ГОСТ 13849-1-2014 Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования.
ГОСТ ISO 13849-1-2014
МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ
Безопасность оборудования
ЭЛЕМЕНТЫ СИСТЕМ УПРАВЛЕНИЯ, СВЯЗАННЫЕ С БЕЗОПАСНОСТЬЮ
Часть 1
Общие принципы конструирования
Safety of machinery. Safety-related parts of control systems. Part 1. General principles for design
МКС 13.110
ОКП 38 1000
Дата введения 2016-01-01
Предисловие
Цели, основные принципы и основной порядок проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0-92 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2-2009 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, применения, обновления и отмены"
Сведения о стандарте
1 ПОДГОТОВЛЕН Экспериментальным научно-исследовательским институтом металлорежущих станков (ОАО "ЭНИМС") на основе собственного аутентичного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии (Росстандарт)
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 5 декабря 2014 г. N 46)
За принятие проголосовали:
|
|
|
Краткое наименование страны по МК (ИСО 3166) 004-97 | Код страны по МК (ИСО 3166) 004-97 | Сокращенное наименование национального органа по стандартизации |
Азербайджан | AZ | Азстандарт |
Армения | AM | Минэкономики Республики Армения |
Беларусь | BY | Госстандарт Республики Беларусь |
Казахстан | KZ | Госстандарт Республики Казахстан |
Киргизия | KG | Кыргызстандарт |
Молдова | MD | Молдова-Стандарт |
Россия | RU | Росстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 3 июня 2015 г. N 549-ст межгосударственный стандарт ГОСТ ISO 13849-1-2014 введен в действие в качестве национального стандарта Российской Федерации с 1 января 2016 г.
5 Настоящий стандарт идентичен международному стандарту ISO 13849-1:2006/Cor.1:2009* Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования), включая Поправку 1:2009.
Международный стандарт разработан техническим комитетом по стандартизации CEN/TC 114 "Безопасность машинного оборудования".
Перевод с английского языка (en).
Официальные экземпляры международного стандарта, на основе которого подготовлен настоящий межгосударственный стандарт, и международных стандартов, на которые даны ссылки, имеются в Федеральном агентстве по техническому регулированию и метрологии.
Сведения о соответствии межгосударственных стандартов ссылочным международным стандартам приведены в дополнительном приложении ДА.
Степень соответствия - идентичная (IDT)
6 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодном информационном указателе "Национальные стандарты" (по состоянию на 1 января текущего года), а текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Введение
Структура стандартов, относящихся к безопасности в области оборудования, следующая:
a) стандарты типа A - основные стандарты по безопасности, устанавливающие основные понятия, принципы конструирования и общие положения, которые могут быть применены ко всем машинам;
b) стандарты типа B - общие стандарты по безопасности, рассматривающие один аспект безопасности или один тип защитного устройства, которое может использоваться для широкого класса машин:
- стандарты типа B1 - стандарты по конкретным аспектам безопасности (например, по безопасным расстояниям, шумам, безопасной температуре поверхности и т.п.);
- стандарты типа B2 - стандарты по защитным устройствам (например, по двуручным управляющим устройствам, устройствам блокировки, датчикам давления, защитным ограждениям и т.п.);
c) стандарты типа C - стандарты по безопасности машин, рассматривающие детализированные требования к безопасности отдельной машины или группы машин.
Настоящий стандарт является стандартом типа B1, как установлено в ISO 12100.
Если положения стандарта типа C отличаются от положений, установленных в стандартах типа A или типа B, то положения стандарта типа C имеют преимущество над положениями других стандартов для машин, которые были спроектированы и построены в соответствии с положениями стандарта типа C.
Настоящий стандарт представляет собой руководство для тех, кто занимается проектированием и оценкой систем управления, а также для технических комитетов, разрабатывающих стандарты типа B2 и C, которые должны соответствовать Основным требованиям по безопасности Приложения I к Директиве Совета 98/37/ЕС на машины и механизмы. Стандарт не содержит конкретных указаний в отношении того, каким образом можно достичь соответствия требованиям других директив ЕС.
Как часть общей стратегии сокращения риска при работе на оборудовании конструктор часто выбирает меры сокращения рисков путем применения защитных устройств, выполняющих одну или более функций безопасности.
Элементы систем управления машиной, предназначенные для обеспечения функций безопасности, называются элементами систем управления, связанными с обеспечением безопасности (SRP/CS), и могут состоять из технических средств и программного обеспечения, они могут быть отделены от системы управления машиной или являться ее частью. Кроме выполнения функции безопасности SRP/CS могут также выполнять операционные функции (например, двуручные управляющие устройства как средства включения).
Способность элементов систем управления, связанных с обеспечением безопасности, выполнять функции безопасности в предвиденных обстоятельствах - это один из пяти уровней эффективности защиты (PL). Эти уровни эффективности определены в соответствии с вероятностью опасного отказа в час (см. таблицу 3).
С целью оказания помощи конструктору и облегчения оценки достигнутого PL в этом документе предлагается методика, основанная на классификации структур в соответствии с критериями конструирования и особым поведением станка в условиях сбоя. Категории - это один из пяти уровней, называемых Категориями B, 1, 2, 3 и 4.
Категории и уровни эффективности защиты можно применять к элементам системы управления, связанным с безопасностью, таким как:
- защитные устройства (например, двуручные управляющие устройства, блокирующие устройства), электрочувствительное предохранительное оборудование (например, фотоэлектрические барьеры), устройства, чувствительные к давлению;
- управляющие устройства (например, логический элемент функций контроля, обработка данных, автоматическое слежение и т.д.);
- устройства силового регулирования (например, реле, клапаны и т.д.),
а также к системам управления, выполняющим функции безопасности на всех видах оборудования - от простого (например, кухонные приборы или автоматические двери и ворота) до производственных установок (например, упаковочные машины, печатные станки, прессы).
Цель разработки настоящего стандарта - предоставить четкую основу разработчикам стандартов типа C, на которой конструирование и функционирование любого элемента системы управления, связанного с обеспечением безопасности оборудования, может быть объективно оценено, например, с помощью третьей стороны, собственных (внутренних) средств или независимого испытательного органа.
В настоящем стандарте, как и в [10], устанавливаются требования к конструированию и внедрению элементов систем управления, связанных с обеспечением безопасности. Применение любого из двух вышеупомянутых стандартов в соответствии с областью их применения должно удовлетворять основным требованиям по безопасности. Нижеприведенная таблица 1 содержит области применения [10] и настоящего стандарта.
Таблица 1 - Рекомендуемое применение IEC 62061 [10] и настоящего стандарта
|
|
|
Технология, использующая функцию(и) управления, связанную(ые) с безопасностью | Настоящий стандарт | МЭК 62061 [10] |
A Неэлектрическая: например, гидравлика | X | Не входит |
B Электромеханическая: например, реле и/или несложная электроника | Ограничена структурными построениями  и до PL= e | Все структуры и до SIL 3 |
C Сложная электроника: например, программируемая | Ограничена структурными построениями и до PL= d | Все структуры и до SIL 3 |
D A в сочетании с B | Ограничена структурными построениями и до PL= e | X  |
E C в сочетании с B | Ограничена структурными построениями (см. Примечание 1) и до PL=d | Все структуры и до SIL 3 |
F C в сочетании с A или C в сочетании с A и B | X  | X |
X показывает, что этот пункт рассматривается в стандарте, указанном в заголовке колонки. | ||
Структурные построения определены в 6.2, чтобы обеспечить упрощенный подход к квантификации уровня эффективности защиты. Для сложной электроники: используйте структурные построения в соответствии с настоящим стандартом до PL= d или любую структуру в соответствии с [10]. Для неэлектрической технологии используйте элементы в соответствии с настоящим стандартом как подсистемы. | ||
1 Область применения
Настоящий стандарт устанавливает требования безопасности и общие принципы конструирования элементов систем управления, связанных с безопасностью (SRP/CS). Стандарт определяет категории SRP/CS и описывает характеристики их функций безопасности. Стандарт распространяется на любые SRP/CS, независимо от вида используемой энергии: например, электрической, гидравлической, пневматической, механической.
Настоящий стандарт не устанавливает, какие функции безопасности и какие категории должны применяться в каждом конкретном случае.
Настоящий стандарт устанавливает специфические требования к SRP/CS, которые используют программируемые системы.
Стандарт не предъявляет особых требований к конструированию изделий, являющихся частью SRP/CS. Тем не менее можно применять некоторые принципы, такие как категории или уровни эффективности защиты (PL).
Примечание 1 - Примеры изделий, являющихся частью элементов систем управления, связанных с безопасностью: реле, соленоидные клапаны, выключатели положения, программируемые путевые выключатели, моторные блоки управления, двуручные управляющие устройства, оборудование, чувствительное к давлению. При разработке такой продукции необходимо соответствие с международными стандартами, такими как [14], [15], [16].
Примечание 2 - Определение термина "требуемый уровень эффективности защиты" см. 3.1.24.
Примечание 3 - Требования, предъявляемые к программируемым системам, совместимы с представленной в [10] методологией конструирования и усовершенствования электрических, электронных и программируемых систем управления, связанных с безопасностью.
Примечание 5 - Смотри также таблицу 1.
2 Нормативные ссылки
Для применения настоящего стандарта необходимы следующие ссылочные документы*. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения).
ISO 12100 Safety of machinery - General principles for design - Risk assessment and risk reduction (Безопасность машин. Основные принципы конструирования. Оценки риска и снижения риска)
ISO 13849-2:2003 Safety of machinery - Safety-related parts of control systems - Part 2: Validation (Безопасность машин. Детали систем управления, связанные с обеспечением безопасности. Часть 2. Валидация)
ISO 14121 Safety of machinery - Principles of risk assessment (Безопасность машин. Принципы оценки рисков)
IEC 60050-191:1990 International electrotechnical vocabulary - Chapter 191: Dependability and quality of service and IEC 60050-191 - am 1:1999 and IEC 60050-191 - am 2:2002 (Международный словарь по электротехнике - Раздел 191: Функциональная надежность и качество обслуживания, и МЭК 60050-191 - поправка 1:1999 и МЭК 60050-191 - поправка 2:2002)
IEC 61508-1 Function safety of electrical/electronic/programmable electronic safety-related systems - Part 1: General requirements (Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования)
IEC 61508-3:1998/Согг.1:1999 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (МЭК 61508-3:1998/Поправка 1:1999 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению)
IEC 61508-4 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 4: Definition and abbreviations (Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения)
IEC 61511-1:2003 Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements (Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования)
3 Термины, определения, обозначения и сокращения
3.1 Термины и определения
В настоящем стандарте применены термины и определения по ISO 12100 и IEC 60050-191, а также следующие термины и определения:
3.1.1 элемент системы управления, связанный с безопасностью (safety-related part of a control system, SRP/CS): Часть системы управления, которая реагирует на входные сигналы и вырабатывает выходные сигналы, связанные с обеспечением безопасности.
Примечание 1 - Комбинированные элементы системы управления, связанные с безопасностью, начинают действовать в точке, где возникают сигналы, имеющие отношение к безопасности, например, включающий (рабочий, подталкивающий) кулачок и ролик выключателя положения, и заканчивают на выходе силовых управляющих элементов, например, главные контакты пускателя (контактора).
Примечание 2 - Если системы мониторинга (текущего контроля) используются для диагностики, они также считаются элементами систем управления, связанными с безопасностью.
3.1.2 категория (category, Cat.): Классификация элементов системы управления, связанных с обеспечением безопасности, по их устойчивости к неисправностям и последующему поведению при неисправном состоянии, достигаемая структурным построением указанных элементов и/или определяемая их надежностью.
3.1.3 неисправность (fault): Состояние оборудования, характеризуемое его неспособностью выполнять требуемую функцию, исключая профилактическое обслуживание или другие планово-предупредительные действия, а также исключая неспособность выполнять требуемую функцию из-за недостатка внешних ресурсов.
Примечание 1 - Неисправность часто является следствием отказа самого оборудования, но может существовать и без предварительного отказа по IEC 60050-191.
Примечание 2 - В стандарте "неисправность" означает случайную неисправность.
3.1.4 отказ (failure): Нарушение способности технического объекта (элемента) по выполнению требуемой функции.
Примечание 1 - После отказа технический объект находится в неисправном состоянии.
Примечание 2 - "Отказ" является событием в отличие от "неисправности", которая является состоянием.
Примечание 3 - Это понятие, как оно определено, не применяют к техническим объектам, состоящим только из средств программного обеспечения (IEC 60050-191).
Примечание 4 - Отказы, которые оказывают влияние на процесс управления, рассматриваются вне рамок настоящего стандарта.
3.1.5 опасный отказ (dangerous failure): Отказ, который может привести к тому, что система, связанная с безопасностью, перейдет в опасное состояние или в состояние ошибки при выполнении функции.
Примечание 1 - Технический потенциал может зависеть от архитектуры каналов системы; в системах с резервированием менее вероятно, что отказ (сбой) аппаратного обеспечения приведет к всеобщей опасности или угрозе выведения из строя.
Примечание 2 - См. IEC 61508-4, 3.6.7.
3.1.6 отказ по общей причине (common cause failures, CCF): Повреждения разных частей машины, произошедшие в результате одного события и не являющиеся следствиями друг друга.
Примечание - "Повреждения по общей причине" не следует путать с "повреждениями общего характера" (см. МЭК 60050-191).
3.1.7 систематический отказ (systematic failure): Отказ, вызванный определенной причиной, который может быть устранен только путем изменения конструкции или с помощью технологического приема, операционных процедур, документации или других существенных факторов.
Примечание 1 - Даже восстановительное техническое обслуживание без модификации обычно не устраняет причину отказа.
Примечание 2 - Систематический отказ может быть вызван имитацией причины отказа по МЭК 60050-191.
Примечание 3 - Примеры причин систематических отказов, зависящих от человеческих ошибок при:
- определении спецификации требований безопасности;
- разработке, производстве, монтаже, работе аппаратного обеспечения;
- разработке, реализации и т.д. программного обеспечения.
3.1.8 приостановка (muting): Временное автоматическое прекращение выполнения функции безопасности элементами системы управления, связанными с безопасностью.
3.1.9 возврат в исходное положение вручную (manual reset): Функция, свойственная элементам системы управления, связанным с безопасностью, и необходимая для восстановления вручную заданных функций безопасности до повторного пуска машины.
3.1.10 вред здоровью (harm): Нанесение физической травмы или причинение ущерба здоровью человека.
3.1.11 опасность (hazard): Потенциальная угроза нанесения физической травмы или причинения вреда здоровью человека.
Примечание 1 - Термин "опасность" можно квалифицировать в соответствии с причиной его происхождения (например, механическая опасность, электрическая опасность) или характером потенциального повреждения (например, опасность поражения электрическим током, опасность пореза, опасность воздействия токсических веществ, опасность возгорания).
