Wyznaczanie poziomów bezpieczeństwa SIL i PL – ocena funkcji bezpieczeństwa, implementowanych w układach sterowania maszyn

Poziom Nienaruszalności Bezpieczeństwa SIL (ang. Safety Integrity Level) oraz Poziom Zapewnienia Nienaruszalności PL (ang. Performance Level) są parametrami określającymi osiągi bezpieczeństwa systemów sterowania, związanych z bezpieczeństwem maszyn. Poziomy SIL wyznacza się dla elektrycznych i elektronicznych (w tym programowalnych) układów bezpieczeństwa, natomiast poziomy PL stosuje się również dla innych technik (pneumatycznych, hydraulicznych, mechanicznych i dla mniej złożonych elektrycznych).

Poziomy SIL wyznacza się w oparciu o wymagania normy PN-EN 62061, posiłkując się siedmioarkuszową normą PN-EN 61508, natomiast poziomy PL określa się na podstawie wymagań dwuarkuszowej normy PN-EN ISO 13849. Obie normy PN-EN 62061 i PN-EN ISO 13849 zharmonizowane są z dyrektywą maszynową 2006/42/WE, która wprowadzona została w Polsce rozporządzeniem Ministra Gospodarki z dnia 21.10.2008 r. Przepisy dyrektywy, mające charakter ogólny, zawierają wymagania zasadnicze i są obligatoryjne. Natomiast normy zharmonizowane są dobrowolne, lecz pozwalają wykazać, że jest spełniona dyrektywa (domniemanie zgodności).

Poziomy bezpieczeństwa określane są dla funkcji bezpieczeństwa, zaimplementowanych w sprzęcie i oprogramowaniu. Natomiast funkcje bezpieczeństwa stosuje się w celu zredukowania ryzyka, związanego z danym zagrożeniem. Z dyrektywą maszynową zharmonizowana jest norma PN-EN ISO 12100, w której zawarto procedurę oceny i zmniejszania ryzyka, a także ogólne zasady projektowania (norma typu A). Ocenę i redukcję ryzyka należy przeprowadzać już na etapie projektowania, minimalizując ryzyko związane z danym zagrożeniem już w fazie projektu. Redukcja ryzyka dopiero po wyprodukowaniu maszyny jest bowiem często niemożliwa lub bardzo kosztowna.

Przykład

Niebezpieczna strefa jest odseparowana ruchomą osłoną. Otwarcie osłony jest wykrywane przy pomocy dwóch krańcówek B1 i B2, jednej ze stykiem normalnie zamkniętym NC (z wymuszonym rozwarciem) i drugiej ze stykiem normalnie otwartym NO. Styki krańcówek podłączone są do przekaźnika bezpieczeństwa pełniącego funkcję układu logicznego (rysunek 1). Układ logiczny steruje dwoma stycznikami Q1 i Q2 ze stykami o wymuszonym przełączaniu, których wyłączenie przerywa zasilanie niebezpiecznego napędu. Styki o wymuszonym przełączaniu są to styki główne i pomocnicze mechanicznie sprzężone (według PN-EN 50205). Styki pomocnicze styczników są monitorowane w układzie sprzężenia zwrotnego układu logicznego. Uruchomienie napędu jest możliwe, gdy styki pomocnicze styczników są zamknięte i przyciskiem RESET zamykany jest obwód monitorowania, co świadczy o tym, że nie są zapieczone styki główne i jednocześnie rozwarty jest odpowiedni styk pomocniczy.

Specyfikacja funkcji bezpieczeństwa

Wyspecyfikowano następującą funkcję bezpieczeństwa: „Zatrzymanie niebezpiecznego napędu przez otwarcie osłony bezpieczeństwa i uniemożliwienie jego uruchomienia do czasu zamknięcia osłony”.

Przypisanie wymaganego PLe

Do przypisania wymaganego PLr skorzystano z grafu z rysunku 5. Ciężkość urazów ustalono na S2 – poważne, częstość narażenia przyjęto F2 – często/długo, a możliwość uniknięcia na P2 – niemożliwe. Otrzymano w efekcie PLr e.

Podział na podsystemy SRP/CS 

Na podstawie rysunku 1 należy wyodrębnić podsystemy (SRP/CS) wejściowy, logiczny i wyjściowy. Podsystemem wejściowym SRP/CS1 są dwie krańcówki B1 i B2, np. ZR 335-11 
z firmy Schmersal. Podsystemem logicznym SRP/CS2 jest przekaźnik bezpieczeństwa, np. SRB 301ST firmy Schmersal, natomiast podsystemem wyjściowym SRP/CS3 są styczniki Q1 i Q2 ze stykami mechanicznie sprzężonymi.

