PERFORMANCE LEVEL, PL
Wykład przygotowany przez
pracownika Instytutu Technik
Wytwarzania PW Wojciecha
Kramarka
PERFORMANCE LEVEL, PL
Wykład przygotowany przez
pracownika Instytutu Technik
Wytwarzania PW Wojciecha
Kramarka
Europejskie podejście do zagadnień
bezpieczeństwa technicznego
Zagadnienia bezpieczeństwa pracy w krajach Unii
Europejskiej rozpatrywane są w dwóch aspektach:
wytwarzania maszyn i instalacji nie stwarzających
poważnego zagrożenia oraz użytkowania maszyn w sposób
możliwie jak najbardziej bezpieczny dla ludzi i środowiska.
Taki sposób myślenia występuje w dyrektywach
obowiązujących w Unii Europejskiej w zakresie
bezpieczeństwa pracy z urządzeniami przemysłowymi.
Dyrektywy te dzielą się na dwie grupy:
a) dyrektywy nowego podejścia skierowane do
producentów maszyn i instalacji, wydawane na podstawie
art. 95 traktatu amsterdamskiego,
b) dyrektywy społeczne, (zwane socjalnymi),
skierowane do pracodawców, wydawane na podstawie art.
137 traktatu.
Zasadnicze wymagania
bezpieczeństwa
Producent maszyny lub instalacji ma obowiązek
zapewnienia, że wyrób wprowadzany na rynek Wspólnoty
Europejskiej, został zaprojektowany i wytworzony zgodnie z
postanowieniami odpowiednich dyrektyw nowego
podejścia.
Wszystkie maszyny, poszczególne ich rodzaje lub
instalacje spełniać muszą
Zasadnicze wymagania
bezpieczeństwa
, zawarte w Załącznikach do
poszczególnych dyrektyw.
Art. 217 Kodeksu Pracy stanowi, że niedopuszczalne
jest wyposażanie na obszarze Rzeczpospolitej Polskiej
stanowisk pracy w maszyny i inne urządzenia techniczne,
które nie spełniają wymagań dotyczących ich oceny
zgodności z zasadniczymi wymaganiami bezpieczeństwa.
Rozdział zadań w systemach sterujących
Systemy sterowania przeszły rozwój od urządzeń
elektromechanicznych do złożonych systemów
elektronicznych z wbudowanym oprogramowaniem
użytkownika. Wysokie wymagania dotyczące
bezpieczeństwa procesów i maszyn doprowadziły do
rozdzielenia układów sterujących na dwa systemy.
Pierwszy system odpowiedzialny jest za realizację
procesu technologicznego, natomiast drugi za
bezpieczeństwo układu.
Systemy sterowania procesem (maszyną)
Bezpieczeństwo funkcjonalne
Bezpieczeństwo funkcjonalne dotyczy zagadnień związanych
z zapobieganiem zagrożeniom występującym w maszynach
lub instalacjach. Zmniejszenie zagrożeń można uzyskać
budując układy tworzące zabezpieczenia ściśle
zdefiniowanych zagrożeń.
Bezpieczeństwo funkcjonalne dotyczy sytuacji w których
prawidłowe zadziałanie zastosowanego środka ochronnego
zależy od prawidłowego działania układu sterowania.
Układ realizujący funkcję bezpieczeństwa musi zadziałać w
ściśle określonych warunkach realnego zagrożenia i w
określonym czasie. Pewność działania układu realizującego
funkcję bezpieczeństwa decyduje o poziomie
bezpieczeństwa funkcjonalnego.
Safety Instrumented Systems SIS
Safety Instrumented Systems SIS (układy
bezpieczeństwa) mają za zadanie zabezpieczenie
personelu, wyposażenia i środowiska przez zmniejszenie
prawdopodobieństwa wypadku oraz przez zmniejszenie
możliwej skali szkód w przypadku zaistnienia sytuacji
awaryjnej.
Obowiązujące w krajach rozwiniętych normy, związane
z SIS, wymagają od zakładów produkcyjnych
udokumentowania, że używane linie produkcyjne zostały
zaprojektowane, wykonane, serwisowane oraz testowane w
sposób gwarantujący bezpieczeństwo działania.
