МЕЖГОСУДАРСТВЕННЫЙ СОВЕТ ПО СТАНДАРТИЗАЦИИ, МЕТРОЛОГИИ И СЕРТИФИКАЦИИ

(МГС)

INTERSTATE COUNCIL FOR STANDARDIZATION, METROLOGY AND CERTIFICATION

(ISC)

МЕЖГОСУДАРСТВЕННЫЙ

СТАНДАРТ

Безопасность оборудования

ЭЛЕМЕНТЫ СИСТЕМ УПРАВЛЕНИЯ, СВЯЗАННЫЕ С БЕЗОПАСНОСТЬЮ

Часть 1

Общие принципы конструирования

(ISO 13849-1:2006, ЮТ)

Издание официальное

Москва

Стандартинформ

2015

Предисловие

Цели, основные принципы и основной порядок проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0-92 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2-2009 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, применения,обновления и отмены»

Сведения о стандарте

1    ПОДГОТОВЛЕН Экспериментальным научно-исследовательским институтом металлорежущих станков (ОАО «ЭНИМС») на основе собственного аутентичного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2    ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии (Росстан-

дарт)

3    ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 5 декабря 2014 г. № 46)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97	Код страны по МК (ИСО 3166) 004-97	Сокращенное наименование национального органа по стандартизации
Азербайджан	AZ	Аз стандарт
Армения	AM	Минэкономики Республики Армения
Беларусь	BY	Госстандарт Республики Беларусь
Казахстан	KZ	Госстандарт Республики Казахстан
Киргизия	KG	Кыргызстандарт
Молдова	MD	Молдова-Стандарт
Россия	RU	Росстандарт

4    Приказом Федерального агентства по техническому регулированию и метрологии от 3 июня 2015 г. № 549-ст межгосударственный стандарт ГОСТ ISO 13849-1-2014 введен в действие в качестве национального стандарта Российской Федерации с 1 января 2016 г.

5    Настоящий стандарт идентичен международному стандарту ISO 13849-1:2006/Сог. 1:2009 Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design (Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования), включая Поправку 1:2009.

Международный стандарт разработан техническим комитетом по стандартизации CEN/TC 114 «Безопасность машинного оборудования».

Перевод с английского языка (ел).

Официальные экземпляры международного стандарта, на основе которого подготовлен настоящий межгосударственный стандарт, и международных стандартов, на которые даны ссылки, имеются в Федеральном агентстве по техническому регулированию и метрологии.

Сведения о соответствии межгосударственных стандартов ссылочным международным стандартам приведены в дополнительном приложении ДА.

Степень соответствия — идентичная (ЮТ)

6 ВВЕДЕН ВПЕРВЫЕ

3.1.16    анализ риска (risk analysis): Изучение технических характеристик машины в части ограничений, идентификации опасности и предварительная оценка степени риска (см. ISO 12100, 3.15).

3.1.17    оценка степени риска (risk evaluation): Сделанное на основе анализа риска заключение о возможности его снижения (см. ISO 12100, 3.16).

3.1.18    использование машины по назначению (intended use of machine): Использование машины в соответствии с информацией, содержащейся в документации для пользователя (см. ISO 12100, 3.23).

3.1.19    прогнозируемое неправильное применение (reasonably foreseeable misuse): Использование машины способом, не предусмотренным конструктором, но который может быть результатом легко предсказуемого поведения человека (см. ISO 12100, 3.24).

3.1.20    функция безопасности (safety function): Функция машины, сбой которой может привести к немедленному возрастанию риска(ов) (см. ISO 12100, 3.30).

3.1.21    текущий автоматический контроль (мониторинг) (monitoring): Функция безопасности, которая гарантирует, что предохранительные меры предусматриваются в том случае, если снижается способность компонента или элемента выполнять свои функции или если изменились условия протекания процесса таким образом, что произошло увеличение рисков.

3.1.22    программируемая электронная система (programmable electronic system PES): Система для управления, защиты или мониторинга, основанная на использовании одного или нескольких программируемых электронных устройств, включая все элементы системы, такие как источники питания, датчики и другие устройства ввода, магистрали данных и другие каналы связи, устройства привода и другие устройства вывода.

Примечание — См. IEC 61508-4, 3.3.2.

3.1.23    уровень эффективности защиты (performance level, PL): Дискретный уровень, используемый для определения способности элементов систем управления, связанных с обеспечением безопасности, осуществлять функцию безопасности в прогнозируемых условиях.

Примечание — См.4.5.1.

3.1.24    требуемый уровень эффективности защиты (required performance level PL_r): Уровень эффективности защиты (PL), применяемый для установления предела требуемого снижения риска для каждой функции безопасности (см. рисунок 2 и А.1).

3.1.25    среднее время наработки на опасный отказ (mean time to dangerous failure, MTTF_d): Ожидаемое среднее время наработки до наступления опасного отказа.

Примечание — см. [10], 3.2.34.

3.1.26    диагностический охват (diagnostic coverage, DC): Показатель эффективности диагностики, который может быть определен как отношение между вероятностью обнаружения опасных отказов и вероятностью всех опасных отказов.

Примечание 1 — Диагностический охват может существовать как для всей системы управления, связанной с обеспечением безопасности, так и для ее части. К примеру, показатель эффективности диагностики может существовать для сенсорных устройств, и/или логических систем, и/или конечных элементов.

Примечание 2 — см. IEC61508-4, 3.8.6.

3.1.27    защитная мера (protective measure): Мера, предпринимаемая для адекватного снижения степени риска.

Примеры

1    Меры безопасности, установленные разработчиком: определенная конструкция, основные и дополнительные средства защиты, инструкция по эксплуатации.

