Rozdzielnice niskiego napięcia z badaniami typu
Transkrypt
Rozdzielnice niskiego napięcia z badaniami typu
s Automation and Drives Dlaczego Bezpieczeństwo Funkcjonalne? Wytyczne do redukcji ryzyka dzięki Bezpieczeństwu Funkcjonalnemu wg IEC 61508 Patrick Gehlen Pojęcie Bezpieczeństwa Funkcjonalnego utrwaliło się po publikacji normy IEC 61508. Nie stanowi ona jednak zbioru wytycznych dla konstruktorów maszyn. W praktyce czują się oni raczej konfrontowani z – częściowo sprzecznymi z nią – wymaganiami rozmaitych innych norm. Niniejszy artykuł ma na celu dostarczenie wyjaśnień i pomocy w tej kwestii. W normie IEC 62061 pojęcie Bezpieczeństwa Funkcjonalnego jest opisane następująco: „Część bezpieczeństwa maszyny i jej układu sterowania, zależna od prawidłowego działania SRECS – odniesionych do bezpieczeństwa systemów o innej technologii i zewnętrznych urządzeń do redukcji ryzyka” (SRECS = safety-related electronic control systems/odniesione do bezpieczeństwa elektroniczne systemy sterowania). Lecz co to oznacza? Bezpieczeństwo Funkcjonalne oznacza „ochronę przed zagrożeniem wywołanym nieprawidłowym działaniem”. Działanie drzwi ochronnych (z punktu widzenia bezpieczeństwa) powinno być zrealizowane w taki sposób, aby w razie awarii tego urządzenia nie dochodziło do bezpośredniego zagrożenia, wychodzącego od maszyny. Tak więc ukierunkowane na bezpieczeństwo działanie układu sterowania jest rozpatrywane jako całość z ukierunkowaniem na zapewnienie działań redukujących ryzyko wysokiej (w sposób mierzalny) jakości. Rozpatrywać zatem należy działanie, informacje wejściowe czyli sygnały oraz informacje wyjściowe, czyli czynności. - norma EN 954 nie odnosi się do zastosowania układów elektronicznych w funkcjach związanych z bezpieczeństwem, chociaż technologia w połączeniu z elektroniką dawno już wkroczyła do techniki zabezpieczeń; w ten sposób norma ta w niedostatecznym stopniu odzwierciedla stan techniki; kategorie wg normy EN 954-1 „nie są hierarchiczne”, tzn. rozwiązanie kategorii 3 niekoniecznie musi być gorsze lub mniej niezawodne niż rozwiązanie kategorii 4. - kategorie opisują struktury rozwiązań, które w praktyce są realizowanie np. z redundantnymi czujnikami i urządzeniami wykonawczymi; - norma EN 954-1 nie definiuje w sposób dostateczny praktykowanego stopniowania przyporządkowanej integralności w sensie bezpieczeństwa (odporności na błędy); kryteria ustalania żądanej kategorii są niejednoznaczne. Z punktu widzenia producenta maszyn stwarza to niekorzystną sytuację. Wybór określonego rozwiązania zależy (często) od interpretacji jednostki badającej: dla tej samej aplikacji różne jednostki mogą wymagać różnych rozwiązań. Bezpieczeństwo Funkcjonalne powinno pomóc użytkownikowi rozwiązać dzisiejsze problemy towarzyszące implementacji podstawowych wymagań dotyczących bezpieczeństwa. Wszystkie te przyczyny doprowadziły do - - ustanowienia normy IEC 62061, która od 31.12.2005 jest oficjalnie zharmonizowana jako EN 62061 – dyrektywa maszynowa; - przerobienia normy EN 954-1 na normę ISO 13849-1 (zrewidow.). Z praktyki Do osiągania Bezpieczeństwa Funkcjonalnego służy następujący podstawowy proces projektowania: Co daje Bezpieczeństwo Funkcjonalne użytkownikowi? Pytanie to zadawało sobie wielu użytkowników: po co nagle coś nowego, skoro dzisiejsze maszyny mają już i tak bardzo wysoki standard bezpieczeństwa, a liczba wypadków spowodowanych awarią jakiejś funkcji związanej z bezpieczeństwem znacznie się obniżyła? Odpowiedź na to pytanie jest stosunkowo prosta, a jednocześnie bardzo skomplikowana. Podczas implementacji podstawowych wymagań związanych z bezpieczeństwem, zawartych w dyrektywie maszynowej (zharmonizowana norma europejska EN 954-1) wynika w praktyce kilka problemów: - - - należy szczegółowo sformułować wymagania stawiane projektowanej funkcji bezpieczeństwa, wybrać założenia rozwiązania, a na koniec odwzorować funkcję w konkretnym sprzęcie i oprogramowaniu; - następnie należy sprawdzić jakość przewidywanej realizacji i ewentualnie zmodyfikować rozwiązanie; - na koniec musi zostać przeprowadzona walidacja funkcji bezpieczeństwa. Rys. 1. Transmisja odbywa się za pośrednictwem medium elektrycznego, optycznego lub opartego na magistrali danych Technika łączeniowa n.n. Dlaczego Bezpieczeństwo Funkcjonalne? / Patrick Gehlen . 