Bezpieczne elektryczne układy
sterujące
Wykład przygotowany przez pracownika
Instytutu Technik Wytwarzania PW
Wojciecha Kramarka
Minimalizacja ryzyka stwarzanego
przez maszyny
Koncepcja minimalizacji ryzyka wynika z samego
mechanizmu powstawania wydarzeń wypadkowych.
Zarówno całkowite wykluczenie z procesu człowieka, jak i
zbudowanie maszyn zapewniających absolutne
bezpieczeństwo, tj. nie stwarzających żadnych zagrożeń,
jest wyidealizowanym stanem, do którego należy dążyć.
Na razie jednak, należy w możliwie największym i
uzasadnionym stopniu jednocześnie ograniczać i
zagrożenia, i ekspozycję na nie, tak, aby ryzyko resztkowe
podczas pracy zostało zredukowane do poziomu ryzyka
tolerowalnego
.
Trzy grupy środków ograniczania
ryzyka
A -techniczne, wykorzystywane zarówno w strukturze
stanowiska pracy, jak i technologii wykonywanego procesu
wg hierarchii wynikającej z koncepcji minimalizowania
zagrożeń i ekspozycji.
B -proceduralne, związane ze stosowaniem
bezpiecznych metod obsługi maszyn, opartych na
wymaganiach zawartych w przepisach, normach i
przewodnikach oraz na wiedzy i doświadczeniu osób
kształtujących poziom bezpieczeństwa (pracodawcy,
projektanci, technolodzy, kierownictwo).
C -behawioralne, związane bezpośrednio z
najważniejszą sferą, sferą ludzkich zachowań, kształtowania
postaw, motywowania, komunikowania się, zdobywania
wiedzy i umiejętności, czyli szeroko pojętą świadomością.
Środki techniczne ograniczania ryzyka
Ograniczanie ryzyka przez:
1. Wewnętrznie bezpieczną budowę stanowisk pracy, tj. konstrukcje
samych maszyn oraz układów napędowych i sterujących, urządzeń
mechanizujących i automatyzujących, środków transportu,
wielkości i budowy materiału obrabianego, doboru parametrów
pracy itd.
Najważniejszymi elementami ochronnymi są, :
-sama konstrukcja maszyny, która musi być tak pomyślana, aby
eliminować w jak największym stopniu potencjalne źródła zagrożeń,
-osłony, które ograniczają dostęp do strefy niebezpiecznej lub
chronią przed rażeniem elementami poruszającymi się (np.
wiórami, czy rozpryskami),
-elementy chroniące przed szkodliwymi emisjami, temperaturą, itd.
2. Stosowanie technicznych środków ochronnych, tj. środków
ochrony zbiorowej jako podstawowych środków ochronnych oraz
środków ochrony indywidualnej i dodatkowych jako uzupełniających
środków ochronnych,
3. Informowanie o zagrożeniach i o rozmaitego typu ograniczeniach
(napisy, piktogramy umieszczone na maszynie).
Podstawowe normy stosowane podczas
projektowania układów sterujących
Wymagania stawiane układom
sterującym maszyn
Zgodnie z wymaganiami Dyrektyw Europejskich
dotyczącymi maszyn nowych, wprowadzanych na rynek
Wspólnoty oraz z wymaganiami dotyczącymi maszyn
używanych pewne funkcje bezpieczeństwa układów
sterujących zastosowanych w tych maszynach muszą być
gwarantowane
.
Dwa układy sterowania maszyny
Każda maszyna jest wyposażona w układ sterowania
technologicznego, pozwalający na jej normalną pracę i
osiąganie wymaganych parametrów procesu
produkcyjnego. Przez normalną pracę należy rozumieć stan
bez awarii użytych elementów oraz bez potrzeby
zatrzymywania maszyny wynikającej z zagrożenia życia lub
zdrowia osób znajdujących się w otoczeniu maszyny.
Ponadto, niezależnie, od tego czy maszyna jest nowa,
czy używana, musi być wyposażona w układ sterowania
który odpowiada za spełnienie funkcji bezpieczeństwa.
