ГОСТ Р 57300-2016

     
     ГОСТ Р 57300-2016/ISO/TS 15998-2:2012

Группа Т51

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Машины землеройные

СИСТЕМЫ УПРАВЛЕНИЯ С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННЫХ КОМПОНЕНТОВ

Часть 2

Применение ИСО 15998

Earth-moving machinery. Machine control systems using electronic components. Part 2. Application of ISO 15998

ОКС 13.110

Дата введения 2018-01-01

  Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык англоязычной версии международного документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2016 г. N 1868-ст

4 Настоящий стандарт идентичен международному документу ISO/TS 15998-2:2012* "Машины землеройные. Системы управления с использованием электронных компонентов. Часть 2. Применение ИСО 15998" (ISO/TS 15998-2:2012 "Earth-moving machinery - Machine control systems (MCS) using electronic components - Part 2: Use and application of ISO 15998", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в справочном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Сложность стандартов, посвященных электронным системам управления, затрудняет определение даже основных требований к уровням безопасности. Настоящий стандарт был разработан, чтобы помочь пользователю ИСО 15998 определить общие характеристики землеройных машин и возможные виды отказов с разумно обоснованными и согласованными требованиями к уровням безопасности. Настоящий стандарт поможет пользователю понять, что другие пользователи будут принимать аналогичные требования для подобных опасных условий.

В то время как первая часть ИСО 15998 и документы, на которые она ссылается, изложены кратко, настоящий стандарт описывает процессы, непосредственно связанные с землеройным оборудованием. С помощью большого количества примеров пользователь сможет достаточно легко определить, как применить ИСО 15998 к различным типам землеройных машин.

     1 Область применения

Настоящий стандарт помогает интерпретировать и применять критерии эффективности и методы испытаний функциональной безопасности системы управления машиной (далее - СУМ), использующей электронные компоненты, для землеройных машин и их оборудования, представленные в первой части ИСО 15998, с помощью:

- демонстрации альтернативного метода оценки опасности;

- рассмотрения информации и прикладных примеров для демонстрации соответствия требованиям ИСО 15998;

- рассмотрения определений, требований и применения ИСО 15998 при анализе риска опасных движений машины, выполняемых под управлением, связанных с безопасностью СУМ;

- предоставления руководства по использованию и взаимосвязи с нормативными ссылками, перечисленными в первой части ИСО 15998.

Электронные СУМ - это такие системы управления, которые непосредственно воздействуют на движение машины, т.е. приводят в движение (выполняют механическое перемещение), выполняют торможение, управляют приспособлениями и рабочими инструментами. ИСО 15998 применим к механическим отказам выключателей, датчиков и других электронных устройств, а также к механическому отказу клапанов соленоидов, такому как заедание, вызванное инородными элементами (может использоваться электронный контроль ошибки функции клапана соленоида, если оценка степени риска определит, что это необходимо).

Системы и электрические/электронные сборочные узлы (ESA), которые являются вспомогательными для эксплуатации машины и не влияют на управление машиной, такие как мониторы, средства выдачи сигналов тревоги, панель приборов, внешние световые приборы и дворники, а также те части систем, которые обеспечивают обратную связь оператору, не входят в область применения ИСО 15998, так как являются чисто гидравлическими, пневматическими и/или механическими СУМ, не использующими электронные/электрические компоненты, и в которых происходят механические отказы, такие как разрушение осей, чисто механических клапанов, автопокрышек и другие подобные отказы.

     2 Нормативные ссылки

В настоящем стандарте используются нормативные ссылки на следующие документы или на их части*, незаменимые для применения данного документа. В случае датированных ссылок действует только цитируемое издание. Для недатированных ссылок действует самое позднее издание документа, на который производится ссылка (включая любые внесенные в него поправки).

