Bezpieczeństwo funkcjonalne w systemach sterowania

Głównym zadaniem szeroko pojętych systemów sterowania jest odpowiednie sterowanie urządzeniami wykonawczymi w celu zrealizowania określonego procesu. W szczególności osoby dopiero rozpoczynające pracę w dziedzinie automatyki przemysłowej mogą nie być świadome, że projektowanie systemów automatyki wymaga nie tylko spełnienia wymagań procesowych, ale także odpowiedniego przygotowania maszyny na wypadek wystąpienia sytuacji niebezpiecznych dla życia i zdrowia operatorów.

Wraz z postępującą automatyzacją produkcji wzrastała również świadomość dotycząca bezpieczeństwa procesów automatycznych. Na wczesnym etapie automatyzacji procesów produkcyjnych, gdy sterowanie opierało się głównie na przekaźnikowych układach logicznych, bezpieczeństwo maszynowe ograniczone było głównie do centralnych wyłączników zasilania lub procesowych przycisków wyłączenia. Okazało się jednak, że tego rodzaju środki ochrony nie są wystarczająco skuteczne, co doprowadziło do potrzeby nowych rozwiązań w zakresie bezpieczeństwa maszyn.

Dalszy rozwój przemysłu maszynowego, coraz większa ilość układów automatycznego sterowania, wprowadzenie układów programowalnych oraz konieczność ochrony użytkowników ukazały potrzebę usystematyzowania i wyodrębnienia tematów związanych z bezpieczeństwem maszynowym. W poniższym artykule przybliżone zostały podstawy bezpieczeństwa funkcjonalnego i jego realizacji.

Co to jest bezpieczeństwo funkcjonalne?

Połączenie tych dwóch wyrazów już na samym początku powinno sugerować odniesienie do funkcji, które mają zapewnić bezpieczeństwo. Funkcje bezpieczeństwa kontrolują pracę elementów niebezpiecznych i mają za zadanie utrzymać maszynę w stanie bezpiecznym, gdy bezpieczna praca nie jest możliwa. Rozwijając tą myśl, Bezpieczeństwo funkcjonalne to termin odnoszący się do zapewnienia bezpieczeństwa użytkowników w odniesieniu do poprawnie działającego układu sterowania. Przez układ sterowania w tym przypadku należy rozumieć: poprawnie funkcjonujący układ elektryczny, programowalne systemy elektroniczne jak również urządzenia zewnętrzne, które zapewniają zmniejszenie ryzyka występującego w obrębie kontrolowanego procesu.

Zachowanie bezpieczeństwa funkcjonalnego z systemem CMMS

Systemy zarządzania utrzymaniem ruchu (CMMS) odgrywają kluczową rolę w zapewnieniu bezpieczeństwa funkcjonalnego maszyn i urządzeń. Poprzez scentralizowane zarządzanie danymi dotyczącymi maszyn, takich jak historia napraw, wymiany części oraz wyniki przeglądów, CMMS umożliwia efektywne planowanie przeglądów i konserwacji. Dzięki temu można zapobiec awariom, które mogłyby prowadzić do sytuacji niebezpiecznych. Ponadto, warto wspomnieć, że system CMMS może być zintegrowany z systemami bezpieczeństwa. Jest to coś, co pozwala na automatyczne generowanie powiadomień o konieczności przeprowadzenia czynności serwisowych związanych, wlaśnie, z bezpieczeństwem. W ten sposób CMMS przyczynia się do utrzymania wysokiego poziomu bezpieczeństwa funkcjonalnego i zwiększenia niezawodności maszyn.

Przykład funkcji systemu CMMS, w której użytkownik ma dostęp do podglądu danych urządzenia (również danych historycznych, które wspierają zachowanie bezpieczeństwa)

Podstawy prawne

Podstawowym celem bezpieczeństwa funkcjonalnego jest ograniczenie możliwości zaistnienia sytuacji niebezpiecznej. Efektem finalnym jest redukcja ryzyka do akceptowalnego poziomu. Na całym świecie istnieje szereg regulacji prawnych mających zapewnić ochronę użytkowników maszyn. Podstawowym wymogiem ustawowym dla maszyn i urządzeń wprowadzanych do obrotu w Europejskim Obszarze Gospodarczym jest oznakowanie maszyny oznaczeniem CE. Jest to potwierdzenie spełnienia przez produkt wszystkich odnoszących się do niego dyrektyw europejskich.

Najważniejszym dokumentem skierowanym do producentów i dystrybutorów maszyn jest Dyrektywa maszynowa 2006/42/WE. Zawiera ona szereg przepisów i zaleceń w celu zapewnienia bezpieczeństwa i ochrony zdrowia. Do oceny oraz walidacji funkcji bezpieczeństwa można skorzystać z norm: PN- EN ISO 13849 oraz PN-EN 62061. Wszystkie działania należy poprzedzić kluczową w całym procesie analizą ryzyka na bazie normy PN-EN ISO 12100.