Примечание 2 - Виды опасностей:
- опасности, постоянно присутствующие в процессе использования машины по назначению (например, опасное перемещение подвижных элементов, дуговой разряд в процессе сварки, вредная для здоровья рабочая поза, эмиссия шума, высокая температура);
- опасности, возникающие неожиданно (например, взрыв, опасность раздавливания вследствие неожиданного/непреднамеренного пуска, выбросы вследствие аварии, падение вследствие ускорения или замедления).
3.1.12 опасная ситуация (hazardous situation): Обстоятельства, при которых человек подвергается по меньшей мере одной или нескольким опасностям.
3.1.13 риск (risk): Сочетание вероятности нанесения и степени тяжести возможных травм или другого вреда здоровью.
3.1.14 остаточный риск (residual risk): Риск, остающийся после принятия защитных мер, рисунок 2.
Примечание - См. ISO 12100, 3.13.
3.1.15 оценка риска (risk assessment): Полный процесс, включающий анализ и оценку степени риска (см. ISO 12100, 3.17).
3.1.16 анализ риска (risk analysis): Изучение технических характеристик машины в части ограничений, идентификации опасности и предварительная оценка степени риска (см. ISO 12100, 3.15).
3.1.17 оценка степени риска (risk evaluation): Сделанное на основе анализа риска заключение о возможности его снижения (см. ISO 12100, 3.16).
3.1.18 использование машины по назначению (intended use of machine): Использование машины в соответствии с информацией, содержащейся в документации для пользователя (см. ISO 12100, 3.23).
3.1.19 прогнозируемое неправильное применение (reasonably foreseeable misuse): Использование машины способом, не предусмотренным конструктором, но который может быть результатом легко предсказуемого поведения человека (см. ISO 12100, 3.24).
3.1.20 функция безопасности (safety function): Функция машины, сбой которой может привести к немедленному возрастанию риска(ов) (см. ISO 12100, 3.30).
3.1.21 текущий автоматический контроль (мониторинг) (monitoring): Функция безопасности, которая гарантирует, что предохранительные меры предусматриваются в том случае, если снижается способность компонента или элемента выполнять свои функции или если изменились условия протекания процесса таким образом, что произошло увеличение рисков.
3.1.22 программируемая электронная система (programmable electronic system PES): Система для управления, защиты или мониторинга, основанная на использовании одного или нескольких программируемых электронных устройств, включая все элементы системы, такие как источники питания, датчики и другие устройства ввода, магистрали данных и другие каналы связи, устройства привода и другие устройства вывода.
Примечание - См. IEC 61508-4, 3.3.2.
3.1.23 уровень эффективности защиты (performance level, PL): Дискретный уровень, используемый для определения способности элементов систем управления, связанных с обеспечением безопасности, осуществлять функцию безопасности в прогнозируемых условиях.
Примечание - См. 4.5.1.
Примечание - см. [10], 3.2.34.
3.1.26 диагностический охват (diagnostic coverage, DC): Показатель эффективности диагностики, который может быть определен как отношение между вероятностью обнаружения опасных отказов и вероятностью всех опасных отказов.
Примечание 1 - Диагностический охват может существовать как для всей системы управления, связанной с обеспечением безопасности, так и для ее части. К примеру, показатель эффективности диагностики может существовать для сенсорных устройств, и/или логических систем, и/или конечных элементов.
Примечание 2 - см. IEC 61508-4, 3.8.6.
3.1.27 защитная мера (protective measure): Мера, предпринимаемая для адекватного снижения степени риска.
Примеры
1 Меры безопасности, установленные разработчиком: определенная конструкция, основные и дополнительные средства защиты, инструкция по эксплуатации.
2 Меры безопасности, установленные пользователем: организация работы (безопасные технологические процессы, контроль, системы доступа к работе), обеспечение и использование дополнительных средств безопасности, средств индивидуальной защиты работников, обучение.
Примечание - см. ISO 12100, 3.19.
Примечание - Время ремонта не включает период времени, необходимый для обнаружения отказа.
3.1.32 система управления машиной (machine control system): Система, которая отвечает на сигналы ввода от частей элементов оборудования, операторов, оборудования внешнего контроля или любой комбинации вышеприведенных элементов и генерирует сигналы вывода, приводящие машину в действие в заданном порядке.
Примечание - Система управления может использовать любую технику или любую комбинацию различных технических средств (например, электрические/электронные, гидравлические, пневматические, механические).
3.1.33 уровень полноты безопасности (safety integrity level, SIL): Дискретный уровень (принимающий одно из четырех возможных значений), определяющий требования к полноте безопасности для функций безопасности, который ставится в соответствие Е/Е/РЕ-системам, связанным с безопасностью; уровень полноты безопасности, равный 4, характеризует наибольшую полноту безопасности; уровень, равный 1, отвечает наименьшей полноте безопасности, см. IEC 61508-4, 3.5.6.
3.1.34 язык программирования с ограниченной изменчивостью (limited variability language, LVL): Тип языка, который обеспечивает способность сочетания предопределенных атрибутов, библиотечных функций специализированного применения для выполнения технических требований безопасности.
Примечание 1 - См. IEC 61511-1, 3.2.81.1.2.
Примечание 2 - Типовые примеры LVL (язык многозвеньевой логики, язык функциональных блок-схем) представлены в [39].
Примечание 3 - Типовой пример системы, использующей LVL: PLC.
3.1.35 язык программирования с полной изменчивостью (full variability language, FVL): Язык, специально созданный для программистов и позволяющий реализовать широкий диапазон функций и прикладных задач.
Пример - С, C++, Assembler.
Примечание 1 - См. IEC 61511-1, 3.2.81.1.3.
Примечание 2 - Типовой пример систем, использующих FVL: встроенные системы.
Примечание 3 - В области оборудования FVL применяется во встроенном программном обеспечении и реже в прикладном программном обеспечении.
3.1.36 прикладное программное обеспечение (application software): Программное обеспечение специального применения, внедренное производителем оборудования и обычно содержащее логические последовательности (ряды), пределы и функции, которые контролируют соответствующие сигналы ввода, вывода, вычисления и решения, необходимые для обеспечения исполнения требований SRP/CS.
3.1.37 встроенное программное обеспечение (системное) (embedded software, irmware, system software): Программное обеспечение, которое является частью системы, поставляемой производителем, и которое недоступно для изменения пользователем оборудования.
Примечание - Встроенное программное обеспечение всегда написано на языке FVL.
3.2 Обозначения и сокращения
Обозначения и сокращения приведены в таблице 2.
Таблица 2
|
|
|
|
Обозначения и сокращения | Характеристика на языке | Появление в тексте | |
| английском | русском |
|
a, b, c, d, e | Denotation of performance levels | Обозначение уровней эффективности защиты | Таблица 3 |
AOPD | Active optoelectronic protective device (e. g. light barrier) | Активное оптоэлектронное защитное устройство | Приложение H |
B, 1, 2, 3, 4 | Denotation of categories | Обозначение категорий | Таблица 7 |
B  | Number of cycles until 10% of the components fail dangerously (for pneumatic and electromechanical components) | Количество циклов наработки до наступления опасного отказа для числа компонентов до 10% (для пневматических и электромеханических компонентов) | Приложение C |
Cat. | Category | Категория | 3.1.2 |
СС | Current converter | Преобразователь тока | Приложение I |
CCF | Common cause failure | Отказ по общей причине (независимый) | 3.1.6 |
DC | Diagnostic coverage | Диагностический охват | 3.1.26 |
DC  | Average diagnostic coverage | Средний диагностический охват (мера диагностики) | E.2 |
F, F1, F2 | Frequency and/or time of exposure to the hazard | Частота и/или время подверженности риску | A.2.2 |
FB | Function block | Функциональный блок | 4.6.3 |
FVL | Full variability language | Язык программирования с полной изменчивостью (системный) | 3.1.35 |
FMEA | Failure modes and effects analysis | Метод анализа состояний и последствий отказа | 7.2 |
I, I1, I2 | Input device, e. g. sensor | Входное устройство, например, датчик | 6.2 |
I, j | Index of counting | Индекс расчетный | Приложение D |
I/O | Inputs/outputs | Вход/выход | Таблица E.1 |
i  , i  | Interconnecting means | Средства соединения | Рисунок 4 |
K1A, K1B | Contactors | Замыкатель, контактор | Приложение I |
L, L1, L2 | Logic | Логика, логические элементы | 6.2 |
LVL | Limited variability language | Язык программирования с ограниченной изменчивостью (оперативного программирования) | 3.1.34 |
M | Motor | Двигатель | Приложение I |
MTTF | Mean time to failure | Среднее время наработки на отказ | Приложение C |
MTTF | Mean time to dangerous failure | Среднее время наработки на опасный отказ, сбой | 3.1.25 |
n, N,  | Number of items | Количество позиций | 6.3, D.1 |
N  | Number of SRP/CS with PL in a combination of SRP/CS | Число элементов систем управления, связанных с безопасностью, с нижним уровнем эффективности защиты комбинированных элементов системы управления, связанных с безопасностью | 6.3 |
O, O1, O2, OTE | Output device, e. g. actuator | Выходное устройство, например, привод | 6.2 |
P, P1, P2 | Possibility of avoiding the hazard | Вероятность избежать опасности | A.2.3 |
PES | Programmable electronic system | Программируемая электронная система | 3.1.22 |
PL | Performance level | Уровень эффективности защиты | 3.1.23 |
PLC | Programmable logic controller | Программируемый логический контроллер | Приложение I |
PL | Lowest performance level of a SRP/CS in a combination of SRP/CS | Нижний уровень эффективности защиты комбинированных элементов системы управления, связанных с безопасностью | 6.3 |
PL | Requires performance level | Требуемый уровень эффективности защиты | 3.1.24 |
r | Demand rate | Показатель запросов | 3.1.30 |
RS | Rotation sensor | Датчик вращения | Приложение I |
S, S1, S2 | Severity of injury | Тяжесть травмирования | A.2.1 |
SW1A, SW1B, SW2 | Position switches | Положения переключателей | Приложение I |
SIL | Safety integrity level | Уровень полноты безопасности | Таблица 4 |
SRASW | Safety-related application software | Прикладное программное обеспечение функций безопасности | 4.6.3 |
SRESW | Safety-related embedded software | Встроенное программное обеспечение функций безопасности | 4.6.2 |
SRP | Safety-related part | Элемент, отвечающий за безопасность | Общее |
SRP/CS | Safety-related part of a control system | Элемент системы управления, связанный с безопасностью | 3.1.1 |
TE | Test equipment | Испытательное оборудование | 6.2 |
T | Mission time | Период эксплуатации | 3.1.28 |
4 Вопросы конструирования
4.1 Цели безопасности при конструировании
SRP/CS, следует рассчитывать и конструировать так, чтобы полностью учитывались принципы, изложенные в ISO 12100 и ISO 14121 (см. рисунки 1 и 3). Все возможные преднамеренные злоупотребления и предусмотренное использование должны быть учтены заранее.
Рисунок 1 - Обзор оценки и снижения риска
4.2 Стратегии по снижению риска
4.2.1 Общие положения
Порядок действий по снижению риска приведен в разделе 4, остальные инструкции содержатся в 6.2 (меры по разработке безопасной конструкции самой машины) и 6.3 (средства защиты и дополнительные защитные меры) ISO 12100. Этот порядок действий учитывает весь жизненный цикл оборудования.
Процесс устранения или понижения рисков на машине связывается с принятием следующих мер:
- устранение или снижение рисков с помощью конструирования (6.2, ISO 12100);
- обеспечение безопасности при помощи мер предосторожности и дополнительных защитных мер (6.2, ISO 12100);
- снижение рисков с помощью предоставления документации по остаточным рискам (6.6, ISO 12100).
4.2.2 Влияние уменьшения риска на системы управления
Целью всего конструирования в целом является достижение безопасности (см. 4.1). Конструирование SRP/CS и снижение рисков являются лишь частью процедуры конструирования машины. SRP/CS обеспечивает функцию безопасности в PL, который достигает требуемого снижения риска. В процессе выполнения функции безопасности - будь то сама часть системы, управление ограждением или предохранительным устройством, конструирование SRP/CS - это всего лишь часть методики уменьшения рисков. Это многократный процесс, и он проиллюстрирован на рисунках 1 и 3.
Для каждой функции безопасности необходимо специфицировать и документировать ее свойства (см. раздел 5) и требуемые уровни эффективности защиты, согласно перечню требований.
В настоящем стандарте уровни эффективности защиты определены в единицах вероятности возникновения опасного отказа в час (наработка на отказ). Пять уровней эффективности защиты (от a до e) представлены с интервалами значений вероятности возникновения опасного отказа в течение часа в таблице 3.
Таблица 3 - Уровень эффективности защиты
|
|
Уровень эффективности защиты (PL) | Средняя вероятность возникновения опасного отказа в час |
a |  10  до <10  |
b | 3х10  до <10 |
c | 10 до <3х10 |
d | 10  до <10 |
e | 10  до <10 |
Примечание - Кроме среднего значения вероятности возникновения опасного отказа в течение часа для достижения необходимого PL нужно также учитывать и другие критерии.
| |
Исходя из оценки риска (см. ISO 14121) для данной машины, конструктор должен определить вклад в снижение риска, который необходимо обеспечить с помощью каждого SRP/CS. Этот вклад не включает общий риск управляемой машины, например связанный с эксплуатацией механического пресса или стиральной машины, а только часть риска, снижение которого обеспечивается применением определенных функций безопасности. Примером таких функций является функция останова, выполняемая путем использования электрочувствительного предохранительного устройства механического пресса, или функция блокирования двери стиральной машины.
Снижение риска может быть достигнуто применением различных мер (как SRP/CS, так и другими) с достижением в итоге безопасных условий (см. рисунок 2).
Примечание - Для получения подробной информации об уменьшении риска см. ISO 12100.
Рисунок 2 - Обзор процесса снижения риска для каждой опасной ситуации
Рисунок 1 (ISO 12100)
Рисунок 3 - Многократный (интерактивный) подход к процессу конструирования элементов системы управления, отвечающих за обеспечение безопасности
4.4 Конструирование элементов системы управления, связанных с безопасностью (SRP/CS)
Элементы, снижающие риск, определяют безопасность функционирования машин. Элементы, обеспечивающие безопасность, обеспечивают безопасность управления, блокируя, в частности, непредусмотренный запуск в работу.
Функция безопасности может быть реализована с помощью одного или нескольких SRP/CS, в то же время несколько функций безопасности могут относиться к одному SRP/CS (например, логическое устройство, регулятор мощности). Также возможно, что один SRP/CS реализует функцию безопасности и стандартную функцию управления. Конструктор может использовать любые доступные технологии, по одной или в сочетании друг с другом. SRP/CS может также выполнять и эксплуатационную функцию (например, в AOPD как средство включения цикла).
На рисунке 4 представлена диаграмма функции безопасности, отражающая комбинации SRP/CS для:
Примечание 1 - Для одной и той же машины необходимо проводить различие между различными функциями безопасности и связанными с ними SRP/CS, реализующими определенную функцию безопасности.