1/2 s Rys. 2. Historia rozwoju (i zależności) norm ISO 13849-1 i IEC 62061 (rev. = rewizja/zmiana, PES = programowany system elektryczny/elektroniczny) Rys. 3. Porównanie Performance Level (PL) i Poziomu Integralności Bezpieczeństwa (SIL) ISO 13849-1 czy IEC 62061? Obie normy zajmują się intensywnie funkcjami bezpieczeństwa i zawierają tak zwane normy dla użytkownika. Elementem je różniącym jest nieuwzględnienie w normie IEC 62061 wszystkich rodzajów energii: jest to zadanie normy EN 954-1. Wstęp do obu norm zawiera dla lepszego zrozumienia tabelę zalecanego stosowania norm IEC 62061 i ISO 13849-1 (rev.). Różne kombinacje, zależnie od zastosowanej technologii, pozwalają zatem na korzystanie z jednej lub drugiej normy. Należy zwrócić uwagę, że kombinacja „złożonej elektroniki” i „elektromechaniki” jest zgodnie z ISO 13849-1 (rev.) ograniczona do Performance Level d. Ogólnie, z punktu widzenia użytkownika korzystniejsza jest norma IEC 62061, jeżeli wchodzi w grę oprogramowanie użytkownika. Jednak użytkownik obu norm ma możliwość swobodnego wyboru jednej lub drugiej z nich zależnie od potrzeby: • IEC 62061 jest korzystna w przypadku stosowania „złożonych (np. odporny na błędy układ sterowania z programu Simatic Safety Integrated); • Z ISO 13849-1 należy korzystać, stosując „komponenty elektryczne/elektroniczne o niskim stopniu złożoności” (np. przekaźnik bezpieczeństwa 3TK28 czy ASIsafe z programu Sirius Safety Integrated). Technika łączeniowa n.n. Dlaczego Bezpieczeństwo Funkcjonalne? / Patrick Gehlen Automation and Drives Użytkownik powinien jednak przyjąć tę wiadomość ze spokojem, gdyż możliwe jest także stosowanie kombinacji obu norm, co zresztą jest wyraźnie wspomniane w różnych miejscach każdej z nich. Miarę odporności na błędy opisuje pojęcie integralności bezpieczeństwa: w ISO 13849-1 (rev.) jest stosowany termin „Performance Level” (PL), natomiast w IEC 62061 termin „Poziom Integralności Bezpieczeństwa” (SIL). Integralność zakładanego bezpieczeństwa definiuje się za pomocą trzech wielkości: • systematyczna integralność bezpieczeństwa, • integralność bezpieczeństwa oprogramowania, • integralność bezpieczeństwa sprzętu. Oprócz błędów systematycznych właściwości strukturalnych bierze się więc tu pod uwagę także przypadkowe awarie sprzętu, tzw. prawdopodobieństwo wystąpienia w ciągu godziny awarii stwarzającej zagrożenie. Jest tu możliwe bezpośrednie porównanie obu norm. Proces projektowania jest w obu normach przedstawiony w sposób porównywalny. Najpierw należy wyszczególnić wymagania stawiane funkcji bezpieczeństwa. Później założenia dotyczące rozwiązania (według zawartych w obu normach wskazówek) są odwzorowywane na konkretny sprzęt i oprogramowanie. Po zaprojektowaniu należy sprawdzić jakość przewidywanej realizacji rozwiązania i dokonać jego oceny. Jeżeli integralność bezpieczeństwa nie będzie spełniała pierwotnie sformułowanych wymagań, należy przeprowadzić iterację, tzn. stosując nowe lub zmodyfikowane założenia dotyczących rozwiązania, próbować osiągnąć zamierzone cele ochronne lub spełnić wymagania bezpieczeństwa. Na koniec należy przeprowadzić walidację funkcji bezpieczeństwa. Norma ISO 13849-2 zawiera już dzisiaj cenne wskazówki na ten temat. W opisanym sposobie postępowania funkcja bezpieczeństwa jest traktowana całościowo – od obwodu czujnika aż do obwodu urządzenia wykonawczego. Jest to Bezpieczeństwo Funkcjonalne dla wybranych działań redukujących ryzyko. Rys. 4. Zalecane stosowanie norm ISO 13849-1 (rev.) i IEC 62061 2/2