Układy napędowe stanowią serce współczesnych linii produkcyjnych. Ich rosnąca złożoność oraz integracja z systemami automatyki sprawiają, że tradycyjne podejście do bezpieczeństwa maszyn wymaga gruntownej rewizji. Obecne normy bezpieczeństwa funkcjonalnego wprowadzają metodyki umożliwiające ilościową ocenę niezawodności funkcji bezpieczeństwa i weryfikację skuteczności zastosowanych środków ochronnych. Pozwala to na obiektywne określenie prawdopodobieństwa wystąpienia niebezpiecznego uszkodzenia oraz dobór odpowiednich środków zabezpieczających.

W europejskim i światowym przemyśle obowiązują dziś jasno określone standardy dotyczące bezpieczeństwa funkcjonalnego. Podstawową normą odniesienia jest PN-EN 61508 Bezpieczeństwo funkcjonalne systemów elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem, która stanowi punkt wyjścia dla norm branżowych, m.in. PN-EN 61800-5-2 dotyczącej układów napędowych z regulacją prędkości. Uzupełniają je normy maszynowe PN-EN ISO 13849-1 oraz PN-EN IEC 62061, które opisują wymagania w zakresie projektowania, weryfikacji i oceny funkcji bezpieczeństwa w systemach sterowania maszyn. Wszystkie te dokumenty tworzą spójny ekosystem wymagań, który należy uwzględnić już na etapie projektowania maszyn i ich systemów automatyki.

Podstawy bezpieczeństwa funkcjonalnego

Bezpieczeństwo funkcjonalne stanowi tę część całkowitego bezpieczeństwa systemu, która zależy od prawidłowego działania układów sterowania odpowiedzialnych za realizację funkcji bezpieczeństwa. System automatyki powinien wykrywać niebezpieczne stany i odpowiednio reagować, nawet w przypadku awarii pojedynczych komponentów. Dzięki temu pojedyncza awaria nie prowadzi do utraty zdolności systemu do zapewnienia bezpieczeństwa.

Fundamentem bezpieczeństwa funkcjonalnego jest analiza ryzyka, na podstawie której określa się niezbędne funkcje bezpieczeństwa oraz ich wymagany poziom niezawodności. Wyniki analizy pozwalają przypisać każdej funkcji odpowiedni poziom nienaruszalności bezpieczeństwa – SIL (Safety Integrity Level) lub Performance Level (PL).

Norma PN-EN 61508 stanowi podstawowy standard dla systemów elektrycznych, elektronicznych i programowalnych, tworząc ramy metodologiczne dla norm branżowych oraz określając wymagania dotyczące całego cyklu życia systemu – od koncepcji i projektowania, poprzez użytkowanie, aż po wycofanie z eksploatacji.

Poziomy bezpieczeństwa SIL i Performance Level

Poziom nienaruszalności bezpieczeństwa (SIL) określa prawdopodobieństwo prawidłowego działania funkcji bezpieczeństwa w chwili zapotrzebowania. Norma PN-EN 61508 definiuje cztery poziomy SIL – od SIL 1 do SIL 4, gdzie SIL 4 reprezentuje najwyższy poziom. Każdemu poziomowi odpowiada określony przedział wartości PFHD (Probability of Dangerous Failure per Hour) – prawdopodobieństwa wystąpienia niebezpiecznej awarii na godzinę.

Dla trybu ciągłego, charakterystycznego dla układów napędowych, zakresy te wynoszą:
SIL 1 – od 10⁻⁶ do 10⁻⁵,
SIL 2 – od 10⁻⁷ do 10⁻⁶,
SIL 3 – od 10⁻⁸ do 10⁻⁷,
SIL 4 – od 10⁻⁹ do 10⁻⁸.

System o poziomie SIL 3 charakteryzuje się bardzo wysoką niezawodnością – prawdopodobieństwo niebezpiecznej awarii nie przekracza 10⁻⁷ na godzinę.

Równolegle funkcjonuje pojęcie Performance Level, wprowadzone w normie PN-EN ISO 13849-1. Skala PL obejmuje pięć poziomów oznaczonych literami od a do e, gdzie PLe reprezentuje najwyższy poziom. W obu podejściach poziomy bezpieczeństwa są określane na podstawie wartości PFHD, co umożliwia ich wzajemne porównanie. W praktyce poziomy SIL 2 i PL d są zbliżone, podobnie jak SIL 3 i PLe, choć dokładne odwzorowanie zależy od charakteru funkcji bezpieczeństwa i architektury systemu.

