Bir Elektrikli/Elektronik/Programlanabilir Elektronik Sistemin Güvenlik Bütünlüğünü Belirleme Yöntemleri
A. Mutu, Y. Pang, J. van Vliet ve G. Lodewijks tarafından | Sensörler | 1 Mart 2013
Okuma süresi 14 dakika
Güvenlikle ilgili asansör uygulamalarında elektrikli, elektronik ve programlanabilir elektronik sistemler için güvenlik bütünlüğü belirleme yöntemlerinin incelenmesi, sınırlı operasyonel veriler ve bilinmeyen arıza modları nedeniyle sistem düzeyindeki arıza verilerine dayanan tekniklerin uygunsuz olduğunu ortaya koymaktadır. Dokuz güvenlik bütünlüğü belirleme yöntemi, asansör endüstrisi kısıtlamalarına göre değerlendirilmiş ve neden-sonuç analizi, bileşen düzeyinde girdiler gerektirmesi ve temel teknik yönleri kapsaması nedeniyle en uygun yöntem olarak seçilmiştir. CCA, algılama, değerlendirme ve yedek reaksiyon bloklarını modelleyen bir elektronik aşırı hız regülatörüne uygulanmıştır; muhafazakar nicelleştirme, saatte 2.043×10^-8 arıza oranı vermiş ve yedek reaksiyon ünitesini SIL 3 olarak sınıflandırmıştır. CCA, net mantık, arıza modu sıralaması ve test, onarım ve otomasyonla uyumluluk sağlar ve kullanımda kanıtlanmış veriler birikene kadar pratiktir.
A. Mutu, Y. Pang, J. van Vliet ve G. Lodewijks tarafından
Bu bildiri şu adreste sunuldu:
USA 2012, Uluslararası Dikey Taşıma Teknolojileri Kongresi ve ilk olarak A. Lustig tarafından düzenlenen IAEE kitabı Elevator Technology 19'da yayınlandı. Uluslararası Asansör Mühendisleri Birliği'nin izniyle yeniden basılmıştır.
(İnternet sitesi: www.elevcon.com). Bu makale tam bir yeniden basımdır ve ELEVATOR WORLD tarafından düzenlenmemiştir.
Anahtar Kelimeler: Emniyet, emniyet bütünlüğü tespiti, elektrik/elektronik/programlanabilir elektronik sistem.
Özet
Elektrikli, elektronik ve/veya daha yeni programlanabilir elektronik sistemlerden (E/E/PES) oluşan sistemler, güvenlik işlevlerini yerine getirmek için yaygın olarak kullanılmaktadır. Bu sistemlerin güvenlik bütünlüğünün doğru bir şekilde belirlenmesine büyük ilgi vardır, çünkü kullanılamama durumları felaket olaylarına yol açabilir. Bu belge, güvenlikle ilgili uygulamalarda bir E/E/PES'in güvenlik bütünlüğünü belirlemeye yönelik mevcut yaklaşımları gözden geçirmektedir. Bu yöntemleri asansör sektörünün özelliklerine göre filtreler ve uygulanabilir bir çözüm önerir. Asansör endüstrisinden bir güvenlik işlevi gerçekleştiren bir E/E/PE sisteminin pratik bir örneği verilmiş ve seçilen tekniğe göre güvenlik bütünlüğü belirlemesi modellenmiştir.
1. Giriş
Petrol, gaz, kimya, havacılık veya otomotiv gibi birçok endüstri, güvenlikle ilgili uygulamalarda (SRA) elektrik/elektronik ve programlanabilir elektronik sistemlerin (E/E/PES) iyi performansına giderek daha fazla bağımlı hale geliyor. Son zamanlarda, E/E/PES, asansörler için güvenlikle ilgili uygulamalarda (SRAL) işlevlerin yerine getirilmesinde de benimsenmiştir. Diğer sektörlerden farklı olarak, asansör sektörünün E/E/PES ile SRA'daki deneyimi sınırlıdır.
