Konstrukční hlediska

6.6.3.2 Konstrukční hlediska

Dr. Ing. Rostislav Suchánek a kolektiv autorů

Bezpečnostní cíle v konstrukci

Bezpečnostní části ovládacího systému (SRP/CS) musí být navrženy a vyrobeny tak, že je plně přihlédnuto k zásadám ISO 12100 a EN 1050 (obrázky 1 a 3). Musí být uvažováno veškeré předpokládané používání a předvídatelné nesprávné použití.

Přehled posouzení rizika/snížení rizika

Přehled procesu snížení rizika pro každou nebezpečnou situaci

Legenda

Rh	pro specifickou nebezpečnou situaci, riziko před použitím ochranných opatření,
Rr	požadované snížení rizika ochrannými opatřeními,
Ra	skutečné snížení rizika dosažené ochrannými opatřeními,
1	řešení 1 – důležitá část snížení rizika dosažená jinými ochrannými opatřeními, než jsou SRP/CS (např. mechanická opatření), malá část snížení rizika vlivem SRP/CS,
2	řešení 2 – důležitá část snížení rizika vlivem SRP/CS (např. světelnou clonou), malá část snížení rizika vlivem jiných ochranných opatření, než jsou SRP/CS (např. mechanická opatření),
3	dostatečné snížení rizika,
4	nedostatečné snížení rizika,
R	riziko,
a	zbytkové riziko získané řešeními 1 a 2,
b	dostatečně snížené riziko,
R1SPR/CS, R2SPR/CS	snížení rizika dosažené bezpečnostní funkcí pomocí SRP/CS,
R1M, R2M	snížení rizika dosažené jinými ochrannými opatřeními, než jsou SRP/CS (např. mechanická opatření).

Opakovací proces pro konstrukci bezpečnostních částí ovládacího systému (SRP/CS)

Strategie pro snížení rizika

Strategie pro snížení rizika u stroje je uvedena v ISO 12100-1:2003, kapitole 5, a další návod je uveden v ISO 12100-2:2003, kapitole 4 (opatření zabudovaná v konstrukci) a kapitole 5 (bezpečnostní ochrana a doplňková ochranná opatření). Tato strategie zahrnuje celý životní cyklus stroje.

Analýza nebezpečí a proces snížení rizika stroje vyžaduje, aby byla nebezpečí vyloučena nebo snížena použitím opatření v následujícím pořadí:

• vyloučení nebezpečí nebo snížení rizika konstrukcí;

• snížení rizika bezpečnostní ochranou a možnými doplňkovými ochrannými opatřeními;

• snížení rizika informacemi pro používání o zbytkovém riziku.

Snížení rizika ovládacím systémem

Účelem následujícího postupu celkové konstrukce stroje je dosažení bezpečnostních cílů. Konstrukce bezpečnostních částí ovládacího systému (SRP/CS) k dosažení požadovaného snížení rizika je integrální součástí celkového postupu konstrukce stroje. Bezpečnostní části ovládacího systému (SRP/CS) vykonávají bezpečnostní funkci s úrovní vlastností (PL), kterou se dosáhne požadovaného snížení rizika. Při zajištění bezpečnostní funkce, buď pomocí zabudované bezpečnostní části konstrukce, nebo pomocí ovládání bezpečnostních nebo ochranných zařízení, je konstrukce bezpečnostní části ovládacího systému (SRP/CS) součástí strategie snížení rizika. Toto je opakovací proces a je zobrazen na obrázcích 1 a 3.

Vlastnosti každé bezpečnostní funkce (viz Kategorie a jejich vztah ke střední době nebezpečné poruchy (MTTF D) každého kanálu, k průměrnému diagnostickému pokrytí (DC AVG) a k poruše se společnou příčinou (CCF)) a požadovaná úroveň vlastností musí být stanoveny a dokumentovány ve specifikaci bezpečnostních požadavků.

