Aktuální vydání

celé číslo

11

2021

Monitorování stavu zařízení, diagnostika, řízení údržby

Snímače a systémy řízení polohy a pohybu (motion control)

celé číslo

Bezpečnostní analýza rizik modelu Žonglér

Josef Necid, Ondřej Nývlt
 
Model Žonglér je mechanické zařízení využívané jako učební pomůcka pro výuku řízení rychlých servomechanismů. Další funkcí je demonstrace možností servopohonů při žong­lování s až čtyřmi kulečníkovými koulemi. Provoz modelu Žonglér musí splňovat, stejně jako provoz každého mechanického zařízení, bezpečnostní opatření tak, aby nevznikla žádná zdravotní nebo materiální újma. Cílem tohoto článku je identifikovat a posoudit rizika zařízení, která mohou mít vliv na bezpečnost v jeho okolí. Posouzení rizik zaříze­ní obsahuje celkovou analýzu možných nebezpečných stavů a rizik, které se mohou ob­jevit při jeho provozování. Jednotlivá rizika jsou rozdělena podle normy ČSN EN 61508 a jsou pro ně navržena opatření, které mají za úkol minimalizovat je na přijatelnou úro­veň odpovídající uvedené normě.
 
The Juggler model is a mechanical machine, which is used for teaching of control and syn­chronization of fast servos. Other function of the model is to demonstrate juggling of at most four billiard balls. During its operation, the machine has to fulfil safety requirements with respect to health and material damage. During the operation of the model, there are some hazards, which can lead to injury or material damage. This paper presents general analysis of these hazards. Hazards are classified according to ČSN EN 61508 standard and there are some safety measures proposed, which have to minimize the hazards to a level corresponding to the requirements of said standard.
 

1. Úvod

 
U každého zařízení je nutné zajistit bez­pečnost jeho provozu. U elektrických zařízení vznikají ještě požadavky na funkční bezpeč­nost dané normou ČSN EN 61508 – Funkční bezpečnost elektrických/elektronických/pro­gramovatelných elektronických systémů sou­visejících s bezpečností.
 
Model Žonglér [9] je výukové a demon­strační zařízení vyvinuté na katedře řídicí techniky Fakulty elektrotechnické ČVUT v Praze a realizující funkci žonglování s až čtyřmi kulečníkovými koulemi nebo teniso­vými míčky. Zařízení funguje jako učební pomůcka pro nácvik synchronizace a řízení rychlých servopohonů v praxi. Jako na každé mechanické zařízení, i na Žongléra se vzta­huje povinnost zajistit funkční bezpečnost provozu. Zejména pro jeho plánované ovlá­dání a programování studenty na dálku pro­střednictvím internetu je nutné odstranit či minimalizovat bezpečnostní rizika, která při provozu zařízení vznikají. Proto byla identi­fikována bezpečnostní rizika a rozdělena na ta, jež lze odstranit za použití bezpečnostního integrovaného systému, a na ta, která se od­straní pomocí pasivního zabezpečení. Pro na­lezená rizika jsou určena bezpečnostní opat­ření a následně je provedena zpětná analýza dostatečnosti navržených opatření.
 

2. Analýza rizik

 
Analýza rizik (RA, Risk Analysis) je po­stup vycházející z nutnosti splnit požadavky normy ČSN EN 61508 pro účinné zabránění vzniku rizikového stavu na zařízení. Jednot­livé kroky RA ilustruje obr. 1.
 
Hlavním důvodem použití RA je omezení vzniku úrazu způsobeného zařízením a hmot­né škody na zařízení nebo jeho okolí. Na po­čátku RA je nutné identifikovat všechna rizi­ka, např. metodou PHA (Preliminary Hazard Analysis, [2]). PHA je metoda identifikace ri­zik na základě znalostí a informací o zaříze­ní, jeho funkci a chodu. Z těchto informací se vyvodí bezpečnostní rizika, která mohou vlivem provozu zařízení vzniknout.
 

