B9.

Bezpieczeństwo i redundancja w rozproszonych systemach

automatyki

Eksploatacja maszyn, urządzeń i procesów przemysłowych wymaga wszechstronnej

analizy nie tylko pod względem funkcjonalności i optymalizacji, ale także szeroko
rozumianego bezpieczeństwa. Wraz ze zbiegiem lat urządzenia techniczne i kontrolujące je
systemy są coraz bardziej niezawodne, lecz niewolne od błędów i awarii. Trzeba mieć także
na względzie niespodziewane warunki atmosferyczne, środowisko pracy, zdarzenia losowe,
oraz tzw. czynnik ludzki czyli np. błędy programistów, nieodpowiednie zachowanie
operatora. Świadomość skutków jakie niesie ze sobą eksploatacja jest punktem wyjścia do
przeprowadzenia analizy i stosowania adekwatnych środków, mających podnosić poziom
bezpieczeństwa, obniżyć ryzyko wypadku i minimalizować jego ewentualne skutki.

Oprócz oczywistego aspektu ochrony życia i zdrowia ludzi celem stosowania systemów

bezpieczeństwa są:



ochrona środowiska – warto tu wspomnieć o licznych katastrofach ekologicznych,
chociażby niedawną w Zatoce Meksykańskiej w kwietniu 2010 roku związaną z
wyciekiem ropy,



minimalizacja uszkodzenia mienia,



dostosowanie się do aktualnego porządku prawnego – brak uwzględnienia systemów

bezpieczeństwa w projekcje wiąże się z odpowiedzialnością cywilną na wypadek
zdarzenia, a roszczenia mogą być dochodzone nawet po odbiorze instalacji i
zakończeniu okresu gwarancyjnego (jako błąd projektowy).

Podzbiorem ogólnych zagadnień bezpieczeństwa są tzw. zagadnienia bezpieczeństwa
funkcjonalnego (w dziedzinie przemysłu maszynowego i procesowego) związane
bezpośrednio z terminem funkcje bezpieczeństwa. I tak w bezpieczeństwie maszyn definicja
wygląda następująco: funkcja bezpieczeństwa maszyny to taka funkcja, której uszkodzenie
będzie powodowało bezpośredni wzrost ryzyka.

Rysunek 1 Przykładowe f. bezpieczeństwa

Ryzyko definiowane jest jako kombinacja prawdopodobieństwa wystąpienia szkody i jej
ciężkości.

Dla każdego zagrożenia i związanej z nim szkody należy przeprowadzić szacowanie

ryzyka. Polega ono na przypisaniu konkretnego, znormalizowanego poziomu w zależności od
ciężkości szkody i prawdopodobieństwa powstania tej szkody. Norma IEC 62061 definiuje w
tym celu: poziomy nienaruszalności bezpieczeństwa – SIL(Safety Integrity Level), natomiast
norma ISO 13849: poziomy zapewnienia bezpieczeństwa- PL(Performance Level).

Rysunek 2 Zasada przypisywania SIL do określonego zagrożenia

IEC

ISO

SIL (Safety Integrity Level) – poziom nienaruszalności

bezpieczeństwa

SIL 1

SIL 2

SIL 3

PL (Performance Level) - poziom zapewnienia

bezpieczeństwa

a

b

c

d

e

minimalizacja ryzyka

Rysunek 3 SIL 3 i PLe świadczy o najwyższym poziomie ryzyka - w związku z tym do jego minimalizacji powinny

zostać zaangażowane urządzenia o najwyższym poziomie dostępności, jakości i funkcjonalności

Przykład:
W zakładzie pracuje robot przemysłowy (taki np. IRB jak u nas w lab 010). Zidentyfikowane
zagrożenie: poruszające się ramię robota. Jako szkodę przypisano: uderzenie/zmiażdżenie
człowieka przebywającego w określonej strefie w pobliżu. Ryzyko, po analizie wszystkich
parametrów określono jako SIL2. Do redukcji ryzyka zastosowano środek ochronny - kurtynę
świetlną kontrolującą obszar wokół pracującego robota. Określono funkcje bezpieczeństwa:
bezwzględne zatrzymanie maszyny (odcięcie zasilania), po naruszeniu strefy kontrolowanej
przez kurtynę. Wszystkie elementy składowe funkcji bezpieczeństwa (czujniki, elementy
wykonawcze, rozwiązania logiczne, programowe itd.) będą musiały zatem spełniać założenia
SIL 2.

