Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Межгосударственный стандарт ГОСТ EN 16590-2-2018 "Тракторы и машины для сельского и лесного хозяйства. Элементы систем управления, связанные с безопасностью. Часть 2. Этап разработки концепции" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 августа 2021 г. N 745-ст)
- Приложение А (обязательное). Предназначенные архитектуры для SRP/CS
Приложение А (обязательное). Предназначенные архитектуры для SRP/CS
Приложение А
(обязательное)
Предназначенные архитектуры для SRP/CS
А.1 Общие положения
Рисунок 3 и рисунки А.1-А.3 определяют архитектуру, требуемую для каждой соответствующей категории аппаратных средств.
Для всех архитектур применяются проверенные принципы безопасности, включающие:
- исключение неисправностей определенного вида (например, предотвращение короткого замыкания путем разделения);
- снижение вероятности возникновения неисправности, например избыточные показатели или заниженные номинальные характеристики;
- управление, учитывающее характер неисправности, например обеспечение размыкания цепи, если в случае неисправности необходимо срочное отключение энергии (нормально разомкнутые контакты);
- максимально быстрое обнаружение неисправностей.
Рекомендуется использовать проверенные компоненты. Проверенный компонент для применения в целях, связанных с обеспечением безопасности, должен быть:
a) широко использован в прошлом для подобных целей с успешными результатами; и
b) изготовлен и проверен с использованием принципов, которые демонстрируют его пригодность и надежность для применения в целях, связанных с обеспечением безопасности.
Вновь разработанные компоненты могут рассматриваться как эквивалентные проверенным компонентам, если они удовлетворяют условию, указанному в перечислении b).
Примечание 1 - Рисунки показывают общие архитектуры, а не конкретные примеры. Всегда возможно изменение этих архитектур. Однако любое такое изменение потребует подтверждения с использованием соответствующих аналитических инструментов, соответствия архитектуры требуемой категории.
Примечание 2 - Учитывается резервирование (избыточность), например для увеличения степени диагностического охвата могут использоваться избыточные датчики.
А.2 Категория В (базовая)
Предназначенная архитектура показана на рисунке 3.
Свойства:
- DC = низкая степень;
- MTTF dC для канала = от малого до среднего;
рекомендуется использовать проверенные компоненты;
- рассмотрение отказов по общей причине не применяется;
- возникновение одиночной неисправности может привести к потере функции, связанной с обеспечением безопасности;
- не подходит для операционной системы, чувствительной к одиночной неисправности.
А.3 Категория 1
Предназначенная архитектура показана на рисунке 3.
Свойства:
- DC = средняя степень;
- MTTF dC для канала = от малого до среднего;
- рассмотрение отказов по общей причине не применяется;
- для диагностического охвата могут потребоваться резервные (избыточные) входы;
- не подходит для операционной системы, чувствительной к одиночной неисправности;
- возникновение одиночной неисправности может привести к потере функции, связанной с обеспечением безопасности, но вероятность возникновения неисправности ниже, чем для категории В.
А.4 Категория 2
Предназначенная архитектура показана на рисунке А.1.
Свойства:
- неисправности входного датчика и выходного устройства привода обнаруживаются в логическом элементе управления;
- DC = средняя степень;
- MTTF dC для канала = малый, средний;
- рассмотрение отказов по общей причине не применяется;
- для диагностического охвата могут потребоваться резервные (избыточные) входы;
I - входное устройство (например, датчик); L - логический элемент; О - выходное устройство (например, устройства привода); ТЕ - испытательное оборудование (в дополнение к логическому элементу); ОТЕ - выходные сигналы испытательного оборудования; S I - соединения входного сигнала; S O - соединения выходного сигнала; m - мониторинг (автоматический контроль).
а) Требуется обеспечить диагностический охват логического элемента, но не выделение отдельного канала.
Рисунок А.1 - Предназначенная архитектура для категории 2
- выходное устройство и выходные сигналы испытательного оборудования могут быть скомпонованы последовательно или параллельно в зависимости от условий, обеспечивающих безопасное состояние системы;
- не подходит для операционной системы, чувствительной к одиночной неисправности;
- требуются предупреждения (предупреждающие сигналы) для оператора;
- возникновение одиночной неисправности может привести к потере функции, связанной с обеспечением безопасности, но безопасное состояние системы обеспечивается.
Одиночная неисправность обнаруживается при обращении к функции, связанной с обеспечением безопасности, или перед следующим обращением при тестировании включения функции, связанной с обеспечением безопасности, и/или периодическом тестировании, при необходимости.
