Категории - Общие принципы конструирования элементов систем управления, связанных с безопасностью - ГОСТ Р ИСО 13849-1-2003

6 Категории

6.1 Общие положения
Элементы систем управления, связанные с обеспечением безопасности, должны соответствовать требованиям одной или нескольким из пяти категорий, установленных в 6.2. Категории не предназначены для использования в каком-либо заданном порядке или какой-либо заданной иерархии в отношении требований безопасности.
Категории устанавливают необходимое поведение элементов системы управления, связанных с обеспечением безопасности, в отношении их стойкости к неисправностям на основе принципов, описанных в 4.2.
Категория В является основной. Возникновение неисправности может повлечь за собой потерю функции безопасности. Для категории 1 повышенная стойкость к неисправностям достигается преимущественно путем выбора и применения компонентов. Для категорий 2—4 улучшение рабочих характеристик в отношении заданной функции безопасности достигается преимущественно путем совершенствования структуры элементов системы управления, связанных с обеспечением безопасности. Для категории 2 это обеспечивается периодической проверкой выполнения функции заданной безопасности. Для категорий 3 и 4 совершенствование структуры обеспечивается тем, что одиночная неисправность не ведет к потере функции безопасности. Для категории 4 и там, где практически целесообразно для категории 3, такие неисправности будут обнаружены. Для категории 4 устанавливается стойкость элементов к накоплению неисправностей.
Прямое сравнение стойкого к неисправностям поведения между категориями можно сделать только при условии поочередного изменения одного параметра (см. 4.2). Категории с большим порядковым номером следует понимать только как обеспечивающие большую стойкость к неисправностям в сопоставимых обстоятельствах, например при использовании подобных технологий, компонентов сопоставимой надежности, подобных режимов технического обслуживания и при сопоставимых случаях применения.
В таблице 2 дан обзор по категориям элементов систем управления, связанных с обеспечением безопасности, приведено краткое изложение требований и поведение системы управления в случае неисправностей.
При рассмотрении причин отказа некоторых компонентов можно исключать возникновение определенных неисправностей (см. раздел 7).

Таблица 2 — Краткое изложение требований для категорий (полные требования см. в разделе 6)

6.2 Технические условия категорий
6.2.1 Категория В
Элементы систем управления, связанные с обеспечением безопасности, должны быть, как минимум, разработаны, сконструированы, выбраны, смонтированы и соединены согласно соответствующим стандартам с использованием основных принципов безопасности для конкретного применения, с тем, чтобы они могли выдерживать:
- ожидаемые эксплуатационные нагрузки, например усилие и повторяемость торможения;
- влияние обрабатываемого материала, например стойкость стиральной машины к воздействию моющих средств;
- другие соответствующие внешние воздействия, например механическую вибрацию, внешние поля, прерывания электропитания или помехи.
Специальных мер для обеспечения безопасности к элементам, соответствующим техническим условиям категории В, не применяют.

Примечание — Возникновение неисправности может привести к потере функции безопасности. Для выполнения требований приложения А ЕН 292-2-91/А1 [3] могут потребоваться дополнительные меры, которые не предусмотрены элементами системы управления, связанными с обеспечением безопасности.

6.2.2 Категория 1
6.2.2.1 Общие положения
Следует применять требования категории В и следующее требование.
Элементы системы управления, связанные с обеспечением безопасности, которым присвоена категория 1, разрабатывают и конструируют с использованием успешно испытанных компонентов и хорошо проверенных принципов безопасности.
6.2.2.2 Успешно испытанные компоненты
Успешно испытанный компонент для применений, связанных с обеспечением безопасности, — это компонент, который:
- широко использовался в прошлом с успешными результатами в подобных применениях;
- изготовлен и проверен с использованием принципов, которые демонстрируют его пригодность и надежность для применений, связанных с обеспечением безопасности.
В некоторых успешно испытанных компонентах определенные неисправности могут быть также исключены, потому что известно, что интенсивность таких неисправностей крайне мала.
Решение о приемке индивидуального компонента как успешно испытанного может зависеть от конкретного применения.

Примечание — На уровне только отдельных электронных компонентов обычно невозможно реализовать категорию.

