Общепризнано, что системы управления должны быть безопасными во время использования. С учетом этого большинство современных систем управления спроектированы так, как показано на рисунке 1.
Рис. 1. Общий вид систем управления
Самый простой способ обезопасить систему управления — возвести вокруг нее непроницаемую стену, чтобы предотвратить доступ человека или вмешательство в опасную зону. Такая система была бы очень безопасной, хотя и непрактичной, поскольку к ней невозможно было бы получить доступ для выполнения большинства работ по тестированию, ремонту и наладке. Поскольку доступ к опасным зонам должен быть разрешен при определенных условиях, для облегчения производства, установки, обслуживания и технического обслуживания требуются другие защитные меры, помимо стен, ограждений и т.п.
Некоторые из этих защитных мер могут быть частично или полностью интегрированы в системы управления, а именно:
- Движение может быть немедленно остановлено, если кто-либо войдет в опасную зону, с помощью кнопок аварийной остановки (ES).
- Кнопочные элементы управления разрешают движение только тогда, когда кнопка активирована.
- Двуручное управление (DHC) разрешает движение только тогда, когда обе руки нажимают на два элемента управления (таким образом обеспечивается удаление рук от опасных зон).
Эти виды защитных мер активируются операторами. Однако, поскольку люди часто представляют собой слабое место в приложениях, многие функции, такие как следующие, выполняются автоматически:
- Движения манипуляторов робота во время обслуживания или «обучения» очень медленные. Тем не менее, скорость постоянно контролируется. Если из-за сбоя системы управления скорость автоматических манипуляторов неожиданно увеличится либо во время обслуживания, либо в период обучения, система мониторинга активируется и немедленно прекратит движение.
- Для предотвращения доступа в опасную зону предусмотрен световой барьер. Если световой луч прерывается, машина автоматически останавливается.
Нормальная работа систем управления является важнейшей предпосылкой производства. Если производственная функция прерывается из-за отказа системы управления, это в лучшем случае неудобно, но не опасно. Если функция, связанная с безопасностью, не выполняется, это может привести к остановке производства, повреждению оборудования, травмам или даже смерти. Следовательно, важные для безопасности функции системы управления должны быть более надежными и безопасными, чем обычные функции системы управления. В соответствии с Директивой Европейского Совета 89/392/EEC (Руководство по машинам) системы управления должны быть спроектированы и изготовлены таким образом, чтобы они были безопасными и надежными.
Элементы управления состоят из ряда компонентов, соединенных вместе для выполнения одной или нескольких функций. Элементы управления подразделяются на каналы. Канал — это часть управления, выполняющая определенную функцию (например, пуск, останов, аварийный останов). Физически канал создается набором компонентов (транзисторов, диодов, реле, вентилей и т. д.), через которые от одного компонента к другому передается (в основном электрическая) информация, представляющая эту функцию, от входа к выходу.
При проектировании каналов управления для функций, связанных с безопасностью (тех функций, в которых участвует человек), должны выполняться следующие требования:
- Компоненты, используемые в каналах управления с важными для безопасности функциями, должны выдерживать суровые условия нормального использования. Вообще, они должны быть достаточно надежными.
- Ошибки в логике не должны вызывать опасных ситуаций. Вообще, важный для безопасности канал должен быть достаточно отказоустойчивым.
- Внешние воздействия (факторы) не должны приводить к временным или постоянным отказам в важных для безопасности каналах.
Надежность
Надежность это способность канала управления или компонента выполнять требуемую функцию в заданных условиях в течение заданного периода времени без провала. (Вероятность для конкретных компонентов или каналов управления можно рассчитать с помощью подходящих методов.) Надежность всегда должна указываться для определенного значения времени. В общем случае надежность можно выразить формулой на рисунке 2.
