Professional Documents
Culture Documents
Sistema Cookbook1 End
Sistema Cookbook1 End
Sistema Cookbook1 End
Od schematu elektrycznego do
Poziom wydajności – kwantyfikacja funkcji bezpieczeństwa
za pomocą SISTEMA
Autor: Ralf Apfeld, Michael Hauke, Michael Schaefer, Paul Rempel, Björn
Ostermana
Instytut Bezpieczeństwa i Higieny Pracy DGUV (IFA),
Święty Augustyn
– październik 2010 –
Machine Translated by Google
Zawartość
1 Wstęp
1 Wstęp
W tym celu IFA udostępnia narzędzie programowe SISTEMA (niemiecki akronim oznacza
„bezpieczeństwo kontroli maszyn”), które można pobrać bezpłatnie ze strony www.dguv.de/ifa, Kod
internetowy e34183.
Przed rozpoczęciem obliczeń inżynier projektujący maszynę musi sporządzić schemat blokowy
związany z bezpieczeństwem dla każdej funkcji bezpieczeństwa na podstawie schematu obwodu. Schemat
blokowy związany z bezpieczeństwem musi przedstawiać realizację funkcji bezpieczeństwa w kanałach
funkcjonalnych (w tym kanałach redundantnych, jeśli występują) i komponentach testujących, również jeśli są obecne.
Książka kucharska SISTEMA 1 opisuje ten nieznany i trudny etap abstrakcji (rysunek 1) oraz kolejny etap, polegający na
przeniesieniu bloków do SISTEMA i wprowadzeniu ich parametrów.
1 Wstęp
Rysunek 1:
Schemat blokowy od funkcji bezpieczeństwa do poziomu wydajności; cztery kroki z szarym tłem zostały szczegółowo opisane w
niniejszej instrukcji.
Przykład 1 (Rysunek 2) przedstawia implementację funkcji bezpieczeństwa dla „otwarcie ruchomej osłony inicjuje
funkcję bezpieczeństwa bezpiecznego wyłączenia momentu (STO)”. Wszystkie inne komponenty, które mają
wyłącznie charakter funkcjonalny i nie mają wpływu na funkcję bezpieczeństwa, zostały już pominięte.
Rysunek 2:
Schemat obwodu przedstawiający odpowiednie komponenty (Przykład 1); patrz Raport BGIA 2/2008e, rozdział 8.2.18
Rysunek 3:
Schemat ideowy obwodu z dwoma redundantnymi kanałami funkcjonalnymi, B1-Q2 i B2-K1-Q1 (Przykład 1)
Rysunek 4:
Przykład 2 z zaznaczonym kanałem funkcjonalnym B0 – T1 – G1 i kanałem testowym z dedykowanym urządzeniem rozłączającym
G2 – K1 – Q1
Rozdział 3 wyjaśnia, w jaki sposób schematyczny diagram obwodu jest przekształcany w schemat blokowy związany
z bezpieczeństwem.
W następnym kroku schemat ideowy każdej funkcji bezpieczeństwa jest przekształcany w logiczną reprezentację schematu
blokowego związanego z bezpieczeństwem. W trakcie transformacji elementy schematu są przypisywane do „podsystemów”, za
pomocą których modelowana jest funkcja bezpieczeństwa w SISTEMA.
W prezentacji w formie schematu blokowego związanego z bezpieczeństwem istotne są raczej wzajemne powiązania
logiczne niż fizyczne połączenia pomiędzy komponentami. Każdy element funkcji bezpieczeństwa jest częścią składową
określonej konstrukcji. Struktura ta nazywana jest „kategorią” w normie EN ISO 13849-1 i jest zgrupowana w ramach SISTEMA
jako podsystem. Sekwencje podsystemów wraz z odpowiadającymi im kategoriami są reprezentowane przez funkcję
bezpieczeństwa w formie schematu blokowego związanego z bezpieczeństwem. Kolejność podsystemów nie ma wpływu na
późniejsze obliczenie prawdopodobieństwa awarii.
Kategorie zgodne z EN ISO 13849-1, ich cechy charakterystyczne i typowe przedstawienie przedstawiono w tabeli 1.
Podsystemy kapsułkowane stanowią szczególny przypadek. Podsystemy hermetyczne to komponenty, dla których
producent sam określa PL, PFH i kategorię (np. PLC bezpieczeństwa, moduły bezpieczeństwa); patrz tabela 2.
