Rozdzielnice niskiego napięcia z badaniami typu

s
Automation and Drives
Dlaczego Bezpieczeństwo Funkcjonalne?
Wytyczne do redukcji ryzyka dzięki Bezpieczeństwu Funkcjonalnemu
wg IEC 61508
Patrick Gehlen
Pojęcie Bezpieczeństwa Funkcjonalnego utrwaliło
się po publikacji normy IEC 61508. Nie stanowi
ona jednak zbioru wytycznych dla konstruktorów
maszyn. W praktyce czują się oni raczej
konfrontowani z – częściowo sprzecznymi z nią –
wymaganiami rozmaitych innych norm. Niniejszy
artykuł ma na celu dostarczenie wyjaśnień
i pomocy w tej kwestii.
W normie IEC 62061 pojęcie Bezpieczeństwa
Funkcjonalnego jest opisane następująco: „Część
bezpieczeństwa maszyny i jej układu sterowania,
zależna od prawidłowego działania SRECS
– odniesionych do bezpieczeństwa systemów o innej
technologii i zewnętrznych urządzeń do redukcji
ryzyka” (SRECS = safety-related electronic control
systems/odniesione do bezpieczeństwa
elektroniczne systemy sterowania). Lecz co to
oznacza?
Bezpieczeństwo Funkcjonalne oznacza „ochronę
przed zagrożeniem wywołanym nieprawidłowym
działaniem”. Działanie drzwi ochronnych (z punktu
widzenia bezpieczeństwa) powinno być
zrealizowane w taki sposób, aby w razie awarii tego
urządzenia nie dochodziło do bezpośredniego
zagrożenia, wychodzącego od maszyny. Tak więc
ukierunkowane na bezpieczeństwo działanie układu
sterowania jest rozpatrywane jako całość
z ukierunkowaniem na zapewnienie działań
redukujących ryzyko wysokiej (w sposób mierzalny)
jakości. Rozpatrywać zatem należy działanie,
informacje wejściowe czyli sygnały oraz informacje
wyjściowe, czyli czynności.
-
norma EN 954 nie odnosi się do zastosowania
układów elektronicznych w funkcjach
związanych z bezpieczeństwem, chociaż
technologia w połączeniu z elektroniką dawno
już wkroczyła do techniki zabezpieczeń;
w ten sposób norma ta w niedostatecznym
stopniu odzwierciedla stan techniki;
kategorie wg normy EN 954-1 „nie są
hierarchiczne”, tzn. rozwiązanie kategorii 3
niekoniecznie musi być gorsze lub mniej
niezawodne niż rozwiązanie kategorii 4.
-
kategorie opisują struktury rozwiązań, które
w praktyce są realizowanie np. z redundantnymi
czujnikami i urządzeniami wykonawczymi;
-
norma EN 954-1 nie definiuje w sposób
dostateczny praktykowanego stopniowania
przyporządkowanej integralności w sensie
bezpieczeństwa (odporności na błędy);
kryteria ustalania żądanej kategorii są
niejednoznaczne.
Z punktu widzenia producenta maszyn stwarza to
niekorzystną sytuację. Wybór określonego
rozwiązania zależy (często) od interpretacji jednostki
badającej: dla tej samej aplikacji różne jednostki
mogą wymagać różnych rozwiązań. Bezpieczeństwo
Funkcjonalne powinno pomóc użytkownikowi
rozwiązać dzisiejsze problemy towarzyszące
implementacji podstawowych wymagań
dotyczących bezpieczeństwa. Wszystkie te przyczyny
doprowadziły do
-
-
ustanowienia normy IEC 62061, która od
31.12.2005 jest oficjalnie zharmonizowana jako
EN 62061 – dyrektywa maszynowa;
-
przerobienia normy EN 954-1 na normę ISO
13849-1 (zrewidow.).
Z praktyki
Do osiągania Bezpieczeństwa Funkcjonalnego służy
następujący podstawowy proces projektowania:
Co daje Bezpieczeństwo Funkcjonalne
użytkownikowi?
Pytanie to zadawało sobie wielu użytkowników: po
co nagle coś nowego, skoro dzisiejsze maszyny mają
już i tak bardzo wysoki standard bezpieczeństwa,
a liczba wypadków spowodowanych awarią jakiejś
funkcji związanej z bezpieczeństwem znacznie się
obniżyła? Odpowiedź na to pytanie jest stosunkowo
prosta, a jednocześnie bardzo skomplikowana.
Podczas implementacji podstawowych wymagań
związanych z bezpieczeństwem, zawartych
w dyrektywie maszynowej (zharmonizowana norma
europejska EN 954-1) wynika w praktyce kilka
problemów:
-
-
-
należy szczegółowo sformułować wymagania
stawiane projektowanej funkcji bezpieczeństwa,
wybrać założenia rozwiązania, a na koniec
odwzorować funkcję w konkretnym sprzęcie
i oprogramowaniu;
-
następnie należy sprawdzić jakość
przewidywanej realizacji i ewentualnie
zmodyfikować rozwiązanie;
-
na koniec musi zostać przeprowadzona
walidacja funkcji bezpieczeństwa.