Такая проверка может инициироваться вручную или автоматически. Проверка сама по себе не должна создавать опасную ситуацию. Оборудование, осуществляющее проверку, может быть отдельным или встроенным (интегрированным) в элемент(ы), связанный(ые) с безопасностью, обеспечивающий(ие) выполнение функции, связанной с обеспечением безопасности. Любая проверка функции(й), связанной(ых) с обеспечением безопасности, должна либо:
1) разрешать работу, если не было обнаружено никаких неисправностей; либо
2) вырабатывать выходной сигнал, который вызывает соответствующее управляющее воздействие, если неисправность обнаружена.
Когда это возможно, выходной сигнал должен обеспечивать безопасное состояние системы. Если обеспечить безопасное состояние системы невозможно (например, сварка контакта в конечном устройстве коммутации), выходной сигнал должен обеспечить предупреждение оператора об опасности. После обнаружения неисправности безопасное состояние системы должно поддерживаться до тех пор, пока неисправность не будет устранена.
Примечание 1 - В некоторых случаях категория 2 не применяется, потому что нельзя применить проверку функции, обеспечивающей безопасность, ко всем компонентам, например реле давления или датчик температуры.
Примечание 2 - В целом категория 2 может быть реализована с электрическими приборами (например, в защитном оборудовании и в конкретных системах управления).
Примечание 3 - Некоторые компоненты, обладающие высокой надежностью, нуждаются только в периодической проверке. Датчики скорости могут быть проверены только во время работы (датчик-счетчик), но функциональность и отсутствие повреждений линии могут проверяться при обычном пуске машины. Нормальный пуск машины осуществляется несколько раз в день, что позволяет выполнять несколько проверок в день.
Примечание 4 - В некоторых случаях оператор может сам периодически проверять элементы, связанные с безопасностью, вручную (например, переключатели сидений).
А.5 Категория 3
Предназначенная архитектура показана на рисунке А.2.
I1, I2 - входное устройство (например, датчик); L1, L2 - логический элемент; O1, O2 - выходное устройство (например, устройства привода); S I - соединения входного сигнала; S O - соединения выходного сигнала; m - мониторинг (автоматический контроль); с - перекрестный мониторинг
Рисунок А.2 - Предназначенная архитектура для категории 3
Свойства:
- неисправности входного датчика, логического элемента и выходного устройства привода обнаруживаются в логическом элементе управления;
- DC = средняя степень;
- MTTF dC для канала = малый, средний;
- требуется рассмотрение отказов по общей причине (см. приложение D);
- для диагностического охвата могут потребоваться резервные (избыточные) входы;
- для обеспечения безопасного состояния системы могут потребоваться дополнительные резервные (избыточные) выходы;
- выходы могут быть скомпонованы последовательно или параллельно в зависимости от условий, обеспечивающих безопасное состояние системы;
- подходит для операционной системы, чувствительной к одиночной неисправности, с резервным (избыточным) источником питания;
- требуются предупреждения (предупреждающие сигналы) для оператора;
- при возникновении одиночной неисправности функция, связанная с обеспечением безопасности, выполняется всегда, но накопленные необнаруженные неисправности могут привести к потере функции, связанной с обеспечением безопасности.
Практика подтверждает, что одиночная неисправность обнаруживается при обращении к функции, связанной с обеспечением безопасности, или перед следующим обращением при тестировании включения функции, связанной с обеспечением безопасности, и/или периодическом тестировании, при необходимости.
Такая проверка может инициироваться вручную или автоматически. Проверка сама по себе не должна создавать опасную ситуацию. Оборудование, осуществляющее проверку, может быть отдельным или встроенным (интегрированным) в элементы, связанные с безопасностью, обеспечивающие выполнение функции, связанной с обеспечением безопасности. Любая проверка функции(й), связанной(ых) с обеспечением безопасности, должна либо:
1) разрешать работу, если не было обнаружено никаких неисправностей, либо
2) вырабатывать выходной сигнал, который вызывает соответствующее управляющее воздействие, если неисправность обнаружена.
Когда это возможно, выходной сигнал должен обеспечивать безопасное состояние системы. Если обнаружены условия, которые могут привести к отказу, система должна обеспечить соответствующее предупреждение оператора. После обнаружения неисправности безопасное состояние системы должно поддерживаться до тех пор, пока неисправность не будет устранена.
Примечание 1 - Некоторые компоненты, обладающие высокой надежностью, нуждаются только в периодической проверке. Датчики скорости могут быть проверены только во время работы (датчик-счетчик), но функциональность и отсутствие повреждений линии могут проверяться при обычном пуске машины. Нормальный пуск машины осуществляется несколько раз в день, что позволяет выполнять несколько проверок в день.
