Aktuální vydání

celé číslo

03

2021

Digitální transformace, chytrá výroba, digitální dvojčata

Komunikační sítě, IIoT, kybernetická bezpečnost

celé číslo

Funkční bezpečnost bez kompromisů

Funkční bezpečnost nelze zajistit jen použitím certifikovaných komponent. O bezpeč­nosti je třeba přemýšlet během celého životního cyklu zařízení a brát v úvahu také člo­věka, protože právě ten je nejčastějším zdrojem bezpečnostních incidentů. Zákazníci navíc požadují, aby bezpečnostní prvky byly co nejlépe integrovány do automatizační­ho prostředí závodu nebo výrobní linky.
 
Co je bezpečnost? Podle definice je to vy­loučení rizika. Jenže riziko nelze vyloučit ni­kdy, vždy určité zbytkové riziko zbude. Výro­ba je zkrátka vždycky „riskantní“.
 
Úlohou bezpečnostních systémů je omezit riziko na přijatelnou úroveň. Ovšem sebelep­ší technika není nic platná, jestliže se nebere v úvahu člověk.
 
Když Evropská komise analyzovala příči­ny nehod v chemickém průmyslu, vyplynulo z údajů sbíraných od roku 1982 do součas­nosti, že více než 90 % nehod bylo primárně způsobeno chybami v organizaci práce nebo nedodržením jejích pravidel. Pod tím se nej­častěji skrývá práce ve stresu, nedbalost nebo jiná lidská selhání.
 

Problémy v průběhu implementace

 
Jestliže se implementuje systém funkční bezpečnosti, uživatelé musí počítat s těmito skutečnostmi:
  • bezpečnost musí být zajištěna v každé době, v provozu i mimo něj,
  • bezpečnostní systémy jsou v činnost uve­deny jen zřídka, ale přesto se jim musí vě­novat zvláštní pozornost,
  • pro dosažení maximální efektivity výrob­ního procesu musí být zachována co nej­větší dostupnost zařízení,
  • od výrobců a dodavatelů výrobních zaří­zení je třeba vyžadovat bezpečnostní ex­pertizu dodaných komponent,
  • bezpečnostní technika se musí vyrovnat s ros­toucí složitostí procesů a jejich segmentací,
  • bezpečnostní systém nesmí být nákladněj­ší, než je nezbytné.
 
Funkční bezpečností se zabývají dvě mezi­národní normy, IEC 61508 a IEC 61511. Nor­ma IEC 61508 se zabývá funkční bezpečností obecně, kdežto IEC 61511 se věnuje zvláště procesní výrobě.
 
Proč je pro mnoho firem problém im­plementovat funkční bezpečnost, když mají k dispozici uvedené normy? Protože to není jen otázka bezpečnostního systému, ale bez­pečnostní kultury celého podniku.
 

Bezpečnost po celou dobu životního cyklu

 
Klíčovou součástí normy IEC 61511 je zajištění bezpečnosti po celou dobu životní­ho cyklu. Má tři části: analýzu rizik, realiza­ci bezpečnostního systému a provoz zařízení. Další důležitý pojem je verifikace bezpečnosti na tzv. principu čtyř očí. Vše zastřešuje sys­tém řízení funkční bezpečnosti.
 
Společnost HIMA podporuje své zákazní­ky po celou dobu životního cyklu bezpečnost­ního systému: poskytované služby zahrnují analýzu rizika ve fázi návrhu, integraci sys­tému funkční bezpečnosti do DCS, poprodej­ní služby a školení (obr. 1). Odborníci firma HIMA pomáhají zákazníkům i při zavádění systémů řízení funkční bezpečnosti (FSM).
 

Systém řízení rizik a funkční bezpečnosti je povinný

 
Směrnice EU Seveso II nařizuje, že v pod­nicích s procesní výrobou musí být imple­mentován systém řízení rizik a funkční bez­pečnosti.
 
Systém FSM musí především jasně popsat procesy a stanovit odpovědnosti. Implemen­tace systému FSM je složitá procedura a vy­žaduje značné zkušenosti. Začíná pečlivým porovnáním existujícího systému s požadav­ky norem IEC. Následuje analýza, která sta­noví stupeň shody a určí odchylky od ustano­vení norem. Konečnou fází je adaptace celého systému tak, aby bylo dosaženo úplné shody s příslušnými normami.
 
