Понедельник, Апрель 04 2011 18: 20

Принципы проектирования систем безопасного управления

Оценить этот пункт
(2 голосов)

Общепризнано, что системы управления должны быть безопасными во время использования. С учетом этого большинство современных систем управления спроектированы так, как показано на рисунке 1.

Рис. 1. Общий вид систем управления

САФ062F1

Самый простой способ обезопасить систему управления — возвести вокруг нее непроницаемую стену, чтобы предотвратить доступ человека или вмешательство в опасную зону. Такая система была бы очень безопасной, хотя и непрактичной, поскольку к ней невозможно было бы получить доступ для выполнения большинства работ по тестированию, ремонту и наладке. Поскольку доступ к опасным зонам должен быть разрешен при определенных условиях, для облегчения производства, установки, обслуживания и технического обслуживания требуются другие защитные меры, помимо стен, ограждений и т.п.

 

Некоторые из этих защитных мер могут быть частично или полностью интегрированы в системы управления, а именно:

  • Движение может быть немедленно остановлено, если кто-либо войдет в опасную зону, с помощью кнопок аварийной остановки (ES).
  • Кнопочные элементы управления разрешают движение только тогда, когда кнопка активирована.
  • Двуручное управление (DHC) разрешает движение только тогда, когда обе руки нажимают на два элемента управления (таким образом обеспечивается удаление рук от опасных зон).

 

Эти виды защитных мер активируются операторами. Однако, поскольку люди часто представляют собой слабое место в приложениях, многие функции, такие как следующие, выполняются автоматически:

  • Движения манипуляторов робота во время обслуживания или «обучения» очень медленные. Тем не менее, скорость постоянно контролируется. Если из-за сбоя системы управления скорость автоматических манипуляторов неожиданно увеличится либо во время обслуживания, либо в период обучения, система мониторинга активируется и немедленно прекратит движение.
  • Для предотвращения доступа в опасную зону предусмотрен световой барьер. Если световой луч прерывается, машина автоматически останавливается.

 

Нормальная работа систем управления является важнейшей предпосылкой производства. Если производственная функция прерывается из-за отказа системы управления, это в лучшем случае неудобно, но не опасно. Если функция, связанная с безопасностью, не выполняется, это может привести к остановке производства, повреждению оборудования, травмам или даже смерти. Следовательно, важные для безопасности функции системы управления должны быть более надежными и безопасными, чем обычные функции системы управления. В соответствии с Директивой Европейского Совета 89/392/EEC (Руководство по машинам) системы управления должны быть спроектированы и изготовлены таким образом, чтобы они были безопасными и надежными.

Элементы управления состоят из ряда компонентов, соединенных вместе для выполнения одной или нескольких функций. Элементы управления подразделяются на каналы. Канал — это часть управления, выполняющая определенную функцию (например, пуск, останов, аварийный останов). Физически канал создается набором компонентов (транзисторов, диодов, реле, вентилей и т. д.), через которые от одного компонента к другому передается (в основном электрическая) информация, представляющая эту функцию, от входа к выходу.

При проектировании каналов управления для функций, связанных с безопасностью (тех функций, в которых участвует человек), должны выполняться следующие требования:

  • Компоненты, используемые в каналах управления с важными для безопасности функциями, должны выдерживать суровые условия нормального использования. Вообще, они должны быть достаточно надежными.
  • Ошибки в логике не должны вызывать опасных ситуаций. Вообще, важный для безопасности канал должен быть достаточно отказоустойчивым.
  • Внешние воздействия (факторы) не должны приводить к временным или постоянным отказам в важных для безопасности каналах.

 

Надежность

Надежность это способность канала управления или компонента выполнять требуемую функцию в заданных условиях в течение заданного периода времени без провала. (Вероятность для конкретных компонентов или каналов управления можно рассчитать с помощью подходящих методов.) Надежность всегда должна указываться для определенного значения времени. В общем случае надежность можно выразить формулой на рисунке 2.

Рисунок 2. Формула надежности

САФ062F2

Надежность сложных систем

Системы строятся из компонентов. Зная надежность компонентов, можно рассчитать надежность системы в целом. В таких случаях применяется следующее:

Серийные системы

Суммарная надежность Rкарапуз последовательной системы, состоящей из N компонентов одинаковой надежности RC рассчитывается как на рисунке 3.

Рис. 3. График надежности последовательно соединенных компонентов

САФ062F3

Общая надежность ниже, чем надежность наименее надежного компонента. С увеличением количества последовательно соединенных компонентов общая надежность цепи значительно падает.

Параллельные системы

Суммарная надежность Rкарапуз параллельной системы, состоящей из N компонентов одинаковой надежности RC рассчитывается как на рисунке 4.

Рис. 4. График надежности параллельно соединенных компонентов

САФ062F4

Общая надежность может быть значительно повышена за счет параллельного соединения двух или более компонентов.

Рисунок 5 иллюстрирует практический пример. Обратите внимание, что схема отключит двигатель более надежно. Даже если реле А или В не разомкнет свои контакты, двигатель все равно будет выключен.

Рисунок 5. Практический пример рисунка 4

САФ062F5

Рассчитать общую надежность канала просто, если известны и доступны все необходимые надежности компонентов. В случае сложных компонентов (интегральные схемы, микропроцессоры и т. д.) расчет общей надежности затруднен или невозможен, если необходимая информация не опубликована изготовителем.