_______________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.     

ISO 13766, Earth-moving machinery - Electromagnetic compatibility (Машины землеройные. Электромагнитная совместимость)

ISO 13849-1:2006, Safety of machinery - Safety-related parts of control systems - Part 1: General principles for desing - lehnical* Corrigenolom* 1 (Безопасность машин. Детали систем управления, связанные с обеспечением безопасности. Часть 1. Общие принципы проектирования. Механическая поправка)

_______________

ИСО 15988-1.

* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.     

ISO 15998:2008, Earth-moving machinery - Machine-control systems (MCS) using electronic components - Performance criteria and tests for functional safety (Землеройные машины. Системы управления с использованием электронных компонентов. Критерии эффективности и испытания на функциональную безопасность)

_______________

ИСО 15988-1.

Примечание - При использовании настоящего стандарта целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется принять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте используются термины, определения и сокращения, данные в первой части ИСО 15998, а также следующие термины и определения:

3.1 базовая машина (base machine): Машина с кабиной или крытым кузовом и при необходимости с защищающими оператора конструкциями, без рабочего оборудования или приспособлений, но обладающая необходимыми средствами установки для такого рабочего оборудования и приспособлений.

[ИСО 6016]

3.2 рабочее оборудование (equipment): Набор компонентов, устанавливаемых на базовую машину, которые позволяют приспособлению выполнять основную предназначенную для машины функцию.

[ИСО 6016]

3.3 приспособление (attachment): Сборка компонентов, которая может быть установлена на базовую машину или рабочее оборудование для конкретного использования.

[ИСО 6016]

3.4 уровень полноты безопасности; УПБ [safety integrity level (SIL)]: Дискретный уровень (принимающий одно из трех возможных значений), соответствующий диапазону значений полноты безопасности, при котором уровень полноты безопасности, равный 3, является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1, соответствует наименьшей полноте безопасности.

[МЭК 61508-4:2010, определение 3.5.8, модифицированное]

Примечания

1 Меры целевых отказов (см. таблицу 1).

2 Уровни полноты безопасности используют при определении требований полноты безопасности для функций безопасности, которые должны быть распределены по электрическим/электронным/программируемым электронным системам, связанным с безопасностью.

3 Уровень полноты безопасности (УПБ) не является свойством системы, подсистемы, элемента или компонента. Правильная интерпретация фразы "УПБ системы, связанной с безопасностью, равен n" (где n=1, 2 или 3) означает, что система потенциально способна к реализации функций безопасности с уровнем полноты безопасности до значения, равного n.

4 УПБ является самым полезным для производителей, применяющих IEC 61508 или граф риска, представленный в первой части ИСО 15998.

5 УПБ 4 не применяется для СУМ (землеройных машин).

6 УПБ означает "Нет требований" или "Конкретное требование по безопасности отсутствует" (см. таблицу 1 и рисунок 1).

3.5 уровень эффективности защиты; УЭЗ (performance level; PL): Дискретный уровень, используемый для определения способности элементов систем управления, связанных с безопасностью, осуществлять функцию безопасности в предсказуемых условиях.

[ИСО 13849-1:2006, определение 3.1.23]

Примечания

1 УЭЗ является самым полезным для производителей, применяющих ИСО 13849.

2 См. таблицу 2.

3.6 требуемый уровень эффективности защиты; (required performance level; ): Уровень эффективности защиты (PL), применяемый для установления предела требуемого снижения риска для каждой функции безопасности (см. рисунок 1 и А.1).

[ИСО 13849-1:2006, определение 3.1.24]

3.7 электрический/электронный сборочный узел; ЭСУ (electrical/electronic subassembly; ESA): Электрические и/или электронные компоненты или набор компонентов, предназначенный для применения в землеройной машине, вместе со всеми соответствующими электрическими связями и проводными соединениями, который выполняет одну или несколько специализированных функций.

[ИСО 13766:2006, определение 3.10]

3.8 функциональная безопасность (functional safety): Часть общей безопасности, которая зависит от системы или оборудования, корректно реагирующего на его входные сигналы.

