Bezpieczeństwo funkcjonalne – cz. III. Normy do PLC i układów sterowania maszynami
Tadeusz Missala (Łukasiewicz – PIAP) print
Pojęcie bezpieczeństwa funkcjonalnego pojawiło się w pracach normalizacyjnych Podkomitetu 65A IEC w 1985 r. w Montrealu. Było to związane z potrzebą znormalizowania wymagań dotyczących programowalnego sprzętu i jego oprogramowania stosowanego w technice zapewnienia bezpieczeństwa ludzi i zabezpieczania obiektów. Techniki bezpieczeństwa funkcjonalnego są nierozerwalnie związane ze stosowaniem elektroniki programowalnej, której nie daje się w pełni sprawdzić tradycyjnymi technikami pomiarowymi i badawczymi ze względu na zbyt wielką mnogość stanów, które mogą przyjmować.
Techniki bezpieczeństwa funkcjonalnego lub zbliżone są stosowane m.in. w przemyśle procesowym, przemyśle budowy maszyn, w budowie urządzeń sterujących, energetyce jądrowej, kolejnictwie czy medycynie.
W niniejszym artykule skupiamy się na normach sektorowych dla sterowników programowalnych PLC oraz układów sterowania maszyn.
Norma bezpieczeństwa dla sterowników PLC
PN-EN 61131-6: 2013-07, Sterowniki programowalne – Część 6: Bezpieczeństwo funkcjonalne (wersja angielska).
Niniejsza część normy IEC 61131 określa wymagania dotyczące sterowników programowalnych (PLC) i ich peryferii, jak zdefiniowano w części 1, które są przeznaczone do używania jako podsystemy logiczne elektrycznych/elektronicznych/programowalnych (E/E/PE) systemów związanych z bezpieczeństwem. Sterownik programowalny (i powiązane z nim peryferia) spełniający wymagania niniejszej części jest odpowiedni do zastosowania w systemie związanym z bezpieczeństwem E/E/PE i jest identyfikowany jako bezpieczny sterownik programowalny (FS-PLC). Sterownik FS-PLC jest w ogólności podsystemem sprzętowym i/lub programowym. Sterownik FS-PLC może również zawierać szczególne elementy programowe, np. predefiniowane bloki funkcyjne.
System bezpieczeństwa E/E/PE w ogólności składa się z czujników, urządzeń wykonawczych, oprogramowania i podsystemu logicznego. Niniejsza część jest implementacją specyficznych dla produktu wymagań normy IEC 61508 i dostosowanie do niniejszej normy spełnia wszystkie wymagania normy IEC 61508 w odniesieniu do FS-PLC. Podczas gdy norma IEC 61508 jest normą systemową, niniejsza norma zapewnia spełnienie szczególnych wymagań produktowych do aplikacji, zgodnie z ideą normy IEC 61508, odniesionych do FS-PLC.
Niniejsza część normy IEC 61131 odnosi się tylko do bezpieczeństwa funkcjonalnego i wymagań nienaruszalności bezpieczeństwa FS-PLC, kiedy używane są jako elementy systemów E/E/PE związanych z bezpieczeństwem. Definicja wymagań bezpieczeństwa funkcjonalnego całościowego systemu E/E/PE i wymagań bezpieczeństwa funkcjonalnego ostatecznej aplikacji systemu związanego z bezpieczeństwem są poza zakresem niniejszej normy, ale stanowią jej podstawy. Po informacje charakterystyczne, dotyczące konkretnych aplikacji, czytelnik jest odsyłany do norm takich jak IEC 61511, IEC 62061 i normy ISO 13849.
Niniejsza część nie obejmuje ogólnych wymagań bezpieczeństwa FS-PC, takich jak wymagania związane z szokiem elektrycznym i zagrożeniami pożarowymi określonymi w IEC 61131-2.
Niniejsza norma stosuje się do FS-PLC z poziomem nienaruszalności bezpieczeństwa (SIL) nie większym niż SIL 3.
