Ocena ryzyka

 

Zapewnianie bezpieczeństwa systemów sterowania na podstawie oceny ryzyka, zgodnie z normą PN-EN ISO 13849-1:2008

 

W przypadku, gdy dla maszyny nie została opracowana norma zharmonizowana typu C, zawierająca odpowiednie wymagania dotyczące układów sterowania związanych z bezpieczeństwem, narzędziem umożliwiającym realizację tych układów zapewniającą spełnienie zasadniczych wymagań bezpieczeństwa jest ocena ryzyka .

W normie PN-EN ISO 13849-1:2008 została zaproponowana metoda szacowania ryzyka w celu określenia wymaganego poziomu zapewnienia bezpieczeństwa (PLr). Schemat tego postępowania przedstawiono na rys.2.

Ciężkość urazów
S1 Lekkie (zwykle odwracalne) urazy
S2 Ciężkie (zwykle nieodwracalne) urazy z uwzględnieniem urazów śmiertelnych

Częstość narażenia i/lub czas jego trwania
F1 Rzadkie do dość częstych i/lub krótki czas narażenia
F2 Częste do ciągłych, i/lub długi czas

Możliwość przeciwdziałania zagrożeniu
P1 Możliwe w określonych warunkach
P2 Możliwe z trudnością

Rys. 2     Schemat szacowania ryzyka w celu wyznaczenia wymaganego PL - poziomu zapewnienia bezpieczeństwa

Określony zgodnie z normą poziom PL oznacza w kolejności od a do e, najmniejsze do największych wymagań stawianych układom sterowania, które związane są z poziomem ryzyka – najmniejszego w przypadku PL a, zaś największego w przypadku PL e.

Kolejnym krokiem w celu zapewnienia bezpieczeństwa funkcjonalnego jest  dobór układów i elementów pneumatycznych zapewniających wymagany poziom PLr. W normie PN-EN 954-1, szacowanie ryzyka można było wprost przełożyć na kategorię bezpieczeństwa. W normie PN-EN ISO 13849-1 nie jest to już takie oczywiste. Schemat zależności między PL, a kategoriami ryzyka oraz innymi wielkościami przedstawiono na rysunku 3.

Rys. 3     Schemat zależności między poziomem zapewnienia bezpieczeństwa PL a kategoriami bezpieczeństwa oraz pokryciem diagnostycznym DC i średnim czasem bezawaryjnej pracy MTTFd

Z przedstawionego wyżej schematu wynika, że wymagany poziom zapewnienia bezpieczeństwa PL można osiągnąć realizując układ sterowania w kilku różnych kategoriach, w zależności od tego jak niezawodne są elementy wykorzystane do jego budowy – o czym świadczy średni czas między niebezpiecznymi uszkodzeniamiMTTFd oraz od tego jakie jest pokrycie diagnostyczne układu DC – świadczące o wykrywalności defektów.

Warunkiem stosowania powyższego schematu jest budowa układu sterowania zgodna z architekturą dedykowaną dla danej kategorii – w przypadku kategorii B i 1 jest to układ w architekturze szeregowej (jednokanałowy), w przypadku kategorii 3 i 4 – układ o architekturze redundantnej (dwukanałowy), natomiast w przypadku kategorii 2 – układ jednokanałowy z monitorowaniem układu.

Ze schematu na rys.3 wynika także, że:

  • kategoria B  może być zastosowana dla poziomu zapewnienia bezpieczeństwa a lub b;
  • kategoria 1 jest stosowana przede wszystkim dla poziomu zapewnienia bezpieczeństwa c;
  • kategoria 4 jest stosowana dla poziomu zapewnienia bezpieczeństwa e;
  • natomiast kategorie 2 i 3, w zależności od niezawodności zastosowanych elementów oraz wykrywalności defektów mogą być stosowane dla poziomów zapewnienia bezpieczeństwa a b, c i d;

Ze schematu wynika również, że układ w kategorii 1 może zapewniać większe bezpieczeństwo, niż układ zrealizowany w kategorii 2 lub nawet 3. Zależy to w głównej mierze od użytych do budowy elementów. Tabela poniżej przedstawia uproszczoną metodę wyznaczania PL.

Wyznaczanie PL układu sterowania metodą uproszczoną

Kategoria MTTFd dla każdego kanału DC
niski średni wysoki
B a b    
1     c  
2 a b c niskie
2 b c d średnie
3 b c d niskie
3 c d d średnie
4     e wysokie

Wyznaczanie średniego czasu pracy bezawaryjnej MTTF

Średni czas między niebezpiecznymi uszkodzeniamiMTTFd może być zgodnie z normą zaliczony do trzech poziomów, tj.:

  • krótki MTTFd, gdy jego wartość wynosi od 3 do poniżej 10 lat
  • średni MTTFd, gdy jego wartość wynosi od 10 do poniżej 30 lat
  • długi MTTFd, gdy jego wartość wynosi od 30 do 100 lat

Wartość średniego czasu między niebezpiecznymi uszkodzeniami dla pojedynczego elementu układu wyznaczana jest ze wzoru:

MTTFdi = B10d/0,1 x nop = T10d/nop

gdzie:
B10d – oznacza liczbę cykli pracy do niebezpiecznego uszkodzenia
nop – wyznaczany jest ze wzoru nop = dop x hop x 3600/tc

gdzie:
dop – liczba dni roboczych w roku
hop – liczba godzin pracy dziennie
tc – czas trwania jednego cyklu roboczego w sekundach

T10d – przeciętny czas uszkodzenia 10% elementów

Wartość średniego czasu między niebezpiecznymi uszkodzeniami dla układu szeregowego wyznaczana jest  ze wzoru:

1/MTTFdk = Σ 1/MTTFdi

gdzie:
MTTFdk – średni czas między niebezpiecznymi uszkodzeniamidla układu szeregowego (kanału)
MTTFdi – średni czas między niebezpiecznymi uszkodzeniamielementu składowego układu

Wyznaczanie średniego czasu między niebezpiecznymi uszkodzeniami dla dwóch kanałów układu z redundancją.

W tym przypadku wyznacza się MTTFdk  dla każdego kanału (układu szeregowego) oddzielnie, a następnie średni czas między niebezpiecznymi uszkodzeniami dla układu. Jeżeli wartości MTTFdk kanałów są różne można zastosować symetryzację:

MTTFdk = 2/3[MTTFdk1 + MTTFdk2 – 1/(1/MTTFdk1 + 1/MTTFdk2)]

gdzie:
MTTFdk – średni czas między niebezpiecznymi uszkodzeniami dla każdego kanału po symetryzacji
MTTFdk1 – średni czas między niebezpiecznymi uszkodzeniamidla kanału 1
MTTFdk2 – średni czas między niebezpiecznymi uszkodzeniamidla kanału 2

Jeżeli MTTFdk dowolnego kanału przekracza 100 lat – do wzoru wstawia się liczbę 100.

Wyznaczanie pokrycia diagnostycznego DC

Pokrycie diagnostyczne może przyjmować zgodnie z normą cztery poziomy, jak to przedstawiono poniżej:

  • brak pokrycia, gdy DC jest mniejsze, niż 60%
  • małe pokrycie, gdy DC wynosi ponad 60%, a mniej, niż 90%
  • średnie pokrycie, gdy DC wynosi ponad 90%, a mniej, niż 99%
  • duże pokrycie, gdy DC wynosi 99% lub więcej

W celu wyznaczenia DC norma zaleca przeprowadzenie analizy metodą rodzajów uszkodzeń i ich oddziaływania FMEA (ang. Failure Modes and Effects Analysis).

Analiza taka wymaga dużego doświadczenia i wiedzy oraz jest dość czasochłonna. Pomocą może być w tym względzie informacyjny załącznik E do normy PN-EN ISO 13849-1, w którym podano szereg przykładów rozwiązań w układach sterowania i przyporządkowano im wartości DC.

W załączniku podano również wzór na wyznaczenie pokrycia diagnostycznego układu złożonego, w którym, w różnych jego częściach mogą pojawiać się różne niebezpieczne defekty. W takim przypadku:

DC = (Σ Dci/MTTFdi)/ Σ 1/MTTFdi

gdzie:
DC – pokrycie diagnostyczne układu
DCi – pokrycie diagnostyczne i-tej części układu
MTTFdi – średni czas między niebezpiecznymi uszkodzeniamii-tej części układu

W związku z opisanymi wyżej trudnościami z wyznaczeniem DC, wydaje się celowe dążenie, tam, gdzie to możliwe, do realizacji układu w jak najniższej kategorii z użyciem niezawodnych elementów, ponieważ w takim przypadku pokrycie diagnostyczne nie jest istotne (kategoria B i 1) lub jest wymagane jedynie małe pokrycie diagnostyczne (kategoria 2 i 3).