Рисунок 2. Формула надежности
Надежность сложных систем
Системы строятся из компонентов. Зная надежность компонентов, можно рассчитать надежность системы в целом. В таких случаях применяется следующее:
Серийные системы
Суммарная надежность Rкарапуз последовательной системы, состоящей из N компонентов одинаковой надежности RC рассчитывается как на рисунке 3.
Рис. 3. График надежности последовательно соединенных компонентов
Общая надежность ниже, чем надежность наименее надежного компонента. С увеличением количества последовательно соединенных компонентов общая надежность цепи значительно падает.
Параллельные системы
Суммарная надежность Rкарапуз параллельной системы, состоящей из N компонентов одинаковой надежности RC рассчитывается как на рисунке 4.
Рис. 4. График надежности параллельно соединенных компонентов
Общая надежность может быть значительно повышена за счет параллельного соединения двух или более компонентов.
Рисунок 5 иллюстрирует практический пример. Обратите внимание, что схема отключит двигатель более надежно. Даже если реле А или В не разомкнет свои контакты, двигатель все равно будет выключен.
Рисунок 5. Практический пример рисунка 4
Рассчитать общую надежность канала просто, если известны и доступны все необходимые надежности компонентов. В случае сложных компонентов (интегральные схемы, микропроцессоры и т. д.) расчет общей надежности затруднен или невозможен, если необходимая информация не опубликована изготовителем.
Сохранность
Когда профессионалы говорят о безопасности и призывают к безопасным машинам, они имеют в виду безопасность всей машины или системы. Однако эта безопасность носит слишком общий характер и недостаточно точно определена для разработчика средств управления. Следующее определение безопасность может быть практичным и полезным для разработчиков схем управления: безопасность — это способность системы управления выполнять требуемую функцию в заданных пределах в течение заданного времени, даже при возникновении ожидаемых отказов. Следовательно, при проектировании необходимо уточнить, насколько «безопасным» должен быть канал, связанный с безопасностью. (Проектировщик может разработать канал, защищенный от первого отказа, от любого одного отказа, от двух отказов и т. д.). быть неизбежно защищенным от неудач. Лучше всего это можно пояснить на следующих примерах:
Пример 1
Пример, показанный на рисунке 6, представляет собой важный для безопасности канал управления, выполняющий требуемую функцию безопасности. Первым компонентом может быть переключатель, контролирующий, например, положение двери доступа в опасную зону. Последним компонентом является двигатель, который приводит в движение движущиеся механические части в опасной зоне.
Рисунок 6. Важный для безопасности канал управления, выполняющий требуемую функцию безопасности
Требуемая функция безопасности в этом случае двойная: если дверь закрыта, двигатель может работать. Если дверь открыта, двигатель должен быть выключен. Зная надежность R1 к р6, можно рассчитать надежность Rкарапуз. Разработчики должны использовать надежные компоненты, чтобы поддерживать достаточно высокую надежность всей системы управления (т. е. вероятность того, что эта функция все еще может выполняться, скажем, даже через 20 лет, должна быть учтена при проектировании). В результате проектировщики должны решить две задачи: (1) схема должна выполнять требуемую функцию и (2) надежность компонентов и всего канала управления должна быть адекватной.
Теперь следует задать следующий вопрос: будет ли вышеупомянутый канал выполнять требуемые функции безопасности, даже если в системе произойдет отказ (например, если контакт реле залипнет или компонент выйдет из строя)? Ответ - нет". Причина в том, что единый канал управления, состоящий только из последовательно соединенных компонентов и работающий со статическими сигналами, не застрахован от одного отказа. Канал может иметь только определенную надежность, гарантирующую вероятность выполнения функции. В таких ситуациях под безопасностью всегда подразумевают связанные с отказом.
Пример 2
Если канал управления должен быть одновременно надежным и безопасным, его конструкция должна быть изменена, как показано на рис. 7. Проиллюстрированный пример представляет собой важный для безопасности канал управления, состоящий из двух полностью разделенных подканалов.
