月曜日、4月04 2011 18:20

安全制御システムの設計原則

このアイテムを評価
(2票)

制御システムが使用中に安全でなければならないことは、一般的に合意されています。 これを念頭に置いて、最新の制御システムのほとんどは、図 1 に示すように設計されています。

図 1. 制御システムの一般的な設計

SAF062F1

制御システムを安全にする最も簡単な方法は、その周りに侵入不可能な壁を構築して、人間のアクセスや危険ゾーンへの干渉を防ぐことです。 ほとんどのテスト、修理、および調整作業を実行するためにアクセスすることは不可能であるため、このようなシステムは非常に安全ですが、実用的ではありません。 特定の条件下では危険ゾーンへのアクセスを許可する必要があるため、生産、設置、サービス、およびメンテナンスを容易にするために、壁やフェンスなど以外の保護手段が必要です。

 

これらの保護手段の一部は、次のように制御システムに部分的または完全に統合できます。

  • 誰かが危険ゾーンに入った場合は、非常停止 (ES) ボタンを使用して、動きを即座に停止できます。
  • 押しボタン制御は、押しボタンが作動している場合にのみ移動を許可します。
  • ダブルハンド コントロール (DHC) は、両手で XNUMX つのコントロール要素を押し下げている場合にのみ動作を許可します (したがって、手を危険ゾーンから遠ざけることが保証されます)。

 

これらのタイプの保護手段は、オペレータによってアクティブ化されます。 ただし、人間はアプリケーションの弱点となることが多いため、次のような多くの機能が自動的に実行されます。

  • 整備中または「ティーチイン」中のロボットアームの動きは非常に遅いです。 それにもかかわらず、速度は継続的に監視されます。 制御システムの故障が原因で、自動ロボット アームの速度がサービスまたはティーチイン期間中に予期せず増加した場合、監視システムが起動し、動作を即座に停止します。
  • 危険ゾーンへのアクセスを防ぐために、光バリアが提供されます。 光ビームが遮られると、マシンは自動的に停止します。

 

制御システムが正常に機能することは、生産の最も重要な前提条件です。 制御の失敗により生産機能が中断された場合、不便ではありますが、危険ではありません。 安全関連の機能が実行されない場合、生産の損失、機器の損傷、負傷、または死亡に至る可能性があります。 したがって、安全関連の制御システム機能は、通常の制御システム機能よりも信頼性と安全性が高くなければなりません。 欧州理事会指令 89/392/EEC (マシン ガイドライン) によると、制御システムは安全で信頼できるように設計および構築する必要があります。

コントロールは、XNUMX つまたは複数の機能を実行するために相互に接続された多数のコンポーネントで構成されます。 コントロールはチャンネルに分割されています。 チャネルは、特定の機能 (開始、停止、緊急停止など) を実行する制御の一部です。 物理的には、チャネルは一連のコンポーネント (トランジスタ、ダイオード、リレー、ゲートなど) によって作成され、コンポーネント間で、その機能を表す (主に電気的な) 情報が入力から出力に転送されます。

安全関連機能 (人間が関与する機能) の制御チャネルを設計する際には、次の要件を満たす必要があります。

  • 安全関連機能を備えた制御チャネルで使用されるコンポーネントは、通常の使用の厳しさに耐えることができなければなりません。 一般的、 それらは十分に信頼できるものでなければなりません.
  • ロジックのエラーが危険な状況を引き起こしてはなりません。 一般的、 安全関連のチャネルは、十分な耐障害性を備えている必要があります。.
  • 外部の影響 (要因) によって、安全関連チャネルの一時的または永続的な障害が発生してはなりません。

 

信頼性の向上

信頼性の向上 特定の条件下で一定期間、必要な機能を実行する制御チャネルまたはコンポーネントの能力です。 失敗することなく. (特定のコンポーネントまたは制御チャネルの確率は、適切な方法を使用して計算できます。) 信頼性は、特定の時間値に対して常に指定する必要があります。 一般的に、信頼度は図2の式で表すことができます。

図 2. 信頼性の公式

SAF062F2

複雑なシステムの信頼性

システムはコンポーネントから構築されます。 コンポーネントの信頼性がわかれば、システム全体の信頼性を計算できます。 このような場合、以下が適用されます。

シリアルシステム

総信頼度 RTOT 同じ信頼性 R の N 個のコンポーネントで構成されるシリアル システムのC 図3のように計算されます。

図 3. 直列接続されたコンポーネントの信頼性グラフ

SAF062F3

全体の信頼性は、最も信頼性の低いコンポーネントの信頼性よりも低くなります。 直列に接続されたコンポーネントの数が増えると、チェーン全体の信頼性が大幅に低下します。

並列システム

総信頼度 RTOT 同じ信頼性 R の N 個のコンポーネントからなる並列システムのC 図4のように計算されます。

図 4. 並列接続されたコンポーネントの信頼性グラフ

SAF062F4

XNUMX つ以上のコンポーネントを並列接続することで、全体的な信頼性を大幅に向上させることができます。

図 5 に実際の例を示します。 回路がモーターをより確実にオフにすることに注意してください。 リレー A または B が接点を開かなくても、モーターはオフになります。

図 5. 図 4 の実際の例

SAF062F5

必要なすべてのコンポーネントの信頼性がわかっている場合、チャネルの総合的な信頼性を計算するのは簡単です。 複雑なコンポーネント (集積回路、マイクロプロセッサなど) の場合、必要な情報がメーカーによって公開されていない場合、総合的な信頼性の計算は困難または不可能です。