Architektury podsystemów

SRP/CS1: Zgodnie z rysunkiem 1 podsystem wejściowy SRP/CS1 składa się z dwóch sprzężonych mechanicznie krańcówek – jest to układ redundantny. Zatem można przypisać mu kategorię 3 lub 4, w zależności od pokrycia diagnostycznego, które zostanie określone dalej. Elementy dobrane na podsystem spełniają wymagania dla kategorii B oraz wyższych, gdyż są to wysokiej jakości podzespoły wykonane zgodnie z wymaganiami norm i zastosowane zgodnie z podstawowymi i sprawdzonymi zasadami bezpieczeństwa.

SRP/CS2: Na podstawie dokumentacji producenta można stwierdzić, że przekaźnikowi bezpieczeństwa SRB 301ST można przypisać kategorię do 4.

SRP/CS3: Podobnie jak w przypadku podsystemu 1, podsystem 3 składa się z dwóch redundantnych styczników. Zatem można przypisać mu kategorię 3 lub 4, w zależności od pokrycia diagnostycznego, które zostanie określone dalej.

Średni czas do niebezpiecznego uszkodzenia MTTFd

Producent maszyny założył następujące wykorzystanie funkcji bezpieczeństwa:

• dop = 365 dni/rok,
• hop = 16 godz./dzień (dwie zmiany),
• tcycle = 1 cykl/godz. (zadziałanie na godz.).

SRP/CS1: Na podstawie danych producenta krańcówek liczba cykli, po których niebezpiecznemu uszkodzeniu ulegnie 10 proc. badanej populacji wynosi:

• dla styku NC B10d, B1 = 20 000 000 przełączeń,
• dla styku NO B10d, B2 = 1 000 000 przełączeń.

Stąd z zależności (16) otrzymuje się odpowiednio: MTTFdB1 = 34 246 lat i MTTFdB2 = 1712 lat. Zgodnie z tabelą 5 ISO 13849-1, MTTFd każdego kanału obcina się do wartości 100 lat (nie jest konieczna symetryzacja). Zatem MTTFdSRP/CS1 = długi.

Z zależności (17) na symetryzację kanałów otrzymuje się dla podsystemu SRP/CS1 22 885 lat. Zatem, na podstawie zależności (18), czas T10d = 2288 lat. Natomiast czas TM krańcówek ZR 335-11z podany przez producenta wynosi 20 lat. Nie ma więc konieczności ich wymiany przed upływem 20 lat.

SRP/CS2: Producent nie podaje wartości MTTFd przekaźnika bezpieczeństwa, ponieważ nie jest on potrzebny do dalszych obliczeń. Natomiast w dokumentacji podano czas TM = 20 lat.

SRP/CS3: Zastosowano dwukrotnie przewymiarowane identyczne styczniki z wymuszonym przełączaniem bez podanego parametru B10d. Należy więc odczytać z tablicy C.1 wiersz 8 ISO 13849-1, B10d = 20 000 000 przełączeń. Stąd z zależności (16) otrzymuje się dla każdego stycznika: MTTFdQ1 = MTTFdQ2 = 34 246 lat. Po obcięciu tej wartości do 100 lat otrzymuje się MTTFdSRP/CS3 = długi.

Na podstawie zależności (18) czas T10d = 3 424 lat. Założony czas eksploatacji styczników TM = 20 lat. Zatem nie ma konieczności ich wymiany przed upływem 20 lat.

Pokrycie diagnostyczne DC 

SRP/CS1: Na podstawie tabeli E.1 ISO 13849-1 dla wejść pokrycie diagnostyczne w przypadku wiarygodnego sprawdzenia, np. przy użyciu styków NO i NC sprzężonych mechanicznie (przy pomocy krzywki osłony bezpieczeństwa – patrz rysunek 1), wynosi DC = 99 %.

SRP/CS2: W katalogu wyrobu firma Schmersal podaje pokrycie diagnostyczne dla przekaźnika SRB 301ST DC = 99 %.

SRP/CS3: Na podstawie tabeli E.1 ISO 13849-1 dla wyjść pokrycie diagnostyczne w przypadku monitorowania bezpośredniego, np. monitorowania urządzeń elektromechanicznych przez mechanicznie sprzężone styki (patrz rysunek 1), wynosi DC = 99 %.

Określenie odporności na uszkodzenie spowodowane wspólną przyczyną CCF

Podsystemy wejściowy SRP/CS1 i wyjściowy SRP/CS3 muszą zostać zaimplementowane w projekcie w taki sposób, aby spełniały wystarczającą liczbę wymagań z tabeli F.1 
ISO13849-1, pozwalającą uzyskać minimalną liczbę punktów, wynoszącą 65.

