MTTF_D to czas wyrażony w latach, który określa w sposób statystyczny spodziewany średni czas do uszkodzenia niebezpiecznego

Oczywiście definicja wymaga wyjaśnienia, aby była dla nas zrozumiała, postaram się zatem wyjaśnić czym jest MTTF_D i do czego jest nam potrzebny.

Zanim przejdziemy do wyjaśnienia co to jest MTTF_D wg PN-EN ISO 13849-1, przyjrzyjmy się niektórym kluczowym definicjom, które pozwolą nam łatwiej zrozumieć to pojęcie.

Defekty i uszkodzenia

Złośliwość rzeczy martwych bardzo często przypomina nam o tym, że wszystko może zawieść na wszelkie możliwe sposoby lub nie zadziałać tak, jakbyśmy tego oczekiwali. W dodatku wszystkie urządzenia mają pewien wskaźnik awaryjności, który może być bardzo krótki (np. podczas pierwszego włączenia urządzenia) lub bardzo długi, wynoszący nawet setki lat. Ponieważ to jest tylko wskaźnik awaryjności, to oznacza to, że awaryjność pojawi się z czasem. W tym momencie warto jest wyjaśnić, że standard mówi o “defektach” i “uszkodzeniach”, a pojęć tych nie należy mylić.

3.1.3 defekt

stan elementu charakteryzujący się niezdolnością do spełniania wymaganej funkcji, z wyjątkiem niezdolności związanej z przeprowadzaniem konserwacji profilaktycznej lub innych zaplanowanych działań, bądź spowodowany brakiem zasilania ze źródeł zewnętrznych.

Uwaga 1 do hasła: Defekt jest często wynikiem uszkodzenia samego elementu, ale może występować bez wcześniejszego uszkodzenia.
Uwaga 2 do hasła: W niniejszej części ISO 13849 „defekt” oznacza „defekt przypadkowy”.

3.1.4 uszkodzenie

przerwanie zdolności elementu do spełniania wymaganej funkcji.

Uwaga 1 do hasła: Po uszkodzeniu element ma defekt.
Uwaga 2 do hasła: „Uszkodzenie” jest zdarzeniem, w odróżnieniu od „defektu”, który jest stanem.
Uwaga 3 do hasła: Tak zdefiniowanego terminu nie stosuje się w odniesieniu do elementów składających się wyłącznie z oprogramowania.
Uwaga 4 do hasła: Uszkodzenia, które wpływają jedynie na dostępność sterowanego procesu, nie wchodzą w zakres niniejszej części ISO 13849.
[ŹRÓDŁO: IEC 60050–191:1990, 04-01.]

Jeśli do rozważań weźmiemy wielokrotności takich elementów jak przekaźniki, zawory lub inne systemy bezpieczeństwa, możemy mówić o populacji identycznych elementów, z których każdy w końcu ulegnie awarii. Możemy obliczyć wskaźniki ich awaryjności i w miarę ich pojawiania się sumować je. Możemy zilustrować, ile niepowodzeń mamy w populacji w czasie. Jeśli w tym momencie zaczyna wydawać Ci się te podejście podejrzanie podobne do statystyk, to dlatego, że tak właśnie jest!

Spójrzmy więc na różnego rodzaju uszkodzenia, które mogą wystąpić w danej populacji. Niektóre uszkodzenia będą skutkować stanem „bezpiecznym”, np. przekaźnik ulegnie awarii z wszystkimi otwartymi biegunami, a niektóre ulegną awarii w potencjalnie „niebezpiecznym” stanie, jak np. zawór normalnie zamknięty, powodujący powstanie znacznego wycieku. Jeśli sporządzimy listę wszystkich możliwych uszkodzeń, a następnie podzielimy je na liczbę „bezpiecznych” awarii i liczbę „niebezpiecznych” awarii w tej populacji, otrzymujemy z naszych rozważań bardzo przydatne informacje.

Defekt, zgodnie z definicją jest stanem, który wynika z uszkodzenia, a więc w dalszych rozważaniach będziemy się skupiali nad uszkodzeniem, który następuje w wyniku jakiegoś zdarzenia.

