يمكن للآلات ومصانع المعالجة والمعدات الأخرى ، في حالة تعطلها ، أن تشكل مخاطر من الأحداث الخطرة مثل الحرائق والانفجارات والجرعات الزائدة من الإشعاع والأجزاء المتحركة. تتمثل إحدى الطرق التي يمكن أن تتعطل فيها هذه المصانع والمعدات والآلات في حدوث أعطال في الأجهزة الإلكترونية والميكانيكية والإلكترونية والقابلة للبرمجة (E / E / PE) المستخدمة في تصميم أنظمة التحكم أو السلامة الخاصة بها. يمكن أن تنشأ هذه الأعطال إما من العيوب المادية في الجهاز (على سبيل المثال ، من البلى الذي يحدث بشكل عشوائي في الوقت المناسب (أعطال الأجهزة العشوائية)) ؛ أو من أخطاء منهجية (على سبيل المثال ، الأخطاء التي حدثت في مواصفات وتصميم النظام والتي تسبب فشلها بسبب (1) مجموعة معينة من المدخلات ، (2) بعض الظروف البيئية (3) مدخلات غير صحيحة أو غير كاملة من أجهزة الاستشعار ، ( 4) إدخال بيانات غير كامل أو خاطئ من قبل المشغلين ، و (5) أخطاء منهجية محتملة بسبب تصميم الواجهة الرديئة).

أعطال الأنظمة المتعلقة بالسلامة

تتناول هذه المقالة السلامة الوظيفية لأنظمة التحكم المتعلقة بالسلامة ، وتأخذ في الاعتبار المتطلبات التقنية للأجهزة والبرامج اللازمة لتحقيق سلامة السلامة المطلوبة. يتوافق النهج العام مع معيار اللجنة الكهروتقنية الدولية المقترح IEC 1508 ، الجزءان 2 و 3 (IEC 1993). الهدف العام لمشروع المعيار الدولي IEC 1508 ، السلامة الوظيفية: الأنظمة المتعلقة بالسلامة، هو التأكد من أن المصانع والمعدات يمكن أن تكون مؤتمتة للسلامة. يتمثل أحد الأهداف الرئيسية في تطوير المعيار الدولي المقترح في منع أو تقليل تكرار:

• فشل أنظمة التحكم التي تؤدي إلى أحداث أخرى والتي بدورها يمكن أن تؤدي إلى الخطر (على سبيل المثال ، فشل نظام التحكم ، وفقدان السيطرة ، وخروج العملية عن السيطرة مما يؤدي إلى نشوب حريق ، وإطلاق مواد سامة ، وما إلى ذلك)
• فشل في أنظمة الإنذار والمراقبة بحيث لا يتم إعطاء المشغلين معلومات في شكل يمكن تحديده وفهمه بسرعة من أجل تنفيذ إجراءات الطوارئ اللازمة
• أعطال غير مكتشفة في أنظمة الحماية ، مما يجعلها غير متاحة عند الحاجة لإجراء أمان (على سبيل المثال ، بطاقة إدخال فاشلة في نظام الإغلاق في حالات الطوارئ).

تحدد مقالة "الأنظمة الإلكترونية المتعلقة بالسلامة الكهربائية والإلكترونية والقابلة للبرمجة" نهج إدارة السلامة العامة المتجسد في الجزء 1 من IEC 1508 لضمان سلامة أنظمة التحكم والحماية المهمة للسلامة. توضح هذه المقالة التصميم الهندسي المفاهيمي العام المطلوب لتقليل مخاطر وقوع حادث إلى مستوى مقبول ، بما في ذلك دور أي أنظمة تحكم أو حماية تعتمد على تقنية E / E / PE.

في الشكل 1 ، المخاطر من المعدات أو معمل المعالجة أو الآلة (يشار إليها عمومًا باسم المعدات تحت السيطرة (EUC) بدون أجهزة واقية) محدد في أحد طرفي مقياس مخاطر EUC ، والمستوى المستهدف للمخاطر المطلوب لتلبية مستوى الأمان المطلوب في الطرف الآخر. فيما بين ذلك ، يتم عرض مجموعة من الأنظمة المتعلقة بالسلامة ومرافق الحد من المخاطر الخارجية اللازمة لتعويض الحد المطلوب من المخاطر. يمكن أن تكون من أنواع مختلفة - ميكانيكية (على سبيل المثال ، صمامات تنفيس الضغط) ، هيدروليكية ، هوائية ، فيزيائية ، وكذلك أنظمة E / E / PE. يوضح الشكل 2 دور كل طبقة أمان في حماية EUC مع تقدم الحادث.

الشكل 1. تقليل المخاطر: مفاهيم عامة

الشكل 2. النموذج العام: طبقات الحماية

شريطة إجراء تحليل للمخاطر والمخاطر على EUC كما هو مطلوب في الجزء 1 من IEC 1508 ، تم إنشاء التصميم المفاهيمي العام للسلامة وبالتالي الوظائف المطلوبة ومستوى سلامة السلامة (SIL) المستهدف لأي E / E / تم تحديد نظام التحكم أو الحماية PE. يتم تحديد هدف مستوى سلامة السلامة فيما يتعلق بمقياس الفشل المستهدف (انظر الجدول 1).