安全性

専門家が安全について語り、安全な機械を求めるとき、それは機械またはシステム全体の安全を意味します。 ただし、この安全性は一般的すぎて、コントロールの設計者にとって十分に正確に定義されていません。 の次の定義 安全性 安全性は、制御回路の設計者にとって実用的であり、使用可能である可能性があります。 したがって、安全関連チャネルがどの程度「安全」でなければならないかを設計時に明確にする必要があります。 (設計者は、最初の故障、任意の XNUMX つの故障、XNUMX つの故障などに対して安全なチャネルを開発できます。) さらに、事故を防止するために使用される機能を実行するチャネルは、本質的に信頼できるかもしれませんが、そうではありません。障害に対して必然的に安全であること。 これは、次の例で最もよく説明できます。

図 6 に示す例は、必要な安全機能を実行する安全関連の制御チャネルです。 第1の構成要素は、例えば、危険区域へのアクセスドアの位置を監視するスイッチであり得る。 最後のコンポーネントは、危険領域内で動く機械部品を駆動するモーターです。

図 6. 必要な安全機能を実行する安全関連の制御チャネル

SAF062F6

この場合に必要な安全機能は二重のものです。ドアが閉じている場合、モーターが作動する可能性があります。 ドアが開いている場合は、モーターをオフにする必要があります。 信頼性を知る R1 Rへ6、信頼性Rを計算することができます死にました。 設計者は、制御システム全体の十分に高い信頼性を維持するために、信頼できるコンポーネントを使用する必要があります (つまり、この機能が、たとえば 20 年後でも実行される可能性を設計で考慮する必要があります)。 その結果、設計者は次の 1 つのタスクを実行する必要があります。(2) 回路が必要な機能を実行する必要があること、および (XNUMX) コンポーネントおよび制御チャネル全体の信頼性が適切でなければならないことです。

ここで、次の質問をする必要があります。システムに障害が発生した場合でも、前述のチャネルは必要な安全機能を実行しますか (たとえば、リレー接点の固着やコンポーネントの誤動作)? 答えはノーです"。 その理由は、直列に接続されたコンポーネントのみで構成され、静的信号で動作する単一の制御チャネルは、XNUMX つの障害に対して安全ではないからです。 チャネルは、機能が実行される確率を保証する特定の信頼性のみを持つことができます。 そのような状況では、安全は常に次のように意味されます 故障関連.

制御チャネルの信頼性と安全性を両立させるには、図 7 のように設計を変更する必要があります。図の例は、完全に分離された XNUMX つのサブチャネルで構成される安全関連の制御チャネルです。

図 7. XNUMX つの完全に独立したサブチャネルを備えた安全関連の制御チャネル

SAF062F7

この設計は、最初の障害 (および同じサブチャネルでさらに障害が発生する可能性) に対しては安全ですが、障害検出回路がないため、XNUMX つの異なるサブチャネルで (同時にまたは異なる時間に) 発生する可能性がある XNUMX つの障害に対しては安全ではありません。 その結果、最初は両方のサブチャネルが高い信頼性で動作しますが (並列システムを参照)、最初の障害の後は XNUMX つのサブチャネルのみが動作し、信頼性が低下します。 まだ動作しているサブチャネルで XNUMX 番目の故障が発生した場合、両方とも故障し、安全機能は実行されなくなります。

図 8 に示されている例は、互いに監視する XNUMX つの完全に独立したサブチャネルで構成される安全関連の制御チャネルです。

図 8. 互いに監視する XNUMX つの完全に独立したサブチャネルを備えた安全関連の制御チャネル

SAF062F8

このような設計は、障害が発生した後、XNUMX つのサブチャネルのみが機能しなくなり、他のサブチャネルは使用可能なままで安全機能を実行するため、フェイル セーフです。 また、故障検出回路を内蔵した設計です。 障害により、両方のサブチャネルが同じように機能しない場合、この状態は「排他的 OR」回路によって検出され、その結果、マシンは自動的にオフになります。 これは、機械制御を設計する最良の方法の XNUMX つであり、安全関連のサブチャネルを設計します。 それらは XNUMX つの障害に対して安全であると同時に、XNUMX つの障害が同時に発生する可能性が非常に低いほど十分な信頼性を提供します。

冗長化

設計者が(故障に対する)信頼性および/または安全性を改善するさまざまな方法があることは明らかである。 前の例は、さまざまなソリューションによって機能 (つまり、ドアが閉まっている場合はモーターが作動し、ドアが開いている場合はモーターを停止する必要がある) をどのように実現できるかを示しています。 非常に単純な方法 (9 つのサブチャネル) もあれば、より複雑な方法 (相互に監視する XNUMX つのサブチャネル) もあります。 (図 XNUMX を参照してください。)

図 9. 障害検出あり/なしの冗長システムの信頼性

SAF062F9

単純なものと比較して、複雑な回路やコンポーネントにはある程度の冗長性があります。 冗長化 (1) 冗長性とは、目的の機能を単純に実現するために実際に必要な手段 (コンポーネント、チャネル、より高い安全係数、追加のテストなど) よりも多くの手段が存在することです。 (2) 冗長性は明らかに機能を「改善」するものではなく、とにかく実行されます。 冗長性は、信頼性や安全性を向上させるだけです。

一部の安全専門家は、冗長性はシステムの XNUMX 倍または XNUMX 倍などにすぎないと考えています。 冗長性はより広く柔軟に解釈される可能性があるため、これは非常に限定的な解釈です。 冗長性はハードウェアに含まれるだけではありません。 ソフトウェアにも含まれている場合があります。 安全係数の改善 (たとえば、弱いロープの代わりに強いロープを使用する) も、冗長性の XNUMX つの形態と見なすことができます。

