العنوان مسؤول الصحة والسلامة ، Bootle Merseyside L20 3QZ
الدولة: المملكة المتحدة
الهاتف 44 151 951 3432
Fax 44 151 9513418
البريد الإلكتروني: john.brazendale@hse.gov.uk
التعليم: البكالوريوس ، 1976 ؛ ماجستير ، 1989
مجالات الاهتمام: أنظمة التحكم المتعلقة بالسلامة
يمكن للآلات ومصانع المعالجة والمعدات الأخرى ، في حالة تعطلها ، أن تشكل مخاطر من الأحداث الخطرة مثل الحرائق والانفجارات والجرعات الزائدة من الإشعاع والأجزاء المتحركة. تتمثل إحدى الطرق التي يمكن أن تتعطل فيها هذه المصانع والمعدات والآلات في حدوث أعطال في الأجهزة الإلكترونية والميكانيكية والإلكترونية والقابلة للبرمجة (E / E / PE) المستخدمة في تصميم أنظمة التحكم أو السلامة الخاصة بها. يمكن أن تنشأ هذه الأعطال إما من العيوب المادية في الجهاز (على سبيل المثال ، من البلى الذي يحدث بشكل عشوائي في الوقت المناسب (أعطال الأجهزة العشوائية)) ؛ أو من أخطاء منهجية (على سبيل المثال ، الأخطاء التي حدثت في مواصفات وتصميم النظام والتي تسبب فشلها بسبب (1) مجموعة معينة من المدخلات ، (2) بعض الظروف البيئية (3) مدخلات غير صحيحة أو غير كاملة من أجهزة الاستشعار ، ( 4) إدخال بيانات غير كامل أو خاطئ من قبل المشغلين ، و (5) أخطاء منهجية محتملة بسبب تصميم الواجهة الرديئة).
أعطال الأنظمة المتعلقة بالسلامة
تتناول هذه المقالة السلامة الوظيفية لأنظمة التحكم المتعلقة بالسلامة ، وتأخذ في الاعتبار المتطلبات التقنية للأجهزة والبرامج اللازمة لتحقيق سلامة السلامة المطلوبة. يتوافق النهج العام مع معيار اللجنة الكهروتقنية الدولية المقترح IEC 1508 ، الجزءان 2 و 3 (IEC 1993). الهدف العام لمشروع المعيار الدولي IEC 1508 ، السلامة الوظيفية: الأنظمة المتعلقة بالسلامة، هو التأكد من أن المصانع والمعدات يمكن أن تكون مؤتمتة للسلامة. يتمثل أحد الأهداف الرئيسية في تطوير المعيار الدولي المقترح في منع أو تقليل تكرار:
تحدد مقالة "الأنظمة الإلكترونية المتعلقة بالسلامة الكهربائية والإلكترونية والقابلة للبرمجة" نهج إدارة السلامة العامة المتجسد في الجزء 1 من IEC 1508 لضمان سلامة أنظمة التحكم والحماية المهمة للسلامة. توضح هذه المقالة التصميم الهندسي المفاهيمي العام المطلوب لتقليل مخاطر وقوع حادث إلى مستوى مقبول ، بما في ذلك دور أي أنظمة تحكم أو حماية تعتمد على تقنية E / E / PE.
في الشكل 1 ، المخاطر من المعدات أو معمل المعالجة أو الآلة (يشار إليها عمومًا باسم المعدات تحت السيطرة (EUC) بدون أجهزة واقية) محدد في أحد طرفي مقياس مخاطر EUC ، والمستوى المستهدف للمخاطر المطلوب لتلبية مستوى الأمان المطلوب في الطرف الآخر. فيما بين ذلك ، يتم عرض مجموعة من الأنظمة المتعلقة بالسلامة ومرافق الحد من المخاطر الخارجية اللازمة لتعويض الحد المطلوب من المخاطر. يمكن أن تكون من أنواع مختلفة - ميكانيكية (على سبيل المثال ، صمامات تنفيس الضغط) ، هيدروليكية ، هوائية ، فيزيائية ، وكذلك أنظمة E / E / PE. يوضح الشكل 2 دور كل طبقة أمان في حماية EUC مع تقدم الحادث.
