Machine Translated by Google

Książka kucharska SYSTEM

Od schematu elektrycznego do
Poziom wydajności – kwantyfikacja funkcji bezpieczeństwa
za pomocą SISTEMA

Wersja 1.0 (EN)

Machine Translated by Google

Autor: Ralf Apfeld, Michael Hauke, Michael Schaefer, Paul Rempel, Björn
Ostermana
Instytut Bezpieczeństwa i Higieny Pracy DGUV (IFA),
Święty Augustyn

Redaktor: Instytut Bezpieczeństwa Pracy Niemieckiego Ustawowego

Ubezpieczenia Wypadkowego (IFA)
Alte Heerstr. 111, 53757 Sankt Augustin, Niemcy Telefon: +49 2241
231-02 Faks: +49 2241 231-2234
Internet: www.dguv.de/ifa

– październik 2010 –
Machine Translated by Google

Zawartość

1 Wstęp................................................. .................................................. ...........4

2 Schemat ideowy przedstawiający kanały funkcjonalne i testowe............................6

2.1 Tworzenie schematycznego schematu obwodu .................................................. ...........................6

2.2 Wejście do kanałów funkcyjnych i testowych .................................................. ...........................7

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem ..9

3.1 Kategorie według EN ISO 13849-1........................................... ..................................9

3.2 Analiza strukturalna i wyjaśnienia .................................................. ...........................10

4 Przeniesienie do SISTEMA........................................... ..................................15

4.1 Tworzenie projektu .................................................. .................................................. ...16

4.2 Tworzenie funkcji bezpieczeństwa .................................................. ..................................17

4.3 Ustawianie PLr .................................................. .................................................. ...........17

4.4 Dodawanie podsystemów .................................................. ..................................17

4,5 Podsystemy kapsułkowane .................................................. ..................................18

4.6 Podsystemy jako grupy bloków w sztywnej strukturze (Kategoria) ...............18

4.6.1 Wprowadzanie bloków .................................................. .................................................. ......20

4.6.2 Wprowadzanie elementów .................................................. .................................................. ..20

4.6.3 Wprowadzanie danych związanych z bezpieczeństwem .................................. ..................................21

4.6.3.1 MTTFd/B10d.................................. .................................................. ..............21

4.6.3.2 DC .................................................. .................................................. ..................22

4.7 Cel osiągnięty? .................................................. .................................................. .23

Załącznik A: Pojęcia i skróty .................................................. ..................24

Załącznik B: Skróty z EN ISO 13849-1 .................................. ..................25

Załącznik C: Wzór formularza wniosków użytkownika .................................................. .............26

Załącznik D: Tabela schematów .................................................. ..................................27

Załącznik E: Schemat blokowy analizy konstrukcji (bez przykładu)............................29

Machine Translated by Google

1 Wstęp

1 Wstęp

Układy sterowania realizujące funkcje bezpieczeństwa stosowane są w celu bezpiecznego projektowania

maszyn i tym samym spełniania wymagań Dyrektywy Maszynowej 2006/42/WE. W tym celu funkcje
bezpieczeństwa wymagane do redukcji ryzyka są definiowane w ramach oceny ryzyka przeprowadzanej
podczas projektowania maszyny, a następnie wdrażane za pomocą odpowiedniego systemu sterowania.
Elementy sterujące maszyn związane z bezpieczeństwem mogą być realizowane zgodnie z normą EN ISO
13849-1. Wymagania tej normy obejmują konieczność obliczenia przez inżyniera projektującego maszynę
prawdopodobieństwa wystąpienia niebezpiecznej awarii na godzinę (PFH) w celu określenia poziomu
wydajności (PL). Poziom wydajności zależy od struktury systemu sterowania (kategorii), a także od
wymagań systematycznych.

W tym celu IFA udostępnia narzędzie programowe SISTEMA (niemiecki akronim oznacza
„bezpieczeństwo kontroli maszyn”), które można pobrać bezpłatnie ze strony www.dguv.de/ifa, Kod
internetowy e34183.

Przed rozpoczęciem obliczeń inżynier projektujący maszynę musi sporządzić schemat blokowy
związany z bezpieczeństwem dla każdej funkcji bezpieczeństwa na podstawie schematu obwodu. Schemat
blokowy związany z bezpieczeństwem musi przedstawiać realizację funkcji bezpieczeństwa w kanałach
funkcjonalnych (w tym kanałach redundantnych, jeśli występują) i komponentach testujących, również jeśli są obecne.

Książka kucharska SISTEMA 1 opisuje ten nieznany i trudny etap abstrakcji (rysunek 1) oraz kolejny etap, polegający na
przeniesieniu bloków do SISTEMA i wprowadzeniu ich parametrów.

SYSTEMOWA Książka kucharska (wersja 1.0) -4-

Machine Translated by Google

1 Wstęp

Rysunek 1:
Schemat blokowy od funkcji bezpieczeństwa do poziomu wydajności; cztery kroki z szarym tłem zostały szczegółowo opisane w
niniejszej instrukcji.

SYSTEMOWA Książka kucharska (wersja 1.0) -5-

Machine Translated by Google

2 Schemat ideowy przedstawiający kanały funkcjonalne i testowe

2 Schemat ideowy przedstawiający kanały funkcjonalne i testowe

Nels

2.1 Tworzenie schematu obwodu

Aby na późniejszym etapie obliczyć prawdopodobieństwo awarii funkcji bezpieczeństwa, należy wiedzieć, które
elementy są wykorzystywane w funkcji bezpieczeństwa, a które nie.
Dokładne zdefiniowanie funkcji bezpieczeństwa (patrz Raport BGIA 2/2008, rozdział 5) jest zatem niezbędne w kolejnych
krokach. Dla każdej funkcji bezpieczeństwa tworzony jest schemat ideowy przedstawiający odpowiednie komponenty. Do
odpowiednich komponentów zalicza się wszystkie te, których awaria może utrudnić realizację funkcji
bezpieczeństwa w kanale funkcjonalnym (struktury redundantne posiadają dwa kanały funkcjonalne). Należą do nich
również wszelkie obiekty badawcze odpowiedzialne za wykrycie tego rodzaju niebezpiecznych awarii i doprowadzenie
do stanu bezpiecznego. Schemat obwodu pokazuje na przykład obwody elektryczne przełączników pozycyjnych,
programowalnych sterowników logicznych (PLC) i styczników oraz przepływ prądu z czujnika poprzez przetwarzanie
sygnału do siłownika.

