| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ГОСТ Р ИСО 13849-1-2003 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Безопасность оборудования ЭЛЕМЕНТЫ СИСТЕМ УПРАВЛЕНИЯ, Часть 1 Общие принципы конструирования
ГОССТАНДАРТ РОССИИ
Предисловие 1 РАЗРАБОТАН И ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Основополагающие общетехнические стандарты. Оценка эффективности и управление рисками» 2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 23 декабря 2003 г. № 378-ст 3 Настоящий стандарт представляет собой идентичный текст международного стандарта ИСО 13849-1-99 «Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования» 4 ВВЕДЕН ВПЕРВЫЕ СОДЕРЖАНИЕ Введение Цель разработки настоящего стандарта - предоставить четкую основу разработчикам стандартов типа С, на которой конструирование и функционирование любого элемента системы управления, связанного с обеспечением безопасности оборудования, может быть объективно оценено, например, с помощью третьей стороны, собственных (внутренних) средств или независимого испытательного органа. Международный стандарт ИСО 13849-1-99 разработан на основе европейского стандарта ЕН 954-1-96 и соответствует требованиям «Директивы по машиностроению ЕЭС» и правилам «Европейской ассоциации свободной торговли» (ЕАСТ). Настоящий стандарт - один из комплекса стандартов «Безопасность оборудования». ГОСТ Р ИСО 13849-1-2003 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Безопасность оборудования ЭЛЕМЕНТЫ СИСТЕМ УПРАВЛЕНИЯ, СВЯЗАННЫЕ С БЕЗОПАСНОСТЬЮ Часть 1. Общие принципы конструирования Safety
of machinery. Safety-related parts of control
systems. Дата введения 2005-01-01 1 Область примененияНастоящий стандарт устанавливает требования безопасности и общие принципы конструирования элементов систем управления, связанных с обеспечением безопасности. Стандарт определяет категории элементов систем управления и описывает характеристики их функций безопасности, включая программируемые системы, для любого оборудования (машины) производственного и непроизводственного назначения и для предохранительных и (или) защитных устройств, относящихся к этому оборудованию (машине). Настоящий стандарт не устанавливает, какие функции безопасности и какие категории должны применяться в каждом конкретном случае. Стандарт распространяется на любые элементы систем управления, связанные с обеспечением безопасности, независимо от вида используемой энергии, например электрической, гидравлической, пневматической, механической. Настоящий стандарт применим также к элементам систем управления, которые используют для других технических целей. Примечание - См. также 3.11 ГОСТ ИСО/ТО 12100-1. Приложения А - Д приведены только для информации. 2 Нормативные ссылкиВ настоящем стандарте использованы ссылки на следующие стандарты: ГОСТ ИСО/ТО 12100-1-2001 Безопасность оборудования. Основные понятия, общие принципы конструирования. Часть 1. Основные термины, методика ГОСТ ИСО/ТО 12100-2-2002 Безопасность оборудования. Основные понятия, общие принципы конструирования. Часть 2. Технические правила и технические требования ГОСТ 14254-96 (МЭК 529-89) Степени защиты, обеспечиваемые оболочками (Код IP) ГОСТ Р 51336-99 Безопасность машин. Установки аварийного выключения. Функции. Принципы проектирования ГОСТ Р 51340-99 Безопасность машин. Основные характеристики оптических и звуковых сигналов опасности. Технические требования и методы испытаний ГОСТ Р 51343-99 Безопасность машин. Предотвращение неожиданного пуска ГОСТ Р 51344-99 Безопасность машин. Принципы оценки и определения риска ГОСТ Р МЭК 335-1-94 Приборы электрические бытового и аналогичного назначения. Безопасность. Часть 1. Общие требования ГОСТ Р МЭК 60204-1-99 Безопасность машин. Электрооборудование машин и механизмов. Часть 1. Общие требования ГОСТ Р МЭК 60447-2000 Взаимодействие человек-машина. Принципы включения 3 ОпределенияВ настоящем стандарте применяют термины по ГОСТ ИСО/ТО 12100-1 и МЭК 60050-191 [1]. Дополнительно в настоящем стандарте применяют следующие термины с соответствующими определениями: 3.1 элемент системы управления, связанный с обеспечением безопасности: Элемент или компонент(ы) элемента в системе управления, которые реагируют на входные сигналы и вырабатывают выходные сигналы, связанные с обеспечением безопасности. Примечание - Комбинированные элементы системы управления, связанные с обеспечением безопасности, начинают действовать в точках, где возникают сигналы, имеющие отношение к безопасности, и заканчивают на выходе силовых управляющих элементов (см. также приложение А ГОСТ ИСО/ТО 12100-1). Они также включают в себя системы контроля. 3.2 категория: Классификация элементов системы управления, связанных с обеспечением безопасности, по их устойчивости к неисправностям и их последующему поведению в неисправном состоянии. Примечание - Такое поведение достигается за счет структурной схемы расположения элементов и (или) их надежности. 3.3 безопасность систем управления: Способность элементов системы управления, связанных с обеспечением безопасности, выполнять свои функции безопасности в течение определенного времени в соответствии с их заданной категорией. 3.4 неисправность: Состояние технического объекта (элемента), характеризуемое его неспособностью выполнять требуемую функцию, исключая периоды профилактического технического обслуживания или другие планово-предупредительные действия, или в результате недостатка внешних ресурсов. Примечания 1 Неисправность является часто следствием отказа самого технического объекта, но может существовать и без предварительного отказа. 2 Английский термин «fault» и его определение идентичны данному в МЭК 60050-191 (МЭС 191-05-01) [1]. В машиностроении чаще применяют французский термин «defaut» или немецкий термин «Fehler», чем термины «panne» и «Fehlzusstand», которые употребляют с этим определением. 3.5 отказ: Нарушение способности технического объекта (элемента) выполнять требуемую функцию. Примечания 1 После отказа технический объект находится в неисправном состоянии. 2 «Отказ» является событием в отличие от «неисправности», которая является состоянием. 3 Это понятие, как оно определено, не применяют к техническим объектам, состоящим только из средств программного обеспечения (МЭК 60050-191 (МЭС 191-04-01) [1]). 4 На практике термины «отказ» и «неисправность» часто применяют как синонимы. 3.7 приостановка: Временное автоматическое прекращение действия функции безопасности, выполняемой элементами системы управления, связанными с обеспечением безопасности. 3.8 ручной возврат: Функция элементов системы управления, связанных с обеспечением безопасности, необходимая для ручного восстановления заданных функций безопасности перед повторным пуском машины. 4 Общие положения4.1 Цели безопасности при конструированииЭлементы системы управления, связанные с обеспечением функций безопасности, следует рассчитывать и конструировать так, чтобы полностью учитывались принципы, изложенные в ИСО 14121 [2]: - в течение всего предназначенного использования и в случаях неправильного использования; - при возникновении неисправностей; - когда человек совершает прогнозируемые ошибки во время предназначенного использования всей машины в целом. 4.2 Общие принципы конструированияИсходя из оценки риска (см. ИСО 14121 [2]) для данной машины, конструктор должен определить вклад в снижение риска, который необходимо обеспечить с помощью каждого элемента системы управления, связанного с обеспечением безопасности (см. приложение Б). Этот вклад не включает общий риск управляемой машины, например связанный с эксплуатацией механического пресса или стиральной машины, а только часть риска, снижение которого обеспечивается применением определенных функций безопасности. Примером таких функций является функция останова, выполняемая путем использования электрочувствительного предохранительного устройства механического пресса, или функция блокирования двери стиральной машины. Основная цель - конструктор должен обеспечить, чтобы элементы системы управления, связанные с соблюдением мер безопасности, вырабатывали выходные сигналы, соответствующие целям снижения риска, указанным в ИСО 14121 [2]. Это не всегда возможно, и в таких случаях конструктор должен принимать другие меры безопасности. Порядок действий по снижению риска приведен в разделе 5 ГОСТ ИСО/ТО 12100-1. Категория и другие особенности (например, физическое расположение элементов, изоляция), выбираемые конструктором для элементов, связанных с обеспечением безопасности, будут зависеть от вклада, вносимого этими элементами в снижение риска, а также от конструкции и технологии. Конструктор должен указывать: - какую категорию или категории используют в качестве исходных точек при конструировании; - точное расположение точек, в которых начинает действовать элемент, связанный с обеспечением безопасности, и в которых он заканчивает действовать; - логическое обоснование конструкции (например, учтенные или исключенные