Iedereen die wel eens een lekke band heeft gehad, weet hoe onaangenaam dat kan zijn. Vooral op weg naar een vakantie, naar een belangrijke afspraak of 's nachts op een eenzame landweg. Om in dergelijke gevallen een beperkte periode verder te kunnen rijden, heeft de bandenindustrie zgn. Runflat-banden ontwikkeld, waarmee u, met inachtneming van een lagere snelheid, naar de volgende werkplaats op uw doellocatie kunt rijden.
In hoeverre kan dit concept worden overgedragen op geautomatiseerde fabricageconcepten, met name op het gebied van de veiligheidstechniek?
Veilige toestand
Met de huidige veiligheidsconcepten wordt, als zich een veiligheidsrelevante fout voordoet, de veilige toestand gewoonlijk zo snel mogelijk tot stand gebracht, ook al zijn de meeste veiligheidsfuncties redundant ontworpen voor hogere veiligheidsintegriteitsniveaus (SIL) of Performance Levels (PL).
Voorbeeld: bij een herkende dwarssluiting tussen twee kanalen in het sensorcircuit van een nood-stop-knop worden bewegingen die gevaren veroorzaken, bijvoorbeeld onmiddellijk uitgeschakeld.
Daarom heeft een werkgroep op ZVEI, met deelname van diverse aangesloten bedrijven en een instituut, zich gebogen over de vraag in hoeverre het normatief gezien toelaatbaar is om een automatiseringssysteem met een veiligheidskritische fout gedurende een beperkte periode in bedrijf te houden.
Machinewerking in gedegradeerde toestand
In procesinstallaties zouden bepaalde productiestappen kunnen worden voltooid met kritische procesparameters, afhankelijk van het display wanneer zich een storing voordoet en de weergegeven status van "verslechterde werking". Uiterlijk wanneer de maximaal toelaatbare bedrijfstijd in de "degraded state" is bereikt, moet de veilige toestand door een "beslisser" tot stand worden gebracht.
In het kader van een defecttype- en impactanalyse wordt een onderscheid gemaakt tussen twee defecttypes. In het geval van niet-tolereerbare storingen kan een veilige voortzetting van de werking niet worden gegarandeerd en moet onmiddellijk tot uitschakeling worden overgegaan. Tolereerbare storingen staan voortgezet bedrijf toe gedurende een begrensde periode, mits bijvoorbeeld een tweede onafhankelijk uitschakelpad voor veilige uitvoering van de veiligheidsfunctie kan zorgen.
Berekening van de uitvalwaarschijnlijkheid
De relevante normen EN ISO 13849 of IEC 62061 bevatten geen eisen met betrekking tot onmiddellijke of directe storingsreacties wanneer zich een storing voordoet. Bovendien laten ook de modellen voor het berekenen van de uitvalwaarschijnlijkheid (PFHd) de benodigde vormgevingsspeelruimte toe, omdat de uitvalwaarschijnlijkheid zich bij redundante architecturen aan het begin op een laag niveau afspeelt en pas na enkele tijd stijgt. Afhankelijk van de risicoanalyse en de kwaliteit van de toegepaste maatregelen voor het beheersen van fouten, kan de beslisser de periode tot aan het uitschakelen zo tot maximaal één week instellen. De alternatieve berekeningsmethode waarop EN 62061 is gebaseerd, definieert een diagnosetestinterval dat in de praktijk ook een verwaarloosbaar deel van de PFHd uitmaakt.
Bij beide berekeningsuitgangspunten wordt echter verondersteld dat het realiseren van de veiligheidsfunctie over voldoende reserve met betrekking tot de uitvalreserve beschikt ten aanzien van fouten met dezelfde oorzaak (Common Cause Failure) en dat die in acht zijn genomen.
Kwalitatief verloop van het risico
Aanvullende veiligheidsmaatregelen
Een ander principe gaat uit van het idee dat een beslisser in geval van een fout alternatieve resp. aanvullende veiligheidsmechanismen activeert. Zo kan de beslisser bij het bewaken van veiligheidsbeperkte snelheden in een aandrijfsysteem (SLS conform EN 61800-5-2) in geval van een fout de opdracht geven dat alleen nog het bedrijf met een verlaagde snelheid is toegelaten. Door de snelheidsbeperking wordt het vereiste niveau voor het minimaliseren van het risico van PL d naar PL c verlaagd. Concrete toepassingsgebieden komen ook voor bij zelfrijdende transportsystemen (AGV-systemen), waarbij de rijwegcontrole wordt gerealiseerd door de snelheidsafhankelijke dimensionering van het veiligheidsveld van een laserscanner.
Outlook
De auteurs van de door ZVEI gepubliceerde Whitepaper komen tot de conclusie dat de beoordeling van de beschreven maatregelen overeenkomt met de beschermingsdoelen van de machinerichtlijn en niet in strijd zijn met de geharmoniseerde normen EN ISO 13849 resp. EN 62061.
Doorslaggevend voor de acceptatie zal zijn of het voordeel van de mogelijkheid van "minder goede werking" meetbaar is. Vooral met het oog op de toenemende netwerkkoppelingen is het diagnosevermogen van individuele componenten met betrekking tot de beschikbaarheid van de installatie bijzonder belangrijk.
Actieve foutterugkoppeling in de procesindustrie
Wat in de machinebouw nog toekomstmuziek is, is in vele delen van de procesindustrie reeds de stand van de techniek. De veilige koppelmodulen van de PSRmini-familie zijn bijvoorbeeld met een actieve foutmelding uitgerust, die voor de bovengeschikte veiligheidsbesturing SIS (Safety Instrumented System) een veiligheidsrelevante analyse mogelijk maken. Dit gebeurt zonder de noodzaak voor digitale ingangen voor de feedback van de verbreekcontacten. Door de actieve foutfeedback van het koppelrelais komt een impedantieonderdrukking van de veilige, digitale uitgang tot stand. Daardoor blijft de beslissing voor het verdere bedrijf of het begin van alternatieve foutreacties in de CPU van het veiligheidssysteem (SIS).
