Część 2: schemat blokowy funkcji bezpieczeństwa
Schemat blokowy funkcji bezpieczeństwa jest potrzebny do tego, aby zależności logiczne funkcji bezpieczeństwa można było łatwo wprowadzić w oprogramowaniu SISTEMA w celu przeprowadzenia obliczeń. SISTEMA bazuje na podsystemach składających się z bloków i elementów. O blokach i elementach nie będzie jeszcze mowy w tej części kursu. Ta część kursu będzie skupiała się na sposobie wykreowania schematu blokowego na podstawie schematu ideowego (znanego w postaci schematu elektrycznego) tak, aby na podstawie schematu blokowego w dalszej kolejności zależności logiczne funkcji bezpieczeństwa można było przełożyć na postać zrozumiałą przez oprogramowanie SISTEMA.
Pierwsza część kursu była teoretycznym wstępem i skupiała się na wiedzy dotyczącej miejsca norm ISO 13849 w całościowym procesie redukcji ryzyka. Jeśli pominąłeś tą część, to zapraszam do zapoznania się:
Część 1: trochę teorii przed rozpoczęciem kursu SISTEMA
Zachęcam również do zapoznania się ze wstępem do tego kursu:
Wstęp do kursu SISTEMA
Identyfikacja funkcji bezpieczeństwa na schemacie ideowym
Aby prawdopodobieństwo niepowodzenia funkcji bezpieczeństwa mogło być wyznaczone na późniejszym etapie, niezbędna jest wiedza o identyfikacji elementów odpowiedzialnych za realizację funkcji bezpieczeństwa. W każdym układzie sterowania można zidentyfikować i oddzielić tą część, która jest odpowiedzialna za funkcjonowanie bezpieczeństwa od części, która nie bierze udziału w realizacji funkcji bezpieczeństwa. Schemat obwodu sterowania, w powiązaniu z odpowiednimi komponentami jest zaprojektowany do realizacji algorytmu sterowania. Jeśli część z tego obwodu sterowania zaprojektowano do realizacji niezbędnej funkcji bezpieczeństwa, to do potrzeby pracy z oprogramowaniem SISTEMA musisz nabrać umiejętności do identyfikacji tej części.
Część obwodu sterowania realizująca funkcję bezpieczeństwa obejmuje tylko te komponenty, których uszkodzenie może doprowadzić do wzrostu ryzyka. Ta część obejmuje również wszystkie obiekty testowe odpowiedzialne za wykrywanie takich niebezpiecznych awarii i doprowadzenie do stanu bezpiecznego. Całościowy schemat ideowy pokazuje powiązanie obwodów elektrycznych czujników, programowalnych sterowników logicznych (PLC) oraz przetwarzanie sygnału z czujnika do elementu wykonawczego. Do przeprowadzenia obliczeń z wykorzystaniem oprogramowania SISTEMA potrzebna będzie identyfikacja na takim schemacie tylko tej części obwodu, która jest odpowiedzialna za bezpieczeństwo.
Identyfikacja taka powinna wyodrębnić te części sterowania, które odpowiadają poniższej strukturze:
W prostych funkcjach bezpieczeństwa wykonanych w kategorii B lub 1 logika w formie, jaką przedstawia powyższa struktura nie występuje. Mimo to wszystkie elementy wchodzące w skład realizacji funkcji bezpieczeństwa są ze sobą powiązane w sposób logiczny. Detekcja ma spowodować powstanie reakcji, np. uaktywnienie przycisku zatrzymania awaryjnego powoduje, że stycznik przerywa obwód doprowadzający energię elektryczną do silnika. W całym schemacie ideowym, który powstał do realizacji układu sterowania jakiejś maszyny należy wyodrębnić tylko te części, które wg powyższej struktury tworzą wzajemne bezpośrednie zależności. To, co znajduje się przed detekcją (rozdział energii) i za reakcją (np. wyspa zaworowa, do której dopływ ciśnienia powietrza został odcięty za pomocą zaworu odpowiedzialnego za bezpieczeństwo) nie jest już istotne – z jednym ale. Otóż norma PN-EN 13849-2 dla każdej z kategorii bezpieczeństwa stawia pewne wymagania (np. stosowanie podstawowych lub sprawdzonych zasad bezpieczeństwa), które na schemacie i w rzeczywistym układzie sterowania również należy zidentyfikować i ocenić. Po więcej informacji odsyłam do artykułu “Stosowanie przekaźników bezpieczeństwa“.