W przypadku podsystemu logicznego SRP/CS2 producent w dokumentacji wyrobu podaje, że przekaźnik bezpieczeństwa spełnia wymagane 65 punktów dla CCF. 

Wyznaczenie poziomów PL podsystemów

Podsystem SRP/CS1 charakteryzuje się następującymi parametrami bezpieczeństwa:

• kategoria 4 (z uwagi na wysokie DC),
• MTTFd długi,
• DC wysokie (99 %),
• CCF ≥ 65.

Na podstawie wymienionych parametrów oraz tabeli 11 poziom PL dla podsystemu krańcówek SRP/CS1 PL = e.

Podsystem SRP/CS2 charakteryzuje się następującymi parametrami bezpieczeństwa:

• kategoria 4,
• DC wysokie (99 %),
• CCF ≥ 65,
• PL e, SIL 3 (na podstawie danych producenta i zastosowania przekaźnika w otoczeniu podsystemów redundantnych).

Podsystem SRP/CS3 charakteryzuje się następującymi parametrami bezpieczeństwa:

• kategoria 4 (z uwagi na wysokie DC),
• MTTFd długi,
• DC wysokie (99 %),

• CCF ≥ 65.

Na podstawie wymienionych parametrów oraz tabeli 11 poziom PL dla podsystemu styczników SRP/CS3 PL = e.

Osiągnięty poziom PL całego systemu

Na podstawie poziomów bezpieczeństwa PL każdego podsystemu wyznacza się wynikowy PL całego systemu bezpieczeństwa. Służy do tego tabela 7. Najniższy PL podsystemu to PL e (SRP/CS1, SRP/CS2, SRP/CS3). W związku z tym dla trzech podsystemów wyznaczono wynikowy PL systemu równy PL e.

Porównując wymagany Poziom Zapewnienia Bezpieczeństwa PLr = e wyznaczony z grafu ryzyka oraz osiągnięty Poziom Zapewnienia Bezpieczeństwa PL systemu stwierdza się, że spełniono wymaganie w postaci PL ≥ PLr.

Algorytm wyznaczania SIL

Wyznaczanie docelowego SIL

W celu określenia docelowego Poziomu Nienaruszalności Bezpieczeństwa SIL danej funkcji bezpieczeństwa stosuje się matrycę przypisania (rysunek 2), składającą się z następujących elementów:

• częstotliwość i czas ekspozycji Fr,
• prawdopodobieństwo wystąpienia niebezpiecznego zdarzenia Pr,
• prawdopodobieństwo uniknięcia lub ograniczenia szkody Av,
• konsekwencje/ciężkość szkody.

Matryca przypisania docelowego SIL jest stosowana do wyznaczenia SIL tylko dla danej funkcji bezpieczeństwa. Nie jest stosowana do szacowania ryzyka dla całej maszyny!

Zazwyczaj funkcja bezpieczeństwa jest zrealizowana za pomocą trzech elementów: czujnika wykrywającego zagrożenie, jednostki logicznej analizującej sygnały z czujnika i podłączonego do jednostki sterującej elementu wykonawczego (np. stycznika wyłączającego niebezpieczny napęd). Elementy te tworzą elektryczny system sterowania, związany z bezpieczeństwem SRECS (ang. Safety-Related Electrical Control System).

Specyfikacja wymagań dla funkcji bezpieczeństwa składa się z wymagań funkcjonalnych i nienaruszalności bezpieczeństwa. Wymagania funkcjonalne określa się najczęściej jako sformułowanie w języku naturalnym, np. „Zatrzymanie niebezpiecznego napędu, gdy nastąpi otwarcie osłony bezpieczeństwa i uniemożliwienie jego uruchomienia do czasu zamknięcia osłony”. Natomiast nienaruszalność bezpieczeństwa określa się z matrycy przypisania SIL z rysunku 2.

Uzyskany poziom nienaruszalności bezpieczeństwa systemu

Zgodnie z wymaganiami normy PN-EN 62061 SIL przyjmuje trzy poziomy, przy czym poziom trzeci reprezentuje najwyższy wskaźnik osiągów bezpieczeństwa. Jeżeli funkcję bezpieczeństwa zrealizowano z podsystemów z określonymi przez producenta parametrami:

• granicą osiągnięcia SILCL (Claim Limit),
• średnią częstością uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę PFHD (ang. Probability of Dangerous Failure per Hour), to możliwy do uzyskania SIL całego systemu powstałego z szeregowo połączonych podsystemów wynika z „najsłabszego” SILCL podsystemu składowego oraz z sumy PFHDi wszystkich podsystemów i prawdopodobieństwa niebezpiecznego błędu transmisji cyfrowej PTE, zgodnie ze wzorem:

PFHDSYS = PFHD1 + PFHD2 +…+ PFHDn + PTE (1)

W tabeli 1 (w czasopiśmie Automatyka) przedstawiono poziomy SIL, w zależności od sumarycznej wartości PFHD.