Безопасность

Когда профессионалы говорят о безопасности и призывают к безопасным машинам, они имеют в виду безопасность всей машины или системы. Однако эта безопасность носит слишком общий характер и недостаточно точно определена для разработчика средств управления. Следующее определение безопасность может быть практичным и полезным для разработчиков схем управления: безопасность — это способность системы управления выполнять требуемую функцию в заданных пределах в течение заданного времени, даже при возникновении ожидаемых отказов. Следовательно, при проектировании необходимо уточнить, насколько «безопасным» должен быть канал, связанный с безопасностью. (Проектировщик может разработать канал, защищенный от первого отказа, от любого одного отказа, от двух отказов и т. д.). быть неизбежно защищенным от неудач. Лучше всего это можно пояснить на следующих примерах:

Пример 1

Пример, показанный на рисунке 6, представляет собой важный для безопасности канал управления, выполняющий требуемую функцию безопасности. Первым компонентом может быть переключатель, контролирующий, например, положение двери доступа в опасную зону. Последним компонентом является двигатель, который приводит в движение движущиеся механические части в опасной зоне.

Рисунок 6. Важный для безопасности канал управления, выполняющий требуемую функцию безопасности

САФ062F6

Требуемая функция безопасности в этом случае двойная: если дверь закрыта, двигатель может работать. Если дверь открыта, двигатель должен быть выключен. Зная надежность R1 к р6, можно рассчитать надежность Rкарапуз. Разработчики должны использовать надежные компоненты, чтобы поддерживать достаточно высокую надежность всей системы управления (т. е. вероятность того, что эта функция все еще может выполняться, скажем, даже через 20 лет, должна быть учтена при проектировании). В результате проектировщики должны решить две задачи: (1) схема должна выполнять требуемую функцию и (2) надежность компонентов и всего канала управления должна быть адекватной.

Теперь следует задать следующий вопрос: будет ли вышеупомянутый канал выполнять требуемые функции безопасности, даже если в системе произойдет отказ (например, если контакт реле залипнет или компонент выйдет из строя)? Ответ - нет". Причина в том, что единый канал управления, состоящий только из последовательно соединенных компонентов и работающий со статическими сигналами, не застрахован от одного отказа. Канал может иметь только определенную надежность, гарантирующую вероятность выполнения функции. В таких ситуациях под безопасностью всегда подразумевают связанные с отказом.

Пример 2

Если канал управления должен быть одновременно надежным и безопасным, его конструкция должна быть изменена, как показано на рис. 7. Проиллюстрированный пример представляет собой важный для безопасности канал управления, состоящий из двух полностью разделенных подканалов.

Рис. 7. Важный для безопасности канал управления с двумя полностью отдельными подканалами

САФ062F7

Эта конструкция защищена от первого отказа (и возможных последующих отказов в одном и том же подканале), но не застрахована от двух отказов, которые могут произойти в двух разных подканалах (одновременно или в разное время), поскольку отсутствует схема обнаружения отказа. Следовательно, изначально оба подканала работают с высокой надежностью (см. параллельную систему), но после первого отказа будет работать только один подканал, и надежность снижается. Если во все еще работающем субканале произойдет второй отказ, то оба будут неисправны, и функция безопасности больше не будет выполняться.

Пример 3

Пример, показанный на рисунке 8, представляет собой важный для безопасности канал управления, состоящий из двух полностью отдельных подканалов, которые контролируют друг друга.

Рисунок 8. Важный для безопасности канал управления с двумя полностью отдельными подканалами, которые контролируют друг друга

САФ062F8

Такая конструкция является отказоустойчивой, поскольку после любого отказа только один подканал будет неработоспособен, а другой подканал останется доступным и будет выполнять функцию безопасности. Кроме того, в конструкции предусмотрена схема обнаружения отказа. Если из-за сбоя оба подканала не работают одинаково, это состояние будет обнаружено схемой «исключающее ИЛИ», в результате чего машина будет автоматически отключена. Это один из лучших способов проектирования элементов управления машиной — разработка подканалов, важных для безопасности. Они защищены от одного отказа и в то же время обеспечивают достаточную надежность, так что шансы одновременного возникновения двух отказов ничтожно малы.

избыточность

Очевидно, что существуют различные методы, с помощью которых разработчик может повысить надежность и/или безопасность (от отказов). Предыдущие примеры иллюстрируют, как функция (например, дверь закрыта, двигатель может работать; дверь открыта, двигатель должен быть остановлен) может быть реализована с помощью различных решений. Одни методы очень простые (один подканал), другие более сложные (два подканала с взаимным контролем). (См. рис. 9.)

Рис. 9. Надежность резервированных систем с обнаружением отказов или без них

САФ062F9

В сложных схемах и/или компонентах есть определенная избыточность по сравнению с простыми. избыточность можно определить следующим образом: (1) Резервирование – это наличие большего количества средств (компонентов, каналов, повышенных коэффициентов запаса, дополнительных испытаний и т. д.), чем это действительно необходимо для простого выполнения требуемой функции; (2) избыточность явно не «улучшает» функцию, которая и так выполняется. Избыточность только повышает надежность и/или безопасность.

Некоторые специалисты по безопасности считают, что избыточность — это всего лишь удвоение, утроение и т. д. системы. Это очень ограниченная интерпретация, поскольку избыточность может интерпретироваться гораздо шире и гибче. Избыточность может быть не только включена в оборудование; он также может быть включен в программное обеспечение. Улучшение коэффициента безопасности (например, более прочная веревка вместо более слабой) также может рассматриваться как форма избыточности.

Энтропия

Энтропия, термин, встречающийся в основном в термодинамике и астрономии, можно определить следующим образом: Все имеет тенденцию к распаду. Поэтому абсолютно точно, что все компоненты, подсистемы или системы, независимо от используемой технологии, когда-нибудь выйдут из строя. Это означает, что не существует 100% надежных и/или безопасных систем, подсистем или компонентов. Все они просто более или менее надежны и безопасны в зависимости от сложности конструкции. Неудачи, неизбежно возникающие раньше или позже, демонстрируют действие энтропии.

