Aktuální vydání

celé číslo

03

2023

Automatizace strojírenské výroby

HMI a operátorské panely

celé číslo

Aspekty funkčnej bezpečnosti II

číslo 2/2004

Aspekty funkčnej bezpečnosti II

Článok nadväzuje na príspevok s rovnakým názvom, ktorý bol uverejnený v č. 2/2003 časopisu Automa [1]. Pojednáva o vykonaných a pripravovaných zmenách noriem v oblasti bezpečnostných systémov a pripojuje príslušný komentár.

1. Úvod

Prihováram sa znovu technickej verejnosti, pretože problematika, s ktorou som sa zaoberal v článku [1], je naďalej veľmi aktuálna. O tom som sa presvedčil pri viacerých kontaktoch s technickým prostredím v Českej republike, ako aj na Slovensku.

Obr. 1.

Kto si prečítal predchádzajúci článok, iste v ňom cítil určitú dávku skepsy z nízkeho povedomia o oblasti bezpečnostných systémov. Vývoj za tých niekoľko mesiacov ma presvedčil, že ľady sa pohli. Z čoho zrazu plynie môj optimizmus? Priznám sa, že je trocha nadsadený, ale má svoje „racio„. To tkvie v ohlasoch prichádzajúcich z viacerých strán po kontaktoch so všetkými úrovňami technickej sféry v kontexte procesu zavádzania bezpečnostných systémov (mám tým na mysli koncových používateľov, inžinierske organizácie, ale aj pracovníkov z iných oblastí). Nechcem tým však tvrdiť, že bezpečnosť prevádzkovania je tá najdôležitejšia vec, ktorou sa v priemysle kompetentní ľudia zaoberajú.

2. Revízia IEC/EN 61508

Povzbudením pre nás môže byť tá skutočnosť, že vydaním IEC/EN proces štandardizácie pre túto oblasť nebol ukončený. Posledné informácie hovoria o tom, že normotvorcom leží na srdci kvalita celého procesu zavádzania bezpečnostných systémov do praxe. Na obr. 1 je ukázaná štruktúra noriem IEC týkajúca sa bezpečnostných systémov.

V krajinách EU je zmienená norma považovaná iba za odporúčanie alebo za prax, ktorú je dobre nasledovať. O to ťažšie sa bude presadzovať. Napriek tomu sa často vyskytujú odvolávky na túto normu v súdnych sporoch. Zaujímavosťou je, že iba Nórsko považuje uvedenú normu za záväznú, a to pre rafinérsky a ťažobný priemysel ropných látok. Austrália dokonca prevzala IEC 61508 ako národnú normu.

Obr. 2.

Revízia normy IEC/EN 61508 je vyvolaná individuálnymi pripomienkami užívateľov, národnými komisiami IEC, ale aj výsledkami workshopov prebiehajúcich v rámci projektu SIPI (pre pripomenutie, projekt financovaný Európskou komisiou a realizovaný spoločnosťou Safety In Process Industries – pozri text a pozvanie na workshop SIPI v Prahe na str. 52).

O niektorých zmenách a novinkách v tejto oblasti by som rád informoval. IEC za pomerne krátku dobu získala v spätnej väzbe podnety z členských krajín EU, ktoré v aplikácii bezpečnostných systémov podľa IEC/EN 61508 už značne pokročili. Poukazovalo sa na také nedostatky normy IEC/EN 61508, ku ktorým zaznievali pripomienky okrem iného aj pri rôznych diskusiách v rámci uskutočnených seminárov v ČR a SR. Bolo rozhodnuté, že vzhľadom na dôležitosť problematiky je potrebné normu revidovať. Proces novelizácie už prebieha v dvoch tímoch. Ich oficiálne označenie v rámci IEC je takéto: Tím č. 13 je zodpovedný za časť 1 a 2 normy, kým tím č. 12 zodpovedá za časť 3 a obidva tímy za relevantné partie častí 4, 5, 6 a 7. Pre pripomenutie uvediem znovu, z ktorých častí sa norma skladá a o čom jej jednotlivé časti pojednávajú – pozri obr. 2.