Normy dedykowane dla układów napędowych

Norma PN-EN 61800-5-2 stanowi kluczowy dokument dla producentów i użytkowników napędów elektrycznych o regulowanej prędkości PDS(SR) (Power Drive Systems related to Safety). Definiuje wymagania bezpieczeństwa funkcjonalnego systemów napędowych oraz sposoby ich weryfikacji dla napędów pracujących w trybie ciągłym lub częstego zapotrzebowania. Norma definiuje szereg funkcji bezpieczeństwa ruchu (Safety-Related Motion Functions), które można podzielić na funkcje zatrzymania i funkcje monitorowania ruchu.

Podstawową funkcją bezpieczeństwa jest Safe Torque Off (STO) – bezpieczne wyłączenie momentu obrotowego poprzez odcięcie zasilania stopnia mocy, zapobiegające generowaniu momentu w silniku. To obecnie standardowe wyposażenie większości nowoczesnych napędów przemysłowych. Zaawansowane funkcje obejmują Safe Stop 1 (SS1), podczas której napęd jest kontrolowanie hamowany przed przejściem w tryb STO, oraz Safe Operating Stop (SOS), zapewniającą utrzymanie pozycji zatrzymania. . Safely Limited Speed (SLS) ogranicza prędkość do wartości bezpiecznej podczas prac serwisowych. Wśród funkcji monitorowania znajdują się Safe Speed Monitor (SSM) nadzorujący prędkość, Safe Direction (SDI) zapobiegająca obrotowi w niepożądanym kierunku oraz Safe Brake Control (SBC) sterująca zewnętrznymi hamulcami mechanicznymi.

Norma PN-EN ISO 13849-1 koncentruje się na bezpieczeństwie maszyn w szerszym kontekście, obejmując technologie elektryczne, pneumatyczne, hydrauliczne i mechaniczne. Definiuje pięć kategorii bezpieczeństwa (B, 1, 2, 3 i 4), które stanowią strukturę układu realizującego funkcję bezpieczeństwa. Kategoria B to podstawowa architektura jednokanałowa, podczas gdy kategoria 4 wymaga redundancji oraz monitorowania uszkodzeń.

Z kolei norma PN-EN IEC 62061 jest branżową normą dla elektrycznych, elektronicznych i programowalnych systemów sterowania maszyn, stosującą bezpośrednio koncepcję SIL. W najnowszym wydaniu (PN-EN IEC 62061:2021) umożliwiono konwersję między poziomami SIL i PL, co ułatwia integrację obu podejść w ramach jednej maszyny.

Obie normy są obecnie zharmonizowane z Dyrektywą Maszynową 2006/42/WE, a w przyszłości zostaną dostosowane do wymagań Rozporządzenia (UE) 2023/1230, które zastąpi Dyrektywę w 2027 roku i wprowadzi nowe zasady w zakresie cyberbezpieczeństwa oraz dokumentacji maszyn.

Projektowanie systemów zgodnie z wymaganiami

Proces projektowania rozpoczyna się od kompleksowej analizy ryzyka według PN-EN ISO 12100, uwzględniającej wszystkie okresy życia maszyny. Analiza ta stanowi podstawę doboru środków ochronnych oraz wymaganego poziomu bezpieczeństwa funkcjonalnego.

W metodzie PN-EN ISO 13849-1 ocenia się trzy parametry: ciężkość szkody (S), częstotliwość lub czas ekspozycji na zagrożenie (F) oraz możliwość uniknięcia niebezpieczeństwa (P). Na tej podstawie wyznacza się wymagany poziom zapewnienia bezpieczeństwa PLr (required Performance Level).

Norma PN-EN 62061 wykorzystuje cztery parametry: dotkliwość urazów (Se), częstotliwość i czas trwania narażenia (Fr), prawdopodobieństwo wystąpienia niebezpiecznego zdarzenia (Pr) oraz prawdopodobieństwo uniknięcia lub ograniczenia szkody (Av). Na podstawie ich wartości określa się ryzyko, a następnie wymagany poziom jego redukcji SIL (SILr). Wybór architektury zależy od tego poziomu – dla niższych wystarczają struktury jednokanałowe, natomiast systemy SIL 3 lub PL e wymagają zwykle architektury redundantnej z mechanizmami diagnostycznymi.

W układach napędowych częstym rozwiązaniem jest wykorzystanie wbudowanych funkcji bezpieczeństwa falowników oraz komunikacja z bezpiecznym sterownikiem przez protokoły PROFIsafe (dla Profinet/Profibus) lub CIP Safety (dla EtherNet/IP). Protokoły te wykrywają błędy komunikacji, umożliwiając budowę rozproszonych systemów przy użyciu standardowej infrastruktury sieciowej.

