Принципи за пројектовање безбедних система управљања

Понедељак, април КСНУМКС КСНУМКС КСНУМКС: КСНУМКС

Принципи за пројектовање безбедних система управљања

величина фонта смањи величину слова повећати величину слова
Е-pošta

Оцените овај артикал

(КСНУМКС гласова)

Опште је договорено да контролни системи морају бити безбедни током употребе. Имајући ово на уму, већина савремених контролних система је дизајнирана као што је приказано на слици 1.

Слика 1. Општи дизајн система управљања

Најједноставнији начин да се контролни систем учини безбедним је да се око њега изгради непробојни зид како би се спречио приступ људи или мешање у опасну зону. Такав систем би био веома безбедан, иако непрактичан, јер би било немогуће добити приступ како би се извршила већина радова на тестирању, поправци и подешавању. Пошто приступ опасним зонама мора бити дозвољен под одређеним условима, потребне су заштитне мере осим зидова, ограда и слично да би се олакшала производња, уградња, сервисирање и одржавање.

Неке од ових заштитних мера могу се делимично или у потпуности интегрисати у системе контроле, и то:

Кретање се може одмах зауставити ако неко уђе у опасну зону, помоћу тастера за хитно заустављање (ЕС).
Команде са дугметом дозвољавају кретање само када је дугме активирано.
Дворучне команде (ДХЦ) дозвољавају кретање само када су обе руке укључене у притискање два контролна елемента (чиме се осигурава да се руке држе даље од опасних зона).

Ове врсте заштитних мера активирају оператери. Међутим, пошто људска бића често представљају слабу тачку у апликацијама, многе функције, као што су следеће, се извршавају аутоматски:

Покрети роботских руку током сервисирања или „теацх-ин“ су веома спори. Без обзира на то, брзина се стално прати. Ако би се, због квара контролног система, брзина аутоматских роботских руку неочекивано повећала током периода сервисирања или учења, систем за надзор би се активирао и одмах прекинуо кретање.
Обезбеђена је светлосна баријера која спречава улазак у опасну зону. Ако је светлосни сноп прекинут, машина ће се аутоматски зауставити.

Нормално функционисање контролних система је најважнији предуслов за производњу. Ако је производна функција прекинута због квара у контроли, то је у најбољем случају незгодно, али није опасно. Ако се функција релевантна за безбедност не изврши, то може довести до губитка производње, оштећења опреме, повреда или чак смрти. Стога, функције контролног система релевантне за безбедност морају бити поузданије и безбедније од нормалних функција контролног система. Према Директиви Европског савета 89/392/ЕЕЦ (Смернице за машине), контролни системи морају бити пројектовани и израђени тако да буду безбедни и поуздани.

Контроле се састоје од низа компоненти повезаних заједно како би обављале једну или више функција. Контроле су подељене на канале. Канал је део контроле који обавља одређену функцију (нпр. покретање, заустављање, заустављање у нужди). Физички, канал је креиран низом компоненти (транзистори, диоде, релеји, капије, итд.) кроз које се, са једне компоненте на другу, (углавном електричне) информације које представљају ту функцију преносе са улаза на излаз.

Приликом пројектовања управљачких канала за функције од значаја за безбедност (оне функције које укључују људе), морају бити испуњени следећи захтеви:

Компоненте које се користе у контролним каналима са функцијама важним за безбедност морају бити у стању да издрже строге услове нормалне употребе. Обично, морају бити довољно поуздани.
Грешке у логици не смеју да изазову опасне ситуације. Обично, канал релевантан за безбедност треба да буде довољно отпоран на квар.
Спољни утицаји (фактори) не би требало да доведу до привремених или трајних кварова у каналима који су релевантни за безбедност.

Поузданост

Поузданост је способност контролног канала или компоненте да изврши тражену функцију под одређеним условима за дати временски период без неуспеха. (Вероватноћа за специфичне компоненте или контролне канале може се израчунати коришћењем одговарајућих метода.) Поузданост се увек мора специфицирати за одређену временску вредност. Генерално, поузданост се може изразити формулом на слици 2.

Слика 2. Формула поузданости

Поузданост сложених система

Системи се граде од компоненти. Ако су поузданости компоненти познате, може се израчунати поузданост система у целини. У таквим случајевима важи следеће:

Серијски системи

Укупна поузданост Р_у серијског система који се састоји од Н компоненти исте поузданости Р_C израчунава се као на слици 3.

Слика 3. Графикон поузданости серијски повезаних компоненти

Укупна поузданост је нижа од поузданости најмање поуздане компоненте. Како се број серијски повезаних компоненти повећава, укупна поузданост ланца значајно опада.

Паралелни системи

Укупна поузданост Р_у паралелног система који се састоји од Н компоненти исте поузданости Р_C израчунава се као на слици 4.

Слика 4. Графикон поузданости паралелно повезаних компоненти

Потпуна поузданост се може значајно побољшати кроз паралелно повезивање две или више компоненти.

Слика 5 илуструје практичан пример. Имајте на уму да ће струјна кола поузданије искључити мотор. Чак и ако релеј А или Б не отвори свој контакт, мотор ће и даље бити искључен.

Слика 5. Практични пример слике 4

Израчунавање укупне поузданости канала је једноставно ако су познате и доступне све потребне поузданости компоненти. У случају сложених компоненти (интегрисана кола, микропроцесори итд.) израчунавање укупне поузданости је тешко или немогуће ако произвођач не објави потребне информације.

