Úvod do funkční bezpečnosti II: použití normy ČSN EN 61508
Článek na konkrétním příkladu ukazuje, jakým způsobem lze v praxi použít normu IEC/ČSN EN 61508, upravující problematiku funkční bezpečnosti elektrických nebo elektronických a programovatelných elektronických systémů. Navazuje na předchozí článek [1] a předpokládá alespoň základní znalost principů funkční bezpečnosti, které uvedená norma definuje.
1. Úvod
V článku je na příkladu ovládání pojistného ventilu ukázáno, jak lze v praxi použít zásady definované v normě ČSN EN 61508 Funkční bezpečnost elektrických/elektronických/elektronických programovatelných systémů [1]. Je předvedeno, jak je možné zkombinovat přístroje, které mají certifikát určité kategorie SIL (Safety Integrity Level – úroveň integrity bezpečnosti), s přístroji, které takový certifikát nemají.
Zmíněný příklad se zaměřuje pouze na danou konkrétní úlohu. Nejde o závaznou interpretaci normy ČSN EN 61508. Případné přesné citace normy ČSN EN 61508 jsou v textu uvedeny kurzívou.
2. Funkce zařízení
Na obr. 1 je schéma reaktoru (tlaková nádoba), ve kterém se v týdenních cyklech vyrábí určitá látka. Uvnitř reaktoru se prostřednictvím řídicí smyčky tlaku, zakreslené v obrázku, vytvoří předepsaný tlak. Riziko tohoto technologického procesu spočívá v tom, že řídicí obvody mohou selhat a tlak v reaktoru může překročit přípustnou hodnotu.
Konečnou pojistkou chránící reaktor před nepřípustným vnitřním tlakem je bezpečnostní průtržná membrána, která se při určitém přetlaku protrhne a nechá obsah reaktoru uniknout do okolní atmosféry. Průtržná membrána je sice pokládána za zcela spolehlivou, její „zásah„ je však, z hlediska vlivu na životní prostředí a veřejné mínění, v každém případě nežádoucí. Přijatelná úroveň rizika je v daném případě 10% pravděpodobnost úniku obsahu nádrže do atmosféry jednou za předpokládanou dobu života zařízení, která je deset let. Norma ČSN EN 61508 toto označuje jako přípustné riziko, neboť v daném případě není četnost výskytu poruchy větší než jednou za 100 let neboli 1 milion hodin (za předpokladu, že rok má asi 10 000 hodin).
Analýza řídicího systému a připojených zařízení ukázala, že během předpokládané doby života mohou selhat jednou za rok. Riziko řízeného zařízení (Equipment Under Control – EUC) je tedy jedna porucha za rok neboli za 10 000 hodin.
Je tedy zřejmé, že je třeba použít bezpečnostní ochranný systém, který omezí riziko EUC na přípustnou úroveň. Norma ČSN EN 61508 posuzuje bezpečnostní funkce rozdílně podle toho, jak často jsou aktivovány (norma definuje tzv. režim vysokého nebo nízkého vyžádání). V daném případě může být bezpečnostní funkce vyvolána asi jednou za rok. To ji řadí do kategorie funkcí činných na vyžádání (s nízkým vyžádáním podle ČSN EN 61508-4 3.5.12).
Požadovaná střední pravděpodobnost poruchy při vyžádání (požadavku na činnost – pozn. red.) ochranného systému souvisejícího s bezpečností se označuje PFDavg (average Probability of Failure on Demand) a je rozdílem mezi rizikem EUC a přípustným rizikem.
V daném případě platí PFDavg Ł 1·10–6/10–4, tj. PFDavg Ł 1·10–2
Podle ČSN EN 61508-1, tab. 2 (viz také tab. 2 v [1]), je tedy požadovaná úroveň integrity bezpečnosti ochranného (bezpečnostního) systému v kategorii SIL 2.
