Konieczna niezawodność

Bezpieczeństwo systemów sterowania maszynami jest obecnie oceniane w oparciu o ich niezawodność. W tym względzie nowa Europejska Dyrektywa Maszynowa 2006/42/EC odnosi się do również nowej normy EN ISO 13849. Ta norma zastępuje tradycyjną normę EN 954, dotychczas stosowaną w zakresie bezpieczeństwa maszyn, stanowiąc w ten sposób całkowicie nowe spojrzenie na sprawy projektowania systemów sterowania.

Rys. 1. Powiązania pomiędzy Europejską Dyrektywą Maszynowąa normami zharmonizowanymi
Europejska Dyrektywa Maszynowa 2006/42/WE weszła w życie 29 grudnia 2009 roku. W wyniku jej wprowadzenia wszyscy światowi producenci wprowadzający na rynek swoje wyroby na Europejskim Obszarze Ekonomicznym są obowiązani do spełnienia dodatkowych wymagań w zakresie bezpieczeństwa. Tej dyrektywie towarzyszy i wspiera ją cały wachlarz norm zharmonizowanych (rys. 1). Podobnie jak do samej dyrektywy, producenci maszyn muszą się więc także dostosować do norm specyficznych dla maszyn (normy typu C), które z kolei odwołują się do wymagań norm podstawowych (normy typu A) oraz ogólnych norm bezpieczeństwa (normy typu B).
Bezpieczeństwo maszyny zaczyna się od oceny ryzyka
Zgodnie z Europejską Dyrektywą Maszynową ocena ryzyka musi być przeprowadzona dla każdej maszyny zgodnie z normą EN ISO 14121. W przypadku wykrycia ryzyka związanego z eksploatacją maszyny należy obowiązkowo podjąć działania ukierunkowane na zminimalizowanie tego ryzyka. W celu obniżenia poziomu ryzyka musi być zastosowana następująca sekwencja działań:

  • Unikanie ryzyka poprzez odpowiednią konstrukcję /projekt (bezpieczeństwo wbudowane).
  • Unikanie ryzyka poprzez stosowanie zabezpieczeń.
  • Unikanie ryzyka poprzez informowanie o sposobie eksploatacji.

Jeśli chodzi o system sterowania, to spełnia on w zasadzie funkcję układu bezpieczeństwa. W celu zapewnienia zgodności z wymogami bezpieczeństwa poprzez właściwe zaprojektowanie układu sterowania, Dyrektywa Maszynowa odwołuje się w tym przypadku do normy EN ISO 13849. Ta norma zajmuje się projektowaniem i integracją Części Systemu Sterowania Związanych z Bezpieczeństwem (Safety-Related Parts of Control Systems ? SRP/CS) bez względu na zastosowaną technologię ? w przeciwieństwie do normy 62061 (która ma zastosowanie do elektryczno-elektronicznych układów sterowania). Jeśli producent maszyny nie dostosował się do tej zharmonizowanej normy, a nastąpiło uszkodzenie urządzenia, to producent jest zobowiązany do udowodnienia, że zastosowany przez niego system sterowania spełnia co najmniej wymagania Dyrektywy Maszynowej.

