Všezahrnující přístup k bezpečnostní automatizaci Jakým způsobem pomáhají technologie, globální normy a otevřené systémy zvyšovat produktivitu a celkovou efektivitu zařízení Autor: Dan Hornbeck Každý výrobce má za cíl poskytnout svým zaměstnancům bezpečnější pracoviště. Navíc výrobci potřebují zachovat produktivitu zařízení a současně ochránit výrobní zařízení a životní prostředí. Dále platí, že v závislosti na podnikové kultuře a umístění každého závodu musí výrobce vždy splňovat různé typy společenské odpovědnosti a legislativních kritérií. Co určuje případnou úspěšnost bezpečnostních programů? První a zásadní je podpora na úrovni celé korporace. Tato podpora musí začínat u závazku vrcholného managementu k prosazování daného programu a pokračovat dále ve smyslu dodržování filozofie „bezpečnost na prvním místě“ ze strany každého jednotlivého zaměstnance. Jakmile je zajištěna podpora v rámci korporace, je součástí každého účinného bezpečnostního programu několik klíčových faktorů s rozsahem od řádného používání ochrany sluchu a zraku, přes přijímání moderních výrobních strategií, až po zavedení kvalitně navrženého a integrovaného bezpečnostního automatizačního systému. Tato studie je zaměřena na poslední zmíněný bod.
Historický pohled Mnohé původní výrobní aplikace, jež jsou dodnes v provozu, používají zastaralé technologie a know-how. Některé z těchto aplikací byly vyvíjeny bez jakéhokoli uvážení bezpečnosti – spoléhají se pouze na to, že obsluha a technici údržby budou vnímaví k možným rizikům. Jiné byly zavedeny až následně – jako odezva na nějakou nehodu nebo novou průmyslovou normu. K bezpečnosti měly přístup „černé skříňky“, kdy bylo bezpečnostní řešení zcela oddělené od automatizačního systému. Co rovněž přispělo k tomuto reaktivnímu a oddělenému přístupu, byla omezení vyplývající z bezpečnostní technologie, která často vyžadovala, aby byl stroj uveden do stavu úplného zastavení a aby byl v „bezpečném stavu“ pro účely jakékoli opravy, údržby nebo nutnosti přístupu ze strany pracovníků obsluhy. Z těchto důvodů docházelo ke snižování produktivity kvůli odstávkám způsobeným událostmi se vztahem k bezpečnosti a personál obsluhy a údržby často obcházel bezpečnostní systémy, přičemž riskoval vlastní bezpečnost v procesu. Byly vyvíjeny i jiné systémy, které sice zohledňovaly bezpečnost, ale které byly nesprávně implementovány, a zařízení tak nemělo vyžadovanou produktivitu – používaly filozofii „něco za něco“, která v důsledku znamenala chybějící optimalizaci ve všech směrech. Takováto rizika již nejsou nezbytná ani přijatelná, a to díky progresivním a globálně prosazovaným normám, dostatečným technickým inovacím a díky řízení rizik. Dnešní bezpečnostní automatizační systémy, jsou-li řádně používány s holistickým přístupem, umožňují dosáhnout ty nejlepší výsledky z mnoha pohledů – bezpečnější prostředí pro zaměstnance, snížení dopadu na životní prostředí, lepší procesy a optimalizovanou produktivitu.