Safety Integrated System (SIS) jako system
bezpieczeństwa
SIS odgrywa podstawową rolę w zapewnieniu bezpiecznej
warstwy ochronnej wokół procesu. System ten nazywany jest
różnie: SIS, system bezpieczeństwa, system awaryjnego
odłączania, system bezpiecznego blokowania (emergency,
SRCS — safety related control system, safety shutdown system
or safety interlock). Jest to część systemu sterowania maszyny,
której zadaniem jest zapobieganie sytuacjom zagrożenia
System bezpieczeństwa, a dokładniej System nadzorujący
bezpieczeństwo ma następujące zadania:
-nadzorować warunki pracy instalacji (procesu) a szczególnie
parametry, których przekroczenie może prowadzić do
powstania niebezpiecznej sytuacji,
-w przypadku powstania niebezpiecznej sytuacji (przekroczenie
granicznych parametrów jak temperatura, ciśnienie, poziom
czynnika, otwarcie osłon, itp.) rozpocząć działanie układu
sterującego które zniweluje powstałe zagrożenie albo
zminimalizuje skutki zagrożenia.
SIS oraz BPCS
Przykład pokazujący rozdzielenie dwóch podsystemów
sterowania: SIS (Safety Instrumented System) oraz BPCS
(Basic Process Control System)
Układ realizujący funkcję bezpieczeństwa:
zabezpieczenie przed nadmiernym
ciśnieniem
Porównanie systemów bezpieczeństwa
Systemy bezpieczeństwa maszyn są dzielone
na kategorie ( poziomy) związane z ich
przeznaczeniem oraz zdolnością zapewnienia
działania funkcji bezpieczeństwa.
Według normy EN 954-1 (obowiązującej do
końca 2011r) występuje pięć kategorii związanych
z bezpieczeństwem układów sterujących: B, 1, 2,
3, 4.
Wprowadzona niedawno norma EN ISO 13849-
1 2008 definiuje poziomy działania . Występuje
pięć poziomów działania (PL -performance level ).
Najniższy z nich, zapewniający najniższe
bezpieczeństwo układów to PLa, najwyższy to Ple.
Porównanie systemów
bezpieczeństwa
Normy IEC 61508 oraz IEC 61511 (normy dla
przemysłu chemicznego i procesowego) wymagany
stopień ograniczenia ryzyka oraz zdolność systemu
do ograniczania ryzyka definiują przez podanie
parametru SIL (Safety Integrity Level) nazywanego
poziomem nienaruszalności bezpieczeństwa.
Występują cztery poziomy SIL. Poziom
zapewniający najniższe bezpieczeństwo to poziom
SIL 1, natomiast najwyższy stopień bezpieczeństwa
gwarantują układy z poziomem SIL 4.
Wszystkie przedstawione powyżej parametry
bezpieczeństwa układów sterujących są powiązane
stawianymi wymogami
Wymagane informacje na temat
elementów bezpieczeństwa
Zgodnie z wymogami normy DIN EN ISO 13849-
1:2007 podczas projektowania elementów
bezpieczeństwa maszyny producent musi
przedstawić następujące informacje:
1. Funkcje bezpieczeństwa zapewniane przez elementy
bezpieczeństwa systemu sterowania,
2. Właściwości każdej funkcji bezpieczeństwa,
3. Początek i koniec torów elementów bezpieczeństwa,
4. Warunki otoczenia, (środowiskowe),
5. Poziom zapewnienia bezpieczeństwa (PL),
6. Wybraną kategorię,
Wymagane informacje na temat
elementów bezpieczeństwa, cd
7. Parametry związane z niezawodnością (średni czas do
wystąpienia awarii powodującej zagrożenie, pokrycie
diagnostyczne, uszkodzenie wywołane wspólną przyczyną i
okres użytkowania),
8. Środki zapobiegania usterkom systematycznym,
9. Zastosowaną technologię,
10. Wszystkie uwzględnione usterki związane z
bezpieczeństwem,
11. Przyczyny wykluczenia usterek,
12. Przyczyny zastosowania określonej konstrukcji (np.
uwzględnione usterki, wykluczone usterki,)
13. Dokumentację oprogramowania,
14. Środki zapobiegające przewidywalnym niezalecanym
zastosowaniom.