Безбедност

Када професионалци говоре о безбедности и позивају на безбедне машине, они мисле на безбедност целе машине или система. Ова безбедност је, међутим, превише општа и недовољно прецизно дефинисана за дизајнера контрола. Следећа дефиниција о безбедност може бити практичан и употребљив за дизајнере управљачких кола: Безбедност је способност контролног система да изврши потребну функцију у оквиру прописаних граница, за дато време, чак и када се деси очекивани квар(е). Сходно томе, током пројектовања мора бити разјашњено колико „безбедан” мора бити канал који се односи на безбедност. (Пројектант може развити канал који је сигуран од првог квара, од било ког квара, од два квара, итд.) Штавише, канал који обавља функцију која се користи за спречавање незгода може бити у суштини поуздан, али нема да неминовно буде сигуран од неуспеха. Ово се најбоље може објаснити следећим примерима:

Пример

Пример илустрован на слици 6 је контролни канал релевантан за безбедност који обавља потребну безбедносну функцију. Прва компонента може бити прекидач који надгледа, на пример, положај улазних врата у опасно подручје. Последња компонента је мотор који покреће покретне механичке делове унутар опасног подручја.

Слика 6. Контролни канал од значаја за безбедност који обавља потребну безбедносну функцију

Потребна безбедносна функција у овом случају је двострука: ако су врата затворена, мотор може да ради. Ако су врата отворена, мотор мора бити искључен. Познавање поузданости Р₁ до Р.₆, могуће је израчунати поузданост Р_Тот. Пројектанти би требало да користе поуздане компоненте како би одржали довољно високу поузданост целог система управљања (тј., вероватноћу да ће ова функција још увек бити извршена за, рецимо, чак 20 година треба узети у обзир у пројекту). Као резултат тога, дизајнери морају испунити два задатка: (1) кола морају да обављају тражену функцију и (2) поузданост компоненти и читавог управљачког канала мора бити адекватна.

Сада би требало поставити следеће питање: Да ли ће поменути канал обављати потребне безбедносне функције чак и ако дође до квара у систему (нпр. ако се контакт релеја заглави или компонента поквари)? Одговор је не". Разлог је тај што један управљачки канал који се састоји само од серијски повезаних компоненти и ради са статичким сигналима није сигуран од једног квара. Канал може имати само одређену поузданост, што гарантује вероватноћу да ће функција бити извршена. У таквим ситуацијама се увек мисли на безбедност као везан за неуспех.

Пример

Ако контролни канал треба да буде и поуздан и безбедан, дизајн мора бити модификован као на слици 7. Илустровани пример је контролни канал релевантан за безбедност који се састоји од два потпуно одвојена подканала.

Слика 7. Безбедносно релевантан контролни канал са два потпуно одвојена подканала

Овај дизајн је безбедан од првог квара (и могућих даљих кварова на истом подканалу), али није безбедан од два квара који се могу појавити у два различита подканала (истовремено или у различито време) јер не постоји коло за откривање квара. Сходно томе, у почетку оба подканала раде са високом поузданошћу (погледајте паралелни систем), али након првог квара ће радити само један подканал, а поузданост се смањује. Ако дође до другог квара на подканалу који и даље ради, оба ће тада отказати и сигурносна функција се више неће обављати.

Пример

Пример илустрован на слици 8 је контролни канал релевантан за безбедност који се састоји од два потпуно одвојена подканала који надгледају један другог.

Слика 8. Контролни канал релевантан за безбедност са два потпуно одвојена подканала који се међусобно надгледају

Овакав дизајн је безбедан од квара јер ће након сваког квара само један подканал бити нефункционалан, док ће други подканал остати доступан и обављаће сигурносну функцију. Штавише, дизајн има коло за детекцију квара. Ако због квара оба подканала не функционишу на исти начин, ово стање ће бити детектовано „искључивим или“ кола, што ће резултирати да ће машина бити аутоматски искључена. Ово је један од најбољих начина дизајнирања контрола машина—дизајнирање подканала релевантних за безбедност. Они су сигурни од једног квара и истовремено пружају довољно поузданости тако да су шансе да ће се два квара десити истовремено мале.

Сувишност

Очигледно је да постоје различите методе помоћу којих дизајнер може побољшати поузданост и/или сигурност (против квара). Претходни примери илуструју како се функција (тј. врата затворена, мотор може радити; врата отворена, мотор мора бити заустављен) може да се реализује различитим решењима. Неке методе су веома једноставне (један подканал), а друге компликованије (два подканала са заједничким надзором). (Погледајте слику 9.)

Слика 9. Поузданост редундантних система са или без детекције отказа

Постоји одређена редундантност у сложеним колима и/или компонентама у поређењу са једноставним. Сувишност може се дефинисати на следећи начин: (1) Редунданција је присуство више средстава (компоненти, канала, виших фактора сигурности, додатних тестова и тако даље) него што је заиста потребно за једноставно испуњење жељене функције; (2) редундантност очигледно не „побољшава“ функцију, која се ионако обавља. Редундантност само побољшава поузданост и/или сигурност.

Неки стручњаци за безбедност верују да је редундантност само удвостручавање или утростручење, итд. система. Ово је веома ограничено тумачење, јер се редундантност може тумачити много шире и флексибилније. Редундантност може бити укључена не само у хардвер; може бити укључено иу софтвер. Побољшање фактора сигурности (нпр. јачи конопац уместо слабијег ужета) се такође може сматрати обликом вишка.

Ентропи

Ентропи, термин који се углавном налази у термодинамици и астрономији, може се дефинисати на следећи начин: Све тежи распадању. Стога је апсолутно сигурно да ће све компоненте, подсистеми или системи, независно од технологије која се користи, некада отказати. То значи да не постоје 100% поуздани и/или сигурни системи, подсистеми или компоненте. Све су оне мање-више поуздане и безбедне, у зависности од сложености конструкције. Неуспеси који се неизбежно јављају раније или касније показују дејство ентропије.

