Skąd pozyskiwać dane niezawodnościowe komponentów bezpieczeństwa?
Podczas projektowania funkcji bezpieczeństwa projektant często staje przed problemem skąd pozyskiwać dane niezawodnościowe komponentów bezpieczeństwa. Zasadniczo karta katalogowa producenta komponentu powinna mieć pierwszeństwo przed wszystkimi innymi źródłami informacji i to jest prawda. W artykule wyjaśnię na przykładzie, że nie zawsze można mieć zaufanie nawet do bibliotek udostępnianych przez producenta komponentu.
Wielu producentów komponentów bezpieczeństwa udostępnia już informacje potrzebne projektantom do oszacowania poziomu niezawodności projektowanych funkcji bezpieczeństwa i znalezienie ich nie powinno stanowić problemu. Jednak w wielu przypadkach musimy się sporo naszukać, albo informacje udostępniane przez producenta są często niewystarczające.
PN-EN ISO 13849-1 wymienia szereg typowych wartości. Są to jednak bardzo ostrożne szacunki, dlatego ich użycie jest zalecane tylko wtedy, gdy źródła danych wskazane powyżej nie są dostępne. Oprócz wartości MTTFD dla komponentów mechanicznych, hydraulicznych i elektronicznych norma zawiera również wartości B10D dla komponentów pneumatycznych i elektromechanicznych. Szczegóły opisano w załączniku D. B10D to parametr określający średnią liczbę cykli, po których 10 % elementów ulega uszkodzeniu niebezpiecznemu.
Najczęściej, gdy dane niezawodnościowe komponentów bezpieczeństwa nie są dostępne od producenta, typowe przykładowe wartości można nadal pozyskiwać z takich danych jak załącznik D normy PN-EN ISO 13849-1. Źródła takich informacji nie rozróżniają jednak podziału na niebezpieczne i bezpieczne uszkodzenia. Można tylko ogólnie przyjmować założenie, że średnio tylko połowa wszystkich awarii jest niebezpieczna.
Dogodnym źródłem danych o niezawodności komponentów bezpieczeństwa jest duża liczba dostępnych bibliotek SISTEMA. Zawierają one wartości MTTFD lub B10D dla elementów i komponentów oraz wartości PLr i PFHD dla całych podsystemów. Biblioteki znajdziemy na stronach internetowych producentów. Jest również strona internetowa, z której można pozyskać biblioteki VDMA.
Zasadniczo producent podaje wartości B10D zamiast wartości MTTFD dla komponentów pneumatycznych, mechanicznych i elektromechanicznych (zawory pneumatyczne, przekaźniki, styczniki, przełączniki położenia itp.). Wartość B10D wskazuje liczbę cykli przełączania, po których 10% komponentów ulega niebezpiecznemu uszkodzeniu.
Jeżeli wartości B10D są udostępnianie przez producentów komponentów mechanicznych, pneumatycznych, hydraulicznych lub elektromechanicznych, wartość MTTFD można obliczyć za pomocą wzoru:
Jeśli podana jest tylko wartość B10 (wszystkie awarie) zamiast wartości B10D, wartość B10D (niebezpieczne awarie) można oszacować, zakładając, że
To założenie pozwala zakładać, że nie wszystkie awarie danego komponentu są awariami niebezpiecznymi. Na przykład w przypadku stycznika awaria będąca skutkiem niezamknięcia się zestyku nie jest niebezpieczna, ponieważ żaden niebezpieczny ruch nie jest uruchamiany, gdy obwód jest otwarty. Jednak jeśli po zamknięciu zestyk się nie otworzy, sytuacja taka może spowodować wzrost ryzyka, co jest rozważane jako uszkodzenie niebezpieczne, ponieważ wyłączenie niebezpiecznego ruchu może być niemożliwe. W każdym przypadku należy jednak sprawdzić, czy żadne inne normy specyficzne dla produktu nie zawierają odmiennych postanowień.
