Zrozumieć kategorie wg ISO 13849-1

MTTFD wg ISO 13849-18 min read

Co to jest MTTFD

MTTFD to czas wyrażony w latach, który określa w sposób statystyczny spodziewany średni czas do uszkodzenia niebezpiecznego

Oczywiście definicja wymaga wyjaśnienia, aby była dla nas zrozumiała, postaram się zatem wyjaśnić czym jest MTTFD i do czego jest nam potrzebny.

Zanim przejdziemy do wyjaśnienia co to jest MTTFD wg PN-EN ISO 13849-1, przyjrzyjmy się niektórym kluczowym definicjom, które pozwolą nam łatwiej zrozumieć to pojęcie.

Defekty i uszkodzenia

Złośliwość rzeczy martwych bardzo często przypomina nam o tym, że wszystko może zawieść na wszelkie możliwe sposoby lub nie zadziałać tak, jakbyśmy tego oczekiwali. W dodatku wszystkie urządzenia mają pewien wskaźnik awaryjności, który może być bardzo krótki (np. podczas pierwszego włączenia urządzenia) lub bardzo długi, wynoszący nawet setki lat. Ponieważ to jest tylko wskaźnik awaryjności, to oznacza to, że awaryjność pojawi się z czasem. W tym momencie warto jest wyjaśnić, że standard mówi o “defektach” i “uszkodzeniach”, a pojęć tych nie należy mylić.

3.1.3 defekt

stan elementu charakteryzujący się niezdolnością do spełniania wymaganej funkcji, z wyjątkiem niezdolności związanej z przeprowadzaniem konserwacji profilaktycznej lub innych zaplanowanych działań, bądź spowodowany brakiem zasilania ze źródeł zewnętrznych.

Uwaga 1 do hasła: Defekt jest często wynikiem uszkodzenia samego elementu, ale może występować bez wcześniejszego uszkodzenia.
Uwaga 2 do hasła: W niniejszej części ISO 13849 „defekt” oznacza „defekt przypadkowy”.

3.1.4 uszkodzenie

przerwanie zdolności elementu do spełniania wymaganej funkcji.

Uwaga 1 do hasła: Po uszkodzeniu element ma defekt.
Uwaga 2 do hasła: „Uszkodzenie” jest zdarzeniem, w odróżnieniu od „defektu”, który jest stanem.
Uwaga 3 do hasła: Tak zdefiniowanego terminu nie stosuje się w odniesieniu do elementów składających się wyłącznie z oprogramowania.
Uwaga 4 do hasła: Uszkodzenia, które wpływają jedynie na dostępność sterowanego procesu, nie wchodzą w zakres niniejszej części ISO 13849.
[ŹRÓDŁO: IEC 60050–191:1990, 04-01.]

Jeśli do rozważań weźmiemy wielokrotności takich elementów jak przekaźniki, zawory lub inne systemy bezpieczeństwa, możemy mówić o populacji identycznych elementów, z których każdy w końcu ulegnie awarii. Możemy obliczyć wskaźniki ich awaryjności i w miarę ich pojawiania się sumować je. Możemy zilustrować, ile niepowodzeń mamy w populacji w czasie. Jeśli w tym momencie zaczyna wydawać Ci się te podejście podejrzanie podobne do statystyk, to dlatego, że tak właśnie jest!

Spójrzmy więc na różnego rodzaju uszkodzenia, które mogą wystąpić w danej populacji. Niektóre uszkodzenia będą skutkować stanem „bezpiecznym”, np. przekaźnik ulegnie awarii z wszystkimi otwartymi biegunami, a niektóre ulegną awarii w potencjalnie „niebezpiecznym” stanie, jak np. zawór normalnie zamknięty, powodujący powstanie znacznego wycieku. Jeśli sporządzimy listę wszystkich możliwych uszkodzeń, a następnie podzielimy je na liczbę „bezpiecznych” awarii i liczbę „niebezpiecznych” awarii w tej populacji, otrzymujemy z naszych rozważań bardzo przydatne informacje.

Czym jest MTTFD

Defekt, zgodnie z definicją jest stanem, który wynika z uszkodzenia, a więc w dalszych rozważaniach będziemy się skupiali nad uszkodzeniem, który następuje w wyniku jakiegoś zdarzenia.