2 | Všezahrnující přístup k bezpečnosti
Dopad zavádění norem Ačkoli se bezpečnostní normy v průběhu historie výrobních technologií neustále měnily, poslední vlna jejich revizí zlepšuje způsob, jakým budou bezpečnostní systémy strojů navrhovány v budoucnosti. Souhrnně se běžně nazývají normy funkční bezpečnosti. Bezpečnostní normy byly v povaze příkazové a poskytovaly pokyny, jak strukturovat řídicí systémy, aby napomáhaly k plnění požadavků na bezpečnost. Tyto normy používaly redundanci, různorodost a diagnostické principy a vytvářely úrovně „struktur“ bezpečnostního systému, aby se zajistilo vykonání dané bezpečnostní funkce. Chyběl však jeden velmi důležitý prvek – čas. Nový přístup ke globálním normám na základě funkční bezpečnosti přidává časový element známý jako Pravděpodobnost nebezpečného selhání a dále jeho převrácenou hodnotu pod názvem Střední doba do výskytu nebezpečného selhání a tím zásadně rozvíjí stávající přístup bezpečnostních struktur. Tento časový aspekt doplňuje faktor důvěry v to, že bezpečnostní systém bude řádně fungovat nejen dnes, ale i zítra. Dvě důležité normy – ISO 13849-1:2006 a IEC 62061:2005 – aplikují aspekt času na bezpečnostní systémy v oblasti strojních zařízení. ISO 13849-1:2006 staví na „kategoriích“ bezpečnostní struktury, zatímco IEC 62061 využívá základ struktury, neboli to, co se nazývá „odolnost k chybám hardwaru“. Třetí prvek, diagnostika, jež není žádnou novinkou, je do celého obrázku přidávána proto, aby dávala konstruktérům bezpečnostních systémů více flexibility za účelem splnění požadavků na bezpečnost. Při spojení těchto tří prvků dohromady disponuje bezpečnostní systém úrovní integrity se zohledněním času. IEC 62061 používá termín „úroveň bezpečnostní integrity“ (SIL – safety integrity level). Na strojní systémy se vztahují pouze tři kategorie SIL: SIL1, SIL2 a SIL3. ISO 138491:2006 používá termín „úroveň vlastnosti“ (PL – performance level) a zkratku doplňuje o písmena z počátku abecedy, PLa až Ple. Dodavatelé bezpečnostních součástí sdílejí více zodpovědnosti za funkční bezpečnost. Každá součást v bezpečnostním systému musí mít stanovenou pravděpodobnost nebezpečné poruchy nebo střední dobu do výskytu nebezpečné poruchy. V současné době je tento typ informace často nedostupný. Mnohé normy pro konstrukci se ve skutečnosti upravují tak, aby definovaly kritéria nebezpečné poruchy, zkušební požadavky a statistické nástroje používané k stanovení času do výskytu nebezpečné poruchy. Jakmile je toto docíleno, je vyžadováno mnoho měsíců testování k potvrzení dosažené úrovně. Svět bezpečnost strojů se nadále vyvíjí. Tato změna poskytne flexibilitu k dosahování bezpečnějších konstrukcí. Než se toto bude uplatňovat v širokém měřítku, potrvá ještě nějakou dobu, ale proces je již v pohybu. Dodavatelé bezpečnostních součástí pracují na tom, aby pomohli splnit tyto požadavky. A dodavatelé strojů si musejí začít uvědomovat aspekt funkční bezpečnosti a pochopit, jak těžit z jejích výhod.
Rozšiřování technologických hranic Základní posun ve dvou zásadních a vzájemně příbuzných oblastech napomohl k tomu, aby byl tento nový funkční přístup k bezpečnosti vůbec možný. První byl významný vývoj v bezpečnostních a řídicích technologiích – nejdůležitějším byl pak vynález nových technologií založených na mikroprocesorech, namísto elektromechanických a pevně propojených řídicích prvků. Druhým je evoluce globálních bezpečnostních norem, která umožňuje zavádění těchto nových elektronických technologií do průmyslových bezpečnostních systémů. U tradičních, pevně propojených bezpečnostních systémů lze často jen složitě hledat a odstraňovat potíže, protože neposkytují žádnou indikaci místa, kde nastala chyba.. Například