Единственным средством, доступным разработчикам для противодействия энтропии, является избыточность, которая достигается за счет (а) повышения надежности компонентов и (б) обеспечения большей безопасности во всей схемной архитектуре. Только достаточно повысив вероятность того, что требуемая функция будет выполняться в течение требуемого периода времени, проектировщики могут в какой-то степени защититься от энтропии.

Оценка риска

Чем выше потенциальный риск, тем выше требуемая надежность и/или безопасность (от отказов) (и наоборот). Это иллюстрируется следующими двумя случаями:

Дело 1

Доступ к пресс-форме, закрепленной в машине для литья под давлением, защищен дверью. Если дверь закрыта, машина может работать, а если дверь открыта, все опасные движения должны быть остановлены. Ни при каких обстоятельствах (даже при отказе в канале, связанном с безопасностью) не должно происходить каких-либо движений, особенно тех, которые приводят в действие инструмент.

Дело 2

Доступ к автоматически управляемой сборочной линии, которая собирает небольшие пластиковые компоненты под пневматическим давлением, защищен дверью. Если эта дверь открыта, линию придется остановить.

В случае 1, если система контроля за дверью выйдет из строя, возможны серьезные травмы, если инструмент неожиданно закроется. В случае 2 отказ системы контроля двери может привести лишь к легкой травме или незначительному ущербу.

Очевидно, что в первом случае для достижения надежности и/или безопасности (от отказов), необходимых для защиты от экстремально высокого риска, требуется гораздо больше резервирования. Фактически, в соответствии с европейским стандартом EN 201, система контроля двери машины для литья под давлением должна иметь три канала; два из которых являются электрическими и взаимоконтролируемыми, а один из них в основном оснащен гидравликой и испытательными схемами. Все эти три надзорные функции относятся к одной и той же двери.

И наоборот, в приложениях, подобных описанному в Случае 2, один канал, активируемый переключателем с положительным действием, соответствует риску.

Категории управления

Поскольку все вышеизложенные соображения в основном основаны на теории информации и, следовательно, справедливы для всех технологий, не имеет значения, основана ли система управления на электронных, электромеханических, механических, гидравлических или пневматических компонентах (или их смеси). , или по какой-то другой технологии. Изобретательность проектировщика, с одной стороны, и экономические вопросы, с другой стороны, являются основными факторами, влияющими на почти бесконечное количество решений о том, как реализовать каналы, важные для безопасности.

Чтобы избежать путаницы, целесообразно установить определенные критерии сортировки. Наиболее типичные структуры каналов, используемые в системах управления машинами для выполнения функций, связанных с безопасностью, классифицируются в соответствии с:

  • надежность
  • поведение в случае неудачи
  • время обнаружения отказа.

 

Их комбинации (показаны не все возможные комбинации) представлены в таблице 1.

Таблица 1. Некоторые возможные комбинации схемных структур в органах управления машиной для функций, связанных с безопасностью

Критерии (вопросы)

Базовая стратегия

 

Повышая надежность (смещается ли возникновение отказов, возможно, в далекое будущее?)

Благодаря подходящей структуре схемы (архитектуре) сбой будет как минимум обнаружен (категория 2), или влияние сбоя на канал будет устранено (категория 3), или сбой будет обнаружен немедленно (категория 4).

 

Категории

 

Это решение в корне неверно

B

1

2

3

4

Могут ли компоненты схемы выдержать ожидаемые воздействия; они построены в соответствии с современным уровнем техники?

Нет

Да

Да

Да

Да

Да

Были ли использованы проверенные компоненты и/или методы?

Нет

Нет

Да

Да

Да

Да

Может ли неисправность быть обнаружена автоматически?

Нет

Нет

Нет

Да

Да

Да

Мешает ли отказ выполнению функции, связанной с безопасностью?

Да

Да

Да

Да

Нет

Нет

Когда будет обнаружен сбой?

Никогда

Никогда

Никогда

Ранний (последний в конце интервала, не превышающего один машинный цикл)

Немедленно (когда сигнал теряет динамическую
персонаж)

   

В потребительских товарах

Для использования в машинах

 

Категория, применимая к конкретной машине и ее системе управления, связанной с безопасностью, в основном указана в новых европейских стандартах (EN), если национальный орган, пользователь и производитель не договорились о применении другой категории. Затем проектировщик разрабатывает систему управления, которая удовлетворяет требованиям. Например, соображения, определяющие структуру канала управления, могут включать следующее:

  • Компоненты должны выдерживать ожидаемые воздействия. (ДА НЕТ)
  • Их конструкция должна соответствовать современным стандартам. (ДА НЕТ)
  • Используются проверенные компоненты и методы. (ДА НЕТ)
  • Ошибка должен быть обнаружен. (ДА НЕТ)
  • Будет ли выполняться функция безопасности даже в случае отказа? (ДА НЕТ)
  • Когда будет обнаружен сбой? (НИКОГДА, РАНО, НЕМЕДЛЕННО)

 

Этот процесс обратим. По этим же вопросам можно решить, к какой категории относится существующий, ранее разработанный канал управления.

Примеры категорий

Категория B

Компоненты канала управления, используемые в первую очередь в потребительских товарах, должны выдерживать ожидаемые воздействия и быть спроектированы в соответствии с современным уровнем техники. Примером может служить хорошо спроектированный переключатель.

