PERFORMANCE LEVEL, PL

Wykład przygotowany przez

pracownika Instytutu Technik

Wytwarzania PW Wojciecha

Kramarka

Europejskie podejście do zagadnień

bezpieczeństwa technicznego

Zagadnienia bezpieczeństwa pracy w krajach Unii

Europejskiej rozpatrywane są w dwóch aspektach:

wytwarzania maszyn i instalacji nie stwarzających

poważnego zagrożenia oraz użytkowania maszyn w sposób

możliwie jak najbardziej bezpieczny dla ludzi i środowiska.

Taki sposób myślenia występuje w dyrektywach

obowiązujących w Unii Europejskiej w zakresie

bezpieczeństwa pracy z urządzeniami przemysłowymi.

Dyrektywy te dzielą się na dwie grupy:

a) dyrektywy nowego podejścia skierowane do

producentów maszyn i instalacji, wydawane na podstawie

art. 95 traktatu amsterdamskiego,

b) dyrektywy społeczne, (zwane socjalnymi),

skierowane do pracodawców, wydawane na podstawie art.

137 traktatu.

Zasadnicze wymagania

bezpieczeństwa

Producent maszyny lub instalacji ma obowiązek

zapewnienia, że wyrób wprowadzany na rynek Wspólnoty

Europejskiej, został zaprojektowany i wytworzony zgodnie z

postanowieniami odpowiednich dyrektyw nowego

podejścia.

Wszystkie maszyny, poszczególne ich rodzaje lub

instalacje spełniać muszą

Zasadnicze wymagania

bezpieczeństwa

, zawarte w Załącznikach do

poszczególnych dyrektyw.

Art. 217 Kodeksu Pracy stanowi, że niedopuszczalne

jest wyposażanie na obszarze Rzeczpospolitej Polskiej

stanowisk pracy w maszyny i inne urządzenia techniczne,

które nie spełniają wymagań dotyczących ich oceny

zgodności z zasadniczymi wymaganiami bezpieczeństwa.

Rozdział zadań w systemach sterujących

Systemy sterowania przeszły rozwój od urządzeń

elektromechanicznych do złożonych systemów
elektronicznych z wbudowanym oprogramowaniem
użytkownika. Wysokie wymagania dotyczące
bezpieczeństwa procesów i maszyn doprowadziły do
rozdzielenia układów sterujących na dwa systemy.

Pierwszy system odpowiedzialny jest za realizację

procesu technologicznego, natomiast drugi za
bezpieczeństwo układu.

Systemy sterowania procesem (maszyną)

Bezpieczeństwo funkcjonalne

Bezpieczeństwo funkcjonalne dotyczy zagadnień związanych
z zapobieganiem zagrożeniom występującym w maszynach
lub instalacjach. Zmniejszenie zagrożeń można uzyskać
budując układy tworzące zabezpieczenia ściśle
zdefiniowanych zagrożeń.
Bezpieczeństwo funkcjonalne dotyczy sytuacji w których
prawidłowe zadziałanie zastosowanego środka ochronnego
zależy od prawidłowego działania układu sterowania.

Układ realizujący funkcję bezpieczeństwa musi zadziałać w
ściśle określonych warunkach realnego zagrożenia i w
określonym czasie. Pewność działania układu realizującego
funkcję bezpieczeństwa decyduje o poziomie
bezpieczeństwa funkcjonalnego.

Safety Instrumented Systems SIS

Safety Instrumented Systems SIS (układy

bezpieczeństwa) mają za zadanie zabezpieczenie
personelu, wyposażenia i środowiska przez zmniejszenie
prawdopodobieństwa wypadku oraz przez zmniejszenie
możliwej skali szkód w przypadku zaistnienia sytuacji
awaryjnej.

Obowiązujące w krajach rozwiniętych normy, związane

z SIS, wymagają od zakładów produkcyjnych
udokumentowania, że używane linie produkcyjne zostały
zaprojektowane, wykonane, serwisowane oraz testowane w
sposób gwarantujący bezpieczeństwo działania.

