タイヤのパンクを経験した方なら、どれほど不快かご存知でしょう。特に休暇中や重要な約束に向かう途中、夜間の人気のない田舎道では特にそうです。このような状況でもう少し運転できるように、タイヤ産業はランフラットタイヤと呼ばれるものを開発しました。これは、目的地にある次の修理工場につくまで速度を落として運転できるように設計されています。
このコンセプトは、自動化製造コンセプト、特にセーフティテクノロジの分野にどの程度転用できるでしょうか。
安全な状態
現在の安全コンセプトでは、セーフティ関連の障害が発生した場合、ほとんどの安全機能がより高い安全度水準(SIL)やパフォーマンスレベル(PL)向けに冗長に設計されていても、通常はできるだけ早く安全状態がもたらされます。
例えば、非常停止ボタンのセンサ回路内の2つのチャネル間にクロス回路が検出された場合、危険な可動部品は直ちにオフになります。
そのため、さまざまなメンバー企業と1機関が参加する__ZVEI__のワーキンググループは、セーフティクリティカルな障害のあるオートメーションシステムの、制限された時間内の動作の継続は、規格の観点からどの程度許容できるかという疑問に答えました。
縮退状態の機械の動作
プロセスエンジニアリングプラントでは、障害と「劣化動作」の表示状態がいつ発生したかによって、特定の製造ステップを重要なプロセスパラメータで完了できます。意思決定者が機器を安全状態に戻さなければならない最後のポイントは、「縮退状態」で最大許容サービス寿命に達した場合です。
障害タイプと影響解析の文脈では、2つの障害タイプが区別されます。__許容できない障害__の際は、安全な継続動作は保証できず、直ちにシャットダウンしなければなりません。__許容できる障害__では、制限された時間の間動作を継続できます。ただし、例えば第2の独立したシャットダウン経路によって安全機能を正しく実行できる場合に限ります。
失敗率の計算
関連する規格__EN ISO 13849__および__IEC 62061__には、障害が発生した場合のただちにまたは直接の障害対応に関する要件は含まれていません。さらに、障害の可能性の計算(PFHd)でも設計に必要な余裕を提供しています。失敗率は冗長アーキテクチャでは非常に低いレベルから始まり、しばらくして初めて増加するためです。リスク評価と実施されている対策の品質によっては、意思決定者は最大1週間まで、シャットダウンまでの時間を設定することができます。EN 62061の基礎となる、もう1つの計算方法では、実際には無視できるPFHdの比率でもある、診断テスト間隔を定義しています。
ただしどちらの計算方法でも、安全機能の実装に十分な余裕、つまり障害余裕が含まれていること、同じ原因による障害(共通原因故障)に関する要件が考慮されていることを、前提としています。
リスクの定性的進行
追加の安全措置
意思決定者が、障害時に別のあるいは補足的な安全メカニズムをアクティブ化できるという考えは、別の可能なアプローチを提供します。例えば、運転システムにおいて安全制限速度(EN 61800-5-2に準拠のSLS)を監視する場合、障害時に意思決定者は、減速する場合に限って運転を許可できると決定することができます。速度制限により、リスク緩和の必要なレベルがPL dからPL cに減少します。具体的なアプリケーション分野には、移動経路がレーザースキャナーの安全フィールドの速度ベースの寸法測定によって監視されている、無人搬送車システム(AGVS)などがあります。
展望
ZVEIにより発行されたホワイトペーパーの著者は、記述されている対策の評価は、機械指令の安全目標と一致しており、整合規格EN ISO 13849およびEN 62061と矛盾するものではないと結論付けています。
受入れの決定的要因は、「劣化動作」のオプションのメリットが、定量化でき具体的であるかどうかです。相互接続性が高まる中で、システムの可用性に関して、個別コンポーネントの診断機能は特に重要です。
プロセス産業におけるアクティブ障害レポート
工作機械に関して将来のビジョンとして残っているのは、__プロセス産業__の多くの分野ではすでに最新のものです。例えば、__PSRmini__シリーズの__安全カップリングモジュール__には、アクティブ障害報告機能が備わり、上位レベルのSIS安全コントローラ(安全計装システム)により安全ベースの評価を実行できます。これを実行するのに、N/Cコンタクトのリードバック用のデジタル入力は不要です。カップリングリレーのアクティブ障害報告機能により、安全デジタル出力のインピーダンスが離調します。その結果、運転を続行するかあるいは別の障害対応を導入するかの決定は、セーフティシステム(SIS)のCPUに任されます。