Przykład 1 (Rysunek 2) przedstawia implementację funkcji bezpieczeństwa dla „otwarcie ruchomej osłony inicjuje
funkcję bezpieczeństwa bezpiecznego wyłączenia momentu (STO)”. Wszystkie inne komponenty, które mają
wyłącznie charakter funkcjonalny i nie mają wpływu na funkcję bezpieczeństwa, zostały już pominięte.

Rysunek 2:
Schemat obwodu przedstawiający odpowiednie komponenty (Przykład 1); patrz Raport BGIA 2/2008e, rozdział 8.2.18

SYSTEMOWA Książka kucharska (wersja 1.0) -6-

Machine Translated by Google

2 Schemat ideowy przedstawiający kanały funkcjonalne i testowe

2.2 Wejście do kanałów funkcyjnych i testowych

Kanały funkcjonalne są najpierw zaznaczane na schemacie obwodu. W praktyce stwierdzono,

że skuteczne jest „działanie wstecz”, tj. rozpoczynanie od strony siłownika i podążanie kanałem z
powrotem do czujnika. W ten sposób powstają ścieżki sygnału od zdarzenia wyzwalającego do
odpowiedzi funkcji bezpieczeństwa (Rysunek 3).

Rysunek 3:
Schemat ideowy obwodu z dwoma redundantnymi kanałami funkcjonalnymi, B1-Q2 i B2-K1-Q1 (Przykład 1)

Jeżeli obwody wykorzystują kanał testowy z dedykowanym urządzeniem rozłączającym (kategoria

2), ten kanał testowy jest również zaznaczony na schemacie obwodu. Figura 4 przedstawia przykład
urządzenia zabezpieczającego zamontowanego na wlocie walca; po wyłączeniu urządzenia silnik
zatrzymuje się w ciągu 1/3 obrotu. W tym przykładzie kąt obrotu wymagany do zatrzymania silnika
jest regularnie sprawdzany poprzez ręczne uruchomienie urządzenia zabezpieczającego.

SYSTEMOWA Książka kucharska (wersja 1.0) -7-

Machine Translated by Google

2 Schemat ideowy przedstawiający kanały funkcjonalne i testowe

Rysunek 4:
Przykład 2 z zaznaczonym kanałem funkcjonalnym B0 – T1 – G1 i kanałem testowym z dedykowanym urządzeniem rozłączającym
G2 – K1 – Q1

Rozdział 3 wyjaśnia, w jaki sposób schematyczny diagram obwodu jest przekształcany w schemat blokowy związany
z bezpieczeństwem.

SYSTEMOWA Książka kucharska (wersja 1.0) -8-

Machine Translated by Google

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem

3 Od schematu połączeń do bloku związanego z bezpieczeństwem

diagram

W następnym kroku schemat ideowy każdej funkcji bezpieczeństwa jest przekształcany w logiczną reprezentację schematu
blokowego związanego z bezpieczeństwem. W trakcie transformacji elementy schematu są przypisywane do „podsystemów”, za
pomocą których modelowana jest funkcja bezpieczeństwa w SISTEMA.

W prezentacji w formie schematu blokowego związanego z bezpieczeństwem istotne są raczej wzajemne powiązania
logiczne niż fizyczne połączenia pomiędzy komponentami. Każdy element funkcji bezpieczeństwa jest częścią składową
określonej konstrukcji. Struktura ta nazywana jest „kategorią” w normie EN ISO 13849-1 i jest zgrupowana w ramach SISTEMA
jako podsystem. Sekwencje podsystemów wraz z odpowiadającymi im kategoriami są reprezentowane przez funkcję
bezpieczeństwa w formie schematu blokowego związanego z bezpieczeństwem. Kolejność podsystemów nie ma wpływu na
późniejsze obliczenie prawdopodobieństwa awarii.

3.1 Kategorie według EN ISO 13849-1

Kategorie zgodne z EN ISO 13849-1, ich cechy charakterystyczne i typowe przedstawienie przedstawiono w tabeli 1.

Tabela 1: Funkcje i reprezentacja kategorii

Struktura Kategoria zgodna z EN ISO 13849-1 i szczególne Typowe przedstawienie na schemacie

cechy blokowym związanym z bezpieczeństwem

Pojedynczy kanał Kategoria B (kategoria podstawowa)

Pojedynczy kanał Kategoria 1 (wykorzystanie sprawdzonych

komponentów)

Jednokanałowy, Kategoria 2 (usterki komponentów w kanale

testowany funkcjonalnym (X3) są wykrywane poprzez
wykrywanie usterek poprzez kanał testowy (X4,
X5); zostaje osiągnięty stan bezpieczny)

Uwaga: kanał funkcjonalny i testowy może

składać się z jednego lub większej liczby

komponentów.

Dwukanałowy, z Kategoria 3 (tolerancja pojedynczego błędu

wykrywaniem usterek poprzez redundancję, testowanie)

Uwaga: Każdy kanał może zawierać jeden lub

więcej komponentów.

SYSTEMOWA Książka kucharska (wersja 1.0) -9-

Machine Translated by Google

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem

Struktura Kategoria zgodna z EN ISO 13849-1 i typowe przedstawienie poszczególnych cech na

schemacie blokowym związanym z bezpieczeństwem

Dwukanałowy, z Kategoria 4 (jak kategoria 3, ale również

wykrywaniem odporna na kumulację dwóch niewykrytych
usterek usterek)

Uwaga: Każdy kanał może zawierać jeden lub

więcej komponentów.

Podsystemy kapsułkowane stanowią szczególny przypadek. Podsystemy hermetyczne to komponenty, dla których
producent sam określa PL, PFH i kategorię (np. PLC bezpieczeństwa, moduły bezpieczeństwa); patrz tabela 2.

