Tolerância à falha

Disponibilidade da máquina em operação em estado degradado

Nos conceitos de segurança de hoje, o estado seguro é em muitos casos desencadeado o mais rapidamente possível quando ocorre um erro relevante para a segurança. Tal acontece apesar de a maioria das funções de segurança serem concebidas de forma redundante para níveis de integridade de segurança ou níveis de desempenho superiores.

É possível continuar operando um sistema de automação apesar dos erros críticos para a segurança? Ao fazer isso, o que deve ser observado?

Saber mais agora!
Grande plano de pneu em um veículo

Quem já teve um furo no pneu do seu automóvel sabe o quanto pode ser desagradável. Especialmente em viagem durante as férias, a caminho de um compromisso importante ou à noite numa estrada rural deserta. Para que neste tipo de casos se possa continuar a circular por um período limitado, a indústria de pneus desenvolveu os chamados pneus runflat, com os quais se pode chegar à oficina mais próxima no destino – desde que a uma velocidade reduzida.

Até que ponto este conceito pode ser transferido para conceitos de produção automatizados, especialmente no setor da tecnologia de segurança?

Estado seguro

Se ocorrer um erro relevante para a segurança nos conceitos de segurança atualmente existentes, por norma, o estado seguro é induzido com a maior rapidez, apesar de a maioria das funções de segurança ser concebida de forma redundante para níveis de integridade de segurança (SIL) ou níveis de desempenho (PL) superiores.
Exemplo: em um circuito cruzado detectado entre dois canais no circuito de sensores de um botão de parada de emergência são imediatamente desligados os movimentos perigosos.

Por este motivo, com a participação de diversas empresas associadas e de um instituto, um grupo de trabalho na ZVEI se colocou a pergunta em que medida, do ponto de vista normativo, é admissível continuar o funcionamento durante um tempo limitado de um sistema de automação com um erro crítico para a segurança.

Operação de máquinas em estado degradado

Em instalações de engenharia de processos, determinadas etapas de produção poderiam ser completadas com parâmetros de processo críticos, dependendo da indicação quando ocorre uma falha e de ser indicado o estado "operação em estado degradado". O mais tardar quando for atingida a duração de operação máxima admissível em "estado degrado", o estado seguro tem de desencadeado por um decisor.

No âmbito de uma análise dos tipos de erro e do impacto, se distingue entre dois tipos de erro. Em caso de erros não toleráveis, não é possível garantir a continuação de um funcionamento seguro e tem de ocorrer uma parada imediata. Os erros toleráveis permitem continuar o funcionamento durante um tempo limitado, desde que, p. ex., um circuito de desligamento independente possa executar a função de segurança de modo correto.

Cálculo da probabilidade de falha

As normas relevantes EN ISO 13849 ou IEC 62061 não incluem nenhum requisito no que diz respeito a uma resposta de erro imediata ou direta em caso de ocorrência de um erro. Além disso, os modelos para cálculo da probabilidade de falha (PFHd) também permitem a liberdade de configuração necessária, uma vez que a probabilidade de falha de arquiteturas redundantes, esta permanece no nível mínimo ao início e só aumenta após algum tempo. Dependendo da avaliação de risco e da qualidade das medidas utilizadas para o controlo de erros, o decisor pode programar o período de tempo até o desligamento para um máximo de uma semana. O método de cálculo alternativo subjacente à EN 62061 define um intervalo de teste de diagnóstico, que também contribui com uma porcentagem na prática negligenciável da PFHd.

As duas metodologias de cálculo pressupõem que a realização da função de segurança dispõe de uma reserva suficiente relativamente à reserva de falha e que as demandas relacionadas com erros com a mesma causa (Common Cause Failure) foram consideradas.

Gráfico: Cálculo da probabilidade de falha de uma máquina

Evolução qualitativa do risco

Medidas de segurança complementares

A ideia de que um decisor ativa mecanismos de segurança alternativos ou complementares em caso de erro promete outra abordagem. Assim, o decisor pode fazer com que, em caso de erro, apenas fosse admissível a operação com velocidade reduzida no monitoramento de velocidades limitadas por segurança em um sistema de acionamento (SLS segundo EN 61800-5-2). A limitação de velocidade faz com que o nível necessário para a diminuição de risco baixe de PL d para PL c. Áreas de aplicação concretas surgem também em sistemas de transporte sem condutor (FTS), nos quais o controle do itinerário é feito através do dimensionamento dependente da velocidade da área de proteção de um scanner a laser.

Previsão

Os autores do Whitepaper publicado pela ZVEI chegam à conclusão que a avaliação das medidas descritas está em harmonia com os objetivos de proteção da diretriz de máquinas e não apresenta qualquer objeção às normas harmonizadas EN ISO 13849 ou EN 62061.

O fator decisivo para a aceitação será se os benefícios podem ser avaliados de forma mensurável através da possibilidade de "operação em estado degradado". Sobretudo no que diz respeito ao aumento da interligação, a capacidade de diagnóstico de componentes individuais relativamente à disponibilidade do sistema é de grande importância.

Indústria de processos

Resposta ativa de erro na indústria de processos

O que ainda parece uma ideia muito distante na construção de máquinas, é já o estado atual da técnica em muitos setores da indústria de processos. Assim, os módulos de acoplamento seguros da família PSRmini estão equipados com uma resposta de erro ativa, que permite ao controlador de segurança superior SIS (Safety Instrumented System) uma avaliação relacionada com a segurança. Tal ocorre sem a necessidade de entradas digitais para retroleitura dos contatos normalmente fechados. Através da resposta de erro ativa do relé de acoplamento ocorre uma dessintonização da impedância da saída digital segura. Dessa forma, a decisão sobre a continuação da operação ou a introdução de respostas de erro alternativas permanece na CPU do sistema de segurança (SIS).