Bezpieczne elektryczne układy sterujące

Bezpieczne elektryczne układy

sterujące

Wykład przygotowany przez pracownika

Instytutu Technik Wytwarzania PW

Wojciecha Kramarka

Minimalizacja ryzyka stwarzanego

przez maszyny

Koncepcja minimalizacji ryzyka wynika z samego

mechanizmu powstawania wydarzeń wypadkowych.
Zarówno całkowite wykluczenie z procesu człowieka, jak i
zbudowanie maszyn zapewniających absolutne
bezpieczeństwo, tj. nie stwarzających żadnych zagrożeń,
jest wyidealizowanym stanem, do którego należy dążyć.
Na razie jednak, należy w możliwie największym i
uzasadnionym stopniu jednocześnie ograniczać i
zagrożenia, i ekspozycję na nie, tak, aby ryzyko resztkowe
podczas pracy zostało zredukowane do poziomu ryzyka
tolerowalnego

Trzy grupy środków ograniczania

ryzyka

A -techniczne, wykorzystywane zarówno w strukturze

stanowiska pracy, jak i technologii wykonywanego procesu

wg hierarchii wynikającej z koncepcji minimalizowania

zagrożeń i ekspozycji.

B -proceduralne, związane ze stosowaniem

bezpiecznych metod obsługi maszyn, opartych na

wymaganiach zawartych w przepisach, normach i

przewodnikach oraz na wiedzy i doświadczeniu osób

kształtujących poziom bezpieczeństwa (pracodawcy,

projektanci, technolodzy, kierownictwo).

C -behawioralne, związane bezpośrednio z

najważniejszą sferą, sferą ludzkich zachowań, kształtowania

postaw, motywowania, komunikowania się, zdobywania

wiedzy i umiejętności, czyli szeroko pojętą świadomością.

Środki techniczne ograniczania ryzyka

Ograniczanie ryzyka przez:
1. Wewnętrznie bezpieczną budowę stanowisk pracy, tj. konstrukcje

samych maszyn oraz układów napędowych i sterujących, urządzeń

mechanizujących i automatyzujących, środków transportu,

wielkości i budowy materiału obrabianego, doboru parametrów

pracy itd.

Najważniejszymi elementami ochronnymi są, :

-sama konstrukcja maszyny, która musi być tak pomyślana, aby

eliminować w jak największym stopniu potencjalne źródła zagrożeń,
-osłony, które ograniczają dostęp do strefy niebezpiecznej lub

chronią przed rażeniem elementami poruszającymi się (np.

wiórami, czy rozpryskami),
-elementy chroniące przed szkodliwymi emisjami, temperaturą, itd.
2. Stosowanie technicznych środków ochronnych, tj. środków

ochrony zbiorowej jako podstawowych środków ochronnych oraz

środków ochrony indywidualnej i dodatkowych jako uzupełniających

środków ochronnych,
3. Informowanie o zagrożeniach i o rozmaitego typu ograniczeniach

(napisy, piktogramy umieszczone na maszynie).

Wymagania stawiane układom

sterującym maszyn

Zgodnie z wymaganiami Dyrektyw Europejskich

dotyczącymi maszyn nowych, wprowadzanych na rynek
Wspólnoty oraz z wymaganiami dotyczącymi maszyn
używanych pewne funkcje bezpieczeństwa układów
sterujących zastosowanych w tych maszynach muszą być

gwarantowane

Dwa układy sterowania maszyny

Każda maszyna jest wyposażona w układ sterowania

technologicznego, pozwalający na jej normalną pracę i
osiąganie wymaganych parametrów procesu
produkcyjnego. Przez normalną pracę należy rozumieć stan
bez awarii użytych elementów oraz bez potrzeby
zatrzymywania maszyny wynikającej z zagrożenia życia lub
zdrowia osób znajdujących się w otoczeniu maszyny.

Ponadto, niezależnie, od tego czy maszyna jest nowa,

czy używana, musi być wyposażona w układ sterowania
który odpowiada za spełnienie funkcji bezpieczeństwa.

Wymagania dla układu

bezpieczeństwa

Układ, który odpowiada za realizację funkcji

bezpieczeństwa, musi spełniać wiele specyficznych

warunków technicznych, gwarantujących jego skuteczne i

niezawodne działanie. Wymagania te znacząco różnią się od

typowych wymagań stawianych układowi sterowania

technologicznego, co powoduje, że obecnie typowa

maszyna jest wyposażana faktycznie w dwa niezależne

układy.