V této normě ISO 13849-1 jsou úrovně vlastností definovány ve formě pravděpodobnosti nebezpečné poruchy za hodinu. Je stanoveno pět úrovní vlastností (a až e) s definovanými rozsahy pravděpodobnosti nebezpečné poruchy za hodinu. K dosažení úrovně vlastností (PL) jsou, vedle průměrné pravděpodobnosti nebezpečné poruchy za hodinu, nezbytná také jiná opatření.

PL	Průměrná pravděpodobnost nebezpečné poruchy za hodinu 1/h
a	≥ 10-5 až < 10-4
b	≥ 3 × 10-6 až < 10-5
c	≥ 10-6 až < 3 × 10-6
d	≥ 10-7 až < 10-6
e	≥ 10-8 až< 10-7

Podle posouzení rizika (viz EN 1050) stroje musí konstruktér rozhodnout o příspěvku ke snížení rizika, který je nutno vykonávat každou relevantní bezpečnostní funkcí, která je uskutečňována bezpečnostními částmi ovládacího systému (SRP/CS). Tento příspěvek nepokrývá celkové riziko ovládaného strojního zařízení, např. není zahrnuto celkové riziko mechanického lisu nebo pracího stroje, ale část rizika sníženého aplikací určitých bezpečnostních funkcí. Příklady těchto funkcí jsou funkce zastavení, které jsou iniciovány pomocí elektrického snímacího ochranného zařízení u lisu nebo funkce dveří s blokováním pracího stroje.

Snížení rizika může být dosaženo použitím různých ochranných opatření (jak SRP/CS, tak i jiných než SRP/CS) s konečným výsledkem dosažení bezpečného stavu (viz obrázek 2).

Určení požadované úrovně vlastností (PL_r)

Pro každou zvolenou bezpečnostní funkci, která je vykonávána bezpečnostními částmi ovládacího systému (SRP/CS), musí být určena a zadokumentována požadovaná úroveň vlastností (PL_r). Určení požadované úrovně vlastností je výsledkem posouzení rizika a týká se rozsahu snížení rizika, které má být dosaženo bezpečnostními částmi ovládacího systému (viz obrázek 2).

Čím větší je požadovaný rozsah snížení rizika bezpečnostními částmi ovládacího systému (SRP/CS), tím vyšší musí být PL_r.

Konstrukce bezpečnostních částí ovládacího systému (SRP/CS)

Částí procesu snížení rizika je určení bezpečnostních funkcí stroje. To zahrnuje bezpečnostní funkce ovládacího systému, např. zamezení neočekávaného spuštění.

Bezpečnostní funkce může být realizována jednou nebo více SRP/CS a několik bezpečnostních funkcí se může dělit o jednu nebo více SRP/CS (např. o logickou jednotku, silový prvek ovládání). Je také možné, že jedna bezpečnostní část ovládacího systému (SRP/CS) realizuje bezpečnostní funkce a normální ovládací funkce. Konstruktér může použít jakékoliv dostupné technologie, a to buď jednotlivě, nebo v kombinaci. Bezpečnostní části ovládacího systému (SRP/CS) mohou také vykonávat provozní funkci (např. aktivní optoelektronické ochranné zařízení jako prostředek spuštění cyklu).

Typické schematické zobrazení bezpečnostní funkce je znázorněno na obrázku 4 a ukazuje kombinaci bezpečnostních částí ovládacího systému (SRP/CS) pro:

• vstup (SRP/CS_a);

• logiku/zpracování (SRP/CSb);

• výstup/prvky silového ovládání (SRP/CS_c) a

• propojovací prostředky (i_ab, i_bc), např. elektrické, optické.

Schematické zobrazení kombinace bezpečnostních částí ovládacích systémů pro zpracování typické bezpečnostní funkce

Legenda

I	vstup,
L	logika,
O	výstup,
1	začátek události (např. ruční ovládání tlačítka, otevření ochranného krytu),
2	pohon stroje (např. motorové brzdy).

