Normy bezpieczeństwa dla systemów sterowania

Technologia stosowana w automatyce przeszła rozwój od urządzeń elektromechanicznych do złożonych systemów elektronicznych z wbudowanym oprogramowaniem użytkownika. Jednak przekaźniki trzymają się mocno w częściach instalacji związanych z bezpieczeństwem, uchodząc za elementy pewniejsze i bardziej niezawodne niż programowalne układy elektroniczne.

Wysokie wymagania, wynikające z przepisów bezpieczeństwa, prowadziły do odrębnego traktowania techniki bezpieczeństwa w systemie. Układy sterujące obiektem i część odpowiedzialna za bezpieczeństwo były wydzielone z systemu automatyki. Sygnały związane z bezpieczeństwem prowadzono równolegle przewodami, co komplikowało projekt instalacji i mogło być przyczyną pomyłek przy montażu. Dostępne dzisiaj technologie umożliwiają tworzenie zintegrowanych rozwiązań, które oprócz zapobiegania wypadkom zapewniają dodatkowe właściwości funkcjonalne. Obecnie stosowane są sterowniki PLC z wbudowaną częścią realizującą funkcje bezpieczeństwa. Zintegrowanie układów bezpieczeństwa i sterowania stwarza możliwości wykorzystywania wspólnych aplikacji i technologii, a jednocześnie daje korzyści wyrażające się mniejszymi kosztami projektowania, instalowania, uruchomienia i obsługi.

Znane są korzyści, jakie osiąga się po zastosowaniu w systemach sterowania sieci miejscowej (ang. fieldbus) – pozbycie się zamontowanego na stałe okablowania równoległego zmniejsza złożoność połączeń i możliwość popełniania błędów łączeniowych, a jednocześnie zapewnia elastyczność rozwiązania, modułowość i łatwą kontrolę z lepszą diagnostyką. Jednak technologia oraz przepisy uniemożliwiały zastosowanie sieci w układach bezpieczeństwa. Początek XXI wieku stał się dla techniki zabezpieczeń okresem przełomowym. Po ugruntowaniu się technologii sieciowych stworzone zostały rozwiązania udostępniające wymienione zalety sieci miejscowej w systemach bezpieczeństwa.

Rozwiązania bezpieczeństwa coraz bardziej zazębiają się z systemami sterowania, przy czym funkcje bezpieczeństwa i sterowania są często wspólnie zintegrowane w sterownikach programowalnych i układach sieciowych. Te zmiany w systemach automatyki zaowocowały m.in. pojawieniem się nowych norm związanych z bezpieczeństwem.

Bezpieczeństwo funkcjonalne – przegląd norm

Koncepcja bezpieczeństwa funkcjonalnego, odnoszącego się do części systemu związanej z bezpieczeństwem, wiąże się ze stosowaniem elektronicznych układów programowalnych, w których nie można wykryć wszystkich błędów tradycyjnymi metodami. Bezpieczeństwo funkcjonalne opiera się na funkcji bezpieczeństwa, realizowanej przez właściwy system zabezpieczenia. Jej zadaniem jest ograniczenie ryzyka awarii w sytuacji krytycznej, w warunkach obiektowych. Obowiązuje zasada, że do oceny bezpieczeństwa całego złożonego systemu stosowane są kryteria odnoszące się do jego części związanej z bezpieczeństwem, dla której obowiązują najbardziej ostre wymagania.

EN 61508 – polski odpowiednik PN-EN 61508 – jest zasadniczą międzynarodową normą odnoszącą się do systemów związanych z bezpieczeństwem składających się z elementów elektrycznych/ elektronicznych lub systemów elektrycznych/ elektronicznych/ programowalnych elektronicznych (PES). Ma status normy podstawowej, może być stosowana jako wyłączny dokument, powinna jednak być traktowana jako norma podstawowa lub ramowa dla opracowania norm sektorowych. Jednak nie ma przeciwwskazań, aby zgodność z odpowiednimi częściami normy EN 61508 była stosowana do wsparcia deklaracji zgodności z dyrektywą europejską odpowiednią do danego produktu, jeżeli jest to właściwe. Ale ponieważ EN 61508 nie jest zharmonizowaną normą europejską, nie istnieje domniemanie zgodności z żadną dyrektywą. Dlatego należałoby wyjaśnić w dokumentacji technicznej, w jaki sposób zgodność z normą EN 61508 będzie potwierdzała zgodność ze szczegółowymi wymaganiami zasadniczymi odpowiedniej dyrektywy.

