PESSRAL, IEC 61508'in EN 81'e entegre edilmiş, temel hesaplamaları, resmi risk analizlerini, sistematik kapasite gereksinimlerini ve doğrulama test aralıklarını atlayan, matematiksel olarak güvenli olmayan asansör güvenlik tasarımlarına olanak tanıyan, kısaltılmış bir uygulamasıdır. SFF, talep tanımı veya ortak neden azaltma olmaksızın iki kanal zorunluluğu getiren EN 81-20/50, ortak nedenli arızaları artıran gereksiz ancak ilişkili mimarileri zorlayabilir. Gerekli teşhis, arıza oranı hesaplamaları ve özel test stratejileri eksik olduğundan, bileşen zayıflıkları ve tespit edilemeyen arızalar birikebilir. Henüz büyük bir kaza bildirilmemiş olsa da, zorunlu analiz, hesaplama ve test eksikliği, güvenliğin sağlanamayacağı anlamına gelir. IEC güvenlik omurgasını yeniden oluşturmak için EN 81-20'nin hızlı bir şekilde revize edilmesi gerekmektedir.
Avrupa standartları uygulamalarında önemli güvenlik sonuçları
Bu bildiri şu adreste sunuldu:
Madrid 2016, Uluslararası Dikey Taşıma Teknolojileri Kongresi ve ilk olarak IAEE kitabında yayınlandı Asansör Teknolojisi 21, A. Lustig tarafından düzenlendi. Uluslararası Asansör Mühendisleri Birliği'nin izniyle yeniden basılmıştır.
(İnternet sitesi: www.elevcon.com).
Asansör endüstrisi, elektrik/elektronik/programlanabilir elektronik (E/E/PE) güvenliğinde oldukça eskidir: 30 yılı aşkın bir süredir elektrikli güvenlik zincirini kullanmaktadır. Ancak EN 81-1/2 A1:2005 değişikliğinden bu yana standart, güvenlik sistemleri (PESS) için programlanabilir elektroniklerin kullanımına izin vermektedir. Ayrıca, kod komitesi, zorluğu azaltmak ve uygulama hızını artırmak için önde gelen normun (IEC 61508) bir alt kümesini EN 81'e uygulamaya karar verdiğinde, Asansörler için Güvenlikle İlgili Uygulamalarda Programlanabilir Elektronik Sistemler (PESSRAL) doğdu. Ancak, kiraz toplama ve temelleri atlama nedeniyle, eski ve hatta en yeni kod (EN 81-20/50) güvenli olmayan sistemler oluşturmayı mümkün kılmaktadır. Potansiyel riskler nerede?
Öncü Norm
IEC 61508, toplamda 500'den fazla sayfaya sahip yedi farklı parçadan oluşur. Bir E/E/PE güvenlik cihazı oluştururken izlenecek tam yolu açıklar. Hesaplamaları, varsayımları, tasarım stratejilerini, risk analizlerini ve kalite sistemlerinin tanımlarını içerir. Sistemin güvenliğini ifade eden matematiksel bir sayı olan güvenlik bütünlüğü seviyesi (SIL) ile sonuçlanır. Tüm bu belgeler, güvenli bir sistemde sonuçlandırmak için gereklidir. Buna karşılık EN 81-20/50, 11 sayfa kullanır ve tam bir paket olduğunu iddia eder.
Sistematik Yetenek
Bir PESS yapmak için tüm süreç akışı, 61508-1 standardının ayrı bir bölümünde açıklanmıştır. Net bir çalışma ve proje yönetimi yolu ile bir sistemdeki sistematik hataları en aza indirmeye çalışıyoruz. Açık talepler vardır ve bu, sistematik bir yetenek (SC) değeriyle sonuçlanır. Kullanılabilecek teknikler, örneğin proje yönetimi, dokümantasyon, yapılandırılmış tasarım ve modülerleştirme ile SC'dir, çünkü bu teknikler EN 81-20'de talep edilmediği veya tanımlanmadığı için. Uygun yönetime sahip olmayan projeler büyük hatalar içerebilir ve bunların fark edilmesi zordur.
Risk Analizleri
Güvenlik yazılımı için, güvenliği ölçmek için SIL kullanılır. Sistemin güvenliğini ifade eden matematiksel bir sayıdır. Örneğin: SIL 3'ün ortalama başarısızlık şansı 10'dur.-9 ve 10-8 veya 10-5 10 için-4 talep edilen orana bağlı olarak bir saat. Normalde gerekli SIL oranını belirlemek için bir risk analizi yapmanız gerekir. EN 81-1/2+A3 ve EN 81-20/50, içinde bu risk analizini zaten gerçekleştirdi ve SIL derecelendirmelerini istedi. Bu sayede rakiplerin sistemlerinde tekdüzelik yaratan bir risk analizine gerek kalmaz. Ancak, bir risk analizi proje hakkında fikir verir ve tasarımı etkiler. Bu, IEC 61508 prosedüründe zorunludur, ancak EN 81-1/2 ve EN 81-20'de zorunlu değildir.
