Sterowniki bezpieczeństwa. Wymagania i przegląd modeli
Redakcja serwisu print
Bezpieczeństwo człowieka i środowiska jest ważnym aspektem w stale technicyzującym się świecie, stwarzającym zagrożenia związane z awariami maszyn i urządzeń. Zapobieganie awariom i możliwościom nieostrożnego postępowania człowieka jest przedmiotem szeroko pojętej techniki bezpieczeństwa. Składa się ona z wymagań, procedur, urządzeń i oprogramowania, służących do minimalizowania zagrożeń i ich konsekwencji dla człowieka i środowiska. Szczególnie ważną rolę w realizacji instalacji bezpiecznych odgrywają sterowniki bezpieczeństwa.
Artykuł pochodzi z miesięcznika PAR
Zapewnienie bezpieczeństwa urządzeń technicznych realizuje się przez wprowadzanie funkcji bezpieczeństwa. Zadaniem każdej funkcji bezpieczeństwa jest wyeliminowanie lub, co najmniej, istotne ograniczenie możliwości wystąpienia i/lub konsekwencji jednego, i tylko jednego, zdarzenia zagrażającego życiu, mieniu lub środowisku.
Funkcje bezpieczeństwa mogą neutralizować zagrożenia proste, np. zagrożenie wynikające ze wzrostu ciśnienia w prostym zbiorniku ciśnieniowym. Tu może wystarczyć wprowadzenie zaworu bezpieczeństwa z nastawnikiem sprężynowym – a więc rozwiązanie nieskomplikowane.
W wielu przypadkach konieczne jest wprowadzenie bardziej skomplikowanych funkcji bezpieczeństwa, które mogą być realizowane w różnych technologiach. Gdy funkcje bezpieczeństwa są realizowane w technologii elektrycznej lub elektronicznej, lub elektronicznej programowalnej, to tory realizacji wszystkich takich funkcji bezpieczeństwa daje się sprowadzić do schematu przedstawionego na rys. 1.
Grupa czujników obejmuje m.in.:
• czujniki położenia elementów ruchomych,np. kodery, wyłączniki drogowe i krańcowe, wideokamery,
• czujniki ruchu, w tym tachogeneratory i przyspieszeniomierze,
• czujniki temperatury, tj. termoelementy, termorezystory, pirometry,
***
• czujniki poziomu, ciśnienia, masy, gęstości, lepkości i innych czynników fizykochemicznych,
• czujniki składu chemicznego, stężenia gazów, pyłów itp. Elementy wykonawcze obejmują m.in.:
• przekaźniki, styczniki i inne elementy przełączające obwody elektryczne,
• zawory regulacyjne o napędach pneumatycznych, hydraulicznych i elektrycznych,
• napędy sterowane elektryczne, pneumatyczne i hydrauliczne,
• elektromagnesy i zawory elektromagnetyczne.
Sterowniki bezpieczeństwa
Sterowniki bezpieczeństwa to dziś sterowniki programowalne specjalnego przeznaczenia i w specjalnym wykonaniu, na ogół wyposażone w interfejsy do informatycznych sieci przemysłowych. Wymagania dotyczące pewności realizacji funkcji bezpieczeństwa (wymagania bezpieczeństwa) dotyczą nieuszkadzalności całych torów realizacji funkcji bezpieczeństwa, jak też poszczególnych ich elementów. Nie można bowiem prawidłowo złożyć toru realizacji funkcji bezpieczeństwa z elementów o nieokreślonych właściwościach niezawodnościowych.
Obecnie wymagania bezpieczeństwa na realizację funkcji bezpieczeństwa o ciągłym charakterze pracy są formułowane jako parametry probabilistyczne przez podanie przedziałów dopuszczalnego strumienia uszkodzeń niebezpiecznych na godzinę. Ten sposób formułowania wymagań bezpieczeństwa został wprowadzony w pierwszym wydaniu pakietu norm IEC 61508 i stopniowo został przyjęty we wszystkich sektorach przemysłowych.