الجدول 1. مستويات سلامة أنظمة الحماية: تدابير الفشل المستهدفة

سلامة مستوى النزاهة                        طريقة الطلب للعملية (احتمال الفشل في أداء وظيفة التصميم الخاصة بها عند الطلب)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

أنظمة الحماية

تحدد هذه الورقة المتطلبات الفنية التي يجب أن يأخذها مصمم نظام متعلق بالسلامة E / E / PE في الاعتبار لتحقيق هدف مستوى سلامة السلامة المطلوب. ينصب التركيز على نظام حماية نموذجي يستخدم الإلكترونيات القابلة للبرمجة من أجل السماح بمناقشة أكثر تعمقًا للقضايا الرئيسية مع خسارة قليلة بشكل عام. يظهر نظام حماية نموذجي في الشكل 3 ، والذي يصور نظام أمان أحادي القناة مع إيقاف تشغيل ثانوي مفعل عبر جهاز تشخيصي. في التشغيل العادي ، سيتم اكتشاف الحالة غير الآمنة لـ EUC (على سبيل المثال ، السرعة الزائدة في الجهاز ، ودرجة الحرارة العالية في مصنع كيميائي) بواسطة المستشعر ونقلها إلى الإلكترونيات القابلة للبرمجة ، والتي ستصدر أوامر للمشغلات (عبر مرحلات الإخراج) لوضعها النظام في حالة آمنة (على سبيل المثال ، إزالة الطاقة عن المحرك الكهربائي للآلة ، وفتح صمام لتخفيف الضغط).

الشكل 3. نظام الحماية النموذجي

ولكن ماذا لو حدث فشل في مكونات نظام الحماية؟ هذه هي وظيفة إيقاف التشغيل الثانوي ، والتي يتم تنشيطها بواسطة ميزة التشخيص (الفحص الذاتي) لهذا التصميم. ومع ذلك ، فإن النظام ليس آمنًا تمامًا من الفشل ، حيث أن التصميم لديه فقط احتمال معين ليكون متاحًا عند مطالبتك بتنفيذ وظيفة السلامة الخاصة به (لديه احتمال معين للفشل عند الطلب أو مستوى معين من سلامة السلامة). على سبيل المثال ، قد يكون التصميم أعلاه قادرًا على اكتشاف أنواع معينة من فشل بطاقة الإخراج والتعامل معها ، ولكنه لن يكون قادرًا على تحمل فشل بطاقة الإدخال. لذلك ، فإن سلامتها ستكون أقل بكثير من سلامة التصميم الذي يحتوي على بطاقة إدخال ذات موثوقية أعلى ، أو تشخيصات محسنة ، أو مزيج من هذه.

هناك أسباب أخرى محتملة لفشل البطاقة ، بما في ذلك الأعطال المادية "التقليدية" في الأجهزة ، والأخطاء المنهجية بما في ذلك الأخطاء في مواصفات المتطلبات ، وأخطاء التنفيذ في البرنامج والحماية غير الكافية ضد الظروف البيئية (على سبيل المثال ، الرطوبة). قد لا تغطي التشخيصات في هذا التصميم أحادي القناة كل هذه الأنواع من الأخطاء ، وبالتالي فإن هذا سيحد من مستوى سلامة السلامة الذي تم تحقيقه في الممارسة العملية. (التغطية هي مقياس النسبة المئوية للأخطاء التي يمكن للتصميم اكتشافها والتعامل معها بأمان.)

متطلبات تقنية

يوفر الجزءان 2 و 3 من مسودة IEC 1508 إطارًا لتحديد الأسباب المحتملة المختلفة للفشل في الأجهزة والبرامج واختيار ميزات التصميم التي تتغلب على أسباب الفشل المحتملة المناسبة لمستوى سلامة السلامة المطلوب للنظام المرتبط بالسلامة. على سبيل المثال ، يظهر النهج التقني العام لنظام الحماية في الشكل 3 في الشكل 4. ويشير الشكل إلى الاستراتيجيتين الأساسيتين للتغلب على الأخطاء والإخفاقات: (1) تجنب الخطأ، حيث يتم الحرص على منع حدوث العيوب ؛ و 2) التسامح مع الخطأ، حيث تم إنشاء التصميم خصيصًا لتحمل أخطاء محددة. النظام أحادي القناة المذكور أعلاه هو مثال على تصميم (محدود) لتحمل الأخطاء حيث يتم استخدام التشخيص لاكتشاف أخطاء معينة ووضع النظام في حالة آمنة قبل حدوث عطل خطير.

الشكل 4. مواصفات التصميم: حل التصميم

تجنب الخطأ

يحاول تجنب الأعطال منع حدوث أخطاء في النظام. يتمثل النهج الرئيسي في استخدام طريقة منهجية لإدارة المشروع بحيث يتم التعامل مع السلامة على أنها جودة نظام يمكن تحديدها ويمكن إدارتها ، أثناء التصميم ثم بعد ذلك أثناء التشغيل والصيانة. النهج ، الذي يشبه ضمان الجودة ، يعتمد على مفهوم التغذية الراجعة ويتضمن: (1) تخطيط (تحديد أهداف السلامة ، وتحديد السبل والوسائل لتحقيق الأهداف) ؛ (2) قياس الإنجاز مقابل الخطة أثناء التنفيذ و (3) التطبيق ردود الفعل لتصحيح أي انحرافات. مراجعات التصميم هي مثال جيد لتقنية تجنب الخطأ. في المواصفة القياسية IEC 1508 ، يتم تسهيل نهج "الجودة" لتجنب الأخطاء من خلال متطلبات استخدام دورة حياة السلامة واستخدام إجراءات إدارة السلامة لكل من الأجهزة والبرامج. بالنسبة للأخير ، غالبًا ما تظهر هذه الإجراءات كإجراءات لضمان جودة البرامج مثل تلك الموضحة في ISO 9000-3 (1990).