SRAL'deki E/E/PES, gerçek performanslarını zamanında ve olası tüm arıza modlarını ortaya çıkarmak için yeterince kullanılmamıştır. Ancak, bir risk analizi temelinde asansör endüstrisinde güvenli çözümler olarak kabul edilmektedir (Lemmers ve Striekwold 2001).
Risk analizi, E/E/PES tarafından elde edilen emniyeti değerlendirmek ve çıktı olarak emniyet başarısı için sayısal bir değer sağlamak içindir. Belirlenen sayısal değere güvenlik bütünlüğü (SI) adı verilir ve bir E/E/PES güvenlikle ilgili sistemin belirtilen bir süre içinde belirtilen tüm koşullar altında belirtilen güvenlik işlevini tatmin edici bir şekilde yerine getirme olasılığı olarak tanımlanır (IEC 2010) .
SID'nin belirlenmesinde kullanılan risk analizi yöntemi, güvenlik işlevini gerçekleştirmek için E/E/PES'in güvenilirliğini belirleme yöntemini temsil ettiğinden, güvenlik bütünlüğü belirleme (SID) yöntemi olarak adlandırılacaktır. Risk analizi yöntemleri geniş bir uygulama yelpazesini kapsadığından ve sonuçların doğası değişebildiğinden, terminolojideki farklılık önemlidir, bu arada SID yöntemleri yalnızca E/E/PES'in güvenlik bütünlüğünü belirlemek için uygun risk analizine atıfta bulunur ve yalnızca nicel sonuçlar sağlar.
SRAL'deki E/E/PES, pratik deneyimi olmayan (kullanım güvenilirliği kanıtlanmamıştır), zamanında performansı bilinmeyen ve hata modları açıklanmayan sistemlerdir. Genel emniyet başarılarını doğrulamanın geriye kalan tek yolu (yani, bir sistemdeki arızalardan kaçınılmasının kesinliğini kanıtlamaktadır), doğru performans ve SID sürecinin değerlendirilmesidir. Bu, deneyimli değerlendiricilerin yanı sıra uygun bir SID yönteminin de uygulanmasını gerektirir. SRA'da kullanılan E/E/PES için geçerli olan bazı genel SID yöntemleri, standartlar tarafından tavsiye edilmektedir (IEC 2010), diğerlerine resmi belgelerde (John Gould, Michael Glossop ve diğerleri 2000) veya hatta bazılarıyla halen karşılaşılmaktadır. araştırma aşaması (Redmill, Chudleigh ve ark. 1997). Ancak, verilen/karşılaşılan yöntemlerin tümü o endüstrideki gelişme aşamasına uygun olmadığından, belirli bir endüstriye uygulanabilirliklerinin daha fazla analiz edilmesi gerekmektedir.
Başka bir deyişle, belirli bir uygulama için kullanılacak SID yöntemlerinin özelliklerinin, o uygulamanın belirli endüstrisinin bilgi ve gelişme düzeyiyle eşleşmesi gerekir. Örneğin, kullanım deneyimi olmayan ve arıza modları hakkında veri bulunmayan yeni sistemlerde (SRAL sistemlerinde E/E/PES gibi), sistemin arıza modları hakkında veri bilgisi gerektiren bir SID yönteminin kullanılması uygun değildir. Bu durumda tek tek bileşenlerden gelen verilere dayalı bir SID yöntemi daha uygundur. Aynı zamanda, kutsanmış tasarımlar için (örneğin, aviyoniklerde kullanılanlar gibi), bileşenler üzerinden veri gerektiren bir SID yönteminin kullanılması, sistemin güvenlik bütünlüğü önceden yerinde deneyim tarafından belirlendiği ve doğrulandığı için gereksiz çalışma anlamına gelir. .
Bu makalenin amacı, asansörler için güvenlikle ilgili uygulamalarda SID kavramını tanıtmaktır. SID yöntemleri olarak kullanılabilecek mevcut risk değerlendirme yöntemlerini gözden geçirir ve uygulanabilirliklerini asansör endüstrisinin gereksinimleri ve sınırlamaları üzerinden filtreler. Bu belgede tanımlanan şu anda en uygun SID yöntemi, bir asansör kurulumunun zorunlu güvenlik bileşenlerinden biri olan elektronik aşırı hız regülatörüne uygulanır.