Uwaga: Układy komponentów inne niż te nie są zgodne z architekturą określoną w normie EN ISO 13849-1 i nie mogą
być analizowane przez SISTEMA.
Podczas analizy strukturalnej elementy schematu obwodu są przenoszone na schemat blokowy związany z
bezpieczeństwem, a kategoria jest określana na podstawie charakterystyki redundancji, testowania i stosowania
sprawdzonych komponentów.
Uwaga: Ta sekcja dotyczy jedynie określenia konstrukcji. Dodatkowe wymagania poza tym mają zastosowanie do wszystkich
kategorii: na przykład komponenty muszą być zaprojektowane, wyprodukowane, wybrane, zmontowane
i połączone zgodnie z odpowiednimi normami w taki sposób, aby były w stanie wytrzymać przewidywane
warunki otoczenia. Należy stosować podstawowe zasady bezpieczeństwa. W kategoriach 1, 2, 3 i 4 należy
również stosować sprawdzone zasady bezpieczeństwa. Informacje na temat tych aspektów można znaleźć w
normie EN ISO 13849-2. Wymagania ilościowe, których przestrzeganie sprawdza SISTEMA, dotyczą również
Kategorii.
Opisana tutaj procedura jest dostosowana do zastosowania normy EN ISO 13849-1 i jej „wyznaczonych architektur” dla
kategorii. Jeżeli zamodelowanie do jednej z kategorii nie jest możliwe, nawet przy pominięciu dodatkowych elementów
lub kanałów, nie można zastosować metody uproszczonej opisanej w normie. W takim przypadku prawdopodobieństwo
awarii należy zweryfikować za pomocą innych metod, takich jak modelowanie Markowa, jak opisano w EN 61508-6,
załącznik B.
Punktem wyjścia analizy strukturalnej jest schemat ideowy, na którym zaznaczone są funkcje i kanały testowe.
Procedurę przedstawiono schematycznie w załączniku E.
Rysunek 5 przedstawia tę samą procedurę wraz z jej zastosowaniem do przykładów 1 i 2 pokazanych w
rozdziale 2.
Każdy indywidualny blok pierwszego kanału funkcjonalnego jest teraz przypisany kolejno do podsystemów
odpowiedniej Kategorii, zgodnie z charakterystycznymi cechami Kategorii.
Zamknięty podsystem można rozpoznać jako taki po tym, że jest już scharakteryzowany przez producenta za pomocą
PL (lub SIL zgodnie z normami IEC), PFH i kategorii (struktura wewnętrzna). Wewnętrzna struktura zamkniętego
podsystemu nie wymaga dalszej dekonstrukcji.
Uwaga: Jeżeli hermetyzowany podsystem kategorii 3 lub 4 zajmuje oba redundantne kanały funkcjonalne, oba
kanały funkcjonalne przechodzą przez niego.
Po kolei rozpatrywane są wszystkie zakładane uszkodzenia elementu w analizowanym bloku. W tym celu załącznik
do normy EN ISO 13849-2 zawiera modele usterek szeregu elementów stosowanych w sterownikach maszyn.
Dzięki uzasadnionym wykluczeniom usterek możliwe jest dyskontowanie usterek niektórych podzespołów. W
przypadku każdego przypadku usterki należy rozważyć, czy zamierzona funkcjonalność komponentu związana
z bezpieczeństwem zostanie zachowana (usterka nieszkodliwa), czy też ulegnie awarii (usterka niebezpieczna).
Niebezpieczna usterka występuje na przykład w przypadku stycznika Q2 w przykładzie 1 (rysunek 3), gdy
drzwi bezpieczeństwa są otwarte, ale stycznik Q2 nie wypada, ponieważ jego styki są zespawane.
Jeżeli nie trzeba zakładać żadnych niebezpiecznych uszkodzeń komponentu, nie istnieje żadna wartość do
obliczenia PFH funkcji bezpieczeństwa. Nie ma potrzeby uwzględniania tego na schemacie blokowym
związanym z bezpieczeństwem. Dalsza prezentacja funkcji bezpieczeństwa może być jednak konstruktywna,
ponieważ może sprzyjać jej zrozumieniu. W tym przypadku blok traktowany jest jako zamknięty podsystem (w
SISTEMA zostaje następnie zaznaczona opcja „wykluczenie błędów” i dalsze wpisy nie są wymagane).
