SIL – poziom nienaruszalności bezpieczeństwa

Jak dopasować SIL – poziom nienaruszalności bezpieczeństwa do wymagań Twoich maszyn? Odpowiedź na to pytanie wymaga znajomości norm takich jak PN-EN 62061, która dostarcza szczegółowych wytycznych dotyczących bezpieczeństwa funkcjonalnego elektrycznych, elektronicznych i programowalnych systemów sterowania. Norma ta została zharmonizowana z dyrektywą maszynową, co oznacza, że jej stosowanie zapewnia domniemanie zgodności z przepisami prawa europejskiego.

Artykuł wyjaśni, jak projektować systemy sterowania zgodne z PN-EN 62061, w jaki sposób przypisać odpowiedni poziom SIL do funkcji bezpieczeństwa oraz jak zapewnić zgodność z wymaganiami normy, minimalizując ryzyko i zachowując wysoką niezawodność maszyn.

A co z różnicą między SIL a Performance Level (PL)? W teorii wszystko wygląda jasno, ale w realiach produkcyjnych często rodzi więcej pytań niż odpowiedzi. Które podejście lepiej chroni Twoje maszyny i pracowników? Jak skutecznie wdrożyć system bezpieczeństwa, który nie zawiedzie w momencie próby?

Co to jest SIL – poziom nienaruszalności bezpieczeństwa?

SIL – poziom nienaruszalności bezpieczeństwa, czyli Safety Integrity Level, to miara niezawodności systemów sterowania związanych z bezpieczeństwem. Wprowadza standardy określające, jak skutecznie system musi działać, aby ograniczyć ryzyko do akceptowalnego poziomu. Dla maszyn, zgodnie z normą PN-EN 62061, definiuje się trzy poziomy SIL: od SIL 1 do SIL 3. SIL 4, choć istnieje w normie PN-EN 61508, nie znajduje zastosowania w przemyśle maszynowym z uwagi na swoje rygorystyczne wymagania i charakter dedykowany dla aplikacji o ekstremalnym ryzyku, takich jak przemysł jądrowy, kolejowy czy lotniczy.

Ale co decyduje o poziomie SIL dla danej funkcji bezpieczeństwa? Pierwszym krokiem jest analiza ryzyka. Norma PN-EN 62061 dostarcza narzędzi do oceny zagrożeń, skutków potencjalnych awarii i częstotliwości ekspozycji na zagrożenie. Proces ten pozwala dopasować wymagania bezpieczeństwa do specyfiki danego procesu – nie do konkretnej branży, lecz do konkretnych zastosowań, takich jak sterowanie robotem przemysłowym, kontrola ciśnienia w układzie czy zapobieganie niekontrolowanym ruchom maszyn.

PN-EN 62061 to norma zharmonizowana z dyrektywą maszynową, co oznacza, że jej stosowanie zapewnia domniemanie zgodności z wymaganiami prawnymi. Daje ona precyzyjne wytyczne dotyczące projektowania maszyn, testowania i wdrażania systemów sterowania bezpieczeństwem. SIL nie jest więc jedynie formalnym wymogiem – to realne narzędzie, które zapewnia, że systemy są dopasowane do poziomu ryzyka, gwarantując niezawodność i ochronę ludzi oraz maszyn w rzeczywistych warunkach pracy.

Projektowanie systemów sterowania związanych z bezpieczeństwem w oparciu o PN-EN 62061 wymaga szczegółowego zrozumienia, jak określić poziom SIL (Safety Integrity Level) i jak dostosować system, aby go spełniał. Oto krok po kroku, jak podejść do tego zagadnienia w praktyce.

SIL – poziom nienaruszalności bezpieczeństwa – metodologia

1. Zrozumienie ryzyka i przypisanie wymaganego SIL

Każdy inżynier wie, że pierwszym krokiem jest analiza ryzyka. Wyobraź sobie maszynę, która może wyrządzić szkodę – musisz oszacować, jak poważne będą konsekwencje jej awarii.

• Ciężkość szkody (Se): Jak poważny uraz może wyniknąć? Klasyfikujemy od drobnych obrażeń po zgon.
• Częstotliwość narażenia (Fr): Jak często operator lub pracownik znajduje się w obszarze zagrożenia?
• Prawdopodobieństwo zdarzenia (Pr): Jak często dochodzi do sytuacji, która może wywołać wypadek?
• Możliwość uniknięcia szkody (Av): Czy operator ma czas na reakcję lub czy istnieją inne mechanizmy obronne?