Wszystkie funkcje związane z bezpieczeństwem są

nadrzędne w stosunku do funkcji sterowania

technologicznego. Cały sprzęt wykorzystywany do budowy

układu sterowania bezpieczeństwem musi być

certyfikowany, a więc składowe układu nie mogą być

elementami przypadkowymi - jest to warunek konieczny

spełnienia wymagań bezpieczeństwa.

Struktura systemów sterowania
związanych z bezpieczeństwem

System sterowania związany z bezpieczeństwem (SRCS

— safety related control system) jest tą częścią systemu
sterowania maszyny, której zadaniem jest zapobieganie
sytuacjom zagrożenia. Może to być osobny system
dedykowany lub zintegrowany ze standardowym systemem
sterowania.

Systemy sterowania związane z bezpieczeństwem

odpowiadają za wykonywanie funkcji bezpieczeństwa. SRCS
musi działać prawidłowo we wszystkich możliwych do
przewidzenia warunkach.

Funkcja bezpieczeństwa

Funkcja bezpieczeństwa jest realizowana przez

elementy systemu sterowania związane z bezpieczeństwem

w celu zapewnienia lub utrzymania bezpiecznej kontroli nad

sprzętem w obliczu określonego zagrożenia. Niezadziałanie

funkcji bezpieczeństwa może skutkować natychmiastowym

zwiększeniem ryzyka korzystania ze sprzętu, czyli

wystąpieniem zagrożenia.

Wymagania związane z funkcją

bezpieczeństwa

W przypadku funkcji bezpieczeństwa aktywowanej przez

osłonę blokującą wymagania są trzy:

1. części ruchome nie mogą być uruchomione, dopóki osłona

nie zostanie zamknięta;

2. otwarcie osłony musi powodować natychmiastowe

zatrzymanie części ruchomych;

3. zamknięcie osłony nie może powodować ponownego

uruchomienia części ruchomych.
Do uruchomienia funkcji bezpieczeństwa mógł posłużyć sygnał z

jednego z czujników umieszczonych na maszynie informujący o

osiągnięciu pewnego stanu krytycznego, np. temperatury,

ciśnienia, itp…

Warunkiem wystarczającym jest uzyskanie za pomocą

elementów sterowania właściwych funkcji sterowania

bezpieczeństwem. Na szczególną uwagę zasługują tu:

-funkcja bezpiecznego zatrzymania,
-funkcja zapobiegania niespodziewanemu uruchomieniu.

Zagrożenia stwarzane przez maszynę

Układ sterowania bezpieczeństwem nie stanowi pełnej,

wystarczającej ochrony dla obsługi i osób postronnych,
które mogą się potencjalnie znaleźć w otoczeniu maszyny.
Układ bezpieczeństwa zabezpiecza głównie przed
zagrożeniami stwarzanymi przez pracującą maszynę a
zwłaszcza jej ruchome elementy, natomiast nie zabezpiecza
przed zagrożeniami wynikającymi z zastosowania w
maszynach pewnych mediów jak sprężone powietrze, płyn
pod ciśnieniem, cyrkulujące niebezpieczne gazy, para
wodna o wysokiej temperaturze, itp..

Kategorie bezpieczeństwa

Praktyczna realizacja układu bezpiecznego sterowania

maszyną wymaga ustalenia kategorii bezpieczeństwa, którą
dany układ musi spełniać, aby jego niezawodność była
adekwatna do stawianych wymagań. Nawet za pomocą
praktycznie tych samych elementów układu, możliwe jest
uzyskanie różnych kategorii bezpieczeństwa,

Osiąganie wymienionych wyżej kategorii

bezpieczeństwa wynika z analizy ryzyka dla danej maszyny
lub jej określonego obszaru.

Analiza ryzyka

W analizie ryzyka wychodzi się od ustalenia na jakie

rodzaje ryzyka jest narażony człowiek obsługujący
maszynę. Daje to pewną liczbę punktów startowych do
rozpatrzenia. Następnie, należy ustalić w trzech kolejnych
etapach potencjalną ciężkość urazów, częstość i czas
narażenia oraz możliwość przeciwdziałania powstawaniu
urazów. Na podstawie analizy ustala się konieczną kategorię
bezpieczeństwa, którą należy zapewnić środkami
dodatkowymi (np. układem sterowania bezpiecznym
zatrzymaniem). Można stosować środki dopuszczalne lub
nadmiarowe

Zmiana norm

Od 29 grudnia 2009 roku zaczęła obowiązywać nowa

dyrektywa maszynowa 2006/42/WE, zastępująca normę
98/37/WE. Rozszerzony został między innymi zakres
urządzeń, których dotyczy.

Zmienia się również lista norm zharmonizowanych.