Hesaplama teorik temeldir; sistemin en zayıf noktaları hakkında fikir verir ve sistemin yeterince güvenli olduğunu kanıtlar.
Talep
Dolayısıyla, bir SIL seviyesi mevcuttur, ancak yüksek talepte mi yoksa düşük talepte mi çalıştığımız standart tarafından net değildir. Ancak bunlar arasındaki talep oranındaki fark, tam olarak 10.000 arıza/saat faktörüdür. Düşük talep, IEC 61508-4'te “Kontrol altındaki Ekipmanı (EUC) belirli bir güvenli duruma aktarmak için güvenlik işlevinin yalnızca talep üzerine gerçekleştirildiği ve talep sıklığının her biri için birden fazla olmadığı” olarak açıklanmaktadır. yıl." Bir asansör için, aşırı hız regülatörünü yılda bir kereden fazla kullanmıyoruz, öyleyse talep düşük mü? Bunu bilmek gerekir, çünkü hesaplanan güvenlikte 10.000 kat fark verir. Standartta düz bir şekilde ayarlanmamıştır. Ancak IEC-62061, makinelerin yüksek talebi karşılayacağını belirtir. Sertifika veren kuruluşların çoğu bu yönergeyi takip etmektedir. Ne yazık ki, EN 81-20'de açıkça ayarlanmamıştır.
Güvenli Arıza Fraksiyonu
Bir SIL 3 sistemi kurarken, EN 81-1/2+A3 ve EN 81-50'deki ilgili tablolar çift kanallı bir sistemi zorunlu kılar. Bunun ana fikri “bir kanal arızalandığında diğer kanal sistemi güvenli duruma getirir” şeklindedir. IEC 61508 aynı ilkelere sahiptir, ancak bazı önemli tutarsızlıklar vardır. IEC 61508, Güvenli Arıza Fraksiyonu (SFF) modelini açıklar: arızaların güvenli ve tehlikeli olan kısmı. Arıza modunun tahmin edilemediği bileşenler (CPU'lar ve diğer karmaşık sistemler gibi) için talepler daha yüksek ayarlanır. Burada tanılama yazılımı da SFF'yi artırır. EN 81-20/50'nin SIL 3 için iki kanallı bir sistem talep etmesi nedeniyle, tamamen arıza emniyetli (SFF = %100) tek kanallı sistem kullanımını hariç tutar ve arıza emniyetsiz ( SFF < %90) sistemi. Bir kanaldaki olası her hata doğrudan tehlikeliyse (SFF = %0) ve hata tespit edilmeden kalırsa, ikinci bir hata güvenli olmayan bir sisteme neden olur. Bu şekilde, PESSRAL çözümleri EN 81-20'de bulunan hata ağacı analizlerinden daha az güvenli olabilir.
Yaygın neden
Risk analizi yapılmaması ve SIL 3 için iki kanala talep olması nedeniyle yeni bir zorluk ortaya çıkıyor. Daha fazla spesifikasyon olmadan iki kanal talep ederek, iki özdeş kanal oluşturmak mümkün hale gelir. Bu özdeş kanallar, aynı hata (ortak neden) nedeniyle aynı anda başarısız olma riskini ortaya çıkarır. Tipik hatalar, biraz ila çok düşük besleme voltajı, bir CPU içindeki tasarım hataları veya sıcaklıktır. Birden çok kanalla çalışırken, ortak nedenli hatalar toplamın en büyük bölümünü oluşturur.
Bunu bir zar atmakla karşılaştırabilirsiniz. Bir atarak kaybederseniz, kaybetme şansınız tam altıda birdir. Bu kaybetme şansını azaltmak için başka bir zar ekleyebilirsiniz. Şimdi, oyunu kaybetmek için iki taneye ihtiyacın var. Kaybetme şansını hesaplarken şunu kullanırız: 1/6 * 1/6 = 1/36.
Şimdi, bu "sistemde", her iki kanalı da (zarlar) etkileyen bir ortak neden hatası sunuyoruz. Kalıbın diğer tarafında “6” sayısı temsil edildiğinden ve altı noktayı boyamak için biraz daha fazla boyaya ihtiyacımız var. Daha fazla boya aynı zamanda daha fazla ağırlık anlamına gelir ve bir zardaki iki zıt taraf her zaman toplam yedi verir. Bu hatalı tasarım nedeniyle, bir tane atma şansı, diğer sayıları atma şansından daha fazladır. İkili bir kombinasyon şansı, başka bir ikili kombinasyon şansından daha büyüktür. İki tane atma şansım %5 daha fazlaysa, sistem 5/1'dan %36 daha az güvenlidir: 1/120'ya 1/36 eklememiz gerekir.