[МЭК 61508-0, определение 3.1]

Примечания

1 Например, устройство тепловой защиты, использующее тепловой датчик в обмотках электродвигателя, чтобы обесточить двигатель до его перегрева, является реализацией функциональной безопасности. Но применение специализированной изоляции, чтобы противостоять высоким температурам, не является примером функциональной безопасности (хотя и является средством безопасности и может защитить от точно такой же опасности).

2 Ни безопасность, ни функциональная безопасность не могут быть определены, не рассматривая систему как единое целое с окружающей средой, с которой они взаимодействуют.

3.9 элемент системы управления, связанный с безопасностью (safety-related part of a control system; SRP/CS): Часть системы управления, которая реагирует на входные сигналы, связанные с безопасностью, и вырабатывает выходные сигналы, связанные с безопасностью.

[ИСО 13849-1:2006, определение 3.1.1, модифицированное]

Примечание - Связанные с безопасностью элементы, соединенные с системой управления, появляются там, где возникают сигналы, связанные с безопасностью (включая, например, включающий кулачок и ролик переключателя позиции), и заканчиваются на выходе силовых управляющих элементов (например, главные контакты электромагнитного пускателя).

3.10 система управления машиной; СУМ (machine control system): Система, которая отвечает на входные сигналы, поступающие от элементов оборудования, операторов, оборудования внешнего контроля или любой их комбинации, и генерирует выходные сигналы, приводящие машину в действие предусмотренным способом.

[ИСО 13849-1:2006, определение 3.1.32]

Примечание - Система управления машиной может использовать любую технологию или любую комбинацию различных технологий (например, электрическую/электронную, гидравлическую, пневматическую, механическую).

3.11 интервал диагностических проверок (diagnostic time interval): Интервал между неавтономными проверками, предназначенными для обнаружения отказов в системе управления, связанной с безопасностью, или в ее части (СУСБ/Ч).

3.12 время реакции на сбой (fault reaction time): Время, необходимое для выполнения заданного действия, обеспечивающего достижение или поддержку безопасного состояния.

3.13 режим высокой интенсивности запросов/режим с непрерывным запросом (high/continuous mode): Режим работы, где частота запросов на обслуживание к СУСБ/Ч больше, чем один в год, или больше удвоенной частоты выполнения функции самопроверки системы управления.

3.14 время безопасности процесса (process safety time): Промежуток времени между моментом появления отказа в СУСБ/Ч и моментом возникновения опасного события, если функция безопасности не была выполнена.

     4 Общие положения

     4.1 О средствах управления в других стандартах

Строго рекомендуется, чтобы пользователь ИСО 15998 применял по крайней мере один из стандартов, рассматривающих средства управления, на которые ссылается настоящий стандарт. В частности, это МЭК 61508-1 или ИСО 13849-1, которые предоставляют общую информацию и теорию безопасности электронной системы управления:

- рисунок 1 МЭК 61508-1:2010 представляет в общих чертах процесс применения стандартов МЭК 61508 для обеспечения безопасности систем управления;

- рисунок 1 ИСО 13849-1:2006 представляет альтернативную блок-схему для демонстрации безопасности системы управления, на рисунке 3 ИСО 13849-1:2006 показаны методы снижения риска (которые раскрыты в приложении A ИСО 13849-1:2006) для определения УПБ и .

В приложении B представлено руководство по формированию концепции безопасности.

Производители могут также применять ИСО 26262 (дорожно-транспортные средства) или ИСО 25119 (сельскохозяйственные машины), выполняя соответствующие изменения, учитывающие отличия этих машин от землеройных. Это различие должно помочь передаче технологий в различные отрасли. Производители должны полностью поддерживать один реализуемый на практике метод, заменяя или добавляя соответствующие положения МЭК 61508.

     4.2 Методы оценки риска (см. 4.4 первой части ИСО 15998)

4.2.1 УПБ и УЭЗ

Пользователи могут выбрать методы определения УПБ между представленными в МЭК 61508-5 и ИСО 15998 или методы определения УЭЗ между представленными в ИСО 13849-1, ИСО 25119-2 и ИСО 26262-3. Независимо от того, выбрана ли методология для определения УПБ или УЭЗ, интенсивность отказов для режима работы с высокой частотой запросов/с непрерывным запросом должна продемонстрировать соответствующий уровень безопасности, полученный по таблице 1.