Safety Integrated System (SIS) jako system

bezpieczeństwa

SIS odgrywa podstawową rolę w zapewnieniu bezpiecznej

warstwy ochronnej wokół procesu. System ten nazywany jest

różnie: SIS, system bezpieczeństwa, system awaryjnego

odłączania, system bezpiecznego blokowania (emergency,

SRCS — safety related control system, safety shutdown system

or safety interlock). Jest to część systemu sterowania maszyny,

której zadaniem jest zapobieganie sytuacjom zagrożenia
System bezpieczeństwa, a dokładniej System nadzorujący

bezpieczeństwo ma następujące zadania:
-nadzorować warunki pracy instalacji (procesu) a szczególnie

parametry, których przekroczenie może prowadzić do

powstania niebezpiecznej sytuacji,
-w przypadku powstania niebezpiecznej sytuacji (przekroczenie

granicznych parametrów jak temperatura, ciśnienie, poziom

czynnika, otwarcie osłon, itp.) rozpocząć działanie układu

sterującego które zniweluje powstałe zagrożenie albo

zminimalizuje skutki zagrożenia.

SIS oraz BPCS

Przykład pokazujący rozdzielenie dwóch podsystemów

sterowania: SIS (Safety Instrumented System) oraz BPCS
(Basic Process Control System)

Układ realizujący funkcję bezpieczeństwa:

zabezpieczenie przed nadmiernym

ciśnieniem

Porównanie systemów bezpieczeństwa

Systemy bezpieczeństwa maszyn są dzielone

na kategorie ( poziomy) związane z ich

przeznaczeniem oraz zdolnością zapewnienia

działania funkcji bezpieczeństwa.

Według normy EN 954-1 (obowiązującej do

końca 2011r) występuje pięć kategorii związanych

z bezpieczeństwem układów sterujących: B, 1, 2,

3, 4.

Wprowadzona niedawno norma EN ISO 13849-

1 2008 definiuje poziomy działania . Występuje

pięć poziomów działania (PL -performance level ).

Najniższy z nich, zapewniający najniższe

bezpieczeństwo układów to PLa, najwyższy to Ple.

Porównanie systemów

bezpieczeństwa

Normy IEC 61508 oraz IEC 61511 (normy dla

przemysłu chemicznego i procesowego) wymagany

stopień ograniczenia ryzyka oraz zdolność systemu

do ograniczania ryzyka definiują przez podanie

parametru SIL (Safety Integrity Level) nazywanego

poziomem nienaruszalności bezpieczeństwa.

Występują cztery poziomy SIL. Poziom

zapewniający najniższe bezpieczeństwo to poziom

SIL 1, natomiast najwyższy stopień bezpieczeństwa

gwarantują układy z poziomem SIL 4.
Wszystkie przedstawione powyżej parametry

bezpieczeństwa układów sterujących są powiązane

stawianymi wymogami

Wymagane informacje na temat

elementów bezpieczeństwa

Zgodnie z wymogami normy DIN EN ISO 13849-

1:2007 podczas projektowania elementów

bezpieczeństwa maszyny producent musi

przedstawić następujące informacje:

1. Funkcje bezpieczeństwa zapewniane przez elementy

bezpieczeństwa systemu sterowania,

2. Właściwości każdej funkcji bezpieczeństwa,
3. Początek i koniec torów elementów bezpieczeństwa,
4. Warunki otoczenia, (środowiskowe),
5. Poziom zapewnienia bezpieczeństwa (PL),
6. Wybraną kategorię,

Wymagane informacje na temat

elementów bezpieczeństwa, cd

7. Parametry związane z niezawodnością (średni czas do

wystąpienia awarii powodującej zagrożenie, pokrycie

diagnostyczne, uszkodzenie wywołane wspólną przyczyną i

okres użytkowania),

8. Środki zapobiegania usterkom systematycznym,
9. Zastosowaną technologię,
10. Wszystkie uwzględnione usterki związane z

bezpieczeństwem,

11. Przyczyny wykluczenia usterek,
12. Przyczyny zastosowania określonej konstrukcji (np.

uwzględnione usterki, wykluczone usterki,)

13. Dokumentację oprogramowania,
14. Środki zapobiegające przewidywalnym niezalecanym

zastosowaniom.