بالإضافة إلى ذلك ، فإن الجزأين 2 و 3 من IEC 1508 (المتعلقان بالأجهزة والبرامج ، على التوالي) يصنفان تقنيات أو تدابير معينة تعتبر مفيدة لتجنب الأخطاء أثناء مراحل دورة حياة السلامة المختلفة. يعطي الجدول 2 مثالاً من الجزء 3 لمرحلة تصميم وتطوير البرنامج. سيستخدم المصمم الجدول للمساعدة في اختيار تقنيات تجنب الأخطاء ، اعتمادًا على مستوى سلامة السلامة المطلوب. مع كل أسلوب أو إجراء في الجداول ، توجد توصية لكل مستوى سلامة سلامة ، من 1 إلى 4. يغطي نطاق التوصيات الموصى به بشدة (HR) ، موصى به (R) ، محايد - لا مع أو ضد (-) وغير موصى به (NR).

الجدول 2. تصميم البرمجيات وتطويرها

الموارد البشرية = موصى به للغاية ؛ R = موصى به ؛ NR = غير موصى به ؛ - = محايد: الأسلوب / الإجراء ليس مع أو ضد SIL.
ملاحظة: يجب اختيار تقنية / مقياس مرقم وفقًا لمستوى سلامة السلامة.

التسامح مع الخطأ

تتطلب المواصفة القياسية IEC 1508 مستويات متزايدة من التسامح مع الخطأ مع زيادة هدف سلامة السلامة. ومع ذلك ، يعترف المعيار بأن التسامح مع الخطأ يكون أكثر أهمية عندما تكون الأنظمة (والمكونات التي تتكون منها تلك الأنظمة) معقدة (تم تحديدها على أنها النوع B في IEC 1508). بالنسبة للأنظمة الأقل تعقيدًا "المثبتة جيدًا" ، يمكن تخفيف درجة تحمل الخطأ.

التسامح ضد أعطال الأجهزة العشوائية

يوضح الجدول 3 متطلبات التسامح مع الأعطال العشوائية للأعطال في مكونات الأجهزة المعقدة (على سبيل المثال ، المعالجات الدقيقة) عند استخدامها في نظام حماية كما هو موضح في الشكل 3. قد يحتاج المصمم إلى التفكير في توليفة مناسبة من التشخيصات والتسامح مع الخطأ و فحوصات إثبات يدوية للتغلب على هذه الفئة من الأخطاء ، اعتمادًا على مستوى سلامة السلامة المطلوب.

الجدول 3. مستوى سلامة السلامة - متطلبات الأعطال لمكونات النوع ب¹

1 يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها من خلال فحص الإثبات.

2 بالنسبة للمكونات التي لا تحتوي على تغطية تشخيص متوسطة عبر الإنترنت ، يجب أن يكون النظام قادرًا على أداء وظيفة الأمان في حالة وجود عطل واحد. يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها عن طريق فحص الإثبات.

3 بالنسبة للمكونات ذات التغطية التشخيصية العالية عبر الإنترنت ، يجب أن يكون النظام قادرًا على أداء وظيفة الأمان في حالة وجود عطل واحد. بالنسبة للمكونات التي لا تحتوي على تغطية تشخيصية عالية عبر الإنترنت ، يجب أن يكون النظام قادرًا على أداء وظيفة السلامة في حالة وجود عيبين. يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها عن طريق فحص الإثبات.

4 يجب أن تكون المكونات قادرة على أداء وظيفة السلامة في حالة وجود عيبين. يجب الكشف عن الأعطال من خلال تغطية تشخيصية عالية عبر الإنترنت. يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها عن طريق فحص الإثبات. يجب أن يعتمد التحليل الكمي للأجهزة على افتراضات أسوأ الحالات.

¹المكونات التي لم يتم تحديد أوضاع فشلها بشكل جيد أو اختبارها ، أو التي توجد بها بيانات فشل ضعيفة من الخبرة الميدانية (على سبيل المثال ، المكونات الإلكترونية القابلة للبرمجة).

تساعد IEC 1508 المصمم من خلال توفير جداول مواصفات التصميم (انظر الجدول 4) مع معلمات التصميم المفهرسة مقابل مستوى سلامة السلامة لعدد من هياكل أنظمة الحماية الشائعة الاستخدام.

الجدول 4. متطلبات سلامة السلامة المستوى 2 - معماريات الأنظمة الإلكترونية القابلة للبرمجة لأنظمة الحماية

يمثل العمود الأول من الجدول معماريات بدرجات متفاوتة من التسامح مع الخطأ. بشكل عام ، تتمتع البنى الموضوعة بالقرب من أسفل الجدول بدرجة أعلى من تحمل الخطأ من تلك الموجودة بالقرب من الجزء العلوي. نظام 1oo2 (واحد من اثنين) قادر على تحمل أي خطأ واحد ، كما هو الحال مع 2oo3.