2.1 Základní pojmy analýzy rizik

Vysvětlení a přehled nejdůležitějších pojmů definovaných v normě ČSN EN 61508-5 ([1]) a dalších pojmů k tomu náležících pro správ­nou analýzu rizik:
  • riziko je (ohodnocená) míra pravděpodob­nosti a následek výskytu stanovené nebez­pečné události,
  • přípustné riziko je maximální možná ve­likost rizika stanovená na nějakém spole­čenském základě,
  • integrita bezpečnosti je způsob zabezpe­čení před možným rizikem, jeho metrika je úroveň integrity bezpečnosti SIL (Safe­ty Integrity Level),
  • bezpečnostní funkce (SIF, Safety Instru­mented Function) je funkce zajišťující ochranu před rizikem pomocí integrova­ného bezpečnostního systému,
  • bezpečnostní integrovaný systém (SIS, Sa­fety Instrumented System) je soubor zaří­zení realizujících jednotlivé SIF, přičemž jeden SIS může vykonávat i několik SIF.
 
Pro klasifikaci jednotlivých rizik se použí­vá vyjádření pomocí ukazatelů četnost a ná­sledek, dělených do několika kategorií takto:
  • četnost častá, pravděpodobná, příležitostná, málo častá, nepravděpodobná, neuvěřitelná,
  • následek katastrofální, kritický, nepodstat­ný, zanedbatelný.
 
Dělení uvedených parametrů do podsku­pin záleží na konkrétní posuzované situa­ci a zařízení.
 
Dalším parametrem rizika je jeho rozdě­lení do tříd I až IV přiřazené normou ke kaž­dé kombinaci četnosti a následku, a to od třídy I, tj. od nepřípustného rizika, až po tří­du IV, tj. po zanedbatelné riziko. Rizika lze třídit také např. pomocí modelu ALARP (As Low As Reasonable Practicable; snížení ri­zika tak, jak je to rozumně proveditelné) do tří základních skupin takto:
  • všeobecně přijatelné riziko – riziko, které je tak málo závažné, že jeho vliv je bezvý­znamný (odpovídá třídě IV),
  • přípustné riziko – riziko, které je za ur­čitých okolností přijatelné (třídy II a III) a patří do skupiny ALARP,
  • nepřípustné riziko – riziko, které se musí buď zcela vyloučit, nebo se musí za kaž­dou cenu provést taková opatření, která je sníží na přijatelnou úroveň (třída I).
 

3. Bezpečnostní prvky modelu Žonglér

 
Pro co nejrobustnější PHA jsou pro Žong­léra brány v úvahu pouze tyto bezpečnost­ní prvky:
  • měniče Acopos pro řízení motorů,
  • snímače přehřátí motorů.
 
Při PHA se bude vycházet z podmínek normálního provozu modelu Žonglér. Za nor­mální provoz je považováno žonglování s až čtyřmi koulemi, ladění uživatelského progra­mu a další s tím související činnosti.
 

3.1 Bližší specifikace pro zařazení rizik

Přesná specifikace pojmů četnost a násle­dek je normou [1] ponechána k určení podle každé úlohy zvlášť. V tab. 1 jsou uvedeny konkrétní specifikace pro zařazení do kate­gorie následku nežádoucí události pro mo­del Žonglér. Specifikace pro rozdělení udá­losti z pohledu četnosti opakování je uvede­na v tab. 2.
 

4. Identifikovaná rizika modelu

 
Provedená analýza PHA odhalila základní bezpečnostní rizika zařízení, jejichž přehled je uveden v tab. 3 (včetně možných příčin a následků). Vznik veškerých rizik je vzta­žen k normálnímu provozu.
 

5. Návrh SIS a jeho analýza

 
Z hlediska zabezpečení pomocí SIS při­padají v úvahu pouze rizika č. 1 (nezastave­ní jednoho nebo více motorů), 5 (nechtěné spuštění) a 6 (narušení pracovního prosto­ru). Ostatní rizika z tab. 3 budou zmírněna především pomocí pasivních opatření (viz kapitola 6).
 