2    Меры безопасности, установленные пользователем: организация работы (безопасные технологические процессы, контроль, системы доступа к работе), обеспечение и использование дополнительных средств безопасности, средств индивидуальной защиты работников, обучение.

Примечание — см. ISO 12100, 3.19.

3.1.28    период эксплуатации (mission time, Т_м): Время планируемого использования SRP/CS.

4

ГОСТ ISO 13849-1-2014

3.1.29    тестовый показатель (test rate, r_t): Частота автоматических тестов для определения ошибок в SRP/CS, обратное значение диагностических тест-интервалов.

3.1.30    показатель запросов (demand rate, r_d): Частота запросов на осуществление действий SRP/CS.

3.1.31    ремонтный коэффициент (repair rate, r_r): Величина обратная периоду времени между моментом определения опасного отказа с помощью онлайн-теста или появления очевидной неисправности системы и моментом возобновления работы после ремонта или замены системы/компонента.

Примечание — Время ремонта не включает период времени, необходимый для обнаружения отказа.

3.1.32    система управления машиной (machine control system): Система, которая отвечает на сигналы ввода от частей элементов оборудования, операторов, оборудования внешнего контроля или любой комбинации вышеприведенных элементов и генерирует сигналы вывода, приводящие машину в действие в заданном порядке.

Примечание — Система управления может использовать любую технику или любую комбинацию различных технических средств (например, электрические/элекгронные, гидравлические, пневматические, механические).

3.1.33    уровень полноты безопасности (safety integrity level, SIL): Дискретный уровень (принимающий одно из четырех возможных значений), определяющий требования к полноте безопасности для функций безопасности, который ставится в соответствие Е/Е/РЕ-системам, связанным с безопасностью; уровень полноты безопасности, равный 4, характеризует наибольшую полноту безопасности; уровень, равный 1, отвечает наименьшей полноте безопасности, см. IEC 61508-4, 3.5.6.

3.1.34    язык программирования с ограниченной изменчивостью (limited variability language, LVL): Тип языка, который обеспечивает способность сочетания предопределенных атрибутов, библиотечных функций специализированного применения для выполнения технических требований безопасности.

Примечание 1 — См. IEC 61511-1, 3.2.81.1.2.

Примечание 2 — Типовые примеры LVL (язык многозвеньевой логики, язык функциональных блок-схем) представлены в [39].

Примечание 3 — Типовой пример системы, использующей LVL: PLC.

3.1.35    язык программирования с полной изменчивостью (full variability language, FVL): Язык, специально созданный для программистов и позволяющий реализовать широкий диапазон функций и прикладных задач.

Пример — С, C++, Assembler.

Примечание 1 — См. IEC 61511-1, 3.2.81.1.3.

Примечание 2 — Типовой пример систем, использующих FVL: встроенные системы.

Примечание 3 — В области оборудования FVL применяется во встроенном программном обеспечении и реже в прикладном программном обеспечении.

3.1.36    прикладное программное обеспечение (application software): Программное обеспечение специального применения, внедренное производителем оборудования и обычно содержащее логические последовательности (ряды), пределы и функции, которые контролируют соответствующие сигналы ввода, вывода, вычисления и решения, необходимые для обеспечения исполнения требований SRP/CS.

3.1.37    встроенное программное обеспечение (системное) (embedded software, irmware, system software): Программное обеспечение, которое является частью системы, поставляемой производителем, и которое недоступно для изменения пользователем оборудования.

Примечание — Встроенное программное обеспечение всегда написано на языке FVL.

3.2 Обозначения и сокращения

Обозначения и сокращения приведены в таблице 2.

5

Таблица 2

Обозначения и сокращения Характеристика на языке Появление в тексте английском русском а, Ь, с, d, е Denotation of performance levels Обозначение уровней эффективности защиты Таблица 3 AOPD Active optoelectronic protective device (e. g. light barrier) Активное оптоэлектронное защитное устройство Приложение Н В, 1, 2, 3, 4 Denotation of categories Обозначение категорий Таблица 7 ГО о о. Number of cycles until 10 % of the components fail dangerously (for pneumatic and electromechanical components) Количество циклов наработки до наступления опасного отказа для числа компонентов до 10 % (для пневматических и электромеханических компонентов) Приложение С Cat. Category Категория 3.1.2 СС Current converter Преобразователь тока Приложение 1 CCF Common cause failure Отказ по общей причине (независимый) 3.1.6 DC Diagnostic coverage Диагностический охват 3.1.26 DCavg Average diagnostic coverage Средний диагностический охват (мера диагностики) Е.2 F, FI, F2 Frequency and/or time of exposure to the hazard Частота и/или время подверженности риску А.2.2 FB Function block Функциональный блок 4.6.3 FVL Full variability language Язык программирования с полной изменчивостью (системный) 3.1.35 FMEA Failure modes and effects analysis Метод анализа состояний и последствий отказа 7.2 1, 11, 12 Input device, e. g. sensor Входное устройство, например, датчик 6.2 U Index of counting Индекс расчетный Приложение D I/O Inputs/outputs Вход/выход Таблица Е.1 'ab, 'be Interconnecting means Средства соединения Рисунок 4 K1A, K1B Contactors Замыкатель, контактор Приложение 1 L, LI, L2 Logic Логика, логические элементы 6.2 LVL Limited variability language Язык программирования с ограниченной изменчивостью (оперативного программирования) 3.1.34 M Motor Двигатель Приложение 1 MTTF Mean time to failure Среднее время наработки на отказ Приложение С