يصف العمود الثاني النسبة المئوية لتغطية أي تشخيص داخلي. كلما ارتفع مستوى التشخيص ، زادت الأخطاء التي سيتم اكتشافها. يعد هذا أمرًا مهمًا في نظام الحماية لأنه ، بشرط إصلاح المكون المعيب (على سبيل المثال ، بطاقة الإدخال) في غضون فترة زمنية معقولة (غالبًا 8 ساعات) ، يكون هناك القليل من الخسارة في السلامة الوظيفية. (ملاحظة: لن يكون هذا هو الحال بالنسبة لنظام التحكم المستمر ، لأن أي خطأ من المحتمل أن يتسبب في حالة غير آمنة على الفور واحتمال وقوع حادث.)

يُظهر العمود الثالث الفترة الفاصلة بين اختبارات الإثبات. هذه اختبارات خاصة يجب إجراؤها لممارسة نظام الحماية بدقة لضمان عدم وجود أخطاء كامنة. عادةً ما يتم تنفيذ ذلك من قبل بائع المعدات أثناء فترات إيقاف تشغيل المصنع.

يُظهر العمود الرابع معدل الرحلة الزائفة. الرحلة الزائفة هي التي تتسبب في إغلاق المصنع أو المعدات في حالة عدم وجود انحراف في العملية. غالبًا ما يكون سعر الأمان هو معدل رحلة زائفة أعلى. نظام حماية بسيط زائد عن الحاجة - 1oo2 - لديه ، مع عدم تغيير جميع عوامل التصميم الأخرى ، مستوى سلامة سلامة أعلى ولكن أيضًا معدل رحلة زائفة أعلى من نظام أحادي القناة (1oo1).

إذا لم يتم استخدام إحدى البنى الموجودة في الجدول أو إذا أراد المصمم إجراء تحليل أكثر جوهرية ، فإن IEC 1508 يسمح بهذا البديل. يمكن بعد ذلك استخدام تقنيات هندسة الموثوقية مثل نمذجة ماركوف لحساب عنصر الأجهزة لمستوى سلامة السلامة (جونسون 1989 ؛ جوبل 1992).

التسامح ضد الفشل المنهجي والشائع

تعتبر فئة الفشل هذه مهمة جدًا في أنظمة السلامة وهي العامل المحدد لتحقيق سلامة السلامة. في نظام فائض عن الحاجة ، يتم تكرار مكون أو نظام فرعي ، أو حتى النظام بأكمله ، لتحقيق موثوقية عالية من الأجزاء منخفضة الموثوقية. يحدث تحسين الموثوقية ، من الناحية الإحصائية ، لأن فرصة فشل نظامين في وقت واحد من خلال أخطاء عشوائية ستكون نتاج موثوقية الأنظمة الفردية ، وبالتالي أقل بكثير. من ناحية أخرى ، تتسبب أخطاء الأسباب المنهجية والشائعة في فشل الأنظمة الزائدة عن الحاجة بشكل متزامن عندما ، على سبيل المثال ، يؤدي خطأ في المواصفات في البرنامج إلى فشل الأجزاء المكررة في نفس الوقت. مثال آخر هو فشل مصدر طاقة مشترك لنظام فائض عن الحاجة.

يوفر IEC 1508 جداول للتقنيات الهندسية المصنفة مقابل مستوى سلامة السلامة الذي يعتبر فعالًا في توفير الحماية ضد حالات الفشل المنهجية والشائعة.

من الأمثلة على التقنيات التي توفر دفاعات ضد الإخفاقات المنهجية التنوع والتكرار التحليلي. أساس التنوع هو أنه إذا قام المصمم بتنفيذ قناة ثانية في نظام فائض عن الحاجة باستخدام تقنية أو لغة برمجية مختلفة ، فيمكن اعتبار الأخطاء في القنوات الزائدة مستقلة (أي احتمال ضئيل للفشل العرضي). ومع ذلك ، لا سيما في مجال الأنظمة القائمة على البرمجيات ، هناك بعض الاقتراحات بأن هذه التقنية قد لا تكون فعالة ، حيث أن معظم الأخطاء تكمن في المواصفات. يحاول التكرار التحليلي استغلال المعلومات الزائدة في المصنع أو الجهاز لتحديد الأعطال. بالنسبة للأسباب الأخرى للفشل المنهجي - على سبيل المثال ، الضغوط الخارجية - يوفر المعيار جداول تقدم نصائح حول الممارسات الهندسية الجيدة (على سبيل المثال ، فصل الإشارة وكابلات الطاقة) المصنفة مقابل مستوى سلامة السلامة.

استنتاجات

توفر الأنظمة المعتمدة على الكمبيوتر العديد من المزايا - ليس فقط من الناحية الاقتصادية ، ولكن أيضًا إمكانية تحسين السلامة. ومع ذلك ، فإن الاهتمام بالتفاصيل المطلوبة لتحقيق هذه الإمكانات أكبر بكثير مما هو عليه الحال عند استخدام مكونات النظام التقليدية. حددت هذه المقالة المتطلبات التقنية الرئيسية التي يجب على المصمم مراعاتها لاستغلال هذه التقنية بنجاح.

الرجوع

تتناول هذه المقالة تصميم وتنفيذ أنظمة التحكم المتعلقة بالسلامة والتي تتعامل مع جميع أنواع الأنظمة الكهربائية والإلكترونية والإلكترونية القابلة للبرمجة (بما في ذلك الأنظمة المعتمدة على الكمبيوتر). النهج العام يتوافق مع المعيار المقترح للجنة الكهروتقنية الدولية (IEC) 1508 (السلامة الوظيفية: متعلقة بالسلامة 

أنظمة) (اللجنة الكهروتقنية الدولية 1993).

