Применение термостата с соответствующими характеристиками для предупреждения возникновения слишком высокой температуры.
Контроль давления воздуха для предупреждения горения с выделением ядовитых веществ.
б) Специальные меры безопасности, относящиеся непосредственно к контроллеру газовой горелки
Первичные меры безопасности: контроль источника питания, проверка контролирующего устройства, контроль устройств памяти и оптического сенсора.
Вторичные меры безопасности: вторичный контроль источника питания, проверка контролирующего устройства, вторичный контроль устройств памяти и контроль усилителя пламени.
Б.1.3 Программное обеспечение
Для упрощения в данном примере рассматриваются (без детализации) только функции ТС, относящиеся к безопасности. При этом учитываются две группы функций:
1) контроль безопасности, начинающийся после запроса нагрева, включая последовательные проверки давления воздуха, возникновения ложного пламени, поступления газа, поджига;
2) диагностические самопроверки, проводимые непрерывно в течение работы контроллера и горелки (см. Б.1.5).
Б.1.4 Электромагнитная обстановка и испытательные уровни для обеспечения функционирования
Рассматриваемая в настоящем приложении газовая горелка предназначена для применения в жилых зонах. Виды электромагнитных помех и примеры испытательных уровней при испытаниях отдельного аппарата, применяемого в жилых зонах, на помехоустойчивость для обеспечения функционирования и функциональной безопасности приведены в таблице Б.1. Для ТС, применяемых в промышленных зонах, для обеспечения функционирования и функциональной безопасности следует предусматривать большую жесткость испытаний.
Таблица Б.1- Пример электромагнитных помех и испытательных уровней для отдельного аппарата
 | |
| 583 × 1576 пикс. Открыть в новом окне | |
Необходимо отметить, что при анализе рассматриваемого ТС учтены не все виды электромагнитных помех, указанные в таблице 1.
Б.1.5 Цели анализа опасности и рисков
Анализ опасности и рисков проводят, чтобы применительно к нежелательным рискам безопасности (вершинам события) выявить:
- электромагнитные помехи, способные вызвать эти риски (для определения основных событий);
- элементы (части) ТС, на которые электромагнитные помехи могут оказать влияние, с тем, чтобы предпринять соответствующие меры для исключения влияния помех.
При применении газовой горелки не должны возникать следующие ситуации (вершины события): - "негорящая газовая горелка" (причина: отсутствует поджиг или неисправен детектор пламени);
- "слишком высокая температура" (причина: неисправен температурный сенсор или отсутствует циркуляция воды);
- "горение с выделением вредных веществ" (причина - недостаток воздуха из-за неисправности или нарушения установленной скорости вращения вентилятора).
Б.1.6 Анализ дерева неисправностей
В настоящем приложении в качестве примера рассмотрен случай "негорящая газовая горелка". На практике сходный анализ дерева неисправностей может быть проведен и для случаев "слишком высокая температура" и "горение с выделением вредных веществ".
Б.1.6.1 Конструирование дерева неисправностей
Конструирование дерева неисправностей проводят в соответствии с ГОСТ Р 51901.13 (см. рисунок Б.1 и краткие рекомендации в соответствии с ГОСТ Р 51901.13, подраздел 6.4, пункт 7.4.2, приведенные во введении к настоящему приложению).
Дерево неисправностей для вершины события "негорящая горелка" представлено на рисунке Б.4.
Рисунок Б.4 - Контроллер газовой горелки: дерево неисправностей для вершины события "негорящая горелка"
 | |
| 448 × 524 пикс. Открыть в новом окне | |
ЕМ1 - низкочастотные излучаемые помехи; ЕМ2 - высокочастотные кондуктивные помехи; ЕМ3 - высокочастотные излучаемые помехи; ЕМ4 - электростатические разряды
Примечание - Электромагнитные помехи (основные события) приведены в таблице Б.1.
При конструировании данного дерева неисправностей учитывают только влияние электромагнитных помех. Все остальные основные события, которые могут оказывать влияние на безопасность контроллера, например отказ компонента, неправильная работа оператора и т.д., не должны включаться в дерево неисправностей, относящееся только к воздействию электромагнитных помех.
