PROCES ZAJIŠĚNÍ FUNKČNÍ BEZPEČNOSI SROJE Funkční bezpečnost (functional safety) nazýváme tu část celkové bezpečnosti stroje, která závisí na bezporuchové funkci stroje, je tedy závislá na správné činnosti jeho řídicího a ovládacího systému. Navazuje na posouzení rizik a jejím cílem je snížení rizika pomocí bezpečnostní části elektrického řídicího systému (Obr. ). Výraz elektrický řídicí systém v tomto případě zahrnuje rovněž elektronický a elektronický programovatelný řídicí systém a označuje se zkratkou SRPCS. Obr. Prvky celkové bezpečnost CNC stroje Pro návrh bezpečnostních částí ovládacích systémů lze použít normu ČSN EN ISO 3849- [4], která uvádí všeobecné zásady a požadavky pro jejich konstrukci. ato norma se použije v případě, že zvolená ochranná opatření v kroku 2 iterační metody závisejí na ovládacím systému. Potom se musí přistoupit k opakovacímu procesu navržení bezpečnostních částí ovládacích systémů [4], který sestává z následujících šesti kroků: ) Identifikace bezpečnostních funkcí prováděných bezpečnostními částmi ovládacího nebo řídicího systému;
2) Specifikace požadovaných vlastností pro každou identifikovanou bezpečnostní funkci; 3) Určení požadované úrovně vlastnosti (PL r ) na základě uvážení závažnosti zranění (S lehké, S2 těžké), četnosti vystavení nebezpečí (F řídká až málo častá, F2 častá až nepřetržitá) a možnosti vyloučení nebezpečí (P možné za určitých podmínek, P2 sotva možné). Pro určení požadované úrovně vlastnosti (a až e) lze použít graf uvedený na Obr. 2; 4) Konstrukce a technická realizace bezpečnostní funkce; 5) Hodnocení dosažené úrovně vlastností (PL) bezpečnostní části ovládacího nebo řídicího systému s uvažováním: Bezpečnostní kategorie; Hodnoty střední doby do nebezpečné poruchy ( d ); Střední diagnostické pokrytí (DC avg ) pro jednotlivé kanály ovládacího systému; Odhad účinků poruchy se společnou příčinou (CCF); Případně (je-li k dispozici) software bezpečnostních částí. 6) Ověření vypočítané nebo odhadnuté úrovně vlastností (PL) pro bezpečnostní funkci s požadovanou úrovní vlastností (PL r ), přičemž musí platit: PL PL r. SAR S S2 S - závažnost zranění F F2 F F2 F - četnost vystavení nebezpečí P P2 P P2 P P2 P P2 P - možnost vyloučení nebezpečí PL r a b c d e Obr. 2 Graf pro určení požadované úrovně vlastností PL r dle ČSN EN ISO 3849- Kategorie bezpečnostních funkcí Kategorie bezpečnostních funkcí jsou základními parametry používanými k dosažení specifické úrovně vlastností (PL) [4]. Stanovují požadované chování bezpečnostních částí ovládacího systému s ohledem na jejich odolnost proti závadám, která je ovlivněna jejich uvažovanou konstrukci. yto kategorie (B,, 2, 3, 4) nejsou určeny pro použití v žádném daném pořadí nebo hierarchii vzhledem k bezpečnostním požadavkům a mají specifické charakteristiky [4].
Určení střední doby do nebezpečné poruchy d Střední dobu do nebezpečné poruchy d (mean time to dangerous failure) je možno určit třemi způsoby v následujícím pořadí: ) Použít údaje poskytnuté výrobcem k dodané komponentě Jedná se o nejjednodušší způsob zjištění d. V současnosti se ale častěji setkáváme s tím, že výrobce tuto hodnotu neuvádí, popřípadě uvádí pravděpodobnost nebezpečné poruchy za hodinu PFH d (probability of a dangerous failure per hour) nebo střední počet cyklů až do doby, kdy 0 % součástí nebezpečně selže B 0d. Parametr pravděpodobnosti nebezpečné poruchy za hodinu PFH d se někdy označuje jako četnost nebo intenzita nebezpečných poruch D a vyjadřuje se v jednotkách nebezpečných poruch za hodinu. Vypočítá se tak, že se pravděpodobnost poruchy během provozní doby vydělí touto provozní dobou [4]. Za předpokladu, že střední doba do nebezpečné poruchy je mnohem větší, než kontrolní interval či životnost systému, platí [3]: () je intenzita poruch, je střední doba do poruchy. C 0, (2) B 0 C je počet cyklů, B 0 je střední počet cyklů až do doby, kdy 0 % součástí selže. S D (3) S je intenzita bezpečných poruch, D je intenzita nebezpečných poruch. PFH D h (4) D PFH D je pravděpodobnost nebezpečné poruchy za hodinu, h je hodina.
