Metody oceny ryzyka w kontekście Europejskiej Dyrektywy Maszynowej
Europejska Dyrektywa Maszynowa wymaga, aby dla każdej maszyny przed wprowadzeniem jej na rynek przeprowadzono analizę ryzyka. Konwergencja technologii informacyjnej (IT) i operacyjnej (OT), a także szybki rozwój technologiczny spowodowały konieczność zmiany Dyrektywy Maszynowej. W rezultacie opracowano nowe rozporządzenie dotyczące maszyn, które zastąpi Dyrektywę Maszynową jako podstawę prawną. Zawiera ono dodatkowe wymagania dotyczące przeprowadzania analizy ryzyka. Oprócz ogólnej procedury analizy ryzyka, wprowadzono różne metody oceny ryzyka, których funkcje wyjaśniono poniżej.
Podstawa prawna
Zgodnie z dyrektywą maszynową UE 2006/42/WE producent maszyn nie może wprowadzić maszyny na rynek, jeśli stwarza ona zagrożenie. Producent, w celu wydania pisemnego potwierdzenia, przeprowadza ocenę zgodności CE, która obejmuje sporządzenie analizy ryzyka. Maszyny mogą nosić znak CE tylko wtedy, gdy proces oceny został w pełni zakończony, a analiza ryzyka wykazała, że maszyna jest bezpieczna.
Dyrektywa Maszynowa opisuje proces analizy ryzyka w sposób bardzo ogólny, nawet jeśli w załączniku wymienia możliwe zagrożenia, które należy wziąć pod uwagę podczas dokonywania analizy. Bardziej dokładny opis procesu można znaleźć w normie ISO 12100 – Ocena ryzyka i ograniczanie ryzyka (Ilustracja 1). Określa ona proces iteracyjny, w którym najpierw identyfikuje się, szacuje oraz ocenia rodzaje zagrożeń. Jeśli ocena wykaże, że występują niedopuszczalne zagrożenia, wówczas należy je zminimalizować. Procedura ograniczania zagrożeń jest podzielona na trzy etapy, a przestrzeganie kolejności tych etapów jest obowiązkowe.
Pierwszy z etapów dotyczy zastosowania rozwiązań konstrukcyjnych, które są bezpieczne same w sobie. Oznacza to, że maszyna musi być zaprojektowana w taki sposób, aby była bezpieczna. Jeśli nie jest to możliwe, producent może zastosować odpowiednie techniczne środki ochronne i uzupełniające środki ochronne. Należą do nich na przykład osłony, takie jak ogrodzenia lub elektroczułe wyposażenie ochronne, takie jak optoelektroniczne kurtyny bezpieczeństwa. Środki te zapewniają, że operator nie może już uzyskać dostępu do miejsca niebezpiecznego. Jeżeli zastosowanie rozwiązań technicznych lub konstrukcyjnych bezpiecznych nie jest możliwe, można zastosować procedury operacyjne i informacje dotyczące użytkowania. Przykładem takich rozwiązań może być szkolenie pracowników.
Jeśli wdrożono odpowiednie rozwiązania mające na celu ograniczenie ryzyka, proces iteracyjny rozpoczyna się od nowa. W ten sposób można zidentyfikować zagrożenia, które nie zostały w pełni wyeliminowane przez zastosowane rozwiązania lub też zagrożenia, które zostały przez nowe rozwiązania spowodowane. Proces iteracyjny jest zakończony, gdy wszystkie zagrożenia zostaną odpowiednio zminimalizowane.
Nowe Rozporządzenie Maszynowe UE 2023/1230 zastąpi Dyrektywę Maszynową od 20 stycznia 2027 roku. Nie przewidziano przepisów przejściowych. Zmiana Dyrektywy Maszynowej była konieczna ze względu na postęp techniczny. Rozporządzenie w sprawie maszyn zawiera obecnie szczegółowe wymagania dotyczące bezpieczeństwa maszyn, które pojawiają się w następujących obszarach:
Tworzenie sieci maszyn
- Cyfryzacja i zastosowanie bardziej złożonej technologii sterowania
- Nowe technologie, takie jak sztuczna inteligencja lub roboty pracujące w zespołach
Rozporządzenie Maszynowe w załączniku III (Zasadnicze wymagania w zakresie ochrony zdrowia i bezpieczeństwa dotyczące projektowania i wytwarzania maszyn lub produktów powiązanych) obejmuje zagrożenia, które nie zostały wyraźnie wymienione w Dyrektywie Maszynowej. W poniższym tekście opisane są główne zmiany w zakresie analizy ryzyka.
