspektów dodaje punkty. Aby uznać, że układ jest odporny na CCF, projekt powinien uzyskać co najmniej 65 punktów na 100 możliwych w tej ocenie. Wynik ten oznacza, że ryzyko wspólnej awarii zredukowano do akceptowalnie niskiego poziomu.

Praktyczna porada: Podczas projektowania redundantnych torów bezpieczeństwa zawsze zadaj sobie pytanie: czy jest coś, co może zepsuć obydwa kanały naraz? Jeśli tak, wprowadź zabezpieczenia. Na przykład, jeśli dwa czujniki położenia są zamontowane obok siebie, upewnij się, że drgania lub uderzenie nie uszkodzi ich jednocześnie – może rozmieść je w oddalonych miejscach lub użyj różnych technologii (np. jeden magnetyczny, drugi mechaniczny). Jeśli dwa kanały korzystają z zasilania, rozważ oddzielne zasilacze lub przynajmniej osobne bezpieczniki. Takie szczegóły znacząco zwiększają wiarygodność systemu bezpieczeństwa.

6. Sprawdzaj sumaryczny poziom bezpieczeństwa całej funkcji

Projektując złożoną funkcję bezpieczeństwa, składającą się z kilku elementów składowych (np. czujnik + moduł logiczny + element wykonawczy), pamiętaj, że ogólny poziom bezpieczeństwa jest ograniczony przez najsłabsze ogniwo. Nie wystarczy, że każdy komponent osobno ma wysoki PL – musisz jeszcze zweryfikować, jaki sumaryczny Performance Level ma cała kombinacja.

Co ważne, jeśli łączysz wiele elementów szeregowo w jedną funkcję bezpieczeństwa, wzrasta ogólne prawdopodobieństwo awarii. To może obniżyć końcowy PL. Przykład praktyczny: Załóżmy, że masz trzy komponenty z certyfikatem PLe (najwyższym) połączone w jednym obwodzie bezpieczeństwa, jeden za drugim. Intuicyjnie można by oczekiwać, że cały układ też będzie PLe. Jednak w rzeczywistości maksymalnie uzyskamy tylko PLd. Dzieje się tak dlatego, że prawdopodobieństwa awarii tych elementów sumują się – im więcej komponentów, tym większa szansa, że któryś zawiedzie. PLe oznacza bardzo niskie prawdopodobieństwo niebezpiecznej awarii (rzędu 10^-8 na godzinę). Gdy masz trzy takie elementy, ich łączne ryzyko awarii mieści się już w przedziale odpowiadającym PLd (około 10^-7 na godzinę). Innymi słowy, kilka superbezpiecznych elementów połączonych razem może dać rezultat o stopień niżej.

Jak temu zaradzić? Po pierwsze, minimalizuj liczbę elementów w serii, jeśli każdy z nich musi zadziałać, by zatrzymać zagrożenie. Często można łączyć pewne funkcje równolegle zamiast szeregowo lub wybierać komponenty o jeszcze wyższej niezawodności, by zrekompensować efekt sumowania (choć, jak wspomniano, norma i tak ogranicza wartości MTTFd, więc cudów nie ma – PLe to praktyczny sufit). Po drugie, zawsze obliczaj osiągnięty PL całej funkcji bezpieczeństwa. Możesz skorzystać z narzędzi takich jak SISTEMA (darmowe oprogramowanie IFA do kalkulacji PL) albo obliczeń ręcznych według wzorów z normy. Sprawdź, czy osiągnięty PL ≥ wymagany PLr. Jeśli nie, musisz zmodyfikować projekt – np. zastosować inną kategorię, dodatkową diagnostykę, lepsze komponenty lub podzielić funkcję na mniejsze, niezależne części.

Zapamiętaj tę zależność: ogólny poziom bezpieczeństwa = minimum (lub mniej) z poziomów części składowych. Słaby element zaniży całość, a nawet same bardzo dobre elementy w nadmiarze mogą obniżyć poziom przez akumulację ryzyka.

