Допустима похибка

Експлуатаційна готовність машин під час роботи в погіршеному стані

У разі виникнення пов’язаної із безпекою несправності сучасні концепції безпеки в багатьох ситуаціях максимально швидко переводять систему в безпечний стан. Це відбувається попри те, що більшість функцій безпеки розраховані на вищий рівень повноти безпеки чи рівень ефективності захисту та мають відповідний резерв.

Чи можна продовжувати експлуатацію системи автоматизації, незважаючи на помилки, критичні для безпеки? Що в такому разі слід брати до уваги?

Дізнайтеся більше!
Шина на автомобілі крупним планом

Хто хоч раз пробивав колесо на автомобілі, той знає, наскільки це може бути неприємно. Особливо, коли саме їдеш у відпустку чи на важливу зустріч або вночі на безлюдній польовій дорозі. Щоб у таких ситуаціях можна було продовжувати рух принаймні протягом обмеженого часу, у шинній промисловості розробили безпечні шини RunFlat, за допомогою яких можна доїхати до найближчої майстерні в місці призначення на зменшеній швидкості.

Якою мірою можна перенести цю концепцію на автоматизоване виробництво, зокрема у сфері технологій безпеки?

Безпечний стан

Коли пов’язана з безпекою помилка виникає за сьогоднішньої концепції безпеки, то як правило безпечний стан запроваджується якомога раніше, хоча більшість функцій безпеки розраховані на вищий рівень повноти безпеки чи рівень ефективності захисту та мають відповідний резерв.
Приклад: у разі перехресного замикання між двома каналами в ланцюгу датчика кнопки аварійної зупинки виконується безпосереднє вимкнення небезпечних рухів.

Тому робоча група ZVEI у співпраці з різними компаніями-членами й одним інститутом розглянула питання про те, наскільки допустиме з нормативного погляду продовження експлуатації системи автоматизації з критичним для безпеки збоєм протягом обмеженого періоду часу.

Експлуатація машини в погіршеному стані

На виробничих установках певні виробничі процеси з критичними технологічними параметрами можна виконати до кінця, залежно від індикації під час виникнення помилки та відображеного статусу «погіршеного стану». До завершення максимального дозволеного часу роботи в «погіршеному стані» особа, що ухвалює рішення, має перевести систему в безпечний стан.

Під час аналізу типу несправності та можливих наслідків потрібно також розрізняти два типи помилок. У разі неприпустимих помилок безпечне продовження роботи неможливе, тому систему треба негайно зупинити. Припустимі помилки дають змогу продовжити роботу протягом обмеженого часу за умови, що, наприклад, другий незалежний шлях відключення може правильно виконати функцію безпеки.

Розрахунок імовірності відмови

Відповідні стандарти EN ISO 13849 і IEC 62061 не містять жодних вимог щодо негайної чи безпосередньої реакції на помилку в разі її виникнення. Крім того, моделі для розрахунку ймовірності відмови (середня ймовірність небезпечної відмови на годину — PFHd) також дають необхідну свободу дій, оскільки ймовірність небезпечної відмови в системах із архітектурою резервування спочатку залишається на низькому рівні й лише з часом починає зростати. Залежно від оцінки ризику та якості заходів, яких уживають для усунення несправності, період до вимкнення системи особою, що ухвалює рішення, може бути встановлений в межах щонайбільше одного тижня. Альтернативний метод розрахунку, на якому базується стандарт EN 62061, визначає інтервал діагностичних перевірок, який також незначною мірою підвищує середню ймовірність небезпечної відмови на годину PFHd.

Проте обом підходам до розрахунків передує той факт, що реалізація функції безпеки має достатній резерв на випадок відмови й було взято до уваги вимоги щодо відмов зі спільної причини (Common cause failure).

Графік: розрахунок імовірності відмови машини

Якісне зростання ризику

Додаткові заходи безпеки

Інший підхід полягає в тому, що особа, яка ухвалює рішення, у разі виникнення помилки активує альтернативні чи додаткові механізми безпеки. Наприклад, якщо йдеться про моніторинг граничних значень безпечної швидкості у приводній системі (SLS відповідно до EN 61800-5-2) особа, яка ухвалює рішення, може у разі виникнення несправності дозволити експлуатацію лише зі зниженою швидкістю. Обмеження швидкості знижує необхідний рівень зменшення ризику з рівня ефективності захисту PL d до PL c. Існують також конкретні сфери застосування для безпілотних систем транспортування (FTS), у яких керування маршрутом здійснюється шляхом визначення розміру захисного поля лазерного сканера залежно від швидкості.

Перспектива

Автори опублікованого ZVEI технічного документа дійшли висновку, що оцінка описаних заходів відповідає цілям Директиви з машинного обладнання і не суперечить гармонізованим стандартам EN ISO 13849/EN 62061.

Вирішальним чинником для прийняття стане те, чи можна буде виміряти вигоду від можливості роботи в погіршеному стані. Можливість діагностування окремих компонентів з точки зору експлуатаційної готовності обладнання має особливо вагоме значення, зокрема через зростання мережевої взаємодії.

Переробна промисловість

Активна система зворотного зв’язку щодо помилок у переробній промисловості

Те, про що в машинобудуванні досі лише мріють, вже стало стандартом у багатьох напрямках переробної промисловості. Наприклад, безпечні модулі зв’язку лінійки PSRmini обладнані активною системою зворотного зв’язку щодо помилок, завдяки чому контролер безпеки SIS (Safety Instrumented System) вищого рівня може виконати оцінку безпеки. Для цього не потрібні цифрові входи для зворотного зчитування стану нормально замкнених контактів. Завдяки активному зворотному зв’язку реле сполучення відбувається розузгодження імпедансу безпечного дискретного виходу. Таким чином, рішення щодо продовження роботи або ініціації альтернативних реакцій на помилки залишається в центральному процесорі системи безпеки (SIS).