Różnego rodzaju uszkodzenia są oznaczane małą literą grecką lambda (λ). Możemy dodać kilka indeksów dolnych, aby zidentyfikować różnego rodzaju uszkodzenia, o których mówimy. Typowe używane zmienne to wg IEC 61508-4:

λ = intensywność uszkodzeń
λS = intensywność uszkodzeń bezpiecznych [1/h]
λD = intensywność uszkodzeń niebezpiecznych [1/h]
λDD = intensywność wykrywalnych niebezpiecznych uszkodzeń [1/h]
λDU = intensywność niewykrywalnych niebezpiecznych uszkodzeń [1/h]

Całkowita intensywność uszkodzeń wyraża się następująco:

\lambda = \lambda_{S} + \lambda_{D}

Nie wszystkimi uszkodzeniami jednak musimy się przejmować. Interesują nas tylko uszkodzenia niebezpieczne:

\lambda_{D} = \lambda_{DD} + \lambda_{DU}

Szerzej na temat różnego rodzaju uszkodzeń omówię w następnym artykule, wyjaśniającym pojęcie pokrycia diagnostycznego DC.

Jak te informacje pomagają nam w zdefiniowaniu czym jest MTTFD?

Pojęcie uszkodzenia niebezpiecznego pojawia się w definicji MTTFD

3.1.25 średni czas do uszkodzenia niebezpiecznego MTTFD

spodziewany średni czas do uszkodzenia niebezpiecznego

[ŹRÓDŁO: IEC 62061:2005, 3.2.34, zmodyfikowana.]

Nie jest to dobra definicja. Bez dodatkowego wyjaśnienia, czym jest uszkodzenie niebezpieczne, sama definicja niczego nam nie mówi. Teraz jednak, po dokładnym wyjaśnieniu czym jest uszkodzenie niebezpieczne, możemy lepiej zrozumieć definicję pojęcia MTTFD. Zwracam jednak uwagę na to, że definicja odnosi się do uszkodzeń niebezpiecznych, a nie do wszystkich uszkodzeń. Oznacza to, że uszkodzenia, których pojawienie się nie powoduje wzrostu ryzyka, nie są brane pod uwagę.

Warto w tym miejscu przypomnieć definicję uszkodzenia niebezpiecznego, którą można znaleźć w normie PN-EN ISO 13849-1, a która pojawiła się w drugiej części niniejszego cyklu:

3.1.5 uszkodzenie niebezpieczne

uszkodzenie, które ma potencjalną możliwość wprowadzenia SRP/CS w stan zagrożenia lub w stan utraty funkcji.

Uwaga 1 do hasła: To, czy ta potencjalna możliwość urzeczywistni się czy nie, może zależeć od architektury kanałów systemu; w systemach redundantnych niebezpieczne uszkodzenie sprzętu będzie mniej prawdopodobnym powodem cał­kowitej utraty bezpieczeństwa lub doprowadzenia do utraty funkcji.

[ŹRÓDŁO: IEC 61508-4, 3.6.7 zmodyfikowana.]

MTTFD o czas wyrażony w latach, w którym prawdopodobieństwo uszkodzenia jest względnie stałe. Jeśli spojrzysz na typową krzywą uszkadzalności, zwaną w j. angielskim „Bathub Curve” ze względu na jej podobieństwo do profilu wanny, MTTFD jest bardziej płaską częścią krzywej między początkiem używalności a zużyciem na końcu tzw. cyklu życia. Ta część krzywej jest częścią przyjętą jako „czas misji” dla produktu. Za czas misji uważa się czas między całkowitą wymianą lub odnowieniem części systemu sterowania związanych z bezpieczeństwem.

ISO 13849-1 zakłada, że czas misji dla wszystkich maszyn wynosi 20 lat.

Co to jest MTTFD

PN-EN ISO 13849 – 1 dostarcza nam wskazówek, w jaki sposób MTTFD odnosi się do określenia PLr. MTTFD jest dalej pogrupowany w trzy pasma, jak pokazano w Tablicy 4 wg PN-EN ISO 13849-1. Grupowanie współczynnika MTTFD w pasma ma ten sam cel, co grupowanie współczynnika PFHD w pasma Performance Level od a do e – czyli eliminowanie wpływu wyniku na precyzowanie oceny.

