Любой, у кого когда-либо было спущенное колесо, знает, насколько это может быть неудобно. Прежде всего, когда находишься на пути в отпуск, на важную встречу или если это произойдет на малопроезжей дороге. Чтобы в таких случаях хотя бы ограниченное время иметь возможность продолжить движение, шинная промышленность предлагает шины Runflat, с помощью которых хоть на пониженной скорости, но можно доехать до ближайшего автосервиса.
В какой степени эта концепция может быть перенесена на концепции автоматизированного производства, особенно в области систем безопасности?
Безопасное состояние
Согласно современным концепциям безопасности при возникновении имеющей отношение к безопасности неисправности, как правило, требуется создать безопасное состояние как можно быстрее, хотя многие функции обеспечения безопасности имеют резервное исполнение и рассчитаны на более высокий уровень полноты безопасности (SIL) или уровень эффективности защиты (PL).
Пример: при распознавании перекрестного замыкания между двумя каналами в сигнальной цепи кнопки аварийного останова происходит немедленное отключение опасных движений.
Поэтому рабочая группа ZVEI, различные компании-участники и институт поставили такой вопрос, до какой степени допустимо, с точки зрения нормативной базы, ограниченное во времени продолжение использования системы автоматизации в случае возникновения критической для безопасности неисправности.
Режим работы машины с ухудшенными характеристиками
В технологическом оборудовании можно завершить определенные этапы производства, содержащие критические параметры процесса, в зависимости от индикации при возникновении неисправности и отображаемого статуса «режима с ухудшенными характеристиками». Не позднее окончания максимально допустимого интервала работы в «состоянии с ухудшенными характеристиками» принимающее решение лицо должно создать безопасное состояние.
В рамках анализа типов неисправностей и их последствий различают между двумя видами неисправностей. При недопустимых неисправностях не возможно гарантировать безопасное продолжение работы и незамедлительно должен быть выполнен останов. Допустимые неисправности позволяют продолжать работу в течение ограниченного времени, при условии, например, что вторая независимая цепь отключения может корректно выполнять функцию обеспечения безопасности.
Расчет вероятности отказа
Соответствующие стандарты EN ISO 13849 и МЭК 62061 не содержат требований относительно незамедлительных или непосредственных действий в случае появления неисправности. Кроме этого, модели расчета вероятности отказа (PFHd) допускают необходимую свободу действий, поскольку вероятность отказа при наличии резервной архитектуры вначале остается на низком уровне и возрастает только по истечению определенного времени. В зависимости от оценки рисков и качества применяемых для устранения неисправности мер, принимающее решение лицо может установить время не более одной недели до отключения. Альтернативный метод расчета на основе EN 62061 определяет интервал диагностических проверок, который на практике также составляет практически ничтожную долю PFHd.
Однако оба подхода к расчетам предполагают, что реализация функции обеспечения безопасности имеет достаточный резерв в отношении резерва отключения и что были приняты во внимание требования, относящиеся к отказу по общей причине (Common Cause Failure).
Количественное изменение риска
Дополнительные меры безопасности
Другой подход предполагает идею, что принимающее решение лицо в случае неисправности активирует альтернативные или дополнительные механизмы обеспечения безопасности. Так принимающее решение лицо при контроле ограничения скоростей в системе приводов (SLS согласно EN 61800-5-2) в случае неисправности может определить, что допустима эксплуатация только с ограниченной скоростью. Благодаря ограничению скорости снижается необходимый уровень эффективности защиты с PL d до PL c. Конкретные области применения возникают в случае транспортных систем без водителя (AGV), в которых управление направляющим устройством при помощи размера поля лазерного сканера реализовано в зависимости от скорости передвижения.
Перспектива
Авторы опубликованного ZVEI доклада делают вывод о том, что оценка описанных мер соответствует защитным целям директивы по машинному оборудованию и не противоречит гармонизированным стандартам EN ISO 13849 или EN 62061.
Решающим фактором для положительного решения станет возможность измерения пользы от эксплуатации в режиме с ухудшенными характеристиками. Прежде всего, с учетом увеличения степени сетевой интеграции особое значение приобретает возможность диагностики отдельных компонентов в части готовности оборудования.
Активная система обратной связи о неисправностях в перерабатывающей промышленности
То, что в машиностроении кажется еще будущим, в перерабатывающей промышленности уже стало реальностью. Так безопасные модули сопряжения серии PSRmini оснащены активной системой обратной связи о неисправностях, которая дает возможность вышестоящему контроллеру безопасности SIS (Safety Instrumented System) проводить анализ безопасности. Это происходит без необходимости обратного считывания НЗ контактов цифровыми входами. Активная система обратной связи о неисправностях реле сопряжения вызывает рассогласование полного сопротивления безопасного цифрового выхода. Таким образом решение о продолжении работы или о запуске альтернативных реакций на неисправность принимается центральным процессором системы безопасности (SIS).