Fejltolerance

Maskinoppetid i degraderet drift

I mange tilfælde igangsættes den sikre tilstand med nutidens sikkerhedskoncepter hurtigst muligt efter forekomst af fejl, som betyder noget for sikkerheden. Det sker, selv om de fleste sikkerhedsfunktioner er redundant udformet til et højere sikkerhedsintegritetsniveau eller en højere ydeevne.

Er det muligt at fortsætte drift af et automatiseringssystem på trods af sikkerhedskritiske fejl? Hvad skal man være opmærksom på ved det?

Få mere at vide nu!
Close up: Dæk på bil

Den, der har oplevet et punkteret bildæk, ved, hvor ubehageligt det kan være. Især på vej på ferie, til et vigtigt møde eller på en ensom landevej midt om natten. For i sådanne tilfælde i det mindste at være i stand til at køre videre i et begrænset tidsrum har dækindustrien udviklet de såkaldte "runflat-dæk", som man – med reduceret hastighed – kan køre til det nærmeste værksted på sin destination med.

I hvilket omfang kan man overføre dette koncept til automatiserede produktionskoncepter på det sikkerhedstekniske område?

Sikker tilstand

Når der opstår en sikkerhedsrelevant fejl med nutidens sikkerhedskoncepter, tilvejebringes den sikre tilstand normalt så hurtigt som muligt, selv om de fleste sikkerhedsfunktioner er redundant udformet til et højere sikkerhedsintegritetsniveau (SIL) eller en højere ydeevne (PL).
For eksempel, hvis der registreres en tværslutning mellem to kanaler i en nødstop-knaps sensorkreds, bliver risikobehæftede bevægelser umiddelbart frakoblet.

Af denne grund spurgte en arbejdsgruppe på ZVEI, med deltagelse af forskellige medlemsvirksomheder og et institut, i hvilket omfang fortsat drift af et automatiseringssystem med en sikkerhedskritisk fejl i en begrænset periode er tilladt fra et normativt synspunkt.

Maskindrift i degraderet tilstand

Ved procestekniske anlæg ville bestemte produktionstrin med kritiske procesparametre kunne tilendebringes, afhængig af visningen ved fejlens opståen og den viste status for den "degraderede drift". Senest når den maksimalt tilladte driftsvarighed i "degraderet tilstand" nås, skal en beslutningstager igangsætte den sikre tilstand.

I forbindelse med en fejltype- og påvirkningsanalyse skelner man mellem to typer fejl. Ved ikke-tolererbare fejl kan en sikker videre drift ikke garanteres, hvorfor umiddelbar stilstand er en nødvendighed. Tolererbare fejl muliggør fortsat drift i en begrænset periode, forudsat at der f. eks. er en anden uafhængig nedlukningsmetode, som korrekt kan udføre sikkerhedsfunktionen.

Beregning af sandsynlighed for udfald

De relevante standarder EN ISO 13849 eller IEC 62061 indeholder ingen funktionskrav med henblik på en øjeblikkelig eller umiddelbar fejlreaktion ved indtrædelse af en fejl. Derudover giver modellerne til beregning af sandsynligheden for udfald (PFHd) også det nødvendige udformningsspillerum, da sandsynligheden for udfald ved redundante arkitekturer i begyndelsen holder sig på et lavt niveau og først stiger efter nogen tid. Alt efter risikovurdering og kvaliteten af de trufne foranstaltninger til fejlhåndtering kan "beslutningstageren" sætte tidsrummet, indtil afkobling sker, til maksimalt en uge. Den alternative beregningsmetode, der ligger til grund iht. EN 62061, definerer et diagnose-testinterval, som ligeledes udgør en del af PFHd, der kan ses bort fra i praksis.

En forudsætning for begge beregningsmetoder er imidlertid, at realiseringen af sikkerhedsfunktionen besidder en tilstrækkelig reserve, hvad angår fejlreserver, og at der er blevet taget højde for funktionskravene m.h.t. fejl med fælles årsag (Common cause failure).

Grafi: Beregning af sandsynlighed for en maskines udfald

Kvalitativt forløb af risikoen

Supplerende sikkerhedsforanstaltninger

En anden tilgang følger af ideen om, at en beslutningstager i fejlsituationer aktiverer alternative eller supplerende sikkerhedsmekanismer. Under overvågningen af sikkerhedsbegrænsede hastigheder i et drivsystem (SLS iht. EN 61800-5-2) kan beslutningstageren således i en fejlsituation foranledige, at kun drift med reduceret hastighed tillades. Hastighedsbegrænsningen betyder, at det nødvendige niveau for risikoreducering sænkes fra PL d til PL c. Konkrete anvendelsesområder viser sig desuden inden for førerløse transportsystemer (FTS), hvor kørestrækningskontrollen realiseres ved en hastighedsafhængig dimensionering af en laserscanners beskyttelsesfelt.

Udsigt

Forfatterne af den hvidbog, som ZVEI har offentliggjort, når frem til den konklusion, at vurderingen af de beskrevne foranstaltninger er i samklang med maskindirektivets sikkerhedsmæssige intentioner og ikke er i modstrid med de harmoniserede standarder EN ISO 13849 eller EN 62061.

En afgørende faktor for anerkendelsen vil være, om fordelene ved muligheden for en "degraderet drift" konkret lader sig måle. Frem for alt med henblik på den tiltagende netkobling får muligheden for at kunne diagnosticere enkeltstående komponenter, hvad angår anlægs tilgængelighed, en særlig betydning.

Procesindustri

Aktiv tilbagemelding af fejl i procesindustrien

Hvad der inden for maskinkonstruktion stadigvæk blot er et vagt fremtidshåb, er på mange områder inden for procesindustrien allerede aktuelt teknisk niveau. Således er de sikre koblingsmoduler fra produktfamilien PSRmini udstyret med en aktiv fejltilbagemelding, som gør det muligt for den overordnede sikkerhedsstyring SIS (Safety Instrumented System) at foretage en sikkerhedsrelateret analyse. Dette sker, uden at digitale indgange til tilbagelæsning af brydekontakterne er nødvendige. Koblingsrelæets aktive fejltilbagemelding afstedkommer en impedansforstemning af den sikre digitale udgang. Således forbliver beslutningen om, hvorvidt driften skal fortsættes eller alternative fejlreaktioner skal indledes, en sag for CPU'en i sikkerhedssystemet (SIS).