خلفيّة

خلال الثمانينيات من القرن الماضي ، تم استخدام الأنظمة المعتمدة على الكمبيوتر - والتي يشار إليها عمومًا باسم الأنظمة الإلكترونية القابلة للبرمجة (PESs) - بشكل متزايد لتنفيذ وظائف السلامة. كانت القوى الدافعة الأساسية وراء هذا الاتجاه هي (1980) تحسين الوظائف والفوائد الاقتصادية (لا سيما بالنظر إلى دورة الحياة الإجمالية للجهاز أو النظام) و (1) الفائدة الخاصة لبعض التصميمات ، والتي لا يمكن تحقيقها إلا عند استخدام تكنولوجيا الكمبيوتر . خلال التقديم المبكر للأنظمة الحاسوبية ، تم التوصل إلى عدد من النتائج:

• كان إدخال التحكم في الكمبيوتر مدروسًا ومخططًا بشكل سيئ.
• تم تحديد متطلبات سلامة غير كافية.
• تم تطوير إجراءات غير كافية فيما يتعلق بالتحقق من صحة البرمجيات.
• تم الكشف عن دليل على سوء الصنعة فيما يتعلق بمعيار تركيب المصنع.
• تم إنشاء وثائق غير كافية ولم يتم التحقق من صحتها بشكل كاف فيما يتعلق بما كان موجودًا بالفعل في المصنع (بخلاف ما كان يعتقد أنه موجود في المصنع).
• تم وضع إجراءات تشغيل وصيانة أقل من الفعالية الكاملة.
• ومن الواضح أنه كان هناك قلق مبرر بشأن أهلية الأشخاص لأداء الواجبات المطلوبة منهم.

من أجل حل هذه المشاكل ، نشرت عدة هيئات أو بدأت في تطوير مبادئ توجيهية لتمكين الاستغلال الآمن لتكنولوجيا PES. في المملكة المتحدة ، وضع مسؤول الصحة والسلامة (HSE) إرشادات للأنظمة الإلكترونية القابلة للبرمجة المستخدمة في التطبيقات المتعلقة بالسلامة ، وفي ألمانيا ، تم نشر مسودة معيار (DIN 1990). داخل المجتمع الأوروبي ، بدأ عنصر مهم في العمل على المعايير الأوروبية المنسقة المعنية بأنظمة التحكم المتعلقة بالسلامة (بما في ذلك تلك التي تستخدم PESs) فيما يتعلق بمتطلبات توجيه الآلات. في الولايات المتحدة ، أنتجت جمعية الأدوات الأمريكية (ISA) معيارًا بشأن PESs لاستخدامه في الصناعات العملية ، وأصدر مركز سلامة العمليات الكيميائية (CCPS) ، وهو أحد مديريات المعهد الأمريكي للمهندسين الكيميائيين ، إرشادات لقطاع العمليات الكيميائية.

تجري حاليًا مبادرة معايير رئيسية داخل اللجنة الكهروتقنية الدولية (IEC) لتطوير معيار دولي قائم على أساس عام للأنظمة المتعلقة بالسلامة الكهربائية والإلكترونية والإلكترونية القابلة للبرمجة (E / E / PES) والتي يمكن استخدامها من قبل العديد من قطاعات التطبيقات ، بما في ذلك العملية ، القطاعات الطبية والنقل والآلات. يتألف المعيار الدولي IEC المقترح من سبعة أجزاء تحت العنوان العام IEC 1508. السلامة الوظيفية للأنظمة الإلكترونية ذات الصلة بالسلامة الكهربائية / الإلكترونية / القابلة للبرمجة. الأجزاء المختلفة كالتالي:

• الجزء 1. المتطلبات العامة
• الجزء الثاني: اشتراطات الأنظمة الإلكترونية والكهربائية والإلكترونية القابلة للبرمجة
• الجزء 3. متطلبات البرامج
• الجزء 4. التعاريف
• الجزء 5. أمثلة على طرق تحديد مستويات سلامة السلامة
• الجزء 6. إرشادات حول تطبيق الجزأين 2 و 3
• الجزء 7. نظرة عامة على التقنيات والتدابير.

عند الانتهاء ، ستشكل هذه المواصفة القياسية الدولية بشكل عام منشور أمان أساسي IEC يغطي السلامة الوظيفية للأنظمة الإلكترونية ذات الصلة بالسلامة الكهربائية والإلكترونية والقابلة للبرمجة وستكون لها آثار على جميع معايير IEC ، التي تغطي جميع قطاعات التطبيق فيما يتعلق بالتصميم والاستخدام المستقبلي لـ الأنظمة الإلكترونية المتعلقة بالسلامة الكهربائية / الإلكترونية / القابلة للبرمجة. الهدف الرئيسي للمعيار المقترح هو تسهيل تطوير المعايير للقطاعات المختلفة (انظر الشكل 1).