Примечания

1 Таблица 1 используется для систем, работающих в режиме с высокой частотой запросов/с непрерывным запросом. Интенсивность отказов в режиме с низкой частой запросов также рассмотрена в МЭК 61508-1:2010, раздел 7 и таблица 2. Инструкция по использованию таблицы 1 дана в МЭК 61508-1:2010, раздел 7, и в ИСО 13849-1:2006, подраздел 4.5.

2 Значение УПБ 4 не используются для машин, рассматриваемых в настоящем стандарте, поскольку не разумно оценивать землеройные машины, удовлетворяющие системному требованию УПБ, равному 4.

Таблица 1 - Таблица соответствия значений УПБ и УЭЗ

4.2.2 Варианты оценки риска

Поскольку упоминаемые средства оценки риска предназначены в качестве общего руководства по определению УПБ, допустимо и иногда необходимо "подогнать" средства оценки риска, выполнив такие изменения, которые показаны на рисунке 1, чтобы обеспечить более близкое соответствие между упоминаемыми используемыми методами оценки риска.

Из-за сложности использования параметра W согласно приложению A первой части ИСО 15998 также допустимо предположить, что параметр W всегда равен W2.

Примечания

1 УПБ означает "Нет требований" или "Конкретное требование по безопасности отсутствует".

2 в ИСО 15998:2008, приложение A не применимо к землеройным машинам, поскольку вероятность смерти большого количества людей от землеройной машины незначительна.

Рисунок 1 - Граф риска

4.2.3 Согласование различных методов

Независимо от используемого метода определения УПБ, или эквивалентной характеристики интенсивность отказов, приведенная в таблице 1, должна использоваться для систем, работающих с высокой частотой запросов/с непрерывным запросом. Незначительные корректировки могут быть внесены, если интенсивность отказов, приведенная в таблице 1, точно не соответствует интенсивности отказов в других стандартах. Для определенных систем управления машины были установлены общие значения УПБ/УЭЗ и рассмотрены в приложении A. Для определения УПБ/ или подобных требований безопасности для конкретной функции безопасности необходимо выполнить оценку риска. Если результаты оценки риска значительно отличаются от общих значений УПБ, то пользователь ИСО 15998 должен их тщательно исследовать, чтобы гарантировать, что были сделаны надлежащие предположения.

     5 Дополнительные руководящие указания для связанных с безопасностью систем управления машинами

В приложении E представлены руководящие указания по реализации пункта 5.2 ИСО 15998:2008.

Никаких дополнительных руководящих указаний не дается для оставшихся подразделов раздела 5 первой части ИСО 15998.

     6 Документация

В таблице B.1 (см. приложение B) представлен метод, объединяющий результаты оценки риска, снижения риска и формирования концепции безопасности в единой электронной таблице для организации документации.

     7 Проверка связанной с безопасностью системы управления машиной

Тестирование аппаратных средств в соответствии с требованиями раздела 7 первой части ИСО 15998 может быть выполнено на уровне машины, уровне системы, уровне датчика, уровне коммутатора, уровне жгутов проводов, уровне соленоидных клапанов, уровне монтажной платы или подобном уровне в зависимости от того, на каком уровне тестирование является наиболее практичным или предпочтительным для пользователя ИСО 15998. Должно быть рассмотрено, как на уровень машины влияет электрическая система при ее испытании на воздействие окружающей среды, например, температуры в моторном отсеке, жесткой и мягкой подвески и т.д.

В отсутствие подтверждения тестирования первоначального производителя оборудования (OEM) поставщик должен предоставить приемлемую документацию, относящуюся к работе компонентов.