エントロピー

エントロピーは主に熱力学と天文学で見られる用語で、次のように定義できます。すべてのものは崩壊する傾向があります。 したがって、使用中の技術に関係なく、すべてのコンポーネント、サブシステム、またはシステムがいつか故障することは絶対に確実です。 これは、100% 信頼できる安全なシステム、サブシステム、またはコンポーネントがないことを意味します。 それらのすべては、構造の複雑さに応じて、多かれ少なかれ信頼性と安全性にすぎません。 必然的に前後に発生する障害は、エントロピーの作用を示しています。

エントロピーに対抗するために設計者が利用できる唯一の手段は冗長性です。これは、(a) コンポーネントにより高い信頼性を導入し、(b) 回路アーキテクチャ全体により高い安全性を提供することによって実現されます。 必要な機能が必要な期間実行される確率を十分に高めることによってのみ、設計者はエントロピーからある程度防御することができます。

リスクアセスメント

潜在的なリスクが大きいほど、要求される信頼性や安全性 (障害に対する) が高くなります (その逆も同様です)。 これは、次の XNUMX つのケースで説明されています。

ケース1

射出成形機に固定された金型へのアクセスは、ドアで保護されています。 ドアが閉まっている場合は機械が作動する可能性があり、ドアが開いている場合はすべての危険な動きを停止する必要があります。 いかなる状況においても (安全関連のチャネルに障害が発生した場合でも)、特にツールを操作する動きが発生することはありません。

ケース2

小型のプラスチック部品を空気圧で組み立てる自動制御の組み立てラインへのアクセスは、ドアで守られています。 このドアが開いている場合は、ラインを停止する必要があります。

ケース 1 の場合、ドア監視制御システムが故障した場合、ツールが予期せず閉じられ、重大な人身事故が発生する可能性があります。 ケース 2 では、ドア監視制御システムが故障した場合、軽傷または軽微な損害が発生する可能性があります。

最初のケースでは、非常に高いリスクから保護するために必要な信頼性および/または安全性 (障害に対する) を達成するために、より多くの冗長性を導入する必要があることは明らかです。 実際、欧州規格 EN 201 によると、射出成形機のドアの監視制御システムには XNUMX つのチャネルが必要です。 そのうちの XNUMX つは電気的で相互に監視されており、そのうちの XNUMX つは主に油圧とテスト回路が装備されています。 これら XNUMX つの監視機能はすべて、同じドアに関連しています。

逆に、ケース 2 で説明したようなアプリケーションでは、ポジティブ アクションのスイッチによってアクティブ化される単一チャネルがリスクに適しています。

コントロール カテゴリ

上記の考慮事項はすべて一般に情報理論に基づいており、その結果、すべての技術に有効であるため、制御システムが電子、電気機械、機械、油圧、または空圧コンポーネント (またはそれらの混合) に基づいているかどうかは問題ではありません。 、または他のテクノロジーで。 一方では設計者の創意工夫が、他方では経済的な問題が、安全関連チャネルを実現する方法に関するほぼ無限の数のソリューションに影響を与える主な要因です。

混乱を避けるために、特定のソート基準を設定することが実用的です。 安全関連機能を実行するために機械制御で使用される最も一般的なチャネル構造は、次のように分類されます。

  • 信頼性
  • 失敗時の行動
  • 障害開示時間。

 

それらの組み合わせ (考えられるすべての組み合わせが示されているわけではありません) を表 1 に示します。

表 1. 安全関連機能の機械制御における回路構造の可能な組み合わせ

基準(質問)

基本戦略

 

信頼性を高めることで(故障の発生が遠い未来にシフトするか?)

適切な回路構造 (アーキテクチャ) により、障害は少なくとも検出されるか (Cat. 2)、チャネルへの障害の影響が排除されるか (Cat. 3)、または障害がすぐに明らかになります (Cat. 4)。

 

カテゴリー

 

この解決策は基本的に間違っています

B

1

2

3

4

回路コンポーネントは、予想される影響に耐えることができますか? それらは最新技術に従って構築されていますか?

いいえ

有り

有り

有り

有り

有り

十分に試行されたコンポーネントやメソッドが使用されていますか?

いいえ

いいえ

有り

有り

有り

有り

障害を自動検出できますか?

いいえ

いいえ

いいえ

有り

有り

有り

故障により、安全関連機能の実行が妨げられますか?

有り

有り

有り

有り

いいえ

いいえ

障害はいつ検出されますか?

決して

決して

決して

早期 (XNUMX マシン サイクルより長くない間隔の最後)

すぐに (信号がダイナミックを失ったとき)
キャラクター)

   

消費財では

機械で使用する

 

特定の機械とその安全関連の制御システムに適用されるカテゴリは、ほとんどの場合、新しい欧州規格 (EN) で指定されています。ただし、各国当局、ユーザー、および製造業者が別のカテゴリを適用することに相互に同意する場合を除きます。 次に、設計者は要件を満たす制御システムを開発します。 たとえば、制御チャネルの設計を管理する考慮事項には、次のものが含まれる場合があります。

  • コンポーネントは、予想される影響に耐えなければなりません。 (はい・いいえ)
  • それらの構造は、最先端の基準に従っている必要があります。 (はい・いいえ)
  • 十分に試行されたコンポーネントとメソッドが使用されています。 (はい・いいえ)
  • 不良解析 検出する必要があります. (はい・いいえ)
  • 故障しても安全機能は働くのか? (はい・いいえ)
  • 障害はいつ検出されますか? (絶対に、早く、すぐに)

 

