Pokrycie diagnostyczne DC wg ISO 13849-1
Zrozumienie, czym jest pokrycie diagnostyczne DC opisane w normie ISO 13849-1 ma kluczowe znaczenie dla analizy funkcji bezpieczeństwa ocenianej za pomocą tego standardu.
Dzięki wiedzy na temat mechanizmu powstawania uszkodzeń niebezpiecznych w projektowanej przez Ciebie funkcji bezpieczeństwa będziesz mógł dobierać takie środki, które będą minimalizować występowanie tych uszkodzeń. Odpowiedni dobór środków może zwiększyć niezawodność części sterowania związanej z bezpieczeństwem. Jeśli w danej funkcji bezpieczeństwa określisz ilość wystąpienia uszkodzeń, a z tej ilości wyodrębnisz pewną ilość uszkodzeń, które uznasz za niebezpieczne, to uzyskujesz tym samym bardzo przydatne informacje. Pokrycie diagnostyczne DC to parametr, który pozwoli Ci określić udział takich niebezpiecznych uszkodzeń, których nie można wykryć za pomocą funkcji diagnostycznych, ale po kolei.
We wcześniejszych artykułach przywołana była definicja uszkodzenia niebezpiecznego. To uszkodzenie, którego nie można wykryć za pomocą diagnostyki. W różnych architekturach części sterowania odpowiedzialnej za bezpieczeństwo wykrywalność tego rodzaju uszkodzeń jest możliwa i da się ją zapewnić za pomocą dodatkowych technik. Pokrycie diagnostyczne to parametr, za pomocą którego możemy tą wykrywalność przedstawić w formie liczbowej. Przypomnijmy sobie definicję uszkodzenia niebezpiecznego:
3.1.5 uszkodzenie niebezpieczne
uszkodzenie, które ma potencjalną możliwość wprowadzenia SRP/CS w stan zagrożenia lub w stan utraty funkcji.
Uwaga 1 do hasła: To, czy ta potencjalna możliwość urzeczywistni się czy nie, może zależeć od architektury kanałów systemu; w systemach redundantnych niebezpieczne uszkodzenie sprzętu będzie mniej prawdopodobnym powodem całkowitej utraty bezpieczeństwa lub doprowadzenia do utraty funkcji.
[ŹRÓDŁO: IEC 61508-4, 3.6.7 zmodyfikowana.]
Samo wyznaczenie pokrycia diagnostycznego nie jest trudne, lecz w normie PN-EN ISO 13849-1 nie wyjaśniono tego pojęcia dobrze. W tym artykule spróbuję uzupełnić tą lukę.
W ostatniej części tej serii omawiającej MTTFD został poruszony fakt, że wszystko w końcu zawodzi, a więc wszystko ma swoją naturalną awaryjność. Wskaźniki uszkadzalności określają średni czas potrzebny do wystąpienia uszkodzenia komponentów lub systemów. Wskaźniki te są wyrażane na wiele sposobów, ISO 13849-1 opisuje wskaźniki MTTFD i PFHD. MTTFD podano w latach, a PFHD podano w godzinach ułamkowych (1/h).
Trzy architektury kategorii 2, 3 i 4 wyposażone są w automatyczne funkcje diagnostyczne. Pokrycie diagnostyczne nie dotyczy architektur kategorii B i 1. Pokrycie diagnostyczne DC rozważane jest tylko dla kategorii 2, 3 i 4, tak jak to zaznaczono na rysunku 5 wg PN-EN ISO 13849-1:
Gdy część sterowania odpowiedzialną za bezpieczeństwo wyposażamy w diagnostykę, musimy wiedzieć, jakiego rodzaju błędy ta diagnostyka może wykryć i ile jest niebezpiecznych uszkodzeń w stosunku do całkowitej liczby uszkodzeń dla danej funkcji bezpieczeństwa. Pokrycie diagnostyczne DC reprezentuje stosunek niebezpiecznych uszkodzeń, które można wykryć, do całkowitej liczby niebezpiecznych uszkodzeń, wyrażony w procentach.
