bezpieczeństwo funkcjonalne w robotyce
Bezpieczeństwo

Bezpieczeństwo funkcjonalne w robotyce: normy, ryzyko i SIL/PL

13 minut czytania

Bezpieczeństwo funkcjonalne w robotyce to dziedzina, która decyduje o tym, czy robot w razie awarii zachowa się w sposób przewidywalny i bezpieczny dla człowieka. To nie jest kwestia dobrych praktyk – to wymóg prawny i techniczny obowiązujący każdego projektanta, integratora i producenta systemu zrobotyzowanego. Ten artykuł jest dla inżynierów automatyków, integratorów systemów i specjalistów ds. bezpieczeństwa maszyn, którzy chcą rozumieć temat na poziomie, który pozwala podejmować trafne decyzje projektowe. Znajdziesz tu zarówno omówienie norm i poziomów bezpieczeństwa, jak i konkretne funkcje, architektury i wymagania walidacyjne.

Najważniejsze informacje z tego artykułu:

  • Bezpieczeństwo funkcjonalne w robotyce regulują normy ISO 10218:2025, ISO 13849-1:2023 i IEC 62061, które wymagają formalnej oceny ryzyka i przypisania każdej funkcji bezpieczeństwa konkretnego poziomu PL lub SIL.
  • Poziomy PL (a–e) i SIL (1–3) są liczbowym opisem dopuszczalnego prawdopodobieństwa niebezpiecznego uszkodzenia na godzinę, a nie subiektywną oceną jakości projektu.
  • Funkcje bezpieczeństwa napędów, takie jak STO, SLS, SS1 i SLP, muszą być realizowane przez certyfikowany sprzęt i oprogramowanie, a nie przez standardowy kontroler ruchu.
  • Roboty współpracujące wymagają wdrożenia trybów PFL i SSM jako certyfikowanych funkcji bezpieczeństwa spełniających PL d/e lub SIL 2/3.
  • Ponad połowa analizowanych układów bezpieczeństwa maszyn wykazuje co najmniej jedno ukryte naruszenie wymaganego poziomu PL, najczęściej wynikające z błędów integracji.
W artykule: Pokaż

Czym jest bezpieczeństwo funkcjonalne w robotyce?

Bezpieczeństwo funkcjonalne to zdolność systemu sterowania do wprowadzenia robota lub maszyny w bezpieczny stan w odpowiedzi na zagrożenie – awarię, błąd, wejście człowieka w strefę niebezpieczną lub utratę sygnału z czujnika. Chodzi o to, żeby nieprawidłowe działanie układu sterowania nie prowadziło do wypadku. Inaczej mówiąc – system musi działać poprawnie wtedy, kiedy jego działanie jest naprawdę potrzebne.

W praktyce oznacza to, że każda czynność ochronna – zatrzymanie robota po naciśnięciu przycisku bezpieczeństwa, odcięcie momentu napędowego po otwarciu osłony, ograniczenie prędkości podczas trybu nauczania – jest definiowana jako funkcja bezpieczeństwa. Każdej takiej funkcji przypisuje się wymagany poziom niezawodności, wyrażony jako PL (Performance Level) lub SIL (Safety Integrity Level). To właśnie jest serce bezpieczeństwa funkcjonalnego: nie wystarczy, że funkcja istnieje – trzeba udowodnić, z jakim prawdopodobieństwem zadziała poprawnie.

Dane z opracowań Centralnego Instytutu Ochrony Pracy wskazują, że uszkodzenia systemów sterowania odpowiadają za kilkanaście do kilkudziesięciu procent wszystkich wypadków związanych z maszynami, zależnie od branży i analizowanego badania. To liczby, które dobrze obrazują, dlaczego formalne podejście do bezpieczeństwa funkcjonalnego nie jest opcjonalne.

Jakie normy regulują bezpieczeństwo funkcjonalne robotów?

Robotyka przemysłowa operuje w ramach kilku warstw normalizacji, które razem tworzą spójny łańcuch wymagań. Nie ma jednej normy, która obejmuje wszystko – każda pełni inną rolę.

Hierarchia wygląda następująco:

  • ISO 12100 – ogólna metoda oceny ryzyka i redukcji ryzyka dla maszyn; stanowi punkt wyjścia dla każdego projektu.
  • ISO 10218-1 i ISO 10218-2 – sektorowa norma dla robotów przemysłowych: część 1 dotyczy producenta robota, część 2 integratora systemu zrobotyzowanego.
  • ISO 13849-1:2023 – norma horyzontalna do projektowania części sterowania związanych z bezpieczeństwem (SRP/CS); definiuje poziomy PL a–e.
  • IEC 62061:2021 – alternatywna norma horyzontalna, oparta na pojęciu SIL i parametrze PFHd, stosowana dla elektrycznych układów sterowania maszynami.
  • ISO/TS 15066 – specyfikacja techniczna dla aplikacji współpracy człowiek–robot, zawierająca liczbowe limity sił i nacisków kontaktowych w zależności od strefy ciała.
  • ISO 13482 – norma dla robotów usługowych i opiekuńczych pracujących w nieustrukturyzowanych środowiskach.
  • IEC 61800-5-2 – norma definiująca funkcje bezpieczeństwa napędów serwo (STO, SS1, SS2, SLS, SLP i inne).

