Tiêu chuẩn TCVN 7384-1:2010 ISO 13849-1:2006/Cor 1:2009 Các bộ phận liên quan đến an toàn của hệ thống điều khiển-Phần 1: Nguyên tắc chung về thiết kế

TIÊU CHUẨN QUỐC GIA

TCVN 7384-1:2010

ISO 13849-1:2006

AN TOÀN MÁY – CÁC BỘ PHẬN LIÊN QUAN ĐẾN AN TOÀN MÁY CỦA HỆ THỐNG ĐIỀU KHIỂN - PHẦN 1: NGUYÊN TẮC CHUNG VỀ THIẾT KẾ

Safety of machinery – Safety – related parts of control systems – Part 1: General principles for design

Lời nói đầu

TCVN 7384-1:2010 thay thế TCVN 7384-1:2004.

TCVN 7384-1:2010 hoàn toàn tương đương với ISO 13849-1:2006 và đính chính kỹ thuật 1:2009.

TCVN 7384-1:2010 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 199 An toàn máy biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 7384 (ISO 13849), An toàn máy – Các bộ phận liên quan đến an toàn của hệ thống điều khiển gồm các phần sau:

- TCVN 7384-1:2010 (ISO 13849-1:2004), Phần 1: Nguyên tắc chung về thiết kế.

- TCVN 7384-2:2010 (ISO 13849-2:2003), Phần 2: Sự phê duyệt.

- TCVN 7384-100:2004 (ISO/TR 13849-100:2000), Phần 100: Hướng dẫn sử dụng và áp dụng TCVN 7384-1 (ISO 13849-1).

Lời giới thiệu

Cấu trúc của tiêu chuẩn an toàn trong lĩnh vực máy như sau:

a) Các tiêu chuẩn loại A (tiêu chuẩn cơ bản) đưa ra các khái niệm cơ bản, các nguyên tắc về thiết kế và những vấn đề chung có thể áp dụng cho máy.

b) Các tiêu chuẩn loại B (tiêu chuẩn an toàn chung) đề cập đến một hoặc nhiều khía cạnh về an toàn hoặc một hay nhiều kiểu thiết bị an toàn có thể sử dụng cho một phạm vi rộng các máy móc:

- Các tiêu chuẩn loại B1 đề cập đến các khía cạnh an toàn riêng (ví dụ, các khoảng cách an toàn, nhiệt độ bề mặt, tiếng ồn);

- Các tiêu chuẩn loại B2 đề cập đến trang thiết bị an toàn (ví dụ, các cơ cấu điều khiển hai tay, các cơ cấu khóa liên động, các cơ cấu nhạy cảm áp suất, các thiết bị bảo vệ).

c) Các tiêu chuẩn loại C (tiêu chuẩn an toàn của máy) đề cập đến các yêu cầu chi tiết về an toàn cho các máy hoặc nhóm máy cụ thể.

Tiêu chuẩn này là một tiêu chuẩn loại B như đã được giới thiệu trong TCVN 7383-1 (ISO 12100-1).

Khi các điều của tiêu chuẩn loại C khác với các điều được giới thiệu trong các tiêu chuẩn loại A hoặc loại B thì các điều của tiêu chuẩn loại C được ưu tiên sử dụng so với các điều của các tiêu chuẩn khác đối với các máy đã được thiết kế và chế tạo theo các điều của tiêu chuẩn loại C.

Tiêu chuẩn này đưa ra hướng dẫn cho các tiêu chuẩn có liên quan đến thiết kế và đánh giá các hệ thống điều khiển và cho các ban kỹ thuật soạn thảo các tiêu chuẩn loại B2 hoặc C được xem là tuân theo các yêu cầu cơ bản về an toàn trong Phụ lục I của hướng dẫn 98/37/EC, hướng dẫn máy. Tiêu chuẩn này không đưa ra hướng dẫn riêng về sự phù hợp với các hướng dẫn khác của EC.

Với tư cách là một bộ phận của chiến lược giảm rủi ro chung cho một máy nào đó, nhà thiết kế thường lựa chọn một số biện pháp để giảm rủi ro thông qua việc áp dụng các thiết bị an toàn có một hoặc nhiều chức năng an toàn.

Các bộ phận của hệ thống điều khiển máy móc cung cấp các chức năng an toàn được gọi là các bộ phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) và các bộ phận này có thể bao gồm phần cứng và phần mềm và có thể tách rời khỏi hệ thống điều khiển của máy hoặc là một bộ phận gắn liền với hệ thống điều khiển của máy. Ngoài ra, để cung cấp các chức năng vận hành (ví dụ, các cơ cấu điều khiển bằng hai tay là phương tiện cho sự khởi đầu của quá trình).

Khả năng của các bộ phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) để thực hiện chức năng an toàn trong các điều kiện cho trước được phân thành một trong năm mức gọi là các mức tính năng (PL).

Các mức tính năng được định nghĩa dưới dạng xác suất của hư hỏng gây nguy hiểm trong một giờ (xem Bảng 3).

Xác suất của hư hỏng gây nguy hiểm của chức năng an toàn phụ thuộc vào nhiều yếu tố, bao gồm cả cấu trúc phần cứng và cấu trúc phần mềm, mức độ của cơ cấu phát hiện các lỗi hoặc khuyết tật [tầm tác dụng (vùng) của sự chẩn đoán (DC)], độ tin cậy của các thành phần [thời gian trung bình tới khi hư hỏng gây nguy hiểm (MTTF_d), hư hỏng do nguyên nhân chung (CCF)], quá trình thiết kế, ứng suất làm việc, điều kiện môi trường và qui trình vận hành.

Để trợ giúp cho nhà thiết kế và tạo điều kiện dễ dàng cho việc đánh giá mức tính năng (PL) đạt được, tài liệu này sử dụng một phương pháp dựa trên sự phân loại các cấu trúc theo chuẩn thiết kế riêng và trạng thái qui định trong các điều kiện có lỗi hoặc khuyết tật. Các loại này được phân phối vào một trong năm mức, được gọi là các loại B, 1, 2, 3 và 4.

Các mức tính năng và các loại có thể áp dụng cho các bộ phận liên quan đến an toàn của các hệ thống điều khiển, như:

- Thiết bị bảo vệ (ví dụ, các cơ cấu điều khiển bằng hai tay, các cơ cấu khóa liên động), các cơ cấu bảo vệ nhạy cảm với điện (ví dụ, cơ cấu bảo vệ quang điện), các cơ cấu bảo vệ nhạy cảm với áp suất;

- Các bộ điều khiển (ví dụ, bộ lôgic dùng cho các chức năng điều khiển, bộ xử lý dữ liệu, bộ giám sát, kiểm tra, v.v…), và

- Các phần tử điều khiển công suất (ví dụ, các rơle, van, v.v…) cũng như các hệ thống điều khiển thực hiện các chức năng an toàn ở tất cả các loại máy – từ các thiết bị đơn giản (ví dụ các máy móc nhỏ cho nhà bếp, hoặc các cửa và cửa ra vào tự động) đến các thiết bị chế tạo (ví dụ, các máy bao gói, máy in, máy dập, ép).

Tiêu chuẩn này cung cấp một cơ sở rõ ràng để có thể đánh giá được kết cấu và chất lượng làm việc của bất cứ ứng dụng nào của các bộ phận liên quan đến an toàn trong các hệ thống điều khiển (SRP/CS) (và máy), bởi phòng thử của bên thứ ba hoặc một phòng thử độc lập.

Thông tin về ứng dụng nên dùng của IEC 62061 và TCVN 7384-1 (ISO 13849-1) qui định các yêu cầu cho thiết kế và thực hiện các hệ thống điều khiển liên quan đến an toàn của máy. Việc sử dụng các tiêu chuẩn trên phù hợp với phạm vi của chúng có thể đáp ứng các yêu cầu cơ bản về an toàn có liên quan. Bảng dưới đây tóm tắt phạm vi của IEC 62061 và tiêu chuẩn này.

Bảng 1 - Ứng dụng của IEC 62061 và TCVN 7384-1 (ISO 13849-1)

	Công nghệ thực hiện chức năng điều khiển liên quan đến an toàn	TCVN 7384-1 (ISO 13849-1)	IEC 62061
A	Không dùng điện, ví dụ thủy lực	X	Không bao hàm
B	Điện-cơ, ví dụ, rơle và/hoặc điện tử đơn giản	Hạn chế do các cấu trúc lựa chọna và đến PL = e	Tất cả các cấu trúc đến SIL3
C	Điện tử phức hợp, ví dụ điện tử lập trình	Hạn chế cho các cấu trúc lựa chọna và đến PL = d	Tất cả các cấu trúc và đến SIL3
D	A được kết hợp với B	Hạn chế cho các cấu trúc lự chọna và đến PL = e	Xc
E	C được kết hợp với B	Hạn chế cho các cấu trúc lựa chọn (xem Chú thích 1) và đến PL = d	Tất cả các cấu trúc và đến SIL3
F	C được kết hợp với A, hoặc C được kết hợp với A và B	Xb	Xc
X Chỉ ra rằng TCVN 7384-1 (ISO 13849-1) hoặc IEC 62061 lựa chọn công nghệ phù hợp với công nghệ đã nêu ở cột đầu. a Các cấu trúc lựa chọn được xác định trong 6.2 để đưa ra cách tiếp cận đơn giản để định lượng các mức tính năng; b Đối với điện tử phức hợp: sử dụng các cấu trúc lựa chọn theo tiêu chuẩn này đến PL = d hoặc bất cứ cấu trúc nào theo IEC 62061; c Đối với công nghệ không dùng điện, sử dụng các bộ phận theo tiêu chuẩn này làm các hệ con.

 

AN TOÀN MÁY – CÁC BỘ PHẬN LIÊN QUAN ĐẾN AN TOÀN MÁY CỦA HỆ THỐNG ĐIỀU KHIỂN - PHẦN 1: NGUYÊN TẮC CHUNG VỀ THIẾT KẾ

Safety of machinery – Safety – related parts of control systems – Part 1: General principles for design

1. Phạm vi áp dụng

Tiêu chuẩn này qui định các yêu cầu về an toàn và các nguyên tắc để thiết kế và tích hợp các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS), bao gồm cả thiết kế phần mềm. Đối với các SRP/CS. Tiêu chuẩn này qui định các đặc tính bao gồm cả mức tính năng yêu cầu để thực hiện các chức năng an toàn. Tiêu chuẩn này áp dụng cho SRP/CS mà không quan tâm đến loại công nghệ và năng lượng được sử dụng (điện, thủy điện, khí nén, cơ khí v.v….) đối với tất cả các loại máy.

Tiêu chuẩn này không qui định các chức năng an toàn hoặc các mức tính năng được dùng trong một trường hợp cụ thể.

Tiêu chuẩn này qui định các yêu cầu riêng cho các bộ phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) khi sử dụng các hệ thống điện tử lập trình. Nó không qui định các yêu cầu riêng cho thiết kế các sản phẩm là các thành phần của SRP/CS. Tuy nhiên có thể sử dụng các nguyên tắc đã cho như là các cấp hoặc mức tính năng.

CHÚ THÍCH 1: Các ví dụ về sản phẩm là thành phần của SRP/CS, rơle, van có nam châm điện kiểu lõi dài, công tắc vị trí, bộ điều khiển logic lập trình (PLC), bộ điều khiển động cơ, cơ cấu điều khiển bằng hai tay, thiết bị nhạy cảm áp suất. Để thiết kế các sản phẩm, phải tham khảo các tiêu chuẩn thích hợp, ví dụ, TCVN 7385 (ISO 13851), ISO 13856-1 và ISO 13856-2.

CHÚ THÍCH 2: Đối với định nghĩa của mức tính năng yêu cầu, xem 3.1.24.

CHÚ THÍCH 3: Các yêu cầu qui định trong tiêu chuẩn này cho hệ thống điện tử lập trình thích hợp với phương pháp thiết kế và triển khai các hệ thống điều khiển điện, điện tử và điện tử lập trình liên quan đến an toàn của máy được cho trong IEC 62061.

CHÚ THÍCH 4: Đối với phần mềm được nhúng liên quan đến an toàn cho các bộ phận PL_r = e, xem Điều 7, IEC 61508-3:1998.

CHÚ THÍCH 5: Xem thêm Bảng 1.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên phản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

TCVN 7383-1:2004 (ISO 12100-1:2003), An toàn máy – Khái niệm cơ bản, nguyên tắc chung cho thiết kế - Phần 1: Thuật ngữ cơ bản, phương pháp luận.

TCVN 7383-2:2004 (ISO 12100-2:2003), An toàn máy – Khái niệm cơ bản, nguyên tắc chung cho thiết kế - Phần 2: Nguyên tắc kỹ thuật.

TCVN 7384-2:2010 (ISO 13849-2:2003), An toàn máy – Các bộ phận liên quan đến an toàn của hệ thống điều khiển – Phần 2: Sự phê duyệt.

TCVN 7301 (ISO 14121), An toàn máy – Nguyên lý đánh giá rủi ro.

ISO 60050-191:1990, International electrotechnical vocabulary – Chapter 191: Dependability and quality of service, and IEC 60050-191-am1;1999 and IEC 60050-191-am 2:2002:1999, Amendment 1 and Amendment 2, International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service (Thuật ngữ kỹ thuật điện quốc tế - Chương 191: Tính tin cậy và chất lượng phục vụ và IEC 60050-191-am 1:1999 và IEC 60050-191-AM 2:2002:1999, bản sửa đổi 1 và bản sửa đổi 2, thuật ngữ kỹ thuật điện quốc tế. Chương 191: Tính tin cậy và chất lượng phục vụ).

IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3: Software requirements, and IEC 61508-3 Corr.1:1999, Corrigendum 1 – Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3: Software requirements (An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình liên quan đến an toàn – Phần 3: Yêu cầu của phần mềm, và IEC 61508-3 Corr.1:1999, Bản đính chính 1 – An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình liên quan đến an toàn – Phần 3: Yêu cầu của phần mềm).

IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 4: Definitions and abbreviations, and IEC 61508-4 Corr.1:1999, Corrigendum 1 – Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 4: Definitions and abbreviations (An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình liên quan đến an toàn – Phần 4: Định nghĩa và chữ viết tắt, và IEC 61508-4 Corr 1:1999, Bản đính chính 1 – An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình liên quan đến an toàn – Phần 4: Định nghĩa và chữ viết tắt).

3. Thuật ngữ, định nghĩa, ký hiệu và thuật ngữ viết tắt

3.1. Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa cho trong TCVN 7383-1 (ISO 12100-1), IEC 60050-191 và các thuật ngữ định nghĩa sau:

3.1.1. Bộ phận liên quan đến an toàn của hệ thống điều khiển (safety – related part of a control system) SRP/CS Bộ phận của hệ thống điều khiển đáp ứng các tín hiệu nhập liên quan đến an toàn và tạo ra các tín hiệu xuất liên quan đến an toàn.

CHÚ THÍCH 1: Các bộ phận liên quan đến an toàn tổ hợp của một hệ thống điều khiển khởi động tại điểm mà ở đó các tín hiệu nhập liên quan đến an toàn bắt đầu (bao gồm, ví dụ cả cam dẫn động và con lăn của công tắc vị trí) và kết thúc tại đầu ra của các phần tử điều khiển công suất (bao gồm các công tắc chính của một công tắc tơ).

CHÚ THÍCH 2: Nếu sử dụng các hệ thống giám sát để chẩn đoán thì chúng cũng được xem là bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

3.1.2. Loại (category)

Sự phân loại các bộ phận liên quan đến an toàn của một hệ thống điều khiển (SRP/CS) về khả năng chống lại các lỗi và trạng thái tiếp sau của chúng trong điều kiện có lỗi và sự phân loại này đạt được bằng cách bố trí kết cấu của các bộ phận, sự phát hiện lỗi và/hoặc độ tin cậy của SRP/CS.

3.1.3. Lỗi (fault)

Trạng thái của một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) được đặc trưng bằng việc không có khả năng thực hiện một chức năng yêu cầu, trừ việc không có khả năng trong quá trình bảo dưỡng dự phòng hoặc các hoạt động khác theo kế hoạch hoặc do thiếu các nguồn cung cấp bên ngoài.

CHÚ THÍCH 1: Một lỗi thường dẫn đến một hư hỏng của bản thân bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) nhưng có thể không xuất hiện trước khi hư hỏng.

[IEC 60050-191:1990-05-01].

CHÚ THÍCH 2: Trong tiêu chuẩn này, “lỗi” có nghĩa là lỗi ngẫu nhiên.

3.1.4. Hư hỏng (failure)

Sự mất an toàn khả năng thực hiện chức năng yêu cầu của một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

CHÚ THÍCH 1: Sau một hư hỏng, bộ phận liên quan đến an toàn của hệ thống điều khiển có một lỗi.

CHÚ THÍCH 2: “Hư hỏng” là một sự kiện, khác với “lỗi” là một trạng thái.

CHÚ THÍCH 3: Khái niệm đã được định nghĩa không áp dụng cho bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) chỉ gồm có phần mềm. [IEC 60050-191:1990, 04-01].

CHÚ THÍCH 4: Các hư hỏng chỉ ảnh hưởng đến khả năng có thể dùng được của quá trình được điều khiển không thuộc phạm vi của tiêu chuẩn này.

3.1.5. Hư hỏng nguy hiểm (dangerous failure)

Hư hỏng có khả năng làm bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) lâm vào tình trạng nguy hiểm hoặc không hoạt động được.

CHÚ THÍCH 1: Tiềm năng có thể trở thành hiện thực hoặc không trở thành hiện thực có thể phụ thuộc vào cấu trúc kênh của hệ thống; trong các hệ thống dư thừa, một hư hỏng nguy hiểm của phần cứng ít có khả năng dẫn đến tình trạng nguy hiểm giới hạn hoặc không hoạt động được.

CHÚ THÍCH 2: Được sửa đổi cho hợp với IEC 61508-4:1998, định nghĩa 3.6.7.

3.1.6. Hư hỏng do nguyên nhân chung (common cause failure – CCF)

Hư hỏng của các bộ phận liên quan đến an toàn khác nhau của hệ thống điều khiển (SRP/CS) chỉ do một sự kiện, ở đó các hư hỏng này không phải là hậu quả của nhau.

