Aktuální vydání

celé číslo

03

2021

Digitální transformace, chytrá výroba, digitální dvojčata

Komunikační sítě, IIoT, kybernetická bezpečnost

celé číslo

Bezpečnost a redundance

Bezpečnost a redundance jsou dva rozdílné pojmy, kterým ne každý zcela rozumí jak jednotlivě, tak především jejich vzájemné souvislosti. Článek je stručně objasňuje a cha­rakterizuje jejich vztah jak z technického, tak i z legislativního hlediska. Závěrem jsou uvedena základní doporučení pro praxi.

 

Dva pohledy na bezpečnost

Funkční bezpečnost (dále jen bezpečnost, anglicky safety) je definována velmi podob­ně, ale nikoliv stejně pro obor řízení strojů a pro obor řízení spojitých technologických procesů. U každé úlohy, kde není zřejmé, zda jde o stroj (strojní zařízení), nebo o proces, je třeba si položit dvě základní otázky.
 
První z otázek je: „Co je nebezpečné?“. Na ni se čeká odpověď buď „pokračovat v činnosti“, nebo „zastavit činnost“. Druhá otázka zní: „Co je bezpečné?“. Na druhou otázku se čeká odpověď „pokračovat v říze­ní“, nebo „zastavit řízení“.
 
Jestliže je nebezpečné pokračovat v čin­nosti a bezpečné je zastavit řízenou entitu (stroj, proces), jde o řízení stroje. Jako pří­klad lze uvést pohybující se robot. Bude-li jeho činnost zastavena, nehrozí dále žádné riziko, jehož zdrojem by byl (stojící) robot.
 
Je-li nebezpečné zastavit řízení a je bez­pečné udržet řídicí systém entity v chodu, jde o řízení (bezpečnost) spojitého procesu. Pří­kladem může být parní kotel. Kdyby napáje­cí čerpadlo přestalo dodávat vodu, ze které se generuje pára, a tím se ochlazuje kotel, mohlo by dojít k přehřátí kotle, porušení jeho stěny a k explozi. Tedy ne vždy je „povel“ zastavit danou entitu smysluplný a bezpečný.
 

Důležité pojmy

K usnadnění dalšího výkladu je vhodné definovat některé základní pojmy, jak je – v určitém zjednodušeném pojetí – autor chá­pe v tomto pojednání o vztahu mezi bezpeč­ností a redundancí.
 

Řídicí systém

Řídicí systém je takový automatický pro­středek k řízení, který nastavuje své výstupy na základě obrazů vstupů a při použití vnitř­ního softwaru, který toto automatické chování umožní. Pro potřeby v rámci tohoto textu je ponecháno stranou rozdělení vstupů a výstu­pů na digitální a analogové, rozdělení softwa­ru na firmware a další vrstvy apod.
 

Bezpečnostní systém

Bezpečnostní systém je systém splňují­cí požadavky kladené na tzv. bezpečnostní komponenty. Pro účely tohoto článku postačí definice označující jako bezpečnostní takový systém, jehož vstupy a výstupy jsou určitým vnitřním způsobem sledovány a jejich chová­ní je řízeno, stejně jako je jinými prostředky sledováno a hlídáno také chování softwaru. Vyskytne-li se chyba, následuje reakce zá­vislá na povaze úlohy.
 

Redundantní systém

Systém s redundancí (tzv. redundantní systém) je systém, který nemusí mít nic spo­lečného s bezpečností (nezaměňovat automa­ticky s hledisky spolehlivosti, dostupnosti; anglicky availability). Vezměme si jeho po­jmenování – slovo redundance znamená nad­bytečnost, tedy laik nepoznamenaný praxí by řekl, že takový řídicí systém je při konkrét­ním použití zbytečně rozsáhlý. Redundantní řídicí systém má obvykle dvě procesorové jednotky (CPU), ty mohou mít dvojité na­pájecí obvody, dvojité komunikační sběrni­ce, dvojité obvody I/O, dvojité databázové prostředky, dvojitý zobrazovací podsystém, či dokonce i dvojitý archiv provozních úda­jů. Někteří výrobci umožňují ve svých za­řízeních zdvojit pouze některé z uvedených komponent, přičemž ostatní mohou zůstat jednonásobné.
 