Informacje dla użytkownika

Limity elementów bezpieczeństwa w wybranych

kategoriach i dla każdego wykluczenia usterek

Limity elementów bezpieczeństwa i każde

wykluczenie usterek, jeśli przyczyniają się w

znaczącym stopniu do zachowania wybranej

kategorii i poziomu zapewnienia bezpieczeństwa;

muszą im towarzyszyć odpowiednie informacje (np.

dotyczące modyfikacji, konserwacji i napraw) w celu

zachowania uzasadnionego wykluczenia błędów

Wpływ odchyleń od określonego działania funkcji

bezpieczeństwa

Wyraźne opisy interfejsów z elementami

bezpieczeństwa i mechanizmami zabezpieczającymi

Informacje dla użytkownika, cd

• Czas reakcji

Limity robocze (w tym warunki środowiskowe)

Wyświetlacze i alarmy

Wyciszanie i tymczasowe anulowanie funkcji

bezpieczeństwa

Tryby pracy

Konserwacja

Listy kontrolne dotyczące konserwacji

Ułatwienia dostępu i wymiany części wewnętrznych

Sposoby łatwego i niezawodnego wykrywania i

usuwania usterek

Informacje dotyczące możliwych zastosowań

odpowiedniej kategorii

Monitorowanie interwałów testowych, jeśli ma

zastosowanie

Określanie wymaganego poziomu

zapewnienia bezpieczeństwa (PLr)

Poziom zapewnienia bezpieczeństwa (PL) jest

określany zgodnie z normą DIN EN ISO 13849-

1:2007.

Poziom zapewnienia bezpieczeństwa jest

definiowany zgodnie z prawdopodobieństwem

wystąpienia niebezpiecznej awarii na godzinę.

Istnieje pięć poziomów zapewnienia

bezpieczeństwa (od a do e) wraz ze

zdefiniowanymi zakresami prawdopodobieństwa

uszkodzenia niebezpiecznego.  

Wymagany poziom bezpieczeństwa

Wymagany poziom zapewnienia

bezpieczeństwa jest określany na podstawie
oceny zagrożenia jako związany proporcjonalnie z
redukcją ryzyka uzyskiwaną przez części
bezpieczeństwa systemu sterowania.

Wymagany poziom zapewnienia

bezpieczeństwa (PLr) jest poziomem zapewnienia
bezpieczeństwa (PL) wymaganym do uzyskania
wymaganej redukcji ryzyka dla każdej funkcji
bezpieczeństwa.

Różnica między normą DIN EN 954-1 i

DIN EN ISO 13849-1

Norma EN 954-1:1996 została zastąpiona

normą EN ISO 13849-1:2007. Obie normy opisują
części bezpieczeństwa systemów sterowania i
zostały zharmonizowane z dyrektywą maszynową
WE. Nowa norma podlegała okresowi
przejściowemu do listopada 2009 r. Przed tą datą
jej zastosowanie było możliwe, ale
nieobowiązkowe

.

Różnica między normą DIN EN 954-1 i

DIN EN ISO 13849-1

Nowa norma wprowadza całkowitą zmianę podejścia.

Poprzedni deterministyczny punkt widzenia normy

EN 954-1 jest uzupełniony rozważaniami

probabilistycznymi. Podstawowe podejście normy EN

954-1 bazuje na rozważaniu struktur, zastosowaniu

sprawdzonych metod, takich jak funkcje

bezpieczeństwa, wykresów ryzyka i kategorii. Nowa

norma wprowadza rachunek prawdopodobieństwa

wraz z kwantyfikacją niezawodności i testowania

elementów oraz uwzględnieniem potencjalnych

uszkodzeń. Wykres ryzyka nie prowadzi już do

kategorii sterowania, jak ma to miejsce w normie EN

954-1, ale do poziomu zapewnienia bezpieczeństwa

PL.