[IEC 60050-191-1am1:1999, 04-23].

CHÚ THÍCH: Không nên nhầm lẫn hư hỏng do nguyên nhân chung với hư hỏng dạng chung (xem TCVN 7383-1:2004 (ISO 12100-1:2003), 3.34).

3.1.7. Hư hỏng có hệ thống (systematic failure)

Hư hỏng có liên quan đến một nguyên nhân nhất định theo một cách xác định, chỉ có thể được loại trừ bằng cải tiến thiết kế hoặc quá trình chế tạo, quy trình vận hành, tài liệu kỹ thuật hoặc các yếu tố có liên quan khác.

CHÚ THÍCH 1: Sự bảo dưỡng hiệu chỉnh mà không có sự cải biến thường không loại bỏ được nguyên nhân gây hư hỏng.

CHÚ THÍCH 2: Có thể tạo ra hư hỏng có hệ thống bằng cách mô phỏng nguyên nhân gây hư hỏng.

[IEC 60050-191:1990, 04-19].

CHÚ THÍCH 3: Ví dụ về các nguyên nhân của hư hỏng có hệ thống bao gồm lỗi của con người trong.

- Bản liệt kê các yêu cầu về an toàn;

- Thiết kế, chế tạo, lắp đặt, vận hành phần cứng, và

- Thiết kế, thực hiện v.v của phần mềm.

3.1.8. Sự tạm ngừng (muting)

Sự ngừng tự động tạm thời của một hoặc nhiều chức năng an toàn bằng bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

3.1.9. Chỉnh đặt lại bằng tay (manual reset)

Chức năng trong bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) dùng để khôi phục lại bằng tay một hoặc nhiều chức năng an toàn trước khi khởi động lại máy.

3.1.10. Tổn tại (harm)

Sự tổn thương của thân thể hoặc thiệt hại cho sức khỏe

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.5].

3.1.11. Mối nguy hiểm (hazard)

Nguồn tổn hại có tiềm năng.

CHÚ THÍCH 1: Một mối nguy hiểm có thể có đủ khả năng để xác định nguồn gốc của nó (ví dụ, mối nguy hiểm về cơ, mối nguy hiểm về điện) hoặc bản chất của tổn hại có tiềm năng (ví dụ, mối nguy hiểm chập điện, mối nguy hiểm cắt (đứt), mối nguy hiểm do chất độc, mối nguy hiểm cháy).

CHÚ THÍCH 2: Mối nguy hiểm được nêu trong định nghĩa này:

- Hoặc có mặt thường xuyên trong quá trình sử dụng máy theo hướng dẫn (ví dụ, chuyển động của các bộ phận di động nguy hiểm, hồ quang điện trong quá trình hàn, tư thế có hại đến sức khỏe, sự phát ra tiếng ồn, nhiệt độ cao);

- Hoặc xuất hiện bất ngờ (ví dụ, nổ, mối nguy hiểm bị nghiền, đập do hậu quả của sự khởi động không có chủ định/bất ngờ, mối nguy hiểm phun trào do hậu quả của sự gẫy vỡ, mối nguy hiểm rơi, đổ do hậu quả của sự tăng tốc/giảm tốc).

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.6].

3.1.12. Tình trạng nguy hiểm (hazardous situation)

Hoàn cảnh trong đó một người bị phơi ra trước ít nhất là một mối nguy hiểm, sự phơi này có khả năng dẫn đến tổn hại tức thời hoặc trong một khoảng thời gian dài.

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.9].

3.1.13. Rủi ro (risk)

Tổ hợp của xác suất xảy ra sự tổn hại và tính nghiêm trọng của tổn hại này.

[TCVN 7383-1:2004 (ISO 12100-1:2003) 3.11].

3.1.14. Rủi ro dư (residual risk)

Rủi ro còn lại sau khi đã có các biện pháp bảo vệ.

Xem Hình 2.

CHÚ THÍCH: Được sửa lại cho thích hợp từ TCVN 7383-1:2004 (ISO 12100-1:2003), định nghĩa 3.12.

3.1.15. Đánh giá rủi ro (risk assessment)

Quá trình tổng thể gồm có phân tích rủi ro và ước lượng rủi ro.

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.13].

3.1.16. Phân tích rủi ro (risk analysis)

Tổ hợp đặc điểm các giới hạn của máy, sự nhận dạng mối nguy hiểm và dự tính rủi ro.

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.14].

3.1.17. Ước lượng rủi ro (risk evaluation)

Sự xét đoán, dựa trên cơ sở phân tích rủi ro, xem các mục tiêu giảm rủi ro có đạt được hay không.

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.16].

3.1.18. Sử dụng máy theo hướng dẫn (intended use of machine)

Sử dụng máy theo thông tin qui định trong bản hướng dẫn sử dụng [TCVN 7383-1:2004 (ISO 12100-1:2003), 3.22].

3.1.19. Sử dụng sai hợp lý thấy trước (reasonably foreseeable misuse)

Sử dụng máy theo cách không được dự định của người thiết kế nhưng việc sử dụng này có thể do khả năng đoán trước được một cách dễ dàng của con người.

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.23].

3.1.20. Chức năng an toàn (safety function)

Chức năng của máy mà hư hỏng của nó có thể dẫn đến việc tăng lên tức thời các rủi ro.

[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.28].

3.1.21. Giám sát (monitoring)

Chức năng an toàn bảo đảm một biện pháp bảo vệ được khởi động nếu khả năng của một bộ phận hoặc một thành phần để thực hiện chức năng của nó bị suy giảm hoặc nếu các điều kiện của quá trình công nghệ thay đổi theo hướng làm cho rủi ro tăng lên.

3.1.22. Hệ thống điện tử lập trình (programmable electronic system) PES

Hệ thống điều khiển, bảo vệ hoặc giám sát dựa vào một hoặc nhiều thiết bị điện tử lập trình để hoạt động, bao gồm tất cả các thành phần của hệ thống như các nguồn cung cấp năng lượng, các cảm biến và các thiết bị nhập khác, các công tắc tơ và các thiết bị xuất khác.

CHÚ THÍCH: Đã được sửa đổi cho thích hợp từ IEC 61508-4:1998, định nghĩa 3.3.2.

3.1.23. Mức tính năng (performance level), PL

Mức riêng biệt dùng để qui định khả năng thực hiện một chức năng an toàn của các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) trong điều kiện đã cho.

CHÚ THÍCH: Xem 4.5.1.

3.1.24. Mức tính năng yêu cầu (required performance level), PL_r

Mức tính năng (PL) được áp dụng để đạt được sự giảm rủi ro yêu cầu đối với mỗi chức năng an toàn.

Xem các Hình 2 và A.1.

3.1.25. Thời gian trung bình đến khi hư hỏng nguy hiểm (mean time to dangerous failure), MTTF_d

Thời gian trung bình kỳ vọng đến khi xảy ra hư hỏng nguy hiểm.

CHÚ THÍCH: Được sửa đổi cho thích hợp từ IEC 62061:2005, định nghĩa 3.2.34.

3.1.26. Vùng chẩn đoán (diagnostic coverage), DC

Phạm vi chẩn đoán có hiệu quả có thể được xác định bằng tỷ số giữa mức hư hỏng của các hư hỏng nguy hiểm được phát hiện và mức hư hỏng của tổng các hư hỏng nguy hiểm.

CHÚ THÍCH 1: Vùng chẩn đoán có thể tồn tại đối với toàn thể hoặc các bộ phận của một hệ thống điều khiển. Ví dụ, vùng chẩn đoán có thể có đối với các cảm biến và/hoặc hệ thống logic và/hoặc các phần tử chấp hành.

CHÚ THÍCH 2: Được sửa đổi cho thích hợp từ IEC 61508-4:1998, định nghĩa 3.8.6.

3.1.27. Biện pháp bảo vệ (protective measure)

Biện pháp được dùng để đạt được sự giảm rủi ro.

VÍ DỤ 1: Do người thiết kế thực hiện: thiết kế bảo vệ, các biện pháp bảo vệ và bảo vệ bổ sung, thông tin cho sử dụng.

VÍ DỤ 2: Do người thiết kế thực hiện: tổ chức (quy trình làm việc an toàn, giám sát, các hệ thống cho phép làm việc), cung cấp và sử dụng các trang bị bảo vệ an toàn bổ sung, trang bị bảo vệ cá nhân, đào tạo.

CHÚ THÍCH: Được sửa đổi cho thích hợp từ TCVN 7383-1:2004 (ISO 12100-1:2003), định nghĩa 3.18.

3.1.28. Thời gian làm việc (mission time), T_M

Khoảng thời gian dành cho việc sử dụng theo hướng dẫn của một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

3.1.29. Tần suất kiểm tra (test rate) r_t

Tần suất của các kiểm tra tự động để phát hiện các lỗi trong một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS), là trị số nghịch đảo của khoảng thời gian kiểm tra chẩn đoán.

3.1.30. Tần suất yêu cầu (demand rate), r_d

Tần suất của các yêu cầu đối với một tác động liên quan đến an toàn của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

3.1.31. Tần suất sửa chữa (repair rate), r_r

Trị số nghịch đảo của khoảng thời gian từ khi phát hiện ra một hư hỏng nguy hiểm bằng một phép kiểm tra trực tuyến hoặc do sự trục trặc rõ ràng của hệ thống tới khi khởi động lại sự hoạt động sau sửa chữa hoặc thay thế hệ thống/bộ phận.

CHÚ THÍCH: Thời gian sửa chữa không bao gồm khoảng thời gian cần thiết cho phát hiện hư hỏng.

3.1.32. Hệ thống điều khiển máy (machine control system)

Hệ thống đáp ứng các tín hiệu nhập từ các bộ phận của máy, người vận hành, thiết bị điều khiển bên ngoài hoặc bất cứ tổ hợp nào của các đối tượng nêu trên và tạo ra các tín hiệu xuất làm cho máy vận hành tốt theo qui định.

CHÚ THÍCH: Hệ thống điều khiển máy có thể sử dụng mọi công nghệ hoặc mọi tổ hợp các công nghệ khác nhau (ví dụ, điện/điện tử, thủy lực, khí nén, cơ khí).

3.1.33. Mức toàn vẹn của an toàn (safety integrity level), SIL

Mức riêng biệt (một trong số bốn mức) dùng để qui định yêu cầu về tính toàn vẹn của an toàn của các chức năng an toàn được cấp cho các hệ thống liên quan đến an toàn E/E/PE, trong đó cấp độ 4 là mức toàn vẹn của an toàn cao nhất và cấp độ 1 là mức toàn vẹn của an toàn thấp.

[IEC 61508-4:1998, 3.5.6].

3.1.34. Ngôn ngữ biến đổi giới hạn (limited variabity language), LVL

Loại ngôn ngữ có khả năng kết hợp các chức năng thư viện ứng dụng riêng được xác định trước để thực hiện việc đặc tả các yêu cầu an toàn.

CHÚ THÍCH 1: Được sửa đổi cho thích hợp từ IEC 61511-1:2003, định nghĩa 3.2.80.1.2.

CHÚ THÍCH 2: Các ví dụ điển hình của ngôn ngữ biến đổi có giới hạn (LVL) (Logic bậc thang, biểu đồ khối chức năng) được nêu trong IEC 61131-3.

CHÚ THÍCH 3: Một ví dụ điển hình của hệ thống sử dụng ngôn ngữ biến đổi có giới hạn (LVL); PLC (Bộ điều khiển logic lập trình).

3.1.35. Ngôn ngữ biến đổi hoàn toàn (full variability language), FVL

Loại ngôn ngữ có khả năng thực hiện rất nhiều chức năng và ứng dụng.

VÍ DỤ: C, C++, Bộ dịch hợp ngữ.

CHÚ THÍCH 1: Được sửa lại cho thích hợp từ IEC 61511-1:2003, định nghĩa 3.2.80.1.3.

CHÚ THÍCH 2: Một ví dụ điển hình của các hệ thống sử dụng ngôn ngữ biến đổi hoàn toàn (FVL): Hệ thống được nhúng.

CHÚ THÍCH 3: Trong lĩnh vực này, ngôn ngữ biến đổi hoàn toàn (FVL) được dùng trong phần mềm được nhúng và ít được dùng trong phần mềm ứng dụng.

3.1.36. Phần mềm ứng dụng (application software)

Phần mềm dành riêng cho ứng dụng, do nhà sản xuất máy thực hiện, và thường chứa các dãy logic, các giới hạn và biểu thức điều khiển các dữ liệu nhập, xuất thích hợp, các tính toán và các quyết định cần thiết để đáp ứng các yêu cầu của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

3.1.37. Phần mềm được nhúng, phần mềm hệ thống (embedded software, firmware, system software)

Phần mềm là một bộ phận của hệ thống do nhà sản xuất hệ thống điều khiển cung cấp và người sử dụng máy không thể truy cập để cải tiến được.

CHÚ THÍCH: Phần mềm được nhúng thường được viết bằng ngôn ngữ biến đổi hoàn toàn (FVL).

3.2 Ký hiệu và thuật ngữ viết tắt

Xem Bảng 2.

Bảng 2 – Ký hiệu và thuật ngữ viết tắt

Ký hiệu hoặc chữ viết tắt	Mô tả	Định nghĩa hoặc xuất hiện trong
a, b, c, d, e,	Ký hiệu các mức tính năng	Bảng 3
AOPD	Thiết bị bảo vệ quang điện tử phóng xạ (ví dụ, hàng rào ánh sáng)	Phụ lục H
B, 1, 2, 3, 4	Ký hiệu các loại	Bảng 7
B10d	Số lượng chu kỳ tới khi 10% các bộ phận hư hỏng một cách nguy hiểm (đối với các bộ phận khí nén và điện-cơ)	Phụ lục C
Cat.	Loại	3.1.2
CC	Bộ biến đổi dòng	Phụ lục I
CCF	Hư hỏng do nguyên nhân chung	3.1.6
DC	Vùng chẩn đoán	3.1.26
DCavg	Vùng chẩn đoán trung bình	E.2
F, F1, F2	Tần suất và/hoặc thời gian phơi trước mối nguy hiểm	A.2.2
FB	Khối chức năng	4.6.3
FVL	Ngôn ngữ biến đổi hoàn toàn	3.1.35
FMEA	Dạng hư hỏng và phân tích ảnh hưởng	7.2
I, I1, I2	Thiết bị nhập, ví dụ, cảm biến	6.2
i, j	Chỉ số để đếm	Phụ lục D
I/O	Các khối nhập/xuất	Bảng E.1
i­­ab­, ibc	Các phương tiện nối liên kết	Hình 4
K1A, K1B	Các công tắc tơ	Phụ lục I
L, L1, L2	Logic	6.2
LVL	Ngôn ngữ biến đổi giới hạn	3.1.34
M	Động cơ (mô tơ)	Phụ lục l
MTTF	Thời gian trung bình tới khi hư hỏng	Phụ lục C
MTTFd	Thời gian trung bình tới khi hư hỏng nguy hiểm	3.1.25
n, N,	Số lượng các bộ phận	6.3, D.1
Nlow	Số lượng các SRP/CS có PLlow trong một tổ hợp của SRP/CS	6.3
O, O1, O2, OTE	Thiết bị xuất, ví dụ, thiết bị khởi động	6.2
P, P1, P2	Khả năng tránh nguy hiểm	A.2.3
PES	Hệ thống điện tử lập trình	3.1.22
PL	Mức tính năng	3.1.23
PLC	Bộ điều khiển logic lập trình	Phụ lục I
PLlow	Mức tính năng thấp nhất của SRP/CS trong tổ hợp của SRP/CS	6.3
PLr	Mức tính năng yêu cầu	3.1.24
rd	Tần suất của yêu cầu	3.1.30
RS	Cảm biến quay	Phụ lục I
S, S1, S2	Mức độ nghiêm trọng của thương tích	A.2.1
SW1A, SW1B, SW2	Công tắc tơ vị trí	Phụ lục I
SIL	Mức toàn vẹn của an toàn	Bảng 4
SRASW	Phần mềm ứng dụng liên quan đến an toàn	4.6.3
SRESW	Phần mềm được nhúng liên quan đến an toàn	4.6.2
SRP	Bộ phận liên quan đến an toàn	Chung
SRP/CS	Bộ phận liên quan đến an toàn của hệ thống điều khiển	3.1.1
TE	Thiết bị kiểm tra/thử nghiệm	6.2
TM	Thời gian làm việc	3.1.28

4. Xem xét thiết kế

4.1. Mục tiêu an toàn trong thiết kế

Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) phải được thiết kế và cấu tạo có tính đến các nguyên tắc của TCVN 7383-1 (ISO 12100-1) và TCVN 7301 (ISO 14121) một cách đầy đủ (xem Hình 1 và Hình 3). Phải xem xét toàn bộ việc sử dụng theo hướng dẫn và sử dụng sai hợp lý thấy trước.

^a Tham chiếu TCVN 7383-1:2004 (ISO 12100-1:2003).

^b Tham chiếu tiêu chuẩn này.

Hình 1 – Mô tả tóm tắt việc đánh giá rủi ro/giảm rủi ro

4.2. Kế hoạch để giảm rủi ro

4.2.1. Qui định chung

Chiến lược để giảm rủi ro ở máy được nêu trong TCVN 7383-1:2004 (ISO 12100-1:2003), Điều 5 và hướng dẫn bổ sung được nêu trong TCVN 7383-2:2004 (ISO 12100-2:2003), các Điều 4 (các biện pháp thiết kế sẵn có) và Điều 5 (các biện pháp bảo vệ và bảo vệ bổ sung). Chiến lược này bao hàm toàn bộ vòng đời của máy.

Quá trình phân tích mối nguy hiểm và giảm rủi ro đối với một máy yêu cầu phải loại trừ hoặc giảm các mối nguy hiểm thông qua một hệ thống các biện pháp theo trình tự:

- Loại trừ mối nguy hiểm hoặc giảm rủi ro bằng thiết kế [xem TCVN 7383-2:2004 (ISO 12100-2:2003), Điều 4];

- Giảm rủi ro bằng các biện pháp bảo vệ và bảo vệ bổ sung [xem TCVN 7383-2:2004 (ISO 12100-2:2003, Điều 5];

- Giảm rủi ro bằng cung cấp thông tin cho sử dụng về rủi ro còn dư [xem TCVN 7383-2:2004 (ISO 12100-2:2003, Điều 6].