الشكل 1. تقليل المخاطر: مفاهيم عامة
الشكل 2. النموذج العام: طبقات الحماية
شريطة إجراء تحليل للمخاطر والمخاطر على EUC كما هو مطلوب في الجزء 1 من IEC 1508 ، تم إنشاء التصميم المفاهيمي العام للسلامة وبالتالي الوظائف المطلوبة ومستوى سلامة السلامة (SIL) المستهدف لأي E / E / تم تحديد نظام التحكم أو الحماية PE. يتم تحديد هدف مستوى سلامة السلامة فيما يتعلق بمقياس الفشل المستهدف (انظر الجدول 1).
الجدول 1. مستويات سلامة أنظمة الحماية: تدابير الفشل المستهدفة
سلامة مستوى النزاهة طريقة الطلب للعملية (احتمال الفشل في أداء وظيفة التصميم الخاصة بها عند الطلب)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
أنظمة الحماية
تحدد هذه الورقة المتطلبات الفنية التي يجب أن يأخذها مصمم نظام متعلق بالسلامة E / E / PE في الاعتبار لتحقيق هدف مستوى سلامة السلامة المطلوب. ينصب التركيز على نظام حماية نموذجي يستخدم الإلكترونيات القابلة للبرمجة من أجل السماح بمناقشة أكثر تعمقًا للقضايا الرئيسية مع خسارة قليلة بشكل عام. يظهر نظام حماية نموذجي في الشكل 3 ، والذي يصور نظام أمان أحادي القناة مع إيقاف تشغيل ثانوي مفعل عبر جهاز تشخيصي. في التشغيل العادي ، سيتم اكتشاف الحالة غير الآمنة لـ EUC (على سبيل المثال ، السرعة الزائدة في الجهاز ، ودرجة الحرارة العالية في مصنع كيميائي) بواسطة المستشعر ونقلها إلى الإلكترونيات القابلة للبرمجة ، والتي ستصدر أوامر للمشغلات (عبر مرحلات الإخراج) لوضعها النظام في حالة آمنة (على سبيل المثال ، إزالة الطاقة عن المحرك الكهربائي للآلة ، وفتح صمام لتخفيف الضغط).
الشكل 3. نظام الحماية النموذجي
ولكن ماذا لو حدث فشل في مكونات نظام الحماية؟ هذه هي وظيفة إيقاف التشغيل الثانوي ، والتي يتم تنشيطها بواسطة ميزة التشخيص (الفحص الذاتي) لهذا التصميم. ومع ذلك ، فإن النظام ليس آمنًا تمامًا من الفشل ، حيث أن التصميم لديه فقط احتمال معين ليكون متاحًا عند مطالبتك بتنفيذ وظيفة السلامة الخاصة به (لديه احتمال معين للفشل عند الطلب أو مستوى معين من سلامة السلامة). على سبيل المثال ، قد يكون التصميم أعلاه قادرًا على اكتشاف أنواع معينة من فشل بطاقة الإخراج والتعامل معها ، ولكنه لن يكون قادرًا على تحمل فشل بطاقة الإدخال. لذلك ، فإن سلامتها ستكون أقل بكثير من سلامة التصميم الذي يحتوي على بطاقة إدخال ذات موثوقية أعلى ، أو تشخيصات محسنة ، أو مزيج من هذه.
هناك أسباب أخرى محتملة لفشل البطاقة ، بما في ذلك الأعطال المادية "التقليدية" في الأجهزة ، والأخطاء المنهجية بما في ذلك الأخطاء في مواصفات المتطلبات ، وأخطاء التنفيذ في البرنامج والحماية غير الكافية ضد الظروف البيئية (على سبيل المثال ، الرطوبة). قد لا تغطي التشخيصات في هذا التصميم أحادي القناة كل هذه الأنواع من الأخطاء ، وبالتالي فإن هذا سيحد من مستوى سلامة السلامة الذي تم تحقيقه في الممارسة العملية. (التغطية هي مقياس النسبة المئوية للأخطاء التي يمكن للتصميم اكتشافها والتعامل معها بأمان.)