ISO 10218:2025 to aktualna, obowiązująca wersja normy sektorowej dla robotyki przemysłowej. W odróżnieniu od poprzednich wydań, edycja z 2025 roku w pełni integruje ISO 13849-1:2023 i IEC 62061:2021 jako normy horyzontalne – co oznacza, że funkcje bezpieczeństwa muszą być projektowane i weryfikowane zgodnie z tymi normami, a nie tylko do nich nawiązywać. Norma ta obejmuje również wymagania dotyczące odporności na zakłócenia elektromagnetyczne (EMC) i, co istotne z dzisiejszej perspektywy, cyberbezpieczeństwa.

Wskazówka: Jeśli projekt celi zrobotyzowanej jest realizowany na rynek USA, norma ANSI/RIA R15.06 zostanie w kolejnej edycji przyjęta jako bezpośrednie odzwierciedlenie ISO 10218:2025 – bez istotnych różnic merytorycznych. Możesz więc projektować według ISO 10218 i liczyć na pełną zgodność z wymaganiami amerykańskimi.

bezpieczeństwo robotów

Czym są poziomy PL i SIL w robotyce?

PL i SIL to dwa różne sposoby wyrażenia tej samej wielkości – prawdopodobieństwa niebezpiecznego uszkodzenia funkcji bezpieczeństwa w jednostce czasu. Szczegółowo o PL i SIL w robotyce piszę w osobnym materiale, tutaj skupiam się na tym, co te poziomy oznaczają w kontekście projektu systemu.

Poziom PL (Performance Level) określany jest na skali od a do e. Każdy poziom odpowiada zakresowi średniego prawdopodobieństwa niebezpiecznego uszkodzenia na godzinę (PFHd):

Poziom PLPrzybliżony zakres PFHd [1/h]Porównanie z SIL
PL a≥ 10⁻⁵ do < 10⁻⁴
PL b≥ 3×10⁻⁶ do < 10⁻⁵SIL 1
PL c≥ 10⁻⁶ do < 3×10⁻⁶SIL 1
PL d≥ 10⁻⁷ do < 10⁻⁶SIL 2
PL e≥ 10⁻⁸ do < 10⁻⁷SIL 3

SIL 3 – odpowiadający PL e – oznacza zatem, że dopuszczalne prawdopodobieństwo niebezpiecznego uszkodzenia mieści się w przedziale 10⁻⁸ do 10⁻⁷ na godzinę. To poziom wymagany m.in. dla funkcji STO (Safe Torque Off) napędów robotów przemysłowych.

Osiągnięcie danego PL jest wypadkową trzech parametrów: MTTFd (średni czas do niebezpiecznego uszkodzenia), DC (pokrywalność diagnostyczna) i CCF (uszkodzenia ze wspólnej przyczyny). Wysoki PL e wymaga MTTFd ≥ 30 lat na kanał, DC ≥ 99% oraz skutecznych środków eliminacji uszkodzeń ze wspólnej przyczyny – czyli m.in. redundancji z różnorodnością komponentów, fizycznej separacji torów i ochrony przed środowiskiem.

Może Cię zainteresować:  Normy bezpieczeństwa robotów przemysłowych: ISO, PN-EN i CE

Wymagany PL wynika z oceny ryzyka – im większa ciężkość urazu, prawdopodobieństwo ekspozycji i trudność unikania zagrożenia, tym wyższy poziom wymagany dla danej funkcji bezpieczeństwa. Dlatego dla zatrzymania awaryjnego i odcięcia mocy napędów robotów przemysłowych standardem jest PL d lub PL e, podczas gdy dla funkcji pomocniczych (np. sygnalizacji stanu) wystarczy niższy poziom.

Jak przebiega ocena ryzyka w aplikacjach robotycznych?

Ocena ryzyka to fundament całego procesu projektowania bezpieczeństwa funkcjonalnego – bez niej nie wiadomo, jakich poziomów PL/SIL wymagać ani jakie funkcje bezpieczeństwa w ogóle wdrożyć. Szczegółowe omówienie tego procesu znajdziesz w artykule o analizie ryzyka robota przemysłowego, tu omówię strukturę i najważniejsze elementy tego procesu z perspektywy bezpieczeństwa funkcjonalnego.