Producenci napędów, tacy jak ABB, Siemens, Rockwell Automation czy Festo, oferują produkty z certyfikowanymi funkcjami bezpieczeństwa wraz z danymi niezawodności. Projektant musi połączyć komponenty w system spełniający wymagania analizy ryzyka i osiągający wymagany poziom SIL lub PLr. Szczególną uwagę należy zwrócić na zapobieganie uszkodzeniom ze wspólnej przyczyny poprzez separację fizyczną, różnorodność technologiczną oraz zabezpieczenia przed zakłóceniami elektromagnetycznymi.

Weryfikacja i walidacja systemów bezpieczeństwa

Po zakończeniu etapu projektowania niezbędna jest weryfikacja – potwierdzenie zgodności projektu ze specyfikacją funkcji bezpieczeństwa. Dla systemów zgodnych z ISO  1349-1 i PN-EN ISO 13849-1 przeprowadza się obliczenia osiągniętego poziomu PL, uwzględniając kategorię sytemu, średni czas do wystąpienia niebezpiecznej awarii (MTTFD: Mean time to dangerous failure), pokrycie diagnostyczne (DC: Diagnostic coverage ) oraz środki przeciw uszkodzeniom ze wspólnej przyczyny (CCF: Common cause failure).

Producenci oferują narzędzia wspomagające obliczenia, takie jak Functional Safety Design Tool (ABB), Safety Automation Builder (Rockwell Automation) czy PAScal Safety Calculator (Pilz). Programy te zawierają biblioteki komponentów i automatyzują proces weryfikacji zgodnie z wymaganiami PN-EN ISO 13849-1 oraz IEC 62061, generując jednocześnie wymaganą dokumentację.

Walidacja potwierdza, że system spełnia specyfikację i prawidłowo realizuje funkcje bezpieczeństwa. Zgodnie z PN-EN ISO 13849-2 obejmuje przegląd dokumentacji, inspekcję montażu oraz testy funkcjonalne. Sprawdza się okablowanie, parametry pracy, poprawność działania diagnostyki oraz reakcję systemu w przypadku braku zasilania lub błędów komunikacji. Wszystkie testy muszą być udokumentowane. Szczególną uwagę poświęca się oprogramowaniu – przy wyższych poziomach SIL wymagane są jasno zdefiniowane metody programowania oraz niezależne przeglądy kodu źródłowego.

Certyfikacja i dokumentacja

Producenci często decydują się na certyfikację komponentów przez niezależne laboratoria (np. TÜV Rheinland, TÜV Süd, Exida). Certyfikat potwierdza zgodność komponentu lub systemu z odpowiednimi normami bezpieczeństwa oraz jego zdolność do osiągnięcia zadeklarowanego poziomu SIL lub PL. W przypadku napędów certyfikacja obejmuje ocenę procesu projektowania, weryfikację obliczeń niezawodności oraz testy funkcjonalne.

Wraz z certyfikowanymi produktami udostępniana jest pełna dokumentacja bezpieczeństwa, obejmująca certyfikaty, instrukcje użytkowania oraz dane niezawodności. Normy wymagają opracowania specyfikacji wymagań bezpieczeństwa (Safety Requirements Specification), opisu projektu, planu walidacji oraz raportu z jej wyników.

W przemyśle procesowym, w którym stosuje się normę IEC 61511, wymagania dokumentacyjne są jeszcze bardziej rygorystyczne. Konieczne jest opracowanie szczegółowej specyfikacji wymagań bezpieczeństwa (SRS), określającej wszystkie funkcje bezpieczeństwa (SIF) wraz z ich parametrami, a także prowadzenie dokumentacji obejmującej cały cykl życia systemu zabezpieczeń (SIS) – od koncepcji i realizacji, poprzez eksploatację, aż po demontaż.

MOŻE ZAINTERESUJE CIĘ TAKŻE

Systemy napędowe i mechatronika

Zabezpieczenia silników w układach z falownikami

Silniki elektryczne zasilane przez przemienniki częstotliwości stają się standardem w nowoczesnych instalacjach przemysłowych. Rozwiązania te, choć pozwalają na elastyczne sterowanie napędem i znaczną oszczędność energii, stawiają również specyficzne wymagania w zakresie zabezpieczeń.

Silniki elektryczne

Silniki elektryczne jako nieodłączny element automatyzacji procesów produkcyjnych

W czasach, gdy koszty wytworzenia stanowią często „być albo nie być” dla producentów, coraz bardziej znaczącą rolę odgrywa automatyzacja procesów wytwórczych. Nieodłącznym elementem automatyzacji jest element wprawiający w ruch, którego podstawą jest silnik elektryczny.