Једино средство које је дизајнерима доступно да се супротставе ентропији је редундантност, која се постиже (а) увођењем веће поузданости у компоненте и (б) обезбеђивањем веће сигурности у архитектури кола. Само довољним повећањем вероватноће да ће тражена функција бити извршена у траженом временском периоду, дизајнери могу у одређеном степену да се одбране од ентропије.

Процена ризика

Што је већи потенцијални ризик, већа је поузданост и/или сигурност (против кварова) која је потребна (и обрнуто). Ово илуструју следећа два случаја:

Случај КСНУМКС

Приступ алату за калупе причвршћеном у машини за бризгање је заштићен вратима. Ако су врата затворена, машина може да ради, а ако су врата отворена, сви опасни покрети морају бити заустављени. Ни под којим околностима (чак ни у случају квара у сигурносном каналу) не сме да дође до било каквог померања, посебно оних који управљају алатом.

Случај КСНУМКС

Приступ аутоматски контролисаној монтажној линији која саставља мале пластичне компоненте под пнеуматским притиском је заштићен вратима. Ако се ова врата отворе, линија ће морати да се заустави.

У случају 1, ако контролни систем за надзор врата поквари, може доћи до озбиљне повреде ако се алат неочекивано затвори. У случају 2, може доћи до само лакших повреда или безначајних повреда ако контролни систем за надзор врата поквари.

Очигледно је да се у првом случају мора увести много више редундантности да би се постигла поузданост и/или сигурност (против квара) потребна за заштиту од екстремно високог ризика. У ствари, према европском стандарду ЕН 201, надзорни контролни систем врата машине за бризгање мора да има три канала; од којих су два електрична и међусобно надгледана и од којих је један углавном опремљен хидрауликом и испитним круговима. Све ове три надзорне функције се односе на иста врата.

Насупрот томе, у апликацијама попут оне описане у случају 2, један канал активиран прекидачем са позитивним дејством одговара ризику.

Контролне категорије

Пошто су сва горе наведена разматрања генерално заснована на теорији информација и сходно томе важе за све технологије, није битно да ли је систем управљања заснован на електронским, електро-механичким, механичким, хидрауличким или пнеуматским компонентама (или њиховој мешавини) , или на некој другој технологији. Инвентивност пројектанта с једне стране и економска питања с друге стране су примарни фактори који утичу на готово бескрајан број решења како да се реализују канали од значаја за безбедност.

Да бисте спречили забуну, практично је поставити одређене критеријуме за сортирање. Најтипичније структуре канала које се користе у контролама машина за обављање безбедносних функција су категорисане према:

поузданост
понашање у случају неуспеха
време откривања неуспеха.

Њихове комбинације (нису приказане све могуће комбинације) су илустроване у табели 1.

Табела 1. Неке могуће комбинације структура кола у машинским контролама за функције везане за безбедност

Критеријуми (питања)	Основна стратегија
	Повећањем поузданости (да ли се појава квара помера у можда далеку будућност?)			Одговарајућом структуром кола (архитектуром) квар ће бити најмање откривен (Кат. 2) или ће ефекат квара на каналу бити елиминисан (Кат. 3) или ће квар бити одмах откривен (Кат. 4)
	Категорије
	Ово решење је у основи погрешно	B	1	2	3	4
Могу ли компоненте кола са издржати очекиване утицаје; да ли су конструисани у складу са стањем технике?	Не	да	да	да	да	да
Да ли су коришћене добро испробане компоненте и/или методе?	Не	Не	да	да	да	да
Може ли се квар аутоматски открити?	Не	Не	Не	да	да	да
Да ли квар спречава обављање безбедносне функције?	да	да	да	да	Не	Не
Када ће квар бити откривен?	Никад	Никад	Никад	Рано (најкасније на крају интервала који није дужи од једног машинског циклуса)		Одмах (када сигнал изгуби динамичку лик)
		У потрошачким производима	Да се користи у машинама

Категорија која је применљива за одређену машину и њен безбедносни систем управљања углавном је наведена у новим европским стандардима (ЕН), осим ако се национални орган, корисник и произвођач међусобно не договоре да треба применити другу категорију. Пројектант затим развија контролни систем који испуњава захтеве. На пример, разматрања која регулишу дизајн контролног канала могу укључивати следеће:

Компоненте морају да издрже очекиване утицаје. (ДА НЕ)
Њихова изградња треба да буде по најсавременијим стандардима. (ДА НЕ)
Користе се добро испробане компоненте и методе. (ДА НЕ)
Неуспех мора бити откривен. (ДА НЕ)
Да ли ће сигурносна функција бити извршена и у случају квара? (ДА НЕ)
Када ће квар бити откривен? (НИКАД, РАНИЈЕ, ОДМАХ)

Овај процес је реверзибилан. Користећи иста питања, може се одлучити којој категорији припада постојећи, претходно развијени контролни канал.

Примери категорија

Категорија Б

Компоненте контролног канала које се првенствено користе у роби широке потрошње морају да издрже очекиване утицаје и да буду пројектоване у складу са стањем технике. Као пример може послужити добро дизајниран прекидач.

Категорија КСНУМКС

Употреба добро испробаних компоненти и метода је типична за категорију 1. Пример категорије 1 је прекидач са позитивним дејством (тј. захтева присилно отварање контаката). Овај прекидач је дизајниран са робусним деловима и активира се релативно великим силама, чиме се постиже изузетно висока поузданост само при отварању контакта. Упркос лепљењу или чак завареним контактима, ови прекидачи ће се отворити. (Напомена: компоненте као што су транзистори и диоде не сматрају се добро испробаним компонентама.) Слика 10 ће послужити као илустрација контроле категорије 1.

