Aktuální vydání

celé číslo

03

2024

Automatizační technika v energetice a teplárenství, úspory energie

Snímače teploty

celé číslo

Foundation Fieldbus SIF: budoucnost bezpečnosti procesů (část 1)

Larry O‘Brien, Dick Hill
 
Systém bezpečnostních přístrojových funkcí využívající komunikační sběrnici Foundation Fieldbus (Foundation Fieldbus Safety Instrumented Functions – FF-SIF) ve své beta ver­zi úspěšně prošel zkouškami a výrobci začnou brzy dodávat výrobky odpovídající jeho specifikaci. To znamená velké změny na trhu s bezpečnostními přístrojovými systémy (Safety Instrumented System – SIS, tj. systémy určené k zajišťování funkční bezpečnosti spojitých technologických procesů). Změní se také způsob, jakým k systémům typu SIS budou přistupovat jejich koneční uživatelé. Autoři, pracovníci známé poradenské spo­lečnosti ARC Advisory Group z USA, specializované na automatizaci v průmyslu, v člán­ku diskutují o významu techniky FF-SIS pro globální trh s bezpečnostními přístrojovými systémy a konečné uživatele. U čtenářů se předpokládají základní znalosti v oboru prů­myslových komunikačních sběrnic, zejména sběrnice Foundation™ Fieldbus (FF), a bez­pečnostních přístrojových systémů.
 
Foundation Fieldbus Safety Instrumented Functions (FF-SIF) have been successfully beta tested and products conforming to the FF-SIF specification will be available soon. This means big changes for the safety system market and a change in the way end users will approach safety instrumented systems (SISs). In the article the authors from well-known ARC Advisory Group discuss the implications of FF-SIF technology for the glob­al plant safety system market and end users. Readers are expected to be familiar with basics of fieldbus technology, especially Fieldbus Foundation´s one, and safety instru­mented systems technology as well.
 

1. Systém FF-SIF je rozhodující součástí automatizační infrastruktury Foundation Fieldbus

 

1.1 Foundation Fieldbus není jen náhrada analogové techniky 4 až 20 mA

Společnost ARC je pevně přesvědčena, že systém Foundation Fieldbus (FF) je více než jen pouhá komunikační síť a že je od základu vybudován tak, aby přinesl více než jenom di­gitální náhradu techniky 4 až 20 mA. Toto platí jak pro bezpečnostní systémy a systém FF-SIF, tak i pro použití systému FF v základních řídi­cích systémech technologických procesů (Ba­sic Process Control System – BPCS). Systém FF představuje jednotnou infrastrukturu, je­jímž prostřednictvím lze spravovat data, komu­nikační prostředky, výrobní zařízení a události v závodě při zajištění vysokého stupně distri­buce řídicích činností a interoperability mezi zařízeními a subsystémy (obr. 1).
 
Užitné vlastnosti i technika umožňující jich dosáhnout jsou jistě významné, avšak samy o sobě nezakládají důvod k pořízení jakéhoko­liv zařízení nebo softwaru, zejména při součas­né nechuti investovat. Koneční uživatelé věnují v současné době značnou pozornost otázkám hospodárnosti, a veškerá technika tudíž musí obstát při hodnocení podle ekonomických kri­térií. Ve společnosti ARC sledujeme, jak jsou v odvětvích se spojitými technologickými pro­cesy opakovaně vznášeny stále tytéž požadav­ky diktované ekonomikou – na zvýšení spo­lehlivosti chodu procesů cestou péče o jejich tzv. celistvost, na zavedení efektivních postu­pů agregace dat a informací v podniku (busi­ness intelligence) a na vytvoření rozšiřitelné­ho společného prostředí použitelného jak při realizaci malých řídicích úloh, tak při řízení velkých provozních celků, kdy je nutné spo­lu integrovat mnoho různých řídicích domén. Systém FF pomáhá řešit všechny tři uvedené okruhy požadavků a je třeba na něj nahlížet jako na techniku umožňující dosáhnout kom­plexních přínosů (obr. 2).
 

1.2 Systém FF zajistí především celistvost procesu

Technologický proces je celistvý tehdy, je-li závod udržován v dobrém stavu a fun­guje co možná nejspolehlivěji při součas­ném uplatňování strategie proaktivní údrž­by. Vznikne-li v takovém závodě mimořád­ná situace a je třeba ho zastavit, děje se tak logickým a řízeným způsobem, který za­mezí vzniku nepoužitelného odpadu a, což je ještě důležitější, také újmě na zdraví lidí a životním prostředí. Současně je ale důle­žité vyhnout se bezdůvodným, falešným zá­sahům bezpečnostního systému, které nega­tivně ovlivňují produktivitu, aniž by vzrost­la bezpečnost.
 
