DIN EN ISO 13849
DIN EN ISO 13849 — это международный стандарт в области функциональной безопасности машин и механизмов, устанавливающий требования к проектированию, верификации и валидации систем управления, связанных с безопасностью. Полное название стандарта — «Безопасность машин. Элементы систем управления, связанные с безопасностью». Он является европейским (EN) и международным (ISO) документом, принятым в Германии (DIN) как национальный стандарт. Основная цель стандарта — обеспечить снижение риска до приемлемого уровня за счёт применения надёжных и отказоустойчивых систем управления.
История и происхождение
Стандарт DIN EN ISO 13849 берёт начало от немецкого промышленного стандарта DIN V 19250, который в 1990-х годах задавал требования к системам управления для обеспечения безопасности. Впоследствии он был переработан и гармонизирован с европейскими директивами по безопасности машин (например, Директива 2006/42/EC). В 2006 году стандарт получил международный статус ISO 13849-1, а его европейская версия — EN ISO 13849-1. Номер «DIN» указывает на то, что стандарт принят в Германии как национальный, хотя его содержание идентично международному.
Первая редакция ISO 13849-1 была опубликована в 1999 году, а в 2006 году вышла вторая редакция, которая заменила устаревшие национальные стандарты (например, немецкий DIN V 19250). В 2015 году была выпущена третья редакция (ISO 13849-1:2015), которая уточнила требования к программному обеспечению и методам оценки надёжности. На 2024 год актуальной является версия DIN EN ISO 13849-1:2016-06 (немецкая версия европейского стандарта EN ISO 13849-1:2015). Стандарт состоит из двух частей: часть 1 (ISO 13849-1) — общие принципы проектирования, часть 2 (ISO 13849-2) — верификация и валидация.
Область применения
Стандарт применяется для систем управления, которые выполняют функции безопасности (Safety-Related Control Systems, SRCS). Он охватывает широкий спектр машин и механизмов: от простых станков до сложных промышленных роботов, упаковочных линий, прессов, конвейеров и медицинского оборудования. Стандарт не распространяется на системы, не связанные с безопасностью, или на системы, где риск полностью исключён конструкцией машины (например, защитные ограждения).
Основные области применения:
- Проектирование новых машин и модернизация существующих.
- Разработка программируемых логических контроллеров (ПЛК), используемых в цепях безопасности.
- Оценка безопасности систем управления для сертификации по директивам ЕС (например, CE-маркировка).
- Анализ рисков и определение требуемого уровня безопасности.
Ключевые понятия и структура
Стандарт вводит несколько центральных терминов, которые определяют подход к проектированию.
Уровень полноты безопасности (PL — Performance Level)
Уровень полноты безопасности (PL) — это количественная характеристика способности системы управления выполнять функцию безопасности в заданных условиях. PL обозначается буквами от a до e, где PL a — самый низкий уровень, а PL e — самый высокий. Каждому уровню соответствует определённая вероятность опасного отказа в час (PFHd — Probability of Dangerous Failure per Hour):
- PL a: PFHd от 10⁻⁵ до 10⁻⁴ (1 опасный отказ на 10 000–100 000 часов).
- PL b: PFHd от 10⁻⁶ до 10⁻⁵.
- PL c: PFHd от 10⁻⁷ до 10⁻⁶.
- PL d: PFHd от 10⁻⁷ до 10⁻⁶ (более строгие требования к структуре, чем PL c).
- PL e: PFHd от 10⁻⁸ до 10⁻⁷.
PL выбирается на основе анализа риска (например, по методике оценки риска из стандарта ISO 12100). Чем выше риск, тем выше требуемый PL.
Категории архитектуры
Стандарт определяет пять категорий архитектуры (B, 1, 2, 3, 4), которые описывают структуру системы управления с точки зрения устойчивости к отказам и диагностики:
- Категория B: базовая архитектура. Одиночный канал, без диагностики. Отказ любого компонента ведёт к потере функции безопасности.
- Категория 1: одиночный канал, но с использованием проверенных компонентов (например, реле с высокой надёжностью). Отказ компонента возможен, но его вероятность снижена за счёт качества.
- Категория 2: одиночный канал с периодической диагностикой (например, тестовым сигналом). Отказ может быть обнаружен при тесте, но между тестами функция может быть потеряна.
- Категория 3: два канала (резервирование). Отказ одного канала не приводит к потере функции безопасности. Требуется диагностика для обнаружения отказа.
- Категория 4: два канала с высокой диагностикой. Любой одиночный отказ обнаруживается и не приводит к потере функции безопасности. Допускается накопление отказов, но с контролем.