Różnego rodzaju uszkodzenia są oznaczane małą literą grecką lambda (λ). Możemy dodać kilka indeksów dolnych, aby zidentyfikować różnego rodzaju uszkodzenia, o których mówimy. Typowe używane zmienne to wg IEC 61508-4:

λ = intensywność uszkodzeń
λ_S = intensywność uszkodzeń bezpiecznych [1/h]
λ_D = intensywność uszkodzeń niebezpiecznych [1/h]
λ_DD = intensywność wykrywalnych niebezpiecznych uszkodzeń [1/h]
λ_DU = intensywność niewykrywalnych niebezpiecznych uszkodzeń [1/h]

Całkowita intensywność uszkodzeń wyraża się następująco:

Nie wszystkimi uszkodzeniami jednak musimy się przejmować. Interesują nas tylko uszkodzenia niebezpieczne:

Szerzej na temat różnego rodzaju uszkodzeń omówię w następnym artykule, wyjaśniającym pojęcie pokrycia diagnostycznego DC.

Jak te informacje pomagają nam w zdefiniowaniu czym jest MTTF_D?

Pojęcie uszkodzenia niebezpiecznego pojawia się w definicji MTTF_D

3.1.25 średni czas do uszkodzenia niebezpiecznego MTTF_D

spodziewany średni czas do uszkodzenia niebezpiecznego

[ŹRÓDŁO: IEC 62061:2005, 3.2.34, zmodyfikowana.]

Nie jest to dobra definicja. Bez dodatkowego wyjaśnienia, czym jest uszkodzenie niebezpieczne, sama definicja niczego nam nie mówi. Teraz jednak, po dokładnym wyjaśnieniu czym jest uszkodzenie niebezpieczne, możemy lepiej zrozumieć definicję pojęcia MTTF_D. Zwracam jednak uwagę na to, że definicja odnosi się do uszkodzeń niebezpiecznych, a nie do wszystkich uszkodzeń. Oznacza to, że uszkodzenia, których pojawienie się nie powoduje wzrostu ryzyka, nie są brane pod uwagę.

Warto w tym miejscu przypomnieć definicję uszkodzenia niebezpiecznego, którą można znaleźć w normie PN-EN ISO 13849-1, a która pojawiła się w drugiej części niniejszego cyklu:

3.1.5 uszkodzenie niebezpieczne

uszkodzenie, które ma potencjalną możliwość wprowadzenia SRP/CS w stan zagrożenia lub w stan utraty funkcji.

Uwaga 1 do hasła: To, czy ta potencjalna możliwość urzeczywistni się czy nie, może zależeć od architektury kanałów systemu; w systemach redundantnych niebezpieczne uszkodzenie sprzętu będzie mniej prawdopodobnym powodem cał­kowitej utraty bezpieczeństwa lub doprowadzenia do utraty funkcji.

[ŹRÓDŁO: IEC 61508-4, 3.6.7 zmodyfikowana.]

MTTF_D o czas wyrażony w latach, w którym prawdopodobieństwo uszkodzenia jest względnie stałe. Jeśli spojrzysz na typową krzywą uszkadzalności, zwaną w j. angielskim „Bathub Curve” ze względu na jej podobieństwo do profilu wanny, MTTF_D jest bardziej płaską częścią krzywej między początkiem używalności a zużyciem na końcu tzw. cyklu życia. Ta część krzywej jest częścią przyjętą jako „czas misji” dla produktu. Za czas misji uważa się czas między całkowitą wymianą lub odnowieniem części systemu sterowania związanych z bezpieczeństwem.

ISO 13849-1 zakłada, że czas misji dla wszystkich maszyn wynosi 20 lat.

PN-EN ISO 13849 – 1 dostarcza nam wskazówek, w jaki sposób MTTF_D odnosi się do określenia PL_r. MTTF_D jest dalej pogrupowany w trzy pasma, jak pokazano w Tablicy 4 wg PN-EN ISO 13849-1. Grupowanie współczynnika MTTF_D w pasma ma ten sam cel, co grupowanie współczynnika PFH_D w pasma Performance Level od a do e – czyli eliminowanie wpływu wyniku na precyzowanie oceny.

