من المتفق عليه عمومًا أن أنظمة التحكم يجب أن تكون آمنة أثناء الاستخدام. مع وضع ذلك في الاعتبار ، تم تصميم معظم أنظمة التحكم الحديثة كما هو موضح في الشكل 1.

الشكل 1. التصميم العام لأنظمة التحكم

إن أبسط طريقة لجعل نظام التحكم آمنًا هي بناء جدار غير قابل للاختراق حوله لمنع وصول الإنسان أو التدخل في منطقة الخطر. سيكون مثل هذا النظام آمنًا للغاية ، وإن كان غير عملي ، حيث سيكون من المستحيل الوصول إليه من أجل إجراء معظم أعمال الاختبار والإصلاح والتعديل. نظرًا لأنه يجب السماح بالوصول إلى مناطق الخطر في ظل ظروف معينة ، فإن تدابير الحماية بخلاف الجدران والأسوار وما شابه ذلك مطلوبة لتسهيل الإنتاج والتركيب والخدمة والصيانة.

يمكن دمج بعض هذه التدابير الوقائية جزئيًا أو كليًا في أنظمة التحكم ، على النحو التالي:

• يمكن إيقاف الحركة على الفور في حالة دخول أي شخص منطقة الخطر ، عن طريق أزرار التوقف في حالات الطوارئ (ES).
• تسمح أدوات التحكم بضغطة زر بالحركة فقط عند تنشيط زر الضغط.
• تسمح أدوات التحكم المزدوجة (DHC) بالحركة فقط عندما يتم تشغيل كلتا اليدين في الضغط على عنصري التحكم (وبالتالي ضمان إبعاد اليدين عن مناطق الخطر).

يتم تنشيط هذه الأنواع من تدابير الحماية من قبل المشغلين. ومع ذلك ، نظرًا لأن البشر غالبًا ما يمثلون نقطة ضعف في التطبيقات ، يتم تنفيذ العديد من الوظائف ، مثل ما يلي ، تلقائيًا:

• تكون حركات أذرع الروبوت أثناء الخدمة أو "التدريس" بطيئة جدًا. ومع ذلك ، تتم مراقبة السرعة بشكل مستمر. إذا زادت سرعة أذرع الروبوت الأوتوماتيكية بشكل غير متوقع أثناء الخدمة أو فترة التدريس ، بسبب عطل في نظام التحكم ، فسينشط نظام المراقبة وينهي الحركة على الفور.
• يتم توفير حاجز ضوئي لمنع الوصول إلى منطقة الخطر. إذا انقطع شعاع الضوء ، فسيتوقف الجهاز تلقائيًا.

الوظيفة العادية لأنظمة التحكم هي أهم شرط مسبق للإنتاج. إذا تم مقاطعة إحدى وظائف الإنتاج بسبب فشل التحكم ، فإنها تكون غير مريحة على الإطلاق ولكنها ليست خطرة. إذا لم يتم تنفيذ وظيفة تتعلق بالسلامة ، فقد يؤدي ذلك إلى فقد الإنتاج أو تلف المعدات أو الإصابة أو حتى الوفاة. لذلك ، يجب أن تكون وظائف نظام التحكم المتعلقة بالسلامة أكثر موثوقية وأمانًا من وظائف نظام التحكم العادية. وفقًا لتوجيهات المجلس الأوروبي 89/392 / EEC (إرشادات الماكينة) ، يجب تصميم أنظمة التحكم وإنشائها بحيث تكون آمنة وموثوقة.

تتكون عناصر التحكم من عدد من المكونات المتصلة ببعضها البعض لأداء وظيفة واحدة أو أكثر. الضوابط مقسمة إلى قنوات. القناة هي جزء من عنصر تحكم يؤدي وظيفة محددة (على سبيل المثال ، بدء ، توقف ، توقف طارئ). جسديًا ، يتم إنشاء القناة بواسطة سلسلة من المكونات (الترانزستورات ، الثنائيات ، المرحلات ، البوابات ، إلخ) والتي يتم من خلالها ، من مكون إلى التالي ، (معظمها كهربائي) المعلومات التي تمثل هذه الوظيفة من الإدخال إلى الإخراج.

عند تصميم قنوات التحكم للوظائف ذات الصلة بالسلامة (تلك الوظائف التي تشمل البشر) ، يجب استيفاء المتطلبات التالية:

• يجب أن تكون المكونات المستخدمة في قنوات التحكم ذات الوظائف المتعلقة بالسلامة قادرة على تحمل قسوة الاستخدام العادي. عمومًا، يجب أن تكون موثوقة بما فيه الكفاية.
• يجب ألا تسبب الأخطاء في المنطق مواقف خطيرة. عمومًا، يجب أن تكون القناة ذات الصلة بالسلامة دليلاً كافياً على الفشل.
• يجب ألا تؤدي التأثيرات الخارجية (العوامل) إلى إخفاقات مؤقتة أو دائمة في القنوات ذات الصلة بالسلامة.

الموثوقية

الموثوقية هي قدرة قناة التحكم أو المكون على أداء وظيفة مطلوبة في ظل ظروف محددة لفترة زمنية معينة دون أن تفشل. (يمكن حساب الاحتمالية لمكونات معينة أو قنوات تحكم باستخدام طرق مناسبة.) يجب دائمًا تحديد الموثوقية لقيمة زمنية محددة. بشكل عام ، يمكن التعبير عن الموثوقية بالصيغة الموضحة في الشكل 2.