Окончание таблицы 2

Обозначения и сокращения Характеристика на языке Появление в тексте английском русском MTTFd Mean time to dangerous failure Среднее время наработки на опасный отказ, сбой 3.1.25 n, N, N Number of items Количество позиций 6.3, D.1 Nlow Number of SRP/CS with PL,0W in a combination of SRP/CS Число элементов систем управления, связанных с безопасностью, с нижним уровнем эффективности защиты комбинированных элементов системы управления, связанных с безопасностью 6.3 О, 01, 02, ОТЕ Output device, e. g. actuator Выходное устройство, например, привод 6.2 Р, PI, Р2 Possibility of avoiding the hazard Вероятность избежать опасности А.2.3 PES Programmable electronic system Программируемая электронная система 3.1.22 PL Performance level Уровень эффективности защиты 3.1.23 PLC Programmable logic controller Программируемый логический контроллер Приложение 1 p4ow Lowest performance level of a SRP/ CS in a combination of SRP/CS Нижний уровень эффективности защиты комбинированных элементов системы управления, связанных с безопасностью 6.3 PLr Requires performance level Требуемый уровень эффективности защиты 3.1.24 rd Demand rate Показатель запросов 3.1.30 RS Rotation sensor Датчик вращения Приложение 1 S, SI, S2 Severity of injury Тяжесть травмирования А.2.1 SW1A, SW1B, SW2 Position switches Положения переключателей Приложение 1 SIL Safety integrity level Уровень полноты безопасности Таблица 4 SRASW Safety-related application software Прикладное программное обеспечение функций безопасности 4.6.3 SRESW Safety-related embedded software Встроенное программное обеспечение функций безопасности 4.6.2 SRP Safety-related part Элемент, отвечающий за безопасность Общее SRP/CS Safety-related part of a control system Элемент системы управления, связанный с безопасностью 3.1.1 ТЕ Test equipment Испытательное оборудование 6.2 TM Mission time Период эксплуатации 3.1.28

4 Вопросы конструирования

4.1 Цели безопасности при конструировании

SRP/CS, следует рассчитывать и конструировать так, чтобы полностью учитывались принципы, изложенные в ISO 12100 и ISO 14121 (см. рисунки 1 и 3). Все возможные преднамеренные злоупотребления и предусмотренное использование должны быть учтены заранее.

* По ISO 12100. ** По настоящему стандарту. Рисунок 1 — Обзор оценки и снижения риска

8

ГОСТ ISO 13849-1-2014

4.2 Стратегии по снижению риска

4.2.1    Общие положения

Порядок действий по снижению риска приведен в разделе 4, остальные инструкции содержатся в 6.2 (меры по разработке безопасной конструкции самой машины) и 6.3 (средства защиты и дополнительные защитные меры) ISO 12100. Этот порядок действий учитывает весь жизненный цикл оборудования.

Процесс устранения или понижения рисков на машине связывается с принятием следующих мер:

-    устранение или снижение рисков с помощью конструирования (6.2, ISO 12100);

-    обеспечение безопасности при помощи мер предосторожности и дополнительных защитных мер (6.2, ISO 12100);

-    снижение рисков с помощью предоставления документации по остаточным рискам (6.6, ISO 12100).

4.2.2    Влияние уменьшения риска на системы управления

Целью всего конструирования в целом является достижение безопасности (см. 4.1). Конструирование SRP/CS и снижение рисков являются лишь частью процедуры конструирования машины. SRP/ CS обеспечивает функцию безопасности в PL, который достигает требуемого снижения риска. В процессе выполнения функции безопасности — будь то сама часть системы, управление ограждением или предохранительным устройством, конструирование SRP/CS — это всего лишь часть методики уменьшения рисков. Это многократный процесс, и он проиллюстрирован на рисунках 1 и 3.

Для каждой функции безопасности необходимо специфицировать и документировать ее свойства (см. раздел 5) и требуемые уровни эффективности защиты, согласно перечню требований.

В настоящем стандарте уровни эффективности защиты определены в единицах вероятности возникновения опасного отказа в час (наработка на отказ). Пять уровней эффективности защиты (от а до е) представлены с интервалами значений вероятности возникновения опасного отказа в течение часа в таблице 3.

Таблица 3 — Уровень эффективности защиты

Уровень эффективности защиты (PL) Средняя вероятность возникновения опасного отказа в час а >10-5до<10-4 b S ЗхЮ"6 до < 10‘5 с S 10‘6 до < 3x10'6 d > 10-7 до < 10‘6 е S IQ'8 до < 10-7 Примечание — Кроме среднего значения вероятности возникновения опасного отказа в течение часа для достижения необходимого PL нужно также учитывать и другие критерии.

Исходя из оценки риска (см. ISO 14121) для данной машины, конструктор должен определить вклад в снижение риска, который необходимо обеспечить с помощью каждого SRP/CS. Этот вклад не включает общий риск управляемой машины, например связанный с эксплуатацией механического пресса или стиральной машины, а только часть риска, снижение которого обеспечивается применением определенных функций безопасности. Примером таких функций является функция останова, выполняемая путем использования электрочувствительного предохранительного устройства механического пресса, или функция блокирования двери стиральной машины.

Снижение риска может быть достигнуто применением различных мер (как SRP/CS, так и другими) с достижением в итоге безопасных условий (см. рисунок 2).

9

R_h — определенный для каждой опасной ситуации риск, возникший до принятия мер безопасности; R_r— необходимые меры по снижению риска; R_a — текущее состояния снижения риска, достигнутое путем применения мер безопасности; 1 — решение 1 — существенная часть мер по снижению риска, не относящихся к SRP/CS (механические меры), остальная часть относится к SRP/CS; 2 — решение 2 — существенная часть мер по снижению риска, относящихся к SRP/CS (световая завеса), остальная часть не относится к SRP/CS; 3 — риск, сниженный в достаточной мере; 4 — недостаточно сниженный риск; R — риск; а — остаточный риск после выполнения решений 1 или 2; b — риск снижен в достаточной мере; PI srp/cs ^srp/cs — уменьшение риска за счет использования функции безопасности, реализованной SRP/CS; R1_M, R2_M — уменьшение риска за счет использования

защитных мер, отличных от SRP/CS (например, механической защиты)

Примечание — Для получения подробной информации об уменьшении риска см. ISO 12100.

