Część 6: uszkodzenia powodowane wspólną przyczyną CCF
Uszkodzenia powodowane wspólną przyczyną występują, gdy dwa komponenty lub części systemu zawodzą w ten sam sposób w tym samym czasie
Np. gdy dwa przekaźniki jednocześnie ulegają sklejeniu styków w tym samym czasie. Błędy mogą być spowodowane wspólną przyczyną, tzn. sposób, w jaki elementy bezpieczeństwa ulegają awarii, jest taki sam. Wspólna przyczyna wystąpienia awarii może być skutkiem takiego samego błędu w identycznych urządzeniach.
Dlaczego musimy się tym przejmować?
Otóż okazuje się, że wiedza na temat mechanizmu i przewidywalności powstawania uszkodzeń pozwala zaprojektować funkcje bezpieczeństwa w taki sposób, aby zminimalizować prawdopodobieństwo ich wystąpienia. Dzięki temu można znacząco poprawić niezawodność działania funkcji bezpieczeństwa.
Istnieją trzy rodzaje przyczyn występowania awarii:
- awarie przypadkowe,
- awarie systematyczne,
- awarie o wspólnej przyczynie.
Opracowując część systemu sterowania związaną z bezpieczeństwem, musimy wziąć pod uwagę wszystkie trzy rodzaje i zminimalizować je w jak największym stopniu.
Przypadkowe awarie zachodzą w sposób występujący losowo w czasie i często są powodowane przez nadmierne obciążenie elementu lub wady produkcyjne. Losowe awarie mogą wzrosnąć w wyniku stresów środowiskowych lub związanych z procesem, takich jak korozja, zjawiska elektromagnetyczne, normalne zużycie i inne nadmierne naprężenia części lub podsystemu. Przypadkowe awarie są często łagodzone poprzez dobór komponentów o wysokiej niezawodności.
Awarie systematyczne pojawiają się, gdy wystąpi pewne ludzkie zachowanie, które nie zostało przechwycone przez środki proceduralne. Te awarie wynikają z błędów projektowych, specyfikacji, działania, konserwacji i instalacji. Kiedy rozpatrujemy możliwości pojawienia się błędów systematycznych, szukamy takich środków jak szkolenia projektantów systemu lub zastosowanie procedur zapewniania jakości, używanych do sprawdzania poprawności działania systemu. Systematyczne niepowodzenia są nielosowe i złożone, co utrudnia ich statystyczną analizę. Błędy systematyczne są znaczącym źródłem niepowodzeń, ponieważ mogą wpływać na urządzenia redundantne. A ponieważ są często deterministyczne, pojawiają się zawsze, gdy istnieje pewien zestaw okoliczności. Z tego też powodu awarie systematyczne bardzo często pokrywają się z awariami o wspólnej przyczynie.
Awarie systematyczne obejmują wiele rodzajów błędów, takich jak:
- wady fabryczne, np. błędy oprogramowania i sprzętu wbudowanego w urządzenie przez producenta;
- błędy specyfikacji, np. niewłaściwa podstawa projektowania i niedokładna specyfikacja oprogramowania;
- błędy implementacji, np. niewłaściwa instalacja, nieprawidłowe programowanie, problemy z interfejsem i nieprzestrzeganie instrukcji bezpieczeństwa dla urządzeń wykorzystywanych do realizacji funkcji bezpieczeństwa;
- eksploatacja i konserwacja, np. słaba inspekcja, niekompletne testowanie i niewłaściwa eksploatacja.
Awarie te zdarzają się zazwyczaj z powodu braku wiedzy, informacji i szkoleń i wynikają z błędu ludzkiego z powodu np. nieprzewidzianych warunków zastosowania. Procedury testowe mogą nie identyfikować tych awarii, ponieważ nie są one oczekiwane. Błędy systematyczne są trudne do przetestowania, nawet jeśli łatwo je zidentyfikować. Na przykład możliwe jest, że siłownik został nieprawidłowo określony, ale w jaki sposób sprawdzić, czy siłownik nie zamknie się w warunkach awaryjnych?
Awarie o wspólnej przyczynie, uszkodzenia lub defekty powodowane wspólną przyczyną CCF (Common Cause Failure) to termin używany do opisania przypadkowych i systematycznych zdarzeń, które powodują awarię wielu urządzeń lub systemów jednocześnie. Zarówno awarie przypadkowe, jak i systematyczne mogą spowodować powstanie defektu o wspólnej przyczynie (CCF) w postaci pojedynczych punktów awarii lub awarii urządzeń nadmiarowych (redundantnych).