Elementy składowe funkcji bezpieczeństwa:



sterowniki safety – sławny z żonglerki z hasłami w laboratorium SIMATIC CPU 315F

o

Te same parametry sprzętowe co zwykły CPU 315, lecz zupełnie inne
oprogramowanie

o Jednoczesne wykonywanie programu safety i standardowego
o Certyfikowany, do SIL 3
o

Wspomniana rozszerzona kontrola dostępu (hasło do hardware, hasło do
programu safety)

o

Obsługa PROFISafe



Kastety I/O

o

Moduły bezpiecz. mają zredundowaną elektronikę 2x grubsze od
standardowych. Żółte grubasy:

o

Posiadają kilka funkcji ekstra: detekcje zwarcia (między kanałami,
doziemienia, do innego potencjału), detekcje przerwy w obwodzie (wyjścia)
wejścia mogą analizować sygnały z czujników dwukanałowych pod kątem
rozbieżności,



Program safety

o

Zmodyfikowany język LAD i FBD -> F-LAD i F-FBD

o Certyfikowane biblioteki
o

Wykonuje się jako przerwanie czasowe

o Kontrola sygnatur



Czujniki

Podłączenie czujników na trzy zasadnicze sposoby (do modułu wejść bezpieczeństwa):

o

czujnik jednokanałowy do jednego wejścia (ocena 1oo1), maks. 8
czujników (Rys. 4),

o

czujnik jednokanałowy do dwóch wejść (ocena 1oo2), maks. 4 czujniki
(Rys. 5),

o czujnik dwukanałowy do dwóch wejść (ocena 1oo2), maks. 4 czujniki

(Rys. 6).

W zależności od jakości wykonania czujnika może on przy odpowiednim podłączeniu
osiągać następujące SIL:

do SIL2

Rysunek 4Podłączenie-czujnik jednokanałowy do

jednego wejścia (ocena 1oo1)

do SIL2

Rysunek 5 Podłączenie-czujnik jednokanałowy do

dwóch wejść (ocena 1oo2)

do SIL3

Rysunek 6 Podłączenie-czujnik dwukanałowy do dwóch wejść (ocena 1oo2)

oprócz standardowych czujników wielkości fizycznych w systemach bezpieczeństwa
popularne są kurtyny świetlne, czujniki pozycji drzwi do klatki, czujniki zbliżeniowe



Elementy wykonawcze

o

Można używać elementów certyfikowanych, jak i standardowych.
Redundantne podłączenia wpływają na podniesienie SIL i PL



Komunikacja –Profisafe, Asi - safe

o

Wymagania nakładane na komunikację w systemach bezpieczeństwa
sprawiają, że nie można używać standardowych protokołów transmisji
cyfrowej. Niezbędne są dodatkowe procedury testujące i potwierdzające,
które mają zminimalizować ryzyko błędów. Stąd modyfikacje w
najpopularniejszych protokołach: PROFIsafe - PROFIBUS i PROFINET w
wykonaniu safety, ASi-safe – ASi w wykonaniu safety. Modyfikacja polega
najczęściej na grzebaniu w warstwie aplikacji (PROFIsafe layer):

o

Jak pamiętacie filmik z rekinem, to miał on uświadamiać że elementy safety
i standardowe mogą współistnieć bez dodatkowego okablowania -> pełna
integracja

Podsumowując:
Urządzenia z łatką safety są dlatego takie super, bo producent daje gwarancje, że nie

zawiodą i zadziałają jak będzie potrzeba - gdy ktoś wciśnie STOP awaryjny albo gdy ktoś
będzie chciał podłożyć głowę pod gilotynę czy przywitać się z robotem. Np. taki SIL 2 do
certyfikowanego elementu gwarantuje, że może ulec on awarii raz na 100 lat. W zakresie
czujników i elementów wykonawczych można zastosować urządzenia standardowe, ale wtedy
trzeba liczyć na podstawie norm różne parametry dotyczące niezawodności. Redundancja
wpływa na zwiększenie SIL i PL – np. kilka czujników pomiarowych tej samej wielkości,
podłączenia szeregowe styczników powoduje że nasz system jest super niezawodny i nic się
nikomu nie stanie.

Jeżeli chodzi o bezp. procesowe to tam są nawet do SIL 4. Ale nikt nie będzie was o to

pytał bo był tylko wykład o bezp. maszyn .