متطلبات تقنية
يوفر الجزءان 2 و 3 من مسودة IEC 1508 إطارًا لتحديد الأسباب المحتملة المختلفة للفشل في الأجهزة والبرامج واختيار ميزات التصميم التي تتغلب على أسباب الفشل المحتملة المناسبة لمستوى سلامة السلامة المطلوب للنظام المرتبط بالسلامة. على سبيل المثال ، يظهر النهج التقني العام لنظام الحماية في الشكل 3 في الشكل 4. ويشير الشكل إلى الاستراتيجيتين الأساسيتين للتغلب على الأخطاء والإخفاقات: (1) تجنب الخطأ، حيث يتم الحرص على منع حدوث العيوب ؛ و 2) التسامح مع الخطأ، حيث تم إنشاء التصميم خصيصًا لتحمل أخطاء محددة. النظام أحادي القناة المذكور أعلاه هو مثال على تصميم (محدود) لتحمل الأخطاء حيث يتم استخدام التشخيص لاكتشاف أخطاء معينة ووضع النظام في حالة آمنة قبل حدوث عطل خطير.
الشكل 4. مواصفات التصميم: حل التصميم
تجنب الخطأ
يحاول تجنب الأعطال منع حدوث أخطاء في النظام. يتمثل النهج الرئيسي في استخدام طريقة منهجية لإدارة المشروع بحيث يتم التعامل مع السلامة على أنها جودة نظام يمكن تحديدها ويمكن إدارتها ، أثناء التصميم ثم بعد ذلك أثناء التشغيل والصيانة. النهج ، الذي يشبه ضمان الجودة ، يعتمد على مفهوم التغذية الراجعة ويتضمن: (1) تخطيط (تحديد أهداف السلامة ، وتحديد السبل والوسائل لتحقيق الأهداف) ؛ (2) قياس الإنجاز مقابل الخطة أثناء التنفيذ و (3) التطبيق ردود الفعل لتصحيح أي انحرافات. مراجعات التصميم هي مثال جيد لتقنية تجنب الخطأ. في المواصفة القياسية IEC 1508 ، يتم تسهيل نهج "الجودة" لتجنب الأخطاء من خلال متطلبات استخدام دورة حياة السلامة واستخدام إجراءات إدارة السلامة لكل من الأجهزة والبرامج. بالنسبة للأخير ، غالبًا ما تظهر هذه الإجراءات كإجراءات لضمان جودة البرامج مثل تلك الموضحة في ISO 9000-3 (1990).
بالإضافة إلى ذلك ، فإن الجزأين 2 و 3 من IEC 1508 (المتعلقان بالأجهزة والبرامج ، على التوالي) يصنفان تقنيات أو تدابير معينة تعتبر مفيدة لتجنب الأخطاء أثناء مراحل دورة حياة السلامة المختلفة. يعطي الجدول 2 مثالاً من الجزء 3 لمرحلة تصميم وتطوير البرنامج. سيستخدم المصمم الجدول للمساعدة في اختيار تقنيات تجنب الأخطاء ، اعتمادًا على مستوى سلامة السلامة المطلوب. مع كل أسلوب أو إجراء في الجداول ، توجد توصية لكل مستوى سلامة سلامة ، من 1 إلى 4. يغطي نطاق التوصيات الموصى به بشدة (HR) ، موصى به (R) ، محايد - لا مع أو ضد (-) وغير موصى به (NR).