4.2.2. Đóng góp của hệ thống điều khiển vào việc giảm rủi ro

Mục đích theo sau quy trình thiết kế tổng thể đối với máy là đạt được các mục tiêu an toàn (xem 4.1). Việc thiết kế bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) để giảm rủi ro yêu cầu là một phần không thể tách rời của quy trình thiết kế máy tổng thể. Bộ phận liên quan đến an toàn của hệ thống điều khiển có chức năng an toàn ở một mức tính năng (PL) để đạt được giảm rủi ro yêu cầu. Khi cung cấp chức năng an toàn với tư cách là một bộ phận an toàn vốn có của thiết kế hoặc là một bộ điều khiển đối với thiết bị bảo vệ thì việc thiết kế bộ phận liên quan đến an toàn của hệ thống điều khiển là một phần của chiến lược để giảm rủi ro. Đây là một quá trình lặp lại và được minh họa trên Hình 1 và Hình 3.

Đối với mỗi chức năng an toàn, các đặc tính (xem Điều 5) và mức tính năng yêu cầu phải được quy định và lập thành tài liệu các yêu cầu an toàn.

Trong tiêu chuẩn này các mức tính năng được xác định dưới dạng xác suất của hư hỏng nguy hiểm trên giờ. Có năm mức tính năng (a đến e) đã được xác lập với các phạm vi xác định của một hư hỏng nguy hiểm trên giờ (xem Bảng 3).

Bảng 3 – Mức tính năng (PL)

PL	Xác suất trung bình của hư hỏng nguy hiểm trên giờ, 1/h
a	≥ 10-5 đến <>-4
b	≥ 3 x 10-6 đến <>-5
c	≥ 10-6 đến < 3="" x="">-6
d	≥ 10-7 đến <>-6
e	≥ 10-8 đến <>-7
CHÚ THÍCH: Ngoài xác suất trung bình của hư hỏng nguy hiểm trên giờ cũng cần có các biện pháp khác để đạt được PL

Từ việc đánh giá rủi ro [xem TCVN 7301 (ISO 14121)] ở máy, người thiết kế phải đóng góp vào quyết định giảm rủi ro mà mỗi chức năng an toàn có liên quan do bộ phận liên quan đến an toàn của hệ thống điều khiển thực hiện cần cung cấp. Sự đóng góp này không bao hàm bộ rủi ro của máy được điều khiển, ví dụ, không phải là toàn bộ rủi ro của một máy ép cơ khí, hoặc một máy giặt được xem xét, nhưng phần rủi ro này được giảm đi do ứng dụng các chức năng an toàn riêng. Ví dụ về các chức năng an toàn này là chức năng dừng máy được bắt đầu bằng việc sử dụng một thiết bị bảo vệ nhạy cảm với điện trên máy ép hoặc chức năng khóa cửa của máy giặt.

Có thể đạt được việc giảm rủi ro bằng cách áp dụng nhiều biện pháp bảo vệ khác nhau (bao gồm cả việc sử dụng SRP/CS và không sử dụng SRP/CS) để có kết quả cuối là đạt được điều kiện an toàn (xem Hình 2).

CHÚ DẪN

R_h Đối với tình trạng nguy hiểm riêng, rủi ro trước khi áp dụng các biện pháp bảo vệ.

R_r Giảm rủi ro được yêu cầu từ các biện pháp bảo vệ.

R_a Giảm rủi ro thực tế đạt được bằng các biện pháp bảo vệ.

1 Giải pháp 1: Phần quan trọng của giảm rủi ro do các biện pháp bảo vệ khác với SRP/CS (ví dụ, các biện pháp cơ khí), phần nhỏ của giảm rủi ro SRP/CS.

2 Giải pháp 2: Phần quan trọng của giảm rủi ro do SRP/CS (ví dụ, màn ánh sáng), phần nhỏ của giảm rủi ro do các biện pháp bảo vệ khác với SRP/CS (ví dụ, các biện pháp cơ khí).

3 Rủi ro được giảm đi một cách thỏa đáng.

4 Rủi ro được giảm đi một cách không thỏa đáng.

R Rủi ro

a Rủi ro còn dư thu được bằng các giải pháp 1 và 2.

b Rủi ro được giảm đi một cách thỏa đáng.

R1_SRP/CS R2 _SRP/CS giảm rủi ro từ chức năng an toàn được thực hiện bởi SRP/CS.

R1_M, R2_M giảm rủi ro từ các biện pháp bảo vệ khác với SRP/CS (ví dụ, các biện pháp cơ khí).

CHÚ THÍCH: Xem TCVN 7383 (ISO 12100) để có thêm thông tin về giảm rủi ro.

Hình 2 – Mô tả tóm tắt quá trình giảm rủi ro đối với mỗi tình trạng nguy hiểm

^a TCVN 7384-2 (ISO 13849-2) đưa ra sự trợ giúp bổ sung cho sự phê duyệt.

Hình 3 – Quá trình lặp để thiết kế các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS)

4.3. Xác định mức tính năng yêu cầu (PL_r)

Đối với mỗi chức năng an toàn lựa chọn được thực hiện bởi SRP/CS phải được xác định mức tính năng yêu cầu (PL_r) và lập thành tài liệu (xem Phụ lục A đối với hướng dẫn để xác định PL_r). Việc xác định mức tính năng yêu cầu là kết quả của đánh giá rủi ro và có liên quan đến lượng giảm rủi ro mà các bộ phận liên quan đến an toàn của hệ thống điều khiển phải thực hiện (xem Hình 2)

Lượng giảm rủi ro mà bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) cung cấp càng cao thì mức tính năng yêu cầu (PL_r) phải càng cao.

4.4. Thiết kế bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS)

Một phần của quá trình giảm rủi ro là xác định các chức năng an toàn của máy. Các chức năng an toàn của máy sẽ bao gồm các chức năng an toàn của hệ thống điều khiển, ví dụ, ngăn ngừa sự khởi động bất ngờ.

Một chức năng an toàn có thể được thực hiện bởi một hoặc nhiều bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) (ví dụ, bộ logic, phần tử điều khiển công suất). Một SRP/CS cũng có thể thực hiện các chức năng an toàn và các chức năng điều khiển tiêu chuẩn. Người thiết kế có thể sử dụng bất cứ công nghệ nào có thể sử dụng được, sử dụng từng công nghệ một hoặc kết hợp giữa các công nghệ. Bộ phận liên quan đến an toàn của hệ thống điều khiển cũng có thể cung cấp một chức năng vận hành (ví dụ, một AOPD là một phương tiện để bắt đầu chu trình).

Sự biểu thị bằng sơ đồ một chức năng an toàn điển hình trên Hình 4 chỉ ra một tổ hợp các bộ phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) để.

- Nhập (SRP/CS_a),

- Logic/xử lý (SRP/CS_b),

- Phần tử điều khiển xuất/công suất (SRP/CS_c), và

- Các biện pháp nối liên kết (i_ab, i_bc) (ví dụ, điện, quang).

CHÚ THÍCH 1: Trong cùng một máy, điều quan trọng là phải phân biệt giữa các chức năng an toàn khác nhau và các SRP/CS có liên quan của chúng khi thực hiện một chức năng an toàn nào đó.

Khi nhận dạng các chức năng an toàn của hệ thống điều khiển, người thiết kế phải nhận dạng SRP/CS (xem các Hình 1 và Hình 3) và, nếu cần thiết phải chỉ định chúng thực hiện chức năng nhập, logic và xuất và, trong trường hợp dư thừa phải chỉ định chúng thực hiện các kênh riêng và sau đó ước lượng mức PL (xem Hình 3).

CHÚ THÍCH 2: Các cấu trúc lựa chọn được cho trong Điều 6.

CHÚ THÍCH 3: Tất cả các phương tiện nối liên kết được bao gồm trong các bộ phận liên quan đến an toàn.

CHÚ DẪN

I Nhập

L Logic

0 Xuất

1 Sự kiện bắt đầu (ví dụ, khởi động bằng tay một nút ấn, mở bộ phận bảo vệ, dừng chùm tia của AOPD)

2 Cơ cấu dẫn động máy (ví dụ, phanh động cơ).

Hình 4 – Biểu thị bằng sơ đồ tổ hợp các bộ phận liên quan đến an toàn của các hệ thống điều khiển để xử lý chức năng an toàn điển hình

4.5. Ước lượng mức tính năng đạt được PL và mối quan hệ với SIL

4.5.1. Mức tính năng PL

Theo tiêu chuẩn này, khả năng của các bộ phận liên quan đến an toàn để thực hiện chức năng an toàn được biểu thị qua việc xác định mức tính năng.

Đối với mỗi SRP/CS và/hoặc tổ hợp của các SRP/CS được lựa chọn để thực hiện một chức năng an toàn thì phải dự tính mức tính năng PL.

Mức tính năng PL của SRP/CS phải được xác định bằng cách dự tính các thông số sau:

- Trị số MTTF_d đối với các bộ phận đơn (xem Phụ lục C và Phụ lục D):

- DC (xem Phụ lục E);

- CCF (xem Phụ lục F);

- Cấu trúc (xem Điều 6);

- Trạng thái của chức năng an toàn trong điều kiện có lỗi (xem Điều 6);

- Phần mềm liên quan đến an toàn (xem 4.6 và Phụ lục J);

- Hư hỏng có hệ thống (xem Phụ lục G);

- Khả năng thực hiện một chức năng an toàn trong các điều kiện môi trường yêu cầu.

CHÚ THÍCH 1: Các thông số khác, ví dụ các thông số vận hành, tần suất của yêu cầu, tần suất kiểm tra cũng có thể ảnh hưởng.

Các thông số này có thể được hợp thành nhóm theo hai phương pháp có liên quan đến quá trình ước lượng:

a) Các thông số định lượng được (trị số MTTF_d đối với các bộ phận đơn, DC, CCF, cấu trúc);

b) Các thông số định tính, không định lượng được có ảnh hưởng đến trạng thái của SRP/CS (trạng thái của chức năng an toàn trong các điều kiện có lỗi, phần mềm có liên quan đến an toàn, hư hỏng có hệ thống và các điều kiện môi trường).

Trong số các thông số định lượng được thì sự đóng góp của độ tin cậy (ví dụ, MTTF_d, cấu trúc) có thể thay đổi theo công nghệ được sử dụng. Ví dụ, có thể (trong các giới hạn nào đó) một kênh đơn của các bộ phận liên quan đến an toàn có độ tin cậy cao trong công nghệ để cho cùng một PL hoặc PL cao hơn so với một cấu trúc có lỗi có độ tin cậy thấp hơn trong một công nghệ khác.

Có nhiều phương pháp để dự tính các thông số định lượng được của PL cho bất cứ hệ thống nào (ví dụ, một hệ thống phức hợp), ví dụ, mô hình Markov, lưới Petri ngẫu nhiên tổng quát hóa (GSPN), sơ đồ khối độ tin cậy [ví dụ, xem IEC 61508].

Để đánh giá các thông số định lượng được của PL dễ dàng hơn, tiêu chuẩn này đưa ra một phương pháp đơn giản hóa dựa trên định nghĩa của năm cấu trúc được lựa chọn đáp ứng các tiêu chuẩn thiết kế riêng và trạng thái trong điều kiện có lỗi (xem 4.5.4).

Đối với một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) hoặc tổ hợp của các bộ phận này được thiết kế theo các yêu cầu cho trong Điều 6 thì xác suất trung bình của một hư hỏng nguy hiểm có thể dự tính bởi Hình 5 và quy trình cho trong các Phụ lục A đến Phụ lục H, Phụ lục J đến Phụ lục K.

Đối với một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có sai lệch so với các cấu trúc được lựa chọn thì phải đưa ra tính toán chi tiết để chứng minh sự đạt được mức tính năng yêu cầu(PL_r).

Trong ứng dụng mà bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có thể được xem là đơn giản và mức tính năng yêu cầu từ a đến c thì có thể đưa ra dự tính định tính về PL trong tính hợp lý của thiết kế.

CHÚ THÍCH 2: Để thiết kế các hệ thống điều khiển phức hợp, như hệ thống điện tử lập trình (PES) thì việc ứng dụng các tiêu chuẩn khác có thể là thích hợp (ví dụ, IEC 61508, IEC 62061 hoặc IEC 61496).

Việc đạt được các kết quả định tính của PL có thể được chứng minh bằng ứng dụng các biện pháp nên dùng được cho trong 4.6 và Phụ lục G.

Trong các tiêu chuẩn theo IEC 61508, khả năng thực hiện một chức năng an toàn của các hệ thống điều khiển liên quan đến an toàn được thể hiện thông qua mức toàn vẹn của an toàn (SIL). Bảng 4 chỉ ra mối quan hệ giữa hai khái niệm (PLs và SILs).

PL a không có sự tương ứng với thang SIL và được sử dụng chủ yếu để giảm rủi ro của thương tích nhẹ, thường chữa khỏi được. Vì SIL 4 được dành cho các sự cố nghiêm trọng có thể xảy ra trong công nghiệp gia công nên phạm vi này không liên quan đến các rủi ro ở máy. PL e tương ứng với SIL 3 được xác định là mức cao nhất.

Bảng 4 – Quan hệ giữa mức tính năng (PL) và mức toàn vẹn của an toàn (SIL)

PL	SIL (tham khảo IEC 61508-1) chế độ vận hành cao/liên tục)
a	Không tương ứng
b	1
c	1
d	2
e	3

Do phải áp dụng các biện pháp bảo vệ chính sau để giảm rủi ro:

- Giảm xác suất của các lỗi ở mức bộ phận. Mục đích là giảm xác suất của các lỗi hoặc hư hỏng ảnh hưởng đến chức năng an toàn. Điều này có thể thực hiện bằng cách tăng độ tin cậy của các bộ phận, ví dụ bằng cách lựa chọn các bộ phận đã quen và đáng tin cậy và/hoặc áp dụng các nguyên tắc an toàn đã quen-đáng tin cậy, để giảm thiểu hoặc loại trừ các lỗi tới hạn hoặc hư hỏng [xem TCVN 7384-2 (ISO 13849-2)].

- Nâng cao kết cấu của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/SC). Mục đích này là để tránh ảnh hưởng nguy hiểm của lỗi. Một số lỗi có thể được phát hiện và có thể cần đến một cấu trúc dư thừa và/hoặc cấu trúc được giám sát.

Có thể áp dụng cả hai biện pháp riêng biệt hoặc kết hợp với nhau. Với một số công nghệ, việc giảm rủi ro có thể đạt được bằng cách lựa chọn các bộ phận đáng tin cậy và bằng cách loại trừ các lỗi; nhưng với các công nghệ khác, việc giảm rủi ro có thể phải cần đến một hệ thống dư thừa và/hoặc một hệ thống được giám sát. Ngoài ra, các hư hỏng do nguyên nhân chung (CCF) phải được tính đến (xem Hình 3).

Đối với các phản lực liên kết của cấu trúc, xem Điều 6.

4.5.2. Thời gian trung bình tới khi hư hỏng nguy hiểm của mỗi kênh (MTTF_d)

Giá trị của MTTF_d của mỗi kênh được cho với ba mức (xem Bảng 5) và phải được tính đến cho mỗi kênh một cách riêng biệt (ví dụ, kênh đơn, mỗi kênh của một hệ thống dư thừa).

Theo MTTF_d có thể tính đến giá trị lớn nhất là 100 năm.

Bảng 5 – Thời gian trung bình tới khi hư hỏng nguy hiểm của mỗi kênh (MTTF_d)

MTTFd
Ký hiệu của mỗi kênh	Phạm vi của mỗi kênh
Thấp	3 năm ≤ MTTFd < 10="">
Trung bình	10 năm ≤ MTTFd < 30="">
Cao	30 năm ≤ MTTFd ≤ 100 năm
CHÚ THÍCH: Việc lựa chọn các phạm vi MTTFd của mỗi kênh được dựa trên các tần suất hư hỏng tìm thấy ở mức phát triển kỹ thuật hiện tại, tạo thành một loại tỷ xích lôgarit phù hợp với tỷ xích lôrarit của PL. Một giá trị MTTFd của mỗi kênh nhỏ hơn ba năm không có hy vọng tìm thấy được đối với SRP/CS thực, bởi vì điều này có nghĩa là sau một năm sẽ có khoảng 30% tất cả các hệ thống trên thị trường sẽ hư hỏng và cần được thay thế. Một giá trị MTTFd của mỗi kênh lớn hơn 100 năm là không chấp nhận được bởi vì SRP/CS đối với rủi ro cao không phụ thuộc vào độ tin cậy của riêng các bộ phận. Để gia cố SRP/CS chống lại hư hỏng có hệ thống và hư hỏng ngẫu nhiên, cần có các biện pháp bổ sung như hệ thống có liên kết dư thừa và tiến hành thử nghiệm. Để có tính khả thi, số lượng các phạm vi đã được hạn chế là ba. Giới hạn của các giá trị MTTFd của mỗi kênh tối đa là 100 năm được dùng cho kênh đơn của SRP/CS thực hiện chức năng an toàn. Có thể sử dụng các giá trị MTTFd cao hơn cho các bộ phận đơn (xem Bảng D.1). CHÚ THÍCH 2: Các ranh giới của các phạm vi được chỉ ra trong bảng này có độ chính xác trong khoảng 5%.

Để dự tính MTTF_d của một bộ phận phải sử dụng quy trình tìm dữ liệu theo trình tự sau:

a) Dùng dữ liệu của nhà sản xuất;

b) Dùng các phương pháp trong các Phụ lục C và Phụ lục D;

c) Chọn 10 năm.

4.5.3. Vùng chẩn đoán (DC)

Giá trị của vùng chẩn đoán (DC) được cho theo bốn mức (xem Bảng 6). Để dự tính giá trị DC, trong hầu hết các trường hợp có thể sử dụng dạng hư hỏng và phân tích các ảnh hưởng (FMEA, xem IEC 60812) hoặc các phương pháp tương tự. Trong trường hợp này, nên xem xét tất cả các lỗi và/hoặc dạng hư hỏng có liên quan và kiểm tra mức tính năng (PL) của tổ hợp SRP/CS thực hiện chức năng an toàn so với mức tính năng yêu cầu (PL). Phương pháp đơn giản hóa để dự tính DC được giới thiệu trong Phụ lục E.

