Aktuální vydání

celé číslo

07

2021

Automatizace řízení dopravy a infrastruktury, nabíjecí stanice, autonomní vozidla

celé číslo

Funkční bezpečnost bez kompromisů

Funkční bezpečnost nelze zajistit jen použitím certifikovaných komponent. O bezpeč­nosti je třeba přemýšlet během celého životního cyklu zařízení a brát v úvahu také člo­věka, protože právě ten je nejčastějším zdrojem bezpečnostních incidentů. Zákazníci navíc požadují, aby bezpečnostní prvky byly co nejlépe integrovány do automatizační­ho prostředí závodu nebo výrobní linky.
 
Co je bezpečnost? Podle definice je to vy­loučení rizika. Jenže riziko nelze vyloučit ni­kdy, vždy určité zbytkové riziko zbude. Výro­ba je zkrátka vždycky „riskantní“.
 
Úlohou bezpečnostních systémů je omezit riziko na přijatelnou úroveň. Ovšem sebelep­ší technika není nic platná, jestliže se nebere v úvahu člověk.
 
Když Evropská komise analyzovala příči­ny nehod v chemickém průmyslu, vyplynulo z údajů sbíraných od roku 1982 do součas­nosti, že více než 90 % nehod bylo primárně způsobeno chybami v organizaci práce nebo nedodržením jejích pravidel. Pod tím se nej­častěji skrývá práce ve stresu, nedbalost nebo jiná lidská selhání.
 

Problémy v průběhu implementace

 
Jestliže se implementuje systém funkční bezpečnosti, uživatelé musí počítat s těmito skutečnostmi:
  • bezpečnost musí být zajištěna v každé době, v provozu i mimo něj,
  • bezpečnostní systémy jsou v činnost uve­deny jen zřídka, ale přesto se jim musí vě­novat zvláštní pozornost,
  • pro dosažení maximální efektivity výrob­ního procesu musí být zachována co nej­větší dostupnost zařízení,
  • od výrobců a dodavatelů výrobních zaří­zení je třeba vyžadovat bezpečnostní ex­pertizu dodaných komponent,
  • bezpečnostní technika se musí vyrovnat s ros­toucí složitostí procesů a jejich segmentací,
  • bezpečnostní systém nesmí být nákladněj­ší, než je nezbytné.
 
Funkční bezpečností se zabývají dvě mezi­národní normy, IEC 61508 a IEC 61511. Nor­ma IEC 61508 se zabývá funkční bezpečností obecně, kdežto IEC 61511 se věnuje zvláště procesní výrobě.
 
Proč je pro mnoho firem problém im­plementovat funkční bezpečnost, když mají k dispozici uvedené normy? Protože to není jen otázka bezpečnostního systému, ale bez­pečnostní kultury celého podniku.
 

Bezpečnost po celou dobu životního cyklu

 
Klíčovou součástí normy IEC 61511 je zajištění bezpečnosti po celou dobu životní­ho cyklu. Má tři části: analýzu rizik, realiza­ci bezpečnostního systému a provoz zařízení. Další důležitý pojem je verifikace bezpečnosti na tzv. principu čtyř očí. Vše zastřešuje sys­tém řízení funkční bezpečnosti.
 
Společnost HIMA podporuje své zákazní­ky po celou dobu životního cyklu bezpečnost­ního systému: poskytované služby zahrnují analýzu rizika ve fázi návrhu, integraci sys­tému funkční bezpečnosti do DCS, poprodej­ní služby a školení (obr. 1). Odborníci firma HIMA pomáhají zákazníkům i při zavádění systémů řízení funkční bezpečnosti (FSM).
 

Systém řízení rizik a funkční bezpečnosti je povinný

 
Směrnice EU Seveso II nařizuje, že v pod­nicích s procesní výrobou musí být imple­mentován systém řízení rizik a funkční bez­pečnosti.
 
Systém FSM musí především jasně popsat procesy a stanovit odpovědnosti. Implemen­tace systému FSM je složitá procedura a vy­žaduje značné zkušenosti. Začíná pečlivým porovnáním existujícího systému s požadav­ky norem IEC. Následuje analýza, která sta­noví stupeň shody a určí odchylky od ustano­vení norem. Konečnou fází je adaptace celého systému tak, aby bylo dosaženo úplné shody s příslušnými normami.
 