الشكل 1. معايير القطاع العام والتطبيقي

فوائد ومشاكل PES

كان لاعتماد PESs لأغراض السلامة العديد من المزايا المحتملة ، ولكن تم الاعتراف بأنها لن تتحقق إلا إذا تم استخدام منهجيات التصميم والتقييم المناسبة ، لأن: (1) العديد من ميزات PES لا تمكن سلامة السلامة (أن هو أن أداء السلامة للأنظمة التي تقوم بوظائف السلامة المطلوبة) يمكن التنبؤ به بنفس درجة الثقة التي كانت متاحة تقليديًا للأنظمة القائمة على الأجهزة ("الصلبة") الأقل تعقيدًا ؛ (2) تم الاعتراف بأنه في حين أن الاختبار كان ضروريًا للأنظمة المعقدة ، إلا أنه لم يكن كافياً بمفرده. وهذا يعني أنه حتى لو كانت PES تنفذ وظائف أمان بسيطة نسبيًا ، فإن مستوى تعقيد الإلكترونيات القابلة للبرمجة كان أكبر بكثير من مستوى تعقيد الأنظمة الصلبة التي كانت تستبدلها ؛ و (3) هذا الارتفاع في التعقيد يعني أن منهجيات التصميم والتقييم يجب أن تحظى بمزيد من الاهتمام أكثر من السابق ، وأن مستوى الكفاءة الشخصية المطلوب لتحقيق مستويات مناسبة من أداء الأنظمة المتعلقة بالسلامة كان أكبر لاحقًا.

تشمل فوائد PES المستندة إلى الكمبيوتر ما يلي:

• القدرة على إجراء فحوصات إثبات تشخيصية عبر الإنترنت على المكونات الحرجة بتردد أعلى بكثير مما يمكن أن يكون عليه الحال بخلاف ذلك
• إمكانية توفير أقفال أمان متطورة
• القدرة على توفير وظائف التشخيص ومراقبة الحالة التي يمكن استخدامها لتحليل وتقديم تقرير عن أداء المصنع والآلات في الوقت الفعلي
• القدرة على مقارنة الظروف الفعلية للمصنع مع ظروف النموذج "المثالي"
• إمكانية توفير معلومات أفضل للمشغلين وبالتالي تحسين عملية صنع القرار التي تؤثر على السلامة
• استخدام استراتيجيات التحكم المتقدمة لتمكين المشغلين البشريين من التواجد بعيدًا عن البيئات الخطرة أو المعادية
• القدرة على تشخيص نظام التحكم من مكان بعيد.

يخلق استخدام الأنظمة المعتمدة على الكمبيوتر في التطبيقات المتعلقة بالسلامة عددًا من المشكلات التي تحتاج إلى معالجة مناسبة ، مثل ما يلي:

• إن أوضاع الفشل معقدة ولا يمكن التنبؤ بها دائمًا.
• يعد اختبار الكمبيوتر ضروريًا ولكنه ليس كافيًا في حد ذاته لإثبات أن وظائف السلامة سيتم تنفيذها بدرجة اليقين المطلوبة للتطبيق.
• قد تحتوي المعالجات الدقيقة على اختلافات طفيفة بين الدُفعات المختلفة ، وبالتالي قد تعرض الدُفعات المختلفة سلوكًا مختلفًا.
• الأنظمة القائمة على الكمبيوتر غير المحمية معرضة بشكل خاص للتداخل الكهربائي (التداخل المشع ؛ "المسامير" الكهربائية في إمدادات التيار الكهربائي ، والتفريغ الكهروستاتيكي ، وما إلى ذلك).
• من الصعب وغالباً من المستحيل تحديد احتمالية فشل الأنظمة المعقدة المتعلقة بالسلامة التي تتضمن برمجيات. نظرًا لعدم قبول أي طريقة للقياس الكمي على نطاق واسع ، فقد اعتمد ضمان البرامج على الإجراءات والمعايير التي تصف الأساليب التي سيتم استخدامها في تصميم وتنفيذ وصيانة البرامج.

أنظمة السلامة قيد النظر

أنواع الأنظمة المتعلقة بالسلامة قيد الدراسة هي أنظمة إلكترونية كهربائية وإلكترونية وقابلة للبرمجة (E / E / PESs). يشتمل النظام على جميع العناصر ، لا سيما الإشارات الممتدة من أجهزة الاستشعار أو من أجهزة الإدخال الأخرى على الجهاز الخاضع للسيطرة ، والتي يتم إرسالها عبر طرق البيانات السريعة أو مسارات الاتصال الأخرى إلى المشغلات أو أجهزة الإخراج الأخرى (انظر الشكل 2).

الشكل 2 - النظام الإلكتروني الكهربائي والإلكتروني والقابل للبرمجة (E / E / PES)

على المدى الأجهزة الإلكترونية الكهربائية والإلكترونية والقابلة للبرمجة تم استخدامه ليشمل مجموعة متنوعة من الأجهزة ويغطي الفئات الرئيسية الثلاثة التالية:

1. الأجهزة الكهربائية مثل المرحلات الكهروميكانيكية
2. الأجهزة الإلكترونية مثل الأدوات الإلكترونية ذات الحالة الصلبة وأنظمة المنطق
3. الأجهزة الإلكترونية القابلة للبرمجة ، والتي تضم مجموعة متنوعة من الأنظمة المعتمدة على الكمبيوتر مثل ما يلي:

• المعالجات
• أجهزة تحكم دقيقة
• أجهزة التحكم القابلة للبرمجة (أجهزة الكمبيوتر)
• الدوائر المتكاملة الخاصة بالتطبيقات (ASICs)
• وحدات التحكم المنطقية القابلة للبرمجة (PLCs)
• أجهزة الكمبيوتر الأخرى (مثل أجهزة الاستشعار وأجهزة الإرسال والمشغلات "الذكية").

