Jos autostasi on joskus puhjennut rengas, tiedät miten epämiellyttävää se voi olla. Varsinkin, jos tämä tapahtuu matkalla lomalle tai tärkeään tapaamiseen tai yöllä syrjäisellä tiellä. Jotta tällaisessa tilanteessa matkaa voidaan jatkaa ainakin jonkin aikaa, on rengasteollisuus kehittänyt niin kutsutun Runflat-renkaan, jolla on mahdollista ajaa hidasta vauhtia määränpäähän seuraavalle korjaamolle asti.
Missä määrin tämä idea voidaan siirtää automatisoituihin tuotantokonsepteihin, etenkin turvatekniikan alalla?
Turvallinen tila
Kun nykyisissä turvallisuuskonsepteissa ilmenee turvallisuuden kannalta olennainen vika, turvallinen tila saadaan tavallisesti aikaan mahdollisimman nopeasti, vaikka useimmat turvatoiminnot on suunniteltu redundanttisesti korkeammalle turvallisuuden eheystasolle (SIL) tai suoritustasolle (PL).
Esimerkki: jos hätäpysäytyspainikkeen anturipiirissä havaitaan kahden kanavan välinen oikosulku, kytkeytyvät vaaralliset liikkeet välittömästi pois päältä.
Siksi yksi työryhmä ZVEI-järjestössä on esittänyt eri jäsenyritysten ja erään laitoksen myötävaikutuksella kysymyksen siitä, kuinka pitkälti ajallisesti rajatun automaatiojärjestelmän, jossa on turvallisuuden kannalta kriittinen vika, käytön jatkaminen on sallittua normatiiviselta näkökannalta.
Koneen käyttö vajaatoimintaisessa tilassa
Prosessitekniikan laitoksissa tietyt prosessiparametreiltään kriittiset tuotantovaiheet voitaisiin viedä loppuun riippuen ilmoituksesta vian ilmetessä ja "vajaatoimintaisen käytön" näytetystä tilasta. Viimeistään, kun suurin sallittu käyttöikä saavutetaan "vajaatoimintaisessa tilassa", on tehtävä päätös turvallisen tilan aikaansaamisesta.
Virhetyyppien ja vaikutusanalyysin puitteissa tehdään ero kahden vikatyypin välillä. Kun kyse on ei-hyväksyttävistä virheistä, turvallisen käytön jatkumista ei voida taata, ja käyttö on pysäytettävä välittömästi. Hyväksyttävät virheet mahdollistavat käytön jatkumisen ajallisesti rajatusti, mikäli esimerkiksi toinen itsenäinen poiskytkentäpolku pystyy suorittamaan turvatoiminnon oikein.
Vikaantumisen todennäköisyyden laskenta
Asiaa koskevat standardit EN ISO 13849 tai IEC 62061 eivät sisällä vaatimuksia välittömien tai välillisten virhevasteiden suhteen virheen ilmetessä. Lisäksi eri mallit jättävät riittävästi tilaa toiminnon vaarallisen vikaantumisen todennäköisyyden tuntia kohden laskentaan (PFHd), koska alussa vikaantumisen todennäköisyys on reduntanttisissa arkkitehtuureissa matalalla tasolla ja kasvaa vasta ajan myötä. Riippuen riskinarvioinnista ja käytettyjen virheentorjuntatoimenpiteiden laadusta, voidaan sammutukseen johtavan päätöksen aikarajaksi asettaa enintään viikko. Standardissa EN 62061 käytetty vaihtoehtoinen laskentamenetelmä määrittää diagnostiikan testivälin, jolla on samoin käytännössä merkityksetön osuus PFHd:ssä.
Kummastakin laskentamenetelmästä käy kuitenkin ilmi se, että turvatoiminnon toteuttamisella on riittävä varaus vikavarauksen suhteen, ja että on otettu huomioon vaatimukset, jotka liittyvät yhteisvikaantumiseen (Common Cause Failure).
Riskin laadullinen kulku
Täydentävät turvatoimenpiteet
Toinen lähestymistapa on ajatella, että vikatapauksessa päätöksentekijä aktivoi vaihtoehtoiset tai täydentävät turvamekanismit. Järjestelmän turvallisten rajoitettujen nopeuksien valvonnassa (SLS standardin EN 61800-5-2 mukaan) voi päätöksentekijä muuttaa toiminnon niin, että käyttö on sallittua ainoastaan alennetulla nopeudella. Nopeuden alentaminen laskee riskinalennuksen vaadittavan tason PL d:stä PL c:hen. Konkreettisia soveltamisalueita syntyy myös autonomisissa kuljetusjärjestelmissä (AGVS), joissa ajoväylän hallinta toteutetaan laserskannerin suojakentän nopeudesta riippuvalla mitoituksella.
Katsaus
ZVEI:n julkaiseman white paper -julkaisun kirjoittajat päätyvät lopputulokseen, että kuvattujen toimenpiteiden arviointi on konedirektiivin suojaustavoitteiden mukainen eikä ole ristiriidassa yhdenmukaistettujen standardien EN ISO 13849 tai EN 62061 kanssa.
Ratkaiseva tekijä hyväksymisen kannalta on se, ovatko vajaatoimintaisen käytön hyödyt mitattavissa. Erityisesti lisääntyvän verkottumisen suhteen yksittäisten komponenttien diagnosoitavuudella järjestelmäkäytettävyyden suhteen on erityinen merkitys.
Aktiivinen vikaraportti prosessiteollisuudessa
Koneteollisuudessa vielä tuntemattomat menetelmät ovat arkipäivää useissa prosessiteollisuuden menetelmissä. PSRmini-tuoteperheen turvalliset kytkentäreleet on varustettu aktiivisella virheraportilla, joka mahdollistaa ylemmän tason SIS-turvaohjausjärjestelmän (Safety Instrumented System) turvallisuuteen liittyvän arvioinnin. Tämä mahdollistaa avautuvan koskettimen lukemisen ilman digitaalituloja. Kytkentäreleen aktiivisen virheraportin avulla tapahtuu turvallisen digitaalilähdön impedanssin viritys. Näin päätös jatkokäytöstä tai vaihtoehtoisen virhereaktioiden käytöstä jää turvallisuusjärjestelmän (SIS) keskusyksikköön.