Приложение А
(справочное)

     
Руководящие указания по оценке риска

A.1 Типовые методы оценки риска, подобные методам оценки ИСО 13849-1

Метод ИСО 13849-1, описанный в настоящем приложении, дает представление, как определяется УЭЗ и соответствующий УПБ, связанный с конкретными видами землеройных машин и их СУСБ/Ч. Примеры других методологий оценки риска представлены в приложении A первой части ИСО 15998, ИСО/ТО 14121-2, ИСО 25119-2, ИСО 26262-3 или МЭК 61508-5.

Анализ опасности должен рассматривать только разумно предсказуемые сценарии. Например, бульдозер на стальном гусеничном ходу на шоссе не должен рассматриваться (если цель не состоит в том, чтобы ответить некоторому уникальному требованию потребителя). Просто установлено, что в обычных условиях использовать бульдозер на стальном гусеничном ходу на шоссе незаконно из-за того, что может произойти серьезное повреждение дороги. Каждый разумно предсказуемый сценарий должен быть оценен с точки зрения оператора машины и серьезности раны, частоты и возможности предотвращения опасности для постороннего свидетеля.

A.1.1 Использование графов риска

Начальное определение параметров риска делается без рассмотрения каких-либо СУМ или любых параметров безопасности, включенных в СУМ, чтобы проанализировать риск исключительно для соответствующей опасности. Дополнительное указание, как выполнить оценку риска, рассмотрено ниже, в инструкции по параметрам риска. Оценка риска первоначально предполагает существование видов отказов, которые вызовут опасное поведение машины. Средства ослабления таких опасностей рассматривают ниже.

А.1.2 Тяжесть травмы - S1, S2 и S3

Тяжесть имеет 3 уровня: S1 (небольшая - обычно незначительная травма), S2 (серьезная - обычно серьезное увечье или смерть одного человека) и S3 (катастрофическая - большое количество погибших). При выборе уровня тяжести для опасности выбирается уровень, который соответствовал бы наихудшему вероятному результату для этой опасности, а не наихудшему возможному результату, поскольку это может всегда приводить к S3. При выборе уровня также необходимо рассматривать непосредственный результат без учета присутствующих дополнительных условий для возможных последствий. Например, можно представить бульдозер на гусеничном ходу, который управляется самопроизвольно и поражает газовый трубопровод, что приводит к взрыву и многочисленным жертвам среди посторонних свидетелей. Этот сценарий учитывает наличие многих условий и не является вероятным результатом опасности самопроизвольного управления. Чтобы принять решение, при определении S1 и S2 должны быть учтены обычные последствия несчастных случаев и нормальные процессы лечения. Например, избиение и/или рваная рана без осложнений будут классифицированы как S1, тогда как ампутация или смерть будут классифицированы как S2.

S3 эквивалентно согласно первой части ИСО 15998. Данная тяжесть/последствие определена как "смерть нескольких человек".

Другое условие, которое необходимо рассмотреть, состоит в том, будет ли землеройная машина двигаться по общественным дорогам, и в этом случае вероятный сценарий может привести к многочисленным жертвам (S3), тогда как опасности, связанные с движением на ограниченной стройплощадке, могут быть на один (1) уровень менее серьезны (S2). На бездорожье машины находятся в условиях намного меньшего трафика автотранспорта, поэтому машины, которым запрещено движение по дороге, могут уменьшить уровень серьезности на единицу (1), по сравнению с подобной "дорожной" версией в случае потери управления или функции торможения, и соответствующие риски столкновений с движущимся автотранспортом.

Пример - Полноприводной погрузчик, который используется на дороге, может иметь S3 при полной потере управления. Для подобного погрузчика, но слишком большого для использования на дороге, при том же условии потери управления может быть определен более низкий уровень тяжести S2.

Машины меньшего размера из-за их меньшей массы при столкновении оказывают воздействие друг на друга с меньшей силой. Поэтому уровень тяжести для компактной машины при посторонних свидетелях и движении автотранспорта мог быть понижен на 1 по сравнению с более тяжелой версией машины в тех же самых условиях.

