B9.

 

Bezpieczeństwo  i  redundancja  w  rozproszonych  systemach 

automatyki

 

Eksploatacja  maszyn,  urządzeń  i  procesów  przemysłowych  wymaga  wszechstronnej 

analizy  nie  tylko  pod  względem  funkcjonalności  i  optymalizacji,  ale  także  szeroko 
rozumianego  bezpieczeństwa.  Wraz  ze  zbiegiem  lat  urządzenia  techniczne  i  kontrolujące  je 
systemy są coraz bardziej niezawodne, lecz niewolne od błędów i awarii. Trzeba mieć także 
na  względzie  niespodziewane  warunki  atmosferyczne,  środowisko  pracy,  zdarzenia  losowe,  
oraz  tzw.  czynnik  ludzki  czyli  np.  błędy  programistów,  nieodpowiednie  zachowanie 
operatora.  Świadomość  skutków  jakie  niesie  ze  sobą  eksploatacja  jest  punktem  wyjścia  do 
przeprowadzenia  analizy  i  stosowania  adekwatnych  środków,  mających  podnosić  poziom 
bezpieczeństwa, obniżyć ryzyko wypadku i minimalizować jego ewentualne skutki. 

  Oprócz oczywistego aspektu ochrony życia  i zdrowia  ludzi celem  stosowania  systemów 

bezpieczeństwa są: 



 

ochrona  środowiska  –  warto  tu  wspomnieć  o  licznych  katastrofach  ekologicznych, 
chociażby  niedawną  w  Zatoce  Meksykańskiej  w  kwietniu  2010  roku  związaną  z 
wyciekiem ropy, 



  minimalizacja uszkodzenia mienia, 



  dostosowanie  się do  aktualnego porządku prawnego  – brak uwzględnienia systemów 

bezpieczeństwa  w  projekcje  wiąże  się  z  odpowiedzialnością  cywilną  na  wypadek 
zdarzenia,  a  roszczenia  mogą  być  dochodzone  nawet  po  odbiorze  instalacji  i 
zakończeniu okresu gwarancyjnego (jako błąd projektowy). 

Podzbiorem  ogólnych  zagadnień  bezpieczeństwa  są  tzw.  zagadnienia  bezpieczeństwa 
funkcjonalnego  (w  dziedzinie  przemysłu  maszynowego  i  procesowego)  związane 
bezpośrednio  z terminem funkcje bezpieczeństwa. I tak w bezpieczeństwie maszyn definicja 
wygląda  następująco:  funkcja  bezpieczeństwa  maszyny  to  taka  funkcja,  której  uszkodzenie 
będzie powodowało bezpośredni wzrost ryzyka.  

 

Rysunek 1 Przykładowe f. bezpieczeństwa 

Ryzyko  definiowane  jest  jako  kombinacja  prawdopodobieństwa  wystąpienia  szkody  i  jej 
ciężkości. 

Dla  każdego  zagrożenia  i  związanej  z  nim  szkody  należy  przeprowadzić  szacowanie 

ryzyka. Polega ono na przypisaniu konkretnego, znormalizowanego  poziomu w zależności od 
ciężkości szkody i prawdopodobieństwa powstania tej szkody. Norma IEC 62061 definiuje w 
tym  celu:  poziomy  nienaruszalności  bezpieczeństwa  –  SIL(Safety  Integrity  Level),  natomiast 
norma ISO 13849: poziomy zapewnienia bezpieczeństwa- PL(Performance Level).  

 

Rysunek 2 Zasada przypisywania SIL do określonego zagrożenia 

IEC

ISO

SIL (Safety Integrity Level) – poziom nienaruszalności 

bezpieczeństwa

SIL 1

SIL 2

SIL 3

PL (Performance Level) - poziom zapewnienia 

bezpieczeństwa

 

 a

 

b

 

c

 

d

 e   

minimalizacja ryzyka

 

Rysunek 3 SIL 3 i PLe świadczy o najwyższym poziomie ryzyka - w związku z tym do jego minimalizacji powinny 

zostać zaangażowane urządzenia o najwyższym poziomie dostępności, jakości i funkcjonalności 

Przykład: 
W zakładzie pracuje robot przemysłowy (taki np. IRB jak u nas w lab 010). Zidentyfikowane 
zagrożenie:  poruszające  się  ramię  robota.  Jako  szkodę  przypisano:  uderzenie/zmiażdżenie 
człowieka  przebywającego  w  określonej  strefie  w  pobliżu.  Ryzyko,  po  analizie  wszystkich 
parametrów określono jako SIL2. Do redukcji ryzyka zastosowano środek ochronny - kurtynę 
świetlną  kontrolującą  obszar  wokół  pracującego robota.  Określono  funkcje  bezpieczeństwa: 
bezwzględne  zatrzymanie  maszyny  (odcięcie  zasilania),  po  naruszeniu  strefy  kontrolowanej 
przez  kurtynę.  Wszystkie  elementy  składowe  funkcji  bezpieczeństwa  (czujniki,  elementy 
wykonawcze, rozwiązania logiczne, programowe itd.) będą musiały zatem spełniać założenia 
SIL 2. 