Слика 10. Прекидач са позитивним дејством

Овај канал користи прекидач С са позитивним дејством. Контактор К надгледа лампица Л. Оператеру се саветује да се нормално отворени (НО) контакти држе помоћу индикационе лампице Л. Контактор К има принудно вођене контакте. (Напомена: Релеји или контактори са принудним вођењем контаката имају, у поређењу са уобичајеним релејима или контакторима, посебан кавез направљен од изолационог материјала тако да ако су нормално затворени (НЦ) контакти затворени, сви НО контакти морају бити отворени, а поро обрнуто. То значи да се коришћењем НЦ контаката може извршити провера да се утврди да се радни контакти не лепе или не заваре заједно.)

Категорија КСНУМКС

Категорија 2 омогућава аутоматско откривање кварова. Аутоматско откривање квара мора да се генерише пре сваког опасног покрета. Покрет се може извести само ако је тест позитиван; у супротном ће машина бити заустављена. Системи за аутоматску детекцију кварова се користе за светлосне баријере како би се доказало да и даље раде. Принцип је илустрован на слици 1.

Слика 11. Коло укључујући детектор квара

Овај контролни систем се тестира редовно (или повремено) убризгавањем импулса на улаз. У систему који исправно ради, овај импулс ће се затим пренети на излаз и упоредити са импулсом из тест генератора. Када су присутна оба импулса, систем очигледно функционише. У супротном, ако нема излазног импулса, систем је отказао.

Категорија КСНУМКС

Коло је претходно описано у Примеру 3 у одељку Безбедност овог чланка, слика 8.

Захтјев—то јест, аутоматско откривање квара и могућност обављања сигурносне функције чак и ако се један квар догодио било гдје—могу испунити двоканалне управљачке структуре и узајамно надгледање два канала.

Само за контролу машина, опасне грешке морају бити истражене. Треба напоменути да постоје две врсте неуспеха:

Неопасно кварови су они који по свом настанку изазивају „безбедно стање“ машине тако што омогућавају гашење мотора.
Опасан кварови су они који након појаве доводе до „небезбедног стања“ машине, јер се мотор не може искључити или мотор неочекивано почиње да се креће.

Категорија КСНУМКС

Категорија 4 обично предвиђа примену динамичког сигнала који се непрекидно мења на улазу. Присуство динамичког сигнала на излазним средствима трчање (“1”), а одсуство динамичког сигнала значи зауставити („0“).

За таква кола је типично да након квара било које компоненте динамички сигнал више неће бити доступан на излазу. (Напомена: статички потенцијал на излазу је ирелевантан.) Таква кола се могу назвати „безбедним од квара“. Сви кварови ће бити откривени одмах, а не након прве промене (као у круговима категорије 3).

Даљи коментари о контролним категоријама

Табела 1 је развијена за уобичајене контроле машина и приказује само основне структуре кола; према машинској директиви треба израчунати под претпоставком да ће се у једном машинском циклусу појавити само један квар. Због тога се сигурносна функција не мора извршити у случају два случајна квара. Претпоставља се да ће квар бити откривен у једном машинском циклусу. Машина ће бити заустављена, а затим поправљена. Контролни систем тада поново почиње да ради, потпуно оперативан, без кварова.

Прва намера дизајнера би требало да буде да не дозволи „сталне“ кварове, који не би били откривени током једног циклуса јер би се касније могли комбиновати са новонасталим кваровима (кумулација грешака). Такве комбинације (стални квар и нови квар) могу узроковати квар чак и кола категорије 3.

Упркос овој тактици, могуће је да ће се два независна квара десити у исто време у оквиру истог машинског циклуса. То је врло мало вероватно, посебно ако су коришћене веома поуздане компоненте. За апликације са веома високим ризиком треба користити три или више подканала. Ова филозофија се заснива на чињеници да је средње време између кварова много дуже од машинског циклуса.

То, међутим, не значи да се табела не може даље проширити. Табела 1 је у основи и структурно веома слична табели 2 која се користи у ЕН 954-1. Међутим, не покушава да укључи превише критеријума за сортирање. Захтеви су дефинисани према ригорозним законима логике, тако да се могу очекивати само јасни одговори (ДА или НЕ). Ово омогућава прецизнију процену, сортирање и класификацију достављених кола (канала у вези са безбедношћу) и, на крају, али не и најмање важно, значајно побољшање поновљивости процене.

Било би идеално када би се ризици могли класификовати у различите нивое ризика, а затим успоставити дефинитивну везу између нивоа ризика и категорија, при чему је све то независно од технологије која се користи. Међутим, то није у потпуности могуће. Рано након креирања категорија постало је јасно да чак и с обзиром на исту технологију, на разна питања није довољно одговорено. Шта је боље: веома поуздана и добро дизајнирана компонента категорије 1, или систем који испуњава захтеве категорије 3 са слабом поузданошћу?

Да би се објаснила ова дилема, потребно је разликовати два квалитета: поузданост и сигурност (против кварова). Они нису упоредиви, јер оба ова квалитета имају различите карактеристике:

Компонента са највећом поузданошћу има непријатну особину да ће у случају квара (чак и ако је врло мало вероватно) функција престати да обавља.
Системи категорије 3, где ће се и у случају једног квара извршити функција, нису безбедни од два квара у исто време (оно што може бити важно јесте да ли су коришћене довољно поуздане компоненте).

Узимајући у обзир горе наведено, може бити да је најбоље решење (са тачке гледишта високог ризика) коришћење високопоузданих компоненти и њихово конфигурисање тако да кола буду безбедна од најмање једног квара (по могућности више). Јасно је да такво решење није најекономичније. У пракси, процес оптимизације је углавном последица свих ових утицаја и разматрања.

Искуство са практичном употребом категорија показује да је ретко могуће дизајнирати контролни систем који може да користи само једну категорију. Комбинација два или чак три дела, сваки из различите категорије, је типична, као што је илустровано у следећем примеру:

Многе сигурносне светлосне баријере су дизајниране у категорији 4, где један канал ради са динамичким сигналом. На крају овог система обично постоје два међусобно надгледана подканала који раде са статичким сигналима. (Ово испуњава услове за категорију 3.)