Jako podpora postupů business intelligen­ce je požadován globální a spolehlivý přístup k datům, umožňující uživatelům v různých rolích v závodě získat kdykoliv a z libovol­ného místa v systému data, která aktuálně potřebují. Data přitom musí být prezentová­na způsobem umožňujícím je snadno pocho­pit a poté jednat. Požadavek na otevřenost a rozšiřitelnost infrastruktury řídicího systému je diktován potřebou zbavit se nákladů na zakázkovou in­tegraci systému a umožnit vybraným nejlep­ším produktům svého druhu bezproblémově spolupracovat v otevřeném prostředí.
 
Otevřená automatizační infrastruktura FF vychází všem těmto uvedeným požadavkům vstříc několika různými cestami.
 

1.3 Význam integrace bezpečnostních funkcí

Systém FF-SIF představuje společnou zá­kladnu pro realizaci bezpečnostních i vlastních řídicích funkcí, kterou společnost ARC obha­juje ve svém modelu „stejné, ale oddělené“, platném pro bezpečnostní systémy. Podle to­hoto modelu spolu základní systém pro řízení technologického zařízení (BPCS) a systém za­jišťující funkční bezpečnost zařízení (SIS) sdí­lejí tutéž řídicí síť a mohou používat společné zobrazovací a vývojové nástroje i systém sprá­vy hmotného majetku, zatímco logické opera­ce se vykonávají pro každý z obou systémů sa­mostatně. Sdílená společná základna znamená menší náklady na instalaci, eliminaci nákladů na zakázkovou integraci systému a možnost dosáhnout jednotného způsobu správy základ­ního řídicího systému, technologického zaří­zení i bezpečnostního přístrojového systému.
 
Tradičním způsobem, jak zajistit funkční bezpečnost technologického zařízení, je při­dat k němu komponenty chránící personál pra­cující na nebezpečných místech závodu nebo blízko nich před zraněním nebo usmrcením a podnik před ekonomickou ztrátou. Moderní přístupy k zajištění funkční bezpečnosti tento tradiční rámec ovšem daleko překračují. Mno­ho konečných uživatelů si nyní uvědomuje, že při použití inteligentních, integrovaných bez­pečnostních systémů mohou dosahovat lep­ších hospodářských výsledků a současně zvý­šit bezpečnost procesů i personálu.
 
Použití tradičních samostatných bezpeč­nostních systémů vede k rozdílným projek­tovým a provozním požadavkům na základ­ní řídicí systém a systém bezpečnostní. Pri­mární úlohou základního řídicího systému je udržovat předem stanovené hodnoty určitých provozních proměnných bez ohledu na změny v okolním prostředí. Bezpečnostní přístrojo­vý systém je oproti tomu statický, vyčkáva­jící na příležitost k akci, která uvede řízený proces do bezpečného stavu v případě, že se stal neovladatelným a samotný základní řídicí systém ho již nedokáže udržet v bezpečných mezích. Výsledkem byl vznik systémů dvo­jího typu – systémů pro řízení procesu a sys­témů pro zajištění funkční bezpečnosti – se samostatnými operátorskými rozhraními, in­ženýrskými pracovními stanicemi, konfigu­račními nástroji, archivy dat a událostí, sys­témy péče o zařízení a komunikačními sítě­mi. Toto vše má nepříznivý vliv na náklady na pořízení infrastruktury, měřicího a řídicí­ho hardwaru a kabeláže, na integraci systémů, na projektové činnosti i na instalaci a spouš­tění zařízení v závodě.
 
Při tradičním přístupu jsou větší i další výdaje během životního cyklu zařízení, např. na náhradní díly, technickou podporu, škole­ní, údržbu a servis. Další náklady jsou vyvo­lány tím, že příslušná rozhraní jsou technicky náročná a jejich údržba a synchronizace vyža­dují kvalifikovanou odbornou pracovní sílu. Pro konečné uživatele je to drahé řešení, ze­jména při vědomí, že pokud se nic neporou­chá, nelze u výdajů na bezpečnostní systém kalkulovat s určitou návratností.
 