2. Güvenlik Bütünlüğünün Belirlenmesi
E/E/PES'in SRAL'de kullanılması, yalnızca bu sistemlerle ilişkili bir dizi özel terim getirdi. Başlıca terimler ve tanımları Tablo 1'de verilmiştir.
Bir E/E/PES için öncelikle bir SF gerçekleştirmesi önemlidir. Tablo 1'de tanımlanan terimler, bir SF gerçekleştirenler dışında E/E/PES için kullanılmamalıdır.
SRAL'de, E/E/PES aracılığıyla uygulanacak patentli ana SF'ler, ezilme veya düşme tehlikelerini önlemede kullanılan iniş ve kabin kapısı kilitleme cihazları, aşırı hız regülatörleri ve acil durum anahtarlarıdır (Alfredo Gómez, Angel Gimeno ve diğerleri 2008).
Belirli bir SF'yi gerçekleştiren bir E/E/PES için, SI değeri tanımlanmalıdır. SI'nın değeri, bir risk analizi temelinde belirlenir. Risk analizi, çeşitli uygulamalarda kullanılan, sıkı bir şekilde güvenlik konularıyla ilgili olmayan geniş bir kavramı temsil ettiğinden ve sonuçlarının doğası hem niteliksel hem de niceliksel olabileceğinden, burada bu terimin SID terimi ile değiştirilmesi önerilmektedir.
Burada önerildiği gibi SID, SRAL'de bir E/E/PES aracılığıyla uygulanan belirli bir SF'nin SI'sinin belirlenmesi için kullanılacak özel bir yeni kavramdır. Bir SID yalnızca E/E/PES için uygulanabilir, bir SRAL'de bir SF gerçekleştirir ve sonuçların doğası, analiz edilen sistemin SI'sına göre kesinlikle niceldir. SID adımının çıktısı olarak sağlanan SI değeri, verilen belirli sistem için karşılık gelen ayrık seviyeyi – SIL – empoze eder. (IEC 2010) tarafından tanımlanan SIL'ler, Tablo 2'de özetlenmiş bir biçimde verilmektedir.
Bir sistem için SIL, o sistem için donanım ve mimari kısıtlamaları belirler. SIL ne kadar yüksekse, analiz edilen sistemden o kadar fazla yedeklilik ve çeşitlilik talep edilir, sonuç olarak sistemin daha yüksek güvenilirliği sağlanır, ancak aynı zamanda daha yüksek maliyetler söz konusu olur. Bu nedenle, bir SF gerçekleştiren bir E/E/PES için SIL'yi değil, belirli bir uygulama için doğru SIL'yi belirlemek önemlidir.
Bir SF gerçekleştiren bir E/E/PES sisteminde güvenlik başarısını, sistemin donanım uygulamasıyla ilişkili maliyetlerle başarıyla birleştirecek doğru SIL. Geriye dönük bir analiz, doğru bir SIL'nin doğru bir SI tarafından şartlandırıldığını ve doğru bir SI'nin doğru bir SID performansının sonucu olduğunu gösterir.
3.Yöntemler
SRAL'de SID yöntemleri olarak kullanılabilecek yöntemlerin belirlenmesi, petrol, gaz, kimya, nükleer, uçak veya otomotiv gibi çeşitli endüstrilerin araştırılmasına dayanmaktadır. Bu incelemeye dayanarak, SRAL'de SID için kullanılabilecek şu anda mevcut olan 9 yöntem belirlendi. Yöntemler, kısaltmaları ve ilgili bilgi kaynakları ile birlikte Tablo 3'te verilmiştir.