W odniesieniu do tworzenia sieci maszyn dotyczą one ochrony przed zakłóceniami. Połączenie sprzętu i/lub oprogramowania nie może prowadzić do wystąpienia jakichkolwiek awarii. Ponadto, należy zapobiec nieautoryzowanemu dostępowi do maszyn oraz możliwości manipulowania danymi. Awaria lub przywrócenie komunikacji również nie mogą powodować powstania sytuacji niebezpiecznych.
Elementy sterujące maszynami muszą być chronione przed wpływami zewnętrznymi, tak aby nie można było dokonać zamierzonych lub niezamierzonych zmian w oprogramowaniu lub konfiguracji. Dziennik dostępu zawierający informacje o ingerencjach w sprzęcie i/lub oprogramowaniu musi być przechowywany przez pięć lat. Zarówno oprogramowanie, jak i konfiguracja muszą posiadać swój unikalny identyfikator (ID).
Ponadto, Rozporządzenie Maszynowe reguluje temat sztucznej inteligencji w systemach samouczących się. Maszyny nie mogą wykonywać żadnych działań, które wykraczają poza ich zdefiniowane zadania i zakresy ruchu. Dane związane z decyzjami istotnymi dla bezpieczeństwa muszą być archiwizowane przez rok. Ponadto, w celu zapewnienia bezpieczeństwa w każdej chwili musi istnieć możliwość wprowadzenia poprawek do maszyny. Rozporządzenie Maszynowe definiuje również dodatkowe wymagania dla pojazdów autonomicznych (Autonomiczne Maszyny Mobilne). Muszą one być w stanie wykryć przeszkody lub osoby, a w przypadku kolizji ich akumulatory nie mogą być źródłem jakichkolwiek zagrożeń.
Parametry stosowane do oceny ryzyka
Zasadniczo, nie istnieje żadna jednostka miary określająca ryzyko. Ryzyko jest zazwyczaj charakteryzowane za pomocą wskaźnika ryzyka lub prawdopodobieństwa wystąpienia szkody i przedstawiane jako niskie/wysokie. Słowny opis określający ryzyko jest zazwyczaj łatwiejszy do zrozumienia niż jego ocena z wykorzystaniem wskaźników ryzyka. Jeśli rzeczywiste ryzyko ma zostać ocenione za pomocą wskaźnika, zakres jego wartości musi być możliwy do określenia.
Dyrektywa Maszynowa stanowi, że w celu określenia ryzyka związanego z występującym zagrożeniem należy wziąć pod uwagę dwa parametry: zakres szkód oraz prawdopodobieństwo ich wystąpienia (Ilustracja 2).
Oba te parametry mogą być podzielone na dalsze podkategorie w zależności od metody zastosowanej do oceny ryzyka. Niektóre metody dzielą zakres szkód na:
- Przewidywana ciężkość szkody dla potencjalnie dotkniętej nią osoby (S, Severity)
- Liczbę osób potencjalnie dotkniętych szkodą (N, Number)
- W branży automatyki zazwyczaj tylko jedna osoba jest poszkodowana w wyniku danego zdarzenia; dlatego parametr N nie ma tam znaczenia. W przemyśle przetwórczym, gdzie wiele osób może odnieść obrażenia w wyniku zdarzenia, parametr N jest istotny dla oceny ryzyka.