Donedávna měli uživatelé jen malou šanci postupovat jinak, než použít pro řízení a pro zajištění bezpečnosti zcela samostatné systé­my. Někteří z nich dokonce trvali na tom, aby základní řídicí systém a bezpečnostní systém byly dodány různými výrobci. K tomu, aby bezpečnostní funkce na jedné a řídicí funk­ce na druhé straně byly zajišťovány různými řídicími jednotkami, je i nadále mnoho pád­ných důvodů, např.:
  • nezávislost poruch, tj. minimalizace rizika současné poruchy řídicího a bezpečnostní­ho systému (porucha se společnou příči­nou),
  • informační bezpečnost, tj. potřeba zbránit tomu, aby změny provedené v základním řídicím systému způsobily změnu nebo de­gradaci funkcí přidruženého bezpečnostní­ho systému,
  • odlišné požadavky na bezpečnostní řídicí jednotky, neboť bezpečnostní systém je běž­ně zkonstruován tak, aby se popř. porouchal předvídatelným a bezpečným způsobem, zatímco základní řídicí systém je obvykle navržen se snahou po maximální spolehli­vosti; bezpečnostní systém má také někte­ré zvláštní vlastnosti, jako např. roz­šířené diagnostické funkce, speciální kontrolu chyb softwaru, chráněnou paměť dat a odolnost proti poruše.
Výrobní útvary jsou v současné době tlačeny k tomu, aby nepřetrži­tým zvyšováním výkonnosti výrob­ního zařízení co nejvíce zlepšovaly hospodářské výsledky svých spo­lečností. V současné době jsou sle­dovány zejména dvě metriky, a to návratnost investic do hmotného majetku (Return on Assets – ROA) a celková efektivita zařízení (Ove­rall Equipment Efficiency – OEE), které dohromady nejvýrazněji ovliv­ňují vzdálenost dělící firmu od ide­álního celkového cíle – dosažení tzv. provozní excelence (Operatio­nal Excellence – OpX). „Osudovým údělem“ všech výrobců je neplánovaná odstávka – ne­očekávané zastavení výroby z důvodu závady na zařízení, chyby obsluhy nebo neopodstatně­ného zásahu bezpečnostního systému. Systém FF-SIF nejenže nabízí zdokonalenou diagnos­tiku minimalizující riziko falešných spuštění bezpečnostních funkcí. Ještě důležitější je, že ho lze integrovat přímo do standardních řídi­cích struktur a využít jejich pokročilé metody správy zařízení a událostí, a tak minimalizo­vat pravděpodobnosti rizika vzniku poruchy (obr. 3). Základní přínosy i problémové strán­ky integrace bezpečnostních a řídicích funkcí jsou uvedeny v tab. 1.
 

2. Historie a bezpečnostní koncept systému FF-SIF

 

2.1 Historie systému

Začátkem roku 2006 organizace Fieldbus Foundation oznámila, že certifikační orgán TÜV Rheinland vydáním dokumentu typu Protocol Type Approval odsouhlasil její spe­cifikace pro oblast bezpečnostních přístro­jových systémů (Foundation Fieldbus Safe­ty Instrumented Systems – FF-SIS), navrže­né v souladu s normou IEC 61508, určující požadavky na funkční bezpečnost elektric­kých/elektronických/programovatelných elek­tronických systémů spjatých s bezpečnos­tí až do úrovně SIL 3 (Safety Integrity Le­vel 3) včetně.
 
Dokument TÜV Protocol Type Appro­val umožňuje realizovat na bázi sběrnicové­ho systému FF úplná řešení v oboru bezpeč­nostních přístrojových systémů (SIS) pro ši­rokou paletu úloh řešených v průmyslových provozech a závodech. Specifikace umožňují výrobcům řídicí techniky konstruovat zaříze­ní odpovídající normě IEC 61508. Certifikát potvrzující, že jde o zařízení vhodné k použi­tí v bezpečnostních přístrojových systémech, vydá TÜV. Výrobci předpokládají, že začnou předkládat TÜV svoje výrobky ke schválení během roku 2009. Skutečné produkty s cer­tifikátem od TÜV lze tudíž očekávat na trhu během roku 2010 a realizaci větších projek­tů pravděpodobně v roce 2011. Koneční uži­vatelé si poté budou moci vybírat z množiny zařízení vyhovujících požadavkům normy IEC 61511 (funkční bezpečnost: bezpečnostní přístrojové systémy pro spojité technologické procesy) od mnoha dodavatelů namísto dosa­vadní omezené nabídky zařízení zkonstruo­vaných speciálně k použití s jedním jediným proprietárním systémem.
 