الشكل 2. صيغة الموثوقية

موثوقية الأنظمة المعقدة

الأنظمة مبنية من مكونات. إذا كانت موثوقية المكونات معروفة ، فيمكن حساب موثوقية النظام ككل. في مثل هذه الحالات ، ينطبق ما يلي:

أنظمة المسلسل

الموثوقية الإجمالية R_طفل لنظام تسلسلي يتكون من مكونات N لها نفس الموثوقية R_C يحسب كما في الشكل 3.

الشكل 3. رسم بياني موثوقية للمكونات المتصلة تسلسليًا

الموثوقية الكلية أقل من موثوقية المكون الأقل موثوقية. مع زيادة عدد المكونات المتصلة تسلسليًا ، تنخفض الموثوقية الكلية للسلسلة بشكل كبير.

أنظمة موازية

الموثوقية الإجمالية R_طفل لنظام متوازي يتكون من مكونات N لها نفس الموثوقية R_C يحسب كما في الشكل 4.

الشكل 4. رسم بياني موثوقية للمكونات المتصلة المتوازية

يمكن تحسين الموثوقية الكلية بشكل كبير من خلال التوصيل المتوازي لمكونين أو أكثر.

يوضح الشكل 5 مثالاً عمليًا. لاحظ أن الدائرة ستغلق المحرك بشكل أكثر موثوقية. حتى إذا فشل المرحل A أو B في فتح التلامس الخاص به ، فسيظل المحرك مغلقًا.

الشكل 5. مثال عملي على الشكل 4

يعد حساب الموثوقية الإجمالية للقناة أمرًا بسيطًا إذا كانت جميع موثوقيات المكونات الضرورية معروفة ومتاحة. في حالة المكونات المعقدة (الدوائر المتكاملة والمعالجات الدقيقة وما إلى ذلك) ، يكون حساب الموثوقية الكلية أمرًا صعبًا أو مستحيلًا إذا لم يتم نشر المعلومات الضرورية من قبل الشركة المصنعة.

السلامة

عندما يتحدث المحترفون عن السلامة ويدعون إلى آلات آمنة ، فإنهم يقصدون سلامة الماكينة أو النظام بأكمله. ومع ذلك ، فإن هذه السلامة عامة جدًا ، ولم يتم تحديدها بدقة كافية لمصمم عناصر التحكم. التعريف التالي لـ سلامة قد تكون عملية وقابلة للاستخدام لمصممي دوائر التحكم: السلامة هي قدرة نظام التحكم على أداء الوظيفة المطلوبة ضمن الحدود المحددة ، لمدة معينة ، حتى عند حدوث خطأ (أخطاء) متوقعة. وبالتالي ، يجب توضيح مدى "أمان" القناة المتعلقة بالسلامة أثناء التصميم. (يمكن للمصمم تطوير قناة آمنة ضد الفشل الأول ، ضد أي فشل واحد ، ضد فشلين ، وما إلى ذلك) علاوة على ذلك ، قد تكون القناة التي تؤدي وظيفة تُستخدم لمنع الحوادث موثوقة بشكل أساسي ، ولكنها لا تحتوي على أن تكون في مأمن حتمًا ضد الإخفاقات. يمكن تفسير ذلك بشكل أفضل من خلال الأمثلة التالية:

مثال 1

المثال الموضح في الشكل 6 عبارة عن قناة تحكم ذات صلة بالسلامة تؤدي وظيفة السلامة المطلوبة. قد يكون المكون الأول عبارة عن مفتاح يراقب ، على سبيل المثال ، موضع باب الوصول إلى منطقة خطرة. المكون الأخير هو المحرك الذي يقود الأجزاء الميكانيكية المتحركة داخل منطقة الخطر.

الشكل 6. قناة تحكم متعلقة بالسلامة تؤدي وظيفة السلامة المطلوبة

وظيفة الأمان المطلوبة في هذه الحالة هي وظيفة مزدوجة: إذا كان الباب مغلقًا ، فقد يعمل المحرك. إذا كان الباب مفتوحًا ، يجب إيقاف تشغيل المحرك. معرفة المصداقية R₁ إلى R.₆، من الممكن حساب الموثوقية R_طفل. يجب أن يستخدم المصممون مكونات موثوقة من أجل الحفاظ على موثوقية عالية بما فيه الكفاية لنظام التحكم بأكمله (على سبيل المثال ، يجب مراعاة احتمال استمرار أداء هذه الوظيفة في التصميم ، على سبيل المثال ، حتى 20 عامًا). نتيجة لذلك ، يجب على المصممين إنجاز مهمتين: (1) يجب أن تؤدي الدوائر الوظيفة المطلوبة ، و (2) يجب أن تكون موثوقية المكونات وقناة التحكم بأكملها كافية.

يجب طرح السؤال التالي الآن: هل ستؤدي القناة المذكورة أعلاه وظائف السلامة المطلوبة حتى في حالة حدوث عطل في النظام (على سبيل المثال ، إذا تم لصق اتصال الترحيل أو تعطل أحد المكونات)؟ الجواب "لا". والسبب هو أن قناة تحكم واحدة تتكون فقط من مكونات متصلة تسلسليًا وتعمل بإشارات ثابتة ليست آمنة ضد فشل واحد. يمكن أن يكون للقناة موثوقية معينة فقط ، مما يضمن احتمال تنفيذ الوظيفة. في مثل هذه الحالات ، تعني السلامة دائمًا ذات الصلة بالفشل.

