Aki csak egyszer is átélt egy gumidefektet az autójával, az tudja, hogy milyen kellemetlen lehet az ilyesmi. Különösen rossz, ha nyaralásra menet, egy fontos tárgyalásra utazva, esetleg éjszaka, egy elhagyatott útszakaszon történik ez. Abból a célból, hogy ilyen esetekben legalább korlátozott ideig tovább lehessen autózni, a gumiabroncs-gyártók kifejlesztették az úgynevezett „runflat“ gumiabroncsokat, amelyekkel csökkentett sebesség mellett el lehet jutni a legközelebbi szerelőműhelyig.
Hogyan lehet ezt a koncepciót átvinni az automatizált gyártórendszerekre, különösen a biztonságtechnika területére?
Biztonságos állapot
Ha a mai biztonsági koncepciók megvalósításakor egy a biztonság szempontjából lényeges hiba történik, akkor a rendszer általában a lehető leggyorsabban eléri a biztonságos állapotot annak ellenére, hogy a magasabb biztonsági integritási szintet (SIL) vagy jósági fokot (PL) célzó legtöbb biztonsági funkció redundáns módon van megvalósítva.
Példa: egy vészleállító kapcsoló érzékelő áramkörének két csatornája közötti keresztzárlat felismerésekor a rendszer azonnal lekapcsolja a veszélyes mozgásokat.
Ezért a ZVEI egyik munkacsoportja különböző tagvállalatok és egy intézet közreműködésével azt a kérdést tette fel, hogy mennyire engedhető meg a szabvány szempontjából egy automatizálási rendszer időben korlátozott további üzemeltetése, ha a biztonság szempontjából kritikus hiba történt.
A gépek üzemeltetése csökkentett állapotban
A folyamattechnikai létesítményekben például meghatározott, kritikus folyamatparaméterekkel jellemezhető gyártási fázisokat végig lehet vinni, a hiba felléptekor látható kijelzéstől és a „csökkentett üzemelés“ kijelzett állapotától függően. Legkésőbb a „csökkentett üzemelés“ megengedett maximális időtartamának elérésekor a döntéshozónak a biztonságos állapot elérését kell kezdeményeznie.
A hiba fajtájának és hatásának elemzésekor különbséget kell tenni két hibafajta között. A nem tolerálható hibák esetében a biztonságos további üzemelés nem garantálható, ezért a rendszert azonnal le kell állítani. A tolerálható hibák lehetővé teszik az időben korlátozott további üzemelést, ha pl. egy másik független lekapcsolási áramút megfelelően el tudja látni a biztonsági funkciót.
A kiesés valószínűségének kiszámítása
A vonatkozó EN ISO 13849 ill. IEC 62061 szabványokban nem található a hiba bekövetkeztére adandó azonnali vagy közvetlen reakcióra vonatkozó előírás. Ezenkívül a kiesés valószínűségének (PFHd) kiszámítására szolgáló modellek is engednek bizonyos játékteret a tervező számára, mivel redundáns architektúráknál a kiesés valószínűsége kezdetben alacsony szinten marad, és csak bizonyos idő eltelte után nő meg. A hibák uralására alkalmazott intézkedések kockázatbecslése és minősége függvényében a lekapcsolásig megengedhető időtartamot a döntéshozó akár maximum egy hétre is kitolhatja. Az EN 62061 szabványban erre alapot adó alternatív számítási módszer meghatároz egy diagnosztikai tesztelési időközt, amely a PFHd értéknek csak a gyakorlatban elhanyagolható részét adja.
Mindkét számítási eljárás mindazonáltal abból indul ki, hogy a biztonsági funkció megvalósítása elegendő tartalékot ad a kiesési tartalék szempontjából, és az ugyanolyan okból bekövetkező hibákra (common cause failure) vonatkozó követelmények be vannak tartva.
A kockázat minőségi alakulása
Kiegészítő biztonsági intézkedések
Egy másik megközelítést ígér az az ötlet, hogy a döntéshozó hiba esetén alternatív ill. kiegészítő biztonsági mechanizmusokat aktiválhat. Így a döntéshozó valamely hajtásrendszer biztonságos korlátozott sebességeinek felügyeletekor (SLS az EN 61800-5-2 szerint) hiba esetén elrendelheti, hogy az üzemelés már csak csökkentett sebességgel van engedélyezve. A sebességkorlátozás révén a kockázatcsökkentés szükséges szintje a PL d értékről a PL c értékre csökken. Konkrét alkalmazási területek kínálkoznak a vezető nélküli szállítási rendszereknél is, ahol az útvonal ellenőrzése egy lézeres letapogató védőmezőjének sebességfüggő méretezésével valósul meg.
Kitekintés
A ZVEI által közzétett szakcikk szerzői arra a következtetésre jutnak, hogy az ismertetett intézkedések úgy értékelhetők, hogy azok összhangban vannak a gépekről szóló irányelv védelmi céljaival, és nem mondanak ellent az EN ISO 13849 ill. EN 62061 harmonizált szabványoknak.
Az elfogadás szempontjából döntő az, hogy mérhető hasznot jelent-e a „csökkentett üzemelés“ lehetősége. Mindenekelőtt a fokozódó módon megvalósuló hálózatosításra való tekintettel egyre nő az egyes, a berendezések rendelkezésre állása szempontjából fontos összetevők diagnosztizálhatóságának a jelentősége.
Aktív hibavisszajelzés a feldolgozóiparban
Ami a gépgyártásban még a jövő zenéje, az a feldolgozóipar sok területén már a technika mai állását jelenti. Így a PSRmini termékcsaládba tartozó biztonsági csatolómodulok aktív hibavisszajelzéssel vannak ellátva, ami lehetővé teszi a fölérendelt SIS (safety instrumented system) biztonsági vezérlő számára a biztonsági szempontú kiértékelést. Ez anélkül történik, hogy a digitális bemeneteken vissza kellene olvasni a kimeneti nyitóérintkezőket. A csatolórelé aktív hibavisszajelzése révén megvalósítható a biztonsági digitális kimenet impedanciájának behangolása. Ezáltal a tovább üzemelés vagy alternatív hibareakciók bevezetése közötti döntés a biztonsági rendszer (SIS) CPU-ján belül maradhat.