SILCL podsystemu

W przypadku, gdy SILCL nie jest znany dla wszystkich podsystemów, należy najpierw samodzielnie określić poziom bezpieczeństwa takiego podsystemu. Uzyskuje się to na podstawie:

• wartości średniego czasu do uszkodzenia (MTTF) i intensywności uszkodzeń (λ),
• diagnostyki (DC i SFF),
• odporności na uszkodzenia spowodowane wspólną przyczyną (CCF i β),
• architektury układu (HFT).

Średni czas do uszkodzenia MTTF i intensywność uszkodzeń λ 

Z uwagi na to, że SIL oblicza się najczęściej dla urządzeń elektronicznych, wykorzystuje się metodę zliczania elementów do oszacowania MTTF dla każdego kanału osobno. Należy z danych producenta lub baz danych odczytać wartość MTTFel i każdego elementu elektronicznego, wchodzącego w skład kanału (rezystorów, kondensatorów, tranzystorów itd.). Na tej podstawie oblicza się odwrotność MTTFCHkażdego kanału:

(1)

Wartości MTTFel i elementów elektronicznych można znaleźć w bazie danych Siemens SN 29500-2005-1, zawartej w nieodpłatnym programie MTBF Calculator firmy ALD, produkującej awionikę do samolotów.

Całkowitą intensywność uszkodzeń podsystemu elektronicznego/elektromechanicznego oblicza się z podanych poniżej zależności. Dla podzespołów elektronicznych intensywność wynosi:

 (2)

a dla podzespołów elektromechanicznych:

 (3)

gdzie: B10 – liczba cykli łączeniowych, po których 10 proc. populacji ulegnie uszkodzeniu, C – liczba cykli działania, tcycle – czas pomiędzy rozpoczęciem dwóch kolejnych cykli, wyrażony w sekundach na cykl.

Warunkiem prawdziwości zasad podanych powyżej jest to, że λ·T1 << 1 oraz to, że podsystem pracuje w „rodzaju pracy na częste lub ciągłe przywołanie”, gdzie: T1 – najmniejszy odstęp między okresowymi testami sprawdzającymi lub czasem życia (testy sprawdzające są przeznaczone do wykrywania defektów niewykrywanych przez automatyczne funkcje diagnostyczne); przykładowo elektryk przed rozpoczęciem pracy robi kontrolowany test zwarcia urządzenia zabezpieczającego, sprawdzając czy zabezpieczenie jest sprawne, λ – intensywność uszkodzeń elementów podsystemów (stała i odpowiednio niska).

Diagnostyka

W diagnostyce istotne są dwa parametry:

• pokrycie diagnostyczne DC (ang. Diagnostic Coverage),
• wskaźnik uszkodzeń bezpiecznych SFF (ang. Safe Failure Fraction).

Są one definiowane z następujących wzorów:

 (5) 

 (6) 

gdzie: λDD – intensywność wykrywalnych niebezpiecznych uszkodzeń [1/h], λDU – intensywność niewykrywalnych niebezpiecznych uszkodzeń [1/h], λD – intensywność uszkodzeń niebezpiecznych [1/h], λS  – intensywność uszkodzeń bezpiecznych [1/h].

Do wyznaczenia SFF stosuje się następujące wzory:

 (7) 

 (8) 

 (9) 

 (10) 

We wzorze (7) przyjęto, że liczba uszkodzeń bezpiecznych (S) i niebezpiecznych (D) jest równa i każda z nich wynosi połowę wartości całkowitej intensywności uszkodzeń λ. Zasadę tę stosuje się w praktyce najczęściej, chyba że istnieje możliwość deterministycznego wyznaczenia stosunku intensywności bezpiecznej i niebezpiecznej uszkodzeń, np. za pomocą analizy rodzajów i skutków uszkodzeń FMEA. Natomiast całkowita intensywność uszkodzeń λ została wyznaczona ze wzorów (3) i (4).

Wartości pokrycia diagnostycznego DC do wzorów (9) i (10) można zaczerpnąć z tabeli E1 normy PN-EN ISO 13849-1 lub określić posługując się tabelą D.1 z PN-EN 62061 albo tabelami z załącznika A normy PN-EN 61508-2:2010.