مثال 2

إذا أريد لقناة التحكم أن تكون موثوقة وآمنة ، فيجب تعديل التصميم كما في الشكل 7. المثال الموضح هو قناة تحكم ذات صلة بالسلامة تتكون من قناتين فرعيتين منفصلتين تمامًا.

الشكل 7. قناة تحكم ذات صلة بالسلامة مع قناتين فرعيتين منفصلتين تمامًا

يعتبر هذا التصميم آمنًا ضد الفشل الأول (والفشل الإضافي المحتمل في نفس القناة الفرعية) ، ولكنه ليس آمنًا ضد فشلين قد يحدثان في قناتين فرعيتين مختلفتين (في وقت واحد أو في أوقات مختلفة) لأنه لا توجد دائرة للكشف عن الأعطال. وبالتالي ، تعمل كلتا القناتين الفرعيتين في البداية بموثوقية عالية (انظر النظام المتوازي) ، ولكن بعد الفشل الأول ، ستعمل قناة فرعية واحدة فقط ، وتنخفض الموثوقية. في حالة حدوث عطل ثانٍ في القناة الفرعية التي لا تزال تعمل ، فسوف يفشل كلاهما ، ولن يتم تنفيذ وظيفة الأمان بعد ذلك.

مثال 3

المثال الموضح في الشكل 8 عبارة عن قناة تحكم متعلقة بالسلامة تتكون من قناتين فرعيتين منفصلتين تمامًا تراقب كل منهما الأخرى.

الشكل 8. قناة تحكم ذات صلة بالسلامة مع قناتين فرعيتين منفصلتين تمامًا تراقب كل منهما الأخرى

مثل هذا التصميم آمن من الفشل لأنه بعد أي فشل ، لن تعمل سوى قناة فرعية واحدة ، بينما تظل القناة الفرعية الأخرى متاحة وستؤدي وظيفة الأمان. علاوة على ذلك ، يحتوي التصميم على دائرة للكشف عن الأعطال. إذا فشلت كلتا القناتين الفرعيتين في العمل بالطريقة نفسها ، بسبب عطل ، فسيتم اكتشاف هذا الشرط بواسطة دائرة "حصرية" أو "حصرية" ، مما يؤدي إلى إيقاف تشغيل الجهاز تلقائيًا. هذه واحدة من أفضل الطرق لتصميم أدوات التحكم في الماكينة - تصميم قنوات فرعية ذات صلة بالسلامة. فهي آمنة ضد عطل واحد وفي نفس الوقت توفر موثوقية كافية بحيث تكون فرص حدوث إخفاقين في وقت واحد ضئيلة للغاية.

وفرة

من الواضح أن هناك طرقًا مختلفة يمكن للمصمم من خلالها تحسين الموثوقية و / أو السلامة (ضد الفشل). توضح الأمثلة السابقة كيف يمكن تحقيق وظيفة (على سبيل المثال ، الباب مغلق ، يمكن تشغيل المحرك ؛ فتح الباب ، يجب إيقاف المحرك) من خلال حلول مختلفة. بعض الطرق بسيطة للغاية (قناة فرعية واحدة) والبعض الآخر أكثر تعقيدًا (قناتان فرعيتان مع الإشراف المتبادل). (انظر الشكل 9.)

الشكل 9. موثوقية الأنظمة الزائدة عن الحاجة مع أو بدون اكتشاف الأعطال

هناك بعض التكرار في الدوائر و / أو المكونات المعقدة بالمقارنة مع المكونات البسيطة. وفرة يمكن تعريفها على النحو التالي: (1) التكرار هو وجود المزيد من الوسائل (المكونات والقنوات وعوامل الأمان الأعلى والاختبارات الإضافية وما إلى ذلك) مما هو ضروري حقًا للوفاء البسيط بالوظيفة المطلوبة ؛ (2) من الواضح أن التكرار لا "يحسن" الوظيفة ، والتي يتم إجراؤها على أي حال. التكرار يحسن الموثوقية و / أو السلامة فقط.

يعتقد بعض المتخصصين في مجال السلامة أن التكرار هو فقط مضاعفة النظام أو تضاعفه ثلاث مرات وما إلى ذلك. هذا تفسير محدود للغاية ، حيث يمكن تفسير التكرار على نطاق أوسع ومرونة. قد لا يتم تضمين التكرار في الأجهزة فقط ؛ قد يتم تضمينه في البرنامج أيضًا. يمكن أيضًا اعتبار تحسين عامل الأمان (على سبيل المثال ، حبل أقوى بدلاً من حبل أضعف) شكلاً من أشكال التكرار.

الكون

الكون، وهو مصطلح يوجد في الغالب في الديناميكا الحرارية وعلم الفلك ، يمكن تعريفه على النحو التالي: كل شيء يميل نحو الاضمحلال. لذلك ، من المؤكد تمامًا أن جميع المكونات أو الأنظمة الفرعية أو الأنظمة ، بصرف النظر عن التكنولوجيا المستخدمة ، ستفشل في وقت ما. هذا يعني أنه لا توجد أنظمة أو أنظمة فرعية أو مكونات موثوقة و / أو آمنة بنسبة 100٪. جميعها موثوقة وآمنة إلى حد ما ، اعتمادًا على مدى تعقيد الهيكل. تظهر الإخفاقات التي تحدث حتمًا في وقت سابق أو لاحقًا عمل الانتروبيا.