Определяя функцию безопасности для системы управления, конструктор должен определить и элемент обеспечения безопасности (см. рисунки 1 и 3) и, где это необходимо, привязать ее ко входу, логической схеме и выходу и в случае резервирования к отдельным каналам, а затем оценить уровень эффективности защиты PL (см. рисунок 3).
Примечание 2 - Указанная структура представлена в разделе 6.
Примечание 3 - Все интерфейсы включены в элементы обеспечения безопасности.
l - ввод; L - логический элемент; O - вывод; 1 - событие инициации
(например, ручная активация нажимной кнопки, открытие предохранительного приспособления, прерывание пучка AOPD); 2 - силовой привод механизма (например, тормоз двигателя)
Рисунок 4 - Схематическое изображение комбинации элементов системы управления, связанных с безопасностью, для осуществления типичной функции безопасности
4.5 Оценка достигнутого уровня эффективности защиты (PL) и его соотношение с уровнем полноты безопасности (SIL)
4.5.1 Уровень эффективности защиты (PL)
Способность узлов, связанных с осуществлением безопасности, выполнять функцию безопасности выражается посредством определения уровня эффективности защиты.
Для каждого выбранного SRP/CS и/или комбинации SRP/CS, которые выполняют функцию безопасности, должна быть выполнена оценка PL.
PL узла SRP/CS должен определяться посредством оценки следующих аспектов:
- DC (см. приложение E);
- CCF (см. приложение F);
- структуры (см. раздел 6);
- работы функции безопасности в условиях неисправности (см. раздел 6);
- программного обеспечения, связанного с обеспечением безопасности (см. 4.6 и приложение J);
- систематических отказов (см. приложение G);
- способностей выполнять функцию безопасности при ожидаемых условиях окружающей среды.
Примечание 1 - Могут иметь определенное влияние другие параметры, например, аспекты эксплуатации, коэффициент (частота) запросов, коэффициент тестирования.
Аспекты могут быть сгруппированы по двум методам, касающимся процедуры оценки:
b) не выражаемые количественно качественные аспекты, которые влияют на работу SRP/CS (режим работы функции безопасности в условиях неисправности; программное обеспечение, связанное с обеспечением безопасности; систематический отказ и условия окружающей среды).
Существует несколько методов оценки выражаемых количественно аспектов PL для любого типа системы (например, комплексная конструкция), таких как модель Маркова, обобщенная стохастическая сеть Петри (GSPN), блок-схема надежности (см., например, IEC 61508).
Для облегчения оценки количественных аспектов PL предоставлен упрощенный порядок, основанный на определении пяти указанных структур, которые отвечают специфическим критериям разработки и работают в условиях неисправности (см. 4.5.4).
Для SRP/CS или комбинации SRP/CS, разработанных в соответствии с требованиями, данными в разделе 6, средняя вероятность опасного отказа может определяться посредством рисунка 5 и процедуры, данной в приложениях A-H, J и K.
В прикладных программах, в которых SRP/CS может считаться простым и необходимый уровень эффективности защиты - от a до c, качественная оценка PL может быть подтверждена расчетным логическим обоснованием.
Примечание 2 - Для разработки сложных систем управления, таких как PES, предназначенной для выполнения функций безопасности, может оказаться приемлемым применение других стандартов (например, [5], [6], [7], [8], [9], [10] и [2], [3], [4]).
Достижение качественных аспектов PL может быть продемонстрировано применением рекомендованных мероприятий, приведенных в 4.6 и приложении G.
В соответствии с серией стандартов IEC 61508 способность систем управления, связанных с обеспечением безопасности, выполнять функцию безопасности дается через SIL. Таблица 4 демонстрирует отношение между двумя понятиями (PL и SIL).
PL a не имеет соответствия на шкале SIL и в основном используется для снижения риска легкой, обычно обратимой травмы. Поскольку SIL 4 предназначен для катастрофических событий, возможных в перерабатывающей промышленности, этот диапазон не является существенным для оценки рисков механизмов. Следовательно, PL e, соответствующий SIL 3, определяется как самый высокий уровень.
Таблица 4 - Отношение между уровнем эффективности защиты PL и уровнем полноты безопасности SIL
|
|
PL | SIL (IEC 61508-1, для информации)интенсивный/непрерывный режим работы |
a | Нет соответствия |
b | 1 |
c | 1 |
d | 2 |
e | 3 |
Принципиально должны применяться следующие защитные меры по снижению риска:
- снижение вероятности возникновения неисправностей на компонентном уровне. Цель - снизить вероятность возникновения неисправностей или отказов, которые влияют на функцию безопасности. Это может быть сделано посредством увеличения надежности компонентов, например, отбором успешно испытанных компонентов, и/или применения хорошо проверенных принципов безопасности, чтобы минимизировать или исключить опасные неисправности или нарушения (отказ) (см. ISO 13849-2);
- улучшение конструкции SRP/CS. Цель - избежать опасных последствий неисправности. Некоторые неисправности могут быть выявлены, и потребуется резервирование и/или мониторинг конструкции.
Обе меры могут применяться отдельно или в комбинации. В некоторых технологиях снижение риска может быть достигнуто посредством отбора надежных компонентов и исключением неисправностей; но в других технологиях снижение риска может потребовать дополнительной и/или мониторинговой системы. В дополнение должны суммарно учитываться отказы по общей причине (CCF) (см. рисунок 3).
Особенности структурных построений см. в разделе 6.
|
|
MTTF | |
Обозначение каждого канала | Диапазон времени каждого канала |
Низкое | 3 года  10 лет |
Среднее | 10 лет 30 лет |
Высокое | 30 лет 100 лет |
Примечание 1 - Выбор диапазонов MTTF каждого канала основан на интенсивности (частоте) отказов в области существующих технологий, образуя нечто вроде логарифмической шкалы, соответствующей логарифмической PL-шкале. Значение MTTF каждого канала существующего SRP/CS менее трех лет предположительно нельзя найти, поскольку это бы означало, что после одного года около 30% всех систем на рынке сломались бы, и их необходимо бы было заменить. Значение MTTF каждого канала более 100 лет неприемлемо, т.к. SRP/CS для крупных рисков не должен зависеть от надежности только одних компонентов. Чтобы защитить SRP/CS от систематических и случайных неисправностей, должны понадобиться дополнительные средства, такие как резервирование. Для использования на практике количество диапазонов было сокращено до трех. Ограничение значений MTTF каждого канала до максимума 100 лет относится к SRP/CS, которые выполняют функцию безопасности. Более высокие значения MTTF могут использоваться для одинарных компонентов (см. таблицу D.1). Примечание 2 - Указанные в данной таблице границы имеют точность 5%.
| |
a) использование данных производителя;
b) использование методов, приведенных в приложении C и D;
c) выборка в диапазоне 10 лет.
4.5.3 Диагностический охват (DC)
Значение DC распределено по четырем уровням (см. таблицу 6).
Таблица 6 - Мера диагностического охвата (DC)
|
|
DC | |
Обозначение | Диапазон |
Никакое | DC<60% |
Низкое | 60%  DC<90% |
Среднее | 90% DC<99% |
Высокое | 99% DC |
Примечание 1 - Для SRP/CS, состоящего из нескольких частей, используется средний диагностический охват DC вместо DC, изображенного на рисунке 5, раздел 6 и Е.2. Примечание 2 - Выбор диапазонов DC основан на ключевых значениях 60, 90 и 99%, также используемых в других стандартах (например, IEC 61508), имеющих дело с тестами оценки диагностического охвата. (1-DC) для ключевых значений 60, 90 и 99% образует нечто вроде логарифмической шкалы, соответствующей логарифмической PL-шкале. Значение DC менее 60% оказывает лишь небольшое влияние на надежность тестируемой системы и, следовательно, называется "никакое". Значения DC свыше 99% для сложных систем очень сложно достичь. Для практичности количество диапазонов было сокращено до четырех. Указанные в данной таблице границы имеют точность 5%.
| |
4.5.4 Упрощенный порядок оценки уровня эффективности защиты (PL)
PL может быть оценен посредством учета всех существенных параметров и соответствующих методов для расчета (см. 4.5.1).
Данный пункт описывает упрощенную процедуру оценки PL узлов SRP/CS, основанную на регламентированных построениях. Некоторые другие построения с подобной структурой могут трансформироваться в данные регламентированные построения для того, чтобы осуществить оценку PL.
Регламентированные построения представлены в виде блок-схем и перечислены в контексте каждой категории в 6.2. Информация о методе блок-схем и блок-схемах, связанных с обеспечением безопасности, дана в 6.2. и приложении B.
Регламентированные построения демонстрируют логическое представление о структуре системы для каждой категории. Техническая реализация или, например, принципиальная схема функционирования могут выглядеть совершенно по-другому.
Регламентированные построения вычерчены для комбинированных SRP/CS, начинающихся в точках, в которых возникают сигналы, связанные с обеспечением безопасности, и заканчивающихся на выводе элементов включения-выключения питания (см. также ISO 12100, приложение A). Регламентированные построения могут также использоваться, чтобы описывать часть или подчасть системы управления, которая отвечает на входящие сигналы и генерирует выходные сигналы, связанные с обеспечением безопасности. Элемент "ввода" может представлять собой, например, световую завесу (AOPD), также как и входные цепи логических элементов управления или входные переключатели. "Вывод" может также представлять собой, например, переключающее устройство выходного сигнала (OSSD) или выводы лазерных сканеров.
Для регламентированных построений сделаны следующие типовые допущения:
- заданная продолжительность работы - 20 лет (см. раздел 10);
- частота отказов постоянная в течение заданной продолжительности работы;
Отказ по общей причине (CCF) также должен приниматься в расчет (инструкцию см. в Приложении F).
Для SRP/CS с программным обеспечением применяются требования из 4.6.
Если количественные данные недоступны или не используются (например, системы низкой сложности), должен быть выбран самый худший показатель всех существенных параметров.
Комбинация SRP/CS или одинарный SRP/CS могут иметь PL. Комбинация нескольких SRP/CS с различными PL рассматривается в 6.3.
Таблица 7 - Упрощенная процедура оценки уровня эффективности защиты PL, достигнутого узлом SRP/CS
|
|
|
|
|
|
|
|
Категория | B | 1 | 2 | 2 | 3 | 3 | 4 |
DC | никакое | никакое | низкое | среднее | низкое | среднее | высокое |
MTTF каждого канала |
| ||||||
Низкое | a | Не покрывается | a | b | b | c | Не покрывается |
Среднее | b | Не покрывается | b | c | c | d | Не покрывается |
Высокое | Не покрывается | c | c | d | d | d | e |
4.6 Требования к безопасности программного обеспечения
4.6.1 Общие принципы
Вся работа на протяжении срока службы встроенного или прикладного программного обеспечения функций безопасности должна быть в первую очередь направлена на повышение надежности самого программного обеспечения во время срока службы (см. рисунок 6). Основная цель следующих требований - иметь читабельное, понятное, тестируемое и ремонтируемое программное обеспечение.
Примечание - Приложение J дает детальные рекомендации по работе в течение срока службы.
Рисунок 6 - Упрощенная V-модель срока службы программного обеспечения функций безопасности
4.6.2 Встроенное программное обеспечение функций безопасности (SRESW)
- срок службы программного обеспечения с верификацией и приемочными испытаниями, см. рисунок 6;
- документирование спецификации и конструкции;
- модульная и структурная разработка и кодирование;
- контроль систематических отказов (см. G.2);
- использование мер, основанных на программном обеспечении, для контроля случайных отказов аппаратных средств, проверки правильного применения;
- функциональные испытания, например, испытание черного ящика;
- соответствующие работы по безопасности программного обеспечения в течение срока службы после модификаций.
- менеджмент качества сопоставляемых систем при конструировании, например, в соответствии с IEC 61508 или [18];
- документирование всей деятельности, взаимосвязанной с жизненным циклом программного обеспечения;
- менеджмент по идентификации всех форм и документов, связанных с реализацией SRESW;
- структурированные технические требования, включая требования по безопасности, и конструирование;
- использование подходящих языков программирования и компьютерных средств;
- модульное и структурное программирование, разделение в области программных способов и средств обеспечения безопасности, модули ограниченного размера с полностью заданным интерфейсом, применение стандартов конструирования и кодирования;
- проверка кодирования сквозным контролем/пересмотром, включая анализ потока управления;
- расширенное функциональное тестирование, например тестирование методом серого ящика, испытание для определения рабочих характеристик или моделирование;
- анализ воздействий и проведение соответствующих работ по безопасности программного обеспечения в течение срока службы после внесения изменений.
Примечание 1 - Для более подробного описания данных критериев см. IEC 61508-7.
Примечание 2 - Для SRESW с отличиями в области конструирования и кодирования, а также для компонентов, используемых в SRP/CS с категориями 3 или 4, затраты на принятие мер с целью исключения систематических отказов могут быть сокращены, например, проверкой компонентов программного обеспечения с учетом только структурных аспектов вместо проверки каждой строки кода.
4.6.3 Прикладное программное обеспечение функций безопасности (SRASW)
Срок службы программного обеспечения, связанного с безопасностью (см. рисунок 6), также относится к SRASW (см. приложение J).