Współczynniki DC i SFF przyjmują cztery zakresy, przedstawione odpowiednio w tabelach 2 i 3.

Współczynnik wrażliwości na uszkodzenia spowodowane wspólną przyczyną β 

Uszkodzenie spowodowane wspólną przyczyną CCF (ang. Common Cause Failure) jest wynikiem jednego zdarzenia lub kilku zdarzeń, powodujących jednoczesne uszkodzenie dwóch lub więcej oddzielnych kanałów w podsystemie wielokanałowym, prowadzące do uszkodzenia funkcji sterowania SRCF (ang. Safety-Related Control Function).

Uszkodzenia spowodowane wspólną (jedną) przyczyną mogą oddziaływać na więcej niż jeden kanał. Może to wynikać z defektu systematycznego (np. błąd w projekcie) lub z oddziaływania zewnętrznego. Przykładem tej drugiej sytuacji może być nadmierna temperatura, wynikająca z przypadkowego uszkodzenia wspólnego wentylatora, powodująca wykroczenie poza środowiskowe warunki pracy. Nie oznacza to, że wszystkie kanały ulegną awarii dokładnie w tym samym czasie.

Szacowanie CCF przeprowadza się według tabeli 4. Dla każdego czynnika przyznaje się albo pełną liczbę punktów, albo zero. Jeśli wymaganie jest spełnione tylko częściowo, to przyznaje się 0 punktów. Maksymalna liczba punktów wynosi 95 lub 100, co jest spowodowane alternatywą w dwóch pierwszych wierszach tabeli.

Na podstawie sumy CCF wyznacza się współczynnik wrażliwości na uszkodzenia, spowodowane wspólną przyczyną β, według tabeli 5.

Architektury podsystemów

Norma PN-EN 62061 definiuje cztery architektury: A, B, C, D podsystemów bezpieczeństwa. Na rysunku 3 przedstawiono architekturę typu A. Jest to szeregowe połączenie elementów. W związku z tym niebezpieczne uszkodzenie któregokolwiek elementu powoduje uszkodzenie funkcji SRCF. Zatem tolerancja sprzętu na uszkodzenia HFT (ang. Hardware Fault Tolerance) jest równa zeru.

Intensywność uszkodzeń niebezpiecznych podsystemu typu A jest sumą intensywności uszkodzeń niebezpiecznych wszystkich elementów:

λDssA = λDe1 + ... + λDen [1/h] (11)

Średnia częstość uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę wynosi:

PFHDssA = λDssA 1h (12)

Na rysunku 4 przedstawiono architekturę typu B. Jest to połączenie równoległe (redundantne) dwóch elementów. W związku z tym pojedyncze niebezpieczne uszkodzenie któregokolwiek elementu nie spowoduje utraty funkcji SRCF. Zatem tolerancja sprzętu na uszkodzenia HFT = 1. Należy analizować uszkodzenia o wspólnej przyczynie (CCF/β). Intensywność uszkodzeń niebezpiecznych podsystemu typu B:

 (13) 

gdzie: β – współczynnik wrażliwości na uszkodzenia, spowodowane wspólną przyczyną, T1 – odstęp między testami sprawdzającymi lub czasem życia, zależnie od tego, która z wartości jest mniejsza.

Średnią częstość uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę PFHDssB wyznacza się analogicznie jak we wzorze (12).

Architektura typu C charakteryzuje się szeregowym połączeniem elementów (jak w architekturze typu A), lecz dodatkowo ma funkcję diagnostyczną. W związku z tym jakiekolwiek niewykryte niebezpieczne uszkodzenie któregokolwiek elementu powoduje uszkodzenie SRCF. Gdy wykryte zostanie uszkodzenie, to funkcja diagnostyczna podejmuje reagowanie na defekty, np. wyłączenie maszyny. Tolerancja sprzętu na uszkodzenia HFT = 0. Intensywność uszkodzeń niebezpiecznych podsystemu typu C wynosi:

 (14) 

a średnią częstość uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę wylicza się jak w poprzednich typach.

Architektura typu D jest połączeniem równoległym dwóch elementów jak na rysunku 4, dodatkowo z funkcjami diagnostycznymi. W związku z tym pojedyncze niebezpieczne uszkodzenie któregokolwiek elementu nie powoduje utraty SRCF. Tolerancja sprzętu na uszkodzenia wynosi HFT = 1. Ponadto należy analizować uszkodzenia o wspólnej przyczynie (CCF/β). Wykrycie niebezpiecznego uszkodzenia powinno uruchamiać odpowiednią reakcję na defekty. Dopuszczalne jest izolowanie uszkodzonej części w celu kontynuowania bezpiecznej pracy maszyny podczas naprawy uszkodzonego elementu. Jeśli uszkodzona część nie została naprawiona w zdefiniowanym czasie, to powinien być realizowany drugi rodzaj reagowania na defekty (np. wyłączenie maszyny).