الوسيلة الوحيدة المتاحة للمصممين لمواجهة الإنتروبيا هي التكرار ، والذي يتحقق من خلال (أ) إدخال المزيد من الموثوقية في المكونات و (ب) توفير المزيد من الأمان في جميع أنحاء بنية الدائرة. فقط من خلال زيادة احتمال تنفيذ الوظيفة المطلوبة بشكل كافٍ خلال الفترة الزمنية المطلوبة ، يمكن للمصممين بدرجة ما الدفاع عن الانتروبيا.

تقييم المخاطر

كلما زادت المخاطر المحتملة ، زادت الموثوقية و / أو السلامة (ضد الإخفاقات) المطلوبة (والعكس صحيح). ويتضح ذلك في الحالتين التاليتين:

حالة 1

يتم ضمان الوصول إلى أداة القوالب المثبتة في آلة التشكيل بالحقن بواسطة الباب. إذا كان الباب مغلقًا ، فقد تعمل الماكينة ، وإذا تم فتح الباب ، فيجب إيقاف جميع الحركات الخطرة. تحت أي ظرف من الظروف (حتى في حالة حدوث عطل في القناة المتعلقة بالسلامة) قد تحدث أي حركات ، خاصة تلك التي تشغل الأداة.

حالة 2

الوصول إلى خط التجميع الذي يتم التحكم فيه تلقائيًا والذي يقوم بتجميع المكونات البلاستيكية الصغيرة تحت ضغط هوائي محمي بواسطة باب. إذا تم فتح هذا الباب ، فسيتعين إيقاف الخط.

في الحالة 1 ، إذا فشل نظام التحكم في الإشراف على الباب ، فقد تحدث إصابة خطيرة إذا تم إغلاق الأداة بشكل غير متوقع. في الحالة 2 ، قد ينتج عن ذلك إصابة طفيفة أو ضرر ضئيل فقط في حالة فشل نظام التحكم في الإشراف على الباب.

من الواضح أنه في الحالة الأولى يجب إدخال المزيد من التكرار لتحقيق الموثوقية و / أو الأمان (ضد الفشل) المطلوبين للحماية من المخاطر العالية للغاية. في الواقع ، وفقًا للمعيار الأوروبي EN 201 ، يجب أن يكون لنظام التحكم الإشرافي لباب آلة التشكيل بالحقن ثلاث قنوات ؛ اثنان منها كهربائيتان ويخضعان للإشراف المتبادل وواحد منهما مجهز في الغالب بمكونات هيدروليكية ودوائر اختبار. كل هذه الوظائف الإشرافية الثلاث تتعلق بالباب نفسه.

على العكس من ذلك ، في تطبيقات مثل تلك الموضحة في الحالة 2 ، تكون القناة المفردة التي يتم تنشيطها بواسطة مفتاح بإجراءات إيجابية مناسبة للمخاطر.

فئات التحكم

نظرًا لأن جميع الاعتبارات المذكورة أعلاه تستند عمومًا إلى نظرية المعلومات وبالتالي فهي صالحة لجميع التقنيات ، فلا يهم ما إذا كان نظام التحكم يعتمد على مكونات إلكترونية أو كهروميكانيكية أو ميكانيكية أو هيدروليكية أو تعمل بالهواء المضغوط (أو خليط منها) ، أو على بعض التقنيات الأخرى. إن ابتكار المصمم من ناحية والأسئلة الاقتصادية من ناحية أخرى هي العوامل الأساسية التي تؤثر على عدد لا حصر له من الحلول حول كيفية تحقيق القنوات ذات الصلة بالسلامة.

لمنع الارتباك ، من العملي وضع معايير فرز معينة. يتم تصنيف هياكل القنوات الأكثر شيوعًا المستخدمة في أدوات التحكم في الماكينة لأداء الوظائف المتعلقة بالسلامة وفقًا لما يلي:

• الموثوقية
• السلوك في حالة الفشل
• وقت الكشف عن الفشل.

مجموعاتها (لا تظهر جميع المجموعات الممكنة) في الجدول 1.

الجدول 1. بعض التوليفات الممكنة لهياكل الدوائر في أدوات التحكم في الماكينة للوظائف المتعلقة بالسلامة

يتم تحديد الفئة المطبقة على آلة معينة ونظام التحكم المتصل بالسلامة الخاص بها في الغالب في المعايير الأوروبية الجديدة (EN) ، ما لم تتفق السلطة الوطنية والمستخدم والشركة المصنعة بشكل متبادل على وجوب تطبيق فئة أخرى. يقوم المصمم بعد ذلك بتطوير نظام تحكم يلبي المتطلبات. على سبيل المثال ، قد تشمل الاعتبارات التي تحكم تصميم قناة التحكم ما يلي:

• يجب أن تتحمل المكونات التأثيرات المتوقعة. (نعم / لا)
• يجب أن يكون بناءها وفقًا لأحدث المعايير. (نعم / لا)
• يتم استخدام مكونات وطرق مجربة جيدًا. (نعم / لا)
• فشل يجب الكشف عنها. (نعم / لا)
• هل سيتم تنفيذ وظيفة الأمان حتى في حالة حدوث عطل؟ (نعم / لا)
• متى سيتم الكشف عن الفشل؟ (أبدًا ، مبكرًا ، فورًا)

هذه العملية قابلة للعكس. باستخدام نفس الأسئلة ، يمكن للمرء أن يقرر الفئة التي تنتمي إليها قناة التحكم الموجودة والمطورة مسبقًا.