6.2.2.3 Хорошо проверенные принципы безопасности
Хорошо проверенными принципами безопасности, например, являются:
- избежание некоторых неисправностей, например предупреждение короткого замыкания;
- снижение вероятности неисправностей, например компоненты с завышенными размерами или с заниженными показателями;
- ориентация вида неисправности, например путем обеспечения разомкнутой цепи, когда очень важно отключать питание в случае неисправности;
- очень раннее обнаружение неисправностей;
- ограничение последствий неисправностей, например заземление оборудования.
Вновь разработанные компоненты и принципы безопасности могут считаться эквивалентом «успешно испытанного компонента», если они удовлетворяют вышеупомянутым условиям.

Примечания
1 Вероятность отказа элемента категории 1 ниже, чем категории В. Соответственно потеря функции безопасности менее возможна.
2 Возникновение неисправности может привести к потере функции безопасности. Для выполнения требований приложения А ЕН 292-2—91/А1 [3] могут потребоваться дополнительные меры, которые не предусмотрены элементами системы управления, связанными с обеспечением безопасности.

6.2.3 Категория 2
Следует применять требования категории В, использовать хорошо проверенные принципы безопасности и следующие требования.
а) Элементы систем управления категории 2, связанные с обеспечением безопасности, должны быть разработаны так, чтобы их функции проверялись системой управления машины через соответствующие интервалы. Проверку функций безопасности следует осуществлять:
- при пуске машины и до возникновения любой опасной ситуации;
- периодически в процессе работы, если оценка риска и характер работы указывают на ее необходимость.
б) Проверку можно осуществлять автоматически или вручную. Любая проверка функции(й) безопасности должна:
- разрешать работу, если не было обнаружено никаких неисправностей;
- вырабатывать выходной сигнал, который вызывает соответствующее управляющее воздействие, если неисправность обнаруживается. Когда это возможно, выходной сигнал должен обеспечивать безопасное состояние. При невозможности соблюдения безопасного состояния (например, сварка контакта в конечном устройстве коммутации) выходной сигнал должен обеспечивать предупреждение об опасности.
в) Сама проверка не должна создавать опасную ситуацию. Контролирующие устройства могут быть неотъемлемой частью или находиться отдельно от элементов, связанных с обеспечением безопасности.
г) После обнаружения неисправности безопасное состояние должно поддерживаться до ее устранения.

Примечания
1 В некоторых случаях категория 2 не применима, потому что нельзя применять проверку функции безопасности ко всем элементам, например к реле давления или датчику температуры.
2 Вообще, категория 2 реализуется с помощью электронной техники, например в предохранительных устройствах и конкретных системах управления.

Поведение системы управления категории 2 допускает, что:
- возникновение неисправности может вызывать потерю функции безопасности между проверками;
- потерю функции безопасности обнаруживают проверкой.
6.2.4 Категория 3
Следует применять требования категории В, использовать хорошо проверенные принципы безопасности и следующие требования.
а) Элементы систем управления категории 3, связанные с обеспечением безопасности, должны быть разработаны так чтобы одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности.
б) Неисправности общего характера следует принимать во внимание, если вероятность возникновения таких неисправностей является значимой.
в) Когда практически целесообразно, одиночная неисправность должна быть обнаружена во время или до следующего требования по функции безопасности.

Примечания
1 Требование обнаружения одиночной неисправности не означает, что все неисправности будут обнаружены. Следовательно, накопление необнаруженных неисправностей может привести к появлению непреднамеренного выходного сигнала и возникновению опасной ситуации в машине. Типовыми примерами практических мер по обнаружению неисправности являются соединенные переключения контактов реле или контроль резервных электрических выходных сигналов.
2 Если необходимо по причинам технологии и применения, то разработчик стандарта типа С должен более подробно характеризовать обнаружение неисправностей.
3 Понятие «Когда практически целесообразно» означает, что необходимые меры по обнаружению неисправностей, а также степени применения этих мер зависят главным образом от последствий отказа и вероятности возникновения этого отказа в условиях данного применения. Используемая технология будет влиять на возможность осуществления мер по обнаружению неисправностей.