v situaci, kde je několik tlačítek nouzového zastavení zapojeno do řetězce a pevně připojeno k bezpečnostnímu relé, způsobí „přerušení obvodu“ mezi dvěma tlačítky nouzového zastavení, že relé vyšle signál k procesoru, jehož důsledkem bude bezpečný stav zařízení. Údržbářský tým poté musí zjistit důvod přerušení obvodu – zda došlo k aktivaci některého tlačítka nouzového zastavení, nebo zda byl obvod přerušený z nějakého jiného důvodu. Bez vhodné diagnostiky může tento proces trvat dlouho, z čehož vyplývá ztráta objemu výroby. Události ve spojitosti s nouzovým zastavením mohou způsobit ještě více potíží, než jen to, že jsou složitá z hlediska diagnostiky. Dochází k nim obvykle za podmínek, kdy je stroj ve stavu plné výroby, což může vést k potenciálním problémům nastavením polohy stroje, k plýtvání materiálem, k delším
Všezahrnující přístup k bezpečnosti | 3
časům opětovného spuštění, a v průběhu času případně dokonce k poškození zařízení. Tyto faktory přispívají k nárůstu objemu odstávek a nákladů, neboť rozpracovaná výroba se musí odstranit, očistit, přenastavit či zlikvidovat a zařízení je třeba opětovně uvést do výchozí polohy nebo opět inicializovat. Uvažte na druhou stranu situaci, kde jsou tlačítka nouzového zastavení připojena do bezpečnostního bloku V/V, který je prostřednictvím sítě s podporou bezpečnostních funkcí, jako například DeviceNet nebo EtherNet/IP, připojen k integrovanému standardnímu/bezpečnostnímu programovatelnému automatizačnímu systému. V tomto případě jsou diagnostické informace předány do procesoru a do operátorského rozhraní (HMI) v okamžitě přístupném formátu a procesor nebo pracovník obsluhy/údržby mohou vykonat příslušné činnosti k nápravě vzniklé situace. Tyto diagnostické informace mohou odhalit, že například obsluha na třetí směně opakovaně aktivuje tlačítko nouzového zastavení, aby vykonala určité úlohy, namísto aby vykonala předdefinované kroky k uvedení systému do bezpečného stavu, nebo může odhalit přítomnost závažného elektrického problému, který je třeba opravit. Tak či tak je příčina události diagnostikována rychle, což údržbářskému týmu umožní rychlejší nápravu problému a rychlejší opětovné spuštění výroby. Druhý zásadní vývoj v bezpečnostních technologiích byl veden stejnou tržní dynamikou, která vedla společnosti k integraci jiných řídicích disciplín (sekvenční, polohovací, pohony a procesy). Výsledkem je zcela nový typ ochranných a bezpečnostních řídicích platforem, kde jsou bezpečnostní technologie integrovány do standardních automatizačních produktů – jako například programovatelné procesory, programovatelné bezpečnostní relé, frekvenční měniče a servoměniče. Součástí technologií jsou navíc bezpečnostní komunikační sítě s vysokou integritou, které zahrnují redundanci zpráv, křížové kontroly a přísné časování, které svou existencí umožňují existenci bezpečnostních a standardních zpráv a zařízení na společných médiích. Historicky byla bezpečnost oddělena od standardního řízení bez ohledu na to, zda byla bezpečnostní řešení zaváděna pomocí jednotlivých součástí, jako například bezpečnostní relé nebo bezpečnostní stykače, nebo byl použit vyhrazený bezpečnostní procesor, který vyžaduje různý hardware a software. Mnozí výrobci stále ještě prosazují tento přístup, kde vyhrazený bezpečnostní personál představuje jediné zaměstnance, kteří znají bezpečnostní hardware a software v závodě. Jinými slovy, pokud pracovníci nemají hluboko sahající znalosti bezpečnostního hardwaru nebo bezpečnostního softwaru, vyvstává nižší riziko narušení bezpečnosti – zdravý přístup, ale takový, jenž obecně znamená vyšší náklady. Oproti tomu schopnost zavést bezpečnostní řízení v rámci architektury, jež dokáže vykonávat