Bảng 6 – Vùng chẩn đoán (DC)

DC
Ký hiệu	Phạm vi của mỗi kênh
Không	DC <>
Thấp	60 % ≤ DC < 90="">
Trung bình	90% ≤ DC <>
Cao	99% ≤ DC
CHÚ THÍCH 1: Đối với SRP/CS gồm nhiều bộ phận, sử dụng giá trị trung bình DCavg trên Hình 5, Điều 6 và E2. CHÚ THÍCH 2: Việc lựa chọn các phạm vi DC dựa trên các trị số chủ chốt 60%, 90% và 99% đã được xác lập trong các tiêu chuẩn khác (ví dụ, IEC 61508) có liên quan đến vùng chẩn đoán của các phép thử nghiệm. Các kết quả nghiên cứu đã chỉ ra rằng (1- DC) là biện pháp đặc trưng hơn so với DC để đạt được hiệu quả của kiểm tra. (1-DC) đối với các trị số chủ chốt 60%, 90% và 99% tạo thành một loại tỷ xích lôgarit phù hợp với tỷ xích lôragit của PL. Một trị số DC nhỏ hơn 60% chỉ có ảnh hưởng nhẹ đến độ tin cậy của hệ thống được thử nghiệm và do đó được gọi là “không”. Một trị số DC lớn hơn 99% đối với các hệ thống phức hợp rất khó có thể đạt được. Để có tính khả thi, số lượng các phạm vi đã được hạn chế là bốn. Các ranh giới của các phạm vi được chỉ ra trong bảng này có độ chính xác trong khoảng 5%.

4.5.4. Quy trình đơn giản hóa để dự tính PL

Có thể dự tính mức tính năng (PL) bằng cách tính đến tất cả các thông số có liên quan và các phương pháp thích hợp để tính toán (xem 4.5.1). Điều này mô tả quy trình đơn giản hóa để dự tính PL của một SRP/CS dựa trên các cấu trúc đã lựa chọn. Một số cấu trúc khác có kết cấu tương tự có thể được biến đổi thành các cấu trúc đã lựa chọn này để thu được kết quả dự tính của PL.

Các cấu trúc đã lựa chọn được biểu thị dưới dạng các sơ đồ khối và được liệt kê trong ngữ cảnh của mỗi loại trong 6.2. Thông tin về phương pháp lập sơ đồ khối và các sơ đồ khối liên quan đến an toàn được nêu trong 6.2 và Phụ lục B.

Các cấu trúc đã lựa chọn thể hiện tính logic của kết cấu hệ thống đối với mỗi loại. Sự thực hiện về mặt kỹ thuật hoặc chẳng hạn như sơ đồ mạch chức năng có thể được xem là hoàn toàn khác nhau.

Các cấu trúc đã lựa chọn được vẽ cho tổ hợp SRP/CS, bắt đầu tại các điểm tại đó các tín hiệu liên quan đến an toàn được bắt đầu và kết thúc tại đầu ra của các phần tử điều khiển công suất [xem TCVN 7383-1:2004 (ISO 12100-1:2003), Phụ lục A]. Có thể sử dụng các cấu trúc đã lựa chọn để mô tả một bộ phận hoặc một bộ phận con của một hệ thống điều khiển, hệ thống này đáp ứng các tín hiệu nhập và tạo ra các tín hiệu xuất liên quan đến an toàn. Vì vậy phần tử “nhập” có thể biểu thị một màn ánh sáng (AOPD) cũng như các mạch nhập của các phần tử điều khiển logic hoặc các công tắc nhập. “xuất” có thể biểu thị một tín hiệu làm chuyển mạch thiết bị (OSSD) hoặc các tín hiệu xuất của các bộ quét laser.

Đối với các cấu trúc đã lựa chọn cần có các giả thiết điển hình sau:

- Thời gian làm việc 20 năm (xem Điều 10);

- Tần suất hư hỏng không đổi trong thời gian làm việc;

- Đối với loại 2, tần suất của yêu cầu ≤ 1/100 tần suất thử nghiệm;

- Đối với loại 2, MTTF_{d, TE} lớn hơn một nửa MTTF_d,L.

CHÚ THÍCH: Khi các khối của mỗi kênh không thể tách ly được thì có thể áp dụng như sau: MTTF_d của kênh thử nghiệm được tóm tắt (TE, OTE) lớn hơn một nửa MTTF_d của kênh chức năng được tóm tắt (I, L, O).

Phương pháp được coi các loại như là cấu trúc có vùng chẩn đoán trung bình (DC_avg) xác định. Mức tính năng (PL) của mỗi SRP/CS phụ thuộc vào cấu trúc, thời gian trung bình tới khi hư hỏng nguy hiểm (MTTF_d) trong mỗi kênh và DC_avg.

Nên tính đến các hư hỏng do nguyên nhân chung (CCF) (xem hướng dẫn trong Phụ lục F).

Đối với các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có phần mềm cần áp dụng các yêu cầu trong 4.6.

Nếu không có các dữ liệu định lượng hoặc không dùng các dữ liệu định lượng (ví dụ, các hệ thống phức hợp thấp) thì nên lựa chọn trường hợp xấu nhất của tất cả các tham số có liên quan.

Một tổ hợp của SRP/CS hoặc một SRP/CS đơn có thể có một mức tính năng (PL). Tổ hợp của nhiều SRP/CS có PL khác nhau được xem xét trong 6.3.

Trong trường hợp các ứng dụng có mức tính năng yêu cầu (PL_r) từ a đến c thì phải có đủ các biện pháp để tránh các lỗi đối với các ứng dụng có rủi ro cao, PL_r từ d đến e, thì kết cấu của SRP/CS cần có các biện pháp để tránh, phát hiện hoặc chịu được lỗi. Các biện pháp thực tế bao gồm làm kết cấu dư thừa, đa dạng hóa kết cấu, kết cấu có kiểm soát [xem TCVN 7383-2:2004 (ISO 12100-2:2003), Điều 3 và IEC 60204-1:2000].

Hình 5 chỉ ra quy trình để lựa chọn các loại phối hợp với thời gian trung bình tới khi hư hỏng nguy hiểm (MTTF_d) và vùng chẩn đoán trung bình DC_avg để đạt được mức tính năng yêu cầu (PL_r) của chức năng an toàn.

Để dự tính mức tính năng (PL), Hình 5 giới thiệu các sự phối hợp khác nhau có thể có của loại với DC_avg (trục nằm ngang) và MTTF_d của mỗi kênh (các thanh). Các thanh trên biểu đồ biểu thị ba phạm vi MTTF_d của mỗi kênh (thấp, trung bình và cao) có thể được lựa chọn để đạt được mức tính năng yêu cầu (PL_r).

Trước khi sử dụng phương pháp đơn giản hóa với Hình 5 (biểu thị các kết quả của các mô hình markov khác nhau dựa trên các cấu trúc đã lựa chọn của Điều 6) thì phải xác định loại SRP/CS cũng như DC_avg và MTTF_d của mỗi loại kênh (xem Điều 6 và các Phụ lục C đến Phụ lục E).

Đối với các loại 2,3 và 4 phải thực hiện các biện pháp thỏa đáng đối với hư hỏng do nguyên nhân chung (xem hướng dẫn trong Phụ lục F). Khi tính đến các thông số này, Hình 5 đưa ra phương pháp biểu đồ để xác định PL mà SRP/CS đã đạt được. Sự phối hợp loại (bao gồm hư hỏng do nguyên nhân chung) và DC_avg xác định cột nào của Hình 5 được lựa chọn. Theo MTTF_d của mỗi kênh phải lựa chọn một trong ba diện tích được tô màu khác nhau của cột có liên quan.

Vị trí thẳng đứng của diện tích này xác định mức tính năng (PL) đạt được và mức tính năng này được đọc theo trục thẳng đứng. Nếu diện tích bao hàm hai hoặc ba mức tính năng thì mức tính năng đạt được cho trong Bảng 7. Phụ lục K giới thiệu sự lựa chọn trị số chính xác hơn của PL phụ thuộc vào trị số chính xác của MTTF_d của mỗi kênh.

CHÚ DẪN

PL Mức tính năng

1 MTTF_d của mỗi kênh = thấp

2 MTTF_d của mỗi kênh = trung bình

3 MTTF_d của mỗi kênh = cao

Hình 5 – Quan hệ giữa các loại, DC_avg, MTTF_d của mỗi kênh và PL

Bảng 7 – Quy trình đơn giản hóa để ước lượng PL mà SRP/CS đạt được

Loại	B	1	2	2	3	3	4
DCavg	Không	Không	Thấp	Trung bình	Thấp	Trung bình	Cao
MTTFd của mỗi kênh
Thấp	a	Không bao hàm	a	b	b	c	Không bao hàm
Trung bình	b	Không bao hàm	b	c	c	d	Không bao hàm
Cao	Không bao hàm	c	c	d	d	d	e

4.6. Yêu cầu an toàn của phần mềm

4.6.1. Qui định chung

Phải quan tâm đúng mức tới tất cả các chế độ hoạt động trong vòng đời của phần mềm liên quan đến an toàn được nhúng hoặc ứng dụng để tránh các lỗi phát sinh trong vòng đời của phần mềm (xem Hình 6). Mục tiêu chính của các yêu cầu sau là để có phần mềm đọc được, có thể hiểu được, thử nghiệm được và bảo trì được.

CHÚ THÍCH: Phụ lục J giới thiệu chi tiết hơn về các chế độ hoạt động của vòng đời.

Hình 6 – Mô hình chữ V đơn giản hóa vòng đời an toàn của phần mềm

4.6.2. Phần mềm được nhúng liên quan đến an toàn (SRESW)

Đối với phần mềm được nhúng liên quan đến an toàn (SRESW) dùng cho các bộ phận có mức tính năng yêu cầu (PL_r) từ a đến d phải áp dụng các biện pháp cơ bản sau:

- Vòng đời an toàn của phần mềm có sự kiểm tra và độ hoạt động có hiệu lực, xem Hình 6;

- Lập tài liệu đặc tả và thiết kế;

- Thiết kế cấu trúc, mô đun và mã hóa;

- Kiểm soát các hư hỏng có tính hệ thống (xem G.2);

- Khi sử dụng các biện pháp dựa trên phần mềm để kiểm soát các hư hỏng ngẫu nhiên của phần cứng, kiểm tra sự thực thi đúng;

- Thử nghiệm chức năng, ví dụ, kiểm tra hộp đen;

- Các chế độ hoạt động thích hợp của vòng đời an toàn của phần mềm sau cải tiến.

Đối với phần mềm liên quan đến an toàn được nhúng (SRESW) dùng cho các bộ phận có mức tính năng yêu cầu (PL_r) c hoặc d phải áp dụng các biện pháp bổ sung sau:

- Quản lý dự án và hệ thống quản lý chất lượng có thể so sánh được với, ví dụ, IEC 61508 hoặc TCVN ISO 9001;

- Lập tài liệu bao gồm các chế độ hoạt động có liên quan trong vòng đời an toàn của phần mềm;

- Quản lý cấu hình để định danh tất cả các hạng mục cấu hình và các tài liệu liên quan đến một phiên bản SRESW;

- Đặc tả cấu trúc có các yêu cầu an toàn và thiết kế;

- Sử dụng các ngôn ngữ lập trình thích hợp và các công cụ dựa trên máy tính có độ tin cậy trong sử dụng;

- Lập trình cấu trúc và mô đun, tách biệt trong phần mềm không liên quan đến an toàn, các kích thước mô đun hạn chế với các giao diện được định nghĩa hoàn toàn, sử dụng tiêu chuẩn thiết kế và tiêu chuẩn mã hóa;

- Kiểm tra sự mã hóa bằng bước chuyển đến/xem xét lại có sự phân tích dòng lưu động điều khiển;

- Thử nghiệm chức năng mở rộng, ví dụ, thử nghiệm hộp xám, kiểm nghiệm sự thi hành hoặc mô phỏng;

- Phân tích tác động và các chế độ hoạt động thích hợp của vòng đời an toàn của phần mềm sau cải tiến.

 Phần mềm liên quan đến an toàn được nhúng (SRESW) dùng cho các bộ phận có mức tính năng yêu cầu PL_r = e phải tuân theo IEC 61508-3:1998, Điều 7, thích hợp với mức toàn vẹn của an toàn SIL 3. Khi sử dụng tính đa dạng trong đặc tả, thiết kế và mã hóa, đối với hai kênh được sử dụng trong bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) với loại 3 hoặc 4 thì có thể đạt được PL_r = e với các biện pháp nêu trên đối với PL_r c hoặc d.

CHÚ THÍCH 1: Sự mô tả chi tiết các biện pháp như vậy được giới thiệu trong IEC 61508-7:2000.

CHÚ THÍCH 2: Đối với SRESW có tính đa dạng trong thiết kế và mã hóa, đối với các bộ phận được sử dụng trong SRP/CS với loại 3 hoặc 4 thì sự cố gắng trong việc tìm các biện pháp để tránh các hư hỏng có hệ thống có thể được giảm đi bằng cách, ví dụ như xem xét lại các bộ phận của phần mềm chỉ bằng xem xét các khía cạnh về cấu trúc thay cho kiểm tra mỗi dòng mã.

4.6.3. Phần mềm ứng dụng liên quan đến an toàn (SRASW)

Vòng đời an toàn của phần mềm (xem Hình 6) cũng áp dụng cho phần mềm ứng dụng liên quan đến an toàn (SRASW) (xem Phụ lục J).

Phần mềm ứng dụng liên quan đến an toàn (SRASW) được viết trong ngôn ngữ biến đổi có giới hạn (LVL) và tuân theo các yêu cầu sau có thể đạt được mức tính năng (PL) từ a đến e. Nếu SRASW được viết bằng ngôn ngữ biến đổi hoàn toàn (FVL) thì phải áp dụng các yêu cầu dùng cho phần mềm liên quan đến an toàn được nhúng (SRESW) và PL có thể đạt được từ a đến e. Nếu một bộ phận của SRASW trong một bộ phận có tác động bất kỳ (ví dụ, do sự cải tiến của nó) đến nhiều chức năng an toàn với PL khác nhau thì phải áp dụng các yêu cầu liên quan đến PL cao nhất. Đối với SRASW dùng cho các bộ phận có PL_r từ a đến e thì phải áp dụng các biện pháp cơ bản sau:

- Phát triển vòng đời có sự kiểm chứng và các chế độ hoạt động có hiệu lực, xem Hình 6;

- Lập tài liệu đặc tả và thiết kế;

- Lập trình cấu trúc và mô đun;

- Kiểm nghiệm chức năng;

- Phát triển các chế độ hoạt động thích hợp sau cải tiến.

Đối với các SRASW dùng cho các bộ phận có PL_r từ c đến e, các biện pháp bổ sung sau có hiệu quả tăng (hiệu quả thấp đối với PL_r và c, hiệu quả trung bình đối với PL_r là d, hiệu quả cao đối với PL_r là e) được yêu cầu và khuyến nghị).

a) Phải xem xét lại đặc tả của phần mềm liên quan đến an toàn (xem Phụ lục J), sẵn có đối với mỗi người có liên quan đến vòng đời và phải có sự mô tả;

1) Các chức năng an toàn với mức tính năng yêu cầu (Pa_r) và chế độ vận hành kết hợp,

2) Chuẩn thi hành, ví dụ, các thời gian phản ứng,

3) Cấu trúc phần cứng với các giao diện tín hiệu ngoài, và

4) Phát hiện và kiểm soát hư hỏng bên ngoài.

b) Lựa chọn các công cụ, thư viện, ngôn ngữ:

1) Các công cụ thích hợp có độ tin cậy trong sử dụng; đối với PL = e đạt được với một bộ phận và công cụ của nó, công cụ phải tuân theo tiêu chuẩn an toàn thích hợp; nếu sử dụng hai bộ phận khác nhau với các công cụ khác nhau thì độ tin cậy trong sử dụng có thể là thỏa đáng. Phải sử dụng các đặc tính kỹ thuật phát hiện ra các điều kiện có thể gây ra sai số hệ thống (như dữ liệu không tương hợp, sự cấp phát nhập nhằng của bộ nhớ động, các giao diện được gọi không đầy đủ, phép đệ qui, số học con trỏ). Nếu thực hiện việc kiểm tra chủ yếu là trong thời gian biên dịch và không chỉ là tại thời gian chạy. Các công cụ nên củng cố các tập con ngôn ngữ và các hướng dẫn mã hóa hoặc ít nhất là giám sát hoặc hướng dẫn người phát triển sử dụng chúng.

2) Khi thấy hợp lý và có thể thực hiện được, nên sử dụng các thư viện khối chức năng (FB) có hiệu lực – các thư viện khối chức năng liên quan đến an toàn do nhà sản xuất công cụ cung cấp (rất nên dùng đối với PL = e) hoặc các thư viện khối chức năng ứng dụng riêng có hiệu lực và tuân theo tiêu chuẩn này.

3) Nếu sử dụng tập con ngôn ngữ biến đổi có giới hạn (LVL) đã được chỉnh vị trí thích hợp cho một phương pháp lắp ráp, ví dụ tập con được chấp nhận của các ngôn ngữ IEC 61131-3. Các ngôn ngữ đồ họa (ví dụ, biểu đồ khối chức năng, biểu đồ bậc thang) rất được khuyến nghị sử dụng.

c) Thiết kế phần mềm phải đặc biệt chú ý đến:

1) Các phương pháp nửa chính qui để mô tả các dữ liệu và dòng điều khiển, ví dụ, biểu đồ trạng thái hoặc lưu đồ chương trình,

2) Lập trình cấu trúc và mô đun hầu hết được thực hiện bởi các khối chức năng dẫn xuất từ các thư viện khối chức năng liên quan đến an toàn có hiệu lực,

3) Các khối chức năng có kích thước mã hóa hạn chế,

4) Thực hiện mã bên trong khối chức năng có một điểm nhập và một điểm thoát,

5) Mô hình cấu trúc ba trước, khối nhập => khối xử lý => khối xuất (xem Hình 7 và Phụ lục J),

6) Gán một khối xuất an toàn tại chỉ một vị trí của chương trình, và

7) Sử dụng các kỹ thuật để phát hiện hư hỏng bên ngoài và để lập trình bảo vệ bên trong khối nhập, khối xử lý và khối dẫn xuất dẫn đến trạng thái an toàn.