Aby dokładniej zdefiniować prawdopodobieństwo wystąpienia szkody, często dzieli się je na podparametry:
- Czas trwania narażenia na dane zagrożenie (E, Exposure)
- Częstość występowania zagrożenia (O, Occurrence)
- Możliwość uniknięcia lub ograniczenia szkody (A, Avoidance)
Nie każde zdarzenie niebezpieczne automatycznie powoduje powstanie szkody. Szkoda występuje wyłącznie wtedy, gdy dana osoba jest obecna w zagrożonym obszarze w tym samym czasie, w którym zachodzi zdarzenie niebezpieczne i nie jest ona w stanie uniknąć zagrożenia. W praktyce minimalizuje się Czas trwania narażenia na dane zagrożenie (E) za pomocą ogrodzenia ochronnego lub częstość występowania zagrożenia (O) za pomocą zatrzymania maszyny z zastosowaniem czujników bezpieczeństwa w celu stworzenia bezpiecznego systemu.
Podsumowując, ryzyko można przedstawić w następujący sposób:
S=f(S,N)* f(E,O,A)
Metody oceny ryzyka
Celem oceny ryzyka jest kwantyfikacja ryzyka przy użyciu określonych wcześniej parametrów oraz przedstawienie ryzyka przy pomocy wskaźnika ryzyka jako wartości liczbowej. Nie istnieją żadne normatywne wymogi dotyczące sposobu oceny ryzyka. Niektóre normy określają jednak metodę w formie załącznika o charakterze informacyjnym. Ponadto niektóre metody mogą pochodzić z raportów technicznych organizacji normalizacyjnych lub innych publikacji. Wybór metody należy do producenta maszyny. Ogólnie rzecz biorąc, ocena ryzyka powinna być przeprowadzana przez zespół ludzi, aby zapewnić, że ocena jest jak najbardziej obiektywna.
Metody oceny ryzyka można podzielić na trzy klasy:
- Metody graficzne
- Metody tabelaryczne
- Metody numeryczne
Metody graficzne pozwalają określić ryzyko w formie graficznej. Każdy węzeł ma zwykle tylko dwa odgałęzienia, które reprezentują różne wartości parametrów. Opcje są przedstawione w formie tekstowej. Ze względu na ograniczoną liczbę opcji, ryzyko jest zazwyczaj klasyfikowane jedynie w przybliżeniu, ale w sposób prosty i łatwy do zrozumienia.
Przykładem metody graficznej jest wykres ryzyka zgodny z normą ISO/TR 14121-2 – Bezpieczeństwo maszyn. Ocena ryzyka. Część 2: Praktyczny przewodnik i przykładowe metody (Ilustracja 3). Jest on często wykorzystywany do zobrazowania skuteczności środków zmniejszających ryzyko i uwzględnia cztery parametry: S, E, O, A. Otrzymany wskaźnik ryzyka ma wartość liczbową od 1 do 6. Wartości 1 i 2 oznaczają stan małego zagrożenia. Przykład pokazuje również, że wykresy z więcej niż dwiema odgałęzieniami na węzeł mogą okazać się niejednoznaczne.
MOŻE ZAINTERESUJE CIĘ TAKŻE
Metody tabelaryczne zazwyczaj oferują więcej niż dwie wartości na parametr; wartości są opisane w formie tekstowej. Dostępnych jest więcej możliwych opcji niż w przypadku metod graficznych. Klasyfikacja jest nadal stosunkowo niedokładna, ponieważ liczba parametrów jest ograniczona w celu zachowania przejrzystości.
Prosty przykład metody tabelarycznej opisano w normie ISO 14798 - Windy (podnośniki), schody ruchome i chodniki ruchome (Ilustracja 4). Zawiera ona tylko dwa parametry: "ciężkość szkody" i "prawdopodobieństwo wystąpienia zagrożenia". Sprawia to, że metoda jest łatwa do zrozumienia; podobnie jak w przypadku metody graficznej, klasyfikacja jest jednak tylko przybliżona. Wynikowy wskaźnik ryzyka jest opisany liczbą i literą, które wskazują na niskie, średnie lub wysokie zagrożenie.
