Обсуждение темы "1000 вопросов по функциональной безопасности"

Безопасность оборудования, функциональная безопасность, отказоустойчивая и отказобезопасная автоматика, электробезопасность, ОТиТБ, ПУЭ, ПОТ, ПБ
Ответить
Дмитрий
Профан
Сообщения: 3
Зарегистрирован: 07 июл 2014, 14:14

Обсуждение темы "1000 вопросов по функциональной безопасности"

Сообщение Дмитрий »

Вопрос по простейшей схеме безопасности.
С работой схемы при залипании контакта реле К1 или К2, вроде разобрался. Существуют ли способы проверки кноочных выключателей для подобных схем (при залипании пусковой и (или) стоповой кнопки)
С уважением.
Дмитрий

Михайло
Администратор
Сообщения: 4094
Зарегистрирован: 19 сен 2012, 19:16

Re: 1000 ответов и вопросов по функциональной безопасности

Сообщение Михайло »

Как раз собирался осветить данный вопрос.

Сразу скажу: проверять залипание пусковой кнопки нет необходимости, такие схемы не делают. Даже если эта кнопка залипнет, то как будто бы включится режим автозапуска. В этих условиях всегда остается возможность отключения опасного процесса, а также исправно функционирует самодиагностика системы - этого для безопасности достаточно. Схемы, построенные на микросхемах, могут включаться от фронта кнопки - у таких систем режим автозапуска невозможен и, следовательно, залипание кнопки как фактор риска нивелируется.
А вот контролировать исправность стоповой кнопки часто необходимо для повышения уровня безопасности, поэтому продолжим......

Дмитрий
Профан
Сообщения: 3
Зарегистрирован: 07 июл 2014, 14:14

Re: 1000 ответов и вопросов по функциональной безопасности

Сообщение Дмитрий »

"Чем дальше в лес тем толще партизаны"
Вопросы (система безопасности на базе трех реле):
1. Гоночные вопросы. По моему мнению могут возникнуть вопросы по понижению надежности связанные с разбросом(уходом) параметра время вкоючения (отпускания) реле К1 и К2 и контакторов КМ1 и КМ2. Например:
- К3 включилось, начинает включаться К1, реле К1 размыкает контакт в цепи К3 (подхват в цепи К1 еще не сработал), обесточивается К3, обесточивается К1 (далее циклическое включение, подобый случай наблюдал лично);
- К1 включилось, обесточило К3, успело ли включиться К2;
- вариант с запаздыванием включения одного контактора относительно другого кажется маловероятным, т.к. к моменту когда один из контакторов разомкнёт цепь включения К3, реле К1 и К2 должны встать на самопитание.
2. Вопрос с пусковой кнопкой. В случаях когда не допустим произвольный пуск (пробой в цепи SB2), этот вопрос также важен. Например когда для проведения ремонта или остановки движения можно отключить питание, разъединить или остановить агрегат тормозом. А проводить такие отключения при нормальной работе нерационально, т.к. включение-выключение производится многократно.
С уважением
Дмитрий

Михайло
Администратор
Сообщения: 4094
Зарегистрирован: 19 сен 2012, 19:16

Re: 1000 ответов и вопросов по функциональной безопасности

Сообщение Михайло »

Дмитрий писал(а):1. Гоночные вопросы.
Да. Вы правы. В оригинальных схемах на катушке K3 сидит что-то похожее на полярный конденсатор или нарисована какая-то особая катушка типа с задержкой. Я не сразу понял, для чего эта фишка.

И вообще я извиняюсь, что ввел читателей в заблуждение, но в вопросах №5 и №6 необходимо исправить ряд принципиальных ошибок.

1. Во-первых, все схемы, представленные в вопросе №5, не соответствуют принципам безопасности. Да, эти схемы реализуют самодиагностику и безопасное отключение в случае обнаружения неисправности одного из элементов схемы, но в них не реализован важный принцип дублирования - полная физическая независимость каналов. Катушки К1 и К2 соединены параллельно, а значит каналы дублирования взаимодействуют друг с другом. Это нехорошо. Такое реле безопасности может дать отказ очень просто: если на клемму Y1 в случае неисправности попадет стабильный положительный потенциал +24 В, то произойдет недопустимый инцидент - оба канала активируются и нагрузку нельзя будет обесточить стоповой кнопкой.
Единственно верным вариантом реле безопасности является схема, приведенная в вопросе №6. В ближайшее время объединю вопросы №5 и №6, перечеркну неправильные варианты. Ошибка, допущенная мною, может послужить поучительным примером.

2. Реле К3 в последних двух схемах совершенно необязательно должно иметь положительно управляемые контакты. В случае одновременного залипания даже двух его нормально замкнутых контактов и одного из контактов кнопки СТОП система сохраняет безопасное состояние и нагрузка может быть отключена, а повторный запуск произвести не получится.

3. Ну и про полярный конденсатор. Я не смог его идентифицировать, он был нарисован в буржуйской манере.