بحكم التعريف ، يخدم النظام المرتبط بالسلامة غرضين:

1. يقوم بتنفيذ وظائف السلامة المطلوبة اللازمة لتحقيق حالة آمنة للمعدات الخاضعة للسيطرة أو الحفاظ على الحالة الآمنة للمعدات تحت السيطرة. يجب أن يؤدي النظام المرتبط بالسلامة وظائف السلامة المحددة في مواصفات متطلبات وظائف السلامة للنظام. على سبيل المثال ، قد تنص مواصفات متطلبات وظائف السلامة على أنه عندما تصل درجة الحرارة إلى قيمة معينة x، صمام y يجب أن تفتح للسماح بدخول الماء إلى الوعاء.
2. يحقق ، بمفرده أو مع الأنظمة الأخرى المتعلقة بالسلامة ، المستوى الضروري من سلامة السلامة لتنفيذ وظائف السلامة المطلوبة. يجب أن يتم تنفيذ وظائف السلامة بواسطة الأنظمة المتعلقة بالسلامة بدرجة الثقة المناسبة للتطبيق من أجل تحقيق المستوى المطلوب من الأمان للمعدات الخاضعة للسيطرة.

هذا المفهوم موضح في الشكل 3.

الشكل 3. السمات الرئيسية للأنظمة المتعلقة بالسلامة

فشل النظام

من أجل ضمان التشغيل الآمن للأنظمة المتعلقة بالسلامة E / E / PES ، من الضروري التعرف على الأسباب المحتملة المختلفة لفشل النظام المرتبط بالسلامة والتأكد من اتخاذ الاحتياطات المناسبة ضد كل منها. يتم تصنيف حالات الفشل إلى فئتين ، كما هو موضح في الشكل 4.

الشكل 4. فئات الفشل

1. أعطال الأجهزة العشوائية هي تلك الأعطال التي تنتج عن مجموعة متنوعة من آليات التدهور العادية في الأجهزة. هناك العديد من هذه الآليات التي تحدث بمعدلات مختلفة في مكونات مختلفة ، وبما أن تفاوتات التصنيع تتسبب في فشل المكونات بسبب هذه الآليات بعد أوقات مختلفة من التشغيل ، فإن حالات فشل عنصر إجمالي من المعدات التي تشتمل على العديد من المكونات تحدث في أوقات غير متوقعة (عشوائية). تعتبر مقاييس موثوقية النظام ، مثل متوسط ​​الوقت بين الأعطال (MTBF) ، ذات قيمة ولكنها عادةً ما تهتم فقط بفشل الأجهزة العشوائي ولا تشمل حالات الفشل المنهجية.
2. تنشأ الإخفاقات المنهجية من أخطاء في تصميم أو بناء أو استخدام نظام مما يؤدي إلى فشله في ظل مجموعة معينة من المدخلات أو في ظل ظروف بيئية معينة. في حالة حدوث فشل في النظام عند ظهور مجموعة معينة من الظروف ، فعند ظهور هذه الظروف في المستقبل ، سيكون هناك دائمًا فشل في النظام. أي فشل في نظام متعلق بالسلامة لا ينشأ عن عطل عشوائي في الأجهزة هو ، بحكم التعريف ، فشل منهجي. تشمل حالات الفشل المنهجية ، في سياق الأنظمة المتعلقة بالسلامة E / E / PES ، ما يلي:

• فشل منهجي بسبب أخطاء أو سهو في مواصفات متطلبات وظائف السلامة
• فشل منهجي بسبب أخطاء في تصميم أو تصنيع أو تركيب أو تشغيل الأجهزة. قد تشمل هذه الإخفاقات الناشئة عن الأسباب البيئية والخطأ البشري (على سبيل المثال ، عامل التشغيل)
• فشل منهجي بسبب أخطاء في البرنامج
• فشل منهجي بسبب أخطاء الصيانة والتعديل.

حماية الأنظمة المتعلقة بالسلامة

المصطلحات المستخدمة للإشارة إلى التدابير الاحترازية التي يتطلبها نظام متعلق بالسلامة للحماية من أعطال الأجهزة العشوائية والفشل المنهجي هي إجراءات سلامة الأجهزة و إجراءات سلامة السلامة المنهجية على التوالى. توصف التدابير الاحترازية التي يمكن أن يتخذها نظام متعلق بالسلامة لمواجهة كل من أعطال الأجهزة العشوائية والفشل المنهجي سلامة السلامة. هذه المفاهيم موضحة في الشكل 5.

الشكل 5. شروط أداء السلامة

ضمن المعيار الدولي المقترح IEC 1508 ، هناك أربعة مستويات لسلامة السلامة ، يُشار إليها بمستويات سلامة السلامة 1 و 2 و 3 و 4. المستوى 1 من سلامة السلامة هو أدنى مستوى لسلامة السلامة ومستوى سلامة السلامة 4 هو الأعلى. يعتمد مستوى سلامة السلامة (سواء 1 أو 2 أو 3 أو 4) للنظام المتعلق بالسلامة على أهمية الدور الذي يلعبه النظام المرتبط بالسلامة في تحقيق المستوى المطلوب من الأمان للمعدات الخاضعة للتحكم. قد يكون من الضروري وجود العديد من الأنظمة المتعلقة بالسلامة - قد يعتمد بعضها على تقنية تعمل بالهواء المضغوط أو هيدروليكي.