Dominantné témy, ktoré vyplynuli z národných pripomienok, svedčia o tom, že pripomienkovanie skutočne nie je formálne a že pozornosť venovaná norme je odrazom reálneho prístupu k uvádzaniu normy do života. Je pozoruhodné, že iniciované podnety vychádzajú z krajín, kde norma vôbec nie je záväzná. Ukázalo sa, že existuje ešte dosť nejasností, ak sa má učiniť zadosť norme v prípade nových, ale aj existujúcich zariadení.

Obr. 3.

U existujúcich zariadení, ktoré používatelia chceli dať do súladu s touto normou, vznikli otázky, ako sa dá využiť pôvodná dokumentácia a čo všetko je treba vykonať pre dodefinovanie funkčných požiadaviek v oblasti projektovej dokumentácie. Veľmi aktuálna je otázka, ako pristupovať k existujúcemu zariadeniu budovanému spred niekoľko rokov. Nie je mysliteľné všetko demontovať a nahradiť to certifikovanými zariadeniami (hoci výrobcovia by sa potešili). Je potrebné posúdiť, ako dlho bolo zariadenie prevádzkované. Novelizovaná norma poskytne odporúčanie, ako sa s týmto problémom vyrovnať.

Norma vo svojom pôvodnom vydaní zadefinovala procesy s nízkym a vysokým vyžiadaním. Ukázalo sa, že táto definícia nie je úplne jasná a tabuľky, ktoré majú pomôcť pri definovaní pravdepodobnosti zlyhania bezpečnostného systému, nevedú k rovnakým výsledkom, ak sa povaha technológie nachádza kdesi na rozhraní nízkeho a vysokého vyžiadania.

Ďalšie problémy, s ktorými sa zaoberajú spomínané tímy: nové technológie (internet, miestne dátové siete – LAN, komunikačné zbernice typu fieldbus) a digitálna komunikácia, ktoré zasahujú do oblasti automatizačnej techniky veľmi nástojčivo, neboli v norme riešené. Veľmi dôležité sú otázky subsystémov, ďalej ako sa vyrovnať s elektromagnetickou kompatibilitou (EMC), ak sa má dodržať príslušná norma IEC. Ľudský faktor a požiadavky naň, ktoré by boli v zhode s požadovanou úrovňou bezpečnosti, sú vrcholne dôležitými záležitosťami.

Potešiteľné je aj to, že boli nastolené otázky týkajúce sa celého životného cyklu systémov. Svedčí to o skutočnosti, že starostlivosť o bezpečnosť prevádzkovania nekončí inštaláciou bezpečnostného systému, no vchádza do povedomia všetkých zúčastnených. Účinnosť investovaných prostriedkov je potrebné neustále preverovať. Technická verejnosť sa pýta, aké programové balíky sú k dispozícii budúcemu bezpečnostnému manažmentu, a aké má byť zloženie tohto manažmentu.


IEC 61511 Functional Safety.
Safety Instrumented Systems for the Process Industry Sector

Norma IEC 61511 Functional Safety; Safety Instrumented Systems for the Process Industry Sector bola vyvinutá pre potreby priemyslu kontinuálnych procesov. Jej základom je norma IEC 61508 Functional Safety of E/E/PES. Vydaná bola v júli 2003 a rozpracúva dve základné koncepcie:

  • úroveň integrálnej bezpečnosti (Safety Integrity Level – SIL),
  • bezpečný životný cyklus.

Norma IEC 61511 sa primárne zaoberá bezpečnostnými systémami, ktoré majú spĺňať požiadavky príslušného SIL 1 až SIL 4, ako prostriedku na požadovanú redukciu rizika. V norme sa zdôrazňuje, že v priemysle kontinuálnych procesov za zriedkavo aplikuje bezpečnostný systém v úrovni SIL 4.