Ważność straciła PN-EN 954-1, która definiowała kategorie
bezpieczeństwa. Zastępują ją dwie nowe normy EN 13849-1
(wprowadza poziom zapewnienia bezpieczeństwa - PL) oraz
EN 62061 (wprowadza poziom nienaruszalności
bezpieczeństwa – SIL).

Nowa dyrektywa została wprowadzona do polskiego

prawa na mocy rozporządzenia Ministra Gospodarki z dnia
21 października 2008 roku - Dz. U. nr 199, poz. 1228

Systemy bezpieczeństwa

Projektant systemu bezpieczeństwa stosujący standard

EN ISO 13849-1 zobowiązany jest do określenia Poziomu

Zapewnienia Bezpieczeństwa [performance level (PL)].

Aby określić (PL) oraz wyznaczyć wartość Średniego

Czasu Międzyawaryjnego MTTFd (mean time to dangerous

failure) konieczna jest znajomość wartości współczynnika

B10 elementów użytych do budowy systemów

bezpieczeństwa.

Współczynnik B10 jest wyznacznikiem niezawodności

określającym ilość cykli po której 10% użytych elementów

ulega trwałemu uszkodzeniu. Współczynnik ten powinien

być określony przez producenta elementów w nawiązaniu

do normy ISO 19973.

Poziom integralności bezpieczeństwa

Norma EN 62061 wymaga określenia SIL (Safety

Integrity Level - Poziom Integralności Bezpieczeństwa) dla
systemów bezpieczeństwa. W tym celu należy odnieść się
do PL (Performance Level) określonego w normie EN ISO
13849-1, co oznacza konieczność stosowania współczynnika
B10 przy stosowaniu standardu EN 62061.

Safety Integrity Level category (SIL)

Kategoria SIL określa prawdopodobieństwo wystąpienia

awarii w układzie sterowania realizującego funkcję

bezpieczeństwa. Kategoria jest zdefiniowana w normie IEC

62061.
Kategoria SIL

Funkcja bezpieczeństwa realizowana w

trybie ciągłym (prawdopodobieństwo

wystąpienia awarii na 1 godzinę)

≥ 10-9 do < 10-8

≥ 10-8 do < 10-7

≥ 10-7 do < 10-6

≥ 10-6 do < 10-5

Przykład: SIL 3 oznacza prawdopodobieństwo pojawienia się

nie mniej niż jednej awarii na 1000 lat.

Safety Integrity Level (SIL)

Safety instrumented systems (SIS) are used to provide safe

control functions for processes, e.g. emergency shutdown

(ESD), fire detection and blowdown functions. SIS typically

are composed of sensors, logic solvers and final control

elements. Due to the critical nature of such systems, OSHA

recognizes compliance with the standard ANSI/ISA S84.01 -

Application of SIS for the Process Industries - as a good

engineering practice for safety instrumented systems. This

is a consensus standard for the application of SIS for the

process industries, which is based on international

standards from the International Electrotechnical

Commission (IEC).

• One of the standards is IEC 61508, Functional Safety of

Electrical/Electronic/Programmable Electronic Safety-

Related Systems, Parts 1-7, 1998. It is an umbrella standard

applicable to all industries.

What is a SIL

A SIL is a statistical representation of the

reliability of the SIS when a process demand

occurs. It is used in both ANSI/ISA-S84.01 and IEC

61508 to measure the reliability of SIS. Both ISA

and IEC have agreed that there are three

categories: SILs 1, 2 and 3. IEC also includes an

additional level, SIL 4, that ISA does not. The

higher the SIL is, the more reliable or effective the

system is.

SILs are correlated to the probability of failure

of demand (PFD), which is equivalent to the

unavailability of a system at the time of a process

demand.

What is Target SIL?

ANSI/ISA S84.01 and IEC 61508 require that

companies assign a target SIL for any new

or retrofitted SIS. The assignment of the

target SIL is a decision requiring the

extension of the Process Hazards Analysis

(PHA). The assignment is based on the

amount of risk reduction that is necessary

to mitigate the risk associated with the

process to an acceptable level. All of the SIS

design, operation and maintenance choices

must then be verified against the target SIL.

SIL Methodology

The first step for assignment of Target SIL is to use your

(updated) PHA’s or conduct new PHA’s to screen for the
hazards. HAZOP is most commonly used methodology. If
the risk is unacceptable then it is reduced or eliminated
using non-SIS or SIS elements. You consider SIS only after
all the non-SIS protection layers have been considered.
HAZOP’s identify risks in terms of the likelihood and the
severity of the hazards. Target SILs are assigned to SIF’s of
the SIS identified in the PHA studies. Various methodologies
are available for assignment of target SILs.