Informacje dla użytkownika
Limity elementów bezpieczeństwa w wybranych
kategoriach i dla każdego wykluczenia usterek
Limity elementów bezpieczeństwa i każde
wykluczenie usterek, jeśli przyczyniają się w
znaczącym stopniu do zachowania wybranej
kategorii i poziomu zapewnienia bezpieczeństwa;
muszą im towarzyszyć odpowiednie informacje (np.
dotyczące modyfikacji, konserwacji i napraw) w celu
zachowania uzasadnionego wykluczenia błędów
Wpływ odchyleń od określonego działania funkcji
bezpieczeństwa
Wyraźne opisy interfejsów z elementami
bezpieczeństwa i mechanizmami zabezpieczającymi
Informacje dla użytkownika, cd
• Czas reakcji
Limity robocze (w tym warunki środowiskowe)
Wyświetlacze i alarmy
Wyciszanie i tymczasowe anulowanie funkcji
bezpieczeństwa
Tryby pracy
Konserwacja
Listy kontrolne dotyczące konserwacji
Ułatwienia dostępu i wymiany części wewnętrznych
Sposoby łatwego i niezawodnego wykrywania i
usuwania usterek
Informacje dotyczące możliwych zastosowań
odpowiedniej kategorii
Monitorowanie interwałów testowych, jeśli ma
zastosowanie
Określanie wymaganego poziomu
zapewnienia bezpieczeństwa (PLr)
Poziom zapewnienia bezpieczeństwa (PL) jest
określany zgodnie z normą DIN EN ISO 13849-
1:2007.
Poziom zapewnienia bezpieczeństwa jest
definiowany zgodnie z prawdopodobieństwem
wystąpienia niebezpiecznej awarii na godzinę.
Istnieje pięć poziomów zapewnienia
bezpieczeństwa (od a do e) wraz ze
zdefiniowanymi zakresami prawdopodobieństwa
uszkodzenia niebezpiecznego.
Wymagany poziom bezpieczeństwa
Wymagany poziom zapewnienia
bezpieczeństwa jest określany na podstawie
oceny zagrożenia jako związany proporcjonalnie z
redukcją ryzyka uzyskiwaną przez części
bezpieczeństwa systemu sterowania.
Wymagany poziom zapewnienia
bezpieczeństwa (PLr) jest poziomem zapewnienia
bezpieczeństwa (PL) wymaganym do uzyskania
wymaganej redukcji ryzyka dla każdej funkcji
bezpieczeństwa.
Różnica między normą DIN EN 954-1 i
DIN EN ISO 13849-1
Norma EN 954-1:1996 została zastąpiona
normą EN ISO 13849-1:2007. Obie normy opisują
części bezpieczeństwa systemów sterowania i
zostały zharmonizowane z dyrektywą maszynową
WE. Nowa norma podlegała okresowi
przejściowemu do listopada 2009 r. Przed tą datą
jej zastosowanie było możliwe, ale
nieobowiązkowe
.
Różnica między normą DIN EN 954-1 i
DIN EN ISO 13849-1
Nowa norma wprowadza całkowitą zmianę podejścia.
Poprzedni deterministyczny punkt widzenia normy
EN 954-1 jest uzupełniony rozważaniami
probabilistycznymi. Podstawowe podejście normy EN
954-1 bazuje na rozważaniu struktur, zastosowaniu
sprawdzonych metod, takich jak funkcje
bezpieczeństwa, wykresów ryzyka i kategorii. Nowa
norma wprowadza rachunek prawdopodobieństwa
wraz z kwantyfikacją niezawodności i testowania
elementów oraz uwzględnieniem potencjalnych
uszkodzeń. Wykres ryzyka nie prowadzi już do
kategorii sterowania, jak ma to miejsce w normie EN
954-1, ale do poziomu zapewnienia bezpieczeństwa
PL.