Norma sa skladá z troch častí, ktoré sa obsahovo kryjú s jednotlivými časťami IEC 61508 podľa nasledujúceho usporiadania:

  • 1. časť (korešponduje s časťami 1, 2, 3, 4 a čiastočne 7 normy IEC 61508):
    – špecifikuje požiadavky na architektúru systému, konfiguráciu bezpečnostných funkcií, aplikačný softvér a celkovú systémovú konfiguráciu,
    – popisuje funkcie bezpečnostného manažmentu, analýzu rizika v procese a priradenie bezpečnostných funkcií k stanovenému SIL,
    – v závere pojednáva o testoch navrhnutých bezpečnostných systémov u výrobcu, inštaláciu a uvedenie do chodu.

  • 2. časť (korešponduje s časťou 6 a čiastočne 7):
    – uvádza všeobecné informácie o IEC 61511, definície a skratky,
    – dáva návod k aplikácii časti 1 normy v šiestich informatívnych prílohách, ktorými sú:
    príloha A: manažment bezpečnostnej funkcie, požiadavky na softvér, bezpečný životný cyklus,
    príloha B: kalkulácia pravdepodobnosti funkčnej spôsobilosti bezpečnostného systému,
    príloha C: príklad aplikácie v chemickom priemysle a typická architektúra bezpečnostného systému,
    príloha D: programovacie jazyky pre bezpečnostný systém a príklady vývoja užívateľského softvéru,
    príloha E: príklad prístupu výrobcu k vývoju bezpečnostného PLC v súlade s IEC 61508,
    príloha F: prehľad bezpečnostných techník a prostriedkov vo vzťahu k častiam 1, 2 a 3 normy IEC 61 511,

  • 3. časť (korešponduje s časťou 5 a čiastočne 7): pojednáva ilustračne o kvalitatívnych a kvantitatívnych metódach stanovenia SIL.

(jv)

Veľkú diskusiu vyvolali tabuľky, ktoré začleňovali komponenty elektronických prístrojov a systémov do kategórií tzv. A a B. Jednalo sa o percentuálne vyjadrenie SFF (Safety Failure Fraction), ktoré kategorizovalo komponenty pre aplikáciu v príslušných SIL (Safety Integrity Level – SIL 1 až SIL 4. tj. úroveň integrálnej bezpečnosti). Norma bola v niektorých ohľadoch veľmi tvrdá. Ako príklad možno uviesť mikroprocesor, ktorý bol kategorizovaný ako prvok s nedostatočnými štatistickými údajmi o možných poruchách. To viedlo k zaradeniu zariadení s B vo všeobecnosti použiteľných pre nižšiu úroveň SIL. Toto bude relevantné iba pre funkčnú logiku bezpečnostných PLC (Programmable Logic Controller, programovateľný automat), a nie pre periférie.

V júni 2004 dostanú národné komisie IEC návrhy riešení na pripomienkovanie. Vo februári 2005 by mala byť k dispozícii národným komisiám verzia CDV a v novembri 2005 verzia FDIS na odsúhlasenie. V marci 2006 sa očakáva vydanie všetkých novelizovaných častí normy IEC 61508.

Nová norma IEC 61511

Paralelne s revíziou normy IEC/EN 61508 sa dotvárala posledná z troch častí normy IEC 61511 Functional Safety; Safety Instrumented Systems for the Process Industry Sector. Tá je výhradne určená pre priemysel kontinuálnych procesov a na rozdiel od IEC/EN 61508 nie je určená výrobcom zariadení. Nová norma priniesla mnoho vyjasnení a podľa všetkého používateľ dostane do ruky (či už systémový integrátor, alebo koncový používateľ) kvalitný materiál, ktorý posúva problematiku zavádzania bezpečnostných systémov do praxe o významný kus vpred. Je treba poznamenať, že k znalosti problematiky je nevyhnutné poznať obe normy. Norma IEC 61511 bola vydaná v júli 2003; iste nepotrvá dlho (je to vrúcne želanie) a bude zahrnutá do sústav národných noriem. Na Slovensku k tomu zatiaľ nedošlo.

Je treba spomenúť jednu dôležitú skutočnosť: IEC 61511 nenahrádza normu IEC/EN 61508. Tá je kmeňovou normou platnou pre akékoľvek procesy a tvorí základ pre národné, odborové alebo špecializované normy, ktoré si môžu vytvárať rôzne združenia alebo odvetvia priemyslu. Kmeňovú normu je možné použiť všade tam, kde neexistuje špeciálna norma pre ten ktorý sektor.