Po identifikování bezpečnostních funkcí ovládacího systému musí konstruktér identifikovat bezpečnostní části ovládacího systému SRP/CS (viz obrázky 1 a 3), a pokud je to nezbytné, musí je přiřadit ke vstupu, logice a výstupu a v případě zálohování i k jednotlivým kanálům a poté zhodnotit úroveň vlastností PL (viz obrázek 3).

U stejného strojního zařízení je důležité rozlišovat mezi různými bezpečnostními funkcemi a jejich bezpečnostními částmi ovládacího obvodu (SRP/CS), které vykonávají určitou bezpečnostní funkci.

Všechny propojovací prostředky jsou zahrnuty v bezpečnostních částech.

Hodnocení dosažené úrovně vlastností PL

Pro účely normy ISO 13849-1 je schopnost bezpečnostních částí vykonávat bezpečnostní funkci vyjádřena určením úrovně vlastností PL.

Úroveň vlastností PL

Pro každou bezpečnostní část ovládacího systému (SRP/CS) a/nebo pro kombinaci bezpečnostní části ovládacího systému (SRP/CS), která vykonává bezpečnostní funkci, musí být proveden odhad úrovně vlastností (PL).

Úroveň vlastností (PL) bezpečnostní části ovládacího systému (SRP/CS) musí být určena odhadem následujících parametrů:

• hodnoty střední doby do nebezpečné poruchy (MTTF_d) pro jednotlivé součásti;

• diagnostického pokrytí (DC)

• poruchy se společnou příčinou (CCF);

• struktury;

• chování bezpečnostní funkce v podmínce (podmínkách) závady;

• bezpečnostního softwaru;

• systematické poruchy;

• schopnosti vykonávat bezpečnostní funkci v očekávaných podmínkách prostředí.

Ve vztahu k procesu hodnocení mohou být ve dvou krocích posuzována:

1. kvantitativní hlediska (hodnota střední doby do nebezpečné poruchy [MTTF_d] pro jednotlivé součásti, diagnostické pokrytí [DC], porucha se společnou příčinou [CCF], struktura),

2. nezjištěná kvalitativní hlediska, která ovlivňují chování bezpečnostních částí ovládacího systému (SRP/CS) (chování bezpečnostní funkce v podmínkách závady, bezpečnostní software, systematická porucha a podmínky prostředí).

Mezi kvantitativními hledisky se může podíl spolehlivosti (např. MTTF_d, struktura) měnit podle použité technologie. Například je možné pro jednotlivý kanál bezpečnostních částí vysoké spolehlivosti u jedné technologie zajistit stejnou nebo vyšší úroveň vlastností (PL) jako strukturu tolerantní k závadě nižší spolehlivosti u druhé technologie.

Existuje několik metod pro odhad kvantitativních hledisek úrovně vlastností (PL) pro jakýkoliv druh systému, například Markovovo modelování, zobecněné stochastické Petriho sítě (GSPN), blokové schéma spolehlivosti.

K usnadnění posouzení kvantitativních hledisek úrovně vlastností (PL) uvádí norma ISO 13849-1 zjednodušenou metodu, která je založena na definici pěti stanovených architektur, které splňují specifická konstrukční kritéria a chování v podmínce závady.

Pro bezpečnostní část ovládacího systému (SRP/CS) nebo kombinaci SRP/CS navržených podle požadavků pro kategorie bezpečnosti může být průměrná pravděpodobnost nebezpečné poruchy odhadnuta pomocí obrázku 5.

Pro bezpečnostní část ovládacího systému (SRP/CS), která se odchyluje od stanovených architektur, musí být proveden podrobný výpočet, aby bylo možné prokázat splnění požadované úrovně vlastností (PL_r).