Podobné procesy implementovala samot­ná HIMA již dávno před tím, než vstoupily v platnost jako normy IEC pro funkční bez­pečnost. Systém FMS ve firmě HIMA je cer­tifikován zkušebnou TÜV.
 
Již dlouho pomáhá HIMA implementovat systémy FMS také u svých zákazníků. Na­příklad už v roce 2004, krátce poté, co byly standardy pro funkční bezpečnost schvále­ny, pomáhala zavádět tento systém v rafine­rii v Burghausenu (Německo; ve vlastnictví ÖMV Germany).
 
Kromě mnoha různých dílčích školení po­řádá HIMA ve spolupráci s TÜV Rheinland také komplexní výukové kurzy, jejichž absolventi získají certifi­kát Functional Safety Engineer.
 

Certifikace sama bezpečnost nezaručí

 
Certifikace podle norem IEC 61508 a IEC 61511 je základem zajištění bezpečnosti, avšak mnohé negativní příklady z po­sledních let vyvolávají o účin­nosti samotné certifikace značné pochybnosti. Někteří výrobci na­šli takové zalíbení ve hře s čísly, že bez uzardění „katapultují“ svá zařízení do vyšší kategorie SIL např. prostě jen tím, že účelově zvýší počet bezpečných selhá­ní, a tak ovlivní příslušný poměr bezpečných a nebezpečných se­lhání. Naštěstí tvůrci norem za­reagovali a učinili takovým prak­tikám přítrž. Nicméně na trhu jsou stále zařízení, jejichž certifikace výrob­ci dosáhli podobným způsobem.
 
Samotný certifikát tedy bezpečnost neza­jistí. Je dobré se zajímat o to, za jakých pod­mínek byl certifikát získán a co se píše v uži­vatelské příručce o tom, kdy výrobce zaruču­je dodržení bezpečnostních funkcí a kdy tuto garanci přenáší na uživatele.
 

Intuitivní ovládání zabraňuje chybám

 
Zatímco řídicí systém je používán nepře­tržitě, bezpečnostní systém je za normálních podmínek uveden v činnost jen zřídka. Z hle­diska uživatele musí mít bezpečnostní sys­tém intuitivní ovládání, které vede operátora při jeho rozhodování. A nejde jen o ovládání, stejně snadné a intuitivní by mělo být i pro­gramování, konfigurace, diagnostika a sprá­va bezpečnostního systému.
 

Velký výpočetní výkon pro nové typy úloh

 
Velký výpočetní výkon bezpečnostních systémů HIMax (obr. 2) umožňuje realizo­vat složité bezpečnostní funkce založené ne­jen na přímo měřitelných fyzikálních veliči­nách, jako je teplota, tlak nebo průtok. Body aktivace bezpečnostní funkce mohou být zá­vislé na několika fyzikálních veličinách sou­časně a určovány složitými matematickými vzorci. Díky tomu může být systém provo­zován blíže ke svým fyzi­kálním mezím, což zefek­tivňuje výrobu.
 
Jinou náročnou úlohou pro bezpečnostní systé­my je řízení kompresorů a turbín. Díky vysokému výpočetnímu výkonu sys­tému HIMax lze jediným systémem realizovat různé bezpečnostní funkce, např. ochranu proti překročení maximálních přípustných otáček, ochranu generátoru nebo řízení čerpadel. Před­nostmi jsou úspora místa, úspora náhradních dílů, jednodušší obsluha a údrž­ba, a tedy i nižší náklady.
 

Integrace založená na nezávislých standardech

 
Při integraci bezpeč­nostní techniky do pro­vozního prostředí je třeba brát ohled na to, aby strategie nákupu nega­tivně neovlivňovala strategii bezpečnosti. Od­dělení nákupu často využívá seznamy osvěd­čených dodavatelů automatizačních systémů MAC (Main Automation Contractor) a pří­strojového vybavení MIV (Main Instrument Vendor) a má snahu všechnu techniku, i tu bezpečnostní, nakupovat od těchto dodava­telů. Je to správné?
 