Tabela 2: Podsystemy zamknięte

Struktura Kategoria zgodna z EN ISO 13849-1 i Typowe przedstawienie na schemacie

szczególne cechy blokowym związanym z bezpieczeństwem

Możliwe różne PL, PFH i kategoria są podane przez producenta

struktury wewnętrzne

Uwaga: Układy komponentów inne niż te nie są zgodne z architekturą określoną w normie EN ISO 13849-1 i nie mogą
być analizowane przez SISTEMA.

3.2 Analiza strukturalna i wyjaśnienia

Podczas analizy strukturalnej elementy schematu obwodu są przenoszone na schemat blokowy związany z
bezpieczeństwem, a kategoria jest określana na podstawie charakterystyki redundancji, testowania i stosowania
sprawdzonych komponentów.

Uwaga: Ta sekcja dotyczy jedynie określenia konstrukcji. Dodatkowe wymagania poza tym mają zastosowanie do wszystkich
kategorii: na przykład komponenty muszą być zaprojektowane, wyprodukowane, wybrane, zmontowane
i połączone zgodnie z odpowiednimi normami w taki sposób, aby były w stanie wytrzymać przewidywane
warunki otoczenia. Należy stosować podstawowe zasady bezpieczeństwa. W kategoriach 1, 2, 3 i 4 należy
również stosować sprawdzone zasady bezpieczeństwa. Informacje na temat tych aspektów można znaleźć w
normie EN ISO 13849-2. Wymagania ilościowe, których przestrzeganie sprawdza SISTEMA, dotyczą również
Kategorii.

Opisana tutaj procedura jest dostosowana do zastosowania normy EN ISO 13849-1 i jej „wyznaczonych architektur” dla
kategorii. Jeżeli zamodelowanie do jednej z kategorii nie jest możliwe, nawet przy pominięciu dodatkowych elementów
lub kanałów, nie można zastosować metody uproszczonej opisanej w normie. W takim przypadku prawdopodobieństwo
awarii należy zweryfikować za pomocą innych metod, takich jak modelowanie Markowa, jak opisano w EN 61508-6,
załącznik B.

SYSTEMOWA Książka kucharska (wersja 1.0) - 10 -

Machine Translated by Google

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem

Procedura analizy strukturalnej:

Punktem wyjścia analizy strukturalnej jest schemat ideowy, na którym zaznaczone są funkcje i kanały testowe.
Procedurę przedstawiono schematycznie w załączniku E.
Rysunek 5 przedstawia tę samą procedurę wraz z jej zastosowaniem do przykładów 1 i 2 pokazanych w
rozdziale 2.

Krok 1: Utworzenie sekwencji komponentów w kanale funkcjonalnym

Wszystkie komponenty wzdłuż pierwszego kanału funkcjonalnego (z najmniejszą liczbą komponentów) są

zapisywane jako bloki od lewej do prawej (od czujnika do elementu wykonawczego).

Krok 2: Rozważenie pierwszego bloku

Każdy indywidualny blok pierwszego kanału funkcjonalnego jest teraz przypisany kolejno do podsystemów
odpowiedniej Kategorii, zgodnie z charakterystycznymi cechami Kategorii.

Krok 3: Czy producent komponentu podaje PL i PFH (oraz kategorię)?

Zamknięty podsystem można rozpoznać jako taki po tym, że jest już scharakteryzowany przez producenta za pomocą
PL (lub SIL zgodnie z normami IEC), PFH i kategorii (struktura wewnętrzna). Wewnętrzna struktura zamkniętego
podsystemu nie wymaga dalszej dekonstrukcji.

Uwaga: Jeżeli hermetyzowany podsystem kategorii 3 lub 4 zajmuje oba redundantne kanały funkcjonalne, oba
kanały funkcjonalne przechodzą przez niego.

Krok 4: Czy można wykluczyć wszystkie usterki komponentów?

Po kolei rozpatrywane są wszystkie zakładane uszkodzenia elementu w analizowanym bloku. W tym celu załącznik
do normy EN ISO 13849-2 zawiera modele usterek szeregu elementów stosowanych w sterownikach maszyn.
Dzięki uzasadnionym wykluczeniom usterek możliwe jest dyskontowanie usterek niektórych podzespołów. W
przypadku każdego przypadku usterki należy rozważyć, czy zamierzona funkcjonalność komponentu związana
z bezpieczeństwem zostanie zachowana (usterka nieszkodliwa), czy też ulegnie awarii (usterka niebezpieczna).
Niebezpieczna usterka występuje na przykład w przypadku stycznika Q2 w przykładzie 1 (rysunek 3), gdy
drzwi bezpieczeństwa są otwarte, ale stycznik Q2 nie wypada, ponieważ jego styki są zespawane.

Jeżeli nie trzeba zakładać żadnych niebezpiecznych uszkodzeń komponentu, nie istnieje żadna wartość do
obliczenia PFH funkcji bezpieczeństwa. Nie ma potrzeby uwzględniania tego na schemacie blokowym
związanym z bezpieczeństwem. Dalsza prezentacja funkcji bezpieczeństwa może być jednak konstruktywna,
ponieważ może sprzyjać jej zrozumieniu. W tym przypadku blok traktowany jest jako zamknięty podsystem (w
SISTEMA zostaje następnie zaznaczona opcja „wykluczenie błędów” i dalsze wpisy nie są wymagane).

Krok 5: Czy funkcja bezpieczeństwa jest zachowana w przypadku awarii podzespołów?

W kroku 4 określa się niebezpieczne usterki, które należy uwzględnić w elemencie analizowanego bloku.
Obecnie rozważany jest ich wpływ na funkcję bezpieczeństwa.