неисправности) в пределах конструирования с целью достижения заданной(ых) категории(й). Чем больше зависимость снижения риска от элементов системы управления, связанных с обеспечением безопасности, тем выше должна быть способность этих элементов противостоять неисправностям. Эта способность (при том условии, что необходимая функция выполняется) может быть частично выражена количественно значениями надежности и стойкой к неисправностям структурой. Как надежность, так и структура вносят свой вклад в способность элементов, связанных с обеспечением безопасности, противостоять возникновению неисправностей. Заданная стойкость к неисправностям может быть достигнута путем установления уровней надежности компонентов и(или) с помощью усовершенствованных структур для элементов, связанных с обеспечением безопасности. Эти вклады за счет надежности и структуры могут изменяться в зависимости от используемой технологии. Например, для одноканальных элементов обеспечения безопасности, обладающих высокой надежностью при одном технологическом решении, можно обеспечивать такую же или более высокую стойкость к неисправностям за счет структуры меньшей надежности при использовании другой технологии. Примечание - Чем выше стойкость к неисправностям элементов системы управления, связанных с обеспечением безопасности, тем ниже вероятность того, что эти элементы выйдут из строя при выполнении необходимых функций безопасности. Надежность и безопасность - это не одно и то же (см. приложение Г). Например, существует вероятность, что безопасность системы с относительно ненадежными компонентами в избыточной (с резервированием) структуре будет выше, чем безопасность системы, имеющей упрощенную структуру с более надежными компонентами. Это понятие является важным, потому что при некоторых применениях безопасности придается самый высокий приоритет независимо от достигнутого уровня надежности, например, когда последствия отказа являются всегда серьезными и, как правило, необратимыми. При таких применениях в соответствии с оценкой риска должна быть предусмотрена система обнаружения неисправностей, обеспечивающая необходимую функцию безопасности после одной, двух или более неисправностей. Настоящий стандарт не требует расчета значений надежности для сложных конструкций в тех случаях, когда безопасность преимущественно достигается за счет улучшения конструкции элементов, связанных с обеспечением безопасности. Для менее сложных конструкций, где надежность элемента является важной для безопасности, расчет значений надежности становится полезным индикатором вклада в снижение общего риска, вносимого элементами обеспечения безопасности. Меры, направленные на исключение неисправностей, могут оказаться полезными в случае применений с меньшим риском; для применений с более высоким риском улучшение конструкции элементов системы управления, связанных с обеспечением безопасности, позволяет принимать меры для исключения, обнаружения или допущения неисправностей. Практические меры включают в себя резервирование, разнообразие, текущий контроль (см. также раздел 3 ГОСТ ИСО/ТО 12100-2, приложение A EH 292-2/A1 [3] и 9.4 ГОСТ Р МЭК 60204-1). Достижение стойкого к неисправностям поведения элементов системы управления, связанных с обеспечением безопасности, является функцией многих параметров, например: - надежности, в отношении выполнения функций безопасности; - структуры (или архитектуры) системы управления; - качества документации, относящейся к обеспечению безопасности; - полноты технических требований; - конструирования, изготовления и технического обслуживания; - качества и точности программного обеспечения; - объема функциональных испытаний; - эксплуатационных характеристик машины или ее части, находящейся под контролем. Эти параметры можно сгруппировать по трем основным характеристикам: а) надежность технического обеспечения: уровень надежности компонентов для избежания неисправностей; б) структура системы: расположение компонентов в элементе системы управления, связанного с обеспечением безопасности, направленное на то, чтобы исключить, допустить или обнаружить неисправности; в) количественно необнаруживаемые, качественные аспекты, которые влияют на поведение элемента системы управления, связанного с обеспечением безопасности. 4.3 Процесс выбора и разработки мер обеспечения безопасности4.3.1 Общие положения В настоящем подпункте сначала излагается процесс для выбора мер по обеспечению безопасности, а затем для разработки элементов системы управления, связанных с обеспечением безопасности. Важно идентифицировать взаимодействие между элементами системы управления, связанными и не связанными с обеспечением безопасности, и со всеми другими деталями данной машины. Затем следует установить, какой вклад вносят элементы системы управления, связанные с обеспечением безопасности, в снижение риска в пределах оценки риска данной машины в соответствии с ИСО 14121 [2]. Поскольку существует много путей снижения риска, связанного с машиной, а также имеется много вариантов конструирования элементов системы управления, связанных с обеспечением безопасности, то этот процесс является итеративным (повторяющимся). Решения и(или) допущения, предложенные на любом этапе этой методики конструирования, могут оказывать влияние на решения и(или) допущения, принятые на более раннем этапе. Такой подход к решению проблемы может быть проверен по данной методике путем циклического возврата назад к любому этапу. Такая проверка на этапе оценки является весьма важной для гарантии того, что полученные рабочие характеристики безопасности являются такими же, как они определены в технических условиях. Этот процесс показан на рисунке 1. Важные аспекты, которые должны быть приняты во внимание в процессе конструирования, представлены как вопросы анкеты в приложении А с целью информирования конструктора. Эти вопросы иллюстрируют философию, которой необходимо следовать при разработке элементов, связанных с обеспечением безопасности. Не все вопросы применимы в каждом случае конструирования. В некоторых случаях требуются дополнительные вопросы. Рисунок 1 - Итеративный процесс при конструировании элементов системы управления, связанных с обеспечением безопасности 4.3.2 Этап 1. Анализ опасности и оценка риска Определение опасностей, вызванных работой машины на всех режимах и на каждой стадии срока службы этой машины, руководствуясь указаниями ГОСТ ИСО/ТО 12100-1 и ИСО 14121 [2]. Оценка риска, возникающего от установленных опасностей, и решение вопроса о соответствующем снижении риска для данного применения согласно ГОСТ ИСО/ТО 12100-1 и ИСО 14121 [2]. 4.3.3 Этап 2. Принятие мер по снижению риска с помощью средств управления Принятие решения в отношении конструирования машины и(или) обеспечения технических мер защиты с целью снижения риска. Те элементы системы управления, которые вносят свой вклад как неотъемлемая часть конструктивных мер и(или) помогают контролировать технические меры защиты, должны считаться элементами, связанными с обеспечением безопасности. 4.3.4 Этап 3. Определение требований безопасности для элементов системы управления, связанных с обеспечением безопасности Определение функций безопасности (см. раздел 5), которые должны быть предусмотрены в системе управления. В таблице 1 даются ссылка на источник наиболее общих функций безопасности и характеристики, которые должны быть включены при выборе определенной функции безопасности. Таблица 1 - Международные, европейские и российские стандарты, содержащие требования к характеристикам функции безопасности
Установить, каким образом будут удовлетворяться эти функции безопасности, и выбрать категорию(и) для каждого элемента или сочетания элементов, относящихся к системе управления, которые связаны с обеспечением безопасности (см. раздел 6). 4.3.5 Этап 4. Конструирование Конструирование элементов системы управления, связанных с обеспечением безопасности, в соответствии с техническими условиями, определенными на этапе 3, и общими принципами конструирования согласно 4.2. Перечислить особенности, предусмотренные конструкцией, которые обеспечивают логическое обоснование для принятой(ых) категории(й). Проверка конструкции на каждой стадии в целях гарантии, что элементы, связанные с обеспечением безопасности, выполняют требования предыдущей стадии разработки в контексте заданной(ых) функции(й) безопасности и категории(й). 