čtyři základní řídicí úlohy, poskytuje významné výhody. U spouštěčů jsou minimalizovány náklady na hardware, protože systémové součásti lze používat ze strany standardních i bezpečnostních částí aplikace. Náklady na software a podporu se také sníží, protože lze používat stejný software a personál se musí naučit používat a udržovat aktuální znalosti pouze o jedné síťové architektuře. Navíc v závislosti na požadavcích aplikace mohou uživatelé používat a distribuovat hardware nutný k plnění požadavků aplikace bez ohledu na to, zda se tento hardware nachází na jednotlivém stroji nebo v celém závodě. Bezpečnostní automatizační systémy lze nyní zcela integrovat do standardního automatizačního systému továrny – tím se vytvoří jediná platforma vykonávající definované bezpečnostní funkce vyhovující normám a účinně řídící provoz továrny. V tomto scénáři se obě stránky automatizačního systému navrhují tak, aby zahrnovaly veškeré úlohy pro celý životní cyklus stroje, tj. od návrhu, uvádění do provozu přes provoz až po údržbu. Tento všezahrnující přístup navíc může vést k možnosti konstrukčního vyloučení rizik, pokud tuto možnost odhalí podrobná analýza rizik v počátečních fázích projektu. Může také urychlit procesy provádění údržby. Dříve například výrobci vyžadovali, aby zaměstnanci odpojili veškeré zdroje energie od stroje, aby jim byl povolen přístup ke stroji pro vykonání údržbářských prací, tedy proces známý jako zajištění uzamknutím/označením štítky. Tento proces byl často časově náročný, což snižovalo celkovou schopnost stroje zajišťovat výrobu, a navíc, protože byl časově náročný, jej personál továren často obcházel. Na základě změn v bezpečnostních normách a vynálezu nového, sofistikovanějšího bezpečnostního řízení mohou výrobci vytvářet v aplikacích bezpečnostní zóny, které lze řídit nezávisle pro různé scénáře provozu a údržby. Tato konstrukční flexibilita může pomoci zkrátit čas vyžadovaný k tomu, aby personál továrny obnovil provozuschopný stav stroje po dokončení nezbytné údržby, čímž se ve výsledku zvýší produktivita. Snižuje se tím rovněž motivace pro obsluhu, aby obcházela bezpečnostní systém, a díky tomu se zvýší i bezpečnost v továrně.
4 | Všezahrnující přístup k bezpečnosti
Jak ilustrují tyto příklady, kvalitně navržené bezpečnostní systémy zajišťují ve výrobě zlepšení, která mohou odůvodnit jejich implementaci. V souvislosti s tím, jak při dalším vývoji funkčně bezpečnostních norem tyto zahrnují nové prvky technologického vývoje, mohou průmyslové subjekty navíc využívat s výhodou nové nástroje, jako například integrované bezpečnostní systémy, ke zlepšení výkonnosti. Všezahrnující přístup založený na vyhodnocení rizik a moderních technologiích napomáhá k tomu, že servis a provoz stroje se stávají vnitřně svázané se způsobem kontroly bezpečnosti. Bezpečnostní systém již nemá vlastní individuální existenci – představuje kritickou součást celého automatizačního a výrobního systému továrny. V této oblasti rovněž pomáhá pokrok síťových a komunikačních technologií, který přispívá k bezpečné realizaci těchto propojení.
Přemostění mezer v komunikaci Integrace bezpečnostních řídicích systémů tak, aby jejich provoz probíhal v rámci standardního řídicího systému, je jedním znakem budoucnosti flexibilních, účinných bezpečnostních řešení. Dalším je integrace komunikace využívající otevřené protokoly. Hladká komunikace byla v minulosti téměř nemožná, protože žádná jediná síť nebyla schopna integrovat bezpečnostní a standardní řídicí systémy a současně umožňovat hladký přenos dat mezi několika fyzickými sítěmi ve výrobní hale. To se změnilo s příchodem CPI Safety, síťového standardu, který umožňuje připojit bezpečnostní zařízení ke stejné