Norma EN 61508 zakłada oparte na ryzyku podejście do bezpieczeństwa funkcjonalnego złożonych systemów bezpieczeństwa. Główną zasadą jest zarządzanie i analiza ryzyka jako funkcji następstwa wydarzenia i prawdopodobieństwa wystąpienia tego wydarzenia. Norma odnosi się do pełnego cyklu życia systemu z punktu widzenia wykonawcy i użytkownika końcowego. Wiarygodność systemu jako układu bezpieczeństwa wyraża się poziomem nienaruszalności bezpieczeństwa SIL (Safety Integrity Level), który zależy od prawdopodobieństwa wystąpienia błędu wewnętrznego w czasie pracy systemu. Zdefiniowano w niej m.in. ogólne zasady zabezpieczania urządzeń z programowalnymi układami elektronicznymi, a w szczególności połączonych za pomocą sieci. Podstawowe zadanie dla sieciowego systemu bezpieczeństwa nie polega na wyeliminowaniu możliwości awarii układu, lecz na spowodowaniu, że w wypadku awarii odpowiednie urządzenia przełączone zostaną w stan bezpieczny. Dla większości aplikacji przemysłowych zalecany jest SIL3, co oznacza, że w trakcie pracy w pełni obciążonego systemu niezauważony lub źle zidentyfikowany błąd może pojawić się raz na 150 lat ciągłej pracy.

Normami sektorowymi na bazie EN 61508 są m.in.: EN 61511 (PN-EN 61511) dla przemysłu procesowego (kompletne układy zabezpieczające różne instalacje przemysłowe) i EN 61800-5-2 (PN-EN 61800-5-2) dla elektrycznych układów napędowych mocy. EN 62061 (PN-EN 62061) jest sektorową normą dotyczącą bezpieczeństwa maszyn. Nie ma planów harmonizacji EN 61511 z żadną dyrektywą, natomiast nie podjęto jeszcze decyzji dotyczącej EN 61800-5-2. Jednakże EN 62061 jest normą europejską, zharmonizowaną z dyrektywą maszynową (dotyczy to „starej” dyrektywy, na razie norma nie jest na liście norm zharmonizowanych z nową dyrektywą).

EN 62061 określa wymagania dotyczące bezpieczeństwa funkcjonalnego elektrycznych systemów sterowania związanych z bezpieczeństwem (SRECS). Celem tej normy jest dostarczenie projektantom takich systemów wytycznych dotyczących wszystkich aspektów SRECS. Norma podaje systematyczny sposób postępowania odnoszący się do całego cyklu życia związanego z bezpieczeństwem systemu sterowania maszyny.

Funkcje sterowania realizowane przez SRECS do ochrony przed określonym zagrożeniem określone są jako funkcje sterowania związane z bezpieczeństwem. Każda taka funkcja sterująca ma określony poziom nienaruszalności i przeznaczona jest do utrzymania warunków bezpieczeństwa maszyny lub zapobiegania bezpośredniemu wzrostowi ryzyka. EN 62061 podaje trzy poziomy nienaruszalności bezpieczeństwa (SIL) dla SRECS. Im wyższy jest SIL dla danego SRECS, tym mniejsze jest prawdopodobieństwo, że SRECS nie wykona wymaganej funkcji sterowania związanej z bezpieczeństwem.

EN ISO 13849-1 (polski odpowiednik PN-EN ISO 13849-1) występuje obok EN 954-1, ważnej (lecz dość leciwej) normy dotyczącej bezpieczeństwa i zasad projektowania elementów systemów sterowania. Zagadnienia bezpieczeństwa zostały tutaj poddane zasadniczej modyfikacji, wprowadzającej metodykę analizy systemu sterującego współbrzmiącą z EN 61508.

Najważniejszą zmianą w EN ISO 13849-1 jest położenie nacisku na probabilistyczną metodę określania nienaruszalności bezpieczeństwa i systematycznych defektów i błędów sterowania. Jako miarę nienaruszalności bezpieczeństwa wprowadzono Performance Level (PL) – poziom zapewnienia bezpieczeństwa, oznaczany literami od a do e i stosowany do całego systemu bezpieczeństwa. Podawany jest on w odniesieniu do średniego prawdopodobieństwa niebezpiecznego uszkodzenia podczas jednej godziny.

W EN ISO 13849-1 zaproponowano 4-stopniowy sposób postępowania przy projektowaniu systemu sterowania zawiązanego z bezpieczeństwem:

1. Przeprowadzenie oceny ryzyka.
2. Określenie środków bezpieczeństwa do określonego ryzyka wyrażonego przez PL.
3. Opracowanie architektury systemu odpowiedniej dla PL.
4. Walidacja koncepcji potwierdzająca, że spełnia ona wymagania początkowej oceny ryzyka.

EN ISO 13849-1 a EN 62061. Międzynarodowe grupy robocze współpracują nad tekstem wyjaśnienia, dopasowującym do siebie EN ISO 13849-1 i EN 62061, które ukaże się w obu normach. Dzięki temu będzie można przyjąć, że spełnione są odpowiednie istotne wymagania bezpieczeństwa, gdy jedna z tych norm będzie stosowana w odpowiednim dla niej zakresie.

Mimo że stosowanie norm EN ISO 13849-1 oraz EN 62061 daje porównywalne wyniki, to wskaźniki SIL i PL funkcjonują niejako obok siebie, jak odrębne systemy. Mało prawdopodobne jest, żeby mali i średni producenci przeprowadzali rzetelną ekspertyzę obu wskaźników. Również dla nabywców sytuacja ta nie jest łatwa, ponieważ otrzymują oni ofertę jednego wyrobu, którego ocena odnosi się do parametru SIL i drugiego, który opiera się na wskaźniku PL. W przyszłości celem powinno być więc połączenie obu tych norm.

