Część 1 – z czego składa się funkcja bezpieczeństwa? Częścią procesu redukcji ryzyka jest określenie funkcji bezpieczeństwa maszyny (np. zatrzymania awaryjnego, mutingu), które mają być realizowane przez związane z bezpieczeństwem elementy systemu sterowania SRP/CS. Taka kombinacja związanych z bezpieczeństwem elementów systemu sterowania realizujących typową funkcję bezpieczeństwa składa się z:
- wejść (np. wyłączniki zatrzymania awaryjnego, sterowanie oburęczne)
- jednostek logicznych/przetwarzających (np. przekaźniki bezpieczeństwa, sterowniki bezpieczeństwa)
- wyjść / elementów sterowania mocą (np. styczniki, zawory)
Na podstawie grafu ryzyka dla każdej funkcji bezpieczeństwa należy wyznaczyć wymagany poziom zapewnienia bezpieczeństwa Pl: a, b, c, d lub e. Wynika on z oceny ryzyka i odnosi się do poziomu zmniejszenia ryzyka, które ma być zrealizowane przez SRP/CS. Im bardziej zmniejszane jest ryzyko, tym wyższy musi być poziom PLr.
Objaśnienia:
- Start – punkt początkowy do wyznaczenia udziału funkcji bezpieczeństwa w zmniejszaniu ryzyka
- Niskie ryzyko – mały udział w zmniejszaniu ryzyka
- Wysokie ryzyko – duży udział w zmniejszaniu ryzyka
- PLr – wymagany poziom zapewnienia bezpieczeństwa
Parametry ryzyka:
- S – Ciężkość urazów
- S1 – Lekkie (zwykle odwracalne) urazy
- S2 – Ciężkie (zwykle nieodwracalne urazy lub śmierć)
- F – Częstość narażenia i/lub czas jego trwania
- F1 – Rzadkie, do mniej częstych, i/lub krótki czas narażenia
- F2 – Częste, do ciągłych, i/lub długi czas narażenia
- P Możliwość uniknięcia zagrożenia lub ograniczenia szkody
- P1 Możliwe w określonych warunkach
- P2 Prawie niemożliwe
Część 2 – wykrywanie defektów
Podstawowymi parametrami określającymi zdolności elementów związanych z bezpieczeństwem do tolerowania defektów są kategorie. Mamy ich 5 (B, 1, 2, 3, 4) a im wyższa ona jest, tym większa jest odporność na defekty.
W kategorii B, 1, 2 wystąpienie pojedynczego defektu może powodować utratę funkcji bezpieczeństwa . Natomiast, zarówno w kategorii 3, jak i kategorii 4 pojedynczy defekt nigdy nie może prowadzić do utraty funkcji bezpieczeństwa, dlatego konieczne jest tutaj zapewnienie redundancji. Redundancja polega na tym, że jeśli jedna część ulegnie uszkodzeniu, to druga część jest w stanie przejąć funkcję uszkodzonej części i zapewnić w ten sposób, że funkcja bezpieczeństwa jest spełniona.
Różnica pomiędzy kategoriami 3 i 4 sprowadza się do tego, że w kategorii 4 jest większa zdolność do wykrywania defektów, czyli jest wyższe DCavg (średnie pokrycie diagnostyczne), a parametr mówiący o niezawodności, czyli MTTFD każdego kanału jest tylko „wysoki”. Dlatego w kategorii 3 nie wszystkie defekty są wykrywane w związku z czym ich nagromadzenie może powodować utratę funkcji bezpieczeństwa.
Natomiast w kategorii 4 wszystkie defekty są wykrywane a ich nagromadzenie nie powinno spowodować utraty funkcji bezpieczeństwa.
Dlatego np. wykrywanie połączeń krzyżowych sygnałów wejściowych przez przekaźnik bezpieczeństwa jest obowiązkowe dla kategorii 4 a w przypadku kategorii 3 rekomendowane.
Funkcja monitorowania połączeń krzyżowych wykrywa zwarcia, połączenia do ziemi lub między kanałami – albo natychmiast, albo tak dokonuje okresowych sprawdzeń, że defekt zostaje wykryty przed następnym przywołaniem funkcji bezpieczeństwa.