- цикл разработки с процессами контроля и подтверждения, см. рисунок 6;
- документирование технических требований и разработки;
- модульное и структурное программирование;
- функциональное испытание;
- соответствующие опытно-конструкторские работы после модификаций.
a) спецификация программного обеспечения функций безопасности должна быть проверена (см. приложение J), доступна каждому человеку, участвующему в жизненном цикле, а также должна содержать описание:
1) функций безопасности с требуемым уровнем PL и связанных с ними рабочих режимов;
2) критериев эффективности, например, времени срабатывания;
3) структуры комплекса аппаратных средств с интерфейсом внешних сигналов;
4) выявления и контроля внешнего отказа;
b) выбора инструментов, библиотек, языков:
1) подходящие инструменты: для уровня PL=e, достигнутого одним компонентом и его инструментом, инструмент должен отвечать соответствующим требованиям безопасности; если используются два различных компонента с различными инструментами, то может быть достигнут достаточный уровень достоверности. Должны учитываться технические параметры, определяющие условия возникновения систематической ошибки (такие как несоответствие типов данных, неопределенное размещение динамического запоминающего устройства, незавершенный интерфейс, рекурсия, адресная арифметика с указателями). Проверки должны проводиться главным образом во время компиляции, а не только во время рабочего цикла. Инструменты должны вводить в действие подмножества языка и директивы кодирования или, по крайней мере, контролировать и направлять пользователя, использующего их;
2) при условии целесообразности и практической применимости должны использоваться утвержденные библиотеки функциональных блоков (FB), или библиотеки FB, связанные с безопасностью и обеспеченные производителем инструмента (особо рекомендовано для уровня PL=e), или утвержденные библиотеки прикладных специальных FB в соответствии с настоящим стандартом;
3) для модульного подхода должно применяться утвержденное LVL-подмножество, например, принятое подмножество языков [39]. Особо рекомендовано использование графических языков (например, функциональная блок-схема, релейная диаграмма);
c) разработка программного обеспечения должна содержать в себе:
1) полуформальные методы описания данных и потока управляющих сигналов, например, диаграмма состояний или блок-схема программы;
2) модульное и структурное программирование, осуществленное преимущественно функциональными блоками, входящими в состав утвержденных библиотек функциональных блоков, связанных с обеспечением безопасности;
3) функциональные блоки ограниченного размера кодирования;
4) запуск программного кода внутри функционального блока, который должен иметь один вход и один выход;
5) архитектурную трехступенчатую модель, Входные сигналы => Обработка => Выходные сигналы (см. рисунок 7 и приложение J);
6) размещение выходного сигнала безопасности только в одном месте программы;
7) использование методов выявления внешнего отказа и защитного программирования в пределах блоков входного сигнала, обработки и выходного сигнала, что приводит к безопасному состоянию;
Рисунок 7 - Общая архитектурная модель программного обеспечения
d) когда SRASW и не SRASW объединены в один компонент:
1) SRASW и не SRASW должны быть закодированы в разных функциональных блоках с четко определенными каналами передачи данных;
2) не должно быть логического объединения данных, связанных и не связанных с обеспечением безопасности, что может привести к снижению полноты сигналов, связанных с безопасностью, например, объединение связанных и не связанных с безопасностью сигналов логическим "ИЛИ", когда результат управляет сигналами, связанными с обеспечением безопасности;
e) внедрение/кодирование программного обеспечения:
1) код должен быть четким, понятным и тестируемым, поэтому должны использоваться символьные переменные (вместо подробного описания адресов технических средств);
2) должны использоваться подтвержденные или принятые рекомендации по выполнению кодирования;
3) должны применяться проверки целостности и достоверности данных (например, проверка попадания в интервал), доступные на прикладном уровне (защитное программирование);
4) код должен быть проверен моделированием;
5) верификация должна проводиться посредством контроля и анализа потока данных для уровня PL=d или e;
f) тестирование:
1) подходящим методом подтверждения является тестирование функционального поведения, а также критериев эффективности (например, эффективность использования рабочего времени) методом черного ящика;
2) для PL=d или e рекомендуется использование тестовых вариантов, полученных на основе анализа граничных значений;
3) рекомендуется проводить планирование испытаний, причем планирование должно включать в себя тестовые варианты с критериями завершения и требуемыми программными средствами;
4) тестирование входов/выходов должно гарантировать, что сигналы, связанные с безопасностью, правильно использованы в рамках SRASW;
g) документирование:
1) весь жизненный цикл программного обеспечения, а также работы, связанные с модификацией, должны быть снабжены документацией;
2) документация должна быть полной, доступной, четкой и ясной;
3) документация системы кодирования в пределах исходного текста должна содержать заголовки модулей, указывающие на область применения, описание функциональных задач и входов/выходов, информацию о версии системы кодирования и версии используемых функциональных блоков библиотек, а также необходимые ссылки на интернет-ресурсы/официальные отчеты и строки-описания;
________________
Пример - Анализ, проверка, сквозной контроль или другие подходящие меры.
i) управление конфигурацией
Настоятельно рекомендуется ввести резервные копии данных и процедур с целью последующей идентификации и архивирования документов, программных модулей, результатов верификации/валидации, а также конфигурации программных средств, относящихся к особой версии SRASW;
j) модификации
После модификации SRASW должен быть проведен анализ воздействий с целью обеспечения технических требований. Также после модификации должны быть проведены соответствующие работы, касающиеся жизненного цикла программного обеспечения. Права доступа к модификациям должны находиться под контролем, история модификаций должна быть задокументирована.
Примечание - Модификации не затрагивают уже используемые системы.
4.6.4 Параметризация на основе программного обеспечения
Программная параметризация показателей, связанных с обеспечением безопасности, должна рассматриваться в качестве аспекта безопасности конструкции SRP/CS, которые должны быть описаны в спецификации требований по безопасности программного обеспечения. Параметризация должна проводиться при использовании предназначенных для этого программных средств, предусмотренных поставщиком SRP/CS. Эти программные средства должны иметь свои параметры для идентификации (название, номер версии и т.д.), а также предотвращать несанкционированные изменения, например, с помощью защиты паролем.
Полнота данных, используемых для параметризации, должна поддерживаться на необходимом уровне, что может быть достигнуто применением мер по отношению к контролю:
- диапазона допустимых входных данных;
- искажения данных перед их передачей;
- влияния ошибок, начиная с процесса передачи параметров;
- влияния неполной передачи параметров;
- влияния сбоев и отказов технических средств и программного обеспечения средств, используемых для параметризации.
Средства параметризации должны отвечать всем требованиям, установленным для SRP/CS в соответствии с настоящим стандартом. В качестве альтернативы должна использоваться особая процедура для определения параметров, связанных с безопасностью. Данная процедура должна включать подтверждение входных параметров по отношению к элементам SRP/CS или
- повторной передачей измененных параметров к инструменту параметризации, или
- другими подходящими средствами подтверждения полноты параметров,
также как и последующее подтверждение, например, с привлечением подготовленного специалиста или средствами автоматической проверки инструментом параметризации.
Примечание 1 - Особенно важно в тех случаях, когда параметризация проводится средствами, не предназначенными для этого (например, с помощью персонального компьютера или аналогичного средства).
Для того чтобы избежать систематических отказов, программные модули для кодирования/декодирования в процессе передачи/повторной передачи данных, а также модули для визуализации параметров, связанных с безопасностью, должны как минимум иметь различия внутри функции(й).
Документы на параметризацию, основанную на программном обеспечении, должны содержать используемые данные (например, предопределенные наборы параметров), а также информацию, необходимую для идентификации параметров, связанных с SRP/CS, специалистом(ми), выполняющим(ми) параметризацию, наряду с другой значимой информацией, такой как дата проведения параметризации.
Следующие мероприятия по верификации должны применяться к параметризации, основанной на программном обеспечении:
- проверка правильности настройки каждого параметра, связанного с безопасностью (минимум, максимум и характерные значения);
- подтверждение того, что параметры, связанные с безопасностью, проверены на достоверность, например, использованием недопустимых значений и т.д.;
- проверка защиты от несанкционированных изменений параметров, связанных с безопасностью;
- проверка того, что данные/сигналы параметризации сформированы и обработаны так, что отказы не приведут к потере функции безопасности.
Примечание 2 - Особенно важно в тех случаях, когда параметризация проводится средствами, не предназначенными для этого (например, с помощью персонального компьютера или аналогичного средства).
4.8 Эргономические принципы конструирования
Взаимодействие между операторами и SRP/CS должно проектироваться и устанавливаться так, чтобы никто не подвергался опасности при всех режимах предназначенного использования и возможных случаях неправильного использования машины (см. также ISO 12100, [19], [20], [21], раздел 10 [29], [30], [38], [41], [44]).
Эргономические принципы следует применять так, чтобы машину и систему управления, включая элементы, обеспечивающие безопасность, можно было легко использовать и не провоцировать оператора работать опасным способом.
Следует применять требования безопасности для соблюдения эргономических принципов, указанных в 6.2.8 ISO 12100.
5 Функции безопасности
5.1 Спецификация функций безопасности
В настоящем разделе приведен перечень и характеристики функций безопасности, которые могут быть соблюдены с помощью SRP/CS. Конструктор (или разработчик стандарта типа C) должен выбирать необходимые функции безопасности из этого перечня, чтобы получить требуемые меры безопасности от системы управления для заданного применения.
Пример - Функция останова, предотвращение внезапного пуска, ручной возврат, приостановка, ручная приостановка функций безопасности.
Примечание - Системы управления оборудованием обеспечивают операционные функции и/или функции безопасности. Операционные функции (например, пуск, нормальный останов) также могут быть функциями безопасности, но это может быть установлено только после полной оценки риска на используемом оборудовании.
В таблицах 8 и 9 перечислены типовые функции безопасности, некоторые их характеристики и параметры, связанные с обеспечением безопасности, а также приведены ссылки на другие международные стандарты, в которых изложены требования, относящиеся к функциям безопасности, их характеристикам и параметрам. Конструктор (или разработчик стандарта типа C) должен гарантировать, что требования этих стандартов удовлетворяются для функций безопасности, приведенных в таблицах.
В данном разделе приведены дополнительные требования к некоторым характеристикам функций безопасности.
При необходимости характеристики функций должны быть адаптированы для использования при питании от разных источников энергии.
Так как большинство ссылок, содержащихся в таблицах 8 и 9, относятся к стандартам электротехники, то необходимо, чтобы требования были адаптированы для использования другого вида оборудования (например, гидравлического, пневматического).
При идентификации функции(й) безопасности должны учитываться следующие условия:
a) результаты оценки риска, связанного с каждой опасностью или опасной ситуацией;
b) эксплуатационные характеристики машины, в том числе:
- предназначенное использование машины (включая возможные случаи неправильного использования);
- режимы работы (например, автономный режим, автоматический режим, режимы, относящиеся к конкретной зоне или части машины);
- продолжительность цикла;
- время срабатывания;
c) аварийный режим работы;
d) описание взаимодействия различных рабочих процессов и работ, выполняемых вручную (ремонт, наладка, диагностика неисправностей и т.д.);
e) режим работы машины, который должен быть обеспечен или предотвращен функцией безопасности;
f) условие(я) (например, рабочий режим), при котором(ых) машина будет находиться в рабочем или нерабочем состоянии;
g) частота эксплуатации;
h) приоритет тех функций, которые могут действовать одновременно и вызвать противоречивые действия.
5.2 Элементы функций безопасности
5.2.1 Функция останова
Функция останова (например, включаемая защитным устройством) (см. в таблице 8) должна сразу после его срабатывания переводить машину в безопасное состояние. Такой останов должен пользоваться приоритетом перед остановом машины по операционным причинам.
При совместной работе группы машин в согласованном режиме необходимо предусмотреть подачу сигнала в диспетчерское управление и/или на другие машины о существовании такого состояния останова.
Примечание - Такой останов может вызывать операционные проблемы и трудности повторного пуска, например, при электродуговой сварке. С целью уменьшения вероятности отмены функции останова ее выполнение может быть начато с останова машины по операционным причинам для завершения текущей операции и подготовки к быстрому и свободному повторному пуску из позиции останова (например, без ущерба произведенной продукции). Единственное решение - это применение блокировочных устройств с защитными фиксаторами, причем защитный фиксатор отключается, когда рабочий цикл достигает определенного состояния, при котором возможно свободное выполнение повторного пуска.
Таблица 8 - Международные стандарты, относящиеся к типовым функциям безопасности машин и некоторым их характеристикам
|
|
|
|
Функция безопасности/характеристика | Требование(я) | Дополнительная информация | |
| Настоящий стандарт | ИСО 12100 |
|
Функция останова, включаемая защитным устройством  | 5.2.1 | 3.28.8, 6.2.11.3 | 9.2.2, 9.2.5.3, 9.2.5.5 [29] |
Ручной возврат | 5.2.2 | - | 9.2.5.3, 9.2.5.4 [29] |
Пуск и повторный пуск | 5.2.3 | 6.2.11.3, 6.2.11.4 | 9.2.1, 9.2.5.1, 9.2.5.2, 9.2.6 [29] |
Функция местного управления | 5.2.4 | 6.2.11.8, 6.2.11.10 | 10.1.5 [29] |
Приостановка | 5.2.5 | - | - |
Ручная приостановка функций безопасности |
| перечисление b) 6.2.11.8 | 9.2.6.1 [29] |
Управление разблокированием |
| - | 9.2.6.3, 10.9 [29] |
Предотвращение внезапного пуска | - | 6.2.11.4 | [27], 5.4 [29] |
Освобождение и спасение заблокированных людей | - | 6.3.5.3 | - |
Отключение и рассеяние энергии | - | 6.3.5.4 | [27], 5.3, 6.3.1 [29] |
Режимы управления и выбор режима | - | 6.2.11.8, 6.2.11.10 | 9.2.3, 9.2.4 [29] |
Взаимодействие между разными элементами систем управления, связанными с обеспечением безопасности | - | 6.2.11.1 (последнее предложение) | 9.3.4 [29] |
Контроль параметризации входных величин, связанных с обеспечением безопасности | 4.6.4 | - | - |
Функция аварийного останова | - | 6.3.5.2 | [13], 9.2.5.4 [29] |
Включая ограждения с блокировкой и ограничители (например, на превышение скорости, температуры, давления). Дополнительные меры защиты смотрите в ISO 12100. | |||
Таблица 9 - Международные стандарты, содержащие требования к некоторым функциям безопасности и параметрам, связанным с обеспечением безопасности
|
|
|
|
Функция безопасности/параметр, связанный с обеспечением безопасности | Требование | Дополнительная информация | |
| Настоящий стандарт | ISO 12100 |
|
Время срабатывания | 5.2.6 | - | 3.2, A.3, A.4 [26] |
Параметры, связанные с обеспечением безопасности (скорость, температура или давление) | 5.2.7 | перечисление e) 6.2.11.8 | 7.1, 9.3.2, 9.3.4 [29] |
Колебания, отключение и восстановление источников питания | 5.2.8 | перечисление e) 6.2.11.8 | 4.3, 7.1, 7.5 [29] |
Сигналы и устройства предупреждения | - | 6.2.8 | [10], [17], [22], [23], 10.3, 10.4 [29], [38], [39] |
5.2.2 Ручной возврат
После подачи предохранительным устройством команды "Останов" состояние останова должно поддерживаться до тех пор, пока не будут созданы безопасные условия для повторного пуска.
Восстановление функции безопасности путем возврата предохранительного устройства отменяет команду "Останов". Отмена команды "Останов" должна быть подтверждена вручную, отдельным и преднамеренным действием (ручным возвратом) (см. в таблице 8).
Функция ручного возврата:
- должна быть обеспечена с помощью отдельного и вручную управляемого устройства в пределах SRP/CS;
- должна быть выполнена только в случае, если действуют все функции безопасности и предохранительные устройства;
- не должна сама инициировать движение или создавать опасную ситуацию;
- должна исполняться преднамеренным действием;
- должна подготавливать систему управления для приема отдельной команды "Останов";
- должна применяться только путем выключения исполнительного механизма, находящегося в положении "включено".
Уровень эффективности безопасности элементов, связанных с обеспечением безопасности и выполняющих функцию ручного возврата, должен выбираться так, чтобы включение функции ручного возврата не снижало требуемый уровень безопасности соответствующей функции.
Исполнительный механизм возврата должен находиться за пределами опасной зоны и в безопасном положении, из которого хорошо видно, что в пределах опасной зоны никого нет.
Требуется отдельная процедура возврата, когда нет полной видимости в пределах опасной зоны.
Примечание - Единственное решение - это применение второго исполнительного механизма возврата. Функция возврата запускается в пределах опасной зоны первым исполнительным механизмом в сочетании со вторым, расположенным за пределами опасной зоны (около предохранительного устройства). Необходимо, чтобы данная процедура возврата была реализована за ограниченное время перед тем, как система контроля примет отдельную команду "Пуск".