Према ЕН 50100, такве светлосне баријере се класификују као Електроосетљиви заштитни уређаји типа 4, иако су састављени из два дела. Нажалост, не постоји сагласност како да се регулишу системи који се састоје од два или више делова, сваки део друге категорије.

Програмабилни електронски системи (ПЕС)

Принципи коришћени за креирање табеле 1 могу се, уз одређена ограничења, наравно, генерално применити и на ПЕС.

Систем само за ПЕС

У коришћењу ПЕС-а за контролу, информације се преносе од сензора до активатора преко великог броја компоненти. Осим тога, чак пролази и „кроз” софтвер. (Види слику 12).

Слика 12. Коло ПЕС система

Иако су модерни ПЕС-ови веома поуздани, поузданост није толико висока колико је потребно за обраду безбедносних функција. Осим тога, уобичајени ПЕС системи нису довољно сигурни, јер неће обављати сигурносну функцију у случају квара. Због тога није дозвољено коришћење ПЕС-а за обраду безбедносних функција без икаквих додатних мера.

Веома нискоризичне апликације: Системи са једним ПЕС-ом и додатним мерама

Када се користи један ПЕС за контролу, систем се састоји од следећих примарних делова:

Улазни део

Поузданост сензора и улаза ПЕС-а може се побољшати удвостручавањем. Оваква улазна конфигурација двоструког система може се даље надзирати софтвером како би се проверило да ли оба подсистема испоручују исте информације. Тако се кварови на улазном делу могу открити. Ово је скоро иста филозофија која се захтева за категорију 3. Међутим, пошто се надзор врши софтвером и само једном, ово може бити означено као 3- (или не тако поуздано као 3).

Средњи део

Иако се овај део не може добро удвостручити, може се тестирати. Приликом укључивања (или током рада) може се извршити провера целог скупа инструкција. У истим интервалима, меморија се такође може проверити одговарајућим шаблонима битова. Ако се такве провере спроводе без грешке, оба дела, ЦПУ и меморија, очигледно раде исправно. Средњи део има одређене карактеристике типичне за категорију 4 (динамички сигнал) и друге типичне за категорију 2 (тестирање се врши редовно у одговарајућим интервалима). Проблем је у томе што ови тестови, упркос њиховој обимности, не могу бити заиста потпуни, јер их систем са једним ПЕС-ом инхерентно не дозвољава.

Излазни део

Слично улазу, излаз (укључујући активаторе) се такође може удвостручити. Оба подсистема могу бити надгледана у односу на исти резултат. Кварови ће бити откривени и безбедносна функција ће бити извршена. Међутим, постоје исте слабе тачке као у улазном делу. Сходно томе, у овом случају је изабрана категорија 3.

На слици 13 иста функција је доведена и до релеја A B. Контролни контакти a b, затим обавјештава два улазна система да ли оба релеја обављају исти посао (осим ако је дошло до квара на једном од канала). Надзор се поново врши софтвером.

Слика 13. ПЕС коло са системом за детекцију квара

Цео систем се може описати као категорија 3-/4/2/3- ако се правилно и опсежно уради. Ипак, слабе тачке горе описаних система не могу се у потпуности елиминисати. У ствари, побољшани ПЕС се заправо користе за функције везане за безбедност само тамо где су ризици прилично мали (Холсцхер и Радер 1984).

Апликације ниског и средњег ризика са једним ПЕС-ом

Данас је скоро свака машина опремљена ПЕС контролном јединицом. Да би се решио проблем недовољне поузданости и обично недовољне сигурности од квара, обично се користе следеће методе пројектовања:

У релативно једноставним машинама као што су лифтови, функције су подељене у две групе: (1) функције које се не односе на безбедност обрађује ПЕС; (2) функције везане за безбедност су комбиноване у једном ланцу (безбедносно коло) и обрађене ван ПЕС-а (видети слику 14).

Слика 14. Стање технике за категорију заустављања 0

Горе наведени метод није погодан за сложеније машине. Један од разлога је тај што таква решења обично нису довољно безбедна. За апликације средњег ризика, решења треба да испуњавају захтеве за категорију 3. Опште идеје о томе како такви дизајни могу изгледати су представљени на слици 15 и слици 16.

Слика 15. Стање технике за категорију заустављања 1

Слика 16. Стање технике за категорију заустављања 2

Високоризичне апликације: системи са два (или више) ПЕС-а

Осим сложености и трошкова, не постоје други фактори који би спречили дизајнере да користе потпуно удвостручене ПЕС системе као што су Сиеменс Симатиц С5-115Ф, 3Б6 Тип ЦАР-МИЛ и тако даље. Они обично укључују два идентична ПЕС-а са хомогеним софтвером и претпостављају употребу „добро испробаних“ ПЕС-а и „добро испробаних“ компајлера (добро испробан ПЕС или компајлер се може сматрати оним који у многим практичним применама током 3 или више година показао је да су систематски пропусти очигледно отклоњени). Иако ови удвостручени ПЕС системи немају слабе тачке једноструких ПЕС система, то не значи да удвостручени ПЕС системи решавају све проблеме. (Види слику 17).

Слика 17. Софистицирани систем са два ПЕС-а

Систематски неуспеси

Систематски кварови могу бити резултат грешака у спецификацијама, дизајну и других узрока, а могу бити присутни и у хардверу иу софтверу. Двоструки ПЕС системи су погодни за употребу у апликацијама које се односе на безбедност. Такве конфигурације омогућавају откривање насумичних хардверских кварова. Помоћу различитости хардвера, као што је употреба два различита типа, или производа два различита произвођача, може се открити систематски квар хардвера (мало је вероватно да би се идентичан хардверски систематски квар догодио у оба ПЕС-а).