Graf ryzyka
Opis grafu ryzyka
L — niski przyczynek do redukcji ryzyka
H — wysoki przyczynek do redukcji ryzyka
PLr — wymagany poziom zapewnienia bezpieczeństwa
Parametry ryzyka:
S — stopień obrażenia
S1 — obrażenie lekkie (zwykle odwracalne)
S2 — obrażenie poważne (zwykle nieodwracalne), w tym
śmierć
F — częstość i/lub czas trwania zagrożenia
F1 — rzadkie i nieczęste i/lub krótki czas trwania zagrożenia
F2 — częste lub stałe i/lub długi czas trwania zagrożenia
P — prawdopodobieństwo uniknięcia zagrożenia lub
ograniczenia szkód
P1 — prawdopodobne w pewnych warunkach
P2 — mało prawdopodobne
Części bezpieczeństwa związane ze
sterowaniem (SRP/CS)
Układ bezpieczeństwa (SRP/CS) to wydzielony
podukład układu sterującego, który reaguje na
sygnały wejściowe bezpieczeństwa i generuje
sygnały wyjściowe bezpieczeństwa. Norma EN ISO
13849-1:2007 „Części bezpieczeństwa systemów
sterowania, część 1: ogólne zasady
projektowania” stanowi: „Części systemu
sterowania maszyną, które zapewniają funkcje
bezpieczeństwa, są nazywane częściami
bezpieczeństwa systemów sterowania (SRP/CS).
Mogą one obejmować sprzęt i oprogramowanie,
mogą być oddzielone od systemu sterowania
maszyną, jak i stanowić jego integralną część.
Części bezpieczeństwa związane ze
sterowaniem (SRP/CS), cd
Poza zapewnianiem funkcji bezpieczeństwa
części SRP/CS obsługują także funkcje robocze
(np. sterowanie oburęczne jako środek
uruchomienia procesu). Możliwość zapewniania
funkcji bezpieczeństwa przez części
bezpieczeństwa w przewidywalnych warunkach
jest klasyfikowana na jednym z pięciu poziomów
zwanych poziomami zapewnienia bezpieczeństwa
(PL). Te poziomy zapewnienia bezpieczeństwa są
definiowane zgodnie z prawdopodobieństwem
wystąpienia niebezpiecznej awarii na godzinę”.
Zagrożenie a ryzyko
Zagrożenie jest potencjalnym źródłem szkody, gdzie
szkoda oznacza obrażenia ciała lub uszczerbek na
zdrowiu. Zagrożenie można określić zgodnie z jego
przyczyną (np. zagrożenie mechaniczne, elektryczne)
lub rodzajem szkody, jaką wywołuje (np. porażenie
elektryczne, uszkodzenia ciała, zatrucie, pożar).
Zagrożenie może występować w sposób ciągły przy
poprawnym używaniu maszyny (np. niebezpieczny
ruch części maszyny, łuk elektryczny podczas
spawania, szkodliwa postawa ciała pracownika, emisja
hałasu, wysoka temperatura) lub w sposób
niespodziewany (wybuch, zagrożenie zgnieceniem w
wyniku niechcianego uruchomienia, gwałtowne
wyrzucenie fragmentów maszyny w wyniku
rozerwania, zgniecenie w wyniku
przyspieszenia/hamowania).
Środki redukcji ryzyka
Ogólne strategie redukcji ryzyka są
przedstawione szczegółowo w normie DIN EN
ISO 12100-1.
Jeśli w maszynie występuje zagrożenie i nie
podejmie się środków bezpieczeństwa, do
uszkodzenia dojdzie prędzej czy później.
Jeśli występuje zagrożenie, należy
zastosować maksymalną dostępną redukcję
ryzyka. Bezpieczeństwo maszyny (w całym
okresie eksploatacji i we wszystkich
warunkach roboczych) jest zagadnieniem
podstawowym.
Hierarchia środków
ograniczania ryzyka
1. Eliminacja lub możliwie największe ograniczenie
ryzyka (projektowanie maszyn wewnętrznie
bezpiecznych)
2. Instalacja niezbędnych systemów i środków
ochronnych (np. osłony blokujące, kurtyny świetlne
itp.) związanych z ryzykiem, którego nie można
wyeliminować na etapie projektu.