5.2.3 Пуск и повторный пуск
Повторный автоматический запуск должен осуществляться только в том случае, если опасная ситуация больше не существует. В частности, для блокировочных устройств с функцией пуска следует применять 6.3.3.2.5 ISO 12100.
Требования к пуску и повторному пуску (см. в таблице 8) должны также применяться к машинам, которые имеют дистанционное управление.
Примечание - Сигнал с датчика обратной связи, поступающий в систему управления, может включить автоматический повторный пуск.
Пример - В автоматическом режиме работы сигналы с датчика обратной связи, поступающие в систему управления, часто применяются для контроля технологического процесса. Если заготовка вышла из позиции, то происходит останов технологического процесса. Если мониторинг блокировочных устройств не превосходит автоматическое регулирование процесса, то может возникнуть опасность повторного пуска машины в то время, когда оператор меняет заготовку. Поэтому повторный пуск от пульта дистанционного управления не должен выполняться до тех пор, пока предохранительное устройство снова не включится и оператор не покинет опасную зону. Содействие функции предотвращения внезапного пуска, обеспеченного системой управления, зависит от результатов оценки риска.
5.2.4 Функция местного управления
При местном управлении машиной (см. в таблице 8), например с помощью переносного устройства управления или подвесного пульта, должны выполняться следующие требования:
- средства, выбранные для местного управления, должны быть расположены за пределами опасной зоны;
- запуск опасных условий эксплуатации в локальной зоне с оцененным риском должен быть возможен только от одного устройства местного управления;
- переключение управления между местным и главным не должно создавать опасную ситуацию.
5.2.5 Приостановка
Приостановка (см. в таблице 8) не должна приводить к опасным для человека ситуациям. Во время приостановки безопасные условия должны быть обеспечены другими средствами.
В конце приостановки должны быть восстановлены все функции безопасности SRP/CS.
Уровень эффективности безопасности элементов, связанных с безопасностью и выполняющих функцию приостановки, должен выбираться таким, чтобы включение функции приостановки не снижало требуемый уровень безопасности соответствующей функции.
Примечание - При некоторых применениях требуется сигнал, указывающий на приостановку.
5.2.6 Время срабатывания
Должно быть указано время срабатывания SRP/CS (см. в таблице 9), если это необходимо, исходя из оценки риска.
Примечание - Время срабатывания системы управления - это часть общего времени срабатывания машины. Необходимое общее время срабатывания машины может влиять на конструкцию элементов, связанных с обеспечением безопасности, например, вызывать необходимость в обеспечении системы торможения.
5.2.7 Параметры, связанные с обеспечением безопасности
Если параметры SRP/CS, например расположение, скорость, температура, давление (см. в таблице 9), отклоняются от заданных пределов, то система управления должна инициировать соответствующие действия, например, включение останова, сигнала предупреждения, аварийного сигнала.
Если ошибки ручного ввода данных по обеспечению безопасности в программируемые электронные системы ведут к возникновению опасной ситуации, то в этом случае в пределах системы управления, связанной с обеспечением безопасности, должна устанавливаться система проверки данных, например проверка пределов ограничений, формата и/или логических входных значений.
5.2.8 Колебания, отключение и восстановление источников питания
Дополнение к требованиям, приведенным в таблице 9.
Если возникают колебания, выводящие энергетические уровни за пределы расчетного рабочего диапазона, в том числе внезапное отключение энергоснабжения, то элементы системы управления, связанные с безопасностью, должны продолжать выдавать или инициировать передачу выходного(ых) сигнала(ов), который(ые) позволяет(ют) другим машинам поддерживать безопасное состояние (см. в таблице 9).
6.1 Общие положения
SRP/CS должны соответствовать требованиям одной или нескольких из пяти категорий, установленных в 6.2.
Категории являются основными параметрами, используемыми для достижения определенного PL.
Категория В является основной. Возникновение неисправности может повлечь за собой потерю функции безопасности. Для категории 1 повышенная стойкость к неисправностям достигается преимущественно путем выбора и применения компонентов. Для категорий 2, 3 и 4 улучшение рабочих характеристик в отношении заданной функции безопасности достигается преимущественно путем совершенствования структуры SRP/CS. Для категории 2 это обеспечивается периодической проверкой выполнения функции заданной безопасности. Для категорий 3 и 4 совершенствование структуры обеспечивается тем, что одиночная неисправность не ведет к потере функции безопасности. Для категории 4 и там, где практически целесообразно для категории 3, такие неисправности будут обнаружены. Для категории 4 устанавливается стойкость элементов к накоплению неисправностей.
В таблице 10 дан обзор по категориям SRP/CS, приведены требования и поведение системы управления в случае неисправности.
При рассмотрении причин отказа некоторых компонентов можно исключать возникновение определенных неисправностей (см. раздел 7).
Выбор категорий для конкретного SRP/CS главным образом зависит от:
- снижения риска, которое достигается за счет функции безопасности, выполняемой элементом системы управления;
- применяемых технологий;
- возникновения риска в случае неисправности(ей) элемента;
- возможности избежать неисправности(ей) элемента (систематические ошибки);
- возможности возникновения неисправности(ей) элемента и соответствующих параметров;
- диагностического охвата (DC);
- отказа по общей причине (CCF) в случае применения категорий 2, 3 и 4.
6.2 Характеристики категорий
6.2.1 Общие положения
Каждый SRP/CS должен соответствовать требованиям категорий, см. 6.2.3-6.2.7.
Нижеприведенная структура отвечает требованиям соответствующей категории.
Структурные построения не должны рассматриваться только в качестве принципиальных схем, поскольку они также являются и логическими схемами. Для категорий 3 и 4 это означает, что не все элементы обязательно являются резервными, однако существуют резервные средства обеспечения того, что неисправность не приведет к потере функции безопасности.
Линии и стрелки на рисунках 8-12 являются средствами логической связи и средствами логической диагностики.
6.2.2 Структурные построения
Структура SRP/CS является ключевой характеристикой, оказывающей большое влияние на PL. Даже если существует множество возможных структур, то основные принципы построения все равно часто похожи. Таким образом, большинство структур, присутствующих в сфере оборудования, могут быть сопоставлены с одной из категорий. Типовым представлением каждой категории является представление в виде структурной схемы. Такое типовое представление называется структурным построением и содержится в описании каждой категории.
6.2.3 Категория B
SRP/CS должны быть, как минимум, разработаны, сконструированы, выбраны, смонтированы и соединены согласно соответствующим стандартам с использованием основных принципов безопасности для конкретного применения с тем, чтобы они могли выдерживать:
- ожидаемые эксплуатационные нагрузки, например, надежность в отношении отключающей способности и частоты;
- влияние обрабатываемого материала, например, стойкость стиральной машины к воздействию моющих средств;
- другие соответствующие внешние воздействия, например, механическую вибрацию, электромагнитные помехи, отключение или другие нарушения в области электроснабжения.
Максимально возможный PL достигается категорией B-PL=b.
Примечание - Возникновение неисправности может привести к потере функции безопасности.
Специальные требования к электромагнитной совместимости можно найти в соответствующих стандартах на продукцию, например, в [35] для систем силовых приводов. Требования по устойчивости относятся, в частности, и к функциональной безопасности SRP/CS. Если таких стандартов на продукцию нет, то во всяком случае должны быть соблюдены требования [34].
Рисунок 8 - Структурное построение для категории B
6.2.4 Категория 1
Для категории 1 следует применять требования категории B согласно 6.2.3 и требования, приведенные далее.
SRP/CS, которым присвоена категория 1, разрабатывают и конструируют с использованием успешно испытанных компонентов и хорошо проверенных принципов безопасности (см. ISO 13849-2).
"Успешно испытанный компонент" для применений, связанных с обеспечением безопасности, - это компонент, который или
a) широко использовался в прошлом с успешными результатами в подобных применениях, или
b) изготовлен и проверен с использованием принципов, которые демонстрируют его пригодность и надежность для применений, связанных с обеспечением безопасности.
Вновь разработанные компоненты и принципы безопасности могут считаться эквивалентом "успешно испытанного компонента", если они удовлетворяют условиям перечисления b).
Решение о приемке индивидуального компонента как "успешно испытанного" зависит от конкретного применения.
Примечание - Многофункциональные электронные компоненты (например, PLC, микропроцессор, интегральная схема специального назначения) не могут считаться эквивалентами "успешно испытанных компонентов".
Максимально возможный PL с категорией 1 - PL=c.
Важно иметь четкое различие между "успешно испытанными компонентами" и "исключением неисправностей" (см. раздел 7). Проверка компонента на принадлежность к "успешно испытанным" зависит от его применения. Например, позиционный выключатель с принудительным размыканием контактов может считаться "успешно испытанным компонентом" станка, в то время как в пищевой промышленности он не может считаться таковым: например, в молочной промышленности выключатель будет разрушаться после нескольких месяцев взаимодействия с молочной кислотой. Исключение неисправностей может привести к очень высокому уровню эффективности защиты, однако необходимые меры по исключению неисправностей должны проводиться на протяжении всего жизненного цикла устройства. Для того чтобы гарантировать высокий PL, необходимо применение дополнительных мер за пределами системы управления. Для позиционного выключателя приведены некоторые примеры подобных мер, средства:
- обеспечения фиксации выключателя после его настройки;
- обеспечения фиксации кулачка;
- обеспечения поперечной устойчивости кулачка;
- предотвращения смещения позиционного выключателя из рабочего положения, например, обеспечение достаточной прочности крепления демпфера и установочных приспособлений;
- защиты от внешнего воздействия.
Рисунок 9 - Структурное построение для категории 1
6.2.5 Категория 2
Для категории 2 следует применять требования категории B согласно 6.2.3. Необходимо соответствовать "хорошо проверенным принципам безопасности" согласно 6.2.4 и требованиям, приведенным далее.
SRP/CS категории 2 должны быть разработаны так, чтобы их функции проверялись системой управления машины через соответствующие интервалы. Проверку функций безопасности следует осуществлять:
- при пуске машины;
- до возникновения любой опасной ситуации, например при запуске нового цикла и/или периодически в процессе работы, если оценка риска и характер работы указывают на ее необходимость.
Запуск процедуры проверки может осуществляться автоматически. Любая проверка функции(й) безопасности должна:
- разрешать работу, если не было обнаружено никаких неисправностей;
- вырабатывать выходной сигнал, который вызывает соответствующее управляющее воздействие, если обнаружена неисправность.
Когда это возможно, выходной сигнал должен обеспечивать безопасное состояние. Безопасное состояние должно поддерживаться до момента устранения неисправности. При невозможности соблюдения безопасного состояния (например, сварка контакта в конечном устройстве коммутации) выходной сигнал должен обеспечивать предупреждение об опасности.
Сама проверка не должна создавать опасную ситуацию (например, вследствие увеличения времени срабатывания). Контролирующие устройства могут быть неотъемлемой частью или находиться отдельно от элемента(ов), выполняющего(их) функцию безопасности.
Максимально возможный уровень эффективности защиты с категорией 2 - PL=d.
Примечание 1 - В некоторых случаях категория 2 неприменима, потому что нельзя применять проверку функции безопасности ко всем элементам.
Примечание 2 - Поведение системы управления категории 2 допускает, что:
- возникновение неисправности может вызывать потерю функции безопасности между проверками;
- потерю функции безопасности обнаруживают проверкой.
Примечание 3 - Принцип, который обеспечивает действие функции категории 2, заключается в том, что принятое техническое обеспечение, например выбор частоты проведения контроля, может снизить вероятность возникновения опасной ситуации.
Пунктирные линии означают обнаружение неисправности, целесообразное с практической точки зрения.
Рисунок 10 - Структурное построение для категории 2
6.2.6 Категория 3
Для категории 3 следует применять требования категории В согласно 6.2.3. Необходимо соответствовать "хорошо проверенным принципам безопасности" согласно 6.2.4 и требованиям, приведенным далее.
SRP/CS категории 3 должны быть разработаны так, чтобы одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности. Когда практически целесообразно, одиночная неисправность должна быть обнаружена во время или до следующего требования по функции безопасности.
Примечание 1 - Требование обнаружения одиночной неисправности не означает, что все неисправности будут обнаружены. Следовательно, накопление необнаруженных неисправностей может привести к появлению непреднамеренного выходного сигнала и возникновению опасной ситуации в машине. Типовыми примерами практических мер по обнаружению неисправности является применение обратной связи контактов реле с механическим управлением и контроль резервных электрических выходных сигналов.
Примечание 2 - Если необходимо по причинам технологии и применения, то разработчики стандарта типа С должны более подробно характеризовать обнаружение неисправностей.
Примечание 3 - Поведение системы управления категории 3 допускает, что:
- при возникновении одиночной неисправности функция безопасности всегда выполняется;
- некоторые, но не все неисправности будут обнаружены;
- накопление необнаруженных неисправностей может привести к потере функции безопасности.
Примечание 4 - Используемая технология будет влиять на возможность осуществления мер по обнаружению неисправностей.
Пунктирные линии означают обнаружение неисправности, целесообразное с практической точки зрения.
Рисунок 11 - Структурное построение для категории 3
6.2.7 Категория 4
Для категории 4 следует применять требования категории В согласно 6.2.3. Необходимо соответствовать "хорошо проверенным принципам безопасности" согласно 6.2.4 и следующим требованиям.
SRP/CS категории 4 должны быть разработаны так, чтобы:
- одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности;
- одиночная неисправность обнаруживалась во время или до следующего требования по функции безопасности, например, сразу при включении, при окончании рабочего цикла машины.
Если такое обнаружение невозможно, то накопление неисправностей не должно приводить к потере функции безопасности.
Примечание 1 - Поведение системы управления категории 4 допускает, что:
- при возникновении неисправностей функция безопасности всегда выполняется;
- неисправности будут обнаруживаться своевременно, чтобы предотвратить потерю функции безопасности;
- учтено накопление необнаруженных неисправностей.
На практике рассмотрение комбинации из двух неисправностей может являться достаточным.
Сплошные линии означают диагностический охват, значение которого для категории 4 больше, чем в структурном построении для категории 3.