Các khối nhập		Khối lượng xử lý		Các khối xuất
Thu nhận thông tin của các cảm biến an toàn khác nhau bằng các dữ liệu nhập an toàn		Xử lý theo yêu cầu để thực hiện các chức năng an toàn dẫn đến trạng thái an toàn		Điều khiển các thiết bị khởi động bằng các dữ liệu xuất an toàn

Hình 7 – Mô hình cấu trúc chung của phần mềm

d) Khi phần mềm ứng dụng liên quan đến an toàn (SRASW) và phần mềm ứng dụng không liên quan đến an toàn (non-SRASW) được kết hợp trong một bộ phận:

1) SRASW và non – SRASW phải được mã hóa trong các khối chức năng khác nhau có các liên kết dữ liệu đã được định nghĩa;

2) Không được có sự kết hợp logic của các dữ liệu liên quan đến an toàn và các dữ liệu không liên quan đến an toàn dẫn đến việc hạ cấp tính toàn vẹn của các tín hiệu liên quan đến an toàn, ví dụ, kết hợp các tín hiệu liên quan đến an toàn và không liên quan đến an toàn bằng một tín hiệu logic “OR” ở đó kết quả điều khiển các tín hiệu liên quan đến an toàn.

e) Thực thi/mã hóa phần mềm:

1) Mã phải đọc được, có thể hiểu được và thử nghiệm được, và vì lẽ đó nên sử dụng các biến số ký hiệu (thay cho địa chỉ rõ ràng của phần cứng);

2) Phải sử dụng các hướng dẫn mã hóa đã được chấp nhận hoặc chỉnh lý (xem Phụ lục J);

3) Nên sử dụng các kiểm tra tính toàn vẹn và tính hợp lý của dữ liệu (ví dụ, kiểm tra dải) sẵn có trên lớp ứng dụng (lập trình bảo vệ);

4) Nên thử nghiệm mã bằng mô phỏng;

5) Nên kiểm tra bằng việc phân tích và điều khiển dòng dữ liệu đối với PL = d hoặc e.

f) Thử nghiệm:

1) Phương pháp có hiệu lực thích hợp là thử nghiệm trạng thái chức năng và chuẩn thi hành của hộp đen (ví dụ, thi hành đo thời gian);

2) Đối với PL = d hoặc e, nên thực hiện thử nghiệm từ việc phân tích giá trị biên;

3) Cần có kế hoạch thử nghiệm bao gồm các trường hợp thử nghiệm với các chuẩn hoàn tất và công cụ yêu cầu;

4) Thử nghiệm I/O (nhập/xuất) phải bảo đảm rằng các tín hiệu liên quan đến an toàn được sử dụng đúng trong SRASW.

g) Lập tài liệu:

1) Phải lập tài liệu cho toàn bộ vòng đời và các chế độ hoạt động cải tiến;

2) Tài liệu cung cấp phải đầy đủ, có thể dùng được, đọc được và hiểu được;

3) Tài liệu về mã trong văn bản nguồn phải chứa các tiêu đề theo mô đun có thực thể hợp thức, mô tả chức năng và mô tả I/O (nhập/xuất), phiên bản và phiên bản của các khối chức năng được sử dụng, các dẫn giải cần thiết của các mạng/lệnh và các dòng thông báo.

h) Kiểm tra xác nhận2)

VÍ DỤ: Xem xét lại, kiểm tra, bước chuyển đến hoặc các hoạt động thích hợp khác.

i) Quản lý cấu hình

Các thủ tục và bản sao dự phòng dữ liệu nên được thiết lập để định danh và lưu trữ các tư liệu, các mô đun phần mềm, các kết quả kiểm chứng/tính hiệu lực và cấu hình công cụ có liên quan đến một phiên bản SRASW đặc biệt.

f) Cải tiến

Sau các cải tiến của SRASW, phải thực hiện sự phân tích tác động để bảo đảm sự đặc tả. Phải thực hiện các độ hoạt động thích hợp của vòng đời sau cải tiến. Quyền truy cập các cải tiến phải được kiểm soát và lịch sử cải tiến phải được lập thành tài liệu.

CHÚ THÍCH: Cải tiến không ảnh hưởng đến các hệ thống đã sử dụng.

4.6.4. Tham số hóa dựa trên phần mềm

Tham số hóa dựa trên phần mềm của các tham số liên quan đến an toàn phải được xem là một khía cạnh liên quan đến an toàn trong thiết kế SRP/CS được mô tả trong đặc tả các yêu cầu an toàn của phần mềm. Phải thực hiện sự tham số hóa khi sử dụng một công cụ phần mềm chuyên dụng do nhà cung cấp SRP/CS cung cấp. Công cụ này phải có định danh riêng của nó (tên, phiên bản, v.v…) và phải ngăn ngừa được sự cải tiến không được phép, ví dụ như bằng cách sử dụng một mật khẩu.

Phải duy trì tính toàn vẹn của tất cả các dữ liệu dùng cho tham số hóa. Điều này phải đạt được bằng cách áp dụng các biện pháp để.

- Kiểm soát dải các dữ liệu nhập có hiệu lực,

- Kiểm soát sự làm hỏng dữ liệu trước khi truyền,

- Kiểm soát ảnh hưởng của các sai sót từ quá trình truyền tham số,

- Kiểm soát ảnh hưởng của việc truyền tham số không an toàn, và

- Kiểm soát ảnh hưởng của các lỗi và hư hỏng của phần cứng và phần mềm của công cụ được dùng cho tham số hóa.

Công cụ tham số hóa phải đáp ứng tất cả các yêu cầu đối với SRP/CS theo tiêu chuẩn này. Có thể phải sử dụng một thủ tục đặc biệt để chỉnh đặt các tham số liên quan đến an toàn.

Thủ tục này phải bao gồm sự xác nhận các tham số nhập vào SRP/CS bằng.

- Truyền lại các tham số được cải tiến đến công cụ tham số hóa, hoặc

- Các biện pháp thích hợp hợp để xác nhận tính toàn vẹn của các tham số, cũng như sự xác nhận tiếp theo, ví dụ như bởi một người có kỹ năng thích hợp và bằng kiểm tra tự động với việc sử dụng một công cụ tham số hóa.

CHÚ THÍCH 1: Vấn đề nêu trên có ý nghĩa đặc biệt quan trọng khi việc tham số hóa được thực hiện bằng một thiết bị không chuyên dụng (ví dụ, máy tính cá nhân hoặc thiết bị tương đương).

Các mô đun phần mềm dùng để mã hóa/mã hóa trong quá trình truyền/truyền lại và các mô đun phần mềm dùng cho người sử dụng để hình dung các tham số liên quan đến an toàn phải có tính đa dạng trong chức năng để tránh các sai số hệ thống.

Sự cung cấp dữ liệu tham số hóa dựa trên phần mềm phải chỉ ra dữ liệu được sử dụng (ví dụ, bộ các tham số được xác định trước) và thông tin cần thiết để định danh sách tham số được xác định trước) và thông tin cần thiết để định danh các tham số gắn liền với SRP/CS, người thực hiện việc tham số hóa cùng với các thông tin có liên quan khác như ngày tham số hóa.

Phải áp dụng các hoạt động kiểm tra sau đối với quá trình tham số hóa dựa trên phần mềm:

- Kiểm tra sự chỉnh đặt đúng, đối với mỗi tham số liên quan đến an toàn (các giá trị nhỏ nhất, lớn nhất và đại diện);

- Kiểm tra xác minh bằng các tham số liên quan đến an toàn đã được kiểm về tính hợp lý, ví dụ như bằng cách sử dụng các giá trị không hợp lệ, v.v…;

- Kiểm tra xác minh rằng sự cải tiến không được phép đối với các tham số liên quan đến an toàn đã được ngăn ngừa;

- Kiểm tra xác minh rằng các dữ liệu/tín hiệu dùng cho tham số hóa đã được tạo ra và xử lý theo cách các lỗi không thể dẫn đến việc làm mất đi chức năng an toàn;

CHÚ THÍCH 2: Vấn đề nêu trên có ý nghĩa đặc biệt quan trọng khi việc tham số hóa được thực hiện bằng một thiết bị không chuyên dụng (ví dụ, máy tính cá nhân hoặc thiết bị tương đương).

4.7. Kiểm tra bảo đảm rằng PL đạt được đáp ứng PL_r

Đối với mỗi chức năng an toàn riêng, mức tính năng (PL) của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có liên quan phải thích hợp với mức tính năng yêu cầu (PL_r) được xác định theo 4.3 (xem Hình 3). Nếu không đạt được yêu cầu này thì cần thiết phải lặp lại quá trình được mô tả trên Hình 3.

PL của SRP/CS khác nhau, là một phần của chức năng an toàn, phải bằng hoặc lớn hơn mức tính năng yêu cầu (PL_r) của chức năng an toàn này.

4.8. Khía cạnh êgônômi của thiết kế

Giao diện giữa người vận hành và các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) phải được thiết kế và thực hiện sao cho không có người nào bị nguy hiểm trong toàn bộ quá trình sử dụng máy theo hướng dẫn và sử dụng máy sai hợp lý thấy trước được [xem TCVN 7383-2 (ISO 12100-2), EN 6114-1, ISO 9355-2, ISO 9355-3, ISO 1005-3, IEC 60204-1:2000, Điều 10, IEC 60447 và IEC 61310).

Phải sử dụng các nguyên tắc êgônômi để cho máy và hệ thống điều khiển, bao gồm cả các bộ phận liên quan đến an toàn được sử dụng dễ dàng và người vận hành không bị lôi cuốn vào các thao tác nguy hiểm.

Cần áp dụng các yêu cầu an toàn đối với các nguyên tắc êgônômi phải tuân theo được giới thiệu TCVN 7383-2 (ISO 12100-2).

5. Chức năng an toàn

5.1. Đặc điểm của các chức năng an toàn

Điều này đưa ra bản danh sách và nội dung chi tiết của các chức năng an toàn do các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) cung cấp. Người thiết kế (hoặc người làm tiêu chuẩn loại C) phải tính đến các yêu cầu cần thiết để đạt được các biện pháp an toàn yêu cầu của hệ thống điều khiển đối với các ứng dụng riêng.

VÍ DỤ: Chức năng dừng liên quan đến an toàn, ngăn ngừa sự khởi động bất ngờ, chức năng chỉnh đặt lại bằng tay, chức năng tạm ngừng, chức năng giữ cho chạy.

CHÚ THÍCH: Các hệ thống điều khiển máy cung cấp các chức năng vận hành và/hoặc an toàn. Các chức năng vận hành (ví dụ, khởi động, dừng bình thường) cũng có thể là các chức năng an toàn, nhưng điều này có thể được xác minh chỉ sau khi đã thực hiện việc đánh giá đầy đủ rủi ro trên máy.

Bảng 8 và Bảng 9 liệt kê một số chức năng an toàn điển hình, một số đặc tính của chúng và các tham số liên quan đến an toàn, trong khi có sự tham chiếu các tiêu chuẩn quốc tế khác có các yêu cầu liên quan đến chức năng, đặc tính hoặc tham số an toàn. Người thiết kế (hoặc người làm tiêu chuẩn loại C) phải đảm bảo rằng tất cả các yêu cầu áp dụng thỏa mãn đối với các chức năng an toàn có liên quan được liệt kê trong bảng.

Các yêu cầu bổ sung được lập ra trong điều này dùng cho một số đặc tính của chức năng an toàn.

Khi cần thiết, các yêu cầu đối với các đặc tính và chức năng an toàn phải được sửa lại cho thích hợp trong sử dụng với các nguồn năng lượng khác nhau.

Vì phần lớn các tiêu chuẩn tham chiếu trong các Bảng 8 và Bảng 9 là các tiêu chuẩn về điện cho nên các yêu cầu áp dụng sẽ cần được sửa lại cho thích hợp trong trường hợp sử dụng các công nghệ khác (ví dụ, thủy lực, khí nén).

Bảng 8 – Một số tiêu chuẩn quốc tế áp dụng cho các chức năng an toàn điển hình của máy và các đặc tính của chúng

Chức năng an toàn/đặc tính	Yêu cầu			Xem thông tin bổ sung trong:
	TCVN 7384-1 (ISO 13849-1)	TCVN 7383-1:2004 (ISO 12100-1:2003)	TCVN 7383-2:2004 (ISO 12100-2:2003)
Chức năng dừng an toàn được bắt đầu bằng bộ phận bảo vệa	5.2.1	3.2.6.8	4.11.3	IEC 60204-1:2005, 9.2.2, 9.2.5.3, 9.2.5.5
Chức năng chỉnh đặt lại bằng tay	5.2.2	-	-	IEC 60204-1:2005, 9.2.5.3, 9.2.5.4
Chức năng khởi động/khởi động lại	5.2.3	-	4.11.3, 4.11.4	IEC 60204-1:2005, 9.2.1, 9.2.5.1, 9.2.5.2, 9.2.6
Chức năng điều khiển cục bộ	5.2.4	-	4.11.8, 4.11.10	IEC 60204-1:2005, 10.1.5
Chức năng tạm ngừng	5.2.5	-	-	-
Chức năng giữ cho chạy		-	-	IEC 60204-1:2005, 9.2.6.1
Chức năng cho phép của thiết bị		-	-	IEC 60204-1:2005, 9.2.6.3, 10.9
Ngăn ngừa khởi động bất ngờ	-	-	4.11.4	TCVN 7300 (ISO 14118), IEC 60204-1:2005, 54
Giải thoát và cứu người bị kẹt	-	-	5.5.3	-
Chức năng cách ly và tiêu tán năng lượng	-	-	5.5.4	TCVN 7300 (ISO 14118), IEC 60204-1:2005, 5.3, 6.3.1
Các dạng điều khiển và chọn dạng điều khiển	-	-	4.11.8, 4.11.10	IEC 60204-1:2005, 9.2.3, 9.2.4
Tương tác giữa các bộ phận liên quan đến an toàn khác nhau của các hệ thống điều khiển	-	-	4.11.1 (Câu cuối cùng)	IEC 60204-1:2005, 9.3.4
Giám sát và tham số hóa các giá trị nhập liên quan đến an toàn	4.6.4	-	-	-
Chức năng dừng khẩn cấp b	-	-	5.5.2	TCVN 6719 (ISO 13850), IEC 60204-1:2005, 9.2.5.4
a Bao gồm các bộ phận bảo vệ khóa liên động và các thiết bị hạn chế (ví dụ, vượt tốc, quá nhiệt độ, quá áp suất). b Đối với các biện pháp bảo vệ bổ sung, xem TCVN 7383-1:2004 (ISO 12100-1:2003).

Bảng 9 – Một số tiêu chuẩn quốc tế cho các yêu cầu về các chức năng an toàn và các tham số liên quan an toàn

Chức năng an toàn/tham số liên quan đến an toàn	Yêu cầu		Xem thông tin bổ sung trong:
	TCVN 7384-1 (ISO 13849-1)	TCVN 7383-2:2004 (ISO 12100-2:2003)
Thời gian đáp ứng	5.2.6		TCVN 7386:2004 (ISO 13855:2000), 3.2, A.3, A.4
Tham số liên quan đến an toàn như tốc độ, nhiệt độ hoặc áp suất	5.2.7	4.11.8 e)	IEC 60204-1:2005, 7.1, 9.3.2, 9.3.4
Độ dao động, tổn thất và sự phục hồi các nguồn năng lượng	5.2.8	4.11.8 e)	IEC 60204-1:2005, 4.3, 7.1, 7.5
Chỉ báo và báo động (cảnh báo)	-	4.8	ISO 7731 ISO 11428 ISO 11429 IEC 61310-1 IEC 60204-1:2005, 10.3, 10.4 IEC 61131 IEC 62061

Khi nhận dạng và qui định các chức năng an toàn, ít nhất phải xem xét đến các yêu cầu sau:

a) Các kết quả đánh giá rủi ro đối với mối nguy hiểm hoặc tình trạng nguy hiểm riêng;

b) Các đặc tính làm việc của máy, bao gồm

- Sử dụng máy theo hướng dẫn (bao gồm cả sử dụng sai hợp lý thấy trước),

- Các chế độ vận hành (ví dụ, chế độ cục bộ, chế độ tự động, các chế độ liên quan đến một vùng hoặc một bộ phận của máy),

- Thời gian của chu kỳ, và

- Thời gian đáp ứng;

c) Hoạt động khẩn cấp;

d) Mô tả tương tác của các quá trình gia công khác nhau và các hoạt động bằng tay (sửa chữa, chỉnh đặt, làm sạch, khắc phục sự trục trặc v.v…);

e) Tình trạng của máy cần đạt tới hoặc cần được ngăn ngừa khi sử dụng một chức năng an toàn;

f) Điều kiện của máy (ví dụ, chế độ vận hành) ở đó máy hoạt động được hoặc bị hư hỏng;

g) Tần suất vận hành;

h) Sự ưu tiên của các chức năng có thể hoạt động được đồng thời và có thể dẫn đến hoạt động đối lập nhau.

5.2. Nội dung chi tiết của các chức năng an toàn

5.2.1. Chức năng dừng liên quan đến an toàn

Ngoài các yêu cầu của Bảng 8, cần áp dụng yêu cầu sau.

Một chức năng dừng liên quan đến an toàn (ví dụ, được bắt đầu bằng một thiết bị bảo vệ) phải đưa máy về trạng thái an toàn ngay sau khi được khởi động. Sự dừng này được ưu tiên so với sự dừng vì lý do vận hành.

Khi một nhóm máy làm việc có sự phối hợp với nhau thì phải có phương tiện báo hiệu sự giám sát và/hoặc báo hiệu cho các máy khác rằng đã có một trạng thái dừng.