Graf ryzyka

Opis grafu ryzyka

L — niski przyczynek do redukcji ryzyka

H — wysoki przyczynek do redukcji ryzyka

PLr — wymagany poziom zapewnienia bezpieczeństwa

Parametry ryzyka:

S — stopień obrażenia

S1 — obrażenie lekkie (zwykle odwracalne)

S2 — obrażenie poważne (zwykle nieodwracalne), w tym

śmierć

F — częstość i/lub czas trwania zagrożenia

F1 — rzadkie i nieczęste i/lub krótki czas trwania zagrożenia

F2 — częste lub stałe i/lub długi czas trwania zagrożenia

P — prawdopodobieństwo uniknięcia zagrożenia lub

ograniczenia szkód

P1 — prawdopodobne w pewnych warunkach

P2 — mało prawdopodobne

Części bezpieczeństwa związane ze

sterowaniem (SRP/CS)

Układ bezpieczeństwa (SRP/CS) to wydzielony

podukład układu sterującego, który reaguje na

sygnały wejściowe bezpieczeństwa i generuje

sygnały wyjściowe bezpieczeństwa. Norma EN ISO

13849-1:2007 „Części bezpieczeństwa systemów

sterowania, część 1: ogólne zasady

projektowania” stanowi: „Części systemu

sterowania maszyną, które zapewniają funkcje

bezpieczeństwa, są nazywane częściami

bezpieczeństwa systemów sterowania (SRP/CS).

Mogą one obejmować sprzęt i oprogramowanie,

mogą być oddzielone od systemu sterowania

maszyną, jak i stanowić jego integralną część.

Części bezpieczeństwa związane ze

sterowaniem (SRP/CS), cd

Poza zapewnianiem funkcji bezpieczeństwa

części SRP/CS obsługują także funkcje robocze
(np. sterowanie oburęczne jako środek
uruchomienia procesu). Możliwość zapewniania
funkcji bezpieczeństwa przez części
bezpieczeństwa w przewidywalnych warunkach
jest klasyfikowana na jednym z pięciu poziomów
zwanych poziomami zapewnienia bezpieczeństwa
(PL). Te poziomy zapewnienia bezpieczeństwa są
definiowane zgodnie z prawdopodobieństwem
wystąpienia niebezpiecznej awarii na godzinę”.

Zagrożenie a ryzyko

Zagrożenie jest potencjalnym źródłem szkody, gdzie

szkoda oznacza obrażenia ciała lub uszczerbek na

zdrowiu. Zagrożenie można określić zgodnie z jego

przyczyną (np. zagrożenie mechaniczne, elektryczne)

lub rodzajem szkody, jaką wywołuje (np. porażenie

elektryczne, uszkodzenia ciała, zatrucie, pożar).

Zagrożenie może występować w sposób ciągły przy

poprawnym używaniu maszyny (np. niebezpieczny

ruch części maszyny, łuk elektryczny podczas

spawania, szkodliwa postawa ciała pracownika, emisja

hałasu, wysoka temperatura) lub w sposób

niespodziewany (wybuch, zagrożenie zgnieceniem w

wyniku niechcianego uruchomienia, gwałtowne

wyrzucenie fragmentów maszyny w wyniku

rozerwania, zgniecenie w wyniku

przyspieszenia/hamowania).

Środki redukcji ryzyka

Ogólne strategie redukcji ryzyka są

przedstawione szczegółowo w normie DIN EN

ISO 12100-1.

Jeśli w maszynie występuje zagrożenie i nie

podejmie się środków bezpieczeństwa, do

uszkodzenia dojdzie prędzej czy później.

Jeśli występuje zagrożenie, należy

zastosować maksymalną dostępną redukcję

ryzyka. Bezpieczeństwo maszyny (w całym

okresie eksploatacji i we wszystkich

warunkach roboczych) jest zagadnieniem

podstawowym.

Hierarchia środków

ograniczania ryzyka

1. Eliminacja lub możliwie największe ograniczenie

ryzyka (projektowanie maszyn wewnętrznie

bezpiecznych)

2. Instalacja niezbędnych systemów i środków

ochronnych (np. osłony blokujące, kurtyny świetlne

itp.) związanych z ryzykiem, którego nie można

wyeliminować na etapie projektu.

3. Informowanie użytkowników o ryzyku resztkowym

wynikającym z wdrożenia niedostatecznych

środków ochronnych, zalecenie przeprowadzenia

szczegółowych
szkoleń oraz określenie potrzeby zastosowania

sprzętu ochrony osobistej

Projektowanie maszyn wewnętrznie

bezpiecznych

W fazie projektowania maszyny można

uniknąć wielu możliwych zagrożeń. Wystarczy
wziąć pod uwagę czynniki takie jak zastosowane
materiały, wymagania dostępu, gorące
powierzchnie, metody przeniesienia napędu,
miejsca blokad, poziomy napięcia itp.

