6.6.3.3 Kategorie a jejich vztah ke střední době nebezpečné poruchy
(MTTF D) každého kanálu, k průměrnému diagnostickému pokrytí (DC AVG) a k
poruše se společnou příčinou (CCF)
Dr. Ing. Rostislav Suchánek a kolektiv autorů
Kategorie
Kategorie jsou základními parametry používanými k dosažení
specifické úrovně vlastností (PL). Stanovují požadované chování bezpečnostních
částí ovládacího systému (SRP/CS) s ohledem na jejich odolnost proti závadám
založenou na uvažované konstrukci popsané viz Konstrukční hlediska Konstrukční hlediska.
Bezpečnostní části ovládacího systému (SRP/CS) musí být podle
jedné nebo více z pěti kategorií, které jsou stanovené ve Specifikaci kategorií 6/6.3.3.1
Kategorie B
Kategorie B je základní kategorie. Výskyt závady může vést ke
ztrátě bezpečnostní funkce. V kategorii 1 je zlepšená odolnost proti závadám
dosažena především volbou a použitím součástí. V kategoriích 2, 3 a 4 je
zlepšení vlastností, ve vztahu ke stanovené bezpečnostní funkci, dosaženo
především zlepšením struktury bezpečnostních částí ovládacího systému (SRP/CS).
V kategorii 2 je to dosaženo periodickou kontrolou toho, že stanovená
bezpečnostní funkce je vykonávána. V kategoriích 3 a 4 je to dosaženo
zajištěním, aby jediná závada nevedla ke ztrátě bezpečnostní funkce. V
kategorii 4, a kdykoliv je to možné i v kategorii 3, budou tyto závady
detekovány. V kategorii 4 je stanovena odolnost proti nahromadění závad.
Příčiny poruch
Pokud se uvažují příčiny poruch u některých součástí, je možné
určité závady vyloučit.
Volba kategorie
Volba kategorie pro speciální bezpečnostní části ovládacího
systému (SRP/CS) závisí hlavně na:
-
snížení rizika, které má být dosaženo bezpečnostní funkcí, ke
kterému část přispívá;
-
požadované úrovni vlastností (PLr);
-
použité technologii;
-
riziku, které vzniká v případě závady v této části;
-
možnosti vyloučení závady v této části (systematické
závady);
-
pravděpodobnosti výskytu závady v této části a relevantních
parametrech;
-
střední době do nebezpečné poruchy (MTTFd);
-
diagnostickém pokrytí (DC) a
-
poruše se společnou příčinou (CCF) v případě kategorií 2, 3 a
4.
Přehled kategorií bezpečnostních částí ovládacího systému
(SRP/CS), požadavky a chování systému v případě závad jsou přehledně uvedeny v
tabulce.
Kategorie | Přehled požadavků | Systém chování | Zásada používaná k dosažení
bezpečnosti | MTTFd každého kanálu | DCavg | CCF |
B | SRP/CS a/nebo jejich ochranná zařízení, stejně jako
jejich součásti, musí být navrženy, vyrobeny, voleny, namontovány a kombinovány
podle relevantních norem tak, že mohou odolávat očekávaným vlivům. Musí být
použity základní bezpečnostní zásady. | Výskyt závady může vést ke ztrátě bezpečnostní
funkce. | Hlavně charakterizovaná volbou součástí | Krátká až střední | Žádné | Nerelevantní |
1 | Musí být splněny požadavky kategorie B. Musí být
použity osvědčené bezpečnostní součásti a osvědčené bezpečnostní
zásady. | Výskyt závady může vést ke ztrátě bezpečnostní funkce,
ale pravděpodobnost výskytu je menší než v kategorii B. | Hlavně charakterizovaná volbou součástí | Dlouhá | Žádné | Nerelevantní |
2 | Musí být splněny požadavky kategorie B a musí být
použity osvědčené bezpečnostní zásady. Bezpečnostní funkce musí být
kontrolována ve vhodných intervalech ovládacím systémem stroje. | Výskyt závady může vést ke ztrátě bezpečnostní funkce
mezi kontrolami. Ztráta bezpečnostní funkce je detekována kontrolou. | Hlavně charakterizovaná strukturou | Krátká až dlouhá | Nízké až střední | Opatření |
3 | Musí být splněny požadavky kategorie B a musí být
použity osvědčené bezpečnostní zásady. Bezpečnostní části musí být navrženy
tak, aby: – jednotlivá závada v jakékoliv z těchto částí nevedla ke ztrátě
bezpečnostní funkce, a kdykoliv je to rozumně možné, jednotlivá závada byla
detekována. | Vyskytne-li se jednotlivá závada, bezpečnostní funkce
je vždy zachována. Některé, ale ne všechny, závady budou detekovány.