CHÚ THÍCH: Một chức năng dừng liên quan đến an toàn có thể gây ra các vấn đề vận hành và khởi động lại khó khăn, ví dụ, trong ứng dụng hàn hồ quang. Để giảm khả năng dẫn đến thất bại của chức năng dừng này, có thể thực hiện trước sự dừng vì lý do vận hành để kết thúc nguyên công hiện thời và chuẩn bị cho sự khởi động lại nhanh và dễ dàng từ vị trí dừng (ví dụ, không có bất cứ sự thiệt hại nào đối với sản xuất). Có thể có một giải pháp là sử dụng thiết bị khóa liên động có sự khóa bảo vệ được nhả ra khi chu kỳ đã đạt tới một điểm xác định để khởi động lại dễ dàng.

5.2.2. Chức năng chỉnh đặt lại bằng tay

Ngoài các yêu cầu của Bảng 8, cần áp dụng yêu cầu sau:

Sau một lệnh dừng được bắt đầu bởi một bộ phận an toàn, trạng thái dừng phải được duy trì tới khi có các điều kiện an toàn cho khởi động lại.

Việc thiết lập lại chức năng an toàn bằng cách chỉnh đặt lại bộ phận an toàn đã hủy bỏ lệnh dừng. Nếu được chỉ dẫn trong đánh giá rủi ro thì việc xóa bỏ lệnh dừng này phải được xác nhận bằng một tác động bằng tay có chủ định và riêng biệt (chỉnh đặt lại bằng tay). Chức năng chỉnh đặt lại bằng tay phải:

- Được cung cấp thông qua một cơ cấu được vận hành bằng tay và riêng biệt trong bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS),

- Chỉ đạt được nếu tất cả các chức năng an toàn và các thiết bị bảo vệ hoạt động.

- Không khởi xướng chuyển động hoặc tình trạng nguy hiểm bởi chính chức năng chỉnh đặt lại bằng tay này,

- Được thực hiện bằng tác động có chủ định,

- Làm cho hệ thống điều khiển có khả năng chấp nhận một lệnh khởi động riêng biệt,

- Chỉ được chấp nhận bằng nhả khớp (ngắt) cơ cấu tác động khỏi vị trí kích hoạt của nó.

Mức tính năng của các bộ phận liên quan đến an toàn cung cấp chức năng chỉnh đặt lại bằng tay phải được lựa chọn sao cho việc đưa vào chức năng chỉnh đặt lại bằng tay không làm giảm đi mức an toàn yêu cầu của chức năng an toàn có liên quan.

Cơ cấu tác động để chỉnh đặt lại phải được bố trí ngoài vùng nguy hiểm và ở một vị trí an toàn, dễ nhìn thấy để kiểm tra bảo đảm rằng không có người ở trong vùng nguy hiểm.

Khi không nhìn thấy vùng nguy hiểm một cách đầy đủ, cần có một quy trình chỉnh đặt lại đặc biệt.

CHÚ THÍCH: Có một giải pháp nữa là sử dụng một cơ cấu tác động thứ hai để chỉnh đặt lại. Chức năng chỉnh đặt lại được bắt đầu trong vùng nguy hiểm bởi cơ cấu tác động thứ nhất kết hợp với cơ cấu tác động thứ hai để chỉnh đặt lại được bố trí ngoài vùng nguy hiểm (gần thiết bị bảo vệ). Phương pháp chỉnh đặt lại này cần được thực hiện trong một thời gian hạn chế trước khi hệ thống điều khiển nhận một lệnh khởi động riêng biệt.

5.2.3. Chức năng khởi động/ khởi động lại

Ngoài các yêu cầu của Bảng 8, cần áp dụng yêu cầu sau.

Sự khởi động lại chỉ xảy ra một cách tự động nếu không có tình trạng nguy hiểm. Đặc biệt là đối với các thiết bị bảo vệ khóa liên động có một chức năng khởi động, áp dụng TCVN 7383-2:2004 (ISO 12100-2:2003), trong 5.3.2.5. Các yêu cầu này đối với khởi động và khởi động lại phải được áp dụng cho các máy được điều khiển từ xa.

CHÚ THÍCH: Một tín hiệu phản hồi của bộ phận cảm biến đến hệ thống điều khiển có thể bắt đầu sự khởi động lại tự động.

VÍ DỤ: Trong các hoạt động của máy tự động, các tín hiệu phản hồi của bộ cảm biến đến hệ thống điều khiển thường được sử dụng để điều khiển tiến trình công nghệ. Nếu chi tiết gia công rồi ra khỏi vị trí thì tiến trình công nghệ dừng lại. Nếu sự giám sát của thiết bị bảo vệ khóa liên động không cao hơn sự điều khiển quá trình tự động thì có thể có nguy hiểm cho sự khởi động lại máy trong khi người vận hành điều chỉnh lại chi tiết gia công. Do đó không cho phép khởi động lại được điều khiển từ xa tới khi thiết bị bảo vệ được đóng lại và người vận hành rời khỏi vùng nguy hiểm. Sự đóng góp vào sự phòng ngừa khởi động bất ngờ do hệ thống điều khiển cung cấp phụ thuộc vào kết quả của việc đánh giá rủi ro.

5.2.4. Chức năng điều khiển cục bộ

Ngoài các yêu cầu của Bảng 8, cần áp dụng các yêu cầu sau.

Khi một máy được điều khiển cục bộ, ví dụ bằng cơ cấu điều khiển xách tay hoặc treo, phải áp dụng các yêu cầu sau:

- Phương tiện để chọn điều khiển cục bộ phải được bố trí ngoài vùng nguy hiểm;

- Chỉ có thể bắt đầu các tình trạng nguy hiểm bằng sự điều khiển cục bộ trong một vùng do sự đánh giá rủi ro xác định;

- Sự chuyển mạch giữa điều khiển cục bộ và điều khiển chính không được tạo ra tình trạng nguy hiểm.

5.2.5. Chức năng tạm ngừng

Ngoài các yêu cầu của Bảng 8, cần áp dụng yêu cầu sau.

Sự tạm ngừng không được làm cho bất cứ người nào bị phơi ra trước tình trạng nguy hiểm. Trong quá trình tạm ngừng phải có các điều kiện an toàn do các phương tiện khác cung cấp.

Khi kết thúc sự tạm ngừng, phải khôi phục tất cả các chức năng an toàn của các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).

Mức tính năng của các bộ phận liên quan đến an toàn cung cấp chức năng tạm ngừng phải được lựa chọn sao cho sự đưa vào chức năng tạm ngừng không làm suy giảm mức an toàn yêu cầu của chức năng an toàn có liên quan.

CHÚ THÍCH: Trong một số ứng dụng cần có một tín hiệu chỉ báo sự tạm dừng.

5.2.6. Thời gian đáp ứng

Ngoài các yêu cầu của Bảng 9, cần áp dụng yêu cầu sau.

Phải xác định thời gian đáp ứng của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) khi đánh giá rủi ro của SRP/CS chỉ ra rằng yêu cầu này là cần thiết (xem Điều 11).

CHÚ THÍCH: Thời gian đáp ứng của hệ thống điều khiển là một phần của toàn bộ thời gian đáp ứng của máy có thể ảnh hưởng đến thiết kế bộ phận liên quan đến an toàn, ví dụ, sự cần thiết phải cung cấp một hệ thống phanh.

5.2.7. Tham số liên quan đến an toàn

Ngoài các yêu cầu của Bảng 9, cần áp dụng các yêu cầu sau.

Khi các tham số liên quan đến an toàn ví dụ như vị trí, tốc độ, nhiệt độ hoặc áp suất, sai lệch so với các giới hạn hiện thời thì hệ thống điều khiển phải bắt đầu các biện pháp thích hợp (ví dụ, tác động dừng, tín hiệu cảnh báo, báo động).

Nếu các sai sót trong việc nhập vào bằng tay các dữ liệu liên quan đến an toàn trong các hệ thống điện tử lập trình có thể dẫn đến một tình trạng nguy hiểm thì phải có một hệ thống kiểm tra dữ liệu trong hệ thống điều khiển liên quan đến an toàn, ví dụ, kiểm các giới hạn, các giá trị nhập định dạng và/hoặc logic.

5.2.8. Độ dao động, tổn thất và phục hồi các nguồn năng lượng

Ngoài các yêu cầu của Bảng 9, cần áp dụng yêu cầu sau.

Khi xảy ra độ dao động trong các mức năng lượng vượt ra ngoài phạm vi thiết kế cho vận hành, bao gồm cả tổn thất của sự cung cấp năng lượng thì bộ phận an toàn của hệ thống điều khiển (SRP/CS) phải tiếp tục cung cấp hoặc bắt đầu tín hiệu xuất để có thể duy trì các bộ phận khác của hệ thống máy ở trạng thái an toàn.

6. Các loại và quan hệ của chúng đến MTTF_d của mỗi kênh, DC_avg và CCF

6.1. Qui định chung

Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) phải theo các yêu cầu của một hoặc nhiều loại trong năm loại được qui định trong 6.2.

Các loại là các tham số cơ bản dùng để đạt được mức tính năng (PL) riêng. Chúng biểu thị trạng thái yêu cầu của SRP/CS về khả năng chống lại các lỗi dựa trên xem xét thiết kế được mô  tả trong Điều 4.

Loại B là loại cơ bản. Sự xuất hiện của một lỗi có thể dẫn đến sự mất chức năng an toàn. Trong loại 1 đã được cải tiến, khả năng chống lại các lỗi phần lớn đạt được bằng cách lựa chọn và ứng dụng các bộ phận. Trong các loại 2, 3 và 4, tính năng đã được cải tiến đối với một chức năng an toàn qui định phần lớn đạt được bằng cách cải tiến cấu trúc của SRP/CS. Trong loại 2, yêu cầu này qui định bằng việc kiểm tra định kỳ để bảo đảm rằng chức năng an toàn qui định đang được thực hiện. Trong các loại 3 và 4, yêu cầu này được qui định bằng việc bảo đảm rằng một lỗi sẽ không dẫn đến làm mất chức năng an toàn. Trong loại 4 và trong cả loại 3 khi thấy thích hợp, các lỗi này sẽ được phát hiện. Trong loại 4, khả năng chống lại sự tích lũy các lỗi sẽ được qui định. Bảng 10 đưa ra sự mô tả ngắn gọn các loại SRP/CS, các yêu cầu và trạng thái của hệ thống trong trường hợp có lỗi.

Khi xem xét các nguyên nhân của hư hỏng trong một số bộ phận, có thể loại trừ một số lỗi (xem Điều 7).

Sự lựa chọn một loại cho một SRP/CS cụ thể phụ thuộc chủ yếu vào:

- Sự giảm rủi ro đạt được bằng chức năng an toàn mà bộ phận này đã đóng góp;

- Mức tính năng yêu cầu (PL_r);

- Các công nghệ sử dụng;

- Sự tăng lên của rủi ro trong trường hợp có một lỗi trong bộ phận

- Các khả năng tránh lỗi trong bộ phận (các lỗi có hệ thống);

- Xác suất xảy ra lỗi trong bộ phận và các tham số có liên quan;

- Thời gian trung bình tới khi hư hỏng nguy hiểm (MTTF_d);

- Vùng chẩn đoán (DC) và

- Lỗi do nguyên nhân chung (CCF) trong trường hợp của các loại 2, 3 và 4.

6.2. Đặc tính kỹ thuật của các loại

6.2.1. Qui định chung

Mỗi bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) phải tuân theo các yêu cầu của loại có liên quan, xem 6.2.3 đến 6.2.7.

Các cấu trúc sau đáp ứng các yêu cầu của loại tương ứng.

Các Hình vẽ sau không phải là các ví dụ nhưng chỉ ra các cấu trúc chung. Thường có thể có sai lệch so với các cấu trúc này, nhưng bất cứ sai lệch nào cũng phải được chứng minh bằng các công cụ phân tích thích hợp (ví dụ, mô hình Markov, phân tích lỗi dạng cây) sao cho hệ thống đáp ứng mức tính năng yêu cầu (PL_r).

Các cấu trúc được thiết kế không thể chỉ được xem như các sơ đồ mạch nhưng có thể được xem như các sơ đồ logic. Đối với các loại 3 và 4, điều này có ý nghĩa là không phải tất cả các bộ phận đều cần phải được làm dư thừa nhưng phải có các biện pháp làm dư thừa để bảo đảm rằng một lỗi không thể dẫn đến việc làm mất chức năng an toàn.

Các đường và mũi tên trên Hình từ 8 đến Hình 12 biểu thị các phương tiện nối và các phương tiện chuẩn đoán logic.

6.2.2. Cấu trúc thiết kế

Cấu trúc của một SRP/CS là một đặc trưng chủ chốt có ảnh hưởng lớn đến PL. Dẫu rằng tính đa dạng của các cấu trúc có thể là khá cao nhưng các khái niệm cơ bản thường là giống nhau. Vì vậy, hầu hết các cấu trúc có mặt trong lĩnh vực máy móc có thể được vẽ sơ đồ cho một trong các loại. Đối với mỗi loại, cách trình bày điển hình là vẽ sơ đồ khối liên quan đến an toàn. Các sơ đồ này được gọi là các cấu trúc thiết kế và được đưa vào nội dung văn bản của mỗi loại trong các loại sau.

Điều quan trọng là PL chỉ ra trên Hình 5, phụ thuộc vào loại, MTTF_d của mỗi kênh và DC_avg được dựa trên các cấu trúc thiết kế. Nếu sử dụng Hình 5 để dự tính PL thì cấu trúc của SRP/CS nên được thể hiện tương đương với cấu trúc thiết kế loại được yêu cầu. Các thiết kế đáp ứng được các đặc tính của loại tương ứng thường là tương đương với cấu trúc thiết kế tương ứng của loại.

CHÚ THÍCH: Trong một số trường hợp xuất hiện từ một giải pháp kỹ thuật riêng hoặc được xác định bởi một tiêu chuẩn loại C thì chất lượng liên quan đến an toàn của SRP/CS chỉ có thể được yêu cầu bởi một loại không có PL_r bổ sung. Đối với các trường hợp riêng này, an toàn được cung cấp một cách đặc biệt bằng cấu trúc và không áp dụng các yêu cầu đối với MTTF, DC, CCF.

6.2.3. Loại B

SRP/CS tối thiểu phải được thiết kế, cấu trúc, lựa chọn, lắp ráp và phối hợp theo các tiêu chuẩn có liên quan và sử dụng các nguyên tắc an toàn cơ bản cho ứng dụng riêng để chịu được:

- Các ứng suất làm việc yêu cầu, ví dụ, độ tin cậy về khả năng và tần suất ngắt mạch;

- Ảnh hưởng của vật liệu được gia công, ví dụ, các chất tẩy rửa trong máy giặt, và

- Các ảnh hưởng bên ngoài khác có liên quan, ví dụ, rung cơ học, nhiễu điện tử, sự gián đoạn hoặc nhiễu loạn trong cung cấp năng lượng hoặc điện năng.

Không có vùng chẩn đoán (DC_avg = không) trong các hệ thống loại B và MTTF_d của mỗi kênh có thể ở dưới mức trung bình. Trong các cấu trúc này (thường là các hệ thống một kênh) không xem xét đến lỗi do nguyên nhân chung (CCF).

Giá trị lớn nhất của PL đạt được với loại B là PL = b.

CHÚ THÍCH: Khi xảy ra một lỗi thì nó có thể dẫn đến việc mất đi chức năng an toàn.

Các yêu cầu riêng đối với tính tương thích điện từ được cho trong các tiêu chuẩn sản phẩm có liên quan, ví dụ, IEC 61800-3 dùng cho các hệ thống dẫn động điện năng. Đối với an toàn chức năng của SRP/CS, đặc biệt là các yêu cầu về sự không bị ảnh hưởng là có liên quan. Nếu không có tiêu chuẩn sản phẩm thì ít nhất là nên tuân theo các yêu cầu về sự không bị ảnh hưởng của IEC 61000-6-2.

CHÚ DẪN

i_m phương tiện nối

l thiết bị nhập, ví dụ, cảm biến

L logic

O thiết bị xuất, ví dụ công tắc tơ chính

Hình 8 – Cấu trúc thiết kế đối với loại B

6.2.4. Loại 1

Đối với loại 1, phải áp dụng các yêu cầu tương tự như các yêu cầu theo 6.2.3 đối với loại B. Ngoài ra phải áp dụng yêu cầu sau.

Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) của loại 1 phải được thiết kế và cấu trúc khi sử dụng các bộ phận và các nguyên tắc an toàn đã quen và đáng tin cậy [xem TCVN 7384-2 (ISO 13849-2)].

Một “bộ phận đã quen và đáng tin cậy” đối với một ứng dụng liên quan đến an toàn là một bộ phận:

a) Đã được sử dụng rộng rãi trong quá khứ có kết quả tốt trong các ứng dụng tương tự, hoặc

b) Được chế tạo và kiểm tra khi sử dụng các nguyên tắc chứng minh được sự thích hợp và độ tin cậy của nó đối với các ứng dụng liên quan đến an toàn.

Các bộ phận và nguyên tắc an toàn mới phát triển có thể được xem là tương đương với các “bộ phận đã quen và đáng tin cậy” nếu chúng đáp ứng được các điều kiện b).

Việc quyết định chấp nhận một bộ phận cụ thể là “bộ phận đã quen và đáng tin cậy” phụ thuộc vào ứng dụng.

CHÚ THÍCH 1: Các bộ phận điện tử phức hợp (ví dụ, PLC, bộ vi xử lý, mạch tích hợp ứng dụng riêng không thể được xem là tương đương với “bộ phận đã quen và đáng tin cậy”.

Thời gian trung bình tới khi hư hỏng nguy hiểm (MTTF_d) của mỗi kênh phải cao.

Giá trị lớn nhất của PL đạt được với loại 1 là PL = c.

CHÚ THÍCH 2: Không có vùng chẩn đoán (DC_avg = không) trong các hệ thống loại 1. Trong các cấu trúc này (các hệ thống một kênh) không xem xét đến lỗi do nguyên nhân chung (CCF).

CHÚ THÍCH 3: Khi xảy ra một lỗi thì nó có thể dẫn đến việc mất đi chức năng an toàn. Tuy nhiên, MTTF_d của mỗi kênh trong loại 1 cao hơn trong loại B. Do đó, sự mất đi chức năng an toàn rất có thể ít đi.