W EN ISO 13849-2 (PN-EN ISO 13849-2) podana jest metodyka przeprowadzenia walidacji. Zakres zastosowania normy jest rozległy i, tak jak EN 954-1, obejmuje ona walidację związanych z bezpieczeństwem części systemów sterowania, które wykorzystują technologie mechaniczne, pneumatyczne, hydrauliczne, elektryczne i elektroniczne. Nie podano wymagań pełnej walidacji dla programowalnych elektronicznych systemów bezpieczeństwa i dlatego może być potrzebne zastosowanie innych norm, np. EN 61508 i EN 62061. Normy EN ISO 13849 znajdują się na liście norm zharmonizowanych z nową dyrektywą maszynową 2006/42/WE.

EN 61800-5-2(PN-EN 61800-5-2) z kolei jest normą produktową dotyczącą opracowania i projektowania, integracji i walidacji elektrycznych układów napędowych mocy o regulowanej prędkości, przeznaczonych do zastosowań związanych z bezpieczeństwem. Skierowana jest do użytkowników (np. integratorów systemu, projektantów maszyn i instalacji) tego rodzaju napędów, do których stosują się wymagania bezpieczeństwa funkcjonalnego (do SIL 3 włącznie) zgodne z zasadami EN 61508 i jej specjalnych zastosowań sektorowych, np. EN 62061 dla maszyn i serii EN 61511 dla przyrządowych systemów bezpieczeństwa do sektora przemysłu procesowego.

Prace w toku.  Polski Komitet Normalizacyjny przeprowadził nowelizację norm serii PN-EN 61310 (Wskazywanie, oznaczanie i sterowanie) oraz specyfikacji technicznej TS 61496-2 (Wymagania szczegółowe dotyczące wyposażenia wykorzystującego aktywne, optoelektroniczne urządzenia ochronne (AOPD)), trwają prace nad nowelizacją PN-EN 60204-1 (idt. IEC 60204-1) dotyczącej wyposażenia elektrycznego maszyn. W zakresie współpracy międzynarodowej istotne są prace dotyczące zmian w normie IEC 60204-1. Dotyczą one przede wszystkim modyfikacji wymagań dotyczących pewności realizacji funkcji bezpieczeństwa w odniesieniu do norm EN 62061 oraz EN ISO 13849-1. Opracowywane są także wymagania dotyczące zastosowanie łączności bezprzewodowej do realizacji funkcji zatrzymywania awaryjnego.

Bezpieczeństwo funkcjonalne i sieci bezpieczeństwa

Sieci bezpieczeństwa we wcześniejszych rozwiązaniach były przeznaczone wyłącznie do wykonywania funkcji bezpieczeństwa i całkowicie odizolowane od sieci standardowych. Lepszą opcją jest realizacja sieci bezpieczeństwa jako rozszerzenia sieci standardowej: urządzenia bezpieczeństwa i urządzenia sterujące są przyłączone do wspólnego kabla sieciowego. Przyłączanie sterowania bezpieczeństwa do komponentów maszynowych, np. układów napędowych, obecnie odbywa się przeważnie za pośrednictwem bezpiecznych i efektywnych sieci miejscowych. Dla większości z nich istnieją dokładnie określone protokoły bezpieczeństwa, np. certyfikowane Safety-over-EtherCAT-Protokolls (FSoE).

Aktualna działalność normalizacyjna dla sieci zapewniających bezpieczeństwo funkcjonalne koncentruje się na projekcie uzupełnienia normy IEC 61784-3 (PN-EN 61784-3) dotyczącej profili w magistralach miejscowych bezpiecznych funkcjonalnie. Norma jest normą stowarzyszoną do IEC 61158 (PN-EN 61158 Przemysłowe sieci komunikacyjne – Specyfikacje magistrali miejscowej) i ustala cały szereg protokołów komunikacyjnych, które umożliwiają sterowanie rozproszone w zastosowaniach automatyki. IEC 61784-3 objaśnia pewne ogólne zasady, które mogą być zastosowane do transmisji komunikatów związanych z bezpieczeństwem, zgodnie z wymaganiami bezpieczeństwa funkcjonalnego wg EN 61508, między uczestnikami w ramach sieci rozproszonej, w której zastosowano technologię magistrali miejscowej. Podaje ona różne profile i odpowiednie protokoły jako opcjonalne rozszerzenie profili komunikacyjnych normy EN 61784-1 i serii EN 61158. Obecnie w projekcie IEC 61784-3 są zamieszczone specyfikacje CIP Safety (EtherNet/IP), Interbus Safety i PROFIsafe.

Projekt normy IEC 61784-3 wciela koncepcję bezpieczeństwa funkcjonalnego w specyficznych technologiach sieciowych. Włączenie bezpieczeństwa funkcjonalnego do technologii sieciowych w przemyśle może przyczynić się do dalszej poprawy bezpieczeństwa maszyn, funkcjonalności i produktywności i przyniesie korzyści przy projektowaniu, uruchomieniu i obsłudze maszyn.

Opracowanie: mgr inż. Elżbieta Jachczyk – PAR