B9. Bezpieczeństwo i redundancja w rozproszonych systemach automatyki

Eksploatacja maszyn, urządzeń i procesów przemysłowych wymaga wszechstronnej analizy nie tylko pod względem funkcjonalności i optymalizacji, ale także szeroko rozumianego bezpieczeństwa. Wraz ze zbiegiem lat urządzenia techniczne i kontrolujące je systemy są coraz bardziej niezawodne, lecz niewolne od błędów i awarii. Trzeba mieć także na względzie niespodziewane warunki atmosferyczne, środowisko pracy, zdarzenia losowe, oraz tzw. czynnik ludzki czyli np. błędy programistów, nieodpowiednie zachowanie operatora. Świadomość skutków jakie niesie ze sobą eksploatacja jest punktem wyjścia do przeprowadzenia analizy i stosowania adekwatnych środków, mających podnosić poziom bezpieczeństwa, obniżyć ryzyko wypadku i minimalizować jego ewentualne skutki.

Oprócz oczywistego aspektu ochrony życia i zdrowia ludzi celem stosowania systemów bezpieczeństwa są:

• ochrona Å›rodowiska – warto tu wspomnieć o licznych katastrofach ekologicznych, chociażby niedawnÄ… w Zatoce MeksykaÅ„skiej w kwietniu 2010 roku zwiÄ…zanÄ… z wyciekiem ropy,

• minimalizacja uszkodzenia mienia,

• dostosowanie siÄ™ do aktualnego porzÄ…dku prawnego – brak uwzglÄ™dnienia systemów bezpieczeÅ„stwa w projekcje wiąże siÄ™ z odpowiedzialnoÅ›ciÄ… cywilnÄ… na wypadek zdarzenia, a roszczenia mogÄ… być dochodzone nawet po odbiorze instalacji i zakoÅ„czeniu okresu gwarancyjnego (jako bÅ‚Ä…d projektowy).

Podzbiorem ogólnych zagadnień bezpieczeństwa są tzw. zagadnienia bezpieczeństwa funkcjonalnego (w dziedzinie przemysłu maszynowego i procesowego) związane bezpośrednio z terminem funkcje bezpieczeństwa. I tak w bezpieczeństwie maszyn definicja wygląda następująco: funkcja bezpieczeństwa maszyny to taka funkcja, której uszkodzenie będzie powodowało bezpośredni wzrost ryzyka.

Rysunek Przykładowe f. bezpieczeństwa

Ryzyko definiowane jest jako kombinacja prawdopodobieństwa wystąpienia szkody i jej ciężkości.

Dla każdego zagrożenia i związanej z nim szkody należy przeprowadzić szacowanie ryzyka. Polega ono na przypisaniu konkretnego, znormalizowanego poziomu w zależności od ciężkości szkody i prawdopodobieństwa powstania tej szkody. Norma IEC 62061 definiuje w tym celu: poziomy nienaruszalności bezpieczeństwa – SIL(Safety Integrity Level), natomiast norma ISO 13849: poziomy zapewnienia bezpieczeństwa- PL(Performance Level).

Rysunek Zasada przypisywania SIL do określonego zagrożenia

Rysunek SIL 3 i PLe świadczy o najwyższym poziomie ryzyka - w związku z tym do jego minimalizacji powinny zostać zaangażowane urządzenia o najwyższym poziomie dostępności, jakości i funkcjonalności

Przykład:

W zakładzie pracuje robot przemysłowy (taki np. IRB jak u nas w lab 010). Zidentyfikowane zagrożenie: poruszające się ramię robota. Jako szkodę przypisano: uderzenie/zmiażdżenie człowieka przebywającego w określonej strefie w pobliżu. Ryzyko, po analizie wszystkich parametrów określono jako SIL2. Do redukcji ryzyka zastosowano środek ochronny - kurtynę świetlną kontrolującą obszar wokół pracującego robota. Określono funkcje bezpieczeństwa: bezwzględne zatrzymanie maszyny (odcięcie zasilania), po naruszeniu strefy kontrolowanej przez kurtynę. Wszystkie elementy składowe funkcji bezpieczeństwa (czujniki, elementy wykonawcze, rozwiązania logiczne, programowe itd.) będą musiały zatem spełniać założenia SIL 2.