Điều quan trọng là phải có sự phân biệt rõ ràng giữa “bộ phận đã quen và đáng tin cậy” và “sự ngăn chặn lỗi” (xem Điều 7). Phẩm chất của một bộ phận được xem là đã quen và đáng tin cậy phụ thuộc vào ứng dụng của nó. Ví dụ, một công tắc vị trí có các tiếp điểm mở cưỡng bức có thể được xem là đã quen và đáng tin cậy đối với một máy công cụ, trong khi đồng thời là không thích hợp cho ứng dụng trong công nghiệp thực phẩm – trong công nghiệp sữa chẳng hạn, công tắc này sẽ bị phá hủy bởi axit của sữa sau một ít tháng. Sự ngăn chặn lỗi có thể dẫn đến một giá trị PL rất cao nhưng cần áp dụng các biện pháp thích hợp để cho phép sự ngăn chặn lỗi này trong toàn bộ tuổi thọ của thiết bị. Để bảo đảm yêu cầu này, có thể cần đến các biện pháp bổ sung bên ngoài hệ thống điều khiển. Trong trường hợp một công tắc vị trí, một số vị trí về các loại biện pháp này là:

- Phương pháp để cố định chắc chắn công tắc sau khi điều chỉnh;

- Phương tiện để cố định chắc chắn cam;

- Phương tiện để bảo đảm độ ổn định ngang của cam;

- Phương tiện để tránh hành trình quá đà của công tắc vị trí, ví dụ, độ bền lắp ráp thích hợp của bộ giảm xóc và bất cứ cơ cấu chỉnh thẳng hàng nào, và

- Phương tiện bảo vệ chống hư hỏng từ bên ngoài.

CHÚ DẪN:

i_m phương tiện nối

l thiết bị nhập, ví dụ, cảm biến

L logic

O thiết bị xuất, ví dụ công tắc tơ chính

Hình 9 – Cấu trúc lựa chọn đối với loại 1

6.2.5. Loại 2

Đối với loại 2, phải áp dụng các yêu cầu tương tự như các yêu cầu theo 6.2.3 đối với loại B. Phải tuân theo các “nguyên tắc an toàn đã quen và đáng tin cậy” theo 6.2.4. Ngoài ra cần áp dụng yêu cầu sau.

Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) loại 2 phải được thiết kế sao cho chức năng của nó được kiểm tra ở các khoảng thời gian thích hợp bằng hệ thống điều khiển của máy. Phải thực hiện việc kiểm tra chức năng an toàn:

- Lúc khởi động máy, và

- Trước khi bắt đầu bất cứ tình trạng nguy hiểm nào, ví dụ, khởi động một chu kỳ mới, khởi động các chuyển động khác, và/hoặc theo định kỳ quá trình hoạt động (vận hành) chỉ ra rằng việc kiểm tra này là cần thiết.

Sự bắt đầu của phép kiểm tra này có thể là tự động. Bất cứ phép kiểm tra chức năng an toàn nào cũng phải:

- Cho phép hoạt động nếu không phát hiện được lỗi, hoặc

- Tạo ra một tín hiệu xuất để bắt đầu tác động điều khiển thích hợp, nếu phát hiện ra một lỗi.

Nếu có thể, tín hiệu xuất này phải bắt đầu một trạng thái an toàn. Trạng thái an toàn này phải được duy trì tới khi xảy ra lỗi. Khi không thể bắt đầu một trạng thái an toàn, (ví dụ, hàn tiếp điểm trong cơ cấu chuyển mạch dừng) thì tín hiệu xuất phải đưa ra sự cảnh báo nguy hiểm.

Đối với cấu trúc lựa chọn loại 2 như đã chỉ ra trên Hình 10, việc tính toán MTTF_d và DC_avg chỉ cần tính đến các khối của kênh chức năng (nghĩa là I, L và O trên Hình 10) và không tính đến các khối của kênh thử nghiệm (nghĩa là TE và TTE trên Hình 10).

Vùng chẩn đoán (DC_avg) của tổng SRP/CS bao gồm sự phát hiện lỗi phải thấp. MTTF_d của mỗi kênh phải là thấp – đến – cao tùy thuộc vào mức tính năng yêu cầu (PL_r). Phải áp dụng các biện pháp tránh lỗi do nguyên nhân chung (CCF) (xem Phụ lục F).

Bản thân phép kiểm tra không được dẫn đến tình trạng nguy hiểm (ví dụ do sự tăng lên của thời gian đáp ứng). Thiết bị kiểm tra có thể gắn liền hoặc tách rời khỏi bộ phận liên quan đến an toàn cung cấp chức năng an toàn.

Giá trị lớn nhất của PL đạt được với loại 2 là PL = d.

CHÚ THÍCH 1: Loại 2 không áp dụng được trong một số trường hợp bởi vì không thể áp dụng phép kiểm tra chức năng an toàn cho tất cả các bộ phận.

CHÚ THÍCH 2: Trạng thái của hệ thống loại 2 không cho phép.

- Xảy ra một lỗi có thể dẫn đến việc mất đi chức năng an toàn giữa các kiểm tra;

- Mất chức năng an toàn được phát hiện bằng kiểm tra.

CHÚ THÍCH 3: Nguyên tắc dùng cho phê duyệt một chức năng loại 2 là các điều kiện kỹ thuật được chấp nhận, và, ví dụ việc lựa chọn tần suất kiểm tra có thể làm giảm xác suất xảy ra một tình trạng nguy hiểm.

Các nét đứt biểu thị sự phát hiện lỗi thực tế một cách hợp lý.

CHÚ DẪN:

I_m phương tiện nối

l thiết bị nhập, ví dụ, cảm biến

L logic

m giám sát

O thiết bị xuất, ví dụ, công tắc tơ chính

TE thiết bị thử

OTE thiết bị xuất của TE

Hình 10 – Cấu trúc lựa chọn đối với loại 2

6.2.6. Loại 3

Đối với loại 3, phải áp dụng các yêu cầu tương tự như các yêu cầu theo 6.2.3 đối với loại B. Phải tuân theo các “nguyên tắc an toàn đã quen và đáng tin cậy” theo 6.2.4. Ngoài ra cần áp dụng yêu cầu sau.

Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) loại 3 phải được thiết kế sao cho chỉ một lỗi trong bất cứ bộ phận nào cũng không dẫn đến việc mất đi chức năng an toàn. Bất cứ khi nào có thể thực hiện được thì lỗi tách biệt phải được phát hiện tại lúc hoặc trước khi có yêu cầu tiếp sau đối với chức năng an toàn.

Vùng chẩn đoán (DC_avg) của tổng SRP/CS bao gồm sự phát hiện lỗi phải thấp, MTTF_­d của mỗi một trong các kênh dư thừa phải là thấp – đến – cao tùy thuộc vào mức tính năng yêu cầu (PL_r). Phải áp dụng các biện pháp tránh lỗi do nguyên nhân chung (CCF) (xem Phụ lục F).

CHÚ THÍCH 1: Yêu cầu của việc phát hiện lỗi tách biệt không có nghĩa là tất cả các lỗi sẽ được phát hiện. Do đó, sự tích tụ các lỗi không được phát hiện có thể dẫn đến tín hiệu xuất không theo dự định và tình trạng khả thi để phát hiện lỗi là sử dụng liên hệ ngược (hồi tiếp) của các tiếp xúc rơ le được dẫn hướng cơ khí và giám sát công suất điện dư thừa.

CHÚ THÍCH 2: Nếu cần thiết, vì lý do công nghệ và ứng dụng, người biên soạn tiêu chuẩn loại C cần đưa ra thêm các nội dung chi tiết về việc phát hiện lỗi.

CHÚ THÍCH 3: Trạng thái của hệ thống loại 3 cho phép

- Khi xảy ra chỉ một lỗi, chức năng an toàn luôn được đảm bảo;

- Sẽ phát hiện được một số lỗi nhưng không phải tất cả các lỗi;

- Sự tích tụ của các lỗi không được phát hiện có thể dẫn đến việc làm mất đi chức năng an toàn.

CHÚ THÍCH 4: Công nghệ sử dụng ảnh hưởng đến khả năng thực hiện sự phát hiện ra lỗi.

Các đường nét đứt biểu thị sự phát hiện lỗi thực tế một cách hợp lý.

CHÚ DẪN:

i_m phương tiện nối

C giám sát chéo

I1, I2 thiết bị nhập, ví dụ, cảm biến

L1, L2 logic

m giám sát

O1, O2 thiết bị xuất, ví dụ, công tắc tơ chính

Hình 11 – Cấu trúc lựa chọn đối với loại 3

6.2.7. Loại 4

Đối với loại 4, phải áp dụng các yêu cầu tương tự như các yêu cầu theo 6.2.3 đối với loại B phải tuân theo các “nguyên tắc an toàn đã quen và đáng tin cậy” theo 6.2.4. Ngoài ra cần áp dụng yêu cầu sau.

Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) loại 4 phải được thiết kế sao cho:

- Một lỗi tách biệt trong bất cứ bộ phận liên quan đến an toàn nào cũng không dẫn đến việc mất đi chức năng an toàn, và

- Lỗi tách biệt được phát hiện tại lúc hoặc trước khi có yêu cầu tiếp sau đối với chức năng an toàn, ví dụ, ngay khi đóng mạch hoặc lúc kết thúc chu trình vận hành của máy.

Nhưng nếu việc phát hiện này không thực hiện được thì sự tích tụ của các lỗi không được phát hiện không được dẫn đến việc làm mất đi chức năng an toàn.

Vùng chẩn đoán (DC_avg) của tổng SRP/CS phải cao, bao gồm sự tích tụ của các lỗi. MTTF_d của mỗi một trong các kênh dư thừa phải cao. Phải áp dụng các biện pháp tránh lỗi do nguyên nhân chung (CCF) (xem Phụ lục F).

CHÚ THÍCH 1: Trạng thái của hệ thống loại 4 cho phép.

- Khi xảy ra chỉ một lỗi, chức năng an toàn luôn được đảm bảo;

- Các lỗi sẽ được phát hiện kịp thời để ngăn ngừa sự mất đi chức năng an toàn;

- Tính đến sự tích tụ của các lỗi không được phát hiện.

CHÚ THÍCH 2: Sự khác nhau giữa loại 3 và loại 4 và DC_avg cao hơn trong loại 4 và MTTF_d yêu cầu của mỗi kênh chỉ có “cao”.

Trong thực tế, có thể phải xem xét đến một tổ hợp lỗi của hai lỗi.

Các đường nét liền cho giám sát biểu thị vùng chẩn đoán cao hơn trong cấu trúc lựa chọn đối với loại 3.

CHÚ DẪN.

i_m phương tiện nối

C giám sát ngang

I1, I2 thiết bị nhập, ví dụ, cảm biến

L1, L2 logic

m giám sát

O1, O2 thiết bị xuất, ví dụ, công tắc tơ chính

Hình 12 – Cấu trúc lựa chọn đối với loại 4

Bảng 10 – Tóm tắt các yêu cầu đối với các loại

Loại	Tóm tắt các yêu cầu	Trạng thái của hệ thống	Nguyên tắc sử dụng để đạt được an toàn	MTTFd của mỗi kênh	DCavg	CCF
B (xem 6.2.3)	SRP/CS và/hoặc thiết bị bảo vệ cũng như các phần cấu thành của chúng phải được thiết kế, cấu trúc, lựa chọn, lắp ráp và phối hợp theo các tiêu chuẩn có liên quan để chúng chịu được ảnh hưởng yêu cầu. Phải sử dụng các nguyên tắc an toàn cơ bản	Sự xảy ra một lỗi có thể dẫn đến việc làm mất đi chức năng an toàn	Được đặc trưng chủ yếu bằng lựa chọn các bộ phận	Thấp đến trung bình	Không	Không có liên quan
1 (xem 6.2.4)	Phải áp dụng các yêu cầu của B. Phải sử dụng các bộ phận và nguyên tắc đã quen và đáng tin cậy	Sự xảy ra một lỗi có thể dẫn đến việc làm mất đi chức năng an toàn, nhưng xác suất xuất hiện thấp hơn đối với loại B	Được đặc trưng chủ yếu bằng lựa chọn các bộ phận	Cao	Không	Không có liên quan
2 (xem 6.2.5)	Phải áp dụng các yêu cầu của B. và sử dụng các nguyên tắc an toàn đã quen và đáng tin cậy. Phải kiểm tra chức năng an toàn ở các khoảng thời gian thích hợp bằng hệ thống kiểm tra của máy	Sự xảy ra một lỗi có thể dẫn đến việc làm mất đi chức năng an toàn giữa các phép kiểm tra. Sự mất đi chức năng an toàn được phát hiện bằng kiểm tra	Được đặc trưng chủ yếu bằng cấu trúc	Thấp đến cao	Thấp đến trung bình	Xem Phụ lục F
3 (xem 6.2.5)	Phải áp dụng các yêu cầu của B và sử dụng các nguyên tắc an toàn đã quen và đáng tin cậy. Các bộ phận liên quan đến an toàn phải được thiết kế để - Một lỗi tách biệt trong bất cứ bộ phận nào cũng không dẫn đến việc làm mất đi chức năng an toàn, và - Bất cứ khi nào có thể thực hiện được thì lỗi tách biệt cần được phát hiện	Khi xảy ra một lỗi tách biệt thì chức năng an toàn luôn được đảm bảo	Được đặc trưng chủ yếu bằng cấu trúc	Thấp đến cao	Thấp đến trung bình	Xem Phụ lục F
4 (xem 6.2.7)	Phải áp dụng các yêu cầu của B và sử dụng các nguyên tắc an toàn đã quen và đáng tin cậy. Các bộ phận liên quan đến an toàn phải được thiết kế để - Một lỗi tách biệt trong bất cứ bộ phận nào cũng không dẫn đến việc làm mất đi chức năng an toàn, và - Lỗi tách biệt được phát hiện tại lúc hoặc trước khi có yêu cầu tiếp theo đối với chức năng an toàn, nhưng nếu sự phát hiện này không thể thực hiện được thì sự tích tụ các lỗi không được phát hiện không được dẫn đến việc làm mất đi chức năng an toàn	Khi xảy ra một lỗi tách biệt thì chức năng an toàn luôn được đảm bảo. Sự phát hiện ra các lỗi tích tụ làm giảm xác suất của sự mất đi chức năng an toàn (DC cao). Các lỗi sẽ được phát hiện kịp thời để ngăn ngừa sự mất đi của chức năng an toàn	Được đặc trưng chủ yếu bằng cấu trúc	Cao	Cao bao gồm sự tích tụ các lỗi	Xem Phụ lục F
CHÚ THÍCH: Đối với các yêu cầu đầy đủ, xem Điều 6

6.3. Tổ hợp của các SRP/CS để đạt được mức tính năng (PL) toàn bộ

Một chức năng an toàn có thể được thực hiện bởi một tổ hợp nhiều bộ phận liên quan đến an toàn (SRP/CS): hệ thống nhập, thiết bị xử lý tín hiệu, hệ thống xuất. Các SRP/CS này có thể được gán cho một và/hoặc các loại khác nhau. Đối với mỗi SRP/CS được sử dụng, phải lựa chọn một loại theo 6.2. Đối với tổ hợp chung của các SRP/CS này, có thể xác định PL toàn bộ bằng Bảng 11. Trong trường hợp này cần có sự phê duyệt tổ hợp của các SRP/CS (xem Hình 3).

Theo 6.2, các bộ phận liên quan đến an toàn được tổ hợp lại của một hệ thống điều khiển khởi động ở các điểm tại đó các tín hiệu liên quan đến an toàn được bắt đầu và kết thúc tại đầu ra của các phần tử điều khiển công suất. Nhưng các SRP/CS được tổ hợp có thể bao gồm nhiều bộ phận được nối theo một đường thẳng (xếp hàng nối tiếp) hoặc theo cách dư thừa (xếp hàng song song). Để tránh sự dự đoán phức tạp mới đối với mức tính năng (PL) đạt được bởi các SRP/CS được tổ hợp ở đó các PL riêng biệt đã được tính toán sẵn, cần thực hiện các dự tính sau cho sự xếp hàng nối tiếp của SRP/CS. Giả sử N là các SRP/CS_i riêng biệt trong sự xếp hàng nối tiếp và được xem như một tổ hợp tạo thành một chức năng an toàn. Đối với mỗi SRP/CS, một PL­_I đã được ước lượng. Tình trạng này được minh họa trên Hình 13 (xem Hình 4 và Hình 2).

Hình 13 - Tổ hợp của SRP/CS để đạt được PL toàn bộ

Phương pháp sau cho phép tính toán PL của toàn bộ các SRP/CS đã được tổ hợp để tạo thành chức năng an toàn:

a) Nhận biết PL_i thấp nhất: đó là PL_low

b) Nhận biết số N_low ≤ N của SRP/CS_i, với PL_i = PL_low

c) Tra PL trong Bảng 11.

Bảng 11 – Tính toán PL đối với sự chỉnh hàng nối tiếp của các SRP/CS

PLlow	Nlow	=>	PL
a	> 3	=>	Không, không cho phép
	≤ 3	=>	a
b	> 2	=>	a
	≤ 2	=>	b
c	> 2	=>	b
	≤ 2	=>	c
d	> 3	=>	c
	≤ 3	=>	d
e	> 3	=>	d
	≤ 3	=>	e
CHÚ THÍCH: Các giá trị được tính toán cho việc kiểm tra bảng này dựa trên các giá trị độ tin cậy tại điểm giữa của mỗi PL.

7. Xem xét lỗi, ngăn chặn lỗi

7.1. Qui định chung

Theo loại được lựa chọn, phải thiết kế các bộ phận liên quan đến an toàn để đạt được mức tính năng yêu cầu (PL_r). Khả năng tránh được lỗi phải được đánh giá.