Рис. 7. Важный для безопасности канал управления с двумя полностью отдельными подканалами
Эта конструкция защищена от первого отказа (и возможных последующих отказов в одном и том же подканале), но не застрахована от двух отказов, которые могут произойти в двух разных подканалах (одновременно или в разное время), поскольку отсутствует схема обнаружения отказа. Следовательно, изначально оба подканала работают с высокой надежностью (см. параллельную систему), но после первого отказа будет работать только один подканал, и надежность снижается. Если во все еще работающем субканале произойдет второй отказ, то оба будут неисправны, и функция безопасности больше не будет выполняться.
Пример 3
Пример, показанный на рисунке 8, представляет собой важный для безопасности канал управления, состоящий из двух полностью отдельных подканалов, которые контролируют друг друга.
Рисунок 8. Важный для безопасности канал управления с двумя полностью отдельными подканалами, которые контролируют друг друга
Такая конструкция является отказоустойчивой, поскольку после любого отказа только один подканал будет неработоспособен, а другой подканал останется доступным и будет выполнять функцию безопасности. Кроме того, в конструкции предусмотрена схема обнаружения отказа. Если из-за сбоя оба подканала не работают одинаково, это состояние будет обнаружено схемой «исключающее ИЛИ», в результате чего машина будет автоматически отключена. Это один из лучших способов проектирования элементов управления машиной — разработка подканалов, важных для безопасности. Они защищены от одного отказа и в то же время обеспечивают достаточную надежность, так что шансы одновременного возникновения двух отказов ничтожно малы.
избыточность
Очевидно, что существуют различные методы, с помощью которых разработчик может повысить надежность и/или безопасность (от отказов). Предыдущие примеры иллюстрируют, как функция (например, дверь закрыта, двигатель может работать; дверь открыта, двигатель должен быть остановлен) может быть реализована с помощью различных решений. Одни методы очень простые (один подканал), другие более сложные (два подканала с взаимным контролем). (См. рис. 9.)
Рис. 9. Надежность резервированных систем с обнаружением отказов или без них
В сложных схемах и/или компонентах есть определенная избыточность по сравнению с простыми. избыточность можно определить следующим образом: (1) Резервирование – это наличие большего количества средств (компонентов, каналов, повышенных коэффициентов запаса, дополнительных испытаний и т. д.), чем это действительно необходимо для простого выполнения требуемой функции; (2) избыточность явно не «улучшает» функцию, которая и так выполняется. Избыточность только повышает надежность и/или безопасность.
Некоторые специалисты по безопасности считают, что избыточность — это всего лишь удвоение, утроение и т. д. системы. Это очень ограниченная интерпретация, поскольку избыточность может интерпретироваться гораздо шире и гибче. Избыточность может быть не только включена в оборудование; он также может быть включен в программное обеспечение. Улучшение коэффициента безопасности (например, более прочная веревка вместо более слабой) также может рассматриваться как форма избыточности.
Энтропия
Энтропия, термин, встречающийся в основном в термодинамике и астрономии, можно определить следующим образом: Все имеет тенденцию к распаду. Поэтому абсолютно точно, что все компоненты, подсистемы или системы, независимо от используемой технологии, когда-нибудь выйдут из строя. Это означает, что не существует 100% надежных и/или безопасных систем, подсистем или компонентов. Все они просто более или менее надежны и безопасны в зависимости от сложности конструкции. Неудачи, неизбежно возникающие раньше или позже, демонстрируют действие энтропии.
Единственным средством, доступным разработчикам для противодействия энтропии, является избыточность, которая достигается за счет (а) повышения надежности компонентов и (б) обеспечения большей безопасности во всей схемной архитектуре. Только достаточно повысив вероятность того, что требуемая функция будет выполняться в течение требуемого периода времени, проектировщики могут в какой-то степени защититься от энтропии.