W kroku 4 określa się niebezpieczne usterki, które należy uwzględnić w elemencie analizowanego bloku.
Obecnie rozważany jest ich wpływ na funkcję bezpieczeństwa.
Jeżeli funkcja bezpieczeństwa jest utrzymywana przez jeden lub więcej redundantnych komponentów w przypadku
uszkodzenia analizowanego bloku (tj. występuje drugi kanał funkcjonalny), komponenty te są prezentowane jako bloki
w drugim kanale funkcjonalnym (patrz przykład w Tabeli 1: Kategorie 3 i 4).
W przykładzie 1 (rysunek 3) dotyczy to zarówno B1, jak i Q2. Dlatego do obu bloków dodano redundantny kanał
funkcjonalny B2-K1-Q1.
Jeżeli wprowadzono zbędne komponenty, spełnione zostało główne kryterium podstawowe dla kategorii 3 i 4. Pojedynczy
błąd w elemencie pierwszego lub drugiego kanału funkcjonalnego nie może powodować utraty funkcji bezpieczeństwa
(tolerancja pojedynczego błędu).
Uwaga: Ponadto kategoria 3 wymaga, aby tam, gdzie jest to racjonalnie możliwe, występowały pojedyncze usterki
w komponentach w obrębie dwóch kanałów funkcjonalnych.
Krok 5b: Czy funkcja bezpieczeństwa jest zachowana w przypadku kumulacji niewykrytych usterek?
Dla analizowanego tutaj bloku i jego redundantnego kanału funkcjonalnego, do tego momentu zidentyfikowano tolerancję
pojedynczego błędu i kategoria 3 została spełniona. Czy kryteria kategorii 4 są również spełnione? W tym celu należy
zbadać zachowanie w przypadku wystąpienia niewykrytych usterek. Jeżeli funkcja bezpieczeństwa zostaje zachowana w
przypadku kumulacji dwóch niewykrytych usterek, podsystem spełnia kategorię 4. Jeżeli funkcja bezpieczeństwa nie
jest zachowana przy drugim niewykrytym uszkodzeniu, podsystem spełnia kategorię 3.
W przykładzie 1 (rysunek 3) sterownik PLC K1 może w sposób ciągły uruchamiać wyjścia O1.0 i O1.1 w przypadku
błędu. W tym przypadku Q1 będzie stale zasilany energią. Nawet gdyby sterownik PLC był w stanie wykryć tę usterkę
poprzez odczytanie styków monitorujących, nie byłby w stanie doprowadzić do stanu bezpiecznego. Jeżeli druga
usterka spowoduje zespawanie styków Q2, silnik będzie nadal pracował nawet przy otwartych urządzeniach ochronnych;
funkcja bezpieczeństwa uległa awarii i kategoria 4 nie została spełniona.
Uwaga: W kategorii 4 musi być spełniona tolerancja pojedynczego błędu, a błąd dyskretny w połączeniu
Element w pierwszym lub drugim kanale funkcjonalnym musi zostać wykryty w momencie lub przed następnym
żądaniem funkcji bezpieczeństwa. Jeżeli wykrycie w ten sposób nie jest możliwe, kumulacja dwóch niewykrytych
usterek nie może prowadzić do utraty funkcji bezpieczeństwa.
W tym momencie jasne jest, że nie ma miejsca redundancja i w związku z tym ani kategoria 3, ani kategoria 4 nie są
spełnione. Jeżeli kanał testowy wykryje awarię bloku w kanale testowym i wprowadzony zostanie stan bezpieczny,
podsystem spełnia kategorię 2.
W przykładzie 2 (rysunek 4) zadziałanie B0 powoduje kontrolowane zatrzymanie silnika przez T1/G1 w ciągu 1/3
obrotu. Testowanie jest odpowiedzią na żądanie K1 spowodowane ręcznym uruchomieniem B0 i pomiarem kąta
hamowania przez K1/G2. W przypadku zakłócenia stan bezpieczny zostaje wywołany poprzez Q1. Test wykrywa błędy w
B0 i T1/G1. Kanał testowy G2-
W ten sposób K1-Q1 wykrywa błędy w B0 i T1/G1 i wprowadza stan bezpieczny; Kategoria 2 jest zatem spełniona.
