Aktuální vydání

celé číslo

11

2021

Monitorování stavu zařízení, diagnostika, řízení údržby

Snímače a systémy řízení polohy a pohybu (motion control)

celé číslo

Správa životního cyklu bezpečnostního přístrojového systému

K efektivnímu zajištění funkční bezpečnosti technických zařízení jsou vedle bezpečných, tj. proti poruše odolných automatizačních prostředků nezbytné také nástroje pro jejich správu. Společnost Siemens nabízí provozovatelům spojitých technologických procesů pro tyto účely vyspělé produkty Simatic S7 F Systems a Simatic Safety Matrix.
 
Požadavky v oblasti funkční bezpečnos­ti zařízení a provozů se spojitými technolo­gickými procesy stanovuje norma ČSN EN 61511 Funkční bezpečnost – Bezpečnostní přístrojové systémy pro sektor průmyslových procesů. Základní pojmy a principy, na nichž tato norma staví, připomíná úvodem k další­mu výkladu obr. 1. Norma ČSN EN 61511 dále rozlišuje tři fáze životního cyklu bezpeč­nostního přístrojového systému (dále stručně životního cyklu bezpečnosti). Jsou jimi analý­za, realizace a provoz s údržbou.
 

Fáze analýzy

 
Procedura správy životního cyklu bezpeč­nosti vždy začíná podrobným prozkoumáním koncepce příslušného technologického pro­cesu a zařízení, představ o způsobu zajištění jeho funkční bezpečnosti a historických zá­znamů, a to za účelem určit známá i poten­ciální bezpečnostní rizika související s pro­vozem zařízení.
 
V dalším kroku se zjištěná rizika posuzují z hlediska přijatelnosti. Cílem je vyloučit ne­přípustná rizika, a určit pravděpodobnost vý­skytu a odhadnout možné důsledky podstat­ných nebezpečných událostí. Z mnoha pou­žívaných metod patří k nejznámějším např.:
  • analýza ohrožení a provozuschopnosti (Ha­zard and Operability Analysis – HAZOP),
  • analýza stromu událostí (Event Tree Ana­lysis – ETA),
  • analýza s použitím kontrolních seznamů (Check List Analysis – CLA),
  • analýza poruch a jejich dopadů (Failure Modes and Effects Analysis – FMEA).
K podpoře uvedených i ostatních metod analýzy rizik jsou na trhu dostupné rozličné nástroje umožňující tyto metody do jisté míry automatizovat. Výsledek analýzy rizika je za­znamenán jako součást specifikace požadav­ků na bezpečnost zařízení. Tato specifikace je základem následného projektu zařízení či zá­vodu a lze ji zobrazit v podobě matice příčin a účinků (cause-and-effect matrix).
 
Pravděpodobnost vzniku událostí ovlivňu­jících bezpečnost zařízení a jejich dopady lze zmenšit přijetím vhodných ochranných opat­ření (Layers of Protection Analysis – LOPA).
 
Jedním z možných ochranných opatření je použití bezpečnostního přístrojového systému (Safety Instrumented System – SIS). Jde o ne­závislý bezpečnostní systém tvořený množi­nou bezpečnostních obvodů, které se skláda­jí ze základních automatizačních komponent od snímače, přes logický rozhodovací mo­dul až po akční člen a realizují příslušné bez­pečnostní funkce (SIF). Použít SIS je účelné z těchto důvodů:
  • přerušení provozu: technologický proces či zařízení jsou při zjištění jakéhokoliv ab­normálního provozního stavu automaticky převedeny do bezpečného stavu,
  • tolerance: dokud jsou dodrženy stanovené podmínky, je provoz zařízení bezpečný,
  • redukce: možné následky nebezpečné udá­losti jsou minimalizovány, a její účinek je tudíž omezený.
Čím vyšší je úroveň integrity bezpečnos­ti (SIL) bezpečnostního přístrojového sys­tému, tím většího snížení rizika lze dosáh­nout (tab. 1).
 

Fáze realizace

 
Ve fázi realizace se volí technické a pro­gramové prostředky a struktura budoucího bezpečnostního přístrojového systému, určují se časové intervaly mezi průkaznými zkouš­kami jeho komponent a SIS se sestavuje, in­staluje a uvádí do provozu.
 