5.1 Stanovení požadované úrovně SIL

Pro rizika 1, 5 a 6 je nutné stanovit po­žadovanou úroveň SIL určující minimální bezpečnostní požadavky, kterou musí SIF zmírňující toto riziko splňovat. Pro stanove­ní úrovně SIL je možné použít např. postup využívající diagram rizika [1] a ohodnocení jeho prvků pomocí parametrů C, F, P a W, kde C udává závažnost rizika, hodnota F vy­jadřuje dobu expozice v ne­bezpečné oblasti, P signali­zuje možnost zabránění udá­losti a W je pravděpodobnost, že k události dojde. Klasifi­kace parametrů je analogická s přílohou D v normě [1], do­plněná ještě o zahrnutí způso­bené materiální škody (od C1 pro zanedbatelné škody až po C4 pro nedozírné materiální škody). Jako příklad je uve­deno určení úrovně SIL pro nežádoucí událost č. 6 – na­ruš ení pracovního prostoru. Uvedenému riziku náleží toto ohodnocení:
– C2 – může být způsobeno zranění s trvalý­mi následky, popř. smrt osoby,
– FB – trvalý výskyt osob v nebezpečné ob­lasti,
– PB – této události nelze v praxi zabránit a hra­je zde velkou roli faktor selhání člověka,
– W3 – pravděpodobnost, že dojde k této udá­losti, je velká.
 
Takto definované ohodnocení rizika je poté vyznačeno do diagramu rizika (obr. 2), z kterého je pak jasně patrná požadovaná úro­veň SIL – v uváděném případě SIL 3.
 
Podobně se ohodnotí další uvedená rizika. Přehled ohodnocení a výsledné požadované úrovně SIL jsou znázorněny v tab. 4.
 

5.2 Výpočet úrovně SIL pro jednotlivé bezpečnostní funkce

Pro výpočet skutečné úrovně SIL je nutné definovat několik pojmů:
  • – MCTF (h–1) – střední počet cyklů do po­ruchy (Mean Cycles Time to Failure),
  • – B10 (–) – počet cyklů, než 10 % vzorků sou­boru nebezpečně selže,
  • – C (–) – počet sepnutí za hodinu,
  • λ (h–1) – intenzita poruch,
  • – PFD (h) – průměrná pravděpodobnost po­ruchy při vyžádání (Propability of Failure on Demand),
  • τ (h) – doba mezi dvěma testy bezpečnost­ního systému SIS.
 
Jejich vzájemné vztahy jsou
 
MCTF = B10/0,1C          (1)
 
λ = 1/MCTF          (2)
 
PDF ≈ λ (τ/2)          (3)
 

5.2.1 SIF pro nežádoucí událost nezastavení motorů

Nezastaví-li motor a přejede nastavenou mezní polohu, aktivují se koncové spínače (od firmy Balluff) připojené přímo k výkono­vému měniči frekvence Acopos (vstup limit), který řídí daný servopohon. Pro osu s lineár­ním motorem je doporučeno nastavit softwa­rový limit (maximální možná pozice osy kon­trolovaná pomocí řídicího softwaru). Při pře­kročení limitních hodnot se stroj zastaví. Při selhání těchto bezpečnostních funkcí je ještě na konci pojezdové dráhy umístěn tlumič (od firmy Bibus), který má za úkol omezit násled­ky nárazu do konstrukce.
 
Pro koncové spínače a tlumiče je určena hodnota parametru MCTF stanovená pro za­řízení, jež je nutné po selhání vyměnit. Dále je definován parametr λ a na závěr i parametr PFD, určující zařazení do úrovně SIL.
 
Pro koncové snímače platí hodnoty B10 = 105, což je běžná hodnota pro mechanické spínače ([5]), testování systému τ = 8 760 h a četnost spínání je uvažována jednou za půl roku, tj. C = (4 380 h)–1. Pro uvedené hodno­ty je z rovnic (1) až (3) MCTFk = 4,38 · 109 h, λk = 2,28 · 10–10 h–1PFDk » 10–6 h.
 