Bu sistem için etki nispeten küçüktür. Ancak, bir PESS kanalının hata olasılığı çok daha küçüktür: örneğin, 10-9. Aynı hesaplamaları yapan iki kanallı sistemde 10-9 * 10^ -9 = 10^ -18 başarısız olma şansı. Şimdi %5 ortak nedeni ekliyoruz: 5 * 10-11. Ortak nedenli kısmın tek kanallı arızalardan çok daha büyük olduğunu açıkça görebiliriz. Kanallarda daha az başarısız olma şansımız varsa, ortak neden daha önemli hale gelecek ve güvenlik hesaplamalarının yanı sıra gerçek güvenlik de baskın bir parçası olacaktır. EN 81 bu sorunu çözmez; ortak nedenlerden kaçınma için hiçbir teknik tanımlanmamıştır veya hesaplanmamıştır.
Teşhis Teknikleri
EN 81-20 kiraz bir dizi teknik seçer ve bunları zorunlu olarak belirtir. Artık hesaplamaya gerek yok. (EN 81-50, hesaplamaları açıklayan IEC 61508-6'nın anlaşılması için gerekli olmadığını belirtir.) IEC 61508 çok sayıda seçenek sunar; sistem için en uygun teknik seçilebilir. Diğer tekniklerin oldukça daha faydalı olduğu durumlarda, tamamen alakasız tekniklerin talep edilmesi olabilir. Örneğin: asansör standardında sensörler için herhangi bir talep yoktur, ancak karmaşık bir mantıksal programlanabilir cihaz (CLPD) kullandığımızda, RAM kontrolleri ve bekçi köpekleri için hala talepler vardır; IEC 61508'e göre bu doğru değil. Burada teşhislerimizin yeterince iyi olup olmadığını kontrol edemeyiz. Normal olarak, tanılama kapsamı (DC), güvenli arıza oranı (SFF) ve bu şekilde sistemin tüm güvenlik hesaplaması üzerinde doğrudan bir etkiye sahiptir.
Hesaplamalar
IEC 61508'in omurgası, temel hesaplamalardır. Tüm bileşenlerin zamanında arıza (FIT) oranlarına ve tasarımına bakılarak arıza olasılığı hesabı yapılabilir. Hesaplanan sayılar SIL oranı ile uyumlu olmalıdır. SFF'yi iyileştirmek için bileşenler ve DC üzerindeki arıza modları ve etkileri analizi, daha güvenli bir sistemde sonuçlanır. IEC 61508'in SFF'den karşılanması gereken talepleri vardır.
Hesaplama teorik temeldir; sistemin en zayıf noktaları hakkında fikir verir ve sistemin yeterince güvenli olduğunu kanıtlar. EN 81 için bu hesaplamaya gerek yoktur; tüm talepler yerine getirilerek, gereksinimler karşılanmaktadır. Bu talepler yalnızca teknikleri tanımlar, ancak herhangi bir sayı vermez. Sistemin "yeterince güvenli" olup olmadığının bir kontrolü yoktur, bu nedenle matematiksel olarak güvenli olmayan bir sistem elde etmek mümkündür.
Örneğin: gerçekten kötü iki röle paralel olarak kullanılabilir. Her 10 defada bir başarısız olduklarında, her ikisi de aynı anda her 100 defada (ortak sebep hariç) başarısız olacaktır. Yine de EN 81-20'yi (tanılamalı çift kanal) karşılar: her iki rölenin de arızalı olduğu tespit edilebilir. Ancak, bu noktada artık harekete geçilemez. IEC 61508 ile sistemin arıza oranlarını hesapladığımızda, doğrudan rölelerin bu sistem için yeterince iyi olmadığını göreceğiz: FIT değerleri, saat başına ürün arızası rakamı için yıkıcı olacaktır. Hesaplama nedeniyle, hatalı bileşenler filtrelenir.