MTTFD można obliczyć za pomocą wyżej pokazanego wzoru gdy znana jest wartość wskaźnika B10D i średnia wartość operacji nop, czyli średnią ilość zadziałań w roku:
gdzie:
nop – średnia ilość zadziałań w ciągu roku;
dop – ilość dni roboczych w ciągu roku;
hop – ilość roboczogodzin w ciągu roku;
tcycle – czas cyklu w sekundach, jaki upływa między rozpoczęciem dwóch następujących po sobie cykli dla elementu (np. przełączanie zaworu) w sekundach na cykl.
Ale w tym przypadku odpowiedzialność projektanta za te obliczenia staje się oczywista, ponieważ liczba operacji na ogół nie jest znana, a to on, nie producent komponentu musi oszacować, jak często funkcja bezpieczeństwa będzie aktywowana.
Jeżeli na przykład strefa niebezpieczna jest chroniona przez ruchomą osłonę, której położenie jest monitorowane za pomocą przełącznika pozycyjnego, należy rozważyć spodziewaną częstotliwość otwarcia osłony. MTTFD dla przełącznika pozycyjnego można obliczyć na podstawie liczby operacji przy użyciu wartości B10D i w/w wzoru. W takim przypadku projektant musi znać tę częstotliwość otwierania osłony. Np. czy osłona będzie otwierana tylko raz dziennie do prac konserwacyjnych, czy będzie otwierana co minutę w celu wyjęcia produktów? A może częstotliwość otwarcia nie jest znana, ponieważ osłona będzie otwierana tylko w celu usunięcia usterki? Jeżeli liczba operacji nie jest znana, projektant będzie musiał dokonać oceny najgorszego przypadku w celu ustalenia warunków mających zastosowanie do obliczenia wartości MTTFD.
Obliczenie PLr części sterowania związanej z bezpieczeństwem zależy od konkretnych danych zastosowanych komponentów. W odniesieniu do poszczególnych elementów, które są zintegrowane z funkcją bezpieczeństwa, należy uwzględnić dane dotyczące prawdopodobieństwa wystąpienia awarii. W przypadku komponentów elektromechanicznych, hydraulicznych i pneumatycznych, takich jak styczniki, zawory itp., wymagana jest wartość B10D. W przypadku komponentów elektronicznych konieczne jest wskazanie co najmniej średniego czasu do uszkodzenia niebezpiecznego MTTFD lub średniego prawdopodobieństwa uszkodzenia niebezpiecznego na godzinę PFHD.
Dlatego projektant stając przed koniecznością wykonania stosownych kalkulacji, zadaje sobie następujące pytania:
- skąd ma wziąć odpowiednie dane dotyczące parametrów bezpieczeństwa dla zastosowanych komponentów?
- jakie parametry są mu potrzebne i jakie parametry dostarcza producent komponentów, z których będzie zbudowana funkcja bezpieczeństwa?
Norma ISO 13849-1 w załączniku C.5 zaleca, aby zawsze preferować dane dostarczane przez producentów komponentów, gdyż producenci określili już metody projektowania i warunki pracy. Dlatego ze względu szczegółową wiedzę producenta o wyprodukowanym komponencie projektant funkcji bezpieczeństwa jest w stanie przeprowadzić dokładniejsze obliczenia niż byłoby to możliwe na podstawie ogólnie dostępnych, nawet tych pobranych z tablic z załącznika C normy PN-EN ISO 13849-1.
Liczba komponentów, dla których dostępne są dane niezbędne do obliczenia wartości MTTFD i wartości PFHD części sterowania związanej z bezpieczeństwem stale rośnie. Producenci komponentów bezpieczeństwa dostarczają wszystkie dane wymagane do wdrożenia normy PN-EN ISO 13849-1 lub EN 62061, w zależności od zastosowania komponentu.