Projektowanie funkcji bezpieczeństwa na bazie PN- EN ISO 13849

Norma PN- EN ISO 13849 odnosi się do wszystkich technologii: elektrycznych, pneumatycznych, hydraulicznych i mechanicznych.  Zaprojektowanie odpowiedniej funkcji bezpieczeństwa wymaga od projektanta zastosowania wymaganej technologii ochrony.

Norma PN- EN ISO 13849 wprowadza termin poziomu zapewnienia bezpieczeństwa – PL (ang. Performance Level). Poziom ten określa się w pięciostopniowej literowej skali od a do e, gdzie a to najmniejsze ryzyko, natomiast e to największe ryzyko. Do określenia wymaganego poziomu bezpieczeństwa korzysta się z grafu ryzyka zgodnie z poniższą ilustracją, która ukazuje przykładową ścieżkę oceny ryzyka. W dalszych krokach pozwala to na zaprojektowanie adekwatnej do zagrożenia funkcji bezpieczeństwa.

Graf ryzyka, oszacowany wymagany poziom zapewnienia bezpieczeństwa PL-c (S₂, F₁, P₁)

W pierwszym kroku należy ocenić stopień możliwego urazu, następnie częstotliwość i/lub czas trwania zagrożenia, a na końcu możliwość uniknięcia zagrożenia. W tym kontekście należy podkreślić, że każdy z progów wyboru jest dwustopniowy. W praktyce dla niektórych przypadków problematycznym okazuje się obiektywny wybór jednej z dwóch skrajnych możliwości. Analizując jeden z praktycznych przykładów, w przypadku ruchu liniowego tłoczyska siłownika trudno jest ocenić, czy istnieje możliwość uniknięcia zdarzenia (wybór P1), czy też jest ono prawie niemożliwe (wybór P2).

Po dokonaniu oceny poziomu zapewnienia bezpieczeństwa należy zrealizować funkcję bezpieczeństwa spełniającą określony poziom zapewnienia bezpieczeństwa – PL. Każda funkcja bezpieczeństwa składa się z wejścia, układu logicznego oraz wyjścia. Wejściem w tym układzie może być dowolne urządzenie detekcji (np. kurtyna optyczna, przycisk zatrzymania awaryjnego, przycisk obsługi oburęcznej), które podłączone jest do układu logicznego (np. przekaźnika bezpieczeństwa lub sterownika PLC bezpieczeństwa), realizującego w zależności od stopnia zaawansowania sterowanie urządzeniami bezpieczeństwa, diagnostykę oraz testowanie. Układ logiczny steruje wyjściem (np. stycznikami które odłączą urządzenie od zasilania).

Do realizacji wymaganego poziomu zapewnienia bezpieczeństwa należy wybrać właściwą kategorię bezpieczeństwa. Wyróżnia się 5 kategorii, w kolejności od niższej do najwyższej: B, 1, 2, 3, 4. Wraz ze wzrostem kategorii rośnie stopień odporności układu na defekt, np. przez zastosowanie dwukanałowej struktury sterowania, sygnałów zwrotnych, redundancji w realizacji logiki, testowania itp.

Praktyczna realizacja oczekiwanego poziomu zapewnienia bezpieczeństwa nie ogranicza się tylko do wyboru architektury sterowania i jest tematem wymagającym odpowiedniej wiedzy i doświadczenia. Wymaga od projektanta systemu bezpieczeństwa skorzystania nie tylko z odpowiedniej kategorii bezpieczeństwa, ale również odniesienia do pozostałych składowych takich jak: dane o niezawodności systemu lub komponentów – MTTFd (ang. Mean Time To Failure), pokrycie diagnostyczne DCavg (ang. Diagnostic Coverage) oraz możliwości uniknięcia awarii spowodowanych przyczyną wspólną– CCF (ang. Common Cause Failure). Analizując poniższy wykres, poziom zapewnienia bezpieczeństwa PL-c możemy zrealizować w kategorii 1, 2 i 3 w zależności od osiągniętych innych parametrów układu.

Określanie spełnianego poziomu zapewniania bezpieczeństwa,
źródło: Omron, Przewodnik bezpieczeństwa maszyn 2012/2013

Ponadto cały system (funkcja bezpieczeństwa) realizuje taki poziom zapewnienia bezpieczeństwa, jaki posiada element o najniższym poziome zapewniania bezpieczeństwa. Szczególnie trudne jest to dla urządzeń elektro- mechanicznych (np. przyciski, styczniki), gdzie do wyznaczenia żywotności elementów konieczna jest wiedza o przewidywanej liczby operacji w okresie czasu. Z pomocą przychodzą dedykowane oprogramowania służące do walidacji funkcji bezpieczeństwa takie jak np. SISTEMA.