 

 

Elementy składowe funkcji bezpieczeństwa: 



  sterowniki safety – sławny z żonglerki z hasłami w laboratorium SIMATIC CPU 315F  

o 

Te  same  parametry  sprzętowe  co  zwykły  CPU  315,  lecz  zupełnie  inne 
oprogramowanie  

o  Jednoczesne wykonywanie programu safety i standardowego 
o  Certyfikowany, do SIL 3  
o 

Wspomniana  rozszerzona  kontrola  dostępu  (hasło  do    hardware,  hasło  do 
programu safety) 

o 

Obsługa PROFISafe  



  Kastety I/O 

o 

Moduły  bezpiecz.  mają  zredundowaną  elektronikę  2x  grubsze  od 
standardowych. Żółte grubasy: 

 

o 

Posiadają  kilka  funkcji  ekstra:  detekcje  zwarcia  (między  kanałami, 
doziemienia,  do  innego  potencjału),  detekcje  przerwy  w  obwodzie  (wyjścia) 
wejścia  mogą  analizować  sygnały  z  czujników  dwukanałowych  pod  kątem 
rozbieżności,  



  Program safety 

o 

Zmodyfikowany język LAD i FBD -> F-LAD i F-FBD 

o  Certyfikowane biblioteki 
o 

Wykonuje się jako przerwanie czasowe 

o  Kontrola sygnatur 



  Czujniki 

 Podłączenie czujników na trzy zasadnicze sposoby (do modułu wejść bezpieczeństwa):  

o 

czujnik  jednokanałowy  do  jednego  wejścia  (ocena  1oo1),  maks.  8 
czujników (Rys. 4), 

o 

czujnik  jednokanałowy  do  dwóch  wejść  (ocena  1oo2),  maks.  4  czujniki 
(Rys. 5), 

o  czujnik  dwukanałowy  do  dwóch  wejść  (ocena  1oo2),  maks.  4  czujniki 

(Rys. 6). 

W zależności od jakości wykonania czujnika może on przy odpowiednim podłączeniu 
osiągać następujące SIL: 

 

 

 

 

 

 do SIL2 

 

Rysunek  4Podłączenie-czujnik  jednokanałowy  do 

jednego wejścia (ocena 1oo1) 

do SIL2 

 

Rysunek  5  Podłączenie-czujnik  jednokanałowy  do 

dwóch wejść (ocena 1oo2) 

do SIL3 

 

Rysunek 6 Podłączenie-czujnik dwukanałowy do dwóch wejść (ocena 1oo2) 

oprócz standardowych czujników wielkości  fizycznych w systemach  bezpieczeństwa 
popularne są kurtyny świetlne, czujniki pozycji drzwi do klatki, czujniki zbliżeniowe  

 



  Elementy wykonawcze 

o 

Można  używać  elementów  certyfikowanych,  jak  i  standardowych. 
Redundantne podłączenia wpływają na podniesienie SIL i PL  



  Komunikacja –Profisafe, Asi - safe 

o 

Wymagania  nakładane  na  komunikację  w  systemach  bezpieczeństwa 
sprawiają,  że  nie  można  używać  standardowych  protokołów  transmisji 
cyfrowej.  Niezbędne  są  dodatkowe  procedury  testujące  i  potwierdzające, 
które  mają  zminimalizować  ryzyko  błędów.  Stąd  modyfikacje  w 
najpopularniejszych protokołach: PROFIsafe - PROFIBUS i PROFINET w 
wykonaniu safety, ASi-safe – ASi w wykonaniu safety. Modyfikacja polega 
najczęściej na grzebaniu w  warstwie aplikacji (PROFIsafe layer): 

  

o 

Jak pamiętacie filmik z rekinem, to miał on uświadamiać że elementy safety 
i  standardowe  mogą  współistnieć  bez  dodatkowego okablowania  ->  pełna 
integracja 

 

 

Podsumowując: 
Urządzenia  z  łatką  safety  są  dlatego  takie  super,  bo  producent  daje  gwarancje,  że  nie 

zawiodą  i  zadziałają  jak  będzie  potrzeba  -  gdy  ktoś  wciśnie  STOP  awaryjny  albo  gdy  ktoś 
będzie chciał podłożyć głowę pod gilotynę czy przywitać  się z robotem. Np. taki SIL 2 do 
certyfikowanego  elementu  gwarantuje,  że  może  ulec  on  awarii  raz  na  100  lat.  W  zakresie 
czujników i elementów wykonawczych można zastosować urządzenia standardowe, ale wtedy 
trzeba  liczyć  na  podstawie  norm  różne  parametry  dotyczące  niezawodności.  Redundancja 
wpływa  na  zwiększenie  SIL  i  PL  –  np.  kilka  czujników  pomiarowych  tej  samej  wielkości, 
podłączenia szeregowe styczników powoduje że nasz system jest super niezawodny i nic się 
nikomu nie stanie.   

Jeżeli  chodzi o bezp. procesowe to tam są nawet do SIL 4. Ale  nikt nie  będzie was o to 

pytał bo był tylko wykład o bezp. maszyn .