Рисунок 12 - Структурное построение для категории 4
Таблица 10 - Краткое изложение требований для категорий
|
|
|
|
|
|
|
Кате- гория | Краткое изложение требований | Поведение системы | Принципы достижения безопасности | MTTF каждого канала | DC | CCF |
В (см. 6.2.3) | SRP/CS и/или их предохранительные устройства, а также их компоненты должны быть разработаны, сконструированы, выбраны, смонтированы и соединены согласно соответствующим стандартам с тем, чтобы они выдерживали ожидаемые воздействия. Должны применяться основные требования безопасности | Возникновение неисправности может привести к потере функции безопасности | В основном характеризуются выбором компонентов | От малого до среднего | - | Не значимо |
1 (см. 6.2.4) | Должны применяться требования категории B. Необходимо использовать успешно испытанные компоненты и хорошо проверенные принципы безопасности | Возникновение неисправности может привести к потере функции безопасности, но вероятность неисправности ниже, чем для категории B
| В основном характеризуются выбором компонентов | Большое | - | Не значимо |
2 (см. 6.2.5) | Должны применяться требования категории B и хорошо проверенные принципы безопасности. Функция безопасности должна проверяться через соответствующие интервалы системой управления машины | Возникновение неисправности может привести к потере функции безопасности между проверками. Потеря функции безопасности обнаруживается в ходе проверки
| В основном характеризуются структурой | От малого до большого | От малого до среднего | См. приложение F |
3 (см. 6.2.6) | Должны применяться требования категории B и хорошо проверенные принципы безопасности. SRP/CS должны разрабатываться так, чтобы:
- одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности;
- там, где практически возможно, одиночная неисправность должна обнаруживаться | При одиночной неисправности функция безопасности всегда выполняется.
Некоторые, но не все неисправности будут обнаружены.
Накопление невыявленных неисправностей может приводить к потере функции безопасности
| В основном характеризуются структурой | От малого до большого | От малого до среднего | См. приложение F |
4 (см. 6.2.7) | Должны применяться требования категории B и хорошо проверенные принципы безопасности. SRP/CS должны разрабатываться так, чтобы:
- одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности;
- одиночная неисправность обнаруживалась во время или до следующего запроса функцией безопасности, однако если это сделать невозможно, то тогда накопление неисправностей не должно приводить к потере функции безопасности | При возникновении одиночной неисправности функция безопасности выполняется всегда.
Обнаружение накопленных неисправностей сокращает вероятность потери функции безопасности (большое значение DC).
Неисправности будут обнаруживаться своевременно, чтобы предотвращать потерю функции безопасности
| В основном характеризуются структурой | Большое | Большое, включая накопление неисправностей | См. приложение F |
Примечание - Для ознакомления со всеми требованиями см. раздел 6.
| ||||||
6.3 Комбинирование элементов системы управления, связанных с безопасностью (SRP/CS), с целью достижения уровня эффективности защиты (PL)
Функция безопасности может быть реализована комбинированием нескольких SRP/CS: входная система, блок обработки сигналов, выходная система. Этим элементам может быть присвоена одна и/или разные категории. Согласно 6.2 категории следует выбирать для всех SRP/CS. Для всех комбинирований этих элементов общий PL может быть установлен по таблице 11. В этом случае требуется оценка достоверности комбинирования (см. рисунок 3).
Согласно 6.2 комбинированные SRP/CS начинают работу на позиции, где включаются сигналы безопасности, и завершают на выходе элементов регулирования мощности. Однако комбинированные SRP/CS могут состоять из элементов, соединенных последовательно или параллельно. Приведена оценка последовательного соединения SRP/CS для того, чтобы не проводить новую комплексную оценку PL, достигнутого совмещенными SRP/CS, когда отдельные значения PL всех элементов уже рассчитаны.
Приведенный метод позволяет рассчитать PL всего совмещенного элемента, выполняющего функцию безопасности:
c) найти PL в таблице 11.
Таблица 11 - Расчет PL последовательного соединения SRP/CS
|
|
|
|
PL | N |  | PL |
a | >3 | | Не допускается |
| 3 | | a |
b | >2 | | a |
| 2 | | b |
c | >2 | | b |
| 2 | | c |
d | >3 | | c |
| 3 | | d |
e | >3 | | d |
| 3 | | e |
Примечание - Значения, рассчитанные для данной справочной таблицы, основаны на средних показателях надежности для каждого PL.
| |||
7 Рассмотрение и исключение неисправностей
7.1 Общие положения
7.2 Рассмотрение неисправностей
В настоящем стандарте перечислены некоторые значительные неисправности и отказы для разных технологий. Перечень неисправностей не является исключительным, и при необходимости дополнительные неисправности должны быть рассмотрены и внесены в перечень. В таких случаях должен быть также четко изложен метод оценки. Для новых компонентов, которые не упоминаются в стандарте ISO 13849-2, должен быть проведен анализ видов и последствий отказов (FMEA, см. [32]) с целью определения неисправностей, которые будут рассмотрены для данных компонентов.
В общем случае следует учитывать следующие критерии неисправности:
- если как следствие неисправности из строя выходят другие элементы, то первая неисправность и последующие неисправности должны рассматриваться как одиночная неисправность;
- две или более независимые неисправности, имеющие общую причину возникновения, рассматриваются как одиночная неисправность;
- одновременное возникновение двух и более неисправностей, имеющих независимые причины, считается в высшей степени маловероятным и поэтому не рассматривается.
7.3 Исключение неисправностей
Нецелесообразно оценивать SRP/CS без допущения, что определенные неисправности могут быть исключены. Для получения более подробной информации об исключении неисправностей см. ISO 13849-2.
Такие неисправности могут быть исключены на основе компромисса между техническими требованиями обеспечения безопасности и теоретической вероятностью их возникновения.
Исключение неисправности может быть основано на:
- отсутствии вероятности возникновения определенных неисправностей;
- общепризнанном техническом опыте, который может быть использован независимо от конкретно рассматриваемого применения;
- технических требованиях, установленных для данного применения и рассмотренного конкретного риска.
Если неисправности исключены, то должно быть приведено обоснование в технической документации.
8 Оценка достоверности
Структурная комбинация SRP/CS должна быть оценена на достоверность (см. рисунок 3). Эта оценка должна показывать, что структурная комбинация элементов, связанных с обеспечением безопасности и выполняющих каждую функцию безопасности, отвечает всем требованиям настоящего стандарта.
Для получения более подробной информации об оценке достоверности см. ISO 13849-2.
9 Техническое обслуживание
Планово-предупредительное или внеплановое техническое обслуживание обычно необходимо для поддержания заданных рабочих характеристик SRP/CS. Отклонения от заданных рабочих характеристик со временем могут привести к снижению уровня обеспечения безопасности или даже к опасной ситуации. Информация по использованию SRP/CS должна включать инструкции по техническому обслуживанию (включая периодические проверки) этих элементов.
Положения о ремонтопригодности SRP/CS должны соответствовать принципам, изложенным в 6.2.7 ISO 12100. Вся информация по техническому обслуживанию должна быть в соответствии с перечислением e) 6.4.5.1, ISO 12100.
10 Техническая документация
При разработке SRP/CS конструктор должен включить в документацию нижеприведенную информацию, относящуюся к конкретному элементу:
- функция(и) безопасности, выполняемая(ые) элементом;
- характеристики каждой функции безопасности;
- точное расположение точек, в которых начинает(ют) и завершает(ют) свою работу элемент(ы) обеспечения безопасности;
- условия окружающей среды;
- уровень эффективности защиты (PL);
- выбранная категория или категории;
- меры по устранению систематических ошибок;
- применяемая технология или технологии;
- все учтенные неисправности, связанные с безопасностью;
- обоснование исключения неисправностей (см. ИСО 13849-2);
- обоснование структурной комбинации (например, учтенные неисправности, исключенные неисправности);
- документация по программному обеспечению;
- меры, направленные на предотвращение предсказуемой неправильной эксплуатации.
Примечание - Данная документация считается предназначенной для внутреннего использования производителем, а не для распространения среди пользователей.
11 Информация для пользователя
Следует применять принципы, изложенные в 6.4.5.2 ISO 12100, а также в соответствующих разделах других, относящихся к этому вопросу документов (например, в разделе 17 [29]). В частности, информация, важная для надежного использования SRP/CS, должна предоставляться пользователю. Информация включает в себя, но не ограничивается только этим, следующее:
- пределы зоны действия элементов обеспечения безопасности по выбранной(ым) категории(ям) и любые исключения неисправностей;
- если пределы зоны SRP/CS и любые исключения неисправностей (см. 7.3) являются существенными для сохранения выбранной категории или категорий и характеристик безопасности, то соответствующая информация (например, для модификации, технического обслуживания и ремонта) должна быть предоставлена для гарантии последующего обоснования исключения неисправности(ей);
- влияние отклонений от заданных рабочих характеристик на функцию(и) безопасности;
- четкое описание мест сопряжения с SRP/CS и предохранительными устройствами;
- время срабатывания;
- ограничения при эксплуатации (включая условия окружающей среды);
- обозначения и сигналы опасности;
- приостановка и прекращение функций безопасности;
- режимы управления;
- техническое обслуживание (см. раздел 9);
- контрольный перечень технического обслуживания;
- удобство доступа и замены внутренних компонентов;
- средства для легкого и безопасного поиска неисправностей;
- информация, поясняющая использование, связанное с категорией, на которую дана ссылка;
- периодичность контрольных испытаний, где это необходимо.
Должна быть предоставлена информация о категории или категориях и уровне эффективности защиты SRP/CS, как показано ниже:
- ссылка на настоящий стандарт;
- категория B, 1, 2, 3 или 4;
- уровень эффективности защиты, a, b, c, d или e.
Пример - В соответствии с ГОСТ ISO 13849-1 SRP/CS с категорией B и уровнем эффективности защиты а будет обозначен следующим образом:
ГОСТ ISO 13849-1 категория В PL a.
Приложение A
(справочное)
Оценка снижения риска предполагает ситуацию до предоставления предполагаемой функции безопасности.
- частоту и время подверженности данному риску (F);
- возможность избежать опасности или ограничение вреда (P).
Опыт показал, что эти параметры можно совместить, как показано на рисунке A.1, чтобы продемонстрировать градацию от низкой до высокой степени риска. Этим подчеркивается, что только качественный процесс дает оценку риска.
A.2 Руководство для подбора параметров S, F и P для оценки рисков
A.2.1 Тяжесть травмирования видов S1 и S2
При оценке риска, связанного с неисправностями в элементах системы управления, имеющих отношение к безопасности, рассматривают легкие (обычно обратимые) и серьезные травмы (как правило, необратимые, включая летальный исход).
Чтобы сделать выбор, необходимо принимать во внимание обычные обстоятельства несчастных случаев и нормальные процессы лечения: например, ушибы и/или рваные раны следует классифицировать как S1, в то время как ампутацию или летальный исход - как S2.
A.2.2 Частота и/или время подверженности риску видов F1 и F2
Как правило, действительный период времени, в течение которого должны выбираться параметры F1 и F2, не может быть задан. Однако следующее объяснение может помочь в правильном решении при сомнительных случаях.
Параметр F2 следует выбирать в том случае, если человек (лицо, оператор) кратковременно или длительно подвергается опасности. Не имеет значения, подвергается ли последовательно опасностям один и тот же или разные люди (операторы), например, при пользовании лифтами.
Когда проектировщику известно требование к функции безопасности, параметры частоты и продолжительности этого требования могут быть выбраны вместо параметров частоты и продолжительности доступа к объекту риска. В настоящем стандарте параметр частоты в требованиях к функции безопасности принимается чаще, чем раз в год.
Продолжительность подверженности опасности следует оценивать на основе среднего значения, которое можно представить как отношение к общему периоду времени, в течение которого используют данное оборудование. Например, если в течение рабочего цикла необходимо регулярно просовывать руку между механизмами машины для того, чтобы загружать и снимать детали, то тогда следует выбирать параметр F2. Если доступ к детали требуется время от времени, то тогда можно выбирать параметр F1.
Примечание - В случае отсутствия обоснования используется F2, если частота чаще, чем раз в час.
A.2.3 Вероятность избежать опасности вида P1 и P2
При возникновении опасности важно знать, можно ли ее распознать или ее можно избежать прежде, чем она приведет к несчастному случаю. Например, важно рассмотреть, можно ли идентифицировать определенную опасность по ее физическим характеристикам или ее можно распознать только техническими средствами, например, по индикаторам. Другими важными аспектами, влияющими на выбор параметра P, являются, например:
- работа под наблюдением или без него;
- выполнение работы опытным специалистом или непрофессионалом (дилетантом);
- скорость возникновения опасности (например, быстро или медленно);
- возможность избежать опасности (например, выброса);
- практический опыт в области безопасности процесса.
При возникновении опасной ситуации параметр P1 следует выбирать только тогда, когда есть реальный шанс уклониться от несчастного случая или значительно уменьшить его эффект. Параметр Р2 выбирают, когда почти нет возможности избежать опасности.
Параметры риска:
S - тяжесть травмирования; S1 - незначительные травмы (обычно обратимые); S2 - тяжелые травмы (обычно необратимые); F - частота и/или время подверженности риску; F1 - от редкой до очень частой и/или короткое время; F2 - от частой до непрерывной и/или длительное время; P - вероятность избежать опасности или ограничение вреда; P1 - возможно при определенных условиях; P2 - вряд ли возможно
Приложение B
(справочное)
Блочный метод и схема блоков, связанных с обеспечением безопасности
B.1 Блочный метод
Упрощенный подход требует блочно-ориентированное логическое представление SRP/CS. SRP/CS должен быть разделен на несколько блоков в соответствии со следующими правилами:
- блоки должны отражать логические части SRP/CS, относящиеся к выполнению функции безопасности;
- разные каналы выполнения функции безопасности должны быть вынесены в разные блоки; если один блок не может больше выполнять функцию безопасности, то это не должно влиять на выполнение функции безопасности через блоки других каналов;
- каждый канал может состоять из одного или нескольких блоков - три блока на канал в спроектированной архитектуре входящий, логический и исходящий не является обязательным набором, это просто пример логического разделения внутри канала;
- аппаратные устройства используются только для диагностики (например, тестирование оборудования) и не влияют на выполнение функции безопасности в разных каналах при опасном сбое аппаратных устройств и могут быть отделены от них при выполнении функции безопасности.
Примечание - Для целей настоящего стандарта "блоки" не соответствуют функциональным блокам или надежным блокам.
B.2 Схема блоков, связанных с обеспечением безопасности
Блоки, определенные блочным методом, можно использовать для графического представления логической структуры SRP/CS в схеме блоков, связанных с обеспечением безопасности. Для такого графического представления необходимо следующее руководство:
- сбой одного блока в последовательно сгруппированных блоках приводит к сбою всего канала (например, если одно аппаратное устройство в канале SRP/CS неисправно, весь канал не сможет больше выполнять функцию безопасности);
- только сбой всех каналов в параллельно сгруппированных блоках приводит к сбою функции безопасности (например, функция безопасности, выполняемая несколькими каналами, выполняется до тех пор, пока все каналы не станут неисправными);
- блоки, используемые только для тестирования, и те, которые не влияют на выполнение функции безопасности в разных каналах при сбоях, могут быть отделены от блоков в разных каналах.
Для примера см. рисунок B.1.
I1 и O1 формируют первый канал (последовательная группировка); I2, L, O2 формируют второй канал, т.е. функция безопасности имеет два канала (параллельная группировка). T используется только для тестирования.