3. Bezpečnostní systém
3.1 Bezpečnostní systém jako celek
Navržený bezpečnostní systém vypustí obsah reaktoru přes pojistný ventil do odpadní nádrže, odkud je později vyjmut a řízeně zlikvidován. Operaci nouzového vypuštění reaktoru řídí smyčka, naznačená v obr. 1 a podrobněji rozkreslená na obr. 2, při použití přístrojů a zařízení od firmy MTL Instruments Group plc [3]. Inteligentní převodník tlaku převádí tlak v nádrži na analogový signál 4 až 20 mA, vedený přes oddělovač MTL4041B-SR do dvou komparátorů MTL4403. Komparátory pracují v uspořádání tzv. jeden ze dvou (symbolicky 1oo2). Znamená to, že funkce bezpečnostního systému je aktivována při sepnutí kteréhokoliv z nich. Pojistný ventil je ovládán přes oddělovač MTL4024-SR.
Na obr. 3 je elektrické schéma z obr. 2 popsáno z hlediska spolehlivosti (ČSN EN 61508, příloha B.2). Protože všechny zjištěné nebezpečné chyby vyústí v aktivaci bezpečnostního funkce, stačí se dále věnovat pouze skrytým nebezpečným chybám.
Následující odstavce pojednávají o funkční bezpečnosti jednotlivých prvků bezpečnostního systému.
3.2 Převodník tlaku
Převodník tlaku pro bezpečnostní účely by měl mít minimálně SIL 2 (takové převodníky s certifikátem podle IEC/ČSN EN 61508 jsou již na trhu dostupné). Současně by měl být pokud možno od jiného výrobce než převodník tlaku použitý v řídicím obvodu, aby se omezila pravděpodobnost společné chyby. Není-li to možné, měly by převodníky pocházet alespoň z různých výrobních sérií.
U přístrojů uvedeného typu se hovoří o nebezpečné chybě většinou tehdy, odchýlí-li se vysílaný údaj o více než 2 % od skutečné hodnoty měřené proměnné. Nezjištěná nebezpečná chyba je chyba, která způsobí chybný signál v rozsahu 3,8 až 21 mA. Je to proto, že takový falešný signál nelze odlišit od správného signálu. Četnost poruch převodníků konstruovaných speciálně pro bezpečnostní účely je většinou 4 · 10–4 poruchy za rok a četnost nezjistitelné nebezpečné poruchy 1 · 10–5 poruchy za rok. Je třeba si povšimnout, že ačkoliv četnost poruch převodníku značně překračuje požadavky stanovené pro SIL 2, uspořádání obvodu omezuje jeho použití pouze pro SIL 2, neboť v daném případě může být příčinou vzniku nebezpečné poruchy chyba i jediné komponenty (ČSN EN 61508-2-7.4.3.1).
Pro další analýzu se předpokládá, že četnost výskytu poruch použitého převodníku tlaku je právě 4 · 10–4 poruchy za rok a četnost výskytu nezjistitelné nebezpečné poruchy 1 · 10–5 poruchy za rok, přičemž převodník je vhodný pro použití v bezpečnostním systému se SIL 2.
Převodník musí být pravidelně ověřován. V ideálním případě tak, že se tlak v nádrži zvětší nad stanovený rozsah a kontroluje se, zda dojde k aktivaci bezpečnostního systému (jinak je pro tento případ vhodné připojit převodník přes takovou ventilovou soupravu, která umožní jeho ověřování bez nutnosti demontáže). Dostačující pro dosažení nutné hodnoty PFDavg je takováto zkouška převodníku vždy po roce. Není-li praktické uskutečňovat úplnou zkoušku, lze pro zachování předepsané hodnoty PFDavg vykonat zkoušku zjednodušenou (ČSN EN 61508-6, příloha B.2.5).