Te cztery parametry przekształcasz w wartości numeryczne i wprowadzasz do matrycy ryzyka. Przykład:

• Se = 3 (poważne obrażenia)
• Fr = 4 (częste narażenie)
• Pr = 3 (średnia szansa wystąpienia)
• Av = 2 (ograniczona możliwość uniknięcia)

Na tej podstawie norma daje gotową macierz, która przypisuje wymagany poziom SIL (np. SIL 2).

2. Projektowanie systemu zgodnego z SIL

Znając wymagany SIL, możesz zacząć projektować system. Tu zaczynają się kluczowe decyzje techniczne.

• Architektura systemu:
  • Wybór konfiguracji (np. redundancja 1oo2, 2oo3). Im bardziej niezawodny system, tym łatwiej osiągnąć wysoki SIL.
  • Uwzględnij pokrycie diagnostyczne (Diagnostic Coverage, DC), czyli zdolność systemu do wykrywania błędów. Na przykład: system z wysokim DC może spełnić wyższe wymagania SIL.
• Wyznaczenie wskaźników niezawodności:
  • PFHD (Probability of Dangerous Failure per Hour): To statystyczne prawdopodobieństwo niebezpiecznej awarii systemu w ciągu godziny. Norma wskazuje, jakie PFHD odpowiada danemu SIL:
    • SIL 1: PFHD od 10^-5 do 10^-6
    • SIL 2: PFHD od 10^-6 do 10^-7
    • SIL 3: PFHD od 10^-7 do 10^-8
  • Wykorzystaj dane producentów komponentów (np. przekaźników, sterowników), aby obliczyć PFHD całego systemu.
• Ograniczenia architektury: Sprawdź, czy wybrana konfiguracja spełnia wymagania. W tabelach normy znajdziesz maksymalne wartości SIL, jakie możesz osiągnąć przy określonej architekturze i poziomie niezawodności komponentów.

3. Walidacja i testowanie

Zapewnienie, że system działa zgodnie z projektem, wymaga walidacji. Nie wystarczy zaprojektować – trzeba udowodnić.

• Testy funkcjonalne: Czy system reaguje poprawnie na sytuacje awaryjne? Przykład: otwarcie osłony włącza procedurę zatrzymania maszyny (E-Stop).
• Symulacja błędów: Wprowadź kontrolowane usterki, aby zobaczyć, czy system wykrywa i reaguje na nie prawidłowo.
• Walidacja dokumentacji: Sprawdź, czy wszystkie założenia projektowe zostały spełnione.

4. Utrzymanie i modyfikacje systemu

Norma wymaga, aby system był utrzymywany w zgodności z przypisanym poziomem SIL przez cały okres użytkowania.

• Regularne przeglądy i testy sprawdzające (proof tests) są obowiązkowe.
• Modyfikacje muszą być oceniane pod kątem wpływu na poziom SIL – każda zmiana wymaga ponownej walidacji.

SIL – poziom nienaruszalności bezpieczeństwa a PL – poziom niezawodności

Historycznie ISO 13849-1 była rozwijana z myślą o maszynach i ich bezpieczeństwie, dlatego jest częściej stosowana przy budowie pojedynczych maszyn lub złożonych systemów maszynowych. Z kolei IEC 62061, jako sektorowa norma bazująca na IEC 61508, jest zakorzeniona w inżynierii procesowej, gdzie szczególny nacisk kładzie się na zaawansowaną analizę ryzyka i niezawodności w systemach sterowania procesami. Ta różnica historyczna nie jest jednak sztywnym podziałem – obie normy są kompatybilne i mogą być stosowane zamiennie, szczególnie że SIL 3 odpowiada PL e, co umożliwia bezproblemowe przenoszenie wyników oceny między standardami.

Główne zastosowania:

• ISO 13849-1: Najczęściej stosowana w przemyśle maszynowym, gdzie dominują systemy łączące różne technologie, takie jak mechaniczne, hydrauliczne i elektryczne.
• IEC 62061: Preferowana w przemyśle procesowym i przy liniach produkcyjnych, gdzie wymagane są bardziej szczegółowe analizy niezawodności oraz złożone systemy sterowania z redundancją.

Nie istnieje obowiązek stosowania jednej normy dla określonego typu systemu, a wybór zależy od preferencji projektanta i specyfiki aplikacji. Normy są w pełni kompatybilne, a ich stosowanie w praktyce zależy raczej od tradycji branżowej niż od technicznych ograniczeń.

Uwaga
Poziom PL e jest czasem nie osiągalny ze względu na architekturę systemu !