Powiązany temat: Stosowanie przekaźników bezpieczeństwa
Poniższy przykład pokazuje realizację funkcji bezpieczeństwa “otwarcie osłony ruchomej inicjującej funkcję bezpiecznego wyłączania momentu (STO)”. Wszystkie komponenty, które są odpowiedzialne za działanie innych funkcji związanych z algorytmem sterowania i nie mają wpływu na funkcję bezpieczeństwa, zostały na tym etapie pominięte.
Schemat blokowy funkcji bezpieczeństwa na podstawie schematu ideowego
Przed rozpoczęciem obliczeń, na podstawie schematu obwodów sterowania należy wykreować związany z bezpieczeństwem schemat blokowy dla każdej funkcji bezpieczeństwa. Schemat blokowy części sterowania związanej z bezpieczeństwem musi przedstawiać realizację funkcji bezpieczeństwa w kanałach funkcjonalnych (w tym redundantnych kanałach, jeżeli są obecne) i komponentów testowych, również tam, gdzie są obecne.
W prezentacji schematu blokowego istotne są tylko logiczne zależności, a nie fizyczne połączenia między komponentami. Każdy element w ramach funkcji bezpieczeństwa jest częścią składową pewnej struktury. Struktura ta w PN- EN ISO 13849-1 jest określana jako kategoria i pogrupowana jest w oprogramowaniu SISTEMA jako podsystem. Sekwencje podsystemów wraz z ich odpowiednimi kategoriami są reprezentowane przez funkcję bezpieczeństwa w postaci schematu blokowego związanego z bezpieczeństwem. Kolejność podsystemów nie ma wpływu na wynik obliczeń.
Przykład 1: Kategoria 3
W pierwszej kolejności należy zaznaczyć kanały funkcyjne na schemacie ideowym. Można to zrobić np. rysując ścieżki, jak na rysunku poniżej. Stwierdzono w praktyce, że skuteczne jest “działanie w tył”, tj. rozpoczęcie od końca – od aktywatora i podążanie za kanałem z powrotem do czujnika. Działanie te pozwala wyznaczyć ścieżkę sygnału od zdarzenia wyzwalającego do odpowiedzi funkcji bezpieczeństwa. Komponenty z części schematu ideowego realizującej funkcję bezpieczeństwa są przenoszone na schemat blokowy, a kategorię określa się za pomocą charakterystyk redundancji, testowania i użycia wypróbowanych komponentów.
Czynności te dotyczą tylko określenia struktury schematu blokowego funkcji bezpieczeństwa. Istotne są jednak dodatkowe wymagania, dotyczące wszystkich kategorii. Na przykład elementy muszą być zaprojektowane, wykonane, wybrane, zmontowane i połączone zgodnie z odpowiednimi normami w taki sposób, aby były w stanie wytrzymać spodziewane warunki otoczenia. Należy zastosować podstawowe zasady bezpieczeństwa. W kategoriach 1, 2, 3 i 4 należy również stosować zasady bezpieczeństwa, które uważa się, że są dobrze wypróbowane. Szersze informacje na ten temat można znaleźć w PN-EN ISO 13849-2.
W następnym kroku część schematu ideowego realizująca funkcję bezpieczeństwa jest przekształcana dla każdej funkcji bezpieczeństwa w logiczną reprezentację w postaci schematu blokowego. W trakcie transformacji elementy schematu są przypisywane do “podsystemów”, za pomocą których funkcja bezpieczeństwa jest modelowana w oprogramowaniu SISTEMA.