Proč dvojité zařízení? V případě poruchy je tato detekována a daná oblast je přepnuta na druhý z okruhů či druhou z komponent – např. na druhou procesorovou jednotku nebo na záložní větev komunikační sběrnice. Pře­pnutí je zobrazeno operátorovi a porucha, např. přerušený komunikační kabel, musí být do určité doby odstraněna. Následně si ope­rátor zvolí, zda chce systém opět přepnout do předchozího stavu, nebo ponechat běh na druhou, záložní větev a až v případě její poruchy přepnout zpět na větev první. Z na­značeného vysvětlení je patrné, že zmíně­ný laik má ze značné části pravdu: motivem k používání řídicích systémů s redundancí jsou ekonomické ztráty spojené s odstavová­ním a opětovným spouštěním technologic­kého zařízení – především v provozech, kde opětovné započetí výroby trvá dlouho a eko­nomické ztráty jsou příliš velké, jako např. v elektrárnách, chemických a petrochemic­kých závodech a dalších provozech se spoji­tými technologickými procesy.
 
Další skupinou systémů jsou kombinace předchozích dvou typů systémů, tedy bezpeč­nostní a redundantní systém v jednom. Z po­hledu uživatele je takové uspořádání výhod­né, protože pořizovat samostatné redundantní a bezpečností systémy je značně nákladné (de facto se pořizují dva systémy místo jednoho, přičemž je nutné vyřešit vzájemnou komuni­kaci těchto systémů a jejich napojení na pod­systém vizualizace, což při použití kombino­vaného systému není zapotřebí).
 
Na trhu jsou nabízeny také speciální vý­robky splňující nejvyšší požadavky na bez­pečnost a redundanci označované jako TMR (z anglického Tripple Modular Redundancy), které jsou trojnásobně zálohovány a součas­ně jsou klasifikovány jako bezpečnostní. Ta­kové systémy jsou využívány např. při řízení primárních okruhů jaderných elektráren, re­frakčních kolon v rafineriích, plošin pro těž­bu ropy a zemního plyn a v podobných pro­vozech s vysokou úrovní rizika.
 

Legislativní hledisko

Jak na danou problematiku nahlíží le­gislativa? Jde o záležitost poněkud složitěj­ší. Základním kritériem při rozhodování je, zda daná řízená entita splňuje definici stroje (strojního zařízení). Jestliže ano, je třeba ná­sledovat strojírenskou směrnici 2006/42/ES, jak předepisuje zákon 22/1997 Sb. Nejde-li o stroj, půjde s největší pravděpodobností o spojitý technologický proces.
 

Strojní zařízení

Strojní zařízení (stroje) podléhají působ­nosti zákona 22/1997 Sb. a na něj navázaných nařízení vlády nebo směrnic EU, např. zmíně­né strojírenské směrnice. Podle toho, do které skupiny stanovených výrobků daný stroj pa­tří, takové nařízení vlády či směrnice musí výrobce splnit. Jestliže chce uživatel zvolit levnější a jednodušší prohlašování shody podle přílohy VIII nebo X strojírenské směrnice 2006/42/ES, je nutné použít harmonizované normy. V oficiálním věstníku ke strojírenské směrnici jsou ze všech možných k dispozi­ci normy EN ISO 13849-1 nebo EN 62061, ovšem zavést podle nich řídicí systém s redundancí je velmi nesnadné.
 

Spojité technologické procesy

Pokud jde o bezpečnost nikoliv strojů, ale spojitých technologických procesů, je daleko efektivnější použít soubor norem EN 61508, nebo spíše EN 61511. Situace není ani zde zcela jednoznačná, protože zejména norma EN 61508 je použitelná i pro řídicí systémy strojů, nicméně není harmonizována a při prohlašování shody by bylo nutné použít po­stup podle přílohy IX směrnice 2006/42/ES, vyžadující přezkoušení typu, a tím celé řeše­ní značně prodražit.
 
Každopádně oba soubory norem, EN 61508 i EN 61511, pracují s pojmem prav­děpodobnosti selhání systému při požadav­ku na jeho činnost (Probability of Failure on Demand – PFD), a to ve dvou podobách v závislosti na četnosti výskytu požadavků na činnost systému (komponenty). U systé­mů pracujících v režimu s velkou četností požadavků na činnost (tzv. high demand) se užívá veličina PFHd (Probability of Dange­rous Failure per Hour), zatímco u systémů pracujících v režimu s malou četností po­žadavků na činnost (tzv. low demand) ve­ličina PFD.
 