تصميم الأنظمة المتعلقة بالسلامة

وجد تحليل حديث لـ 34 حادثة تتعلق بأنظمة التحكم (HSE) أن 60٪ من جميع حالات الفشل قد "تم بناؤها" قبل استخدام نظام التحكم المتعلق بالسلامة (الشكل 7). يعتبر النظر في جميع مراحل دورة حياة السلامة أمرًا ضروريًا إذا كان سيتم إنتاج أنظمة مناسبة متعلقة بالسلامة.

الشكل 7. السبب الرئيسي (حسب المرحلة) لفشل نظام التحكم

لا تعتمد السلامة الوظيفية للأنظمة المتعلقة بالسلامة على ضمان تحديد المتطلبات الفنية بشكل صحيح فحسب ، بل تعتمد أيضًا على ضمان تنفيذ المتطلبات الفنية بشكل فعال والحفاظ على سلامة التصميم الأولية طوال عمر المعدات. لا يمكن تحقيق ذلك إلا في حالة وجود نظام فعال لإدارة السلامة وكان الأشخاص المشاركون في أي نشاط مؤهلين فيما يتعلق بالواجبات التي يتعين عليهم القيام بها. على وجه الخصوص في حالة وجود أنظمة معقدة متعلقة بالسلامة ، من الضروري وجود نظام مناسب لإدارة السلامة. يؤدي هذا إلى إستراتيجية تضمن ما يلي:

• وجود نظام فعال لإدارة السلامة.
• المتطلبات الفنية المحددة للأنظمة المتعلقة بالسلامة E / E / PES كافية للتعامل مع كل من أسباب الأعطال النظامية والأجهزة العشوائية.
• كفاءة الأشخاص المعنيين كافية للواجبات التي يتعين عليهم القيام بها.

من أجل تلبية جميع المتطلبات الفنية ذات الصلة للسلامة الوظيفية بطريقة منهجية ، تم تطوير مفهوم دورة حياة السلامة. تظهر نسخة مبسطة من دورة حياة السلامة في المعيار الدولي الناشئ IEC 1508 في الشكل 8. المراحل الرئيسية لدورة حياة السلامة هي:

الشكل 8. دور دورة حياة السلامة في تحقيق السلامة الوظيفية

• مواصفة
• تصميم و تنفيذ
• التركيب والتشغيل
• التشغيل والصيانة
• التغييرات بعد التكليف.

مستوى الأمان

يوضح الشكل 9 والشكل 10. استراتيجية التصميم لتحقيق مستويات كافية من سلامة الأنظمة المتعلقة بالسلامة. يستند مستوى سلامة السلامة إلى الدور الذي يلعبه النظام المتصل بالسلامة في تحقيق المستوى العام من سلامة المعدات تحت السيطرة. يحدد مستوى سلامة السلامة الاحتياطات التي يجب مراعاتها في التصميم ضد كل من الأعطال العشوائية للأجهزة والفشل المنهجي.

الشكل 9. دور مستويات سلامة السلامة في عملية التصميم

الشكل 10. دور دورة حياة السلامة في المواصفات وعملية التصميم

ينطبق مفهوم الأمان ومستوى الأمان على المعدات الخاضعة للتحكم. ينطبق مفهوم السلامة الوظيفية على الأنظمة المتعلقة بالسلامة. يجب تحقيق السلامة الوظيفية للأنظمة المتعلقة بالسلامة إذا أريد تحقيق مستوى مناسب من السلامة للمعدات التي تؤدي إلى ظهور الخطر. يعد المستوى المحدد للسلامة لموقف معين عاملاً رئيسياً في مواصفات متطلبات سلامة السلامة للأنظمة المتعلقة بالسلامة.

سيعتمد مستوى الأمان المطلوب على العديد من العوامل - على سبيل المثال ، شدة الإصابة وعدد الأشخاص المعرضين للخطر وتكرار تعرض الأشخاص للخطر ومدة التعرض. ستكون العوامل المهمة هي تصور وآراء أولئك المعرضين للحدث الخطير. للوصول إلى ما يشكل مستوى مناسبًا من الأمان لتطبيق معين ، يتم النظر في عدد من المدخلات ، والتي تشمل ما يلي:

• المتطلبات القانونية ذات الصلة بالتطبيق المحدد
• إرشادات من هيئة تنظيم السلامة المناسبة
• المناقشات والاتفاقيات مع مختلف الأطراف المشاركة في التطبيق
• معايير الصناعة
• المعايير الوطنية والدولية
• أفضل مشورة صناعية وخبيرة وعلمية مستقلة.

نبذة عامة

عند تصميم واستخدام الأنظمة المتعلقة بالسلامة ، يجب أن نتذكر أن المعدات الخاضعة للتحكم هي التي تخلق المخاطر المحتملة. تم تصميم الأنظمة المتعلقة بالسلامة لتقليل تكرار (أو احتمالية) الحدث الخطير و / أو عواقب الحدث الخطير. بمجرد تعيين مستوى الأمان للمعدات ، يمكن تحديد مستوى سلامة السلامة للنظام المرتبط بالسلامة ، وهو مستوى سلامة السلامة الذي يسمح للمصمم بتحديد الاحتياطات التي يجب تضمينها في التصميم من أجل يتم نشرها ضد كل من الأعطال العشوائية للأجهزة والفشل المنهجي.

الرجوع