3.3 Oddělovač MTL4041B-SR
Oddělovač napájení MTL4041B-SR má certifikát pro použití v obvodech podle SIL 2. Jeho četnost výskytu nebezpečných poruch je 1,2 · 10–4 poruchy za rok a četnost výskytu nezjistitelné nebezpečné poruchy 1,2 · 10–5 poruchy za rok. Struktura obvodu ale opět omezuje jeho použití pouze pro SIL 2. Stejně jako u převodníku tlaku předpokládá se i u oddělovače napájení zkouška jedenkrát za rok.
3.4 Komparátory MTL4403 v uspořádání 1oo2
Komparátor MTL4403 nemá certifikát podle IEC/ČSN EN 61508. Vhodnost jeho použití je dána dosaženou četností výskytu poruch a redundantním zapojením 1oo2, které významně zvětšuje výslednou spolehlivost.
Nejdříve se věnujme omezení SIL jako důsledku uspořádání MTL4403 (ČSN EN 61508-2-7.4.3.1). Odolnost hardwaru proti poruchám je u MTL4403 nulová, neboť chyba jedné součástky (např. slepený kontakt relé) může způsobit poruchu bezpečnostního systému. Protože nemohla být provedena analýza možných poruch a jejich následků, je MTL4403 dále považován za subsystém typu B podle ČSN EN 61508-2--7.4.3.1.3, tj. za subsystém, u kterého není dostatečně stanoven poruchový režim alespoň jedné z jeho složek, nebo nelze plně určit jeho chování při poruše, popř. nejsou k dispozici dostatečně spolehlivé údaje o poruchách získané z provozu, které by podpořily tvrzení o intenzitě zjištěných a nezjištěných nebezpečných poruch. Omezení SIL pro subsystémy typu B určuje ČSN EN 61508-2 v tab. 2 v [1]. Při nulové odolnosti proti vadám hardwaru lze kategorii SIL 1 přidělit zařízení tehdy, je-li z celkového počtu možných poruch jeho hardwaru nejméně 60 % tzv. bezpečných, tj. takových, které vyústí v bezpečný stav (ukazatel Safety Failure Fraction – SFF). Bezpečný stav v daném případě znamená, že kontakt relé rozepne. Lze předpokládat, že větší počet poruch v zařízení způsobí rozepnutí výstupního kontaktu, než že by kontakt zůstal sepnutý. Proto je možné s určitou hodnověrností konstatovat, že jednotlivý MTL4403 splňuje požadavky kategorie SIL 1.
Požadována je ovšem kategorie SIL 2. Pokud jsou dva komparátory MTL4403 zapojeny v uspořádání 1oo2, hodnota SFF se nezmění, ale odolnost proti vadám hardwaru má nyní hodnotu 1 (při poruše kteréhokoliv z komparátorů MTL4403 zůstane zachována bezpečná funkce). Tím jsou splněny požadavky na strukturu podle SIL 2 (ČSN EN 61508-2-7.4.3.1.6).
Vypočítaná střední doba mezi poruchami (Mean Time Between Failures – MTBF) komparátoru MTL4403 je 289 let při provozní teplotě 20 °C a 113 let při teplotě 60 °C. Kontakt relé je rozepnutý, pokud není relé napájeno nebo dojde ke ztrátě napájení. V dané úloze je komparátor nastaven tak, aby kontakt jednoho relé rozepnul při poklesu signálu z převodníku tlaku pod 3,8 mA a druhý tehdy, když signál dosáhne hodnoty odpovídající maximálnímu přípustnému tlaku. Při MTBF rovné třinácti rokům je odpovídající četnost chyb 8,8 · 10–3 chyby za rok. Předpokládá-li se hodnota SFF rovná 60 %, lze četnost výskytu nebezpečných nezjištěných chyb odhadnout na 3,5 · 10–3 chyby za rok pro jeden MTL4403 a na 1,2 · 10–5 chyby za rok pro uspořádání 1oo2.