4.3.6 Этап 5. Оценка достоверности Оценка достоверности полученных функций безопасности и категории(й) по сравнению с техническими условиями этапа 3. При необходимости повторное конструирование (см. раздел 8). Необходимо также оценить элементы системы управления, связанные с обеспечением безопасности, вместе со всей системой управления и как части данной машины. Требования по такой оценке не входят в область применения настоящего стандарта, но должны быть заданы конструктором машины или определены соответствующим стандартом безопасности типа С. В случае использования программируемых электронных устройств при конструировании элементов систем управления, связанных с обеспечением безопасности, необходимы другие подробные методики (см. 8.4.2). Эти методики находятся в стадии рассмотрения (см. также приложение Д). Примечание - В настоящее время трудно установить с какой-либо степенью достоверности (в ситуациях, когда значительная опасность может возникать вследствие неправильной работы систем управления), что можно гарантировать правильное функционирование одноканального программируемого электронного оборудования. До тех пор пока не будет решена эта проблема, не рекомендуется полагаться на правильную работу такого одноканального устройства (согласно 12.3.5 ГОСТ Р МЭК 60204-1). 4.4 Принципы эргономического конструированияВзаимодействие между операторами и элементами систем управления, связанными с обеспечением безопасности, должно проектироваться и устанавливаться так, чтобы никто не подвергался опасности при всех режимах предназначенного использования и возможных случаях неправильного использования машины (см. также ГОСТ ИСО/ТО 12100-2; раздел 10 ГОСТ Р МЭК 60204-1; раздел 2 ГОСТ Р МЭК 60447; ЕН 614-1 [15]; ЕН 894-1 [16]; ЕН 894-2 [17]; ЕН 894-3 [18] и ЕН 1005-3 [19]). Эргономические принципы следует применять так, чтобы машину или систему управления, включая элементы, обеспечивающие безопасность, можно было легко использовать и не провоцировать оператора работать опасным способом. Следует применять требования безопасности для соблюдения эргономических принципов, указанных в 3.6 ГОСТ ИСО/ТО 12100-2. 5 Характеристики функций безопасности5.1 Общие положенияВ настоящем разделе приведен перечень типовых функций безопасности (см. 3.13 ГОСТ ИСО/ТО 12100-1), которые могут быть соблюдены с помощью элементов систем управления, связанных с обеспечением безопасности. Конструктор (или разработчик стандарта типа С) должен выбирать необходимые функции безопасности из этого перечня, чтобы получить требуемые меры безопасности от системы управления для заданного применения. В таблице 1 перечислены типовые функции безопасности и некоторые их характеристики, а также приведены ссылки на стандарты, в которых изложены эти функции более подробно. Для каждой функции безопасности указывается ссылка на те разделы (пункты) стандартов, которые имеют отношение к этим вопросам (см. также раздел 2). Конструктор (или разработчик стандарта типа С) должен гарантировать, что требования этих стандартов удовлетворяются для выбранных функций безопасности. При необходимости характеристики функций должны быть адаптированы для использования при разных источниках питания. 5.2 Функция остановаДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должны применяться следующие требования. а) Функция останова, включаемая защитным (предохранительным) устройством, должна сразу после его срабатывания переводить машину в безопасное состояние. Такой останов должен пользоваться приоритетом перед остановом машины по операционным причинам. б) При совместной работе группы машин в согласованном режиме необходимо предусмотреть подачу сигнала в диспетчерское управление и (или) на другие машины о существовании такого состояния останова. Примечание - Такой останов может вызывать операционные проблемы и трудности повторного пуска, например, при электродуговой сварке. При некоторых применениях эта функция может быть объединена с остановом машины по операционным причинам, чтобы уменьшить соблазн обойти функцию безопасности. 5.3 Функция аварийного остановаДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должны применяться следующие требования. а) При совместной работе группы машин в согласованном режиме элементы, связанные с обеспечением безопасности, должны быть снабжены устройством подачи сигнала состояния аварийного останова на все части скоординированной системы. б) В случаях, когда части скоординированной системы четко разделены, например защитными ограждениями или по местоположению, не всегда есть необходимость в применении аварийного останова ко всей системе, а только к определенной части(ям), выявленной(ым) при оценке риска. в) После того как произошел аварийный останов одной из частей, не должна существовать опасность при взаимодействии этой части с другими частями системы. 5.4 Ручной возвратДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должны применяться следующие требования. а) После подачи предохранительным устройством команды «Останов», состояние останова должно поддерживаться до тех пор, пока не будет приведено в действие устройство ручного возврата и не будут созданы безопасные условия для повторного пуска. б) Восстановление функции безопасности путем возврата предохранительного устройства отменяет команду «Останов». Отмена команды «Останов» должна быть подтверждена вручную, отдельным и преднамеренным действием (ручным возвратом), если на необходимость этого указывает оценка риска. в) Функция ручного возврата: - должна быть обеспечена с помощью отдельного и вручную управляемого устройства в пределах элементов системы управления, связанных с обеспечением безопасности; - должна быть выполнена только в случае, если действуют все функции безопасности и предохранительные устройства. Если это невозможно, то возврат не должен осуществляться; - не должна сама инициировать движение или создавать опасную ситуацию; - должна включаться преднамеренным действием; - должна подготавливать систему управления для приема отдельной команды «Останов»; - должна приниматься только путем срабатывания исполнительного механизма, находящегося в положении «выключено» (OFF). г) Категория элементов, связанных с обеспечением безопасности, обеспечивающих ручной возврат, должна выбираться таким образом, чтобы включение ручного возврата не уменьшало необходимую безопасность, которая обеспечивается соответствующей функцией. д) Исполнительный механизм возврата должен находиться за пределами опасной зоны и в безопасном положении, из которого хорошо видно, что в пределах опасной зоны никого нет. 5.5 Пуск и повторный пускДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должны применяться следующие требования. а) Повторный пуск должен осуществляться автоматически только в том случае, если опасная ситуация больше не существует. См. также 4.2.2.5 ГОСТ ИСО/ТО 12100-2. б) Требования к пуску и повторному пуску должны также применяться к машинам, которые имеют дистанционное управление. 5.6 Время срабатыванияДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должны применяться следующие требования. Конструктор или поставщик должны указывать время срабатывания, если это необходимо, исходя из оценки риска элементов системы управления, связанных с обеспечением безопасности (см. также раздел 10). Примечание - Время срабатывания системы управления - это часть общего времени срабатывания машины. Необходимое общее время срабатывания машины может влиять на конструкцию элементов, связанных с обеспечением безопасности, например, вызывать необходимость в обеспечении системы торможения. 5.7 Параметры, связанные с обеспечением безопасностиДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должны применяться следующие требования. а) Если параметры элементов, связанных с обеспечением безопасности, например расположение, скорость, температура, давление, отклоняются от заданных пределов, то система управления должна инициировать соответствующие действия, например включение останова, сигнала предупреждения, аварийного сигнала. б) Если ошибки ручного ввода данных обеспечения безопасности в программируемые электронные системы ведут к возникновению опасной ситуации, то в этом случае в пределах системы управления, связанной с обеспечением безопасности, должна устанавливаться система проверки данных, например проверка пределов, формата и(или) логических входных значений. 5.8 Функция местного управленияПри местном управлении машиной, например с помощью переносного устройства управления или подвесного пульта, следующие требования должны применяться в дополнение к изложенным в стандартах, приведенных в таблице 1. а) Средства для избирательного местного управления должны быть расположены за пределами опасной зоны. б) Не должно быть возможности инициировать опасные условия эксплуатации из внешней зоны местного управления. в) Переключение между местным и внешним управлением, например дистанционным управлением, не должно создавать опасную ситуацию. 5.9 ПриостановкаПриостановка не должна приводить к опасным для человека ситуациям. Во время приостановки безопасные условия должны быть обеспечены другими средствами. В конце приостановки должны быть восстановлены все функции безопасности элементов системы управления, связанных с обеспечением безопасности. Категория элементов, связанных с обеспечением безопасности, которые выполняют функцию приостановки, должна выбираться так, чтобы включение этой функции не уменьшало безопасность, требуемую соответствующей функцией безопасности. При некоторых применениях требуется сигнал, указывающий на приостановку. 