Jeśli dostęp do strefy niebezpiecznej nie jest

wymagany, rozwiązaniem jest zamknięcie ruchu
w korpusie maszyny lub wygrodzenie jej osłoną
stałą

System związany z bezpieczeństwem może zawierać

wiele elementów, takich jak urządzenia ochronne,

okablowanie, urządzenia odłączające zasilanie, a

czasem także elementy systemu sterowania

maszyny. Wszystkie elementy systemu (wraz z

osłonami, mocowaniami, okablowaniem itd.) powinny

mieć odpowiednie charakterystyki działania

odpowiednie do projektu i technologii.
Normy IEC/EN 62061 i EN ISO 13849-1 klasyfikują

poziomy hierarchiczne działania części związanych z

bezpieczeństwem układów sterowania i zawierają w

załącznikach metody oceny ryzyka, które umożliwiają

określenie wymogów integralności układu

ochronnego.

SIF: Safety Instrumented Functions

Norma IEC 61511 definiuje SIF jako funkcję

bezpieczeństwa z określonym poziomem

niezawodności bezpieczeństwa (SIL), który jest

niezbędny do osiągnięcia założonego

bezpieczeństwa funkcjonalnego.

SIF może być funkcją bezpieczeństwa

realizowaną przyrządowo (zabezpieczenie przed

nadmiernym ciśnieniem przez zawór ciśnieniowy)

lub funkcją realizowaną układowo (czujniki, układ

logiczny, układ wykonawczy).

Relacje pomiędzy SIS a SIF

Elementy składowe Systemu

bezpieczeństwa

Zasada działania SIF

Safety instrumented function wykrywa jedno z

zagrożeń i prowadzi do jego usunięcia

Współzależność pomiędzy SIS oraz SIF

Kompletny system bezpieczeństwa (SIS) składa się z

pewnej ilości przyrządowych systemów bezpieczeństwa
(SIF), których zadaniem jest zmniejszenie potencjalnego
niebezpieczeństwa mogącego wystąpić w czasie produkcji
lub jego usunięcie.

Rodzaje oraz stopień niezawodności zadziałania

elementów przeznaczonych do stworzenia przyrządowych
systemów bezpieczeństwa określa ich poziom
nienaruszalności bezpieczeństwa (SIL).

SIL określa tolerowane przez użytkownika,

dopuszczalne w systemie bezpieczeństwa
prawdopodobieństwo niezadziałania przywoływanej funkcji
bezpieczeństwa.

Określanie wymaganego poziomu PL

Określanie wymaganego poziomu

PL

Zagrożenie a ryzyko

Ryzyko to połączenie prawdopodobieństwa

poniesienia szkody ze stopniem szkody. Po
przeprowadzeniu analizy zagrożenia i wdrożeniu
odpowiednich środków redukcji ryzyka nadal
może występować ryzyko szczątkowe.

Podczas oceny ryzyka — składającej się z

analizy ryzyka i jego klasyfikacji — określa się
limity maszyny, identyfikuje zagrożenia i ocenia
ryzyko. Sprawdza się także, czy osiągnięto cele
redukcji ryzyka

.

Poziom zapewnienia bezpieczeństwa

(PL)

Ocena osiągniętego poziomu zapewnienia

bezpieczeństwa (PL) musi być przeprowadzona dla każdego

podukładu bezpieczeństwa w systemie sterowania. Należy

określić:

Strukturę systemu,

Wartość MTTF dla poszczególnych elementów (średni czas

do wystąpienia awarii powodującej zagrożenie),

Pokrycie diagnostyczne (DC),

Ocenę uszkodzenia wywołanego wspólną przyczyną (CCF),

Działanie funkcji bezpieczeństwa w warunkach awarii,

Oprogramowanie związane z bezpieczeństwem,

Awarie systematyczne,

Możliwość uruchomienia funkcji bezpieczeństwa w

nieprzewidywalnych warunkach otoczenia.