Категория и PL связаны: например, PL d обычно достигается категорией 3, а PL e — категорией 4.
Среднее время до опасного отказа (MTTFd)
MTTFd — это среднее время работы системы до возникновения опасного отказа. Измеряется в годах. Стандарт делит компоненты на три класса:
- Низкое: MTTFd от 3 до 10 лет.
- Среднее: MTTFd от 10 до 30 лет.
- Высокое: MTTFd от 30 до 100 лет.
Для достижения высоких PL (d, e) требуется использование компонентов с высоким MTTFd.
Диагностическое покрытие (DC — Diagnostic Coverage)
DC — это доля опасных отказов, которые могут быть обнаружены системой диагностики. Выражается в процентах:
- Низкое: DC < 60 %.
- Среднее: DC от 60 % до 90 %.
- Высокое: DC от 90 % до 99 %.
- Очень высокое: DC ≥ 99 %.
Для PL e требуется DC не менее 99 % (очень высокое).
Устойчивость к общей причине отказа (CCF — Common Cause Failure)
CCF — это отказ, который одновременно поражает несколько каналов системы (например, из-за перегрева, вибрации или электромагнитных помех). Стандарт требует мер по снижению CCF, таких как физическое разделение каналов, использование разных типов компонентов или защита от внешних воздействий. Для категорий 3 и 4 CCF должен быть минимизирован (например, по методике из приложения F стандарта).
Методика оценки PL
Для определения достигнутого PL используется комбинация трёх параметров: категория архитектуры, MTTFd и DC. Стандарт предоставляет таблицы и графики (например, диаграмму, связывающую эти параметры), по которым можно определить PL. Пример:
- Категория B с низким MTTFd и низким DC → PL a.
- Категория 3 с высоким MTTFd и средним DC → PL d.
- Категория 4 с высоким MTTFd и очень высоким DC → PL e.
Также учитывается CCF: если меры по его снижению недостаточны, PL может быть понижен.
Программное обеспечение
Стандарт распространяется и на программные компоненты систем управления (например, ПЛК, микроконтроллеры). Для программного обеспечения вводятся требования:
- Использование структурированного программирования.
- Верификация кода (например, модульное тестирование).
- Избегание неопределённых состояний (например, «плавающих» битов).
- Для PL d и PL e требуется применение формальных методов или доказательств корректности.
Программное обеспечение делится на встроенное (embedded software) и прикладное (application software). Для каждого уровня PL заданы минимальные требования к процессу разработки.
Связь с другими стандартами
DIN EN ISO 13849 часто используется совместно с другими стандартами:
- ISO 12100 — общие принципы оценки риска.
- IEC 62061 — стандарт для электрических систем управления (аналог ISO 13849 для сложных электронных систем).
- IEC 61508 — базовый стандарт функциональной безопасности (для всех отраслей).
- EN 60204-1 — требования к электрооборудованию машин.
В отличие от IEC 62061, который ориентирован на сложные программируемые системы, ISO 13849 более гибок и подходит для простых электромеханических и пневматических систем. Для машин с высокими требованиями к безопасности (например, в авиации или атомной энергетике) часто применяется IEC 61508.
Примеры применения
- Аварийный останов: для кнопки аварийного останова (E-stop) часто требуется PL d или PL e. Система реализуется с двумя каналами (категория 3 или 4) и диагностикой (например, контроль замыкания контактов).
- Световая завеса: защитная световая завеса (light curtain) должна быть подключена к системе с PL d или PL e. Используется категория 4 с высоким DC.
- Пневматический пресс: для управления движением поршня применяется система с PL c или PL d, включающая два клапана с мониторингом положения.
Критика и ограничения
Стандарт критикуется за сложность расчётов и необходимость точных данных о MTTFd компонентов, которые не всегда доступны. Также отмечается, что для систем с интенсивным использованием программного обеспечения (например, роботы с искусственным интеллектом) ISO 13849 может быть недостаточно строгим, и требуется переход к IEC 61508 или IEC 62061. Кроме того, стандарт не охватывает кибербезопасность, что становится всё более актуальным в условиях цифровизации производства.
Источники
- ISO 13849-1:2015 «Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design».
- ISO 13849-2:2012 «Safety of machinery — Safety-related parts of control systems — Part 2: Validation».
- DIN EN ISO 13849-1:2016-06 (немецкая версия).
- IEC 61508:2010 «Functional safety of electrical/electronic/programmable electronic safety-related systems».
- ISO 12100:2010 «Safety of machinery — General principles for design — Risk assessment and risk reduction».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →