Bezpieczeństwo w zautomatyzowanym świecie

By skutecznie wspomagać zapobieganie wypadkom i redukcję kosztów, projektując i implementując systemy zarządzania bezpieczeństwem, należy zidentyfikować zagrożenia, wdrożyć normy i zminimalizować potencjalne ryzyko wypadków.
Słowo „wypadek” każdego przyprawia o ciarki. W jak najlepiej pojętym interesie leży dążenie do zapewnienia bezpiecznych warunków na każdym stanowisku pracy. Aby zapewnić bezpieczeństwo w miejscu pracy, amerykański Kongres w roku 1970 powołał do życia Organizację do spraw Administrowania Zdrowiem i Bezpieczeństwem w miejscu pracy (Occupational Safety and Health Administration – OSHA). „Podstawową dyrektywą” tej organizacji jest wymaganie od pracodawców zapewniania miejsca pracy wolnego od zagrożeń. Automatyczne sterowanie oparte na bezpieczeństwie jest często krytycznym elementem, niezbędnym do uzyskania zgodności z wymaganiami OSHA. Jest to również pierwsza rzecz, którą badają inspektorzy, gdy coś idzie nie tak.
Amerykańskie statystyki podają, że w roku 2003 zgłoszono 5500 zgonów i 4,7 mln obrażeń ciała (na ok. 126 mln pracowników). Chociaż w ostatnich 30 latach liczba wypadków zmniejszyła się radykalnie, obecnie koszty wypadków są astronomiczne – sięgają miliardów USD. Finansowe konsekwencje wypadków wychodzą daleko poza straty wynikające z czasowego przestoju zakładu oraz koszt obsługi medycznej (statystyki dotyczące krajów UE można znaleźć na stronie: http://europe.osha.eu.int/statistics/index2.php3).
Wydatki związane z rehabilitacją pracowników, zwiększenie stawek ubezpieczeniowych, naruszenie morale i produktywności pracowników, kary ustawowe, koszt przeszkolenia czasowego lub permanentnego zastępstwa pracownika oraz koszty postępowania sądowego – to wszystko zwiększa całkowity koszt wypadku od 4 do 10 razy ponad to, co zostało oszacowane przez ubezpieczyciela firmy. Jednak koszty te mogą okazać się znikome w porównaniu z bólem fizycznym i cierpieniem emocjonalnym pracowników ulegających wypadkom i ich rodzin.
Rola prawa
Według Lewisa Bassa, pełnomocnika i inżyniera do spraw bezpieczeństwa oraz szefa firmy Lewis Bass International Safety Consultants, aktualne trendy w interpretacji prawa ustawodawczego oraz roszczeniowego zmierzają coraz bardziej w kierunku, w którym w razie zaistnienia wypadku każdy, kto jest właścicielem, projektantem, kto instaluje, utrzymuje, nadzoruje czy obsługuje całość bądź część każdego systemu przemysłowego – będzie rozpatrywany jako podejrzany. Dlatego proaktywne podejście do bezpieczeństwa jest takie ważne.
Wkład globalny
Unia Europejska (UE) to światowy lider w dziedzinie zagadnień związanych z zabezpieczeniem maszyn i urządzeń oraz miejsc pracy. UE wydaje standardy, głównie pod szyldem Europejskiego Komitetu Standaryzacji (CEN) oraz Norm Europejskich (EN). Standardy i dyrektywy (ustawy) UE są zazwyczaj bardziej rygorystyczne i zrozumiałe niż ich amerykańskie odpowiedniki. Są również bardziej ujednolicone i skoncentrowane w jednym miejscu. UE posługuje się tymi standardami do ochrony Europy przed importowaniem niezgodnych z jej normami produktów. Dlatego grupy nadzorujące kwestie bezpieczeństwa w USA podejmują wzmożone wysiłki mające na celu „harmonizowanie” amerykańskich standardów z europejskimi.