V aplikacích, u nichž mohou být bezpečnostní části ovládacího systému (SRP/CS) považovány za jednoduché a je-li požadovaná úroveň vlastností a až c, může být kvalitativní odhad PL ospravedlněn logickou konstrukcí.

Střední doba do nebezpečné poruchy každého kanálu (MTTF_d)

Hodnota MTTF_d každého kanálu je dána ve třech úrovních (viz tabulka) a musí být vzata v úvahu individuálně pro každý kanál (např. pro jeden kanál nebo pro každý kanál zálohovaného systému).

Se zřetelem k MTTF_d může být brána v úvahu maximální hodnota 100 let.

Střední doba do nebezpečné poruchy každého kanálu (MTTF_d)

MTTFd
Označení doby každého kanálu	Rozsah doby každého kanálu
Krátká	3 roky ≤ MTTFd ≤ 10 roků
Střední	10 roků ≤ MTTFd ≤ 30 roků
Dlouhá	30 roků ≤ MTTFd ≤ 100 roků

K odhadu MTTF_d součásti musí být pro získání údajů použit postup v pořadí:

1. použití údajů výrobce;

2. použití metod pro výpočet nebo odhad hodnot MTTF_d;

3. zvolení hodnoty 10 roků.

Diagnostické pokrytí (DC)

Ve většině případů může být pro odhad diagnostického pokrytí (DC) použita metoda režimu poruchy a analýzy poruchy FMEA nebo podobné metody. V tomto případě by měly být uvažovány všechny relevantní závady a/nebo režimy poruchy a měla by být ověřena úroveň vlastností (PL) kombinace bezpečnostních částí ovládacího systému (SRP/CS), které vykonávají bezpečnostní funkci ve srovnání s požadovanou úrovní vlastností (PL_r).

Hodnota diagnostického pokrytí (DC) je dána pro čtyři úrovně (viz tabulka).

Diagnostické pokrytí (DC)

DC
Označení	Rozsah
Žádné	DC < 60 %
Nízké	60 % ≤ DC < 90 %
Střední	90 % ≤ DC < 99 %
Vysoké	99 % ≤ DC

Volba rozsahů diagnostického pokrytí DC je založena na klíčových hodnotách 60 %, 90 % a 99 %, které jsou stanoveny také v jiných normách, zabývajících se diagnostickým pokrytím zkoušek. Šetření ukázala, že (1 – DC) spíše než samotné DC je charakteristická míra pro účinnost zkoušky. (1 – DC) pro klíčové hodnoty 60 %, 90 % a 99 % vytváří druh logaritmické stupnice, odpovídají logaritmické stupnici PL. Hodnota DC menší než 60 % má pouze malý vliv na spolehlivost zkoušeného systému, a toto diagnostické pokrytí je proto nazýváno jako „žádné“. Hodnota DC větší než 99 % je pro složité systémy velmi těžko dosažitelná. Pro praktické použití byl počet rozsahů omezen pouze na čtyři rozsahy. Uvedené mezní hodnoty této tabulky mají předpokládanou přesnost v rozsahu 5 %.

Zjednodušený postup pro odhad úrovně vlastností (PL)

Tento článek popisuje zjednodušený postup pro odhad PL bezpečnostních částí ovládacího systému (SRP/CS), který je založený na stanovených architekturách. Aby byl získán odhad PL, mohou být některé jiné architektury s podobnou strukturou upraveny na tyto stanovené architektury.

Stanovené architektury jsou znázorněny blokovými schématy a jsou uvedeny v souvislosti každé kategorie viz 6/6.3.3.1, kde jsou i informace o blokových metodách a bezpečnostních blokových schématech.

Stanovené architektury ukazují logické znázornění struktury systému pro každou kategorii. Technická realizace nebo například funkční schéma mohou vypadat zcela jinak.