I1, I2 - устройства ввода, например, датчик; L - логика; O1, O2 - выходное устройство, например, главный контактор; T - тестирующее устройство
Рисунок B.1 - Пример блок-схемы, связанной с безопасностью
Приложение C
(справочное)
C.1 Общие положения
C.2 Метод практического использования
a) компоненты изготовляются в соответствии с хорошо проверенными принципами безопасности по ISO 13849-2 или по соответствующему стандарту (см. таблицу C.1) для проектирования компонентов (подтверждение данных по компонентам);
Примечание - Информация может быть найдена в перечне данных по производимым компонентам.
b) производитель компонентов определяет подходящее приложение и условия использования для пользователя;
c) проектирование SRP/CS удовлетворяет хорошо проверенным принципам безопасности по ISO 13849-2 для реализации и эксплуатации компонентов.
C.3 Гидравлические компоненты
a) гидравлические компоненты изготовляются в соответствии с хорошо проверенными принципами безопасности по ISO 13849-2, таблицы C.1 и C.2 для проектирования гидравлических компонентов (подтверждение данных по компонентам);
Примечание - Информация может быть найдена в перечне данных по производимым компонентам.
b) производитель гидравлических компонентов оговаривает применяемость и условия эксплуатации для пользователя. Производитель SRP/CS должен предоставить информацию, касающуюся соответствия компонентов базовым и хорошо проверенным принципам безопасности по ISO 13849-2, таблицы C.1 и C.2 для внедрения и эксплуатации гидравлических компонентов.
|
|
|
|
Компоненты | Основные принципы безопасности по ISO 13849-2 | Соответствующие стандарты | Стандартные значения: MTTF (годы) B (циклы) |
Механические компоненты | Таблицы A.1 и A.2 | - | MTTF =150 |
Гидравлические компоненты | Таблицы C.1 и C.2 | [24], [42] | MTTF =150 |
Пневматические компоненты | Таблицы B.1 и B.2 | [25], [43] | B =20000000 |
Реле и контакторы, реле с небольшой нагрузкой (механической нагрузкой) | Таблицы D.1 и D.2 | [33], [36], [46] | B =20000000 |
Реле и контакторы, реле с максимальной нагрузкой | Таблицы D.1 и D.2 | [33], [36], [46] | B =400000 |
Бесконтактные выключатели с небольшой нагрузкой (механической нагрузкой) | Таблицы D.1 и D.2 | [33], [45] | B10d = 20000000 |
Бесконтактные выключатели с максимальной нагрузкой | Таблицы D.1 и D.2 | [33], [45] | B =400000 |
Контакторы с небольшой нагрузкой (механической нагрузкой) | Таблицы D.1 и D.2 | [33] | B =20000000 |
Контакторы с нормальной нагрузкой | Таблицы D.1 и D.2 | [33] | B =2000000 |
Путевой выключатель без нагрузки | Таблицы D.1 и D.2 | [33], [45] | B =20000000 |
Путевой выключатель (с отдельным приводом, блокировочный переключатель ограждения) без нагрузки | Таблицы D.1 и D.2 | [33], [45] | B =2000000 |
Стоп-кран без нагрузки | Таблицы D.1 и D.2 | [13], [33] | B =100000 |
Стоп-кран с максимальными функциональными требованиями | Таблицы D.1 и D.2 | [13], [33] | B =6050 |
Нажимная кнопка (например, выключатель блокировки) без нагрузки | Таблицы D.1 и D.2 | [33] | B =100000 |
Для определения и использования B см. C.4.
Примечание 1 - B оценивается как удвоенное B (50% опасной ошибки). Примечание 2 - Под "небольшой нагрузкой" подразумевается, например, 20% от установленного значения (подробнее см. ISO 13849-2).
| |||
Возможно, если исключено нарушение в процессе прямого управляющего воздействия. | |||
C.4.1 Общие положения
a) все компоненты производятся в соответствии с базовыми принципами безопасности по ISO 13849-2, таблицы B.1 или D.1 (соответствующее указание должно быть на табличке компонента).
Примечание - Информация должна быть приведена на табличке изделия его производителем.
b) все компоненты производятся в соответствии с категориями 1, 2, 3 или 4, установленными в ISO 13849-2, таблицы B.2 или D.2 для проектирования компонента (соответствующее указание должно быть на табличке компонента).
Примечание - Информация должна быть приведена на табличке изделия его производителем.
c) производитель компонентов определяет применение и условия их эксплуатации пользователем. Производитель SRP/CS должен предоставлять информацию, относящуюся к осуществлению хорошо проверенных принципов безопасности по ISO 13849-2, таблицы B.1 или D.1 для использования и поставок этих компонентов. Потребитель должен иметь информацию относительно категорий 1, 2, 3 и 4 согласно ISO 13849-2, таблицы B.2 и D.2 для использования компонентов в работе.
________________
где
для компонентов с учетом допущений принимается:
Примечание - Трактовка этой формулы в C.4.3.
C.4.3 Пример
Расчет с этими данными производится по формулам C.8, C.9, C.10:
C.5.1 Общие положения
Значения, приведенные в таблицах C.2-C.7, применимы для температуры 40°C при номинальных токовой нагрузке и напряжении.
C.5.2 Полупроводники
См. таблицы C.2 и C.3.
Таблица C.2 - Транзисторы (в режиме переключений)
|
|
|
|
|
|
Транзистор | Обозначение | MTTF для компонентов, лет | MTTF для компонентов, лет | Примечания | |
|
|
| обычный | тяжелый |
|
Биполярный | TO18, TO92, SOT23 | 34247 | 68493 | 6849 | 50% опасных отказов |
Биполярный, маломощный
| TO5, TO39 | 5708 | 11416 | 1142 | 50% опасных отказов |
Биполярный, мощный | TO3, ТО220, D-Pack | 1941 | 3881 | 388 | 50% опасных отказов |
ФЕТ | Junction MOS | 22831 | 45662 | 4566 | 50% опасных отказов |
MOC, силовой | TO3, TO220, D-Pack | 1142 | 2283 | 228 | 50% опасных отказов |
Таблица C.3 - Диоды, силовые полупроводники и интегральные цепочки
|
|
|
|
|
|
Диод | Обозначение | MTTF для компонентов, лет | MTTF для компонентов, лет | Примечания | |
|
|
| обычный | тяжелый |
|
Общего назначения | - | 114155 | 228311 | 22831 | 50% опасных отказов |
Подавитель помех | - | 15981 | 31963 | 3196 | 50% опасных отказов |
Диод Зенера P  <1W | - | 114155 | 228311 | 22831 | 50% опасных отказов |
Выпрямительные диоды | - | 57078 | 114155 | 11416 | 50% опасных отказов |
Диодные мосты | - | 11415 | 22831 | 2283 | 50% опасных отказов |
Тиристоры | - | 2283 | 4566 | 457 | 50% опасных отказов |
Триаки, диаки | - | 1484 | 2968 | 297 | 50% опасных отказов |
Интегральные цепочки (программируемые и непрограммируемые) | Используйте данные производителей | 50% опасных отказов | |||
C.6 Пассивные компоненты
См. таблицы C.4-C.7.
Таблица C.4 - Конденсаторы
|
|
|
|
|
|
Конденсатор | Обозначение | MTTF для компонентов, лет | MTTF для компонентов, лет | Примечания | |
|
|
| обычный | тяжелый |
|
Стандартные, не силовые | KS, KP, KC, KT, MKT, MKC, MKP, MKU, MP, MKV | 57078 | 114155 | 11416 | 50% опасных отказов |
Керамический | - | 22831 | 45662 | 4566 | 50% опасных отказов |
Алюминиевый электролитический
| Жидкий электролит | 22831 | 45662 | 4566 | 50% опасных отказов |
Алюминиевый электролитический
| Твердый электролит | 37671 | 75342 | 7534 | 50% опасных отказов |
Танталовый электролитический
| Жидкий электролит | 11415 | 22831 | 2283 | 50% опасных отказов |
Танталовый электролитический | Твердый электролит | 114155 | 228311 | 22831 | 50% опасных отказов |
Таблица С.5 - Резисторы
|
|
|
|
|
|
Резистор | Обозначение | MTTF для компонентов, лет | MTTF для компонентов, лет | Примечания | |
|
|
| обычный | тяжелый |
|
Карбон пленка | - | 114155 | 228311 | 22831 | 50% опасных отказов |
Металлопленка | - | 570776 | 1141552 | 114155 | 50% опасных отказов |
Металлооксидные и проволочные | - | 22831 | 45662 | 4566 | 50% опасных отказов |
| - | 3767 | 7534 | 753 | 50% опасных отказов |
Таблица C.6 - Индуктивности
|
|
|
|
|
|
Индуктивности | Обозначение | MTTF для компонентов, лет | MTTF для компонентов, лет | Примечания | |
|
|
| обычный | тяжелый |
|
Для МС-применения | - | 37671 | 75342 | 7534 | 50% опасных отказов |
Низкочастотные индуктивности и трансформаторы | - | 22831 | 45662 | 4566 | 50% опасных отказов |
Питающие трансформаторы и трансформаторы для отключения и силового питания | - | 11415 | 22831 | 2283 | 50% опасных отказов |
Таблица C.7 - Оптосвязи
|
|
|
|
|
|
Оптосвязи | Обозначение | MTTF для компонентов, лет | MTTF для компонентов, лет | Примечания | |
|
|
| обычный | тяжелый |
|
Биполярный выход | SFH 610 | 7648 | 15296 | 1530 | 50% опасных отказов |
ФЕТ-выход | LH 1056 | 2854 | 5708 | 571 | 50% опасных отказов |
Приложение D
(справочное)
D.1 Метод расчета элементов
________________
Общая формула (D.1):
Таблица D.1 - Пример перечня элементов монтажной платы
|
|
|
|
|
|
j | Компонент | Коли- чество единиц, n | MTTF Наихудший вариант, лет | 1/ MTTF Наихудший вариант, 1/лет | n / MTTF Наихудший вариант, 1/лет |
1 | Транзисторы, биполярный, маломощный (см. таблицу B.2) | 2 | 1142 | 0,000876 | 0,001752 |
2 | Резистор, пленочный, угольный (см. таблицу B.5) | 5 | 22831 | 0,000044 | 0,000219 |
3 | Конденсатор, эталонный, несиловой (см. таблицу B.4) | 4 | 11416 | 0,000088 | 0,000350 |
4 | Реле (с низкой нагрузкой, см. B.2) ( B =20000000 циклов, n  = 633600) | 4 | 315,66 | 0,003168 | 0,012672 |
5 | Контактор (с номинальной нагрузкой, см. B.2) ( B =2000000 циклов, n =633600) | 1 | 31,57 | 0,031676 | 0,031676 |
 |
|
|
| 0,046669 | |
 [лет] | 21,43 | ||||
- в худшем случае должно быть рассмотрено пониженное значение;
- уравнение (D.2) можно использовать для примерного вычисления значения, которым можно заменить среднее время до сбоя для каждого канала:
Примечание - Данный метод подразумевает независимые параллельные каналы.
Приложение E
(справочное)
Оценка меры диагностического охвата (DC) для функций и каналов
E.1 Примеры диагностического охвата (DC)
См. таблицу E.1.
Таблица E.1 - Примеры диагностического охвата (DC)
|
|
|
Метод определения | DC | |
Входное устройство | ||
Испытания в режиме циклической нагрузки путем динамического изменения входного сигнала | 90% | |
Проверка правдоподобности, к примеру, применение нормально разомкнутых и нормально замкнутых механически соединенных контактов | 99% | |
Перекрестный контроль входов без применения динамических проверок | От 0 до 99%, зависит от того, насколько часто происходит изменение сигнала приложением | |
Перекрестный контроль входных сигналов с применением динамических проверок при отсутствии обнаружения короткого замыкания (для многих устройств ввода-вывода) | 90% | |
Перекрестный контроль входных сигналов и определение промежуточных результатов при помощи логической схемы и логически-временной программы наблюдения, а также с обнаружением статических сбоев и коротких замыканий (для многих устройств ввода-вывода) | 99% | |
Косвенное наблюдение (наблюдение при помощи переключателя давления, изучение электротехнических данных исполнительного устройства) | От 90 до 99%, зависит от приложения | |
Прямое наблюдение (изучение электротехнических данных контрольных клапанов (вентилей), изучение электромеханических устройств с помощью механически соединенных контактов) | 99% | |
Обнаружение сбоев во время процесса | От 0 до 99%, зависит от приложения; применение только одного этого метода недостаточно для требуемого уровня производительности | |
Исследование некоторых показателей датчика (время ответа, диапазон аналоговых сигналов, например, электрическое сопротивление, емкостное сопротивление) | 60% | |
Косвенное наблюдение (наблюдение при помощи переключателя давления, изучение электротехнических данных исполнительного устройства) | От 90 до 99%, зависит от приложения | |
Прямое наблюдение (изучение электротехнических данных контрольных клапанов (вентилей), изучение электромеханических устройств с помощью механически соединенных контактов) | 99% | |
Обычный временной контроль логической схемы (например, таймер в качестве следящего устройства, где триггерные точки показаны в программе логической схемы) | 60% | |
Временной и логический контроль при помощи следящего устройства, в котором тестовое оборудование проверяет правдоподобие поведения логической схемы | 90% | |
Автоматические самопроверки на скрытые сбои в разных частях логической схемы (программы и банки данных, порты входа/выхода, интерфейсы) | 90% (зависит от метода проверки) | |
Проверка реакционной способности устройства наблюдения (устройства слежения) при помощи устройства ввода на главном канале (либо при запуске, либо когда требуется применение функции безопасности, либо по требованию внешнего сигнала) | 90% | |
Динамический принцип (все компоненты логической схемы должны изменить состояние ВКЛ-ВЫКЛ-ВКЛ, когда требуется применение функции безопасности), например, блокирующая схема, приводимая в действие при помощи реле | 99% | |
Неизменяемая память: подпись одинарным словом (8 бит) | 90% | |
Неизменяемая память: подпись двойным словом (16 бит) | 99% | |
Изменяемая память: проверка оперативной памяти с применением резервных данных (флагов, маркеров, постоянных, счетчиков) и перекрестное сравнение этих данных | 60% | |
Изменяемая память: проверка на возможность чтения и записи в использованных участках памяти | 60% | |
Изменяемая память: контроль оперативной памяти при помощи модифицированного кода Хэмминга или при помощи самопроверки оперативной памяти (например "galpat" или "Abraham") | 99% | |
Программная самопроверка процессора | От 60 до 90% | |
Кодированная обработка данных в процессоре | От 90 до 99% | |
Обнаружение сбоев во время процесса | От 0 до 99%, зависит от приложения; применение только одного этого метода недостаточно для требуемого уровня производительности | |
Выходное устройство | ||
Контроль выходов одним каналом без динамической проверки | От 0 до 99%, зависит от того, насколько часто происходит изменение сигнала приложением | |
Перекрестный контроль выходов без применения динамических проверок | От 0 до 99%, зависит от того, насколько часто происходит изменение сигнала приложением | |
Перекрестный контроль выходных сигналов с применением динамических проверок при отсутствии обнаружения короткого замыкания (для многих устройств ввода-вывода) | 90% | |
Перекрестный контроль выходных сигналов и определение промежуточных результатов при помощи логической схемы и логически-временной программы наблюдения, а также с обнаружением статических сбоев и коротких замыканий (для многих устройств ввода-вывода) | 99% | |
Резервированное отключение без наблюдения за исполнительным устройством | 0% | |
Резервированное отключение с наблюдением за одним из исполнительных устройств при помощи логической схемы или тестового оборудования | 90% | |
Резервированное отключение с наблюдением за исполнительными устройствами при помощи логической схемы или тестового оборудования | 99% | |
Косвенное наблюдение (наблюдение при помощи переключателя давления, изучение электротехнических данных исполнительного устройства) | От 90 до 99%, зависит от приложения | |
Обнаружение сбоев во время процесса | От 0 до 99%, зависит от приложения; применение только одного этого метода недостаточно для требуемого уровня производительности | |
Прямое наблюдение (изучение электротехнических данных контрольных клапанов (вентилей), изучение электромеханических устройств с помощью механически соединенных контактов) | 99% | |
Примечание 1 - Для дополнительных методов определения см. IEC 61508-2, таблицы A.2-A.15.