Metody numeryczne określają wskaźnik ryzyka poprzez dodawanie lub mnożenie wartości parametrów. W rezultacie możliwych jest wiele parametrów o różnych wartościach, a ryzyko jest określane bardziej szczegółowo. Może to dawać fałszywe wrażenie dokładności, ponieważ wartości parametrów są zawsze określane subiektywnie i zależą od kompetencji użytkownika. Niemniej jednak wyższy poziom uszczegółowienia pomaga w porównywaniu zagrożeń związanych z różnymi rodzajami ryzyka. Ze względu na wiele parametrów i opcji, metody numeryczne nie są tak proste i łatwe do zrozumienia jak metody graficzne lub tabelaryczne.
Ze względu na wysoki poziom uszczegółowienia możliwe jest porównanie ze sobą ryzyka wystąpienia różnych zagrożeń, jak również zidentyfikowanie zagrożenia o największym ryzyku. Może to być istotne przy ustalaniu priorytetów dla poszczególnych etapów modernizacji maszyny.
Przykładem metody numerycznej jest HRN (Hazard Rating Numbers) (Ilustracja 5). Została ona opublikowana w 1990 roku przez Chrisa Steela i występuje w kilku wariantach. Opis tekstowy licznych wartości parametrów utrudnia jednak wybór właściwej wartości. Oryginalny formularz zawiera cztery parametry S, N, E, O. Parametr A (możliwość uniknięcia zagrożenia) został pominięty. Ryzyko wynikowe jest określane przez mnożenie:
R=S*N*E*O
Ze względu na przeprowadzane mnożenie może być wystarczające, jeśli jeden z parametrów jest bardzo niski lub znacząco się obniża na skutek zmniejszenia ryzyka.
Redukcja ryzyka z wykorzystaniem technicznych środków ochronnych
Jeśli z przeprowadzonej oceny ryzyka wynika, że jest ono zbyt wysokie, należy je zmniejszyć za pomocą odpowiednich środków. Kolejność podejmowanych działań jest określona. Techniczne środki ochronne można zastosować tylko wtedy, gdy nie jest możliwe zastosowanie rozwiązań konstrukcyjnych bezpiecznych samych w sobie.
Techniczne środki ochronne są często wdrażane za pomocą bezpiecznych elementów układu sterowania, które stanowią element funkcji bezpieczeństwa. Funkcja bezpieczeństwa realizowana jest za pomocą bezpiecznych podzespołów, tj. bezpiecznych czujników, bezpiecznego układu sterowania oraz bezpiecznych urządzeń wykonawczych. Elementy te muszą charakteryzować się określonym poziomem niezawodności, który odpowiada prawdopodobieństwu wystąpienia poważnej awarii danego podzespołu. Im większy poziom ryzyka, tym większa musi być niezawodność: W przypadku awarii podzespołów ochrona przed zagrożeniem przestaje istnieć. Niezawodność podzespołu jest również określana jako poziom bezpieczeństwa. Aby określić tę wartość, należy przeprowadzić ocenę ryzyka. W tym przypadku wynikiem oceny nie jest jednak wartość ryzyka, która je określa, ale raczej minimalny niezbędny poziom bezpieczeństwa podzespołów funkcji bezpieczeństwa.
Normy dotyczące systemów sterowania związanych z bezpieczeństwem określają odrębne metody oceny ryzyka, za pomocą których można określić wymagany poziom bezpieczeństwa.
W sektorze automatyki norma ISO 13849-1 – Elementy systemów sterowania związane z bezpieczeństwem – jest zwykle używana do celów zdefiniowania systemu bezpieczeństwa maszyny. Można ją stosować do systemów elektronicznych, mechanicznych, hydraulicznych i pneumatycznych. Załącznik A opisuje wykres ryzyka służący do określenia niezbędnego poziomu bezpieczeństwa PLr dla funkcji bezpieczeństwa (Ilustracja 6). Wykres ryzyka zawiera trzy parametry: przewidywana ciężkość szkody dla potencjalnie dotkniętej nią osoby (S), częstość i czas trwania narażenia na zagrożenie, które dotyczy osób w obszarze niebezpiecznym (ekspozycja) (F) oraz możliwość uniknięcia lub ograniczenia szkody (P). Podobnie jak w przypadku innych metod graficznych, jest on prosty i łatwy do zrozumienia oraz oparty jest o klasyfikację przybliżoną. Jeśli użytkownicy wybiorą wyższą wartość ze względu na wątpliwości związane ze skutecznością zabezpieczeń, wynikające z tego wymogi okażą się zbyt wysokie, a technologia bezpieczeństwa stanie się niepotrzebnie kosztowna.