Gdy podsystem D jest złożony z elementów o różnej konstrukcji, intensywność niebezpiecznych uszkodzeń podsystemu typu D wynosi:

 (15) 

gdzie: β – współczynnik wrażliwości na uszkodzenia spowodowane wspólną przyczyną, λDe1, λDe2 – intensywność niebezpiecznych uszkodzeń elementu 1. i 2. podsystemu, DC1, DC2 – pokrycie diagnostyczne elementu 1. i 2. podsystemu, T1 – odstęp między testami sprawdzającymi lub czasem życia, zależnie od tego, która z wartości jest mniejsza (np. raz na dobę), T2 – odstęp między testami diagnostycznymi (np. pojedyncze milisekundy, realizowane mikrokontrolerem).

Gdy podsystem D jest złożony z identycznych elementów, zależność (15) upraszcza się. Średnią częstość uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę PFHDssD wyznacza się analogicznie, jak we wzorze (12).

Wyznaczenie SILCL podsystemu

Na podstawie określonych powyżej parametrów wyznacza się SILCL podsystemu, korzystając z tabeli 6 i tabeli 1. Jeśli wyniki w obu tabelach są różne, to należy wziąć gorszy przypadek.

Mając wyznaczone SILCL oraz PFHDi wszystkich podsystemów, należy określić SIL dla całego systemu, zgodnie z podanym wcześniej sposobem. Następnie należy porównać, czy otrzymany SIL systemu jest większy lub równy SIL docelowemu z matrycy przypisania. Jeśli jest to spełnione, to wynik jest pozytywny, jeśli nie, to należy przekonstruować układ.

Algorytm wyznaczania PL

Wyznaczenie wymaganego PL 

W celu określenia wymaganego Poziomu Zapewnienia Bezpieczeństwa PLr (required) danej funkcji bezpieczeństwa układu sterowania stosuje się graf ryzyka, składający się z ciężkości urazów, częstości narażenia lub czasu jego trwania oraz z możliwości uniknięcia zagrożenia lub ograniczenia szkód (rysunek 5). Graf ryzyka nie zawiera prawdopodobieństwa wystąpienia niebezpiecznego zdarzenia, jak to ma miejsce w matrycy przypisania docelowego SIL (por. rysunek 2).

Uzyskany poziom zapewnienia bezpieczeństwa

PL przyjmuje pięć dyskretnych poziomów: a, b, c, d, e, przy czym poziom „e” charakteryzuje się najwyższym poziomem osiągów bezpieczeństwa. Jeżeli funkcję bezpieczeństwa zrealizowano z elementów SRP/CS (ang. Safety-Related Part of a Control System), mających określone PL, to możliwy do uzyskania PL całego systemu wynika z najsłabszego PL podsystemu składowego oraz z liczby podsystemów mających taki PL. Wynikowy PL systemu wyznacza się z tabeli 7.

Poziom PL systemu można obliczyć także na podstawie znajomości wartości PFHDi podsystemów oraz najsłabszego PL podsystemu (uwzględniającego ewentualne nieilościowe wskaźniki). Wówczas PFHDsystemu równa się sumie PFHDi podsystemów i PL systemu wyznacza się na podstawie tabeli 1.

Określenie PL podsystemu

W przypadku, gdy PL nie jest znany dla wszystkich podsystemów, należy samodzielnie określić poziom bezpieczeństwa takiego podsystemu. Określenie poziomu zapewnienia bezpieczeństwa dla podsystemu wyznacza się na podstawie:

• architektury układu (kategorii),
• wartości średniego czasu do niebezpiecznego uszkodzenia (MTTFd),
• pokrycia diagnostycznego (DC),
• odporności na uszkodzenie, spowodowane wspólną przyczyną (CCF).

Architektura układu – kategorie

Wyodrębniono pięć kategorii bezpieczeństwa: B, 1, 2, 3, 4. Układy jednokanałowe obejmują kategorie B, 1 i 2. Różnią się od siebie tym, że w kategorii 1 zastosowano wypróbowane elementy (np. części używane w przeszłości w podobnych zastosowaniach z pozytywnym skutkiem) i sprawdzone zasady bezpieczeństwa (np. części przewymiarowane), dlatego prawdopodobieństwo wystąpienia uszkodzenia jest niższe niż w kategorii B. Kategoria 2 zawiera dodatkowo detekcję uszkodzeń w podsystemach. Kategorie 3 i 4 dotyczą układów redundantnych. W tabeli 8 dokonano porównania poszczególnych kategorii.

