Bezpieczeństwo w pakiecie

W ostatnich kilku latach możemy zaobserwować niezwykle burzliwy rozwój technologii sieciowych dla systemów sterowania i monitoringu w zakładach przemysłowych. Ich podstawowymi elementami są zwykle urządzenia automatyki, w których znajduje się odpowiedni mikrokontroler (węzły sieci) oraz magistrala wymiany danych, w której z kolei odbywa się komunikacja zgodnie z jednym ze standardowych protokołów wymiany danych, dedykowanych do tego typu aplikacji.

Idea takich systemów pojawiła się na rynku już kilkanaście lat temu, jednak dopiero niedawno, dzięki szybkiemu rozwojowi technik teleinformatycznych i elektroniki, możliwe stała się sprzętowa realizacja układów działających w tzw. czasie rzeczywistym, zapewniających bardzo szybką reakcję układów sterowania nawet w krytycznych aplikacjach przemysłowych. Duża szybkość i niezawodność sieciowych systemów automatyki spowodowała, że zaczęto zastanawiać się nad zintegrowaniem z nimi powszechnie występujących w przemyśle układów i systemów bezpieczeństwa.
W środowisku przemysłowym układy bezpieczeństwa można podzielić na dwie grupy: bezpieczeństwo pracowników oraz bezpieczeństwo procesów.
W pierwszym przypadku mamy do czynienia z ochroną przed:

  • bezpośrednim kontaktem z ruchomymi częściami maszyn,
  • nieprzewidywalnym zachowaniem systemu na skutek awarii mechanicznych bądź elektrycznych,
  • odpryskującymi elementami lub substancjami chemicznymi,  
  • przed samym sobą – niepożądane zachowania pracowników (ciekawość, roztargnienie, zmęczenie).

W przypadku bezpieczeństwa procesów należy natomiast liczyć się z:

  • wystąpieniem niespodziewanych awarii,
  • wyłączeniem całych linii produkcyjnych (przerwy w produkcji),
  • przerwami w sterowaniu i wymianie danych między urządzeniami,
  • koniecznością diagnostyki stanu urządzeń,  
  • monitoringiem stanu procesów.

W dotychczasowych, tradycyjnych rozwiązaniach większość z tych funkcji realizowana jest przez specjalne, dedykowane urządzenia lub układy. Zwykle jest to sprzęt analogowy lub analogowo-cyfrowy, który w przypadku wystąpienia zagrożenia lub sytuacji awaryjnej powoduje odłączenie odpowiednich maszyn i uruchomienie sygnałów świetlnych lub dźwiękowych. Wraz z coraz powszechniejszym stosowaniem zaawansowanych funkcjonalnie systemów bezpieczeństwa pojawiły się pierwsze próby usystematyzowania zasad ich tworzenia. Powstały odpowiednie przepisy i normy, które, standaryzując systemy w kierunku zapewniania odpowiednich klas bezpieczeństwa i szacowania ryzyka, wprowadzały jednak pewne ograniczenia co do swobody stosowania różnych rozwiązań technologicznych. Czasami proponowały wręcz korzystanie z konkretnych ofert systemowych. Dlatego w ostatnich latach – wraz z upowszechnieniem się idei otwartości systemów automatyki – zmieniło się również podejście do przepisów dotyczących przemysłowych systemów bezpieczeństwa.

Bazuje ono na dwóch podstawowych zasadach:

  • opisywane są ogólne zasady postępowania, bez narzucania rozwiązań szczegółowych,
  • bezpieczeństwo zależy od rozwiązań technicznych oraz prawidłowego zarządzania wszystkimi etapami „życia” systemu sterowania i zabezpieczeń.  

Zasady te przyjęto w obowiązującej już również w Polsce normie europejskiej IEC 61 508 (PN-EN 61508) – Bezpieczeństwo funkcjonalne elektrycznych / elektronicznych / programowalnych elektronicznych systemów związanych z bezpieczeństwem.
W normie tej zdefiniowano między innymi pojęcie bezpieczeństwa jako „uwolnienia się od nieakceptowalnego ryzyka fizycznego zranienia człowieka lub uszkodzenia zdrowia ludzkiego, bezpośrednio lub pośrednio jako wynik uszkodzenia obiektu lub środowiska”.
Z definicji tej wynika wyraźnie rola, jaką mają odgrywać systemy bezpieczeństwa, które w razie awarii powinny spowodować przełączenie wszystkich wskazanych urządzeń w odpowiedni stan bezpieczny. Należy zwrócić uwagę, że nie mówi się tu o konieczności wyeliminowania możliwości powstania awarii, a jedynie o odpowiedniej reakcji systemu na sytuację awaryjną.
SIL – poziom nienaruszalności bezpieczeństwa  
W normie IEC 61508 pojawiają się również pewne nowe pojęcia związane z szacowaniem ryzyka powstania awarii, klasyfikacji bezpieczeństwa i zasad testowania nowych systemów. Jednak bodaj najistotniejszym z nich jest poziom nienaruszalności bezpieczeństwa (lub poziom pewności zabezpieczeń) – SIL, który często pojawia się już we współczesnych dokumentacjach technicznych oraz licznych opracowaniach w prasie i literaturze branżowej. W normie ustalono cztery poziomy bezpieczeństwa SIL, ustalane na podstawie szacowania ryzyka wystąpienia sytuacji niebezpiecznych w różnych aplikacjach. W tabeli 1. podano poziomy SIL dla systemów działających rzadko, na żądanie, gdzie ustala się je na podstawie średniego prawdopodobieństwa nieprawidłowego zadziałania systemu w trakcie obsługi żądania.
W tabeli 2. z kolei podano poziomy SIL dla systemów działających w trybie ciągłym, gdzie oblicza się prawdopodobieństwo wystąpienia niebezpiecznego uszkodzenia w czasie godziny.