W powiązaniu z wymienionym pakietem norm opracowano liczne normy sektorowe, przybliżające wymagania bezpieczeństwa i sposób ich spełnienia do różnych sektorów przemysłu. Podstawowymi dokumentami formułującymi wymagania są normy dotyczące elementów i systemów związanych z bezpieczeństwem. W obszarze tu rozpatrywanym są nimi:
• w zakresie elektrycznych, elektronicznych i elektronicznych programowalnych systemów związanych z bezpieczeństwem
– PN-EN 61508 [3],
• w zakresie elektrycznych, elektronicznych i elektronicznych programowalnych sterowników maszyn – PN-EN 62061 [2],
• w zakresie elementów systemów sterowania maszyn związanych z bezpieczeństwem – PN-EN ISO 13649-1 [1],
• w zakresie przemysłowych sieci komunikacyjnych związanych z bezpieczeństwem – PN-EN 61784-3 [4].
Ze względu na niejasności i nieporozumienia związane ze stosowaniem sterowników programowalnych (PLC) w systemach związanych z bezpieczeństwem, została opracowana norma sektorowa IEC 61131-6 obejmująca bezpieczeństwo funkcjonalne tych urządzeń [5]. Projekt tej normy jest u progu ustanowienia.
W normie PN-EN 61508 wymagania bezpieczeństwa opisano za pomocą „poziomów nienaruszalności bezpieczeństwa SIL” (definicja patrz: [3d] oraz zastąpionego przez nią wydania polskiego tej normy, stanowiącej obecniemateriał techniczny – zdefiniowanych liczbowo w tabeli 1). Wymagania bezpieczeństwa dotyczące sieci komunikacyjnych obsługujących systemy związane z bezpieczeństwem opisano w normie PN-EN 61784-3 (tab. 2).
PN-EN 62061 jest normą sektorową w relacji do PN-EN 61508 i wymagania bezpieczeństwa są w niej sformułowane tak, jak w normie podstawowej, to znaczy zgodnie z tabelą 1. PN-EN ISO 13849-1, która zastąpiła wycofaną PN-EN 954-1, obejmuje elementy układów sterowania wykonane we wszystkich technikach: hydraulicznej, mechanicznej, pneumatycznej, elektromechanicznej, elektrycznej i elektronicznej. Jednocześnie zastępuje ona normę, w której wymagania bezpieczeństwa nie były formułowane
za pomocą wskaźników probabilistycznych.
To powoduje odmienność podejścia do zagadnienia. Obowiązujące wymagania są zestawione w tabeli 3. Zgodnie z uwagą zamieszczoną w ostatnim wierszu tej tabeli, do osiągnięcia określonego PL są wymagane dodatkowe warunki. Czynniki, które je tworzą zestawiono w tabelach 4 i 5. Konieczne jest również ustalenie relacji między poziomami PL i SIL oraz w stosowaniu norm [1] i [2], co zostało podane w tabelach 6 i 7 zaczerpniętych z [1].
Ze względu na wieloletnie przyzwyczajenie producentów i użytkowników systemów sterowania maszyn do wyrażania poziomu osiągniętego bezpieczeństwa przez podawanie kategorii bezpieczeństwa, w [1] zamieszczona została uproszczona procedurę przechodzenia z kategorii na PL, którą zacytowano w tabeli 8.
Przy projektowaniu systemów związanych z bezpieczeństwem należy zwracać uwagę na informacje producenta o poziomie PL lub SIL spełnianym przez zamawiane urządzenie wchodzące w skład toru realizacji funkcji bezpieczeństwa. W tab. 9 na s. 26–29 zebrano informacje o wybranych sterownikach bezpieczeństwa dostępnych na polskim rynku, dostarczone przez ich producentów i dystrybutorów w postaci ustandaryzowanych danych tabelarycznych.
Analiza ryzyka i przypisywanie wymagań
Filozofia zarządzania ryzykiem jest oparta na tzw. zasadzie ALARP (As Low As Rationally Practicable – tak niskie jak rozsądnie stosowalne) [3e, 8, 9]. Przy analizie zagrożeń i ryzyka w rzeczywistej instalacji przemysłowej mogą wystąpić trzy sytuacje: 1. ryzyko jest tak duże, że odrzuca się możliwość eksploatowania obiektu, 2. ryzyko jest tak małe, że można je uważać za bez znaczenia, 3. ryzyko mieści się między stanami a i b i może zostać zmniejszone do najniższego praktycznie uzasadnionego poziomu, mając na względzie korzyści wynikające z jego zaakceptowania i biorąc pod uwagę koszty dalszej redukcji.