Рисунок 2 — Обзор процесса снижения риска для каждой опасной ситуации

10

4.3    Выбор требуемого уровня эффективности защиты (PL_r)

Для каждой функции безопасности, выполняемой SRP/CS, должен быть выбран и задокументирован Р1__г (см. приложение А относительно определения Р1__г). Выбор требуемого уровня эффективности защиты — это результат оценки риска и анализа степени уменьшения риска, выполненных элементами систем управления, связанными с безопасностью.

Чем больше требуется снизить риск применением SRP/CS, тем выше должен быть Р1__г (рисунок 2).

4.4    Конструирование элементов системы управления, связанных с безопасностью (SRP/CS)

Элементы, снижающие риск, определяют безопасность функционирования машин. Элементы, обеспечивающие безопасность, обеспечивают безопасность управления, блокируя, в частности, непредусмотренный запуск в работу.

Функция безопасности может быть реализована с помощью одного или нескольких SRP/CS, в то же время несколько функций безопасности могут относиться к одному SRP/CS (например, логическое устройство, регулятор мощности). Также возможно, что один SRP/CS реализует функцию безопасности и стандартную функцию управления. Конструктор может использовать любые доступные технологии, по одной или в сочетании друг с другом. SRP/CS может также выполнять и эксплуатационную функцию (например, в AOPD как средство включения цикла).

На рисунке 4 представлена диаграмма функции безопасности, отражающая комбинации SRP/CS

для:

-    входных устройств (SRP/CS_a);

-    логических блоков/обработки (SRP/CS_b);

-    выходных/силовых управляющих элементов (SRP/CS^ и

-    средств соединения (интерфейсов: например, электрических, оптических) (i_ab, i_bc).

Примечание 1 — Для одной и той же машины необходимо проводить различие между различными функциями безопасности и связанными с ними SRP/CS, реализующими определенную функцию безопасности.

Определяя функцию безопасности для системы управления, конструктор должен определить и элемент обеспечения безопасности (см. рисунки 1 и 3) и, где это необходимо, привязать ее ко входу, логической схеме и выходу и в случае резервирования к отдельным каналам, а затем оценить уровень эффективности защиты PL (см. рисунок 3).

Примечание 2 — Указанная структура представлена в разделе 6. Примечание 3 — Все интерфейсы включены в элементы обеспечения безопасности.

/ — ввод; L — логический элемент; О — вывод; 1 — событие инициации (например, ручная активация нажимной кнопки, открытие предохранительного приспособления, прерывание пучка AOPD); 2 — силовой привод механизма (например, тормоз двигателя) Рисунок 4 — Схематическое изображение комбинации элементов системы управления, связанных с безопасностью, для осуществления типичной функции безопасности

4.5 Оценка достигнутого уровня эффективности защиты (PL) и его соотношение с уровнем полноты безопасности (SIL)

4.5.1 Уровень эффективности защиты (PL)

Способность узлов, связанных с осуществлением безопасности, выполнять функцию безопасности выражается посредством определения уровня эффективности защиты.

ГОСТ ISO 13849-1-2014

Для каждого выбранного SRP/CS и/или комбинации SRP/CS, которые выполняют функцию безопасности, должна быть выполнена оценка PL.

PL узла SRP/CS должен определяться посредством оценки следующих аспектов:

-    значений MTTF_d для отдельных компонентов (см. приложение С и D);

-    DC (см. приложение Е);

-    CCF (см. приложение F);

-    структуры (см. раздел 6);

-    работы функции безопасности в условиях неисправности (см. раздел 6);

-    программного обеспечения, связанного с обеспечением безопасности (см. 4.6 и приложение J);

-    систематических отказов (см. приложение G);

-    способностей выполнять функцию безопасности при ожидаемых условиях окружающей среды.

Примечание 1 — Могут иметь определенное влияние другие параметры, например, аспекты эксплуатации, коэффициент (частота) запросов, коэффициент тестирования.

Аспекты могут быть сгруппированы по двум методам, касающимся процедуры оценки:

a)    выражаемые количественно аспекты (значение MTTF_d для отдельных компонентов, DC, CCF, структура);

b)    не выражаемые количественно качественные аспекты, которые влияют на работу SRP/CS (режим работы функции безопасности в условиях неисправности; программное обеспечение, связанное с обеспечением безопасности; систематический отказ и условия окружающей среды).

Среди выражаемых количественно аспектов вклад надежности (например, MTTF_d, структура) может варьироваться в используемых технологиях. Например, возможно (в определенных рамках), что один канал узлов высокой надежности, связанных с обеспечением безопасности, в одной технологии дает такой же или выше PL, что и отказоустойчивая конструкция более низкой надежности в другой технологии.

Существует несколько методов оценки выражаемых количественно аспектов PL для любого типа системы (например, комплексная конструкция), таких как модель Маркова, обобщенная стохастическая сеть Петри (GSPN), блок-схема надежности (см., например, IEC 61508).

Для облегчения оценки количественных аспектов PL предоставлен упрощенный порядок, основанный на определении пяти указанных структур, которые отвечают специфическим критериям разработки и работают в условиях неисправности (см. 4.5.4).

Для SRP/CS или комбинации SRP/CS, разработанных в соответствии с требованиями, данными в разделе 6, средняя вероятность опасного отказа может определяться посредством рисунка 5 и процедуры, данной в приложениях А — Н, J и К.