Kategoria bezpieczeństwa B

Wymagania

Części systemu sterowania maszyny odpowiedzialne za

bezpieczeństwo i/lub jej wyposażenie zabezpieczające jak i

jego składniki muszą być zaprojektowane, wyprodukowane,

dobrane, zamontowane i połączone zgodnie z mającymi

zastosowanie normami, tak aby przeciwstawić się

oczekiwanym, mogącym zaistnieć zagrożeniom.

Zachowanie systemu: wystąpienie błędu może

doprowadzić do utraty funkcji bezpieczeństwa.

Podstawy osiągnięcia bezpieczeństwa: głównie przez

dobór odpowiednich składników.

Elementy spełniające wymagania niniejszej kategorii

powinny być budowane na bazie wypróbowanych

elementów składowych i przy wykorzystaniu sprawdzonych

zasad bezpieczeństwa.

Kategoria bezpieczeństwa B

Przez wypróbowane elementy należy rozumieć:

-powszechnie używane w przeszłości,
-wytwarzane według sprawdzonych zasad.

Przez sprawdzone zasady bezpieczeństwa należy

rozumieć:
-zapobieganie określonym defektom (np. zwarciom),
-minimalizację prawdopodobieństwa wystąpienia

określonych defektów (np. nie obciążanie obwodów w

sposób maksymalny),
-ukierunkowanie na określony rodzaj defektu (np. funkcja

otwarcia obwodu w wypadku konieczności odcięcia dostawy

energii po wykryciu defektu),
-bardzo wczesne wykrywanie defektu,
-ograniczanie skutku defektu (np. wyłączanie w wypadku

przebicia izolacji).

Kategoria bezpieczeństwa 1

Wymagania

Muszą być spełnione wymagania kategorii bezpieczeństwa
B.
Muszą być stosowane zatwierdzone podzespoły i zasady
bezpieczeństwa.

Zachowanie systemu: wystąpienie błędu może

doprowadzić do utraty funkcji bezpieczeństwa.
Prawdopodobieństwo wystąpienia błędu niższe niż dla kat.
B

Podstawy osiągnięcia bezpieczeństwa: przez dobór

odpowiednich składników oraz właściwą instalacje (zasady
bezpieczeństwa).

Dodatkowe wymagania dla elementów

układu

Aby uzyskać kategorię 1 przeprowadzono zmiany w

prostym systemie kategorii B polegające na zmianie

wyłącznika blokującego oraz wymianie stycznika na

większy. Wyłącznik blokujący i stycznik pełnią kluczową rolę

odłączaniu energii od napędu, gdy konieczny jest dostęp do

zagrożenia. Wyłącznik blokujący spełnia wymagania normy

IEC 60947-5-1 dla zestyków z bezpośrednim otwarciem, co

pokazuje symbol strzałki wewnątrz koła.

Po zastosowaniu wypróbowanych elementów

prawdopodobieństwo, że energia zostanie odłączona jest w

kategorii 1 wyższe niż w kategorii B. Stosowanie

wypróbowanych elementów ma na celu zapobieganie

utratom funkcji bezpieczeństwa. Niestety, mimo tych

ulepszeń, nadal pojedynczy defekt może prowadzić do

utraty funkcji bezpieczeństwa.

Kategoria 2

Aby system był zgodny z kategorią 2, oprócz spełnienia

wymagań kategorii B i wykorzystywania wypróbowanych

zasad bezpieczeństwa, musi również realizować funkcje

testujące. Testy muszą być opracowane do wykrywania

defektów w elementach systemu sterowania związanych z

bezpieczeństwem. Jeśli nie zostaną wykryte żadne defekty,

maszyna może dalej działać. Po wykryciu defektów, test musi

zainicjować odpowiednie polecenie. Gdy jest to możliwe,

polecenie powinno doprowadzić maszynę do stanu

bezpiecznego.
Test powinien zapewniać rozsądne praktycznie wykrywanie

błędów. Sprzęt testujący może być zintegrowany z systemem

bezpieczeństwa lub funkcjonować jako niezależne urządzenie.
Testowanie należy wykonywać:
-po pierwszym załączeniu zasilania maszyny,
-przed zainicjowaniem zagrożenia,
-okresowo, jeśli wymaga tego ocena ryzyka.