Ważne jest, aby zrozumieć, w jaki sposób urządzenia mogą zawieść, aby określić możliwe i optymalne środki do łagodzenia sytuacji awaryjnych.
Znając naturę powstawania awarii możemy wprowadzać środki minimalizujące ich powstawania
Do łagodzenia powstawania awarii systematycznych najczęściej używana jest redundancja komponentów, ponieważ różnice w konstrukcji komponentów lub podsystemów mają tendencję do zapewniania nienakładających się systematycznych awarii, zmniejszając prawdopodobieństwo wystąpienia typowego błędu powodującego powstanie defektu o wspólnej przyczynie.
Natura środków redundantnych musi być jednak dobrze rozumiana przez projektanta. Nie każda redundancja zapewnia wysoki stopień niezawodności. Poniżej pokazano kilka przykładów układów redundantnych wraz z analizą potencjalnych uszkodzeń.
Spójrzmy na obrazek poniżej, przedstawiający zwykłą krańcówkę. Do wykorzystania jej w zapewnieniu działania funkcji bezpieczeństwa w kategorii 3 lub 4 użyto dwóch styków NC, które są kontrolowane przez część sterowania związaną z bezpieczeństwem.
Powyższy element bezpieczeństwa (wyłącznik krańcowy) spełnia warunki redundancji, łatwo jednak stwierdzić, że element ten, w takiej konfiguracji nie jest odporny na wystąpienie tzw. defektów wywołanych wspólną przyczyną, takich jak zablokowanie się mechanizmu rozłączającego, czy zużycie lub uszkodzenie rolki wyłącznika krańcowego.
Pewnym rodzajem przeciwdziałania defektom wywołanych wspólną przyczyną będzie użycie dwóch wyłączników krańcowych, jak na rysunku poniżej:
Na pewno nastąpi poprawa w działaniu funkcji bezpieczeństwa, lecz jeśli zostaną użyte komponenty tego samego producenta, istnieje duże prawdopodobieństwo, że komponenty te:
- będą posiadały te same ukryte wady produkcyjne,
- fizycznie będą cechowały się identycznymi ograniczeniami,
- będą podatne na zużycie w niemal identyczny sposób.
Cechy wspólne powodują, że prawdopodobieństwo pojawienia się defektu powodowanego wspólną przyczyną jest wciąż wysokie. Jednym z rozwiązań może być zastosowanie wyłączników krańcowych pochodzących od dwóch różnych producentów.
Unikanie uszkodzeń powodowanych wspólną przyczyną jest opisane w normie PN-EN ISO 14119 na przykładzie dwóch krańcówek, użytych w konfiguracji takiej, jak w funkcji bezpieczeństwa wybranej na potrzeby tego kursu:
Typowymi uszkodzeniami wyłączników krańcowych w w/w konfiguracji są:
- nadmierne obciążenie trzpienia lub rolki krańcówki,
- niezgodne ustawienie elementu aktywującego i łącznika pozycyjnego,
- zakleszczenie się trzpienia powodujące, że aktywacja sprężyną jest niemożliwa.
Dla styku prowadzonego w sposób wymuszony, uszkodzenie jest niebezpieczne w przypadku a), ale nie w przypadku c).
Dla styku prowadzonego w sposób niewymuszony, uszkodzenie jest niebezpieczne w przypadku c), ale nie w przypadku a).
Przyczyny uszkodzeń dla takiej konfiguracji krańcówek są w tym przypadku różne i dzięki takiej konfiguracji możemy zapewnić wysoki stopień zróżnicowania (20 punktów dla CCF) nawet dla urządzeń tego samego producenta.
Błędom systematycznym można zapobiegać na wiele sposobów. Norma PN-EN 62061 opisuje następujące środki unikania uszkodzeń systematycznych:
- wstępna selekcja, kombinacje, rozmieszczenie, montaż i instalowanie komponentów, łącznie z okablowaniem, oprzewodowaniem i wszelkimi połączeniami wzajemnymi; stosować instrukcje użytkowania wydawane przez producentów oraz dobrą praktykę inżynierską;
- stosowanie podsystemów i elementów podsystemów zgodnie ze specyfikacjami producentów i instrukcjami instalowania;
- kompatybilność: stosować elementy o kompatybilnych charakterystykach pracy;
- wytrzymałość na określone warunki środowiskowe: projektować podsystem w taki sposób, aby był zdolny do pracy we wszystkich spodziewanych środowiskach i wszelkich możliwych do przewidzenia niekorzystnych warunkach, na przykład temperatury, wilgotności, wibracji i zaburzeń elektromagnetycznych;
- stosowanie elementów zgodnych z odpowiednimi normami i mającymi dobrze zdefiniowane rodzaje uszkodzeń, aby zredukować ryzyko niewykrytych defektów w wyniku stosowania komponentów o określonych cechach;
- stosowanie właściwych materiałów i odpowiedniego wytwarzania: dobór materiałów, sposobów wytwarzania oraz postępowania w odniesieniu np. do naprężeń, trwałości, elastyczności, ścieralności, zmęczenia, korozji, temperatury, przewodności, wytrzymałości elektrycznej;
- poprawne wymiarowanie i kształtowanie: uwzględniać skutki, np. naprężenia, rozciągania, zmęczenia, temperatury, nierówności powierzchni, tolerancji wytwarzania.