3. Informowanie użytkowników o ryzyku resztkowym
wynikającym z wdrożenia niedostatecznych
środków ochronnych, zalecenie przeprowadzenia
szczegółowych
szkoleń oraz określenie potrzeby zastosowania
sprzętu ochrony osobistej
Projektowanie maszyn wewnętrznie
bezpiecznych
W fazie projektowania maszyny można
uniknąć wielu możliwych zagrożeń. Wystarczy
wziąć pod uwagę czynniki takie jak zastosowane
materiały, wymagania dostępu, gorące
powierzchnie, metody przeniesienia napędu,
miejsca blokad, poziomy napięcia itp.
Jeśli dostęp do strefy niebezpiecznej nie jest
wymagany, rozwiązaniem jest zamknięcie ruchu
w korpusie maszyny lub wygrodzenie jej osłoną
stałą
System związany z bezpieczeństwem może zawierać
wiele elementów, takich jak urządzenia ochronne,
okablowanie, urządzenia odłączające zasilanie, a
czasem także elementy systemu sterowania
maszyny. Wszystkie elementy systemu (wraz z
osłonami, mocowaniami, okablowaniem itd.) powinny
mieć odpowiednie charakterystyki działania
odpowiednie do projektu i technologii.
Normy IEC/EN 62061 i EN ISO 13849-1 klasyfikują
poziomy hierarchiczne działania części związanych z
bezpieczeństwem układów sterowania i zawierają w
załącznikach metody oceny ryzyka, które umożliwiają
określenie wymogów integralności układu
ochronnego.
SIF: Safety Instrumented Functions
Norma IEC 61511 definiuje SIF jako funkcję
bezpieczeństwa z określonym poziomem
niezawodności bezpieczeństwa (SIL), który jest
niezbędny do osiągnięcia założonego
bezpieczeństwa funkcjonalnego.
SIF może być funkcją bezpieczeństwa
realizowaną przyrządowo (zabezpieczenie przed
nadmiernym ciśnieniem przez zawór ciśnieniowy)
lub funkcją realizowaną układowo (czujniki, układ
logiczny, układ wykonawczy).
Relacje pomiędzy SIS a SIF
Elementy składowe Systemu
bezpieczeństwa
Zasada działania SIF
Safety instrumented function wykrywa jedno z
zagrożeń i prowadzi do jego usunięcia
Współzależność pomiędzy SIS oraz SIF
Kompletny system bezpieczeństwa (SIS) składa się z
pewnej ilości przyrządowych systemów bezpieczeństwa
(SIF), których zadaniem jest zmniejszenie potencjalnego
niebezpieczeństwa mogącego wystąpić w czasie produkcji
lub jego usunięcie.
Rodzaje oraz stopień niezawodności zadziałania
elementów przeznaczonych do stworzenia przyrządowych
systemów bezpieczeństwa określa ich poziom
nienaruszalności bezpieczeństwa (SIL).
SIL określa tolerowane przez użytkownika,
dopuszczalne w systemie bezpieczeństwa
prawdopodobieństwo niezadziałania przywoływanej funkcji
bezpieczeństwa.
Określanie wymaganego poziomu PL
Określanie wymaganego poziomu
PL
Zagrożenie a ryzyko
Ryzyko to połączenie prawdopodobieństwa
poniesienia szkody ze stopniem szkody. Po
przeprowadzeniu analizy zagrożenia i wdrożeniu
odpowiednich środków redukcji ryzyka nadal
może występować ryzyko szczątkowe.
Podczas oceny ryzyka — składającej się z
analizy ryzyka i jego klasyfikacji — określa się
limity maszyny, identyfikuje zagrożenia i ocenia
ryzyko. Sprawdza się także, czy osiągnięto cele
redukcji ryzyka
.
Poziom zapewnienia bezpieczeństwa
(PL)
Ocena osiągniętego poziomu zapewnienia
bezpieczeństwa (PL) musi być przeprowadzona dla każdego
podukładu bezpieczeństwa w systemie sterowania. Należy
określić:
Strukturę systemu,
Wartość MTTF dla poszczególnych elementów (średni czas
do wystąpienia awarii powodującej zagrożenie),
Pokrycie diagnostyczne (DC),
Ocenę uszkodzenia wywołanego wspólną przyczyną (CCF),
Działanie funkcji bezpieczeństwa w warunkach awarii,
Oprogramowanie związane z bezpieczeństwem,
Awarie systematyczne,
Możliwość uruchomienia funkcji bezpieczeństwa w
nieprzewidywalnych warunkach otoczenia.