Výše uvedené vzorce vychází z předpokladu, že porucha součástí má exponenciální rozdělení (u elektromechanických a pneumatických součástí Weibullovo rozdělení) a doba provozu součástí je omezena na dobu, kdy lze intenzitu poruch konstantní. 2) Výpočet nebo hodnocení hodnot střední doby do nebezpečné poruchy součásti V příloze C normy ČSN EN ISO 3849- je uvedeno několik metod pro výpočet nebo hodnocení střední doby do nebezpečné poruchy d. U součástí vyrobených v souladu s dobrou technickou praxí umožňuje norma odhadnout d a B 0d ze standardizované tabulky [4]. U pneumatických, mechanických a elektromechanických součástí (relé, stykače, polohové spínače ) umožňuje norma vypočítat d ze středního počtu cyklů až do doby, kdy 0 % součástí nebezpečně selže (B 0d ). Pro exponenciální rozdělení platí níže uvedené vztahy. Doba provozu součásti je omezena na střední dobu 0d, do které 0% součástí nebezpečně selže: B 0d 0d (5) nop B 0d je střední počet cyklů až do doby, kdy 0 % součástí nebezpečně selže, n op je počet cyklů za rok. Pro distribuční funkci exponenciálního rozdělení platí: x F( x) e pro x 0 (6) Dosadíme-li za x dobu životnosti součásti, tj. dobu, do které 0 % součástí nebezpečně selže ( 0d ), můžeme napsat: F( e e d 0d 0d ln(0,9) 0,054 d 0, d ) e d 0d d 0d 0d 0, 0,9 ln(0,9) 0d d 0d 0% 0d (7)
Po dosazení vzorců (5) a (7) do vzorce () můžeme psát: 0, d (8) d 0d d d B 0, 0, n 0d 0d (9) op Počet cyklů za rok můžeme vypočítat pomocí následujícího vztahu: n op dop hop K (0) t cyklu d op je střední doba provozu ve dnech za rok, h op je střední doba provozu v hodinách za rok, K je počet sekund za hodinu; K = 3600 s.h -, t cyklu je střední doba mezi začátkem dvou po sobě jdoucích cyklů 3) Odhad hodnoty střední doby do nebezpečné poruchy pro každý kanál Pro odhad střední doby do nebezpečné poruchy každého kanálu ovládacího nebo řídicího systému umožňuje norma použít tzv. metodu součtu částí, která má následující obecný vzorec: N d i di j N n j dj () di, dj je d každé součásti bezpečnostní části ovládacího nebo řídícího systému. Pokud má bezpečnostní část ovládacího nebo řídícího systému dva různé kanály s různou hodnotou d, můžeme buď vzít v úvahu horší hodnotu d, nebo výslednou hodnotu d vypočítat dle následujícího vztahu: 2 d dc dc2 (2) 3 dc dc2 dc a dc2 jsou hodnoty d pro dva různé redundantní kanály bezpečnostní části ovládacího nebo řídicího systému.