5.10 Ручная приостановка функций безопасностиЕсли необходимо вручную приостановить действие функций безопасности, например при установке, регулировке, техническом обслуживании, ремонте, то следующие требования должны применяться в дополнение к изложенным в стандартах, приведенных в таблице 1. а) Эффективные и надежные средства должны быть предусмотрены для предотвращения ручной приостановки в режимах работы, при которых она недопустима. б) Функции безопасности элементов системы управления, связанных с обеспечением безопасности, должны быть восстановлены перед продолжением нормальной работы. в) Элементы системы управления, связанные с обеспечением безопасности, которые отвечают за ручную приостановку, должны выбираться с учетом принципов, изложенных в ИСО 14121 [2]. При некоторых применениях требуется сигнал, указывающий на ручную приостановку. 5.11 Колебания, отключение и восстановление источников питанияДополнительно к требованиям, изложенным в стандартах, приведенных в таблице 1, должно применяться следующее. Если возникают колебания, выводящие энергетические уровни за пределы расчетного рабочего диапазона, в том числе внезапное отключение энергоснабжения, то элементы системы управления, связанные с обеспечением безопасности, должны продолжать выдавать или инициировать передачу выходного(ых) сигнала(ов), который(ые) позволяет(ют) другим машинам поддерживать безопасное состояние. 6 Категории6.1 Общие положенияЭлементы систем управления, связанные с обеспечением безопасности, должны соответствовать требованиям одной или нескольким из пяти категорий, установленных в 6.2. Категории не предназначены для использования в каком-либо заданном порядке или какой-либо заданной иерархии в отношении требований безопасности. Категории устанавливают необходимое поведение элементов системы управления, связанных с обеспечением безопасности, в отношении их стойкости к неисправностям на основе принципов, описанных в 4.2. Категория В является основной. Возникновение неисправности может повлечь за собой потерю функции безопасности. Для категории 1 повышенная стойкость к неисправностям достигается преимущественно путем выбора и применения компонентов. Для категорий 2 - 4 улучшение рабочих характеристик в отношении заданной функции безопасности достигается преимущественно путем совершенствования структуры элементов системы управления, связанных с обеспечением безопасности. Для категории 2 это обеспечивается периодической проверкой выполнения функции заданной безопасности. Для категорий 3 и 4 совершенствование структуры обеспечивается тем, что одиночная неисправность не ведет к потере функции безопасности. Для категории 4 и там, где практически целесообразно для категории 3, такие неисправности будут обнаружены. Для категории 4 устанавливается стойкость элементов к накоплению неисправностей. Прямое сравнение стойкого к неисправностям поведения между категориями можно сделать только при условии поочередного изменения одного параметра (см. 4.2). Категории с большим порядковым номером следует понимать только как обеспечивающие большую стойкость к неисправностям в сопоставимых обстоятельствах, например при использовании подобных технологий, компонентов сопоставимой надежности, подобных режимов технического обслуживания и при сопоставимых случаях применения. В таблице 2 дан обзор по категориям элементов систем управления, связанных с обеспечением безопасности, приведено краткое изложение требований и поведение системы управления в случае неисправностей. При рассмотрении причин отказа некоторых компонентов можно исключать возникновение определенных неисправностей (см. раздел 7). Таблица 2 - Краткое изложение требований для категорий (полные требования см. в разделе 6)
6.2 Технические условия категорийЭлементы систем управления, связанные с обеспечением безопасности, должны быть, как минимум, разработаны, сконструированы, выбраны, смонтированы и соединены согласно соответствующим стандартам с использованием основных принципов безопасности для конкретного применения, с тем, чтобы они могли выдерживать: - ожидаемые эксплуатационные нагрузки, например, усилие и повторяемость торможения; - влияние обрабатываемого материала, например, стойкость стиральной машины к воздействию моющих средств; - другие соответствующие внешние воздействия, например механическую вибрацию, внешние поля, прерывания электропитания или помехи. Специальных мер для обеспечения безопасности к элементам, соответствующим техническим условиям категории В, не применяют. Примечание - Возникновение неисправности может привести к потере функции безопасности. Для выполнения требований приложения А ЕН 292-2-91/А1 [3] могут потребоваться дополнительные меры, которые не предусмотрены элементами системы управления, связанными с обеспечением безопасности. 6.2.2.1 Общие положения Следует применять требования категории В и следующее требование. Элементы системы управления, связанные с обеспечением безопасности, которым присвоена категория 1, разрабатывают и конструируют с использованием успешно испытанных компонентов и хорошо проверенных принципов безопасности. 6.2.2.2 Успешно испытанные компоненты Успешно испытанный компонент для применений, связанных с обеспечением безопасности, - это компонент, который: - широко использовался в прошлом с успешными результатами в подобных применениях; - изготовлен и проверен с использованием принципов, которые демонстрируют его пригодность и надежность для применений, связанных с обеспечением безопасности. В некоторых успешно испытанных компонентах определенные неисправности могут быть также исключены, потому что известно, что интенсивность таких неисправностей крайне мала. Решение о приемке индивидуального компонента как успешно испытанного может зависеть от конкретного применения. Примечание - На уровне только отдельных электронных компонентов обычно невозможно реализовать категорию. 6.2.2.3 Хорошо проверенные принципы безопасности Хорошо проверенными принципами безопасности, например, являются: - избежание некоторых неисправностей, например предупреждение короткого замыкания; - снижение вероятности неисправностей, например компоненты с завышенными размерами или с заниженными показателями; - ориентация вида неисправности, например, путем обеспечения разомкнутой цепи, когда очень важно отключать питание в случае неисправности; - очень раннее обнаружение неисправностей; - ограничение последствий неисправностей, например, заземление оборудования. Вновь разработанные компоненты и принципы безопасности могут считаться эквивалентом «успешно испытанного компонента», если они удовлетворяют вышеупомянутым условиям. Примечания 1 Вероятность отказа элемента категории 1 ниже, чем категории В. Соответственно потеря функции безопасности менее возможна. 2 Возникновение неисправности может привести к потере функции безопасности. Для выполнения требований приложения А ЕН 292-2-91/1 [3] могут потребоваться дополнительные меры, которые не предусмотрены элементами системы управления, связанными с обеспечением безопасности. Следует применять требования категории В, использовать хорошо проверенные принципы безопасности и следующие требования. а) Элементы систем управления категории 2, связанные с обеспечением безопасности, должны быть разработаны так, чтобы их функции проверялись системой управления машины через соответствующие интервалы. Проверку функций безопасности следует осуществлять: - при пуске машины и до возникновения любой опасной ситуации; - периодически в процессе работы, если оценка риска и характер работы указывают на се необходимость. б) Проверку можно осуществлять автоматически или вручную. Любая проверка функции(й) безопасности должна: - разрешать работу, если не было обнаружено никаких неисправностей; - вырабатывать выходной сигнал, который вызывает соответствующее управляющее воздействие, если неисправность обнаруживается. Когда это возможно, выходной сигнал должен обеспечивать безопасное состояние. При невозможности соблюдения безопасного состояния (например, сварка контакта в конечном устройстве коммутации) выходной сигнал должен обеспечивать предупреждение об опасности. в) Сама проверка не должна создавать опасную ситуацию. Контролирующие устройства могут быть неотъемлемой частью или находиться отдельно от элементов, связанных с обеспечением безопасности. г) После обнаружения неисправности безопасное состояние должно поддерживаться до ее устранения. Примечания 1 В некоторых случаях категория 2 не применима, потому что нельзя применять проверку функции безопасности ко всем элементам, например, к реле давления или датчику температуры. 