الجدول 2. تصميم البرمجيات وتطويرها
تقنية / قياس |
سيل 1 |
سيل 2 |
سيل 3 |
سيل 4 |
1. الأساليب الرسمية بما في ذلك ، على سبيل المثال ، CCS ، CSP ، HOL ، LOTOS |
- |
R |
R |
HR |
2. الأساليب شبه الرسمية |
HR |
HR |
HR |
HR |
3. منظم. المنهجية بما في ذلك ، على سبيل المثال ، JSD و MASCOT و SADT و SSADM و YOURDON |
HR |
HR |
HR |
HR |
4. نهج معياري |
HR |
HR |
HR |
HR |
5. معايير التصميم والترميز |
R |
HR |
HR |
HR |
الموارد البشرية = موصى به للغاية ؛ R = موصى به ؛ NR = غير موصى به ؛ - = محايد: الأسلوب / الإجراء ليس مع أو ضد SIL.
ملاحظة: يجب اختيار تقنية / مقياس مرقم وفقًا لمستوى سلامة السلامة.
التسامح مع الخطأ
تتطلب المواصفة القياسية IEC 1508 مستويات متزايدة من التسامح مع الخطأ مع زيادة هدف سلامة السلامة. ومع ذلك ، يعترف المعيار بأن التسامح مع الخطأ يكون أكثر أهمية عندما تكون الأنظمة (والمكونات التي تتكون منها تلك الأنظمة) معقدة (تم تحديدها على أنها النوع B في IEC 1508). بالنسبة للأنظمة الأقل تعقيدًا "المثبتة جيدًا" ، يمكن تخفيف درجة تحمل الخطأ.
التسامح ضد أعطال الأجهزة العشوائية
يوضح الجدول 3 متطلبات التسامح مع الأعطال العشوائية للأعطال في مكونات الأجهزة المعقدة (على سبيل المثال ، المعالجات الدقيقة) عند استخدامها في نظام حماية كما هو موضح في الشكل 3. قد يحتاج المصمم إلى التفكير في توليفة مناسبة من التشخيصات والتسامح مع الخطأ و فحوصات إثبات يدوية للتغلب على هذه الفئة من الأخطاء ، اعتمادًا على مستوى سلامة السلامة المطلوب.
الجدول 3. مستوى سلامة السلامة - متطلبات الأعطال لمكونات النوع ب1
1 يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها من خلال فحص الإثبات.
2 بالنسبة للمكونات التي لا تحتوي على تغطية تشخيص متوسطة عبر الإنترنت ، يجب أن يكون النظام قادرًا على أداء وظيفة الأمان في حالة وجود عطل واحد. يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها عن طريق فحص الإثبات.
3 بالنسبة للمكونات ذات التغطية التشخيصية العالية عبر الإنترنت ، يجب أن يكون النظام قادرًا على أداء وظيفة الأمان في حالة وجود عطل واحد. بالنسبة للمكونات التي لا تحتوي على تغطية تشخيصية عالية عبر الإنترنت ، يجب أن يكون النظام قادرًا على أداء وظيفة السلامة في حالة وجود عيبين. يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها عن طريق فحص الإثبات.
4 يجب أن تكون المكونات قادرة على أداء وظيفة السلامة في حالة وجود عيبين. يجب الكشف عن الأعطال من خلال تغطية تشخيصية عالية عبر الإنترنت. يجب الكشف عن الأخطاء المتعلقة بالسلامة والتي لم يتم اكتشافها عن طريق فحص الإثبات. يجب أن يعتمد التحليل الكمي للأجهزة على افتراضات أسوأ الحالات.
1المكونات التي لم يتم تحديد أوضاع فشلها بشكل جيد أو اختبارها ، أو التي توجد بها بيانات فشل ضعيفة من الخبرة الميدانية (على سبيل المثال ، المكونات الإلكترونية القابلة للبرمجة).
تساعد IEC 1508 المصمم من خلال توفير جداول مواصفات التصميم (انظر الجدول 4) مع معلمات التصميم المفهرسة مقابل مستوى سلامة السلامة لعدد من هياكل أنظمة الحماية الشائعة الاستخدام.