2.2 Foundation Fieldbus jako „černý kanál“

Dvě základní koncepce používané při vy­pracovávání návrhu komunikačních sítí v bez­pečnostních systémech jsou koncepce tzv. nespolehlivého média (black channel) a její opak, koncepce tzv. spolehlivého média (whi­te channel). Podle koncepce white channel je celý komunikační systém, zdola až nahoru, projektován s ohledem na požadavky bez­pečnostních úloh. Veškerá jeho specializo­vaná zařízení včetně rozváděčů, přepínačů atd. musí být certifikována, což znamená ná­klady navíc. Koncepce black channel (podle známého black box) naopak využívá běžné přenosové systémy a běžný síťový hardwa­re. Bezpečnostní vrstva, která v tomto kon­ceptu zpracovává všechny úlohy a požadav­ky týkající se bezpečnosti, je integrální sou­částí komunikační struktury. Podle normy IEC 62280-1 se nachází mezi zásobníkem komunikačního protokolu a aplikační vrst­vou. Protože ochranná vrstva je zde součástí sítě, uživatel může k bezpečnostní síti konci­pované jako black channel připojit i zařízení bez bezpečnostního certifikátu. Všechna za­řízení mohou sdílet jednu společnou síť, což znamená výrazně menší náklady.
 
V systému FF-SIF je síť typu black chan­nel spojující přístroje systému SIS s jeho lo­gickou vyhodnocovací jednotkou realizo­vána při použití základního komunikační­ho protokolu FF H1. Ten nebyl pro použití v bezpečnostním systému nijak měněn; pou­ze byly přidány doplňková diagnostika zaří­zení a schopnost detekovat chybu při přenosu, což je realizováno ve vyšší vrstvě komunikač­ního protokolu. Vedle rozšířené diagnostiky zařízení je tedy základní předností systému FF-SIF ve funkci black channel možnost vy­užít diagnostiku na úrovni bezpečnostní sítě. Tradiční analogové bezpečnostní sítě mož­nost detekovat šum, degradaci anebo poru­chy v síti nenabízejí.
 

3. Registrace a certifikace v systému FF-SIF

Stejně důležitá jako certifikace výrobků pro systém FF-SIF zajišťovaná TÜV je jejich registrace u organizace Fieldbus Foundation. Koncepce a vlastní způsob certifikace zaříze­ní pro sběrnici FF z hlediska jejich použitel­nosti v přístrojových bezpečnostních systé­mech jsou schváleny TÜV, s výrobou zaříze­ní i jejich předáváním do TÜV k certifikaci musí ovšem začít sami výrobci.
 
Podobně však, jako musí být výrobky ur­čené pro systém FF schváleny organizací Fi­eldbus Foundation z hlediska interoperabili­ty, je u výrobků uvažovaných k použití v bez­pečnostních přístrojových systémech povinná jejich registrace. Jde o proces zcela oddělený od procesu certifikace v TÜV. Probíhá tak, že po schválení v TÜV lze přístroje a hostitelské systémy uvažované pro systém FF-SIF regis­trovat u organizace Fieldbus Foundation, kte­rá spravuje specifikace systému FF-SIF oddě­leně od standardních specifikací sběrnice FF. Oddělené je také změnové řízení. Příslušné soubory jsou udržovány v různých nezávis­lých datových úložištích. Požadavek na ja­koukoliv technickou změnu je analyzován a popř. validován příslušným orgánem orga­nizace, kterým je Safety Review Committee, a teprve poté zařazen k vydání v příští ver­zi dokumentů.
 
Pro zařízení určená pro přístrojové bez­pečnostní systémy zavedla organizace Field­bus Foundation rozšířený registrační proces. S ohledem na nové požadavky na zkoušky, které vyvstaly z důvodu přidání bezpečnost­ních funkcí, organizace postupně vyvíjí no­vou sadu zkušebních a registračních nástrojů dostupnou na uživatelské úrovni. Rozhodnou--li se dodavatelé podrobit svá zařízení valida­ci v oblasti funkční bezpečnosti, budou moci provést jejich zkoušky a pořídit z nich přísluš­né protokoly podle požadavků organizace Fi­eldbus Foundation, která poté zařízení přidělí registrační značku.
 