Kto čítal kmeňovú normu, musí pripustiť, že je terminologicky a konštrukciou trocha ťažkopádna. Norma IEC 61511 používa prijateľnejšiu terminológiu. Zavádza aj iné označenie pre bezpečnostný systém, tzv. Safety Instrumented System (SIS).

S niektorými problematickými otázkami, ktoré stáli pred kmeňovou normou, sa táto nová norma už vyrovnala. Uvediem príklad zľavenia požiadaviek na komponenty kategórie B. Je nespochybniteľné, že poruchy vo funkčnej logike zapríčinené poruchami výrobcovia bezpečnostných PLC a v redundantných štruktúrach používajú Zmäkčenie„ požiadaviek nastalo u prístrojov s inteligenciou na báze če). Zmena bola podporená skúsenosťami z kontinuálnych procesov, kde sú dlhodobo a hromadne používané. Nebolo logické dávať ich na úroveň s PLC.

Norma IEC 61511 zdôrazňuje, že alokácii bezpečnostného systému by mala predchádzať analýza rizika. Toto je už tak frekventovane spomínané, že to budí dojem, ako keby zľahčovanie situácie stále pretrvávalo. Viaceré príklady aj skutočne ukazujú, že koncoví používatelia stále nedokážu položiť na misku váh bezpečnostný systém, ktorý im má uchrániť ich majetok, zdravie a životy ľudí. Nahrádzajú ho použitím bezpečnostného ventilu, ktorý síce môže čosi zachrániť, ale znamená stratu na materiále, ktorý sa musí znovu spracovávať, zahrnúť do nižšej kvality alebo v krajnom prípade spáliť na poľnom horáku. Málokedy sa pristúpi k porovnaniu nákladov na bezpečnostný systém so stratami, ktoré vzniknú pri vynútenej strate tlaku v zariadení. Porovnanie sa zjednoduší na rozdiel ceny bezpečnostného systému a bezpečnostného ventilu. Iný pohľad na túto skutočnosť dáva cítiť, že nie je veľa subjektov, ktoré sú schopné robiť analýzu rizika. A ak aj existujú, často v používateľovi nenachádzajú rovnocenného partnera, ktorý vie zodpovedať všetky kladené otázky. Určitá obtiažnosť, ktorá brzdí túto oblasť, je v tom, že odhad rizík je v prevažnej miere subjektívna záležitosť, ktorá vyžaduje veľa skúseností na priblíženie sa k objektívnemu pohľadu (pritom netvrdím, že objektívne posúdenia absentujú). Niektoré spoločnosti, ako napr. spoločnosť Shell, vyvinuli vlastný softvér, ktorý im dovoľuje racionálne posúdiť riziká, a túto službu aj ponúkajú.

Čo je skutočne veľmi pozitívne v norme IEC 61511, sú odporúčania, ako podeliť jednotlivé funkcie medzi bezpečnostný a riadiaci systém. Časť 2, ktorá toto obsahuje, dáva aj detailné odporúčania týkajúce sa káblovania, rozhraní, snímačov a akčných orgánov. Mnohé z toho bolo prevzaté z ISA/S84.01 (severoamerická norma, ekvivalent IEC 61511). Toto je pomôcka hlavne pre inžinierske spoločnosti a systémových integrátorov. Na nich sa musí spoľahnúť koncový používateľ. Ak sú ich argumenty podporené normou, riešenie sa stáva priechodnejším.

Norma IEC 61511 urobila významný krok vpred v riešení tak zložitého problému, ako je stanovenie SIL. V časti 3 uvádza viacero príkladov použiteľných pri kontinuálnych procesoch. Oproti kmeňovej norme, ktorá taktiež uviedla viacero kvalitatívnych a kvantitatívnych metód, obsahuje aj tzv. kvázi kvantitatívnu metódu, založenú na analýze stromu porúch a udalostí. Táto metóda pravdepodobne bude frekventovane používaná. Prevzatá bola aj maticová metóda z ISA/S 84.01, ako aj graf rizík z DIN V 19 250 (jej platnosť končí v auguste 2004).

