Tolerância de erro

Disponibilidade das máquinas na operação degradada

Nos conceitos de segurança atuais, em muitos casos, em caso de erro relacionado com a segurança, o estado seguro é gerado o mais rapidamente possível. Isto acontece apesar de a maioria das funções de segurança ser concebida de forma redundante para níveis de integridade de segurança ou níveis de desempenho superiores.

É possível continuar a operar um sistema de automatização apesar de erros críticos para a segurança? O que é preciso ter em conta?

Saber mais agora!
Close Up Pneus num veículo

Quem já alguma vez teve um pneu furado no seu veículo sabe como pode ser desagradável. Principalmente, quando se está a caminho das férias, de uma marcação importante ou durante a noite numa estrada rural isolada. Para, nestas situações, conseguir continuar viagem durante um período de tempo limitado, a indústria dos pneus desenvolveu os chamados "pneus Runflat", com os quais é possível conduzir até à oficina mais próxima – mantendo uma velocidade reduzida.

Em que medida é possível transferir este conceito para conceitos de fabrico automatizado, em particular na área da tecnologia de segurança?

Estado seguro

Se ocorrer um erro relevante para a segurança nos conceitos de segurança atualmente existentes, o estado seguro é, por norma, induzido o mais rapidamente possível, apesar de a maioria das funções de segurança ser concebida de forma redundante para níveis de integridade de segurança (SIL) ou níveis de desempenho (PL) superiores.
Exemplo: se for detetado um circuito cruzado entre dois canais no circuito de sensores de um botão de paragem de emergência, os movimentos perigosos são imediatamente desligados.

Foi por este motivo que um grupo de trabalho publicou na ZVEI, com a participação de diversas empresas associadas e de um instituto, a pergunta sobre em que medida continuar o funcionamento de um sistema de automatização durante um tempo limitado é admissível, de um ponto de vista normativo, com um erro crítico para a segurança.

Operação de máquinas em caso de estado degradado

No caso de instalações da engenharia de processos, determinadas etapas da produção com parâmetros do processo críticos poderiam ser realizadas até ao fim, independentemente da indicação aquando da ocorrência de um erro e da exibição do estado da "operação degradada". O mais tardar quando é atingido o tempo de funcionamento máximo permitido no "estado degradado", um "decisor" deve induzir o estado seguro.

No âmbito de uma análise dos tipos de erros e do impacto, é feita a distinção entre dois tipos de erros. Em caso de erros não aceitáveis, não é possível garantir a segurança se o funcionamento continuar e é necessário proceder-se à imobilização imediata. Os erros aceitáveis permitem continuar o funcionamento durante um tempo limitado, desde que, p. ex., um atalho de desligamento independente possa executar a função de segurança de modo correto.

Cálculo da probabilidade de falha

As normas relevantes EN ISO 13849 ou IEC 62061 não contêm quaisquer referências aos requisitos em termos de respostas de erro imediatas, no caso da ocorrência de um erro. Além disso, também os modelos para calcular a probabilidade de falha (PFHD - probabilidade média de falha perigosa por hora) permitem a liberdade de design necessária, visto que, no caso de arquiteturas redundantes, a probabilidade de falha inicialmente permanece num nível baixo e só aumenta após algum tempo. Dependendo da avaliação dos riscos e da qualidade das medidas aplicadas para o controlo de erros, é possível definir o tempo até à desativação pelo "decisor" para, no máximo, uma semana. O método de cálculo alternativo aplicado na EN 62061 define um intervalo de teste de diagnóstico que, na prática, também contribui para uma parte mínima da PFHD (probabilidade média de falha perigosa por hora).

No entanto, ambas as abordagens de cálculo partem do princípio de que a realização da função de segurança possui uma reserva suficiente em relação à reserva de falha e que foram tidos em consideração os requisitos relativamente a erros que apresentem a mesma causa (Common Cause Failure).

Gráfico: Cálculo da probabilidade de falha de uma máquina

Evolução qualitativa do risco

Medidas de segurança suplementares

Outra abordagem inclui a ideia de, em caso de erro, um decisor ativar mecanismos de segurança alternativos ou complementares. Assim, durante a monitorização de velocidades com limite de segurança num sistema de acionamento (SLS conforme a EN 61800-5-2), o decisor pode, em caso de erro, fazer com que seja permitida apenas a operação a uma velocidade reduzida. Através da limitação da velocidade, é diminuído o nível necessário para reduzir o risco do nível de desempenho d para o nível de desempenho c. As áreas de aplicação concretas também se verificam em sistemas de transporte sem motorista (AGVS), nos quais o controlo do trajeto é realizado através do dimensionamento do campo de proteção de um scanner a laser em função da velocidade.

Vista

Os autores do White Paper publicado pela ZVEI concluem que a avaliação das medidas descritas está em conformidade com os objetivos da Diretiva Máquinas e não apresenta qualquer contradição em relação às normas harmonizadas EN ISO 13849 ou EN 62061.

Decisivo para a aceitação será se os benefícios podem ser avaliados de forma mensurável pela possibilidade de "operação degradada". Sobretudo no que se refere à crescente interligação, a capacidade de diagnosticar componentes individuais é particularmente importante em relação à disponibilidade da instalação.

Indústria de processos

Resposta de erro ativa na indústria de processos

Aquilo que, no fabrico de máquinas, ainda faz parte do futuro, é já o atual estado da tecnologia em diversas áreas da indústria de processos. Assim, os módulos de acoplamento seguros da família PSRmini estão equipados com uma resposta de erro ativa, a qual torna possível a avaliação da segurança pelo controlador de segurança principal SIS (Safety Instrumented System). Isto ocorre sem a necessidade de entradas digitais para leitura de retorno dos contactos de abertura. Graças à resposta de erro ativa do relé de acoplamento, é realizado um desajuste por impedância da saída digital segura. Assim, permanece a decisão de continuar o funcionamento ou iniciar respostas de erro alternativas na unidade central de processamento do sistema de segurança (SIS).