Категория 1

Использование хорошо зарекомендовавших себя компонентов и методов типично для Категории 1. Примером Категории 1 является переключатель с принудительным действием (т. е. требующий принудительного размыкания контактов). Этот переключатель имеет прочные детали и приводится в действие относительно большими усилиями, что обеспечивает чрезвычайно высокую надежность только при размыкании контактов. Несмотря на залипание или даже приваривание контактов, эти выключатели будут размыкаться. (Примечание: такие компоненты, как транзисторы и диоды, не считаются хорошо зарекомендовавшими себя компонентами.) Рисунок 10 служит иллюстрацией элемента управления категории 1.

Рисунок 10. Переключатель с положительным действием

САФ62F10

Этот канал использует переключатель S с положительным действием. Контактор K контролируется лампочкой L. Оператору сообщается, что нормально разомкнутые (нормально разомкнутые) контакты замыкаются с помощью лампочки L. Контактор K имеет принудительно управляемые контакты. (Примечание: Реле или контакторы с принудительным управлением контактами имеют, по сравнению с обычными реле или контакторами, специальную клетку из изоляционного материала, так что если нормально замкнутые (НЗ) контакты замкнуты, все нормально разомкнутые контакты должны быть разомкнуты, и наоборот. наоборот. Это означает, что при использовании размыкающих контактов может быть сделана проверка, чтобы определить, что рабочие контакты не прилипают и не привариваются друг к другу.)

Категория 2

Категория 2 предусматривает автоматическое обнаружение отказов. Перед каждым опасным движением должно генерироваться автоматическое обнаружение отказа. Только если тест положительный, можно выполнять движение; в противном случае машина будет остановлена. Для световых барьеров используются автоматические системы обнаружения отказов, чтобы доказать, что они все еще работают. Принцип проиллюстрирован на рисунке 1.

Рис. 11. Схема, включающая детектор отказа

САФ62F11

Эта система управления регулярно (или время от времени) проверяется путем подачи импульса на вход. В правильно работающей системе этот импульс затем будет передан на выход и сравнен с импульсом от тестового генератора. Когда присутствуют оба импульса, система, очевидно, работает. В противном случае, если нет выходного импульса, система вышла из строя.

Категория 3

Схема была ранее описана в примере 3 в разделе «Безопасность» этой статьи, рисунок 8.

Требование, т. е. автоматическое обнаружение отказов и возможность выполнения функции безопасности даже в случае возникновения одного отказа в любом месте, может быть выполнено двухканальными структурами управления и взаимным контролем двух каналов.

Только для систем управления машинами необходимо расследовать опасные отказы. Следует отметить, что существует два вида отказа:

  • Не опасно отказы – это те, которые после своего возникновения вызывают «безопасное состояние» машины, обеспечивая отключение двигателя.
  • опасно отказы - это те, которые после их возникновения вызывают "небезопасное состояние" машины, так как двигатель не может быть выключен или двигатель неожиданно начинает двигаться.

Категория 4

Категория 4 обычно предусматривает подачу на вход динамического, непрерывно изменяющегося сигнала. Наличие динамического сигнала на выходе означает Бег («1»), а отсутствие динамического сигнала означает остановить («0»).

Для такой схемы характерно, что после выхода из строя любого компонента динамический сигнал больше не будет поступать на выход. (Примечание: статический потенциал на выходе не имеет значения.) Такие схемы можно назвать «отказоустойчивыми». Все неисправности будут раскрыты сразу, а не после первого изменения (как в цепях категории 3).

Дополнительные комментарии по категориям управления

Таблица 1 разработана для обычных систем управления машинами и показывает только основные схемы; в соответствии с директивой по машинам она должна рассчитываться исходя из того, что за один машинный цикл произойдет только один отказ. Вот почему функция безопасности не должна выполняться в случае двух совпадающих отказов. Предполагается, что отказ будет обнаружен в течение одного машинного цикла. Машина будет остановлена, а затем отремонтирована. Затем система управления запускается снова, полностью работоспособная, без сбоев.

Первым намерением проектировщика должно быть недопущение «постоянных» отказов, которые не будут обнаружены в течение одного цикла, поскольку впоследствии они могут быть объединены с вновь возникающими отказами (накопление отказов). Такие комбинации (постоянная неисправность и новая неисправность) могут вызвать неисправность даже схем категории 3.

Несмотря на эту тактику, возможно, что два независимых отказа произойдут одновременно в течение одного и того же машинного цикла. Это очень маловероятно, особенно если использовались высоконадежные компоненты. Для приложений с очень высоким риском следует использовать три или более подканала. Эта философия основана на том факте, что среднее время наработки на отказ намного больше машинного цикла.

Однако это не означает, что таблица не может быть дополнительно расширена. Таблица 1 в основном и структурно очень похожа на таблицу 2, используемую в EN 954-1. Однако он не пытается включить слишком много критериев сортировки. Требования определяются в соответствии со строгими законами логики, поэтому можно ожидать только однозначных ответов (ДА или НЕТ). Это позволяет более точно оценивать, сортировать и классифицировать представленные схемы (каналы, связанные с безопасностью) и, что не менее важно, значительно улучшать воспроизводимость оценки.

Было бы идеально, если бы риски можно было классифицировать по различным уровням риска, а затем установить определенную связь между уровнями риска и категориями, причем все это независимо от используемой технологии. Однако это невозможно в полной мере. Вскоре после создания категорий стало ясно, что даже при одной и той же технологии ответы на различные вопросы были недостаточными. Что лучше: очень надежный и хорошо спроектированный компонент категории 1 или система, удовлетворяющая требованиям категории 3 с низкой надежностью?

