驾车出行遭遇过爆胎的驾驶员才明白当时所处境地的窘迫。特别是在度假时赶赴重要约会的途中,或是夜间偏僻的乡间小路上,情况更是糟糕。在此状况下,为了能够再行驶一段路程,轮胎行业开发了缺气保用轮胎, 可帮助汽车在到达目的地汽修站前保持低速行驶。
这一设计在多大程度上可以移植到自动化制造方案中,尤其是在安全技术领域?
安全状态
在当下安全方案中,尽管已针对更高的安全完整性等级 (SIL) 或性能等级 (PL) 设计冗余安全功能,但若出现安全相关故障,通常会尽快进入安全状态。
例如,急停按钮传感器电路的两个通道之间检测到交叉电路时,所有存在危险的移动部件都将立即关闭。
因此,__ZVEI__工作组联合各成员公司和一家研究所,探讨了从规范角度来看,在多大程度上允许有限时间内继续运行存在关键安全故障的自动化系统的问题。
降级状态下的设备运行
在过程工程工厂中,部分制造步骤可使用关键工艺参数完成,具体取决于故障发生时和“降级运行”显示状态时的指数。决策制定者将设备返回安全状态的理想时机为可使设备在“降级状态”中达到最大许可使用寿命。
在缺陷类型和影响分析方面,对两种缺陷类型进行了区分。发生__不可容忍故障__时,无法保证继续安全运行,必须立即停机。而出现__可容忍故障__时,则允许系统在有限时间内继续运行,例如第二个独立的停机路径可正确执行安全功能。
故障概率计算
相关__EN ISO 13849__和__IEC 62061__标准不包含任何故障发生后应如何立即采取措施或即时做出故障响应的信息。此外,计算故障概率 (PFHd) 的模型也为系统设计提供了必要的回旋余地,因为冗余架构的故障概率较小,且仅在系统运行一段时间后才会增加。基于故障控制方面的风险评估和质量控制措施,决策制定者可将系统从发生故障到关闭的时间最长设置到一周。构成EN 62061标准基础的替代计算法定义了诊断测试间隔,其在PFHd中几乎可忽略不计。
这两种计算方法都假定安全功能的实施包括充足裕度或故障裕度,并且考虑了对具有相同原因(共同原因故障)的故障的要求。
风险的定性进展
其他安全措施
决策制定者在发生故障时激活替代或补充安全机制的理念带来另一种可行方案。例如,监控驾驶系统安全限速时(SLS符合EN 61800-5-2),如果发生故障,决策制定者可以决定仅限低速行驶。速度限制可将缓解风险所需水平从PL d降至PL c。这可应用于自动导引车系统 (AGVS),在该系统中,通过激光扫描仪基于速度标注安全区域来监控行驶路径。
展望
ZVEI所出版白皮书的作者总结说:对所描述措施的评估与机械指令的目标保持一致,与标准EN ISO 13849和EN 62061并不矛盾。
接受故障的决定性因素是“降级运行”带来的优势能否切实量化。随着组件互联程度的提高,单个组件的诊断功能对系统可用性至关重要。
过程行业的主动故障报告
__过程行业__已经采取了诸多先进技术。例如,__PSRmini__系列__安全耦合模块__配备主动故障报告功能,允许上级SIS安全控制器(安全仪表系统)执行安全评估。执行安全评估无需数字量输入进行常闭触点回读。耦合继电器主动故障报告使安全数字量输出阻抗失谐。因此,继续运行或引入替代故障反应,仍由安全系统 (SIS) 的CPU决定。