Pro životnost tlumiče platí hodnota B10 = 103, daná katalogem ([6]), 8 760 h a četnost spínání je = (4,38 · 1010 h)–1. Malá četnost aktivace tlumiče vychází z úvahy, že tlumič je v logické sérii s koncovým spínačem z předchozího odstavce, a tudíž je použit pou­ze tehdy, když koncový spínač selže. Z toho vyplývá, že MCFT pro tlumič bude velmi dlouhá. Konkrétně MCTFtl = 4,38 · 1014 h, λtl = 2,28 · 10–15 h–1 a PFDtl » 10–11 h.
 
Zbývá doplnit ještě hodnotu PFD pro mě­nič Acopos. Použitý měnič pracuje podle do­kumentace [8] na úrovni SIL 2, tedy hodnota PFD je přibližně 5 · 10–3 h.
 
Celková hodnota PFD pro popisovaný pří­pad, tedy pro sériové řazení prvků, je rovna součtu všech PFD. Při pohledu na výsledné hodnoty PFD pro uvedené prvky je zřejmé, že celková hodnota PFD je dána PFD měni­če, ostatní prvky na ni mají zanedbatelný vliv, a tedy SIL zůstává na hodnotě SIL 2. Při po­hledu do tab. 4 je patrné, že požadovaná úro­veň zabezpečení SIL 2 je splněna.
 

5.2.2 SIF pro nežádoucí událost nechtěné spuštění

Nechtěným spuštěním zařízení se rozumí jeho uvedení do provozu v momentě, kdy je možnost kolize pohyblivých částí s obsluhou nebo jinou osobou, která se může nacházet v pracovním prostoru zařízení (tj. ve vnitř­ní části ochranné konstrukce). Pro zameze­ní této události je doporučeno omezit přístup do pracovního prostoru zařízení pouze jeho přední částí pomocí dveří z organického skla, tzv. plexiskla, s detekcí otevření koncovým spínačem: signál o otevření dveří je přive­den do bezpečnostního PLC SafeLogic, který znemožní spuštění motoru. Model je možné uvést do chodu po uzavření dveří a potvrze­ní tlačítkem reset. Pro koncový spínač dve­ří je B10 = 106, τ = 8 760 h a C = (8 760 h)–1. Z rovnic (1) až (3) MCTFk = 8,76 · 1010 h, λk = 1,14 · 10–11 h–1PFDk » 5 · 10–8 h.
 
Pro bezpečnostní PLC platí, že při dodr­žení zásad vývoje algoritmu bezpečnostních funkcí podle dokumentace výrobce dosahuje PLC SIL 3, tedy PFDs ≈ 5 · 10–4 h. Po spoje­ní s měničem Acopos je ovšem podle doku­mentace maximální dosažená úroveň zabez­pečení celku PLC s měničem pouze SIL 2.
 
Hodnota PFDk je natolik malá, že její sou­čet s hodnotou PFD celku měniče a bezpeč­nostního PLC (5 · 10–3 h) neovlivní celkovou hodnotu PFD natolik, aby se změnila úroveň zabezpečení.
 
Dosažená úroveň zabezpečení SIL 2 však neodpovídá požadavku na zabezpečení, kte­rý je dán analýzou pomocí diagramu rizika, a navržené bezpečnostní opatření je tedy ne­dostatečné. Jednou z možností, jak požadav­kům vyhovět, je např. pasivní zabezpečení pracovního prostoru zámkem s oddělenou detekcí zamčení a dovření dveří pracovního prostoru. Oba dva signály budou přivedeny do bezpečnostního PLC. Zámek bude ovlá­dán klíčem a dovření dveří potvrzováno tla­čítkem reset. Signál enable bude navíc ještě doplněn o kontrolní signál do řídicího PLC, který bude nezávisle na hodnotě enable pro měnič povolovat běh programu a spuštění modelu. Postup s použitím zámku nelze za­řadit do SIS, ale patří k pasivním bezpečnostním opatřením, byť za použití bezpečnostního PLC jako jednoho z bezpečnostních prvků. Vliv použití zámku je uveden v kapitole 6.
 