Чтобы объяснить эту дилемму, нужно различать два качества: надежность и безопасность (от отказов). Они несопоставимы, так как оба эти качества имеют разные черты:

  • Компонент с наивысшей надежностью имеет неприятную особенность, заключающуюся в том, что в случае отказа (даже крайне маловероятного) функция перестанет выполняться.
  • Системы категории 3, в которых даже в случае одного отказа функция будет выполняться, не застрахованы от двух отказов одновременно (что может иметь значение, так это то, использовались ли достаточно надежные компоненты).

Принимая во внимание вышеизложенное, может оказаться, что лучшим решением (с точки зрения высокого риска) является использование высоконадежных компонентов и их конфигурация таким образом, чтобы схема была защищена как минимум от одного отказа (желательно больше). Понятно, что такое решение не самое экономичное. На практике процесс оптимизации в основном является следствием всех этих влияний и соображений.

Опыт практического использования категорий показывает, что редко возможно разработать систему управления, в которой можно использовать только одну категорию. Типичным является сочетание двух или даже трех частей, каждая из которых относится к разной категории, как показано в следующем примере:

Многие световые барьеры безопасности относятся к категории 4, в которой один канал работает с динамическим сигналом. В конце этой системы обычно есть два взаимно контролируемых подканала, которые работают со статическими сигналами. (Это соответствует требованиям для категории 3.)

В соответствии с EN 50100 такие световые барьеры классифицируются как Электрочувствительные защитные устройства типа 4, хотя они состоят из двух частей. К сожалению, нет единого мнения о том, как называть системы управления, состоящие из двух или более частей, каждая из которых относится к другой категории.

Программируемые электронные системы (ПЭС)

Принципы, используемые для создания таблицы 1, могут, конечно, с некоторыми ограничениями, в целом применяться и к PES.

система только PES

При использовании ПЭС для управления передача информации от датчика к активатору осуществляется через большое количество компонентов. Кроме того, он даже проходит «сквозь» программное обеспечение. (См. рис. 12).

Рисунок 12. Схема системы ПЭС

САФ62F14

Хотя современные ПЭС очень надежны, надежность не так высока, как может потребоваться для выполнения функций безопасности. Кроме того, обычные системы ПЭС недостаточно безопасны, поскольку в случае отказа они не будут выполнять функцию, связанную с безопасностью. Поэтому использование ПЭС для отработки функций безопасности без каких-либо дополнительных мероприятий не допускается.

Приложения с очень низким уровнем риска: системы с одним PES и дополнительными мерами

При использовании одной ПЭС для управления система состоит из следующих основных частей:

Входная часть

Надежность датчика и входа ПЭС можно повысить, удвоив их. Такая конфигурация ввода с двойной системой может дополнительно контролироваться программным обеспечением, чтобы проверить, предоставляют ли обе подсистемы одинаковую информацию. Таким образом, сбои во входной части могут быть обнаружены. Это почти та же философия, что требуется для категории 3. Однако, поскольку надзор осуществляется программным обеспечением и только один раз, это может быть обозначено как 3- (или не так надежно, как 3).

Средняя часть

Хотя эту часть нельзя хорошо удвоить, ее можно проверить. При включении (или во время работы) может быть выполнена проверка всего набора команд. Через те же промежутки времени можно проверить и память по подходящим битовым комбинациям. Если такие проверки проводятся без сбоев, очевидно, что обе части, ЦП и память, работают правильно. Средняя часть имеет некоторые характеристики, типичные для категории 4 (динамический сигнал), и другие характеристики, характерные для категории 2 (тестирование проводится регулярно через соответствующие интервалы времени). Проблема в том, что эти тесты, несмотря на их обширность, не могут быть действительно полными, так как система с одним ПЭС по своей сути не позволяет их проводить.

Выходная часть

Как и вход, выход (включая активаторы) также может быть удвоен. Обе подсистемы можно контролировать по отношению к одному и тому же результату. Сбои будут обнаружены, и функция безопасности будет выполнена. Однако есть те же слабые места, что и во входной части. Следовательно, в данном случае выбирается категория 3.

На рис. 13 та же функция перенесена на реле. A и B. Контакты управления a и b, затем информирует две системы ввода, выполняют ли оба реле одинаковую работу (если не произошел сбой в одном из каналов). Надзор снова осуществляется программным обеспечением.

Рис. 13. Схема ПЭС с системой обнаружения отказов

САФ62F13

Всю систему можно отнести к категории 3-/4/2/3-, если она выполнена правильно и широко. Тем не менее, описанные выше слабые места таких систем не могут быть полностью устранены. На самом деле усовершенствованные ПЭС фактически используются для функций, связанных с безопасностью, только там, где риски довольно низки (Hölscher and Rader 1984).

Приложения с низким и средним уровнем риска с одним PES

Сегодня почти каждая машина оснащена блоком управления PES. Для решения проблемы недостаточной надежности и, как правило, недостаточной защищенности от отказов обычно используются следующие методы проектирования:

  • В относительно простых машинах, таких как лифты, функции делятся на две группы: (1) функции, не связанные с безопасностью, обрабатываются ПЭС; (2) связанные с безопасностью функции объединены в одну цепочку (цепь безопасности) и обрабатываются вне ПЭС (см. рисунок 14).

 

Рис. 14. Современное состояние останова категории 0

САФ62F15

  • Приведенный выше метод не подходит для более сложных машин. Одна из причин заключается в том, что такие решения обычно недостаточно безопасны. Для приложений со средним уровнем риска решения должны соответствовать требованиям категории 3. Общие представления о том, как могут выглядеть такие конструкции, представлены на рис. 15 и 16.

 

Рис. 15. Современное состояние останова категории 1

САФ62F16

 

Рис. 16. Современное состояние останова категории 2

САФ62F17

Приложения с высоким риском: системы с двумя (или более) PES.