Wymagania dla układu
bezpieczeństwa
Układ, który odpowiada za realizację funkcji
bezpieczeństwa, musi spełniać wiele specyficznych
warunków technicznych, gwarantujących jego skuteczne i
niezawodne działanie. Wymagania te znacząco różnią się od
typowych wymagań stawianych układowi sterowania
technologicznego, co powoduje, że obecnie typowa
maszyna jest wyposażana faktycznie w dwa niezależne
układy.
Wszystkie funkcje związane z bezpieczeństwem są
nadrzędne w stosunku do funkcji sterowania
technologicznego. Cały sprzęt wykorzystywany do budowy
układu sterowania bezpieczeństwem musi być
certyfikowany, a więc składowe układu nie mogą być
elementami przypadkowymi - jest to warunek konieczny
spełnienia wymagań bezpieczeństwa.
Struktura systemów sterowania
związanych z bezpieczeństwem
System sterowania związany z bezpieczeństwem (SRCS
— safety related control system) jest tą częścią systemu
sterowania maszyny, której zadaniem jest zapobieganie
sytuacjom zagrożenia. Może to być osobny system
dedykowany lub zintegrowany ze standardowym systemem
sterowania.
Systemy sterowania związane z bezpieczeństwem
odpowiadają za wykonywanie funkcji bezpieczeństwa. SRCS
musi działać prawidłowo we wszystkich możliwych do
przewidzenia warunkach.
Funkcja bezpieczeństwa
Funkcja bezpieczeństwa jest realizowana przez
elementy systemu sterowania związane z bezpieczeństwem
w celu zapewnienia lub utrzymania bezpiecznej kontroli nad
sprzętem w obliczu określonego zagrożenia. Niezadziałanie
funkcji bezpieczeństwa może skutkować natychmiastowym
zwiększeniem ryzyka korzystania ze sprzętu, czyli
wystąpieniem zagrożenia.
Wymagania związane z funkcją
bezpieczeństwa
W przypadku funkcji bezpieczeństwa aktywowanej przez
osłonę blokującą wymagania są trzy:
1. części ruchome nie mogą być uruchomione, dopóki osłona
nie zostanie zamknięta;
2. otwarcie osłony musi powodować natychmiastowe
zatrzymanie części ruchomych;
3. zamknięcie osłony nie może powodować ponownego
uruchomienia części ruchomych.
Do uruchomienia funkcji bezpieczeństwa mógł posłużyć sygnał z
jednego z czujników umieszczonych na maszynie informujący o
osiągnięciu pewnego stanu krytycznego, np. temperatury,
ciśnienia, itp…
Warunkiem wystarczającym jest uzyskanie za pomocą
elementów sterowania właściwych funkcji sterowania
bezpieczeństwem. Na szczególną uwagę zasługują tu:
-funkcja bezpiecznego zatrzymania,
-funkcja zapobiegania niespodziewanemu uruchomieniu.
Zagrożenia stwarzane przez maszynę
Układ sterowania bezpieczeństwem nie stanowi pełnej,
wystarczającej ochrony dla obsługi i osób postronnych,
które mogą się potencjalnie znaleźć w otoczeniu maszyny.
Układ bezpieczeństwa zabezpiecza głównie przed
zagrożeniami stwarzanymi przez pracującą maszynę a
zwłaszcza jej ruchome elementy, natomiast nie zabezpiecza
przed zagrożeniami wynikającymi z zastosowania w
maszynach pewnych mediów jak sprężone powietrze, płyn
pod ciśnieniem, cyrkulujące niebezpieczne gazy, para
wodna o wysokiej temperaturze, itp..
Kategorie bezpieczeństwa
Praktyczna realizacja układu bezpiecznego sterowania
maszyną wymaga ustalenia kategorii bezpieczeństwa, którą
dany układ musi spełniać, aby jego niezawodność była
adekwatna do stawianych wymagań. Nawet za pomocą
praktycznie tych samych elementów układu, możliwe jest
uzyskanie różnych kategorii bezpieczeństwa,
Osiąganie wymienionych wyżej kategorii
bezpieczeństwa wynika z analizy ryzyka dla danej maszyny
lub jej określonego obszaru.