أمثلة الفئات

الفئة باء

يجب أن تتحمل مكونات قناة التحكم المستخدمة بشكل أساسي في السلع الاستهلاكية التأثيرات المتوقعة وأن يتم تصميمها وفقًا لأحدث ما توصلت إليه التكنولوجيا. قد يكون المفتاح المصمم جيدًا بمثابة مثال.

الفئة 1

يعد استخدام المكونات والطرق التي تمت تجربتها جيدًا أمرًا نموذجيًا للفئة 1. ومثال الفئة 1 هو مفتاح ذو عمل إيجابي (أي يتطلب فتح جهات الاتصال قسريًا). تم تصميم هذا المفتاح بأجزاء قوية ويتم تنشيطه بواسطة قوى عالية نسبيًا ، وبالتالي يصل إلى موثوقية عالية للغاية فقط عند فتح التلامس. على الرغم من جهات الاتصال الملتصقة أو حتى الملحومة ، سيتم فتح هذه المفاتيح. (ملاحظة: لا تعتبر المكونات مثل الترانزستورات والثنائيات مكونات مُجربة جيدًا.) سيكون الشكل 10 بمثابة توضيح لعنصر تحكم من الفئة 1.

الشكل 10. مفتاح مع عمل إيجابي

تستخدم هذه القناة التبديل S مع العمل الإيجابي. يتم الإشراف على الموصل K بواسطة المصباح L. يُنصح المشغل بأن تلتصق جهات الاتصال المفتوحة بشكل طبيعي (NO) عن طريق مصباح الإشارة L. وقد فرض الموصل K جهات اتصال موجّهة. (ملاحظة: المرحلات أو الملامسات ذات التوجيه الإجباري لجهات الاتصال لديها ، بالمقارنة مع المرحلات أو الموصلات المعتادة ، قفص خاص مصنوع من مادة عازلة بحيث إذا كانت جهات الاتصال مغلقة عادةً (NC) ، فيجب فتح جميع جهات الاتصال ، والعكس بالعكس. هذا يعني أنه باستخدام جهات اتصال NC ، يمكن إجراء فحص لتحديد أن جهات الاتصال العاملة ليست ملتصقة أو ملحومة معًا.)

الفئة 2

توفر الفئة 2 الكشف التلقائي عن حالات الفشل. يجب إنشاء الكشف التلقائي عن الأعطال قبل كل حركة خطيرة. فقط إذا كان الاختبار إيجابيًا ، يمكن إجراء الحركة ؛ وإلا سيتم إيقاف الجهاز. يتم استخدام أنظمة الكشف التلقائي عن الأعطال لحواجز الضوء لإثبات أنها لا تزال تعمل. المبدأ موضح في الشكل 1.

الشكل 11. الدائرة بما في ذلك كاشف الفشل

يتم اختبار نظام التحكم هذا بانتظام (أو في بعض الأحيان) عن طريق حقن دفعة للمدخلات. في نظام يعمل بشكل صحيح ، سيتم بعد ذلك نقل هذا الدافع إلى الإخراج ومقارنته بنبضة من مولد اختبار. عند وجود كلا الدافعين ، من الواضح أن النظام يعمل. خلاف ذلك ، إذا لم يكن هناك دافع إخراج ، فقد فشل النظام.

الفئة 3

تم وصف الدوائر الكهربية مسبقًا في المثال 3 في قسم السلامة في هذه المقالة ، الشكل 8.

يمكن تلبية المطلب - أي الكشف التلقائي عن الأعطال والقدرة على أداء وظيفة الأمان حتى لو حدث عطل واحد في أي مكان - من خلال هياكل التحكم ذات القناتين والإشراف المتبادل على القناتين.

بالنسبة لأجهزة التحكم في الماكينة فقط ، يجب التحقيق في الأعطال الخطيرة. وتجدر الإشارة إلى أن هناك نوعين من الفشل:

• غير خطير الأعطال هي تلك التي ، بعد حدوثها ، تتسبب في "حالة آمنة" للآلة من خلال توفير إيقاف تشغيل المحرك.
• خطير الأعطال هي تلك التي تتسبب ، بعد حدوثها ، في "حالة غير آمنة" للجهاز ، حيث لا يمكن إيقاف تشغيل المحرك أو يبدأ المحرك في التحرك بشكل غير متوقع.

الفئة 4

توفر الفئة 4 عادةً تطبيق إشارة ديناميكية ومتغيرة باستمرار على المدخلات. يعني وجود إشارة ديناميكية على الخرج تشغيل ("1") ، ويعني عدم وجود إشارة ديناميكية توقف ("0").

بالنسبة لمثل هذه الدوائر ، من المعتاد أنه بعد فشل أي مكون ، لن تكون الإشارة الديناميكية متاحة على الخرج. (ملحوظة: الإمكانات الساكنة في المخرجات غير ذات صلة.) يمكن تسمية هذه الدوائر بأنها "آمنة من الفشل". سيتم الكشف عن جميع حالات الفشل على الفور ، وليس بعد التغيير الأول (كما في دوائر الفئة 3).