このプロセスは可逆的です。 同じ質問を使用して、既存の、以前に開発された制御チャネルがどのカテゴリに属しているかを判断できます。

カテゴリの例

カテゴリーB

主に消費財で使用される制御チャネル コンポーネントは、予想される影響に耐え、最新技術に従って設計されている必要があります。 適切に設計されたスイッチが例として役立ちます。

カテゴリー1

十分に試行されたコンポーネントと方法の使用は、カテゴリ 1 の典型です。カテゴリ 1 の例は、ポジティブ アクション (つまり、接点を強制的に開く必要がある) を備えたスイッチです。 このスイッチは堅牢な部品で設計されており、比較的大きな力で作動するため、接点を開くときにのみ非常に高い信頼性を実現します。 接点が固着したり溶着したりした場合でも、これらのスイッチは開きます。 (注: トランジスタやダイオードなどのコンポーネントは、十分にテストされたコンポーネントとは見なされません。) 図 10 は、カテゴリ 1 コントロールの図として役立ちます。

図 10. ポジティブ アクションのスイッチ

SAF62F10

このチャネルは、ポジティブ アクションのスイッチ S を使用します。 コンタクタ K は、ライト L によって監視されます。オペレータは、表示ライト L によって、常開 (NO) 接点が固着していることを知らされます。 コンタクタ K は強制ガイド接点を備えています。 (注: 接点の強制ガイドを備えたリレーまたはコンタクタには、通常のリレーまたはコンタクタと比較して、絶縁材料で作られた特別なケージがあり、通常閉 (NC) 接点が閉じている場合、すべての NO 接点を開く必要があり、その逆これは、NC 接点を使用することで、動作接点がくっついたり、互いに溶着していないことを確認するためにチェックを行うことができることを意味します。)

カテゴリー2

カテゴリ 2 は、障害の自動検出を提供します。 自動障害検出は、危険な動きの前に生成する必要があります。 テストが陽性である場合にのみ、移動を実行できます。 そうしないと、マシンが停止します。 自動障害検出システムは、光バリアが機能していることを証明するために使用されます。 原理を図 1 に示します。

図 11. 故障検出器を含む回路

SAF62F11

この制御システムは、入力にインパルスを注入することによって定期的 (または時折) にテストされます。 適切に動作するシステムでは、このインパルスは出力に転送され、テスト ジェネレータからのインパルスと比較されます。 両方のインパルスが存在する場合、システムは明らかに機能します。 それ以外の場合、出力インパルスがない場合は、システムが故障しています。

カテゴリー3

回路については、この記事の「安全性」セクションの例 3 で以前に説明しました (図 8)。

XNUMX つのチャネルの制御構造と XNUMX つのチャネルの相互監視によって、障害の自動検出と、どこかで XNUMX つの障害が発生した場合でも安全機能を実行できるという要件を満たすことができます。

機械の制御についてのみ、危険な故障を調査する必要があります。 失敗には次の XNUMX 種類があることに注意してください。

  • 危険ではない 故障とは、発生後にモーターのスイッチを切ることによって機械の「安全な状態」を引き起こすものです。
  • 危険な 故障とは、発生後に、モーターのスイッチを切ることができない、またはモーターが予期せず動き始めるなど、機械の「危険な状態」を引き起こすものです。

カテゴリー4

カテゴリ 4 は通常、動的で連続的に変化する信号を入力に適用します。 出力手段における動的信号の存在 ランニング (“1”) であり、動的信号がないことは次のことを意味します。 stop (「0」)。

このような回路では、いずれかのコンポーネントに障害が発生すると、出力でダイナミック信号が利用できなくなるのが一般的です。 (注: 出力の静的電位は関係ありません。) このような回路は「フェイルセーフ」と呼ばれることがあります。 すべての障害は、(カテゴリ 3 回路のように) 最初の変更後ではなく、すぐに開示されます。

コントロール カテゴリに関するその他のコメント

表 1 は、通常の機械制御用に開発されたもので、基本的な回路構造のみを示しています。 マシン指令によると、XNUMX マシン サイクルで XNUMX 回だけ故障が発生するという前提で計算する必要があります。 これが、XNUMX つの同時故障の場合に安全機能を実行する必要がない理由です。 XNUMX マシン サイクル内で故障が検出されることを前提としています。 機械は停止され、修理されます。 その後、制御システムが再起動し、障害なく完全に動作可能になります。

設計者の最初の意図は、「永続的な」故障を許可しないことです。この故障は、後に新たに発生した故障 (故障の累積) と組み合わされる可能性があるため、3 つのサイクルでは検出されません。 このような組み合わせ (永続的な故障と新しい故障) は、カテゴリ XNUMX の回路でも誤動作を引き起こす可能性があります。

これらの戦術にもかかわらず、XNUMX つの独立した障害が同じマシン サイクル内で同時に発生する可能性があります。 特に信頼性の高いコンポーネントが使用されている場合は、非常にまれです。 非常にリスクの高いアプリケーションでは、XNUMX つ以上のサブチャネルを使用する必要があります。 この哲学は、故障間の平均時間がマシン サイクルよりもはるかに長いという事実に基づいています。

ただし、これはテーブルをさらに拡張できないという意味ではありません。 表 1 は、EN 2-954 で使用されている表 1 と基本的かつ構造的に非常に似ています。 ただし、あまり多くの並べ替え基準を含めようとはしません。 要件は厳密な論理法則に従って定義されるため、明確な答え (YES または NO) のみが期待できます。 これにより、送信された回路 (安全関連チャネル) のより正確な評価、分類、および分類が可能になり、最後になりましたが、評価の再現性が大幅に改善されます。

リスクをさまざまなリスク レベルに分類し、リスク レベルとカテゴリの間に明確なリンクを確立できれば理想的です。これはすべて、使用中のテクノロジーとは無関係です。 ただし、これは完全には不可能です。 カテゴリを作成してすぐに、同じテクノロジーが与えられたとしても、さまざまな質問に十分に答えられないことが明らかになりました。 カテゴリ 1 の非常に信頼性が高く適切に設計されたコンポーネントと、信頼性が低くてもカテゴリ 3 の要件を満たすシステムのどちらが優れていますか?

