Bezpečnost stroje s ohledem na člověka a okolí je dnes hlavním předpokladem pro to, aby mohl být provozován. Ale jaké kroky je třeba učinit na cestě k bezpečnému stroji a jak si uživatel může ověřit, zda je jeho stroj bezpečný?
Od devadesátých let je v Evropě tak zvaný „New-Approach“(nový přístup), ve kterém, mimo jiné, byla bezpečnost strojů a zařízení řízena v rámci evropských směrnic. Přitom na jedné straně má výrobce strojů povinnost přinést na trh pomocí Strojírenské směrnice 2006/42/EG pouze bezpečné stroje. Na druhé straně je každý provozovatel na základě směrnic 95/63/EG a 2001/45/EG zavázán k tomu, že bude poskytovat výhradně bezpečné provozní prostředky. Zákonodárce má přitom pohodlnou situaci něco požadovat, aniž by musel vysvětlovat, jak se to bude realizovat v praxi. Podporu poskytují v Evropě evropské úřední věstníky k jednotlivým směrnicím. V nich jsou tyto normy jmenovány EN, jejich použití způsobuje tzv. domněnku účinku. To znamená: Uživatelé těchto norem se smějí domnívat, že splňují bezpečnostní cíle směrnic, když je splněna norma.
V dnešní době je populární model pro vývoj produktů, tak zvaný V-model. Ve vztahu k bezpečnosti stroje zahrnuje tento model 5 podstatných fází posouzení rizika (viz následující obrázek – V-model bezpečnosti). S tímto V-modelem se mohou organizovat technické procesy, jako například pro bezpečnost strojů, ve fázích:
Jestliže se tento model odráží v nejdůležitějších harmonizovaných normách, tak lze nalézt na jednotlivých fázích tři ústřední normy. Norma ISO 12100 (Bezpečnost strojních zařízení – Všeobecné zásady pro konstrukci – Posouzení rizik a snižování rizika), jako základní norma se zabývá na jedné straně V-modelu hodnocením rizika a verifikací na straně druhé. Kdo by se chtěl ještě více vrátit zpět, může se ohledně posouzení rizika poučit v samotné Strojírenské směrnici. Nicméně, toto ve většině případů opravdu není nutné, neboť ISO 12100 zvažuje všechna rizika podle Strojírenské směrnice. Pro mnoho strojů, ale také pro běžná dílčí řešení existuje ISO 12100 a normy B2 a C. Splnění těchto zde jmenovaných norem lze nejlépe posoudit ve věstníku ke Strojírenské směrnici. V současné době obsahuje seznam asi 800 norem. Normy B2 a C obsahují často definování požadavků na bezpečnostní funkce a jejich validaci. Pro matematickou část, týkající se validace, by se ovšem mělo sáhnout nazpět na ISO13849-1 a -2 (Bezpečnost strojních zařízení – Bezpečnostní části řídicích systémů), nebo IEC 62061 (Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností).
Postupy těchto dvou norem jsou sice teoreticky srovnatelné, ale nikoliv identické. V obou normách se používají sice stejné parametry (údaje o spolehlivosti, struktuře a diagnostice), ale matematické modely, které jsou brány jako základ, jsou odlišné. Typický výrobce strojů učiní dobře, když použije na základě častých odkazů z jiných norem spíše ISO 13849-1 a -2. Uživatelé v procesním průmyslu mohou z přiblížení se k IEC 61508 generovat výhody a v IEC 62061 nalézt vhodnou normu.
Vedle normativních a právních požadavků daných předem, pomůcek a požadavků, má při analýze a hodnocení rizik stroje ústřední význam zkušenost výrobce strojů. Stroj je přitom nutno hodnotit na základě tak zvaných hranic stroje. Mezi nimi jsou krajní podmínky, týkající se omezení v prostoru, čase, nebo také v použití, dále podmínky týkající se okolního prostředí, fází životnosti, nebo druhu provozů, na to všechno je třeba myslet. Pro všechny tyto krajní podmínky musí být případná nebezpečí identifikována a dokumentována. Obzvláště ISO 12100 k tomu poskytuje rozsáhlý seznam možných nebezpečí.