W odniesieniu do przypadku c zasada ALARP zaleca, aby dowolne ryzyko zostało zredukowane do poziomu tak niskiego, jak to jest rozsądnie wykonalne. Jeśli ryzyko mieści się między wymienionymi wyżej dwiema skrajnościami i zastosowano zasadę ALARP, to ryzyko wynikowe jest ryzykiem dopuszczalnym w danej konkretnej sytuacji. Te trzy strefy przedstawiono na rys. 2.
Strefa c jest obszarem tolerowania, w którym jest dopuszczalna działalność przy założeniu, że związane z nią ryzyko zostało zmniejszone tak, jak to jest rozsądnie wykonalne. Tolerowalne oznacza co innego niż dopuszczalne (akceptowalne) – wskazuje na chęć życia z ryzykiem tak, by chronić pewne korzyści, jednocześnie spodziewając się, że będzie ono analizowane i redukowane, jak tylko będzie to możliwe do wykonania. W tej sytuacji zaleca się stosowanie rachunku ekonomicznego, albo bezpośrednie lub
pośrednie, w celu wyważenia kosztów i uzyskiwanych korzyści uzasadniających wprowadzenie dodatkowych środków zabezpieczających/ochronnych lub zaniechanie tego działania.
Im wyższe ryzyko początkowe (ryzyko procesu), tym większe środki należy przewidywać na jego zmniejszenie. Gdy ryzyko jest na granicy tolerancji, to nieraz trzeba ponieść nakłady będące w wyraźnej dysproporcji do korzyści. Bowiem to ryzyko, z definicji, będzie poważne i poniesienie znaczących wysiłków nawet wtedy, gdy osiąga się nawet niewielkie zmniejszenie go jest w pełni uzasadnione.
Gdy ryzyko jest mniej znaczące, niższe wydatki są konieczne na tego rodzaju redukcję, a na poziomie dolnej granicy zakresu tolerancji, może wystarczyć równowaga między nakładami i korzyściami. Poziom ryzyka poniżej zakresu tolerancji jest uważany za na tyle nieznaczący, że organ wydający przepisy nie potrzebuje żądać dalszych ulepszeń. Jest to powszechnie akceptowalny obszar,
w którym ryzyko jest małe w porównaniu do codziennego ryzyka, które wszyscy ponosimy. Aczkolwiek w tym powszechnie akceptowalnym obszarze nie ma potrzeby szczegółowego działania w celu wykazania spełnienia zasady ALARP, to jednakże jest konieczne stałe czuwanie, aby ryzyko pozostawało w tym obszarze.
Koncepcja ALARP może być stosowana, gdy przyjęto tak jakościowe, jak i ilościowe cele przy określeniu ryzyka. Tab. 13. Kwantyfikacja prawdopodobieństwa uniknięcia lub ograniczenia szkody (Av)Prawdopodobieństwo uniknięcia lub ograniczenia Przypisana wartość Av Niemożliwe 5 Rzadkie 3 Prawdopodobne 1 Szersze informacje są zawarte w normach [3.e, 9].
W celu ustalenia wymagań nienaruszalności bezpieczeństwa rozpatrywanej funkcji bezpieczeństwa stosuje się metody jakościowe, półilościowe i ilościowe [8e, 9]. Są to:
• grafy ryzyka jakościowe [1, 8e, 9],
• grafy ryzyka kalibrowane [8e, 9],
• zbiór tablic kwantyfikacyjnych [2],
• inne metody np. LOPA [9].
W różnych sektorach przemysłu przyjęło się różne stosowanie tych metod. Jak wynika z zacytowanych norm, w przemyśle maszynowym stosuje się grafy ryzyka jakościowe i tablice kwantyfikacyjne, w przemyśle procesowym są to grafy ryzyka kalibrowane i LOPA. Wyznaczone tymi metodami poziomy nienaruszalności bezpieczeństwa lub poziomy zapewnienia bezpieczeństwa są zgodne z filozofią zasady ALARP.