Norma ta zaleca również przeprowadzanie inspekcji poprzez przegląd lub analizę rozbieżności pomiędzy specyfikacją a wdrożeniem (nadzór produkcyjny) oraz wykorzystanie komputerowych narzędzi wspomagania projektowego do przeprowadzania symulacji.
Analiza uszkodzeń powodowanych wspólną przyczyną wg PN-EN ISO 13849-1
Teraz, gdy rozumiemy, czym są uszkodzenia o wspólnej przyczynie i dlaczego ważne jest to, aby im zapobiegać, możemy mówić o tym, jakie jest podejście normy PN-EN ISO 13849-1 do analizy tego typu uszkodzeń. Awarie urządzeń mogą być monitorowane przez część systemu sterowania, co jest skutecznym środkiem zmniejszania prawdopodobieństwa akumulacji wystąpienia awarii.
Ponieważ PN-EN ISO 13849-1 ma być uproszczonym standardem bezpieczeństwa funkcjonalnego, analiza CCF jest ograniczona do listy kontrolnej z załącznika F (tabela F.1). Załącznik F ma charakter informacyjny, co oznacza, że jest to materiał pomocniczy, mający za zadanie pomóc projektantowi w zastosowaniu możliwych rozwiązań przeciwdziałających powstawaniu uszkodzeń powodowanych wspólną przyczyną. Nic nie staje na przeszkodzie, aby użyć wszelkich innych środków odpowiednich do oceny CCF, takich jak środki opisane w IEC 61508 lub w innych standardach.
Tabela F.1 zawiera szereg środków łagodzących, które są pogrupowane w powiązane kategorie. Każda grupa zawiera wynik, który można uzyskać, jeśli wprowadzono zalecenia opisane w tej grupie. Aby móc uzyskać punkty za daną kategorię, muszą być spełnione wszystkie środki opisane w tej grupie.
Nr | Środek zapobiegania CCF | Liczba punktów |
1 | Oddzielanie/rozdział | |
Fizyczne oddzielenie ścieżek sygnałów, np.:
|
15 | |
2 | Różnorodność | |
Zastosowanie różnych technik/konstrukcji lub zasad fizycznych, na przykład:
|
20 | |
3 | Projekt/zastosowanie/doświadczenie | |
3.1 | Zabezpieczenie przepięciowe, nadciśnieniowe, nadprądowe, temperaturowe itp. | 15 |
3.2 | Zastosowanie wypróbowanych elementów. | 5 |
4 | Ocena/analiza | |
Do każdej części związanego z bezpieczeństwem elementu systemu sterowania przeprowadzono analizę rodzajów i skutków uszkodzeń a ich wyniki uwzględniono w projekcie w celu uniknięcia uszkodzeń o wspólnej przyczynie. | 5 | |
5 | Kwalifikacje/szkolenia | |
Szkolenie projektantów dotyczące zrozumienia przyczyn i skutków uszkodzeń o wspólnej przyczynie. | 5 | |
6 | Czynniki środowiskowe | |
6.1 |
W przypadku systemów elektrycznych/elektronicznych zapobieganie zanieczyszczeniom i zakłóceniom elektromagnetycznym (EMC) w celu ochrony przed uszkodzeniami o wspólnej przyczynie, zgodnie z właściwymi normami (np. IEC 61326-3-1). Układy płynowe: filtracja medium ciśnieniowego, zapobieganie dostawaniu się zanieczyszczeń, odprowadzanie sprężonego powietrza, np. zgodnie z wymaganiami producenta dotyczącymi czystości medium ciśnieniowego. |
25 |
6.2 |
Wpływ innych czynników Rozważenie wymagań odporności na mające znaczenie czynniki środowiskowe, takie jak temperatura, udary, drgania, wilgotność (np. określone we właściwych normach) |
10 |
Naszym celem jest uzyskanie co najmniej 65 punktów. Sprawdźmy, ile punktów uzyskuje funkcja bezpieczeństwa “otwarcie osłony ruchomej inicjującej funkcję bezpiecznego wyłączania momentu (STO)”.