MTTFD
Poziom dla każdego kanału	Zakres każdego kanału
Niski	3 lata ≤ MTTFD < 10 lat
Średni	10 lat ≤ MTTFD < 30 lat
Wysoki	30 lat ≤ MTTFD ≤100 lat

Skąd wziąć parametr MTTF_D do obliczeń?

Uzyskanie danych MTTF_D dla komponentu powinno być łatwe dla projektanta. Producenci podzespołów, którzy wprowadzają na rynek komponenty przeznaczone do zastosowań związanych z bezpieczeństwem, powinni dostarczać te dane w specyfikacjach komponentów. Większość głównych producentów dostarcza dla swoich komponentów parametry MTTF_D, B_10d, ale dla wielu komponentów dane te są wciąż niedostępne.

Obliczanie MTTF_D dla komponentów pneumatycznych, mechanicznych i elektromechanicznych

Dla takich komponentów MTTF_D zależy od czasu ich pracy. Do obliczeń potrzebny jest parametr B_10d, który można znaleźć w notach katalogowych producentów komponentów.

B_10d to Liczba cykli, po których 10% elementów ulegnie uszkodzeniu niebezpiecznemu. Parametr dostarczany jest głównie dla elementów pneumatycznych i elektromechanicznych.

Na podstawie parametru B_10d, który powinien być podawany dla tych komponentów przez producenta maszyny oraz znając średnią ilość zadziałań w roku, można obliczyć MTTF_D elementu wg wzoru:

gdzie:

n_op – średnia ilość zadziałań w ciągu roku;
d_op – ilość dni roboczych w ciągu roku;
h_op – ilość roboczogodzin w ciągu roku;
t_cycle – czas cyklu w sekundach, jaki upływa między rozpoczęciem dwóch następujących po sobie cykli dla elementu (np. przełączanie zaworu) w sekundach na cykl.

Załóżmy, że producent zaworu pneumatycznego określa B_10d równy 60 milionów cykli. Zawór jest używany dwie zmiany każdego dnia przez 220 dni roboczych w roku. Średni czas między początkiem dwóch kolejnych przełączeń zaworu szacuje się na 5 sekund. Daje to następujące wartości:

d_op – 220 dni w roku;
h_op – 16 godzin na dzień;
t_cycle – 5 sekund na cykl;

Stąd MTTF_D możemy wyliczyć ze wzoru:

Wartość MTTF_D każdego kanału większa od 100 lat nie może być przyjęta, ponieważ część układu sterowania związana z bezpieczeństwem przeznaczona do dużego ryzyka nie powinna zależeć tylko od niezawodności elementów. Aby zwiększyć odporność części sterowania odpowiedzialnej za bezpieczeństwo na uszkodzenia systematyczne i przypadkowe, zaleca się zastosowanie dodatkowych środków, takich jak redundancja i testowanie.

Porównując uzyskany wynik z Tablicą 4 wg PN-EN ISO 13849-1 i biorąc pod uwagę w/w ograniczenie, osiągnięty MTTF_D ma wartość “Wysoką”.

MTTFD
Poziom dla każdego kanału	Zakres każdego kanału
Niski	3 lata ≤ MTTFD < 10 lat
Średni	10 lat ≤ MTTFD < 30 lat
Wysoki	30 lat ≤ MTTFD ≤100 lat

MTTF_D to bardzo ważny parametr, od którego zależy Performance Level PL_r. Kolorem czerwonym, żółtym i zielonym zaznaczyłem przynależność poziomów MTTF_D do wykresu znanego z rysunku 5 wg PN-EN ISO 13849-1. Poziom MTTF_D ma bezpośredni wpływ na końcowy PL_r, więc po określeniu wymaganego PL_r wg załącznika A PN-EN ISO 13849-1, sposób doboru komponentów – z których będzie zbudowana funkcja bezpieczeństwa – powinien być projektantowi znany jeszcze przed zaprojektowaniem części sterowania odpowiedzialnej za bezpieczeństwo.