7. Testuj i utrzymuj funkcje bezpieczeństwa przez cały cykl życia maszyny

Zaprojektowanie układu to jedno, ale utrzymanie jego niezawodności w czasie to drugie. Ważną poradą jest uwzględnienie już na etapie projektowania, jak będą testowane i konserwowane elementy bezpieczeństwa podczas eksploatacji maszyny. Norma ISO 13849-1 (oraz powiązane normy, jak ISO 13849-2 dotycząca walidacji) podkreślają, że bezpieczeństwo funkcjonalne wymaga ciągłej dbałości.

Planowane testy: Jeśli układ jest kategorii 2 (lub ma komponenty, które nie są ciągle monitorowane), trzeba przewidzieć okresowe testowanie przez personel. Użytkownik maszyny powinien mieć jasną instrukcję, jak często sprawdzać np. działanie wyłączników krańcowych, kurtyn świetlnych czy grzybów awaryjnych. Testy mogą być automatyczne – np. maszynę zaprogramowano tak, że co 24 godziny wykona autotest wszystkich torów bezpieczeństwa – lub manualne, np. operator raz w tygodniu sprawdza, czy wszystkie przyciski awaryjne działają poprawnie.

Konserwacja i wymiany: Zwróć uwagę na elementy o skończonej żywotności. Przekaźniki bezpieczeństwa mają ograniczoną liczbę cykli działania, podobnie zawory pneumatyczne (tu przydaje się wspomniany wcześniej parametr B10d określający wytrzymałość). Zaplanuj harmonogram prewencyjnej wymiany komponentów zanim ich zużycie pogorszy bezpieczeństwo. Na przykład, jeśli czujnik ma MTTFd ≈ 20 lat, warto go wymienić np. po 10-15 latach pracy intensywnej, zamiast czekać aż statystycznie zawiedzie.

Rekalibracja i inspekcje: Wpisz do instrukcji maszyny konieczność okresowych inspekcji układów bezpieczeństwa. Często wymagają tego też przepisy krajowe – np. kontrola kurtyn bezpieczeństwa czy skanerów laserowych pod kątem poprawnego ustawienia i czystości, przegląd mechanicznych blokad co rok itp. Regularne inspekcje pozwalają wychwycić degradację (poluzowane elementy, zużyte części, zmiany w otoczeniu maszyny) zanim staną się one przyczyną awarii.

Podsumowując, projektuj z myślą o całym cyklu życia. Zapewnij dostęp do komponentów bezpieczeństwa (by można je było łatwo sprawdzić lub wymienić), uwzględnij sygnalizację usterek (np. lampka lub komunikat informujący o wykryciu błędu przez układ diagnostyczny), a w dokumentacji dołącz harmonogram testów i konserwacji. Najlepszy nawet projekt straci swój PL, jeśli po kilku latach czujniki pokryją się brudem lub przekaźnik sklei styki – zapobiegaj temu poprzez odpowiednie utrzymanie ruchu.

8. Dokumentuj projekt i weryfikuj osiągnięty Performance Level

Spełnienie wymagań normy bezpieczeństwa to nie tylko kwestie techniczne, ale także formalna weryfikacja i dokumentacja. Każda funkcja bezpieczeństwa powinna być udokumentowana – od analizy ryzyka (określenia PLr), przez opis architektury (np. kategoria 3, dwukanałowy układ sterowania awaryjnego), aż po wyniki obliczeń niezawodnościowych (MTTFd, DC, ocena CCF) i ostateczny osiągnięty PL.

Zaleca się stosowanie narzędzi ułatwiających taką dokumentację. Popularnym wyborem jest wspomniane oprogramowanie IFA SISTEMA, które pozwala modelować układ według ISO 13849-1, wpisywać dane komponentów i automatycznie oblicza wynikowy PL. Otrzymane raporty mogą stanowić część dokumentacji maszyny. Alternatywnie można wykonać obliczenia ręcznie lub w arkuszu kalkulacyjnym, korzystając z formuł zawartych w normie (np. sumowanie wartości uszkodzeń λ dla elementów w szeregu, średnie pokrycie diagnostyczne itd.). Ważne, aby jasno wykazać, że wymagana redukcja ryzyka została osiągnięta.

