• Sist søkt
  1. Home
  2. Industrier og applikasjoner
  3. Funksjonell sikkerhet
  4. Feiltoleranse

Feiltoleranse

Maskintilgjengelighet i degradert drift

Med dagens sikkerhetskonsepter oppnås sikker modus ved sikkerhetsrelevante feil i mange tilfeller så raskt som mulig. Det foregår selv om de fleste sikkerhetsfunksjonene er konstruert redundant for høyere sikkerhetsintegritetsnivåer eller kvalitetstrinn.

Kan driften av et automatiseringssystem opprettholdes til tross for sikkerhetskritiske feil? Hva må man være oppmerksom på?

Finn ut mer!
Detalj bildekk på en bil

Alle som har opplevd flatt dekk, vet hvor ubehagelig det kan være. Spesielt hvis man er på vei til ferie, på spranget til en viktig avtale eller midt på natten på en ensom landevei. For at man i slike tilfeller skal kunne kjøre videre i en begrenset tidsperiode, har dekkbransjen utviklet såkalte Runflat-dekk som man kan kjøre til nærmeste verksted med, i redusert hastighet.

I hvilken grad kan dette konseptet overføres til automatiserte produksjonskonsepter, spesielt innen sikkerhetsteknikk?

Sikker modus

Hvis det ved dagens sikkerhetskonsepter oppstår en sikkerhetsrelevant feil, innledes sikker tilstand vanligvis så raskt som mulig, selv om de fleste sikkerhetsfunksjonene er konstruert redundant for høyere sikkerhetsintegritetsnivåer (SIL) eller kvalitetstrinn (PL).
Eksempel: Farlige bevegelser kobles umiddelbart ut dersom det oppdages en kortslutning mellom to kanaler i sensorkretsen i en nødstoppknapp.

Derfor stilte en arbeidsgruppe hos ZVEI, med deltakelse fra forskjellige medlemsbedrifter og et institutt, spørsmålet hvorvidt en tidsmessig begrenset videre drift av et automatiseringssystem med en sikkerhetskritisk feil, er tillatt fra et normativt perspektiv.

Maskindrift i degradert tilstand

Ved prosesstekniske anlegg kunne bestemte produksjonstrinn med kritiske prosessparametere fullføres, avhengig av visningen når en feil oppstår, og statusen som vises for "degradert drift". Senest når maksimalt tillatt driftsvarighet i "degradert tilstand" er nådd, må en beslutningstaker aktivere sikker modus.

Innenfor rammen av feiltype- og konsekvensanalyse skiller man mellom to typer feil. Ved ikke-tolererbare feil er sikker videre drift ikke gitt, umiddelbar stillstand må følge. Tolererbare feil muliggjør tidsmessig begrenset videre drift såfremt f. eks. en ytterligere, uavhengig utkoblingsvei kan utføre sikkerhetsfunksjonen korrekt.

Beregning av sannsynlighet for svikt

De relevante standardene EN ISO 13849 eller IEC 62061 inneholder ingen krav med hensyn til umiddelbar feilreaksjon dersom en feil oppstår. Utover dette åpner modellen for beregning av sannsynligheten for svikt (PFHd) alt nødvendig spillerom for utforming, da sannsynlighet for svikt ved redundante arkitekturer hviler på lavt nivå i starten og stiger først etter en stund. Alt etter risikoevaluering og kvaliteten på iverksatte tiltak for å håndtere feilen, kan tidsrommet frem til beslutningstaker kobler ut systemet, settes til maksimalt én uke. Den alternative beregningsmetoden som er angitt i EN 62061 definerer et diagnostikk-testintervall som også bidrar til en andel PFHd som kan ignoreres i praksis.

Ved tilnærmingene for beregning må det være slik at implementering av sikkerhetsfunksjonen har tilstrekkelig reserve med hensyn til svikt, og at kravene med hensyn til feil med samme årsak (Common Cause Failure) er hensyntatt.

Grafikk: Beregning av sannsynlighet for svikt i en maskin

Kvalitativt risikoforløp

Supplerende sikkerhetstiltak

En annen tilnærming er tanken om at en beslutningstaker ved feil kan aktivere alternative eller supplerende sikkerhetsmekanismer. Ved overvåking av sikkerhetsbegrensede hastigheter i et drivsystem (SLS i henhold til EN 61800-5-2) kan beslutningstaker i situasjoner med feil initiere drift med kun redusert hastighet. På grunn av hastighetsbegrensningen senkes nødvendig nivå for risikoreduksjon fra PL d til PL c. Konkrete bruksområder vil også være førerløse transportsystemer (FTS), der strekningskontrollen er ivaretatt gjennom den hastighetsavhengige dimensjoneringen av laserskannerens beskyttelsesfelt.

Utsikter

Forfatterne av white paper som ble offentliggjort av ZVEI kommer til den konklusjon at evalueringen av beskrevne tiltak er i harmoni med maskindirektivets beskyttende mål, og ikke står i et motsetningsforhold til de harmoniserte standardene EN ISO 13849 eller EN 62061.

Avgjørende for en eventuell aksept vil være om nytten ved muligheten for "degradert drift" vil være målbart angripelig. Spesielt med henblikk på den tiltagende nettorganiseringen blir diagnostikkegenskapene til enkeltkomponenter med hensyn til anleggstilgjengelighet, en spesielt viktig faktor.

Prosessindustri

Aktiv feilmelding innen prosessindustrien

Det som innen maskinteknikk fremdeles er fremtidsmusikk, er på mange områder i prosessindustrien allerede teknisk status quo. De __sikre koblingsmodulene __i serien PSRmini har en aktiv feiltilbakemelding som åpner for sikkerhetsrelatert evaluering for den overordnede sikkerhetskontrolleren SIS (Safety Instrumented System). Det foregår uten at digitale innganger er nødvendige for å lese tilbake N/C-ene. På grunn av koblingsreleets aktive feiltilbakemelding følger en impedanseskjevhet i den sikre digitale utgangen. Dermed forblir avgjørelsen om videre drift eller innledning av alternative feilreaksjoner, i sikkerhetssystemets (SIS) CPU.

Sikre koblingsreleer for prosessindustrien

Mer informasjon

Sikkerhetsrelemoduler og sensorer
Produkter for funksjonell sikkerhet
TÜV-sertifiserte produkter for sikkerhetsapplikasjonen din.
Mer informasjon om kontaktorer/solid-state-releer og sensorer
Nødstopp innen maskinteknikk
Maskinsikkerhet
Funksjonell sikkerhet for beskyttelse av mennesker og maskiner.
Mer informasjon om maskinsikkerhet
Automasjonskap med komponenter for funksjonell sikkerhet
Funksjonell sikkerhet
Aktuelle trender, produkter og løsninger for din maskin- og anleggssikkerhet.
Mer informasjon om funksjonell sikkerhet