مزيد من التعليقات على فئات التحكم

تم تطوير الجدول 1 لعناصر التحكم المعتادة في الماكينة ويوضح هياكل الدوائر الأساسية فقط ؛ وفقًا لتوجيهات الماكينة ، يجب حسابها على افتراض أن فشلًا واحدًا فقط سيحدث في دورة آلة واحدة. هذا هو السبب في أنه ليس من الضروري أداء وظيفة الأمان في حالة حدوث عطلين متزامنين. من المفترض أن يتم اكتشاف عطل خلال دورة آلة واحدة. سيتم إيقاف الجهاز ثم إصلاحه. ثم يبدأ نظام التحكم مرة أخرى ، ويعمل بكامل طاقته ، دون أعطال.

يجب أن يكون الهدف الأول للمصمم هو عدم السماح بإخفاقات "دائمة" ، والتي لن يتم اكتشافها خلال دورة واحدة حيث قد يتم دمجها لاحقًا مع حالات الفشل التي تحدث حديثًا (تراكم الفشل). يمكن أن تتسبب مثل هذه المجموعات (فشل دائم وفشل جديد) في حدوث خلل في الدوائر حتى من الفئة 3.

على الرغم من هذه التكتيكات ، فمن الممكن أن يحدث فشلان مستقلان في نفس الوقت في نفس دورة الآلة. إنه أمر غير محتمل للغاية ، خاصة إذا تم استخدام مكونات موثوقة للغاية. بالنسبة للتطبيقات شديدة الخطورة ، يجب استخدام ثلاثة قنوات فرعية أو أكثر. تستند هذه الفلسفة إلى حقيقة أن متوسط ​​الوقت بين حالات الفشل أطول بكثير من دورة الآلة.

هذا لا يعني ، مع ذلك ، أن الجدول لا يمكن توسيعه بشكل أكبر. الجدول 1 مشابه جدًا من حيث الأساس والهيكل للجدول 2 المستخدم في EN 954-1. ومع ذلك ، فإنه لا يحاول تضمين عدد كبير جدًا من معايير الفرز. يتم تحديد المتطلبات وفقًا لقوانين المنطق الصارمة ، بحيث يمكن توقع إجابات واضحة فقط (نعم أو لا). يتيح ذلك إجراء تقييم وفرز وتصنيف أكثر دقة للدوائر المقدمة (القنوات المتعلقة بالسلامة) ، وأخيراً وليس آخراً ، تحسين كبير في استنساخ التقييم.

سيكون من المثالي إذا أمكن تصنيف المخاطر في مستويات مختلفة من المخاطر ومن ثم إقامة صلة محددة بين مستويات وفئات المخاطر ، مع استقلالية كل هذا عن التكنولوجيا المستخدمة. ومع ذلك ، هذا ليس ممكنا تماما. في وقت مبكر بعد إنشاء الفئات ، أصبح من الواضح أنه حتى مع وجود نفس التكنولوجيا ، لم يتم الرد على الأسئلة المختلفة بشكل كافٍ. أيهما أفضل: مكون موثوق للغاية ومصمم جيدًا من الفئة 1 ، أم نظام يفي بمتطلبات الفئة 3 بموثوقية ضعيفة؟

لشرح هذه المعضلة يجب على المرء أن يفرق بين صفتين: الموثوقية والأمان (ضد الفشل). لا يمكن مقارنتهما ، حيث أن لكلتا الصفات ميزات مختلفة:

• يحتوي المكون الذي يتمتع بأعلى موثوقية على ميزة غير سارة وهي أنه في حالة الفشل (حتى لو كان غير محتمل للغاية) ، ستتوقف الوظيفة عن الأداء.
• أنظمة الفئة 3 ، حتى في حالة حدوث عطل واحد سيتم تنفيذ الوظيفة ، ليست آمنة ضد فشلين في نفس الوقت (ما قد يكون مهمًا هو ما إذا تم استخدام مكونات موثوقة بدرجة كافية).

بالنظر إلى ما سبق ، قد يكون الحل الأفضل (من وجهة نظر عالية المخاطر) هو استخدام مكونات موثوقة للغاية وتكوينها بحيث تكون الدوائر آمنة ضد عطل واحد على الأقل (يفضل أكثر). من الواضح أن مثل هذا الحل ليس الأكثر اقتصادا. من الناحية العملية ، فإن عملية التحسين هي في الغالب نتيجة لكل هذه التأثيرات والاعتبارات.

تُظهر الخبرة في الاستخدام العملي للفئات أنه نادرًا ما يكون من الممكن تصميم نظام تحكم يمكنه استخدام فئة واحدة فقط طوال الوقت. يعتبر الجمع بين جزأين أو حتى ثلاثة أجزاء ، كل جزء من فئة مختلفة ، نموذجيًا ، كما هو موضح في المثال التالي:

تم تصميم العديد من حواجز إضاءة الأمان في الفئة 4 ، حيث تعمل قناة واحدة بإشارة ديناميكية. في نهاية هذا النظام ، توجد عادةً قناتان فرعيتان خاضعتان للإشراف المتبادل تعملان مع الإشارات الثابتة. (هذا يفي بمتطلبات الفئة 3.)