Architektura systemów :kategoria B

oraz 1

Jest to konfiguracja jednokanałowa. Wystąpienie

pojedyńczego błędu prowadzi do utraty funkcji bezpieczeństwa.

Kategoria 1 w porównaniu do kategorii B charakteryzuje się

większą niezawodnością zastosowanych elementów (ich
przewymiarowaniem)

Architektura kategorii 2

Układ jednokanałowy. W kategorii 2 występuje cykliczne

sprawdzanie poprawności działania systemów bezpieczeństwa.

Do utraty funkcji bezpieczeństwa prowadzi wystąpienie
pojedyńczego defektu. Po wykryciu defektu w czasie testowania
powinno być wydane polecenie doprowadzające maszynę do stanu
bezpiecznego.

Kategoria 2

Aby system był zgodny z kategorią 2, oprócz spełnienia

wymagań kategorii B i wykorzystywania wypróbowanych

zasad bezpieczeństwa, musi również realizować funkcje

testujące. Testy muszą być opracowane do wykrywania

defektów w elementach systemu sterowania związanych z

bezpieczeństwem. Jeśli nie zostaną wykryte żadne defekty,

maszyna może dalej działać. Po wykryciu defektów, test musi

zainicjować odpowiednie polecenie. Gdy jest to możliwe,

polecenie powinno doprowadzić maszynę do stanu

bezpiecznego.
Test powinien zapewniać rozsądne praktycznie wykrywanie

błędów. Sprzęt testujący może być zintegrowany z systemem

bezpieczeństwa lub funkcjonować jako niezależne urządzenie.
Testowanie należy wykonywać:
-po pierwszym załączeniu zasilania maszyny,
-przed zainicjowaniem zagrożenia,
-okresowo, jeśli wymaga tego ocena ryzyka.

Architektura kategorii 3 oraz 4

W architekturze 3 występuje redundancja elementów

bezpieczeństwa

W architekturze 4 poza redundancją występuje

samonadzór elementów bezpieczeństwa. W układach
kategorii 3 wystąpienie jednego defektu nie prowadzi do
utraty funkcji bezpieczeństwa

Redundancja

Redundancja(łac. redundantia – powódź, nadmiar,

zbytek), inaczej nadmiarowość w stosunku do tego, co

konieczne lub zwykłe.

Określenie może odnosić się zarówno do nadmiaru

zbędnego lub szkodliwego, niecelowo zużywającego zasoby,

jak i do pożądanego zabezpieczenia na wypadek

uszkodzenia części systemu.

Redundancją w systemach sterowania jest powielanie

(zdublowanie) krytycznych elementów układu z zamiarem

zwiększenia niezawodności systemu. Redundancję stosuje

się wszędzie tam gdzie wymagana jest bezawaryjna praca

systemu lub urządzeń oraz ludzi. Sprawdza się znakomicie

w przypadku ochrony życia (samoloty, statki, energetyka

jądrowa) oraz w przypadku ochrony ważnych danych. W

systemach, w których w przypadku awarii zagrożone jest

życie ludzi, spotykamy się z redundancją wielokrotną

(najczęściej potrójną).

Kategorie bezpieczeństwa-

podsumowanie

Pokrycie diagnostyczne (DC)

Pokrycie diagnostyczne (DC) określa

skuteczność uzyskiwanej diagnostyki jako iloraz
częstości wykrytych uszkodzeń niebezpiecznych
do częstości wszystkich uszkodzeń
niebezpiecznych. Do analizy pokrycia
diagnostycznego (DC) w większości przypadków
można wykorzystać analizę przyczyn i skutków
uszkodzeń (FMEA). Klasyfikacja według zakresu:
pokrycie diagnostyczne minimalne < 60%, niskie
60% ≤ DC < 90%, średnie 90% ≤ DC < 99%,
wysokie 99% ≤ DC.

Uszkodzenia wywołane wspólną

przyczyną (CCF)

Jako uszkodzenia wywołane wspólną przyczyną (CCF) określa

się uszkodzenia elementów w wyniku indywidualnego

zdarzenia, gdy nie są to uszkodzenia wzajemne.
Uszkodzenia wywołane wspólną przyczyną nie powinny być

mylone z innymi podobnymi uszkodzeniami.
Szacowanie uszkodzeń wywołanych wspólną przyczyną jest

procesem ilościowym, który powinien odnosić się do całego

systemu i uwzględniać wszystkie elementy systemu

sterowania związane z bezpieczeństwem.