Оценка риска
Чем выше потенциальный риск, тем выше требуемая надежность и/или безопасность (от отказов) (и наоборот). Это иллюстрируется следующими двумя случаями:
Дело 1
Доступ к пресс-форме, закрепленной в машине для литья под давлением, защищен дверью. Если дверь закрыта, машина может работать, а если дверь открыта, все опасные движения должны быть остановлены. Ни при каких обстоятельствах (даже при отказе в канале, связанном с безопасностью) не должно происходить каких-либо движений, особенно тех, которые приводят в действие инструмент.
Дело 2
Доступ к автоматически управляемой сборочной линии, которая собирает небольшие пластиковые компоненты под пневматическим давлением, защищен дверью. Если эта дверь открыта, линию придется остановить.
В случае 1, если система контроля за дверью выйдет из строя, возможны серьезные травмы, если инструмент неожиданно закроется. В случае 2 отказ системы контроля двери может привести лишь к легкой травме или незначительному ущербу.
Очевидно, что в первом случае для достижения надежности и/или безопасности (от отказов), необходимых для защиты от экстремально высокого риска, требуется гораздо больше резервирования. Фактически, в соответствии с европейским стандартом EN 201, система контроля двери машины для литья под давлением должна иметь три канала; два из которых являются электрическими и взаимоконтролируемыми, а один из них в основном оснащен гидравликой и испытательными схемами. Все эти три надзорные функции относятся к одной и той же двери.
И наоборот, в приложениях, подобных описанному в Случае 2, один канал, активируемый переключателем с положительным действием, соответствует риску.
Категории управления
Поскольку все вышеизложенные соображения в основном основаны на теории информации и, следовательно, справедливы для всех технологий, не имеет значения, основана ли система управления на электронных, электромеханических, механических, гидравлических или пневматических компонентах (или их смеси). , или по какой-то другой технологии. Изобретательность проектировщика, с одной стороны, и экономические вопросы, с другой стороны, являются основными факторами, влияющими на почти бесконечное количество решений о том, как реализовать каналы, важные для безопасности.
Чтобы избежать путаницы, целесообразно установить определенные критерии сортировки. Наиболее типичные структуры каналов, используемые в системах управления машинами для выполнения функций, связанных с безопасностью, классифицируются в соответствии с:
- надежность
- поведение в случае неудачи
- время обнаружения отказа.
Их комбинации (показаны не все возможные комбинации) представлены в таблице 1.
Таблица 1. Некоторые возможные комбинации схемных структур в органах управления машиной для функций, связанных с безопасностью
Критерии (вопросы) |
Базовая стратегия |
|||||
Повышая надежность (смещается ли возникновение отказов, возможно, в далекое будущее?) |
Благодаря подходящей структуре схемы (архитектуре) сбой будет как минимум обнаружен (категория 2), или влияние сбоя на канал будет устранено (категория 3), или сбой будет обнаружен немедленно (категория 4). |
|||||
Категории |
||||||
Это решение в корне неверно |
B |
1 |
2 |
3 |
4 |
|
Могут ли компоненты схемы выдержать ожидаемые воздействия; они построены в соответствии с современным уровнем техники? |
Нет |
Да |
Да |
Да |
Да |
Да |
Были ли использованы проверенные компоненты и/или методы? |
Нет |
Нет |
Да |
Да |
Да |
Да |
Может ли неисправность быть обнаружена автоматически? |
Нет |
Нет |
Нет |
Да |
Да |
Да |
Мешает ли отказ выполнению функции, связанной с безопасностью? |
Да |
Да |
Да |
Да |
Нет |
Нет |
Когда будет обнаружен сбой? |
Никогда |
Никогда |
Никогда |
Ранний (последний в конце интервала, не превышающего один машинный цикл) |
Немедленно (когда сигнал теряет динамическую |
|
В потребительских товарах |
Для использования в машинах |
Категория, применимая к конкретной машине и ее системе управления, связанной с безопасностью, в основном указана в новых европейских стандартах (EN), если национальный орган, пользователь и производитель не договорились о применении другой категории. Затем проектировщик разрабатывает систему управления, которая удовлетворяет требованиям. Например, соображения, определяющие структуру канала управления, могут включать следующее:
- Компоненты должны выдерживать ожидаемые воздействия. (ДА НЕТ)
- Их конструкция должна соответствовать современным стандартам. (ДА НЕТ)
- Используются проверенные компоненты и методы. (ДА НЕТ)
- Ошибка должен быть обнаружен. (ДА НЕТ)
- Будет ли выполняться функция безопасности даже в случае отказа? (ДА НЕТ)
- Когда будет обнаружен сбой? (НИКОГДА, РАНО, НЕМЕДЛЕННО)
Этот процесс обратим. По этим же вопросам можно решить, к какой категории относится существующий, ранее разработанный канал управления.