Uwaga: Rozsądne wykrywanie usterek jest również wymagane w przypadku kategorii 3 i 4. I odwrotnie, podsystemom
kategorii 2 brakuje redundantnego kanału funkcjonalnego.
Elementy kanału testowego, które wykrywają awarię bloku i wprowadzają stan bezpieczny, są prezentowane na
schemacie blokowym związanym z bezpieczeństwem jako bloki testowe, jak pokazano w tabeli 1
(kategoria 2)
Jeśli komponenty zostaną wprowadzone do kanału testowego, spełnione zostanie główne kryterium podstawowe
dla kategorii 2: funkcja bezpieczeństwa musi być testowana w odpowiednich odstępach czasu. Powoduje to
wykrycie utraty funkcji bezpieczeństwa i wprowadzenie stanu bezpiecznego przez niezależne urządzenie rozłączające.
Kolejnym ważnym wymaganiem dla kategorii 2 jest częstotliwość testów (patrz raport BGIA 2/2008e, rozdział 6.25).
Nie ma to jednak znaczenia dla analizy strukturalnej.
W przykładzie nie znaleziono nadmiarowości ani testów. Dlatego możliwa jest tylko kategoria 1 lub kategoria B.
Jeżeli komponent analizowanego bloku jest „wypróbowanym” komponentem zgodnym z normą EN ISO 13849, blok
jest przedstawiany jako część podsystemu kategorii 1. Listę sprawdzonych komponentów można znaleźć w normie
EN ISO 13849-2. Jeżeli nie, blok jest częścią podsystemu kategorii B.
Jeśli po przypisaniu bloku do podsystemu dalsze bloki nadal oczekują na analizę, procedurę na schemacie powtarza
się z kolejnym blokiem, zaczynając od kroku 2a. W przeciwnym razie procedura jest kontynuowana w kroku 9.
Podsystemy tej samej kategorii można łączyć poprzez grupowanie elementów identycznych kanałów (patrz Raport
BGIA 2/2008, rysunek 6.14). Każdy komponent występuje tylko raz w kanale; duplikaty można usunąć. Oczywiste jest,
że ten sam komponent nie może być używany jednocześnie w dwóch redundantnych kanałach funkcjonalnych. W
kategorii 2 w kanale funkcjonalnym można grupować wyłącznie komponenty korzystające z tego samego kanału
testowego.
Ponieważ SISTEMA ogranicza wartości MTTFd każdego kanału w obrębie podsystemów (capping), grupowanie
może skutkować niższym obliczanym prawdopodobieństwem wystąpienia niebezpiecznej awarii na godzinę.
Niższe prawdopodobieństwo awarii (PFH) jest zaletą. Wadą jest jednak to, że zgrupowana reprezentacja często
utrudnia śledzenie logicznej sekwencji przetwarzania sygnału.
Funkcja bezpieczeństwa jest teraz przedstawiona logicznie na schemacie blokowym związanym z bezpieczeństwem.
W następnym rozdziale obliczane jest prawdopodobieństwo awarii (PFH) za pomocą SISTEMA.
4 Przejazd do SISTEMY
4 Przeniesienie do SISTEMA
Narzędzie programowe SISTEMA wykorzystuje wiele poziomów hierarchicznych (rysunek 6).
Poszczególne poziomy wyjaśniono w Tabeli 3.
oświadczeniem producenta
dotyczącym PL, PFH i kategorii
(podsystem zamknięty)
4 Przejazd do SISTEMY
Kanał funkcjonalny 2
Kanał testowy
PLC bezpieczeństwa
Element Blok zawiera jeden lub więcej Styczniki, przełączniki pozycyjne, podzespoły
elementów. Wartość B10d (patrz elektromechaniczne, wszystkie podzespoły z
załącznik B) można wprowadzić tylko oznaczeniem producenta
dla elementów. Wartość B10d
Uwaga: Wskazane jest takie dobranie kolejności wpisów, aby zakładki w obszarze roboczym były przeglądane od lewej
do prawej, a poziomy hierarchii (widok drzewa w oknie nawigacji) od góry do dołu.
Wszystkie funkcje bezpieczeństwa maszyny lub maszyny podrzędnej można pogrupować w ramach projektu (Rysunek 7).
Po utworzeniu nowego projektu za pomocą opcji „Nowy” (1.) wprowadź nazwę w oknie dialogowym „Nazwa projektu” (3.).