А.1.3 Частота и/или время нахождения в опасной зоне ( и )

При выборе между и бывает трудно определить процент времени нахождения персонала в опасной зоне. Однако следующее пояснение может упростить принятие правильного решения, если существует сомнение.

должен быть выбран, если человек часто или непрерывно находится в опасной зоне, т.е. 10% времени. И не важно, находятся ли в опасной зоне те же самые или другие люди, например, при использовании лифтов. Параметр F должен быть выбран в соответствии с частотой и продолжительностью нахождения в опасной зоне.

Если проектировщику известны характеристики запросов к функции безопасности, то частота и продолжительность этих запросов могут быть выбраны в качестве частоты и продолжительности нахождения в опасной зоне. В настоящем приложении предполагается, что частота запросов к функции безопасности больше одного раза в год.

Период нахождения в опасной зоне должен быть оценен на основе отношения среднего значения нахождения в опасной зоне к полному промежутку времени, когда используется оборудование. Например, если необходимо иметь рабочих в непосредственной близости от землеройной машины во время повторяющейся операции, чтобы подать заготовку и забрать готовую деталь, то должен быть выбран . Если нахождение в опасной зоне требуется только время от времени, то должен быть выбран .

В случае отсутствия какого-либо другого обоснования должен быть выбран , если частота выше чем один раз в час, или нахождение в опасной зоне больше чем 10% времени.

Примеры
     

    1 Работая около края обрыва, оператор, скорее всего, будет находиться в опасной зоне (на краю обрыва) меньше чем 10% времени, таким образом, уровень частоты будет .

2. Если у работающего грейдера выходит из строя система рулевого управления, а для самоходного грейдера это большей частью происходит, то уровень частоты будет .

А.1.4 Возможность предотвращения опасности ( и )

Когда возникает опасная ситуация, то должен быть выбран , только если существует реальный шанс предотвращения несчастного случая или значительного сокращения его последствий. выбирается, если нет почти никакого шанса предотвращения опасности.

Пример - Полная потеря тормозов на колесном автопогрузчике может первоначально оцениваться значением . Ковш можно опустить, чтобы остановить машину, таким образом, возможный уровень будет снижен до . Урок: если в качестве средств предотвращения опасности используются внешние источники, то в проекте должна быть обеспечена независимость оцениваемой системы. В этом случае пока органы управления оборудованием независимы от тормозной системы (т.е. нет общих компонентов), опустив ковш, можно снизить риск опасности.

Важно знать, можно ли опасную ситуацию признать и предотвратить до реализации несчастного случая. Например, важно знать, может ли быть опасность определена непосредственно ее физическими характеристиками или признана только техническими средствами, например, индикаторами. Другие важные аспекты, которые влияют на выбор параметра P, включают:

- действие выполняется с или без контроля рабочего места;

- действие выполняется экспертами или непрофессионалами;

- скорость развития опасности (например, быстро или медленно);

- возможности для предотвращения опасности (например, убежать);

- практический опыт в области безопасности, касающийся процесса.

"Возможность предотвращения" не должна учитывать архитектуру проекта при обращении к проанализированной функции безопасности, т.е. при анализе рисков, связанных с электронной системой рулевого управления, архитектура проекта электронной системы рулевого управления не может способствовать возможности предотвращения опасности, но другие независимые системы (такие как тормоза или механическая система рулевого управления) могут.

На рисунке A.1 представлен пример графа рисков, применяемый для определения требуемых для различных сценариев, используя параметры анализа риска для тяжести, частоты и/или времени нахождения в опасной зоне и возможности предотвращения опасности. Данный граф (или альтернативный граф риска, упомянутый в 4.1.2) должен использоваться для оценки всех разумно предсказуемых сценариев для каждой функции безопасности. Метод оценки риска основывается на ИСО/ТО 14121-2 (см. также ИСО 13849-1:2006, приложение A) и должен применяться в соответствии с ИСО 12100.