Помимо сложности и дороговизны, нет других факторов, которые могли бы помешать разработчикам использовать полностью сдвоенные системы PES, такие как Siemens Simatic S5-115F, 3B6 Typ CAR-MIL и так далее. Обычно они включают в себя два идентичных PES с однородным программным обеспечением и предполагают использование «апробированных» PES и «апробированных» компиляторов (апробированными PES или компилятором можно считать тот, который во многих практических приложениях работает более 3 лет). показало, что систематические отказы явно устранены). Хотя эти двойные системы ПЭС не имеют слабых мест систем с одним ПЭС, это не означает, что двойные системы ПЭС решают все проблемы. (См. рис. 17).

Рисунок 17. Сложная система с двумя ПЭС

САФ62F18

Систематические сбои

Систематические отказы могут возникать из-за ошибок в спецификациях, конструкции и по другим причинам и могут присутствовать как в аппаратном, так и в программном обеспечении. Системы Double-PES подходят для использования в приложениях, связанных с безопасностью. Такие конфигурации позволяют обнаруживать случайные отказы оборудования. С помощью разнообразия аппаратных средств, такого как использование двух разных типов или продуктов двух разных производителей, можно выявить систематические отказы аппаратных средств (крайне маловероятно, что идентичные систематические отказы аппаратных средств произойдут на обоих ПВУ).

Software

Программное обеспечение является новым элементом в вопросах безопасности. Программное обеспечение либо правильное, либо неправильное (в отношении сбоев). После исправления программное обеспечение не может мгновенно стать неверным (по сравнению с аппаратным обеспечением). Цель состоит в том, чтобы устранить все ошибки в программном обеспечении или, по крайней мере, выявить их.

Существуют различные способы достижения этой цели. Один из них проверка программы (второй человек пытается обнаружить ошибки в последующем тесте). Другая возможность разнообразие программного обеспечения, в котором две разные программы, написанные двумя программистами, решают одну и ту же задачу. Если результаты совпадают (в определенных пределах), можно считать, что оба участка программы верны. Если результаты отличаются, предполагается наличие ошибок. (Обратите внимание, архитектура оборудования, естественно, также необходимо учитывать.)

Итого

При использовании PES, как правило, следует принимать во внимание те же самые следующие основные соображения (как описано в предыдущих разделах).

  • К категории Б может быть отнесена одна система управления без резервирования. Одна система управления с дополнительными мероприятиями может быть отнесена к категории 1 и выше, но не выше 2.
  • Система управления, состоящая из двух частей, с взаимным сравнением результатов может быть отнесена к Категории 3. Система управления, состоящая из двух частей, с взаимным сравнением результатов и большим или меньшим разнообразием, может быть отнесена к Категории 3 и подходит для приложений с более высоким риском.

Новым фактором является то, что для системы с ПЭС даже программное обеспечение должно оцениваться с точки зрения корректности. Программное обеспечение, если оно правильное, надежно на 100%. На данном этапе технологического развития, вероятно, не будут использоваться лучшие из возможных и известных технических решений, так как ограничивающими факторами остаются экономические факторы. Кроме того, различные группы экспертов продолжают разрабатывать стандарты для безопасного применения PES (например, EC, EWICS). Хотя уже существуют различные стандарты (VDE0801, IEC65A и т. д.), этот вопрос настолько широк и сложен, что ни один из них не может считаться окончательным.

 

Назад

Читать 11123 раз Последнее изменение Среда, 31 августа 2011 г., 16:05

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: МОТ не несет ответственности за контент, представленный на этом веб-портале, который представлен на каком-либо языке, кроме английского, который является языком, используемым для первоначального производства и рецензирования оригинального контента. Некоторые статистические данные не обновлялись с тех пор. выпуск 4-го издания Энциклопедии (1998 г.)».

Содержание:

Справочные материалы по приложениям безопасности

Арто, Дж., А. Лан и Дж. Ф. Корвейл. 1994. Использование горизонтальных спасательных тросов при возведении металлоконструкций. Материалы Международного симпозиума по защите от падения, Сан-Диего, Калифорния (27–28 октября 1994 г.). Торонто: Международное общество защиты от падения.

Backström, T. 1996. Риск несчастных случаев и защита безопасности в автоматизированном производстве. Докторская диссертация. Arbete och Hälsa 1996:7. Солна: Национальный институт трудовой жизни.

Бакстрем, Т. и Л. Хармс-Рингдал. 1984. Статистическое исследование систем управления и несчастных случаев на производстве. J Оккупация Акк. 6: 201–210.

Backström, T и M Döös. 1994. Технические дефекты, лежащие в основе аварий на автоматизированном производстве. В книге «Достижения гибкого производства» под редакцией П. Т. Кидда и В. Карвовски. Амстердам: IOS Press.

—. 1995. Сравнение несчастных случаев на производстве в отраслях с передовой производственной технологией. Int J Hum Factors Manufac. 5(3). 267–282.

—. Под давлением. Технический генезис отказов машин, приводящих к несчастным случаям на производстве. Int J Ind Эргономика.

—. Принят к публикации. Абсолютная и относительная частота аварий автоматики на разных видах оборудования и для разных профессиональных групп. Дж. Саф Рез.

Бейнбридж, Л. 1983. Ирония автоматизации. Автоматика 19: 775–779.

Белл, Р. и Д. Рейнерт. 1992. Концепции риска и целостности системы для систем управления, связанных с безопасностью. Саф Науки 15: 283–308.

Бушар, П. 1991. Échafaudages. Руководство серии 4. Монреаль: CSST.