Po przekształceniu funkcji bezpieczeństwa w reprezentację logiczną, struktura blokowa miałaby postać taką, jak poniżej.
W tym momencie otrzymaliśmy to, co potrzebujemy – schemat blokowy funkcji bezpieczeństwa. Jeżeli funkcja bezpieczeństwa jest utrzymywana przez jeden lub więcej nadmiarowych komponentów w przypadku defektu w analizowanym bloku (tzn. obecny jest drugi funkcjonalny kanał), to elementy te są przedstawione jako bloki w drugim kanale funkcjonalnym. W przykładzie powyższym można wyróżnić 2 kanały B1/Q2 oraz kanał B2/K1/Q1.
W następnym etapie należy rozważyć wszelkie możliwe defekty dla komponentu w analizowanym bloku. W tym celu norma PN-EN ISO 13849-2 opisuje znane modele uszkodzeń szeregu elementów stosowanych w systemach sterowania. Dla każdego możliwego przypadku defektu należy rozważyć, jaki wpływ ma użycie danego komponentu na zachowanie funkcji bezpieczeństwa. Np. czy defekt komponentu spowoduje, że jego uszkodzenie będzie miało niebezpieczne następstwa. Na schemacie powyżej można zidentyfikować pojawienie się niebezpiecznego defektu na przykład dla stycznika Q2, gdy drzwi bezpieczeństwa są otwarte, ale Q2 nie otwiera się, ponieważ jego styki zostały sklejone. Jeśli nie byłoby w tym momencie drugiego stycznika Q1, to sytuacja taka spowodowałaby brak działania funkcji bezpieczeństwa.
Dla analizowanego tu przykładu, dzięki zastosowaniu drugiego kanału funkcyjnego zidentyfikowano tolerancję pojedynczego uszkodzenia, więc założenia kategorii 3 są spełnione. W momencie uszkodzenia w jednym kanale, możliwe jest osiągnięcie stanu bezpiecznego dzięki realizacji funkcji bezpieczeństwa w drugim kanale funkcyjnym. Jeśli chcielibyśmy dowiedzieć się, czy funkcja bezpieczeństwa spełnia założenia kategorii 4, tym celu należy zbadać zachowanie się funkcji bezpieczeństwa w przypadku niewykrytych defektów. Jeżeli funkcja bezpieczeństwa zostanie zachowana w przypadku nagromadzenia dwóch niewykrytych defektów, podsystem spełnia kategorię 4. Jeżeli funkcja bezpieczeństwa nie zostanie zatrzymana przy drugim niewykrytym uszkodzeniu, podsystem spełnia kategorię 3.
Rozważmy zatem, jaką kategorię spełnia ta funkcja bezpieczeństwa. W przykładzie powyżej sterownik PLC K1 mógłby w przypadku usterki stale uruchamiać wyjścia Q0.0 i Q0.1. W tym przypadku Q1 byłby stale zasilany energią. Nawet gdyby sterownik był w stanie wykryć ten defekt przez odczytanie styków monitorujących, nie byłby w stanie zapewnić bezpiecznego stanu. Jeżeli druga usterka spowoduje sklejenie styków Q2, silnik nadal będzie działał, nawet przy otwartej osłonie. W takim wypadku funkcja bezpieczeństwa zawiedzie, a założenia kategorii 4 nie zostaną spełnione. Wg kategorii 4 tolerancja pojedynczego błędu musi być spełniona, a dyskretne uszkodzenie w komponencie w pierwszym lub drugim kanale funkcyjnym musi zostać wykryte przed następnym żądaniem w funkcji bezpieczeństwa. Jeżeli wykrycie w ten sposób nie jest możliwe, akumulacja dwóch niewykrytych defektów nie może prowadzić do utraty funkcji bezpieczeństwa. Powyższy przykład spełnia zatem założenia kategorii 3.
Kliknij poniżej, aby wyświetlić dalszą część artykułu