Если используются методы из ИСО 13849, то в приложениях, где СУСБ/Ч можно считать простой и требуемый уровень эффективности защиты не превышает значения с, качественная оценка УЭЗ может быть подтверждена в обосновании принятых проектных решений. Дополнительные разъяснения по непосредственному применению методов ИСО 15998 см. также в приложении E.

1 - стартовая точка для предварительной оценки риска;

S1/C1 - небольшая (обычно незначительная травма);

S2/C2 - серьезная (обычно серьезное увечье или смерть);

S3/C3 - смерть нескольких людей;

F1 - от редко до реже и/или короткого времени нахождения в опасной зоне;

F2 - от частого к продолжительному и/или длительному времени нахождения в опасной зоне;

Р1 - возможно при определенных условиях;

Р2 - почти невозможно;

а-е - требуемый уровень эффективности защиты () для СУМ

Рисунок А.1 - Граф риска для определения для функции безопасности

А.2 Руководство и примеры анализа рисков для землеройных машин, оснащенных системами управления поворотом, движением, торможением и работой приспособлений, выполняемого для ИСО 15998, ИСО 13849-1 или других подобных оценок риска

В данном подразделе для иллюстрации идентификации опасности и распределения параметров риска представлены опасности для четырех основных рабочих функций примеров землеройной машины. Настоящий подраздел не относится к конкретной системе управления, но основывается на типовых видах землеройной машины с учетом возможного отказа, который заставляет землеройную машину вести себя непреднамеренным способом.

Графы риска, представленные в ИСО 13849-1, в первой части ИСО 15998 и полученные другими методами оценки риска, могут дать в некоторых случаях более высокие значения УПБ/, чем полученные в примерах и представленные в настоящем приложении обобщенные УПБ/. Однако эти примеры и обобщенные УПБ/ действительно отражают современный уровень, доступный для каждого типа функции. Кроме того, опыт (например, истории инцидентов) показывает, что они адекватны и доказаны для каждой функции.

При выполнении оценки риска и использовании таблиц А.1-А.5 для землеройных машин необходимо рассмотреть следующее.

А.2.1 Тяжесть травмы

Тяжесть не должна быть "искажена" крайне маловероятными событиями. Если бы, например, в 999 случаях из 1000, ожидаемая рана в результате несчастного случая была бы очень легкой, но в одном случае предсказана смерть, то последствие должным образом оценивается S1 или .

А.2.2 Частота пребывания в опасной зоне

В некоторых случаях машины могут быть очень низкие частоты нахождения в опасной зоне, так что неадекватно описал бы частоты как низкие. Тогда более разумно не оценивать такой сценарий.

Пример - Движение бульдозера на стальном гусеничном ходу по шоссе осуществляется очень редко и обычно недопустимо. Поэтому нет необходимости оценивать связанные с этим риски.

А.2.3 Общая оценка

Значения S/C, P и F обычно зависят от анализа набора влияющих факторов, каждый из которых либо повышает, либо понижает, либо оценивает их частично.

Таблица A.1 представляет некоторые ключевые факторы, используемые при определении этих значений. После того как влияющие факторы определены, выбирается наиболее близкое значение, например, или . Оценки риска могут иметь большее разрешение (например, ИСО 25119-2), чем в примерах, рассмотренных в настоящем стандарте.

Рассматриваются примеры для двух из различных методов оценки риска. Пользователь должен выбрать один метод оценки риска для всех оцениваемых систем управления, чтобы избежать конфликтов в результатах.

С увеличением скорости значения УПБ/, связанные с системами рулевого управления и торможения, увеличиваются из-за ограничений возможностей оператора в обеспечении управления после отказа (P). Также увеличивается тяжесть последствий из-за более высоких скоростей во время столкновения (S/C).

Количество посторонних свидетелей существенно отличается в различных сценариях. В шахтах обычно мало или нет посторонних свидетелей, присутствие которых ограничено в большинстве шахт. У малых и средних экскаваторов и всех одноковшовых экскаваторов с обратной лопатой чаще всего есть посторонние свидетели около мест их работы. Частота (F) должна соответственно изменяться при наличии свидетелей.