Co si pod uvedenými pojmy představit? Jako názornou ukázku lze uvést příklad z běž­ného automobilu. Bezpečnostní komponen­tou pracující v režimu velké četnosti poža­davků na činnost je systém provozních brzd, zatímco bezpečnostní komponentou s ma­lou četností požadavků na činnost je airbag. Stejné je to s řídicími a bezpečnostními sys­témy v průmyslu.
Systémy a komponenty, u kterých se před­pokládá časté zasahování do chodu daného procesu (technologického zařízení), budou pracovat v režimu high demand a půjde o úlo­hy, při nichž často dochází ke styku člověka se strojem. Naopak tam, kde systémy pouze sledují výrobní proces a zasáhnou až v přípa­dě rizika vzniku nebezpečné události vlivem ojedinělé poruchy, půjde o systémy pracují­cí v režimu low demand.
 
Systémů, které mohou pracovat pouze v režimu low demand, je velmi mnoho, ale je třeba si uvědomit, že zatímco přípustná prav­děpodobnost vzniku nebezpečné poruchy je např. jedna ku sto milionům u systémů v re­žimu high demand v úrovni SIL 3 (Safety In­tegrity Level; integrita bezpečnosti), pro stej­ně nebezpečný případ v režimu low demand je to pro tutéž SIL 3 jedna ku deseti tisícům, tedy o čtyři řády méně. Pozor, schválně neří­káme hůře, ale méně, protože pro režim low demand je to postačující. Byla by tedy velká chyba si myslet, že má-li systém v katalogo­vém listu uvedeno SIL 2, lze ho použít v ja­kékoliv úloze. Mohl by totiž vzniknout vážný rozpor s legislativou, který by mohl mít vel­mi závážné následky.
 
Při hodnocení bezpečnostních systémů (komponent) je tedy třeba vědět, zda prav­děpodobnost selhání při požadavku na čin­nost je v daném případě charakterizová­na veličinou PFHd (tj. pro režim high de­mand), nebo veličinou PFD (tj. pro režim low demand).
 
Pokud jde o systémy TMR, tyto většinou mají certifikáty pro oba typy pracovního re­žimu, neboť často řeší kombinované úlohy v oblasti bezpečnosti.
 

Čemu věnovat pozornost

Časté reakce na již uvedené jsou: „To je pěkné, že toho mám v hlavě zase o něco víc, ale jak se to celé projeví v mé praxi? Co se zase musím učit?“. Pracuje-li odbor­ník se stroji nebo na jejich konstruování již minimálně dva roky, nemusí se učit nic zá­sadně nového. Za zmínku snad stojí pouze nová norma EN 14119, která značně zpřís­ní používání bezpečnostních krytů; ve verzi ČSN by měla vyjít v létě 2014. Pracuje-li v oboru řízení spojitých technologických procesů, poslední změna se objevila v roce 2010, kdy byl zásadně novelizován soubor norem řady EN 61508. Zde lze doporučit zakoupení tohoto souboru novelizovaných norem. Dobrý pozor je však třeba si dávat v případě, že tento odborník vstupuje ze za­běhnutých kolejí do jiných, byť na první po­hled příbuzných odborných oblastí – tedy např. jestliže firma běžně řeší bezpečnost technologických procesů a najednou je zá­kazníkem oslovena s požadavkem na vyře­šení bezpečnosti stroje. Bezpečnost strojů a bezpečnost spojitých procesů jsou sice obory velmi příbuzné, ale přístupy, které jsou v nich používány, se přece jenom poněkud liší a jiným se způsobem je též pro­hlašována shoda.
 

Doporučení pro praxi

Na závěr několik základních doporuče­ní pro praxi. V oboru bezpečnosti strojů je ideální pro malé stroje použít bezpečnost­ní moduly. Při dodržení schémat doporuče­ných výrobcem stačí k ověření správnosti jednoduchý výpočet. Pro středně velké stro­je s odděleným klasickým řídicím systémem a bezpečnostním systémem je ověření složi­tější pouze o oblast softwaru. Pro velké stroje a strojní zařízení je nejlepší použít integrova­ný bezpečnostní systém, což je systém, který umí řídit výrobní proces a zároveň je scho­pen vyhodnocovat obvody bezpečnostních snímačů. Ohodnotit celý integrovaný systém je mnohem jednodušší než u varianty oddě­leného hardwaru. K řízení a zajištění bezpeč­nosti procesů lze rovněž použít integrovaný systém jak v klasickém uspořádání – tedy neredundatním, tak v redundantním uspořádá­ní, a to v těch případech, kde by v důsledku neplánované odstávky mohly vzniknout eko­nomické škody, nebo daleko častěji – kde by porucha mohla být příčinou vzniku nebez­pečné situace.
Karel Stibor