Analiza ryzyka
W analizie ryzyka wychodzi się od ustalenia na jakie
rodzaje ryzyka jest narażony człowiek obsługujący
maszynę. Daje to pewną liczbę punktów startowych do
rozpatrzenia. Następnie, należy ustalić w trzech kolejnych
etapach potencjalną ciężkość urazów, częstość i czas
narażenia oraz możliwość przeciwdziałania powstawaniu
urazów. Na podstawie analizy ustala się konieczną kategorię
bezpieczeństwa, którą należy zapewnić środkami
dodatkowymi (np. układem sterowania bezpiecznym
zatrzymaniem). Można stosować środki dopuszczalne lub
nadmiarowe
.
Kategorie bezpieczeństwa
Zmiana norm
Od 29 grudnia 2009 roku zaczęła obowiązywać nowa
dyrektywa maszynowa 2006/42/WE, zastępująca normę
98/37/WE. Rozszerzony został między innymi zakres
urządzeń, których dotyczy.
Zmienia się również lista norm zharmonizowanych.
Ważność straciła PN-EN 954-1, która definiowała kategorie
bezpieczeństwa. Zastępują ją dwie nowe normy EN 13849-1
(wprowadza poziom zapewnienia bezpieczeństwa - PL) oraz
EN 62061 (wprowadza poziom nienaruszalności
bezpieczeństwa – SIL).
Nowa dyrektywa została wprowadzona do polskiego
prawa na mocy rozporządzenia Ministra Gospodarki z dnia
21 października 2008 roku - Dz. U. nr 199, poz. 1228
Poziom zapewnienia bezpieczeństwa oraz
kategorie bezpieczeństwa
Porównanie grafów ryzyka
Systemy bezpieczeństwa
Projektant systemu bezpieczeństwa stosujący standard
EN ISO 13849-1 zobowiązany jest do określenia Poziomu
Zapewnienia Bezpieczeństwa [performance level (PL)].
Aby określić (PL) oraz wyznaczyć wartość Średniego
Czasu Międzyawaryjnego MTTFd (mean time to dangerous
failure) konieczna jest znajomość wartości współczynnika
B10 elementów użytych do budowy systemów
bezpieczeństwa.
Współczynnik B10 jest wyznacznikiem niezawodności
określającym ilość cykli po której 10% użytych elementów
ulega trwałemu uszkodzeniu. Współczynnik ten powinien
być określony przez producenta elementów w nawiązaniu
do normy ISO 19973.
Poziom integralności bezpieczeństwa
Norma EN 62061 wymaga określenia SIL (Safety
Integrity Level - Poziom Integralności Bezpieczeństwa) dla
systemów bezpieczeństwa. W tym celu należy odnieść się
do PL (Performance Level) określonego w normie EN ISO
13849-1, co oznacza konieczność stosowania współczynnika
B10 przy stosowaniu standardu EN 62061.
Safety Integrity Level category (SIL)
Kategoria SIL określa prawdopodobieństwo wystąpienia
awarii w układzie sterowania realizującego funkcję
bezpieczeństwa. Kategoria jest zdefiniowana w normie IEC
62061.
Kategoria SIL
Funkcja bezpieczeństwa realizowana w
trybie ciągłym (prawdopodobieństwo
wystąpienia awarii na 1 godzinę)
4
≥ 10-9 do < 10-8
3
≥ 10-8 do < 10-7
2
≥ 10-7 do < 10-6
1
≥ 10-6 do < 10-5
Przykład: SIL 3 oznacza prawdopodobieństwo pojawienia się
nie mniej niż jednej awarii na 1000 lat.
Safety Integrity Level (SIL)
Safety instrumented systems (SIS) are used to provide safe
control functions for processes, e.g. emergency shutdown
(ESD), fire detection and blowdown functions. SIS typically
are composed of sensors, logic solvers and final control
elements. Due to the critical nature of such systems, OSHA
recognizes compliance with the standard ANSI/ISA S84.01 -
Application of SIS for the Process Industries - as a good
engineering practice for safety instrumented systems. This
is a consensus standard for the application of SIS for the
process industries, which is based on international
standards from the International Electrotechnical
Commission (IEC).
• One of the standards is IEC 61508, Functional Safety of
Electrical/Electronic/Programmable Electronic Safety-
Related Systems, Parts 1-7, 1998. It is an umbrella standard
applicable to all industries.