Obr. 4.

Kmeňová norma IEC/EN 61508 aj táto norma IEC 61511 sa zaoberajú celým životným cyklom, ale ho zjednodušujú a preskupujú niektoré povinnosti na iné subjekty. Je to vlastne uzavretý cyklus, ako ilustruje obr. 3. Kompetencia za jednotlivé fázy celého životného cyklu podľa normy IEC 61511 je na obr. 4.

4. Záver

Napriek veľkému pokroku, ktorý tvorcovia zmienených noriem urobili, je treba zdôrazniť, že informácie v nich nie sú tak detailné, aby poskytovali úplný a jednoznačný návod, ako aplikovať hociktorú z uvádzaných metód stanovenia SIL. To jednoznačne svedčí o tom, že problematika je zložitá a komplexná. Vyžaduje skúsenosti a prax, ako aj ochotu čerpať aj z iných zdrojov, ako je norma. Tu sa žiada poznamenať, že spoločnosť SIPI môže prispieť k rozširovaniu poznatkov v tomto smere odovzdávaním skúseností rôznych subjektov v členských krajinách EU, kde v aplikácii bezpečnostných systémov už významne pokročili. Použijem veľmi výstižné heslo jedného z koordinátorov tohto projektu – Bez výmeny skúseností nie je možné očakávať prínos (No Share – No Gain).

Výrobcovia prístrojov a zariadení naďalej budú čerpať z IEC/EN 61508. Bolo by žiaduce, aby sa to stalo bežným prístupom ku konštrukcii zariadení, ako sme boli zvyklí napr. u iskrovobezpečných zariadení. Najviac sa v tejto oblasti činia výrobcovia bezpečnostných PLC. Koncoví používatelia spolu so systémovými integrátormi musia nadobudnúť presvedčenie, že výrobcovia ich nesklamú a trh bude poskytovať dostatok zariadení aplikovateľných v bezpečnostných štruktúrach obvodov.

Problematika priemyslovej bezpečnosti musí byť výzvou pre subjekty, ako sú inžinierske organizácie, školy a výskumné ústavy, aby sa chytili príležitosti a začali budovať na svojich predchádzajúcich skúsenostiach s cieľom vypracovať sa na spoločnosť, ktorá dokáže poskytovať tak prepotrebné služby v oblasti analýzy rizika a stanovovania SIL a nadväzne tvorby architektúry všetkých nevyhnutných bezpečnostných funkcií. Nie je tak vzdialená doba, keď dozorné orgány budú klásť tieto otázky:

  • Ako viete demonštrovať, že váš proces je bezpečný?
  • Ako viete demonštrovať, že použité prístrojové vybavenie je bezpečné?
  • Ako viete demonštrovať, že váš bezpečnostný systém chráni váš proces proti existujúcemu riziku?

Odpoveď musí obsahovať argumenty, ktoré dokážu súlad s priemyselnou bezpečnostnou normou. Tak sa firma stane konkurencie schopnou nielen doma, ale aj v európskom merítku. Dopad tohto aktu je mnohostranný. Okrem evidentných výhod znížia sa aj jej náklady súvisiace s poistením majetku.

Toto je výzva pre priemysel, aby sa dostal na úroveň, ktorá bude potrebná pre taký hospodársky rast ČR a SR, aby tieto štáty dokázali držať krok s rozvinutými krajinami EU. V oboch krajinách sú na to reálne predpoklady.

Literatúra:

[1] VASS, J.: Aspekty funkčnej bezpečnosti. Automa, 2003, roč. 9, č. 2, s. 18–21.

[2] NUNNS, S.: No Share – No Gain. Epigram, summer 2003.

[3] CAPELLE, T. V.: Industry Safety Standards. In: Zborník prednášok seminára Průmyslová bezpečnost. D-Ex Limited s. r. o., Brno, listopad 2003.

[4] STN/EN 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PES). IEC, 2002.

[5] IEC 61511 Functional Safety; Safety Instrumented Systems for the Process Industry Sector. IEC, 2003.

Ing. Jozef Vass,
D-Ex Limited spol. s r. o.
(jvass@dex.sk)

Inzerce zpět