Примечание 2 - Если среднее или высокое значение DC достигнуто в логической схеме, то должен применяться хотя бы один метод изменяемой памяти, неизменяемой памяти и процессора со значением DC как минимум 60%. Также могут применяться методы, не описанные в данной таблице.
| ||
Во многих системах может быть использовано несколько методов обнаружения сбоев. Эти методы могут проверять разные части SRP/CS и могут иметь разное DC. Для определения PL по рисунку 5 можно использовать только одно среднее значение DC для всего SRP/CS.
Приложение F
(справочное)
Оценка отказа по общей причине (CCF)
F.1 Требования для CCF
Подробное описание мер предотвращения отказов по общей причине CCF для датчиков и исполнительных устройств и частично для логических схем приведено в [8], приложение D. Не все меры, приведенные там, применимы в машиностроении. Самые важные меры приведены в данном приложении.
F.2 Оценка эффекта CCF
Количественный процесс должен пройти во всей системе. Каждая часть, связанная с обеспечением безопасности системы управления, должна быть рассмотрена.
В таблице F.1 перечисляются методы уменьшения отказов по общим причинам и содержатся соответствующие значения, основанные на инженерной экспертизе.
Для каждого перечисленного метода может быть достигнута только высшая оценка или ничего. Если метод выполнен только частично, то оценка этого метода равна нулю.
В таблице F.2 представлена количественная оценка по CCF.
Таблица F.1 - Количественная оценка мер предотвращения CCF
|
|
|
| Меры предотвращения CCF | Оценка |
1 | Разделение/Отделение | |
| Физическое разделение между сигнальными каналами:
- разделение в проводке/трубопроводе;
- достаточный зазор и расстояние между проводниками на печатных платах | 15 |
2 | Разнообразие | |
| Используются разные технологии или физические принципы:
- первый канал электронный с возможностью программирования, а второй канал оптико-проводной;
- способ запуска;
- давление и температура.
Измерение расстояния и давления, цифровое и аналоговое.
Компоненты от разных производителей | 20 |
3 | Проектирование/Приложение/Опыт | |
3.1 | Защита от скачков напряжения, перепадов давления и скачков тока и т.д. | 15 |
3.2 | Используемые успешно испытанные компоненты | 5 |
4 | Оценка/анализ | |
| Учтены ли все результаты анализа режима сбоев, чтобы избежать сбоев по общей причине | 5 |
5 | Компетентность/обучение | |
| Были ли проектировщики/операторы обучены, чтобы понимать причины и последствия сбоев по общим причинам? | 5 |
6 | Экология | |
6.1 | Предотвращение загрязнения и электромагнитная совместимость согласно соответствующим стандартам.
Струйные системы: фильтрация рабочей среды под давлением, предотвращение попадания грязи, спуск сжатого воздуха в соответствии с требованиями разработчиков, что касается чистоты рабочей среды под давлением.
Электрические системы: проверена ли система на электромагнитную совместимость согласно соответствующим стандартам?
Для комбинированных систем струйных и электрических - оба аспекта должны быть приняты во внимание | 25 |
6.2 | Другие влияния Соответствует ли система всем требованиям к иммунитету на все возможные экологические влияния, такие как температура, ударная нагрузка, вибрация, влажность? (согласно соответствующим стандартам) | 10 |
| Сумма | максимально достижимая 100 |
Таблица F.2 - Количественная оценка CCF
|
|
Общая оценка | Меры предотвращения CCF |
65 и более | Соответствует требованиям |
Менее 65 | Процесс не удался - выберите дополнительные меры |
Когда технические меры не являются актуальными, баллы в этой колонке могут учитываться в комплексном расчете. | |
Приложение G
(справочное)
Систематический сбой
G.1 Общая информация
Подробный список мер предотвращения систематических сбоев, которые должны быть приняты согласно общим и хорошо проверенным принципам безопасности, приведен в ISO 13849-2.
G.2 Методы контроля систематических сбоев
Должны быть применены следующие меры:
- использование обесточивания (см. ISO 13849-2).
Система управления должна быть разработана так, что при потере энергии машина может достигнуть и поддерживать безопасное состояние;
- методы контроля эффектов электрического пробоя, перепадов напряжения, перенапряжения и пониженного напряжения.
Реакция SRP/CS на электрический пробой, перепады напряжения, перенапряжение и пониженное напряжение должна быть определена заранее так, чтобы машина могла достигнуть и поддерживать безопасное состояние (см. также [29] и A.8 [9]);
- методы контроля и предотвращения эффектов физического характера (температура, влажность, вода, вибрация, пыль, ржавеющие вещества, электромагнитное воздействие).
Реакция SRP/CS на эффекты физического характера должна быть определена заранее так, чтобы машина могла достигнуть и поддерживать безопасное состояние (см. также [31] и 29]);
- контроль управляющей программы должен быть осуществлен в SRP/CS с применением программного обеспечения, позволяющего обнаружить неисправности в управляющей программе.
Неисправности появляются, если отдельные элементы программы (модули приложений, подпрограммы или команды) обрабатываются в неправильной последовательности, или в неправильный промежуток времени, или при неправильных настройках часов процессора (см. A.9 [9]);
- методы контроля эффектов ошибок, возникающих во время любого процесса передачи данных (см. 7.4.8 [6]).
В дополнение один или более из следующих методов должен быть применен, принимая во внимание сложность SRP/CS и PL:
- обнаружение сбоев при помощи автоматических проверок;
- проверки при использовании резервированного оборудования;
- разнообразное оборудование;
- работа в положительном режиме;
- механические контакты;
- процесс прямого размыкания контактов;
- ориентированный режим отказа;
- превышение параметров на необходимую величину коэффициента, с помощью чего производитель может показать, что ухудшение номинальных значений параметров увеличит надежность - в тех случаях, когда такое превышение возможно, должен применяться коэффициент запаса со значением не менее 1,5.
См. также ISO 13849-2, D.3.
G.3 Меры по исключению систематических сбоев
Должны осуществляться следующие меры:
- применение подходящих материалов и надлежащей обработки.
Выбор материала, методов получения и обработки, например, в зависимости от напряжения, прочности, упругости, трения, износа, подверженности коррозии, температуры, электропроводности, диэлектрической прочности;
- правильное задание размеров и формы.
Например, в зависимости от напряжения, подверженности деформации, усталостной нагрузки, температуры, шероховатости поверхности, допусков, обработки;
- правильный подбор, сочетание, размещение, сборка и установка элементов, включая прокладку кабеля, проводной монтаж и другие соединения.
Применять необходимые стандарты и указания по применению от производителя, например, страницы каталога, инструкции по установке, спецификации, а также применение надлежащей инженерно-технической практики;
- совместимость.
Использовать элементы, имеющие совместимые рабочие характеристики;
- выдержка заданных условий окружающей среды.
Разрабатывать SRP/CS так, чтобы они могли работать во всех ожидаемых условиях окружающей среды и любых предвиденных неблагоприятных условиях, например, температуры, влажности, вибрации и электромагнитного излучения (см. ISO 13849-2, G.2);
- использование элементов, разработанных в соответствии с установленным стандартом и имеющих четко определенные режимы сбоя.
Сократить риск появления необнаруженных неисправностей с помощью применения элементов с особыми характеристиками (см. B.3.3 [9]).
Кроме того, в зависимости от сложности SRP/CS и его PL должна применяться одна или более из приведенных мер;
- оценка аппаратно-приводных средств технического обеспечения (например, осмотром или сквозным контролем).
Выявить несоответствия между спецификацией и фактическим исполнением с помощью оценки и анализа (см. B.3.7 и B.3.8 [9]);
- автоматизированное проектирование инструментальных средств систем, поддерживающих моделирование или анализ.
Представляют систематизированную методику расчета и включают в себя автоматизированные элементы конструкции, которые уже доступны и протестированы (см. В.3.5 [9]);
- моделирование.
Представляет систематизированный и всесторонний контроль конструкции SRP/CS на основе функциональных возможностей и правильного задания параметров их компонентов (см. B.3.6 [9]).
G.4 Меры по исключению систематических сбоев в процессе интеграции SRP/CS
Следующие меры должны быть приняты в процессе интеграции SRP/CS:
- функциональное тестирование;
- проектное управление;
- документирование.
Кроме того, в зависимости от сложности SRP/CS и их PL должно быть проведено тестирование методом черного ящика.
Приложение H
(справочное)
Пример комбинации нескольких элементов системы управления, связанных с обеспечением безопасности
Рисунок H.1 является принципиальной схемой в части обеспечения безопасности одной из функций управления исполнительным механизмом станка. Это не функциональная/рабочая схема, этот рисунок показан только для наглядного представления принципа объединения категорий и технических средств для выполнения одной функции.
Контроль обеспечивается посредством электронной логической схемы управления и гидрораспределителя. Снижение риска происходит за счет AOPD, которое обнаруживает возможность появления опасной ситуации и предотвращает внезапный пуск гидроцилиндра, когда происходит прерывание светового луча.
К элементам безопасности, выполняющим функцию безопасности, относятся: AOPD, электронная логическая схема управления, гидрораспределитель и средства связи.
Такие объединенные элементы безопасности обеспечивают функцию останова, которая является функцией безопасности. Когда происходит прерывание светового луча в AOPD, устройство вывода подает сигнал на электронную логическую схему управления, которая передает сигнал на гидрораспределитель, чтобы остановить поток жидкости на выходе SRP/CS. На станке происходит останов опасного перемещения исполнительного механизма.
Комбинация элементов безопасности обеспечивает функцию безопасности, которая представляет собой сочетание разных категорий и технических средств на основании требований, изложенных в разделе 6. С помощью принципов, приведенных в настоящем стандарте, элементы безопасности, показанные на рисунке Н.2, можно описать следующим образом:
- категория 2, PL=c для электрочувствительного предохранительного оборудования (световой барьер). Для уменьшения вероятности возникновения неисправности в этом оборудовании применяются хорошо проверенные принципы безопасности;
- категория 3, PL=d для электронной логической схемы управления. Для увеличения уровня эффективности защиты электронной логической схемы управления в этом SRP/CS реализуется структура с резервированием, которая обеспечивает выполнение нескольких мер по определению неисправностей, с помощью чего определяется большая часть одиночных неисправностей;
- категория 1, PL=c для гидрораспределителя. Статус успешно испытанных присваивается преимущественно элементам специального назначения. В данном примере распределитель считается успешно испытанным компонентом. Для сокращения вероятности возникновения неисправностей устройство составлено из успешно испытанных компонентов с применением хорошо проверенных принципов безопасности, все условия эксплуатации учитываются (см. 6.2.4).
Примечание 1 - Положение, размер и компоновка средств связи должны быть учтены.
Примечание 2 - В случае возникновения одной неисправности в элементах категории 1 или категории 2 на рисунке Н.2 возможна потеря функции безопасности.
Рисунок H.1 - Пример. Структурная схема, поясняющая комбинации SRP/CS
AOPD - активное оптоэлектронное защитное устройство (например, световой барьер); E - электронная логическая схема управления; F - гидрораспределитель; I, I1, I2 - входные устройства, например, датчик; L, L1, L2 - логические блоки; О, O1, O2, OTE - выходные устройства, например, главный контактор; TE - испытательное оборудование
Рисунок Н.2 - Структурное построение для рисунка H.1
Приложение I
(справочное)
Примеры
I.1 Общие сведения
Данное приложение содержит примеры использования методов, изложенных в предыдущих приложениях, для идентификации функции безопасности и определения PL. Также приведена количественная оценка двух широко применяемых схем управления. Для поэтапной процедуры см. рисунок 3.
Для обоих примеров функция безопасности блокировки защитного устройства может быть выбрана следующим образом.
Опасное перемещение будет остановлено, если защитная дверца будет открытой (обеспечивается отключением электродвигателя).
Параметры риска согласно методу, основанному на графе риска (см. рисунок A.1):
- последствия, S=S2, серьезный ущерб;
- частота и/или время воздействия опасности, F=F1, от редкого до более частого возникновения опасности и/или непродолжительное время воздействия опасности;
- вероятность избегания опасности, P=P1, возможно при некоторых условиях.
Определение предпочтительной категории: уровень эффективности защиты достигается наиболее надежными одноканальными системами (категория 1) или резервными структурами (категория 2 или 3) (см. рисунок 5 и раздел 6).
I.3 Пример A, одноканальная система
I.3.1 Идентификация элементов безопасности
На рисунке I.1 представлены все элементы, вносящие вклад в обеспечение функции безопасности. Функциональные элементы, не вносящие вклад в обеспечение функции безопасности блокировки (такие как пуск и остановы), не изображены.
o - разомкнуто; c - замкнуто; M - двигатель; K1A - контактор; SW1A - выключатель (нормально замкнутый)
Рисунок I.1 - Схема управления A для выполнения функции безопасности
В данном примере дверной выключатель связан с контактором, который отключает соединение, передающее мощность двигателю, а также нормально замыкает контакты (но без подтверждения исключения неисправностей):
- один канал электромеханического компоненента;
Выбранный контактор в данном примере является успешно испытанным компонентом в соответствии с ISO 13849-2.
Таким образом, элементы безопасности и их распределение по каналам можно представить в виде структурной схемы безопасности, как на рисунке I.2.
K1A - контактор; SW1A - выключатель
Рисунок I.2 - Структурная схема, представляющая элементы безопасности для примера A
Примечание - Если информация для K1A недоступна, то принимается наихудший вариант согласно C.2 или C.4.
- DC
Поскольку тестирование для структурной схемы A не проводится, то принимается DC=0 согласно 4.5.3, таблице 6;
- категория
Это может трактоваться как PL=b.
I.4 Пример B, резервная система
I.4.1 Идентификация элементов безопасности
На рисунке I.3 представлены все элементы, обеспечивающие функции безопасности. Функциональные элементы, не вносящие вклад в обеспечение функции безопасности блокировки (такие как пуск и останов или отключение K1B с выдержкой времени), не изображены.