Podobné procesy implementovala samot­ná HIMA již dávno před tím, než vstoupily v platnost jako normy IEC pro funkční bez­pečnost. Systém FMS ve firmě HIMA je cer­tifikován zkušebnou TÜV.
 
Již dlouho pomáhá HIMA implementovat systémy FMS také u svých zákazníků. Na­příklad už v roce 2004, krátce poté, co byly standardy pro funkční bezpečnost schvále­ny, pomáhala zavádět tento systém v rafine­rii v Burghausenu (Německo; ve vlastnictví ÖMV Germany).
 
Kromě mnoha různých dílčích školení po­řádá HIMA ve spolupráci s TÜV Rheinland také komplexní výukové kurzy, jejichž absolventi získají certifi­kát Functional Safety Engineer.
 

Certifikace sama bezpečnost nezaručí

 
Certifikace podle norem IEC 61508 a IEC 61511 je základem zajištění bezpečnosti, avšak mnohé negativní příklady z po­sledních let vyvolávají o účin­nosti samotné certifikace značné pochybnosti. Někteří výrobci na­šli takové zalíbení ve hře s čísly, že bez uzardění „katapultují“ svá zařízení do vyšší kategorie SIL např. prostě jen tím, že účelově zvýší počet bezpečných selhá­ní, a tak ovlivní příslušný poměr bezpečných a nebezpečných se­lhání. Naštěstí tvůrci norem za­reagovali a učinili takovým prak­tikám přítrž. Nicméně na trhu jsou stále zařízení, jejichž certifikace výrob­ci dosáhli podobným způsobem.
 
Samotný certifikát tedy bezpečnost neza­jistí. Je dobré se zajímat o to, za jakých pod­mínek byl certifikát získán a co se píše v uži­vatelské příručce o tom, kdy výrobce zaruču­je dodržení bezpečnostních funkcí a kdy tuto garanci přenáší na uživatele.
 

Intuitivní ovládání zabraňuje chybám

 
Zatímco řídicí systém je používán nepře­tržitě, bezpečnostní systém je za normálních podmínek uveden v činnost jen zřídka. Z hle­diska uživatele musí mít bezpečnostní sys­tém intuitivní ovládání, které vede operátora při jeho rozhodování. A nejde jen o ovládání, stejně snadné a intuitivní by mělo být i pro­gramování, konfigurace, diagnostika a sprá­va bezpečnostního systému.
 

Velký výpočetní výkon pro nové typy úloh

 
Velký výpočetní výkon bezpečnostních systémů HIMax (obr. 2) umožňuje realizo­vat složité bezpečnostní funkce založené ne­jen na přímo měřitelných fyzikálních veliči­nách, jako je teplota, tlak nebo průtok. Body aktivace bezpečnostní funkce mohou být zá­vislé na několika fyzikálních veličinách sou­časně a určovány složitými matematickými vzorci. Díky tomu může být systém provo­zován blíže ke svým fyzi­kálním mezím, což zefek­tivňuje výrobu.
 
Jinou náročnou úlohou pro bezpečnostní systé­my je řízení kompresorů a turbín. Díky vysokému výpočetnímu výkonu sys­tému HIMax lze jediným systémem realizovat různé bezpečnostní funkce, např. ochranu proti překročení maximálních přípustných otáček, ochranu generátoru nebo řízení čerpadel. Před­nostmi jsou úspora místa, úspora náhradních dílů, jednodušší obsluha a údrž­ba, a tedy i nižší náklady.
 

Integrace založená na nezávislých standardech

 
Při integraci bezpeč­nostní techniky do pro­vozního prostředí je třeba brát ohled na to, aby strategie nákupu nega­tivně neovlivňovala strategii bezpečnosti. Od­dělení nákupu často využívá seznamy osvěd­čených dodavatelů automatizačních systémů MAC (Main Automation Contractor) a pří­strojového vybavení MIV (Main Instrument Vendor) a má snahu všechnu techniku, i tu bezpečnostní, nakupovat od těchto dodava­telů. Je to správné?
 