Zwróć uwagę na to, że mowa jest tylko o uszkodzeniach niebezpiecznych. Mogą bowiem w Twojej funkcji bezpieczeństwa pojawić się uszkodzenia, które nie są ze swej natury uznawane za niebezpieczne. Uszkodzenia te są wykluczone z rozważań na temat pokrycia diagnostycznego DC, ponieważ nie musimy się o nie martwić – jeśli wystąpią, nie spowodują powstania sytuacji niebezpiecznych.
Przykładem uszkodzenia bezpiecznego będzie takie uszkodzenie cewki stycznika, które spowoduje, że stycznik po prostu przerwie obwód. Uszkodzeniem niebezpiecznym będzie np. sklejenie się zestyków stycznika.
Przyjrzyjmy się definicji pokrycia diagnostycznego DC, jaką można znaleźć w normie PN-EN ISO 13849-1:
3.1.26 pokrycie diagnostyczne DC
miara skuteczności diagnostyki, która może być określona jako stosunek intensywności wykrytych uszkodzeń niebezpiecznych do intensywności wszystkich uszkodzeń niebezpiecznych.
Uwaga 1 do hasła: Pokrycie diagnostyczne może się odnosić do całego systemu związanego z bezpieczeństwem lub do jego części. Na przykład pokrycie diagnostyczne może odnosić się do czujników i/lub układu logicznego i/lub elementów końcowych.
Różnego rodzaju uszkodzenia są oznaczane małą literą grecką lambda (lambda). Możemy dodać kilka indeksów dolnych, aby zidentyfikować uszkodzenia, o których mówimy. Typowe używane zmienne to wg IEC 61508-4:
λ = intensywność uszkodzeń
λS = intensywność uszkodzeń bezpiecznych [1/h]
λD = intensywność uszkodzeń niebezpiecznych [1/h]
λDD = intensywność wykrywalnych niebezpiecznych uszkodzeń [1/h]
λDU = intensywność niewykrywalnych niebezpiecznych uszkodzeń [1/h]
Gdzie całkowita intensywność uszkodzeń wyraża się następująco:
Z tych zmiennych potrzebujemy tylko λD, λDD i λDU. Aby zrozumieć, w jaki sposób te zmienne są używane, możemy wyrazić ich związek jako:
Zgodnie z definicją, pokrycie diagnostyczne może być wyrażone w procentach w następujący sposób:
Jak określić pokrycie diagnostyczne DC?
Jeśli chcesz faktycznie obliczyć % DC, masz przed sobą trochę pracy. Norma IEC 61508-2 omawia szczegółowo sposób określania współczynnika pokrycia diagnostycznego DC.
Dobra wiadomość jest na szczęście taka, że można użyć tabeli w załączniku E normy PN-EN ISO 13849-1, aby oszacować poziom pokrycia diagnostycznego DC. W tym miejscu warto zauważyć, że załącznik E ma charakter „informacyjny”. W przypadku norm oznacza to, że informacje w załączniku nie są częścią „normatywnego” tekstu, co oznacza, że są to po prostu informacje, które mają za zadanie pomóc w użyciu normatywnej części standardu. Projekt musi być zgodny z wymaganiami zawartymi w tekście normatywnym, jeśli chcesz ubiegać się o zgodność z normą. Fakt, że Załącznik E ma charakter informacyjny, daje możliwość obliczenia wartości DC zamiast wybierania jej z Tablicy E.1. Użycie obliczonej wartości nie naruszyłoby wymagań tekstu normatywnego.
Nie zawsze jednak użycie tabeli z załącznika E może być zasadne. Projektanci często “z automatu” wybierają najbardziej odpowiadające im wartości 60, 90 lub 99%. Nie dla wszystkich elementów taki wybór jest zasadny szczególnie dla elementów elektromechanicznych.
Dla przykładu obliczmy pokrycie diagnostyczne zestawu przycisku zatrzymania awaryjnego połączonego z jednym stykiem NC.
Załóżmy, że przycisk podłączony jest do przekaźnika bezpieczeństwa, jak na rysunku poniżej.