komunikační síti jako standardní řídicí zařízení. Technologie CIP Safety je založena na standardu Common Industrial Protocol (CIP), otevřeném průmyslovém aplikačním protokolu nezávislém na fyzické síti. CIP Safety značně zlepšuje úroveň integrace mezi funkce standardního a bezpečnostního řízení, čímž zvyšuje viditelnost bezpečnostních systémů v rámci celého systému. Kombinace rychle reagujících, místních bezpečnostních buněk a přenášení bezpečnostních dat mezi těmito buňkami vytváří bezpečnostní aplikace s krátkými časy odezvy. Dodatečná flexibilita rovněž napomáhá k urychlení konfigurace systému, k jeho testování a uvádění do provozu. Další úrovní integrace, která je často přehlížena, je použití dat z bezpečnostních systémů v celopodnikovém informačním systému. Vzhledem k tomu, že tato data jsou k dispozici okamžitě, může být informační systém úzce spojen se strategií bezpečné automatizace. Z tohoto vyplývají různé užitečné informace, jako například diagnostická data, důvody pro události v souvislosti s bezpečností a jejich četnost, statistická data pro účely zlepšení tzv. tenké výroby, výrobní data, bezpečnostní přístup. Jedním z důvodů, proč byly bezpečnostní sítě tradičně oddělené od řídicích systémů, je, že bezpečnostní zařízení a procesory musely reagovat různými rychlostmi na signály od součástí, jež jsou k nim standardně připojené. Dříve se používání jediné sítě k propojení bezpečnostních i standardních systémů jevilo jako problematické, protože jak síťrostla, podstatně se snižoval její výkon z hlediska rychlosti. U CIP Safety však lze aktualizační rychlost každého síťového uzlu nastavit na jinou hodnotu. To umožňuje, aby provoz každého zařízení probíhal na rychlosti, která je nejlépe optimalizovaná k jeho bezpečnostní funkci, čímž se přispívá k efektivnímu přidělování šířky pásma sítě. Přemosťování a směrování je u CIP Safety také důležitou funkcí, protože umožňuje hladkou komunikaci bezpečnostních a standardních dat mezi několika a potenciálně různými fyzickými sítěmi. Tato funkce eliminuje potřebu směrování komunikačních cest a překladu dat, což umožňuje otevřený tok dat mezi sítěmi a zařízeními s minimálními nároky na práci systémových inženýrů. Tato hladká komunikace umožňuje výrobcům realizovat sledování a sběr dat z jejich standardních a bezpečnostních systémů z jakéhokoli autorizovaného místa v rámci závodu. Ochranná opatření v CIP Safety napomáhají ustavit komunikaci s vysokou integritou se smíšenou bezpečnostní a standardní komunikací. Právě tento aspekt umožňuje provoz bezpečnostních senzorů vedle frekvenčních měničů, standardních senzorů, bezpečnostních procesorů se standardními PLC a bezdotykovými spínači. Uživatelé mohou zapojit širokou kombinaci bezpečnostních a standardních zařízení do stejné sítě, přičemž zůstane zachována integrita bezpečnostní řídicí smyčky.
Všezahrnující přístup k bezpečnosti | 5
Zřejmě největší výhodou u CIP Safety je snadné používání a spolehlivost včetně přemosťování a směrování bez jakýchkoli požadavků na programování. To znamená možnost efektivnějšího školení, rychlejší uvádění do provozu a zlepšené diagnostické schopnosti. Schopnosti CIP Safety na DeviceNet a EtherNet/IP mají schválení TÜV a vhodné produkty jsou v současnosti k dispozici pro obě sítě od několika dodavatelů. CIP Safety na EtherNet/IP umožňuje integraci bezpečnostních sítí do stejné architektury sítě Ethernet, kterou používají standardní řídicí zařízení, Internet a celý zbytek podniku. Budoucnost by měla být podle předpokladů ještě lepší, neboť další dodavatelé automatizačních technologií budou vyvíjet produkty kompatibilní s CIP Safety, které budou podporovat integraci bezpečnostních a standardních procesorů, zařízení a sítí.