What is a SIL
A SIL is a statistical representation of the
reliability of the SIS when a process demand
occurs. It is used in both ANSI/ISA-S84.01 and IEC
61508 to measure the reliability of SIS. Both ISA
and IEC have agreed that there are three
categories: SILs 1, 2 and 3. IEC also includes an
additional level, SIL 4, that ISA does not. The
higher the SIL is, the more reliable or effective the
system is.
SILs are correlated to the probability of failure
of demand (PFD), which is equivalent to the
unavailability of a system at the time of a process
demand.
What is Target SIL?
ANSI/ISA S84.01 and IEC 61508 require that
companies assign a target SIL for any new
or retrofitted SIS. The assignment of the
target SIL is a decision requiring the
extension of the Process Hazards Analysis
(PHA). The assignment is based on the
amount of risk reduction that is necessary
to mitigate the risk associated with the
process to an acceptable level. All of the SIS
design, operation and maintenance choices
must then be verified against the target SIL.
SIL Methodology
The first step for assignment of Target SIL is to use your
(updated) PHA’s or conduct new PHA’s to screen for the
hazards. HAZOP is most commonly used methodology. If
the risk is unacceptable then it is reduced or eliminated
using non-SIS or SIS elements. You consider SIS only after
all the non-SIS protection layers have been considered.
HAZOP’s identify risks in terms of the likelihood and the
severity of the hazards. Target SILs are assigned to SIF’s of
the SIS identified in the PHA studies. Various methodologies
are available for assignment of target SILs.
• Methodologies used for determining SILs include,
but are not limited to:
• Consequence only
• Risk Graph
• Layered Risk Matrix
• Risk matrix
• Layer of protection
• Fault tree analysis
Obszary ryzyka
Kategoria bezpieczeństwa B
Wymagania
Części systemu sterowania maszyny odpowiedzialne za
bezpieczeństwo i/lub jej wyposażenie zabezpieczające jak i
jego składniki muszą być zaprojektowane, wyprodukowane,
dobrane, zamontowane i połączone zgodnie z mającymi
zastosowanie normami, tak aby przeciwstawić się
oczekiwanym, mogącym zaistnieć zagrożeniom.
Zachowanie systemu: wystąpienie błędu może
doprowadzić do utraty funkcji bezpieczeństwa.
Podstawy osiągnięcia bezpieczeństwa: głównie przez
dobór odpowiednich składników.
Elementy spełniające wymagania niniejszej kategorii
powinny być budowane na bazie wypróbowanych
elementów składowych i przy wykorzystaniu sprawdzonych
zasad bezpieczeństwa.
Kategoria bezpieczeństwa B
Przez wypróbowane elementy należy rozumieć:
-powszechnie używane w przeszłości,
-wytwarzane według sprawdzonych zasad.
Przez sprawdzone zasady bezpieczeństwa należy
rozumieć:
-zapobieganie określonym defektom (np. zwarciom),
-minimalizację prawdopodobieństwa wystąpienia
określonych defektów (np. nie obciążanie obwodów w
sposób maksymalny),
-ukierunkowanie na określony rodzaj defektu (np. funkcja
otwarcia obwodu w wypadku konieczności odcięcia dostawy
energii po wykryciu defektu),
-bardzo wczesne wykrywanie defektu,
-ograniczanie skutku defektu (np. wyłączanie w wypadku
przebicia izolacji).
Zagrożenia w prostym układzie sterującym
Działanie w trybie negatywnym
Działanie w trybie pozytywnym
Działanie w trybie mieszanym
Schemat elektrycznego układu stopu
awaryjnego kategorii B
Złożony programowalny system zgodny z kategorią
B.
Kategoria bezpieczeństwa 1
Wymagania
Muszą być spełnione wymagania kategorii bezpieczeństwa
B.
Muszą być stosowane zatwierdzone podzespoły i zasady
bezpieczeństwa.
Zachowanie systemu: wystąpienie błędu może
doprowadzić do utraty funkcji bezpieczeństwa.
Prawdopodobieństwo wystąpienia błędu niższe niż dla kat.