Ke konfigurování a programování bezpeč­nostní řídicí jednotky S7-400FH společnost Siemens dodává knihovnu bezpečnostních funkčních bloků (F-block library), obsaženou ve vývojovém prostředí Simatic S7 F Systems, a programový nástroj Simatic Safety Matrix.
 

Prostředí S7 F Systems s knihovnou F-block a nástroj Safety Matrix

Vývojové prostředí S7 F Systems umož­ňuje parametrizovat jednotku S7-400FH a bezpečnostní moduly I/O (F-module) typové řady ET 200.
 
K podpoře činnosti projektanta jsou k dis­pozici funkce umožňující:
  • porovnat bezpečnostní programy (F-pro­gram),
  • zjistit změny provedené v bezpečnostním programu (s použitím kontrolních součtů),
  • oddělit navzájem bezpečnostní a standard­ní funkce.
Přístup k bezpečnostním funkcím (F-function) může být chráněn heslem. Knihovna bez­pečnostních bloků v prostředí S7 F Systems obsahuje předem specifikované funkční bloky pro tvorbu aplikačních bezpečnost­ních programů v editoru vývojových diagramů CFC (Conti­nuous Function Chart) nebo při použití nástroje Safety Matrix, který je na tomto editoru zalo­žen (obr. 2). Certifikované bez­pečnostní funkční bloky jsou mimořádně robustní a zachytí chyby v programu typu např. dě­lení nulou nebo přetečení. Není třeba k nim vytvářet rozličné do­plňkové podprogramy pro dete­kování chyb a reakci na ně.
 

Simatic Safety Matrix

Software Simatic Safety Matrix od společnosti Siemens, který lze použít namísto tvor­by programů v editoru CFC, je moderní prostředek pro sprá­vu životního cyklu bezpečnosti umožňující přístrojové bezpeč­nostní systémy snadno nejen konfigurovat, ale také provo­zovat a udržovat. Nástroj vy­užívá osvědčený princip mati­ce příčin a účinků a uplatní se výhodně všude tam, kde urči­té stavy zařízení či procesu vy­žadují specifické reakce s ohle­dem na bezpečnost.
 
Bezpečnostní algoritmy lze v prostředí Simatic Safety Ma­trix programovat nejen snáze, ale také mnohem rychleji než tradičním způsobem. Na zákla­dě analýzy bezpečnostních rizik může projektant k jednotlivým událostem (příčinám), které mo­hou nastat při provozu zaříze­ní, snadno přiřadit určité reak­ce bezpečnostního přístrojové­ho systému (účinky). Nejprve se do jednotlivých řádků tabulky ve tvaru matice, podobné pracovní ploše tabul­kového procesoru, zapíšou mož­né události (vstupy) a určí se jejich typ a po­čet, logické vazby, možná zpoždění a pří­padné blokace i veškeré přípustné závady. Poté se ve sloupcích tabulky specifikují re­akce na každou jednotlivou událost (výstupy).
 
Události a reakce se spolu jednoduše pro­pojí kliknutím na buňky tabulky nacházejí­cí se v průsečících příslušných řádků s od­povídajícími sloupci (obr. 3). Nástroj Safety Matrix z tohoto zadání automaticky generu­je úplné bezpečnostní programy v podobě CFC. Projektanti nemusí mít žádné zvláštní znalosti techniky programování a mohou se zcela soustředit na problematiku funkční bez­pečnosti svých provozů.
 
Každému vstupnímu signálu lze v případě potřeby přiřadit funkci zajišťující jeho před­zpracování, a to při zachování možnosti si­mulace. Algoritmus předzpracování lze snad­no konfigurovat.
 
Vedle výstražných hlášení odvozených z chování provozní veličiny lze také gene­rovat výstrahy odvozené z každé jednotlivé příčiny i jednotlivého účinku a poskytovat diagnostické informace. Lze stanovit různé profily priorit a kvitací. Barevná schémata vý­stražných hlášení a zpráv lze přizpůsobit spe­cifickým požadavkům zákazníka nebo pod­mínkám v regionu. Pro správu výstražných hlášení je možné nastavovat souhrnné výstra­hy a prioritu jednotlivých výstrah i individu­álně volit způsob jejich kvitace.
 