Столкновения между землеройными машинами, как правило, вызывают менее тяжелые травмы, и их число мало, что приводит к более низким значениям S/C и уменьшает значения УПБ/. Столкновения землеройной машины с автотранспортом имеют более высокие значения S/C для пассажиров транспортного средства.

О частичной потере. Легче обеспечить управление машиной при отказах систем рулевого управления и торможения, чем при отказах всех систем (P). Системы торможения и рулевого управления при работоспособности 90% работают почти нормально. Системы торможения и рулевого управления, функциональность которых менее 5%, не могут предотвратить большинства несчастных случаев.

Кнопка аварийного откпючения/гидроусилитель тормозов/гидравлическое вкпючение/кпавишный переключатель: их эффективность управления отключением для предотвращения несчастного случая (P) существенно зависит от скорости машины. Они более эффективны при выполнении внезапной остановки медленно двигающейся гусеничной машины или остановки приспособления, когда присутствует посторонний свидетель в зоне работы. Но они не столь эффективны при отказе системы рулевого управления на более высоких скоростях.

В условиях бездорожья машины оказываются в менее интенсивном дорожном движении и имеют соответственно более низкое значение S/C. Поэтому машины, использование которых на дороге запрещено, могут иметь значение УПБ/ на один уровень меньше, чем подобная версия машин, использование которых на дороге разрешено, при отказе всей функциональности рулевого управления и соответствующих рисках столкновений в процессе дорожного движения. Например, полноприводный погрузчик, использование которого на дороге разрешено, имеет УПБ 3/ e при полном отказе рулевого управления, когда нет никакого предшествующего предупреждения. Для подобного погрузчика, но слишком большого для использования на дороге, требование будет на один уровень меньше или УПБ 2/ d при условии такого же отказа рулевого управления.

Таблица A.1 - Обобщенные значения УПБ/ оценок риска при идентификации опасности и определении значений параметров риска для землеройных машин с и без СУМ, используя метод оценки риска, подобный представленному в ИСО 13849-1 или ИСО 15998

А.3 Формирование уровней полноты безопасности (УПБ)/уровней эффективности защиты () из обобщенных значений УПБ/, полученных в процессе оценок риска

А.3.1 В таблицах А.2-А.5 сравниваются значения УПБ/ для различных видов машин и выполняемых ими функций, полученные из примеров оценки рисков и назначения УПБ/. Эти примеры представляют обобщенные значения УПБ/ которые являются консервативными значениями для СУСБ/Ч.

А.3.2 Опасности разделены на категории для: оператора (Oп), случайного свидетеля (Св) и автотранспорта (Ат). К автотранспорту относятся автомобили, грузовики и автобусы, с которыми сталкиваются землеройные машины при транспортировке или в процессе работы на шоссейных дорогах. К автотранспорту не будем относить другие землеройные машины, находящиеся на месте выполнения работ.

Примечания

1 Региональные требования к движению по дороге не обязательно совпадают с указанными в таблицах А.2-А.5.

2 Под максимальной скоростью понимают максимальную скорость по ровной дороге.

В зависимости от ситуации обслуживающий персонал может быть или операторами, или случайными свидетелями в таблице обобщенных значений УПБ/. Если специалист по ремонту находится у пульта оператора, то опасности оператора (Oп) из этой таблицы обычно относятся к опасностям, связанным с обслуживанием машины. Если специалист по ремонту покидает пульт оператора, то его все еще считают оператором. Если два человека обслуживают машину и один находится у пульта оператора, а другой находится вне пульта оператора, то специалист по ремонту, находящийся вне пульта оператора, подвергается опасностям как случайный свидетель (Св).

Таблица A.2 - Обобщенные значения УПБ/

Таблица А.3 - Обобщенные значения УПБ/

Таблица А.4 - Обобщенные значения УПБ/