Ocenę ryzyka prowadzi się zgodnie z ISO 12100, a jej wyniki bezpośrednio zasilają projektowanie według ISO 13849-1 lub IEC 62061. Proces obejmuje następujące kroki:

  1. Określenie granic systemu – zdefiniowanie, jakie ruchy robot wykonuje, przy jakich narzędziach i detalach, w jakich trybach pracy (automatycznym, nauczania, serwisowym).
  2. Identyfikacja zagrożeń – zestawienie wszystkich sytuacji, w których człowiek może znaleźć się w zasięgu ruchu robota lub być narażony na inne zagrożenie (elektryczne, mechaniczne, termiczne).
  3. Szacowanie ryzyka – ocena ciężkości możliwego urazu, częstotliwości ekspozycji i możliwości unikania zagrożenia dla każdego zidentyfikowanego zagrożenia.
  4. Wyznaczenie wymaganego PL (PLr) – na podstawie parametrów ryzyka z poprzedniego kroku, według grafu ryzyka z ISO 13849-1.
  5. Dobór funkcji bezpieczeństwa i środków redukcji ryzyka – zaprojektowanie konkretnych rozwiązań technicznych, które zredukują ryzyko do akceptowalnego poziomu.
  6. Weryfikacja osiągniętego PL – obliczeniowe potwierdzenie, że zaprojektowany układ spełnia wymagany PLr, z uwzględnieniem MTTFd, DC i CCF.

Integrator systemu, zgodnie z ISO 10218-2, odpowiada za przeprowadzenie analizy ryzyka dla całej celi roboczej – z uwzględnieniem trajektorii robota, stosowanych narzędzi, detali, osprzętu peryferyjnego i wszystkich trybów pracy, w tym stanów awaryjnych. Pominięcie choćby jednego trybu pracy w analizie to jeden z najczęściej spotykanych błędów integracji, który prowadzi do sytuacji, że deklarowany poziom PL nie jest faktycznie osiągany. Szczegółowy opis jak poprawnie przeprowadzić ocenę ryzyka dla robota znajdziesz w tym miejscu.

Wskazówka: Przy ocenie ryzyka uwzględnij osobno każdy tryb pracy – automatyczny, tryb nauczania, tryb serwisowy i obsługę awarii. To właśnie te tryby poza automatyką generują sytuacje, w których człowiek i robot są w tej samej przestrzeni, a jednocześnie funkcje bezpieczeństwa bywają chwilowo zmodyfikowane lub wyłączone.

System awaryjnego zatrzymania robota

Jak projektować układy sterowania bezpieczeństwem robotów?

Projekt bezpieczeństwa funkcjonalnego to nie wybór jednego komponentu – to zaprojektowanie kompletnego toru od czujnika przez logikę do napędu. Każda funkcja bezpieczeństwa biegnie przez trzy warstwy: element wejściowy (czujnik, przycisk, bariera), sterownik bezpieczeństwa (logika) i element wyjściowy (napęd, zawór, hamulec). Cały ten tor musi łącznie osiągać wymagany PL.

Architektury układów bezpieczeństwa

ISO 13849-1 definiuje kategorie architektoniczne od B do 4, które wyznaczają strukturę toru bezpieczeństwa:

  • Kategoria B i 1 – pojedynczy kanał, bez redundancji; stosowane tylko przy niskim wymaganym PL (a–b).
  • Kategoria 2 – pojedynczy kanał z diagnostyką; układ jest testowany w cyklu roboczym.
  • Kategoria 3 – dwa niezależne kanały; pojedyncze uszkodzenie nie powoduje utraty funkcji bezpieczeństwa.
  • Kategoria 4 – dwa niezależne kanały z wysoką pokrywalnością diagnostyczną (DC ≥ 99%); wykrywa i obsługuje każde pojedyncze uszkodzenie przed kolejnym żądaniem funkcji bezpieczeństwa.

Kategorie 3 i 4 z wysokim MTTFd dają typowo PL d lub PL e – i to właśnie te architektury dominują w robotyce przemysłowej. Dla funkcji zatrzymania awaryjnego stosuje się dwukanałowe wejścia (dwa styki przycisku E-Stop), dwukanałowy sterownik bezpieczeństwa (safety PLC) i dwukanałowe wyjście sterujące funkcją STO w napędzie.