Odpowiednie noty katalogowe zawierają głównie dane takich wielkości jak:
W szczególności przy stosowaniu komponentów elektronicznych preferowane jest wskazanie wartości PFHD, aby ułatwić stosowanie uproszczonej metody obliczania PLr. W przypadku elementów ściśle elektromechanicznych lub pneumatycznych producent nie może wskazać innej wartości niż wartość B10D, ponieważ wartość MTTFD, którą można oszacować dla danej funkcji bezpieczeństwa zależy od zużycia bezpośrednio związanego z przewidywalną liczbą cykli.
Jednak istnieje większa niepewność co do wskazania prawidłowej wartości komponentów bezpieczeństwa, które w swej budowie wykorzystują przekaźniki jako elementy przełączające. Tutaj arkusze danych producentów podają tylko wartość PFHD, nie biorąc pod uwagę liczby cykli tych przekaźników. Ponieważ wartość PFHD jest obliczana na podstawie średniej liczby cykli na godzinę i wartości B10D, projektant funkcji bezpieczeństwa musi oszacować liczbę cykli dla swojego zastosowania i odpowiednio ją rozważyć.
Przykład
Z problematyką pozyskiwania wiarygodnych danych spróbuję zapoznać Cię na przykładzie sterowania oburęcznego.
Załóżmy, że funkcja bezpieczeństwa wyglądająca tak, jak na schemacie powyżej, oprócz przekaźnika bezpieczeństwa SICK UE42-2HD2D2 wyposażona jest w przyciski S1 i S2, dla których użyto styki NC i NO firmy Siemens i styczniki 3RH2. Zaworem nie będziemy się zajmować, chociaż należy pamiętać, że funkcja bezpieczeństwa zawsze kończy się na elementach sterujących mocą. Jeśli zawór steruje siłownikiem, to należy wziąć go pod uwagę w obliczeniach.
Na początek założenia:
Oznaczenie | Typ | Producent |
-S1, -S2 NC | 3SU1400-1AA10-1CA0 | Siemens |
-S1, -S2, NO | 3SU1400-1AA10-1BA0 | Siemens |
-A1 | UE42-2HD2D2 | Sick |
-K1, -K2 | 3RT2026-1BB40 | Siemens |
Dane niezawodnościowe komponentów bezpieczeństwa – część wejściowa funkcji bezpieczeństwa
Mimo – wydawałoby się – bogatej biblioteki VDMA udostępnianej przez Siemensa, który zresztą długo takich bibliotek nie udostępniał z powodu promowania własnego narzędzia Safety Evaluation Tool, znalezienie jakichkolwiek informacji w bibliotece na temat tych produktów jest niemożliwe. Po prostu ich tam nie ma. Przyzwyczajony do tego, że dane na temat niezawodności komponentów Siemensa można znaleźć we wspomnianym już Safety Evaluation Tool (do którego dostęp jest przez przeglądarkę po zarejestrowaniu się), spojrzałem jeszcze tam, aby sprawdzić, czy jednak narzędzie to udostępnia bogatszy zestaw informacji. Niestety nie – nie znalazłem. Musiałem sporo naszukać się, aby w końcu natrafić na dokument „Safety characteristics – B10 values / failure rates of electromechanical SIRIUS products”.
Znajduje się tam taka oto tabela, z której wynika, że produkty z serii 3SU1 w połączeniu ze zwykłym przyciskiem uruchamianym chwilowo są scharakteryzowane parametrem B10 równym 10 000 000.
W dalszej części dokumentu pod przypisem 6 można przeczytać takie oto zdanie:
6) Ratio of dangerous failure: 50% at usage of the NO contact (one positively driven contact shall be used additionally at least in a redundant architecture; the single use of a NO contact is not allowed).
Dzięki któremu możemy przyjąć wartości dla przycisku NO.
Znalezienie danych niezawodnościowych na temat przycisków NO graniczy z cudem, więc chwała Siemensowi za to, że udostępnia takie informacje. Miejmy nadzieję, że biblioteka wkrótce zostanie uzupełniona (na dzień pisania artykułu dostępna była wersja 1.1.15).