Bezpieczeństwo funkcjonalne w fazie eksploatacji

Po uruchomieniu systemu rozpoczyna się faza eksploatacji, podczas której należy utrzymywać osiągnięty poziom bezpieczeństwa. Normy wymagają okresowych testów sprawdzających, które potwierdzają zdolność systemu do wykonania funkcji bezpieczeństwa. Częstotliwość testów zależy od architektury systemu, pokrycia diagnostycznego oraz wymaganego poziomu SIL.

Nowoczesne napędy przemysłowe wyposażone są w zaawansowane funkcje diagnostyczne, które na bieżąco monitorują sprawność elementów związanych z bezpieczeństwem. Diagnostyka ta może obejmować testowanie torów bezpieczeństwa, weryfikację poprawności komunikacji PROFIsafe, monitorowanie temperatury komponentów krytycznych oraz kontrolę integralności oprogramowania bezpieczeństwa. Informacje diagnostyczne udostępniane operatorowi ułatwiają planowanie konserwacji i szybką reakcję na pojawiające się usterki.

Inteligentne przyrządy pomiarowe stosowane w przemyśle procesowym umożliwiają wykonywanie częściowych testów sprawdzających bez konieczności wyłączania instalacji. Takie rozwiązania znacząco redukują przestoje produkcyjne związane z konserwacją systemów zabezpieczeń. Niektóre urządzenia oferują również możliwość symulacji awarii w celu weryfikacji reakcji systemu bezpieczeństwa.

Modyfikacje systemu bezpieczeństwa wymagają szczególnej ostrożności. Każda zmiana – wymiana komponentu, aktualizacja oprogramowania lub dodanie nowej funkcji – powinna być poprzedzona analizą wpływu na osiągnięty poziom bezpieczeństwa. W przypadku istotnych modyfikacji konieczne może być powtórzenie całego procesu analizy ryzyka, projektowania i walidacji.

Szkolenie personelu stanowi kluczowy element utrzymania bezpieczeństwa. Operatorzy muszą rozumieć zasady działania funkcji bezpieczeństwa oraz znać ograniczenia ich stosowania. Niezbędne jest również uświadamianie ryzyka związanego z omijaniem zabezpieczeń i pracą w trybach nieprzewidzianych przez producenta. Obsługa serwisowa powinna posiadać odpowiednie kwalifikacje potwierdzone certyfikatami.

Specyfika przemysłu procesowego

Bezpieczeństwo funkcjonalne w przemyśle procesowym, regulowane normą IEC 61511, różni się istotnie od podejścia stosowanego w maszynach. W zakładach chemicznych, farmaceutycznych, rafineriach, elektrowniach oraz innych branżach, gdzie istnieje ryzyko poważnych awarii technologicznych, przyrządowe systemy bezpieczeństwa SIS (Safety Instrumented System) stanowią niezależną warstwę ochrony przed zdarzeniami o potencjalnie katastrofalnych skutkach.

Kluczowa różnica polega na niezależności systemu zabezpieczeń od podstawowego systemu sterowania procesem (BPCS). Podczas gdy w maszynach funkcje bezpieczeństwa mogą być zintegrowane ze sterownikiem głównym, w przemyśle procesowym wymagana jest pełna separacja. System bezpieczeństwa musi działać nawet wtedy, gdy system sterowania procesem ulegnie awarii lub zostanie wyłączony na czas konserwacji. Ta niezależność obejmuje zasilanie, czujniki, oprogramowanie oraz personel obsługujący.

Norma IEC 61511 kładzie szczególny nacisk na zarządzanie bezpieczeństwem funkcjonalnym w całym cyklu życia systemu – od projektu koncepcyjnego i analizy zagrożeń, poprzez projektowanie, instalację, uruchomienie, obsługę i konserwację, aż po wycofanie z eksploatacji. Wymaga wdrożenia formalnych procedur obejmujących analizę zagrożeń metodami HAZOP i LOPA, opracowanie specyfikacji wymagań bezpieczeństwa (SRS) dla wszystkich funkcji bezpieczeństwa (SIF) oraz stosowanie rygorystycznych procedur zarządzania zmianami (Management of Change). Każda modyfikacja procesu lub systemu sterowania musi być oceniona pod kątem jej wpływu na system zabezpieczeń.

Wyzwania w aplikacjach pneumatycznych

Systemy pneumatyczne stosowane w automatyce stanowią szczególne wyzwanie w kontekście bezpieczeństwa funkcjonalnego. W przeciwieństwie do systemów elektrycznych, gdzie powszechnie stosuje się certyfikowane komponenty bezpieczeństwa, układy pneumatyczne często wymagają indywidualnego podejścia projektowego i szczegółowej analizy ryzyka. Wynika to z trudności w jednoznacznym określeniu parametrów niezawodności elementów takich jak zawory, siłowniki czy złącza, które są podatne na nieszczelności i zanieczyszczenia medium roboczego.