Поведение системы управления категории 3 допускает, что:
- при возникновении одиночной неисправности функция безопасности всегда выполняется;
- некоторые, но не все неисправности будут обнаружены;
- накопление необнаруженных неисправностей может привести к потере функции безопасности.
6.2.5 Категория 4
Следует применять требования категории В, использовать хорошо проверенные принципы безопасности и следующие требования.
а) Элементы систем управления категории 4, связанные с обеспечением безопасности, должны быть разработаны так, чтобы:
- одиночная неисправность в любом из этих элементов не приводила к потере функции безопасности;
- одиночная неисправность обнаруживалась во время или до следующего требования по функции безопасности, например немедленно при включении, при окончании рабочего цикла машины. Если такое обнаружение невозможно, то накопление неисправностей не должно приводить к потере функции безопасности.
б) Если обнаружение некоторых неисправностей невозможно, по крайней мере в течение следующей проверки после возникновения неисправности по причинам технологии или разработки схем, то должна предполагаться возможность дальнейших неисправностей. В такой ситуации накопление неисправностей не должно приводить к потере функции безопасности.
в) Рассмотрение неисправностей может быть остановлено, когда вероятность возникновения дальнейших неисправностей считается достаточно низкой.
В этом случае число неисправностей в комбинации, заслуживающей рассмотрения, будет зависеть от технологии, структуры и применения, но должно быть достаточным, чтобы удовлетворять критерию обнаружения.

Примечание — На практике число неисправностей, которые следует рассматривать, значительно различается, например в сложных схемах микропроцессора может существовать большое число неисправностей, а для электрогидравлической цепи рассмотрение трех (или даже двух) неисправностей может быть достаточным.

Такое рассмотрение неисправностей может быть ограничено до двух неисправностей в комбинации, когда:
- интенсивность неисправностей элементов является низкой;
- неисправности в комбинации в значительной степени независимы друг от друга;
- прерывание функции безопасности случается только при возникновении неисправностей в определенном порядке.
г) При возникновении дальнейших неисправностей как результата действия первой одиночной неисправности, первая и все последующие неисправности должны рассматриваться как одиночная неисправность.
д) Неисправности общего характера должны быть учтены, например путем использования разнообразных специальных процедур, чтобы идентифицировать такие неисправности.

Примечание — В случае сложных структурных схем, например в микропроцессорах, при полном резервировании, рассмотрение неисправностей, как правило, проводят на структурном уровне, т. е. на основе монтажных блоков.

Поведение системы управления категории 4 допускает, что:
- при возникновении неисправностей функция безопасности всегда выполняется;
- неисправности будут обнаруживаться своевременно, чтобы предотвратить потерю функции безопасности.
6.3 Выбор и сочетание элементов, связанных с обеспечением безопасности, по разным категориям
Функции безопасности (см. 3.6 и раздел 5) задают по методике, описанной в 4.3 (рисунок 1, этап 3). Согласно 6.2 категории следует выбирать для всех элементов системы управления, связанных с обеспечением безопасности. Разработку и выбор элементов, связанных с обеспечением безопасности, следует осуществлять в соответствии с требованиями разделов 4 и 5. Одиночная функция безопасности может быть обработана одним или несколькими элементами, связанными с обеспечением безопасности. Подобным образом несколько функций безопасности могут обрабатываться одним или несколькими элементами, связанными с обеспечением безопасности. На практике для снижения риска может потребоваться выполнение одной или нескольких функций безопасности.
Когда функция безопасности выполняется несколькими элементами, связанными с обеспечением безопасности, например датчиками, блоком управления, элементами управления питанием, то эти элементы могут быть отнесены к одной категории и(или) к разным категориям в сочетании (комбинации).
Если элементы обеспечения безопасности, отнесенные к одной и той же или к разным категориям, используют в сочетании для выполнения функции безопасности, то анализ этого сочетания должен быть включен в общую проверку достоверности, которая необходима по этапу 5 пункта 4.3. Этот анализ будет более простым, если уже известны категории некоторых или всех элементов, связанных с обеспечением безопасности.
Выбор категории для определенного элемента системы управления, связанного с обеспечением безопасности, главным образом зависит от:
- снижения риска, который должен быть достигнут функцией безопасности за счет вклада, вносимого этим элементом;
- вероятности возникновения неисправности в этом элементе;
- риска, возникающего в случае неисправности в этом элементе;
- возможностей избежать неисправности в этом элементе;
- используемых технологий.
Дополнительная информация по выбору категорий приведена в приложении Б.