Systemy zabezpieczeń mogą być stosowane w określonych aplikacjach zależnie od uzyskanego – na podstawie testów i analiz – poziomu SIL.
I tak:
SIL 1 – ochrona obiektów i systemów o małym znaczeniu,  
SIL 2 – ochrona obiektów i systemów o większym znaczeniu (możliwe wypadki z udziałem ludzi),   
SIL 3– ochrona obiektów mających wpływ na zdrowie ludzi i funkcjonowanie społeczności,  
SIL 4 – ochrona obiektów mających duży wpływ na zdrowie ludzi i funkcjonowanie społeczności (np. elektrownie atomowe itp.).  
Zgodnie z zapisami normy istnieją cztery zasadnicze sposoby na zmniejszenie prawdopodobieństwa nieprawidłowego zadziałania systemu:

  • zwiększenie zakresu czynności diagnostycznych,  
  • zwiększenie częstotliwości testowania urzą- dzeń,  
  • dodatkowe procedury ochrony danych zawarte w protokole komunikacyjnym,  
  • instalacja podwójnych i potrójnych urządzeń obok siebie (redundancja).  


W dalszej części artykułu omówiono szerzej właśnie te dwa ostatnie sposoby, które wiążą się bezpośrednio z zastosowaniem urządzeń sieciowych z funkcjami bezpieczeństwa oraz protokołów komunikacyjnych sieci automatyki z dodatkowymi elementami zabezpieczeń pewności i poprawności komunikacji.
Systemy sieciowe z elementami bezpieczeństwa
W tradycyjnych rozwiązaniach technicznych systemy automatyki oraz systemy bezpieczeństwa osób i maszyn były układami autonomicznymi, z niewielkimi tylko elementami wzajemnych powiązań (np. sygnalizacja stanu urządzeń, automatyczne wyłączenie przy sygnale z zewnątrz itp.).
Jak już wspomniano na wstępie, współczesne sieciowe systemy sterowania są na tyle szybkie i niezawodne, że mogą być wykorzystane do przesyłania sygnałów oraz informacji z układów bezpieczeństwa. Przy zachowaniu wymaganego poziomu pewności ich funkcjonowania.