Для SRP/CS, которое отклоняется от указанного построения, должен быть проведен детальный расчет, чтобы продемонстрировать достижение Р1__г

В прикладных программах, в которых SRP/CS может считаться простым и необходимый уровень эффективности защиты — от а до с, качественная оценка PL может быть подтверждена расчетным логическим обоснованием.

Примечание 2 — Для разработки сложных систем управления, таких как PES, предназначенной для выполнения функций безопасности, может оказаться приемлемым применение других стандартов (например, [5], [6], П, [8], [9], [10] и [2], [3], [4]).

Достижение качественных аспектов PL может быть продемонстрировано применением рекомендованных мероприятий, приведенных в 4.6 и приложении G.

В соответствии с серией стандартов IEC 61508 способность систем управления, связанных с обеспечением безопасности, выполнять функцию безопасности дается через SIL. Таблица 4 демонстрирует отношение между двумя понятиями (PL и SIL).

PL а не имеет соответствия на шкале SIL и в основном используется для снижения риска легкой, обычно обратимой травмы. Поскольку SIL 4 предназначен для катастрофических событий, возможных в перерабатывающей промышленности, этот диапазон не является существенным для оценки рисков механизмов. Следовательно, PL е, соответствующий SIL 3, определяется как самый высокий уровень.

13

ГОСТ ISO 13849-1-2014

Информация об изменениях к настоящему стандарту публикуется в ежегодном информационном указателе «Национальные стандарты» (по состоянию на 1 января текущего года), а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2015

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Таблица 4 — Отношение между уровнем эффективности защиты PL и уровнем полноты безопасности SIL

PL SIL (IEC 61508-1, для информации) интенсивный/непрерывный режим работы а Нет соответствия Ь 1 с 1 d 2 е 3

Принципиально должны применяться следующие защитные меры по снижению риска:

-    снижение вероятности возникновения неисправностей на компонентном уровне. Цель — снизить вероятность возникновения неисправностей или отказов, которые влияют на функцию безопасности. Это может быть сделано посредством увеличения надежности компонентов, например, отбором успешно испытанных компонентов, и/или применения хорошо проверенных принципов безопасности, чтобы минимизировать или исключить опасные неисправности или нарушения (отказ) (см. ISO 13849-2);

-    улучшение конструкции SRP/CS. Цель — избежать опасных последствий неисправности. Некоторые неисправности могут быть выявлены, и потребуется резервирование и/или мониторинг конструкции.

Обе меры могут применяться отдельно или в комбинации. В некоторых технологиях снижение риска может быть достигнуто посредством отбора надежных компонентов и исключением неисправностей; но в других технологиях снижение риска может потребовать дополнительной и/или мониторинговой системы. В дополнение должны суммарно учитываться отказы по общей причине (CCF) (см. рисунок 3).

Особенности структурных построений см. в разделе 6.

4.5.2 Среднее время наработки на опасный отказ каждого канала (MTTF_d)

Значение MTTF_d каждого канала дано по трем уровням (см. таблицу 5) и должно браться в расчет для каждого канала (например, одиночный канал, каждый канал дополнительной системы) отдельно.

В соответствии с MTTF_d в расчет может приниматься максимальное значение 100 лет.

Таблица 5 — Среднее время наработки на опасный отказ каждого канала (MTTFd) MTTFd

Обозначение каждого канала Диапазон времени каждого канала Низкое 3 года й MTTFd < 10 лет Среднее 10 лет й MTTFd < 30 лет Высокое 30 лет й MTTFd < 100 лет

Примечание 1 —Выбор диапазонов MTTFd каждого канала основан на интенсивности (частоте) отказов в области существующих технологий, образуя нечто вроде логарифмической шкалы, соответствующей логарифмической PL-шкале. Значение MTTFd каждого канала существующего SRP/CS менее трех лет предположительно нельзя найти, поскольку это бы означало, что после одного года около 30 % всех систем на рынке сломались бы, и их необходимо бы было заменить. Значение MTTFd каждого канала более 100 лет неприемлемо, т. к. SRP/CS для крупных рисков не должен зависеть от надежности только одних компонентов. Чтобы защитить SRP/CS от систематических и случайных неисправностей, должны понадобиться дополнительные средства, такие как резервирование. Для использования на практике количество диапазонов было сокращено до трех. Ограничение значений MTTFd каждого канала до максимума 100 лет относится к SRP/CS, которые выполняют функцию безопасности. Более высокие значения MTTFd могут использоваться для одинарных компонентов (см. таблицу D.1). Примечание 2 — Указанные в данной таблице границы имеют точность 5 %.

Для оценки MTTF_d компонента необходима последовательная процедура в следующем порядке:

a)    использование данных производителя;

b)    использование методов, приведенных в приложении С и D;

c)    выборка в диапазоне 10 лет.

ГОСТ ISO 13849-1-2014

Содержание

1    Область применения................................................................1

2    Нормативные ссылки................................................................1

3    Термины, определения, обозначения и сокращения......................................2

3.1    Термины и определения..........................................................2

3.2    Обозначения и сокращения.......................................................5

4    Вопросы конструирования...........................................................8

4.1    Цели безопасности при конструировании............................................8

4.2    Стратегии по снижению риска.....................................................9

4.3    Выбор требуемого уровня эффективности защиты    (Р1__г)...............................12

4.4    Конструирование элементов системы управления,

связанных с безопасностью (SRP/CS)..............................................12

4.5    Оценка достигнутого уровня эффективности защиты (PL)

и его соотношение с уровнем полноты безопасности (SIL)..............................12

4.6    Требования к безопасности программного обеспечения................................17

4.7    Проверка достигнутого уровня эффективности защиты (PL)

соответствующему требуемому уровню эффективности защиты (Р1__г)....................21