Rozsah hodnot d je u každého kanálu omezen intervalem <3 roky; 00 let>. o je dáno jednak předpokladem, že není společensky přijatelné, aby na jedné straně během jednoho roku nebezpečně selhalo 30 % všech ovládacích systémů u strojních zařízení a na druhé straně aby byla vysoká rizika spojená s provozem strojních zařízení řešena pouze spolehlivostí použitých komponent (tato je potřeba řešit rovněž zálohováním a zkoušením). Jednotlivé součásti mohou mít d > 00 let. 4) Zvolením hodnoty 0 roků Pokud nejsou k dispozici žádné relevantní údaje umožňující výpočet střední doby do nebezpečné poruchy použité součásti, umožňuje norma zvolit hodnotu 0 roků, což je považováno za horní hranici krátké doby do poruchy součásti. Určení středního diagnostického pokrytí DC avg Diagnostické pokrytí DC (diagnostic coverage) reprezentuje míru účinnosti diagnostiky správné realizace bezpečnostní funkce. Můžeme ji definovat jako podíl intenzity detekovaných nebezpečných poruch a intenzity všech nebezpečných poruch. Norma ČSN EN ISO 3849- nabízí pro odhad diagnostického pokrytí standardizovanou tabulku, která uvádí příklady realizací různých způsobů monitoringu a diagnostiky a přiřazuje k nim příslušnou procentuální míru diagnostického pokrytí. Jednotlivé kanály bezpečnostních částí ovládacích a řídicích systémů mohou používat pro detekci závad kombinaci několika opatření s různou hodnotou diagnostického pokrytí. Pro tento případ je tedy potřeba určit tzv. průměrné diagnostické pokrytí DC avg pomocí následujícího vzorce: DC avg DC d d 2 dn (3) d DC2 d 2 DCN dn Do výše uvedeného vzorce (3) se zahrnou všechny komponenty bezpečnostní části ovládacího nebo řídicího systému, a to i ty, které nemají žádné diagnostické pokrytí (DC = 0 %). Součásti bez diagnostického pokrytí ovlivňují jmenovatel vzorce (3). Odhady pro poruchy se společnou příčinou CCF Porucha se společnou příčinou CCF (Common-Cause Failure) se vyskytne v případě, že v důsledku jedné příčiny (např. přepětí v síti) vznikne naráz více nebezpečných poruch u různých součástí. V příloze F normy ČSN EN ISO 3849- je uvedena kvalitativní metoda, která na základě splnění vybraných zásad konstrukce bezpečnostní části ovládacího nebo řídicího systému přidělí příslušný počet bodů. Body se za jednotlivá splněná kritéria sčítají a při dosažení limitní hodnoty 65 jsou splněny požadavky pro kategorie 2, 3, a 4 bezpečnostních funkcí.
V praxi může být nezbytné pro dosažení snížení rizik použít jednu nebo několik bezpečnostních funkcí. Požadovanou bezpečnostní kategorii nám většinou uvádějí harmonizované normy typu C, které se týkají konkrétních strojů. V rámci zajišťování bezpečnosti výrobních strojů potom stačí dbát na odpovídající strukturu, konstrukci a úroveň vlastností bezpečnostní části ovládacího systému. Odolnost proti systematické poruše Norma ČSN EN ISO 3849- vyžaduje rovněž odolnost bezpečnostních částí systémů vůči systematické poruše. Podrobný seznam opatření proti systematické poruše je uveden v ČSN EN ISO 3849-2 [5]. ato opatření je potřeba použít při konstrukci bezpečnostních částí ovládacích a řídicích systémů jako základní a osvědčené bezpečnostní zásady. V příloze G normy ČSN EN ISO 3849- jsou rovněž uvedena opatření k regulaci systematických poruch. Použitá literatura [] BLECHA, P. Management technických rizik u výrobních strojů: habilitation thesis. Brno: VU v Brně, 2009. [2] MAREK, J. a kol.: Konstrukce CNC strojů, 3. rozšířené vydání MM Průmyslové spektrum, září 204 [3] ČSN EN 6206 + změna A. Bezpečnost strojních zařízení - Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností. Praha: Český normalizační institut, 203. 92 s. [4] ČSN EN ISO 3849-. Bezpečnost strojních zařízení Bezpečnostní části ovládacích systémů Část : Všeobecné zásady pro konstrukci. Praha: Český normalizační institut, 2008. 84 s. [5] ČSN EN ISO 3849-2. Bezpečnost strojních zařízení - Bezpečnostní části ovládacích systémů - Část 2: Ověřování platnosti. Praha: Český normalizační institut, 203. 52 s.