W związku z tym w świecie inżynierskim wykształciły się dwie koncepcje systemów sterowania z elementami bezpieczeństwa. Pierwsza z nich to systemy z bezpieczeństwem zintegrowanym. Moduły bezpieczeństwa wbudowane są bezpośrednio do chronionych urządzeń, np. w postaci mikrokontrolerów z odpowiednią aplikacją obsługującą funkcje związane tylko z bezpieczeństwem. Sterowniki te w większości nie mają możliwości komunikacji przez sieć. Niekiedy zaś jest ona tylko częściowa, np. dla potrzeb diagnostyki i monitoringu parametrów bezpieczeństwa danej maszyny.
Koncepcja druga to całkowite włączenie procedur obsługi funkcji bezpieczeństwa w algorytm sterowania maszynami i całym procesem produkcyjnym. Dzięki temu uzyskuje się rozproszenie funkcjonalności bezpieczeństwa oraz możliwość szybkiego śledzenia ewentualnych, nawet niewielkich zmian parametrów pracy urządzeń (to szczególnie istotne w przypadku ich pracy synchronicznej). Ponadto system sterowania i bezpieczeństwa ma nieporównanie większą elastyczność. Pozwala na szybkie jego przekonfigurowanie i dostosowanie do zmiennych w czasie wymagań użytkownika lub zmian unormowań prawnych.
Dzięki integracji ze standardami sieci przemysłowych możliwe jest również przekazanie informacji z układów zabezpieczeń do systemów zarządzania przedsiębiorstwem, linią produkcyjną itp. Kolejną zaletą takiego rozwiązania jest eliminacja sporych ilości kabli i przewodów, czym charakteryzują się klasyczne rozwiązania analogowo-cyfrowe w zakresie układów zabezpieczeń. Wszystkie informacje i dane stają się elementami komunikacji sieciowej i przekazywane są przez magistralę komunikacyjną.
W ostatnich latach niemal każdy z popularnych standardów sieci przemysłowych uzyskał przydomek SAFETY, który oznacza możliwość zastosowania w układach zintegrowanych – PROFIsafe, DeviceNet Safety, SafetyBus p, SAFETYLon, Ethernet/IP safety, SafetyLon itp. Z reguły jednak do realizacji funkcji bezpieczeństwa w urządzeniach sieciowych potrzebny jest specjalny układ obsługujący zdarzenia związane z bezpieczeństwem. Układ ten, na podstawie otrzymywanych danych z sieci lub układów We/Wy, generuje sygnały sterujące do elementów wykonawczych lub zmienne sieciowe dla systemu bezpieczeństwa. Schematyczną budowę takiego urządzenia pokazano na rysunku 1.
Rozwiązania praktyczne
Jak już wspomniano wcześniej, na rynku pojawia się obecnie coraz więcej standardów sieci przemysłowych, które oferują funkcjonalności zawiązane z bezpieczeństwem. Wiele firm proponuje kompleksowe rozwiązania w tym zakresie. Pozwalają one na obsługę zarówno podstawowych elementów zabezpieczeń w zakładach przemysłowych (wyłączniki bezpieczeństwa, czujniki krańcowe, bariery i kurtyny bezpieczeństwa itp.), jak również zabezpieczają pracę napędów, przetwornic, sterowników oraz innych urządzeń stosowanych w aplikacjach przemysłowych.
Przykładem może być system firmy Beckhoff – Safety over EtherCAT, którego elementy niejednokrotnie były już prezentowane na łamach Control Engineering Polska. Możliwy schemat połączeń pokazano na rysunku 2.
Dzięki rozwiązaniu sieciowemu w aplikacji tej uzyskano dużą prostotę połączeń systemu wymiany danych oraz przejrzystość całej struktury okablowania. Cel osiągnięto przy zachowaniu wysokiej funkcjonalności i elastyczności całego układu. To jest oczywiście przykład aplikacji związanej z bezpieczeństwem funkcjonowania urządzeń i ochrony życia ludzkiego oraz produktów znajdujących się na linii produkcyjnej.
W wielu układach, szczególnie w tzw. aplikacjach krytycznych, w celu zabezpieczenia funkcjonowania samego układu sterowania stosuje się również tzw. redundancję połączeń lubszczególnie istotnych jego elementów. Przykładem może być rozwiązanie oferowane przez firmę Mitsubishi Electric, w którym zastosowano zdublowanie sterowników obsługujących układy We/Wy oraz inne urządzenia automatyki.

W tego typu aplikacjach jeden ze sterowników pełni rolę mastera – w czasie normalnej pracy obsługuje przyłączone do siebie urządzenia. Jednocześnie jest połączony z drugim identycznym funkcjonalnie sterownikiem (slave), do którego przekazuje wszystkie bieżące parametry pracy. W przypadku awarii sterownika master wszystkie jego funkcje przejmuje w czasie rzeczywistym drugi sterownik. Z taką sytuacją mamy do czynienia aż do momentu naprawy i ponownego włączenia sterownika nadrzędnego.
Schematycznie opisaną strukturę przedstawia rysunek 3.  

Dr inż. Andrzej Ożadowicz
jest adiunktem w Katedrze Automatyki Napędu i Urządzeń Przemysłowych Akademii Górniczo-Hutniczej w Krakowie.

Artykuły z cyklu Akademia Robotechu powstają w oparciu o tematykę seminarium, które odbyło się na IV Międzynarodowych Targach Produkcji i Technologii PROTECH’08. Kolejny Robotech odbędzie się podczas kolejnej wystawy – 18-19 listopada 2009 roku – we wrocławskiej Hali Ludowej – Hali Stulecia.
Szczegółowe informacje znajdują się pod adresem www.targi-protech.pl.

Przyszłość – systemy w pełni zintegrowane
Andrzej Ożadowicz, adiunkt w Katedrze Automatyki Napędu i Urządzeń Przemysłowych Akademii Górniczo-Hutniczej w Krakowie
Obserwując rozwój współczesnych, sieciowych systemów automatyki przemysłowej oraz wkraczające do nich nowe funkcjonalności, chociażby te związane z bezpieczeństwem maszyn i ludzi, wyraźnie zarysowuje się trend do pełnej ich integracji.
Dotychczas pewną barierę stanowiła technologia, brak standardów komunikacji zapewniających jednocześnie możliwość transmisji większych pakietów danych, przy zachowaniu determinizmu czasowego i wysokiego poziomu pewności transmisji. W ostatnich jednak latach problemy te wydają się być w coraz większym stopniu pokonane. Wszystkie nieosiągalne dotąd możliwości funkcjonalne stają się narzędziami wykorzystywanymi w praktyce, nawet w mniej zaawansowanych aplikacjach.
Rozwój systemów bezpieczeństwa bazujących na technologiach i standardach sieciowych jest więc nieunikniony i wydaje się tylko kwestią czasu osiągnięcie stanu, gdy ludzie będą mogli niemal w 100% zaufać wielofunkcyjnym, zintegrowanym systemom automatyki.