Toleranță eroare

Disponibilitatea mașinilor în stare de eroare

Conform conceptelor de siguranță actuale, în cazul unei erori critice din punct de vedere al siguranței, instalația este adusă cât mai repede posibil în starea de siguranță. Acest lucru se întâmplă în ciuda faptului că majoritatea funcțiilor de siguranță pentru un nivel de integritate a securității sau un nivel de performanță mai ridicat constituie măsuri redundante.

Este posibilă continuarea utilizării unui sistem de automatizare în ciuda unei erori care afectează siguranța? Ce trebuie luat în considerare în acest caz?

Aflați mai multe acum!
Prim-plan pe roțile unei mașini

Cei care au experimentat o pană la mașină știu cât de neplăcut poate fi. Mai ales atunci când sunteți pe drum spre destinația de vacanță, spre o programare importantă sau pe un drum de țară pustiu în mijlocul nopții. În aceste cazuri, pentru a putea continua călătoria cel puțin pentru o perioadă limitată de timp, industria producătoare de anvelope a conceput așa-numitele anvelope „Runflat”, care, în condiții de viteză redusă, permit deplasarea până la cel mai apropiat atelier auto.

În ce măsură poate fi aplicat acest concept și pentru conceptele de fabricație automatizată, în special în domeniul tehnologiei de siguranță?

Stare de siguranță

În cadrul conceptelor de siguranță din prezent, în general, atunci când este întâmpinată o eroare, starea de siguranță este implementată cât mai repede cu putință, în ciuda faptului că majoritatea funcțiilor de siguranță pentru un nivel de integritate a securității (SIL) sau un nivel de performanță (PL) mai ridicat constituie măsuri redundante.
Exemplu: dacă se identifică o conexiune transversală între două canale în circuitul senzorului unui buton de oprire de urgență, mișcările care ar putea constitui un pericol sunt dezactivate imediat.

De aceea, un grup de lucru din cadrul ZVEI, în colaborare cu diferite companii afiliate și un institut și-au pus următoarea întrebare: în ce măsură este admisibilă din punct de vedere normativ continuarea operării unui sistem de automatizare cu o eroare care afectează siguranța.

Operarea mașinii în stare de eroare

În cazul instalațiilor pentru inginerie de proces, anumite etape de fabricație cu parametri de proces de importanță critică pot fi duse la capăt, în funcție de afișajul la întâmpinarea unei erori și de starea afișată pentru „operare în stare de eroare”. Cel târziu după atingerea duratei de funcționare maxime admise în „stare de eroare”, un „responsabil” trebuie să readucă instalația în stare de siguranță.

În cadrul analizei tipului de eroare și efectelor acesteia, sunt stabilite două tipuri de erori. Pentru erorile netolerabile nu poate fi garantată continuarea în siguranță a operării și instalația trebuie oprită imediat. Erorile tolerabile facilitează o continuare a operării pentru o perioadă de timp limitată, în măsura în care, de exemplu, o a doua cale de deconectare independentă poate efectua în mod corect funcția de siguranță.

Calcularea probabilității unei defecțiuni

Standardele relevante EN ISO 13849, respectiv IEC 62061 nu includ cerințe cu privire la reacția imediată la apariția unei erori. În plus, modelele de calculare a probabilității unei defecțiuni (PFHd) oferă un grad necesar de libertate în ce privește configurația, întrucât, în cadrul arhitecturilor redundante, probabilitatea unei defecțiuni rămâne inițial la nivel redus, crescând doar după o anumită perioadă. În funcție de evaluarea riscurilor și de calitatea măsurilor implementate pentru gestionarea erorii, intervalul rămas până la oprire, pe care o va dispune „responsabilul instalației”, se prelungește la cel mult o săptămână. Procesul alternativ de calculare specificat în EN 62061 definește un interval de diagnoză, care, practic, constituie o parte nesemnificativă a PFHd.

Ambele strategii de calcul duc la concluzia că inițierea funcției de siguranță are o rezervă suficientă în ce privește rezerva în caz de defecțiune și că trebuie luate în considerare solicitările referitoare la erorile cu aceeași cauză (Common Cause Failure).

Grafic: calcularea probabilității unei defecțiuni la o mașină

Progresie calitativă a riscului

Măsuri de siguranță suplimentare

Ideea că un responsabil poate activa mecanisme alternative sau suplimentare de siguranță în caz de eroare conturează o altă strategie. Astfel, în cazul unei erori apărute la monitorizarea vitezelor limitate la valori sigure în cadrul unui sistem de acționare (SLS conform EN 61800-5-2), responsabilul poate decide să permită numai funcționarea la viteză redusă. Datorită limitării vitezei, nivelul necesar pentru reducerea riscului scade de la PL d la PL c. Domenii de utilizare concrete se regăsesc și în domeniul sistemelor de transport fără conducător, la nivelul cărora monitorizarea traseului se realizează prin dimensionarea, în funcție de viteză, a câmpului de protecție a unui scaner laser.

Perspectivă

Autorii cărții albe publicate de ZVEI au ajuns la concluzia că evaluarea măsurilor descrise în conformitate cu obiectivele de protecție specificate în directiva pentru utilaje este validă și nu contrazice în niciun fel standardele armonizate EN ISO 13849, respectiv EN 62061.

Factorul decisiv pentru acceptarea acestei concluzii este gradul de îmbunătățire a utilizării prin posibilitatea „operării în stare de eroare”. În special din perspectiva interconectării tot mai cuprinzătoare, capacitatea de diagnoză a componentelor individuale în raport cu disponibilitatea sistemului are din ce în ce mai multă importanță.

Industria de prelucrare

Semnalizare activă a erorilor în industria de prelucrare

Ceea ce în producția de mașini este văzut ca o realizare de domeniul viitorului a devenit deja tehnologia de ultimă generație în industria de prelucrare. Astfel, modulele de cuplare sigure din familia PSRmini sunt dotate cu un sistem activ de notificare în caz de eroare, care permit controlerului de siguranță SIS (Safety Instrumented System) de nivel superior să efectueze o analiză relevantă pentru siguranță. În acest sens, nu sunt necesare intrări digitale pentru recitirea contactelor normal-închise. Cu ajutorul sistemului activ de notificare în caz de eroare de la nivelul releului de cuplare, se realizează o dereglare a impedanței ieșirii digitale sigure. Astfel, trebuie să se opteze pentru continuarea funcționării sau inițierea unor reacții alternative la eroare la nivelul unității centrale de procesare a sistemului de siguranță (SIS).