このジレンマを説明するには、信頼性と安全性 (故障に対する) という XNUMX つの性質を区別する必要があります。 これらの品質は両方とも異なる機能を持っているため、比較することはできません。

  • 信頼性が最も高いコンポーネントには、障害が発生した場合 (非常にありそうにない場合でも)、機能が停止するという不快な特徴があります。
  • 3 つの障害が発生しても機能が実行されるカテゴリ XNUMX のシステムは、同時に XNUMX つの障害に対して安全ではありません (重要なのは、十分に信頼性の高いコンポーネントが使用されているかどうかです)。

上記を考慮すると、(高リスクの観点から) 最善の解決策は、信頼性の高いコンポーネントを使用し、回路が少なくとも XNUMX つの障害 (できればそれ以上) に対して安全であるように構成することである可能性があります。 そのような解決策が最も経済的でないことは明らかです。 実際には、最適化プロセスは、ほとんどの場合、これらすべての影響と考慮事項の結果です。

カテゴリを実際に使用した経験から、全体で XNUMX つのカテゴリのみを使用できる制御システムを設計することはほとんど不可能であることがわかります。 次の例に示すように、それぞれが異なるカテゴリの XNUMX つまたは XNUMX つの部分の組み合わせが一般的です。

多くのセーフティ ライト バリヤはカテゴリ 4 で設計されており、3 つのチャネルが動的信号で動作します。 このシステムの最後には、通常、静的信号で動作する相互に管理された XNUMX つのサブチャネルがあります。 (これは、カテゴリ XNUMX の要件を満たしています。)

EN 50100 によると、このような光バリアは次のように分類されます。 タイプ 4 の電気感知式保護装置、それらはXNUMXつの部分で構成されていますが。 残念ながら、XNUMX つ以上のパーツで構成され、各パーツが別のカテゴリに属する​​制御システムをどのように命名するかについての合意はありません。

プログラマブル電子システム (PES)

表 1 を作成するために使用される原則は、もちろん特定の制限はありますが、一般に PES にも適用できます。

PES専用システム

制御に PES を使用する場合、情報は多数のコンポーネントを介してセンサーからアクティベーターに転送されます。 さらに、ソフトウェアを「通過」することさえあります。 (図 12 を参照)。

図 12. PES システム回路

SAF62F14

最新の PES は非常に信頼性が高いですが、その信頼性は安全機能の処理に必要とされるほど高くはありません。 さらに、通常の PES システムは、障害が発生した場合に安全関連の機能を実行しないため、十分に安全ではありません。 したがって、追加の対策なしに PES を安全機能の処理に使用することは許可されていません。

非常にリスクの低いアプリケーション: XNUMX つの PES と追加の手段を備えたシステム

制御に単一の PES を使用する場合、システムは次の主要部分で構成されます。

入力部

センサーとPESの入力の信頼性は、それらを3倍にすることで改善できます。 このような二重システム入力構成は、ソフトウェアによってさらに監視され、両方のサブシステムが同じ情報を配信しているかどうかを確認できます。 これにより、入力部の故障を検出することができます。 これは、カテゴリ 3 に必要な考え方とほぼ同じです。ただし、監視はソフトウェアによって 3 回だけ行われるため、これは XNUMX- (または XNUMX ほど信頼できない) と見なされる場合があります。

中部

この部分はうまく 4 倍にすることはできませんが、テストすることはできます。 電源投入時 (または動作中) に、命令セット全体のチェックを実行できます。 同じ間隔で、適切なビット パターンによってメモリをチェックすることもできます。 このようなチェックが確実に行われていれば、CPU とメモリの両方が正常に動作していることは明らかです。 中間部分には、カテゴリ 2 (動的信号) に典型的な特定の機能と、カテゴリ XNUMX (適切な間隔で定期的に実行されるテスト) に典型的なその他の機能があります。 問題は、これらのテストが広範であるにも関わらず、完全に完了することができないということです。

出力部

入力と同様に、出力 (アクティベーターを含む) も 3 倍にすることができます。 両方のサブシステムは、同じ結果に関して監視できます。 障害が検出され、安全機能が実行されます。 ただし、入力部分と同じ弱点があります。 したがって、この場合はカテゴリ XNUMX が選択されます。

図13では、同じ機能がリレーにもたらされています A & B. 制御連絡先 a & b, 次に、両方のリレーが同じ作業を行っているかどうかを XNUMX つの入力システムに通知します (いずれかのチャネルで障害が発生していない場合)。 監視は再びソフトウェアによって行われます。

図 13. 障害検出システムを備えた PES 回路

SAF62F13

システム全体は、適切かつ広範囲に行われた場合、カテゴリ 3-/4/2/3- として説明できます。 とはいえ、上記のようなシステムの弱点を完全に取り除くことはできません。 実際、改善された 1984 つの PES は、リスクがかなり低い場合にのみ、安全関連の機能に実際に使用されます (Hölscher and Rader XNUMX)。

XNUMX つの PES による低リスクおよび中リスクのアプリケーション

今日、ほぼすべてのマシンに PES コントロール ユニットが装備されています。 信頼性が不十分で、通常は故障に対する安全性が不十分であるという問題を解決するために、次の設計方法が一般的に使用されます。