B
Podstawy osiągnięcia bezpieczeństwa: przez dobór
odpowiednich składników oraz właściwą instalacje (zasady
bezpieczeństwa).
Prosty system bezpieczeństwa
kategorii 1
Kategoria 1 zasilania różnych obwodów
elektrycznych
Dodatkowe wymagania dla elementów
układu
Aby uzyskać kategorię 1 przeprowadzono zmiany w
prostym systemie kategorii B polegające na zmianie
wyłącznika blokującego oraz wymianie stycznika na
większy. Wyłącznik blokujący i stycznik pełnią kluczową rolę
odłączaniu energii od napędu, gdy konieczny jest dostęp do
zagrożenia. Wyłącznik blokujący spełnia wymagania normy
IEC 60947-5-1 dla zestyków z bezpośrednim otwarciem, co
pokazuje symbol strzałki wewnątrz koła.
Po zastosowaniu wypróbowanych elementów
prawdopodobieństwo, że energia zostanie odłączona jest w
kategorii 1 wyższe niż w kategorii B. Stosowanie
wypróbowanych elementów ma na celu zapobieganie
utratom funkcji bezpieczeństwa. Niestety, mimo tych
ulepszeń, nadal pojedynczy defekt może prowadzić do
utraty funkcji bezpieczeństwa.
Kategoria 2
Aby system był zgodny z kategorią 2, oprócz spełnienia
wymagań kategorii B i wykorzystywania wypróbowanych
zasad bezpieczeństwa, musi również realizować funkcje
testujące. Testy muszą być opracowane do wykrywania
defektów w elementach systemu sterowania związanych z
bezpieczeństwem. Jeśli nie zostaną wykryte żadne defekty,
maszyna może dalej działać. Po wykryciu defektów, test musi
zainicjować odpowiednie polecenie. Gdy jest to możliwe,
polecenie powinno doprowadzić maszynę do stanu
bezpiecznego.
Test powinien zapewniać rozsądne praktycznie wykrywanie
błędów. Sprzęt testujący może być zintegrowany z systemem
bezpieczeństwa lub funkcjonować jako niezależne urządzenie.
Testowanie należy wykonywać:
-po pierwszym załączeniu zasilania maszyny,
-przed zainicjowaniem zagrożenia,
-okresowo, jeśli wymaga tego ocena ryzyka.
Układ sterujący kategorii 2
Mechaniczne sprzężenie styków
pomocniczych
Mechaniczna kontrola działania styków zapobiega
identycznym stanom mechanicznym styków.
Mechaniczne sprzężenie styków
pomocniczych
Awaria: styk A zespawany, ale styk B pozostaje otwarty.
Techniki zabezpieczeń
W przypadku zespawania styku głównego, styk
pomocniczy NZ nie zamknie się po odjęciu zasilania cewki
Układy do monitorowania i sterowania
sygnałów bezpieczeństwa
Sygnały z elementów związanych z bezpieczeństwem
są wprowadzane jako sygnały wejściowe do modułów
bezpieczeństwa, sterowników bezpieczeństwa lub
sterowników bezpieczeństwa PLC (grupa nosząca nazwę
układów logicznych bezpieczeństwa). Układy logiczne
wytwarzają z kolei sygnały sterujące elementami
wykonawczymi jak styczniki lub zawory. Wybór układu
logicznego jest uzależniony od wielu czynników jak ilość
sygnałów wejść i wyjść, koszty, potrzeba zminimalizowania
oprzewodowania przez wykorzystanie sieci SafeEthernet lub
konieczność przesyłania sygnałów na duże odległości.
Wspomniane uwarunkowania przyczyniły się do
intensywnego rozwoju norm związanych z
bezpieczeństwem elektrycznych i elektronicznych,
programowalnych systemów.
Zadania logicznych układów
bezpieczeństwa
Zadania logicznych układów są następujące:
-umożliwienie startu maszyny po spełnieniu warunków
bezpieczeństwa,
-bezpieczne zatrzymanie maszyny w sytuacji przywołania
funkcji bezpieczeństwa,
-uniemożliwienie samoczynnego startu maszyny,
-monitorowanie obwodów bezpieczeństwa i sygnalizacja
poprawności działania stanów maszyny.