Nr | Środek zapobiegania CCF | Liczba punktów |
1 | Oddzielanie/rozdział | |
Fizyczne oprzewodowanie funkcji bezpieczeństwa powinno być tak wykonane, aby np. uszkodzenie przewodu, w którym przepływają sygnały obydwu kanałów nie doprowadziło do powstania zwarcia w obydwu kanałach. Zwarcia powinny być wykrywane, w tym celu część obwodu sterowania związana z bezpieczeństwem powinna być wykonana z użyciem podstawowych zasad bezpieczeństwa wg tablicy D.1 PN-EN ISO 13849-2 (mi.in. stosowanie połączeń ochronnych). Funkcja bezpieczeństwa wykonana jest z dwóch oddzielnych blokad bezpieczeństwa, które są oprzewodowane osobno. Oprzewodowanie części logicznej i wykonawczej również nie posiada części wspólnej. Jeśli dodatkowe środki z grupy podstawowych zasad bezpieczeństwa zostaną zaimplementowane, CCF o wielkości 15 punktów może być przyjęty dla tej funkcji bezpieczeństwa. |
15 | |
2 | Różnorodność | |
Funkcja bezpieczeństwa wykonana jest z dwóch oddzielnych blokad bezpieczeństwa z wykorzystaniem dwóch różnych technik (styk NC prowadzony w sposób wymuszony dla jednego kanału i styk NO dla drugiego). W każdym kanale wykorzystano dwie różne ścieżki logiczne, więc CCF o wielkości 20 punktów może być przyjęty dla tej funkcji bezpieczeństwa. | 20 | |
3 | Projekt/zastosowanie/doświadczenie | |
3.1 | Układ sterowania powinien być wyposażony w wyłączniki nadmiarowoprądowe. Wówczas CCF o wielkości 15 punktów może być przyjęty dla tej funkcji bezpieczeństwa. | 15 |
3.2 | Jeśli zastosowano wypróbowane elementy wg tablicy D.3 PN-EN ISO 13849-2, CCF o wielkości 5 punktów może być przyjęty dla tej funkcji bezpieczeństwa. Nasza funkcja bezpieczeństwa tylko częściowo spełnia te wymagania z racji tego, że w jednym kanale występuje złożony element elektroniczny, czyli sterownik PLC. Dlatego nie można przyjąć 5 punktów. | 0 |
4 | Ocena/analiza | |
Jeśli analiza rodzajów i skutków uszkodzeń zostałaby przeprowadzona, to CCF o wielkości 5 punktów mogłaby być przyjęta dla tej funkcji bezpieczeństwa. Żadnej analizy FMEA nie wykonaliśmy, wobec czego nie możemy przyjąć 5 punktów. | 0 | |
5 | Kwalifikacje/szkolenia | |
Projekt funkcji bezpieczeństwa to nie wszystko. Reszta zależy od implementacji fizycznego użycia i ułożenia komponentów. Należy to również uwzględnić w projekcie. Jeśli projektant rozumie przyczyny i skutki powstawania uszkodzeń o wspólnej przyczynie oraz przeprowadza nadzór produkcyjny, CCF o wielkości 5 punktów może być przyjęty dla tej funkcji bezpieczeństwa. | 5 | |
6 | Czynniki środowiskowe | |
6.1 |
Jeśli komponenty zostały zainstalowane zgodnie z instrukcjami producentów komponentów, w szczególności wg wytycznych dotyczących kompatybilności elektromagnetycznej, CCF o wielkości 25 punktów może być przyjęty dla tej funkcji bezpieczeństwa. |
25 |
6.2 |
Jeśli komponenty części sterowania odpowiedzialnej za bezpieczeństwo są dobrane do przewidywalnych warunków środowiskowych, CCF o wielkości 10 punktów może być przyjęty dla tej funkcji bezpieczeństwa. |
10 |
Suma: |
90 |
Jeśli wszystkie środki zostały zaimplementowane zgodnie z powyższą tabelą, nasza funkcja uzyskuje 90 punktów. To dobrze, chociaż taka ilość punktów nie była wymagana. Wystarczy, jeśli uzyskamy minimum 65 punktów.
Kliknij poniżej, aby wyświetlić dalszą część artykułu