وفقًا لـ EN 50100 ، يتم تصنيف حواجز الضوء هذه على أنها اكتب 4 أجهزة واقية حساسة للكهرباء، على الرغم من أنها تتكون من جزأين. لسوء الحظ ، لا يوجد اتفاق حول كيفية تسمية أنظمة التحكم المكونة من جزأين أو أكثر ، كل جزء من فئة أخرى.

الأنظمة الإلكترونية القابلة للبرمجة (PESs)

المبادئ المستخدمة لإنشاء الجدول 1 ، مع بعض القيود بالطبع ، يمكن تطبيقها بشكل عام على PESs أيضًا.

نظام PES فقط

عند استخدام PES للتحكم ، يتم نقل المعلومات من المستشعر إلى المنشط من خلال عدد كبير من المكونات. أبعد من ذلك ، حتى أنه يمر "من خلال" البرامج. (انظر الشكل 12).

الشكل 12. دائرة نظام PES

على الرغم من أن PESs الحديثة موثوقة للغاية ، إلا أن الموثوقية ليست عالية بالقدر المطلوب لمعالجة وظائف السلامة. علاوة على ذلك ، فإن أنظمة PES المعتادة ليست آمنة بما يكفي ، لأنها لن تؤدي الوظيفة المتعلقة بالسلامة في حالة حدوث عطل. لذلك ، لا يُسمح باستخدام PESs لمعالجة وظائف السلامة دون أي تدابير إضافية.

تطبيقات منخفضة المخاطر للغاية: أنظمة ذات PES وتدابير إضافية

عند استخدام PES واحد للتحكم ، يتكون النظام من الأجزاء الأساسية التالية:

جزء الإدخال

يمكن تحسين موثوقية المستشعر ومدخلات PES من خلال مضاعفتهما. يمكن الإشراف على تكوين إدخال النظام المزدوج هذا بواسطة البرنامج للتحقق مما إذا كان كلا النظامين الفرعيين يقدمان نفس المعلومات. وبالتالي يمكن الكشف عن الأعطال في جزء الإدخال. هذه هي نفس الفلسفة تقريبًا كما هو مطلوب للفئة 3. ومع ذلك ، نظرًا لأن الإشراف يتم بواسطة برنامج ومرة ​​واحدة فقط ، قد يتم تصنيف هذا على أنه 3 (أو غير موثوق به مثل 3).

الجزء الأوسط

على الرغم من أنه لا يمكن مضاعفة هذا الجزء بشكل جيد ، إلا أنه يمكن اختباره. عند التبديل (أو أثناء التشغيل) ، يمكن إجراء فحص لمجموعة التعليمات بالكامل. في نفس الفترات الزمنية ، يمكن أيضًا فحص الذاكرة من خلال أنماط البت المناسبة. إذا تم إجراء مثل هذه الفحوصات دون عطل ، فمن الواضح أن كلا الجزأين ووحدة المعالجة المركزية والذاكرة يعملان بشكل صحيح. يحتوي الجزء الأوسط على ميزات معينة نموذجية للفئة 4 (إشارة ديناميكية) وأخرى نموذجية للفئة 2 (يتم إجراء الاختبار بانتظام على فترات مناسبة). المشكلة هي أن هذه الاختبارات ، على الرغم من اتساعها ، لا يمكن أن تكون كاملة حقًا ، لأن نظام PES لا يسمح بها بطبيعته.

جزء الإخراج

على غرار الإدخال ، يمكن أيضًا مضاعفة الإخراج (بما في ذلك المنشطات). يمكن الإشراف على كلا النظامين الفرعيين فيما يتعلق بنفس النتيجة. سيتم الكشف عن الأعطال وسيتم تنفيذ وظيفة السلامة. ومع ذلك ، هناك نفس نقاط الضعف الموجودة في جزء الإدخال. وبالتالي ، يتم اختيار الفئة 3 في هذه الحالة.

في الشكل 13 ، يتم إحضار نفس الوظيفة إلى المرحلات A و B. اتصالات التحكم a و b, ثم يُعلم نظامي إدخال ما إذا كان كلا المرحّلين يقومان بنفس العمل (ما لم يحدث فشل في إحدى القنوات). يتم الإشراف مرة أخرى بواسطة البرنامج.

الشكل 13. دارة PES بنظام كشف الأعطال

يمكن وصف النظام بأكمله بالفئة 3/4/2 / 3- إذا تم القيام به بشكل صحيح ومكثف. ومع ذلك ، لا يمكن القضاء على نقاط الضعف في مثل هذه الأنظمة على النحو الموصوف أعلاه بشكل كامل. في الواقع ، يتم استخدام PESs المحسنة في الواقع للوظائف المتعلقة بالسلامة فقط عندما تكون المخاطر منخفضة نوعًا ما (Hölscher and Rader 1984).

تطبيقات منخفضة ومتوسطة المخاطر مع PES واحد

اليوم ، تم تجهيز كل آلة تقريبًا بوحدة تحكم PES. لحل مشكلة الموثوقية غير الكافية والأمان غير الكافي عادةً ضد الفشل ، تُستخدم طرق التصميم التالية بشكل شائع:

• في الآلات البسيطة نسبيًا مثل المصاعد ، يتم تقسيم الوظائف إلى مجموعتين: (1) تتم معالجة الوظائف التي لا تتعلق بالسلامة بواسطة PES ؛ (2) يتم دمج الوظائف المتعلقة بالسلامة في سلسلة واحدة (دائرة الأمان) ومعالجتها خارج PES (انظر الشكل 14).