Efektivní řízení rizik Dalším jasným bodem a kritickým aspektem holistického přístupu k bezpečnosti je zlepšená podpora proaktivní analýzy rizik ze strany výrobců. Obecným cílem bezpečnostního systému je napomoci dosáhnout bezpečnosti pracovníků, procesů a strojů, aniž by se tím snížila produktivita. Výrobci, kteří provádějí vyhodnocení rizik, jsou o několik kroků blíže k dosažení všech dříve jmenovaných bodů – a když tak činí, napomáhají ke snížení rizika a nákladů s ním spojených. Definice procesů formálního vyhodnocení rizik, které zahrnují identifikaci rizik, kvantifikaci rizik a snížení rizika, byla doplněna do mnoha mezinárodních a regionálních norem, např. do IEC 61508, ISO 13849 a ANSI B155.1. Procesy vyhodnocení rizik definované v těchto normách obvykle využívají přístupu na základě životního cyklu, kdy se specifikují způsoby zavádění efektivního procesu identifikace rizik spojených se strojními zařízeními a kvantifikuje se úroveň rizika ve smyslu závažnosti, četnosti vystavení riziku a pravděpodobnosti jeho výskytu. Výsledkem je kvantifikovaná úroveň rizika, již je třeba snížit prostřednictvím ochranných opatření. Vyhodnocení rizik dává výrobcům proces pro 1) identifikaci specifických nebezpečí na stroji; 2) kvantifikaci rizika, které tato nebezpečí představují pro zaměstnance a 3) hodnoticí postupy, které mohou pomoci dané riziko snížit. Tento proces navíc specifikuje nejvhodnější architekturu bezpečnostních obvodů požadovaných ke snížení původní úrovně rizika stanovené hodnoticím týmem. Jakmile budou rizika plně definována a chápána, je nutné je vyloučit na základě návrhu konstrukcí a procesů, nebo je alespoň v nejvyšší možné míře omezit. Opatření ke snížení rizik fyzicky vylepšují stroj, čímž snižují potenciál zranění osob a poškození životního prostředí nebo majetku. Snížení rizika lze dosáhnout různými činnostmi. Jednou z účinných metod je použití ochranných zařízení, jako například světelných závor, bezpečnostních relé a lankových vypínačů, jež přispívají k snížení rizika pro zaměstnance. Využívání procesu formálního vyhodnocení rizik rovněž poskytuje výhodu zdokumentování identifikovaných rizik, ochranných opatření a zabezpečení zavedených k jejich snížení a zbytkového rizika po implementaci těchto metod k omezení jejich rozsahu a dopadů. Společnosti prokazují svou důslednost a dobrou inženýrskou praxi, když zajišťují bezpečné pracovní prostředí, a navíc mohou potenciálně snížit riziko sporů v případě nastalého incidentu. Po zavedení a zdokumentování procesu je důležité zajistit příslušná školení a dohled. Je zásadně důležité zajistit, aby pracovníci obsluhy rozuměli bezpečnostním opatřením včetně používání osobních ochranných prostředků. Pracovníci obsluhy musejí být řádně proškoleni, aby efektivně ovládali předmětné stroje a bezpečně vykonávali své pracovní úkoly. To rovněž zahrnuje jasnou definici jejich práce a procesů a naopak úloh, které musí vykonávat personál údržby se specializovanějším proškolením. Ucelený program pro zajištění bezpečnosti strojů může pomoci k zlepšení provozních postupů ve výrobní hale a ke zvýšení produktivity v celém rozsahu činností. Aby se zjednodušil mnohostranný životní cyklus bezpečnosti stroje, je podstatné propojit analýzu rizik, omezení rizik a školení/dohled dohromady pro účely vyhodnocení účinnosti programu pro zajištění bezpečnosti strojů. Je důležité, aby veškerý personál těžil z výhod bezpečnostních opatření a dostupných školení ve smyslu vlastní ochrany.
6 | Všezahrnující přístup k bezpečnosti
Využívání výhod plynoucích ze všezahrnujícího přístupu k bezpečnosti V současné době, více než kdykoli dříve, se progresivní výrobci zaměřují na bezpečná automatizační řešení, která zajišťují bezpečnost jejich pracovníků, udržují jejich stroje v provozu a jejich základní provozní faktory v dobrém stavu. Díky holistickému přístupu k bezpečnostní automatizaci, která klade důraz na globální normy, inovativní technologie, proškolený personál a soustavné hodnocení rizik ve vzájemné spolupráci těchto prvků, získávají výrobci určitou šablonu nejlepších praktických postupů k zavedení a dosažení vysoké úrovně bezpečnosti.
Publikace SAFETY-WP005-CS-P – červenec 2008
Copyright © 2008 Rockwell Automation, Inc. Všechna práva vyhrazena. Vytištěno v Evropě.