Każdy, komu kiedyś przydarzyła się przebita opona w samochodzie, wie, jak to nieprzyjemne. Przede wszystkim, gdy zdarza się to podczas drogi na urlop, ważne spotkanie czy nocą po zupełnie pustej drodze. Aby w takich przypadkach móc kontynuować jazdę przez ograniczony czas, przemysł oponiarski stworzył opony typu „run flat”, które umożliwiają dojechanie do najbliższego serwisu ze zmniejszoną prędkością.
W jakim stopniu ten pomysł można przenieść na zautomatyzowane koncepcje produkcyjne – a zwłaszcza w dziedzinie techniki bezpieczeństwa funkcjonalnego?
Stan bezpieczny
Jeśli w przypadku nowoczesnych koncepcji bezpieczeństwa wkradnie się błąd istotny dla bezpieczeństwa, z reguły bezpieczny stan jest przywracany tak szybko, jak to tylko możliwe. Dzieje się tak mimo faktu, że większość funkcji bezpieczeństwa jest redundantna i zapewnia wyższy poziom nienaruszalności bezpieczeństwa (SIL) lub poziom zapewnienia bezpieczeństwa (PL).
Przykład: w razie wykrycia połączenia krzyżowego między dwoma kanałami w obwodzie przycisku zatrzymania awaryjnego następuje natychmiastowe zatrzymanie niebezpiecznych ruchów.
Z tego powodu grupa robocza w ZVEI przy udziale różnych zaangażowanych firm oraz instytutu zmierzyła się z pytanie, w jakim stopniu z normatywnego punktu widzenia dopuszczalna jest ograniczona czasowo dalsza eksploatacja systemu automatyzacji przy defekcie mającym krytyczny wpływ na bezpieczeństwo.
Eksploatacja maszyn w trybie awaryjnym
W przypadku linii technologicznych możliwe byłoby wykonanie do końca niektórych operacji produkcyjnych wykazujących krytyczne parametry technologiczne, w zależności od wskazania pojawiającego się przy defekcie oraz statusu „eksploatacji w trybie awaryjnym”. Najpóźniej w momencie upływu maksymalnego, dozwolonego czasu „pracy w stanie awaryjnym” osoba odpowiedzialna musi przywrócić stan bezpieczny.
W ramach analizy rodzajów defektów i ich skutków rozróżnia się dwa rodzaje defektów. W przypadku defektów nietolerowanych bezpieczna kontynuacja działania nie jest gwarantowana, w związku z czym musi nastąpić natychmiastowe zatrzymanie. Defekty tolerowane umożliwiają kontynuację pracy w czasowo ograniczonym zakresie, dopóki na przykład druga, niezależna ścieżka wyłączenia może nadal prawidłowo pełnić funkcję bezpieczeństwa.
Obliczanie prawdopodobieństwa uszkodzenia
Odpowiednie normy, to znaczy EN ISO 13849 bądź IEC 62061 nie zawierają żadnych wymogów dotyczących natychmiastowej lub bezpośredniej reakcji w przypadku wystąpienia defektu. Ponadto również modele do obliczania prawdopodobieństwa uszkodzenia (PFHd) pozostawiają niezbędny margines swobody, ponieważ środowiskach redundancyjnych prawdopodobieństwo uszkodzenia pozostaje początkowo na niskim poziomie i rośnie dopiero po pewnym czasie. W zależności od oceny ryzyka i jakości zastosowanych środków eliminacji błędów okres do momentu wyłączenia urządzenia przez osobę odpowiedzialną może zostać przedłużony maksymalnie do jednego tygodnia. Alternatywna metoda obliczeniowa zgodnie z normą EN 62061 określa interwał testu diagnostycznego. Metoda ta również przyczynia się do zmniejszenia w praktyce średniego prawdopodobieństwa niebezpiecznego uszkodzenia na godzinę PFHd.
Obie metody obliczeniowe zakładają jednak, że realizacja funkcji bezpieczeństwa ma wystarczającą rezerwę uszkodzenia oraz że uwzględniono wymagania dotyczące uszkodzenia spowodowanego wspólną przyczyną (Common Cause Failure).
Jakościowy przebieg ryzyka
Uzupełniające środki bezpieczeństwa
Koncepcja ta opiera się na założeniu, że w razie awarii osoba odpowiedzialna aktywuje alternatywne lub uzupełniające mechanizmy bezpieczeństwa. Przy monitorowaniu zredukowanych bezpiecznych prędkości w systemie napędowym (SLS wg EN 61800-5-2) osoba ta mogłaby zdecydować o możliwości kontynuacji pracy z niższą prędkością. Ograniczenie prędkości spowodowałoby obniżenie wymaganego poziomu zmniejszenia ryzyka z PL d na PL c. Konkretne obszary zastosowania istnieją również w przypadku bezobsługowych systemów transportowych (AGV), w których kontrola trasy przejazdu odbywa się przez uzależnione od prędkości wyznaczenie pola ochronnego skanera laserowego.
Perspektywa
Autorzy opublikowanego przez ZVEI opracowania White paper doszli do wniosku, że ocena opisanych działań jest zgodna z celami dyrektywy maszynowej i nie jest sprzeczna z normami zharmonizowanymi EN ISO 13849 i EN 62061.
Czynnikiem decydującym o akceptacji będzie to, czy korzyść wynikająca z możliwości kontynuacji pracy w „trybie awaryjnym” będzie wymierna. Zwłaszcza z uwagi na rosnące usieciowienie szczególne znaczenie mają możliwości diagnostyki poszczególnych komponentów w odniesieniu do dyspozycyjności systemu.
Aktywne potwierdzenie błędu w przemyśle przetwórczym
O ile w budowie maszyn pozostaje to nadal w sferze marzeń, w przemyśle przetwórczym stało się już standardem. Sprzęgające moduły bezpieczeństwa z rodziny PSRmini posiadają funkcję aktywnego sygnalizowania uszkodzenia, co umożliwia przeprowadzenie oceny bezpieczeństwa przez nadrzędny sterownik bezpieczeństwa SIS (Safety Instrumented System). Odbywa się to bez konieczności powtórnego odczytu zestyków rozwiernych przez wejścia cyfrowe. Aktywna sygnalizacja uszkodzenia przez przekaźnik sprzęgający powoduje rozstrojenie impedancji bezpiecznego wyjścia cyfrowego. Decyzję o kontynuacji działania lub wdrożeniu alternatywnych reakcji na uszkodzenie podejmuje procesor CPU systemu bezpieczeństwa (SIS).