SYSTEMOWA Książka kucharska (wersja 1.0) - 11 -

Machine Translated by Google

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem

Rysunek 5: Schemat analizy strukturalnej w odniesieniu do przykładów z rozdziału 2: SF = funkcja bezpieczeństwa

SYSTEMOWA Książka kucharska (wersja 1.0) - 12 -

Machine Translated by Google

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem

Krok 5a: Dodanie redundantnego kanału funkcjonalnego bloku(ów)

Jeżeli funkcja bezpieczeństwa jest utrzymywana przez jeden lub więcej redundantnych komponentów w przypadku
uszkodzenia analizowanego bloku (tj. występuje drugi kanał funkcjonalny), komponenty te są prezentowane jako bloki
w drugim kanale funkcjonalnym (patrz przykład w Tabeli 1: Kategorie 3 i 4).

W przykładzie 1 (rysunek 3) dotyczy to zarówno B1, jak i Q2. Dlatego do obu bloków dodano redundantny kanał
funkcjonalny B2-K1-Q1.

Uwaga: Elementy redundantnego kanału funkcjonalnego są zatem wykorzystywane wielokrotnie.

Jest to wynikiem procedury etapowej i na tym etapie nie powinno stanowić przeszkody.
Bloki, których istnieje wiele instancji, są ponownie grupowane w kroku 8.

Jeżeli wprowadzono zbędne komponenty, spełnione zostało główne kryterium podstawowe dla kategorii 3 i 4. Pojedynczy
błąd w elemencie pierwszego lub drugiego kanału funkcjonalnego nie może powodować utraty funkcji bezpieczeństwa
(tolerancja pojedynczego błędu).

Uwaga: Ponadto kategoria 3 wymaga, aby tam, gdzie jest to racjonalnie możliwe, występowały pojedyncze usterki
w komponentach w obrębie dwóch kanałów funkcjonalnych.

Krok 5b: Czy funkcja bezpieczeństwa jest zachowana w przypadku kumulacji niewykrytych usterek?

Dla analizowanego tutaj bloku i jego redundantnego kanału funkcjonalnego, do tego momentu zidentyfikowano tolerancję
pojedynczego błędu i kategoria 3 została spełniona. Czy kryteria kategorii 4 są również spełnione? W tym celu należy
zbadać zachowanie w przypadku wystąpienia niewykrytych usterek. Jeżeli funkcja bezpieczeństwa zostaje zachowana w
przypadku kumulacji dwóch niewykrytych usterek, podsystem spełnia kategorię 4. Jeżeli funkcja bezpieczeństwa nie
jest zachowana przy drugim niewykrytym uszkodzeniu, podsystem spełnia kategorię 3.

W przykładzie 1 (rysunek 3) sterownik PLC K1 może w sposób ciągły uruchamiać wyjścia O1.0 i O1.1 w przypadku
błędu. W tym przypadku Q1 będzie stale zasilany energią. Nawet gdyby sterownik PLC był w stanie wykryć tę usterkę
poprzez odczytanie styków monitorujących, nie byłby w stanie doprowadzić do stanu bezpiecznego. Jeżeli druga
usterka spowoduje zespawanie styków Q2, silnik będzie nadal pracował nawet przy otwartych urządzeniach ochronnych;
funkcja bezpieczeństwa uległa awarii i kategoria 4 nie została spełniona.

Uwaga: W kategorii 4 musi być spełniona tolerancja pojedynczego błędu, a błąd dyskretny w połączeniu
Element w pierwszym lub drugim kanale funkcjonalnym musi zostać wykryty w momencie lub przed następnym
żądaniem funkcji bezpieczeństwa. Jeżeli wykrycie w ten sposób nie jest możliwe, kumulacja dwóch niewykrytych
usterek nie może prowadzić do utraty funkcji bezpieczeństwa.

Krok 6: Czy wykryto usterki komponentów?

W tym momencie jasne jest, że nie ma miejsca redundancja i w związku z tym ani kategoria 3, ani kategoria 4 nie są
spełnione. Jeżeli kanał testowy wykryje awarię bloku w kanale testowym i wprowadzony zostanie stan bezpieczny,
podsystem spełnia kategorię 2.

W przykładzie 2 (rysunek 4) zadziałanie B0 powoduje kontrolowane zatrzymanie silnika przez T1/G1 w ciągu 1/3
obrotu. Testowanie jest odpowiedzią na żądanie K1 spowodowane ręcznym uruchomieniem B0 i pomiarem kąta
hamowania przez K1/G2. W przypadku zakłócenia stan bezpieczny zostaje wywołany poprzez Q1. Test wykrywa błędy w
B0 i T1/G1. Kanał testowy G2-
W ten sposób K1-Q1 wykrywa błędy w B0 i T1/G1 i wprowadza stan bezpieczny; Kategoria 2 jest zatem spełniona.

Uwaga: Rozsądne wykrywanie usterek jest również wymagane w przypadku kategorii 3 i 4. I odwrotnie, podsystemom
kategorii 2 brakuje redundantnego kanału funkcjonalnego.

SYSTEMOWA Książka kucharska (wersja 1.0) - 13 -

Machine Translated by Google

3 Od schematu połączeń do schematu blokowego związanego z bezpieczeństwem

Krok 6a: Dodanie kanału testowego bloku

Elementy kanału testowego, które wykrywają awarię bloku i wprowadzają stan bezpieczny, są prezentowane na
schemacie blokowym związanym z bezpieczeństwem jako bloki testowe, jak pokazano w tabeli 1
(kategoria 2)

Jeśli komponenty zostaną wprowadzone do kanału testowego, spełnione zostanie główne kryterium podstawowe
dla kategorii 2: funkcja bezpieczeństwa musi być testowana w odpowiednich odstępach czasu. Powoduje to
wykrycie utraty funkcji bezpieczeństwa i wprowadzenie stanu bezpiecznego przez niezależne urządzenie rozłączające.
Kolejnym ważnym wymaganiem dla kategorii 2 jest częstotliwość testów (patrz raport BGIA 2/2008e, rozdział 6.25).
Nie ma to jednak znaczenia dla analizy strukturalnej.

Krok 7: Czy komponent jest „dobrze wypróbowany”?

W przykładzie nie znaleziono nadmiarowości ani testów. Dlatego możliwa jest tylko kategoria 1 lub kategoria B.
Jeżeli komponent analizowanego bloku jest „wypróbowanym” komponentem zgodnym z normą EN ISO 13849, blok
jest przedstawiany jako część podsystemu kategorii 1. Listę sprawdzonych komponentów można znaleźć w normie
EN ISO 13849-2. Jeżeli nie, blok jest częścią podsystemu kategorii B.