Rola sterownika bezpieczeństwa

Safety PLC, czyli sterownik programowalny z certyfikowaną częścią bezpieczeństwa, realizuje logikę funkcji bezpieczeństwa. Wymaga on oddzielnego procesora i oddzielnej pamięci od standardowego sterownika PLC, a oprogramowanie jego części bezpieczeństwa musi być tworzone zgodnie z wymaganiami dla oprogramowania systemów bezpieczeństwa (np. IEC 61508-3). Sterownik bezpieczeństwa łączy sygnały ze wszystkich elementów wejściowych – barier, skanerów, blokad osłon, przycisków E-Stop, urządzeń ręcznego prowadzenia – i na ich podstawie wydaje polecenia do napędów.

Znaczenie CCF i redundancji z różnorodnością

Redundancja dwóch identycznych kanałów nie wystarczy, jeśli oba kanały mogą ulec awarii z tej samej przyczyny. Uszkodzenie ze wspólnej przyczyny (CCF) – np. wspólne zasilanie, jednakowe warunki termiczne, ten sam model enkodera z wadą produkcyjną – jest jednym z najtrudniejszych do wyeliminowania zagrożeń w architekturze bezpieczeństwa. ISO 13849-1:2023 wymaga oceny środków CCF przez punktację zgodnie z załącznikiem F normy – minimalna wymagana punktacja dla kategorii 3 i 4 wynosi 65 punktów na 100 możliwych. Redundancja z różnorodnością, separacja fizyczna torów i niezależne zasilanie to typowe środki zaradcze.

Dobór i dokumentację środków redukcji ryzyka w robotyce warto przeprowadzić systematycznie, rejestrując dla każdej funkcji bezpieczeństwa zarówno wymagany PLr, jak i osiągnięty PL.

Jakie funkcje bezpieczeństwa stosuje się w napędach robotów?

Nowoczesne napędy serwo stosowane w robotach przemysłowych posiadają wbudowane funkcje bezpieczeństwa certyfikowane zgodnie z IEC 61800-5-2. To fundamentalna zmiana w stosunku do starszych rozwiązań, gdzie bezpieczeństwo realizowano wyłącznie przez zewnętrzne przekaźniki i kontaktory odcinające zasilanie.

Zestaw funkcji bezpieczeństwa napędu:

  • STO (Safe Torque Off) – bezpotencjałowe odłączenie zasilania generującego moment; robot nie może samoczynnie wykonać ruchu. Wymagany poziom: PL e / SIL 3. Służy jako podstawowy, sprzętowy tor bezpieczeństwa.
  • SS1 (Safe Stop 1) – kontrolowane zatrzymanie z nadzorowanym profilem hamowania, po którym napęd przechodzi do STO; stosowany przy dużych masach roboczych i wysokich prędkościach, gdzie gwałtowne odcięcie momentu mogłoby spowodować niebezpieczny ruch bezwładnościowy.
  • SS2 (Safe Stop 2) – kontrolowane zatrzymanie z utrzymaniem regulacji pozycji po zatrzymaniu (robot stoi, ale napęd pozostaje aktywny); używany tam, gdzie po zatrzymaniu wymagane jest precyzyjne utrzymanie pozycji ramienia robota.
  • SLS (Safe Limited Speed) – monitorowanie, że prędkość nie przekracza zaprogramowanego limitu; podstawa trybu nauczania i współpracy człowiek–robot bez wyłączania zasilania.
  • SSM (Safe Speed Monitoring) – wersja SLS generująca sygnał statusu (robot jest wolniejszy niż limit) zamiast inicjowania zatrzymania; używana jako wejście do logiki SSM w cobotach.
  • SLP (Safe Limited Position) – monitorowanie, że pozycja osi mieści się w zdefiniowanym obszarze; umożliwia tworzenie wirtualnych ograniczeń przestrzeni roboczej bez fizycznych zderzaków mechanicznych.
  • SLT (Safe Limited Torque) – nadzór nad momentem obrotowym; element realizacji funkcji ograniczania siły kontaktu w robotyce współpracującej.

Realizacja tych funkcji wymaga redundantnych enkoderów bezpieczeństwa – typowo jeden enkoder zamontowany bezpośrednio na silniku i drugi na osi wyjściowej przekładni. Niezależne kanały pomiaru pozycji pozwalają na wzajemną weryfikację wskazań i wykrywanie uszkodzeń – co jest warunkiem koniecznym do osiągnięcia PL d/e przy funkcjach SLS, SLP i SLT.

Może Cię zainteresować:  Walidacja funkcji bezpieczeństwa robota przemysłowego – normy i proces

Jakie elementy techniczne odpowiadają za bezpieczeństwo funkcjonalne?

Układ bezpieczeństwa celi zrobotyzowanej to zbiór elementów z różnych kategorii, które razem tworzą kompletne funkcje bezpieczeństwa. Żaden pojedynczy komponent nie realizuje bezpieczeństwa samodzielnie. Szczegółowy przewodnik po bezpiecznym projektowaniu celi zrobotyzowanej obejmuje zarówno dobór elementów, jak i ich integrację w spójny układ.