Tanımlanan her bir SID yönteminin özellikleri gözden geçirilmiş ve Tablo 4'te özetlenmiş bir biçimde verilmiştir. Tablo 4'ün yapısı (Rouvroye ve van den Bliek 2002) tarafından önerilene benzerdir ve çeşitli güvenlik analiz tekniklerinin karşılaştırılmasında kullanılır.
SRAL'de SID için kullanılacak en uygun yöntem, girdi olarak en az mevcut veriyi gerektiren ve SRAL'da E/E/PES ile ilgili teknik hususların çoğunu kapsayan yöntemdir. SRAL'de kullanılan E/E/PES için mevcut giriş verileri, bileşen arıza modu ve verilerinden oluşur.
SRAL'deki E/E/PES sınırlı operasyonel deneyime sahip olduğundan, sistemin arıza modu ve verileri şu anda kullanılamıyor. Bu, sistem arızası üzerinden veri gerektiren SID yöntemlerini, SRAL'de E/E/PES geliştirmenin mevcut aşaması için uygunsuz hale getirir.
Bu nedenle PN, MCS ve MA gibi teknikler, kapsanan teknik yönlerin sayısı ile öne çıksalar da asansör endüstrisinde gelişme aşamasına uygun değildir. Kalan yöntemlerden FTA, ETA, CCA, FMEA, FMECA ve RBD arasından seçim, SRAL'da E/E/PES'in teknik yönlerinin çoğunu kapsayan yöntem lehine yapılır. Tablo 4'ten, CCA yöntemi, SRAL'de E/E/PES için mevcut geliştirme ve bilgi aşamasıyla kullanılmak üzere en uygun olarak seçilecektir.
4. Uygulama
To demonstrate the CCA’s applicability to SID in SRAL, the method is exemplified on the electronic overspeed governor (EOS). The EOS is one of the mandatory safety devices (mandatory as device but not as technology) encountered in a lift installation with the role of stopping the lift when this attains a predetermined speed. In other words, the SF implemented via the EOS is composed out of the ovespeeding detection, evaluation of the predetermined speed considered as dangerous and reacting by opening the lift’s safety circuit (SC) - cutting off the power supply – in order to bring the lift installation to a safe state. In a failure mode, the EOS, can also mechanically engage the safety gear (SG) of the lift installation.
Bir asansör kurulumunda uygulanan EOS SF'nin unsurları Şekil 1'de verilmiştir.
SF'nin SI'si, SF'yi oluşturan algılama, değerlendirme ve reaksiyon blokları için SI'nın bireysel olarak belirlenmesiyle belirlenir. Örnekleme amacıyla, EOS aracılığıyla uygulanan SF'nin yalnızca tepki kısmı daha fazla tartışılacaktır.
Reaksiyon sistemi ancak tespit edilen hız aşırı hız olarak değerlendirildikten sonra devreye alınmalıdır. Reaksiyon sistemi, aynı yapı tipine sahip iki emniyet rölesinden (SR) oluşur. Bir emniyet rölesi birincil tetikleme cihazı (SR1) olarak, ikincisi ise yedek ünite (SR2) olarak çalışmaktadır.
Bu, analiz edilen sistemi, bekleme üniteli bir SRAL'de bir reaksiyon sistemi yapar. Değerlendirme ünitesinden gelen çıktı, Şekil 2'de şematik olarak verildiği gibi hem SR'leri besliyor hem de asansör tesisatının SC'sini açmaya yöneliktir.
CCA kritik olay için geliştirilmiştir – SR1, SC'yi açamaz. Bu arızanın nedeni, SR1'in neden şemasında geliştirilmiştir - SC'yi açamaz ve sonuçları, sistemde karşılaşılan olaylara dayalı olarak ayrıca analiz edilir. Bu şekilde geliştirilen CCA Şekil 3'te verildiği gibidir. Diyagramda kullanılan semboller ve bunların (Nielsen 1971) tarafından tanıtıldığı şekliyle önemi Tablo 5'te verilmiştir.