Další možností by bylo použít ve spojení s bezpečnostním PLC jiný měnič, např. Aco­pos multi, který zajišťuje ve spojení s bezpeč­nostním PLC úroveň SIL 3. Tato varianta je však nákladná, a tak bylo doporučeno rizika 5 a 6 odstranit použitím levnějšího pasivního zabezpečení (princip ALARP).
 

5.2.3 SIF pro nežádoucí událost narušení pracovního prostoru

Narušením pracovního prostoru se rozumí vnik osoby do pracovního prostoru zařízení při běhu uživatelského programu. Pro naru­šení pracovního prostoru je navrhováno pou­žít stejné řešení jako při nechtěném spuštění. Stejně jako v předchozí kapitole zabezpečení SIL 2 neodpovídá požadované hodnotě, a tu­díž je nutné i pro tento případ zvolit řešení s pasivním zabezpečením.
 

6. Návrh pasivních zabezpečení

 
Pasivní zabezpečení budou použita pro ta rizika z tab. 3, která nelze odstranit po­mocí SIS (tj. všechna kromě události č. 1, řešené pomocí SIS, a události č. 4, řešené speciálním zabezpečovacím algoritmem, viz dále).
 

6.1 Rozdělení rizik z hlediska přípustnosti

Zbylá rizika se z hlediska přípustnosti roz­dělují podle principu založeného na kombina­ci již stanovených četností a následků. Kaž­dému riziku se přiřadí hodnota z množin čet­nost a následek, definovaných v kapitole 3.1. Poté se dosadí riziko do odpovídající pozice v matici obsahující v horizontální rovině míru četnosti a ve vertikální rovině míru závažnos­ti (následku) rizika. V matici jsou barevně označeny tři oblasti: červeně nepřípustné ri­ziko, žlutě ALARP a zeleně přípustné riziko.
 
tab. 5 je zřejmé, že všechna rizika, která mohou vzniknout, jsou z tříd I až III a je nut­né je bezpodmínečně (3, 8, 9) nebo s přijatel­nými investicemi v duchu principu ALARP odstranit.
 
tab. 6 je uveden návrh na odstranění nebo snížení rizik na přijatelnou úroveň po­mocí pasivních preventivních opatření.
 
Po vykonání těchto preventivních opat­ření se výrazně změnila matice četnost/ná­sledek. Její nová podoba je v tab. 7. Z úda­jů v tabulce vyplývá, že provedením pre­ventivních bezpečnostních opatření byly výrazně omezeny možnosti vzniku nežá­doucích událostí, popř. závažnost jejich ná­sledků. Všimněme si zvláště rizik 5 a 6, kte­rá se vzhledem k instalaci zámku dostala do míst obecně přípustného rizika, a není tak již třeba instalovat koncový spínač. Dal­ší rizika, 3, 8, 9, se nacházejí v zóně ALARP a jejich odstranění by bylo finanč­ně nákladné. Ostatní rizika jsou v mezích přípustného rizika.
 

7. Snížení ostatních rizik

 
Do této části spadá pouze riziko č. 4, tedy srážka horizontálních os. Tato událost a její řešení jsou uvedeny zvlášť, jelikož navrho­vané řešení zabezpečení nelze zařadit přímo mezi SIF, ale zároveň je není možné nazvat ani pasivním opatřením.
 

7.1 Opatření zamezující srážce horizontálních os

Existence rizika č. 4 je dána možným sdí­lením pracovního prostoru hřídelí horizontál­ních os, a tedy i možností jejich kolize. Sráž­ka může nastat v případě, že jsou vertikální motory v pohybu ve směrech k sobě opač­ných a zároveň jsou obě hřídele horizontál­ních motorů vytočeny o více než +38° od zá­kladní pozice (pozice, kdy inkrementální či­dlo natočení motoru udává údaj 0°).
 