W tym celu podawane są miary wraz z przypisanymi

wartościami, bazujące na miarach technicznych, które

reprezentują przyczynek każdej z nich w celu zredukowania

uszkodzeń wywołanych wspólną przyczyną.
Procedura przypisywania punktów i środków określania

ilościowego dla uszkodzeń wywołanych wspólną przyczyną

powinna opierać się na wytycznych normy DIN EN ISO

13849-1, dodatek F.

Określanie PL (poziomu działania)

Porównanie PL oraz SIL

Weryfikacja

Po wybraniu środków ochronnych, przed ich wdrożeniem,

należy powtórzyć etap szacowania ryzyka.. Zdarza się, że

zainstalowanie środka ochronnego wywoła u operatora

maszyny poczucie całkowitego i kompletnego bezpieczeństwa

w stosunku do pierwotnie przewidzianego zagrożenia.

Ponieważ jednak nie ma on już takiego poczucia zagrożenia,

jak na początku, może postępować z maszyną w inny sposób.

Może on znacznie częściej narażać się na zagrożenia, np. może

wchodzić do dalszych stref maszyny niż zazwyczaj. Oznacza to,

że w przypadku defektu środków ochronnych osoby te będą

narażone na większe ryzyko niż określone początkowo. Jest to

ryzyko rzeczywiste i należy je oszacować.
Ocena ryzyka to proces, który musi być powtarzany z

uwzględnieniem wszystkich możliwych do przewidzenia zmian

sposobu obsługi maszyny. Wynik omawianego etapu jest
używany do sprawdzenia, czy proponowane środki ochronne są

faktycznie odpowiednie.

Weryfikacja

Plan weryfikacji musi określać środki do

zweryfikowania zdefiniowanych funkcji i

kategorii bezpieczeństwa. Tam, gdzie to

wymagane, musi on określać następujące

aspekty:

-dokumenty specyfikacji

-warunki robocze i otoczenia

-podstawowe zasady bezpieczeństwa

-ustalone zasady bezpieczeństwa

-ustalone elementy

-założenia błędów i wykluczenia błędów do

uwzględnienia

-analizy i testy, które zostały zastosowane

Walidacja

Testowanie poprawności pracy systemów

związanych z bezpieczeństwem określa się

mianem walidacji systemów bezpieczeństwa.

Walidacja powinna sprawdzić czy system jest

odpowiedni do przewidzianego zastosowania

to znaczy czy będzie niezawodnie pracować w

przewidywanych warunkach środowiskowych.
Walidacja powinna przebiegać według planu

opracowanego w fazie planowania i powinna

zawierać analizę dokumentacji oraz próby

laboratoryjne i/lub obiektowe.

Zakresy prób walidacyjnych

• Próby powinny obejmować:
• – próby funkcjonalne
• – próby współpracy z innymi urządzeniami i

systemami, z którymi walidowany system ma
współpracować,

• – próby odpornościowe: klimatyczne,

mechaniczne, termiczne i kompatybilności
elektromagnetycznej.

Rozwój norm związanych z funkcjami

bezpieczeństwa

Od pewnego czasu powołano wspólne zespoły grup

normalizacyjnych IEC oraz ISO. Pierwszym wynikiem pracy
tych zespołów jest dokument opublikowany przez IEC jako
IEC 62061-1, oraz przez ISO jako ISO 23849-1. Dokument
został zatytułowany
“Guidance on the application of ISO 13849-1 and IEC
62061 in the design of safety-related control systems for
machinery”. (Przewodnik dotyczący stosowania ISO 13849-
1 oraz IEC 62061 przy projektowaniu systemów
bezpieczeństwa dla maszyn). Celem dalszych prac ma być
opracowanie jednolitej normy dotyczącej maszyn jak i
systemów procesowych.