Oznaczenia komponentów okreoelających stopień niebezpieczeństwa w kolorowej skali po ich podłączeniu do panelu sterowania systemu bezpieczeństwa są monitorowane przez przekaźniki bezpieczeństwa, które donoszą sterownikowi PLC o ewentualnej potrzebie wygenerowania alarmów i jednoczeoenie są sztywno połączone kablami ze sterowaniem maszyn, by umożliwiać bezpooerednie awaryjne wyłączenie maszyny (fot. DST Controls)

Działania te przyniosą w końcu ulgę wielu amerykańskim firmom, które funkcjonują na obu rynkach, umożliwiając im zaprzestanie produkowania dwóch różnych wersji tego samego produktu, utrzymując konkurencję kosztową w USA i zapewnienie zgodności produktów z wymogami UE. – Ponieważ standardy UE mogą być ujęte w standardach ANSI a nawet przyjęte przez OSHA, firmy amerykańskie powinny być na bieżąco ze standardami opracowywanymi w UE – zauważa Lewis Bass. – Przyczyni się to zwiększenia bezpieczeństwa zakładów oraz pozwoli zaoszczędzić pieniądze, ponieważ firmy będą mogły od razu zaprojektować zabezpieczenia o wyższym standardzie, zamiast robić przeróbki, kiedy standard czy dyrektywa europejska stanie się obowiązująca w USA.
Podobnie Międzynarodowa Komisja Elektrotechniczna (International Electrotechnical Commission – IEC) pracuje nad unifikacją standardów na poziomie globalnym.
Podstawowe elementy konstrukcji bezpieczeństwa w automatyce przemysłowej są w zasadzie takie same jak te dotyczące automatyzacji fabryki, niezależnie od tego, czy mamy do czynienia ze środowiskiem przetwarzania wsadowego czy też dyskretnego (tj. całych partii czy poszczególnych produktów). Historycznie zgodne z prawem systemy bezpieczeństwa dotyczyły jednak głównie mechanicznych i elektromechanicznych urządzeń blokujących. Troska organów prawnych o bezpieczeństwo technologii półprzewodnikowych uniemożliwiła wdrożenie wielu nowoczesnych rozwiązań w postaci urządzeń elektronicznych do komponentów systemów bezpieczeństwa. Preferowano obwody bezpieczeństwa oparte na tradycyjnym okablowaniu zamiast logiki programowej, ponieważ uznawano, że w oprogramowanie można zbyt łatwo ingerować, niezależnie od tego, czy jest to przewidziane i zamierzone, czy też nie.
Obecnie jednak oznaczane kolorami wersje półprzewodnikowych przekaźników PLC, przełączniki optoelektroniczne, urządzenia sieciowe oraz urządzenia I/O są rutynowo wybierane i stanowią integralną część systemów bezpieczeństwa zgodnych z wymogami prawnymi. Ponadto zabezpieczające wyłączniki elektroniczne są w praktyce stosowane w dużych ilościach do wykrywania obecności człowieka w potencjalnie niebezpiecznych strefach i sytuacjach. Przykłady obejmują maty zabezpieczające, kurtyny świetlne, czujniki zbliżeniowe, sterowanie wymagające użycia obu rąk do załączenia urządzenia, bezpieczne listwy stykowe oraz elektroniczne bufory („zderzaki bezpieczeństwa”).

Trzy poziomy przemysłowego zabezpieczania, nadzorowania i ustalania zasad postępowania w USA:

  • OSHA federalna i jej odpowiedniki na poziomach stanowych. OSHA publikuje swoje rozporządzenia w 29 CFR (Kodeks regulacji stanowych) część 1910 i może je egzekwować poprzez kary pieniężne dochodzące do 75 tys. USD za nieprzestrzeganie dyrektyw, może wnieść do sądu sprawę karną lub zamknąć zakład. OSHA publikuje również szczegółowe standardy, raporty techniczne oraz programy szkoleniowe mające pomóc pracodawcom w uzyskaniu niezbędnej zgodności z prawem.
  • Grupy wspólnie uzgadnianych narodowych standardów — „National Consensus Standards”, takie jak Amerykański Narodowy Instytut Standardów (American National Standards Institute — ANSI). ANSI jest organizacją niekomercyjną, koalicją organizacji technicznych, handlowych i profesjonalnych, jak również korporacji agencji pracy i agencji rządowych, które opracowują standardy na poziomie krajowym. Standardy te dotyczą wielu obszarów, m.in. bezpieczeństwa. Organizacje członkowskie ANSI to między innymi: Stowarzyszenie Technologii Produkcyjnych (The Association of Manufacturing Technology — AMT), Stowarzyszenie Przemysłu Robotycznego (Robotic Industries Association — RIA), Amerykańskie Stowarzyszenie Inżynierów Budownictwa Lądowego i Wodnego (American Society of Civil Engineers — ASCE), Stowarzyszenie do spraw Oprzyrządowania, Systemów oraz Automatyzacji (The Instrumentation, Systems, and Automation Society — ISA) oraz Amerykańskie Stowarzyszenie Inżynierów Mechaników (American Society of Mechanical Engineers — ASME). Organizacje te opracowują standardy dla swoich gałęzi przemysłu i są doskonałymi źródłami wskazówek i informacji dotyczących kwestii bezpieczeństwa w konkretnych gałęziach.
  • Chociaż standardy ANSI nie mają mocy ustawodawczej, OSHA często podaje je jako kryteria zgodności prawnej. Na tym etapie standardy ANSI stają się prawem. Ponieważ ANSI i jej organizacje zajmujące się różnymi gałęziami przemysłu zrzeszają przedstawicieli gałęzi, których dotyczy dany standard, określenie kosztów oraz technicznej wykonalności dyrektywy czy standardu zawsze stanowi cześć procesu jego opracowania.
  • Pracodawca. Firmy wykorzystujące technologie wysokiego ryzyka lub szybko rozwijające się technologie czasami opracowują własne wymogi bezpieczeństwa związane z daną aplikacją, często bardziej surowe od wymogów prawnych. Takie podejście jest nie tylko wysoce etyczne, ale może również stanowić model uzasadnienia słuszności lokalnie opracowanych standardów i metodologii, które po sprawdzeniu mogą zostać przyjęte do grupy standardów przemysłowych. Obecnie OSHA nie wymaga, by systemy bezpieczeństwa były certyfikowane przez licencjonowanych inżynierów. Jednakże zaangażowanie profesjonalistów i ich poparcie dla systemów i programów bezpieczeństwa w firmie zwiększa prawdopodobieństwo uzyskania przez zakład zgodności z wymaganymi regulacjami prawnymi.

Co sprawia, że dane urządzenie jest określane mianem „bezpiecznego” a nie tylko „produkcyjnego”? Odpowiedź jest prosta: zwiększona niezawodność uzyskiwana poprzez określenie warunków, jakie musi wytrzymać dane urządzenie (konstrukcja) oraz sposób funkcjonowania (projekt). Przykłady opcji nastawionych na bezpieczeństwo:

  • Bezpieczne – urządzenia pracujące z zasilaniem, które nie jest wystarczające do zapalenia lotnego gazu w przypadku pojawienia się iskry spowodowanej problemem elektrycznym.
  • Zdolność do samo monitorowania – sterowniki bezpieczeństwa (takie jak przekaźniki bezpieczeństwa, pewne rodzaje sterowników mechanizmów blokujących oraz sterowniki mat bezpieczeństwa) wykrywają własne błędy, sterują procesem czy maszyną, doprowadzając do bezpiecznej sytuacji, i utrzymują je w takim stadium do momentu usunięcia awarii i zresetowania urządzenia. Funkcja ta jest obecna w trzech podstawowych działaniach sterownika, takich jak: monitorowanie wejść bezpieczeństwa, monitorowanie resetów bezpieczeństwa, monitorowanie wyjść bezpieczeństwa oraz samo synchronizacja. Wejścia bezpieczeństwa są monitorowane w celu sprawdzenia, czy nastąpiła zmiana stanu (z niebezpiecznego na bezpieczny) przed zezwoleniem na zresetowanie urządzenia. Jeśli zachodzi potrzeba wykonania ręcznego resetu, monitorowanie funkcji bezpiecznego resetu wymaga, by obwód zerowania zmienił status (z wyłączonego na reset) po spełnieniu wymogów wejść bezpieczeństwa. Daje to gwarancję, że reset sterownika bezpieczeństwa jest wykonywany przez operatora, a obwód resetu nie został przepięty ręcznie. Opcja automonitorowania wymaga również, żeby wyjścia bezpieczeństwa reagowały na zmiany wejść bezpieczeństwa (przejście ze stanu „niebezpieczny” na „bezpieczny”) oraz status resetu bezpieczeństwa (z wyłączonego na reset), a także zapewnienia pojawiania się ich we właściwej kolejności. Oczywiście, jeśli wejścia bezpieczeństwa są niebezpieczne, to wszystkie wyjścia bezpieczeństwa muszą się WYŁĄCZYĆ. I na odwrót, jeśli wejścia bezpieczeństwa są bezpieczne, a sterownik jest zresetowany, wtedy wszystkie wyjścia bezpieczeństwa mogą się z powrotem ZAŁĄCZYĆ.
  • Możliwości dwukanałowe (redundancja) z różnorodnością napięcia – różnorodność napięcia wzmaga automonitorowanie oraz prostą redundancję poprzez wykrywanie, kiedy kanały bezpiecznych wejść nakładają się. W takich warunkach wewnętrzne wyjścia bezpieczeństwa przechodzą w sposób wymuszony w stan WYŁĄCZENIA, a przekaźnik bezpieczeństwa przechodzi w tryb awarii (i bezpieczeństwa).