  • リフトなどの比較的単純な機械では、機能は 1 つのグループに分けられます。(2) 安全に関連しない機能は PES によって処理されます。 (14) 安全関連機能は XNUMX つのチェーン (安全回路) に結合され、PES の外部で処理されます (図 XNUMX を参照)。

 

図 14. 停止カテゴリ 0 の最新技術

SAF62F15

  • 上記の方法は、より複雑なマシンには適していません。 その理由の 3 つは、通常、このようなソリューションは十分に安全ではないということです。 中程度のリスクのアプリケーションの場合、ソリューションはカテゴリ 15 の要件を満たす必要があります。そのような設計がどのように見えるかについての一般的な考え方を、図 16 と図 XNUMX に示します。

 

図 15. 停止カテゴリ 1 の最新技術

SAF62F16

 

図 16. 停止カテゴリ 2 の最新技術

SAF62F17

リスクの高いアプリケーション: XNUMX つ (またはそれ以上) の PES を持つシステム

複雑さと費用を除けば、設計者が Siemens Simatic S5-115F、3B6 Typ CAR-MIL などの完全に二重化された PES システムを使用することを妨げる要因は他にありません。 これらには通常、同種のソフトウェアを備えた 3 つの同一の PES が含まれており、「十分に試行された」PES と「十分に試行された」コンパイラの使用を想定しています (よく試行された PES またはコンパイラは、17 年以上にわたって多くの実際のアプリケーションで使用されているものと見なすことができます)。系統的な故障が明らかに排除されていることを示しています)。 これらの二重PESシステムには、単一PESシステムの弱点はありませんが、二重PESシステムがすべての問題を解決するわけではありません。 (図 XNUMX を参照)。

図 17. XNUMX つの PES を備えた高度なシステム

SAF62F18

系統的失敗

系統的障害は、仕様、設計、およびその他の原因のエラーに起因する可能性があり、ソフトウェアだけでなくハードウェアにも存在する可能性があります。 ダブル PES システムは、安全関連のアプリケーションでの使用に適しています。 このような構成により、ランダムなハードウェア障害を検出できます。 XNUMX つの異なるタイプ、または XNUMX つの異なるメーカーの製品を使用するなどのハードウェアの多様性によって、系統的なハードウェア障害が明らかになる可能性があります (同じハードウェアの系統的な障害が両方の PES で発生する可能性はほとんどありません)。

ソフトウェア

ソフトウェアは、安全性を考慮した新しい要素です。 ソフトウェアは (障害に関して) 正しいか正しくないかのいずれかです。 いったん正しければ、ソフトウェアは (ハードウェアと比較して) すぐに正しくなくなることはありません。 目的は、ソフトウェアのすべてのエラーを根絶するか、少なくともそれらを特定することです。

この目標を達成するには、さまざまな方法があります。 一つは、 アカウント登録 (XNUMX 人目の人がその後のテストでエラーを発見しようとします)。 別の可能性は 多様性 XNUMX 人のプログラマーによって書かれた XNUMX つの異なるプログラムが同じ問題に対処するソフトウェアの。 結果が (特定の範囲内で) 同一である場合、両方のプログラム セクションが正しいと見なすことができます。 結果が異なる場合は、エラーが存在すると推定されます。 (注、 建築 当然、ハードウェアの構成も考慮する必要があります。)

まとめ

PES を使用するときは、一般に、同じ次の基本的な考慮事項を考慮する必要があります (前のセクションで説明したように)。

  • 冗長性のない 1 つの制御システムをカテゴリ B に割り当てることができます。追加の手段を備えた 2 つの制御システムは、カテゴリ XNUMX またはそれ以上であることができますが、XNUMX を超えてはなりません。
  • 結果を相互に比較する 3 部構成の制御システムは、カテゴリ 3 に割り当てることができます。

新しい要因は、PES を備えたシステムの場合、ソフトウェアであっても正確性の観点から評価する必要があるということです。 ソフトウェアが正しければ、100% 信頼できます。 技術開発のこの段階では、制限要因がまだ経済的であるため、可能な限り最善の既知の技術的解決策はおそらく使用されません。 さらに、さまざまな専門家グループが、PES の安全アプリケーション(EC、EWICS など)の標準を開発し続けています。 すでにさまざまな規格 (VDE0801、IEC65A など) が利用可能ですが、この問題は非常に広範かつ複雑であるため、いずれも最終的なものとは見なされません。

 

戻る

読む 10755 <font style="vertical-align: inherit;">回数</font> 最終更新日: 31 年 2011 月 16 日水曜日 05:XNUMX

免責事項: ILO は、この Web ポータルに掲載されているコンテンツが英語以外の言語で提示されていることについて責任を負いません。英語は、オリジナル コンテンツの最初の制作およびピア レビューに使用される言語です。その後、特定の統計が更新されていません。百科事典の第 4 版 (1998 年) の作成。

内容

安全アプリケーションの参考文献

Arteau、J、A Lan、および JF Corveil。 1994. 構造用鋼の建設における水平ライフラインの使用。 国際落下保護シンポジウムの議事録、カリフォルニア州サンディエゴ (27 年 28 月 1994 ~ XNUMX 日)。 トロント: 国際落下防止協会。

Backström, T. 1996. 自動化された生産における事故のリスクと安全保護。 博士論文。 Arbete och Hälsa 1996:7. Solna: 労働生活のための国立研究所。

Backström、T および L Harms-Ringdahl。 1984. 制御システムと職場での事故に関する統計的研究。 J 占有率6:201–210。

Backström、T および M Döös。 1994. 自動化された生産における事故の背後にある技術的な欠陥。 PT Kidd と W Karwowski が編集した『Adances in Agile Manufacturing』。 アムステルダム: IOS プレス。

—。 1995.産業における労働災害と高度な製造技術の比較。 Int J Hum Factors Manufac. 5(3)。 267–282。

—。 印刷中。 労働災害につながる機械の故障の技術的発生。 Int J Ind エルゴノミクス。

—。 掲載受付中です。 さまざまな種類の機器およびさまざまな職業グループでの自動化事故の絶対および相対頻度。 J Saf Res.