Úplnou zkoušku správné reakce relé každého z MTL4403 na proud z převodníku tlaku lze vykonat nepřímo. Časový interval mezi ověřeními může být v tomto případě stanoven na jeden rok.
Tím, že systém řízení jakosti výroby komparátorů MTL4403 odpovídá normě ISO 9001 a je jako takový certifikován nezávislým zkušebním ústavem, jsou splněny i požadavky ČSN EN 61508.
3.5 Oddělovač MTL4024-SR
Posudek bezpečnosti oddělovače MTL4024-SR je doložen certifikátem. Za předpokladu, že nulový výstupní signál je bezpečný, nemůže žádná chyba způsobit nebezpečný stav. V certifikátu je doloženo, že tuto jednotku lze použít v bezpečnostních obvodech až do SIL 3.
3.6 Systém ovládání pojistného ventilu
Pneumatické ventily pro bezpečnostní aplikace se vyrábějí již mnoho let, a pokud jsou pravidelně přestavovány (z důvodu prevence uvíznutí), běžně vykazují četnosti nezjištěných nebezpečných chyb asi 1 · 10–3. Použijme tuto hodnotu v našem případě jako hodnotu četnosti výskytu chyby ovládacího systému pojistného ventilu.
Spolehlivost ovládacích solenoidových (pilotních) ventilů je velká. Většina výrobců ji však charakterizuje minimálním počtem přestavení, který ventil vydrží (1 · 105 až 1 · 107). Tento údaj ovšem nemá žádný vztah k dané úloze. Minimálně jeden výrobce dodává jiskrově bezpečný ovládací ventil certifikovaný třetí stranou v kategorii SIL 4. Použití ovládacího ventilu s takovou spolehlivostí zaručuje, že se dosáhne četnosti výskytu chyb 1 · 10–3 chyby za rok, požadované u pojistného ventilu, a to s velkou rezervou.
Ověření budiče solenoidu ventilu je součástí pravidelné zkoušky bezpečnostního systému, popsané v následující kapitole.
4. Zkouška bezpečnostního systému
Daný bezpečnostní systém lze relativně snadno ověřit, neboť reaktor se používá v šaržové výrobě s týdenním cyklem. Porovnáváním výstupů regulačních a monitorovacích obvodů lze velmi efektivně kontrolovat činnost smyčky tlaku. Důležité je kontrolovat nejenom převodníky a oddělovače, ale i spojení mezi nimi. To lze uskutečnit různými způsoby, aniž by přitom byla nepříznivě ovlivněna spolehlivost celého systému. Při použití některého z těchto způsobů v kombinaci s vlastnostmi inteligentního převodníku tlaku lze dosáhnout toho, že převodník tlaku stačí ověřit vždy jednou za rok.
Bezpečnostní funkce ostatních komponent, tj. kromě převodníku tlaku, je možné kontrolovat před každým spuštěním výrobního cyklu prostřednictvím zkušebního přepínače (obr. 2). Přerušení vedení od převodníku tlaku vyvolá „dolní“ výstrahu a následně otevření pojistného ventilu. Potom se kabel zkratuje a následný „horní“ alarm opět způsobí otevření pojistného ventilu. Přepínat zkušební přepínač lze buď ručně nebo automaticky prostřednictvím relé MTL4216. Pojistný ventil by měl mít koncové spínače indikující jeho koncové polohy. Spínače při zkoušce signalizují správnou činnost pojistného ventilu.
Časté ověřování zmenšuje pravděpodobnost výskytu poruchy už jenom tím, že v důsledku přestavování pojistného ventilu klesne pravděpodobnost jeho uvíznutí v zavřené poloze.
5. Výpočet PFDavg
Pro každou součást bezpečnostního systému je třeba z četnosti výskytu nezjištěných nebezpečných chyb lDUi a doby mezi jednotlivými ověřeními Tpi vypočítat PFDavgi. Za předpokladu malé četnosti výskytu chyb platí PFDavgi = 1/2lDUiTpi
Výpočet PFDavgi pro každou jednotlivou i-tou součást daného bezpečnostního systému je proveden v obr. 3.