Stanovené architektury pro kombinované bezpečnostní části ovládacího systému (SRP/CS) jsou kresleny tak, že začínají v bodech, kde jsou iniciovány bezpečnostní signály, a končí na výstupu silových ovládacích prvků (viz také ISO 12100-1:2003, příloha A). Stanovené architektury mohou být také použity k popisu části nebo subčásti ovládacího systému, který reaguje na vstupní signály a vytváří bezpečnostní výstupní signály. Proto tedy „vstupní“ prvek může tvořit například světelná clona (AOPD) a stejně tak vstupní obvody ovládacích logických prvků nebo vstupní spínače. „Výstup“ může také tvořit například spínací zařízení výstupního signálu (OSSD) nebo výstupy laserových snímačů.

Předpoklady pro stanovení architektury

Pro stanovené architektury jsou stanoveny následující typické předpoklady:

• doba používání 20 roků;

• neměnné rozsahy poruchy v době používání;

• pro kategorii 2 rozsah požadavku ≤ 1/100 rozsahu zkoušky;

• pro kategorii 2 MTTF_d,TE delší než polovina MTTF_d,L.

Průměrné diagnostické pokrytí

Metodologie uvažuje kategorie jako architektury s definovaným průměrným diagnostickým pokrytím (DC_avg). Úroveň vlastností (PL) každé bezpečnostní části ovládacího systému (SRP/CS) závisí na architektuře, střední době do nebezpečné poruchy (MTTF_d) v každém kanálu a na průměrném diagnostickém pokrytí (DC_avg).

Měly by být také uváženy poruchy se společnou příčinou (CCF).

Pro bezpečnostní části ovládacího systému (SRP/CS) se software platí požadavky uvedené v 6/6.3.2.6.

Nejsou-li dostupné kvantitativní údaje nebo nejsou-li použity (např. malá složitost systémů), měl by být zvolen nejhorší případ všech relevantních parametrů.

Kombinace bezpečnostních částí ovládacího systému (SRP/CS) nebo jednotlivé bezpečnostní části ovládacího systému (SRP/CS) mohou mít jednu úroveň vlastností (PL). Kombinace několika bezpečnostních částí ovládacího systému (SRP/CS) s různými úrovněmi vlastností je uvážena v 6/6.3.3.2

V případě použití PL_r a až c mohou být dostatečná vhodná opatření k vyloučení závad; při aplikacích s vysokým rizikem, při použití PL_r d aže může struktura bezpečnostních částí ovládacího systému (SRP/CS) poskytovat opatření k vyloučení, detekci nebo tolerování závad. Praktická opatření zahrnují zálohování, možnost střídání a monitorování.

Na obrázku 5 je znázorněn postup pro volbu kategorií v kombinaci s MTTF_d každého kanálu a průměrným diagnostickým pokrytím (DC_avg) k dosažení požadované úrovně vlastností (PL) bezpečnostní funkce.

Vztah mezi kategoriemi, DC_avg, MTTF_d každého kanálu a PL

Legenda:

PL	úroveň vlastností
1	MTTFd každého kanálu = krátká,
2	MTTFd každého kanálu = střední,
3	MTTFd každého kanálu = dlouhá.

Pro odhad úrovně vlastností (PL) znázorňuje obrázek 5 různých možností kombinací kategorie s průměrným diagnostickým pokrytím (DC_avg) (vodorovná osa) a střední dobou nebezpečné poruchy (MTTF_d) každého kanálu (sloupce). Sloupce představují v diagramu tři rozsahy MTTF_d každého kanálu (krátká, střední, dlouhá), které mohou být zvoleny k dosažení požadované úrovně vlastností (PL).

Před použitím tohoto zjednodušeného přístupu podle obrázku 5, který představuje výsledky různých Markovových modelů, které jsou založeny na stanovených architekturách, musí být určena kategorie bezpečnostních částí ovládacího systému (SRP/CS) a rovněž tak i DC_avg a MTTF_d každého kanálu (viz Kategorie a jejich vztah ke střední době…