Jestliže je celá dodávka automatizační i bezpečnostní techniky přidělena jednomu dodavateli, je tu riziko, že dodávka sice bude vyhovovat všem standardům, ale – protože standardy připouštějí různé výklady – doda­vatel ve snaze snížit náklady přece jen ušet­ří na kvalitě. Šetření na kvalitě řídicí tech­niky by se projevilo na snížení spolehlivosti a efektivity výrobních procesů. Ušetří-li se však na bezpečnostní technice, nikdo nic ne­pozná – dokud nedojde k havárii.
 
Podle normy EN 61511 musí být bezpeč­nostní technika (technika, který vykonává bez­pečnostní funkce) nezávislá na činnosti běžné řídicí techniky (té, která vykonává funkce, jež nejsou spojeny s bezpečností). Tato nezávis­lost omezuje možnost výskytu systematických chyb a společných chyb obsluhy, které mohou způsobit narušení bezpečnosti.
 
Na fyzickém oddělení bezpečnostního a řídicího systému je výhodné také to, že změna řídicího systému např. při změně sor­timentu výroby nemá vliv na bezpečnostní systém a výrobní zařízení zpravidla není tře­ba znovu certifikovat.
 
Stejný přístup, tj. vytvoření nezávislých zabezpečovacích linií, lze uplatnit i pro zajiš­tění tzv. kybernetické bezpečnosti. Obrana se nejlépe zajišťuje několikaúrovňovým zabez­pečovacím systémem. Poslední virové útoky na výrobní řídicí systémy jasně prokázaly, že nezávislost bezpečnostní techniky na řídicí je základní podmínkou pro to, aby se v takovém případě zabránilo velkým škodám.
 
Nejdůkladněji se nezávislost řídicí a bez­pečnostní techniky zajistí tím, že jsou obě postaveny na odlišných platformách, vývojo­vých principech a koncepci. Výhodou (i když ne podmínkou) je, když pocházejí od různých výrobců. Společnost HIMA nabízí bezpeč­nostní techniku s otevřenými komunikační­mi rozhraními, jež umožňují její kompletní, standardům zcela vyhovující integraci s mno­ha systémy DCS známých značek.
 
Pro bezproblémovou integraci bezpeč­nostní techniky se systémy DCS je třeba mít dostatečné znalosti. Proto založila spo­lečnost HIMA speciální tým, který pomáhá zákazníkům na celém světě s integrací bez­pečnostní techniky do DCS a poskytuje jim konzultace. Tým vytvoří pro zákazníka de­tailní dokumentaci, kde je integrace systémů popsána, a vykoná rozsáhlé testy integrace. Na jaře 2010 byl takový projekt realizován např. pro firmu Shell, která integrovala čtyři systémy HIMax se čtyřmi DCS (Yokogawa, Honeywell, Emerson a Siemens; obr. 3). Sys­tém HIMax v testu obstál, dokázal své komu­nikační schopnosti a výkon a společnost Shell je s ním zcela spokojena.
 

Závěr

 
Systémy pro zajištění funkční bezpečnos­ti jsou kritickou součástí výrobních zařízení a vyžadují důkladnou analýzu situace a po­užití té nejmodernější techniky. Jen v tako­vém případě lze zajistit spolehlivý provoz výrobních zařízení bez kompromisů v ob­lasti bezpečnosti. Bezpečnostní systém musí být specifikován a vybírán nezávisle na DCS. Integrace založená na otevřených, na výrob­ci nezávislých komunikačních standardech je výhodná jak z hlediska funkční, tak ky­bernetické bezpečnosti a navíc zajišťuje vel­kou míru ochrany investic do nové techniky.
Steffen Philipp, Thomas Hinzmann,
HIMA Paul Hildebrandt GmbH + Co. KG
 
(Článek je přeloženou a redakčně uprave­nou verzí plenární přednášky na generálním shromáždění NAMUR v listopadu 2010. Spo­lečnost HIMA byla generálním sponzorem tohoto shromáždění.)
 
Obr. 1. Společnost HIMA poskytuje svým zákazníkům úplné spektrum služeb
Obr. 2. Nový bezpečnostní systém HIMax
Obr. 3. Bezpečnostní systémy HIMax v projektu pro firmu Shell komunikují s DCS různých výrobců