Krok 8: Czy wszystkie bloki zostały przeanalizowane?

Jeśli po przypisaniu bloku do podsystemu dalsze bloki nadal oczekują na analizę, procedurę na schemacie powtarza
się z kolejnym blokiem, zaczynając od kroku 2a. W przeciwnym razie procedura jest kontynuowana w kroku 9.

Krok 9: Grupowanie bloków tej samej kategorii

Podsystemy tej samej kategorii można łączyć poprzez grupowanie elementów identycznych kanałów (patrz Raport
BGIA 2/2008, rysunek 6.14). Każdy komponent występuje tylko raz w kanale; duplikaty można usunąć. Oczywiste jest,
że ten sam komponent nie może być używany jednocześnie w dwóch redundantnych kanałach funkcjonalnych. W
kategorii 2 w kanale funkcjonalnym można grupować wyłącznie komponenty korzystające z tego samego kanału
testowego.

Ponieważ SISTEMA ogranicza wartości MTTFd każdego kanału w obrębie podsystemów (capping), grupowanie
może skutkować niższym obliczanym prawdopodobieństwem wystąpienia niebezpiecznej awarii na godzinę.
Niższe prawdopodobieństwo awarii (PFH) jest zaletą. Wadą jest jednak to, że zgrupowana reprezentacja często
utrudnia śledzenie logicznej sekwencji przetwarzania sygnału.

Przykłady w rozdziale 2 przedstawiają schematy blokowe związane z bezpieczeństwem na rysunku 5a:

Rysunek 5a: Wynik analizy strukturalnej dla przykładów z rozdziału 2

Funkcja bezpieczeństwa jest teraz przedstawiona logicznie na schemacie blokowym związanym z bezpieczeństwem.
W następnym rozdziale obliczane jest prawdopodobieństwo awarii (PFH) za pomocą SISTEMA.

SYSTEMOWA Książka kucharska (wersja 1.0) - 14 -

Machine Translated by Google

4 Przejazd do SISTEMY

4 Przeniesienie do SISTEMA
Narzędzie programowe SISTEMA wykorzystuje wiele poziomów hierarchicznych (rysunek 6).
Poszczególne poziomy wyjaśniono w Tabeli 3.

Rysunek 6: Poziomy hierarchiczne w SISTEMA

Tabela 3: Opis poziomów hierarchicznych w SISTEMA

Nazwa Opis Przykłady

Projekt Podsumowanie funkcji bezpieczeństwa, Drzwi do obszaru roboczego na tokarce XY

na przykład w maszynie lub części
maszyny lub w miejscu zagrożenia

Funkcja bezpieczeństwa Reakcja zorientowana na bezpieczeństwo Bezpieczne zatrzymanie pracy po otwarciu

na zdarzenie wyzwalające drzwi bezpieczeństwa

Podsystem a) Grupa bloków w sztywnej a) Podsystem kategorii 3

konstrukcji (kategoria)

b) Element bezpieczeństwa z b) Sterownik bezpieczeństwa

oświadczeniem producenta
dotyczącym PL, PFH i kategorii
(podsystem zamknięty)

SYSTEMOWA Książka kucharska (wersja 1.0) - 15 -

Machine Translated by Google

4 Przejazd do SISTEMY

Nazwa Opis Przykłady

Kanał Połączenie bloków szeregowo; SISTEMA Kanał funkcjonalny 1

tworzy jeden lub dwa kanały funkcjonalne,
w zależności od wybranej Kategorii.

Kanał funkcjonalny 2

Kanał testowy Połączenie szeregowe bloków dla Kanał funkcjonalny 1

funkcji testowej; SISTEMA tworzy kanał
testowy tylko dla kategorii 2.

Kanał testowy

Blok Komponent w kanale funkcyjnym lub

testowym

PLC bezpieczeństwa

Element Blok zawiera jeden lub więcej Styczniki, przełączniki pozycyjne, podzespoły
elementów. Wartość B10d (patrz elektromechaniczne, wszystkie podzespoły z
załącznik B) można wprowadzić tylko oznaczeniem producenta
dla elementów. Wartość B10d

Wszystkie kroki wymagane do utworzenia projektu SISTEMA i analizy wyjaśniono poniżej.

Zapisy dotyczące dokumentacji nie mają wpływu na analizę. Aspekt ten nie będzie dalej rozpatrywany.

Uwaga: Wskazane jest takie dobranie kolejności wpisów, aby zakładki w obszarze roboczym były przeglądane od lewej
do prawej, a poziomy hierarchii (widok drzewa w oknie nawigacji) od góry do dołu.

4.1 Tworzenie projektu

Wszystkie funkcje bezpieczeństwa maszyny lub maszyny podrzędnej można pogrupować w ramach projektu (Rysunek 7).
Po utworzeniu nowego projektu za pomocą opcji „Nowy” (1.) wprowadź nazwę w oknie dialogowym „Nazwa projektu” (3.).
Nazwa pojawia się wówczas także w oknie nawigacyjnym po skrócie PR (2.).
1.

2.

3.

Rysunek 7

SYSTEMOWA Książka kucharska (wersja 1.0) - 16 -

Machine Translated by Google

4 Przejazd do SISTEMY

4.2 Tworzenie funkcji bezpieczeństwa

Utwórz wymagane funkcje bezpieczeństwa za pomocą „Nowy” (3.) w zakładce „Funkcja bezpieczeństwa” (2.)
(Cyfra 8). W oknie nawigacyjnym pojawia się także „Nazwa funkcji bezpieczeństwa” po skrócie SF (patrz Rysunek 9; 1.).

1. 2.

3.

Cyfra 8

4.3 Ustawianie PLr

Wymagany poziom zapewnienia bezpieczeństwa PLr ustalany jest indywidualnie dla każdej funkcji bezpieczeństwa (1.)
(Rysunek 9). W tym celu należy skorzystać z wykresu ryzyka (3.) w punkcie „Funkcja bezpieczeństwa – PLr” (2.) lub
wprowadzić bezpośrednio PLr, np. gdy jest to określone w normie specyficznej dla maszyny.