Jako alternatywę dla elektrycznych i elektronicznych systemów sterowania stosuje się normę IEC 62061 - Bezpieczeństwo funkcjonalne systemów sterowania mających wpływ na bezpieczeństwo. Załącznik A opisuje połączenie metod tabelarycznych i numerycznych w celu określenia niezbędnego poziomu bezpieczeństwa SILCL funkcji bezpieczeństwa (Ilustracja 7). Metoda ta jest bardziej złożona niż wykres ryzyka 13849-1. Możliwa jest jednak szczegółowa klasyfikacja, ponieważ dla czterech parametrów dostępnych jest więcej różnych wartości do wyboru.
Ocena ryzyka metodą HARMONY
Opisane metody wskazują użytkownikowi dwa sposoby szacowania ryzyka za pomocą różnych metod, z uwzględnieniem odmiennych celów: pierwszy za pomocą metody 1 do oszacowania początkowego i końcowego ryzyka wystąpienia zagrożenia, a następnie za pomocą metody 2 do określenia poziomu bezpieczeństwa funkcji bezpieczeństwa.
Procedura ta wydaje się niepotrzebnie złożona i powoduje znaczne utrudnienia. Możliwe jest jej znaczne uproszczenie, jeśli metoda szacowania ryzyka zdefiniuje nie tylko wskaźnik ryzyka, ale także automatycznie określa poziom bezpieczeństwa dla środków technicznych.
Właśnie z tego powodu firma Leuze zastosowała to rozwiązanie w swojej metodzie HARMONY. Termin HARMONY jest skróconą formą od HAzard Rating for Machinery and prOcess iNdustrY. Metoda ta znajduje zastosowanie w branży automatyki i przemyśle przetwórczym.
HARMONY jest adaptacją metody numerycznej HRN i określa wskaźnik ryzyka poprzez pomnożenie przewidywanej ciężkości szkody dla potencjalnie dotkniętej nią osoby (S), długości czasu trwania narażenia na dane zagrożenie (E), prawdopodobieństwa wystąpienia zagrożenia (O) i możliwości uniknięcia lub ograniczenia szkody (A):
R=S*E*O*A
Zakresy wartości wskaźnika ryzyka R są zdefiniowane w taki sposób, że można im przypisać poziom zapewnienia bezpieczeństwa PLr zgodnie z normą ISO 13849-1 lub poziom bezpieczeństwa SILCL zgodnie z normą IEC 62061. Ilustracja 8 przedstawia to przyporządkowanie.
Podsumowanie
Zgodnie z Dyrektywą Maszynową i zastępującym ją Rozporządzeniem Maszynowym, dla każdej maszyny przed wprowadzeniem jej na rynek należy przeprowadzić ocenę ryzyka, ponieważ w żadnym momencie nie może ona stwarzać zagrożenia.
Podczas dokonywania oceny ryzyka ważne jest przeprowadzenie systematycznych i starannych procedur w celu zidentyfikowania wszystkich zagrożeń. Dopiero po zidentyfikowaniu zagrożenia można podjąć odpowiednie środki w celu zmniejszenia ryzyka. Jest to skomplikowane i czasochłonne. Dostępne są różne metody oceny ryzyka, nie ma jednak wymagań normatywnych. Każda organizacja musi sama znaleźć odpowiednią procedurę. Kryteria wyboru mogą obejmować złożoność zadania, specjalistyczną wiedzę lub preferencje pracowników. Metoda HARMONY zdefiniowana przez Leuze pomaga uprościć proces szacowania ryzyka i zredukować nakład pracy.
Źródło: Leuze