Test yapmak
Her sistemin geliştirmeden sonra test edilmesi gerekir: Test aşamasında her zaman filtrelenen öngörülemeyen sorunlar vardır. Tabii ki, bir PESSRAL sistemi test edilecektir, ancak hangi test stratejisi uygun? Endüstrinin çoğunun güvenlik yazılımıyla ilgili pratik deneyimi yoktur ve standartta zorunlu veya hatta belirtilen test stratejileri yoktur. En yaygın olarak bilinen test yöntemi siyah/beyaz kutu testidir. Bir sistemi taramanın bu temel yolu hem elektrik hem de mekanik sistemler için kullanılabilir. PESS oluştururken sistem tam bir kara kutudur. Ancak IEC 61508, gereksinimlerin izlenebilirliğini, tam modellemeyi, yazılım simülasyonunu ve performans testini de isteyebilir. Ayrıca asansör normunda ortak nedenli arızalar için herhangi bir test prosedürü veya farkındalık yoktur.
Kanıt Testi Aralığı
Yine, bir sistemin ömrü dikkate alınmaz. PESS sistemlerinde periyodik muayene neredeyse imkansız olduğu için bir ömür belirtilmelidir. Sistemdeki tanılama da olası her hatayı tespit edemez; DC her zaman %100'den küçüktür. Normalde, PESS sistemlerinde normalde tespit edilmeyen hataları tespit etmek için bir “prova testi aralığı” vardır. EN 81 bunu gerektirmez. Bu, bir sistemin sonsuz miktarda hata oluşturmasına izin verir ve tehlikeli bir hatayla sonuçlanma olasılığını verir.
Tartışma
Şu anda sadece çok az sayıda asansör PESS ile çalışıyor. Çalışanlar için henüz büyük bir başarısızlık yok. 81 yılında EN 1-2/2005'nin ilk değişikliğinden bu yana PESS uygulaması mümkün olmuştur. Bugün sahada kaç kurulum olduğunu bilmiyoruz, bu yüzden neden arıza olmadığını belirleyemiyoruz. Herhangi bir kaza yaşamadığımız gerçeğini açıklayabilecek bazı olası açıklamalar var:
- Devrim niteliğinde bir şey yaparken, bir şirket kesinlikle güvenli olduğundan emin olmalıdır. Aksi takdirde ürün müşteri tarafından piyasada kabul edilmeyecektir. PESSRAL için çoğu asansör şirketi, birkaç yıl sonra hala çalıştığından kesinlikle emin olmak ister, bu nedenle muhtemelen dayanıklılık testleri yapılacaktır. Bu güçlü bir test yöntemidir.
- Dünyada çok fazla PESSRAL sistemi yoktur: çoğu asansörün kullanım ömrü uzundur ve kontroller düzenli olarak değiştirilmez. Ayrıca PESSRAL'in gelişimi yeni başladı: piyasada çok fazla PESSRAL sistemi yok. Çoğu hala geliştirme aşamasında.
- Başlıca belgelendirme kuruluşları ayrıca PESS sistemleri üzerinde testler gerçekleştirir. Test için kendi talepleri var veya bir hesaplama isteyecekler. Belgelendirme kuruluşları da güvenli sistemler ister ve çoğu testlerin nasıl düzgün yapılacağını bilir.
- Kilitlenmeleri bildirmek için bir kılavuz yoktur ve dünyadaki tüm çökmeleri, özellikle de nedenini içeren raporları duyacağımızdan emin olamayız.
Bu olası açıklamaların en büyük sorunları zorunlu olmamasıdır: Test süresi konusunda herhangi bir talep yoktur ve Onaylanmış Kuruluşlar için PESS'te deneyim şartı aranmaz. Ayrıca, asansör felaketleri hakkında dünya çapında bilgi bu konuyla ilgili mevcut değildir.
Sistemi şimdi kontrol etmenin tek yolu test etmektir, ancak test stratejileri açıklanmamıştır.
Sonuç
PESSRAL, PESS değildir ve bu yalnızca çok fazla arka plan bilgisinin olmamasından kaynaklanmaz. Tüm matematik omurgası gitti, bu yüzden sistemin başarısız olma şansının doğru olup olmadığını hesaplayamayız. Bunun, yaygın nedenli arızalar üzerinde büyük bir etkisi vardır. Bunlar çift kanallı bir sistem için en tehlikeli hatalardır. Ayrıca kanalların kendisi güvenli olmayan bileşenlerden yapılabilir. Sistemi şimdi kontrol etmenin tek yolu test etmektir, ancak test stratejileri açıklanmamıştır. Bu yazının yazıldığı tarih itibariyle henüz ölümlü kaza olmamıştır. Ancak neden olmadıklarını açıklayamayız, olmayacaklarını da öngöremeyiz. Sonuçta PESSRAL kuralları ile güvenli olmayan sistemler kurmak mümkündür. Şimdilik sadece asansörlerin güvenli kalacağını umabiliriz; Gelecek için EN 81-20'yi mümkün olduğunca çabuk değiştirmemiz gerekiyor.