Střední pravděpodobnost poruchy PFDavg celého bezpečnostního systému je součtem jednotlivých PFDavgi, v daném případě PFDavg = 8,1 · 10–5. Je to mnohem méně než požadovaných 1 · 10–2 pro SIL 2. Z důvodu již probraného uspořádání obvodů však nelze deklarovat vyšší SIL.
6. Provozní spolehlivost
Ochranný systém bránící vzniku přetlaku v reaktoru není vhodný v případě, že vykazuje příliš velký počet falešných zásahů. U dané úlohy by mohla být přijatelná hodnota jeden falešný zásah za rok, tj. stejně jako u řídicího systému. Jistěže ne všechny falešné zásahy vedou k vypuštění produktu do odpadu, ale většina ano. Každotýdenní ověření sice přispívá k větší spolehlivosti ochranného systému a umožňuje snadno odhalit jinak skryté vady (potenciální zdroje chyb), ale nemění pravděpodobnost výskytu náhodné chyby jako příčiny jeho selhání.
Analýza provozní spolehlivosti vyžaduje odhad:
- četnosti výskytu poruch v dodávkách vzduchu i elektřiny,
- četnosti výskytu poruch kabelů,
- četnosti provozních chyb přístrojů (provozní chyba některého z komparátorů vede k odstavení systému).
Vypočítaná četnost výskytu provozních chyb použitých komponent je 0,88 · 10–2 chyby za rok pro MTL4403, 1,2 · 10–2 chyby za rok pro MTL4041B-SR a 1,3 · 10–2 chyby za rok pro MTL4024-SR při teplotě 60 °C. Kombinovaná četnost výskytu chyb jednotek použitých v systému je 4,26 · 10–2 chyby za rok. Tento odhad je konzervativní, neboť přístroje pracují při nižší okolní teplotě než výpočtových 60 °C a ne všechny poruchy vedou k vypuštění produktu do odpadu. Mnohem serióznější odhad je 1 · 10–2 poruchy za rok.
K dosažení celkové spolehlivosti bezpečnostního systému na úrovní jednoho falešného zásahu za rok je ještě třeba, aby četnost poruch ostatních součástí, kabelů a systému napájení, v souhrnu nebyla větší než 1 · 10–2 poruchy za rok. V praxi je ovšem obtížné četnosti výskytu těchto chyb kvantifikovat.
Požadavky na provozní spolehlivost nutí odborníky navrhovat jednoduché bezpečnostní obvody. V daném případě ovšem přidání druhého komparátoru, nutné k dosažení požadované úrovně integrity bezpečnosti ochranného systému, nemá vliv na jeho provozní spolehlivost.
7. Závěr
Uvedený jednoduchý příklad ukazuje, jak lze aplikovat normu IEC/ČSN EN 61508 v praxi. Nejdříve bylo definováno přípustné riziko a riziko EUC, ze kterých byla odvozena požadovaná střední pravděpodobnost poruchy PFDavg a následně požadovaná SIL bezpečnostního systému.
Předložený příklad se zabýval pouze bezpečnostním systémem. Je třeba vzít v úvahu, že IEC/ČSN EN 61508 má širší záběr a obsahuje i další požadavky na celé zařízení.
Literatura:
[1] UHER, J.: Úvod do funkční bezpečnosti I: norma ČSN EN 61508. Automa, 2004, roč. 10, č. 8-9, s. 66–81.
[2] –: Introduction to functional safety in accordance with IEC 61508. MTL Instruments Group plc, 2002.
[3] Firemní literatura MTL Instruments Group plc.
Ing. Jaromír Uher,
D-Ex Limited, spol. s r. o.
(juher@dex.cz)
|