Nazwa pojawia się wówczas także w oknie nawigacyjnym po skrócie PR (2.).
1.
2.
3.
Rysunek 7
4 Przejazd do SISTEMY
Utwórz wymagane funkcje bezpieczeństwa za pomocą „Nowy” (3.) w zakładce „Funkcja bezpieczeństwa” (2.)
(Cyfra 8). W oknie nawigacyjnym pojawia się także „Nazwa funkcji bezpieczeństwa” po skrócie SF (patrz Rysunek 9; 1.).
1. 2.
3.
Cyfra 8
Wymagany poziom zapewnienia bezpieczeństwa PLr ustalany jest indywidualnie dla każdej funkcji bezpieczeństwa (1.)
(Rysunek 9). W tym celu należy skorzystać z wykresu ryzyka (3.) w punkcie „Funkcja bezpieczeństwa – PLr” (2.) lub
wprowadzić bezpośrednio PLr, np. gdy jest to określone w normie specyficznej dla maszyny.
1. 2.
3.
Rysunek 9
4 Przejazd do SISTEMY
1. 2.
3.
Rysunek 10
Dane producentów dotyczące PL, PFH i kategorii są dostępne dla systemów hermetyzowanych.
Wprowadź je (4.) bezpośrednio pod podsystemem (1.) w zakładce „PL” (2.) po wybraniu opcji „Wprowadź PL / PFH
bezpośrednio” (3.) (Rysunek 11). Kategorię można wprowadzić w kolejnej zakładce „Kategoria”.
Ponieważ PL i PFH są dostępne dla tego podsystemu, nie jest konieczne wprowadzanie kategorii do obliczenia PFH
funkcji bezpieczeństwa jako całości.
Uwaga: Jeśli pole (4.) jest zaznaczone, PL i PFH są obliczane od siebie za pomocą wartości średnich.
Wykluczenie usterek:
2.
1.
3. 4.
Rysunek 11
W podsystemie (1.) wybierz „Określ PL / PFH na podstawie kategorii, MTTFd i DCavg” w „PL” (2.) (Rysunek 12).
2.
1.
3.
Rysunek 12
Następnie:
a) W podsystemie (1.) w obszarze „Kategoria” (2.) (Rysunek 13) wybierz odpowiednią kategorię i
ocenić „Wymagania kategorii”.
4 Przejazd do SISTEMY
2.
1.
Rysunek 13
b) Wprowadź wartość MTTFd bezpośrednio w podsystemie (1.) w polu „MTTFd” (2.) lub wybierz
opcję „Ustal wartość MTTFd z bloków” (3.) (Rysunek 14).
2.
1.
3.
Rysunek 14
c) Wprowadź wartość DCavg bezpośrednio w podsystemie (1.) w polu „DCavg” (2.) lub wybierz opcję
„Określ wartość DCavg z bloków” (3.) (Rysunek 15).
2.
1.
3. Rysunek 15
d) Dla każdego podsystemu dwukanałowego należy rozważyć awarie, które mogą powodować oba
kanały zawodzą z tego samego powodu (CCF). Spośród nich dotyczy to Kategorii 2 (kanał
funkcjonalny i kanał testowy) oraz Kategorii 3 i 4 (w każdym przypadku dwa kanały funkcjonalne).
Wpisu dokonuje się w podsystemie (1.) w pozycji „CCF” (2.) poprzez wybór działań, które należy
podjąć (Rysunek 16). Należy uzyskać co najmniej 65 punktów. Liczbę osiągniętych punktów można
wprowadzić bezpośrednio lub skompilować za pomocą biblioteki miar (3. i 4.).
2.
1.
3.
4.
Rysunek 16
4 Przejazd do SISTEMY
Po utworzeniu podsystemów konieczna jest dalsza specyfikacja (wyjątek: 4.5 Podsystemy zamknięte).
Po wybraniu kategorii podsystemu SISTEMA tworzy odpowiednie kanały (CH). W „Kanale” dodawane
są bloki (BL ) odpowiadające poszczególnym elementom kanału. Jeżeli nie jest wymagany dalszy
podział bloków, procedurę można kontynuować zgodnie z punktem 4.6.3. Jeśli blok ma być dalej
podzielony na elementy (zawsze konieczne w przypadku komponentów, dla których podano B10d ),
wymagane są następujące ustawienia:
a) W bloku (1.) pod „MTTFd” (2.) wybierz „Określ wartość MTTFd na podstawie elementów” (3.)