Вместе с тем в дерево неисправностей для случая "негорящая газовая горелка" не должны включаться события, связанные с воздействием электромагнитных помех, которые непосредственно не влияют на данную вершину события. Например, в случае "негорящая газовая горелка" можно считать, что на это событие может оказать влияние неисправность в работе вентилятора. Однако неисправность в работе вентилятора учитывают при построении дерева неисправностей для случая "горение с выделением вредных веществ".
Событие "слишком низкое напряжение электропитания" в данном случае должно рассматриваться в качестве "общей причины" и учитывается только один раз на нижнем уровне (символ "переход из"). Схема электропитания может быть достаточно сложной и должна анализироваться как отдельная подсистема с применением отдельного дерева неисправностей. "Контроль источника питания" (см. рисунок Б.3) может проводиться как для напряжения электросети, так и для напряжения питания электронных схем. Таким образом, необходима только одна проверка источника электропитания.
Б.1.6.2 Оценка дерева неисправностей с точки зрения функциональной безопасности
Дерево неисправностей демонстрирует в общем виде, какие электромагнитные помехи (основные события) могут влиять на функционирование различных элементов (частей) ТС. Эти электромагнитные помехи в зависимости от их уровня могут оказывать большее или меньшее влияние на ТС, что может привести к различным видам ухудшения качества функционирования, указанным в разделе 7 [см. критерии 1)-4)]. Однако не все из указанных эффектов могут оказывать существенное влияние на функциональную безопасность ТС.
Поэтому специалисты в области ЭМС, основываясь на конструкции ТС (например, на применяемых мерах защиты от помех) и имеющемся опыте обеспечения функциональной безопасности других ТС (результатах, полученных для ТС подобных конструкций), могут оценить, какие электромагнитные помехи при наивысшем уровне воздействия могут или будут оказывать критическое влияние на функциональную безопасность ТС.
Такая оценка для случая "негорящая газовая горелка" проведена в таблице Б.2.
Таблица Б.2 - Оценка влияния электромагнитных помех на безопасную работу контроллера газовой горелки для случая "негорящая газовая горелка"
 | |
| 896 × 718 пикс. Открыть в новом окне | |
Из оценки, приведенной в таблице Б.1, следует, что:
- провалы и прерывания напряжения сети электропитания, высокочастотные кондуктивные помехи, высокочастотные излучаемые помехи и электростатические разряды оказывают существенное влияние на функциональную безопасность ТС;
- маловероятно, чтобы магнитное поле промышленной частоты и гармоники напряжения электропитания оказывали существенное влияние на функциональную безопасность ТС, однако их нельзя исключать полностью;
- высокочастотные излучаемые помехи могут оказывать влияние на все элементы, относящиеся к контроллеру газовой горелки.
Таким образом, по таблице Б.2 определяют, какие части ТС (элементы, относящиеся к контроллеру):
- должны быть тщательно спроектированы с учетом обеспечения функциональной безопасности в отношении электромагнитных помех;
- подлежат тщательному исследованию в случае отказа при испытаниях на функциональную безопасность.
Необходимо также отметить (как следует из таблицы Б.2), что некоторые электромагнитные помехи, которые могут быть критичными для функциональной безопасности ТС, еще не учтены в стандартах ЭМС, распространяющихся на продукцию. Тем не менее испытания на помехоустойчивость при воздействии на ТС электромагнитных помех данных видов должны быть проведены.
Б.1.7 Рекомендации по конструированию контроллера газовой горелки
Газовые горелки должны соответствовать "критерию двух отказов", т.е. опасная ситуация не должна возникать как в результате единичного отказа, так и в результате двух независимых отказов.
Пример такой структуры представлен на рисунке Б.2. Если отказ возникает только в устройстве контроля источника питания, то такой отказ относится к категории так называемых "спящих" отказов, которые еще не вызывают опасной ситуации. Если затем выходит из строя цепь источника питания и подается слишком низкое напряжение, основной контроллер перестанет функционировать правильно и будет создавать произвольные сигналы на выходах, что может привести к открытию газового клапана. Эти два независимых сбоя не должны вызывать опасной ситуации.