MTTFD
Poziom dla każdego kanału Zakres każdego kanału
Niski 3 lata ≤ MTTFD < 10 lat
Średni 10 lat ≤ MTTFD < 30 lat
Wysoki 30 lat ≤ MTTFD ≤100 lat

Skąd wziąć parametr MTTFD do obliczeń?

Uzyskanie danych MTTFD dla komponentu powinno być łatwe dla projektanta. Producenci podzespołów, którzy wprowadzają na rynek komponenty przeznaczone do zastosowań związanych z bezpieczeństwem, powinni dostarczać te dane w specyfikacjach komponentów. Większość głównych producentów dostarcza dla swoich komponentów parametry MTTFD, B10d, ale dla wielu komponentów dane te są wciąż niedostępne.

Obliczanie MTTFD dla komponentów pneumatycznych, mechanicznych i elektromechanicznych

Dla takich komponentów MTTFD zależy od czasu ich pracy. Do obliczeń potrzebny jest parametr B10d, który można znaleźć w notach katalogowych producentów komponentów.

B10d to Liczba cykli, po których 10% elementów ulegnie uszkodzeniu niebezpiecznemu. Parametr dostarczany jest głównie dla elementów pneumatycznych i elektromechanicznych.

Na podstawie parametru B10d, który powinien być podawany dla tych komponentów przez producenta maszyny oraz znając średnią ilość zadziałań w roku, można obliczyć MTTFD elementu wg wzoru:

MTTF_d = \frac{B_{10d}}{0,1 \times n_{op}}

gdzie:

n_{op} = \frac{d_{op}\times h_{op} \times 3600_{s/h}}{t_{cycle}}

nop – średnia ilość zadziałań w ciągu roku;
dop – ilość dni roboczych w ciągu roku;
hop – ilość roboczogodzin w ciągu roku;
tcycle – czas cyklu w sekundach, jaki upływa między rozpoczęciem dwóch następujących po sobie cykli dla elementu (np. przełączanie zaworu) w sekundach na cykl.

Załóżmy, że producent zaworu pneumatycznego określa B10d równy 60 milionów cykli. Zawór jest używany dwie zmiany każdego dnia przez 220 dni roboczych w roku. Średni czas między początkiem dwóch kolejnych przełączeń zaworu szacuje się na 5 sekund. Daje to następujące wartości:

dop – 220 dni w roku;
hop – 16 godzin na dzień;
tcycle – 5 sekund na cykl;

n_{op} = \frac{220_{dni/rok}\times 16_{h/dzien} \times 3600_{s/h}}{5_{s/cykl}}=2,53\times 10^{6}_{cykli/rok}

Stąd MTTFD możemy wyliczyć ze wzoru:

MTTF_D = \frac{60 000 000_{cykli}}{0,1\times 2,53\times 10^{6}_{cykli/rok}}=237{lat}

Wartość MTTFD każdego kanału większa od 100 lat nie może być przyjęta, ponieważ część układu sterowania związana z bezpieczeństwem przeznaczona do dużego ryzyka nie powinna zależeć tylko od niezawodności elementów. Aby zwiększyć odporność części sterowania odpowiedzialnej za bezpieczeństwo na uszkodzenia systematyczne i przypadkowe, zaleca się zastosowanie dodatkowych środków, takich jak redundancja i testowanie.

Porównując uzyskany wynik z Tablicą 4 wg PN-EN ISO 13849-1 i biorąc pod uwagę w/w ograniczenie, osiągnięty MTTFD ma wartość “Wysoką”.

MTTFD
Poziom dla każdego kanału Zakres każdego kanału
Niski 3 lata ≤ MTTFD < 10 lat
Średni 10 lat ≤ MTTFD < 30 lat
Wysoki 30 lat ≤ MTTFD ≤100 lat

MTTFD to bardzo ważny parametr, od którego zależy Performance Level PLr. Kolorem czerwonym, żółtym i zielonym zaznaczyłem przynależność poziomów MTTFD do wykresu znanego z rysunku 5 wg PN-EN ISO 13849-1. Poziom MTTFD ma bezpośredni wpływ na końcowy PLr, więc po określeniu wymaganego PLr wg załącznika A PN-EN ISO 13849-1, sposób doboru komponentów – z których będzie zbudowana funkcja bezpieczeństwa – powinien być projektantowi znany jeszcze przed zaprojektowaniem części sterowania odpowiedzialnej za bezpieczeństwo.