1. 2.

3.

Rysunek 9

4.4 Dodawanie podsystemów

Tworzone są podsystemy określone na schemacie blokowym związanym z bezpieczeństwem. Dodaj podsystem za

pomocą opcji „Nowy” (3.) w ramach funkcji bezpieczeństwa (1.) w zakładce „Podsystemy” (2.) (Rysunek 10).

SYSTEMOWA Książka kucharska (wersja 1.0) - 17 -

Machine Translated by Google

4 Przejazd do SISTEMY

1. 2.

3.

Rysunek 10

4.5 Podsystemy kapsułkowane

Dane producentów dotyczące PL, PFH i kategorii są dostępne dla systemów hermetyzowanych.
Wprowadź je (4.) bezpośrednio pod podsystemem (1.) w zakładce „PL” (2.) po wybraniu opcji „Wprowadź PL / PFH
bezpośrednio” (3.) (Rysunek 11). Kategorię można wprowadzić w kolejnej zakładce „Kategoria”.
Ponieważ PL i PFH są dostępne dla tego podsystemu, nie jest konieczne wprowadzanie kategorii do obliczenia PFH
funkcji bezpieczeństwa jako całości.

Uwaga: Jeśli pole (4.) jest zaznaczone, PL i PFH są obliczane od siebie za pomocą wartości średnich.

Wykluczenie usterek:

W systemach zamkniętych, w których wykluczone są wszystkie usterki komponentów niebezpiecznych, należy

zaznaczyć pole „Wykluczenie awarii” ( PFH=0).

2.

1.
3. 4.

Rysunek 11

4.6 Podsystemy jako grupy bloków w sztywnej strukturze (Kategoria)

W podsystemie (1.) wybierz „Określ PL / PFH na podstawie kategorii, MTTFd i DCavg” w „PL” (2.) (Rysunek 12).

2.

1.

3.

Rysunek 12

Następnie:

a) W podsystemie (1.) w obszarze „Kategoria” (2.) (Rysunek 13) wybierz odpowiednią kategorię i
ocenić „Wymagania kategorii”.

SYSTEMOWA Książka kucharska (wersja 1.0) - 18 -

Machine Translated by Google

4 Przejazd do SISTEMY

2.

1.

Rysunek 13

b) Wprowadź wartość MTTFd bezpośrednio w podsystemie (1.) w polu „MTTFd” (2.) lub wybierz
opcję „Ustal wartość MTTFd z bloków” (3.) (Rysunek 14).

2.
1.
3.
Rysunek 14

c) Wprowadź wartość DCavg bezpośrednio w podsystemie (1.) w polu „DCavg” (2.) lub wybierz opcję
„Określ wartość DCavg z bloków” (3.) (Rysunek 15).

2.

1.
3. Rysunek 15

d) Dla każdego podsystemu dwukanałowego należy rozważyć awarie, które mogą powodować oba
kanały zawodzą z tego samego powodu (CCF). Spośród nich dotyczy to Kategorii 2 (kanał
funkcjonalny i kanał testowy) oraz Kategorii 3 i 4 (w każdym przypadku dwa kanały funkcjonalne).
Wpisu dokonuje się w podsystemie (1.) w pozycji „CCF” (2.) poprzez wybór działań, które należy
podjąć (Rysunek 16). Należy uzyskać co najmniej 65 punktów. Liczbę osiągniętych punktów można
wprowadzić bezpośrednio lub skompilować za pomocą biblioteki miar (3. i 4.).

2.
1.

3.
4.

Rysunek 16

SYSTEMOWA Książka kucharska (wersja 1.0) - 19 -

Machine Translated by Google

4 Przejazd do SISTEMY

4.6.1 Wchodzenie do bloków

Po utworzeniu podsystemów konieczna jest dalsza specyfikacja (wyjątek: 4.5 Podsystemy zamknięte).
Po wybraniu kategorii podsystemu SISTEMA tworzy odpowiednie kanały (CH). W „Kanale” dodawane
są bloki (BL ) odpowiadające poszczególnym elementom kanału. Jeżeli nie jest wymagany dalszy
podział bloków, procedurę można kontynuować zgodnie z punktem 4.6.3. Jeśli blok ma być dalej
podzielony na elementy (zawsze konieczne w przypadku komponentów, dla których podano B10d ),
wymagane są następujące ustawienia:

a) W bloku (1.) pod „MTTFd” (2.) wybierz „Określ wartość MTTFd na podstawie elementów” (3.)
(Rysunek 17).

2.

1. 3.

Rysunek 17

b) W bloku (1.) pod „DC” (2.) wybierz „Określ wartość DC na podstawie elementów” (3.) (Rysunek 18).

2.

1.
3.

Rysunek 18

4.6.2 Wprowadzanie elementów

Jeśli blok ma zostać podzielony na elementy (EL), utwórz elementy w bloku (1.) w sekcji
„Elementy” (2.) za pomocą opcji „Nowy” (3.) (Rysunek 19).

SYSTEMOWA Książka kucharska (wersja 1.0) - 20 -

Machine Translated by Google

4 Przejazd do SISTEMY

2.
1.

3.

Rysunek 19

Na poziomie elementu (1.) konieczne są obliczenia z uwzględnieniem wartości B10d i liczby operacji nop, np.
w celu wyznaczenia MTTFd (2.) elementów elektromechanicznych i pneumatycznych (rysunek 20). Wybierz
opcję „Określ wartość MTTFd na podstawie wartości B10d” (3.) i „Oblicz nop” (4.), aby wprowadzić
wymagane wartości (5.).

2.

3.
4.
1.

5.

Rysunek 20

4.6.3 Wprowadzanie danych związanych z bezpieczeństwem

Dane związane z bezpieczeństwem wymagane do obliczenia PFH obejmują odpowiednią jakość podzespołów
(MTTFd, B10d), liczbę operacji elementów elektromechanicznych i pneumatycznych (nop) oraz zakres
diagnostyki (DC).