софтвер

Софтвер је нови елемент у погледу безбедности. Софтвер је или исправан или нетачан (у погледу кварова). Једном исправан, софтвер не може одмах постати нетачан (у поређењу са хардвером). Циљеви су да се искорене све грешке у софтверу или да се бар идентификују.

Постоје различити начини за постизање овог циља. Један је верификација програма (друга особа покушава да открије грешке у следећем тесту). Друга могућност је разноврсност софтвера, при чему два различита програма, која су написала два програмера, решавају исти проблем. Ако су резултати идентични (у одређеним границама), може се претпоставити да су оба дела програма тачна. Ако су резултати различити, претпоставља се да су грешке присутне. (НБ, Тхе архитектура хардвера се наравно такође мора узети у обзир.)

резиме

Када користите ПЕС, генерално треба узети у обзир иста следећа основна разматрања (као што је описано у претходним одељцима).

Један систем управљања без икаквог редундантности може бити распоређен у категорију Б. Један систем управљања са додатним мерама може бити категорије 1 или чак више, али не више од 2.
Дводелни контролни систем са узајамним поређењем резултата може се доделити категорији 3. Дводелни контролни систем са међусобним поређењем резултата и већом или мањом разноврсношћу може се доделити категорији 3 и погодан је за апликације већег ризика.

Нови фактор је да за систем са ПЕС-ом, чак и софтвер треба да се процени са тачке гледишта исправности. Софтвер, ако је исправан, поуздан је 100%. У овој фази технолошког развоја вероватно се неће користити најбоља могућа и позната техничка решења, јер су ограничавајући фактори и даље економски. Штавише, различите групе стручњака настављају да развијају стандарде за сигурносну примену ПЕС-а (нпр. ЕЦ, ЕВИЦС). Иако већ постоје различити стандарди (ВДЕ0801, ИЕЦ65А и тако даље), ово питање је толико широко и сложено да се ниједан од њих не може сматрати коначним.

Читати 10910 пута Последња измена среда, 31 август 2011 16:05

Објављена у 58. Сигурносне апликације

Више у овој категорији: « Софтвер и рачунари: хибридни аутоматизовани системи Безбедносни принципи за ЦНЦ машине алатке »

назад на врх

" ОДРИЦАЊЕ ОД ОДГОВОРНОСТИ: МОР не преузима одговорност за садржај представљен на овом веб порталу који је представљен на било ком другом језику осим енглеског, који је језик који се користи за почетну производњу и рецензију оригиналног садржаја. Одређене статистике нису ажуриране од продукција 4. издања Енциклопедије (1998).“

Садржај

Референце за сигурносне апликације

Артеау, Ј, А Лан и ЈФ Цорвеил. 1994. Употреба хоризонталних линија за спасавање у монтажи челичних конструкција. Зборник радова Међународног симпозијума о заштити од пада, Сан Дијего, Калифорнија (27–28. октобар 1994). Торонто: Међународно друштво за заштиту од пада.

Бацкстром, Т. 1996. Ризик од незгода и заштита сигурности у аутоматизованој производњи. Докторска теза. Арбете оцх Халса 1996:7. Солна: Национални институт за радни век.

Бацкстром, Т анд Л Хармс-Рингдахл. 1984. Статистичка студија система управљања и незгода на раду. Ј Оццуп Ацц. 6:201–210.

Бацкстром, Т и М Доос. 1994. Технички недостаци иза незгода у аутоматизованој производњи. Ин Адванцес ин Агиле Мануфацтуринг, уредили ПТ Кидд и В Карвовски. Амстердам: ИОС Пресс.

—. 1995. Поређење несрећа на раду у индустријама са напредном производном технологијом. Инт Ј Хум Фацторс Мануфац. 5(3). 267–282.

—. У штампи. Техничка генеза кварова машина који доводе до несрећа на раду. Инт Ј Инд Ергономија.

—. Прихваћено за објављивање. Апсолутна и релативна учесталост удеса аутоматизације на различитим врстама опреме и за различите групе занимања. Ј Саф Рес.

Баинбридге, Л. 1983. Ироније аутоматизације. Аутоматица 19:775–779.

Белл, Р анд Д Реинерт. 1992. Концепти ризика и интегритета система за контролне системе везане за безбедност. Саф Сци. 15:283–308.

Боуцхард, П. 1991. Ецхафаудагес. Водич серије 4. Монтреал: ЦССТ.

Бироа за националне послове. 1975. Стандарди безбедности и здравља на раду. Заштитне структуре при превртању за опрему за руковање материјалом и тракторе, секције 1926, 1928. Васхингтон, ДЦ: Биро за националне послове.

Цорбетт, ЈМ. 1988. Ергономија у развоју АМТ-а усмереног на човека. Примењена ергономија 19:35–39.

Цулвер, Ц и Ц Цоннолли. 1994. Спречити кобне падове у грађевинарству. Саф Хеалтх септембар 1994:72–75.

Деутсцхе Индустрие Нормен (ДИН). 1990. Грундсатзе фур Рецхнер ин Системен мит Сицхерхеитсауффгабен. ДИН В ВДЕ 0801. Берлин: Беутх Верлаг.

—. 1994. Грундсатзе фур Рецхнер ин Системен мит Сицхерхеитсауффгабен Андерунг А 1. ДИН В ВДЕ 0801/А1. Берлин: Беутх Верлаг.

—. 1995а. Сицхерхеит вон Масцхинен—Друцкемпфиндлицхе Сцхутзеинрицхтунген [Безбедност машина—Заштитна опрема осетљива на притисак]. ДИН прЕН 1760. Берлин: Беутх Верлаг.