7.1.1 Bezpečnostní opatření

Bezpečnostní opatření je možné realizovat pomocí dalšího přidaného PLC připojeného na použitou komunikační sběrnici Ethernet Powerlink, např. PLC X20 1485 společnos­ti B+R, a jeho komunikací s bezpečnostním PLC. V tomto přidaném PLC potom bude na­programovaný predikční algoritmus, a to v co nejrychlejším možném cyklu PLC (pro uve­dený PLC je to 400 μs). PLC bude číst data z komunikační sběrnice udávající polohu, rychlost a zrychlení jak horizontálních, tak vertikálních motorů. Z takto zjištěných dat lze použitím predikčního algoritmu (např. Kal­manova filtru) předvídat budoucí stav systé­mu, tedy i možnou kolizi hřídelí horizontál­ních os. V případě, že bude detekována mož­ná kolize hřídelí, predikční algoritmus, opět pomocí sběrnice, předá signál stop algoritmu v bezpečnostním PLC, který bude adekvátně reagovat a zamezí srážce hřídelí a z toho ply­noucímu poškození stroje.
 
Vyřešení této události nelze obecně za­řadit mezi již zmíněné typy bezpečnostních opatření. Predikčnímu algoritmu v pomoc­ném PLC nelze triviální metodou určit spo­lehlivost jeho výsledků (spolehlivost samot­ného PLC je SIL 2), a zajistit tak dosažení určité meze pravděpodobnosti selhání. Lze pouze s jistotou říci, že se při použití toho­to algoritmu pravděpodobnost srážky hříde­lí výrazně sníží.
 

8. Závěr

 
Model Žonglér lze po splnění bezpečnost­ních požadavků daných návrhem SIS a po zajištění doplňujících prvků pasivní bezpeč­nosti pro rizika, jež nelze odstranit s použi­tím SIS, považovat za bezpečný. Pro rizika, která nelze odstranit použitím SIS, jsou navr­ženy pasivní bezpečnostní prvky, jež mají za úkol snížit četnost či zmenšit následky mož­ných rizik. Pro rizika 5 a 6 nebyla navrhova­ná bezpečnostní opatření zajišťovaná pomocí SIS dostatečná, proto bylo doporučeno použít pasivní bezpečnostní prvek, v tomto případě spojení bezpečnostního PLC, řídicího PLC, zámku a tlačítka k zamčení pracovního pro­storu k zajištění co nejlepší funkce ochrany před vznikem nežádoucí události.
 
Model Žonglér je po splnění uvedených požadavků možné bez dalších bezpečnostních opatření provozovat v režimu vzdáleného pří­stupu, a použít jej tak pro výuku.
 
Literatura:
[1] ČSN EN 61508-5: Funkční bezpečnost elek­trických/elektronických/programovatelných elektronických zařízení související s bezpeč­ností – Část 5: Příklady metod určování úrovní integrity bezpečnosti. Český normalizační institut, Praha, 2002, 32 s.
[2] RAUSAND, M.: Preliminary hazard analyses. Výuková prezentace. Online, dostupné na <www.ntnu.no/ross/slides/pha.pdf>, 2005, cit. 3. 2. 2011.
[3] RAUSAND, M.: Selection of PHA worksheet. Výuková prezentace, 2005. Zdroj neznámý.
[4] FAMFULÍK, J. – MÍKOVÁ, J.: Příspěvek k analýze rizika modulu automatického vedení vlaku. Perners Contacts, Pardubice, roč. 4, č. III, listopad 2009. Online, dostupné na <http://pernerscontacts.upce.cz/15_2009/Fam­fulik2.pdf>, cit. 3. 2. 2011.
[5] VALTER, J.: Regulace. Online, dostupné na <http://valter.byl.cz/Pdf/regulace.pdf>, datum vložení neuvedeno, cit. 3. 2. 2011.
[6] ACE: Main catalogue, edition 9/2004. Online, dostupné na <http://new.bibus.cz/pdf/Ace/ACE_katalog_2004_AJ.pdf>, cit. 3. 2. 2011.
[7] B+R AUTOMATION: Integrated Safety Tech­nology User‘s Manual, v 1.20. Online, dostupné na <www.br-automation.com/cps/rde/xchg/br-productcatalogue/hs.xsl/services_163469_ENG_HTML.htm>, 8. 7. 2010, cit. 3. 2. 2011.
[8] B+R AUTOMATION: Acopos User‘s Manual, v 1.41. Online, dostupné na <www.br-automa­tion.com/cps/rde/xchg/br-productcatalogue/hs.xsl/services_134439_ENG_HTML.htm>, 27. 2. 2009, cit. 3. 2. 2011.
[9] B+R AUTOMATIZACE: Žonglování. Auto­ma, 2010, č. 7, s. 52–53. Dostupné na <www.odbornecasopisy.cz/res/pdf/41677.pdf>, 2010, cit. 3. 2. 2011.
Bc. Josef Necid, Ing. Ondřej Nývlt
katedra řídicí techniky FEL ČVUT v Praze
Lektoroval: Zdeněk Švihálek,
B+R automatizace, spol. s r. o.
 