Architektura systemów :kategoria B
oraz 1
Jest to konfiguracja jednokanałowa. Wystąpienie
pojedyńczego błędu prowadzi do utraty funkcji bezpieczeństwa.
Kategoria 1 w porównaniu do kategorii B charakteryzuje się
większą niezawodnością zastosowanych elementów (ich
przewymiarowaniem)
Architektura kategorii 2
Układ jednokanałowy. W kategorii 2 występuje cykliczne
sprawdzanie poprawności działania systemów bezpieczeństwa.
Do utraty funkcji bezpieczeństwa prowadzi wystąpienie
pojedyńczego defektu. Po wykryciu defektu w czasie testowania
powinno być wydane polecenie doprowadzające maszynę do stanu
bezpiecznego.
Kategoria 2
Aby system był zgodny z kategorią 2, oprócz spełnienia
wymagań kategorii B i wykorzystywania wypróbowanych
zasad bezpieczeństwa, musi również realizować funkcje
testujące. Testy muszą być opracowane do wykrywania
defektów w elementach systemu sterowania związanych z
bezpieczeństwem. Jeśli nie zostaną wykryte żadne defekty,
maszyna może dalej działać. Po wykryciu defektów, test musi
zainicjować odpowiednie polecenie. Gdy jest to możliwe,
polecenie powinno doprowadzić maszynę do stanu
bezpiecznego.
Test powinien zapewniać rozsądne praktycznie wykrywanie
błędów. Sprzęt testujący może być zintegrowany z systemem
bezpieczeństwa lub funkcjonować jako niezależne urządzenie.
Testowanie należy wykonywać:
-po pierwszym załączeniu zasilania maszyny,
-przed zainicjowaniem zagrożenia,
-okresowo, jeśli wymaga tego ocena ryzyka.
Architektura kategorii 3 oraz 4
W architekturze 3 występuje redundancja elementów
bezpieczeństwa
W architekturze 4 poza redundancją występuje
samonadzór elementów bezpieczeństwa. W układach
kategorii 3 wystąpienie jednego defektu nie prowadzi do
utraty funkcji bezpieczeństwa
Redundancja
Redundancja(łac. redundantia – powódź, nadmiar,
zbytek), inaczej nadmiarowość w stosunku do tego, co
konieczne lub zwykłe.
Określenie może odnosić się zarówno do nadmiaru
zbędnego lub szkodliwego, niecelowo zużywającego zasoby,
jak i do pożądanego zabezpieczenia na wypadek
uszkodzenia części systemu.
Redundancją w systemach sterowania jest powielanie
(zdublowanie) krytycznych elementów układu z zamiarem
zwiększenia niezawodności systemu. Redundancję stosuje
się wszędzie tam gdzie wymagana jest bezawaryjna praca
systemu lub urządzeń oraz ludzi. Sprawdza się znakomicie
w przypadku ochrony życia (samoloty, statki, energetyka
jądrowa) oraz w przypadku ochrony ważnych danych. W
systemach, w których w przypadku awarii zagrożone jest
życie ludzi, spotykamy się z redundancją wielokrotną
(najczęściej potrójną).
Kategorie bezpieczeństwa-
podsumowanie
Pokrycie diagnostyczne (DC)
Pokrycie diagnostyczne (DC) określa
skuteczność uzyskiwanej diagnostyki jako iloraz
częstości wykrytych uszkodzeń niebezpiecznych
do częstości wszystkich uszkodzeń
niebezpiecznych. Do analizy pokrycia
diagnostycznego (DC) w większości przypadków
można wykorzystać analizę przyczyn i skutków
uszkodzeń (FMEA). Klasyfikacja według zakresu:
pokrycie diagnostyczne minimalne < 60%, niskie
60% ≤ DC < 90%, średnie 90% ≤ DC < 99%,
wysokie 99% ≤ DC.
Uszkodzenia wywołane wspólną
przyczyną (CCF)
Jako uszkodzenia wywołane wspólną przyczyną (CCF) określa
się uszkodzenia elementów w wyniku indywidualnego
zdarzenia, gdy nie są to uszkodzenia wzajemne.