Co dokumentować? Wszystko, co ma wpływ na bezpieczeństwo:

  • Charakterystyki komponentów: karty katalogowe sensorów, sterowników, siłowników z danymi MTTFd, B10d, certyfikatami na określone PL lub SIL, informacje o pokryciu diagnostycznym itp.
  • Schematy elektryczne/pneumatyczne/hydrauliczne: pokazujące architekturę kategorii (np. dwa styczniki w obwodzie bezpieczeństwa, dwie redundantne linie od czujnika do sterownika itp.).
  • Analiza CCF: wypełniona lista kontrolna z przyznanymi punktami i uzasadnieniem (np. „oddzielone przewody każdego kanału – 15 pkt”).
  • Wyniki obliczeń PL: np. wydruk z SISTEMA wskazujący osiągnięty PL dla każdej funkcji bezpieczeństwa.
  • Plan testów i konserwacji: z punktu 7, również powinien być częścią dokumentacji – zarówno dla producenta (przy ocenie zgodności CE), jak i dla użytkownika końcowego.

Dobrze prowadzona dokumentacja jest nie tylko wymogiem formalnym (np. do deklaracji zgodności UE), ale przede wszystkim potwierdza, że projekt jest przemyślany i kompletny. W razie audytu, kontroli czy (odpukać) wypadku, dokumentacja taka świadczy o dochowaniu należytej staranności przez konstruktora. Weryfikacja osiągniętego Performance Level powinna być przeprowadzona niezależnie (np. recenzja przez innego doświadczonego inżyniera ds. bezpieczeństwa) i potwierdzona testami na działającej maszynie.

Zobacz także:

Certyfikacja CE maszyn
Przyrządy spawalnicze: projektowanie
Projektowanie i budowa maszyn
Linie produkcyjne i technologiczne
Badanie Dobiegu Maszyn
Automatyka przemysłowa
Szkolenie: Bezpieczeństwo układów sterowania wg PN-EN ISO 13849-1
Szkolenie Dyrektywa Maszynowa 2006/42/WE
Relokacja linii produkcyjnej a CE
Biuro konstrukcyjne
Osłony maszyn – znaczenie w przemyśle
Podesty serwisowe: Bezpieczny dostęp do maszyn

9. Pamiętaj o uniwersalności normy – stosuj ją do systemów elektrycznych i mechanicznych, pneumatycznych, hydraulicznych

Jedną z zalet normy PN-EN ISO 13849-1 jest to, że nie ogranicza się ona wyłącznie do elektryki czy elektroniki. Choć wiele przykładów dotyczy np. sterowników PLC czy przekaźników bezpieczeństwa, zasady tej normy można – a nawet należy – stosować także do elementów mechanicznych oraz układów fluidycznych (pneumatyki i hydrauliki), o ile pełnią one funkcje bezpieczeństwa.

Dla zobrazowania, poniżej prezentujemy tabelę porównawczą pokazującą zastosowanie normy w różnych typach systemów:

Rodzaj systemuPrzykładowy element bezpieczeństwaZastosowanie normy PN-EN ISO 13849-1
ElektrycznyKurtyna świetlna, przekaźnik bezpieczeństwa, sterownik PLC z funkcjami safetyOcena PL obejmuje elektryczne części sterowania. Kategorie odnoszą się do architektury obwodów elektrycznych (np. dwa styczniki w serii dla kat. 3). Norma pierwotnie powstała z myślą o układach elektrycznych, ale jej zasady są ogólne.
PneumatycznyZawór odcinający powietrze z podwójną cewką (dual valve), czujnik ciśnienia monitorujący spadek ciśnienia przy awaryjnym odpowietrzeniuPneumatyczne elementy mogą realizować funkcje bezpieczeństwa (np. zatrzymanie cylindra). Stosujemy te same metody – określamy MTTFd dla zaworów (np. na bazie danych B10d), zapewniamy redundancję zaworów (typowo dwa zawory odcinające powietrze dla osiągnięcia kategorii 4) oraz diagnostykę (czujniki sprawdzające pozycje zaworów).
HydraulicznyZawór bezpieczeństwa w układzie hydraulicznym prasy, układ podwójnych zaworów proporcjonalnych kontrolujących ruch siłownikaNormę stosujemy analogicznie do układów hydraulicznych. MTTFd zaworów hydraulicznych i pomp, szczelność układów, redundancja (np. dwa zawory odcinające przepływ oleju, aby zapewnić zatrzymanie awaryjne) – wszystko to podlega ocenie według PN-EN ISO 13849-1. Kategorie bezpieczeństwa odnoszą się tu do architektury zaworów i czujników ciśnienia/położenia.
MechanicznyMechaniczny ogranicznik prędkości, wyłącznik odśrodkowy, sprężyna powrotna zamykająca zawór, układ cięgieł i dźwigni w blokadzieElementy czysto mechaniczne również mogą być częścią SRP/CS. Przykładowo blokada drzwi z ryglem sprężynowym – sprężyna musi być zaprojektowana jako niezawodna (MTTFd), a często dodaje się drugą sprężynę lub czujnik położenia rygla (redundancja/diagnostyka). ISO 13849-1 pozwala ująć takie mechaniczne urządzenia w analizie PL, co jest ważne, bo maszyny to nie tylko elektronika, ale i mechanika.

Jak widać, PN-EN ISO 13849-1 jest szeroko stosowana w budowie maszyn właśnie dlatego, że ma charakter uniwersalny. Maszyna to często połączenie mechaniki, elektryki i pneumatyki – np. robot spawalniczy ma sterowanie elektryczne, ale też pneumatyczne chwytaki i mechaniczną przekładnię. Ta norma umożliwia wspólną ocenę wszystkich tych elementów pod kątem bezpieczeństwa. Dla producentów maszyn to ogromna zaleta: jedna spójna metoda zapewnienia bezpieczeństwa dla całego urządzenia, niezależnie od zastosowanej technologii. W efekcie ułatwia to zgodność z Dyrektywą Maszynową 2006/42/WE czy Rozporządzenia Maszynowego (wymagania zasadnicze bezpieczeństwa) i uzyskanie oznakowania CE, ponieważ można wykazać, że każda część systemu sterowania mająca wpływ na bezpieczeństwo została zaprojektowana według uznanej normy.

10. Korzystaj również z uzupełniających norm (np. PN-EN 62061) i najlepszych praktyk międzynarodowych

PN-EN ISO 13849-1 nie jest jedynym standardem dotyczącym bezpieczeństwa funkcjonalnego maszyn. Warto znać także normę PN-EN 62061 (opartą na IEC 62061), która skupia się na bezpieczeństwie maszyn z punktu widzenia Safety Integrity Level (SIL) – czyli podejścia wywodzącego się z ogólnej normy funkcjonalnej IEC 61508. Obie normy można stosować równolegle i w sposób komplementarny.

