Fejltolerance i forbindelse med maskinsikkerhed

Vi har alle forskellige grader af risikovillighed. Men det, der overlades til den enkelte på det personlige plan, skal i forbindelse med maskinsikkerhed evalueres og reguleres på en standardiseret måde. Hvilke risici kan stadig accepteres, hvilke fejl kan have fatale konsekvenser, og under hvilke betingelser er det set ud fra standarderne tilladt at give et automatiseringssystem mulighed for at fortsætte driften i en begrænset periode med en sikkerhedskritisk fejl?

Når det gælder disse spørgsmål, er der tale om en ny tilgang til "Safety". Styringssystemer til funktionssikkerhed skal således ikke længere frakoble i tilfælde af fejl. I stedet aktiveres de og forbliver aktive i en "sikkerhedsteknisk forsvarlig periode".

Fejltolerance betyder, at et teknisk system kan bevare sin funktion, selvom fejltilstande og svigt begrænser funktionen. Til et fejltolerant system hører der ud over fejlregistrering også en kvalificeret fejlvurdering. På denne måde kan det afgøres, om den registrerede fejl kan tolereres eller er så alvorlig, at en omgående standsning (frakobling) er uundgåelig.

En sådan fejlvurdering er ikke almindelig i de "klassiske systemer til fabriksautomatisering" i de aktuelle implementeringer. Men en fejltolerance er ikke mulig uden fejlvurdering. Det medfører, at det kun er muligt at træffe en afgørelse om en nuanceret fejlreaktion i moduler eller systemer med en passende udformning. Både udvikleren og brugeren af et fejltolerant modul eller system skal samtidig også fastlægge varigheden af tidsrummet Δtdeg for den fortsatte drift i degraderet tilstand. Derudover skal der evt. fastlægges yderligere foranstaltninger til risikoreduktion, som så bliver en del af brugerinformationen. I praksis kan man f.eks. afslutte et bearbejdningstrin.

Styringssystemer til funktionssikkerhed hjælper inden for produktion af maskiner og anlæg med at opfylde kravene til arbejdssikkerhed og sundhedsbeskyttelse i overensstemmelse med maskindirektivet (2006/42/EF). Udgangspunktet for dette er risikoanalysen og risikovurderingen baseret på EN ISO 12100. Denne standard beskriver grundlæggende risici og hjælper konstruktøren med at identificere relevante og signifikante risici, som kan mindskes til en acceptabel restrisiko ved hjælp af risikoreducerende foranstaltninger.

Beskyttelsesforanstaltninger i henhold til EN ISO 13849-1 og/eller IEC 62061

Hvis der anvendes styringstekniske beskyttelsesforanstaltninger, fortolker producenterne dem ud fra EN ISO 13849-1 og/eller IEC 62061. Den tekniske dokumentation indeholder anvisninger til opbygningen af disse foranstaltninger, deres sikkerhedstekniske pålidelighed og deres tilsigtede brug.

Sikker tilstand i forbindelse med funktionssikkerhed

Styringssystemer til funktionssikkerhed udformes i dag således, at deres sikre tilstand er en tilstand uden energi. Dvs.: Alle farlige bevægelser stoppes. Dette er det rigtige valg for alle maskiner og anlæg, hvor energifrakobling og dermed et stop er den sikre tilstand.
For flere og flere maskiner og anlæg, f.eks. set i kontekst med Industri 4.0, er en øget tilgængelighed imidlertid nødvendig og påkrævet. Derudover medfører et "omgående stop" eventuelt yderligere risici, som der skal tages hensyn til i risikoanalysen. Derfor er dogmet om energifrakobling som den eneste reaktion i tilfælde af fejl ikke længere tidssvarende.

En arbejdsgruppe – med deltagelse af Pilz og IFA (institut for arbejdssikkerhed) – i ZVEI (de tyske el- og elektronikproducenters centralforbund) har udarbejdet flere hvidbøger, som beskriver principperne for fejltolerante moduler og systemer til funktionssikkerhed på maskiner og anlæg. De vil påvise, at det er muligt at implementere tidsmæssigt begrænset drift med degraderet sikkerheds-delfunktion i sikkerhedsrelaterede sensorer og effektdrev i overensstemmelse med maskindirektivets beskyttelsesmål, og at dette ikke er uforeneligt med de harmoniserede standarder EN ISO 13849 og EN 62061.
Drift i degraderet tilstand bryder – samtidig med at være i overensstemmelse med standarderne – med dogmet om omgående energifrakobling i tilfælde af fejl. Det øger maskiners og anlægs sikkerhed og tilgængelighed:

• Reduktion af incitamenter til manipulation
• Ingen følgeskader på grund af frakobling i utide
• Øgning af produktiviteten
• Årsagsrelateret vedligeholdelse uden stilstandsperioder

Arbejdsgruppen TASi under ZVEI opfordrer brugere og producenter til at implementere disse fordele i maskiner og dermed gøre dem anvendelige for brugerne.
Hvidbogen henvender sig først og fremmest til maskinproducenter og systemintegratorer, som planlægger og implementerer sikkerhedsfunktioner og undersystemer til maskinstyring. Derudover kan informationerne bruges til udformning af sikkerhedsrelaterede moduler og systemer i forbindelse med produktudvikling. Hvidbogen ligger klar til gratis download på ZVEI's websted

Del 1 af ZVEI-hvidbogen

Første del af hvidbogen beskriver principperne for drift i degraderet tilstand. Forudsætning for brug af anden del er, at man kender indholdet af første del.

Download af ZVEI-hvidbogen del 1

Del 2 af ZVEI-hvidbogen

Anden del beskriver, hvordan man implementerer fejltolerante sikkerhedsfunktioner, som tillader fortsat drift af en maskine eller et anlæg i forbindelse med fejlscenarier uden at tilsidesætte kravene til personsikkerhed.

Download af ZVEI-hvidbogen del 2