Kluczowe funkcje bezpieczeństwa obejmują m.in. bezpieczne rozładowanie energii z siłowników, kontrolowane zasilanie z ograniczeniem siły oraz zapobieganie nieoczekiwanemu uruchomieniu. Ich realizacja wymaga odpowiedniego doboru zaworów, czujników położenia i elementów wykonawczych, z uwzględnieniem ich parametrów niezawodności.

Certyfikacja pneumatycznych funkcji bezpieczeństwa na poziomie SIL 2 lub SIL 3 często wymaga zastosowania architektur redundantnych (np. 1oo2 lub 2oo2), które umożliwiają zachowanie funkcji bezpieczeństwa nawet w przypadku pojedynczej awarii elementu. W praktyce oznacza to konieczność monitorowania pozycji zaworów, kontroli przepływu powietrza oraz stosowania czujników diagnostycznych umożliwiających wykrycie zacięć lub opóźnień działania.

Et ZDANIEM EKSPERTA

Dawid Jabłuszewski
Ekspert, Rockwell Automation

Jakie wyzwania techniczne wiążą się z utrzymaniem deklarowanego poziomu SIL/PL w układach napędowych przez cały cykl życia urządzenia?

Integracja bezpieczeństwa z automatyką

Nowoczesne podejście do bezpieczeństwa maszyn zakłada pełną integrację funkcji bezpieczeństwa z systemami sterowania. Bezpieczne sterowniki PLC umożliwiają realizację zarówno standardowych funkcji automatyki, jak i funkcji bezpieczeństwa w jednym urządzeniu, co upraszcza architekturę systemu i ułatwia wymianę danych między częścią standardową a bezpieczną.

Coraz większe znaczenie ma komunikacja sieciowa. Protokoły takie jak PROFIsafe (na bazie PROFINET) czy CIP Safety (dla EtherNet/IP) umożliwiają przesyłanie danych bezpieczeństwa między rozproszonymi urządzeniami przy wykorzystaniu standardowej infrastruktury sieciowej. Implementowane w nich mechanizmy – sumy kontrolne, kontrola sekwencji, znaczniki czasu i potwierdzanie odbioru – gwarantują integralność i niezawodność transmisji.

Rosnącą popularność zyskują również modularne systemy bezpieczeństwa, które łączą prostotę przekaźników z elastycznością sterowników, pozwalając na skalowanie systemu i dostosowanie do specyfiki aplikacji przy zachowaniu wymagań SIL 3 i PL e.

Trendy i przyszłość bezpieczeństwa funkcjonalnego

Rewizja Dyrektywy Maszynowej i wprowadzenie w 2023 roku Rozporządzenia Maszynowego UE przynoszą nowe wymagania dotyczące cyberbezpieczeństwa. Systemy bezpieczeństwa funkcjonalnego muszą być projektowane z uwzględnieniem zagrożeń cybernetycznych, co oznacza konieczność stosowania szyfrowania komunikacji, kontroli dostępu i weryfikacji integralności oprogramowania.

Rozwój sztucznej inteligencji i uczenia maszynowego stawia nowe wyzwania przed inżynierami bezpieczeństwa. Obowiązujące normy zakładają deterministyczne zachowanie systemów, co jest trudne do zapewnienia w przypadku algorytmów adaptacyjnych. Trwają prace nad metodologiami umożliwiającymi ocenę i walidację systemów wykorzystujących AI, jednak ich pełna standaryzacja wymaga czasu.

Digitalizacja i koncepcja Przemysłu 4.0 otwierają możliwości predykcyjnej konserwacji systemów bezpieczeństwa. Analiza danych diagnostycznych i monitorowanie trendów degradacji komponentów pozwalają przewidywać awarie i planować działania serwisowe z wyprzedzeniem, minimalizując przestoje.

Trwa również aktualizacja norm bezpieczeństwa funkcjonalnego, tak aby odzwierciedlały aktualny stan techniki. Próba połączenia norm PN-EN ISO 13849-1 i PN-EN IEC 62061 w jeden wspólny standard ISO IEC 17305 zakończyła się niepowodzeniem, jednak stała się impulsem do rewizji obu dokumentów. Obie normy są obecnie rozwijane równolegle, z dążeniem do ich większego ujednolicenia i uproszczenia procesu projektowania oraz oceny systemów bezpieczeństwa.