Rys. 2. Powiązania pomiędzy kategoriami, poziomem pokrycia diagnostycznego, współczynnikami MTTFd oraz Poziomem Parametrów Eksploatacyjnych (PL) zgodnie z normą EN ISO 13849-1.
Norma EN ISO 13849 jest już dokumentem obwiązującym i zastępuje normę EN 954. Jednak Europejska Dyrektywa Maszynowa ciągle pozwala na stosowanie normy EN 954 w niektórych specjalnych przypadkach aż do 31 grudnia 2011 roku (np. dla systemów projektowanych na zamówienie ?pod klucz? bez stosowania norm specyficznych dla danej maszyny), to z punktu widzenia odpowiedzialności za wyrób zaleca się stosowanie normy EN ISO 13849 w celu uwzględnienia bieżącej sytuacji w obszarze normalizacji. Co więcej, w przypadkach, gdy normy typu C już wcześniej powołują się na normę EN ISO 13849, ta nowa norma musi być stosowana.
Nowa norma wprowadza nową procedurę regulującą projektowanie systemów sterowania odpowiedzialnych za bezpieczeństwo. Podejście statystyczne promuje nową koncepcję, coraz powszechniej przyjmowaną przez inżynierów projektantów: interoperacyjność (wymienność funkcji) rozmaitych elementów składowych stanowiących system sterowania musi być obecnie rozpatrywana w aspekcie rozmaitych punktów widzenia związanych z inżynierią bezpieczeństwa. Z jednej strony, dla maszyn posiadających wypróbowane technologie bezpieczeństwa takie podejście pozwala na generowanie ilościowego dowodu pokazującego, jakie poziomy bezpieczeństwa zostały osiągnięte.Z drugiej strony dla maszyn, w których istnieją słabe punkty pod względem bezpieczeństwa, to podejście pozwala na uzyskanie wyraźnych zaleceń pokazujących, jak poprawić te słabości. Tak więc, wspomniana norma pozwala na wypracowanie wytycznych dla systematycznej poprawy bezpieczeństwa maszyn. Pozwala ona również optymalizować współczynnik gotowości (dostępności) maszyn i w konsekwencji obniżać całkowite koszty w ciągu całego okresu eksploatacji urządzenia.
Norma EN ISO 13849 ? perspektywy
Wymagania bezpieczeństwa dla każdej zidentyfikowanej funkcji bezpieczeństwa są opisane w normie EN ISO 13849 w formie Wymaganych Poziomów Parametrów Eksploatacyjnych (Required Performance Levels ? PLr). Jeśli nie są one wcześniej określone w normie specyficznej dla maszyny, projektant korzysta z wykresu ryzyka podanego w normie EN ISO 13849. W oparciu o sprawy dotyczące oddziaływania, częstotliwości, czasu trwania i również możliwości uniknięcia ryzyka, Poziomy PLr można ocenić w skali od ?a? do ?e?, przy czym ?a? oznacza niski poziom ryzyka, podczas gdy ?e? to symbol wysokiego poziomu ryzyka.

Rys. 3: Ważność parametru MTTFd dla dostępności funkcji bezpieczeństwa: Przykład: MTTFd = 10 lat (żółta linia) oznacza, że ok. 63% elementów odpowiedzialnych za funkcje bezpieczeństwa może ulec niebezpiecznej awarii w ciągu 10 lat. Przy wartości MTTFd = 100 lat (linia niebieska) 18% elementów może ulec niebezpiecznemu uszkodzeniu w ciągu okresu eksploatacji maszyny wymaganego przez normę EN ISO 13849 i wynoszącego 20 lat.
Poziom Parametrów Eksploatacyjnych (PL) jest charakterystyką stosowaną podczas projektowania funkcji odpowiedzialnych za bezpieczeństwo oraz oceny zgodności systemów sterowania z normą EN ISO 13849. Ta charakterystyka opisuje wkład systemu sterowania w obniżenie ryzyka i jest zdefiniowana jako średnie prawdopodobieństwo niebezpiecznej awarii na godzinę (PFHd). Oznacza to, że bezpieczeństwo systemu sterowania jest obecnie oceniane na podstawie prawdopodobieństwa jego awarii (lub niezawodności).
Dla projektowania systemów sterowania norma EN ISO 13849 zakłada strukturę systemu taką, jak w normie EN 954, która obecnie ma bezpośrednie odniesienie do Poziomu Parametrów Eksploatacyjnych (PL) (rys. 2). Kategorie sterowania różnią się,w zależności od tego, czy jest to sterowanie jednokanałowe, czy dwukanałowe, czy sterowanie zostało zaprojektowane z uwzględnieniem monitoringu, czy bez niego oraz czy sterowanie jest odporne na błędy systematyczne, a także w sensie wartości niezawodności takich systemów sterowania.
Zasadniczo, norma EN ISO 13849 pozwala inżynierom projektantom na większą swobodę znalezienia rozwiązania, które byłoby najbardziej efektywne w stosunku do kosztów i umożliwiało osiągnięcie wymaganego Poziomu Parametrów Eksploatacyjnych (PLr). Zgodnie z wybraną kategorią projektuje się następnie obwód sterowania, który jest poddawany modelowaniu z użyciem blokowego schematu bezpieczeństwa. Ten model bezpieczeństwa określa sposób, w jaki poszczególne elementy składowe są uwzględniane podczas obliczeń Poziomu Parametrów Eksploatacyjnych (PL). Taki sposób modelowania oznacza całkiem nowy punkt widzenia na odpowiednie zadania projektowe (pakiety prac ? work packages), szczególnie w przypadku projektantów skomplikowanych systemów w obszarze technologii hydrauliki siłowej.
Oprócz kategorii sterowania istotną rolę podczas obliczania wartości Poziomu Parametrów Eksploatacyjnych (PL) odgrywa niezawodność elementów składowych. Norma EN ISO 13849 wymaga, jako warunku wstępnego, aby przed włączeniem danego elementu do systemu kontroli bezpieczeństwabyły przestrzegane specyficzne zasady projektowania z uwzględnieniem bezpieczeństwa.
Na przykład zgodnie z zasadą odcinania zasilania, element składowy musi przechodzić w stan bezpieczny po odcięciu dopływu energii zasilającej i utrzymywać się w takim stanie przy wszystkich zatwierdzonych warunkach pracy (wibracja, temperatura itp.). Jeśli wyrób nie spełnia powyższych zasad bezpieczeństwa, to nie nadaje się do realizacji funkcji bezpieczeństwa opartych na normie EN ISO 13849.

W zależności od technologii dostawca musi podawać rozmaite charakterystyki niezawodności, takie jak Średni Czas do Nastąpienia Niebezpiecznej Awarii (Mean Time to Dangerous Failure ? MTTFd) dla elementów hydraulicznych, wartości B10 dla elementów pneumatycznych lub wartości PL (PFHd) dla podsystemów elektronicznych. Są to statystyczne wartości oczekiwane, które w ogromnym stopniu zależą od metody ich określania oraz od warunków pracy.
W tym przypadku stosowane są generalnie trzy podstawowe metody określania wymaganych charakterystyk niezawodności:

  1. Obliczanie okresu eksploatacji (czasu życia) (np. zgodnie z metodą liczebności części [Parts-Count] lub metodą narażeń części [Parts-Stress]). Te dwa różne podejścia są stosowane w celu obliczenia niezawodności elementów składowych, w szczególności elementów elektronicznych w oparciu o charakterystyki czasu życia (MTTF) każdej części (rezystorów, kondensatorów itp.). Warunki środowiskowe takie jak temperatura odgrywają bardzo ważną rolę. Norma EN ISO 13849 zaleca przyjęcie wartości MTTFd równej 150 lat dla elementów hydraulicznych, gdy spełnione są zasady bezpieczeństwa oraz wymagania normy EN 982. Jednakże w przypadku wyrobów, które zawierają więcej niż jeden element hydrauliczny, współczynnik MTTFd musi być obliczony z zastosowaniem metody liczebności części zgodnie z normą EN ISO 13849. Na przykład w przypadku kombinacji zaworu pilotującego oraz zaworu głównego można otrzymać wartość MTTFd o wiele mniejszą, równą 75 lat zamiast 150 lat.
  2. Testy czasu życia. Charakterystyki niezawodności B10, np. dla elementów pneumatycznych, mogą być określone za pomocą testów czasu życia. Parametr B10 jest statystyczną wartością oczekiwaną dla liczby cykli roboczych wykonanych do momentu, aż 10% badanych elementów przekroczy określone wartości graniczne (czas reakcji, przecieki, ciśnienie przełączania?) w określonych warunkach pracy. Ten dowód statystyczny w ogromnym stopniu zależy od warunków testu i liczby użytych próbek.
  3. Czas życia na podstawie danych eksploatacyjnych. Jeśli dostępna jest wystarczająco obszerna baza danych dotycząca zastosowań danego wyrobu w warunkach praktycznych, wartość współczynnika MTTF można otrzymać na podstawie takiej bazy. Te charakterystyki czasu życia są wartością średnią dla wszystkich praktycznych aplikacji w realnych systemach. W celu zapewnienia statystycznie znaczącego dowodu ważne jest, aby odpowiednie dane były zbierane i analizowane w bardzo ostrożny sposób.

Norma EN ISO 13849 uwzględnia jedynie niebezpieczne awarie, tj. awarie, które stanowią zagrożenie dla bezpieczeństwa maszyn. Ponieważ procentowy udział awarii niebezpiecznych często nie może być określony w sposób bezpośredni, norma zakłada, że 50% wszystkich awarii to awarie niebezpieczne. MTTFd = 2 x MTTF lub B10d = 2 x B10. Wartość współczynnika MTTFd dla funkcji bezpieczeństwa maszyn jest następnie obliczana z zastosowaniem procedury liczebności części (rys. 3).
Pokrycie diagnostyczne (Diagnostics Coverage ? DC) jest kolejnym czynnikiem mającym wpływ na Poziom Parametrów Eksploatacyjnych (PL). Określa on ułamek1 niebezpiecznych awarii, które mogą być wykryte. W celu określenia tej charakterystyki diagnostycznej dla elementu składowego użytkownik musi znać wszystkie rodzaje niebezpiecznych awarii, a także prawdopodobieństwa ich wystąpienia oraz ich wykrycia. Takie obliczenia są wykonywane dla wyrobów specjalnych. Dla elementów standardowych norma EN ISO 13849 podaje listę działań wraz z typowymi wartościami Pokrycia Diagnostycznego (DC), np. DC = 99% dla zaworów z bezpośrednią pozycją montażu. Jednak w tym przypadku jest bardzo ważne, aby sygnał położenia był prawidłowo przetwarzany przez system sterowania wyższego poziomu. Ostatecznie należy stwierdzić, że określenie pokrycia diagnostycznego (DC) dla elementów jest skrajnie trudne, gdyż wartości tego parametru zależą od właściwego przetwarzania sygnałów diagnostycznych.
Poziom Parametrów Eksploatacyjnych (PL) jako czynnik zwiększający bezpieczeństwo
W normie EN ISO 13849 również brane są pod uwagę Awarie o Pospolitych Przyczynach (Common Cause Failures ? CCF). To określenie oznacza awarię elementów nadmiarowych, będące wynikiem pospolitych zdarzeń takich jak wysoka temperatura. Z tego powodu dla dwukanałowych systemów sterowania muszą być brane pod uwagę specyficzne wymagania odnośnie odporności na Awarie o Pospolitych Przyczynach (CCF). Środki zapobiegawcze przeciwko CCF (takie jak zabezpieczenia przeciwko nadmiernemu ciśnieniu /napięciu) są oceniane z zastosowaniem tabeli, w której przyznaje się określoną liczbę punktów za każdy zastosowany środek zapobiegawczy. W tej tabeli urządzenie musi zdobyć co najmniej 65 punktów na 100 możliwych.
Ostatecznie norma EN ISO 13849 wymaga, aby wziąć pod uwagę również środki zapobiegawcze przeciwko awariom systemowym. Każde dedykowane oprogramowanie, które zostało specjalnie opracowane na potrzeby systemu, musi spełniać odpowiednie wymagania. Trzeba również obowiązkowo zapewnić, że podstawowe i dobrze sprawdzone zasady bezpieczeństwa będą również przestrzegane w czasie projektowania całego systemu sterowania. Po zakończeniu procesu projektowania norma EN ISO 13849-2 przewiduje stosowanie procedury walidacji polegające na sprawdzeniu, czy zaplanowane funkcje bezpieczeństwa zostały należycie zastosowane i udokumentowane. Ten proces obejmuje badanie listy błędów: Czy założenia odnośnie wykluczenia błędów mogą być spełnione? Założone kategorie muszą być również potwierdzone: Czy istniejący obwód rzeczywiście odpowiada kategorii, dla której zostały wykonane obliczenia.
Wytyczne
Firma Bosch Rexroth wspiera swoich klientów, np. dostarczając wytyczne ?10 kroków do Poziomu Parametrów Eksploatacyjnych? (PL) (?10 Steps to Performance Level?). Ten dokument jest dostępny na witrynie internetowej www.boschrexroth.com/SAFETY.
Normy
EN ISO 13849: ? Bezpieczeństwo maszyn ? Elementy systemów sterowania związane z bezpieczeństwem, część 1.: Ogólne zasady projektowania. Część 2.: Walidacja.
EN ISO 14121-1 ? Bezpieczeństwo maszyn ? Ocena ryzyka ? Część 1.: Zasady.
EN 62061 Bezpieczeństwo maszyn ? Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i programowalnych elektronicznych systemów sterowania związanych z bezpieczeństwem.
EN 982 ? Bezpieczeństwo maszyn. Wymagania bezpieczeństwa dotyczące układów hydraulicznych i pneumatycznych i ich elementów ? Hydraulika (zastąpiona przez normę EN ISO 4413).
EN ISO 12100-1 ? Bezpieczeństwo maszyn ? Pojęcia podstawowe, ogólne zasady projektowania ? Część 1.: Podstawowa terminologia, metodyka.

Autorzy :
Dr Alexandre Orth (urodzony w roku 1978) koordynuje temat ?Niezawodność i Serisowalność? w dziale Metod Jakości firmy Bosch Rexroth AG, Würzburg, Germany.Jest członkiem kilku grup roboczych zajmujących się sprawami bezpieczeństwa i niezawodności w VDMA (Niemieckie Stowarzyszenie Konstrukcji Maszyn i Linii Produkcyjnych) oraz ZVEI (Niemiecki Przemysł Elektryczny i Elektroniczny).

Dr Jürgen Barg (urodzony w roku 1951) jest kierownikiem oddziału napędów elektrohydraulicznych w Centrum Aplikacji firmy Bosch Rexroth AG, Lohr, Niemcy. Odgrywa aktywną rolę w rozmaitych komitetach normalizacyjnych oraz grupach roboczych VDMA zajmujących się sprawami Europejskiej Dyrektywy Maszynowej.
CE

Słowniczek
PL (Poziom Parametrów Eksploatacyjnych): Dyskretna wartość używana do określenia zdolności elementów mających związek z bezpieczeństwem systemu sterowania do realizacji funkcji bezpieczeństwa w przewidywalnych warunkach.
PLr: Wymagany poziom parametrów eksploatacyjnych
SIL (Safety Integrity Level): Poziom integralności bezpieczeństwa (ma zastosowanie tylko dla elektronicznych systemów sterowania, zob. PL oraz IEC 62061)
MTTF (Mean Time to Failure): Statystyczna wartość oczekiwana dla średniego czasu pracy do wystąpienia awarii.
MTTFd (Mean Time to Dangerous Failure): Statystyczna wartość oczekiwana dla średniego czasu pracy do wystąpienia niebezpiecznej awarii.
FIT (Failure in Time): Jednostka używana do mierzenia intensywności uszkodzeń elementów elektronicznych (1 FIT = 1 * 10-9/h).
SRP/CS: Części Systemu Sterowania Związane z Bezpieczeństwem
CCF: Awaria o Pospolitej Przyczynie
PPHd (Probabiliy of Dangerous Failure per Hour): Prawdopodobieństwo wystąpienia niebezpiecznej awarii w ciągu godziny (wartość odniesienia dla PL oraz SIL).
B10: Statystyczna wartość oczekiwana dla liczby cykli roboczych do chwili, gdy 10% elementów składowych przekroczy określone wartości graniczne (czas reakcji, przecieki, ciśnienie przełączania, ?)  w określonych warunkach.
B10d: Statystyczna wartość oczekiwana dla liczby cykli roboczych aż do chwili, gdy 10% elementów składowych ulegnie niebezpiecznemu uszkodzeniu.
T10d: Wartość oczekiwana średniej długości czasu do chwili, gdy 10% elementów ulegnie niebezpiecznemu uszkodzeniu (maksymalny czas eksploatacji danego elementu).
TM (Mission Time): Czas eksploatacji
DC: Pokrycie diagnostyczne
Niebezpieczna awaria/uszkodzenie. Uszkodzenie, które może potencjalnie wprowadzić Części Systemu Sterowania Związane z Bezpieczeństwem (SRP/CS) w stan niebezpieczny lub spowodować brak ich działania.