Elementy wejściowe

  • Kurtyny świetlne bezpieczeństwa – wykrywają wejście człowieka w strefę chronioną przez przerwanie wiązki podczerwieni; certyfikowane kurtyny z trybem mutingu pozwalają na przepuszczanie detali bez zatrzymywania robota.
  • Skanery laserowe bezpieczeństwa – tworzą dwuwymiarową mapę obszaru i wykrywają obecność człowieka w zdefiniowanych strefach ostrzeżenia i ochrony; stosowane tam, gdzie kurtyny są niewystarczające ze względu na geometrię stanowiska.
  • Blokady osłon (interlocki) – monitorują stan otwarcia/zamknięcia fizycznych osłon; typy ryglowane uniemożliwiają otwarcie osłony podczas ruchu robota.
  • Przyciski i linki E-Stop – dwukanałowe urządzenia zatrzymania awaryjnego, certyfikowane na PL e; rozmieszczone tak, aby były dostępne z każdego miejsca pracy.
  • Maty ciśnieniowe i podłogi bezpieczeństwa – wykrywają obecność człowieka przez nacisk; stosowane jako uzupełnienie innych elementów ochronnych.
  • Kamery 3D i lidary – stosowane w cobotach do monitorowania odległości człowiek–robot w trybie SSM; część percepcyjna nie jest certyfikowana jako funkcja bezpieczeństwa, lecz jej wyjście zasila certyfikowany kanał decyzyjny.

Elementy logiki i sterowania

Safety PLC przetwarza sygnały ze wszystkich elementów wejściowych i generuje polecenia do napędów. W zależności od producenta, sterowniki bezpieczeństwa mogą być zintegrowane z kontrolerem robota (jak w przypadku wielu cobotów) lub stanowić oddzielny, zewnętrzny moduł. Każda wersja oprogramowania części bezpieczeństwa sterownika musi przejść weryfikację zgodnie z wymaganiami dla oprogramowania systemów bezpieczeństwa.

Elementy wyjściowe

Na poziomie napędów funkcje STO, SS1 i SS2 są wyjściowymi elementami wykonawczymi funkcji bezpieczeństwa. Przy maszynach starszego typu tę rolę pełnią przekaźniki bezpieczeństwa odcinające zasilanie sekcji siłowej – jednak to rozwiązanie nie pozwala na realizację zaawansowanych funkcji (SLS, SLP), ponieważ całkowite odcięcie zasilania napędu uniemożliwia nadzór nad ruchem.

Jak wygląda bezpieczeństwo funkcjonalne w robotyce współpracującej?

Coboty – roboty współpracujące – to klasa systemów zaprojektowanych do pracy w bezpośrednim sąsiedztwie człowieka, bez fizycznych barier oddzielających oba obiekty. Tempo wzrostu liczby instalacji cobotów w ostatnich latach wynosi kilkanaście do kilkudziesięciu procent rocznie, co sprawia, że wymagania dotyczące bezpieczeństwa funkcjonalnego stały się jednym z głównych kryteriów wyboru sprzętu.

ISO 10218:2025 definiuje cztery tryby współpracy człowiek–robot, każdy z własnym zestawem wymagań funkcjonalnych:

  • Safety-rated monitored stop – robot jest zatrzymany i certyfikowany układ bezpieczeństwa nadzoruje brak ruchu; człowiek może bezpiecznie wejść w strefę robota. Wymaga funkcji SS2 lub SS1 + STO z potwierdzeniem pozycji.
  • Hand guiding – człowiek ręcznie prowadzi ramię robota trzymając certyfikowany uchwyt z przyciskami dead-man; prędkości i momenty są ograniczone do wartości bezpiecznych przez funkcje SLS i SLT.
  • Speed and separation monitoring (SSM) – robot dynamicznie dostosowuje prędkość do odległości od człowieka, wykrywanej przez skanery lub kamery 3D; decyzja o zmianie prędkości lub zatrzymaniu musi być realizowana przez certyfikowany kanał bezpieczeństwa z wymaganym PL/SIL.
  • Power and force limiting (PFL) – robot ogranicza energię kinetyczną kontaktu tak, by siły i naciski przy kolizji nie przekraczały progów urazowości człowieka określonych w ISO/TS 15066; wymaga certyfikowanego monitorowania momentu i prądu (funkcje SLT i SSM), lekkiej konstrukcji ramienia i zaokrąglonych kształtów bez ostrych krawędzi.