الجدول 4. متطلبات سلامة السلامة المستوى 2 - معماريات الأنظمة الإلكترونية القابلة للبرمجة لأنظمة الحماية
تكوين نظام PE |
التغطية التشخيصية لكل قناة |
فاصل اختبار الإثبات خارج الخط (TI) |
يعني الوقت لرحلة زائفة |
PE واحد ، إدخال / إخراج فردي ، تحويلة. WD |
مرتفع |
اشتراك شهرين |
1.6 سنة |
PE مزدوج ، إدخال / إخراج فردي |
مرتفع |
اشتراك شهرين |
10 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 2oo2 |
مرتفع |
اشتراك شهرين |
1,281 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2 |
بدون اضاءة |
اشتراك شهرين |
1.4 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2 |
منخفض |
اشتراك شهرين |
1.0 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2 |
متوسط |
اشتراك شهرين |
0.8 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2 |
مرتفع |
اشتراك شهرين |
0.8 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2D |
بدون اضاءة |
اشتراك شهرين |
1.9 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2D |
منخفض |
اشتراك شهرين |
4.7 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2D |
متوسط |
اشتراك شهرين |
18 سنة |
PE مزدوج ، إدخال / إخراج مزدوج ، 1oo2D |
مرتفع |
شنومكس + أشهر |
168 سنة |
Triple PE، Triple I / O، IPC، 2oo3 |
بدون اضاءة |
1 الشهر |
20 سنة |
Triple PE، Triple I / O، IPC، 2oo3 |
منخفض |
اشتراك شهرين |
25 سنة |
Triple PE، Triple I / O، IPC، 2oo3 |
متوسط |
اشتراك شهرين |
30 سنة |
Triple PE، Triple I / O، IPC، 2oo3 |
مرتفع |
شنومكس + أشهر |
168 سنة |
يمثل العمود الأول من الجدول معماريات بدرجات متفاوتة من التسامح مع الخطأ. بشكل عام ، تتمتع البنى الموضوعة بالقرب من أسفل الجدول بدرجة أعلى من تحمل الخطأ من تلك الموجودة بالقرب من الجزء العلوي. نظام 1oo2 (واحد من اثنين) قادر على تحمل أي خطأ واحد ، كما هو الحال مع 2oo3.
يصف العمود الثاني النسبة المئوية لتغطية أي تشخيص داخلي. كلما ارتفع مستوى التشخيص ، زادت الأخطاء التي سيتم اكتشافها. يعد هذا أمرًا مهمًا في نظام الحماية لأنه ، بشرط إصلاح المكون المعيب (على سبيل المثال ، بطاقة الإدخال) في غضون فترة زمنية معقولة (غالبًا 8 ساعات) ، يكون هناك القليل من الخسارة في السلامة الوظيفية. (ملاحظة: لن يكون هذا هو الحال بالنسبة لنظام التحكم المستمر ، لأن أي خطأ من المحتمل أن يتسبب في حالة غير آمنة على الفور واحتمال وقوع حادث.)
يُظهر العمود الثالث الفترة الفاصلة بين اختبارات الإثبات. هذه اختبارات خاصة يجب إجراؤها لممارسة نظام الحماية بدقة لضمان عدم وجود أخطاء كامنة. عادةً ما يتم تنفيذ ذلك من قبل بائع المعدات أثناء فترات إيقاف تشغيل المصنع.
يُظهر العمود الرابع معدل الرحلة الزائفة. الرحلة الزائفة هي التي تتسبب في إغلاق المصنع أو المعدات في حالة عدم وجود انحراف في العملية. غالبًا ما يكون سعر الأمان هو معدل رحلة زائفة أعلى. نظام حماية بسيط زائد عن الحاجة - 1oo2 - لديه ، مع عدم تغيير جميع عوامل التصميم الأخرى ، مستوى سلامة سلامة أعلى ولكن أيضًا معدل رحلة زائفة أعلى من نظام أحادي القناة (1oo1).