2 Вообще, категория 2 реализуется с помощью электронной техники, например, в предохранительных устройствах и конкретных системах управления. Поведение системы управления категории 2 допускает, что: - возникновение неисправности может вызывать потерю функции безопасности между проверками; - потерю функции безопасности обнаруживают проверкой. Следует применять требования категории В, использовать хорошо проверенные принципы безопасности и следующие требования. а) Элементы систем управления категории 3, связанные с обеспечением безопасности, должны быть разработаны так чтобы одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности. б) Неисправности общего характера следует принимать во внимание, если вероятность возникновения таких неисправностей является значимой. в) Когда практически целесообразно, одиночная неисправность должна быть обнаружена во время или до следующего требования по функции безопасности. Примечания 1 Требование обнаружения одиночной неисправности не означает, что все неисправности будут обнаружены. Следовательно, накопление необнаруженных неисправностей может привести к появлению непреднамеренного выходного сигнала и возникновению опасной ситуации в машине. Типовыми примерами практических мер по обнаружению неисправности являются соединенные переключения контактов реле или контроль резервных электрических выходных сигналов. 2 Если необходимо по причинам технологии и применения, то разработчик стандарта типа С должен более подробно характеризовать обнаружение неисправностей. 3 Понятие «Когда практически целесообразно» означает, что необходимые меры по обнаружению неисправностей, а также степени применения этих мер зависят главным образом от последствий отказа и вероятности возникновения этого отказа в условиях данного применения. Используемая технология будет влиять на возможность осуществления мер по обнаружению неисправностей. Поведение системы управления категории 3 допускает, что: - при возникновении одиночной неисправности функция безопасности всегда выполняется; - некоторые, но не все неисправности будут обнаружены; - накопление необнаруженных неисправностей может привести к потере функции безопасности. Следует применять требования категории В, использовать хорошо проверенные принципы безопасности и следующие требования. а) Элементы систем управления категории 4, связанные с обеспечением безопасности, должны быть разработаны так, чтобы: - одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности; - одиночная неисправность обнаруживалась во время или до следующего требования по функции безопасности, например, немедленно при включении, при окончании рабочего цикла машины. Если такое обнаружение невозможно, то накопление неисправностей не должно приводить к потере функции безопасности. б) Если обнаружение некоторых неисправностей невозможно, по крайней мере, в течение следующей проверки после возникновения неисправности по причинам технологии или разработки схем, то должна предполагаться возможность дальнейших неисправностей. В такой ситуации накопление неисправностей не должно приводить к потере функции безопасности. в) Рассмотрение неисправностей может быть остановлено, когда вероятность возникновения дальнейших неисправностей считается достаточно низкой. В этом случае число неисправностей в комбинации, заслуживающей рассмотрения, будет зависеть от технологии, структуры и применения, но должно быть достаточным, чтобы удовлетворять критерию обнаружения. Примечание - На практике число неисправностей, которые следует рассматривать, значительно различается, например, в сложных схемах микропроцессора может существовать большое число неисправностей, а для электрогидравлической цепи рассмотрение трех (или даже двух) неисправностей может быть достаточным. Такое рассмотрение неисправностей может быть ограничено до двух неисправностей в комбинации, когда: - интенсивность неисправностей элементов является низкой; - неисправности в комбинации в значительной степени независимы друг от друга; - прерывание функции безопасности случается только при возникновении неисправностей в определенном порядке. г) При возникновении дальнейших неисправностей как результата действия первой одиночной неисправности, первая и все последующие неисправности должны рассматриваться как одиночная неисправность. д) Неисправности общего характера должны быть учтены, например, путем использования разнообразных специальных процедур, чтобы идентифицировать такие неисправности. Примечание - В случае сложных структурных схем, например в микропроцессорах, при полном резервировании, рассмотрение неисправностей, как правило, проводят на структурном уровне, т.е. на основе монтажных блоков. Поведение системы управления категории 4 допускает, что: - при возникновении неисправностей функция безопасности всегда выполняется; - неисправности будут обнаруживаться своевременно, чтобы предотвратить потерю функции безопасности. 6.3 Выбор и сочетание элементов, связанных с обеспечением безопасности, по разным категориямФункции безопасности (см. 3.6 и раздел 5) задают по методике, описанной в 4.3 (рисунок 1, этап 3). Согласно 6.2 категории следует выбирать для всех элементов системы управления, связанных с обеспечением безопасности. Разработку и выбор элементов, связанных с обеспечением безопасности, следует осуществлять в соответствии с требованиями разделов 4 и 5. Одиночная функция безопасности может быть обработана одним или несколькими элементами, связанными с обеспечением безопасности. Подобным образом несколько функций безопасности могут обрабатываться одним или несколькими элементами, связанными с обеспечением безопасности. На практике для снижения риска может потребоваться выполнение одной или нескольких функций безопасности. Когда функция безопасности выполняется несколькими элементами, связанными с обеспечением безопасности, например датчиками, блоком управления, элементами управления питанием, то эти элементы могут быть отнесены к одной категории и(или) к разным категориям в сочетании (комбинации). Если элементы обеспечения безопасности, отнесенные к одной и той же или к разным категориям, используют в сочетании для выполнения функции безопасности, то анализ этого сочетания должен быть включен в общую проверку достоверности, которая необходима по этапу 5 пункта 4.3. Этот анализ будет более простым, если уже известны категории некоторых или всех элементов, связанных с обеспечением безопасности. Выбор категории для определенного элемента системы управления, связанного с обеспечением безопасности, главным образом зависит от: - снижения риска, который должен быть достигнут функцией безопасности за счет вклада, вносимого этим элементом; - вероятности возникновения неисправности в этом элементе; - риска, возникающего в случае неисправности в этом элементе; - возможностей избежать неисправности в этом элементе; - используемых технологий. Дополнительная информация по выбору категорий приведена в приложении Б. 7 Рассмотрение неисправностей7.1 Общие положенияВ соответствии с требуемой категорией элементы, связанные с обеспечением безопасности, следует выбирать по их способности противостоять неисправностям (см. 4.2). Чтобы оценить эту способность, должны быть рассмотрены отказы разных видов. Определенные неисправности также могут быть исключены (см. 7.2). В приложении В перечислены некоторые значительные отказы и неисправности для разных технологий. Эти перечни и пути проверки на достоверность более подробно изложены для информации в ИСО 13849-2 [20]. Перечень неисправностей, который приведен в приложении В и ИСО 13849-2 [20], не является исключительным, и, при необходимости, дополнительные неисправности должны быть рассмотрены и внесены в перечень. В таких случаях должен быть также четко изложен метод проверки на достоверность. В общем, следует учитывать следующие критерии неисправности: - если, как следствие неисправности, из строя выходят другие элементы, то первая неисправность и последующие неисправности должны рассматриваться как одиночная неисправность; - неисправности общего характера рассматривают как одиночную неисправность; - одновременное возникновение двух независимых неисправностей не рассматривают. Более подробную информацию см. также ЕН 982 [13], ЕН 983 [14] и МЭК 61496-1 [21]. 7.2 Исключение неисправностейНецелесообразно оценивать элементы системы управления, связанные с обеспечением безопасности, без допущения, что определенные неисправности могут быть исключены. Такие неисправности могут быть исключены на основе компромисса между техническими требованиями обеспечения безопасности и теоретической вероятностью их возникновения. На это может влиять конструкция, определение размеров, установка и расположение компонентов в элементах, связанных с обеспечением безопасности. Конструктор должен указывать, обосновывать и перечислять все исключения неисправностей. Исключение неисправности может быть основано на: - отсутствии вероятности возникновения определенной(ых) неисправности(ей); - общепризнанном техническом опыте, который может быть использован независимо от конкретно рассматриваемого применения; - технических требованиях, установленных для данного применения и рассмотренного конкретного риска. 