Zastosowanie komponentów związanych z zabezpieczaniem ma krytyczne znaczenie dla zapewnienia „niezawodności sterowania” systemów bezpieczeństwa. Standard ANSI B11.19-2003 definiuje niezawodność sterowania jako „zdolność systemu sterowania maszyną, zabezpieczeń innych komponentów sterujących oraz związanych z nimi interfejsów, do osiągnięcia bezpiecznego stanu w przypadku zaistnienia awarii, w obrębie funkcji związanych z bezpieczeństwem”. Niezawodne obwody i logika sterująca są niezwykle ważne w bardzo niebezpiecznych sytuacjach.
Narzędzia do osiągania zgodności
Inżynierowie automatycy, którzy zajmują się instalowaniem lub modernizowaniem systemów w celu wyeliminowania zagrożenia wypadkami w zakładzie, muszą najpierw zidentyfikować istniejące zagrożenia w specjalnej procedurze audytu, nazywanej oszacowywaniem ryzyka. Kto powinien wykonywać te krytyczne działania? Bill VanDervoort, dyrektor integracji bezpieczeństwa w firmie DST Controls, uważa: – Sumienni właściciele mogą sami wykonać wstępne inspekcje, ale tych, którzy samodzielnie będą wykonywać audyt oszacowania ryzyka można porównaćdo samodzielnie badającego się pacjenta. Prawne techniczne aspekty bezpieczeństwa są, podobnie jak w medycynie, tak ogromne i pochodzą z tak wielu źródeł, że dla kogoś, kto nie jest profesjonalistą, bycie na bieżąco jest prawie niemożliwe. Jest to szczególnie prawdziwe w przypadku producentów maszyn, urządzeń i systemów, którzy muszą być zgodni z jeszcze niezharmonizowanymi dyrektywami amerykańskimi i europejskimi.
Prawo nie zaleca konkretnych metodologii oszacowywania ryzyka, ale organizacje zajmujące się regulacjami i standardami proponują różne wersje. W artykule przedstawiamy jeden z zalecanych standardów audytu bezpieczeństwa.
Eliminowanie ryzyka
W celu oszacowania ryzyka można się posłużyć „Hierarchią do Zapewniania Bezpieczeństwa maszyn” OSHA/ANSI. Wyszczególnione w niej zasady, które dotyczą wszystkich maszyn zarówno w przemyśle przetwarzania wsadowego (partii), jak i dyskretnym (indywidualne przetwarzanie pojedynczych produktów), opisują pięć poziomów działalności: eliminowanie zagrożeń poprzez projekty, kontrolowanie zagrożeń poprzez zabezpieczenia (bariery, blokady, zabezpieczenia automatyczne itd.), stosowanie sygnałów i alarmów ostrzegawczych, stosowanie środków ochrony osobistej (rękawice, okulary ochronne itd.) oraz zapewnienie szkoleń pracowników.

EN Standard 1050: zasady oszacowywania ryzyka

Przyjmując, że ryzyko = stopień ryzyka + prawdopodobieństwo + częstotliwość, te same komponenty można uznać za punkty na skali numerycznej, gdzie:

Stopień ryzyka (lub prawdopodobieństwo odniesienia obrażeń ciała)

  • 1 =  mały (zacięcia lub potłuczenia, którym można zaradzić poprzez zastosowanie pierwszej pomocy)
  • 3 =  duży (urazy nietrwałe, utrata przytomności, połamane kości)
  • 6 =  bardzo duży (trwałe upośledzenie, ślepota, utrata kończyn)
  • 10 =  śmierć