Nahromadění nedetekovaných závad může vést ke ztrátě bezpečnostní
funkce. | Hlavně charakterizovaná strukturou | Krátká až dlouhá | Nízké až střední | Opatření |
4 | Musí být splněny požadavky kategorie B a musí být
použity osvědčené bezpečnostní zásady. Bezpečnostní části musí být
navrženy tak, aby: – jednotlivá závada v jakékoliv z těchto částí nevedla
ke ztrátě bezpečnostní funkce a – jednotlivá závada byla detekována při
nebo před nejbližší bezpečnostní funkcí, ale pokud není tato detekce možná, pak
nahromadění nedetekovaných závad nesmí vést ke ztrátě bezpečnostní
funkce. | Vyskytne-li se jednotlivá závada, bezpečnostní funkce
je vždy zachována. Detekce nahromaděných závad snižuje pravděpodobnost
ztráty bezpečnostní funkce (vysoké DC). Závady budou detekovány dostatečně
včas, aby bylo zamezeno ztrátě bezpečnostní funkce. | Hlavně charakterizovaná strukturou | Dlouhá | Vysoké, včetně nahromadění závad | Opatření |
Specifikace kategorií
Každá bezpečnostní část ovládacího systému (SRP/CS) musí odpovídat
požadavkům relevantní kategorie.
Následující architektury typicky splňují požadavky příslušné
kategorie. Následující obrázky nezobrazují příklady, ale obecné architektury.
Odchylka od těchto architektur je vždy možná, ale každá odchylka musí být
zdůvodněna vhodnými analytickými nástroji (např. Markovovým modelováním,
analýzou stromu závady) tak, aby systém splňoval požadovanou úroveň vlastností
(PLr).
Navrhované architektury nemohou být uvažovány pouze jako obvodová
schémata, ale jako logická schémata. Pro kategorie 3 a 4 to znamená, že není
nezbytné fyzické zálohování všech částí, ale že zde jsou prostředky zálohování,
které zajišťují, že závada nemůže vést ke ztrátě bezpečnostní funkce.
Čáry a šipky v obrázcích představují logické propojovací
prostředky a logicky možné diagnostické prostředky.
Stanovené architektury
Struktura bezpečnostních částí ovládacího systému (SRP/CS) je
charakteristickým klíčem, který má velký vliv na úroveň vlastností (PL).
Základní koncepce jsou často podobné, i když rozmanitost možných struktur je
velká. Tím může být většina struktur, které existují v oblasti strojních
zařízení, zařazena do jedné z kategorií. Pro každou kategorii může být
provedeno typické znázornění jako bezpečnostní blokové schéma. Tato typická
provedení se nazývají stanovené architektury a jsou uvedena v souvislosti s
každou následující kategorií.
Je důležité, aby úroveň vlastností (PL) uvedená viz 6/6.3.2.5, obrázku 5,
která závisí na kategorii, střední době do nebezpečné poruchy
(MTTFd) každého kanálu a průměrném diagnostickém pokrytí
(DCavg), byla založena na stanovených architekturách. Je-li k odhadu
úrovně vlastností (PL) použit obrázek 5, měla by architektura bezpečnostních
částí ovládacího systému (SRP/CS) prokázat, že je rovnocenná se stanovenou
architekturou požadované kategorie. Konstrukce splňující vlastnosti příslušné
kategorie obvykle odpovídají příslušné stanovené architektuře kategorie.
