2015-04-06
1550
Особое внимание при проектировании ПАЗ уделяют отказоустойчивости ПАЗ. Системы безопасности по своей природе являются пассивными (они могут никогда не включиться в действие). Кроме того в режиме on-line выявить все виды отказов с помощью одной внутрисистемной диагностики невозможно. Поэтому опасный отказ может существовать абсолютно необнаруженным до тех пор, пока система неактивна.
Считается, что система безопасности может отказать одним из двух способов.
Во-первых, она может вызвать или инициировать ложный, немотивированный останов, и остановить производство, в то время как фактически ничего опасного не произошло.
Например, если выходные цепи спроектированы таким образом, что в нормальных рабочих условиях реле находятся под напряжением и контакты замкнуты, то в случае отказа системы защиты электропитание с контактов снимается, и они размыкаются, вызывая останов процесса. Некоторые специалисты называют подобную ситуацию "безопасным" отказом.
Во-вторых, система защиты может отказать прямо противоположным способом, то есть НЕ выполнить функцию защиты, в то время как это действительно требуется со стороны процесса.
|
|
|
Примером подобной ситуации являются реле с залипшими контактами, которые не могут разомкнуться для правильного срабатывания блокировки, либо заклинивший исполнительный механизм отсекателя. Подобные отказы называют опасными отказами.
ПАЗ вовсе не обязательно должна быть надежной системой, но она обязана быть безопасной.
Так сертифицированная по всем правилам TUV/IEC ПАЗ может быть безопасной, но при этом может ломаться хоть каждый день (т.е. иметь очень низкую надежность). Главное, чтобы она ломалась каждый раз в безопасное состояние. То есть, заказчик будет терпеть убытки от простоя, но ни один человек не должен пострадать.