Obecna filozofia bezpieczeństwa:

aktywne i pasywne systemy

bezpieczeństwa

Różnice w konstrukcji systemów bezpieczeństwa to tylko z

pozoru szczegół. Pomiędzy aktywnymi (w starszych

konstrukcjach) a pasywnymi (w nowszych) jest przepaść. To

zupełnie nowa filozofia działania. Siła grawitacji, konwekcja

czy zmiana właściwości niektórych materiałów wraz z

temperaturą, to tylko niektóre zjawiska na których opiera się

bezpieczeństwo dzisiaj dostępnych systemów i instalacji. To

zjawiska fizyczne. Nie mogą się zablokować, nie mogą się

zepsuć. Są niezawodne.
Zastosowanie systemów pasywnych oznacza równocześnie

uproszczenie konstrukcji. Jako przykład można podać

zabezpieczenia reaktorów jądrowych. Niezwykle

wyśrubowane normy bezpieczeństwa są spełnione w

reaktorach z zabezpieczeniami aktywnymi, bo konstruuje się

wiele systemów awaryjnych. W reaktorze PBR (Pebble Bed

Reaktor - reaktor ze złożem usypanym) jest ponad 20

obwodów bezpieczeństwa. W reaktorach starszego typu jest

ich 10 razy więcej.

Aktywne systemy bezpieczeństwa

W aktywnych systemach bezpieczeństwa

występują odpowiednie czujniki informujące o
stanach procesu lub maszyny, układy logiczne
analizujące zaistniałą sytuację i podejmujące
odpowiednie decyzje oraz zespoły wykonawcze
realizujące wytworzone decyzje. Każdy z
elementów tego łańcucha może zawieść, dlatego
też trzeba tworzyć układy odporne na zaistniałe
uszkodzenia zespołów.

Aktywny podsystem bezpieczeństwa

-SIF

Pasywne metody zwiększania

bezpieczeństwa

Metody pasywne zwiększania bezpieczeństwa

polegają na zastosowaniu takich rozwiązań, które

w sytuacjach niebezpiecznych nie wymagają

działania układów elektrycznych czy

elektronicznych, nie wymagają działania układów

logicznych analizujących powstałe zagrożenie ani

nie wymagają źródeł zasilania. W układach

biernego bezpieczeństwa w przypadkach

zagrożenia następują jednak pewne działania

elementów układu bezpieczeństwa jak: zmiana

otwarć szczelin dławiących lub zalanie układu,

wprowadzenie prętów, itp..

Pasywne systemy bezpieczeństwa

Zastosowanie systemów pasywnych oznacza

równocześnie uproszczenie konstrukcji. Jako
przykład można podać zabezpieczenia reaktorów
jądrowych. Niezwykle wyśrubowane normy
bezpieczeństwa są spełnione w reaktorach z
zabezpieczeniami aktywnymi, bo konstruuje się
wiele systemów awaryjnych. W reaktorze PBR
(Pebble Bed Reaktor - reaktor ze złożem
usypanym) jest ponad 20 obwodów
bezpieczeństwa. W reaktorach starszego typu jest
ich 10 razy więcej.

Dobre źródła informacji

Dużo istotnych informacji dotyczących zagadnień bezpieczeństwa

maszyn i systemów znaleźć można w publikacjach firmy Luc - CE

Consulting (

www.luc.pl

), w Centrum Kompetencji Forum (

www.centrumkompetencji.pl

) i w innych firmach.

W zakresie informacji dotyczących zagadnień bezpieczeństwa

obowiązujących producentów maszyn polecany jest bezpośredni

kontakt z dostawcami komponentów bezpieczeństwa – np. firmami

Pilz Polska, Sick, Schmersal-Polska, Siemens czy Honeywell.
W szczególności cenne są trzy pozycje z zakresu bezpieczeństwa:
-obszerny, 140-stronicowy poradnik dotyczący PN-EN ISO 13849-1,

który publikuje firma Schmersal (

www.schmersal.com

),

-prawie 200-stronicowy poradnik o przepisach firmy Pilz – dokument

o nazwie „The new safety compendium” obejrzeć można na stronie

www.pilz.com

-120-stronicowy przewodnik w języku polskim „Bezpieczna

maszyna w sześciu krokach” udostępniony przez firmę Sick na

stronie

www. sick.pl