4.8    Эргономические принципы конструирования.........................................21

5    Функции безопасности...............................................................22

5.1    Спецификация функций безопасности..............................................22

5.2    Элементы функций безопасности..................................................22

6    Категории и их связь со средним временем наработки на опасный отказ (MTTF_d) каждого из каналов, средним диагностическим охватом (DC_avg) и отказом

по общей причине (CCF).............................................................25

6.1    Общие положения...............................................................25

6.2    Характеристики категорий........................................................26

6.3    Комбинирование элементов системы управления, связанных с безопасностью (SRP/CS),

с целью достижения уровня эффективности защиты (PL)..............................32

7    Рассмотрение и исключение неисправностей............................................33

7.1    Общие положения...............................................................33

7.2    Рассмотрение неисправностей....................................................33

7.3    Исключение неисправностей......................................................33

8    Оценка достоверности ..............................................................33

9    Техническое обслуживание...........................................................33

10    Техническая документация...........................................................34

11    Информация для пользователя.......................................................34

Приложение А (справочное). Определение требуемого уровня эффективности защиты (Р1__г).......35

Приложение В (справочное). Блочный метод и схема блоков, связанных

с обеспечением безопасности........................................................37

Приложение С (справочное). Расчет и оценка среднего времени наработки

на опасный отказ (MTTF_d) для отдельных    компонентов....................................38

Приложение D (справочное). Упрощенный метод оценки среднего времени

наработки на опасный отказ (MTTF_d) для    каждого канала..................................44

Приложение Е (справочное). Оценка меры диагностического охвата (DC)

для функций и каналов..............................................................46

Приложение F (справочное). Оценка отказа по общей причине (CCF)...........................49

Приложение G (справочное). Систематический сбой.........................................51

Приложение Н (справочное). Пример комбинации нескольких элементов системы управления,

связанных с обеспечением безопасности...............................................53

IV

ГОСТ ISO 13849-1-2014

Приложение I (справочное). Примеры.....................................................55

Приложение J (справочное). Программное обеспечение.....................................61

Приложение К (справочное). Числовое представление рисунка 5..............................64

Приложение ДА (обязательное). Сведения о соответствии межгосударственных стандартов

ссылочным международным стандартам...............................................66

Библиография........................................................................67

V

Введение

Структура стандартов, относящихся к безопасности в области оборудования, следующая:

a)    стандарты типа А — основные стандарты по безопасности, устанавливающие основные понятия, принципы конструирования и общие положения, которые могут быть применены ко всем машинам;

b)    стандарты типа В — общие стандарты по безопасности, рассматривающие один аспект безопасности или один тип защитного устройства, которое может использоваться для широкого класса машин:

-    стандарты типа В1 — стандарты по конкретным аспектам безопасности (например, по безопасным расстояниям, шумам, безопасной температуре поверхности и т. п.);

-    стандарты типа В2 — стандарты по защитным устройствам (например, по двуручным управляющим устройствам, устройствам блокировки, датчикам давления, защитным ограждениям и т. п.);

c)    стандарты типа С — стандарты по безопасности машин, рассматривающие детализированные требования к безопасности отдельной машины или группы машин.

Настоящий стандарт является стандартом типа В1, как установлено в ISO 12100.

Если положения стандарта типа С отличаются от положений, установленных в стандартах типа А или типа В, то положения стандарта типа С имеют преимущество над положениями других стандартов для машин, которые были спроектированы и построены в соответствии с положениями стандарта типа С.

Настоящий стандарт представляет собой руководство для тех, кто занимается проектированием и оценкой систем управления, а также для технических комитетов, разрабатывающих стандарты типа В2 и С, которые должны соответствовать Основным требованиям по безопасности Приложения I к Директиве Совета 98/37/ЕС на машины и механизмы. Стандарт не содержит конкретных указаний в отношении того, каким образом можно достичь соответствия требованиям других директив ЕС.

Как часть общей стратегии сокращения риска при работе на оборудовании конструктор часто выбирает меры сокращения рисков путем применения защитных устройств, выполняющих одну или более функций безопасности.

Элементы систем управления машиной, предназначенные для обеспечения функций безопасности, называются элементами систем управления, связанными с обеспечением безопасности (SRP/CS), и могут состоять из технических средств и программного обеспечения, они могут быть отделены от системы управления машиной или являться ее частью. Кроме выполнения функции безопасности SRP/ CS могут также выполнять операционные функции (например, двуручные управляющие устройства как средства включения).

Способность элементов систем управления, связанных с обеспечением безопасности, выполнять функции безопасности в предвиденных обстоятельствах — это один из пяти уровней эффективности защиты (PL). Эти уровни эффективности определены в соответствии с вероятностью опасного отказа в час (см. таблицу 3).

Вероятность опасного отказа функции безопасности зависит от нескольких факторов, включая структуру технических средств и программного обеспечения, диапазон механизмов обнаружения неисправности [диагностический охват (DC)], надежность компонентов [среднее время наработки на опасный отказ (MTTF_d), отказ по общей причине (CCF)], процесс конструирования, рабочее напряжение, условия окружающей среды и производственные процессы.

С целью оказания помощи конструктору и облегчения оценки достигнутого PL в этом документе предлагается методика, основанная на классификации структур в соответствии с критериями конструирования и особым поведением станка в условиях сбоя. Категории — это один из пяти уровней, называемых Категориями В, 1,2, 3 и 4.