бюро по национальным делам. 1975. Стандарты безопасности и гигиены труда. Опрокидывающиеся защитные конструкции для погрузочно-разгрузочного оборудования и тракторов, разделы 1926, 1928. Вашингтон, округ Колумбия: Бюро по национальным делам.

Корбетт, Дж. М. 1988. Эргономика в разработке ориентированной на человека АМТ. Прикладная эргономика 19:35–39.

Калвер, С. и С. Коннолли. 1994. Предотвратить смертельные падения на стройке. Saf Health, сентябрь 1994 г .: 72–75.

Нормы немецкой промышленности (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Берлин: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Берлин: Beuth Verlag.

—. 1995а. Sicherheit von Maschinen — Druckempfindliche Schutzeinrichtungen [Безопасность машин — Защитное оборудование, чувствительное к давлению]. DIN prEN 1760. Берлин: Beuth Verlag.

—. 1995б. Rangier-Warneinrichtungen — Anforderungen und Prüfung [Коммерческие автомобили — обнаружение препятствий при движении задним ходом — требования и испытания]. DIN-Норма 75031. Февраль 1995 г.

Дёёш, М. и Т. Бакстрём. 1993. Описание несчастных случаев при автоматизированной обработке материалов. В книге «Эргономика обработки материалов и обработки информации на работе» под редакцией В. С. Марраса, В. Карвовски, Дж. Л. Смита и Л. Пачольски. Варшава: Тейлор и Фрэнсис.

—. 1994. Производственные нарушения как риск аварии. В книге «Достижения гибкого производства» под редакцией П. Т. Кидда и В. Карвовски. Амстердам: IOS Press.

Европейское экономическое сообщество (ЕЭС). 1974, 1977, 1979, 1982, 1987. Директивы Совета по конструкциям защиты от опрокидывания колесных сельскохозяйственных и лесохозяйственных тракторов. Брюссель: ЕЭК.

—. 1991. Директива Совета о сближении законов государств-членов, касающихся машин. (91/368/ЕЭС) Люксембург: ЕЭС.

Этертон, Дж. Р. и М. Л. Майерс. 1990 г. Исследование безопасности машин в NIOSH и будущие направления. Int J Ind Erg 6: 163–174.

Фройнд, Э., Ф. Диркс и Дж. Россманн. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Испытания по охране труда мобильных роботов и многороботных систем]. Дортмунд: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Гобл, В. 1992. Оценка надежности системы управления. Нью-Йорк: Американское общество инструментов.

Гудштейн, Л.П., Х.Б. Андерсон и С.Э. Олсен (ред.). 1988. Задачи, ошибки и ментальные модели. Лондон: Тейлор и Фрэнсис.

Гриф, CI. 1988. Причины и предотвращение падений. На Международном симпозиуме по защите от падения. Орландо: Международное общество защиты от падения.

Исполнительный директор по охране труда. 1989. Статистика здоровья и безопасности за 1986–87 годы. Используйте Газ 97 (2).

Генрих, Х.В., Д. Петерсон и Н. Роос. 1980. Предотвращение промышленных аварий. 5-е изд. Нью-Йорк: Макгроу-Хилл.

Холлнагель, Э. и Д. Вудс. 1983. Когнитивная системная инженерия: Новое вино в новых бутылках. Int J Man Machine Stud 18: 583–600.

Хёльшер, Х. и Дж. Рейдер. 1984. Микрокомпьютер в der Sicherheitstechnik. Рейнланд: Verlag TgV-Reinland.

Хёрте, С-Е и П. Линдберг. 1989. Распространение и внедрение передовых производственных технологий в Швеции. Рабочий документ № 198:16. Институт инноваций и технологий.

Международная электротехническая комиссия (МЭК). 1992. 122 Проект стандарта: Программное обеспечение для компьютеров в применении систем, связанных с промышленной безопасностью. МЭК 65 (сек). Женева: МЭК.

—. 1993. 123 Проект стандарта: Функциональная безопасность электрических/электронных/программируемых электронных систем; Общие аспекты. Часть 1, Общие требования Женева: МЭК.

Международная организация труда (МОТ). 1965. Безопасность и здоровье при сельскохозяйственных работах. Женева: МОТ.

—. 1969. Безопасность и здоровье при работе в лесном хозяйстве. Женева: МОТ.

—. 1976. Безопасная конструкция и эксплуатация тракторов. Кодекс практики МОТ. Женева: МОТ.

Международная организация по стандартизации (ИСО). 1981. Сельскохозяйственные и лесохозяйственные колесные тракторы. Защитные сооружения. Метод статических испытаний и условия приемки. ISO 5700. Женева: ISO.

—. 1990. Стандарты управления качеством и обеспечения качества: Руководство по применению ISO 9001 к разработке, поставке и обслуживанию программного обеспечения. ИСО 9000-3. Женева: ИСО.

—. 1991. Системы промышленной автоматизации. Безопасность интегрированных производственных систем. Основные требования (CD 11161). TC 184/WG 4. Женева: ISO.

—. 1994. Коммерческие автомобили — Устройство обнаружения препятствий при движении задним ходом — Требования и испытания. Технический отчет TR 12155. Женева: ISO.

Джонсон, Б. 1989. Проектирование и анализ отказоустойчивых цифровых систем. Нью-Йорк: Аддисон Уэсли.

Кидд, П. 1994. Автоматизированное производство, основанное на навыках. В «Организация и управление передовыми производственными системами» под редакцией В. Карвовски и Г. Салвенди. Нью-Йорк: Уайли.

Ноултон, RE. 1986. Введение в исследования опасностей и работоспособности: подход с направляющим словом. Ванкувер, Британская Колумбия: Chemetics.