Jako przykład zamieszczono zbiór tablic kwantyfikacyjnych [2] zalecanych przez normę przy doborze poziomu SIL układów sterowania maszyn związanych z bezpieczeństwem. Polega onana zestawieniu tablicowym i kwantyfikowaniu:
• poziomu ostrości szkody (Se),
• częstotliwości i czasu trwania ekspozycji (Fr),
• prawdopodobieństwa wystąpienia narażenia (Pr),
• prawdopodobieństwa uniknięcia lub ograniczenia szkody (Av)
• i następnie obliczeniu klasy prawdopodobieństwa szkody (Cl) jako sumy:
• Cl = Fr + Pr + Av
KLIKNIJ W GRAFIKĘ PONIŻEJ, ABY ZOBACZYĆ PEŁNĄ TABELĘ
Kombinacja wartości przypisanych parametrom Se i Cl wskazuje wymagany poziom nienaruszalności bezpieczeństwa
SIL. Kwantyfikację podaną w [1. 23] przedstawiono w tablicach od 10 do 14.
Uwagi końcowe
Odpowiedni dobór sterowników bezpieczeństwa jest podstawową sprawą przy projektowaniu funkcji bezpieczeństwa, a więc przy zapewnianiu bezpiecznego użytkowania urządzeń i instalacji. Nie wolno jednak zapominać o odpowiednim doborze pozostałych elementów toru realizacji funkcji bezpieczeństwa – poziom nienaruszalności bezpieczeństwa lub zapewnienia bezpieczeństwa
będzie ograniczony przez element o najniższym poziomie realizacji tych właściwości.
Bibliografia
1. PN-EN ISO 13849-1:2008, Bezpieczeństwo maszyn – Elementy systemów sterowania związane z bezpieczeństwem – Część 1: Ogólne zasady projektowania. (oryg.).
2. PN-EN 62061: 2005, Bezpieczeństwo maszyn – Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem.
3. PN-EN 61508, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/ programowalnych elektronicznych systemów związanych z bezpieczeństwem: a. PN-EN 61508-1:2010 – Część 1: Wymagania ogólne. (oryg.), b. PN-EN 61508-2:2010 – Część 2:
Wymagania dotyczące elektrycznych/ elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem. (oryg.), c. PN-EN 61508-2:2010 – Część 3: Wymagania dotyczące oprogramowania. (oryg.), d. PN-EN 61508-4:2010 – Część 4: Definicje i skrótowce. (oryg.), e. PN-EN 61508-5:2010 – Część 5: Przykłady metod określania poziomów
nienaruszalności bezpieczeństwa. (oryg.), f. PN-EN 61508-6:2010 – Część 6: Wytyczne do stosowania IEC 61508-2 i IEC 61508-3. (oryg.).
4. PN-EN 61784-3:2010, Przemysłowe sieci komunikacyjne – Profile – Część 3: Magistrale miejscowe bezpieczne funkcjonalnie – Ogólne zasady i definicje profili. (oryg.).
5. PrPN-EN 61131-6:201x, Sterowniki programowalne – Część 6: Bezpieczeństwo funkcjonalne. (oryg.).
6. Dyrektywa 2006/42/WE Parlamentu Europejskiego i Rady z dnia 17 maja 2006 r. w sprawie maszyn, zmieniająca dyrektywę 95/16/WEn (przekształcenie). Dz. U. UE z dn. 9.6.2006, poz. L 157/24.
7. PrPN-EN ISO 13482:201x, Roboty i urządzenia robotowe – Wymagania bezpieczeństwa dotyczące robotów nieprzemysłowych – Roboty doobsługi ludzi inne niż medyczne.
8. Missala T.: Analiza wymagań i metod postępowania przy ocenie ryzyka i określaniu wymaganego poziomu nienaruszalności bezpieczeństwa. Monografia, Oficyna Wydawnicza PIAP, Warszawa 2009.
9. PN-EN 61511-3:2009, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 3: Wytyczne do określania poziomów wymaganych nienaruszalności bezpieczeństwa.
prof. dr inż. Tadeusz Missala
Przemysłowy Instytut Automatyki i Pomiarów PIAP