Wybór urządzenia do realizacji funkcji bezpieczeństwa

Wiele osób pracujących w branży automatyki przemysłowej kojarzy bezpieczeństwo maszynowe z konkretnymi kolorami (szczególnie kolor żółty jest często używany przez producentów do oznaczenia elementów odpowiadających za bezpieczeństwo), elementami, a nawet producentami. Niewiele osób zdaje sobie jednak sprawę, że żadna z kategorii bezpieczeństwa nie definiuje w jaki konkretnie sposób taki układ ma zostać zrealizowany. W teorii, nawet najbardziej skomplikowane funkcje bezpieczeństwa moglibyśmy zrealizować w oparciu o autorskie urządzenia.

W praktyce bardzo trudne okazuje się osiągniecie nawet stosunkowo niskiej kategorii bezpieczeństwa bez wykorzystania dedykowanych modułów sterowania logiką. Oferują one funkcje ciągłego testowania, monitorowania podłączonych sygnałów oraz posiadają certyfikowany i z góry określony przez producenta poziom zapewnienia bezpieczeństwa. Do najczęściej stosowanych możemy zaliczyć przekaźniki bezpieczeństwa, programowalne/konfigurowalne przekaźniki bezpieczeństwa oraz sterowniki PLC z obsługą funkcji bezpieczeństwa.

Wybór odpowiedniego rozwiązania w dużej mierze zależy od złożoności aplikacji. Kluczowa jest liczba połączeń logicznych elementów wejściowych i liczba funkcji bezpieczeństwa realizowanych przez układ. Przy wyborze rozwiązania należy także zwrócić uwagę na funkcje logiki jakie ma realizować układ. Dla małej liczby funkcji bezpieczeństwa najczęściej wystarczający jest przekaźnik bezpieczeństwa lub grupa kilku przekaźników bezpieczeństwa. Kiedy pojawia się konieczność wykorzystywania zaawanasowanych funkcji, takich jak np. monitorowania ruchu napędu, to zastosowanie klasycznych przekaźników bezpieczeństwa jest niewystarczające. Również ze wzrostem ilości realizowanych funkcji bezpieczeństwa dla nieprogramowalnych układów problematyczne stają się złożone zależności występujące pomiędzy elementami oraz skomplikowane okablowanie. Dodatkowo utrudniona jest diagnostyka.

Realizacja funkcji bezpieczeństwa na dedykowanych przekaźnikach bezpieczeństwa

W tym miejscu należy jednak podkreślić, że w przypadku wyboru urządzenia programowalnego odpowiedzialność za poprawnie działający system zależy również od programisty sterownika bezpieczeństwa.  W odróżnieniu od błędów w aplikacjach procesowych, błędy w programach bezpieczeństwa mogą mieć wpływ na zdrowie lub życie użytkowników maszyn. Z tego względu podczas uruchomienia maszyny warto przeznaczyć dodatkowy czas na dokładne przetestowanie i walidację funkcji bezpieczeństwa.

Programowanie funkcji bezpieczeństwa zostało jednak celowo sprowadzone do najbardziej podstawowych bloków oraz typów danych w celu ograniczania możliwości popełniania błędu. Producenci programowalnych urządzeń bezpieczeństwa stosują dedykowane biblioteki do realizacji podstawowych funkcji bezpieczeństwa, aby ograniczyć nieprzetestowane fragmenty programu do minimum.

Podsumowanie: System CMMS a bezpieczeństwo

Zagadnienia bezpieczeństwa maszynowego to bardzo obszerny temat. Praktyczna realizacja funkcji bezpieczeństwa o określonym poziomie zapewnienia bezpieczeństwa wymaga specjalistycznej wiedzy. W powyższym tekście zostało pominięte wiele bardzo istotnych zagadnień takich jak analiza ryzyka, zastosowanie środków technicznych oraz ryzyko resztkowe. W kontekście omawianego zagadnienia warto podkreślić, że dnia 20 stycznia 2027 roku wchodzi w życie rozporządzenie maszynowe UE 2023/1230, które zastąpi obowiązującą obecnie Dyrektywę Maszynową 2006/42/WE. Zmiana nastąpi bez okresu przejściowego dopuszczającego stosowanie obydwu dokumentów.

W celu zapewniania i utrzymania oczekiwanego poziomu bezpieczeństwa kluczowe jest zachowanie sprawnych i działających urządzeń automatyki. System taki jak CMMS pozwala na przeprowadzanie prewencji, zgłaszanie usterek oraz zarządzanie magazynem części. Działania te przyczyniają się do zachowania ciągłości pracy i w kontekście bezpieczeństwa maszynowego pozwalają zaplanować wymianę niesprawnych lub wypracowanych elementów systemów automatyki, których nieprawidłowe działanie może wpływać na obniżenie poziomu bezpieczeństwa.

Kamil Leś

Absolwent Akademii Górniczo-Hutniczej w Krakowie, Inżynier Automatyk z czynnie pełnionymi obowiązkami jako koordynator Działu Automatyki i Programista PLC oraz Trener Szkoleń w Centrum Szkoleń Inżynierskich EMT System.