Średni czas do niebezpiecznego uszkodzenia MTTFd

W załączniku C normy PN-EN ISO13849-1 podano cztery metody obliczania/szacowania MTTFd (ang. Mean Time to Dangerous Failure) dla pojedynczych części:

1. metoda dobrych praktyk inżynierskich,
2. metoda dla elementów hydraulicznych,
3. dla elementów pneumatycznych, mechanicznych i elektromechanicznych,
4. dla elementów elektrycznych.

W przypadku pierwszej metody w tabeli C.1 normy podano w latach typowe wartości MTTFd dla części mechanicznych i hydraulicznych. Dla części pneumatycznych i elektrycznych podano parametr B10d, określający liczbę cykli, po których niebezpiecznemu uszkodzeniu ulegnie 10 proc. badanej populacji.

Dla części hydraulicznych, przy odpowiednich założeniach, w metodzie drugiej podano wartość MTTFd = 150 lat.

MTTFd dla części pneumatycznych, mechanicznych i elektromechanicznych w metodzie trzeciej jest wyznaczany z parametru B10d na podstawie zależności:

 (16) 

gdzie:

nop – średnia liczba cykli na rok, dop – średni czas pracy w dniach na rok, hop – średni czas pracy w godzinach na dzień, tcycle – średni czas pomiędzy rozpoczęciem dwóch kolejnych cykli w sekundach na cykl.

Oszacowanie MTTFd dla elementów elektronicznych w metodzie czwartej polega na odczycie z tabel C.2 do C.7 normy wartości MTTFd dla tranzystorów, diod, kondensatorów itd., z których zbudowany jest dany kanał. Czasy MTTFdi poszczególnych elementów w obrębie kanału należy następnie zsumować według zależności (2).

Jeśli czasy poszczególnych (dwóch) kanałów w systemie redundantnym są różne, to należy dokonać symetryzacji według zależności:

(17) 

Do dalszej analizy bierze się czas MTTFdSRP/CS, uzyskany ze wzoru (17).

Średni czas do niebezpiecznego uszkodzenia kanału 
MTTFd jest podzielony na trzy zakresy, przedstawione w tabeli 9. Jeśli wartość MTTFd któregoś kanału jest większa niż 100 lat, to przed symetryzacją obcina się ją do wartości maksymalnej – czyli do 100 lat.

Czas działania elementu jest ograniczony do wartości T10d – średni czas do niebezpiecznego uszkodzenia 10 proc. elementów, wyznaczanego z zależności:

 (18) 

Wyznaczona wartość T10d jest porównywana do czasu TM, zamierzonego użytkowania systemu (ang. mission time), np. jeśli wyliczony czas T10d = 13 lat, a założony przez producenta czas użytkowania systemu TM = 20 lat, to należy ten element wymienić po upływie 13 lat.

Pokrycie diagnostyczne DC 

Pokrycie diagnostyczne DC wyznacza się z zależności (5). Jednak w praktyce wartości DC odszukuje się w normie. W załączniku E normy PN-EN ISO13849-1 stabelaryzowano różne metody monitorowania uszkodzeń w podsystemach, z podaniem typowych wartości DC w procentach. Przykładowo jeśli monitoruje się główne styki stycznika za pomocą sprzężonych mechanicznie styków pomocniczych, to przyjmuje się pokrycie diagnostyczne DC = 99 %. Jak wspomniano wcześniej, DC przyjmuje trzy zakresy, przedstawione w tabeli 2.

Odporność na uszkodzenie spowodowane wspólną przyczyną CCF

CCF (ang. Common Cause Failure) określa uszkodzenia różnych podsystemów, spowodowane pojedynczym zdarzeniem, przy czym uszkodzenia te nie są wzajemnymi następstwami. W tabeli 10 przedstawiono środki/wymagania, chroniące przed tego typu uszkodzeniami. Dla każdego środka przyznaje się albo pełną liczbę punktów, albo zero. Następnie punkty sumuje się. Maksymalna liczba punktów wynosi 100. Wymagania odporności na CCF uznaje się za spełnione, gdy suma punktów jest większa lub równa 65. Sprawdzenie odporności na CCF wymagane jest tylko dla kategorii 2, 3 i 4, co nie oznacza, że np. układu sterowania kategorii B lub 1 nie należy badać, np. na kompatybilność elektromagnetyczną EMC.