(Rysunek 17).
2.
1. 3.
Rysunek 17
b) W bloku (1.) pod „DC” (2.) wybierz „Określ wartość DC na podstawie elementów” (3.) (Rysunek 18).
2.
1.
3.
Rysunek 18
Jeśli blok ma zostać podzielony na elementy (EL), utwórz elementy w bloku (1.) w sekcji
„Elementy” (2.) za pomocą opcji „Nowy” (3.) (Rysunek 19).
4 Przejazd do SISTEMY
2.
1.
3.
Rysunek 19
Na poziomie elementu (1.) konieczne są obliczenia z uwzględnieniem wartości B10d i liczby operacji nop, np.
w celu wyznaczenia MTTFd (2.) elementów elektromechanicznych i pneumatycznych (rysunek 20). Wybierz
opcję „Określ wartość MTTFd na podstawie wartości B10d” (3.) i „Oblicz nop” (4.), aby wprowadzić
wymagane wartości (5.).
2.
3.
4.
1.
5.
Rysunek 20
Dane związane z bezpieczeństwem wymagane do obliczenia PFH obejmują odpowiednią jakość podzespołów
(MTTFd, B10d), liczbę operacji elementów elektromechanicznych i pneumatycznych (nop) oraz zakres
diagnostyki (DC).
4.6.3.1 MTTFd/B10d
Wprowadź na poziomie bloku lub elementu (1.) w zakładce „MTTFd” (2.) (Rysunek 21).
4 Przejazd do SISTEMY
Rysunek 21
a) Dane producentów
Jeśli można wykluczyć wszystkie usterki komponentów niebezpiecznych, można je również wybrać,
wybierając opcję „ Bezpośrednie wprowadzenie wartości MTTFd”.
4.6.3.2 DC
W przypadku kategorii 2 i wyższej wymagane są środki wykrywania usterek komponentów. W bloku lub
elemencie (1.) w zakładce „DC” (2.) dla każdego komponentu wprowadzana jest wartość procentowa opisująca
zasięg diagnostyczny wykrywania usterek. Wybór „Wartości znamionowej DC poprzez wybór miar”
umożliwia dostęp do tabel DC w EN ISO 13849-1, załącznik E poprzez „Bibliotekę”
(3.). Wartości można przyjąć w niezmienionej postaci lub wykorzystać jako wytyczne. Jeżeli norma proponuje
zakres możliwych wartości DC, można wybrać konkretną wartość z tego zakresu (Rysunek 22).
2.
1.
3.
Rysunek 22
4 Przejazd do SISTEMY
Rysunek 23
Wynik obliczeń wskazany jest w lewym dolnym rogu dla wybranej funkcji bezpieczeństwa oraz
odpowiednich podsystemów, bloków i elementów (Rysunek 24). (Osiągnięty) PL funkcji
bezpieczeństwa musi być co najmniej równy (wymaganemu) PLr. Jeżeli osiągnięty poziom PL
jest niewystarczający, należy zastosować komponenty o wyższej wartości MTTFd lub wyższej wartości
B10d, poprawić wykrywanie usterek (DC) lub wdrożyć podsystemy innych kategorii.
Rysunek 24
Definicja kluczowych pojęć, o których mowa w podobny sposób w Załączniku B normy EN ISO 13849-1:
Koncepcje Definicja
Funkcja bezpieczeństwa (SF) Zorientowana na bezpieczeństwo reakcja na zdarzenie wyzwalające (wymaganie funkcji
bezpieczeństwa). W systemach redundantnych funkcja bezpieczeństwa jest realizowana
na wiele niezależnych sposobów. PL opisuje niezawodność jego wykonania.
Schemat ideowy obwodu Fragment schematu okablowania lub schematu funkcji, który wskazuje techniczne
(sprzętowe) połączenia pomiędzy częściami systemu sterowania związanymi z
bezpieczeństwem.
Schemat blokowy związany z Prezentacja logicznych powiązań pomiędzy komponentami, z których widać kanały
bezpieczeństwem funkcjonalne i testowe.
Zamknięty podsystem Element bezpieczeństwa, dla którego producent podaje już PL, PFH i kategorię. Nie
ma zatem potrzeby głębszego rozpatrywania struktury wewnętrznej.