Celem niniejszej normy jest:
- ustanowienie i opisanie elementów cyklu życia bezpieczeństwa
- ustanowienie i opisanie wymagań dotyczących FS-PLC, które odnoszą się do bezpieczeństwa funkcjonalnego i wymagań nienaruszalności bezpieczeństwa systemu E/E/PE związanego z bezpieczeństwem,
- ustanowienie metody oceny FS-PLC w niniejszej normie odnośnie następujących parametrów/kryteriów:
- żądanego Poziomu Nienaruszalności Bezpieczeństwa (SIL), do którego FS-PLC jest zdolny,
- wartości (PFD) prawdopodobieństwa uszkodzenia na przywołanie,
- średniej wartości częstości uszkodzeń niebezpiecznych na godzinę (PFH),
- wartości składowej uszkodzeń bezpiecznych (SFF),
- wartości tolerancji defektu sprzętu (HFT),
- wartości pokrycia diagnostycznego (DC),
- weryfikacji, że określone przez producenta FS-PLC procesy cyklu życia bezpieczeństwa są zapewnione w zdefiniowanym stanie bezpiecznym,
- działania i techniki dla zapobiegania i kontroli awarii systemowych,
- zachowania bezpieczeństwa funkcjonalnego w stanie uszkodzonym w każdym rodzaju awarii określonej w niniejszej części,
- ustanowienie definicji i określenie głównych charakterystyk w odniesieniu do wyboru i zastosowania FS-PLC i ich powiązanych peryferii.
Niniejsza norma jest adresowania w pierwszej kolejności do producentów FS-PLC. Zawiera także kluczowe dane dla użytkowników FS-PLC w postaci wymagań odnośnie dokumentacji użytkownika.
Okres stabilności – 2018 r.
Bezpieczeństwo układów sterowania maszynami
W obszarze bezpieczeństwa maszyn funkcję podstawową pełni:
PN-EN ISO 12100:2012P, Bezpieczeństwo maszyn – Ogólne zasady projektowania – Ocena ryzyka i zmniejszanie ryzyka.
W normie zdefiniowano podstawowe terminy, a ponadto określono metodykę oraz zasady oceny i zmniejszania ryzyka, aby ułatwić projektantom zapewnienie bezpieczeństwa na etapie projektowania maszyn. Uwzględniając stan wiedzy i doświadczenie w projektowaniu i użytkowaniu maszyn oraz biorąc pod uwagę bezurazowe zdarzenia wypadkowe i wypadki przy pracy, jak również ryzyko związane z maszynami, dostarcza podstaw do eliminacji zagrożeń, oceny i zmniejszenia ryzyka w odpowiednich fazach cyklu życia maszyny. Podano również odpowiednie terminy i ich definicje.
Norma ta ma znacznie szerszy zasięg tematyczny niż układy sterowania maszynami, jednak wyznacza ogólne ramy postępowania przy projektowaniu maszyn i ich części, w tym przy projektowaniu układów sterowania maszynami. W szczególności wprowadza pojęcie projektowania „bezpiecznego samego w sobie”, dotyczącego dowolnego procesu projektowania. Jest w niej zawarte ogólne podejście do oceny zagrożeń i wynikającej z niego wymaganej redukcji ryzyka w przypadku maszyn. Normy specjalistyczne wdrażają, w pewnym sensie, wskazane w tej normie zasady do obszaru układów sterowania maszynami.
Z kolei w samym obszarze bezpieczeństwa układów sterowania maszynami istnieją dwa rodzaje norm przedstawiających dwa różne podejścia do zagadnienia. Wynika to z wieloletniej tradycji normalizacji maszyn jako obiektów mechanicznych i zderzenia się z nowszym podejściem wprowadzonym przez specjalistów od elektroniki programowalnej. W wyniku kilkuletniej pracy ekspertów z obu dziedzin te dwa podejścia uległy pewnemu zbliżeniu.