Примеры категорий
Категория B
Компоненты канала управления, используемые в первую очередь в потребительских товарах, должны выдерживать ожидаемые воздействия и быть спроектированы в соответствии с современным уровнем техники. Примером может служить хорошо спроектированный переключатель.
Категория 1
Использование хорошо зарекомендовавших себя компонентов и методов типично для Категории 1. Примером Категории 1 является переключатель с принудительным действием (т. е. требующий принудительного размыкания контактов). Этот переключатель имеет прочные детали и приводится в действие относительно большими усилиями, что обеспечивает чрезвычайно высокую надежность только при размыкании контактов. Несмотря на залипание или даже приваривание контактов, эти выключатели будут размыкаться. (Примечание: такие компоненты, как транзисторы и диоды, не считаются хорошо зарекомендовавшими себя компонентами.) Рисунок 10 служит иллюстрацией элемента управления категории 1.
Рисунок 10. Переключатель с положительным действием
Этот канал использует переключатель S с положительным действием. Контактор K контролируется лампочкой L. Оператору сообщается, что нормально разомкнутые (нормально разомкнутые) контакты замыкаются с помощью лампочки L. Контактор K имеет принудительно управляемые контакты. (Примечание: Реле или контакторы с принудительным управлением контактами имеют, по сравнению с обычными реле или контакторами, специальную клетку из изоляционного материала, так что если нормально замкнутые (НЗ) контакты замкнуты, все нормально разомкнутые контакты должны быть разомкнуты, и наоборот. наоборот. Это означает, что при использовании размыкающих контактов может быть сделана проверка, чтобы определить, что рабочие контакты не прилипают и не привариваются друг к другу.)
Категория 2
Категория 2 предусматривает автоматическое обнаружение отказов. Перед каждым опасным движением должно генерироваться автоматическое обнаружение отказа. Только если тест положительный, можно выполнять движение; в противном случае машина будет остановлена. Для световых барьеров используются автоматические системы обнаружения отказов, чтобы доказать, что они все еще работают. Принцип проиллюстрирован на рисунке 1.
Рис. 11. Схема, включающая детектор отказа
Эта система управления регулярно (или время от времени) проверяется путем подачи импульса на вход. В правильно работающей системе этот импульс затем будет передан на выход и сравнен с импульсом от тестового генератора. Когда присутствуют оба импульса, система, очевидно, работает. В противном случае, если нет выходного импульса, система вышла из строя.
Категория 3
Схема была ранее описана в примере 3 в разделе «Безопасность» этой статьи, рисунок 8.
Требование, т. е. автоматическое обнаружение отказов и возможность выполнения функции безопасности даже в случае возникновения одного отказа в любом месте, может быть выполнено двухканальными структурами управления и взаимным контролем двух каналов.
Только для систем управления машинами необходимо расследовать опасные отказы. Следует отметить, что существует два вида отказа:
- Не опасно отказы – это те, которые после своего возникновения вызывают «безопасное состояние» машины, обеспечивая отключение двигателя.
- опасно отказы - это те, которые после их возникновения вызывают "небезопасное состояние" машины, так как двигатель не может быть выключен или двигатель неожиданно начинает двигаться.