Listę potencjalnych uszkodzeń dla takiego zestawu przycisk – styk NC można bardzo łatwo zdefiniować:
- A: mechaniczne odłączenie styku NC od bloku przycisku
- B: zwarcie wewnątrz styku do masy
- C: zwarcie kontaktu styku NC
- D: sklejenie styku NC
- E: brak zamknięcia obwodu styku NC
W przypadku każdego z powyższych uszkodzeń należy określić, czy można te uszkodzenie wykryć czy nie.
- Zwykłe styki NC nie wykryją awarii A
- Impulsy wysyłane przez przekaźnik bezpieczeństwa lub zmiana poziomu napięcia mogą wykryć uszkodzenie B
- jeden styk NC nigdy nie wykryje C (do porównania potrzeba wielu kontaktów)
- jeden styk NC nigdy nie wykryje D (do porównania potrzeba wielu kontaktów)
- Zwykle E nie jest uszkodzeniem niebezpiecznym i można je pominąć.
Teraz zrobimy podział na uszkodzenia niebezpieczne, które możemy wykryć λDD i na wszystkie uszkodzenia niebezpieczne λD:
λDD | λD |
B | A, B, C, D |
Biorąc pod uwagę zdefiniowane uszkodzenia oraz ich wykrywalność, pokrycie diagnostyczne będzie równe:
Jeśli nawet w tej chwili chcielibyśmy wprowadzić jakieś dodatkowe środki zwiększające poziom pokrycia diagnostycznego, to możemy pokusić się o wymianę zwykłego styku NC na styk NC, który rozwiera obwód, jeśli nie jest sprzężony z blokiem styków przycisku zatrzymania awaryjnego:
Dla takiego styku można założyć, że uszkodzenie A nie będzie już niebezpieczne, wobec czego tabela będzie wyglądała tak:
λDD | λD |
B | B, C, D |
Wprowadzając dodatkowe wykluczenie błędu, pokrycie diagnostyczne będzie równe:
Takie pokrycie diagnostyczne jest niewystarczające dla kategorii 2, wobec czego niemożliwe jest zbudowanie funkcji bezpieczeństwa w kategorii 2 z wykorzystaniem elementów elektromechanicznych.
Po określeniu DC dla funkcji bezpieczeństwa, należy porównać wartość DC z Tablicą 5, aby sprawdzić, czy DC jest wystarczające dla PLr, który próbujesz osiągnąć. Tablica 5 zawiera wyniki DC w czterech zakresach. Podobnie jak sortowanie wartości PFHD na pięć zakresów, pomaga to zapobiegać odchyleniom od precyzji w szacowaniu prawdopodobieństwa awarii całego systemu lub funkcji bezpieczeństwa.
Pokrycie diagnostyczne DC musi być określone dla całego obwodu bezpieczeństwa (wejście + logika + wyjście). Jeśli wiele funkcji bezpieczeństwa realizuje kompletny system bezpieczeństwa (na przykład funkcja zatrzymania awaryjnego i funkcja blokady osłony ruchomej), wartości DC należy uśrednić. Do oceny PLr określa się tylko jedno, średnie DC dla całej części sterowania realizującej funkcję bezpieczeństwa. Średnie pokrycie diagnostyczne DCavg szacuje się za pomocą następującego wzoru:
Między innymi poprzez konieczność przeprowadzania takich pracochłonnych obliczeń, w momencie kiedy norma PN-EN ISO 13849-1 zaczęła obowiązywać, wywołało to falę frustracji wśród projektantów układów sterowania. Projektant przede wszystkim ma za zadanie projektować, a nie obliczać. Normy mają mu w tym pomagać, a nie być kulą u nogi. Pomocą okazało się oprogramowanie SISTEMA. Czas pokazuje jednak, że ani norma, ani oprogramowanie SISTEMA nie są wystarczająco dobrze zrozumiałe. Norma PN-EN ISO 13849-1 miała za zadanie wprowadzić narzędzia probabilistyczne w sposób maksymalnie uproszczony. Mimo trudności udało się to wykonać, a póki co, pozostaje nam się tego nauczyć. Zapewniam jednak, że nie jest to takie straszne i obliczenia w SISTEMA można wykonać naprawdę bardzo szybko.