ISO/TS 15066 pozostaje jedynym publicznie dostępnym dokumentem podającym liczbowe wartości dopuszczalnych sił i nacisków kontaktowych, zróżnicowane według strefy ciała człowieka i czasu kontaktu. Mimo że jest specyfikacją techniczną, a nie normą, jest szeroko stosowana jako referencja przy projektowaniu aplikacji PFL. Systemy cobotów projektuje się tak, by prawdopodobieństwo przekroczenia progów z ISO/TS 15066 pozostawało w zakresie odpowiadającym SIL 2–3.

Złożone algorytmy percepcji oparte na kamerach 3D i lidarach tworzą w cobotach interesujący dylemat normatywny. Część percepcyjna – algorytm rozpoznający obecność człowieka – zwykle nie jest certyfikowana jako funkcja bezpieczeństwa, bo jej zachowanie jest trudne do formalnego zweryfikowania. Normy wymagają, aby decyzja bezpieczeństwa była podejmowana przez deterministyczny, certyfikowany kanał – algorytmy sztucznej inteligencji mogą pełnić rolę warstwy pomocniczej, ale nie zastępują certyfikowanej logiki.

Jak roboty mobilne radzą sobie z bezpieczeństwem funkcjonalnym?

Autonomiczne roboty mobilne (AMR) i automatycznie sterowane pojazdy (AGV) operują w środowiskach, gdzie stałe fizyczne osłony po prostu nie istnieją. To fundamentalnie inne wyzwanie niż w przypadku robotów stacjonarnych – cała ochrona polega na wykrywaniu przeszkód i dynamicznym reagowaniu.

Normy ISO 10218 i ISO 13849 powstały z myślą o robotach stacjonarnych, dlatego ich zastosowanie do systemów mobilnych wymaga dodatkowej interpretacji. W ramach europejskich inicjatyw normatywnych (Rolling Plan for ICT Standardisation) trwają prace nad uszczegółowieniem wymagań dla AMR i AGV.

Z perspektywy bezpieczeństwa funkcjonalnego AMR/AGV muszą zmierzyć się z kilkoma problemami jednocześnie:

  • Fuzja sensoryczna – lidary, kamery, czujniki ultradźwiękowe muszą być ze sobą scalane tak, żeby wynikowy sygnał o obecności przeszkody był wiarygodny; jeden czujnik to za mało, bo jego pojedyncza awaria powinna być wykryta przed kolejnym żądaniem zatrzymania.
  • Certyfikacja toru decyzyjnego – ścieżka decyzyjna od wykrycia przeszkody do wydania polecenia zatrzymania musi mieć mierzalny PL/SIL; osiąga się to przez dedykowane skanery bezpieczeństwa z własnymi, certyfikowanymi algorytmami detekcji, niezależnymi od głównego systemu percepcji.
  • Dynamiczne środowisko – układ musi bezpiecznie reagować na pojawiające się obiekty podczas ruchu z pełną prędkością; to wymaga odpowiednio dużych stref wykrywania i szybkich czasów reakcji całego toru bezpieczeństwa.

Jaka jest rola cyberbezpieczeństwa w bezpieczeństwie funkcjonalnym robotów?

ISO 10218:2025 jawnie łączy wymagania bezpieczeństwa maszyn z wymaganiami cyberbezpieczeństwa. To stosunkowo nowy wymóg, ale jego logika jest prosta – jeśli ktoś może przez sieć zmienić parametr SLP (granicę przestrzeni roboczej) lub podnieść limit prędkości SLS bez autoryzacji, fizyczne funkcje bezpieczeństwa przestają działać zgodnie z projektem.

Modyfikacja parametrów bezpieczeństwa w napędach i sterownikach przez sieć (Ethernet, fieldbus safety) może bezpośrednio naruszyć osiągany poziom PL/SIL. Dlatego dostęp do parametrów bezpieczeństwa musi być chroniony przed nieautoryzowaną zmianą – przez mechanizmy uwierzytelniania, szyfrowania komunikacji i rejestrowania zmian konfiguracji.

To powiązanie bezpieczeństwa funkcjonalnego z cyberbezpieczeństwem szczególnie dotyczy nowoczesnych stanowisk, gdzie kontrolery robotów są podłączone do sieci zakładowych i mogą być aktualizowane zdalnie. W takich instalacjach dokumentacja bezpieczeństwa powinna uwzględniać analizę zagrożeń cybernetycznych jako element oceny ryzyka.

Może Cię zainteresować:  ISO 10218 roboty przemysłowe: zakres, bezpieczeństwo i CE

Jak wygląda walidacja i dokumentacja bezpieczeństwa funkcjonalnego?

Zaprojektowanie układu bezpieczeństwa to dopiero połowa pracy. ISO 13849-2 wymaga formalnej weryfikacji i walidacji wszystkich funkcji bezpieczeństwa przed oddaniem systemu do eksploatacji. Proces walidacji obejmuje zarówno przeglądy dokumentacji, jak i fizyczne testy zachowania układu.