Prawdopodobieństwo (obrażeń ciała)

  • 1 =  nieprawdopodobne
  • 2 =  możliwe
  • 4 =  prawdopodobne
  • 6 =  pewne

Częstotliwość (ilość oraz czas trwania narażenia na warunki szkodliwe)

  • 1 = rzadko (raz na tydzień lub mniej)
  • 2 = od czasu do czasu (codziennie)
  • 4 = często (kilka razy dziennie)

Po oszacowaniu ryzyka (poprzez przyporządkowanie odpowiednich punktów) sumę punktów można porównać do skali 1—20, gdzie 3 oznaczałoby małe ryzyko, a 20 duże. Oceniane maszyny lub procesy należy badać podczas ich normalnej pracy, z uwzględnieniem uruchamiania, wyłączania i prac konserwacyjno-naprawczych. Należy uwzględnić nawet możliwość przypadkowego lub celowego niewłaściwego użycia.

Punkty zostały wymienione według priorytetów. Punkt pierwszy jest uważany za optymalny, ponieważ ewentualne zagrożenia są eliminowane już podczas tworzenia projektu [systemu]. Jeśli całkowite usunięcie zagrożeń nie jest w praktyce wykonalne, tak jak w hutach stali czy w zakładach chemicznych, kolejnym rozwiązaniem jest zabezpieczanie przed konkretnymi zagrożeniami. Jeśli to nie usunie zagrożenia, działania podejmowane na trzecim poziomie obejmują zastosowanie urządzeń ostrzegawczych itd., itd.
Inżynierowie automatycy mają możliwość oraz obowiązek stosowania swoich umiejętności głównie na dwóch pierwszych poziomach wymienionej hierarchii. Kolejne pięć etapów zapewnia kierunek (znowu przy pomocy profesjonalistów), w jakim należy podążyć w celu redukcji ryzyka poprzez zastosowanie rozwiązań z zakresu sterowania.

  • 1. Należy oszacować ryzyko występujące we wszystkich trybachpracy systemu i rozpatrywać je w kontekście dopuszczalnych poziomów redukcji.
  • 2. Przebudować istniejące lub zaprojektować nowe schematy redukcji ryzyka oparte na rozwiązaniach sterujących.
  • 3. Określić wymagania bezpieczeństwa dla elementów związanych z zabezpieczeniem, będących częścią systemu sterowania (wymagania takie jak kategoria niezawodności, standard EN 954-1).
  • 4. Zaprojektować podsystemy bezpieczeństwa dla strategii bezpieczeństwa, zgodnie ze specyfikacjami opracowanymi na etapie 3.
  • 5. Porównać wdrożone funkcje bezpieczeństwa ze specyfikacją wymienioną w punkcie 3., a jeśli okaże się, że wymogi specyfikacji nie są spełnione – wprowadzić niezbędne poprawki.

Dokumentowanie prowadzonych kontroli i działań jest niezwykle ważne, ponieważ wyklucza konieczność powtarzania czasochłonnych zadań, pomaga inspektorom w razie wystąpienia wypadku, a gdyby sprawa trafiła do sądu, udowadnia ciałom ustawodawczym należytą troskę o bezpieczeństwo.


Ocena ryzyka może być zawiła. Schemat ilustruje zalecany proces przeprowadzania audytu bezpieczeństwa (ilustracja dzięki uprzejmości STI)
Celem zabezpieczania procesów i maszyn jest uniemożliwienie dostępu do nich podczas zaistnienia niebezpiecznych warunków oraz zapobieżenie zaistnieniu niebezpiecznych warunków, kiedy dostęp do maszyn nie jest ograniczony, przy równoczesnej dbałości o niezakłócony przebieg procesu. Chociaż operatorzy potrafią znaleźć sposób obejścia systemów zabezpieczających, które mogą zwalniać produkcję, wydajność produkcji musi zawsze iść w parze z bezpieczeństwem. Systemy zapewniające bezpieczeństwo powinny zadbać również o sprawność maszyny czy procesu po usunięciu problemu i zresetowaniu systemu.  ce

Control Engineering Polska dziękuje firmie DST Controls (www.dstcontrols.com), Joe Lazzara z STI (www.sti.com) oraz Lewis Bass International (www.lewisbass.com) za pomoc w przygotowaniu artykułu.