Uszkodzenia wywołane wspólną przyczyną nie powinny być
mylone z innymi podobnymi uszkodzeniami.
Szacowanie uszkodzeń wywołanych wspólną przyczyną jest
procesem ilościowym, który powinien odnosić się do całego
systemu i uwzględniać wszystkie elementy systemu
sterowania związane z bezpieczeństwem.
W tym celu podawane są miary wraz z przypisanymi
wartościami, bazujące na miarach technicznych, które
reprezentują przyczynek każdej z nich w celu zredukowania
uszkodzeń wywołanych wspólną przyczyną.
Procedura przypisywania punktów i środków określania
ilościowego dla uszkodzeń wywołanych wspólną przyczyną
powinna opierać się na wytycznych normy DIN EN ISO
13849-1, dodatek F.
Określanie PL (poziomu działania)
Porównanie PL oraz SIL
Weryfikacja
Po wybraniu środków ochronnych, przed ich wdrożeniem,
należy powtórzyć etap szacowania ryzyka.. Zdarza się, że
zainstalowanie środka ochronnego wywoła u operatora
maszyny poczucie całkowitego i kompletnego bezpieczeństwa
w stosunku do pierwotnie przewidzianego zagrożenia.
Ponieważ jednak nie ma on już takiego poczucia zagrożenia,
jak na początku, może postępować z maszyną w inny sposób.
Może on znacznie częściej narażać się na zagrożenia, np. może
wchodzić do dalszych stref maszyny niż zazwyczaj. Oznacza to,
że w przypadku defektu środków ochronnych osoby te będą
narażone na większe ryzyko niż określone początkowo. Jest to
ryzyko rzeczywiste i należy je oszacować.
Ocena ryzyka to proces, który musi być powtarzany z
uwzględnieniem wszystkich możliwych do przewidzenia zmian
sposobu obsługi maszyny. Wynik omawianego etapu jest
używany do sprawdzenia, czy proponowane środki ochronne są
faktycznie odpowiednie.
Weryfikacja
Plan weryfikacji musi określać środki do
zweryfikowania zdefiniowanych funkcji i
kategorii bezpieczeństwa. Tam, gdzie to
wymagane, musi on określać następujące
aspekty:
-dokumenty specyfikacji
-warunki robocze i otoczenia
-podstawowe zasady bezpieczeństwa
-ustalone zasady bezpieczeństwa
-ustalone elementy
-założenia błędów i wykluczenia błędów do
uwzględnienia
-analizy i testy, które zostały zastosowane
Walidacja
Testowanie poprawności pracy systemów
związanych z bezpieczeństwem określa się
mianem walidacji systemów bezpieczeństwa.
Walidacja powinna sprawdzić czy system jest
odpowiedni do przewidzianego zastosowania
to znaczy czy będzie niezawodnie pracować w
przewidywanych warunkach środowiskowych.
Walidacja powinna przebiegać według planu
opracowanego w fazie planowania i powinna
zawierać analizę dokumentacji oraz próby
laboratoryjne i/lub obiektowe.
Zakresy prób walidacyjnych
• Próby powinny obejmować:
• – próby funkcjonalne
• – próby współpracy z innymi urządzeniami i
systemami, z którymi walidowany system ma
współpracować,
• – próby odpornościowe: klimatyczne,
mechaniczne, termiczne i kompatybilności
elektromagnetycznej.
Rozwój norm związanych z funkcjami
bezpieczeństwa
Od pewnego czasu powołano wspólne zespoły grup
normalizacyjnych IEC oraz ISO. Pierwszym wynikiem pracy
tych zespołów jest dokument opublikowany przez IEC jako
IEC 62061-1, oraz przez ISO jako ISO 23849-1. Dokument
został zatytułowany
“Guidance on the application of ISO 13849-1 and IEC
62061 in the design of safety-related control systems for
machinery”. (Przewodnik dotyczący stosowania ISO 13849-
1 oraz IEC 62061 przy projektowaniu systemów
bezpieczeństwa dla maszyn). Celem dalszych prac ma być
opracowanie jednolitej normy dotyczącej maszyn jak i
systemów procesowych.