Přínosy pro uživatele

Přínosy z použití nástroje Safety Matrix během fáze realizace jsou zejména:
  • snadné programování s využitím metody příčin a účinků,
  • není nutná znalost programovacích technik,
  • konfigurovatelná funkce předzpracování vstupního signály,
  • funkce generování výstrah a dostupnost diagnostické informace u každé jednotli­vé příčiny i účinku včetně symbolického označení veličiny,
  • předběžné výstrahy u analogových signálů,
  • volitelné barevné schéma zobrazení zpráv a výstražných hlášení,
  • automatické generování bezpečnostních programů ve tvaru CFC včetně ovladačů,
  • automatické sledování verzí,
  • vestavěné sledování změn,
  • tisk úplné matice příčin a účinků.

Fáze provozu a údržby

 
Třetí fáze životního cyklu bezpečnosti za­hrnuje používání, údržbu a úpravy bezpeč­nostního přístrojového systému včetně etapy ukončení provozu a popř. i likvidace zaříze­ní či závodu.
 

Simatic Safety Matrix Viewer

Ke snadnému a intuitivnímu sledování a ovládání SIS v prostředí Simatic PCS 7 Operator Station během provozu technolo­gického zařízení se používá prohlížeč Sima­tic Safety Matrix Viewer, zajišťující operáto­rovi přímý přístup ke všem důležitým údajům (obr. 4). Stavy signálů se zobrazují on-line v matici příčin a účinků. Vedle úplného zob­razení úplné matice lze vytvářet i zvláštní dílčí zobrazení vybraných příčin a účinků, z nichž se operátor může snadno vrátit zpět k zobrazení úplné matice nebo přejít k zob­razení výstrah.
 
Prohlížeč umožňuje operátorovi bez pro­dlení přijímat a ukládat výstražné zprávy, zaznamenávat události související s bezpeč­ností, měnit hodnoty parametrů apod. Spolu se symbolickým označením veličiny se vždy zobrazují její mezní provozní hodnota, aktu­ální provozní hodnota a simulovaná hodnota.
 
Funkce pro konfigurování, obsluhu a údrž­bu bezpečnostních systémů dostupné v pro­středí Simatic Safety Matrix jsou navíc účelně doplněny funkcemi pro správu verzí a pro do­kumentování zásahů operátorů a změn v pro­gramech.
 
Přínosy pro uživatele
Ve fázi provozu zařízení jsou přínosy ná­stroje Safety Matrix zejména:
  • dokonalá integrace do řídicího systému Simatic PCS 7,
  • zobrazení konfigurace SIS i výstrah s po­užitím matice příčin a účinků,
  • zobrazení symbolického označení veličiny ve výstražném hlášení,
  • zobrazení a ukládání sekvence událostí,
  • okamžité zobrazení a ukládání výstrah,
  • vestavěné obslužné funkce typu přemos­tění, nastavení počáteční hodnoty, vložení přednostní hodnoty a změny hodnoty pa­rametru,
  • automatické ukládání a dokumentování všech zásahů operátora,
  • automatické sledování verzí,
  • automatické dokumentování změn.

Příklad použití: jak udržet SIL bez vynucených odstávek

 
Jako akční členy realizující přístrojové funkce a zajišťující havarijní přerušení proce­su a bezpečné odstavení zařízení (Emergen­cy Shutdown Device – ESD) se často použí­vají dálkově ovládané havarijní ventily. Aby bylo jisté, že tyto ventily v případě potřeby skutečně zasáhnou, musí být pravidelně prů­kazně ověřována jejich provozuschopnost.
 
Při odstávce zařízení lze provozuschop­nost ventilu průkazně ověřit jeho zkouškou v celém rozsahu zdvihu kuželky (Full Stroke Test). Protože však přitom dochází k úplné­mu uzavření ventilu, při zařízení v chodu je tato metoda zpravidla nepoužitelná.
 

Zkouška ventilu částečným zdvihem (PST)

Vynikající alternativou je v uvedené situaci zkouška jen částečným zdvihem kuželky venti­lu (Partial Stroke Test – PST), při níž se pohyb­livost kuželky ověří jen částečným pootevře­ním nebo přivřením ventilu bez přerušení cho­du procesu (obr. 5). Obvyklý je částečný zdvih o velikosti asi 10 až 15 % celkového zdvihu. Záleží na provozních podmínkách a na poža­dovaném stupni diagnostického pokrytí.
 