Pełny proces walidacji funkcji bezpieczeństwa robota obejmuje:

  1. Przegląd projektu – sprawdzenie, czy dokumentacja odpowiada rzeczywistemu wykonaniu, czy obliczenia PL/SIL są kompletne i poprawne, czy uwzględniono wszystkie tryby pracy.
  2. Testy funkcjonalne – weryfikacja, że każda funkcja bezpieczeństwa inicjuje się we wszystkich wymaganych sytuacjach i prowadzi do bezpiecznego stanu w wymaganym czasie.
  3. Testy zachowania przy uszkodzeniach – symulacja uszkodzeń kanałów wejściowych (np. zwarcie linii E-Stop, zanik sygnału enkodera, utrata zasilania jednego kanału) i potwierdzenie, że układ wchodzi w bezpieczny stan i nie gubi uszkodzenia.
  4. Testy CCF – weryfikacja, czy zastosowane środki CCF są faktycznie zrealizowane (np. separacja fizyczna tras kablowych, różne modele komponentów w obu kanałach).
  5. Testy EMC – potwierdzenie, że funkcje bezpieczeństwa działają poprawnie przy obecności zakłóceń elektromagnetycznych charakterystycznych dla środowiska przemysłowego.

Warto odnotować, że w badaniach analizujących rzeczywiste układy bezpieczeństwa maszyn ponad połowa badanych systemów miała co najmniej jedno istotne ukryte naruszenie bezpieczeństwa, niewidoczne przy rutynowej ocenie. Najczęstszą przyczyną był błąd integracji – nieprawidłowe połączenie komponentów lub pominięcie jakiegoś trybu pracy w analizie ryzyka. Deklarowany poziom PL nie był faktycznie osiągany. Stąd walidacja ma ogromne znaczenie nie tylko formalne, ale przede wszystkim praktyczne.

Dokumentacja walidacyjna powinna zawierać:

  • Listę funkcji bezpieczeństwa – z wymaganym PLr, osiągniętym PL, architekturą i zastosowanymi komponentami.
  • Obliczenia PL/SIL – z wartościami MTTFd, DC i CCF dla każdego toru.
  • Protokoły testów – z datami, warunkami, wynikami i podpisami osób odpowiedzialnych.
  • Opis zachowania przy uszkodzeniach – dla każdej funkcji bezpieczeństwa.
  • Dokumentację konfiguracji parametrów bezpieczeństwa – szczególnie wartości SLS, SLP i SLT w napędach.

Szczegółowo proces weryfikacji opisuję w artykule o walidacji funkcji bezpieczeństwa robota.

Wskazówka: Przy testach zachowania przy uszkodzeniach nie ograniczaj się do oczywistych scenariuszy. Przetestuj też utratę sygnału w połowie cyklu, jednoczesne żądanie zatrzymania z dwóch różnych wejść i powrót do pracy po usunięciu uszkodzenia – to właśnie te przypadki brzegowe najczęściej odkrywają luki w logice bezpieczeństwa.

Gdzie są luki w obecnych normach bezpieczeństwa funkcjonalnego?

ISO 10218:2025 to duży krok naprzód, ale kilka obszarów wciąż pozostaje bez w pełni ustrukturyzowanych wymagań normatywnych.

Pierwsze z nich to systemy oparte na uczeniu maszynowym i adaptacyjnym sterowaniu. Klasyczne podejście bezpieczeństwa funkcjonalnego opiera się na deterministycznym modelu – znamy architekturę, znamy komponenty, obliczamy PFHd. Algorytmy uczące się on-line zmieniają zachowanie w trakcie eksploatacji, co sprawia, że ich certyfikacja według ISO 13849 jest metodycznie niemożliwa bez dodatkowych ram normatywnych. Aktualne wymagania normatywne stanowią, że decyzja bezpieczeństwa musi być podejmowana przez deterministyczny kanał – algorytmy AI pełnią rolę pomocniczą.

Drugie to cyfrowe bliźniaki jako narzędzia walidacji. Koncepcja wykorzystania środowiska symulacyjnego do weryfikacji scenariuszy awaryjnych, trudnych do odtworzenia fizycznie, jest atrakcyjna – szczególnie przy testowaniu kombinacji wysokiej prędkości, niestandardowego ładunku i błędnych danych sensorycznych. Normy nie dają jednak jeszcze ustrukturyzowanego sposobu uwzględnienia wyników takiej symulacji w formalnej ocenie PL/SIL.