W obszarze układów sterowania maszynami normą sektorową bezpieczeństwa funkcjonalnego stowarzyszoną z pakietem PN-EN 61508 jest:
PN-EN 62061:2008/A1:2013-06E, Bezpieczeństwo maszyn – Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem.
W normie określono wymagania i sformułowano zalecenia dotyczące projektowania, kompletowania, walidacji i modyfikowania związanych z bezpieczeństwem elektrycznych, elektronicznych i programowalnych elektronicznych systemów sterowania (SRECS) maszynami. Norma ma zastosowanie do systemów sterowania, zarówno pojedynczych jak i ich kombinacji, użytych do wykonywania związanych z bezpieczeństwem funkcji sterujących maszynami, włączając w to grupy maszyn pracujące wspólnie w sposób skoordynowany, które nie są trzymane w ręku podczas pracy.
Wymagania normy są sformułowane na podstawie podejścia probabilistycznego, charakteryzującego pakiet norm IEC 61508 i obejmują sprzęt i oprogramowanie. Jako miarę zdolności funkcji bezpieczeństwa do realizacji zadania przyjęto, zgodnie z filozofią IEC 61508, poziom nienaruszalności bezpieczeństwa (SIL) zdefiniowany w IEC 61508-1
w kategoriach liczby uszkodzeń niebezpiecznych na godzinę, z tym że liczbę poziomów ograniczono do trzech – poziom SIL 4 uznano za nieosiągalny przez układy sterowania maszynami. Szczególną uwagę – oddzielny załącznik – zwrócono na unikanie uszkodzeń spowodowanych wspólną przyczyną. W normie zamieszczono także metodę określania SIL wymaganego ze względu na zagrożenia występujące w maszynie – jest to inna metoda niż zamieszczone w pakietach norm IEC 61508 i IEC 61511.
Wymagania zawarte w normie odnoszą się tylko do bezpieczeństwa funkcjonalnego i są związane z redukcją ryzyka urazu lub utraty zdrowia osób w bezpośrednim sąsiedztwie maszyny oraz bezpośrednio zaangażowanych w użytkowanie maszyny i są ograniczone do ryzyka powstającego ze strony samej maszyny lub grupy maszyn pracujących wspólnie w sposób skoordynowany. Nie obejmują natomiast wymagań dotyczących działania nieelektrycznych elementów sterowania maszyny (hydraulicznych, pneumatycznych, mechanicznych).
Norma nie obejmuje zagrożeń elektrycznych związanych z użytkowaniem maszyny – te są przedmiotem poprzednio omówionej PN-EN 60204-1.
Poprawką A1:2013E zmieniono niektóre definicje przez powołanie jako dokumentu odniesienia normy IEC 61508-4. Zaktualizowano przywołania dokumentów odniesienia ISO 13849-1
Zmieniono wymagania dotyczące specyfikacji funkcji sterowania związanych z bezpieczeństwem SRCF oraz wymagania dotyczące konstrukcji i realizacji SRCF. Usunięto załącznik informacyjny zawierający dane o intensywności uszkodzeń elementów elektrycznych i elektronicznych ze względu na jego nieadekwatność do aktualnego stanu techniki oraz załącznik z wymaganiami EMC z powodu kolidowania z innymi normami z tego zakresu.
Termin stabilności – 2016 r.
W biuletynie IEC „Just published” z 15 czerwca 2015 r. podano informację o opublikowaniu nowego wydania skonsolidowanego, obejmującego: IEC 62061:2005 + AMD1:2012 + AMD2:2015 (CSV Consolidated version). Posługiwanie się tym wydaniem nie wymaga stosowania i powoływania poprawek.
UWAGA – różnice w datach wydań przytoczonych w wydaniach polskim i angielskim wynikają z procedury przekształcania norm IEC na normy europejskie.
Termin stabilności nowego wydania nie został podany.
Z tradycji budowy układów sterowania maszynami wywodzą się kolejne dwie normy.