7.2. Xem xét lỗi

TCVN 7384-2 (ISO 13849-2) liệt kê các lỗi quan trọng và hư hỏng đối với các công nghệ khác nhau. Bản kê của các lỗi là không thể thiếu được và nếu cần, phải xem xét và liệt kê các lỗi bổ sung. Trong những trường hợp này, phương pháp ước lượng cũng nên được thảo luận rõ ràng. Đối với các bộ phận mới không được nêu trong TCVN 7384-2 (ISO 13849-2), phải thực hiện một dạng hư hỏng và phân tích các ảnh hưởng (FMEA, xem IEC 60812) để xác lập các lỗi cần được xem xét đối với các bộ phận này.

Thông thường, phải tính đến các chuẩn cứ sau của lỗi:

- Nếu do hậu quả của một lỗi, các bộ phận sẽ hư hỏng thêm thì lỗi đầu tiên cùng tất cả các lỗi theo sau phải được xem là chỉ một lỗi (lỗi đơn);

- Hai hoặc nhiều lỗi tách biệt có một nguyên nhân chung phải được xem như chỉ một lỗi (lỗi đơn) (như đã biết là CCF);

- Sự xảy ra đồng thời của hai hoặc nhiều lỗi có các nguyên nhân riêng biệt được xem là rất có thể không chắc đã đúng và do đó không cần phải xem xét.

7.3. Ngăn chặn lỗi

Thông thường không có thể ước lượng các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) mà không giả thiết rằng có thể ngăn chặn một số lỗi. Để có thông tin chi tiết hơn về sự ngăn chặn lỗi, xem TCVN 7384-2 (ISO 13849-2).

Ngăn chặn lỗi là một sự thỏa hiệp giữa các yêu cầu kỹ thuật an toàn và khả năng lý thuyết xảy ra một lỗi.

Sự ngăn chặn lỗi có thể dựa trên:

- Sự không chắc xảy ra về mặt kỹ thuật đối với một số lỗi;

- Kinh nghiệm về mặt kỹ thuật thường được chấp nhận, không phụ thuộc vào ứng dụng được xem xét, và

- Các yêu cầu kỹ thuật có liên quan đến ứng dụng và mối nguy hiểm riêng.

Nếu các lỗi được ngăn chặn thì phải đưa ra sự biện luận tỷ mỷ trong tài liệu kỹ thuật.

8. Phê duyệt

Thiết kế của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) phải được phê duyệt (xem Hình 3). Việc phê duyệt phải chứng minh rằng tổ hợp của các SRP/CS cung cấp mỗi chức năng an toàn đáp ứng được tất cả các yêu cầu có liên quan đến tiêu chuẩn này.

Đối với các nội dung chi tiết của phê duyệt, xem TCVN 7384-2 (ISO 13849-2).

9. Bảo dưỡng

Có thể cần phải bảo dưỡng dự phòng hoặc bảo dưỡng sửa chữa để duy trì tính năng làm việc quy định của các bộ phận liên quan đến an toàn. Các sai lệch về thời gian so với tính năng làm việc qui định có thể dẫn đến sự suy giảm về an toàn hoặc thậm chí dẫn đến tình trạng nguy hiểm. Thông tin cho sử dụng của SRP/CS phải bao gồm các hướng dẫn về bảo dưỡng (bao gồm cả kiểm tra định kỳ) của các SRP/CS.

Các qui định về bảo dưỡng các bộ phận liên quan đến an toàn của một hệ thống điều khiển phải tuân theo các nguyên tắc cho trong 4.7, TCVN 7383-2. Tất cả các thông tin về bảo dưỡng phải tuân theo TCVN 7383-2, trong 6.5.1 e).

10. Cung cấp tài liệu kỹ thuật

Khi thiết kế một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS), người thiết kế phải cung cấp tư liệu ít nhất là về các thông tin sau đối với bộ phận liên quan đến an toàn:

- Chức năng an toàn do SRP/CS cung cấp;

- Đặc tính của mỗi chức năng an toàn;

- Các điểm chính xác tại đó bộ phận liên quan đến an toàn bắt đầu (khởi động) và kết thúc;

- Điều kiện môi trường;

- Mức tính năng (PL);

- Loại hoặc các loại được lựa chọn;

- Các tham số liên quan đến độ tin cậy (MTTF_d, DC, CCF và thời gian làm việc);

- Các biện pháp tránh các hư hỏng có hệ thống;

- Công nghệ hoặc các công nghệ được sử dụng;

- Tất cả các lỗi liên quan đến an toàn được xem xét;

- Biện luận hoặc giải thích về sự ngăn chặn lỗi [xem TCVN 7384-2 (ISO 13849-2)];

- Lý do cơ bản của thiết kế (ví dụ, các lỗi được xem xét, các lỗi được ngăn chặn);

- Tài liệu phần mềm;

- Các biện pháp chống sử dụng sai hợp lý thấy trước.

CHÚ THÍCH: Thông thường việc cung cấp các tài liệu này được xem là mục đích nội tại của nhà sản xuất và sẽ không được phân cho người sử dụng máy.

11. Thông tin cho sử dụng

Phải áp dụng các nguyên tắc của TCVN 7383-2:2004 (ISO 12100-2:2003), trong 6.5.2 và các phần áp dụng được của các tài liệu có liên quan (ví dụ, IEC 60204-1:2005, Điều 17). Đặc biệt là phải cung cấp cho người sử dụng thông tin quan trọng về sử dụng an toàn các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS). Thông tin này ít nhất phải bao gồm:

- Các giới hạn của các bộ phận liên quan đến an toàn cho các loại được lựa chọn và bất cứ sự ngăn chặn lỗi nào;

- Các giới hạn của các SRP/CS và bất cứ sự ngăn chặn lỗi nào (xem 7.3), khi được dùng chủ yếu để duy trì loại hoặc các loại đã lựa chọn và đặc tính an toàn thì phải đưa ra thông tin thích hợp (ví dụ, để cải tiến, bảo dưỡng và sửa chữa) để bảo đảm sự biện minh cho việc ngăn chặn lỗi;

- Các ảnh hưởng của sai lệch so với tính năng làm việc qui định về chức năng an toàn;

- Mô tả rõ ràng các giao diện của SRP/CS và thiết bị bảo vệ;

- Thời gian đáp ứng;

- Các giới hạn cho hoạt động (bao gồm cả điều kiện môi trường);

- Các chỉ báo và báo động (cảnh báo);

- Sự tạm ngưng và đình chỉ các chức năng an toàn;

- Các chế độ điều khiển;

- Bảo dưỡng (xem Điều 9);

- Bản kê kiểm tra bảo dưỡng;

- Dễ dàng tiếp cận và thay thế các chi tiết bên trong;

- Các biện pháp khắc phục (xử lý) trục trặc dễ dàng và an toàn;

- Thông tin giải thích các ứng dụng cho sử dụng liên quan đến loại được viện dẫn;

- Các khoảng thời gian thử nghiệm kiểm tra có liên quan.

Phải cung cấp thông tin riêng về loại hoặc các loại và mức tính năng (PL) của các SRP/CS như sau:

- Tham chiếu tiêu chuẩn này của TCVN 7384 (ISO 13849), [ví dụ “TCVN 7384-1:2010 (ISO 13849-1:2006)”];

- Loại, B,1,2,3 hoặc 4;

- Mức tính năng, a, b, c, d, hoặc e.

VÍ DỤ: Một SRP/CS theo phiên bản này của TCVN 7384-1 (ISO 13849-1), loại B và mức tính năng a có thể được viện dẫn như sau:

TCVN 7384-1:2010 (ISO 13849-1:2006), Loại B PL a.

 

PHỤ LỤC A

(Tham khảo)

XÁC ĐỊNH MỨC TÍNH NĂNG YÊU CẦU (PL_r)

A.1. Lựa chọn PL_r

Phụ lục này đề cập đến sự đóng góp vào việc giảm rủi ro được thực hiện bởi các bộ phận liên quan đến an toàn của hệ thống điều khiển đang được xem xét. Phương pháp đưa ra ở đây chỉ cung cấp sự dự tính về giảm rủi ro và được dùng như hướng dẫn cho người thiết kế và người biên soạn tiêu chuẩn trong việc xác định PL_r đối với mỗi chức năng an toàn cần thiết do bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) thực hiện.

Việc đánh giá rủi ro thừa nhận một tình trạng trước khi cung cấp chức năng an toàn dự định sử dụng. Có thể tính đến việc giảm rủi ro bằng các biện pháp kỹ thuật khác không phụ thuộc vào hệ thống điều khiển (ví dụ, các bộ phận bảo vệ cơ khí), hoặc các chức năng an toàn bổ sung khi xác định PL_r của chức năng an toàn dự định sử dụng, trong trường hợp như vậy, có thể chọn điểm bắt đầu của Hình A.1 sau khi thực hiện các biện pháp này (xem Hình 2). Tính nghiêm trọng của thương tích (được biểu thị bởi S) sẽ khá dễ dàng cho dự tính (ví dụ, sự xé rách, sự cắt cụt, chết người). Đối với tần suất xảy ra thương tích, sử dụng các tham số phụ để cải thiện sự dự tính. Các tham số này là:

- Tần suất và thời gian phơi ra trước mối nguy hiểm (F), và

- Khả năng tránh nguy hiểm hoặc hạn chế tổn hại (P).

Kinh nghiệm chỉ ra rằng các tham số này có thể được kết hợp lại, như trên Hình A.1, để đưa ra sự phân cấp rủi ro từ thấp đến cao. Cần nhấn mạnh rằng đây là một quá trình định tính chỉ đưa ra sự dự tính rủi ro.

A.2. Hướng dẫn lựa chọn các tham số S, F và P cho dự tính rủi ro

A.2.1. Tính nghiêm trọng của thương tích S1 và S2

Trong việc dự tính rủi ro xuất hiện từ một hư hỏng của một chức năng an toàn thì chỉ quan tâm đến các thương tích nhẹ (thường có thể chữa khỏi được) và các thương tích nghiêm trọng (thường không thể chữa khỏi được) và chết người.

Để có quyết định, nên tính đến hậu quả của các vụ tai nạn và các quá trình chữa lành thương tích thông thường khi xác định S1 và S2. Ví dụ, gây ra các vết thâm tím, vết rách không có các biến chứng có thể được xếp vào loại S1, trong khi sự cắt cụt hoặc chết người được xếp vào loại S2.

A.2.2. Tần suất và/hoặc thời gian phơi ra trước nguy hiểm, F1 và F2

Thông thường có thể không qui định khoảng thời gian có hiệu lực được lựa chọn cho tham số F1 hoặc F2. Tuy nhiên, sự giải thích sau đây có thể tạo điều kiện dễ dàng cho việc đưa ra quyết định đúng khi còn có sự nghi ngờ.

Nên lựa chọn F2 nếu một người thường xuyên hoặc liên tục bị phơi ra trước mối nguy hiểm. Sẽ là không thích hợp khi cùng một người hoặc nhiều người khác nhau bị phơi ra trước mối nguy hiểm với thời gian phơi liên tục, ví dụ như để sử dụng thang máy. Tham số tần suất nên được lựa chọn theo tần số và khoảng thời gian tiếp cận với mối nguy hiểm.

Khi người thiết kế biết được yêu cầu đối với chức năng an toàn thì tần suất và khoảng thời gian của yêu cầu này có thể được lựa chọn thay cho tần suất và khoảng thời gian tiếp cận với mối nguy hiểm. Trong tiêu chuẩn này, tần suất của yêu cầu đối với chức năng an toàn được giả thiết là lớn hơn một lần trên năm.

Khoảng thời gian phơi ra trước mối nguy hiểm nên được ước lượng dựa trên cơ sở một giá trị trung bình được biết là có liên quan đến tổng thời gian sử dụng thiết bị. Ví dụ, nếu cần thiết phải đi tới một cách đều đặn giữa các dụng cụ của máy trong quá trình làm việc có chu kỳ để dẫn tiến và di chuyển chi tiết gia công thì nên lựa chọn F2. Nếu sự tiếp cận chỉ thỉnh thoảng mới yêu cầu thì nên lựa chọn F1.

CHÚ THÍCH: Trong trường hợp không có sự biện minh nào khác thì nên lựa chọn F2, nếu tần suất cao hơn một lần trên giờ.

A.2.3. Khả năng tránh mối nguy hiểm P1 và P2

Điều quan trọng là phải biết một tình trạng nguy hiểm có thể được nhận ra và tránh được hay không trước khi dẫn đến một tai nạn. Ví dụ, sự xem xét quan trọng là mối nguy hiểm có thể nhận biết được một cách trực tiếp hay không bởi đặc tính vật lý của nó hoặc chỉ được nhận ra bởi các phương tiện kỹ thuật, ví dụ, các bộ phận chỉ báo. Các khía cạnh quan trọng khác ảnh hưởng tới việc lựa chọn tham số P bao gồm, ví dụ:

- Vận hành có hoặc không có sự giám sát;

- Vận hành bởi chuyên gia hoặc người không lành nghề;

- Tốc độ tại đó nảy sinh mối nguy hiểm (ví dụ, nhanh hoặc chậm);

- Các khả năng tránh nguy hiểm (ví dụ, bằng thoát hiểm);

- Các kinh nghiệm thực tế về an toàn liên quan đến quá trình.

Khi xảy ra một tình trạng nguy hiểm, chỉ nên lựa chọn P1 nếu có cơ hội thực sự tránh được vụ tai nạn hoặc giảm một cách đáng kể ảnh hưởng của nó, nên chọn P2 nếu hầu như không có cơ hội tránh được mối nguy hiểm.

Hình A.1 đưa ra hướng dẫn để xác định PL_r liên quan đến an toàn phụ thuộc vào sự đánh giá rủi ro. Biểu đồ cần được xem xét cho chức năng an toàn. Phương pháp đánh giá rủi ro được dựa trên TCVN 7301 (ISO 14121) và nên được sử dụng theo TCVN 7383-1 (ISO 12100-1).

CHÚ DẪN	CÁC THAM SỐ RỦI RO
1 Điểm bắt đầu cho ước lượng sự đóng góp của chức năng an toàn vào giảm rủi ro	S Tính nghiêm trọng của thương tích nhẹ (thương tích S1 thường chữa khỏi được)
L Sự đóng góp thấp vào giảm rủi ro	S2 Nghiêm trọng (thương tích thường không chữa khỏi được hoặc chết người)
H Sự đóng góp cao vào giảm rủi ro	F Tần suất và/hoặc sự phơi ra trước mối nguy hiểm
PLr Mức tính năng yêu cầu	F1 Thời gian phơi ít khi – đến – ít – thường xuyên và/hoặc thời gian phơi ngắn
	F2 Thời gian phơi thường xuyên – đến – liên tục và/hoặc thời gian phơi dài
	P Khả năng tránh nguy hiểm hoặc hạn chế tổn hại
	P1 Có thể trong điều kiện qui định
	P2 Chắc là không thể

Hình A.1 – Biểu đồ rủi ro để xác định PL_r đối với chức năng an toàn

 

PHỤ LỤC B

(Tham khảo)

PHƯƠNG PHÁP LẬP SƠ ĐỒ KHỐI VÀ SƠ ĐỒ KHỐI LIÊN QUAN ĐẾN AN TOÀN

B.1. Phương pháp lập sơ đồ khối

Phương pháp đơn giản hóa đòi hỏi sự biểu thị các khối liên kết với nhau theo hướng logic của các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS). SRP/CS nên được tách ly thành một số lượng nhỏ các khối theo yêu cầu sau:

- Các khối nên biểu thị logic của SRP/CS liên quan đến việc thực hiện chức năng an toàn;

- Các kênh khác nhau thực hiện chức năng an toàn nên được tách ly thành các khối khác nhau – nếu một khối không còn khả năng thực hiện chức năng an toàn của nó thì việc thực hiện chức năng an toàn qua các khối của các kênh khác sẽ không bị ảnh hưởng;

- Mỗi kênh có thể gồm có một hoặc nhiều khối – ba khối trong một kênh trong các cấu trúc đã lựa chọn, khối nhập, khối logic và khối xuất không phải là số lượng bắt buộc, nhưng đơn giản chỉ là một ví dụ đối với sự chia tách bên trong mỗi kênh;

- Mỗi đơn vị phần cứng của SRP/CS nên thuộc vào một khối, như vậy cho phép tính toán MTTF_d của khối dựa trên MTTF_d của các đơn vị phần cứng thuộc vào khối (ví dụ, bằng dạng hư hỏng và phân tích các ảnh hưởng hoặc phương pháp đếm các bộ phận, xem Phụ lục D.1);

- Các đơn vị phần cứng chỉ được sử dụng để chẩn đoán (ví dụ, thiết bị thử) và không ảnh hưởng đến việc thực hiện chức năng an toàn trong các kênh khác nhau khi chúng hư hỏng một cách nguy hiểm, chúng có thể được tách ra khỏi các đơn vị phần cứng cần thiết để thực hiện chức năng an toàn trong các kênh khác nhau.

CHÚ THÍCH: Đối với phần mềm của TCVN 7384-1 (ISO 13849-1), “các khối” không tương đương với các khối chức năng hoặc các khối độ tin cậy.

B.2. Sơ đồ khối liên quan đến an toàn

Các khối được xác định bằng phương pháp lập sơ đồ khối có thể được dùng để biểu thị bằng hình vẽ cấu trúc logic của SRP/CS trong một sơ đồ khối liên quan đến an toàn. Đối với cách biểu thị bằng hình vẽ này cần theo hướng dẫn sau:

- Hư hỏng của một khối trong sự xếp hàng nối tiếp các khối dẫn tới tư hỏng của toàn bộ kênh (ví dụ, nếu một đơn vị phần cứng trong một kênh của SRP/CS hư hỏng một cách nguy hiểm thì toàn bộ kênh không thể có khả năng thực hiện chức năng an toàn được nữa);

- Chỉ có hư hỏng nguy hiểm của tất cả các kênh trong sự xếp hàng song song mới dẫn đến sự mất đi chức năng an toàn (ví dụ, một chức năng an toàn tạo thành bởi nhiều kênh chỉ được thực hiện với điều kiện là ít nhất phải có một kênh không bị hư hỏng);

- Các khối chỉ dùng cho mục đích thử nghiệm và không ảnh hưởng đến chức năng an toàn trong các kênh khác nhau, khi chúng hư hỏng một cách nguy hiểm có thể được tách ra khỏi các khối trong các kênh khác nhau.

(Mời xem tiếp trong file tải về)