Funkcje bezpieczeństwa realizowane były do tej pory
na jeden z dwóch sposobów:
-przez przekaźniki (moduły) bezpieczeństwa (SRM),
-przez sterowniki bezpieczeństwa (Safety PLC).
Moduły bezpieczeństwa
Układy sterujące odpowiedzialne za bezpieczeństwo
muszą działać niezawodnie zgodnie z wymogami norm
europejskich i amerykańskich. Zastosowanie układów
redundantnych nie oznacza jeszcze niezawodności
sterowania. Poza redundancją musi występować monitoring
obwodu bezpieczeństwa aby mieć pewność, ze
redundancja jest utrzymywana. Monitoring może być
zrealizowany przez zastosowanie modułów bezpieczeństwa.
Występuje wiele typów i rozwiązań modułów
bezpieczeństwa nakierowanych na konkretne zastosowania.
Porównanie układów sterujących
a) bez modułu bezpieczeństwa b) z modułem
bezpieczeństwa
Układ sterujący kategorii 2
Zasada testowania układu sterującego
kategorii 2 bezpieczeństwa
Kategoria 3
Oprócz konieczności spełnienia wymagań dla kategorii
B oraz stosowania wypróbowanych zasad bezpieczeństwa,
kategoria 3 wymaga udanego działania funkcji
bezpieczeństwa przy obecności pojedynczego defektu. Gdy
jest to rozsądne praktycznie, defekt powinien być wykryty
w momencie lub przed kolejnym przywołaniem funkcji
bezpieczeństwa.
Może jednak się zdarzyć, że utrata funkcji
bezpieczeństwa zostanie spowodowana przez kumulację
niewykrytych defektów.
Poniżej przedstawiono schemat blokowy wyjaśniający
zasadę systemu kategorii 3. Działanie funkcji
bezpieczeństwa jest zapewniane przez redundancję
połączoną z rozsądnym praktycznie nadzorowaniem
wzajemnym i nadzorowaniem wyjść.
Kategoria 3 bezpieczeństwa
System kategorii 3
Dodatkowe zestyki zostały dodane do wyłącznika
blokującego. Przekaźnik bezpieczeństwa ma wewnętrzne
zredundowane obwody, nadzorują się wzajemnie. Do
odłączania zasilania od silnika służy redundantny zestaw
styczników. Styczniki są nadzorowane „rozsądnie
praktycznie” przez MSR za pomocą zestyków połączonych.
Wykrywanie defektów musi być rozważone dla każdej części
systemu bezpieczeństwa, a także połączeń.
-Jakie są tryby defektów dwukanałowego wyłącznika
blokującego?
-Jakie są tryby defektów przekaźnika MSR? Jakie są tryby
defektów styczników K1 i K2?
-Jakie są tryby defektów okablowania?
W konstrukcji wyłącznika blokującego zastosowano zestyki z
bezpośrednim otwarciem. Dzięki temu wiadomo, że otwarcie
osłony spowoduje również otwarcie sklejonego zestyku. To
rozwiązuje jeden tryb defektu
Schemat blokowy wyjaśniający zasadę
systemu kategorii 3
Kategoria 3 bezpieczeństwa
Kategoria 3 bezpieczeństwa
Kategoria 3 bezpieczeństwa
Stop awaryjny z bezpiecznym
napędem , kategoria 3
Kategoria 4
Podobnie jak kategoria 3, również kategoria 4 wymaga,
aby system bezpieczeństwa spełniał wymagania kategorii
B, używał zasad bezpieczeństwa i wykonywał funkcję
bezpieczeństwa w obecności pojedynczego defektu. W
przeciwieństwie do kategorii 3, gdzie kumulacja defektów
może prowadzić do utraty funkcji bezpieczeństwa,
kategoria 4 wymaga wykonania funkcji bezpieczeństwa
przy kumulacji defektów.
Kumulacja defektów dotyczy najczęściej wystąpienia 2
defektów, ale w niektórych systemach należy uwzględniać
3 defekty.
Schemat blokowy wyjaśniający zasadę
systemu kategorii 4.
Kategoria 4 bezpieczeństwa
Literatura
• www.safety-relay.com