Krótko o różnicach: ISO 13849-1 (PL) i IEC 62061 (SIL) dążą do tego samego celu – zapewnienia, że ryzyko awarii układu sterowania jest odpowiednio niskie. PL jest dyskretnym poziomem od a do e, SIL od 1 do 3 (dla maszyn, SIL4 rzadko jest wymagane i nie jest akurat uwzględnione w IEC 62061). PL e mniej więcej odpowiada redukcji ryzyka na poziomie SIL3, a PL d ~ SIL2, choć metody oceny są nieco inne. IEC 62061 kładzie większy nacisk na formalne wyliczenie PFH (prawdopodobieństwa awarii na godzinę) i wymaga spełnienia tzw. ograniczeń architektonicznych opartych o HFT (Hardware Fault Tolerance – tolerancja uszkodzeń) i SFF (Safe Failure Fraction – bezpieczna część uszkodzeń). SFF to pojęcie oznaczające procentowy udział wszystkich awarii układu, które są bezpieczne lub wykryte – np. SFF = 90% znaczy, że tylko 10% potencjalnych uszkodzeń mogłoby pozostać niebezpieczne niezauważone. W praktyce SFF jest podobny do idei pokrycia diagnostycznego i niezawodności komponentów, ale używany jest w normach SIL do określenia dopuszczalnej architektury dla danego SIL (razem z HFT).

Jak stosować normy równolegle? Często robi się to np. gdy używamy programowalnych sterowników bezpieczeństwa: można projekt architektury oprzeć na ISO 13849-1 (PL dla całości funkcji), ale sam sterownik może mieć certyfikat SIL3 zgodnie z IEC 62061/61508. Nie ma sprzeczności – komponent spełniający SIL3 zazwyczaj spełnia też wymagania PL e. Z kolei normę 62061 warto stosować przy bardzo złożonych systemach sterowania (zwłaszcza opartych na oprogramowaniu), gdzie formalne podejście SIL da głębszą analizę (np. analiza błędów oprogramowania, wymagania na cykl projektowy itp.). Natomiast ISO 13849-1 jest często bardziej praktyczna dla układów elektromechanicznych, prostsza w użyciu dla typowych maszyn i obejmuje wszystkie technologie.

Obie normy są zharmonizowane z Dyrektywą Maszynową, co oznacza, że stosując jedną bądź drugą (lub obie), możemy wykazać spełnienie zasadniczych wymagań bezpieczeństwa. Wiele firm korzysta z obu: np. oceniają funkcje bezpieczeństwa za pomocą PL, ale w przypadku np. systemu sterowania złożonego z wielu modułów komunikujących się siecią – co podpada pod skomplikowaną elektronikę – weryfikują też SIL. Najważniejsze jest to, by osiągnąć wymagany poziom redukcji ryzyka; droga może być dwojaka.

Najlepsze praktyki międzynarodowe: W skali globalnej norma ISO 13849-1 jest jednym z najczęściej stosowanych standardów bezpieczeństwa maszyn. W krajach Unii Europejskiej jest to wręcz podstawowy punkt odniesienia (praktycznie każda maszyna budowana na rynek UE musi mieć przeprowadzoną ocenę PL lub SIL). Prym wiodą kraje takie jak Niemcy, gdzie kultura bezpieczeństwa i rygory instytucji nadzoru (TÜV, BG itd.) wymuszają bardzo skrupulatne stosowanie norm.

Ciekawostka: Błędne zaprojektowanie układu bezpieczeństwa może mieć poważne konsekwencje. Historia zna przypadki, gdzie maszyny zostały wycofane z użytku lub modyfikowane na koszt producenta, bo okazało się, że ich układy bezpieczeństwa nie osiągały deklarowanego poziomu. Na przykład maszyna pakująca sprowadzona do UE, która nie zatrzymywała się wystarczająco szybko przy otwarciu osłony – analiza wykazała, że układ był tylko kategorii 1 (PL b), podczas gdy ze względu na ryzyko powinien być kategorii 3 (PL d). Efekt? Przymusowa modyfikacja: dołożenie dodatkowych czujników i przekaźników bezpieczeństwa, aby podnieść architekturę do wymaganego poziomu. W innym przypadku zaniedbanie testów okresowych (kat. 2) doprowadziło do sytuacji, w której awaria pozostała niewykryta i doszło do wypadku operatora – producent maszyny został pociągnięty do odpowiedzialności za brak jasnych instrukcji dot. testowania funkcji bezpieczeństwa. W skali globalnej takie incydenty sprawiają, że świadomość znaczenia norm rośnie. Wniosek: trzymając się opisanych wyżej porad i zasad, nie tylko spełnisz wymagania normy, ale realnie zabezpieczysz ludzi i sprzęt przed wypadkami, co jest nadrzędnym celem bezpieczeństwa funkcjonalnego.