—. 1995б. Рангиер-Варнеинрицхтунген—Анфордерунген унд Пруфунг [Комерцијална возила—откривање препрека током вожње уназад—захтјеви и тестови]. ДИН-норма 75031. фебруар 1995. године.

Доос, М и Т Бацкстром. 1993. Опис незгода у аутоматизованом руковању материјалима. У Ергономији руковања материјалима и обради информација на послу, приредили ВС Маррас, В Карвовски, ЈЛ Смитх и Л Пацхолски. Варшава: Тејлор и Френсис.

—. 1994. Поремећаји у производњи као ризик од удеса. Ин Адванцес ин Агиле Мануфацтуринг, уредили ПТ Кидд и В Карвовски. Амстердам: ИОС Пресс.

Европска економска заједница (ЕЕЦ). 1974, 1977, 1979, 1982, 1987. Директиве Савета о конструкцијама за заштиту од превртања пољопривредних и шумарских трактора на точковима. Брисел: ЕЕЗ.

—. 1991. Директива Савета о приближавању закона држава чланица у вези са машинама. (91/368/ЕЕЦ) Луксембург: ЕЕЗ.

Етхертон, ЈР и МЛ Миерс. 1990. Истраживање безбедности машина у НИОСХ-у и будући правци. Инт Ј Инд Ерг 6:163–174.

Фреунд, Е, Ф Диеркс и Ј Роßманн. 1993. Унтерсцхунген зум Арбеитссцхутз беи Мобилен Рототерн унд Мехрроботерсистемен [Тестови безбедности на раду мобилних робота и вишеструких роботских система]. Дортмунд: Сцхрифтенреихе дер Бундесансталт фур Арбеитссцхутз.

Гобле, В. 1992. Евалуатинг Цонтрол Систем Релиабилити. Њујорк: Друштво за инструменте Америке.

Гоодстеин, ЛП, ХБ Андерсон и СЕ Олсен (ур.). 1988. Задаци, грешке и ментални модели. Лондон: Тејлор и Френсис.

Грифе, ЦИ. 1988. Узроци и превенција падања. У Међународном симпозијуму о заштити од пада. Орландо: Међународно друштво за заштиту од пада.

Извршни директор за здравље и безбедност. 1989. Статистика здравља и безбедности 1986–87. Запослити Газ 97(2).

Хеинрицх, ХВ, Д Петерсон и Н Роос. 1980. Превенција индустријских несрећа. 5тх едн. Њујорк: МцГрав-Хилл.

Холлнагел, Е, анд Д Воодс. 1983. Инжењеринг когнитивних система: Ново вино у новим боцама. Инт Ј Ман Мацхине Студ 18:583–600.

Холсцхер, Х и Ј Радер. 1984. Микроцомпутер ин дер Сицхерхеитстецхник. Рхеинланд: Верлаг ТгВ-Реинланд.

Хорте, С-А и П Линдберг. 1989. Диффусион анд Имплементатион оф Адванцед Мануфацтуринг Тецхнологиес ин Сведен. Радни папир бр. 198:16. Институт за иновације и технологију.

Међународна електротехничка комисија (ИЕЦ). 1992. 122 Нацрт стандарда: Софтвер за рачунаре у примени система везаних за индустријску безбедност. ИЕЦ 65 (Сек). Женева: ИЕЦ.

—. 1993. 123 Нацрт стандарда: Функционална безбедност електричних/електронских/програмабилних електронских система; Генерички аспекти. Део 1, Општи захтеви Женева: ИЕЦ.

Међународна организација рада (МОР). 1965. Безбедност и здравље у пољопривредном раду. Женева: МОР.

—. 1969. Безбедност и здравље у раду у шумарству. Женева: МОР.

—. 1976. Безбедна конструкција и рад трактора. Кодекс МОР-а. Женева: МОР.

Међународна организација за стандардизацију (ИСО). 1981. Пољопривредни и шумарски трактори на точковима. Заштитне конструкције. Метода статичког испитивања и услови прихватања. ИСО 5700. Женева: ИСО.

—. 1990. Стандарди за управљање квалитетом и осигурање квалитета: Смернице за примену ИСО 9001 на развој, набавку и одржавање софтвера. ИСО 9000-3. Женева: ИСО.

—. 1991. Системи индустријске аутоматизације — Безбедност интегрисаних производних система — Основни захтеви (ЦД 11161). ТЦ 184/ВГ 4. Женева: ИСО.

—. 1994. Комерцијална возила—уређај за откривање препрека током вожње уназад—захтеви и тестови. Технички извештај ТР 12155. Женева: ИСО.

Јохнсон, Б. 1989. Дизајн и анализа дигиталних система отпорних на грешке. Њујорк: Аддисон Веслеи.

Кидд, П. 1994. Аутоматизована производња заснована на вештинама. У Организацији и менаџменту напредних производних система, уредили В Карвовски и Г Салвенди. Њујорк: Вилеи.

Кновлтон, РЕ. 1986. Ан Интродуцтион то Хазард анд Операбилити Студиес: Тхе Гуиде Ворд Аппроацх. Ванкувер, БЦ: Хеметика.

Куиванен, Р. 1990. Утицај поремећаја на безбедност у флексибилним производним системима. У Ергономији хибридних аутоматизованих система ИИ, приредили В Карвовски и М Рахими. Амстердам: Елсевиер.

Лаесер, РП, ВИ МцЛаугхлин и ДМ Волфф. 1987. Фернстеурерунг унд Фехлерконтролле вон Воиагер 2. Спектрум дер Виссенсхафт (1):С. 60–70.

Лан, А, Ј Артеау и ЈФ Цорбеил. 1994. Заштита од падова са надземних билборда. Међународни симпозијум о заштити од пада, Сан Дијего, Калифорнија, 27–28. октобар 1994. Процеедингс Интернатионал Социети фор Фалл Протецтион.