Bainbridge, L. 1983. 自動化の皮肉。 Automatica 19:775–779。

ベル、R および D Reinert。 1992 年。安全関連制御システムのリスクとシステムの完全性の概念。 Saf Sci 15:283–308。

Bouchard、P. 1991。Échafaudages。 Guide série 4. モントリオール: CSST.

国務局。 1975. 労働安全衛生基準。 マテリアルハンドリング機器およびトラクターのロールオーバー保護構造、セクション 1926、1928。ワシントン DC: 国務局。

コーベット、JM. 1988年。人間中心のAMTの開発における人間工学。 応用人間工学 19:35–39.

カルバー、C および C コノリー。 1994. 建設中の致命的な落下を防ぎます。 Saf Health 1994 年 72 月: 75–XNUMX。

ドイツ工業規格 (DIN)。 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. ベルリン: Beuth Verlag.

—。 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. ベルリン: Beuth Verlag.

—。 1995a。 Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [機械の安全性—圧力に敏感な保護具]。 DIN prEN 1760. ベルリン: Beuth Verlag.

—。 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [商用車—後退時の障害物検出—要件とテスト]。 DIN 規格 75031。1995 年 XNUMX 月。

Döös、M および T Backström。 1993 年。自動マテリアル ハンドリングにおける事故の説明。 WS Marras、W Karwowski、JL Smith、および L Pacholski によって編集された、作業におけるマテリアル ハンドリングおよび情報処理の人間工学。 ワルシャワ: テイラーとフランシス。

—。 1994. 事故リスクとしての生産障害。 PT Kidd と W Karwowski が編集した『Adances in Agile Manufacturing』。 アムステルダム: IOS プレス。

欧州経済共同体 (EEC)。 1974 年、1977 年、1979 年、1982 年、1987 年。車輪付き農業用および林業用トラクターの転覆保護構造に関する理事会指令。 ブリュッセル: EEC.

—。 1991. 機械に関する加盟国の法律の概算に関する理事会指令。 (91/368/EEC) ルクセンブルグ: EEC.

イーサトン、JR、ML マイヤーズ。 1990 年。NIOSH での機械安全研究と将来の方向性。 Int J Ind Erg 6:163–174.

Freund、E、F Dierks、J Roßmann。 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [移動ロボットと複数のロボット システムの労働安全性テスト]。 ドルトムント: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. 制御システムの信頼性の評価。 ニューヨーク:アメリカ楽器協会。

グッドスタイン、LP、HB アンダーソン、SE オルセン (eds.)。 1988. タスク、エラー、およびメンタル モデル。 ロンドン:テイラーとフランシス。

Gryfe、CI。 1988年 転倒の原因と予防。 国際落下防止シンポジウムにて。 オーランド: 国際落下防止協会。

安全衛生担当役員。 1989 年。健康と安全に関する統計 1986 ~ 87 年。 Gaz 97(2) を使用します。

Heinrich、HW、D Peterson、N Roos。 1980. 労働災害防止。 第5版。 ニューヨーク: マグロウヒル。

ホールネーゲル、E、および D ウッズ。 1983. 認知システム工学: 新しいボトルに入った新しいワイン。 Int J Man Machine Stud 18:583–600.

ヘルシャー、H および J レーダー。 1984. Mikrocomputer in der Sicherheitstechnik. Rheinland: Verlag TgV-Reinland。

Hörte、S-Å、P Lindberg。 1989 年。スウェーデンにおける高度な製造技術の普及と導入。 ワーキング ペーパー No. 198:16。 革新技術研究所。

国際電気標準会議 (IEC)。 1992. 122 ドラフト標準: 産業安全関連システムのアプリケーションにおけるコンピュータ用ソフトウェア。 IEC 65 (秒)。 ジュネーブ: IEC.

—。 1993. 123 規格草案: 電気/電子/プログラマブル電子システムの機能安全; 一般的な側面。 パート 1、一般要件 ジュネーブ: IEC。

国際労働機関 (ILO)。 1965. 農作業における安全と健康。 ジュネーブ: ILO.

—。 1969 年。林業における安全と健康。 ジュネーブ: ILO.

—。 1976. トラクターの安全な構造と操作。 ILO 行動規範。 ジュネーブ: ILO.

国際標準化機構 (ISO)。 1981. 農林業の車輪付きトラクター。 保護構造。 静的試験方法と受け入れ条件。 ISO 5700。ジュネーブ: ISO。

—。 1990. 品質管理および品質保証基準: ISO 9001 をソフトウェアの開発、供給、および保守に適用するためのガイドライン。 ISO 9000-3。 ジュネーブ: ISO。

—。 1991 年。産業オートメーション システム—統合製造システムの安全—基本要件 (CD 11161)。 TC 184/WG 4. ジュネーブ: ISO。

—。 1994. 商用車 - 後退中の障害物検出装置 - 要件とテスト。 テクニカル レポート TR 12155。ジュネーブ: ISO。

Johnson, B. 1989. フォールト トレラント デジタル システムの設計と分析。 ニューヨーク:アディソン・ウェズリー。

Kidd, P. 1994. スキルベースの自動製造。 W Karwowski と G Salvendy が編集した高度な製造システムの組織と管理。 ニューヨーク: ワイリー。