Elementy składowe funkcji bezpieczeństwa:

• sterowniki safety – sÅ‚awny z żonglerki z hasÅ‚ami w laboratorium SIMATIC CPU 315F

  • Te same parametry sprzÄ™towe co zwykÅ‚y CPU 315, lecz zupeÅ‚nie inne oprogramowanie

  • Jednoczesne wykonywanie programu safety i standardowego

  • Certyfikowany, do SIL 3

  • Wspomniana rozszerzona kontrola dostÄ™pu (hasÅ‚o do hardware, hasÅ‚o do programu safety)

  • ObsÅ‚uga PROFISafe

• Kastety I/O

  • ModuÅ‚y bezpiecz. majÄ… zredundowanÄ… elektronikÄ™ 2x grubsze od standardowych. Żółte grubasy:

• PosiadajÄ… kilka funkcji ekstra: detekcje zwarcia (miÄ™dzy kanaÅ‚ami, doziemienia, do innego potencjaÅ‚u), detekcje przerwy w obwodzie (wyjÅ›cia) wejÅ›cia mogÄ… analizować sygnaÅ‚y z czujników dwukanaÅ‚owych pod kÄ…tem rozbieżnoÅ›ci,

• Program safety

  • Zmodyfikowany jÄ™zyk LAD i FBD -> F-LAD i F-FBD

  • Certyfikowane biblioteki

  • Wykonuje siÄ™ jako przerwanie czasowe

  • Kontrola sygnatur

• Czujniki

Podłączenie czujników na trzy zasadnicze sposoby (do modułu wejść bezpieczeństwa):

• czujnik jednokanaÅ‚owy do jednego wejÅ›cia (ocena 1oo1), maks. 8 czujników (Rys. 4),

• czujnik jednokanaÅ‚owy do dwóch wejść (ocena 1oo2), maks. 4 czujniki (Rys. 5),

• czujnik dwukanaÅ‚owy do dwóch wejść (ocena 1oo2), maks. 4 czujniki (Rys. 6).

W zależności od jakości wykonania czujnika może on przy odpowiednim podłączeniu osiągać następujące SIL:

do SIL2 Rysunek Podłączenie-czujnik jednokanałowy do jednego wejścia (ocena 1oo1)	do SIL2 Rysunek Podłączenie-czujnik jednokanałowy do dwóch wejść (ocena 1oo2)
do SIL3 Rysunek Podłączenie-czujnik dwukanałowy do dwóch wejść (ocena 1oo2)
oprócz standardowych czujników wielkości fizycznych w systemach bezpieczeństwa popularne są kurtyny świetlne, czujniki pozycji drzwi do klatki, czujniki zbliżeniowe

• Elementy wykonawcze

  • Można używać elementów certyfikowanych, jak i standardowych. Redundantne podÅ‚Ä…czenia wpÅ‚ywajÄ… na podniesienie SIL i PL

• Komunikacja –Profisafe, Asi - safe

  • Wymagania nakÅ‚adane na komunikacjÄ™ w systemach bezpieczeÅ„stwa sprawiajÄ…, że nie można używać standardowych protokołów transmisji cyfrowej. NiezbÄ™dne sÄ… dodatkowe procedury testujÄ…ce i potwierdzajÄ…ce, które majÄ… zminimalizować ryzyko bÅ‚Ä™dów. StÄ…d modyfikacje w najpopularniejszych protokoÅ‚ach: PROFIsafe - PROFIBUS i PROFINET w wykonaniu safety, ASi-safe – ASi w wykonaniu safety. Modyfikacja polega najczęściej na grzebaniu w warstwie aplikacji (PROFIsafe layer):

• Jak pamiÄ™tacie filmik z rekinem, to miaÅ‚ on uÅ›wiadamiać że elementy safety i standardowe mogÄ… współistnieć bez dodatkowego okablowania -> peÅ‚na integracja

PodsumowujÄ…c:

Urządzenia z łatką safety są dlatego takie super, bo producent daje gwarancje, że nie zawiodą i zadziałają jak będzie potrzeba - gdy ktoś wciśnie STOP awaryjny albo gdy ktoś będzie chciał podłożyć głowę pod gilotynę czy przywitać się z robotem. Np. taki SIL 2 do certyfikowanego elementu gwarantuje, że może ulec on awarii raz na 100 lat. W zakresie czujników i elementów wykonawczych można zastosować urządzenia standardowe, ale wtedy trzeba liczyć na podstawie norm różne parametry dotyczące niezawodności. Redundancja wpływa na zwiększenie SIL i PL – np. kilka czujników pomiarowych tej samej wielkości, podłączenia szeregowe styczników powoduje że nasz system jest super niezawodny i nic się nikomu nie stanie.

Jeżeli chodzi o bezp. procesowe to tam są nawet do SIL 4. Ale nikt nie będzie was o to pytał bo był tylko wykład o bezp. maszyn .