Лангер, ХЈ и В Курфурст. 1985. Еинсатз вон Сенсорен зур Абсицхерунг дес Руцкраумес вон Гроßфахрзеуген [Коришћење сензора за обезбеђење подручја иза великих возила]. ФБ 605. Дортмунд: Сцхрифтенреихе дер бундесансталт фур Арбеитссцхутз.

Левенсон, НГ. 1986. Безбедност софтвера: зашто, шта и како. АЦМ Цомпутер Сурвеис (2): С. 129–163.

МцМанус, ТН. Нд ограничени простори. Рукопис.

Мицросониц ГмбХ. 1996. Комуникација компаније. Дортмунд, Немачка: Мицросониц.

Местер, У, Т Хервиг, Г Донгес, Б Бродбек, ХД Бредов, М Беренс и У Аренс. 1980. Гефахренсцхутз дурцх пассиве Инфрарот-Сенсорен (ИИ) [Заштита од опасности инфрацрвеним сензорима]. ФБ 243. Дортмунд: Сцхрифтенреихе дер бундесансталт фур Арбеитссцхутз.

Мохан, Д и Р Пател. 1992. Пројектовање безбедније пољопривредне опреме: Примена ергономије и епидемиологије. Инт Ј Инд Ерг 10:301–310.

Национално удружење за заштиту од пожара (НФПА). 1993. НФПА 306: Контрола опасности од гаса на пловилима. Куинци, МА: НФПА.

Национални институт за безбедност и здравље на раду (НИОСХ). 1994. Смрт радника у затвореним просторима. Синсинати, Охајо, САД: ДХХС/ПХС/ЦДЦП/НИОСХ Пуб. бр. 94-103. НИОСХ.

Неуманн, ПГ. 1987. Н најбољих (или најгорих) случајева ризика везаних за рачунар. ИЕЕЕ Т Сист Ман Циб. Њујорк: С.11–13.

—. 1994. Илустративни ризици за јавност у коришћењу рачунарских система и сродних технологија. Софтваре Енгин Нотес СИГСОФТ 19, бр. 1:16–29.

Управа за безбедност и здравље на раду (ОСХА). 1988. Одабрани смртни случајеви на раду у вези са заваривањем и сечењем који се налазе у извештајима ОСХА Фаталити/Цатастропхе Инвестигатионс. Вашингтон, ДЦ: ОСХА.

Организација за економску сарадњу и развој (ОЕЦД). 1987. Стандардни кодови за службено испитивање пољопривредних трактора. Париз: ОЕЦД.

Органисме профессионел де превентион ду батимент ет дес траваук публицс (ОППБТП). 1984. Лес екуипементс индивидуелс де протецтион цонтре лес цхутес де хаутеур. Боулогне-Биланцоурт, Француска: ОППБТП.

Расмуссен, Ј. 1983. Вештине, правила и знања: Агенда, знаци и симболи, и друге разлике у моделима људских перформанси. ИЕЕЕ Трансакције о системима, човеку и кибернетици. СМЦ13(3): 257–266.

Реасон, Ј. 1990. Хуман Еррор. Нев Иорк: Цамбридге Университи Пресс.

Реесе, ЦД и ГР Миллс. 1986. Епидемиологија трауме смртних случајева у затвореном простору и њена примена на интервенцију/превенцију сада. У Променљива природа рада и радне снаге. Синсинати, ОХ: НИОСХ.

Реинерт, Д и Г Реусс. 1991. Сицхерхеитстецхнисцхе Беуртеилунг унд Пруфунг микропрозессоргестеуертер
Сицхерхеитсеинрицхтунген. У БИА-Хандбуцх. Сицхерхеитстецхнисцхес Информатионс-унд Арбеитсблатт 310222. Биелефелд: Ерицх Сцхмидт Верлаг.

Друштво аутомобилских инжењера (САЕ). 1974. Заштита оператера индустријске опреме. САЕ стандард ј1042. Ворендејл, САД: САЕ.

—. 1975. Критеријуми перформанси за заштиту од превртања. САЕ препоручена пракса. САЕ стандард ј1040а. Ворендејл, САД: САЕ.

Сцхреибер, П. 1990. Ентвицклунгсстанд беи Руцкраумварнеинрицхтунген [Стање развоја уређаја за упозорење позади]. Тецхнисцхе Убервацхунг, Нр. 4, април, С. 161.

Сцхреибер, П и К Кухн. 1995. Информатионстецхнологие ин дер Фертигунгстецхник [Информациона технологија у производној техници, серија Савезног завода за безбедност и здравље на раду]. ФБ 717. Дортмунд: Сцхрифтенреихе дер бундесансталт фур Арбеитссцхутз.

Схеридан, Т. 1987. Надзорна контрола. У Хандбоок оф Хуман Фацторс, уредник Г. Салвенди. Њујорк: Вилеи.

Спрингфелдт, Б. 1993. Ефекти правила и мера заштите на раду са посебним освртом на повреде. Предности аутоматских решења. Стокхолм: Краљевски институт за технологију, Одељење за науку о раду.

Сугимото, Н. 1987. Предмети и проблеми технологије безбедности робота. У Безбедност и здравље на раду у аутоматизацији и роботици, уредник К Ното. Лондон: Тејлор и Френсис. 175.

Суловски, АЦ (ур.). 1991. Основи заштите од пада. Торонто, Канада: Међународно друштво за заштиту од пада.

Вехнер, Т. 1992. Сицхерхеит алс Фехлерфреундлицхкеит. Опладен: Вестдеутсцхер Верлаг.

Зимолонг, Б, и Л Дуда. 1992. Стратегије смањења људске грешке у напредним производним системима. У интеракцији човека и робота, коју су уредили М Рахими и В Карвовски. Лондон: Тејлор и Френсис.