Układy do monitorowania i sterowania

sygnałów bezpieczeństwa

Sygnały z elementów związanych z bezpieczeństwem

są wprowadzane jako sygnały wejściowe do modułów

bezpieczeństwa, sterowników bezpieczeństwa lub

sterowników bezpieczeństwa PLC (grupa nosząca nazwę

układów logicznych bezpieczeństwa). Układy logiczne

wytwarzają z kolei sygnały sterujące elementami

wykonawczymi jak styczniki lub zawory. Wybór układu

logicznego jest uzależniony od wielu czynników jak ilość

sygnałów wejść i wyjść, koszty, potrzeba zminimalizowania

oprzewodowania przez wykorzystanie sieci SafeEthernet lub

konieczność przesyłania sygnałów na duże odległości.

Wspomniane uwarunkowania przyczyniły się do

intensywnego rozwoju norm związanych z

bezpieczeństwem elektrycznych i elektronicznych,

programowalnych systemów.

Zadania logicznych układów

bezpieczeństwa

Zadania logicznych układów są następujące:

-umożliwienie startu maszyny po spełnieniu warunków

bezpieczeństwa,
-bezpieczne zatrzymanie maszyny w sytuacji przywołania

funkcji bezpieczeństwa,
-uniemożliwienie samoczynnego startu maszyny,
-monitorowanie obwodów bezpieczeństwa i sygnalizacja

poprawności działania stanów maszyny.

Funkcje bezpieczeństwa realizowane były do tej pory

na jeden z dwóch sposobów:
-przez przekaźniki (moduły) bezpieczeństwa (SRM),
-przez sterowniki bezpieczeństwa (Safety PLC).

Moduły bezpieczeństwa

Układy sterujące odpowiedzialne za bezpieczeństwo

muszą działać niezawodnie zgodnie z wymogami norm

europejskich i amerykańskich. Zastosowanie układów

redundantnych nie oznacza jeszcze niezawodności

sterowania. Poza redundancją musi występować monitoring

obwodu bezpieczeństwa aby mieć pewność, ze

redundancja jest utrzymywana. Monitoring może być

zrealizowany przez zastosowanie modułów bezpieczeństwa.

Występuje wiele typów i rozwiązań modułów

bezpieczeństwa nakierowanych na konkretne zastosowania.

Kategoria 3

Oprócz konieczności spełnienia wymagań dla kategorii

B oraz stosowania wypróbowanych zasad bezpieczeństwa,

kategoria 3 wymaga udanego działania funkcji

bezpieczeństwa przy obecności pojedynczego defektu. Gdy

jest to rozsądne praktycznie, defekt powinien być wykryty

w momencie lub przed kolejnym przywołaniem funkcji

bezpieczeństwa.

Może jednak się zdarzyć, że utrata funkcji

bezpieczeństwa zostanie spowodowana przez kumulację

niewykrytych defektów.

Poniżej przedstawiono schemat blokowy wyjaśniający

zasadę systemu kategorii 3. Działanie funkcji

bezpieczeństwa jest zapewniane przez redundancję

połączoną z rozsądnym praktycznie nadzorowaniem

wzajemnym i nadzorowaniem wyjść.

System kategorii 3

Dodatkowe zestyki zostały dodane do wyłącznika

blokującego. Przekaźnik bezpieczeństwa ma wewnętrzne

zredundowane obwody, nadzorują się wzajemnie. Do

odłączania zasilania od silnika służy redundantny zestaw

styczników. Styczniki są nadzorowane „rozsądnie

praktycznie” przez MSR za pomocą zestyków połączonych.
Wykrywanie defektów musi być rozważone dla każdej części

systemu bezpieczeństwa, a także połączeń.
-Jakie są tryby defektów dwukanałowego wyłącznika

blokującego?
-Jakie są tryby defektów przekaźnika MSR? Jakie są tryby

defektów styczników K1 i K2?
-Jakie są tryby defektów okablowania?
W konstrukcji wyłącznika blokującego zastosowano zestyki z

bezpośrednim otwarciem. Dzięki temu wiadomo, że otwarcie

osłony spowoduje również otwarcie sklejonego zestyku. To

rozwiązuje jeden tryb defektu

Kategoria 4

Podobnie jak kategoria 3, również kategoria 4 wymaga,

aby system bezpieczeństwa spełniał wymagania kategorii
B, używał zasad bezpieczeństwa i wykonywał funkcję
bezpieczeństwa w obecności pojedynczego defektu. W
przeciwieństwie do kategorii 3, gdzie kumulacja defektów
może prowadzić do utraty funkcji bezpieczeństwa,
kategoria 4 wymaga wykonania funkcji bezpieczeństwa
przy kumulacji defektów.

Kumulacja defektów dotyczy najczęściej wystąpienia 2

defektów, ale w niektórych systemach należy uwzględniać
3 defekty.

Document Outline