Rys. 1. Transmisja odbywa się za pośrednictwem medium
elektrycznego, optycznego lub opartego na magistrali danych
Technika łączeniowa n.n.
Dlaczego Bezpieczeństwo Funkcjonalne? / Patrick Gehlen
.
1/2
s
Rys. 2. Historia rozwoju (i zależności) norm ISO 13849-1
i IEC 62061 (rev. = rewizja/zmiana, PES = programowany
system elektryczny/elektroniczny)
Rys. 3. Porównanie Performance Level (PL) i Poziomu
Integralności Bezpieczeństwa (SIL)
ISO 13849-1 czy IEC 62061?
Obie normy zajmują się intensywnie funkcjami
bezpieczeństwa i zawierają tak zwane normy dla
użytkownika. Elementem je różniącym jest
nieuwzględnienie w normie IEC 62061 wszystkich
rodzajów energii: jest to zadanie normy EN 954-1.
Wstęp do obu norm zawiera dla lepszego
zrozumienia tabelę zalecanego stosowania norm IEC
62061 i ISO 13849-1 (rev.). Różne kombinacje,
zależnie od zastosowanej technologii, pozwalają
zatem na korzystanie z jednej lub drugiej normy.
Należy zwrócić uwagę, że kombinacja „złożonej
elektroniki” i „elektromechaniki” jest zgodnie z ISO
13849-1 (rev.) ograniczona do Performance Level d.
Ogólnie, z punktu widzenia użytkownika
korzystniejsza jest norma IEC 62061, jeżeli wchodzi
w grę oprogramowanie użytkownika. Jednak
użytkownik obu norm ma możliwość swobodnego
wyboru jednej lub drugiej z nich zależnie od
potrzeby:
•
IEC 62061 jest korzystna w przypadku
stosowania „złożonych (np. odporny na błędy
układ sterowania z programu Simatic Safety
Integrated);
•
Z ISO 13849-1 należy korzystać, stosując
„komponenty elektryczne/elektroniczne o niskim
stopniu złożoności” (np. przekaźnik
bezpieczeństwa 3TK28 czy ASIsafe z programu
Sirius Safety Integrated).
Technika łączeniowa n.n.
Dlaczego Bezpieczeństwo Funkcjonalne? / Patrick Gehlen
Automation and Drives
Użytkownik powinien jednak przyjąć tę wiadomość
ze spokojem, gdyż możliwe jest także stosowanie
kombinacji obu norm, co zresztą jest wyraźnie
wspomniane w różnych miejscach każdej z nich.
Miarę odporności na błędy opisuje pojęcie
integralności bezpieczeństwa: w ISO 13849-1 (rev.)
jest stosowany termin „Performance Level” (PL),
natomiast w IEC 62061 termin „Poziom Integralności
Bezpieczeństwa” (SIL). Integralność zakładanego
bezpieczeństwa definiuje się za pomocą trzech
wielkości:
•
systematyczna integralność bezpieczeństwa,
•
integralność bezpieczeństwa oprogramowania,
•
integralność bezpieczeństwa sprzętu.
Oprócz błędów systematycznych właściwości
strukturalnych bierze się więc tu pod uwagę także
przypadkowe awarie sprzętu, tzw.
prawdopodobieństwo wystąpienia w ciągu godziny
awarii stwarzającej zagrożenie. Jest tu możliwe
bezpośrednie porównanie obu norm.
Proces projektowania jest w obu normach
przedstawiony w sposób porównywalny. Najpierw
należy wyszczególnić wymagania stawiane funkcji
bezpieczeństwa. Później założenia dotyczące
rozwiązania (według zawartych w obu normach
wskazówek) są odwzorowywane na konkretny
sprzęt i oprogramowanie. Po zaprojektowaniu należy
sprawdzić jakość przewidywanej realizacji
rozwiązania i dokonać jego oceny. Jeżeli
integralność bezpieczeństwa nie będzie spełniała
pierwotnie sformułowanych wymagań, należy
przeprowadzić iterację, tzn. stosując nowe lub
zmodyfikowane założenia dotyczących rozwiązania,
próbować osiągnąć zamierzone cele ochronne lub
spełnić wymagania bezpieczeństwa. Na koniec
należy przeprowadzić walidację funkcji
bezpieczeństwa. Norma ISO 13849-2 zawiera już
dzisiaj cenne wskazówki na ten temat.
W opisanym sposobie postępowania funkcja
bezpieczeństwa jest traktowana całościowo – od
obwodu czujnika aż do obwodu urządzenia
wykonawczego. Jest to Bezpieczeństwo
Funkcjonalne dla wybranych działań redukujących
ryzyko.
Rys. 4. Zalecane stosowanie norm ISO 13849-1 (rev.) i IEC
62061
2/2