CCA diyagramının nicelleştirilmesi için, diyagramda tanımlanan temel olaylar için öncelikle bir dizi değerin belirlenmesi veya varsayılması gerekiyordu. Temel olaylar, diyagramda daireler olarak temsil edilir ve neden diyagramları için gelişme sınırıdır.
Yapılan varsayım sadece açıklama amaçlıdır ve gerçek uygulamalarda burada varsayılan değerlerin belirlenmesi gerekir.
"Değerlendirme biriminden çıkış sinyali yok" bloğunun, yüksek talep modunda SIL 3 sistemleri için arıza olasılığına sahip olduğu varsayılmıştır – yani 10-8 ila 10-7 arıza/saat (bkz. Tablo 2). Alanın en düşük limiti daha sonraki hesaplamalarda dikkate alındı. Rölenin kablo kesintisi ve kontaklarının durumu aynı değerlendirme birimi tarafından izlenir, bu nedenle arıza olasılıkları, değerlendirme biriminin arıza olasılığı tarafından belirlenir. Temel olayların geri kalanı, Tablo 6'da verildiği gibi nicelendirildi.
Tablo 6'da verilen değerler ve Şekil 3'te gösterilen analiz mantığı ile, bir EOS'ta yedekli reaksiyon ünitesinin arıza modu için Tablo 7'de verilen aşağıdaki değerler elde edilir. Belirlenen sayısal değerler, varsayılan kritik olay altında verilen bir sistem için olası 3 arıza yolunun mantık sırasını temel alır.
Güvenli arıza modu, analiz edilen sistem için herhangi bir risk oluşturmaz. Bir güvenlik işlevindeki bir reaksiyon ünitesi için Güvenli arıza modu, aslında normal çalışma modunu temsil eder. CCA'dan belirlendiği üzere, analiz edilen sistemin güvenli bir şekilde çalışma olasılığı bire çok yakındır. Sistemin toplam riski, zamanında arıza olasılığı veya SI'si, Tablo 6'da verilen Güvenli Arıza ve Tehlikeli Arıza modlarının olasılıklarının toplamı ile temsil edilir ve bu 2.043·10-8 Arıza/Saat'tir. . Tablo 1'den, bir EOS'nin yedekli reaksiyon biriminin SIL'si SIL 3'tür.
5. sonuçlar
Belge, güvenlik bütünlüğü belirleme kavramını tanıttı ve neden-sonuç analizi yoluyla asansör endüstrisinde uygulanabilirliğini gösterdi. Burada önerilen SID konsepti, SRAL ve SI'daki E/E/PES ile ilgili olarak ayrıca kullanılacaktır.
CCA yönteminin, asansör endüstrisinin gerçek gereksinimlerine ve sınırlarına uygun olduğu kanıtlanmıştır. CCA, yalnızca SID'nin açık mantığını sağlamakla kalmaz, aynı zamanda sistemin olası arıza modlarını da sağlar. Ayrıca, CCA diyagramının doğru bir niceliği, olası arıza modlarının sıralanmasına yol açar.
SRAL'de E/E/PES ile deneyim kazanılana kadar, CCA bu sistemlerin SID'si için açık ve iyi belgelenmiş bir yöntemi temsil eder. Yöntem, test ve onarım prosedürleriyle başa çıkabilir (Nielsen, Platz ve ark. 1975) ve diyagramın geliştirilmesi otomatikleştirilebilir (Valaityte A., Dunnett SJ ve ark. 2010).

Şekil 1: EOS tarafından uygulanan SF'nin ana bölümleri 
Şekil 2: Bir EOS'un reaksiyon biriminin şematik gösterimi 
Şekil 3: SR 1 için CCA SC'yi açamıyor 
Tablo 1: SRAL'de E/E/PES için özel terimler 
Tablo 2: Güvenlik Bütünlüğü Düzeyleri (Smith ve Simpson 2011) 
Tablo 3: Mevcut SID yöntemleri ve ana bilgi kaynakları 
Tablo 4: Mevcut SID yöntemleri ve özellikleri 
Tablo 5: CCA'da kullanılan semboller 
Tablo 7: Sonuç sıralaması