Dane niezawodnościowe komponentów bezpieczeństwa – część logiczna funkcji bezpieczeństwa
W przypadku przekaźnika bezpieczeństwa dane pozyskujemy z biblioteki udostępnianej przez producenta przekaźnika. Najczęściej będzie to wartość PFHD. Abstrahując jednak od schematu pokazanego u góry – wyobraź sobie, że jeden ze styków przekaźnika został użyty w innej części systemu sterowania, nie jako układ logiczny, a pośredniczący. Przydałby się nam wtedy parametr B10 lub B10D. Nie wszyscy producenci udostępniają takie dane, co również chwali się firmie Sick, że tego typu informacje można znaleźć w karcie katalogowej produktu:
Niestety wartości B10D nie ma w bibliotece, więc trzeba zdefiniować sobie element w SISTEMA, ale to już pół biedy.
Dane niezawodnościowe komponentów bezpieczeństwa – część wyjściowa funkcji bezpieczeństwa
Od razu powiem, że nie biorę w tym przykładzie pod uwagę zaworu -KH1, chociaż zgodnie z definicją elementu systemu sterowania związanego z bezpieczeństwem SRP/CS wg PN-EN ISO 13849-1 powinienem.
Styczniki z rodziny 3RT2 znajdują się w bibliotece VDMA udostępnianej przez Siemensa. Jednak jest pewna różnica. Niektórzy producenci wskazują dla swoich urządzeń dwie wartości, odpowiednio o niskiej i wysokiej częstotliwości przełączania. Jeśli te wartości nie są odpowiednie dla konkretnej aplikacji, projektant nie ma innego wyjścia, jak poprosić producenta komponentu o dostarczenie odpowiednich danych. Siemens udostępnia te dane – można je znaleźć w notach katalogowych:
W bibliotece znajduje się tylko komponent z wyższą wartością RDF wynoszącą 73%. Norma PN-EN ISO 13849-1 dotyczy części sterowania realizującej funkcje bezpieczeństwa w trybie częstego lub ciągłego przywołania, więc parametr z niższą wartością wynoszącą 40% nie ma dla przemysłu maszynowego znaczenia. Tryb pracy na rzadkie przywołanie funkcji bezpieczeństwa to najbardziej popularny tryb zapotrzebowania w przemyśle procesowym.
W tym miejscu powiem, co to jest parametr RDF (Ratio of Dangerous Failures). Z definicji jest to intensywność uszkodzeń niebezpiecznych w stosunku do wszystkich uszkodzeń .
Gdzie:
λ = intensywność uszkodzeń
λS = intensywność uszkodzeń bezpiecznych [1/h]
λD = intensywność uszkodzeń niebezpiecznych [1/h]
λDD = intensywność wykrywalnych niebezpiecznych uszkodzeń [1/h]
λDU = intensywność niewykrywalnych niebezpiecznych uszkodzeń [1/h]
Nie można mylić tego parametru z pokryciem diagnostycznym DC!
Jeśli parametr RDF nie jest podawany przez producenta, przyjmuje się wartość 50%.
Uproszczona metoda określania MTTFD
Praktyka pokazała, że dane o niezawodności komponentów bezpieczeństwa, a w szczególności wartości B10 lub B10D producentów dla elementów mechanicznych, pneumatycznych lub hydraulicznych są często nierealne. W odpowiedzi na wezwania zgłaszane przez branżę w trzeciej edycji normy dodano alternatywną, uproszczoną metodę określania PFHD i PLr obliczania MTTFD. PLr dla podsystemu można określić na podstawie odpowiedniej kategorii, wykrywania błędów i CCF. Odpowiedni współczynnik PFHD określa się zgodnie z tabelą.