PN-EN ISO 13849-1:2008E, Bezpieczeństwo maszyn – Elementy systemów sterowania związane z bezpieczeństwem – Część 1: Ogólne zasady projektowania.
Ta część ISO 13849 jest pomyślana jako zbiór wytycznych wspomagających osoby zajmujące się projektowaniem i oceną związanych z bezpieczeństwem elementów systemów sterowania maszynami, tzn. tych elementów systemów sterowania maszynami, które są przypisane do wykonywania funkcji bezpieczeństwa i które mogą składać się ze sprzętu i oprogramowania oraz być oddzielone od systemu sterowania maszyną lub stanowić jego integralną część. Dodatkowo do zapewnienia funkcji bezpieczeństwa mogą być przewidziane środki sterownicze – np. urządzenie sterowania dwuręcznego jako środek uruchamiania maszyny.
Jako miarę zdolności elementów systemów sterowania związanych z bezpieczeństwem, do realizacji ich zadania przyjęto pięciostopniowy (od a do e) układ poziomów zapewnienia bezpieczeństwa (PL). Poziomy zapewnienia bezpieczeństwa są zdefiniowane, podobnie jak w IEC 62061, w kategoriach prawdopodobieństwa powstania uszkodzenia niebezpiecznego na godzinę.
Prawdopodobieństwo uszkodzenia niebezpiecznego funkcji bezpieczeństwa jest wynikiem wielu czynników, m.in. struktury sprzętu i oprogramowania, pokrycia diagnostycznego (tj. zakresu mechanizmów wykrywania uszkodzeń), średniego czasu między uszkodzeniami, uszkodzeń o wspólnej przyczynie, procesu projektowania, warunków środowiskowych i procedur użytkowania. W celu pomocy projektantom i ułatwienia oceny wykorzystano wprowadzony przed wielu laty proces kategoryzacji i pojęcie kategorii, których jest pięć (B, 1, 2, 3, 4). Przedstawiono proces przechodzenia od kategorii do poziomów zapewnienia bezpieczeństwa.
W omawianej normie zamieszczono również zestawienie tabelaryczne rekomendacji do stosowania tej normy i IEC 62061. Ogólnie biorąc, do układów elektromechanicznych i elektronicznych, w tym programowalnych, oraz ich kombinacji zaleca się stosowanie IEC 62061. Stosowanie ISO 13849-1 jest obłożone ograniczeniami – tylko do dopuszczalnych architektur. Podobnie stosowanie IEC 62061 do systemów zawierających elementy nieelektryczne wymaga przywołania ISO 13849-1.
PN-EN ISO 13849-2:2013-04E, Bezpieczeństwo maszyn – Elementy systemów sterowania związane z bezpieczeństwem – Część 2: Walidacja.
W tej części ISO 13849 przedstawiono procesy walidacji funkcji bezpieczeństwa, kategorii i poziomów zapewnienia bezpieczeństwa elementów związanych z bezpieczeństwem systemów sterowania maszynami. Walidacja może być przeprowadzona metodą analizy, poprzez badania lub też kombinacją tych obu metod. Wyszczególniono również okoliczności szczególne, w których należy wykonać badanie.
Większość procedur i warunków zawartych w tej części ISO 13849 jest oparta na założeniu, że do oszacowania poziomu zapewnienia bezpieczeństwa (PL) użyto uproszczonych procedur opisanych w ISO 13849-1. Norma nie zawiera więc wytycznych dotyczących sytuacji, gdy do oszacowania PL zastosowano inne procedury, np. modelowanie Markova. W tych przypadkach niektóre zalecenia zawarte w normie będą nieaktualne i będą konieczne dodatkowe wymagania. Nie podano również wymagań do pełnej walidacji programowalnych systemów elektronicznych i dlatego może być wymagane zastosowanie innych norm.
Niektóre z wymagań zawartych w normie mają charakter ogólny, podczas gdy inne odnoszą się do konkretnych typów zastosowanych technologii.
source: "Automatyka" 10/2015