4.6.3.1 MTTFd/B10d

Wprowadź na poziomie bloku lub elementu (1.) w zakładce „MTTFd” (2.) (Rysunek 21).

SYSTEMOWA Książka kucharska (wersja 1.0) - 21 -

Machine Translated by Google

4 Przejazd do SISTEMY

Rysunek 21

Parametry związane z bezpieczeństwem komponentów można określić na podstawie dowolnego z

poniższych:

a) Dane producentów

b) Ustalone zbiory danych (źródła, patrz EN ISO 13849-1, załącznik D);

c) EN ISO 13849-1, załącznik C; zapisane w SISTEMA w „Typowych wartościach komponentów” (3.).

Jeśli można wykluczyć wszystkie usterki komponentów niebezpiecznych, można je również wybrać,
wybierając opcję „ Bezpośrednie wprowadzenie wartości MTTFd”.

4.6.3.2 DC

W przypadku kategorii 2 i wyższej wymagane są środki wykrywania usterek komponentów. W bloku lub
elemencie (1.) w zakładce „DC” (2.) dla każdego komponentu wprowadzana jest wartość procentowa opisująca
zasięg diagnostyczny wykrywania usterek. Wybór „Wartości znamionowej DC poprzez wybór miar”
umożliwia dostęp do tabel DC w EN ISO 13849-1, załącznik E poprzez „Bibliotekę”
(3.). Wartości można przyjąć w niezmienionej postaci lub wykorzystać jako wytyczne. Jeżeli norma proponuje
zakres możliwych wartości DC, można wybrać konkretną wartość z tego zakresu (Rysunek 22).

2.

1.

3.

Rysunek 22

SYSTEMOWA Książka kucharska (wersja 1.0) - 22 -

Machine Translated by Google

4 Przejazd do SISTEMY

4.7 Cel osiągnięty?

Sprawdź komunikaty o błędach (czerwony krzyżyk) w oknie komunikatów (w środku, poniżej).

Jeśli nie ma żadnych, można obliczyć PFH (Rysunek 23).

Rysunek 23

Wynik obliczeń wskazany jest w lewym dolnym rogu dla wybranej funkcji bezpieczeństwa oraz
odpowiednich podsystemów, bloków i elementów (Rysunek 24). (Osiągnięty) PL funkcji
bezpieczeństwa musi być co najmniej równy (wymaganemu) PLr. Jeżeli osiągnięty poziom PL
jest niewystarczający, należy zastosować komponenty o wyższej wartości MTTFd lub wyższej wartości
B10d, poprawić wykrywanie usterek (DC) lub wdrożyć podsystemy innych kategorii.

Rysunek 24

SYSTEMOWA Książka kucharska (wersja 1.0) - 23 -

Machine Translated by Google
Załącznik A Pojęcia i skróty
Załącznik A: Pojęcia i skróty
Definicja kluczowych pojęć, o których mowa w podobny sposób w Załączniku B normy EN ISO 13849-1:
Koncepcje
Funkcja bezpieczeństwa (SF)
Schemat ideowy obwodu
Schemat blokowy związany z
bezpieczeństwem
składniki
Podsystem (SB)
Zamknięty podsystem
Kanał funkcjonalny
Sygnał funkcyjny
Redundantny blok funkcyjny
Nieredundantny blok funkcyjny
Kanał testowy
Testowanie sygnału rozłączenia
Blok testowy
Zasada prądu w obwodzie
zamkniętym
SYSTEMOWA Książka kucharska (wersja 1.0)
Definicja
Zorientowana na bezpieczeństwo reakcja na zdarzenie wyzwalające (wymaganie funkcji
bezpieczeństwa). W systemach redundantnych funkcja bezpieczeństwa jest realizowana
na wiele niezależnych sposobów. PL opisuje niezawodność jego wykonania.
Fragment schematu okablowania lub schematu funkcji, który wskazuje techniczne
(sprzętowe) połączenia pomiędzy częściami systemu sterowania związanymi z
bezpieczeństwem.
Prezentacja logicznych powiązań pomiędzy komponentami, z których widać kanały
funkcjonalne i testowe.
Jednostki sprzętowe związane z bezpieczeństwem, części systemu sterowania
Największa jednostka komponentów, która w całości lub w sekcjach realizuje
funkcję bezpieczeństwa. Podsystem ma ciągłą strukturę i jest opisany kategorią.
Element bezpieczeństwa, dla którego producent podaje już PL, PFH i kategorię. Nie
ma zatem potrzeby głębszego rozpatrywania struktury wewnętrznej.
Jednostki sprzętowe połączone szeregowo; łańcuchy komponentów realizujących całą
funkcję bezpieczeństwa od czujnika do elementu wykonawczego.
Podsystemy redundantne posiadają (co najmniej) dwa niezależne kanały funkcjonalne.
Sygnał przekazujący żądanie funkcji bezpieczeństwa kanałem funkcjonalnym od
czujnika do elementu wykonawczego, gdzie np. prowadzi do rozłączenia.
Jednostka sprzętowa połączona równolegle; element w sekcji redundantnego kanału
funkcjonalnego; część kanału funkcjonalnego w podsystemach kategorii 3 lub 4.
Komponent w części nieredundantnego kanału funkcjonalnego; część kanału
funkcjonalnego w podsystemie kategorii B, 1 lub 2.
Łańcuch komponentów przesyłający sygnał rozłączenia „testującego” (nie mylić ze
ścieżką sygnałową, po której sygnały testowe są wymieniane pomiędzy blokami
testującymi i testowanymi w celu wykrycia niebezpiecznej awarii).
Przesyła wynik testu, w wyniku którego wykryto niebezpieczną awarię bloku
funkcyjnego, z bloku testowego do bloku funkcyjnego znajdującego się dalej lub
do dodatkowego bloku rozłączającego, w wyniku czego funkcja bezpieczeństwa
zostaje pomyślnie zakończona lub zostaje wprowadzony stan bezpieczny o.
Jednostka sprzętowa do diagnostyki:
Element testujący jeden lub więcej bloków funkcyjnych i generujący sygnał rozłączenia
„Testujący”, gdy wykryje w nich niebezpieczną awarię; lub blok nadawczy lub
blokujący w kanale
testowym. Przerwanie obwodu prowadzi do stanu bezpiecznego.
- 24 -
Machine Translated by Google

