Technické shrnutí
Klíčové body článku:

Článek představuje ČSN EN IEC 61508 jako základ metodiky minimalizace rizika a určování SIL v celém životním cyklu systému. Uvádí vazby na odvětvové normy (mj. EN 5012x, ČSN EN 61511, IEC 61513, DO-178C/DO-254) a příklady použití.

  • ČSN EN IEC 61508 je univerzální základní norma funkční bezpečnosti pro systémy E/E/PE.
  • Definuje 4 pilíře: životní cyklus bezpečnosti, úrovně SIL, řízení bezpečnosti a dokumentaci.
  • Lze ji přizpůsobit mnoha odvětvím: strojírenství, železniční dopravě, procesnímu průmyslu, energetice (včetně jaderné) a automatizaci.
  • U strojů podporuje přístup podle ČSN EN 62061 a ČSN EN ISO 13849-1 (posouzení rizik, integrita, redundance).
  • Zdůrazňuje požadavky na nezávislost kanálů, zamezení společným příčinám poruch a kompetence osob vykonávajících práce.

ČSN EN IEC 61508 (angl. IEC 61508) je norma, která je často vnímána jako „základ“ pro další oborové dokumenty zabývající se funkční bezpečností. Stanovuje zásady, jak minimalizovat riziko v řídicích systémech založených na elektrické, elektronické nebo programovatelné technice (E/E/PE). Její požadavky stojí na čtyřech pilířích:

  1. Životní cyklus bezpečnosti (Safety Lifecycle)
    – od počáteční koncepce a analýzy nebezpečí až po vyřazení systému z provozu.
  2. Úrovně integrity bezpečnosti (SIL)
    – přiřazují se bezpečnostním funkcím a slouží k určení požadavků na spolehlivost.
  3. Řízení funkční bezpečnosti
    – jasně definované role, odpovědnosti, postupy ověřování a přezkum kompetencí.
  4. Dokumentace
    – tvorba, uchovávání a aktualizace všech relevantních dat a zpráv pro potřeby provozu i případných kontrol.

Uvedené principy znamenají, že 61508 se nevztahuje jen na jedno odvětví. Naopak – norma je navržena tak, aby ji bylo možné přizpůsobit specifikům různých oborů: od strojírenství přes železnici a letectví až po energetiku (včetně jaderné) a automatizaci procesů.

Uplatnění v různých odvětvích

Stroje a výrobní linky: ČSN EN 62061 a ČSN EN ISO 13849

V oblasti navrhování strojů a výrobních linek se často odkazuje na:

  • ČSN EN 62061 – „Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů strojů“,
  • ČSN EN ISO 13849-1 – která popisuje „Performance level“ (PL).

Obě tyto normy ve velké míře vycházejí z konceptů 61508, zejména pokud jde o hodnocení rizik, stanovení integrity bezpečnosti a principy redundance.

Praktické příklady:

  • Automatická balicí linka: používáme světelné závory a nouzové vypínače a řídicí systém navrhujeme tak, aby při přerušení paprsku došlo k okamžitému bezpečnému zastavení strojů.
  • Kolaborativní roboty (coboty): dodatečné požadavky na reakci při kontaktu s člověkem, často se zohledněním SIL 2 nebo SIL 3.

Díky 61508 získáváme obecnou metodiku, zatímco 62061/13849-1 upřesňují, jak krok za krokem provést analýzu rizik a implementaci jednotlivých bezpečnostních funkcí ve stroji. V praxi se to často promítá i do ověřování, zda je zařízení skutečně bezpečné – viz Jak ověřit, zda je stroj bezpečný?.

Železnice: řada EN 5012x

V železničním sektoru jsou standardem normy:

  • EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
  • EN 50128 (železniční software),
  • EN 50129 (elektronické systémy v železniční signalizaci).

Každá z nich v oblasti bezpečnostních požadavků navazuje na základní pravidla podobná 61508. Uplatňují se zde také úrovně SIL (obvykle 0–4) a přísné požadavky na nezávislost systémů (redundance kanálů) i odolnost vůči rušení (poruchy ze společné příčiny).