8 Оценка достоверности8.1 Общие положенияДанный раздел поясняет требования на этапе 5 пункта 4.3. Целью оценки достоверности является определение уровня соответствия элементов системы управления, связанных с обеспечением безопасности, их техническим характеристикам в пределах общих технических требований безопасности для данных машин и механизмов (оборудования). Оценка достоверности включает в себя проведение испытаний и применение анализов в соответствии с планом такой оценки (см. 8.2). Конструкция элементов системы управления, связанных с обеспечением безопасности, должна быть оценена на достоверность. Эта оценка должна показывать, что каждый элемент, связанный с обеспечением безопасности, отвечает: - всем требованиям заданной категории (см. раздел 6); - характеристикам безопасности, заданным для этого элемента и вытекающим из рационального конструирования. Оценка достоверности элементов систем управления, связанных с обеспечением безопасности, должна содержать следующие элементы: а) выбор стратегии оценки на достоверность (план оценки); б) руководство и выполнение действий по плану оценки (технические условия на проведение испытаний, методики проведения испытаний, методики проведения анализов); в) документацию (аудиторские отчеты по всем действиям и решениям согласно плану оценки на достоверность). Примечание - Руководящие указания по методикам проведения оценки на достоверность приведены в МЭК 61508 [8]. 8.2 План оценки достоверностиПлан оценки достоверности должен определять требования для выполнения всех стадий процесса оценки достоверности. Этот план следует разрабатывать одновременно с конструированием элементов системы управления, связанных с обеспечением безопасности, или он может быть установлен соответствующим стандартом типа С. План должен включать описание всех требований к: - оценке достоверности путем анализа; - оценке достоверности с помощью испытаний, включая: 1) испытание заданных функций безопасности; 2) испытание заданных категорий; 3) испытание по определению размеров и соответствия параметрам окружающей среды. 8.3 Оценка достоверности путем анализаВ общем, необходим анализ, подтверждающий, что снижение риска было достигнуто. Примеры инструментальных средств анализа включают в себя: перечень неисправностей (см. раздел 7), анализ диагностического «дерева» неисправностей, анализ характера и последствий отказов, важности отказов, контрольные перечни систематических неисправностей. 8.4 Оценка достоверности с помощью испытаний8.4.1 Испытание заданных функций безопасности Важным этапом является проведение испытаний функций безопасности (элементов системы управления, связанных с обеспечением безопасности) на полное соответствие их заданным характеристикам. Важно проверять наличие ошибок и особенно упущений при формулировании технических требований и в процессе разработки машины. Цель испытаний функций безопасности заключается в том, чтобы удостовериться, что выходные сигналы, связанные с обеспечением безопасности, являются правильными и логически зависят от входных сигналов. Испытания должны охватывать все нормальные и прогнозируемые ненормальные условия при статическом и динамическом моделировании, как это необходимо из оценки риска, чтобы подтвердить применимость системы. 8.4.2 Испытание заданных категорий В основе категорий лежит поведение системы в результате неисправности. Испытания должны показывать выполнение этого требования. Методика испытания должна быть выбрана на основе двух критериев: технологии и сложности системы управления. В основном применяют следующие методы: - теоретическая проверка и анализ поведения на основе принципиальных схем; - практические испытания на реальных схемах и моделирование поведения системы, полученного в ходе теоретической проверки и анализа, при неисправностях на реальных компонентах, особенно на сомнительных участках; - моделирование поведения системы управления, например, с помощью моделей аппаратного и/или программного обеспечения. При некоторых применениях, в которых элементы систем управления, связанные с обеспечением безопасности, соединяются по сложной схеме, обычно необходимо разделять соединенные элементы обеспечения безопасности на несколько функциональных групп и проводить испытания с моделированием неисправности только на устройствах сопряжения. Руководящие указания по оценке программируемых электронных систем приведены в приложении Д. 8.4.3 Испытание по определению размеров и соответствия параметрам окружающей среды Эти испытания должны показывать, что заданные конструкторские характеристики обеспечиваются на всех заданных рабочих режимах и при всех заданных условиях окружающей среды. Испытания должны включать в себя, например, испытания для предполагаемой механической конструкции, расчетных электрических параметров, температуры, влажности, вибрации, ударных нагрузок, электромагнитной совместимости, влияния обрабатываемых материалов. При проведении испытаний необходимо учитывать требования соответствующих стандартов, например ГОСТ 14254, МЭК 60068 [22], ГОСТ Р МЭК 60204-1, МЭК 60721-3-0 + А1 [23], МЭК 61000-4-1 [24]. 8.5 Отчет об оценке достоверностиПо завершению процесса оценки достоверности должен быть подготовлен отчет о подтверждении правильности обеспечения безопасности в виде краткого изложения выполненных испытаний и анализов, включая полученные результаты. В этом отчете должны быть специально указаны: - все объекты испытаний; - персонал, ответственный за проведение испытаний; - испытательное оборудование (включая подробности о калибровке) и средства для моделирования; - выполненные анализы и испытания; - возникшие проблемы и как они были разрешены; - результаты. Полученные результаты должны быть документально подтверждены и сохранены в форме, пригодной для ревизии. Примечание - Соответствие 8.5 может оказать помощь изготовителю в пополнении файла технического конструирования, касающегося элементов системы управления, связанных с обеспечением безопасности. 9 Техническое обслуживаниеПланово-предупредительное или внеплановое техническое обслуживание обычно необходимо для поддержания заданных рабочих характеристик элементов, связанных с обеспечением безопасности. Отклонения от заданных рабочих характеристик со временем могут привести к снижению уровня обеспечения безопасности или даже к опасной ситуации. Для определения таких отклонений иногда необходимо проводить периодические визуальные проверки (осмотры). Положения о ремонтопригодности элементов системы управления, связанных с обеспечением безопасности, должны следовать принципам, изложенным в 6.2.1 ГОСТ ИСО/ТО 12100-2 и приложении А ЕН 292-2-91/А1 [3]. Вся информация по техническому обслуживанию должна быть в соответствии с 5.5.1 д) ГОСТ ИСО/ТО 12100-2. 10 Информация для потребителяСледует применять принципы, изложенные в разделе 5 ГОСТ ИСО/ТО 12100-2 и в других, относящихся к этому вопросу, документах, например в разделах 18 и 19 ГОСТ Р МЭК 60204-1. В частности, информация, важная для надежного использования элементов систем управления, связанных с обеспечением безопасности, должна предоставляться потребителю. Информация включает в себя, но не ограничивается только этим, следующее: - пределы действия элементов обеспечения безопасности по выбранной(ым) категории(ям) и любые исключения неисправностей. Примечание - Если исключения неисправностей являются существенными для сохранения выбранной(ых) категории(й) и характеристик безопасности, то соответствующая информация, например для модификации, технического обслуживания и ремонта, необходима для гарантии последующего обоснования этих исключений; - влияние отклонений от заданных рабочих характеристик на функцию(и) безопасности; - четкое описание мест сопряжения с элементами систем управления, связанными с обеспечением безопасности, и предохранительными устройствами; - время срабатывания; - ограничения эксплуатации (включая условия окружающей среды); - обозначения и сигналы опасности; - приостановка и прекращение функций безопасности; - режимы управления; - техническое обслуживание (см. раздел 9); - контрольный перечень технического обслуживания; - удобство доступа и замены внутренних компонентов; - средства для легкого и безопасного поиска неисправностей. Когда предоставляется информация о категории(ях) элементов системы управления, связанных с обеспечением безопасности, то необходимо делать на них ссылки следующим образом: ГОСТ Р ИСО 13849-1-2003, категория В; ГОСТ Р ИСО 13849-1-2003, категория 1; ГОСТ Р ИСО 13849-1-2003, категория 2; ГОСТ Р ИСО 13849-1-2003, категория 3; ГОСТ Р ИСО 13849-1-2003, категория 4. ПРИЛОЖЕНИЕ А(справочное) Анкета, используемая в процессе конструированияА.1 Какая реакция требуется от элементов системы управления, связанных с обеспечением безопасности, в случае возникновения неисправности? • Специальные действия не требуются. • Требуется реакция безопасности в пределах определенного времени. • Требуется немедленная реакция безопасности. А.2 В каких элементах