Trzeci obszar to roboty usługowe i mobilne w przestrzeni publicznej. ISO 13482 adresuje roboty opiekuńcze, ale dynamiczne, nieustrukturyzowane środowiska (szpital, przestrzeń publiczna) generują scenariusze ryzyka trudne do ujęcia w klasycznym schemacie oceny. Dla robotów samoistnie niestabilnych wymagany jest PL e / SIL 3, a gdy użytkownik może nie być zdolny do opanowania robota – stosuje się wymagania jak dla kategorii o najwyższym ryzyku, niezależnie od innych okoliczności. To podejście jest zachowawcze, ale wynika z braku lepszych narzędzi normatywnych dla tak złożonych środowisk.

Podsumowanie

Bezpieczeństwo funkcjonalne w robotyce to wielowarstwowy system wymagań – od oceny ryzyka, przez projekt architektury układu sterowania, po walidację i dokumentację. Fundament stanowią normy ISO 10218:2025, ISO 13849-1:2023 i IEC 62061, które razem definiują, jak projektować, obliczać i weryfikować funkcje bezpieczeństwa robotów. Poziomy PL i SIL to liczbowy wyraz niezawodności tych funkcji – ich osiągnięcie wymaga odpowiednich architektur sprzętowych, certyfikowanych komponentów i rzetelnej integracji. Coboty, roboty mobilne i systemy z AI stawiają przed bezpieczeństwem funkcjonalnym nowe pytania, które obecne normy dopiero zaczynają adresować. Warto śledzić rozwój ISO 10218 i powiązanych standardów, bo tempo zmian w robotyce jest szybsze niż cykl aktualizacji norm.

FAQ

Q: Czy robot bez certyfikowanego sterownika bezpieczeństwa może być legalnie eksploatowany w UE?

A: Tak, jeśli wymagany PLr dla danej funkcji bezpieczeństwa jest niski i można go osiągnąć inną architekturą. Przy wysokim PLr (d/e) certyfikowany safety PLC jest jednak technicznie konieczny do udokumentowania wymaganego PL.

Q: Czy norma ISO 13849-1 i IEC 62061 mogą być stosowane wymiennie w projekcie robota?

A: Tak, normy są w dużym stopniu porównywalne i obie są akceptowane przez ISO 10218:2025. Wybór powinien być dokonany na początku projektu i utrzymany konsekwentnie – mieszanie metodyk w obrębie jednej funkcji bezpieczeństwa komplikuje dokumentację i weryfikację.

Q: Jak często należy przeprowadzać ponowną walidację funkcji bezpieczeństwa istniejącego stanowiska?

A: Po każdej zmianie układu sterowania, oprogramowania bezpieczeństwa, konfiguracji napędów lub fizycznych elementów ochronnych. Sama upływająca eksploatacja bez zmian nie wymaga ponownej walidacji, ale zaleca się okresowe testy funkcjonalne.

Q: Czy coboty zawsze są bezpieczniejsze od robotów przemysłowych z ogrodzeniem?

A: Nie – cobot bez poprawnie wdrożonych i zwalidowanych funkcji PFL lub SSM jest tak samo niebezpieczny jak każdy inny robot. Bezpieczeństwo wynika z prawidłowo zaprojektowanego układu funkcji bezpieczeństwa, a nie z samej klasy urządzenia.

Q: Co się dzieje z bezpieczeństwem funkcjonalnym po modernizacji starszego robota?

A: Modernizacja uruchamia obowiązek nowej oceny ryzyka i weryfikacji, czy osiągany PL nadal spełnia wymagania. Starsze instalacje często nie osiągają wymaganego PL d/e dla zmodernizowanych funkcji, co wymaga wymiany komponentów lub przeprojektowania toru bezpieczeństwa.

Weryfikacja i redakcja

Za redakcję i weryfikację artykułu odpowiadają:

Joanna Lewandowska

Joanna Lewandowska. Specjalistka ds. automatyki i integracji. Absolwentka kierunku Automatyka i Robotyka na Akademii Górniczo-Hutniczej im. Stanisława Staszica w Krakowie.

Piotr Woźniak

Piotr Woźniak. Doświadczony redaktor technologiczny. Absolwent kierunku Dziennikarstwo i Komunikacja Społeczna na Uniwersytecie Warszawskim.

Marek Zieliński
Marek Zieliński

Od początku kariery zajmuje się uruchamianiem i usprawnianiem stanowisk zautomatyzowanych w środowisku produkcyjnym. Pracował przy wdrożeniach obejmujących integrację robotów, konfigurację logiki pracy oraz optymalizację przepływu procesu po uruchomieniu stanowiska. Najlepiej odnajduje się tam, gdzie potrzebne jest połączenie wiedzy technicznej z praktycznym zrozumieniem realiów hali produkcyjnej.

zobacz wszystkie wpisy

Więcej ciekawych wpisów

Opublikuj komentarz