Категория 4
Категория 4 обычно предусматривает подачу на вход динамического, непрерывно изменяющегося сигнала. Наличие динамического сигнала на выходе означает Бег («1»), а отсутствие динамического сигнала означает остановить («0»).
Для такой схемы характерно, что после выхода из строя любого компонента динамический сигнал больше не будет поступать на выход. (Примечание: статический потенциал на выходе не имеет значения.) Такие схемы можно назвать «отказоустойчивыми». Все неисправности будут раскрыты сразу, а не после первого изменения (как в цепях категории 3).
Дополнительные комментарии по категориям управления
Таблица 1 разработана для обычных систем управления машинами и показывает только основные схемы; в соответствии с директивой по машинам она должна рассчитываться исходя из того, что за один машинный цикл произойдет только один отказ. Вот почему функция безопасности не должна выполняться в случае двух совпадающих отказов. Предполагается, что отказ будет обнаружен в течение одного машинного цикла. Машина будет остановлена, а затем отремонтирована. Затем система управления запускается снова, полностью работоспособная, без сбоев.
Первым намерением проектировщика должно быть недопущение «постоянных» отказов, которые не будут обнаружены в течение одного цикла, поскольку впоследствии они могут быть объединены с вновь возникающими отказами (накопление отказов). Такие комбинации (постоянная неисправность и новая неисправность) могут вызвать неисправность даже схем категории 3.
Несмотря на эту тактику, возможно, что два независимых отказа произойдут одновременно в течение одного и того же машинного цикла. Это очень маловероятно, особенно если использовались высоконадежные компоненты. Для приложений с очень высоким риском следует использовать три или более подканала. Эта философия основана на том факте, что среднее время наработки на отказ намного больше машинного цикла.
Однако это не означает, что таблица не может быть дополнительно расширена. Таблица 1 в основном и структурно очень похожа на таблицу 2, используемую в EN 954-1. Однако он не пытается включить слишком много критериев сортировки. Требования определяются в соответствии со строгими законами логики, поэтому можно ожидать только однозначных ответов (ДА или НЕТ). Это позволяет более точно оценивать, сортировать и классифицировать представленные схемы (каналы, связанные с безопасностью) и, что не менее важно, значительно улучшать воспроизводимость оценки.
Было бы идеально, если бы риски можно было классифицировать по различным уровням риска, а затем установить определенную связь между уровнями риска и категориями, причем все это независимо от используемой технологии. Однако это невозможно в полной мере. Вскоре после создания категорий стало ясно, что даже при одной и той же технологии ответы на различные вопросы были недостаточными. Что лучше: очень надежный и хорошо спроектированный компонент категории 1 или система, удовлетворяющая требованиям категории 3 с низкой надежностью?
Чтобы объяснить эту дилемму, нужно различать два качества: надежность и безопасность (от отказов). Они несопоставимы, так как оба эти качества имеют разные черты:
- Компонент с наивысшей надежностью имеет неприятную особенность, заключающуюся в том, что в случае отказа (даже крайне маловероятного) функция перестанет выполняться.
- Системы категории 3, в которых даже в случае одного отказа функция будет выполняться, не застрахованы от двух отказов одновременно (что может иметь значение, так это то, использовались ли достаточно надежные компоненты).
Принимая во внимание вышеизложенное, может оказаться, что лучшим решением (с точки зрения высокого риска) является использование высоконадежных компонентов и их конфигурация таким образом, чтобы схема была защищена как минимум от одного отказа (желательно больше). Понятно, что такое решение не самое экономичное. На практике процесс оптимизации в основном является следствием всех этих влияний и соображений.
Опыт практического использования категорий показывает, что редко возможно разработать систему управления, в которой можно использовать только одну категорию. Типичным является сочетание двух или даже трех частей, каждая из которых относится к разной категории, как показано в следующем примере:
Многие световые барьеры безопасности относятся к категории 4, в которой один канал работает с динамическим сигналом. В конце этой системы обычно есть два взаимно контролируемых подканала, которые работают со статическими сигналами. (Это соответствует требованиям для категории 3.)