Kategorie B
Bezpečnostní části ovládacího systému (SRP/CS) musí být minimálně
navrženy, vyrobeny, voleny, namontovány a kombinovány podle příslušných norem a
při použití základních bezpečnostních zásad pro specifická použití tak, aby
odolávaly:
-
očekávanému provoznímu namáhání, např. spolehlivost s ohledem
ke kapacitě a četnosti vypínání;
-
vlivu zpracovávaného materiálu, např. pracím prostředkům v
pracím stroji;
-
jiným relevantním vnějším vlivům, např. mechanickým vibracím,
elektromagnetickému rušení, přerušením nebo poruchám v dodávce energie.
V systémech kategorie B není žádné diagnostické pokrytí
(DCavg = žádné) a střední doba do nebezpečné poruchy
(MTTFd) každého kanálu může být krátká až střední. V těchto
strukturách (obvykle jednokanálové systémy) není nutné uvažovat poruchu se
společnou příčinou (CCF).
Maximální dosažitelná úroveň vlastností (PL) s kategorií B je L =
b.
Chování systému kategorie B:
Stanovená architektura pro kategorii B
Legenda
im prostředky vzájemného propojení,
I vstupní zařízení, např. senzor,
L logika,
O výstupní zařízení, např. hlavní stykač.
Kategorie 1
Pro kategorii 1 musí být splněny stejné požadavky jako pro
kategorii B. Dále platí následující:
Bezpečnostní části ovládacího systému (SRP/CS) kategorie 1 musí
být navrženy a vyrobeny použitím osvědčených součástí a osvědčených
bezpečnostních zásad (viz ISO 13849-2).
Osvědčená součást
„Osvědčená součást“ pro bezpečnostní použití je součást, která
byla buď:
-
již v minulosti široce používána se zdárnými výsledky v
podobných použitích nebo
-
vyrobena a ověřena při použití zásad, které prokazují její
vhodnost a spolehlivost pro bezpečnostní použití.
Nově vyvíjené součásti a bezpečnostní zásady mají být brány jako
rovnocenné k „osvědčeným“ tehdy, pokud splňují podmínku b). Rozhodnutí o
přijatelnosti jednotlivé součásti jako „osvědčené součásti“ může záviset na
jejím použití. Složité elektronické součásti (např. PLC, mikroprocesor,
integrovaný obvod specifického použití) nemohou být uvažovány jako rovnocenné
součásti k „osvědčeným součástem“.
Střední doba do nebezpečné poruchy (MTTFd) každého
kanálu musí být dlouhá. Maximální úroveň vlastností (PL) dosažitelná kategorií
1 je PL = c.
V systémech kategorie 1 není žádné diagnostické pokrytí
(DCavg = žádné). V těchto strukturách (obvykle jednokanálové
systémy) není nutné uvažovat poruchu se společnou příčinou (CCF).
Je důležité, aby bylo provedeno jasné rozlišení mezi „osvědčenou
součástí“ a „vyloučením závady“. Předpoklad, zda lze součást považovat za
osvědčenou, závisí na jejím použití. Například polohový spínač s nuceně
vypínanými kontakty může být považován jako osvědčený pro obráběcí stroj, avšak
současně může být nevhodný pro použití v průmyslu potravin – například v
mlékárenském průmyslu může být tento spínač zničen během několika měsíců
kyselinou mléčnou. Vyloučení závady může vést k velmi vysoké úrovni vlastností
(PL), ale mohou být použita vhodná opatření k umožnění vyloučení této závady
během celé životnosti zařízeni. Aby to bylo zajištěno, mohou být nezbytná další
opatření mimo ovládací systém. V případě polohového spínače jsou některými
příklady těchto druhů opatření:
-
prostředky k zajištění upevnění spínače po jeho nastavení;
-
prostředky k zajištění upevnění vačky;
-
prostředky k zabezpečení příčné stability vačky;
-
prostředky k vyloučení přejetí polohového spínače, např.
odpovídající montážní pevností pohlcovače rázů a…
/img>