الشكل 14. حالة من الفن لفئة التوقف 0

• الطريقة المذكورة أعلاه ليست مناسبة للآلات الأكثر تعقيدًا. أحد الأسباب هو أن مثل هذه الحلول عادة ما تكون غير آمنة بدرجة كافية. بالنسبة للتطبيقات ذات المخاطر المتوسطة ، يجب أن تفي الحلول بمتطلبات الفئة 3. يتم تقديم الأفكار العامة حول الشكل الذي قد تبدو عليه هذه التصاميم في الشكل 15 والشكل 16.

الشكل 15. حالة من الفن لفئة التوقف 1

الشكل 16. حالة من الفن لفئة التوقف 2

التطبيقات عالية الخطورة: أنظمة ذات اثنين (أو أكثر) من PES

بصرف النظر عن التعقيد والنفقات ، لا توجد عوامل أخرى تمنع المصممين من استخدام أنظمة PES المضاعفة بالكامل مثل Siemens Simatic S5-115F و 3B6 Typ CAR-MIL وما إلى ذلك. تتضمن هذه عادةً اثنين من PESs متطابقة مع برامج متجانسة ، وتفترض استخدام PESs "المجربة جيدًا" والمجمعين "الذين تم تجربتهم جيدًا" (يمكن اعتبار PES أو المحول البرمجي الذي تم تجربته جيدًا واحدًا في العديد من التطبيقات العملية على مدار 3 سنوات أو أكثر أظهر أنه تم القضاء بشكل واضح على حالات الفشل المنهجية). على الرغم من أن أنظمة PES المضاعفة لا تحتوي على نقاط ضعف أنظمة PES المفردة ، إلا أن هذا لا يعني أن أنظمة PES المضاعفة تحل جميع المشكلات. (انظر الشكل 17).

الشكل 17. نظام متطور مع اثنين من PES

فشل منهجي

قد تنجم الإخفاقات المنهجية عن أخطاء في المواصفات والتصميم وأسباب أخرى ، وقد تكون موجودة في الأجهزة وكذلك في البرامج. تعد أنظمة PES المزدوجة مناسبة للاستخدام في التطبيقات المتعلقة بالسلامة. تسمح هذه التكوينات باكتشاف أعطال الأجهزة العشوائية. عن طريق تنوع الأجهزة مثل استخدام نوعين مختلفين ، أو منتجات لشركتين مختلفتين ، يمكن الكشف عن أعطال منتظمة في الأجهزة (من المستبعد جدًا أن يحدث فشل منهجي مماثل للأجهزة في كل من PES).

تطبيقات الكمبيوتر

البرمجيات هي عنصر جديد في اعتبارات السلامة. البرنامج إما صحيح أو غير صحيح (فيما يتعلق بالفشل). بمجرد تصحيح البرنامج ، لا يمكن أن يصبح غير صحيح على الفور (مقارنة بالأجهزة). الهدف هو القضاء على جميع الأخطاء في البرنامج أو على الأقل تحديدها.

هناك طرق مختلفة لتحقيق هذا الهدف. واحد هو التحقق من البرنامج (يحاول شخص ثانٍ اكتشاف الأخطاء في اختبار لاحق). الاحتمال الآخر هو تنوع من البرنامج ، حيث يقوم برنامجان مختلفان ، كتبهما مبرمجان ، بمعالجة نفس المشكلة. إذا كانت النتائج متطابقة (ضمن حدود معينة) ، يمكن افتراض أن كلا قسمي البرنامج صحيحان. إذا كانت النتائج مختلفة ، فمن المفترض أن الأخطاء موجودة. (ملحوظة ، إن هندسة معمارية يجب أيضًا مراعاة الأجهزة بشكل طبيعي.)

نبذة عامة

عند استخدام PES ، يجب أخذ نفس الاعتبارات الأساسية التالية في الاعتبار (كما هو موضح في الأقسام السابقة).

• يمكن تخصيص نظام تحكم واحد بدون أي تكرار للفئة ب. قد يكون نظام تحكم واحد مع تدابير إضافية من الفئة 1 أو حتى أعلى ، ولكن ليس أعلى من 2.
• يمكن تخصيص نظام تحكم من جزأين مع مقارنة متبادلة للنتائج للفئة 3. ويمكن تخصيص نظام تحكم من جزأين مع مقارنة متبادلة للنتائج وتنوع أكثر أو أقل للفئة 3 وهو مناسب للتطبيقات عالية المخاطر.

هناك عامل جديد وهو أنه بالنسبة للنظام الذي يحتوي على PES ، يجب تقييم البرامج حتى من وجهة نظر الصحة. البرنامج ، إذا كان صحيحًا ، موثوق به بنسبة 100٪. في هذه المرحلة من التطور التكنولوجي ، ربما لن يتم استخدام أفضل الحلول التقنية الممكنة والمعروفة ، لأن العوامل المقيدة لا تزال اقتصادية. علاوة على ذلك ، تستمر مجموعات مختلفة من الخبراء في تطوير معايير تطبيقات السلامة الخاصة بـ PES (على سبيل المثال ، EC ، EWICS). على الرغم من وجود العديد من المعايير المتاحة بالفعل (VDE0801 و IEC65A وما إلى ذلك) ، فإن هذا الأمر واسع ومعقد لدرجة أنه لا يمكن اعتبار أي منها نهائيًا.

الرجوع