Kanał funkcjonalny Jednostki sprzętowe połączone szeregowo; łańcuchy komponentów realizujących całą
funkcję bezpieczeństwa od czujnika do elementu wykonawczego.
Podsystemy redundantne posiadają (co najmniej) dwa niezależne kanały funkcjonalne.
Redundantny blok funkcyjny Jednostka sprzętowa połączona równolegle; element w sekcji redundantnego kanału
funkcjonalnego; część kanału funkcjonalnego w podsystemach kategorii 3 lub 4.
Nieredundantny blok funkcyjny Komponent w części nieredundantnego kanału funkcjonalnego; część kanału
funkcjonalnego w podsystemie kategorii B, 1 lub 2.
Kanał testowy Łańcuch komponentów przesyłający sygnał rozłączenia „testującego” (nie mylić ze
ścieżką sygnałową, po której sygnały testowe są wymieniane pomiędzy blokami
testującymi i testowanymi w celu wykrycia niebezpiecznej awarii).
Testowanie sygnału rozłączenia Przesyła wynik testu, w wyniku którego wykryto niebezpieczną awarię bloku
funkcyjnego, z bloku testowego do bloku funkcyjnego znajdującego się dalej lub
do dodatkowego bloku rozłączającego, w wyniku czego funkcja bezpieczeństwa
zostaje pomyślnie zakończona lub zostaje wprowadzony stan bezpieczny o.
SRP/CS -
Część sterowania związana z bezpieczeństwem
System
PFH 1/godz
Prawdopodobieństwo niebezpiecznej awarii Prawdopodobieństwo niepowodzenia
na godzinę
funkcjonalnego
PLr -
Wymagany poziom wydajności Określona wartość bezpieczeństwa
funkcjonalnego
Kot. -
Kategoria
T10d Rok, A Średni czas do wystąpienia niebezpiecznej awarii Dopuszczalny czas pracy
10% komponentów (element ulegający zużyciu)
Poruszające wydarzenie:
______________________________________________________
______________________________________________________
Odpowiedź:
______________________________________________________
______________________________________________________
Stan bezpieczny:
______________________________________________________
______________________________________________________
Tablica schematyczna jest alternatywną metodą analizy konstrukcji zgodnie z rysunkiem 5. Wszystkie
elementy pokazane na schemacie schematycznym są wprowadzane do tabeli zgodnie z metodą opisaną w
rozdziale 3. Tabela 4 pokazuje możliwe kombinacje i wynikające z nich struktura (możliwa kategoria) i
prezentacja na schemacie blokowym związanym z bezpieczeństwem; Tabela 5 została uzupełniona dla
przykładu w Rozdziale 3, a Tabela 6 zawiera pusty formularz dla przykładów użytkownika.
Tabela 4: Sformalizowana tabela schematyczna do analizy konstrukcji zgodnie z rozdziałem 3 (etapy określone w rozdziale 3
zaznaczono na czerwono)
Nadmiarowe
X5 (, X6) (4a)
komponenty (4)
Komponent(y) w kanale
testowym (wykrywanie
X7 (, X8) (5a)
usterek i odłączanie)
(5)
B do 4
Podsystem 2
Możliwa kategoria B lub 1 (6) 3 lub 4 (4b)
hermetyzowany
Prezentacja bloku
Podczas analizy konstrukcji pomocne może być wyobrażenie sobie kroków 3, 4 i 5 w następujący sposób: co
się stanie, gdy komponent zostanie uderzony „młotem probierczym”, tj. zostanie wywołana usterka komponentu?
(4) Czy SF zostaje zachowany ze względu na nadmiarowy projekt SF obejmujący inne komponenty?
(5) Czy usterka podzespołu została wykryta na czas i zapewniony został bezpieczny stan?
Komponenty w pierwszym
B1 Pytanie 2
kanale funkcjonalnym
Nadmiarowe komponenty
B2 K1, Q1
Komponent(y) w kanale
testowym (wykrywanie
usterek i odłączanie) Schemat blokowy
(podsumowanie): (8)
B1 Pytanie 2
Prezentacja bloku
B2 K1 Q1
Komponenty w pierwszym
kanale funkcjonalnym
Nadmiarowe komponenty
(4)
Komponent(y) w kanale
testowym (wykrywanie
usterek i odłączanie)
(5)
Możliwa kategoria
Prezentacja bloku