системы управления, связанных с обеспечением безопасности, следует предполагать возникновение неисправности? • Только в тех элементах, в которых (по опыту) относительно часто возникают неисправности, например в периферийных датчиках и монтажных схемах. • В элементах вспомогательного назначения. • Во всех элементах, связанных с обеспечением безопасности. А.3 Необходимо ли рассматривать как случайные, так и систематические неисправности? А.4 Какие неисправности допускаются в компонентах элементов систем управления, связанных с обеспечением безопасности? • Неисправности только в компонентах, которые не считают успешно испытанными. Примечание - Слова «успешно испытанные» применяют не в смысле надежности, а с точки зрения обеспечения безопасности (см. 6.2.2). • Неисправности во всех компонентах. А.5 Правильно ли выбрана контрольная категория в отношении требования к обнаружению неисправностей? • Нормальные требования к обнаружению неисправностей. Примечание - Это означает, что все неисправности, которые могут быть обнаружены относительно простыми методами, должны выявляться. • Жесткие требования к обнаружению неисправностей. Примечание - Это означает, что необходимо использовать технические приемы, которые дают возможность обнаруживать большинство неисправностей. Если это практически нецелесообразно, то следует допускать сочетания неисправностей (накопление неисправностей, см. 6.2.5). А.6 Каким должно быть следующее действие системы управления в случае обнаружения неисправности? • Машина должна быть приведена в заранее заданное состояние, которое требуется исходя из оценки риска. • Дальнейшая работа машины может быть разрешена до устранения неисправности. • Достаточно иметь обозначение неисправности, например сигнал предупреждения на видеомониторе. А.7 Что необходимо для выполнения требований технического обслуживания? • Информация о влиянии отклонений параметров от технических требований на конструирование. • Автоматическая индикация о необходимости технического обслуживания. • Установление перерывов для проведения технического обслуживания. • Установление срока службы компонентов. • Обеспечение средствами диагностики и контрольными точками. • Специальные меры предосторожности для обеспечения безопасности на период технического обслуживания. А.8 Какие методы должны применяться для обнаружения неисправностей? • Автоматический, насколько это возможно. • Ручной, например, путем периодического осмотра. • Использование более чем одного метода. А.9 Достигнуто ли снижение риска? • Может ли снижение риска быть достигнуто более легко при различных сочетаниях мер снижения риска? • Проверить, что принятые меры: - не уменьшают способность машины выполнять свою функцию; - не создают новых, неожиданных опасностей или проблем. • Имеют ли силу данные решения для всех условий эксплуатации и технологического процессов? • Совместимы ли эти решения между собой? • Правильны ли технические требования для обеспечения безопасности? А.10 Принимаются ли во внимание эргономические принципы? • Легко ли использовать элементы системы управления, связанные с обеспечением безопасности, включая предохранительные устройства? • Имеется ли безопасный и легкий доступ к системе управления? • Имеют ли сигналы предупреждения заданный приоритет (например, будут ли они выделены)? А.11 Были ли оптимизированы отношения между безопасностью, надежностью, эксплуатационной готовностью и эргономикой таким образом, что меры безопасности будут поддерживаться в течение всего срока службы данной системы и не будут давать повода персоналу обойти функции безопасности? ПРИЛОЖЕНИЕ Б(справочное) Руководство по выбору категорийВ настоящем приложении описан упрощенный метод, основанный на ИСО 14121 [21] (особенно в отношении упрощения выбора элементов риска, изложенного в 7.1 ИСО 14121 [21]), для выбора соответствующих категорий в качестве ориентиров при конструировании различных элементов системы управления, связанных с обеспечением безопасности. Руководство в настоящем приложении следует рассматривать как часть оценки риска, приведенной в ИСО 14121 [2], но не ее замену. Важно, что конструирование элементов систем управления, связанных с обеспечением безопасности, включая выбор категорий, как описано в разделе 4, должно быть основано на оценке риска, используя принципы, указанные в ИСО 14121 [2], и являться составной частью общей оценки риска эксплуатации машины. Как правило, трудно или невозможно количественно определить риск, и настоящий метод касается только вклада в снижение риска, вносимого элементами системы управления, связанными с обеспечением безопасности. Этот метод обеспечивает только оценку снижения риска и предназначен для того, чтобы конструктор и разработчик стандартов могли выбирать категорию на основе поведения элементов системы управления в случае неисправности. Однако это только один аспект, и другие действия будут также вносить свой вклад в оценку риска для достижения адекватной безопасности. К таким действиям относятся, например, надежность компонента, используемая технология или конкретное применение, и они могут указывать на отклонение от ожидаемого выбора категории. Настоящий метод представляет собой следующее. Тяжесть травмирования (S) относительно легко поддается оценке, например, рваная рана, ампутация, летальный исход. При определении частоты появления опасного события используют вспомогательные параметры, чтобы повысить уровень оценки. К таким параметрам относят: а) частоту и продолжительность подверженности данной опасности (F); б) возможность уклонения от этой опасности (Р). Опыт показал, что эти параметры могут быть объединены, как на рисунке Б.1, чтобы продемонстрировать градацию от низкой до высокой степени риска. Этим подчеркивается, что только качественный процесс дает оценку риска. На рисунке Б.1 предпочтительная(ые) категория(и) показана(ы) в виде темного кружка большого диаметра. В некоторых применениях конструктор или разработчик стандарта типа С может выбирать другую категорию, показанную или темным кружком малого диаметра, или светлым кружком. Кроме предпочтительных, можно использовать другие категории (см. 6.3), но тогда в случае неисправности должно поддерживаться предполагаемое поведение системы. Следует обосновать причины отклонения от предпочтительных категорий. К таким причинам может относиться применение разных технологий, например, использование успешно испытанных гидравлических или электромеханических компонентов (категория 1) в сочетании с электрическими или электронными системами (категории 3 и 4). При выборе категорий, указанных на рисунке Б.1 темными кружками малого диаметра, могут потребоваться выборочные дополнительные меры, например: - задание завышенных размеров или использование технологий, ведущих к исключению неисправностей; - использование динамического контроля. Например, оценка риска параметром S1 (см. Б.2.1) устанавливает категорию элементов системы управления, связанных с обеспечением безопасности, как категорию 1. В некоторых применениях конструктор или разработчик стандартов типа С может выбирать категорию В за счет использования других мер защиты. 1 - начальная точка оценки риска для элемента системы управления, связанного с обеспечением безопасности (см. 4.3, этап 3); S - тяжесть травмирования: S1 - легкая травма (как правило, обратимая); S2 - серьезная травма (как правило, необратимая), включая летальный исход; F - частота и (или) продолжительность подверженности опасности: F1 - от редкой до очень частой, и (или) короткая продолжительность; F2 - от частой до непрерывной, и (или) длительная продолжительность; Р - возможность избежать опасности: P1 - возможно при определенных условиях, Р2 - почти невозможно Выбор категорий В, 1 ¸ 4: - предпочтительные категории для исходных точек (см. 4.2); - возможные категории, которые требуют дополнительных мер (см. Б.1); - меры, которые могут быть рассчитаны с запасом для соответствующего риска. Рисунок Б.1 - Выбор категорий для элементов систем управления, связанных с обеспечением безопасности Б.2 Руководство по выбору параметров S, F и Р для оценки риска Б.2.1 Тяжесть травмирования видов S1 и S2 При оценке риска, связанного с неисправностями в элементах системы управления, имеющих отношение к безопасности, рассматривают только легкие (обычно обратимые) и серьезные травмы (как правило, необратимые, включая летальный исход). Чтобы сделать выбор, необходимо принимать во внимание обычные обстоятельства несчастных случаев и нормальные процессы лечения, например ушибы и(или) рваные раны следует классифицировать как S1, в то время как ампутацию или летальный исход - как S2. Б.2.2 Частота и(или) продолжительность подверженности опасности видов F1 и F2 Как правило, действительный период времени, в течение которого должны выбираться параметры F1 и F2, не может быть задан. Однако следующее объяснение может помочь в правильном решении при сомнительных случаях. Параметр F2 следует выбирать в том