Na końcu warto podkreślić: bezpieczeństwo maszyn to dziedzina, w której nie ma drogi na skróty. Norma PN-EN ISO 13849-1 stanowi sprawdzony zestaw wytycznych – stosując się do nich i korzystając z zdrowego rozsądku inżynierskiego, zbudujesz układ sterowania, który działa niezawodnie, wykrywa własne uszkodzenia i chroni życie oraz zdrowie użytkowników.

FAQ: PN-EN ISO 13849-1 – najważniejsze zasady

1. Czym różni się PN-EN ISO 13849-1 od normy PN-EN 62061?

Norma PN-EN ISO 13849-1 opisuje wymagania dla układów sterowania bezpieczeństwem maszyn (SRP/CS) z wykorzystaniem Performance Level (PL). Stosuje się ją nie tylko do układów elektrycznych, ale również pneumatycznych, hydraulicznych i mechanicznych. Norma PN-EN 62061 wykorzystuje poziomy SIL (Safety Integrity Level) i koncentruje się głównie na elektrycznych, elektronicznych oraz programowalnych układach bezpieczeństwa. Obie normy są zgodne z Dyrektywą Maszynową i można je stosować równolegle.

2. Czy można uzyskać najwyższy poziom PLe przy dowolnej liczbie komponentów w szeregu?

Nie. Nawet przy użyciu komponentów z poziomem PLe, połączenie trzech takich elementów szeregowo może obniżyć maksymalny osiągalny poziom bezpieczeństwa do PLd. Dzieje się tak ze względu na sumowanie prawdopodobieństw wystąpienia awarii komponentów.

3. Co to jest MTTFd i jak wpływa na projekt układu bezpieczeństwa?

MTTFd (Mean Time To Dangerous Failure) oznacza średni czas do wystąpienia niebezpiecznej awarii komponentu. Im wyższa wartość MTTFd, tym komponent jest bardziej niezawodny. Norma zaleca dobieranie elementów o możliwie wysokim MTTFd, aby zapewnić odpowiedni poziom bezpieczeństwa (najlepiej powyżej 30 lat).

4. Jak zapewnić odporność na awarie wspólnej przyczyny (CCF)?

CCF oznacza awarię powodującą jednoczesne uszkodzenie dwóch lub więcej redundantnych kanałów bezpieczeństwa. Norma ISO 13849-1 zawiera listę działań prewencyjnych (np. separacja fizyczna, różnorodność technologiczna, zabezpieczenia środowiskowe), które należy wdrożyć. Uzyskanie minimum 65 punktów w ocenie CCF jest wymagane do uznania układu za odporny na takie błędy.

5. Czy norma PN-EN ISO 13849-1 dotyczy tylko układów elektrycznych?

Nie. Norma ta jest uniwersalna i obejmuje nie tylko systemy elektryczne, ale także pneumatyczne, hydrauliczne oraz mechaniczne. Dzięki temu można za jej pomocą kompleksowo ocenić bezpieczeństwo całej maszyny, uwzględniając różne technologie stosowane w sterowaniu bezpieczeństwem.

analiza ryzyka automatyka przemysłowa automatyzacja procesów produkcyjnych automatyzacja produkcji bezpieczeństwo maszyn dokumentacja techniczna dyrektywa ATEX dyrektywa EMC dyrektywa LVD dyrektywa maszynowa 2006/42/WE Instrukcja obsługi integrator automatyki przemysłowej maszyna nieukończona normy zharmonizowane oznakowanie CE Performence level projektowanie maszyn rozporządzenie w sprawie maszyn 2023/1230 zarządzanie projektami Znak CE

Zobacz także:

4.8/5 - (12 votes)