Михайло
Администратор
Сообщения: 4094
Зарегистрирован: 19 сен 2012, 19:16

Re: 1000 ответов и вопросов по функциональной безопасности

Сообщение Михайло »

Кстати, на счет проблемы дублирования пусковой кнопки и проблемы неожиданного автостарта вообще: нажатие кнопки START и соответственно включение реле безопасности не должно приводить к запуску каких-либо механизмов. Должна быть еще одна пусковая кнопка, нажатие которой собственно приводит к запуску электродвигателя и других опасных исполнительных механизмов. То есть от неожиданного автозапуска должна предохранять обычная система управления, например, стандартный программируемый логический контроллер. Хм. Надо этот вопрос отдельно рассмотреть.

Дмитрий
Профан
Сообщения: 3
Зарегистрирован: 07 июл 2014, 14:14

Re: 1000 ответов и вопросов по функциональной безопасности

Сообщение Дмитрий »

Добрый день!
К своему стыду несмотря на то что занимаюсь системами управления путевых железнодорожных машин, с нормативной базой по вопросам функциональной безопасности знаком не совсем, не очень и никак.
Бегло просмотрел:
- ГОСТ Р ИСО 12100;
- ГОСТ Р ИСО 13849-1-2003. Так какая же из градаций действует abcde или В, 1,2,3,4 (ГОСТ Р 55743-2013 говорит уже о разнице между УБ и УПБ);
- знакомлюсь с ГОСТ Р МЭК 61508-1-2012.

В нормах безопасности и требованиях по сертификации никаких конкретных требований к машине и системе управления не нашёл. Читаю сейчас ТЕХНИЧЕСКИЙ РЕГЛАМЕНТ ТС
"О БЕЗОПАСНОСТИ ЖЕЛЕЗНОДОРОЖНОГО ПОДВИЖНОГО СОСТАВА" (свежий, 11 г.). Пока ничего конкретного так же не обнаружил, озадачила в нем фраза (не дословно) "функции машины должны выполнятся при отказе системы управления".
В известных мне схемах путевых машин (м.б. в новых разработках все по другому) никаких дублирований с взаимной проверкой нет.
Сообщил Руководству о своей(моей в смысле) некомпетентности. Руководство посоветовало запросить у руководящий организации Тут во первых надо понять к кому именно обратиться, во вторых надо вопрос сформулировать, а в голове каша.
Соответственно если есть возможность прошу объяснить для начала, как определяется категория безопасности машины и системы управления. Назначается каком либо руководящим документом для данного типа машин или определяется контструктором на этапе разработки (как быть при модернизации). (потом уже какие требование к системе категория накладывает)
Сам попробую выйти на конкурентов по отрасли.Че нам простым инженеграм делить то.
С уважением
Дмитрий

Михайло
Администратор
Сообщения: 4094
Зарегистрирован: 19 сен 2012, 19:16

Re: Обсуждение темы "1000 вопросов по функциональной безопас

Сообщение Михайло »

Отделил обсуждение в отдельную тему.

Исправил все свои косяки.


Дмитрий, спасибо, что дали ссылку на новый ГОСТ Р 55743. У меня его в каталоге не было...

Вообще на счет разницы УП и УПБ... Существует три подхода:
- EN954:1997 и ранний ISO 13849:1999, где определены категории безопасности B1234,
- поздний ISO 13849:2006 - уровни производительности abcde,
- IEC 61508 cо своими уровнями полноты безопасности SIL1...SIL3.
Это все разные подходы, лучше не путать. Первый вариант, который освещен в имеющемся ГОСТ Р ИСО 13849-2003, в Европе уже отменен...
О безопасности железнодорожного подвижного состава (с изменениями на 9 декабря 2011 года) писал(а):27. Система управления, контроля и безопасности железнодорожного подвижного состава в случаях работы тягового привода и другого оборудования при неисправностях аппаратов электрической, гидравлической и (или) пневматической частей, сбоя программного обеспечения не должна допускать изменений характеристик и режимов работы, которые могут привести к нарушению безопасного состояния железнодорожного подвижного состава. Сбой системы управления при исправной работе бортовых устройств безопасности не должен приводить к остановке железнодорожного подвижного состава и к нарушению его проектных характеристик.
Тут надо аккуратно трактовать каждое слово в предложении. Обрати внимание: есть обычная система управления, а есть система безопасности, а еще система контроля. К каждой из этих систем свои требования... В частности как бы между строк сказано, что обычная СУ никогда не должна останавливать поезд при внутреннем сбое, это должна делать СБ. СБ обычно физически разделяется от СУ, думаю ЖД - это не исключение.
Следующее, что сказано между строк: СУ в случае сбоя, обнаруженного системой СБ, должна помогать переводить объект в безопасное состояние. То есть, если СБ дает сигнал СУ о сбое, то СУ может предпринять торможение или другие необходимые действия, способствующие безопасности.
Резюмирую кратко: нужно четко разделить функции СБ и СУ. Все функции СБ должны быть "в руках" у СБ. В случае сбоя СУ не должна противодействовать СБ, т.е. она должна подчиняться системе СБ.

Ответить