В соответствии с EN 50100 такие световые барьеры классифицируются как Электрочувствительные защитные устройства типа 4, хотя они состоят из двух частей. К сожалению, нет единого мнения о том, как называть системы управления, состоящие из двух или более частей, каждая из которых относится к другой категории.
Программируемые электронные системы (ПЭС)
Принципы, используемые для создания таблицы 1, могут, конечно, с некоторыми ограничениями, в целом применяться и к PES.
система только PES
При использовании ПЭС для управления передача информации от датчика к активатору осуществляется через большое количество компонентов. Кроме того, он даже проходит «сквозь» программное обеспечение. (См. рис. 12).
Рисунок 12. Схема системы ПЭС
Хотя современные ПЭС очень надежны, надежность не так высока, как может потребоваться для выполнения функций безопасности. Кроме того, обычные системы ПЭС недостаточно безопасны, поскольку в случае отказа они не будут выполнять функцию, связанную с безопасностью. Поэтому использование ПЭС для отработки функций безопасности без каких-либо дополнительных мероприятий не допускается.
Приложения с очень низким уровнем риска: системы с одним PES и дополнительными мерами
При использовании одной ПЭС для управления система состоит из следующих основных частей:
Входная часть
Надежность датчика и входа ПЭС можно повысить, удвоив их. Такая конфигурация ввода с двойной системой может дополнительно контролироваться программным обеспечением, чтобы проверить, предоставляют ли обе подсистемы одинаковую информацию. Таким образом, сбои во входной части могут быть обнаружены. Это почти та же философия, что требуется для категории 3. Однако, поскольку надзор осуществляется программным обеспечением и только один раз, это может быть обозначено как 3- (или не так надежно, как 3).
Средняя часть
Хотя эту часть нельзя хорошо удвоить, ее можно проверить. При включении (или во время работы) может быть выполнена проверка всего набора команд. Через те же промежутки времени можно проверить и память по подходящим битовым комбинациям. Если такие проверки проводятся без сбоев, очевидно, что обе части, ЦП и память, работают правильно. Средняя часть имеет некоторые характеристики, типичные для категории 4 (динамический сигнал), и другие характеристики, характерные для категории 2 (тестирование проводится регулярно через соответствующие интервалы времени). Проблема в том, что эти тесты, несмотря на их обширность, не могут быть действительно полными, так как система с одним ПЭС по своей сути не позволяет их проводить.
Выходная часть
Как и вход, выход (включая активаторы) также может быть удвоен. Обе подсистемы можно контролировать по отношению к одному и тому же результату. Сбои будут обнаружены, и функция безопасности будет выполнена. Однако есть те же слабые места, что и во входной части. Следовательно, в данном случае выбирается категория 3.
На рис. 13 та же функция перенесена на реле. A и B. Контакты управления a и b, затем информирует две системы ввода, выполняют ли оба реле одинаковую работу (если не произошел сбой в одном из каналов). Надзор снова осуществляется программным обеспечением.
Рис. 13. Схема ПЭС с системой обнаружения отказов
Всю систему можно отнести к категории 3-/4/2/3-, если она выполнена правильно и широко. Тем не менее, описанные выше слабые места таких систем не могут быть полностью устранены. На самом деле усовершенствованные ПЭС фактически используются для функций, связанных с безопасностью, только там, где риски довольно низки (Hölscher and Rader 1984).
Приложения с низким и средним уровнем риска с одним PES
Сегодня почти каждая машина оснащена блоком управления PES. Для решения проблемы недостаточной надежности и, как правило, недостаточной защищенности от отказов обычно используются следующие методы проектирования:
- В относительно простых машинах, таких как лифты, функции делятся на две группы: (1) функции, не связанные с безопасностью, обрабатываются ПЭС; (2) связанные с безопасностью функции объединены в одну цепочку (цепь безопасности) и обрабатываются вне ПЭС (см. рисунок 14).