PFHD [1/h] | Kat. B | Kat. 1 | Kat. 2 | Kat. 3 | Kat. 4 | |
PLa | 2×10-5 | |||||
PLb | 5×10-6 | |||||
PLc | 1,7×10-6 | – | 2* | 1* | ||
PLd | 2,9×10-7 | – | – | – | 1* | |
PLe | 4,7×10-8 | – | – | – | – | 1* |
Zastosowana kategoria jest zalecana | ||||||
Zastosowana kategoria jest opcjonalna | ||||||
– | Kategoria niedopuszczalna | |||||
1* | Należy zastosować sprawdzone w użytkowaniu (patrz 3.1.39) lub wypróbowane elementy (potwierdzone przez producenta elementów, że są odpowiednie do konkretnej aplikacji) i wypróbowane zasady bezpieczeństwa. | |||||
2* | Należy zastosować wypróbowane elementy i wypróbowane zasady bezpieczeństwa. |
Metodę opisaną w podpunkcie 4.5.5 normy można zastosować tylko w niektórych przypadkach, a mianowicie:
- dla części wyjściowej funkcji bezpieczeństwa (elementy kontroli mocy);
- i gdy nie są dostępne dane dotyczące niezawodności właściwe dla danego zastosowania (MTTFD, wskaźnik awaryjności λD, B10D lub podobny) dla komponentów mechanicznych, hydraulicznych lub pneumatycznych (lub komponentów wykorzystujących technologię mieszaną, takich jak hamulec mechaniczny napędzany pneumatycznie).
Ta uproszczona metoda określania PFHD opiera się przede wszystkim na zaimplementowanej kategorii, w tym DCavg i CCF. Ponieważ PLr / PFHD jest określany bez obliczania wartości MTTFD, DCavg można obliczyć jako średnią arytmetyczną pojedynczych wartości DC wszystkich części w kanale funkcjonalnym, bez zastosowania wzoru. Obliczanie (kanałowego) MTTFD nie jest wymagane. Zamiast tego należy stosować:
- Dla kategorii 1: sprawdzone w użytkowaniu lub wypróbowane elementy (potwierdzone przez producenta elementów, że są odpowiednie do konkretnej aplikacji) i wypróbowane zasady bezpieczeństwa.
- Dla kategorii 2, 3, 4: sprawdzone w użytkowaniu lub wypróbowane elementy (potwierdzone przez producenta elementów, że są odpowiednie do konkretnej aplikacji) i wypróbowane zasady bezpieczeństwa.
Przyjrzyjmy się definicji 3.1.39 normy PN-EN ISO 13849-1:
Sprawdzony w użytkowaniu
wykazanie, na podstawie analizy doświadczeń z działania elementu o konkretnej konfiguracji, że prawdopodobieństwo niebezpiecznych defektów systematycznych jest wystarczająco małe, tak że wszystkie funkcje bezpieczeństwa, które wykorzystują ten element, osiągają wymagany poziom zapewnienia bezpieczeństwa.
Wprowadzenie nowego terminu „sprawdzony w użytkowaniu” wyraźnie pokazuje, że projektant maszyny ponosi szczególną odpowiedzialność za powyższą procedurę. Opierając się na swoim doświadczeniu w stosowaniu komponentów w danej aplikacji, musi ocenić, czy zgodnie z definicją prawdopodobieństwo niebezpiecznych systematycznych uszkodzeń komponentów jest wystarczająco niskie, aby umożliwić ich wykorzystanie do funkcji bezpieczeństwa. Z tego powodu zastosowanie opisanej metody powinno być wyjątkiem, a nie regułą. Nie jest jednak jasne, dlaczego wymaganie odnosi się wyłącznie do usterek systematycznych i nie uwzględnia przypadkowych usterek składowych.
Praktyka wciąż pokazuje, że dane niezawodnościowe komponentów bezpieczeństwa są wręcz poukrywane, przez co w przypadku gdy musimy dokonać obliczeń, stajemy przed problemem zajmującym sporo czasu na poszukiwania. Biblioteki nie do końca ułatwiają nam życie, a przykład pokazuje, że nawet takim bibliotekom czasami ciężko zaufać. Miejmy nadzieję, że i to się będzie zmieniać, a póki co, pozostaje nam również zdroworozsądkowe podejście do tematu.