Bc. Josef Necid (1987), student magisterského oboru kybernetika a robotika, zaměření systémy a řízení na katedře řídicí techniky Fakulty elektro­technické ČVUT v Praze. Hlavním jeho zájmem jsou bezpečnostní trendy a technika v průmyslu; člen týmu Žonglér.
 
Ing. Ondřej Nývlt, student doktorského oboru řídicí technika a robotika na Fakultě elektrotechnické ČVUT v Praze. Odborně zaměřen na otázky analýz rizika i spolehlivosti a řízení inteligentních budov; člen týmu Project Eleven.
 
Obr. 1. Vývojový diagram analýzy rizik
Obr. 2. Diagram rizika pro narušení pracovního prostoru (a – nejsou třeba žádná zvláštní bezpečnostní opatření, b – jednoduchý SIS nepostačuje, čísla označují úroveň SIL)
Obr. 3. Blokový diagram spolehlivosti pro ne-žádoucí událost nezastavení stroje
Obr. 4. Blokový diagram spolehlivosti pro ne-chtěné spuštění a narušení pracovního prostoru
 
Tab. 1. Specifikace pro zařazení události z pohledu následku
Tab. 2. Specifikace pro zařazení události z hlediska četnosti
Tab. 3. Výčet rizik zařízení
Tab. 4. Přehled určení SIL pro jednotlivá rizika
Tab. 5. Matice četnost/následek
Tab. 6. Navrhovaná pasivní bezpečnostní opatření
Tab. 7. Nová podoba matice četnost/následek

Kterou normu použít?
Bezpečnost strojních zařízení definují v ČR minimálně tři základní normy: ČSN EN ISO 13849 – Bezpečnost strojních zařízení – Bezpečnostní části ovládacích systémů, ČSN EN 62061 – Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programo­vatelných elektronických řídicích systémů souvisejících s bezpečností a ČSN EN 61508 – Funkč­ní bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvise­jící s bezpečností. Pro potřeby předkládaného článku, tedy konkrétní návrh a určení vlastností bezpečnostního systému, je nejvíce vhodná norma ČSN EN 61508. Na použití této normy od­kazuje i norma ČSN EN 62061, která je zaměřena více na splnění legislativních náležitostí pro funkční bezpečnost. Norma ČSN EN 61508 obsahuje popis různých metod určení jak třídy rizi­ka, tak následného požadavku na úroveň zabezpečení SIL, včetně několika typových příkladů.
 

Pozn. red.: V praxi by výrobce podobného strojního zařízení zřejmě postupoval podle ČSN EN ISO 13849. Postup podle ČSN ISO 61508 je také správný, avšak složitější. Nicméně pro ilustraci je tento příklad velmi vhodný. O tom, kdy v praxi použít kterou normu, se vedou roz­sáhlé odborné diskuse; dostatek zdrojů lze najít na internetu. Bude-li zájem, můžeme se k to­muto tématu vrátit i na stránkách časopisu Automa.