Příklad:

  • Řízení vlakové dopravy: při hrozbě srážky se automaticky aktivují brzdy. Pokud je takový systém označen jako SIL 4, musí podle EN 50128/50129 splňovat mimořádně přísné požadavky na spolehlivost a zkušební postupy.

Procesní průmysl: ČSN EN 61511

V chemických provozech, petrochemii, rafineriích nebo závodech na zpracování plynu se používá norma ČSN EN 61511, která přímo vychází z 61508, ale zaměřuje se výhradně na tzv. SIS (Safety Instrumented Systems).

  • Navrhujeme bezpečnostní smyčky (SIF – Safety Instrumented Function) a pro každou z nich stanovujeme SIL.
  • Při analýze procesních nebezpečí často používáme metodu HAZOP.
  • Zajišťujeme, aby snímače a akční členy měly odpovídající spolehlivost a byly testovány v pravidelných intervalech.

Jaderná energetika: IEC 61513

Pokud by porucha mohla znamenat ohrožení rozsáhlých území (jaderné elektrárny), jsou normy funkční bezpečnosti ještě přísnější.

  • IEC 61513 (v Polsku někdy uváděná jako PN-IEC 61513) popisuje požadavky na ochranné a řídicí systémy jaderných bloků.
  • Požaduje se vícekanálová redundance (např. 2oo3, 2oo4 – „two out of three“ apod.) a velmi přísná kontrola návrhu softwaru.

Letectví: DO-178C / DO-254

Ačkoli se v letectví norma 61508 přímo nepoužívá, princip je obdobný. Dokument DO-178C (pro palubní software) a DO-254 (pro hardware) zavádějí úrovně kritičnosti A–E podle následků chyby (od drobných nepříjemností až po katastrofu letadla). Metodika analýz, redundance, testování a správy konfigurace je ve své podstatě velmi podobná 61508 – s důrazem na detailní pravidla certifikace avioniky.

ČSN EN IEC 61508: Základní principy a jejich praktický význam

  1. Životní cyklus bezpečnosti
    • Zahrnuje fáze od definování konceptu přes detailní návrh (hardware, software) až po instalaci, přejímky, provoz a úpravy.
    • Díky tomu nejde o jednorázový audit na konci projektu; bezpečnost je nutné vyhodnocovat a potvrzovat po celou dobu používání.
  2. Úrovně integrity bezpečnosti (SIL)
    • Existují čtyři úrovně: SIL 1 – nejméně přísná; SIL 4 – nejpřísnější.
    • Každá stanovuje přípustné meze pravděpodobnosti nebezpečné poruchy (např. PFD pro režim s nízkou četností vyžádání).
  3. Hodnocení a dokumentace rizik
    • Než začnete navrhovat, musíte vědět, jaká nebezpečí existují a v jakém rozsahu.
    • Dokumentace (analýzy např. HAZOP, FMEA, strom poruch) tvoří páteř systému – při kontrole nebo auditu můžete doložit, že vaše konstrukční rozhodnutí byla racionální.
  4. Nezávislost a redundance
    • Redundance je účinná jen tehdy, pokud dva (nebo více) kanálů neselžou současně ze stejného důvodu (poruchy ze společné příčiny).
    • Vyšší SIL obvykle vyžaduje různé technologie, různé napájecí zdroje apod.
  5. Řízení kompetencí
    • Lidé odpovědní za návrh a údržbu bezpečnostních systémů musí mít odpovídající kvalifikaci a zkušenosti (norma to výslovně zdůrazňuje).

Co nám přináší používání ČSN EN 61508

  1. Méně poruch a odstávek – díky lepší kontrole rizik a včasnějšímu odhalování vad.
  2. Soulad s předpisy – zákazníci, inspektoři i pojišťovny často vyžadují certifikaci podle takových norem.
  3. Vyšší důvěra – systémy navržené podle 61508 / 61511 / 62061 / EN 5012x jsou vnímány jako spolehlivější.
  4. Dlouhodobá efektivita – i když bývá zavedení nákladné, pomáhá snížit možné ztráty plynoucí z nehod nebo právních problémů.