Obecna filozofia bezpieczeństwa:
aktywne i pasywne systemy
bezpieczeństwa
Różnice w konstrukcji systemów bezpieczeństwa to tylko z
pozoru szczegół. Pomiędzy aktywnymi (w starszych
konstrukcjach) a pasywnymi (w nowszych) jest przepaść. To
zupełnie nowa filozofia działania. Siła grawitacji, konwekcja
czy zmiana właściwości niektórych materiałów wraz z
temperaturą, to tylko niektóre zjawiska na których opiera się
bezpieczeństwo dzisiaj dostępnych systemów i instalacji. To
zjawiska fizyczne. Nie mogą się zablokować, nie mogą się
zepsuć. Są niezawodne.
Zastosowanie systemów pasywnych oznacza równocześnie
uproszczenie konstrukcji. Jako przykład można podać
zabezpieczenia reaktorów jądrowych. Niezwykle
wyśrubowane normy bezpieczeństwa są spełnione w
reaktorach z zabezpieczeniami aktywnymi, bo konstruuje się
wiele systemów awaryjnych. W reaktorze PBR (Pebble Bed
Reaktor - reaktor ze złożem usypanym) jest ponad 20
obwodów bezpieczeństwa. W reaktorach starszego typu jest
ich 10 razy więcej.
Aktywne systemy bezpieczeństwa
W aktywnych systemach bezpieczeństwa
występują odpowiednie czujniki informujące o
stanach procesu lub maszyny, układy logiczne
analizujące zaistniałą sytuację i podejmujące
odpowiednie decyzje oraz zespoły wykonawcze
realizujące wytworzone decyzje. Każdy z
elementów tego łańcucha może zawieść, dlatego
też trzeba tworzyć układy odporne na zaistniałe
uszkodzenia zespołów.
Aktywny podsystem bezpieczeństwa
-SIF
Pasywne metody zwiększania
bezpieczeństwa
Metody pasywne zwiększania bezpieczeństwa
polegają na zastosowaniu takich rozwiązań, które
w sytuacjach niebezpiecznych nie wymagają
działania układów elektrycznych czy
elektronicznych, nie wymagają działania układów
logicznych analizujących powstałe zagrożenie ani
nie wymagają źródeł zasilania. W układach
biernego bezpieczeństwa w przypadkach
zagrożenia następują jednak pewne działania
elementów układu bezpieczeństwa jak: zmiana
otwarć szczelin dławiących lub zalanie układu,
wprowadzenie prętów, itp..
Pasywne systemy bezpieczeństwa
Zastosowanie systemów pasywnych oznacza
równocześnie uproszczenie konstrukcji. Jako
przykład można podać zabezpieczenia reaktorów
jądrowych. Niezwykle wyśrubowane normy
bezpieczeństwa są spełnione w reaktorach z
zabezpieczeniami aktywnymi, bo konstruuje się
wiele systemów awaryjnych. W reaktorze PBR
(Pebble Bed Reaktor - reaktor ze złożem
usypanym) jest ponad 20 obwodów
bezpieczeństwa. W reaktorach starszego typu jest
ich 10 razy więcej.
Dobre źródła informacji
Dużo istotnych informacji dotyczących zagadnień bezpieczeństwa
maszyn i systemów znaleźć można w publikacjach firmy Luc - CE
Consulting (
), w Centrum Kompetencji Forum (
) i w innych firmach.
W zakresie informacji dotyczących zagadnień bezpieczeństwa
obowiązujących producentów maszyn polecany jest bezpośredni
kontakt z dostawcami komponentów bezpieczeństwa – np. firmami
Pilz Polska, Sick, Schmersal-Polska, Siemens czy Honeywell.
W szczególności cenne są trzy pozycje z zakresu bezpieczeństwa:
-obszerny, 140-stronicowy poradnik dotyczący PN-EN ISO 13849-1,
który publikuje firma Schmersal (
),
-prawie 200-stronicowy poradnik o przepisach firmy Pilz – dokument
o nazwie „The new safety compendium” obejrzeć można na stronie
-120-stronicowy przewodnik w języku polskim „Bezpieczna
maszyna w sześciu krokach” udostępniony przez firmę Sick na
stronie