Рис. 14. Современное состояние останова категории 0
- Приведенный выше метод не подходит для более сложных машин. Одна из причин заключается в том, что такие решения обычно недостаточно безопасны. Для приложений со средним уровнем риска решения должны соответствовать требованиям категории 3. Общие представления о том, как могут выглядеть такие конструкции, представлены на рис. 15 и 16.
Рис. 15. Современное состояние останова категории 1
Рис. 16. Современное состояние останова категории 2
Приложения с высоким риском: системы с двумя (или более) PES.
Помимо сложности и дороговизны, нет других факторов, которые могли бы помешать разработчикам использовать полностью сдвоенные системы PES, такие как Siemens Simatic S5-115F, 3B6 Typ CAR-MIL и так далее. Обычно они включают в себя два идентичных PES с однородным программным обеспечением и предполагают использование «апробированных» PES и «апробированных» компиляторов (апробированными PES или компилятором можно считать тот, который во многих практических приложениях работает более 3 лет). показало, что систематические отказы явно устранены). Хотя эти двойные системы ПЭС не имеют слабых мест систем с одним ПЭС, это не означает, что двойные системы ПЭС решают все проблемы. (См. рис. 17).
Рисунок 17. Сложная система с двумя ПЭС
Систематические сбои
Систематические отказы могут возникать из-за ошибок в спецификациях, конструкции и по другим причинам и могут присутствовать как в аппаратном, так и в программном обеспечении. Системы Double-PES подходят для использования в приложениях, связанных с безопасностью. Такие конфигурации позволяют обнаруживать случайные отказы оборудования. С помощью разнообразия аппаратных средств, такого как использование двух разных типов или продуктов двух разных производителей, можно выявить систематические отказы аппаратных средств (крайне маловероятно, что идентичные систематические отказы аппаратных средств произойдут на обоих ПВУ).
Software
Программное обеспечение является новым элементом в вопросах безопасности. Программное обеспечение либо правильное, либо неправильное (в отношении сбоев). После исправления программное обеспечение не может мгновенно стать неверным (по сравнению с аппаратным обеспечением). Цель состоит в том, чтобы устранить все ошибки в программном обеспечении или, по крайней мере, выявить их.
Существуют различные способы достижения этой цели. Один из них проверка программы (второй человек пытается обнаружить ошибки в последующем тесте). Другая возможность разнообразие программного обеспечения, в котором две разные программы, написанные двумя программистами, решают одну и ту же задачу. Если результаты совпадают (в определенных пределах), можно считать, что оба участка программы верны. Если результаты отличаются, предполагается наличие ошибок. (Обратите внимание, архитектура оборудования, естественно, также необходимо учитывать.)
Обзор
При использовании PES, как правило, следует принимать во внимание те же самые следующие основные соображения (как описано в предыдущих разделах).
- К категории Б может быть отнесена одна система управления без резервирования. Одна система управления с дополнительными мероприятиями может быть отнесена к категории 1 и выше, но не выше 2.
- Система управления, состоящая из двух частей, с взаимным сравнением результатов может быть отнесена к Категории 3. Система управления, состоящая из двух частей, с взаимным сравнением результатов и большим или меньшим разнообразием, может быть отнесена к Категории 3 и подходит для приложений с более высоким риском.
Новым фактором является то, что для системы с ПЭС даже программное обеспечение должно оцениваться с точки зрения корректности. Программное обеспечение, если оно правильное, надежно на 100%. На данном этапе технологического развития, вероятно, не будут использоваться лучшие из возможных и известных технических решений, так как ограничивающими факторами остаются экономические факторы. Кроме того, различные группы экспертов продолжают разрабатывать стандарты для безопасного применения PES (например, EC, EWICS). Хотя уже существуют различные стандарты (VDE0801, IEC65A и т. д.), этот вопрос настолько широк и сложен, что ни один из них не может считаться окончательным.