Jestliže je celá dodávka automatizační i bezpečnostní techniky přidělena jednomu dodavateli, je tu riziko, že dodávka sice bude vyhovovat všem standardům, ale – protože standardy připouštějí různé výklady – doda­vatel ve snaze snížit náklady přece jen ušet­ří na kvalitě. Šetření na kvalitě řídicí tech­niky by se projevilo na snížení spolehlivosti a efektivity výrobních procesů. Ušetří-li se však na bezpečnostní technice, nikdo nic ne­pozná – dokud nedojde k havárii.
 
Podle normy EN 61511 musí být bezpeč­nostní technika (technika, který vykonává bez­pečnostní funkce) nezávislá na činnosti běžné řídicí techniky (té, která vykonává funkce, jež nejsou spojeny s bezpečností). Tato nezávis­lost omezuje možnost výskytu systematických chyb a společných chyb obsluhy, které mohou způsobit narušení bezpečnosti.
 
Na fyzickém oddělení bezpečnostního a řídicího systému je výhodné také to, že změna řídicího systému např. při změně sor­timentu výroby nemá vliv na bezpečnostní systém a výrobní zařízení zpravidla není tře­ba znovu certifikovat.
 
Stejný přístup, tj. vytvoření nezávislých zabezpečovacích linií, lze uplatnit i pro zajiš­tění tzv. kybernetické bezpečnosti. Obrana se nejlépe zajišťuje několikaúrovňovým zabez­pečovacím systémem. Poslední virové útoky na výrobní řídicí systémy jasně prokázaly, že nezávislost bezpečnostní techniky na řídicí je základní podmínkou pro to, aby se v takovém případě zabránilo velkým škodám.
 
Nejdůkladněji se nezávislost řídicí a bez­pečnostní techniky zajistí tím, že jsou obě postaveny na odlišných platformách, vývojo­vých principech a koncepci. Výhodou (i když ne podmínkou) je, když pocházejí od různých výrobců. Společnost HIMA nabízí bezpeč­nostní techniku s otevřenými komunikační­mi rozhraními, jež umožňují její kompletní, standardům zcela vyhovující integraci s mno­ha systémy DCS známých značek.
 
Pro bezproblémovou integraci bezpeč­nostní techniky se systémy DCS je třeba mít dostatečné znalosti. Proto založila spo­lečnost HIMA speciální tým, který pomáhá zákazníkům na celém světě s integrací bez­pečnostní techniky do DCS a poskytuje jim konzultace. Tým vytvoří pro zákazníka de­tailní dokumentaci, kde je integrace systémů popsána, a vykoná rozsáhlé testy integrace. Na jaře 2010 byl takový projekt realizován např. pro firmu Shell, která integrovala čtyři systémy HIMax se čtyřmi DCS (Yokogawa, Honeywell, Emerson a Siemens; obr. 3). Sys­tém HIMax v testu obstál, dokázal své komu­nikační schopnosti a výkon a společnost Shell je s ním zcela spokojena.
 

Závěr

 
Systémy pro zajištění funkční bezpečnos­ti jsou kritickou součástí výrobních zařízení a vyžadují důkladnou analýzu situace a po­užití té nejmodernější techniky. Jen v tako­vém případě lze zajistit spolehlivý provoz výrobních zařízení bez kompromisů v ob­lasti bezpečnosti. Bezpečnostní systém musí být specifikován a vybírán nezávisle na DCS. Integrace založená na otevřených, na výrob­ci nezávislých komunikačních standardech je výhodná jak z hlediska funkční, tak ky­bernetické bezpečnosti a navíc zajišťuje vel­kou míru ochrany investic do nové techniky.
Steffen Philipp, Thomas Hinzmann,
HIMA Paul Hildebrandt GmbH + Co. KG
 
(Článek je přeloženou a redakčně uprave­nou verzí plenární přednášky na generálním shromáždění NAMUR v listopadu 2010. Spo­lečnost HIMA byla generálním sponzorem tohoto shromáždění.)
 
Obr. 1. Společnost HIMA poskytuje svým zákazníkům úplné spektrum služeb
Obr. 2. Nový bezpečnostní systém HIMax
Obr. 3. Bezpečnostní systémy HIMax v projektu pro firmu Shell komunikují s DCS různých výrobců