случае, если человек (лицо, оператор) кратковременно или длительно подвергается опасности. Не имеет значения, подвергается ли последовательно опасностям один и тот же или разные люди (операторы), например при пользовании лифтами. Продолжительность подверженности опасности следует оценивать на основе среднего значения, которое можно представить как отношение к общему периоду времени, в течение которого используют данное оборудование. Например, если в течение рабочего цикла необходимо регулярно просовывать руку между механизмами машины для того, чтобы загружать и снимать детали, то тогда следует выбирать параметр F2. Если доступ к детали требуется время от времени, то тогда можно выбирать параметр F1. Б.2.3 Возможность избежать опасности вида Р При возникновении опасности важно знать, можно ли ее распознать или ее можно избежать прежде, чем она приведет к несчастному случаю. Например, важно рассмотреть, можно ли идентифицировать определенную опасность по ее физическим характеристикам или ее можно распознать только техническими средствами, например по индикаторам. Другими важными аспектами, влияющими на выбор параметра Р, являются, например: - работа под наблюдением или без него; - выполнение работы опытным специалистом или непрофессионалом (дилетантом); - скорость возрастания опасности, например, быстро или медленно; - возможность избежать опасности, например, путем эвакуации по лестничному маршу или с помощью третьей стороны; - практический опыт по безопасности, связанный с определенным процессом. При возникновении опасной ситуации параметр Р1 следует выбирать только тогда, когда есть реальный шанс уклониться от несчастного случая или значительно уменьшить его эффект. Параметр Р2 выбирают, когда почти нет возможности избежать опасности. ПРИЛОЖЕНИЕ В(справочное) Примеры значительных отказов и неисправностей для различных технологийВ.1 Электрические (электронные) компоненты Некоторые отказы и неисправности, которые следует принимать во внимание: - короткое замыкание или разомкнутая цепь, например неисправности заземления (короткое замыкание на защитном проводе или проводящей части), обрыв цепи в любом проводнике; - короткое замыкание или разомкнутая цепь в отдельных компонентах, например в позиционных переключателях, управляющих и регулирующих устройствах, силовых приводах машин, реле; - отпускание или втягивание электромагнитных элементов, например контакторов, реле, соленоидов; - невозможность пуска или останова двигателей, например серводвигателей; - механическая блокировка движущихся элементов, ослабление крепления или смещение неподвижных элементов, например позиционных переключателей; - уход характеристик за допустимые пределы для аналоговых элементов, например сопротивлений, конденсаторов, транзисторов; - колебания (нестабильность) выходных сигналов в интегральных компонентах; - полная или частичная потеря функции(й) (наихудший случай поведения) в комплексных интегральных компонентах, например в микропроцессорах, программируемых электронных системах, интегральных схемах специального применения. В.2 Гидравлические и пневматические компоненты Некоторые отказы и неисправности, которые следует принимать во внимание: - отсутствие или неполное переключение подвижного элемента, например штока поршня клапана; - смещение подвижного элемента в исходной позиции управления, например, в направляющих регулирующих клапанах; - утечка и изменение ее объемного расхода, например, в направляющих регулирующих клапанах; - нестабильные характеристики управления в сервоклапанах и пропорциональных клапанах; - падение давления или разрыв трубопроводов, например, в гибких шлангах и в соединениях шлангов; - загрязнение элемента фильтра (особенно из-за твердых частиц); - ненормальное давление и/или объемный расход, например, в гидравлических насосах, гидравлических моторах, компрессорах, цилиндрах; - отказ или ненормальное изменение входных или выходных характеристик сигналов датчиков, например, в реле давления. В.3 Механические компоненты Некоторые отказы и неисправности, которые следует принимать во внимание: - разрушение пружины; - жесткость или заедание направляющих подвижных элементов; - ослабление креплений, например, за счет вибрации; - износ, например бегунков, задвижек, роликов; - смещение деталей от заданного положения; - влияние окружающей среды, например, коррозия, температурные эффекты. ПРИЛОЖЕНИЕ Г(справочное) Взаимосвязь между безопасностью, надежностью и эксплуатационной готовностью оборудованияКонцепции безопасности, надежности и эксплуатационной готовности можно описать следующим образом. Безопасность оборудования (машины) характеризуется его (ее) способностью выполнять свою функцию, возможностями транспортирования, установки, регулировки, технического обслуживания, демонтажа и утилизации в условиях предназначенного использования, указанного в инструкции по эксплуатации (в некоторых случаях, в пределах заданного периода времени, приведенного в этой инструкции), без травмирования или нанесения другого вреда здоровью (в соответствии с 3.4 ГОСТ ИСО/ТО 12100-1). Надежность - это способность машины, элементов или оборудования безотказно выполнять заданную функцию при определенных условиях и в заданный период времени (в соответствии с 3.2 ГОСТ ИСО/ТО 12100-1). Эксплуатационная готовность - это способность объекта выполнять необходимую функцию в данных условиях, в заданный момент времени или в течение определенного периода времени, при условии обеспечения внешними ресурсами (в соответствии с МЭК 60050-191 [1]). Безопасность рассматривает причины и последствия возможных несчастных случаев (травм или нанесение другого вреда здоровью). Требования безопасности касаются создания и поддержания системы, которая не вызывает несчастных случаев. Требования безопасности гарантируют, что система не создает опасных условий эксплуатации или опасного состояния, когда событие(я) может(могут) стать причиной несчастного случая. Требования обеспечения безопасности должны указывать на действия, которые следует принимать, если неожиданное событие в окружающей среде ведет к опасному состоянию. С точки зрения безопасности не имеет значения, служит или нет система своему назначению до тех пор, пока не нарушаются требования безопасности. С другой стороны, возможно, что система является высоконадежной, но опасной, например система с формально проверенным программным обеспечением, но в этих программах не была должным образом задана ситуация, связанная с безопасностью. Эксплуатационная готовность влияет на безопасность. Готовность системы предполагает, что надежность, связанная с обеспечением безопасности, соблюдается и защитное устройство может быть исключено. Конструктор несет ответственность в каждом случае применения за взаимосвязь между эксплуатационной готовностью, надежностью и безопасностью, чтобы гарантировать обеспечение снижения риска. ПРИЛОЖЕНИЕ Д(справочное) Библиография[1] МЭК 60050-191-90 Международный электротехнический словарь (МЭС). Глава 191. Надежность и качество услуг [2] ИСО 14121-99 Безопасность оборудования. Принципы оценки риска [3] ЕН 292-2-91/А1-95 Безопасность оборудования. Основные понятия, общие принципы конструирования. Часть 2. Технические правила и технические требования [4] ИСО 10218-92 Роботы манипуляционные промышленные. Безопасность [6] ИСО 13850-96 Безопасность оборудования. Аварийный останов. Принципы конструирования [8] МЭК 61508* Функциональная безопасность: системы, связанные с обеспечением безопасности [9] ИСО 14118-2000 Безопасность оборудования. Предотвращение неожиданного пуска [10] ИСО 7731-86 Сигналы опасности на рабочих местах. Звуковые сигналы опасности [13] ЕН 982-96 Безопасность оборудования. Требования к безопасности гидравлических и пневматических систем и их компонентов. Гидравлика [15] ЕН 614-1-95 Безопасность оборудования. Эргономические принципы конструирования. Часть 1. Термины, определения и общие принципы [16] ЕН 894-1-97 Безопасность оборудования. Эргономические требования к конструкции дисплеев и исполнительных механизмов систем управления. Часть 1. Общие принципы взаимодействия пользователей с дисплеями и исполнительными механизмами систем управления [17] ЕН 894-2-97 Безопасность оборудования. Эргономические требования к конструкции дисплеев и исполнительных механизмов систем управления. Часть 2. Дисплеи [18] ЕН 894-3-92* Безопасность оборудования. Эргономические требования к конструкции дисплеев и исполнительных механизмов систем управления. Часть 3. Исполнительные механизмы систем управления [22] МЭК 60068* Основные методики испытаний на воздействие внешних факторов * В стадии разработки. Д.1 Взаимосвязь между ссылками на международные стандарты в разделе 2 и библиографии и соответствующими европейскими и российскими стандартами
Ключевые слова: безопасность оборудования, системы управления, элементы, конструирование, общие принципы
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
© 2013 Ёшкин Кот :-) |