Категории и уровни эффективности защиты можно применять к элементам системы управления, связанным с безопасностью, таким как:

-    защитные устройства (например, двуручные управляющие устройства, блокирующие устройства), электрочувствительное предохранительное оборудование (например, фотоэлектрические барьеры), устройства, чувствительные к давлению;

-    управляющие устройства (например, логический элемент функций контроля, обработка данных, автоматическое слежение и т. д.);

-    устройства силового регулирования (например, реле, клапаны и т. д.),

а также к системам управления, выполняющим функции безопасности на всех видах оборудования — от простого (например, кухонные приборы или автоматические двери и ворота) до производственных установок (например, упаковочные машины, печатные станки, прессы).

VI

ГОСТ ISO 13849-1-2014

Цель разработки настоящего стандарта — предоставить четкую основу разработчикам стандартов типа С, на которой конструирование и функционирование любого элемента системы управления, связанного с обеспечением безопасности оборудования, может быть объективно оценено, например, с помощью третьей стороны, собственных (внутренних) средств или независимого испытательного органа.

В настоящем стандарте, как и в [10], устанавливаются требования к конструированию и внедрению элементов систем управления, связанных с обеспечением безопасности. Применение любого из двух вышеупомянутых стандартов в соответствии с областью их применения должно удовлетворять основным требованиям по безопасности. Нижеприведенная таблица 1 содержит области применения [10] и настоящего стандарта.

Таблица 1 — Рекомендуемое применение IEC 62061 [10] и настоящего стандарта

Технология, использующая функцию(и) управления, связанную(ые) с безопасностью Настоящий стандарт МЭК 62061 [10] А Неэлектрическая: например, гидравлика X Не входит В Электромеханическая: например, реле и/или несложная электроника Ограничена структурными построениями3) и до PL = е Все структуры и до SIL 3 С Сложная электроника: например, программируемая Ограничена структурными построениями3) и до PL = d Все структуры и до SIL 3 D А в сочетании с В Ограничена структурными построениями3) и до PL = е Xе) Е С в сочетании с В Ограничена структурными построениями (см. Примечание 1) и до PL = d Все структуры и до SIL 3 F С в сочетании с А или С в сочетании с А и В хь) хс) X показывает, что этот пункт рассматривается в стандарте, указанном в заголовке колонки. 3) Структурные построения определены в 6.2, чтобы обеспечить упрощенный подход к квантификации уровня эффективности защиты. b)    Для сложной электроники: используйте структурные построения в соответствии с настоящим стандартом до PL = d или любую структуру в соответствии с [10]. c)    Для неэлектрической технологии используйте элементы в соответствии с настоящим стандартом как подсистемы.

VII

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Безопасность оборудования ЭЛЕМЕНТЫ СИСТЕМ УПРАВЛЕНИЯ, СВЯЗАННЫЕ С БЕЗОПАСНОСТЬЮ

Часть 1

Общие принципы конструирования

Safety of machinery. Safety-related parts of control systems. Part 1. General principles for design

Дата введения — 2016—01—01

1 Область применения

Настоящий стандарт устанавливает требования безопасности и общие принципы конструирования элементов систем управления, связанных с безопасностью (SRP/CS). Стандарт определяет категории SRP/CS и описывает характеристики их функций безопасности. Стандарт распространяется на любые SRP/CS, независимо от вида используемой энергии: например, электрической, гидравлической, пневматической, механической.

Настоящий стандарт не устанавливает, какие функции безопасности и какие категории должны применяться в каждом конкретном случае.

Настоящий стандарт устанавливает специфические требования к SRP/CS, которые используют программируемые системы.

Стандарт не предъявляет особых требований к конструированию изделий, являющихся частью SRP/CS. Тем не менее можно применять некоторые принципы, такие как категории или уровни эффективности защиты (PL).

Примечание 1 — Примеры изделий, являющихся частью элементов систем управления, связанных с безопасностью: реле, соленоидные клапаны, выключатели положения, программируемые путевые выключатели, моторные блоки управления, двуручные управляющие устройства, оборудование, чувствительное кдавлению. При разработке такой продукции необходимо соответствие с международными стандартами, такими как [14], [15], [16].

Примечание 2 — Определение термина «требуемый уровень эффективности защиты» см. 3.1.24.

Примечание 3 — Требования, предъявляемые к программируемым системам, совместимы с представленной в [10] методологией конструирования и усовершенствования электрических, электронных и программируемых систем управления, связанных с безопасностью.

Примечание 4 — Для встроенного программного обеспечения, связанного с безопасностью для компонентов с PL_r = е, см. раздел 7, IEC 61508-3.

Примечание 5 — Смотри также таблицу 1.

2 Нормативные ссылки

Для применения настоящего стандарта необходимы следующие ссылочные документы. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения).

ISO 12100 Safety of machinery — General principles for design — Risk assessment and risk reduction (Безопасность машин. Основные принципы конструирования. Оценки риска и снижения риска)

ISO 13849-2:2003 Safety of machinery — Safety-related parts of control systems — Part 2: Validation (Безопасность машин. Детали систем управления, связанные с обеспечением безопасности. Часть 2. Валидация)

ISO 14121 Safety of machinery — Principles of risk assessment (Безопасность машин. Принципы

оценки рисков)

Издание официальное

IEC 60050-191:1990 International electrotechnical vocabulary — Chapter 191: Dependability and quality of service and IEC 60050-191 — am 1:1999 and IEC 60050-191 — am 2:2002 (Международный словарь по электротехнике — Раздел 191: Функциональная надежность и качество обслуживания, и МЭК 60050-191 —поправка 1:1999 и МЭК 60050-191 —поправка 2:2002)

IEC 61508-1 Function safety of electrical/electronic/programmable electronic safety-related systems — Part 1: General requirements (Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования)

IEC 61508-3:1998/Согг.1:1999 Functional safety of electrical/electronic/ programmable electronic safety-related systems — Part 3: Software requirements (МЭК 61508-3:1998/Поправка 1:1999 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению)

IEC 61508-4 Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definition and abbreviations (Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения)

IEC 61511-1:2003 Functional safety — Safety instrumented systems for the process industry sector — Part 1: Framework, definitions, system, hardware and software requirements (Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования)

3 Термины, определения, обозначения и сокращения

3.1    Термины и определения

В настоящем стандарте применены термины и определения по ISO 12100 и IEC 60050-191, а также следующие термины и определения:

3.1.1    элемент системы управления, связанный с безопасностью (safety-related part of a control system, SRP/CS): Часть системы управления, которая реагирует на входные сигналы и вырабатывает выходные сигналы, связанные с обеспечением безопасности.