Załącznik B Skróty z EN ISO 13849 1

Załącznik B: Skróty z EN ISO 13849-1

Skrót Jednostka Nazwa Komentarz

SRP/CS -
Część sterowania związana z bezpieczeństwem
System

MTTFd Rok, A Średni czas do niebezpiecznej awarii Jakość komponentu

DC % Zasięg diagnostyczny Jakość testu (blok, element)

DCśr % Średni zasięg diagnostyczny Jakość testu (podsystem)

CCF - Awaria z wspólnej przyczyny Jednoczesna awaria kanałów

redundantnych

PFH 1/godz
Prawdopodobieństwo niebezpiecznej awarii Prawdopodobieństwo niepowodzenia

na godzinę

PL - Poziom wydajności Rzeczywista wartość bezpieczeństwa

funkcjonalnego

PLr -
Wymagany poziom wydajności Określona wartość bezpieczeństwa
funkcjonalnego

Kot. -
Kategoria

TM Rok, A Czas misji Żywotność

B10d Cykle Liczba cykli, aż 10% komponentów Jakość komponentu (element

ulegnie niebezpiecznej awarii pierścienia ścieralnego)

T10d Rok, A Średni czas do wystąpienia niebezpiecznej awarii Dopuszczalny czas pracy
10% komponentów (element ulegający zużyciu)

nie Cykle/a liczba operacji (średnia Częstotliwość robocza

rocznie)

SYSTEMOWA Książka kucharska (wersja 1.0) - 25 -

Machine Translated by Google

Załącznik C Model formularza dla aplikacji użytkownika

Załącznik C: Wzór formularza wniosków użytkownika

Definicja funkcji bezpieczeństwa:

Poruszające wydarzenie:

______________________________________________________
______________________________________________________

Odpowiedź:

______________________________________________________
______________________________________________________

Stan bezpieczny:

______________________________________________________
______________________________________________________

Schemat ideowy z wpisami dla kanałów funkcjonalnych i testowych:

W załączniku

Schemat blokowy związany z bezpieczeństwem pierwszego kanału funkcjonalnego, w stosownych

przypadkach z dodaniem komponentów w drugim kanale funkcjonalnym lub w kanale testowym:

Ostateczny schemat blokowy związany z bezpieczeństwem, w stosownych przypadkach, po zgrupowaniu

podsystemów tej samej kategorii:

SYSTEMOWA Książka kucharska (wersja 1.0) - 26 -

Machine Translated by Google

Załącznik D Tabela schematów

Załącznik D: Tabela schematyczna

Tablica schematyczna jest alternatywną metodą analizy konstrukcji zgodnie z rysunkiem 5. Wszystkie
elementy pokazane na schemacie schematycznym są wprowadzane do tabeli zgodnie z metodą opisaną w
rozdziale 3. Tabela 4 pokazuje możliwe kombinacje i wynikające z nich struktura (możliwa kategoria) i
prezentacja na schemacie blokowym związanym z bezpieczeństwem; Tabela 5 została uzupełniona dla
przykładu w Rozdziale 3, a Tabela 6 zawiera pusty formularz dla przykładów użytkownika.

Tabela 4: Sformalizowana tabela schematyczna do analizy konstrukcji zgodnie z rozdziałem 3 (etapy określone w rozdziale 3
zaznaczono na czerwono)

Komponenty w pierwszym (1) X1 (2) X2(2a) X3 (2a) X4 (2a)

kanale funkcjonalnym

Czy kategoria jest

podana przez
Tak
producenta komponentu
(3)?

Nadmiarowe
X5 (, X6) (4a)
komponenty (4)

Komponent(y) w kanale
testowym (wykrywanie
X7 (, X8) (5a)
usterek i odłączanie)

(5)

B do 4

Podsystem 2
Możliwa kategoria B lub 1 (6) 3 lub 4 (4b)
hermetyzowany

Prezentacja bloku

Podczas analizy konstrukcji pomocne może być wyobrażenie sobie kroków 3, 4 i 5 w następujący sposób: co
się stanie, gdy komponent zostanie uderzony „młotem probierczym”, tj. zostanie wywołana usterka komponentu?

(3) Czy konstrukcja wewnętrzna spełnia funkcję (bezpieczeństwa)?

(4) Czy SF zostaje zachowany ze względu na nadmiarowy projekt SF obejmujący inne komponenty?

(5) Czy usterka podzespołu została wykryta na czas i zapewniony został bezpieczny stan?

SYSTEMOWA Książka kucharska (wersja 1.0) - 27 -

Machine Translated by Google

Załącznik D Tabela schematów

Tabela 5: Tabela uzupełniona dla przykładu w Rozdziale 3

Komponenty w pierwszym
B1 Pytanie 2
kanale funkcjonalnym

Czy kategoria jest podana

przez producenta
komponentu?

Nadmiarowe komponenty
B2 K1, Q1

Komponent(y) w kanale
testowym (wykrywanie
usterek i odłączanie) Schemat blokowy
(podsumowanie): (8)

Możliwa kategoria 3 lub 4 3 lub 4

B1 Pytanie 2

Prezentacja bloku
B2 K1 Q1

Tabela 6: Formularz z przykładami użytkownika

Komponenty w pierwszym
kanale funkcjonalnym

Czy kategoria jest

podana przez
producenta komponentu
(3)?

Nadmiarowe komponenty
(4)

Komponent(y) w kanale
testowym (wykrywanie
usterek i odłączanie)

(5)

Możliwa kategoria

Prezentacja bloku

SYSTEMOWA Książka kucharska (wersja 1.0) - 28 -

Machine Translated by Google

Załącznik E Schemat blokowy analizy konstrukcji (bez przykładu)

Załącznik E: Schemat blokowy analizy konstrukcji (bez przykładu)

SYSTEMOWA Książka kucharska (wersja 1.0) - 29 -