إذا لم يتم استخدام إحدى البنى الموجودة في الجدول أو إذا أراد المصمم إجراء تحليل أكثر جوهرية ، فإن IEC 1508 يسمح بهذا البديل. يمكن بعد ذلك استخدام تقنيات هندسة الموثوقية مثل نمذجة ماركوف لحساب عنصر الأجهزة لمستوى سلامة السلامة (جونسون 1989 ؛ جوبل 1992).
التسامح ضد الفشل المنهجي والشائع
تعتبر فئة الفشل هذه مهمة جدًا في أنظمة السلامة وهي العامل المحدد لتحقيق سلامة السلامة. في نظام فائض عن الحاجة ، يتم تكرار مكون أو نظام فرعي ، أو حتى النظام بأكمله ، لتحقيق موثوقية عالية من الأجزاء منخفضة الموثوقية. يحدث تحسين الموثوقية ، من الناحية الإحصائية ، لأن فرصة فشل نظامين في وقت واحد من خلال أخطاء عشوائية ستكون نتاج موثوقية الأنظمة الفردية ، وبالتالي أقل بكثير. من ناحية أخرى ، تتسبب أخطاء الأسباب المنهجية والشائعة في فشل الأنظمة الزائدة عن الحاجة بشكل متزامن عندما ، على سبيل المثال ، يؤدي خطأ في المواصفات في البرنامج إلى فشل الأجزاء المكررة في نفس الوقت. مثال آخر هو فشل مصدر طاقة مشترك لنظام فائض عن الحاجة.
يوفر IEC 1508 جداول للتقنيات الهندسية المصنفة مقابل مستوى سلامة السلامة الذي يعتبر فعالًا في توفير الحماية ضد حالات الفشل المنهجية والشائعة.
من الأمثلة على التقنيات التي توفر دفاعات ضد الإخفاقات المنهجية التنوع والتكرار التحليلي. أساس التنوع هو أنه إذا قام المصمم بتنفيذ قناة ثانية في نظام فائض عن الحاجة باستخدام تقنية أو لغة برمجية مختلفة ، فيمكن اعتبار الأخطاء في القنوات الزائدة مستقلة (أي احتمال ضئيل للفشل العرضي). ومع ذلك ، لا سيما في مجال الأنظمة القائمة على البرمجيات ، هناك بعض الاقتراحات بأن هذه التقنية قد لا تكون فعالة ، حيث أن معظم الأخطاء تكمن في المواصفات. يحاول التكرار التحليلي استغلال المعلومات الزائدة في المصنع أو الجهاز لتحديد الأعطال. بالنسبة للأسباب الأخرى للفشل المنهجي - على سبيل المثال ، الضغوط الخارجية - يوفر المعيار جداول تقدم نصائح حول الممارسات الهندسية الجيدة (على سبيل المثال ، فصل الإشارة وكابلات الطاقة) المصنفة مقابل مستوى سلامة السلامة.
استنتاجات
توفر الأنظمة المعتمدة على الكمبيوتر العديد من المزايا - ليس فقط من الناحية الاقتصادية ، ولكن أيضًا إمكانية تحسين السلامة. ومع ذلك ، فإن الاهتمام بالتفاصيل المطلوبة لتحقيق هذه الإمكانات أكبر بكثير مما هو عليه الحال عند استخدام مكونات النظام التقليدية. حددت هذه المقالة المتطلبات التقنية الرئيسية التي يجب على المصمم مراعاتها لاستغلال هذه التقنية بنجاح.
"إخلاء المسؤولية: لا تتحمل منظمة العمل الدولية المسؤولية عن المحتوى المعروض على بوابة الويب هذه والذي يتم تقديمه بأي لغة أخرى غير الإنجليزية ، وهي اللغة المستخدمة للإنتاج الأولي ومراجعة الأقران للمحتوى الأصلي. لم يتم تحديث بعض الإحصائيات منذ ذلك الحين. إنتاج الطبعة الرابعة من الموسوعة (4). "