Примечание 1 — Комбинированные элементы системы управления, связанные с безопасностью, начинают действовать в точке, где возникают сигналы, имеющие отношение к безопасности, например, включающий (рабочий, подталкивающий) кулачок и ролик выключателя положения, и заканчивают на выходе силовых управляющих элементов, например, главные контакты пускателя (контактора).

Примечание 2 — Если системы мониторинга (текущего контроля) используются для диагностики, они также считаются элементами систем управления, связанными с безопасностью.

3.1.2    категория (category, Cat.): Классификация элементов системы управления, связанных с обеспечением безопасности, по их устойчивости к неисправностям и последующему поведению при неисправном состоянии, достигаемая структурным построением указанных элементов и/или определяемая их надежностью.

3.1.3    неисправность (fault): Состояние оборудования, характеризуемое его неспособностью выполнять требуемую функцию, исключая профилактическое обслуживание или другие планово-предупредительные действия, а также исключая неспособность выполнять требуемую функцию из-за недостатка внешних ресурсов.

Примечание 1 — Неисправность часто является следствием отказа самого оборудования, но может существовать и без предварительного отказа по IEC 60050-191.

Примечание 2 — В стандарте «неисправность» означает случайную неисправность.

3.1.4    отказ (failure): Нарушение способности технического объекта (элемента) по выполнению требуемой функции.

Примечание 1 — После отказа технический объект находится в неисправном состоянии.

Примечание 2—«Отказ» является событием в отличие от «неисправности», которая является состоянием.

Примечание 3 — Это понятие, как оно определено, не применяют к техническим объектам, состоящим только из средств программного обеспечения (IEC 60050-191).

2

ГОСТ ISO 13849-1-2014

Примечание 4 — Отказы, которые оказывают влияние на процесс управления, рассматриваются вне рамок настоящего стандарта.

3.1.5    опасный отказ (dangerous failure): Отказ, который может привести к тому, что система, связанная с безопасностью, перейдет в опасное состояние или в состояние ошибки при выполнении функции.

Примечание 1 — Технический потенциал может зависеть от архитектуры каналов системы; в системах с резервированием менее вероятно, что отказ (сбой) аппаратного обеспечения приведет к всеобщей опасности или угрозе выведения из строя.

Примечание 2 — См. IEC61508-4, 3.6.7.

3.1.6    отказ по общей причине (common cause failures, CCF): Повреждения разных частей машины, произошедшие в результате одного события и не являющиеся следствиями друг друга.

Примечание — «Повреждения по общей причине» не следует путать с «повреждениями общего характера» (см. МЭК 60050-191).

3.1.7    систематический отказ (systematic failure): Отказ, вызванный определенной причиной, который может быть устранен только путем изменения конструкции или с помощью технологического приема, операционных процедур, документации или других существенных факторов.

Примечание 1 —Даже восстановительное техническое обслуживание без модификации обычно не устраняет причину отказа.

Примечание 2 — Систематический отказ может быть вызван имитацией причины отказа по МЭК 60050-191.

Примечание 3 — Примеры причин систематических отказов, зависящих от человеческих ошибок при:

-    определении спецификации требований безопасности;

-    разработке, производстве, монтаже, работе аппаратного обеспечения;

-    разработке, реализации и т. д. программного обеспечения.

3.1.8    приостановка (muting): Временное автоматическое прекращение выполнения функции безопасности элементами системы управления, связанными с безопасностью.

3.1.9    возврат в исходное положение вручную (manual reset): Функция, свойственная элементам системы управления, связанным с безопасностью, и необходимая для восстановления вручную заданных функций безопасности до повторного пуска машины.

3.1.10    вред здоровью (harm): Нанесение физической травмы или причинение ущерба здоровью человека.

3.1.11    опасность (hazard): Потенциальная угроза нанесения физической травмы или причинения вреда здоровью человека.

Примечание 1 — Термин «опасность» можно квалифицировать в соответствии с причиной его происхождения (например, механическая опасность, электрическая опасность) или характером потенциального повреждения (например, опасность поражения электрическим током, опасность пореза, опасность воздействия токсических веществ, опасность возгорания).

Примечание 2 — Виды опасностей:

-    опасности, постоянно присутствующие в процессе использования машины по назначению (например, опасное перемещение подвижных элементов, дуговой разряд в процессе сварки, вредная для здоровья рабочая поза, эмиссия шума, высокая температура);

-    опасности, возникающие неожиданно (например, взрыв, опасность раздавливания вследствие неожидан-ного/непреднамеренного пуска, выбросы вследствие аварии, падение вследствие ускорения или замедления).

3.1.12    опасная ситуация (hazardous situation): Обстоятельства, при которых человек подвергается по меньшей мере одной или нескольким опасностям.

3.1.13    риск (risk): Сочетание вероятности нанесения и степени тяжести возможных травм или другого вреда здоровью.

3.1.14    остаточный риск (residual risk): Риск, остающийся после принятия защитных мер, рисунок 2.

Примечание — См. ISO 12100, 3.13.

3.1.15    оценка риска (risk assessment): Полный процесс, включающий анализ и оценку степени риска (см. ISO 12100, 3.17).

3