Куйванен, Р. 1990. Влияние помех на безопасность в гибких производственных системах. В книге «Эргономика гибридных автоматизированных систем II» под редакцией В. Карвовски и М. Рахими. Амстердам: Эльзевир.

Лазер, Р.П., В.И. Маклафлин и Д.М. Вольф. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1): S. 60–70.

Лан, А., Дж. Арто и Дж. Ф. Корбей. 1994. Защита от падений с надземных рекламных щитов. Международный симпозиум по защите от падения, Сан-Диего, Калифорния, 27–28 октября 1994 г. Труды Международного общества защиты от падения.

Лангер, Х. Дж. и В. Курфюрст. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Использование датчиков для защиты территории позади больших транспортных средств]. FB 605. Дортмунд: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Левенсон, НГ. 1986. Безопасность программного обеспечения: почему, что и как. Компьютерные исследования ACM (2): S. 129–163.

Макманус, Теннесси. Nd Замкнутые пространства. Рукопись.

Микросоник ГмбХ. 1996. Корпоративное общение. Дортмунд, Германия: Microsonic.

Местер, У., Т. Хервиг, Г. Донгес, Б. Бродбек, Х. Д. Бредов, М. Беренс и У. Аренс. 1980. Gefahrenschutz durchpassive Infrarot-Sensoren (II) [Защита от опасностей с помощью инфракрасных датчиков]. FB 243. Дортмунд: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Мохан, Д. и Р. Патель. 1992. Проектирование более безопасного сельскохозяйственного оборудования: применение эргономики и эпидемиологии. Int J Ind Erg 10: 301–310.

Национальная ассоциация противопожарной защиты (NFPA). 1993. NFPA 306: Контроль газовых опасностей на судах. Куинси, Массачусетс: NFPA.

Национальный институт охраны труда и здоровья (NIOSH). 1994. Смерти рабочих в замкнутых пространствах. Цинциннати, Огайо, США: DHHS/PHS/CDCP/NIOSH Pub. № 94-103. НИОСХ.

Нейманн, П.Г. 1987. N лучших (или худших) случаев компьютерного риска. IEEE T Syst Man Cyb. Нью-Йорк: С.11–13.

—. 1994. Иллюстративные риски для населения при использовании компьютерных систем и связанных с ними технологий. Заметки инженера по программному обеспечению SIGSOFT 19, № 1: 16–29.

Управление по охране труда и здоровья (OSHA). 1988. Избранные смертельные случаи на производстве, связанные со сваркой и резкой, как указано в отчетах OSHA о расследованиях несчастных случаев со смертельным исходом / катастроф. Вашингтон, округ Колумбия: OSHA.

Организация экономического сотрудничества и развития (ОЭСР). 1987. Стандартные нормы официальных испытаний сельскохозяйственных тракторов. Париж: ОЭСР.

Профессиональная организация по предотвращению защиты и общественного вреда (OPPBTP). 1984. Индивидуальные средства защиты от высокомерных лотков. Булонь-Биланкур, Франция: OPPBTP.

Расмуссен, Дж. 1983. Навыки, правила и знания: повестка дня, знаки и символы и другие различия в моделях человеческой деятельности. IEEE Transactions по системам, человеку и кибернетике. SMC13 (3): 257–266.

Reason, J. 1990. Человеческая ошибка. Нью-Йорк: Издательство Кембриджского университета.

Риз, CD и GR Mills. 1986. Травматологическая эпидемиология смертельных случаев в замкнутом пространстве и ее применение для вмешательства/профилактики в настоящее время. В «Изменении характера труда и рабочей силы». Цинциннати, Огайо: NIOSH.

Райнерт, Д. и Г. Ройсс. 1991. Sicherheitstechnische Beurteilung und Prüfung microprozessorgesteuerter
Sicherheitseinrichtungen. В справочнике BIA. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Билефельд: Erich Schmidt Verlag.

Общество автомобильных инженеров (SAE). 1974. Защита оператора промышленного оборудования. Стандарт SAE j1042. Уоррендейл, США: SAE.

—. 1975. Критерии эффективности защиты от опрокидывания. Рекомендуемая практика SAE. Стандарт SAE j1040a. Уоррендейл, США: SAE.

Шрайбер, П. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Состояние разработок устройств предупреждения в тылу]. Technische Überwachung, Nr. 4, апрель, с. 161.

Шрайбер, П. и К. Кун. 1995. Informationstechnologie in der Fertigungstechnik [Информационные технологии в производственной технике, серия Федерального института охраны труда]. FB 717. Дортмунд: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Шеридан, Т. 1987. Надзорный контроль. В Справочнике по человеческому фактору под редакцией Г. Салвенди. Нью-Йорк: Уайли.

Спрингфельдт, Б. 1993. Влияние правил и мер по охране труда с особым вниманием к травмам. Преимущества автоматически работающих решений. Стокгольм: Королевский технологический институт, факультет трудовых наук.

Сугимото, Н. 1987. Предметы и проблемы технологии безопасности роботов. В книге «Безопасность и гигиена труда в области автоматизации и робототехники» под редакцией К. Ното. Лондон: Тейлор и Фрэнсис. 175.

Суловски, AC (ред.). 1991. Основы защиты от падения. Торонто, Канада: Международное общество защиты от падения.

Венер, Т. 1992. Sicherheit als Fehlerfreundlichkeit. Опладен: Westdeutscher Verlag.

Зимолонг, Б. и Л. Дуда. 1992. Стратегии сокращения человеческих ошибок в передовых производственных системах. В книге «Взаимодействие человека и робота» под редакцией М. Рахими и В. Карвовски. Лондон: Тейлор и Фрэнсис.