ČSN EN IEC 61508: Nejčastější chyby a úskalí

  1. Chybějící odpovídající analýza poruch ze společné příčiny: redundantní systém může selhat, pokud mají kanály společný zdroj napájení nebo společnou datovou sběrnici.
  2. Omezení se na jednu komponentu s certifikací SIL: to, že snímač nebo řídicí jednotka má certifikaci SIL 2/3, automaticky neznamená, že stejné úrovně dosahuje celý systém – rozhoduje celková architektura (snímače, kabeláž, software, akční členy).
  3. Absence periodických zkoušek: u systémů, které zasahují jen zřídka, je testování v reálných podmínkách povinností. Bez něj nemáme jistotu, že bezpečnostní funkce v kritickém okamžiku skutečně zafunguje.
  4. Opomíjení fáze změn: pokud změníte byť jen část softwaru nebo vyměníte ventil, musíte zopakovat některé kroky životního cyklu bezpečnosti – zejména analýzu dopadu změny.
  5. Zanedbání kompetencí: od konstruktéra až po pracovníky údržby – každý potřebuje odpovídající školení, aby věděl, jak dodržovat zásady funkční bezpečnosti.

ČSN EN 61508 je výchozím bodem a oborové normy (ČSN EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 atd.) její principy přizpůsobují specifikům jednotlivých průmyslových odvětví. Pro vás jako konstruktéra nebo uživatele bezpečnostních systémů to znamená:

  • Jasné a konzistentní pokyny, jak přistupovat k analýze rizik, stanovení SIL nebo testování systémů.
  • Nutnost vytvářet podrobnou dokumentaci – od zkušebních protokolů až po záznamy o kompetencích personálu.
  • Větší jistotu, že zavedená řešení splňují mezinárodní standardy a budou přijatelná pro zákazníky i dozorové orgány.

V konečném důsledku, i když může jít o nákladný a časově náročný proces, správné zavedení ČSN EN 61508 (nebo jejích „odvozených“ norem) vede k nižšímu riziku nehod, stabilnějšímu provozu závodu a také k lepší reputaci v oboru. Tyto normy tedy nejsou „zbytečné papírování“, ale účinný nástroj, který pomáhá chránit život, zdraví a majetek.

ČSN EN IEC 61508 – univerzální základ funkční bezpečnosti

Jedná se o normu stanovující zásady minimalizace rizika v řídicích systémech založených na elektrické, elektronické nebo programovatelné elektronické technice (E/E/PE). Často je považována za základ pro oborové normy týkající se funkční bezpečnosti.

Norma se opírá o životní cyklus bezpečnosti, úrovně SIL, řízení funkční bezpečnosti a dokumentaci. Tyto prvky mají zajistit konzistentní přístup od koncepce až po vyřazení systému z provozu.

SIL (1–4) jsou úrovně integrity bezpečnosti přiřazované bezpečnostním funkcím, které stanovují požadavky na spolehlivost. SIL 1 je nejméně přísný a SIL 4 nejpřísnější.

V oblasti strojních zařízení jsou koncepce z 61508 dále rozpracovány mimo jiné v ČSN EN 62061 a ČSN EN ISO 13849-1 a v procesním průmyslu v ČSN EN 61511 pro SIS a SIF. Norma 61508 poskytuje obecnou metodiku a sektorové normy upřesňují požadavky na implementaci.

Dokumentace analýz a konstrukčních rozhodnutí umožňuje při auditu nebo kontrole prokázat oprávněnost přijatých řešení. Norma rovněž zdůrazňuje potřebu jasně vymezených rolí a kvalifikace osob, které navrhují a udržují bezpečnostní systémy.

Sdílet: LinkedIn Facebook