Tento postup umožňuje stanovení úrovně rizika v podobě požadované SIL (Safety Integrity Level) – nebo hodnoty PL (Performance Level) pro každé jednotlivé nebezpečí na základě grafů rizik normy ISO 13849-1, případně IEC 62061. Co musí výrobce stroje při tom posoudit, jsou pro každé nebezpečí parametry S (závažnost zranění), F (četnost zranění/doba vystavení nebezpečí), P (pravděpodobnost vyhnutí se nebezpečí) a pro IEC 62061 přídavně parametr W (pravděpodobnost vzniku nebezpečí).
Na základě vyhodnocených nebezpečí se vytvoří pro každé hrozící nebezpečí opatření nebo náprava. Pokud se jedná o technické opatření, mluví se přitom o bezpečnostních funkcích. Podle ISO 12100 jsou konstruktivní opatření, která riziko odstraní, nebo sníží, v každém případě upřednostněna. Pokud nejsou tato použitelná, je třeba technická opatření zvolit. Teprve jako poslední možnost jsou administrativní opatření, jako je označení nebo školení. Středem zájmu jsou ale v mnoha případech technická opatření ve formě bezpečnostních funkcí.
Prakticky by měly takové bezpečnostní funkce vyplynout z požadavků a důsledků konsekvence. Co ještě jednoduššího lze formulovat, než „ Jestliže – Potom “. Typická bezpečnostní funkce by mohla tedy znít takto: „Jestliže je bezpečnostní kryt otevřen, potom musí být pohyb uveden do klidového stavu.“ S takovou formulací je na jedné straně jasně nastíněno, co má bezpečnostní funkce vykonat a co přesně je tak důležité – které prvky stroje se podílejí na bezpečnostní funkci. To je konečně nutné pro validaci. Na druhé straně lze z toho odvodit zrovna předpis formou úsloví (verifikace), neboť „Jestliže – Potom – Úprava“, což je vhodné pro ověřovací listy. V závislosti na stroji se uskuteční tak veskrze až 50 až 200 bezpečnostních funkcí. Nicméně, mnohé z těchto bezpečnostních funkcí jsou ve smyslu validace identické, nebo přinejmenším velmi podobné, neboť se na strojích jedná vždy opět o podobně formulované bezpečnostní funkce se stejnými komponentami.
Ve fázi designu následuje technická realizace bezpečnostních funkcí. Zůstaňme u výše uvedeného příkladu: Je tedy realizováno technické řešení s bezpečnostním krytem, bezpečnostní logikou a vypínací cestou.
Poněvadž ve fázi 4 je tento design validován, musíme si být právě v této chvíli jisti, že použité komponenty jsou vhodné pro požadovanou úlohu. K tomu jsou nutně potřebná charakteristická bezpečnostní data žádaných komponent. Jinak se může stát, že design nebude použitelný, neboť použití těchto komponent se nepředpokládá pro tento případ – heslo: „Zamýšlené použití“ – nebo bezpečnostně technická kvalita (PL nebo SIL) není dostatečná, co se týče požadavků.
Preferované zdroje pro takové bezpečnostní charakteristické hodnoty jsou elektronické knihovny. Náklady na provedení požadovaných výpočtů lze významně snížit, pokud použijete vhodný software, jako nástroj pro výpočet Safety Calculator PAScal. Jinak musí být charakteristická data z datových listů manuálně přenesena, nebo vypočítána na základě zdlouhavého zkoumání. To je nejen nákladné, ale také náchylné k chybám.
Charakteristické hodnoty zařízení – typy: Jednotný list VDMA 66413 „Funkční bezpečnost – Univerzální databáze pro charakteristické hodnoty vztahující se k bezpečnosti komponent nebo dílů, týkajících se řízení“ poskytuje orientaci pro výměnu potřebných bezpečnostních charakteristických hodnot.
Instituce VDMA zveřejnila v této souvislosti nedávno jednotný list – VDMA 66413. Ten stanoví na jedné straně čtyři základní typy zařízení s odpovídajícími požadovanými charakteristickými hodnotami, na druhé straně ale také defi nuje výměnný formát XML pro jednotnou výměnu dat.
Největší výhody formátu VDMA 66413 jsou vedle skutečné nezávislosti a přislíbené podpory od všech známých nástrojů rozsáhlé technické znaky. To znamená, že formát VDMA podporuje vícejazyčnost dat zařízení, rozdělení zařízení na verze, více druhů použití (Use-Cases) pro jednotlivé zařízení, grafické prvky pro vizualizaci, online aktualizaci a možnost poslat „přílohy“– dokumentu k záznamům v knihovně. Tím jsou všechny v určité době aktuální požadavky v tomto formátu realizovány.