Při použití zkoušek částečným zdvihem lze prodloužit časový interval mezi požado­vanými průkaznými zkouškami, provádě­nými v celém jmenovitém rozsahu činnosti ventilu, aniž by se změnila (klesla) úroveň integrity bezpečnosti (SIL). Při pravidel­ném ověřování metodou PST např. čtyři­krát za rok lze dobu mezi dvěma průkazný­mi zkouškami prodloužit z jednoho na dva roky (obr. 6).
 
Bezpečnostní přístrojový systém od spo­lečnosti Siemens obsahuje předem zkonfi­gurované funkční bloky pro pravidelné au­tomatické ověřování ventilů metodou PST v určených časových intervalech. Tyto bloky poskytují operátorovi zpětnovazební infor­maci a popř. výstrahu, pokud jde o provozu­schopnost ventilu, a na základě výpočtu prav­děpodobnosti selhání ventilu při požadavku na jeho činnost (Probability of Failure on De­mand – PFD) stanovují dobu do další průkaz­né zkoušky ventilu.
K zobrazení v rámci operátorského roz­hraní jsou k dispozici šablony umožňující rychle zkontrolovat stav každého jednotlivé­ho ventilu. Zobrazují se zadané hodnoty pa­rametrů zkoušky částečným zdvihem i napo­sled zjištěný stav ventilu a informace o dal­ších plánovaných zkouškách.
 
Přínosy pro uživatele metody PST v podání společnosti Siemens
Přínosy metody PST v podání společnosti Siemens jsou zejména:
  • ověření ventilu kdykoliv on-line bez ovliv­nění výroby,
  • odhalení rozličných typů závad zkouškou,
  • preventivní diagnostika,
  • variabilita parametrů zkoušek a delší doby mezi průkaznými zkouškami,
  • minimalizace doby přemostění havarijní­ho ventilu nebo přerušení procesu,
  • pokles pravděpodobnosti selhání ventilu při vyžádání jeho funkce,
  • poskytnutí zpětných informací o průkaz­ných zkouškách požadovaných k udržení potřebné úrovně bezpečnosti.
 

Závěr

 
Simatic S7 F Systems a Simatic Safety Matrix představují ucelený systém umožňující uživatelům automatizačních prostředků znač­ky Siemens v závodech se spojitými techno­logickými procesy velmi efektivně spravovat bezpečnostní přístrojové systémy během celé­ho jejich životního cyklu. Nacházejí uplatně­ní nejen v uvedeném příkladu péče o havarijní ventily, ale i v mnoha dalších úlohách ochra­ny technických zařízení či produktů před po­škozením nadměrným tlakem či teplotou, zabraňují únikům médií atd. Další informace jsou na www.automation.siemens.com v sekci Safety Integrated.
(Siemens, s. r. o.)
 
Obr. 1. Bezpečnostní přístrojová funkce (Safety Instrumented Function – SIF) realizovaná ve společném prostředí bezpečnostního přístrojového systému (Safety Instrumented System – SIS) a základního řídicího systému (Basic Process Control System – BPCS)
Obr. 2. Tvorba aplikačního bezpečnostního programu v editoru CFC
Obr. 3. Safety Matrix: přiřazení specifických reakcí (účinků) možným provozním událostem (příčinám)
Obr. 4. Okno prohlížeče Safety Matrix Viewer na displeji ope­rátorské stanice základního řídicího systému Simatic PCS 7
Obr. 5. Uspořádání bezpečnostního obvodu umožňující provádět zkoušku částečným zdvihem (Partial Stroke Test – PST)
Obr. 6. Pravidelné zkoušky ventilu částečným zdvihem umožňují prodloužit přípustnou dobu mezi předepsanými průkaznými zkouškami z jednoho na dva roky
 
Tab. 1. Úroveň integrity bezpečnosti ve vztahu k faktoru snížení rizika a pravděpodobnosti selhání bezpečnostního obvodu (bezpečnostní přístrojové funkce)