ノウルトン、RE。 1986. ハザードおよび操作性研究の紹介: ガイド ワード アプローチ。 バンクーバー、ブリティッシュ コロンビア州: 化学。

Kuivanen, R. 1990. 柔軟な製造システムにおける外乱の安全性への影響。 ハイブリッド自動化システム II の人間工学、W Karwowski および M Rahimi によって編集されました。 アムステルダム:エルゼビア。

Laeser、RP、WI McLaughlin、DM Wolff。 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70。

Lan、A、J Arteau、JF Corbeil。 1994. 地上の看板からの落下に対する保護。 国際落下保護シンポジウム、カリフォルニア州サンディエゴ、27 年 28 月 1994 ~ XNUMX 日。議事録 国際落下防止協会。

Langer、HJ、W Kurfürst。 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [センサーを使用して大型車両の背後の領域を保護する]。 FB 605. ドルトムント: Schriftenreihe der bundesanstalt für Arbeitsschutz.

レベンソン、NG。 1986. ソフトウェアの安全性: なぜ、何を、どのように。 ACM コンピュータ調査 (2):S. 129–163。

マクマナス、テネシー州。 Nd 限られたスペース。 原稿。

マイクロソニック社。 1996. 会社通信。 ドイツ、ドルトムント:マイクロソニック。

Mester、U、T Herwig、G Dönges、B Brodbeck、HD Bredow、M Behrens、U Ahrens。 1980 年。Gefahrenschutz durch パッシブ Infrarot-Sensoren (II) [赤外線センサーによる危険に対する保護]。 FB 243. ドルトムント: Schriftenreihe der bundesanstalt für Arbeitsschutz.

モハン、D および R パテル。 1992. より安全な農業機器の設計: 人間工学と疫学の応用。 Int J Ind Erg 10:301–310.

全米防火協会 (NFPA)。 1993. NFPA 306: 船舶のガス危険の管理。 マサチューセッツ州クインシー: NFPA.

国立労働安全衛生研究所 (NIOSH)。 1994. 限られたスペースでの労働者の死亡。 米国オハイオ州シンシナティ: DHHS/PHS/CDCP/NIOSH Pub. No. 94-103。 NIOSH。

ノイマン、PG。 1987 年。コンピューター関連のリスク ケースの N ベスト (またはワースト)。 IEEE T Syst Man Cyb. ニューヨーク: S.11–13.

—。 1994 年。コンピュータ システムおよび関連技術の使用における公衆への例示的なリスク。 ソフトウェア エンジン ノート SIGSOFT 19、No. 1:16–29。

労働安全衛生局 (OSHA)。 1988. OSHA の死亡事故/災害調査の報告書に見られる、溶接および切断に関連する職業上の死亡事故の抜粋。 ワシントン DC: OSHA。

経済協力開発機構 (OECD)。 1987. 農業用トラクターの公式試験のための標準コード。 パリ:OECD。

Organisme professional de prévention du bâtiment et des travaux publics (OPPBTP)。 1984. Les equipements individuels de protection contre les chutes de hauteur. フランス、ブローニュ=ビランクール:OPPBTP。

Rasmussen, J. 1983. Skills, rules and knowledge: Agenda, Signs and Symbols, and other difference in human performance models. システム、人間、およびサイバネティックスに関する IEEE トランザクション。 SMC13(3): 257–266.

Reason, J. 1990. ヒューマン エラー。 ニューヨーク:ケンブリッジ大学出版局。

リース、CD、GR ミルズ。 1986. 密閉空間での死亡者の外傷疫学と現在の介入/予防への応用。 仕事と労働力の変化する性質の中で。 オハイオ州シンシナティ: NIOSH.

Reinert、D および G Reuss。 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozesssorgesteuerter
Sicherheitseinrichtungen。 BIA-Handbuchで。 Sicherheitstechnisches Informations-und Arbeitsblatt 310222. ビーレフェルト: Erich Schmidt Verlag.

自動車技術者協会 (SAE)。 1974. 産業用機器のオペレーター保護。 SAE 規格 j1042。 米国ウォーレンデール:SAE。

—。 1975 年。ロールオーバー保護のパフォーマンス基準。 SAE 推奨プラクティス。 SAE 規格 j1040a。 米国ウォーレンデール:SAE。

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [後方警告装置の開発状況]。 Technische Überwachung, Nr. 4、161 月、S. XNUMX。

シュライバー、P および K クーン。 1995. Informationstechnologie in der Fertigungstechnik [生産技術における情報技術、連邦労働安全衛生研究所のシリーズ]。 FB 717. ドルトムント: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. 監督管理。 人的要因のハンドブック、G. Salvendy 編。 ニューヨーク: ワイリー。

Springfeldt, B. 1993. 労働安全規則の影響と傷害に関する特別な措置。 自動作業ソリューションの利点。 ストックホルム: 王立工科大学、労働科学科。

杉本宣夫 1987. ロボット安全技術の課題と課題. オートメーションとロボティクスにおける労働安全衛生、K Noto 編。 ロンドン:テイラー&フランシス。 175。

Sulowski、AC(編)。 1991年。落下保護の基礎。 カナダ、トロント: 国際落下防止協会。

Wehner、T. 1992。Sicherheit als Fehlerfreundlichkeit。 オプラデン: Westdeutscher Verlag。

Zimolong、B、および L Duda。 1992. 高度な製造システムにおけるヒューマン エラー削減戦略。 M Rahimi と W Karwowski が編集したヒューマン ロボット インタラクション。 ロンドン:テイラー&フランシス。