Jednotný list ale nezbavuje výrobce a uživatele všech prací: kvalita charakteristických dat je závislá na pečlivosti a kvalitě výrobce zařízení.
Je na odpovědnosti výrobce stroje prověřit, zda pro bezpečnostní komponenty existuje prohlášení o shodě – CE podle Strojírenské směrnice. Kromě toho požaduje Strojírenská směrnice od výrobce stroje prověřit prohlášení o shodě – CE, co se týče věrohodnosti. Obzvláště je nutné prověřit, zda jsou uvedeny aktuální a korektní normy a směrnice a zdali je vůbec použitý výrobek uvedený v prohlášení o shodě – CE v použité verzi. Tam, kde je pochybnost, měl by být výrobce zařízení přímo dotázán, které směrnice jsou podkladem pro prohlášení – CE.
Softwarové nástroje usnadňují validaci. Na základě charakteristických hodnot důležitých pro bezpečnost u plánovaných, případně použitých komponent se validují skutečně dosažené hodnoty včetně požadovaných, nebo výchozích hodnot PLr případně SIL.
Požadavek, který způsobuje při validaci nejčastěji potíže, byl pomocí formulace bezpečnostní funkce Jestliže – Potom velmi zjednodušen – modelování bezpečnostní funkce. K tomu je realizována a pak přepočítána mechanická a elektrická konstrukce v 1- nebo 2kanálové bezpečnostní struktuře. Formulace pomáhá z většiny obsáhlých plánů extrahovat důležité prvky a pouze tyto zahrnout do výpočtu bezpečnostních funkcí.
Je-li modelování jasné, tak pomůže výpočetní nástroj jako PAScal, který v souladu s ISO 13849-1 provede výpočet PL, nebo v souladu s IEC 62061 výpočet SIL, a to při korektním použití a uplatnění vzorců a požadavků z těchto norem. Uživatelé profitují dodatečně, neboť se mohou lehce pustit do dodatečných změn a dílčí řešení a dokumentaci mohou znovu použít. Vzhledem k množství bezpečnostních funkcí to má zásadní význam. Tento nástroj může – předpokládá se korektní modelování – z komponent a struktur ve fázi 1 stanovené PLr nebo požadované SIL validovat proti těm PL a SIL, které byly realizovány s bezpečnostními funkcemi.
Jak už bylo naznačeno ve 2. fázi, je korektní verifikace bezpečnosti posledním velkým bodem. Pomocí vhodných formulací stran bezpečnostních funkcí vyplývají téměř automaticky verifikační seznamy. Při uvádění do provozu nebo při testování mohou pak být jednoduše zpracovány jako kontrolní seznamy.
Se zpracováním fází 1 až 5 jsou úkoly v podstatě vyřízeny. Zvláštní pozornost si zasluhuje ještě jednou téma software. V praxi to bývá často přehlíženo. Přitom je software, stejně jako hardware, součástí procesu – jen pro něj neexistují žádná charakteristická data. Nejen ISO 13849-1, ale také IEC 62061 zmiňují požadavky na software. Je to v závislosti na komplexnosti a stupních volnosti v softwaru a úsilí, které při testování vynaložíme. Může to být buď čistě funkční test (například v rámci verifikace), ale také automatické testování blackbox a whitebox se zkušebními automaty, regresní testování, nebo může být potřeba další. Jako jednoduché pravidlo platí: Čím více svobody poskytuje vývojové prostředí, tím nákladnější je testování. V nejjednodušším případě – parametrizace, případně konfigurace – postačuje funkční test. V případě volného programování rozhoduje klasifikace vývojového prostředí v jazycích s nízkou nebo vysokou komplexností hloubky testování.
Procesy, které vedou k bezpečnému stroji a v konečném důsledku k bezpečnému provozu, jsou mezitím normativně popsány mnoha dobrými standardními metodami. V praxi konstruktéři a uživatelé velmi často zjistí, že rozsah analýzy je důležitý a popsaný postup vyžaduje řadu podrobných úvah. Se současnými nástroji a s vyhlídkou, že výrobce zařízení zveřejní pro své komponenty bezpečnostní charakteristická data v elektronické podobě, se celý proces ale také stane jednodušším a dokonce zvládnutelným pro ty, kteří se neustále nezabývají bezpečnostní technikou.
Thomas Kramer-Wolf, odborný referent pro normy u firmy Pilz, Ostfildern. Foto: Pilz www.systemotronic.cz