Примечание 2 - В некоторых случаях оператор может сам периодически проверять элементы, связанные с безопасностью, вручную (например, переключатели сидений).
Примечание 3 - Требование по обнаружению одиночной неисправности не означает, что все неисправности будут обнаружены. Следовательно, накопление необнаруженных неисправностей может привести к появлению непреднамеренного выходного сигнала и возникновению опасной ситуации в машине. Типовыми примерами практических мер по обнаружению неисправности являются движение контактов реле и мониторинг избыточных электрических выходных сигналов.
Примечание 4 - Желательно, чтобы условие(я), вызвавшее(ие) возникновение ошибки, сохранялось(ись) для последующих оценок.
А.6 Категория 4
Предназначенная архитектура показана на рисунке А.3.
I1, I2 - входное устройство (например, датчик); L1, L2 - логический элемент; O1, O2 - выходное устройство (например, устройства привода); S I - соединения входного сигнала; S O - соединения выходного сигнала; m - мониторинг (автоматический контроль); с - перекрестный мониторинг
Сплошные линии, иллюстрирующие мониторинг (автоматический контроль), показывают более высокую степень диагностического охвата, чем указанная в архитектуре, предназначенной для категории 3.
Рисунок А.3 - Предназначенная архитектура для категории 4
Свойства:
- неисправности входного датчика, логического элемента и выходного устройства привода обнаруживаются в логическом элементе управления;
- DC = высокая степень;
- MTTF dC для канала = малый, средний, большой;
- требуется рассмотрение отказов по общей причине (см. приложение D);
- для диагностического охвата могут потребоваться резервные (избыточные) входы;
- для обеспечения безопасного состояния системы могут потребоваться дополнительные резервные (избыточные) выходы;
- выходы могут быть скомпонованы последовательно или параллельно в зависимости от условий, обеспечивающих безопасное состояние системы;
- подходит для операционной системы, чувствительной к одиночной неисправности, с резервным (избыточным) источником питания;
- требуются предупреждения (предупреждающие сигналы) для оператора;
- при возникновении одиночной неисправности функция, связанная с обеспечением безопасности, выполняется всегда, но накопленные необнаруженные неисправности могут привести к потере функции, связанной с обеспечением безопасности, однако вероятность возникновения такой ситуации ниже, чем для категории В.
Одиночная неисправность обнаруживается при обращении к функции, связанной с обеспечением безопасности, или перед следующим обращением при тестировании включения функции, связанной с обеспечением безопасности, и/или периодическом тестировании, при необходимости.
Такая проверка может инициироваться вручную или автоматически. Проверка сама по себе не должна создавать опасную ситуацию. Оборудование, осуществляющее проверку, может быть отдельным или встроенным (интегрированным) в элементы, связанные с безопасностью, обеспечивающие выполнение функции, связанной с обеспечением безопасности. Любая проверка функции(й), связанной(ых) с обеспечением безопасности, должна либо:
1) разрешать работу, если не было обнаружено никаких неисправностей, либо
2) вырабатывать выходной сигнал, который вызывает соответствующее управляющее воздействие, если неисправность обнаружена.
Когда это возможно, выходной сигнал должен обеспечивать безопасное состояние системы. Если обнаружены условия, которые могут привести к отказу, система должна обеспечить соответствующее предупреждение оператора. После обнаружения неисправности безопасное состояние системы должно поддерживаться до тех пор, пока неисправность не будет устранена.
Примечание 1 - Некоторые компоненты, обладающие высокой надежностью, нуждаются только в периодической проверке. Датчики скорости могут быть проверены только во время работы (датчик-счетчик), но функциональность и отсутствие повреждений линии могут проверяться при обычном пуске машины. Нормальный пуск машины осуществляется несколько раз в день, что позволяет выполнять несколько проверок в день.
Примечание 2 - В некоторых случаях оператор может сам периодически проверять элементы, связанные с безопасностью, вручную (например, переключатели сидений).
Примечание 3 - Требование по обнаружению одиночной неисправности не означает, что все неисправности будут обнаружены. Следовательно, накопление необнаруженных неисправностей может привести к появлению непреднамеренного выходного сигнала и возникновению опасной ситуации в машине. Типовыми примерами практических мер по обнаружению неисправности являются движение контактов реле и мониторинг избыточных электрических выходных сигналов.
Примечание 4 - Желательно, чтобы условие(я), вызвавшее(ие) возникновение ошибки, сохранялось(ись) для последующих оценок.