Zkoušky předcházející přidělení registrač­ní značky jsou u zařízení určených pro pří­strojové bezpečnostní systémy přinejmenším stejně přísné jako zkoušky, kterými prochá­zejí standardní zařízení určená pro provoz­ní sběrnici FF H1. Ověřuje se chování všech vrstev v zařízení včetně elektronických ob­vodů (fyzická vrstva) i zásobníku komuni­kačního protokolu i použitelnost zařízení (vrstva funkčních bloků). U elektroniky se ověřuje např. schopnost činnosti včetně sig­nalizace při minimálním provozním napětí. Při posuzování způsobilosti zásobníku proto­kolu, prováděném výhradně Fraunhoferovým ústavem pro zpracování informací a dat (In­stitut für Informations- und Datenverarbei­tung – IITB), se ověřuje, zda zařízení dokáže správně sestavovat i interpretovat zprávy pře­dávané po sběrnici. Závěrečná zkouška, vyko­návaná s použitím sady Interoperability Test Kit (ITK) for SIF, potvrdí způsobilost a in­teroperabilitu zařízení při vlastním použití, včetně činnosti funkčních bloků. Je důležité zdůraznit, že registrační proces se v žádném směru netýká funkční bezpečnosti. Bezpeč­nostní aspekty zařízení jsou věcí jeho výrob­ce a příslušné třetí strany, kterou je servisní organizace typu např. TÜV.
 

4. Systém FF-SIF odpovídá mezinárodním normám pro oblast funkční bezpečnosti

Systém FF vždy odpovídal mezinárod­ním normám a systém FF-SIF v této tradici bez výjimky pokračuje. Odpovídá požadav­kům normy IEC 61508 pro funkčně bezpečné systémy až do SIL 3 včetně a umožňuje uži­vatelům budovat bezpečnostní systémy podle normy IEC 61511, platné pro oblast funkční bezpečnosti spojitých technologických pro­cesů v průmyslu (tab. 2).
 
Za dobu existence norem IEC 61508 a IEC 61511 výrazně vzrostl zájem uživa­telů o důkladné analýzy v oblasti funkční bezpečnosti a o používání certifikovaných bezpečnostních přístrojových systémů. Tyto bezpečnostní normy poskytují návod, jak v dané oblasti správně postupovat, a obsa­hují určitá doporučení, avšak v žádném pří­padě ze svých uživatelů nesnímají odpověd­nost za bezpečný chod jejich zařízení. Sta­novují, že bezpečnost nelze dokládat zpětně, ale že musí být prokázána předem. Normy se tudíž zaměřují nejen na analýzu nebezpe­čí a rizik a stanovování požadavků na bez­pečnostní systémy, ale především na celý ži­votní cyklus bezpečnosti, zahrnující validaci instalovaných systémů a jejich provoz, údrž­bu a nakonec likvidaci. Předmětem normy je tedy péče o bezpečnost po celou dobu pro­vozního života systému.
 
Normy sice vyžadují důkaz o odborné způsobilosti posuzujících osob, aniž by však trvaly na jejich formálním oprávnění nebo pověření. Uživatelé bezpečnostních přístrojo­vých systémů však stále častěji požadují, aby certifikace vykonávali kompetentní a pro tuto činnost certifikovaní jednotlivci nebo orga­nizace. V současnosti existuje mnoho národ­ních i nadnárodních organizací zabývajících se vzděláváním, prověřováním kompetencí a certifikováním jednotlivců i firem prová­dějících audity v oboru funkční bezpečnosti. Z nich jmenujme např. organizace The 61508 Association a ISA.
 
(pokračování)
 
Larry O’Brien, analytik,
Dick Hill, editor,
ARC Advisory Group
 
Obr. 1. Bezpečnostní přístrojové funkce (SIF) jsou přirozeným rozšířením automatizační infra­struktury Foundation Fieldbus (FF)
Obr. 2. Hlavním přínosem automatizační in­frastruktury Foundation Fieldbus je schopnost zajistit celistvost procesů
Obr. 3. Společná struktura realizovaná s použitím systé­mu FF-SIF snižuje náklady na instalaci i provoz a zvyšuje provozní spolehlivost zařízení
 
Tab. 1. Přínosy integrace bezpečnostních a řídicích systémů a související problémy
Tab. 2. Hlavní rozdíly mezi normami IEC 61508 a IEC 61511