Określenie PL podsystemu

Mając wyznaczone wszystkie cztery parametry (kategorię, MTTFd, DC, CCF), można przejść do określenia PL podsystemu, korzystając z tabeli 11.

Przykładowo jeżeli architektura układu jest wielokanałowa i suma punktów CCF ≥ 65 oraz pokrycie diagnostyczne DC jest na poziomie średnim, to przypisuje się kategorię 3, a przy długim czasie MTTFd otrzymuje się PLd. Jeżeli osiągnięcie PLd jest wynikiem satysfakcjonującym, to na tym kończy się procedurę. Dokładniejszy wynik uzyskuje się na podstawie tabeli K.1 normy PN-EN ISO13849-1, uwzględniającej parametr PFHD, co czasami pozwala uzyskać wyższy poziom PL.

W celu wyznaczenia PL całego systemu korzysta się jak poprzednio z tabeli 7. Jeśli otrzymany PL z tabeli 7 jest nie mniejszy od wymaganego PLr z grafu ryzyka, to stwierdza się, że układ bezpieczeństwa spełnia wymagania i charakteryzuje się odpowiednimi osiągami bezpieczeństwa.

Podsumowanie

Prawidłowe interpretowanie norm z dziedziny bezpieczeństwa maszyn nie jest łatwe. Trudność tkwi w ich zawiłej treści, ponieważ fragmenty algorytmów przedstawionych wcześniej są rozrzucone w różnych częściach norm lub zawarte w załącznikach. Ponadto ten sam parametr w jednej normie bywa inaczej nazwany niż w innej. Na przykład parametr PFHD w normie PN-EN 62061 jest przetłumaczony jako „prawdopodobieństwo niebezpiecznego uszkodzenia na godzinę” i jest bezwymiarowy – patrz zależność (12). Natomiast ten sam parametr w serii norm PN-EN 61508 (z 2010 r.) został przetłumaczony w arkuszu pierwszym jako „średnia częstość uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę” i ma wymiar 1/h. Dodatkowo większość arkuszy normy dotyczących bezpieczeństwa funkcjonalnego jest w językach oryginalnych. Również w normie dotyczącej Poziomu Zapewnienia Bezpieczeństwa PN-EN ISO 13849, PFHD podaje się jako „average probabilisty of dangerous fauilure per hour” i ma on wymiar 1/h. Z uwagi na to, że prawdopodobieństwo powinno być bezwymiarowe wydaje się, że termin „średnia częstość uszkodzeń niebezpiecznych funkcji bezpieczeństwa na godzinę”, zastosowany w normie PN-EN 61508, jest trafniejszy, dlatego tego terminu używano w niniejszym artykule. Ponadto trwają prace w komitetach technicznych, zmierzające do dopasowania terminologii normy PN-EN 62061 do aktualnego wydania PN-EN 61508.

Ważnym postępem jest opublikowanie w 2013 r., przez Polski Komitet Normalizacyjny, drugiej części normy PN-EN ISO 13849-2,
dotyczącej walidacji osiągniętego PL (starsza wersja dotyczyła tylko walidacji kategorii i funkcji bezpieczeństwa). Ponadto do komitetu technicznego KT158 PKN wpłynęła poprawka do pierwszej części przedmiotowej normy, wnosząca postęp w prawidłowym jej interpretowaniu i rozszerzająca jej zawartość merytoryczną. Należy więc na bieżąco śledzić, kiedy i w jakim zakresie zostanie opublikowana. Ważną publikacją jest również raport techniczny ISO/TR 22100-2, w którym zawarto relacje między podstawową normą, dotyczącą oceny i redukcji ryzyka PN-EN ISO 12100, a normą PN-EN ISO 13849-1. W najbliższych latach przewiduje się połączenie norm ISO 13849 i IEC 62061, co będzie skutkować dodatkowym zamieszaniem wśród producentów i integratorów systemów bezpieczeństwa maszyn.

Niniejszy artykuł miał na celu przedstawienie Czytelnikowi w sposób logiczny algorytmów wyznaczania SIL i PL w aspekcie nienaruszalności bezpieczeństwa sprzętu, tj. niebezpiecznych przypadkowych uszkodzeń sprzętu i ograniczeń architektury. Do osobnego omówienia pozostają zagadnienia dotyczące nienaruszalności bezpieczeństwa systematycznej, tzn. unikania uszkodzeń i kontroli uszkodzeń, oraz dotyczące oprogramowania bezpieczeństwa dla obu poziomów bezpieczeństwa SIL i PL

źródło: Automatyka 1-2/2015